李忠成，高惠燕，張文祥

(浙江萬里學(xué)院 智能控制技術(shù)研究所，浙江 寧波 315100)

0 引言

隨著移動互聯(lián)網(wǎng)、云計算和物聯(lián)網(wǎng)技術(shù)的高速發(fā)展，筆記本、手機(jī)和可穿戴設(shè)備等智能移動終端不斷涌現(xiàn)，海量數(shù)據(jù)和智能應(yīng)用迅速填充著人們的生活，人們對快速實(shí)時穩(wěn)定的通信要求越來越高[1]。在計算能力、能耗、實(shí)時性、數(shù)據(jù)安全和隱私等方面，集中式的云計算模式已經(jīng)無法滿足網(wǎng)絡(luò)需求[2]。邊緣計算應(yīng)運(yùn)而生，作為對云計算的延伸和補(bǔ)充，邊緣計算將云計算擴(kuò)展到了網(wǎng)絡(luò)邊緣，可以通過部署在不同位置的邊緣服務(wù)器與終端設(shè)備直接連接，從而降低數(shù)據(jù)處理延遲，解決云計算時延高、移動性差和位置感知弱等問題[3]。但同時由于邊緣計算網(wǎng)絡(luò)通信的開放性也帶來了邊緣設(shè)備和用戶數(shù)據(jù)的安全問題，邊緣節(jié)點(diǎn)分布式部署的特點(diǎn)，使其很容易遭受到外部用戶的非法入侵；邊緣計算網(wǎng)絡(luò)異構(gòu)型的特點(diǎn)，使其受到入侵的情態(tài)極具多樣化和復(fù)雜化；作為邊緣節(jié)點(diǎn)集群管控中心的云服務(wù)器也會受其影響，面臨更多的入侵威脅[4]。因此，構(gòu)建一個面向邊緣計算網(wǎng)絡(luò)的入侵檢測模型，并依此研究一種行之有效的入侵檢測算法，在保障邊緣計算網(wǎng)絡(luò)安全、推進(jìn)邊緣計算的更廣泛應(yīng)用方面具有重要意義。本文聚焦邊緣計算環(huán)境下的安全防御相關(guān)模型及算法展開研究，提出一種基于改進(jìn)ELM(極限學(xué)習(xí)機(jī))算法的邊緣計算入侵檢測方案，貢獻(xiàn)如下：

(1)設(shè)計并架構(gòu)一個具有6層結(jié)構(gòu)的邊緣計算入侵檢測系統(tǒng)，系統(tǒng)功能包括邊緣計算入侵檢測到防御響應(yīng)過程中的全部模塊，通過監(jiān)控邊緣網(wǎng)絡(luò)、節(jié)點(diǎn)狀態(tài)和用戶行為等，來實(shí)現(xiàn)對用戶非法行為和外部入侵進(jìn)行檢測和防御。

(2)以入侵檢測系統(tǒng)架構(gòu)為基礎(chǔ)提出一個邊緣計算入侵檢測方案，并基于該方案提出一種適用于邊緣計算部署的改進(jìn)極限學(xué)習(xí)機(jī)的入侵檢測算法，通過引入樣本篩選的過程以優(yōu)化學(xué)習(xí)過程中的外權(quán)，對邊緣節(jié)點(diǎn)的數(shù)據(jù)實(shí)現(xiàn)高效的入侵檢測。

(3)通過與傳統(tǒng)ELM、BP神經(jīng)網(wǎng)絡(luò)、SVM和CVM-ELM算法比較準(zhǔn)確率、訓(xùn)練時間、魯棒性、誤報率，證明該算法是一種適用于邊緣計算網(wǎng)絡(luò)應(yīng)用的入侵檢測算法。

1 相關(guān)工作

邊緣計算雖然能夠有效降低云中心的計算負(fù)載，從而緩解帶寬和延遲壓力，但是隨著邊緣節(jié)點(diǎn)的不斷增加和邊緣設(shè)備智能化程度的不斷提高，邊緣計算也面臨著包括虛假數(shù)據(jù)中心、數(shù)據(jù)篡改竊取以及拒絕服務(wù)攻擊等一系列用戶非法行為或外部入侵安全問題。面對這些問題，國內(nèi)外研究人員提出了不同的解決方法。文獻(xiàn)[5]提出了一種基于安全級別的防御方案，方案中不同的安全級別采用不同的數(shù)據(jù)包檢查算法，并強(qiáng)制執(zhí)行不同的插件，分析來自內(nèi)部用戶非法行為的攻擊威脅[5]。文獻(xiàn)[6]提出了零和隨機(jī)博弈模型，模擬攻擊者和用戶之間的信息動態(tài)交互行為，通過推導(dǎo)模型的納什均衡分析影響用戶最優(yōu)防御策略的主要因素[6]。文獻(xiàn)[7]提出了一種分布式拒絕服務(wù)攻擊分類算法來防御云數(shù)據(jù)中心的安全威脅，并對響應(yīng)時間、負(fù)載開銷等指標(biāo)進(jìn)行了實(shí)驗(yàn)分析[7]。文獻(xiàn)[8]提出了一種利用虛擬機(jī)狀態(tài)識別攻擊方案，通過信息熵監(jiān)視虛擬機(jī)狀態(tài)，實(shí)驗(yàn)表明該方案能夠識別拒絕惡意用戶利用云資源發(fā)起的服務(wù)攻擊，且具有良好的實(shí)時性和準(zhǔn)確性[8]。文獻(xiàn)[9]提出了一種分布式拒絕服務(wù)攻擊緩解方案，該方案集成了一個可編程的網(wǎng)絡(luò)監(jiān)控，能夠?qū)阂夤暨M(jìn)行檢測，從而實(shí)現(xiàn)快速的入侵響應(yīng)[9]。文獻(xiàn)[10]將外部攻擊者和內(nèi)部用戶之間的信息交互模擬為開環(huán)的微分博弈模型，該模型為后續(xù)抵御內(nèi)部攻擊的防御方案設(shè)計提供了一定的理論基礎(chǔ)[10]。文獻(xiàn)[11]通過構(gòu)建入侵檢測防御系統(tǒng)進(jìn)行數(shù)據(jù)包綜合分析，提出了一種基于嵌入式馬爾可夫鏈模型，該模型在云網(wǎng)絡(luò)安全服務(wù)的防御性和檢測性方面取得了一定的成效[11]。文獻(xiàn)[12]基于博弈理論提出了一種位置隱私系統(tǒng)，通過對網(wǎng)絡(luò)中用戶移動行為的分析研究，實(shí)現(xiàn)在最小化開銷的同時最大化用戶的位置隱私水平，從而提高云網(wǎng)絡(luò)服務(wù)的安全性[12]。文獻(xiàn)[13]提出了一種輕量級安全可持續(xù)負(fù)載均衡算法，利用該算法能夠高效地找出低負(fù)載目標(biāo)邊緣數(shù)據(jù)中心，進(jìn)而通過低負(fù)載中心的檢測驗(yàn)證來避免外部攻擊[13]。文獻(xiàn)[14]提出了一種拒絕服務(wù)攻擊的安全防御模型，該模型通過多接入邊緣計算技術(shù)來處理來自終端設(shè)備的可疑流量，利用生成的本地化防御策略實(shí)現(xiàn)拒絕服務(wù)攻擊[14]。文獻(xiàn)[15]針對攻擊者惡意破壞數(shù)據(jù)包轉(zhuǎn)發(fā)問題提出了一種集中檢測模型，利用分組丟棄概率的方法監(jiān)控下行鏈路信道，該模型不需要對任何數(shù)據(jù)進(jìn)行訓(xùn)練，能夠有效緩解系統(tǒng)資源的額外損耗[15]。文獻(xiàn)[16]提出了一種基于馬爾可夫博弈的安全模型，利用馬爾可夫鏈模擬數(shù)據(jù)交互的變化過程，并通過構(gòu)造效用函數(shù)分析各類參數(shù)對數(shù)據(jù)用戶選擇最優(yōu)保護(hù)策略的影響，從而提高網(wǎng)絡(luò)中用戶數(shù)據(jù)的安全性[16]。

綜合上述研究，在邊緣計算中確實(shí)存在著一系列安全入侵問題，并且現(xiàn)有研究大多基于傳統(tǒng)算法，缺少對邊緣節(jié)點(diǎn)資源受限和邊緣網(wǎng)絡(luò)復(fù)雜性高等特點(diǎn)的考慮，因此本文結(jié)合邊緣計算網(wǎng)絡(luò)和邊緣數(shù)據(jù)中心的特點(diǎn)及其面臨的安全威脅，設(shè)計一種高效的入侵檢測模型和適用于邊緣計算網(wǎng)絡(luò)的入侵檢測算法。

2 模型構(gòu)建

與傳統(tǒng)網(wǎng)絡(luò)相比，邊緣計算網(wǎng)絡(luò)具有分布式、異構(gòu)性和節(jié)點(diǎn)資源受限等特點(diǎn)，邊緣計算網(wǎng)絡(luò)中的邊緣節(jié)點(diǎn)和云服務(wù)器都很容易受到大量異構(gòu)設(shè)備接入帶來的安全威脅。設(shè)計構(gòu)建邊緣計算入侵檢測系統(tǒng)的目的是實(shí)時監(jiān)控邊緣計算網(wǎng)絡(luò)、終端設(shè)備行為和邊緣節(jié)點(diǎn)狀態(tài)等，并檢測分析邊緣網(wǎng)絡(luò)中外部攻擊者的入侵企圖、內(nèi)部用戶的越權(quán)行為和系統(tǒng)網(wǎng)絡(luò)的安全缺陷，并根據(jù)檢測結(jié)果進(jìn)行合理的入侵響應(yīng)和統(tǒng)計管理。系統(tǒng)功能特點(diǎn)包括數(shù)據(jù)采集分析、實(shí)時監(jiān)控管理、智能動態(tài)響應(yīng)、優(yōu)化資源分配、操作簡單和維護(hù)便捷等。針對邊緣計算特殊的網(wǎng)絡(luò)結(jié)構(gòu)，為了確保邊緣計算的安全性和網(wǎng)絡(luò)服務(wù)的高效性，結(jié)合邊緣計算的特點(diǎn)研究構(gòu)建一種通用入侵防御系統(tǒng)模型，如圖1所示，該模型根據(jù)邊緣計算網(wǎng)絡(luò)系統(tǒng)的入侵防御特點(diǎn)、功能及流程分為六層，按照邊緣網(wǎng)絡(luò)數(shù)據(jù)流向依次是物理層、網(wǎng)絡(luò)層、數(shù)據(jù)層、檢測層、分析層和管理層，系統(tǒng)功能模塊包括捕獲數(shù)據(jù)包、數(shù)據(jù)清洗過濾、入侵檢測、信息分析與知識挖掘、入侵響應(yīng)策略、存儲與通信、數(shù)據(jù)統(tǒng)計等。

圖1 邊緣計算入侵防御系統(tǒng)模型

2.1 物理層

物理層包括接入邊緣計算網(wǎng)絡(luò)的各種用戶智能設(shè)備或移動終端，這些具有多元性和異構(gòu)性的用戶設(shè)備只享受系統(tǒng)服務(wù)，它們之間并不互相提供服務(wù)。這些設(shè)備包括智能手機(jī)、掌上電腦、個人PC、智能穿戴、智能家電、無人機(jī)、傳感器和車聯(lián)網(wǎng)中的車載設(shè)備等。由于邊緣計算物理層的異構(gòu)性特點(diǎn)，這些設(shè)備會通過各自不同的網(wǎng)絡(luò)協(xié)議接入到系統(tǒng)中的邊緣節(jié)點(diǎn)。物理層是邊緣計算系統(tǒng)網(wǎng)絡(luò)中一切數(shù)據(jù)的源頭，而在物理層中的大量用戶設(shè)備又無法區(qū)分其合法性，因此邊緣計算網(wǎng)絡(luò)所面臨的安全威脅絕大部分都來自于物理層。

2.2 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層的作用是為不同的邊緣計算網(wǎng)絡(luò)協(xié)議提供通信鏈接服務(wù)，該層負(fù)責(zé)接收從物理層傳輸過來的數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行封包和傳輸處理。網(wǎng)絡(luò)層突出體現(xiàn)了邊緣計算網(wǎng)絡(luò)異構(gòu)性和融合性的特點(diǎn)，邊緣節(jié)點(diǎn)能夠?qū)崿F(xiàn)物理層異構(gòu)的用戶設(shè)備連接，原因就在于對多種通信協(xié)議的鏈接支持。邊緣計算網(wǎng)絡(luò)支持的協(xié)議有Wifi、5 G、ZigBee、藍(lán)牙以及M2M和以太網(wǎng)協(xié)議等。

2.3 數(shù)據(jù)層

數(shù)據(jù)層的作用是進(jìn)行數(shù)據(jù)采集和處理。數(shù)據(jù)有來自物理層各類設(shè)備產(chǎn)生的數(shù)據(jù)，其中既有合法用戶數(shù)據(jù)也有非法用戶數(shù)據(jù)，還有網(wǎng)絡(luò)層產(chǎn)生的數(shù)據(jù)，包括通信協(xié)議、設(shè)備連接信息和活動狀態(tài)等。該層主要完成數(shù)據(jù)的采集、存儲、清洗、過濾和預(yù)處理等。該層是入侵檢測的首要層，各項(xiàng)功能主要在邊緣節(jié)點(diǎn)中完成，邊緣節(jié)點(diǎn)由資源受限的服務(wù)器或設(shè)備組成，本地能夠存儲和處理數(shù)據(jù)，是最接近物理層的服務(wù)節(jié)點(diǎn)，在與云服務(wù)器通信時，邊緣節(jié)點(diǎn)不用將采集數(shù)據(jù)全部傳輸給云，只要將本地處理后的數(shù)據(jù)按需上傳即可。

2.4 檢測層

檢測層是入侵檢測的核心層，檢測層的任務(wù)也在邊緣節(jié)點(diǎn)中完成的。數(shù)據(jù)層采集到的數(shù)據(jù)在系列處理之后數(shù)據(jù)量極大，而且這些海量數(shù)據(jù)多數(shù)屬于正常數(shù)據(jù)，只有極少數(shù)數(shù)據(jù)是表征非法入侵行為發(fā)生的異常數(shù)據(jù)。檢測層的功能就是通過數(shù)據(jù)分類檢測從海量數(shù)據(jù)中找到這樣的異常數(shù)據(jù)。在邊緣節(jié)點(diǎn)中檢測層會對預(yù)處理的物理層終端設(shè)備和網(wǎng)絡(luò)層連接數(shù)據(jù)進(jìn)行檢測，利用入侵檢測算法對數(shù)據(jù)進(jìn)行分析判斷；并對邊緣節(jié)點(diǎn)的主機(jī)狀態(tài)進(jìn)行監(jiān)控；對網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議和日志進(jìn)行記錄管理；定時向云服務(wù)器發(fā)送檢測結(jié)果和日志記錄。

2.5 分析層

分析層位于系統(tǒng)云服務(wù)器，任務(wù)是分析來自邊緣節(jié)點(diǎn)檢測層的處理結(jié)果和日志記錄數(shù)據(jù)，將結(jié)果信息進(jìn)行數(shù)據(jù)挖掘并生成應(yīng)用服務(wù)。分析層對所有連接的邊緣節(jié)點(diǎn)進(jìn)行安全狀態(tài)監(jiān)控和異常狀態(tài)分析，生成并存儲每個邊緣節(jié)點(diǎn)的安全/異常狀態(tài)分析報告，一旦發(fā)現(xiàn)有異常狀態(tài)的邊緣節(jié)點(diǎn)，就對此類邊緣節(jié)點(diǎn)數(shù)據(jù)展開追蹤。

2.6 管理層

管理層也位于系統(tǒng)云服務(wù)器，該層的任務(wù)是對分析層生成的應(yīng)用服務(wù)進(jìn)行有效實(shí)施和對處于異常狀態(tài)的邊緣節(jié)點(diǎn)實(shí)時響應(yīng)。該層的主要功能模塊有監(jiān)控管理、入侵響應(yīng)策略、存儲與通信管理、統(tǒng)計管理等，能夠?qū)崿F(xiàn)對邊緣節(jié)點(diǎn)異常狀態(tài)的統(tǒng)一監(jiān)控和管理，計算邊緣節(jié)點(diǎn)異常狀態(tài)，根據(jù)分析結(jié)果實(shí)時自動響應(yīng)追蹤策略，對異常邊緣節(jié)點(diǎn)信息和日志進(jìn)行存儲和管理，對非法入侵行為進(jìn)行證據(jù)記錄和追蹤溯源。

3 算法設(shè)計

3.1 入侵檢測方案

邊緣計算中的入侵行為就是邊緣計算網(wǎng)絡(luò)中一切可能危害到數(shù)據(jù)機(jī)密性、真實(shí)性或系統(tǒng)可控性、可靠性的行為。結(jié)合上述入侵防御系統(tǒng)的六層架構(gòu)，邊緣計算中的非法入侵行為主要來自物理層，包括端口掃描、拒絕服務(wù)、本地未授權(quán)用戶訪問和遠(yuǎn)程未授權(quán)用戶訪問等入侵威脅。因此邊緣計算中的入侵檢測主要就是在邊緣節(jié)點(diǎn)中對捕獲的物理層數(shù)據(jù)進(jìn)行處理、分析和檢測。

入侵檢測的核心問題是入侵檢測分類算法，由于邊緣節(jié)點(diǎn)的地理分布式、網(wǎng)絡(luò)異構(gòu)性和資源受限等特點(diǎn)，傳統(tǒng)的入侵檢測算法并不適合直接部署，為了合理利用邊緣計算系統(tǒng)資源、有效地執(zhí)行入侵檢測任務(wù)，本節(jié)設(shè)計了一種云服務(wù)器與邊緣節(jié)點(diǎn)協(xié)同合作的入侵檢測方案，更好地提高入侵檢測的可用性、準(zhǔn)確性和高效性。

該方案考慮到邊緣節(jié)點(diǎn)也具備一定的計算能力和存儲能力，所以在邊緣節(jié)點(diǎn)中部署非法入侵檢測分類器，而數(shù)據(jù)量較大的總訓(xùn)練樣本則存儲在計算和存儲能力強(qiáng)大的云服務(wù)器中，同時云服務(wù)器還存儲了訓(xùn)練集數(shù)據(jù)的篩選規(guī)則，云服務(wù)器把樣本按規(guī)則選擇出的結(jié)果交給邊緣節(jié)點(diǎn)訓(xùn)練。從而綜合云服務(wù)器和邊緣節(jié)點(diǎn)的計算存儲協(xié)作完成對非法入侵的異常檢測。這樣能夠確保邊緣節(jié)點(diǎn)獲得的數(shù)據(jù)更符合本地特性，能夠更有效地提高系統(tǒng)檢測能力。

該方案主要流程如圖2所示。首先物理層的各種異構(gòu)終端設(shè)備通過各自的網(wǎng)絡(luò)協(xié)議接入到邊緣計算網(wǎng)絡(luò)；然后系統(tǒng)云服務(wù)器對總訓(xùn)練數(shù)據(jù)樣本集進(jìn)行存儲管理，并按照樣本篩選規(guī)則進(jìn)行樣本選擇；之后云服務(wù)器將篩選后的訓(xùn)練樣本集分發(fā)給邊緣節(jié)點(diǎn)進(jìn)行本地存儲；各邊緣節(jié)點(diǎn)再針對存儲的訓(xùn)練集執(zhí)行入侵檢測的訓(xùn)練過程；最后在邊緣節(jié)點(diǎn)上完成非法入侵行為的檢測，并記錄安全日志存儲在該邊緣節(jié)點(diǎn)中。

圖2 邊緣計算入侵檢測流程

該方案充分利用了邊緣計算中云服務(wù)器和邊緣節(jié)點(diǎn)資源，通過各自在入侵檢測的訓(xùn)練過程和檢測過程承擔(dān)不同職能進(jìn)行分工協(xié)作，能夠有效提高系統(tǒng)資源利用率、降低網(wǎng)絡(luò)中的通信開銷、減少云服務(wù)器計算負(fù)載，通過安全日志分存也能有效降低系統(tǒng)風(fēng)險。

3.2 入侵檢測算法

在上述云服務(wù)器與邊緣節(jié)點(diǎn)協(xié)同合作的入侵檢測方案中，邊緣節(jié)點(diǎn)需要在本地部署入侵檢測算法以完成入侵檢測任務(wù)。考慮到邊緣計算復(fù)雜的網(wǎng)絡(luò)環(huán)境和大規(guī)模異構(gòu)用戶設(shè)備的動態(tài)威脅，必須通過靈活動態(tài)的訓(xùn)練數(shù)據(jù)集進(jìn)行合理有效地實(shí)時數(shù)據(jù)訓(xùn)練。同時考慮到邊緣節(jié)點(diǎn)資源受限的特點(diǎn)，現(xiàn)有的諸多入侵檢測算法訓(xùn)練時間又過長，亟需設(shè)計一種適合邊緣節(jié)點(diǎn)應(yīng)用的準(zhǔn)確率高、訓(xùn)練時間短、魯棒性好的輕量級入侵檢測算法[17]。ELM(極限學(xué)習(xí)機(jī))算法求解直接，僅需求解輸出權(quán)重，其學(xué)習(xí)過程易于在全局極小值收斂，該算法具有簡單易用、訓(xùn)練參數(shù)少、學(xué)習(xí)速度快、泛化性能強(qiáng)等優(yōu)點(diǎn)，非常適用于邊緣計算中的入侵檢測。

3.2.1 傳統(tǒng)ELM算法

ELM算法是2004年由南洋理工大學(xué)的Guang-bin Huang等提出的，最初ELM是為監(jiān)督學(xué)習(xí)問題設(shè)計的[18]，但之后其應(yīng)用范圍不斷推廣，還包括以聚類為代表的非監(jiān)督學(xué)習(xí)以及具有表征學(xué)習(xí)能力的變體和改進(jìn)算法等。ELM算法比傳統(tǒng)BP(反向傳播)算法的學(xué)習(xí)模式更加簡單有效，學(xué)習(xí)速度也更快，相比傳統(tǒng)的ANN(人工神經(jīng)網(wǎng)絡(luò))也更方便和實(shí)用。

(1)

其中:ai為輸入層和隱藏層第i個神經(jīng)元之間的內(nèi)權(quán)向量，bi為第i個神經(jīng)元之間的偏置，βi為連接網(wǎng)絡(luò)中第j個隱藏層和輸出層第i個神經(jīng)元之間的外權(quán)向量，G(ai,bi,x)為對應(yīng)樣本x第j個網(wǎng)絡(luò)隱藏層輸出的針對加法型的隱藏層節(jié)點(diǎn)，g(ai·x+bi)為隱藏層的激活函數(shù)。

(2)

寫成矩陣形式為：

Hβ=T

(3)

因?yàn)榇蟛糠謺r候隱藏層節(jié)點(diǎn)個數(shù)K都遠(yuǎn)遠(yuǎn)小于訓(xùn)練數(shù)據(jù)樣本的個數(shù)N，所以該神經(jīng)網(wǎng)絡(luò)以零誤差逼近訓(xùn)練樣本很難實(shí)現(xiàn)，會造成N個互異數(shù)據(jù)樣本的網(wǎng)絡(luò)輸出與實(shí)際輸出之間產(chǎn)生誤差。因此式(3)應(yīng)該改為：

Hβ=T+E

(4)

(5)

那么針對數(shù)據(jù)樣本的訓(xùn)練問題就可以轉(zhuǎn)化為求解平方損失函數(shù)的最小二乘解β，利用MoorePenrose廣義逆可以得出：

(6)

式中,H?表示隱藏層輸出矩陣H的廣義逆，可以用正交法計算求得。

3.2.2 改進(jìn)ELM算法(TSS-ELM)

為了減少邊緣節(jié)點(diǎn)的樣本訓(xùn)練時間，更好地適應(yīng)邊緣計算的異構(gòu)網(wǎng)絡(luò)環(huán)境和動態(tài)訓(xùn)練過程，本節(jié)設(shè)計一種改進(jìn)的訓(xùn)練樣本篩選-極限學(xué)習(xí)機(jī)算法(TSS-ELM)，該算法能夠根據(jù)每個邊緣節(jié)點(diǎn)的網(wǎng)絡(luò)特性和訓(xùn)練特點(diǎn)進(jìn)行數(shù)據(jù)樣本的選擇。TSS-ELM算法的特點(diǎn)是在云服務(wù)器中增加訓(xùn)練數(shù)據(jù)樣本的選擇過程，并在邊緣節(jié)點(diǎn)上通過算法部署進(jìn)行異常檢測和發(fā)現(xiàn)入侵。

TSS-ELM算法把網(wǎng)絡(luò)云服務(wù)器中存儲的總數(shù)據(jù)樣本集Sn分成兩部分，分別是為邊緣節(jié)點(diǎn)分配的訓(xùn)練樣本集:

(7)

和備選樣本集:

(8)

(9)

(10)

(11)

(12)

(13)

在TSS-ELM算法中網(wǎng)絡(luò)隱藏層激活函數(shù)采用Sigmoid變換函數(shù)：

(14)

TSS-ELM算法的詳細(xì)流程如圖3所示。

圖3 TSS-ELM算法流程圖

結(jié)合TSS-ELM算法流程能夠發(fā)現(xiàn)，云服務(wù)器在為邊緣節(jié)點(diǎn)選擇訓(xùn)練樣本的過程中，計算J(ai,bi,β)占用了絕大部分時間，因此如果設(shè)t(J)為求解J(ai,bi,β)的平均時間，同時設(shè)云服務(wù)器與邊緣節(jié)點(diǎn)數(shù)據(jù)傳輸延遲為t'，t'遠(yuǎn)遠(yuǎn)小于t(J)，則邊緣節(jié)點(diǎn)學(xué)習(xí)時間t滿足：

t≈nK·t(J)

(15)

4 實(shí)驗(yàn)分析

4.1 實(shí)驗(yàn)環(huán)境及數(shù)據(jù)集

實(shí)驗(yàn)環(huán)境：操作系統(tǒng)采用Windows10 64位，CPU采用Intel core i7-77003(3.6 GHz)，內(nèi)存采用16 GB DDR，算法實(shí)現(xiàn)程序采用Matlab。

實(shí)驗(yàn)采用KDD CUP99數(shù)據(jù)集進(jìn)行仿真測試，KDD CUP99是模擬美國空軍局域網(wǎng)的網(wǎng)絡(luò)環(huán)境建立的網(wǎng)絡(luò)測試數(shù)據(jù)集合，已經(jīng)被廣泛應(yīng)用在各類網(wǎng)絡(luò)入侵檢測實(shí)驗(yàn)中[19]。KDD CUP99異常類型分為四類，包括39種攻擊類型，其中訓(xùn)練集中有22種，測試集中有17種。KDD CUP99對每一條網(wǎng)絡(luò)連接記錄收集41個字段，包括TCP連接基本特征、TCP連接內(nèi)容特征、網(wǎng)絡(luò)流量時間統(tǒng)計特征和網(wǎng)絡(luò)流量主機(jī)統(tǒng)計特征等。每一條連接記錄同時存在符號特征和離散特征，需要進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化預(yù)處理，即將類別特征轉(zhuǎn)化為度量特征，再對度量特征進(jìn)行歸一化處理，本實(shí)驗(yàn)中所有記錄的度量特征值統(tǒng)一在[0，1]范圍，從而更利于各種有監(jiān)督學(xué)習(xí)器對邊緣網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行學(xué)習(xí)和預(yù)測。

4.2 實(shí)驗(yàn)結(jié)果與對比分析

4.2.1 準(zhǔn)確率分析

通過仿真實(shí)驗(yàn)針對本文提出的TSS-ELM算法與傳統(tǒng)ELM算法、BP神經(jīng)網(wǎng)絡(luò)、SVM算法和CVM-ELM算法[20]分別作為部署在邊緣計算環(huán)境中的入侵檢測算法進(jìn)行對比。設(shè)置BP學(xué)習(xí)速率lr=0.06，動量項(xiàng)系數(shù)mc=0.9，最大迭代次數(shù)epochs=5000，goal=0.0001；SVM核函數(shù)為RBF，gamma=0.005，C=10。在KDD CUP99數(shù)據(jù)集中抽取數(shù)據(jù)，總訓(xùn)練數(shù)據(jù)樣本20 000條，測試數(shù)據(jù)樣本10 000條。

由圖4的仿真實(shí)驗(yàn)結(jié)果可以看出，隨著訓(xùn)練集數(shù)據(jù)量的增加，相比于其他4種入侵檢測算法，TSS-ELM表現(xiàn)出較高的準(zhǔn)確率。分析其原因主要有3個方面：1)傳統(tǒng)的機(jī)器學(xué)習(xí)算法不考慮輸出權(quán)重大小，主要目的是達(dá)到最小訓(xùn)練誤差，是基于梯度下降的，而TSS-ELM既達(dá)到最小訓(xùn)練誤差，又達(dá)到最小權(quán)重范數(shù)；2)TSS-ELM與傳統(tǒng)機(jī)器學(xué)習(xí)算法相比不存在訓(xùn)練的過度擬合現(xiàn)象，也不存在求解過程的局部最小值問題，不存在學(xué)習(xí)重復(fù)率過高的問題；3)TSS-ELM訓(xùn)練樣本的篩選過程會使每個邊緣節(jié)點(diǎn)獲得更適于訓(xùn)練的最優(yōu)外部權(quán)重，從而能夠有效提高分類入侵檢測的準(zhǔn)確率。

圖4 算法準(zhǔn)確率比較

4.2.2 訓(xùn)練時間分析

由于BP神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時間過長，是其他算法的幾十倍，因此在圖5的仿真實(shí)驗(yàn)結(jié)果中不進(jìn)行表示比較。由圖5可以看出，本文提出的TSS-ELM的訓(xùn)練時間比SVM算法和CVM-ELM算法快得多，但比傳統(tǒng)ELM算法略慢。究其原因主要是TSS-ELM比傳統(tǒng)ELM多了一個的樣本篩選的過程，但仔細(xì)對比圖5所示訓(xùn)練過程，TSS-ELM相比ELM的時間差異比較小，完全在可接受的范圍內(nèi)，因此TSS-ELM在入侵檢測的訓(xùn)練時間方面也有較好的性能表現(xiàn)。

圖5 算法訓(xùn)練時間比較

4.2.3 魯棒性分析

考慮到邊緣計算網(wǎng)絡(luò)的高動態(tài)性，利用KDD CUP99數(shù)據(jù)集模擬一個動態(tài)網(wǎng)絡(luò)環(huán)境來分析TSS-ELM算法的魯棒性，即分析TSS-ELM對時間統(tǒng)計的依賴性。因?yàn)橄到y(tǒng)物理層的原始數(shù)據(jù)未經(jīng)處理是無法根據(jù)時間統(tǒng)計進(jìn)行采集的，為了更準(zhǔn)確地仿真TSS-ELM算法的有效實(shí)現(xiàn)，剔除KDD CUP99數(shù)據(jù)集中的8個基于時間的統(tǒng)計參數(shù)，即字段24～31。由圖5的仿真實(shí)驗(yàn)結(jié)果可以看出，剔除訓(xùn)練數(shù)據(jù)的時間統(tǒng)計參數(shù)后，TSS-ELM算法的準(zhǔn)確率幾乎沒有影響，而其他4種算法的檢測精度都有不同程度的降低。因此TSS-ELM對時間統(tǒng)計屬性的依賴性最小，適用于高實(shí)時性和高動態(tài)性的網(wǎng)絡(luò)環(huán)境。

4.2.4 誤報率分析

通過分析各種入侵檢測算法的ROC曲線來對比誤報率，在圖6的仿真實(shí)驗(yàn)結(jié)果中，橫坐標(biāo)軸是假陽性率即誤報率，縱坐標(biāo)軸是真陽性率即準(zhǔn)確率，由于ROC曲線向下與坐標(biāo)軸圍成的面積越大算法表現(xiàn)越優(yōu)秀，因此，TSS-ELM在入侵檢測的誤報率方面明顯優(yōu)于ELM、SVM和CVM-ELM。

圖6 算法魯棒性比較

圖7 算法ROC曲線比較

5 結(jié)束語

針對邊緣計算網(wǎng)絡(luò)環(huán)境復(fù)雜、資源受限和高動態(tài)性等特點(diǎn)，分析了邊緣計算中邊緣節(jié)點(diǎn)、云服務(wù)器等易受到非法入侵的安全問題，完成了邊緣計算入侵防御系統(tǒng)架構(gòu)設(shè)計，并在此基礎(chǔ)上提出了一種結(jié)合樣本篩選改進(jìn)極限學(xué)習(xí)機(jī)的TSS-ELM算法。仿真實(shí)驗(yàn)結(jié)果表明，與BP、ELM、SVM和CVM-ELM算法相比，TSS-ELM算法在準(zhǔn)確性、時間依賴性、魯棒性和誤報率等方面均表現(xiàn)出優(yōu)異的性能，是一種適用于邊緣計算環(huán)境下應(yīng)用的入侵檢測算法。下一步工作將在此方案的基礎(chǔ)上研究入侵響應(yīng)策略，使邊緣計算入侵防御系統(tǒng)能夠有效應(yīng)對檢測到的入侵行為。