基于物聯網平臺的動態權重損失函數入侵檢測系統

董寧，程曉榮，張銘泉

基于物聯網平臺的動態權重損失函數入侵檢測系統

董寧*，程曉榮，張銘泉

（華北電力大學（保定） 計算機系，河北 保定 071003）（ ? 通信作者電子郵箱1197071587@qq.com）

隨著物聯網（IoT）接入設備越來越多，以及網絡管理維護人員缺乏對IoT設備的安全意識，針對IoT環境和設備的攻擊逐漸泛濫。為了加強IoT環境下的網絡安全性，利用基于IoT平臺制作的入侵檢測數據集，采用卷積神經網絡（CNN）+長短期記憶（LSTM）網絡為模型架構，利用CNN提取數據的空間特征，LSTM提取數據的時序特征，并將交叉熵損失函數改進為動態權重交叉熵損失函數，制作出一個針對IoT環境的入侵檢測系統（IDS）。經實驗設計分析，并使用準確率、精確率、召回率和F1-measure作為評估參數。實驗結果表明在CNN-LSTM網絡架構下采用了動態權重損失函數的模型與采用傳統的交叉熵損失函數的模型相比，前者比后者在使用數據集的地址解析協議（ARP）類樣本中在F1-Measure上提升了47個百分點，前者比后者針對數據集中的其他少數類樣本則提升了2個百分點～10個百分點。實驗結果表明，動態權重損失函數能夠增強模型對少數類樣本的判別能力，且該方法可以提升IDS對少數類攻擊樣本的判斷能力。

動態權重損失函數；入侵檢測；深度學習；卷積神經網絡；長短期記憶；物聯網

0 引言

隨著無線通信技術的不斷發展和完善，無線通信的距離越來越遠，通信質量越來越高，能耗越來越低。更多的物聯網（Internet of Things， IoT）設備開始接入互聯網中。截止到2020年，共有500億個物聯網設備已接入互聯網［1］，全球物聯網安全支出達到31億美元［2］，隨著物聯網規模的不斷增大，原本存在于互聯網世界中的攻擊方式也逐漸轉移到物聯網中。同時，由于物聯網萬物互聯的特性，黑客對物聯網所發起的攻擊也會造成更嚴重的危害。

目前提出的針對物聯網的入侵檢測系統（Intrusion Detection System， IDS）多是基于NSL-KDD、UNSW-NB15等面向主機入侵或網絡入侵的數據集。而物聯網環境中，由于物聯網設備計算能力比較弱，且部分設備由電池供電，因此無法部署復雜的服務，針對物聯網設備的攻擊比較單一。本文所采用的在物聯網環境下生成的數據集［3］提供了4種基本攻擊類型。4種基本攻擊類型如下：

1） DoS（Denial of Service）：由于物聯網設備計算能力較低，無法處理復雜的業務，因此更容易遭受DoS攻擊導致設備無法正常使用。

2） Scan： 早期運維人員對針對物聯網設備攻擊的防范意識不強，部分設備直接暴露在公網中且設置默認賬號密碼。有些軟件甚至不能遠程更新升級和打補丁，因此物聯網環境下有很多存在漏洞的設備，且目前針對物聯網設備的信息收集和漏洞掃描技術都比較成熟。

3） ARP MITM（Man-In-The-Middle attack）：物聯網設備之間均是明文通信，因此可以使用地址解析協議（Address Resolution Protocol， ARP）中間人監聽，獲取設備間的通信信息。

4） 僵尸網絡： 僵尸網絡是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間形成一個可一對多控制的網絡。通過僵尸網絡，黑客可以發動DDoS（Distributed Denial of Service）攻擊獲取不正當利益。

1 相關工作

現有入侵檢測系統采用的數據集多為KDDCup1999、NSL-KDD、UNSW-NB15等面向主機或者網絡的數據集。這些數據集具有較多且復雜的類型和標簽。然而在物聯網環境中，由于算力和能源的局限性，難以部署復雜的業務和應用，因此以上數據集并非完全適用于物聯網環境下的入侵檢測系統。同時，以上數據集均存在數據不平衡的問題，如NSL-KDD數據集，共4種基本攻擊類型，其數據分布如表1所示。

表1　NSL-KDD數據集樣本分布

該數據集中Normal和DoS樣本數量遠遠高于U2R（User-to-Root）和R2L（Remote-to-Login）兩種攻擊類型；且測試集中R2L的樣本數是訓練集中其樣本數的兩倍。此時可知訓練集和測試集分布是不同的，這也是大部分入侵檢測系統在U2R和R2L數據上表現不佳的原因。為了解決上述問題，很多學者提出了各種模型和入侵檢測方法。

Thamilarasu等［4］提出利用深度信念網絡（Deep Belief Network，DBN）和深度神經網絡（Deep Neutral Network，DNN）結合來訓練入侵檢測模型。首先利用DBN對網絡參數進行無監督學習預訓練，然后利用DNN進行監督學習。該方法在二分類的情況下達到了較高的準確率。然而二分類很難部署在實際應用中，因為網絡維護人員無法根據兩種分類的結果部署相應的應急防護措施。Wang等［5］提出首先利用堆疊降噪自動編碼器（Stacked Denoising Auto-Encoder， SDAE）對數據進行降噪處理，然后利用反向傳播算法，構造極限學習機模型對參數進行微調。該方法在多種數據集上取得了較好的結果，然而在U2R和R2L兩種攻擊類型的判別上表現欠佳。Shone等［6］提出利用AE對數據進行特征提取，然后使用隨機森林做判別。利用KDD99和NSL-KDD數據集進行實驗，模型最終取得較好的表現，且訓練時間較短，但由于數據不足，U2R和R2L的表現不佳。Hassan等［7］提出利用卷積神經網絡（Convolutional Neural Network， CNN）和雙向長短期記憶（Bi-directional Long Short-Term Memory， BiLSTM）神經網絡架構，使用UNSW-NB15數據集設計入侵檢測系統，但是模型對數據集中少數類樣本的表現不佳。Almiani等［8］提出多層循環神經網絡（Recurrent Neural Network， RNN）模型，利用NSL-KDD數據集，在物聯網霧節點部署入侵檢測系統，然而由于霧節點本身的安全性得不到保障，入侵檢測系統也容易遭到破壞。Vasan等［9］提出一個跨平臺的物聯網設備內的惡意軟件檢測系統。該系統可以檢測物聯網設備內部的軟件是否含有惡意代碼，且可以跨平臺運行，然而不能防御來自網絡和其他設備的攻擊。Li等［10］提出多卷積神經網絡，將特征根據相關性劃分為四個部分，并將一維特征數據轉為灰度圖，利用多卷積神經網絡進行數據類型識別。劉輝等［11］提出動態權重代價函數做目標煙塵檢測。該動態權重為設定一個在［0，1］內呈單調遞減且值域為［0，1］的函數，并與原代價函數相乘，通過該方法來縮小模型對確定性樣本的誤差同時放大模型判斷不確定性樣本的誤差。

本文利用在真實物聯網環境下收集的數據集，構造CNN-LSTM網絡，利用CNN和LSTM網絡的特性和優點對數據集中的網絡流判斷是否為攻擊行為且給出攻擊的基本類型。同時本文對傳統的交叉熵代價函數改進，將其改為能夠根據batch內每一類樣本的數量動態改變對應類樣本權重的代價函數。該代價函數在不改變數據集原始分布的情況下有效地緩解了傳統深度學習中數據分布不平衡時模型無法學習少數類樣本的問題。

2 入侵檢測系統設計

2.1　數據集處理

本文使用的數據集是Google在Internet of Things （IoT）環境制作的僵尸網絡數據集。該數據集具有620 000條數據和83個特征，其中包括基于網絡流（Flow）的特征，因此研究人員可以基于流信息設計IoT環境下的入侵檢測系統。數據集中有3個標簽，包括1個二分類標簽和2個多分類標簽。第1個多分類標簽將流量分為正常和基本攻擊類型，第2個多分類標簽將基本攻擊類型細分成更多攻擊類型。本文使用具有4種攻擊類型的第1個多類別標簽。4個基本攻擊類型為：Scan、DoS、ARP中間人欺騙和Mirai。其中，Mirai是一個于2016年左右出現的僵尸網絡。該數據集的數據分布如表2所示。

表2　IoT入侵檢測數據集樣本分布

可以看出該數據集雖沒有NSL-KDD數據集嚴重的數據分布不均衡，但Mirai標簽數量仍然遠遠高于其他類型。

在數據集處理過程中，由于某些特征之間的值差異較大，因此對這些特征進行了歸一化［12］。歸一化公式如式（1）所示：

在歸一化過程中，由于特征內部不同樣本的巨大差異，特征歸一化后，部分數據出現了NaN的情況，因為該情況會影響后續訓練，因此刪除了數據集中出現NaN的特征。同時，某些特征（例如源IP、目標IP、時間戳等）僅在數據集中具有相關性，無法在現實中應用，因此這些特征也被刪除。

由于該數據集為單個文件，并未劃分為訓練集和測試集，因此在實驗中數據集按7∶3分為訓練集和測試集。通過one-hot編碼處理數據集中的離散型標簽。訓練集和測試集都以64個樣本為一個進行了訓練和測試。

2.2　系統設計

本文所提出的入侵檢測系統基于網絡型。物聯網設備通過監聽來自外部的流量判斷是否構成攻擊行為并發出警報。按照物聯網三層架構的劃分（感知層、網絡層、應用層），該系統則部署和工作在網絡層。如圖1所示為系統的工作流程。

圖1　本文系統工作流程

在物聯網工作過程中，感知層負責信息的收集和交換，并最終匯總到智能網關，網關將信息上傳至云平臺或應用，等待下一步指令。雖然感知層存在多種數據傳輸和交換協議，然而物聯網設備或網關在與應用或云平臺交互時，仍多使用TCP/IP（Transmission Control Protocol/Internet Protocol）棧，而本文系統使用基于TCP/IP棧生成的流量進行訓練，所針對的目標為暴露在公網上的物聯網智能網關或其他設備，防止其受到惡意用戶或受病毒感染設備的攻擊，因此本文系統能夠跨底層協議部署和使用。同時由圖1可知，系統在工作過程中僅對接收到的流量進行判斷，并做出相應處理動作，因此系統在工作過程中無額外的通信消耗。

2.3　網絡架構

本文采用CNN-LSTM的網絡結構，其中CNN用于提取數據中的空間特征，而LSTM用于提取數據中的連續性特征。

CNN-LSTM網絡多用于視頻行為識別、圖片標注、圖片問答等領域。CNN用于提取圖像中的特征信息，LSTM根據CNN給出的序列化特征信息給出對應的輸出信息，如視頻中的行為、圖像的標注等，此時CNN可看作LSTM的一個特征提取器。在入侵檢測領域中，由于CNN網絡局部連接和權值共享的特性使得其參數數量、資源消耗都少于其他深度神經網絡，因此CNN也適用于在能源和計算資源都相對匱乏的物聯網設備上使用。在物聯網環境中，攻擊是作為一個連續的過程產生的，如用戶對物聯網設備進行端口掃描時，在網絡中則體現為多個連續的針對物聯網設備的SYN（SYNchronization）標志位的TCP握手包，且目標端口號都是連續的。在入侵檢測中，如果僅對一個TCP握手包進行分析很難判斷是否為端口掃描，而將其多個數據包序列化輸入時并使用LSTM網絡判斷時，由于LSTM網絡可以得到之前多個樣本的特征信息，因此可以更加準確地判斷這些數據包為端口掃描攻擊［13］。本文通過使用CNN-LSTM網絡架構在減少計算資源消耗的同時，也能一定程度上提升模型在入侵檢測數據集上的各項指標。

由于本文所采用數據集特征數較少，不便二維化，因此在卷積層使用一維卷積處理。本文所采用的網絡結構如圖2所示。

圖2　模型架構

輸入層的中，為單批次數據的數量，本文中設定為64，67為經過處理后的數據的維度。為了保證訓練結果的準確度和在池化后數據維度不會過低，本文采用兩次卷積后最大池化的結構。同時在卷積和池化后，為了避免過擬合，本文添加了兩個Dropout層。在進入LSTM和SoftMax網絡前，均對數據進行全連接處理。

2.4　動態權重損失函數

為了解決數據集中數據分布不平衡的問題，本文提出了動態權重損失函數。在NSL-KDD這種數據嚴重失衡的數據集中，即使采用SMOTE（Synthetic Minority Oversampling TEchnique）［14］，在面臨只有50余個樣本的情況下，過多的采樣最終會變成重復采樣，且會增加大量的噪聲。本文在傳統的交叉熵損失函數的基礎上添加動態權重，在不改變數據集的情況下，解決了部分數據分布不平衡所引發的部分標簽精度過低的問題。

在實際開發中，已經有程序設計出具有帶權的損失函數，然而權重是靜態的，且基于單個樣本不能滿足訓練過程中的需要；因此，本文根據訓練中每一個內樣本的分布，設計了一個動態權重損失函數。

該函數的核心是在假設模型對所有樣本的輸出所計算的交叉熵均一致時，每類樣本最終的損失相同。最終用公式表示如下：

在上述假設條件成立的情況下，單個內每類樣本最終的損失相同。此時考慮的是當一個內部樣本之間數量嚴重不平衡時，在傳統的交叉熵函數計算下，最終的代價函數值大部分由多數類樣本提供，因此模型僅針對多數類樣本訓練而忽略少數類樣本。在加入動態代價函數后，最終代價函數在理想狀態下（對每個類樣本的交叉熵計算相同）每類樣本所占的比例是相同的，此時模型會針對所有類樣本訓練而不會偏向針對某一類樣本。

在非理想狀態下，即對每個類樣本的交叉熵計算不同時，例如模型對A類（少數類）樣本輸出的交叉熵大于B類（多數類）樣本，這是由于模型對A、B兩類樣本的訓練程度和訓練效果的不同。在該狀態下，由于動態權重的加入，即使A、B兩類樣本失衡，在非理想狀態下A類樣本的權重依舊高于B類樣本，且最終代價函數值中A類占比更高，模型會更加偏向于A類樣本的訓練。此時模型逐步訓練直至A類樣本與B類樣本的交叉熵相對平衡達到理想狀態。且由權重計算公式可知，最終的權重僅與內每類樣本的數量相關，與每個樣本的交叉熵無關聯，因此在非理想狀態下動態權重代價函數依然適用。

總的來說，即使在訓練初期，每類樣本的交叉熵輸出不盡相同，但是隨著模型的訓練，每類樣本的最終的交叉熵輸出最終會達到相對平衡，即達到理想狀態。

3 實驗與結果分析

3.1　實驗設計

本次實驗在Kaggle云平臺部署和完成。其中CPU為雙核Intel Xeon，內存為16 GB，GPU為NVIDIA-Tesla-P100-PCIE-16 GB。經過多次實驗與統計分析，本文最終確定的網絡參數如下所示：

1） 卷積核大小為3，第一次池化前每個卷積層有32個卷積核，激活方式為ReLU（Rectified Linear Unit）。第一次池化后每個卷積層有64個卷積核，激活函數為ReLU。

2） 最大池化層大小為2，步長為2，經過池化后數據長度減半。

3） Dropout層參數定為0.25。

4） 進入LSTM網絡前全連接層節點數為32，從LSTM網絡輸出后全連接層節點數為5。

3.2　數據分析

本文使用準確率（Accuracy，）、精確率（Precision，）、召回率（Recall，）和F1-Measure（1）對模型進行評估。4個評價指標的計算公式如下：

其中：（True Positive）表示將攻擊判斷為攻擊類型的樣本數，（True Negative）表示將正常類型判定為正常類型的樣本數，（False Positive）表示將正常樣本判斷為攻擊類型的樣本數，（False Negative）表示將攻擊定義為正常類型的樣本數。

、、、均為在二分類下的參數。在本文中，設定除了當前樣本類型以外，其他類型樣本在計算當前樣本參數時，均設定為同一個類型。

未使用帶權損失函數的分類和評估結果如表3、4所示，由表4可知在5種類型中，DoS、Mirai、Normal三種類型的數據準確率、精確率、召回率都比較高。由于在數據預處理過程中，Flow_bytes和Flow_pkts兩個特征因為樣本之間差異過大，導致歸一化后部分值出現NaN，所以該兩項被刪除。而這兩項是評估掃描攻擊的重要依據，因此訓練后Scan類型的樣本并不如其他類型。而ARP攻擊類型由于樣本最少，且ARP攻擊比較特殊，是位于網絡協議層第2層和第3層之間的攻擊方式，因此檢測較為困難，表現也比較差。

表3　交叉熵損失函數模型分類

表4　交叉熵損失函數模型評估

表5、6為使用動態權重損失函數后的分類和評估結果。由于Mirai攻擊類型的權重相對降低且其他類型權重變高，因此其他類型數據誤報為Mirai類型變少，但也因為權重變化的原因，Mirai的一些數據被誤判為其他類型。此時采用動態權重損失函數模型相當于犧牲了一部分針對Mirai數據的判斷能力而提升了模型針對ARP和Scan類型的判斷能力。

表5　動態權重損失函數模型分類

表6　動態權重損失函數模型評估

如圖3所示為以上兩個模型在準確率、精確率和召回率的柱狀圖對比，可以看出兩個模型在不同的數據類型中互有優劣。其中對于少數樣本，精確率高而召回率低并不能說明模型在該類型表現良好，且在入侵檢測領域中，召回率表征的是模型是否能夠查全所有的攻擊流量，在實際應用中召回率對應于漏報率，召回率越高，漏報率越低。精確率對應于誤報率，精確率越高，誤報率越低。而在信息安全系統中，更傾向于降低漏報率，因此本文所提出的模型也更適合于實際應用。

圖3　評估指標柱狀圖

3.3　能耗分析

由于物聯網環境中設備硬件配置較差、算力低，且部分設備無穩定能源供應，因此部署在物聯網中的入侵檢測系統在保證準確率的同時，不能對設備資源有過多的消耗。為了降低模型的能耗，本文模型均在Python環境中進行設計和訓練，但在能耗測試實驗中，為了適應當前物聯網的應用環境且降低系統能耗，所有模型均使用C++語言，并利用TensorFlow lite，一個專為移動端和IoT設備所服務的TensorFlow框架部署。

本文在同一硬件基礎上，對常見的入侵檢測系統進行測試，統計其判斷一條數據所需要的平均時間、運行內存大小、CPU占比和一定時間內的耗電量。在電量消耗測試實驗中，固定時間內，模型每隔0.5 s進行一次判斷的電量消耗減去主機無任何程序運行時的電量消耗，記為模型在一定時間內的電量消耗［15］。在本次實驗中，除運行模型外主機已斷網，其他程序均已關閉，測試時間設置為1 h。

由表7可知本文所提出的模型在單條數據運行時間上略高于簡單CNN模型，遠高于人工神經網絡（Artificial Neural Network， ANN）模型，而低于LSTM和CNN-BiLSTM模型。在運行內存占用上，幾種模型除LSTM外，均相差無幾。在CPU利用率上，CNN-LSTM和CNN-BiLSTM略高于其他模型。在電量消耗上，由于測試時間內模型間隔較短，模型判斷次數遠遠超出實際應用，因此電量消耗較高。然而在實際應用中，入侵檢測系統需要收集固定量的數據包才可進行判斷，不會一直處于工作狀態。本文模型在單條數據判斷中第一次對數據進行判斷時間為1 630 μs，處于熱身狀態時單條數據平均時間為895 μs，處在平穩狀態時單條數據平均時間為846 μs，能夠滿足物聯網環境實時檢測要求。

表7　不同入侵檢測系統能耗比較

3.4　動態權重損失函數模型與其他模型對比

為了進一步體現動態權重損失函數針對不平衡數據集的處理結果，本文采用相同的網絡結構，使用NSL-KDD數據集進行訓練，制作出另一個入侵檢測系統。使用交叉熵損失函數和動態權重損失函數的模型評估結果如表8、9所示。

表8　NSL-KDD數據集上交叉熵損失函數模型評估

表9　NSL-KDD數據集動態權重損失函數模型評估

從表8、9中可以看出使用動態權重損失函數模型在DoS、Probe、Normal類樣本的表現上均小幅度優于使用交叉熵函數模型，而在U2R和R2L類樣本中大幅度優于交叉熵函數模型。在交叉熵損失函數模型評估矩陣計算過程中，由于沒有樣本被判定為U2R和R2L，所以該兩項精確度無法計算，且召回率為0。

本文與采用SMOTE過采樣技術處理后的數據集進行訓練的模型［16］對比，如表10所示，其中深度神經網絡（Deep Neural Network， DNN）是一種具有多個隱藏層的全連接神經網絡，專注損失網絡入侵檢測系統（Focal Loss Network Intrusion Detection System， FL-NIDS）為Mulyanto等［16］所提出的針對不平衡數據集所制作的代價函數敏感型入侵檢測系統。表10中DNN FL-NIDS、CNN FL-NIDS均為文獻［16］提出的模型。CNN-LSTM為本文所采用網絡架構模型。表10中除本文模型外，其他所有分類器所使用數據集均經過SMOTE過采樣處理。

從表10可以看到本文模型優于大部分數據集經過SMOTE過采樣的模型。由此可知本文所提出的采用動態權重損失函數的模型可以達到對數據SMOTE過采樣后進行訓練模型的水平。

表10　各分類器對比

雖然動態權重損失函數在一定程度上提升了模型在少量樣本的準確率和精確率，然而依舊不能達到其他標簽的程度。這是因為樣本過少和隨機生成的問題。動態權重損失函數若想效果發揮最大化，則需要內每種樣本都至少存在一個。然而由于生成的隨機性，且NSL-KDD數據集樣本過于失衡，U2R類樣本甚至只有54個，即使在理想狀態下，也不能滿足一個內部一個U2R樣本的需求。因此，在樣本過于失衡的情況下如何部署動態權重損失函數的模型達到最優化是未來要解決的問題之一。

4 結語

本文在基于IoT環境生成的入侵檢測數據集的基礎上，利用CNN+LSTM模型架構，將交叉熵函數改進為動態權重交叉熵損失函數，構建了一個基于物聯網設備的入侵檢測系統。通過動態權重損失函數的應用，該入侵檢測系統對現實世界少量的入侵流量可以實現更準確的判別。為了證明動態權重損失函數的作用，本文根據NSL-KDD數據集制作了另一個入侵檢測系統，經過數據分析，證明動態權重損失函數能提高模型對少數樣本的判別能力。同時由于形成的隨機性，且每次訓練后都要進行權重計算，因此模型的訓練的穩定程度下降，且訓練時間變長，這是我們未來要解決的問題。

[1] AL-GARADI M A， MOHAMED A， AL-ALI A K， et al. A survey of machine and deep learning methods for Internet of Things （IoT） security［J］. IEEE Communications Surveys and Tutorials， 2020， 22（3）：1646-1685.

[2] CASSALES G W， SENGER H， DE FARIA E R， et al. IDSA-IoT： an intrusion detection system architecture for IoT networks［C］// Proceedings of the 2019 IEEE Symposium on Computers and Communications. Piscataway： IEEE， 2019： 1-7.

[3] ULLAH I， MAHMOUD Q H. A scheme for generating a dataset for anomalous activity detection in IoT networks［C］// Proceedings of the 2020 Canadian Conference on Artificial Intelligence， LNCS 12109. Cham： Springer， 2020： 508-520.

[4] THAMILARASU G， CHAWLA S. Towards deep-learning-driven intrusion detection for the Internet of Things［J］. Sensors， 2019， 19（9）： No.1977.

[5] WANG Z D， LIU Y D， HE D J， et al. Intrusion detection methods based on integrated deep learning model［J］. Computers and Security， 2021， 103： No.102177.

[6] SHONE N， NGOC T N， PHAI V D， et al. A deep learning approach to network intrusion detection［J］. IEEE Transactions on Emerging Topics in computational Intelligence， 2018， 2（1）： 41-50.

[7] HASSAN M M， GUMAEI A， ALSANAD A， et al. A hybrid deep learning model for efficient intrusion detection in big data environment［J］. Information Sciences， 2020， 513： 386-396.

[8] ALMIANI M， AbuGHAZLEH A， AL-RAHAYFEH A， et al. Deep recurrent neural network for IoT intrusion detection system［J］. Simulation Modelling Practice and Theory， 2020， 101： No.102031.

[9] VASAN D， ALAZAB M， VENKATRAMAN S， et al. MTHAEL： cross-architecture IoT malware detection based on neural network advanced ensemble learning［J］. IEEE Transactions on Computers， 2020， 69（11）： 1654-1667.

[10] LI Y M， XU Y Y， LIU Z， et al. Robust detection for network intrusion of industrial IoT based on multi-CNN fusion［J］. Measurement， 2020， 154： No.107450.

[11] 劉輝，張俊鵬，李清榮. 多尺度卷積與動態權重代價函數的全卷積網絡工業煙塵目標分割［J］. 計算機輔助設計與圖形學學報， 2020， 32（12）：1898-1909.（LIU H， ZHANG J P， LI Q R. Industrial smoke target segmentation based on fully convolutional networks with multiscale convolution and dynamic weight loss function［J］. Journal of Computer-Aided Design and Computer Graphics， 2020， 32（12）： 1898-1909.）

[12] 唐小棠. 基于機器學習的入侵檢測及其在物聯網安全的應用［D］. 上海：上海交通大學， 2019：70-79.（TANG X T. Learning-based intrusion detection methods and their application to IoT security［D］. Shanghai： Shanghai Jiao Tong University， 2019：70-79.）

[13] 李超，柴玉梅，南曉斐，等. 基于深度學習的問題分類方法研究［J］. 計算機科學， 2016， 43（12）：115-119.（LI C， CHAI Y M， NAN X F， et al. Research on problem classification method based on deep learning［J］. Computer Science， 2016， 43（12）： 115-119.）

[14] CHAWLA N V， BOWYER K W， HALL L O， et al. SMOTE： synthetic minority over-sampling technique［J］. Journal of Artificial Intelligence Research， 2002， 16： 321-357.

[15] 潘建國，李豪. 基于實用拜占庭容錯的物聯網入侵檢測方法［J］. 計算機應用， 2019， 39（6）：1742-1746.（PAN J G， LI H. Intrusion detection approach for IoT based on practical Byzantine fault tolerance［J］. Journal of Computer Applications， 2019， 39（6）： 1742-1746.）

[16] MULYANTO M， FAISAL M， PRAKOSA S W， et al. Effectiveness of focal loss for minority classification in network intrusion detection systems［J］. Symmetry， 2021， 13（1）： No.4.

DONG Ning， born in 1998， M. S. candidate. His research interests include deep learning， information security.

CHENG Xiaorong， born in 1963， Ph. D.， professor. Her research interests include network security， big data.

ZHANG Mingquan， born in 1980， Ph. D.， lecturer. His research interests include computer architecture， big data.

Intrusion detection system with dynamic weight loss function based on internet of things platform

DONG Ning*， CHENG Xiaorong， ZHANG Mingquan

（，，071003，）

With the increasing number of Internet of Things （IoT） access devices， and the lack of awareness of the security of IoT devices of network management and maintenance staffs， attacks in IoT environment and on IoT devices spread gradually. In order to strengthen network security in IoT environment， an intrusion detection dataset based on IoT platform was used， the Convolutional Neural Network （CNN） + Long-Short Term Memory （LSTM） network was adopted as the model architecture， CNN was used to extract data spatial features， and LSTM was used to extract the data temporal features， the cross-entropy loss function was improved to a dynamic weight cross-entropy loss function， and an Intrusion Detection System （IDS） for IoT environment was produced. Experiments were designed and analyzed， and accuracy， precision， recall and F1-Measure were used as evaluation metrics. Experimental results show that compared with the model using traditional cross-entropy loss function， the proposed model using dynamic weight loss function under CNN-LSTM network architecture has an improvement of 47 percentage points in F1-Measure for Address Resolution Protocol （ARP） samples in the dataset， and has an improvement of 2 percentage points to 10 percentage points for other minority class samples in the dataset， which verifies the dynamic weight loss function can enhance the model’s ability to discriminate minority class samples， and this method can improve IDS’s ability to judge minority class attack samples.

dynamic weight loss function; intrusion detection; deep learning; Convolutional Neural Network （CNN）; Long Short-Term Memory （LSTM）; Internet of Things （IoT）

This work is partially supported by Fundamental Research Funds for Central Universities （2020MS122）.

1001-9081（2022）07-2118-07

10.11772/j.issn.1001-9081.2021040692

2021?04?30；

2021?08?06；

2021?08?10。

中央高校基本科研業務費專項（2020MS122）。

TP309.5

A

董寧（1998—），男，河北保定人，碩士研究生，主要研究方向：深度學習、信息安全； 程曉榮（1963—），女，河北邯鄲人，教授，博士，主要研究方向：網絡安全、大數據； 張銘泉（1980—），男，山東莘縣人，講師，博士，主要研究方向：計算機系統結構、大數據。