基于集成學(xué)習(xí)的物聯(lián)網(wǎng)設(shè)備異常流量檢測(cè)算法

收稿日期：2021-11-26；修回日期：2022-01-17

基金項(xiàng)目：國(guó)家自然科學(xué)基金資助項(xiàng)目（92067201）；江蘇省重點(diǎn)研發(fā)計(jì)劃資助項(xiàng)目（BE2020084-4）

作者簡(jiǎn)介：劉祥軍（1996-），男，山東日照人，碩士研究生，主要研究方向?yàn)槲锫?lián)網(wǎng)安全與機(jī)器學(xué)習(xí)；江凌云（1971-），女（通信作者），安徽安慶人，副教授，碩士，主要研究方向?yàn)橐苿?dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)應(yīng)用和信息安全（jiangly@njupt.edu.cn）.

摘 要：隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的快速增長(zhǎng)，被劫持的物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò)發(fā)起非法攻擊的頻率大大增加，物聯(lián)網(wǎng)設(shè)備的安全性已經(jīng)成為一個(gè)嚴(yán)峻的問(wèn)題。為了檢測(cè)物聯(lián)網(wǎng)設(shè)備發(fā)起的異常流量，提出一種集成學(xué)習(xí)的個(gè)體學(xué)習(xí)器選擇算法（individual learner selection algorithm，IISA），IISA是一種基于相關(guān)系數(shù)度量的選擇方法，利用相關(guān)系數(shù)將相似度差異大的個(gè)體學(xué)習(xí)器集成起來(lái)并采用投票的方式進(jìn)行判決，在減少個(gè)體學(xué)習(xí)器的同時(shí)，提高檢測(cè)的準(zhǔn)確度和檢測(cè)效率。實(shí)驗(yàn)結(jié)果表明，和八種半監(jiān)督機(jī)器學(xué)習(xí)檢測(cè)算法相比，其查全率最大降低9.12%，準(zhǔn)確率最大提高4.69%，檢測(cè)效率最大提高70.72%。

關(guān)鍵詞：僵尸網(wǎng)絡(luò)； 集成學(xué)習(xí)； 相關(guān)系數(shù)； 半監(jiān)督學(xué)習(xí)

中圖分類號(hào)：TP309"" 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695（2022）06-031-1785-05

doi：10.19734/j.issn.1001-3695.2021.11.0634

Abnormal traffic detection algorithm for IoT devices based on ensemble learning

Liu Xiangjun， Jiang Lingyun

（School of Communication amp; Information Engineering， Nanjing University of Posts amp; Telecommunications， Nanjing 210003， China）

Abstract：With the rapid growth of the number of Internet of Things devices， the frequency of illegal attacks by botnets composed of hijacked IoT devices has increased greatly， and the security of IoT devices has become a serious issue. In order to detect abnormal traffic initiated by IoT devices， this paper proposed an individual learner selection algorithm （IISA） based on ensemble learning. IISA was a selection method based on correlation coefficient measurement. It used correlation coefficient to integrate individual learners with large differences in similarity and made judgements by voting， which could reduce individual learners while improving the accuracy and efficiency of detection. The experimental results show that compared with the eight semi-supervised machine learning detection algorithms， the recall rate can be reduced by 9.12%， the accuracy can be increased by 4.69%， and the detection efficiency can be increased by 70.72%.

Key words：botnet; ensemble learning; correlation coefficient; semi-supervised learning

物聯(lián)網(wǎng)作為互聯(lián)網(wǎng)的延伸，已經(jīng)在很多領(lǐng)域得到了廣泛應(yīng)用，如物流運(yùn)輸、工業(yè)加工、公共安全監(jiān)控、家庭自動(dòng)化、環(huán)境監(jiān)測(cè)和醫(yī)療保健等，它給人們的衣食住行帶來(lái)很大的便利［1］。然而，現(xiàn)實(shí)世界的物體與互聯(lián)網(wǎng)的結(jié)合也給人們的大部分日常活動(dòng)帶來(lái)了網(wǎng)絡(luò)安全隱患。 例如，對(duì)發(fā)電廠和交通控制系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施的攻擊會(huì)引發(fā)社會(huì)恐慌，對(duì)家用電器設(shè)備的攻擊和劫持會(huì)威脅到家庭成員的安全，泄露個(gè)人隱私等。文獻(xiàn)［2］對(duì)三種常見(jiàn)的智能家居設(shè)備進(jìn)行了用戶隱私、缺乏加密和身份驗(yàn)證等相關(guān)漏洞的測(cè)試，結(jié)果顯示，由于這些設(shè)備所涉及的標(biāo)準(zhǔn)和通信協(xié)議的不同，且它們的計(jì)算能力有限、互連設(shè)備數(shù)量眾多等原因，傳統(tǒng)的安全對(duì)策無(wú)法在物聯(lián)網(wǎng)系統(tǒng)中有效發(fā)揮作用。 因此，針對(duì)物聯(lián)網(wǎng)研究特定的安全解決方案是至關(guān)重要的［3］。

隨著全球部署的物聯(lián)網(wǎng)設(shè)備數(shù)量急劇增加［4］，物聯(lián)網(wǎng)設(shè)備已經(jīng)成為僵尸網(wǎng)絡(luò)劫持的主要目標(biāo)，當(dāng)各種家用設(shè)備、工業(yè)機(jī)器變身物聯(lián)網(wǎng)產(chǎn)品時(shí)，一個(gè)巨大的僵尸網(wǎng)絡(luò)也在形成。由于這些設(shè)備數(shù)量巨多、通常采用簡(jiǎn)單的默認(rèn)出廠設(shè)置等特點(diǎn)，給不法分子帶來(lái)了可乘之機(jī)，通過(guò)感染，劫持大量的物聯(lián)網(wǎng)設(shè)備并組成僵尸網(wǎng)絡(luò)發(fā)動(dòng)分布式拒絕服務(wù)攻擊（DDoS），其頻率和流量都達(dá)到前所未有的高度［4～6］。因此，一些能夠?qū)崟r(shí)檢測(cè)物聯(lián)網(wǎng)設(shè)備異常流量的方法已成為減輕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的必要條件。因?yàn)榱髁繉?shí)時(shí)檢測(cè)可以迅速地將受到威脅的物聯(lián)網(wǎng)設(shè)備與網(wǎng)絡(luò)斷開(kāi)連接并發(fā)出警報(bào)，從而阻止僵尸網(wǎng)絡(luò)病毒的傳播并進(jìn)一步阻止出站的攻擊流量，所以設(shè)備流量的實(shí)時(shí)檢測(cè)可提高網(wǎng)絡(luò)安全性。因此，為了保護(hù)物聯(lián)網(wǎng)設(shè)備的正常運(yùn)行，安裝入侵檢測(cè)系統(tǒng)（network intrusion detection system）是必要的。入侵檢測(cè)系統(tǒng)的核心就是檢測(cè)算法，傳統(tǒng)設(shè)備通常具有較強(qiáng)的計(jì)算能力和存儲(chǔ)、內(nèi)存空間，能夠部署復(fù)雜的檢測(cè)算法，但是由于物聯(lián)網(wǎng)設(shè)備硬件資源受限、功率有限、異構(gòu)性和多連接性等特點(diǎn)，傳統(tǒng)的檢測(cè)算法可能效率較低或者不適用于物聯(lián)網(wǎng)系統(tǒng)［7，8］。所以，與傳統(tǒng)計(jì)算系統(tǒng)中的異常流量檢測(cè)算法相比，物聯(lián)網(wǎng)環(huán)境中的異常流量檢測(cè)算法更具挑戰(zhàn)性和限制性。

1 相關(guān)工作

針對(duì)物聯(lián)網(wǎng)環(huán)境中的設(shè)備流量異常檢測(cè)，目前國(guó)內(nèi)外有許多學(xué)者已經(jīng)提出很多算法和方案。傳統(tǒng)的入侵檢測(cè)算法是使用基于攻擊規(guī)則（attacks rules/signatures）或正常行為規(guī)范（normal behavior specification）開(kāi)發(fā)的，然而，這些算法存在以下問(wèn)題：a）高誤報(bào)率，包括假陽(yáng)率（1 positive rate）和假陰率（1 positive rate）；b）無(wú)法檢測(cè)未知/零日攻擊。因此，現(xiàn)在大多數(shù)學(xué)者致力于探索人工智能（artificial intelligence）和機(jī)器學(xué)習(xí)（machine learning）算法應(yīng)用到物聯(lián)網(wǎng)設(shè)備的保護(hù)，以提高系統(tǒng)安全性［9］。

1.1 入侵檢測(cè)算法

Meidan等人［10］提出運(yùn)用深度自編碼（AutoEncoder）算法檢測(cè)物聯(lián)網(wǎng)設(shè)備流量的異常行為，用物聯(lián)網(wǎng)中常見(jiàn)病毒Mirai和BASHLITE去感染九臺(tái)常見(jiàn)的物聯(lián)網(wǎng)設(shè)備（門鈴、嬰兒監(jiān)視器、網(wǎng)絡(luò)攝像頭等），通過(guò)交換機(jī)的鏡像端口去收集這些被感染設(shè)備的流量，并從中抽取出115個(gè)統(tǒng)計(jì)特征，然后運(yùn)用深度自編碼算法為每臺(tái)設(shè)備訓(xùn)練一個(gè)異常檢測(cè)模型，可以高效地識(shí)別出每臺(tái)設(shè)備流量的異常行為，但是對(duì)于功能種類較多的設(shè)備如嬰兒監(jiān)視器的檢測(cè)結(jié)果較其他設(shè)備有著較高的假正率（1 positive rate，F(xiàn)PR）。

Jia等人［11］提出一種基于多元降維方法分析網(wǎng)絡(luò)異常流量，多元降維分析是一種統(tǒng)計(jì)分析相關(guān)理論，結(jié)合了主成成分分析和多元相關(guān)分析方法，主成成分分析主要是對(duì)采集、處理后的流量提取出主要特征，在保留關(guān)鍵信息的前提下大大降低待檢測(cè)數(shù)據(jù)維度，有效降低流量檢測(cè)所需要的時(shí)間以及計(jì)算機(jī)資源的消耗。多元相關(guān)分析是通過(guò)提取出正常流量數(shù)據(jù)背后的統(tǒng)計(jì)規(guī)律而訓(xùn)練出一個(gè)異常檢測(cè)的模型，該方法在檢測(cè)效率和檢測(cè)準(zhǔn)確度上都有不錯(cuò)的效果，不足之處在于實(shí)驗(yàn)所采用的數(shù)據(jù)集并不是從物聯(lián)網(wǎng)中收集、處理得到的，因此該方法并不一定適合物聯(lián)網(wǎng)異常流量的檢測(cè)。

麻文剛等人［12］設(shè)計(jì)了一種三層堆疊長(zhǎng)短記憶網(wǎng)絡(luò)來(lái)提取流量中的特征信息，提出并使用帶有跳躍連接線的改進(jìn)殘差神經(jīng)網(wǎng)絡(luò)進(jìn)行優(yōu)化，該方法和一些現(xiàn)有的深度學(xué)習(xí)方法相比，提高了網(wǎng)絡(luò)異常流量檢測(cè)的準(zhǔn)確度；宋勇等人［13］提出一種基于深度學(xué)習(xí)的自適應(yīng)特征提取方法，并利用支持向量機(jī)的多分類器形成入侵流量檢測(cè)方法，該方法可以提高檢測(cè)效率和準(zhǔn)確度。但是，不足之處在于它們都沒(méi)有對(duì)物聯(lián)網(wǎng)場(chǎng)景下設(shè)備產(chǎn)生的流量進(jìn)行檢測(cè)。

Garca等人［14］提出了一種基于網(wǎng)絡(luò)流量的僵尸網(wǎng)絡(luò)檢測(cè)方法，且該方法不限于物聯(lián)網(wǎng)領(lǐng)域。在真實(shí)物聯(lián)網(wǎng)環(huán)境中采集、分析流量數(shù)據(jù)，使用模式匹配來(lái)檢測(cè)異常的網(wǎng)絡(luò)活動(dòng)，但這種方式依賴于：a）蜜罐設(shè)備捕獲到的流量特征；b）僵尸網(wǎng)絡(luò)Camp;C 服務(wù)器產(chǎn)生的 DNS 流量;c）異常流量的數(shù)據(jù)挖掘。同時(shí)，他們也發(fā)現(xiàn)基于異常檢測(cè)的方法適合檢測(cè)物聯(lián)網(wǎng)設(shè)備，因?yàn)檫@些設(shè)備通常是面向單一任務(wù)的（例如，專門設(shè)計(jì)用于檢測(cè)運(yùn)動(dòng)速度或測(cè)量濕度），所以它們執(zhí)行的網(wǎng)絡(luò)協(xié)議種類少且沒(méi)有復(fù)雜的網(wǎng)絡(luò)協(xié)議，并且與傳統(tǒng)的計(jì)算機(jī)設(shè)備相比，流量的變化范圍更少。

Wang等人［15］提出基于圖和基于流的混合分析檢測(cè)方法。首先通過(guò)收集網(wǎng)絡(luò)中的流量，提取出15個(gè)統(tǒng)計(jì)特征，通過(guò)分析得出正常流量和異常流量在相似性和穩(wěn)定性方面存在不同，異常流量的相似性和穩(wěn)定性都比正常流量的高，因此可以通過(guò)這兩個(gè)特性來(lái)區(qū)分出設(shè)備通信過(guò)程產(chǎn)生的流量是否異常；然后再結(jié)合圖論的方法給每臺(tái)設(shè)備計(jì)算出一個(gè)異常得分；最后綜合相似性、穩(wěn)定性、異常得分，用投票的方式?jīng)Q定設(shè)備是否異常；檢測(cè)結(jié)果證明可以降低FPR，但是缺點(diǎn)在于某些病毒會(huì)模仿合法的流量行為，從而規(guī)避檢測(cè)。

1.2 入侵檢測(cè)算法分類

入侵檢測(cè)方法分類為濫用檢測(cè)（misuse detection）、異常檢測(cè)（anomaly detection）、規(guī)范檢測(cè)（specification detection）和混合檢測(cè)（hybrid detection）四類。

a）濫用檢測(cè)依賴于觀察系統(tǒng)或者網(wǎng)絡(luò)中發(fā)生的事件，對(duì)已知的系統(tǒng)缺陷和已知的入侵方法建立模型，當(dāng)觀測(cè)事件和模型相匹配時(shí)，就判斷設(shè)備發(fā)生異常的網(wǎng)絡(luò)狀況。濫用檢測(cè)的精確性較高，但不能檢測(cè)未知類型的入侵，這種方法難以應(yīng)對(duì)目前復(fù)雜的物聯(lián)網(wǎng)安全環(huán)境。

b）異常檢測(cè)是對(duì)正常的網(wǎng)絡(luò)行為進(jìn)行建模，然后比較觀測(cè)事件和正常網(wǎng)絡(luò)行為模型，當(dāng)偏差超過(guò)某個(gè)閾值時(shí)，就可判斷網(wǎng)絡(luò)中存在異常流量。異常檢測(cè)可以成功檢測(cè)出未知類型的攻擊，但是往往也會(huì)有較高的誤報(bào)率，這是因?yàn)椋海╝）建立的模型存在誤差，目前通常采用機(jī)器學(xué)習(xí)的方式來(lái)提高建模的質(zhì)量；（b）建模時(shí)未包含所有可能的正常行為的樣本，一般通過(guò)數(shù)據(jù)的積累和反饋機(jī)制不斷完善模型。當(dāng)前，由于攻擊方式日趨復(fù)雜，攻擊技術(shù)已經(jīng)呈現(xiàn)出多樣化，基于已有類型的攻擊及其變種不斷產(chǎn)生、演進(jìn)，所以異常檢測(cè)已經(jīng)成為當(dāng)前主流的檢測(cè)策略。

c）規(guī)范檢測(cè)與異常檢測(cè)具有相同的邏輯，它將異常定義為偏離正常行為，但是規(guī)范檢測(cè)模型是基于人工描述的正常流量行為來(lái)進(jìn)行建模，而不是基于歷時(shí)已觀測(cè)到的正常行為。與異常檢測(cè)相比，這種方法能降低誤報(bào)率，可以作為異常檢測(cè)的一個(gè)補(bǔ)充。

d）混合檢測(cè)是將濫用檢測(cè)、異常檢測(cè)、規(guī)范檢測(cè)相結(jié)合，達(dá)到最小化異常檢測(cè)誤報(bào)的目的，是異常檢測(cè)的一種重要補(bǔ)充手段，基于異常檢測(cè)的算法仍然是研究的重點(diǎn)。

綜上所述，針對(duì)物聯(lián)網(wǎng)環(huán)境的特點(diǎn)，本文提出一種集成學(xué)習(xí)算法。一個(gè)集成學(xué)習(xí)算法包含若干個(gè)個(gè)體學(xué)習(xí)器，而個(gè)體學(xué)習(xí)器的個(gè)數(shù)是一個(gè)超參數(shù)，通常采用經(jīng)驗(yàn)值。本文提出了一種采用相關(guān)系數(shù)來(lái)度量個(gè)體分類器的多樣性，通過(guò)計(jì)算出個(gè)體分類器之間的相似度，在最大化相似度的前提下減少個(gè)體學(xué)習(xí)器的個(gè)數(shù)，在提高檢測(cè)精度的同時(shí)，降低檢測(cè)算法的時(shí)間復(fù)雜度。

本文主要內(nèi)容和創(chuàng)新如下：

a）流量采集和處理。采用滑動(dòng)時(shí)間窗口和增量計(jì)算的方法，從設(shè)備產(chǎn)生的流量中提取出描述設(shè)備行為的特征信息。

b）提出一種個(gè)體學(xué)習(xí)器的選擇算法IISA。利用相關(guān)系數(shù)來(lái)度量個(gè)體學(xué)習(xí)器的多樣性，通過(guò)計(jì)算出個(gè)體學(xué)習(xí)器之間的相似度，選擇出差異性大的最優(yōu)個(gè)體學(xué)習(xí)器組合。

c）實(shí)驗(yàn)與結(jié)果分析。在實(shí)驗(yàn)室搭建一個(gè)物聯(lián)網(wǎng)環(huán)境，用Mirai僵尸網(wǎng)絡(luò)病毒感染該環(huán)境中的物聯(lián)網(wǎng)設(shè)備，并使用本文提出的集成學(xué)習(xí)算法進(jìn)行流量的實(shí)時(shí)檢測(cè)，結(jié)果表明和八種半監(jiān)督學(xué)習(xí)算法相比，檢測(cè)結(jié)果的查全率最大降低了9.37%，準(zhǔn)確率最大提高了4.69%。

2 設(shè)備流量的采集與檢測(cè)

圖1顯示了本文設(shè)計(jì)的設(shè)備流量檢測(cè)系統(tǒng)的工作流程，其中主要包含流量收集、特征信息提取和流量異常檢測(cè)三個(gè)主要部分。這樣的設(shè)計(jì)使該系統(tǒng)具有可擴(kuò)展性，可以實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)中進(jìn)出站的數(shù)據(jù)流。 首先，流量收集模塊通過(guò)數(shù)據(jù)嗅探工具捕獲并存儲(chǔ)進(jìn)入和傳出設(shè)備的流量數(shù)據(jù)包；然后使用數(shù)據(jù)預(yù)處理模塊，將捕獲到的設(shè)備流量轉(zhuǎn)換為算法能處理的數(shù)值特征信息，例如進(jìn)站速率、出站速率等；再利用個(gè)體學(xué)習(xí)器選擇子模塊，將八種半監(jiān)督學(xué)習(xí)算法訓(xùn)練得到的個(gè)體學(xué)習(xí)器進(jìn)行篩選；最后使用篩選后得到的個(gè)體學(xué)習(xí)器構(gòu)建集成學(xué)習(xí)算法，異常檢測(cè)檢測(cè)模塊就是利用設(shè)備正常運(yùn)行時(shí)產(chǎn)生的流量和上述集成學(xué)習(xí)算法訓(xùn)練得到的檢測(cè)模型。

2.1 設(shè)備流量抓取

設(shè)備流量抓取的目的是收集網(wǎng)絡(luò)中的流量數(shù)據(jù)包，利用工具Scapy從網(wǎng)絡(luò)接口捕獲實(shí)時(shí)流量數(shù)據(jù)包。在物聯(lián)網(wǎng)環(huán)境中，設(shè)備產(chǎn)生的流量首先在邊緣網(wǎng)關(guān)處匯聚，然后再匯聚到路由器，再接入到互聯(lián)網(wǎng)。因此，在邊緣網(wǎng)關(guān)處可以實(shí)時(shí)采集設(shè)備的進(jìn)站和出站的流量。

2.2 特征信息提取

為了使特征信息提取過(guò)程更加輕量級(jí)，本文僅從物聯(lián)網(wǎng)網(wǎng)絡(luò)鏈路中的流量數(shù)據(jù)中提取特征，研究每個(gè)特征的方差和均值等統(tǒng)計(jì)量變化，以確定其對(duì)分類過(guò)程的貢獻(xiàn)。任何對(duì)分類過(guò)程沒(méi)有貢獻(xiàn)的特征都將從最終特征集中刪除，從而可以減少特征信息提取過(guò)程的資源占用并加速分類算法任務(wù)的執(zhí)行。

滑動(dòng)窗口是一種數(shù)據(jù)采樣技術(shù)，是在數(shù)據(jù)流的一個(gè)片段上設(shè)置的窗口，該片段只包含數(shù)據(jù)流中最新到來(lái)的數(shù)據(jù)， 當(dāng)有新數(shù)據(jù)到來(lái)時(shí)，滑動(dòng)窗口將向前移動(dòng)，用最新的數(shù)據(jù)替換最舊的數(shù)據(jù)。在數(shù)據(jù)流中定義滑動(dòng)窗口有根據(jù)序列順序定義滑動(dòng)窗口和基于時(shí)間定義滑動(dòng)窗口兩種方法。

本文將研究基于時(shí)間的滑動(dòng)窗口，即滑動(dòng)時(shí)間窗口，對(duì)于數(shù)據(jù)流S={x1，x2，…，xn}，滑動(dòng)時(shí)間窗口的定義如下：設(shè)T為時(shí)間間隔，tgt;T為變化時(shí)刻，稱S［t－T：t］為S的滑動(dòng)窗口，其中t和T具有相同的單位，t是相對(duì)于S起點(diǎn)的時(shí)間延遲。在滑動(dòng)時(shí)間窗口模型中，并不規(guī)定滑動(dòng)時(shí)間窗口內(nèi)捕獲到的流量數(shù)據(jù)包個(gè)數(shù)，而是規(guī)定滑動(dòng)窗口的時(shí)間，所以和第一種根據(jù)序列順序定義的滑動(dòng)窗口相比，滑動(dòng)時(shí)間窗口內(nèi)的捕獲到的流量數(shù)據(jù)包的個(gè)數(shù)不是一個(gè)固定值，而是一個(gè)隨時(shí)間變化的值，能刻畫出流量的實(shí)時(shí)變化情況，有利于后續(xù)的實(shí)時(shí)檢測(cè)。

為了進(jìn)一步提高滑動(dòng)窗口提取特征信息的效率，解決流量處理過(guò)程中設(shè)備占用內(nèi)存過(guò)大的問(wèn)題，本文采用一種基于增量計(jì)算的特征信息計(jì)算方法。提取特征信息時(shí)需要計(jì)算出流量數(shù)據(jù)包的一些統(tǒng)計(jì)量，例如方差、均值、相關(guān)系數(shù)等。增量計(jì)算的基本原理是：假設(shè)從網(wǎng)絡(luò)中捕獲到N個(gè)數(shù)據(jù)包，x1，x2，…，xN，這組樣本的平均值和方差可由公式=1N∑Ni=1xi和σ2X=1N∑Ni=1（xi－）2計(jì)算得到；假設(shè)現(xiàn)在有兩組樣本值，即歷史樣本值h1，h2，…，hM和增量樣本a1，a，…，aN，根據(jù)上述方差和均值公式的定義，可以分別得到兩組樣本的均值和方差，分別稱為歷史均值=1M∑Mi=1hi，歷史方差σ2H=1M∑Mi=1（hi－）2，增量均值=1N∑Ni=1ai，增量方差σ2A=1N∑Ni=1（ai－）2；現(xiàn)在需要求出樣本h1，h2，…，hM，a1，a，…，aN的均值和方差，結(jié)果分別由式（1）（2）所示，當(dāng)N=1時(shí)，增量均值變?yōu)?a1，增量方差變?yōu)棣?A=0，此時(shí)，式（1）（2）就可以化簡(jiǎn)為式（3）（4）。所以增量計(jì)算的特點(diǎn)就是可以基于歷史統(tǒng)計(jì)值和當(dāng)前的增量計(jì)算出當(dāng)前的統(tǒng)計(jì)值，對(duì)于性能受限的物聯(lián)網(wǎng)網(wǎng)關(guān)而言，可以減少內(nèi)存的負(fù)擔(dān)，提高計(jì)算效率。

=1M+N［∑Mi=1hi+∑Ni=1ai］=M+NM+N（1）

σ2=1M+N［∑Mi=1（hi－）2+∑Nj=1（aj－）2］=

1M+N∑Mi=1（（hi－）－（－））2+1M+N∑Nj=1（（aj－）－

（－））2=M［σ2H+（－）2］+N［σ2A+（－）2］M+N（2）

=MM+1+MM+1a1（3）

σ2=MM+1（σ2H+（－）2）+1M+1（－a1）2（4）

如表1所示，本文從目標(biāo)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)流中提取七種統(tǒng)計(jì)量作為特征信息，分別是數(shù)量、均值、均方差、二維均值、二維方差、協(xié)方差、相關(guān)系數(shù)，且這七種統(tǒng)計(jì)量都可采用增量計(jì)算的方式得到。這些特征信息是從目標(biāo)設(shè)備的三種數(shù)據(jù)流中統(tǒng)計(jì)得到，這三種數(shù)據(jù)流分別是：a）相同IP地址和MAC地址產(chǎn)生的數(shù)據(jù)流；b）相同源IP地址產(chǎn)生的數(shù)據(jù)流；c）相同源IP地址和目的IP地址之間產(chǎn)生的數(shù)據(jù)流。滑動(dòng)時(shí)間窗口大小為500 ms，共提取23個(gè)特征。

本文采用了一種基于數(shù)據(jù)增量計(jì)算特征信息的方法，它可以在動(dòng)態(tài)數(shù)量的數(shù)據(jù)流上進(jìn)行特征信息的提取。計(jì)算方法如下：對(duì)于一個(gè)數(shù)據(jù)流S={x1，x2，…}，xi∈R，xi代表數(shù)據(jù)包的大小，要計(jì)算S的均值μs，方差σ2s，標(biāo)準(zhǔn)差σs，可以通過(guò)維護(hù)三元數(shù)組IS=（N，LS，SS）來(lái)計(jì)算得到，其中N代表數(shù)據(jù)流S中元素個(gè)數(shù)，LS代表S中元素之和，SS代表S中元素的平方和，當(dāng)S中增加一個(gè)數(shù)據(jù)xn，此時(shí)IS=（N+1，LS+xn，SS+x2n），即不用把S中每個(gè)元素xi都記錄在內(nèi)存中，當(dāng)有新的數(shù)據(jù)到達(dá)時(shí)，只需要更新IS即可，而均方差、二維均值、二維方差、協(xié)方差、相關(guān)系數(shù)等特征信息均可根據(jù)表1中的方法計(jì)算得到。

3 集成學(xué)習(xí)算法

3.1 個(gè)體學(xué)習(xí)器

集成學(xué)習(xí)并不是一個(gè)單獨(dú)的機(jī)器學(xué)習(xí)算法，而是將多種機(jī)器學(xué)習(xí)算法組合在一起來(lái)完成學(xué)習(xí)任務(wù)，其中組成集成學(xué)習(xí)的每種算法稱為個(gè)體學(xué)習(xí)器。集成學(xué)習(xí)運(yùn)用的思想是：即使其中一個(gè)個(gè)體學(xué)習(xí)器得到了錯(cuò)誤的結(jié)果，但是其他的個(gè)體學(xué)習(xí)器也能糾正過(guò)來(lái)。所以對(duì)這些個(gè)體學(xué)習(xí)器的要求是“好而不同”，即個(gè)體學(xué)習(xí)器要有一定的準(zhǔn)確性，同時(shí)要求個(gè)體學(xué)習(xí)器之間要有差異性。集成學(xué)習(xí)模型的構(gòu)建過(guò)程包括兩個(gè)關(guān)鍵步驟：a）產(chǎn)生一組若干個(gè)個(gè)體學(xué)習(xí)器，個(gè)體學(xué)習(xí)器通常采用一個(gè)現(xiàn)有的學(xué)習(xí)算法訓(xùn)練得到；b）采用結(jié)合策略將這些個(gè)體學(xué)習(xí)器的檢測(cè)結(jié)果組合，常見(jiàn)的結(jié)合策略有平均法、投票法和學(xué)習(xí)法。

目前常見(jiàn)的個(gè)體學(xué)習(xí)器產(chǎn)生方法可分為兩類：a）個(gè)體學(xué)習(xí)器之間存在依賴關(guān)系，采用串行化方式生成個(gè)體學(xué)習(xí)器，典型的代表算法是AdaBoost；b）個(gè)體學(xué)習(xí)器之間不存在依賴關(guān)系，可采用并行化方式生成個(gè)體學(xué)習(xí)器，典型的代表算法是隨機(jī)森林（random forest）。

3.2 個(gè)體學(xué)習(xí)器選擇算法

根據(jù)上述可知，想要構(gòu)建一個(gè)泛化性能好的集成學(xué)習(xí)算法，個(gè)體學(xué)習(xí)應(yīng)滿足“好而不同”，根據(jù)Krogh等人在1995年提出的誤差—分歧分解（error-ambiguity decomposition）理論可知，個(gè)體學(xué)習(xí)器的準(zhǔn)確度越高，多樣性越大，則集成的效果越好，但是在現(xiàn)實(shí)的任務(wù)中很難進(jìn)行優(yōu)化且優(yōu)化方法只適用于回歸學(xué)習(xí)，很難推廣到分類學(xué)習(xí)的任務(wù)上去。而異常檢測(cè)是一個(gè)分類問(wèn)題，且要求是一個(gè)半監(jiān)督學(xué)習(xí)分類問(wèn)題，因此需要找到一種適合半監(jiān)督學(xué)習(xí)的集成學(xué)習(xí)方法。為了將集成學(xué)習(xí)用于設(shè)備的異常檢測(cè)，本文提出一種度量個(gè)體學(xué)習(xí)器多樣性的算法IISA。該算法利用相關(guān)系數(shù)度量個(gè)體學(xué)習(xí)器之間的相似度，在最大化相似度的前提下減少個(gè)體學(xué)習(xí)器的個(gè)數(shù)，實(shí)現(xiàn)在提高檢測(cè)準(zhǔn)確度的同時(shí)，降低檢測(cè)算法的時(shí)間復(fù)雜度。

給定數(shù)據(jù)集D={（x1，y1），（x2，y2），…，（xm，ym）}與二分類任務(wù)，yi∈（－1，+1），分類器hi和hj的預(yù)測(cè)結(jié)果如表2所示。其中，a表示hi和hj均預(yù)測(cè)為正類的樣本數(shù)目；b、c、d的含義依此類推；a+b+c+d=m；此時(shí)分類器hi和hj的相關(guān)系數(shù)ρij可由公式ρij=ad－bc（a+b）（a+c）（c+d）（b+d）表示，ρij的取值為［－1，+1］，ρij=0表示hi和hj無(wú)關(guān)；ρijgt;0代表正相關(guān)；ρijlt;0代表負(fù)相關(guān)。

本文提出的集成學(xué)習(xí)算法由八個(gè)個(gè)體學(xué)習(xí)器篩選組成，這八個(gè)個(gè)體學(xué)習(xí)器分別是由八種半監(jiān)督機(jī)器學(xué)習(xí)算法訓(xùn)練得到，分別是基于直方圖的異常值檢測(cè)（histogram-based outlier score，HBOS）［16］、輕量級(jí)異常在線檢測(cè)器LODA（lightweight on-line detector of anomalies）［17］、局部異常因子（local outlier factor，LOF）［18］、基于角度的異常值檢測(cè)器（angle-based outlier detector，ABOD）［19］、基于聚類的局部異常因子（clustering based local outlier factor，CBLOF）［20］、K最近鄰（K-nearest neighbors，KNN）［21］、主成分分析分析（principal component analysis，PCA）［22］和最小協(xié)方差行列式異常值檢測(cè)（outlier detection with minimum covariance determinant，MCD）［23］。

個(gè)體學(xué)習(xí)器應(yīng)該滿足“好而不同”。在本文的實(shí)驗(yàn)環(huán)境中，這八種個(gè)體學(xué)習(xí)器單獨(dú)進(jìn)行異常檢測(cè)時(shí)其誤判率低于10%，可以滿足“好”的特點(diǎn)。然后本文利用相關(guān)系數(shù)來(lái)度量這些個(gè)體學(xué)習(xí)器之間的相似度，在實(shí)驗(yàn)環(huán)境中采集設(shè)備正常運(yùn)行時(shí)的數(shù)據(jù)，從這些數(shù)據(jù)中提取出特征信息，組成訓(xùn)練算法所需要的樣本集合，并將其稱為正常樣本集S，將S均分為兩部分，一部分作為訓(xùn)練集Ta，一部分作為測(cè)試集Te。上述八種半監(jiān)督算法用訓(xùn)練集Ta訓(xùn)練模型，然后用訓(xùn)練好的模型對(duì)測(cè)試集Te的樣本進(jìn)行檢測(cè)，得到八個(gè)檢測(cè)結(jié)果的集合M={D1，D2，…，D8}，分別計(jì)算出它們?nèi)我鈨蓚€(gè)之間的相關(guān)系數(shù)Rij，從中挑選出最小的相關(guān)系數(shù)Rmn，代表結(jié)果集Dm和Dn的相關(guān)系數(shù)最小，將結(jié)果集Dm和Dn加入到集合G中，此時(shí)G={Dm，Dn}，然后求出集合M∩中一個(gè)結(jié)果集和G中所有結(jié)果集之間的相關(guān)系數(shù)之和，M∩存在一個(gè)結(jié)果集Dk使得公式Sum=∑Di∈GRik取得最小值，將Dk加入到集合G中，重復(fù)上述步驟，直到將集合M中的結(jié)果集全部加入到集合G，此時(shí)集合G中存放的結(jié)果集的相關(guān)性就是按照加入時(shí)的順序依次遞減，這樣就可以求出多樣性強(qiáng)的個(gè)體學(xué)習(xí)器，該算法具體的實(shí)現(xiàn)步驟見(jiàn)算法1。

算法1 個(gè)體學(xué)習(xí)器選擇算法IISA

輸入：設(shè)備正常運(yùn)行時(shí)采集的樣本集合S;八種半監(jiān)督機(jī)器學(xué)習(xí)算法。

輸出：按照上文中結(jié)果集之間的相關(guān)系數(shù)之和Sum最小原則，按順序輸出個(gè)體學(xué)習(xí)器。

a）將樣本集合S均分為訓(xùn)練集Ta和測(cè)試集Te;

b）八種半監(jiān)督機(jī)器學(xué)習(xí)算法使用訓(xùn)練集Ta訓(xùn)練異常檢測(cè)模型;

c）使用八種半監(jiān)督機(jī)器學(xué)習(xí)算法訓(xùn)練好的模型對(duì)測(cè)試集Te中的每個(gè)樣本進(jìn)行檢測(cè)，每個(gè)檢測(cè)模型會(huì)得到一個(gè)檢測(cè)結(jié)果集合Di，最后得到八個(gè)檢測(cè)結(jié)果的集合M={D1，D2，…，D8};

d）使用上文中的公式ρij=ad－bc（a+b）（a+c）（c+d）（b+d）分別計(jì)算出它們?nèi)我鈨蓚€(gè)之間的相關(guān)系數(shù)Rij;

e）從Rij中挑選出最小的相關(guān)系數(shù)Rmn，代表結(jié)果集Dm和Dn的相關(guān)系數(shù)最小，將結(jié)果集Dm和Dn加入到集合G，此時(shí)，G={Dm，Dn};

f）求出集合M和集合的交集I=M∩;

循環(huán)開(kāi)始：對(duì)于每個(gè)Dk，Dk∈I

求出Sumk=∑Zi∈GRki

循環(huán)結(jié)束：找到最小的Sump

g）將Sump對(duì)應(yīng)的結(jié)果集Dp加入到集合G中;

h）重復(fù)步驟f）g），直到集合M中的結(jié)果集全部加入到集合G;

i）將集合G中的結(jié)果集合按加入集合G時(shí)的順序輸出。

4 實(shí)驗(yàn)與結(jié)果分析

4.1 軟硬件環(huán)境

軟件：Windows 10 64位操作系統(tǒng)，Python 3.8.4，Jupyter Notebook；硬件：Intel Core i5-5200U@2.20 GHz，CPU 8 GB內(nèi)存。

4.2 數(shù)據(jù)集

本文使用的樣本是由實(shí)驗(yàn)室中部署的七臺(tái)物聯(lián)網(wǎng)設(shè)備中采集的真實(shí)流量制作而成，每臺(tái)設(shè)備收集30 000個(gè)樣本進(jìn)行檢測(cè)。這些設(shè)備包含兩臺(tái)環(huán)境溫濕度、大氣壓強(qiáng)采集設(shè)備（Ⅰ，Ⅱ），一臺(tái)報(bào)警器（Ⅲ），兩臺(tái)網(wǎng)絡(luò)攝像頭（Ⅳ，Ⅴ），一個(gè)智能小車（Ⅵ）和一臺(tái)智能風(fēng)扇（Ⅶ）。包含這七臺(tái)設(shè)備組成的物聯(lián)網(wǎng)環(huán)境如圖2所示，用物聯(lián)網(wǎng)中常見(jiàn)的僵尸網(wǎng)絡(luò)病毒Mirai去感染物聯(lián)網(wǎng)設(shè)備，并發(fā)動(dòng)掃描攻擊Scan、Ack泛洪攻擊、Syn泛洪攻擊、UDP泛洪攻擊和高速率UDP泛洪攻擊UDPplain五種類型攻擊。

4.3 評(píng)估標(biāo)準(zhǔn)

基于分類的檢測(cè)模型，可以根據(jù)混淆矩陣中數(shù)據(jù)分布的情況對(duì)模型進(jìn)行評(píng)估，該矩陣表示如表3所示。本文主要用到的評(píng)估標(biāo)準(zhǔn)有準(zhǔn)確率、查全率，具體的定義如下：

a）準(zhǔn)確率。accuracy=2×P×RP+R表示正確分類的樣本占總樣本的比例。

b）查準(zhǔn)率。P=TPTP+FP表示正確預(yù)測(cè)為正樣本占所有預(yù)測(cè)為正樣本的比例。

c）查全率。R=TPTP+FN表示正確預(yù)測(cè)為正樣本占所有正樣本的比例。

4.4 結(jié)果及分析

通過(guò)對(duì)八種半監(jiān)督機(jī)器學(xué)習(xí)算法訓(xùn)練得到的個(gè)體學(xué)習(xí)器進(jìn)行選擇。圖3顯示了這七臺(tái)設(shè)備根據(jù)IISA選擇適合自身的最優(yōu)個(gè)體學(xué)習(xí)器的過(guò)程。隨著個(gè)體學(xué)習(xí)器數(shù)量的增加，這七臺(tái)設(shè)備檢測(cè)結(jié)果的查全率總體的趨勢(shì)是先下降后上升，趨勢(shì)下降且在集成四個(gè)個(gè)體學(xué)習(xí)器時(shí)達(dá)到最優(yōu)檢測(cè)效果，這說(shuō)明隨著集成多個(gè)查全率相近、但是差異性較大的個(gè)體學(xué)習(xí)器后，滿足個(gè)體學(xué)習(xí)器“好而不同”的要求；趨勢(shì)上升說(shuō)明一個(gè)問(wèn)題，在集成學(xué)習(xí)中盲目地增加個(gè)體學(xué)習(xí)器的數(shù)量并不一定能提高檢測(cè)結(jié)果的查全率，反而會(huì)降低，這是因?yàn)楫?dāng)一個(gè)集成學(xué)習(xí)算法集成了多個(gè)檢測(cè)效果較差的個(gè)體學(xué)習(xí)器或者多個(gè)檢測(cè)結(jié)果相近的個(gè)體學(xué)習(xí)器時(shí)，由于檢測(cè)結(jié)果是采用投票的方式得到，相似的個(gè)體學(xué)習(xí)器和檢測(cè)效果較差的個(gè)體學(xué)習(xí)器的數(shù)量越多對(duì)投票結(jié)果的影響就會(huì)越大，從而降低檢測(cè)結(jié)果的查全率。

個(gè)體學(xué)習(xí)的數(shù)量不僅可能降低集成學(xué)習(xí)檢測(cè)的效果，而且還會(huì)增加檢測(cè)的時(shí)間，降低檢測(cè)效率。表4顯示了每種類型設(shè)備對(duì)應(yīng)的最優(yōu)個(gè)體學(xué)習(xí)器組合，圖4顯示了每種類型設(shè)備采用對(duì)應(yīng)最優(yōu)個(gè)體學(xué)習(xí)器組合來(lái)構(gòu)建集成學(xué)習(xí)，檢測(cè)效率最低提高36.74%，最高提高70.72%。

集成學(xué)習(xí)可集成多種機(jī)器學(xué)習(xí)算法，因而具有良好的泛化性能。從表5和6可以看出，對(duì)比八種半監(jiān)督學(xué)習(xí)算法，采用IISA選擇出的最優(yōu)個(gè)體學(xué)習(xí)器組成的集成學(xué)習(xí)算法，設(shè)備Ⅰ～Ⅶ的查全率分別最小可以降低3.61%、7.00%、7.79%、3.67%、0.76%、5.44%、1.81%，最大可以降低6.67%、8.24%、8.92%、5.60%、9.37%、6.87%、9.12%；其準(zhǔn)確率最小可以提高1.81%、3.51%、3.90%、1.84%、0.39%、2.73%、0.91%；最大可以提高3.36%、4.13%、4.47%、2.80%、4.69%、3.44%、4.57%。和八種半監(jiān)督學(xué)習(xí)算法融合成的集成算法All相比，設(shè)備Ⅰ～Ⅶ的查全率最小可以降低0.3%，最大可以降低1.69%；其準(zhǔn)確率最小可以提高0.28%，最大可以提高2.89%。

5 結(jié)束語(yǔ)

針對(duì)物聯(lián)網(wǎng)環(huán)境中設(shè)備特點(diǎn)以及存在的僵尸網(wǎng)絡(luò)病毒問(wèn)題，本文從設(shè)備流量處理和檢測(cè)算法兩方面考慮。設(shè)備流量處理方面，本文采用滑動(dòng)時(shí)間窗口和基于增量計(jì)算統(tǒng)計(jì)量的方法，可降低設(shè)備在流量采集，提取特征信息階段的負(fù)擔(dān)；在檢測(cè)算法方面，提出一種個(gè)體學(xué)習(xí)器選擇算法IISA，IISA采用相關(guān)系數(shù)來(lái)度量個(gè)體學(xué)習(xí)器的多樣性，通過(guò)計(jì)算出個(gè)體學(xué)習(xí)器之間的相似度，在最大化相似度的前提下減少個(gè)體學(xué)習(xí)器的個(gè)數(shù)，通過(guò)篩選出差異性大的個(gè)體學(xué)習(xí)器作為最優(yōu)個(gè)體學(xué)習(xí)器組合，并以此構(gòu)建集成學(xué)習(xí)算法。該集成學(xué)習(xí)算法不僅提高了檢測(cè)效率，而且相較于八種半監(jiān)督學(xué)習(xí)算法，在查全率和準(zhǔn)確率方面均有更好性能。

下一步工作考慮將集成學(xué)習(xí)和深度學(xué)習(xí)算法結(jié)合起來(lái)，以進(jìn)一步提高檢測(cè)算法的準(zhǔn)確率。

參考文獻(xiàn)：

[1]Borgia E. The Internet of Things vision： key features， applications and open issues［J］.Computer Communications，2014，54：1-31.

［2]Notra S， Siddiqi M， Gharakheili H H， et al. An experimental study of security and privacy risks with emerging household appliances［C］//Proc of Communications amp; Network Security. Piscataway，NJ：IEEE Press，2014：79-8.

［3]Sicari S， Rizzardi A， Grieco L A， et al. Security， privacy and trust in Internet of Things：the road ahead［J］.Computer Networks，2015，76（15）：146-164.

［4]Kolias C， Kambourakis G， Stavrou A， et al. DDoS in the IoT： Mirai and other botnets［J］.Computer，2017，50（7）：80-84.

［5]Bertino E， Islam N. Botnets and Internet of Things security［J］.Computer，2017，50（2）：76-79.

［6]Hallman R， Bryan J， Palavicini G， et al. IoDDoS—the Internet of distributed denial of service attacks： a case study of the Mirai malware and IoT-based botnets［C］//Proc of the 2nd International Conference on Internet of Things.[S.l.]：SciTePress，2017：47-58.

［7]Raza S， Wallgren L， Voigt T. SVELTE： real-time intrusion detection in the Internet of Things［J］.Ad hoc Networks，2013，11（8）：2661-2674.

［8]Bertino E， Islam N. Botnets and Internet of Things security［J］.Computer，2017，50（2）：76-79.

［9]Sommer R， Paxson V. Outside the closed world： on using machine learning for network intrusion detection［C］//Proc of IEEE Symposium on Security and Privacy. Piscataway，NJ：IEEE Press，2010：305-316.

［10]Meidan Y， Bohadana M， Mathov Y， et al. N-BaIoT： network-based detection of IoT botnet attacks using deep autoencoders［J］.IEEE Pervasive Computing，2018，17（3）：12-22.

［11]Jia Bin， Ma Yan，Huang Xiaohong， et al. A novel real-time DDoS attack detection mechanism based on MDRA algorithm in big data［J］.Mathematical Problems in Engineering，2016，2016：article ID 1467051.

［12]麻文剛，張亞?wèn)|，郭進(jìn).基于LSTM與改進(jìn)殘差網(wǎng)絡(luò)優(yōu)化的異常流量檢測(cè)方法［J］.通信學(xué)報(bào)，2021，42（5）：23-40.（Ma Wengang， Zhang Yadong， Guo Jin. Abnormal traffic detection method based on LSTM and improved residual neural network optimization［J］.Journal on Communications，2021，42（5）：23-40.）

［13]宋勇，侯冰楠，蔡志平.基于深度學(xué)習(xí)特征提取的網(wǎng)絡(luò)入侵檢測(cè)方法［J］.華中科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2021，49（2）：1-7.（Song Yong， Hou Bingnan， Cai Zhiping. Network intrusion detection me-thod based on deep learning feature extraction［J］.Journal of Huazhong University of Science and Technology：Natural Science Edition，2021，49（2）：1-7.）

［14]Garca S， Zunino A， Campo M. Survey on network-based botnet detection methods［J］.Security amp; Communication Networks，2014，7（5）：878-903.

［15]Wang Wei ， Shang Yaoyao， He Yongzhong， et al. BotMark： automated botnet detection with hybrid analysis of flow-based and graph-based traffic behaviors［J］.Information Sciences，2020，511：284-296.

［16]Goldstein M， Dengel A. Histogram-based outlier score （HBOS）： a fast unsupervised anomaly detection algorithm［C］//Proc of the 35th German Conference on Artificial Intelligence.2012：59-63.

［17]Pevn T. LODA： lightweight on-line detector of anomalies［J］.Machine Learning，2016，102（2）：275-304.

［18]Breunig M M， Kriegel H P， Ng R T， et al. LOF： identifying density-based local outliers［C］//Proc of ACM SIGMOD International Confe-rence on Management of Data.2000：93-104.

［19]Kriegel H P， Schubert M， Zimek A. Angle-based outlier detection in high-dimensional data［C］//Proc of the 14th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining.New York：ACM Press，2008：24-27.

［20]He Zengyou， Xu Xiaofei， Deng Shengshun. Discovering cluster-based local outliers［J］.Pattern Recognition Letters，2003，24（9-10）：1641-1650.

［21]Angiulli F， Pizzuti C. Fast outlier detection in high dimensional spaces［C］//Proc of European Conference on Principles of Data Mi-ning amp; Knowledge Discovery.Berlin：Springer，2002：15-27.

［22]Shyu M， Chen S， Sarinnapakorn K， et al. A novel anomaly detection scheme based on principal component classifier［C］//Proc of IEEE Foundations amp; New Directions of Data Mining Workshop.Piscataway，NJ：IEEE Press，2003：1-9.

［23]Hardin J， Rocke D M. Outlier detection in the multiple cluster setting using the minimum covariance determinant estimator［J］.Computational Statistics and Data Analysis，2007，44（4）：625-638.