物联网设备级僵尸网络检测研究：BTC_SIGBDS框架下的入侵检测与可信签名保护

计算机安全129（2023）103172用于物联网的协同设备级僵尸网络检测Muhammad Hassan Nasira， Junaid Arshadb， Muhammad Mubashir Khanaa巴基斯坦卡拉奇NED工程技术大学计算机科学IT系b英国伯明翰城市大学计算与数字技术学院Ar ticlei n f o ab st ract文章历史记录：2022年8月30日收到2023年2月17日修订2023年3月1日接受2023年3月5日在线发布关键词：物联网僵尸网络入侵检测设备级安全近年来，针对物联网（IoT）的网络攻击显著增加。 这主要是由于物联网在国内和关键国家基础设施中的广泛采用和普及，以及物联网端点中固有的安全漏洞。 其中，僵尸网络已成为基于物联网的基础设施的主要威胁，目标是固件漏洞，如弱或默认密码来组装一批被入侵的设备，这些设备可以作为针对目标系统，网络和服务的致命网络武器。 在本文中，我们提出了我们的努力，以减轻这一挑战，通过开发入侵检测系统，驻留在物联网设备，以提供增强的可见性，从而实现这些设备的安全加固。这里介绍的设备级入侵检测是我们研究框架BTC_SIGBDS（区块链驱动的，值得信赖的，协作的，基于签名的僵尸网络检测系统）的一部分。我们通过对现有文献的系统性批判性回顾来确定研究挑战，并提出了BTC_SIGBDS框架的设备级组件的详细设计。我们使用一个基于签名的检测方案与可信的签名更新，以加强对新出现的攻击的保护。我们已经通过使用ISOT、IoT23和BoTIoT数据集生成两个最著名的基于签名的IDS的自定义签名来评估其适用性并增强其能力，以评估在典型的资源受限的物联网网络中检测异常流量的有效性，包括警报数量、检测率、检测时间以及峰值CPU和内存使用量版权所有© 2023作者。由Elsevier Ltd.发布。这是CC BY许可下的开放获取文章（http://creativecommons.org/licenses/by/4.0/）1. 介绍物联网（IoT）的出现显著地改变了现代世界的日常生活。物联网范式使嵌入传感器和执行器的小型互联网连接智能设备能够充当促进者，以有效地连接人、家庭、办公室/企业和医疗保健服务等。这些设备用于完成许多活动，包括社交、信息共享、监测控制。例如，放置在土壤中的传感器将湿度遥测发送到用于农业土地灌溉的水系统。这些智能设备通常在本质上是资源受限的，具有可用于采用高效安全机制的有限资源。而且，这些设备产生的大量敏感数据也吸引恶意对手利用固有漏洞获取对这些设备的访问权限∗通讯作者。电 子 邮 件 地 址 ： mhassan. gmail.com （ M.H.arshad@www.example.com （ J.Arshad），mmkhan@neduet.edu.pk（M.M.bcu.ac.ukKhan）。这可能导致信息泄露或分布式拒绝服务（DDoS）攻击。由于最近利用无处不在的智能设备的热潮，世界已经见证了越 来 越 多 的 使 用 僵 尸 网 络 的 攻 击 （ Injadat 等 人 ， 2020;Wainwright和Kettani，2019）。具体而言，物联网僵尸网络攻击的扩散已成为主要安全问题之一，因为恶意攻击者利用物联网设备的薄弱安全配置来组装强大的僵尸网络，这可能引发毁灭性的大规模DDoS攻击。与感染计算机或服务器机器的传统僵尸网络相反，物联网僵尸网络更复杂，并且具有大规模的影响，其通常感染数千个互联网连接的设备，包括监控摄像头，DVR，智能应用程序和可穿戴设备等，其中恶意软件允许执行与传统僵尸网络类似的任务。由于连接设备的数量不断增加，预计未来几年将有近500亿台设备（Dange和Chatterjee，2020年;Taylor等人，2015年），它诱使恶意行为者利用物联网设备的安全漏洞以更快的速度传播恶意软件。物联网中的入侵检测已经引起了科学界的极大关注，并做出了许多努力https://doi.org/10.1016/j.cose.2023.1031720167-4048/© 2023作者。爱思唯尔有限公司出版这是CC BY许可下的开放获取文章（http://creativecommons.org/licenses/by/4.0/）可在ScienceDirect上获得目录列表计算机安全期刊主页：www.elsevier.com/locate/coseM.H. Nasir，J.阿尔沙德和M.M.Khan计算机安全129（2023）103172表1公开可用的数据集。名称格式大小记录数量攻击类型特征数据类型环境出版商年ISOTPCAP1.74 GB1.67+ M个唯一的队列HTTP僵尸网络49网络（应用层）测试平台维多利亚大学2017机器人物联网数据集Pcap、argus、csvPCAP（69.3GB）CSV（16.7GB）72MDoS、DDoS（TCP、UDP、HTTP）、服务扫描、操作系统扫描、键盘记录、数据提取攻击46网络测试平台UNSW堪培拉网络2018N_BaIoTCSV-7062606Mirai和BASHLITE（10攻击类，1个良性类）115网络真实（9商业物联网设备）Maiden等人2018Anthi数据集ARFF977MB2M恶性-良性比率50-50%）DDoS、MITM、SpooFing、不安全固件、数据泄漏135网络Real（8台设备）Anthi et. al2019IOTID 20CSV294MB625784DoS、Mirai、MITM、扫描12网络-安塔利亚大学2020IoT-23Pcap，csv21GB 8.8GB（打火机版本）-Mirai，Torii，Gagfyt，Kenjiro，Hakai，IRCBot，Linux. Mimi，Linux.Hajmi，Muhsitk，Hide and Seek，特洛亚21网络（应用层协议）Real（23台设备）Avast，AIC集团，CTU2020采用集中式、分布式和混合式方法建立高效的入侵检测模型（详见表2、3和4这些方法使用协作或个体检测策略。然而，这些方法具有问题，包括单点故障，在小数据样本或过时的数据集上测试，例如KDD-CUP 99/NSL-KDD，其不代表现代的交易，假设预先信任的环境，因此，不包含应对内部攻击者的机制。此外，很少有研究，包括（Behal和Kumar，2011; Ioulianou和Vassilakis，2019; Li等人，2019; Soe等人，2019）采用了一种签名检测机制，尽管该机制是有效的，但这些方法要么只提供了一个框架，该框架不针对DDoS攻击，DDoS攻击被认为是最具破坏性的僵尸网络攻击，并且不具有保护签名数据库不被破坏的机制，要么设计了一个HIDS模型，因此不考虑网络传输。此外，协作方法要么没有在真实环境中进行测试，仅测试能效（详情请参阅第3节）。这就需要一个足够有效的入侵检测模型来解决这些问题。1.1. 问题陈述物联网僵尸网络攻击因其复杂性和大规模影响而成为研究界的主要关注点之一。僵尸网络对物联网设备的影响加剧，因为这些设备通常是资源受限的，并且只有极少量的资源可用于采用高效的安全机制。现有的研究人员对这一领域做出了贡献，但这些方法受到限制，因为它们通常容易受到单点故障的影响，每个设备需要大量的时间，尚未在真实环境中进行测试，使用过时的数据集或小数据样本进行评估，并且不考虑内部攻击。我们在第3节中对此进行了扩展，包括详细的差距分析。为了解决我们在文献综述过程中强调的问题，我们的重点是开发一个协作僵尸网络检测框架BTC_SigBDS（区块链驱动的，可信的，基于协作签名的僵尸网络检测系统），多个物联网节点通过协作来实现僵尸网络的有效检测。由于该方法的协同设计，入侵检测的工作负载在多个节点之间共享，更有效的检测过程。该方法还结合了信誉管理计划，以建立一个可信的环境，并防止行为不端的节点，可能会试图在入侵。启动检测过程。此外，它利用区块链技术安全地存储物联网网络中每个节点的攻击签名和信任值，从而防止恶意对手破坏它。1.2. 贡献在本文中，我们提出了一个僵尸网络检测框架，其中我们的重点是设备级检测方面，强调物联网节点在实现有效僵尸网络检测方面的作用。其中，我们提出了设计和开发的设备级僵尸网络检测引擎，利用基于签名的入侵检测技术。我们还使用两种基于签名的入侵检测工具（即Snort& Suricata）和三种公开可用的僵尸网络数据集（即ISOT）（Saad等人，2011）、Bo-tIoT（Koroniotis等人，2019）和IoT23（Garcia et al.，2020），具有默认签名（规则）基础以及自定义更新。具体而言，我们作出以下贡献：• 我们对设备级物联网僵尸网络检测的最新技术提出了重要见解，以突出该领域的开放研究挑战。我们使用了一种系统的方法来进行这一审查，分析在IEEE，El- sevier，ACM和Springer发表的研究成果• 我们提出一小说协同僵尸网络检测框架BTC_SigBDS（区块链驱动的，值得信赖的，协作的，基于签名的僵尸网络检测系统）。BTC_SigBDS由节点级信誉系统提供支持，以创建信任环境和基于签名的检测方案，以有效检测签名共享的已知攻击。一种值得信赖的方式通过使用 区块链 技术。• 我们评估设备级僵尸网络检测方法使用现有的基于签名的方法，即Snort和Suricata，以评估所提出的计划的有效性。该评估使用了三个公开可用的数据集，即ISOT，IoT23和BoTIoT（以PCAP格式提供），首先使用默认签名数据库，然后使用表示僵尸网络行为的自定义签名数据库，以评估警报数量，检测准确性，检测时间，CPU和内存使用情况等异常流量的检测。本文的其余部分组织如下。第2.4节讨论了著名的公开可用的物联网僵尸网络数据集的特征，随后是第3，该节对相关的2表2设备级入侵检测的独立方法。Paper ID攻击类型检测方法数据集网络/主机交易节点参与协议工具/语言算法执行（模拟/试验台）绩效矩阵穆拉利和贾姆图尔Murali andJamesour（2019）Sybil攻击异常无数据集主机异常分类RPL Cooja（Contiki OS）ABC模拟精度=0.968（SA1），0.952（SA2），0.948（SA3）灵敏度=0.974（SA1）、0.935（SA2）、0.955（SA3）特异度=0.952（SA1）、0.904（SA2）、0.852（SA3）F评分=0.972（SA1）、0.943（SA2）、0.894（SA3）Qureshi等人（2019）DoS、Prob、U2R、R2l异常NSL-KDD网络分类议定书独立Matlab ABC，RRN仿真精度=91.65%Tian等人（2019）-AnomalyUNSW-NB15网络分类特征选择协议无关-SVM、ABC深度自动编码器模拟精度=90%，FAR 10%Ge等人（ 2019）DoS，DDoS，Re-情报窃取异常BoT-IoT网络二进制&多类分类协议无关Python FFN模拟（TensorFlow，Keras GoogleColaboratory）二进制分类：准确度、精确度、召回率F1分数高于99.9%信息窃取：精确度=92.78%，键盘记录=96.82%，ACC：（DoS/DDoS= 99.41%，侦察=98.375%信息：盗窃88.918%）。Occupy等人（ 2019） DoS，U2R，R2L，探针异常NSL-KDD网络攻击分类协议无关Python-张量函数SDPN模拟精度=99.02精度=99.38回忆=99.29 F1评分=98.83Behal和Kumar（2011）僵尸网络（DoS）特征码否独立于数据集网络协议用于检测的BotHunter，SnortInline Prevention引擎- 用于检测挤出物的发现的受感染设备=41C C服务器=65 Egg下载=32扫描次数=24Bassey等人（2019 a）模拟行为无数据集主机微尘模块来计算行为基于Zigbee Labview CNN USRP的测试台精度=98.8Satam等人（2020）DoS（黑色Snar Fing，能量消耗攻击）行为无数据集网络主从（分层架构）Blacktooth Wireshark，击杀C4.5，Adaboost、SVM、NB、Jrip&套袋测试台精度=99.6%召回率=99.6Breitenbacher等人（2019）VPN过滤器，物联网收割机行为无数据集主机直接部署协议无关- -测试床（7个物联网设备包括路由器和摄像头）精度（2级分类）=94%精度（三级分类）=81%检出率100%，内存消耗=5.5%M.H. Nasir，J.阿尔沙德和M.M.汗计算机安全129（2023）1031723表3设备级入侵检测的分布式方法。Paper ID攻击类型检测方法数据集网络/主机传输节点参与协议工具/语言算法执行（模拟/试验台）性能矩阵Babu andReddy（2020）一般入侵行为UNSW-NB 15网络参与每个节点库普科班，RStudio规范启发式模拟精度=0.9177特异性NPV= 0.9138灵敏度PPV=0.9211Raja等人（2018）DDoS，黄金手指行为无数据集网络行为议定书- 金手指仿真共识概率攻击监测独立电阻金手指攻击Ahn等（2020）DDoS僵尸网络，比特币矿工后门行为病毒网络行为监测协议无关共识Python，ANN Testbed（Raspberry PI 3 withtshark，ftrace，Tensore Tensow）=0.26（峰值）错误等率（EER）FPR=（0.0328-0.0014）曲线下面积=0.99+性能（单路输入）：UART开销：7.38 CPU性能：4033.196 cyclesDiro和Chilamkurti（2018）DoS、Prob、U2R、R2L异常NSL-KDD网络协作雾节点协议无关Python（Keras，Theano）Apache Spark深度学习模拟二进制分类Acc（99.2），DR（99.27），FAR（0.85），Pre（99.02）调用（99.27），F1（99.1）访问（98.27）DR（96.5），FAR（2.57）Li等人（ 2020）DoS，Prob，U2R，R2lAnomaly KDD Cup 99，Honey-Bird.HK混合协作协议无关基于Weka DT的半监督学习模拟试验台蜜罐数据集命中率（92.48），错误率（10.5）真实物联网环境命中率（92.43），错误率（7.3）Soe等人（2019）僵尸网络（DoS，Prob，信息盗窃）签名BoT-IoT网络分类议定书独立签 名 检 测 的一般规则基于相关性的FS，J48（C4.5）仅框架-Li等人（ 2019）洪水，内幕探索，蠕虫签名否数据集主机协作- Snort无模拟+测试床存活率=66.7%M.H. Nasir，J.阿尔沙德和M.M.汗计算机安全129（2023）1031724表4设备级入侵检测的混合方法。德特河网络/主机节点执行纸张ID攻击类型方法数据集特拉萨参与议定书工具/语言（模拟/测试台）绩效矩阵Thamilarasu等人（2020）拒绝服务、数据伪造、隐私数据泄露行为无数据集设备/网络基于智能体的ZigbeeOMNET（Castalia3.2）模拟加速=99.9%（新级别）=97.81%（设备级别）能量开销=2-7%Liang等人（ 2019）DoS，Prob，U2R，R2LAnomalyNSL-KDDNetworkAgent basedProtocol独立- 模拟访问=99精度=99召回率=99%（TCP）Sengupta和Sil（2020）一般入侵异常合成数据集网络分类协议无关模拟-Kumar等人（2020）DoS，Prob/Host利用，通用异常UNSW-NB 15基于网络群集的协议独立- 模拟Acc= 88.92%，平均F-测量值=79.12% ADR=86.15%FAR 3.8%Gassais等人（2020）Mirai，HailMarry攻击，扫描异常无数据集主机协作协议独立Python Testbed（Raspberry PI）（GBT上实现的最大值）精度=100精确度=回忆率=F1分数=99.99Ioulianou和Vassilakis（2019）DoS（HelloFlooding，版本号修改）签名否数据集网络协作RPL Cooja测试平台平均值耗电量：正常=0.03%（TX），0.08%（RX）攻击下=0.35%（TX），1.03%（RX）Arshad等人（2019），Arshad等人（ 2020年）多阶段攻击混合无数据集网络协作6LowPANCooja与Tmote SkyMotes，Powertrace测试台Pkts/s功耗1 Pkt/s 2 mW 2.5mW 10 Pkt/s 10mW 10 mW100/1000 Pkt/s 30 mW 25 mW RAM开销(With/无占空比），当包装尺寸为5/10时：RAM 230字节/420字节Rom= 980字节M.H. Nasir，J.阿尔沙德和M.M.汗计算机安全129（2023）1031725M.H. Nasir，J.阿尔沙德和M.M.汗计算机安全129（2023）1031726现有工作。第4节提出了一个设备级协作僵尸网络检测框架. 第5节介绍了应用三个数据集即IoT23、ISOT和BoTIoT的实验场景和结果。第6节总结了论文，强调了未来的发展方向。2. 背景本节介绍了典型的入侵检测系统的类型以及为构建僵尸网络检测框架铺平道路的底层技术。这有助于读者初步了解随后在拟议框架中使用的技术，包括协作签名检测，信誉/信任管理和区块链。2.1. 入侵检测系统入侵检测系统是一种软件或硬件设备，它不断监视网络或系统，以检测恶意活动或违反策略的行为。在检测到此类活动后，它通过生成警报来做出响应，该警报可以记录在文件中或直接发送给安全分析师以进行进一步分析和决策。入侵可以通过几种方式进行分类，例如根据其范围，即基于网络的（NIDS），是监控网络入口点，基于主机（HIDS）监控关键系统或两者的组合（即混合）。它们也可以根据其检测方法进行分类，如基于异常的方法，通常通过计算以下参数的基线轮廓来工作：网络或系统，以便检测恶意/异常活动或利用机器学习算法对入侵进行分类。基于误用/规则/特征的入侵检测系统包含入侵的特征，从而产生对已知攻击的有效检测。 在过去的几年中，一种被称为协作入侵检测的入侵检测策略已经出现，并且已经在ID模型的效率方面显示出显著的改进，特别是在资源受限的物联网环境中。协作入侵检测将检测负载分布在多个设备上，这些设备也称为入侵检测代理（IDA），它们可能没有能力执行这样的任务。因此，这导致物联网环境中恶意活动的有效检测。2.2. 区块链区块链已经发展成为广泛采用的分布式账本技术（DLT）之一，其支持分布式环境中的去中心化机制。这些记录保存在一个区块链中，第一个区块（又称Genesis区块）包含智能合约（SC）和链码，用于控制区块链内的操作。区块链最初被提议用于存储金融交易，但随着智能合约的加入，它被广泛应用于去中心化应用程序（DApps）的开发。典型区块链中的流程由底层共识算法和一组称为未成年人或验证者的设备/实体控制。这些未成年人验证每个交易，从而在他们之间达成共识，将交易提交并存储到块中。通常，区块链可以分为公有或私有。公共区块链通常被称为无权限区块链，其中任何愿意参与的节点都可以在实现相关协议后被允许。然而，在私有区块链中，有时被称为许可区块链，参与许可通常由集中式控制机构授予（Bhutta等人，2021; Nasir等人， 2022年）。区块链技术可以极大地增强基于签名的僵尸网络检测过程以及物联网环境中的信任管理系统（TMS），其中多个物联网节点相互协作，以多种方式发现具有可信度的入侵：• 去中心化：在物联网环境中，区块链提供的去中心化架构可以使基于签名的僵尸网络检测过程和信任管理系统对攻击更具弹性，因为签名和信任值不会存储在可能受到损害的单个位置• 不可变性：区块链提供了不可变性，一旦数据被添加到区块链，它就不能被改变。这非常有用，因为它可以确保使用的签名和信任值分别用于僵尸网络检测和信任管理是防篡改的并且不能被攻击者改变• 透明度：区块链上的所有交易对所有各方都是可见的。这在物联网环境中基于签名的僵尸网络检测过程和信任管理系统中可能是有用的，因为它允许轻松审计系统以检测和跟踪僵尸网络，并且所有物联网设备都可以清楚地查看交易。• 共识机制：共识机制确保区块链上的数据是准确的。这对于僵尸网络检测过程以及物联网环境中的TMS都很有用，因为它可以确保使用的签名和信任值分别用于僵尸网络检测和信任管理是准确的并且没有被篡改。• 防篡改签名和信任数据库：通过使用区块链技术存储签名和信任值数据库的哈希，它变得防篡改，可以防止数据库损坏。• 通过智能合约（SC）实现自动化：SC可用于自动化僵尸网络检测、信任管理以及更新签名和信任数据库以及存储在区块链上的相应哈希值的过程。当添加新签名或更新现有签名时，或者当添加新信任值或更新现有信任值时。此方法消除了手动干预的需要，并降低了未经授权更新的风险。• 协作：区块链允许多方访问和共享区块链上的数据，这在物联网环境中非常有用，因为它允许多个物联网设备在僵尸网络检测和信任管理工作中进行协作，并共享威胁情报。区块链技术通过创建防篡改的分类账来增强物联网安全性，其中共享记录可以在其他人的共识下存储，而无需集中管理控制。区块链驱动的物联网网络允许网络设备自主执行其动作，其中区块链分类账内的链式布置允许跟踪存储的记录。在物联网网络中实施区块链始终是一项具有挑战性的任务，因为这些系统具有典型的资源受限性质。私有区块链更适合物联网环境，因为它们可以扩展到组织许可私有区块链通常是集中拥有的，每个想要参与网络的节点都将在授予许可此外，中央机构可以定义规则、基本共识机制或删除任何恶意活动。具体来说，为了保存信任值和入侵签名，使用公共区块链将因此增加更多的计算和处理成本。此外，私有（许可）区块链非常适合拟议的僵尸网络检测M.H. Nasir，J.阿尔沙德和M.M.汗计算机安全129（2023）1031727框架，因为任何具有足够资源的未知或恶意对手都不能直接参与网络。2.3.信任管理系统信任管理方案（又称声誉管理方案）已经得到了研究人员的极大关注，特别是随着物联网设备的指数增长和依赖。由于典型的IoT网络由彼此交互以完成任务的异构节点/设备组成。在网络中采用信任管理方案来自动评估用户/节点的信誉，以确定其他用户/节点可能必须开始与它们交互的信任度量。信任是基于各种因素计算的，包括初始信念、观察到的行为和运行时反馈。通常会收集节点对其他节点的个人意见（也称为本地信任），以创建一个聚合信任矩阵，其中包含网络中每个节点的全局声誉。这些全局信任值决定了节点/用户可以如何交互或与谁交互的整个网络（Siddiqui等人，2021; West等人， 2012年）。2.4.公共僵尸网络数据集使用可信数据集对IDS模型进行评估在评估建议的入侵检测框架的有效性方面发挥重要作用。本节简要介绍了一些重要的公开可用的物联网僵尸网络数据集。这被设想为帮助研究人员根据可用的攻击类型、攻击类型、所使用的特征以及在由数据集提供的恶意-良性实例的数量方面的训练强度来选择合适的僵尸网络检测数据集。2.4.1.ISOT僵尸网络数据集ISOT数据集（Saad等人，2011）结合了多个恶意和良性数据集，主要针对基于HTTP的对等（P2P）僵尸网络。恶意数据集包含Storm的痕迹从Honeynet项目（Arcas，2012）中提取了两个僵尸网络：Waledac和Waledac，数据集包含超过160万个实例，其中恶意和良性的比率分别为96.66%和3.33%。良性数据集的实例是从Eric-sson 的 Tra Brachic Lab （ Szabó 等 人 ， 2008 ） 和 LawrenceBerkeley National Lab（LBNL）LBNL/ICSI。2.4.2.BOT IOT数据集Bot-IoT（Koroniotis等人，2019）是一个标记数据集，具有不同的攻击场景，从现实的测试平台生成。它是一个公开可用的数据集（以pcap和csv格式），包含大约7200万个实例，每个实例具有46个特征。该数据集克服了各种可用数据集的缺点，包括缺乏可靠标记的数据，攻击多样性差，如僵尸网络场景和缺少地面实况。利用相关系数和联合熵方法对数据集的特征进行了分析。通过激活Ostinato，数据集由正常的trac组成，因此生成的数据类似于正常的trac。这可以防止僵尸网络恶意软件检测虚拟化环境，并在虚拟化环境中使用攻击软件进行攻击。测试床使用四台装有kali Linux操作系统的机器来模拟DoS、DDoS（HTTP、TCP、UDP）、服务或操作系统扫描的端口扫描、密钥记录和数据提取攻击。网络中运行MQTT的物联网设备的存在是通过在虚拟网络中使用称为Node-RED的中间件来确保的。虚拟化环境具有低成本实现、便携性以及易于设置和恢复设备的优点，因为它防止真实机器变成僵尸并成为僵尸网络的一部分。对 相反，这种环境不允许发射，更深层次的攻击，特别是在软件和硬件中，从而限制了在这些设备上发起攻击的方式。该数据集包含五个物联网场景，包括气象站、智能冰箱、运动激活灯、远程激活车库门和使用MQTT协议生成数据的智能恒温器2.4.3.NBaIot数据集（Meidan等人，2018）提出了一个名为NBaIoT的僵尸网络数据集，该数据集采用深度自动编码器进行行为分析，以检测物联网网络中的异常传输。检测过程通过拍摄九个商业IoT设备的良性IoT传输的快照来进行，以检测僵尸网络的两个变体，即Mirai（Margolis等人， 2017）和Bashlite（Marzano等人， 2018年）（包括Gafgyt，Q-bot，Torlus，Lizard-Stresser和Lizkebab）。该数据集包含超过700万个实例，具有115个特征，可分为11个不同的类，包括10个攻击类和1个良性类。2.4.4.Iotid20数据集（Ullah和Mahmoud，2020年）提出了一个数据集，该数据集在测试平台环境中生成，该环境由多个设备组成，包括安全摄像头、AI扬声器和智能手机。该数据集包含625，784个网络流，恶意和良性比例分别为93.6%和6.4%。数据集中的每个数据流包含12个特征，可用于分类四种攻击类别（DoS，Mirai，MITM，扫描）和一种良性类别。这四种攻击类型可以进一步分为syn/HTTP/UDP恶意攻击、暴力攻击、ARP欺骗和端口/操作系统扫描。2.4.5.Anthi数据集另一个公开可用的物联网数据集是由（Anthi et al.，2019年）。在这个数据集中，从8个物联网设备中提取了200万个实例，包括Amazon Echo Dot，Belkin NetCam，TP-Link NC 200，Hive Hub，Samsung Smart Things Hub，TP-Link SmartPlug，AppleTV和Lifx Smart Lamp。不同的领域从5个不同层（即物理层、DLL层、网络层、传输层和应用层）中提取的有效载荷信息，包括DoS、DDoS、MITM、Spoo Finng、不安全固件、数据泄漏等6类攻击&。数据集通过4步过程进行标记，包括特征选择、设备分析、恶意-良性分类和攻击类型分类。2.4.6.IOT23数据集IoT23数据集（Garcia等人，2020）是由Avast资助的标记数据集，由捷克共和国CTU大学FEL的AIC组平流层实验室开发。该数据集由23个捕获（20个恶意捕获和3个良性捕获）组成，模拟了各种僵尸网络攻击，包括Mirai，Torii，Trojan，Gagfyt，Kenjiro，Okiru，Hakai，IRCBot，Hajime，Muhstik，Hide Seek等。在Zeek的帮助下，2.8077亿个DDoS攻击被标记，其中2.13亿个是HorizontalScan的一部分，4738万个是Okiru的，19M个是DDoS攻击。3. 物联网设备级入侵检测的最新技术本节对最先进的物联网僵尸网络入侵检测策略（请参阅表2、3和4）的优缺点，从而设计出一个有效的僵尸网络检测框架，以便及时有效地检测恶意攻击。为了获得深入的理解，我们从文章提取过程开始，通过使用以下检索词从四个最流行的数字科学图书馆（包括IEEE Digital Library、Springer、ElsevierACM）中进行M.H. Nasir，J.阿尔沙德和M.M.汗计算机安全129（2023）1031728(IoT或物联网）和（设备级入侵检测或设备级入侵检测或基于主机的入侵检测或基于节点的入侵检测）由于物联网内的入侵检测研究，特别是僵尸网络的检测，受到了极大的关注，当一个名为“Mirai”的僵尸网络针对具有弱密码设置的脆弱物联网设备，并在2016年淹没了超过6,00,000台设备时（Margolis等人，2017年）。因此，为了从后Mirai时代提取器械级ID方法，持续时间设定为5年（2016年至2021年），最初产生2710篇文献，无任何排除标准。对四个数字图书馆的基本搜索还显示，大量研究是不相关的，例如来自社会科学、能源、商业管理、材料科学、环境科学等领域的文章，由于物联网在各个领域的大量采用。因此，为了优化搜索，建立了排除标准，以删除不相关的文章（例如，不关注入侵检测、评论文章、海报、书籍章节等），多余的和非英语文学。在相关领域（如计算机科学/工程、物联网、安全等）和相关领域（物联网环境中的入侵检测）发表的论文被用于初步评估。因为在这项研究中，我们只关注那些研究，其中IoT设备本身参与入侵检测过程。因此，通过消除那些入侵检测过程仅依赖于边缘设备、中央服务器和物联网以外的节点的研究，对搜索进行了改进。结果，选择了23项研究进行审查和差距分析，其中发现物联网设备参与检测入侵。这些研究进一步分为三大类。第一类包含9篇文章，包括用作独立模型的方法。第二类包括分布式和分散式方法，包含7篇文章。最后，其余7篇文章属于其中的混合方法用于检测入侵的类别。3.1. 独立方法本节对表2中总结的各种器械级侵入检测方法进行了综述。（Murali和Jamaicour，2019年）提出了基于ABC的轻量级ID分类模型，用于在资源受限的RPL环境中检测Sybil攻击，该环境使用Cooja模拟器在三种Sybil攻击场景中评估静态和移动RPL。在移动RPL的情况下，他们在准确性，特异性，敏感性和F分数方面的结果较低，因为将移动恶意节点错误地解释为良性。类似的方法由（Qureshi等人，2019）提出了一种基于异常的IDS，其中采用ABC来优化随机神经网络（RNN）分类器的权重，提高了性能，当菌落大小增加时，准确率高达91.65%。由（Tian et al.，2019年），采用深度自动编码器技术和ABC降维方法进行SVM分类器的最佳参数选择，以增加模型的训练时间为代价，显示出相当的准确性和可接受的FAR。然而，该框架需要进一步改进，以管理大量的物联网通信。Ge等人提出了一种用于具有更高准确度的异常检测的基于深度学习的方法，2019年）用于检测多类攻击，除信息盗窃的多类分类外，其余为90%，结果为88.9%。一种类似的方法由（Occupy等人，2019）使用Stacked-Deep Polynomial Network（SDPN）作为攻击分类器提取器和Spider Monkey Optimization（SMO）元启发式算法来选择数据集中的最佳特征，准确率为99.02%，F_1评分为98.83%，准确率和召回率分别为99.38%和98.29%。一个受Snort启发的基于签名的僵尸网络检测NIDS模型N-EDPS，通过将入站恶意警报与出站通信模式相关联来监视挤出，由（Behal和Kumar，2011）提出。然而，该模型缺乏在检测加密的C C通道，并需要一个更新的规则库，以有效地检测入侵。另一类重要的IDS利用基于行为的方法。例如，（Bassey等人，2019 b）提出了一种基于深度学习的模型，通过RF指纹检测恶意物联网设备，该模型使用Crossbow Technology的Mote模块提供的RF数据进行评估，准确率为98. 8%。 （Satam等人，2020）还提出了一种行为多层次黑齿入侵检测系统（ML-BIDS），主要针对医疗设备的黑齿网络，利用10个特征对网络流量进行分类，检测准确率达到99.6%，检测到拒绝服务攻击 。 然 而 ， 它 没 有 解 决 当 主 设 备 被 压 缩 时 的 情 况 。（Breitenbacher等人，2019）提出了一种基于主机的物联网异常检测系统（HADES-IoT），用于监控基于Linux的物联网设备的行为。这是一个轻量级的模型，只利用最大12%的CPU负载，最大14%的内存使用率，100%的检测率。3.2.分布式方法物联网设备级入侵检测有很多方法，如表3所示。例如，M.Jagadeesh Babu和（Babu和Reddy，2020）提出的基于行为的模型，其中每个LLN（低功耗有损网络）设备上基于规范启发式（SH）的模型被应用于检测设备级别的入侵。模型的灵敏度分别为92.11%和88.22%，记忆和能量消耗几乎是线性的。器械水平的类似一致性由（Raja等人，2018）其中提出了一种分布式入侵检测系统。它使用基于区块链的共识机制来防止Gold finger攻击。然而，如果入侵者在以某种方式损害节点之后保持模式，即正常使用，则该方法是无效的。另一种基于代理的分布式NIDSHawkware由Ahn等人提出，2020），利用基于LSTM的ANN模型来减轻内存负载。它旨在分析并关联网络和设备行为，以进行入侵检测。然而，该模型仅被设计为检测网络攻击，并且假设预信任的环境，因此不能应对其起源是来自设备内部的基于异常的ID方法采用协作减轻IoT设备上的负载的机制也在早些时候被研究。（Diro和Chilamkurti，2018）提出了基于AI的分布式深度学习（DL）模型，该模型以协作方式工作，用于检测社交物联网中对于二元分类，准确度、DR、精确度、召回率和F1评分均大于99%，FAR为0.85。对于多类分类，准确度为98.27，DR为96.5，FAR为2.57。文娟（Li等人，2020）提出了一种基于分歧的半监督方法来自动标记协作入侵检测系统（DAS-CIDS）中的数据。他们对KDDCup99、蜜罐数据集和Snort内联的实验显示了最低的结果，而在真实的物联网环境中，错误率为8.2。尽管整体IDS性能以协作方式增强，但是，这些方法仍然遭受内部攻击。Yan已经提出了一种用于为基于签名的僵尸网络检测系统创建规则的有效方法，该系统从BoT-IoT数据集内的大量恶意签名创建少量规则（Soe等人， 2019年）。他们的规则集包括M.H. Nasir，J.阿尔沙德和M.M.汗计算机安全129（2023）1031729一个盗窃规则，一个拒绝服务规则和14个规则来检测探测攻击。然而，这是一个概念框架，需要进一步评估其准确性和性能。一种基于信任的协作方法，该方法应用基于签名的机制，而不是异常检测，Li et al.（2020）由（Li et al.，2019年）。它利用基于Consortium区块链的协作ID模型来检测内部攻击，并逐步构建可信数据库，以在不可信的物联网环境中存储恶意签名。该模型虽然对已知攻击有效，但缺乏更新用于检测新攻击的签名库3.3.混合方法（Thamilarasu等人，2020）提出了一种基于分层、混合和自主移动代理的IDS，该IDS设计用于支持互联网的医疗设备（IoMT），以检测无线体域网（WBAN）上的设备和网络级异常。作者通过多项式回归模型分析每个传感器设备来实现设备级检测，该模型将活动标记在预设阈值之上。基于模拟的评估显示，最佳情况下的检测准确率为97.8%，但是，如果