劉濤 李思鑒 孫文龍 伍少成

（深圳供電局有限公司 廣東省深圳市 518000）

1 引言

隨著物聯(lián)網(wǎng)愈加智能化，增加了計算機、傳感器、建筑物、社區(qū)等領域的創(chuàng)新。物聯(lián)網(wǎng)設備也廣泛應于不同領域，產(chǎn)生了用于家庭、教育、醫(yī)療、農(nóng)業(yè)、軍事和商業(yè)的各種計算設備和通信技術[1]。個人在物聯(lián)網(wǎng)環(huán)境中通過互聯(lián)網(wǎng)與現(xiàn)實世界的應用程序進行交互，簡化了人們的生活與生產(chǎn)方式。此外，物聯(lián)網(wǎng)通過信息傳感設備按約定的協(xié)議，將任何物體與網(wǎng)絡相連接，用于信息交換。不同領域的設備導致了多種通信標準、設備和協(xié)議的產(chǎn)生[2]。

嵌入式系統(tǒng)中包含多個傳感器，允許它們遠程收集物理設備的實時數(shù)據(jù)。從設備獲取的數(shù)據(jù)可以用于創(chuàng)建智能決策算法并有效管理物聯(lián)網(wǎng)設置。然而廣泛使用的現(xiàn)實世界設備與互聯(lián)網(wǎng)的鏈接往往會引發(fā)有關網(wǎng)絡安全威脅的問題，進而危及到物聯(lián)網(wǎng)用戶，甚至會影響包括網(wǎng)絡、應用、社交平臺以及服務器在內(nèi)的完整生態(tài)系統(tǒng)[3]。2019年360發(fā)布《典型IoT設備網(wǎng)絡安全分析報告》稱“未來幾年物聯(lián)網(wǎng)設備漏洞將高于整體漏洞 14.7%”[3]，保護物聯(lián)網(wǎng)設備的安全得到了越來越多的關注，保護系統(tǒng)必須針對物聯(lián)網(wǎng)架構的重大攻擊衡量物理安全和網(wǎng)絡安全，還需要對網(wǎng)絡保護進行徹底分析[4]。由于資源受限，傳統(tǒng)的入侵檢測技術對于物聯(lián)網(wǎng)來說不夠安全，大多數(shù)入侵檢測系統(tǒng)需要相當大的計算能力和存儲空間。因此，有必要為物聯(lián)網(wǎng)設備設計和構建智能入侵檢測技術，以保護其免受受損物聯(lián)網(wǎng)設備的攻擊。

物聯(lián)網(wǎng)的多樣性與異構性使得其系統(tǒng)面臨著與傳統(tǒng)計算機系統(tǒng)不同的安全漏洞。越來越多的物聯(lián)網(wǎng)設備連接至無線網(wǎng)絡，整個網(wǎng)絡的隱私和安全可能會受到更多威脅。首先，物聯(lián)網(wǎng)系統(tǒng)在設備、平臺、通信方法和協(xié)議方面差異很大。其次，物聯(lián)網(wǎng)系統(tǒng)由互聯(lián)網(wǎng)連接組件和控制設備組成，使用不安全或過時的組件可能會導致設備的安全性完全受損。再次，物聯(lián)網(wǎng)設備缺乏安全的更新機制，如果一臺設備更新過程出現(xiàn)問題，就可能成為惡意攻擊的受害者。最后，物聯(lián)網(wǎng)系統(tǒng)或其組成部分將受到物理危害。此外，由于資源有限，在物聯(lián)網(wǎng)設備上實施復雜的安全機制和軟件通常很困難。因此，傳統(tǒng)的系統(tǒng)安全技術已不適用于新的物聯(lián)網(wǎng)環(huán)境。

對此，研究者提出了幾種解決方案，通過識別物聯(lián)網(wǎng)系統(tǒng)中的異常情況，使用機器學習和深度學習技術來緩解網(wǎng)絡攻擊。由于基于機器學習的入侵檢測技術涉及到大量的數(shù)學公式運算，深度學習由于其強大的自主特征學習能力而受到物聯(lián)網(wǎng)安全技術研究人員的青睞。深度學習技術已被證明是模式匹配的最佳方法，可以將任何物聯(lián)網(wǎng)環(huán)境輸入檢測為真實或無效請求。這些入侵檢測系統(tǒng)，從數(shù)據(jù)源上，可分為基于主機[2]的入侵檢測與基于網(wǎng)絡[3]的入侵檢測；從體系結構上，可分為集中式入侵檢測系統(tǒng)[4]與分布式入侵檢測系統(tǒng)[5]；從檢測方法上，可分為基于誤用[9]的檢測技術與基于異常[6]的檢測技術。基于異常的檢測方法首先確定何為正常，即正常行為的特征，然后用定量的方法描述，當用戶行為活動異于正常操作時，則被定義為攻擊行為。如基于數(shù)據(jù)挖掘的異常檢測方法[7]、基于特征選擇的異常檢測方法[9]、基于建模的異常檢測方法[9]等?；诋惓５臋z測方法側重于發(fā)現(xiàn)哪些模式是正常的或異常的，使用這種方法檢測入侵的優(yōu)勢在于識別新的入侵可能，劣勢則是容易出現(xiàn)誤報。研究人員嘗試將機器學習技術與基于異常的入侵檢測方法相結合，機器學習善于從大量的歷史數(shù)據(jù)中挖掘出其中隱含的規(guī)律，能夠讓基于異常的檢測方法取得更好的決策能力。因為在同一方案中采用不同的識別方法，可以消除單個進程的漏洞，并增強了整個物聯(lián)網(wǎng)系統(tǒng)的可靠性。

作為機器學習領域中一個全新的研究方向，深度學習（Deep Learning,DL）模擬人腦進行分析學習的神經(jīng)網(wǎng)絡，可根據(jù)要解決的問題自動構建模型，而不是用于特定任務。DL包含多個隱藏層的人工神經(jīng)網(wǎng)絡的應用。本文提出一種基于深度分析模型的物聯(lián)網(wǎng)異常入侵檢測模型用于流量異常檢測任務。該方法通過深度遷移學習方法在微調(diào)網(wǎng)絡的同時自動注釋未標記數(shù)據(jù)集，文中基于ToN-IoT數(shù)據(jù)集的四個數(shù)據(jù)集進行入侵檢測實驗。其試驗結果表明本文所提的入侵檢測系統(tǒng)實現(xiàn)了99.7%的準確率，且在精密度、召回率、F1評分等指標上也取得了不錯的成績。

2 入侵檢測系統(tǒng)

研究人員將入侵檢測系統(tǒng)（Intrusion Detection System,IDS）引入物聯(lián)網(wǎng)安全領域，并成為保障物聯(lián)網(wǎng)安全的關鍵技術。IDS作為一種積極主動的防御技術，收集網(wǎng)絡中各區(qū)域和節(jié)點信息，利用軟硬件結合的方式監(jiān)控網(wǎng)絡，捕獲攻擊信息、攻擊行為并發(fā)出警報，從而保護系統(tǒng)資源的完整性、私密性和可用性（如圖1所示）。張[10]針對網(wǎng)絡流量數(shù)據(jù)的時空雙重特性,提出了融合卷積神經(jīng)網(wǎng)絡和循環(huán)神經(jīng)網(wǎng)絡的入侵檢測模型—CNN-LSTM-IDS，CNN用于學習流量數(shù)據(jù)的空間特征，然后特征輸入到LSTM中用于學習流量數(shù)據(jù)的時序特征，實驗表明混合結構模型的性能比單獨模型有所提高。Otoum Yazan等人[11]提出了一種新的基于深度學習的入侵檢測系統(tǒng)（DL-IDS），用于檢測物聯(lián)網(wǎng)環(huán)境中的安全威脅。李等人[12]提出了一種基于深度強化學習算法近端策略優(yōu)化（Proximal Policy Optimization 2.0,PPO2）的工業(yè)物聯(lián)網(wǎng)入侵檢測系統(tǒng)。將深度學習的感知能力和強化學習的決策能力相結合，實現(xiàn)對工業(yè)物聯(lián)網(wǎng)多種類型網(wǎng)絡攻擊的有效檢測。K.Maseer等人[13]提出了一種新的混合加權深度信念網(wǎng)絡（HW-DBN）算法，用于構建高效可靠的入侵檢測模型，以檢測現(xiàn)有和新的網(wǎng)絡攻擊，對web攻擊和機器人攻擊場景均實現(xiàn)了99%以上的檢測精度。

圖1：入侵檢測系統(tǒng)IDS工作示意圖

2.1 物聯(lián)網(wǎng)安全原則

本文決心在物聯(lián)網(wǎng)環(huán)境中尋找到了解物聯(lián)網(wǎng)應用的各種場景和漏洞的技術，建立一個有效的物聯(lián)網(wǎng)安全系統(tǒng)。此外，在加強有效物聯(lián)網(wǎng)安全策略的同時，應衡量以下基本安全原則。

保密性：這是物聯(lián)網(wǎng)網(wǎng)絡保護的一個基本要素。為了保護物聯(lián)網(wǎng)設備處理的數(shù)據(jù)的機密性，各種物聯(lián)網(wǎng)安全解決方案中通常使用傳統(tǒng)的密碼原語。

完整性：跨物聯(lián)網(wǎng)設備的數(shù)據(jù)通常通過遠程通信進行移動，必須以真正的方式進行更改。在這種方法中，當確保有一個強大的監(jiān)控工具來識別在圍繞不可信的遠程系統(tǒng)通信期間的任何修改時，可靠性是一個主要問題。

認證：物聯(lián)網(wǎng)架構需要一種健壯的認證機制，該機制因框架而異以提供強大的保護。因此，在創(chuàng)建認證設計時，權衡是一個重大挑戰(zhàn)，例如在設計認證計劃時考慮物聯(lián)網(wǎng)使用的安全和安保方面。

授權：授權為物聯(lián)網(wǎng)框架的客戶端提供特權。因此，客戶端可以利用通過計算設備收集的人員、系統(tǒng)或管理信息。因而可根據(jù)所涉及的人員、組件、設備和電力資源來維護安全。

可用性：物聯(lián)網(wǎng)框架應始終可供授權用戶用于管理和通信任務。可用性是物聯(lián)網(wǎng)框架有效組織的關鍵組成部分。物聯(lián)網(wǎng)設備可因幾種威脅變得不可用。因此，確保物聯(lián)網(wǎng)處理對其用戶的持續(xù)可用性是物聯(lián)網(wǎng)安全的一個基本要素。

2.2 物聯(lián)網(wǎng)安全威脅

安全攻擊可以分為真實攻擊和虛擬攻擊。因此，對互聯(lián)網(wǎng)的攻擊也可以分為被動攻擊和主動攻擊。

2.2.1 被動攻擊

攻擊者通常隱藏自己，通過觀察通信線路來收集來自設備、設備所有者或兩者的信息，從而引發(fā)潛在風險。被動攻擊觀察和監(jiān)控信息，將其用于特定目標。這類攻擊不會影響設備器資產(chǎn)，數(shù)據(jù)不會受到影響。用戶無法看到被動攻擊的存在，因為它是秘密執(zhí)行的。這類攻擊目的是獲取數(shù)據(jù)或檢查設備的漏洞。最常見的被動攻擊是竊聽，它在兩臺設備之間通過互聯(lián)網(wǎng)進行通信時截取信息，并用于流量分析，以獲取網(wǎng)絡流量信息供分析。此外，由于物聯(lián)網(wǎng)環(huán)境中不確定工具的指數(shù)互連產(chǎn)生一些威脅。這些是基于無線傳感器網(wǎng)絡且特定于協(xié)議的，例如RPL（一種輕量級距離矢量路由協(xié)議）協(xié)議[14]。該路由協(xié)議能夠高效的利用智能設備的能量、計算資源，組建靈活的拓撲結構，實現(xiàn)數(shù)據(jù)路由。但由于物聯(lián)網(wǎng)設備的資源有限,導致RPL協(xié)議面臨許多的安全威脅。

2.2.2 主動攻擊

主動攻擊涉及巧妙竊聽通信路徑和修改或改變物聯(lián)網(wǎng)結構以控制系統(tǒng)資源。主動攻擊試圖破壞和中斷設備，用戶會收到關于攻擊的通知。這類攻擊將使其可用性和完整性面臨風險。與被動威脅相比，主動攻擊更難實現(xiàn)。拒絕服務攻擊（DoS）是可用于物聯(lián)網(wǎng)的主動威脅的常見示例。當入侵者控制關閉儀器時，就會發(fā)生DoS攻擊。這將阻止真實用戶檢索特定設備。相反，入侵者會向focus機器注入大量流量，直到它無法回復或崩潰。例如，緩沖區(qū)溢出會向機器發(fā)送越來越大的流量，超過緩沖區(qū)可以管理的閾值，從而導致系統(tǒng)崩潰。

還有網(wǎng)絡控制報文協(xié)議（Internet Control Message Protocol,ICMP）洪水攻擊，指當 ICMP 回應請求包過多以至超出了被攻擊者的最大限度，使被攻擊者耗盡所有資源來進行響應。ICMP對于用戶數(shù)據(jù)的傳遞起著重要的作用，受到干擾的服務通常包括在線銀行賬戶、網(wǎng)站或電子郵件。DoS威脅可以在任何地方毫不費力地進行。如前所述，大多數(shù)智能系統(tǒng)如醫(yī)療系統(tǒng)、交通系統(tǒng)、家庭、城市和可穿戴設備中使用的工具，都運行在低功耗和有損網(wǎng)絡上，這使得保障安全通信具有挑戰(zhàn)性，增加了被入侵和其他有害事物攻擊的風險。因此，物聯(lián)網(wǎng)需要安排檢測機制和安全通信系統(tǒng)，以支持其實用和有價值的執(zhí)行。

總之，物聯(lián)網(wǎng)設備中沒有什么是絕對安全的。這允許用戶在物聯(lián)網(wǎng)環(huán)境中輕松檢索其數(shù)據(jù)。盡管如此，它為入侵者檢索任何網(wǎng)段創(chuàng)造了一種不受保護的環(huán)境。圖2展示了物聯(lián)網(wǎng)環(huán)境中威脅的各個維度，包括網(wǎng)絡設備、云設備、傳感器、應用程序以及其它物聯(lián)網(wǎng)系統(tǒng)。用戶應注意所有物聯(lián)網(wǎng)設備的安全缺陷，以保護自己免受網(wǎng)絡威脅。已經(jīng)形成了幾種減少網(wǎng)絡威脅的方法和結構。例如，機器學習可以幫助檢測日志并對廣泛網(wǎng)絡上的攻擊進行分類。

圖2：物聯(lián)網(wǎng)環(huán)境的威脅維度

3 基于深度學習模型的IDS

3.1 研究目標

由于物聯(lián)網(wǎng)設備在互聯(lián)和相互依存的環(huán)境中運行，新的威脅不斷出現(xiàn)。此外，由于物聯(lián)網(wǎng)設備通常在無人值守的環(huán)境中運行，可能會遭到入侵者的惡意訪問。因為物聯(lián)網(wǎng)設備通常通過無線網(wǎng)絡鏈接，竊聽者可以從通信通道訪問私有信息。除了這些安全問題外，物聯(lián)網(wǎng)設備由于能量和處理能力有限，無法納入先進的安全功能。因此，應在物聯(lián)網(wǎng)網(wǎng)絡中建立額外的保護線，以保護基于物聯(lián)網(wǎng)的組織免受網(wǎng)絡威脅。深度學習技術最近在檢測網(wǎng)絡攻擊的流行應用中變得更加可靠。物聯(lián)網(wǎng)環(huán)境中訓練有素的系統(tǒng)將主要捕捉異常和正常行為?？梢酝ㄟ^注冊和檢查物聯(lián)網(wǎng)設備和網(wǎng)絡流量，以了解正常模式。在偏離正常模式的地方可以識別出異常行為。這些方法也經(jīng)過測試，可以預測新的威脅，并提供全面的物聯(lián)網(wǎng)設備和網(wǎng)絡安全協(xié)議。

3.2 實驗設置

入侵檢測系統(tǒng)主要在數(shù)據(jù)收集模塊和攻擊檢測分析模塊中包含攻擊證據(jù)。研究物聯(lián)網(wǎng)系統(tǒng)在數(shù)據(jù)收集模塊中的輸入數(shù)據(jù)，以發(fā)現(xiàn)在分析模塊中使用各種機器學習技術的交互行為。深度學習技術在不同領域取得了顯著的成就，并被證明是比傳統(tǒng)機器學習更好的選擇。此外，使用深度學習的入侵檢測系統(tǒng)取得了非常好的結果。基于深度學習的方法更具影響力，適用于流量分析，以確定物聯(lián)網(wǎng)環(huán)境中的正常和異常流量。此外，與以前的安全技術不同，深度學習技術可以智能地預測新的安全威脅。圖3顯示了在物聯(lián)網(wǎng)環(huán)境中使用深度學習模型的入侵檢測。

圖3：基于深度學習模型的IDS

3.2.1 數(shù)據(jù)集

本工作采用ToN-IoT數(shù)據(jù)集，該數(shù)據(jù)集可以在ToN-IoT存儲庫中檢索[15]。該數(shù)據(jù)集從物聯(lián)網(wǎng)設備遙測、操作系統(tǒng)日志和基于物聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡流量等各種來源收集數(shù)據(jù)。ToNIoT數(shù)據(jù)集使用正?；蚬魳撕炦M行分類，以進行二進制分類。攻擊子類型包括：Backdoor[16],DDoS,Injection,Normal,Password cracking[17],Scanning,Ransomware[18],XSS[19]（如表1所示）。本文選取了ToN-IoT數(shù)據(jù)集中的四個子數(shù)據(jù)集IoT_Weather,IoT_GPS_Tracker,IoT_Garage_Door,IoT_Thermostat進行研究。

表1：不同網(wǎng)絡攻擊說明

3.2.2 數(shù)據(jù)平衡

合成少數(shù)過采樣技術（Synthetic Minority Over-sampling Technique,SMOTE）[20]方法通常用于數(shù)據(jù)平衡。SMOTE的主要思想是通過合并仍然存在的各種少數(shù)群體案例來創(chuàng)建新的少數(shù)群體案例。首先，確定所有少數(shù)案例的k近鄰。然后，在少數(shù)案例及其k近鄰之間的位置上啟動少數(shù)案例，直到數(shù)據(jù)庫平衡。因此可以有效避免過擬合的問題。

3.2.3 分類器

該模型通過各種機器學習算法和深度學習模型進行評估：隨機森林、投票分類器（Voting Classfier）、人工神經(jīng)網(wǎng)絡（Artificial Neural Network,ANN）和1D-CNN。分類器訓練期間使用了以下參數(shù)：損失：交叉熵損失函數(shù)分類（用于ANN和CNN）；優(yōu)化器：Adam （用于ANN和CNN）；Dropout 率設為0.5（用于ANN和CNN）；批大小分別設為20（ANN）和128（CNN）；測試大小設為0.2（適用所有分類器）；樹的數(shù)量分別設置為1000 （隨機森林）and 500（絕對多數(shù)投票majority voting）。

3.2.4 評估標準

該模型的主要目的是根據(jù)以下結果對正常和異常攻擊進行分類，包括TP（被模型預測為正類的正樣本）、TN（被模型預測為負類的負樣本）、FP（被模型預測為正類的負樣本）和FN（被模型預測為負類的正樣本）四類，評估公式如公式（1）-（4）。此外，評估混淆矩陣以證明有多少數(shù)據(jù)被正確和錯誤分類。用于評估性能的指標包括精確率P、召回率R、準確率Acc和F1值。

4 實驗結果

實驗使用機器學習和深度學習模型在ToN-IoT數(shù)據(jù)集上進行。用于評估性能的指標包括精確率P、召回率R、準確率Acc和F1值。每個數(shù)據(jù)集通過不同分類器獲得的最好結果如表2所示。結果表明，對于IoT_Weather、IoT_Thermostat、IoT_GPS_Tracker和IoT_Garage_Door數(shù)據(jù)集，投票分類器達到了99.7%的最高精度。通過所用分類器對每個數(shù)據(jù)集獲得的精度如表3所示。隨機分類器實現(xiàn)了最大精度，即在物聯(lián)網(wǎng)遙測數(shù)據(jù)集的各種數(shù)據(jù)集上達到99.7%以上。

表2：不同數(shù)據(jù)集在分類器獲得的最好實驗結果

表3：通過所用分類器對每個數(shù)據(jù)集獲得的準確率

5 結論

本文提出了一個基于人工智能的入侵檢測模型，使用ToN-IoT數(shù)據(jù)集的四個數(shù)據(jù)集進行物聯(lián)網(wǎng)網(wǎng)絡的入侵檢測，并用準確率、精密度、召回率、F1評分等進行評估。該模型在其中三個數(shù)據(jù)集上（IoT_GPS_Tracker、IoT_Garage_Door、IoT_Thermostat）實現(xiàn)了99.7%以上的準確率（使用投票分類器），未來主要工作是開發(fā)一個安全物聯(lián)網(wǎng)傳感器的智能電網(wǎng)計量系統(tǒng)。