基于物聯網流量指紋的安全威脅輕量級檢測方法

趙研

（數字廣東網絡建設有限公司，廣東 廣州 510030）

0 引言

隨著智慧城市的快速發展，物聯網的作用日漸凸顯，從智能電網、智能樓宇、智能家居到車聯網、智慧醫療無不如此。為了進一步提升物聯網的適用性，很多廠商從接入設備多樣性和物聯網技術高適應性的角度出發，構建了物聯網異構融合、互聯互通的復雜網絡結構[1]。這種復雜的網絡結構需要解決一系列挑戰：海量的節點數量在數據接入和請求過程中極容易產生擁塞；作為一個更加開放的網絡，節點之間的組網方式極容易遭受網絡攻擊[2-4]；作為一種感知網絡，其傳輸層包含大量的感知信息和用戶隱私信息，常常成為被攻擊的對象[5]。為了解決上述問題，許多研究者從物聯網防護的角度出發，對威脅物聯網安全的攻擊行為進行多方面的研究，包括：采用模式識別方法識別惡意節點制造拒絕服務攻擊行為[6-7]；為了提升物聯網節點的安全，采用密碼技術和節點信任評價機制，提升物聯網系統的抗攻擊能力[8]；除了對節點本身進行評價外，研究者們綜合信息安全防護技術[9]、數據傳輸加密技術[10]、深度包檢測的數據處理技術[11]、入侵檢測技術[12-14]等機制，搭建網絡安全檢測模型。上述研究均需要用到大量的經驗數據，以及采用人工定義規則和分類的標準，而當物聯網出現新的攻擊手段，那么基于人工定義和大量經驗數據的安全檢測知識無法自動更新，因此也就無法動態適應物聯網復雜多變的環境。基于該問題，本文從流量異常檢測的角度出發，針對深度包檢測模式較為簡單固定的缺點，提出基于流量指紋的網絡安全威脅輕量級檢測方法。該方法在采集多設備流量數據的基礎上，采用數據重構的方法獲得整個物聯網網絡的流量時空數據；然后，采用深度學習的方法獲取流量數據的指紋——流量數據時空特征；最后，采用蟻群算法優化的BP神經網絡對流量數據時空特征進行識別，進而實現流量異常檢測。本文采用卷積神經網絡算法來獲取流量數據的指紋信息實現輕量級的安全威脅檢測，不需要額外增加監聽節點，不需要復雜的入侵檢測評估模型，能夠保證整個物聯網的正常工作。

1 物聯網安全威脅的定義與安全威脅檢測的思路

著名科技博客IoT Agenda將物聯網安全定義為“關注物聯網（IoT）中保護連接設備和網絡的技術領域”，物聯網安全包括數據安全、網絡安全以及節點安全，重點保護終端傳輸數據的安全性、私密性和準確度[15]。因此，基于IoT Agenda對物聯網安全的定義，可將物聯網安全歸集為數據安全威脅、網絡安全威脅以及節點安全威脅。

也有學者從物聯網攻擊目標特征、效果特征、攻擊方法維度和攻擊層等各維度列舉物聯網的安全威脅[16]。例如，從目標特征維度可將物聯網安全威脅分為：用戶接口平臺安全威脅、傳感器安全威脅、網絡服務安全威脅、云服務安全威脅、其他IoT系統安全威脅。從效果特征維度可將物聯網安全威脅分為：身份攻擊安全威脅、授權攻擊安全威脅、完整性攻擊安全威脅、可訪問性攻擊安全威脅、隱私攻擊安全威脅。從攻擊方法維度可將物聯網安全威脅分為：主動攻擊安全威脅、被動攻擊安全威脅。從攻擊層維度可將物聯網安全威脅分為：感知層攻擊安全威脅、網絡層攻擊安全威脅和應用層攻擊安全威脅。事實上，由于物聯網安全威脅是重疊交錯的，并不存在明顯的強制界限。比如在對感知層進行攻擊的時候，也存在完整性攻擊威脅、可訪問性攻擊威脅。因此，本文借鑒IoT Agenda對物聯網安全的定義，將物聯網安全威脅分為3類：數據安全威脅、網絡安全威脅以及節點安全威脅?？紤]到節點安全性在網絡安全中具有舉足輕重的地位，本文將側重于設備（網絡節點）方面的安全威脅檢測，通過檢測傳輸層數據流量的時空特征，實現對物聯網安全威脅的輕量級檢測。

本文的流量指紋構建是基于被動式的流量檢測。其假設是，不同設備與網關相互通信的流量數據具有周期性、差異性。當一個設備與網關通信時，網關會記錄設備在每個檢測周期內的通信數據包的平均流量，這就是本文獲取流量指紋的來源。式(1)展現了流量指紋的時間維度。

fn表示某個設備在第n個檢測周期內通信數據包的平均流量。

傳統的對數據包的數據信息進行統計的方式，對網絡開銷會造成很大的挑戰。考慮到設備的流量特征具有時間周期性和空間相關性的特征，本文采用滑動窗口法對各設備的流量數據進行截取，構建出體現流量時空數據的矩陣。

其中ft,n表示物聯網所有設備n在第t個周期（周期設為T，T=1小時）所截取的流量數據，每當有新的數據包產生時，滑動窗口就會更新數據。對物聯網所有設備截取的流量數據進行合并，構建出一個能夠反映物聯網各設備流量時空數據的矩陣，該矩陣刻畫了流量隨著時間的變化，以及各設備的流量數據在空間上的動態變化，這是后續時空特征提取的數據基礎。

2 基于流量監控的接入控制與檢測模型

2.1 基于網絡安全性的設備接入控制

當設備請求接入物聯網時，通常采用白名單機制限制含有高危漏洞的設備接入到物聯網中，即使一些未定向或定向攻擊的設備僥幸接入到物聯網，安全檢測系統也會對設備的流量進行持續的監控，以此來部署安全管理措施。通常來說，基于流量監控的設備接入控制的流程如圖1所示。

圖1 基于網絡安全性的設備接入控制流程

基于網絡安全性的設備接入控制流程為：聯合白名單和流量持續檢測機制，將安全威脅擋在設備入口，設備接入控制采用流量包捕獲、特征提取、特征融合、流量特征檢測模型、流量異?？刂频纫幌盗械牟襟E實現設備接入的控制。

2.2 基于流量特征的檢測模型

正常節點流量的隨機性、突發性等特點對異常流量檢測的準確率帶來一定的干擾，為了應對這個問題，基于流量特征的檢測模型采用多個分類器組成的集成學習分類器來有效檢測網絡流量的異常。集成學習分類器之所以能夠較為準確檢測網絡流量異常，是因為它繼承了多個分類器的分類結構，采用投票的方式對檢測的樣本結果進行綜合評定，因此較單一的分類法具有更好的檢測精準度和泛化性。基于流量特征的檢測模型算法流程如圖2所示。

圖2 基于集成學習分類器的檢測算法

圖2展示了基于集成學習分類器的檢測算法思路：為了訓練某一類設備的流量特征在一個時間周期內的指紋，采用監督學習的方法，在原始流量特征數據集的基礎上，通過隨機采樣的方式獲取該時間周期的流量特征數據；利用傳統的單一分類器隨機選取特征子集，并采用投票的方式對特征子集進行匯總，實現高維流量特征數據的處理。集成學習分類器的各子分類器具有相互獨立、訓練速度快的特點，適用于處理高維流量數據。

上述的檢測模型有幾個問題：（1）需要采集大量的訓練數據才能保證檢測精度；（2）對特定的設備需要額外增加監聽節點以獲取特定周期的流量特征樣本，實現實時的訓練，以保證檢測模型具有可用性，在一定程度上增加了網絡的額外開銷；（3）沒有考慮到流量在設備之間所體現的空間特征，割裂了流量時空特征的聯系?；谏鲜鰡栴}，本文提出一種基于流量指紋的網絡安全威脅輕量級檢測方法，該方法充分利用人工智能算法提取流量在各設備之間的時空特征，從而構造流量數據的指紋特征，采用蟻群算法優化的BP神經網絡對流量指紋特征進行識別，進而能夠快速實現異常流量的檢測。

3 基于流量指紋的網絡安全威脅輕量級檢測模型

3.1 基于卷積神經網絡的流量時空特征提取

卷積神經網絡是采用初始化的卷積核在反向傳播過程中對特征向量集一次又一次的更新，去無限擬合這么一個非常逼近的特征向量集，從而實現特征的有效提取。由于流量時空數據矩陣數據集太大，如果直接使用卷積神經網絡的卷積核進行流量特征提取，那么會產生很大的計算量，為了實現輕量級的網絡流量特征提取，本文采用16×16的滑動窗口對流量時空數據矩陣進行數據截取，并將截取的數據作為卷積神經網絡的輸入，提取流量時空特征。基于卷積神經網絡的流量時空特征提取流程如圖3所示。

圖3 基于卷積神經網絡的流量時空特征提取流程

圖3展示基于卷積神經網絡的流量時空特征提取過程：輸入是一個采用滑動窗口截取的大小為16×16的流量時空數據矩陣，分別采用2個卷積核（第一個卷積核大小為3×3，第二個卷積核大小為2×2）和2個2×2的池化層對流量的時空特征進行提取，最終對特征圖進行平鋪，得到一個9維的時空特征向量。

3.2 基于蟻群算法優化的BP神經網絡流量檢測

BP神經網絡用于多層神經網絡的參數計算，以解決非線性分類和學習的問題。它利用誤差的反向傳播原理，改變了傳統的網絡結構，引入了新的分層和邏輯，解決了非線性分類出現的難題。基于蟻群算法優化的BP神經網絡流量異常檢測模型包括輸入層、隱含層和輸出層。輸入層的節點數為9，輸入的數據是流量時空特征，隱含層的節點數為5，輸出層的節點數為1；激活函數采用Sigmond函數，學習率為0.01，迭代次數為100。為了增強算法的魯棒性和全局的尋優，采用蟻群算法優化神經網絡網絡節點之間的初始權值、閾值，然后將其代入神經網絡訓練以便使得網絡快速收斂，獲得訓練后的權值和閾值，并實現流量的分類?；谙伻核惴▋灮腂P神經網絡流量檢測流程如圖4所示。

圖4 基于蟻群算法優化的BP神經網絡流量檢測流程

圖4展示蟻群算法優化的BP神經網絡流量檢測過程。首先是定義蟻群算法參數，包括種群初始權值、閾值矩陣、種群個體數量、最大迭代次數、誤差以及初始化信息素矩陣，并結合神經網絡輸入層、隱含層和輸出層的節點數量確定初始化權值和閾值的數量；然后，將流量時空特征輸入到已經構建的三層BP神經網絡中（輸入層9，隱含層5，輸出層1），計算每一個個體的適應度，并將適應度進行降序處理，記錄t時刻的個體適應度；接著，根據個體的適應度更新信息素向量矩陣，通過信息素向量矩陣獲取轉移概率化解矩陣，推動群體向最優路徑移動，更新t+1時刻的閾值和權值矩陣，優化種群；最后，判定終止條件，如果某個最優個體迭代次數大于設定的迭代次數，或者最優個體輸出的誤差小于設定誤差，那么停止迭代，輸出最優個體的一組權值、閾值，并將其代入到神經網絡中進行樣本的訓練，輸出流量異常的概率值，實現流量異常的分類，否則，返回第三步。

4 實驗分析

對基于物聯網流量指紋的安全威脅輕量級檢測方法進行實驗驗證。采用某個區域的LoRa物聯網作為試驗網，其覆蓋半徑1.25公里，在此區域內隨機部署了200個信息采集節點，本次實驗為期2周，使用真實的僵尸網絡惡意軟件樣本mirai來感染若干個設備，并模擬發起ack，scan，syn，udp的網絡攻擊。本次實驗一共收集攻擊流量數據集3241條，正常流量數據集7835條。對上述的數據經過數據重構、流量時空特征提取后，獲得336個樣本數據，其中攻擊樣本數據為102個，正常樣本數據為234，為了實現樣本的平衡性，本文將攻擊樣本數據進行復制，最終攻擊樣本數據為204個，正常樣本數據為234。隨機抽取訓練數據集和測試數據集，兩者比例為3:7。

從圖5可以看出，當迭代次數接近100時，檢測精度達到99.5%；增加模型的迭代次數，檢測精度將逐漸收斂，在迭代次數達到160的時候，模型的檢測精度慢慢收斂到98.1%。

圖5 迭代次數對應檢測精度的變化

在確定最佳迭代次數后（160次），進一步探索本文算法與傳統BP神經網絡算法在分類方面的準確率。本文算法的樣本數據是流量數據的時空特征，傳統BP神經網絡的樣本數據為人工提取流量數據特征。采用隨機抽取的方式獲取訓練數據集和測試數據集，將訓練集和測試集劃分為3：7，分別形成10個訓練集和10個測試集；在此基礎上，采用本文的方法和傳統BP神經網絡方法分別對10個訓練集進行模型訓練，各自得到10個訓練模型；最后把10個測試集分別輸入到訓練模型中，得到共20個測試集，其準確率如圖6所示。

圖6 本文算法和傳統神經網絡訓練對比

如圖6所示，本文提出的算法在測試數據集上的精確率比傳統BP神經網絡算法高，這歸因于本文的算法除了采用卷積神經網絡提取流量的時空特征，還采用蟻群算法優化的方法實現權值和閾值快速尋優，避免檢測模型陷入局部最優，從而顯著提升了異常流量識別的精度；而傳統BP神經網絡僅僅采用人工檢測的方法進行特征提取，這種方法往往帶有人的主觀性，其特征無法真實反映設備特征在空間上的關聯，因而在訓練分類模型的時候，采用隨機選取初始權值進行模型擬合，容易陷入局部最優，因此其檢測精度不如本文提出的算法。

5 結束語

本文針對傳統物聯網深度包流量檢測效率過低問題，提出一種基于物聯網流量指紋的安全威脅輕量級檢測方法。該模型在重構流量數據的基礎上，結合物聯網設備流量數據在時間上和空間上的相關關系，采用輕量級的卷積神經網絡提取流量數據的時空特征，降低了流量數據特征提取的計算成本，然后采用蟻群算法優化的BP神經網絡實現異常流量的快速檢測。實驗證明，本文所提出的流量指紋獲取方法能夠實現輕量級的安全危險檢測，在保證檢測精度的同時，能夠降低對傳統經驗的依賴，實現更加智能化的安全檢測。