没有合适的资源?快使用搜索试试~ 我知道了~
工程科学与技术,国际期刊38(2023)101322基于CNN+ LSTM的工业物联网入侵检测系统Hakan Can Altunaya,Zafer Albayrakb,a土耳其Samsun 55200 Ondokuz Mayis大学Carsamba商会职业学校计算机技术系b计算机工程系,技术学院,Sakarya应用科学大学,Sakarya 54100,土耳其阿提奇莱因福奥文章历史记录:2022年6月30日收到2022年10月29日修订2022年12月25日接受2023年1月6日上线保留字:入侵检测系统卷积神经网络物联IIoT长短期记忆A B S T R A C T物联网(IoT)生态系统基于工业领域中互联网和基于云的工业中使用的物联网技术已经成为基于不断增加的数据量和设备数量的大规模工业物联网(IIoT)网络本质上不受网络威胁和入侵的保护。因此,开发入侵检测系统(IDS)以确保IIoT网络的安全性提出了三种不同的模型,通过使用卷积神经网络(CNN),长短期记忆(LSTM)和CNN + LSTM的深度学习架构来检测IIoT网络中的入侵。在使用UNSW-NB 15和X-IIoTID数据集进行的研究中,确定了正常和异常数据,并在二进制和多类分类后与文献中的其他研究进行了比较。在所提出的模型中,混合CNN + LSTM模型在两个数据集中的入侵检测提出的CNN + LSTM架构在UNSW-NB 15数据集中实现了93.21%的二进制分类准确率和92.9%的多类分类准确率,而同一模型在X-IIoTID数据集中实现了99.84%的二进制分类准确率和99.80%的多类分类准确率。此外,还评估了所实现的模型在数据集内攻击类型©2022 Karabuk University. Elsevier B.V.的出版服务。这是CCBY-NC-ND许可证(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍最近,物联网已被医疗保健、能源和家用电器制造商等多个行业广泛采用。物联网技术在行业中的应用越来越多,显著改变了我们的生活方式[1]。工业物联网(IIoT)的概念随着物联网在行业中的使用而出现,基于技术的进步,用于不同和特殊的目的。IIoT包含几个方面,包括执行器、传感器、控制系统、通信通道、集成接口、高级安全系统、车辆网络系统和智能家居产品。IIoT中的所有东西都可以通过互联网进行控制。工业物联网在各行业的应用,提升了设备质量体系、产品安全与管理体系、物流管理体系等各环节的能力,大幅提升了劳动生产率。此外,IIoT技术将物理区域连接到*通讯作者。电 子 邮 件 地 址 : hakancan. omu.edu.tr ( H.C. Altunay ) , zaferalbayrak@-subu.edu.tr(Z. Albayrak)。通过授权各种应用程序、互连组件和产品支持来实现虚拟化[2]。使用MQTT作为消息传递协议向目标设备发送消息的互联网协议,实现PLC之间通信的Modbus TCP协议,以及实现低功耗长距离数据传输的LoRaWAN等通信协议经常用于IIoT网络[3,4]。此外,大多数IIoT设备可以接收传入的数据,并在处理后将其传输到其他设备。这些功能使设备对一些隐私和安全威胁敏感,这些威胁可能会使其工业物联网系统及其所属的应用程序面临风险[5]。IIoT节点的最基本特征是在数据收集、处理和传输过程中始终处于活动状态IIoT中的所有层都被列为应用层、数据处理层、网络层和传感层。控制和优化以及数据流在这些层之间进行[6]。此外,每一层都可能使IIoT内的系统IIoT生态系统中最常见的网络威胁和未经授权的访问违规行为是访问控制攻击、部分或全部数据污染、干扰攻击、DoS攻击、DDoS攻击https://doi.org/10.1016/j.jestch.2022.1013222215-0986/©2022 Karabuk University.出版社:Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。可在ScienceDirect上获得目录列表工程科学与技术国际期刊杂志主页:www.elsevier.com/locate/jestchH.C. Altunay和Z. Albayrak工程科学与技术,国际期刊38(2023)1013222攻击、漏洞利用攻击和后门攻击[7]。一些组织使用入侵检测系统(IDS)来抵御恶意攻击并保护IIoT节点和网络的安全。这些IDS可以配置在1[8]中给出的任何一层中。IDS能够保护通过网络传输的数据的完整性、隐私性和安全性,因此它在IIoT中发挥着至关重要的作用。防止IIoT网络部分或全部受到攻击,或者防止、检测、反应和报告恶意活动的任务由IDS执行[9]。运行不使用机器学习算法而基于大数据统计方法的入侵检测系统是一项挑战。通过统计方法生成的IDS是基于行为的。基于先前规则的摘要用于对网络上的行为进行建模。然而,由于测量这些总结具有挑战性,因此这种方法目前不是首选[10]。传统的入侵检测系统通常分为基于特征的、基于异常的和混合的三类。基于特征的入侵检测系统主要提取入侵者的行为模型。这些模型分析了以前遇到的入侵的特征,称为入侵特征。当生成的数据库中的入侵签名与恶意软件行为匹配时,这些行为被检测为入侵。基于特征的入侵检测系统不会产生误报;它们还可以检测到特征在数据库中的每个入侵。基于特征的入侵检测系统的问题是不能检测到特征未知的入侵,因此产生高的漏报率。为了降低误报率,使用入侵特征生成的数据库必须是可更新的。另一方面,基于异常的IDS基于区分网络上的异常事件和正常事件的原理。在基于异常的入侵检测系统中,首先识别系统中用户的行为特征。与正常行为不同的行为正常行为轮廓的准确识别率越高,异常行为的准确识别率越高。正常行为在基于异常的IDS中不断更新。因此,以前没有遇到过的入侵可以通过这种方法检测出来。基于异常的IDS的缺点是可能在各种入侵类型中产生高误报率[11]。混合入侵检测系统的设计,以减少负面影响的签名和异常的入侵检测系统。传统入侵检测系统存在较高的误检率和较低的检测准确率,降低了入侵检测他们也无法阻止Fig. 1. 通用IIoT架构。例如Slowloris DoS攻击[12]。研究人员研究了基于深度学习的技术的实现,这是人工智能的一个专门子集,以提高IDS的性能[13]。机器学习(ML)方法是最常用的入侵检测方法。ML可以通过提高技能和能力来增强各种系统的体验式学习和决策过程,而无需任何开放式编程[14]。这五种类型的ML算法被列为监督,无监督,半监督,强化和联邦。监督ML技术从预定义的数据集执行学习操作,以确定未来的预测以及改进决策过程。此外,无监督机器学习方法用于未定义的数据。所有数据都适合用于监督学习机。此外,在算法开始时,条件可能尚未满足强化机器学习方法是基于特定介质中的交互来计算奖励或错误的方法[15]。联邦学习是一种保护隐私区域的技术,其他学习类型都不具备这一点。从多个独立设备传输的数据在匿名化后保留在这种方法中,算法是在服务器上训练的[16]。在使用深度学习方法生成的IDS中,高级和更新的数据集是首选,以执行更多数量的入侵检测。基于深度学习的入侵检测系统通常使用为入侵检测生成的最新数据集进行训练。此外,在最新的数据集中,攻击类型和归因数量很多。深度学习架构的准确入侵检测率通常会随着数据集中属性数量的增加而增加[17]。深度学习方法将属性向量的大小减少到所需属性的最佳数量。在深度学习方法中,不需要属性选择或提取过程来保证这一点[18]。在一些研究中,尽管如此,在深度学习方法之前通过任何机器学习方法确定属性,以实现更好的结果[19]。此外,还分析了通过使用UNSW-NB 15和X-IIoTID数据集提出的模型获得的结果。UNSW-NB 15通常被研究人员使用[20]。在UNSW-NB 15数据集中,模拟现实世界中网络流量模型的网络轨迹在实验室环境中生成,就像IIoT网络系统生成的数据集一样[21]。与入侵检测中使用的其他数据集相比,UNSW-NB 15在涉及的攻击类型数量方面是一个更大且更不平衡的数据集[22]。与其他数据集相比,它还涉及网络流量设计的更高变化。此外,基于UNSW-NB 15数据集生成了用于入侵检测的各种数据集[23]。X-IIoTID是一个最新的数据集,旨在检测复杂IIoT网络中的入侵。X-IIoTID数据集中有9种类型的入侵,即侦察、命令和控制、非法入侵、利用、篡改、横向移动、渗透、加密勒索软件、RDOS和正常。这9种类型的入侵本身也包含各种类型的入侵,因此数据集中总共有18种类型的入侵[24]。本研究的主要动机和贡献是总结-在下面。对工业物联网网络的网络攻击数量与日俱增,造成了金钱和非金钱损失。因此,必须检测这些攻击并保护系统。在这项研究中,工业物联网网络的入侵检测系统最初是使用深度学习模型。其次,在存在大量数据的复杂数据集上对所提出的入侵检测系统模型进行了测试。H.C. Altunay和Z. Albayrak工程科学与技术,国际期刊38(2023)1013223考虑到工业物联网网络中数据量的逐渐增加,数据和大量属性。通过对最新数据集进行的二进制和多类分类程序对我们提出的模型的性能进行了评估,从而实现了更可靠和可观察的过程。最 后, 对我 们提 出 的基 于 CNN 、 基于 LSTM 和 混合 CNN +LSTM的方法与文献中的研究进行了比较与文献中进行的研究结果相比,所提出的模型获得的入侵检测的准确率这些结果证明,混合CNN + LSTM模型可以提高IDS的性能文章第二部分对相关研究进行了综述。在第三节中,介绍了UNSW-NB 15和X-IIoTID数据集,并解释了它们的特点。在第四节中,公开了所提出的基于深度学习的IDS模型。在第五节中,总结了这项研究,并详细解释了所获得的结果。在最后一节中,对结果进行了讨论,并在文章的最后提出了未来的研究计划。2. 相关作品在本节中,总结了使用机器和深度学习方法生成的IDS以及从这些研究中获得的结果。此外,还对先前用于检测物联网网络入侵作者为复杂的IIoT网络创建了一个名为X-IIoTID的数据集该数据集是通过收集来自不同品牌的设备以及通过各种平台连接的其他设备的数据而创建的确定了在X-IIoTID数据集中关于攻击类型的研究中经常使用的机器和深度学习算法此外,研究中使用的算法所获得的结果作者指出,X-IIoTID数据集达到了IIoT入侵数据集所需的20个特征,优于其他18个数据集[24]。在使用X-IIoTID数据集进行的另一项研究中,提出了一种用于数据共享的可靠模型。该模型基于联邦学习。边缘设备被包括在共识计算中。通过深度学习算法对所提出的模型进行了测试。根据所揭示的结果,实现了高效率。据表示,名为SecureIIoT的模型在二进制分类中的准确率达到99.79%[25]。在另一项研究中,提出了一种模型,用于防止IIoT系统内设备上的勒索软件攻击。在由两部分组成的模型中,首先对数据进行净化通过使用自动编码器,从而确保了更好的表示。然后,通过使用深度神经网络实现入侵检测和识别。该模型分别通过NSL-KDD、ISOT和X-IIoTID数据集进行了测试。研究结果表明,推荐的模型在检测针对IIoT系统中设备的目标勒索软件方面具有很高的比率[26]。在一项使用UNSW-NB 15和KDD 99数据集进行的研究中,通过各种技术(如期望最大化、聚类算法和人工神经网络方法)在这项研究中,虚警率和准确度值的指标被用于评估的模型。结果表明,期望最大化在KDD 99数据集上获得了78.06%的准确率和23.79%的虚警率。在UNSW-NB 15数据集中,expectation–maximization achieved an accuracy value of 78.47%and 此外,在UNSW-NB 15数据集上测试时,人工神经网络技术获得了21.13%的误报率和81.34%的准确率[27]。在另一项研究中,为IIoT提出了IDS。在该模型中,采用遗传算法进行属性选择。采用随机森林模型作为遗传算法的拟合函数.在入侵检测的过程中,使用了额外树、朴素贝叶斯(NB)、随机森林、线性回归(LR)、极端梯度提升和决策树等分类方法遗传算法-随机森林模型在二分类中产生10个特征向量,在多类分类中产生7个特征向量。在通过使用UNSW-NB 15数据集执行的实施中,对于二元分类获得了0.98的曲线下面积和87.61%的测试准确度在遗传算法-随机森林模型中有16个特征产生这些结果[28]。Liu等人。[29]提出了一种基于物联网的入侵检测系统。在该模型中,采用启发式方法进行特征选择。在入侵分类中,支持向量机是首选的方法。光梯度增强机(LightGBM)算法构成了本研究中使用的粒子群优化方法的基础。在UNSW-NB 15数据集上对所提出的模型进行了测试。虚警率和准确度值被确定为性能指标。综合计算结果,得到了该模型的准确率误报警率为10.62%。这些结果表明,与文献中的其他研究相比,在二进制分类中提出的模型具有更高的误报率。研究人员没有在多类分类过程中实现该模型。基于变分长短期记忆(VLSTM)的入侵检测系统是由Zhou等人提出的。用于工业领域的大数据系统在该模型中,特征被重建。然后,在生成的这些新特征中执行选择过程。一个自动编码器被用于提取的特征。通过这种方式,从复杂且大的数据集中提取特征。研究人员在此实施中使用了UNSW-NB 15数据集在评估所提出的模型的性能,精度,召回率,误报率,F1分数,和曲线下面积的指标。变分长短时 记 忆 法 的 曲 线 下 面 积 为 0.895 , 召 回 率 为 97.8% , 准 确 率 为86.0%,F1-Score值为90.7%。这些数值高于文献中的一些研究尽管如此,研究人员表示,由于本研究中使用的数据集中攻击类型的分布不均匀,进一步的实施将能够获得更好的结果[30]。在另一项研究中,提出了一种基于极端学习机器的入侵检测系统。在该模型中,自适应主成分用于特征选择。由自适应主成分选择的特征被提交给极端学习机来执行分类过程。该模型在KDD和UNSW-NB 15数据集上进行了测试。此外,对两个数据集进行了多类分类过程。通过测试数据获得的准确度值被接受为性能指标。该模型在NSL-KDD数据集中的准确率为81.22%,而在UNSW-NB 15数据集中的准确率为70.51%。据表示,与其他研究相比,获得了更好的结果。 此外,需要进一步研究以提高实际工业控制系统的准确率[31]。在另一项研究中,研究人员在他们提出的入侵检测系统本研究的目的H.C. Altunay和Z. Albayrak工程科学与技术,国际期刊38(2023)1013224是设计一个IDS,可以快速检测新类型的攻击,并在各种平台上使用。研究人员使用了6个不同的数据集来评估这些方法的性能。这些是京都,CICIDS 2017,KDD-Cup 99,NSL-KDD,UNSW-NB 15和WSN-DS数据集。在以UNSW-NB 15(更新数据集)为参考的研究中,确定深度神经网络在二进制分类中获得了79.7%的F1-Score,96.3%的召回率,95.1%的精度和76.1%的准确率。另一方面,与二进制分类相比,深度神经网络在多类分类中产生了较低的结果,精度为59.7%,准确率为65.1%,召回率为65.1%,F1分数为75.6%[32]。在另一项研究中,研究人员提出了一种基于人工神经网络的物联网网络入侵检测系统。实施此模型是为了克服安全问题,这是物联网网络中的主要问题。作者认为物联网设备通常缺乏执行复杂计算以确保安全的能力,因此作者提出了一种基于机器学习的IDS。在UNSW-NB 15数据集上测试了所提出方法的性能。基于人工神经网络的入侵检测系统的准确率达到84.0%。作者没有清楚地表达如何调整人工神经网络的超参数来得出结论。此外,研究中未使用特征选择方法[33]。Ketzaki提出了一种使用人工神经网络的入侵检测系统,以确保现代通信系统的安全。本研究所提出的模型包括特征抽取和分类两个阶段。统计分析方法用于特征提取,而分类过程是通过人工神经网络进行的。通过测试数据获得的准确率被用来评估所生成的人工神经网络模型的性能。根据所获得的结果,性能的最高率是83.9%的准确率。作者旨在对不同的模型进行研究,以提高未来实施的有效性[34]。在另一项研究中,提出了一种基于J48分类器算法和支持向量机的入侵检测模型。在研究中,特征选择是通过各种方法,如灰狼优化算法,萤火虫优化,和遗传算法进行。研究人员通过使用UNSW-NB 15数据集来测量实验中实施的模型的有效性。萤火虫优化J48、灰狼优化J48和遗传算法J48模型的准确率分别为86.037%、85.676%和86.874%。此外,实现的精度值遗传算法-SVM、灰狼优化-SVM和火蝇优化-SVM的识别率分别为86.387%、84.485%和85.429%。虽然J48和支持向量机方法在特征选择方面取得了令人印象深刻的结果,但建议在大型和复杂数据集上进行的未来研究通过使用其他方法进行,例如深度学习技术[35]。在另一项研究中,研究人员开发了一种新的特征选择方法,同时使用禁忌搜索算法和随机森林算法。该方法采用禁忌搜索算法进行特征搜索。然后,通过随机森林方法提取学习特征.在这项研究中,UNSW-NB15数据集被用来评估所提出的方法。准确度值和假阳性率用于评估模型的性能。当在分类过程中使用随机森林方法时,禁忌搜索-随机森林方法获得的假阳性率为3.7%,准确率为83.12%[36]。文献[37]提出了一种基于两阶段禁忌搜索算法的入侵检测系统在该方法中,少数入侵类被检测出来在第一阶段检测到的入侵类别和大多数入侵类在第二阶段。在本研究中,随机森林被用作分类方法。UNSW-NB 15数据集用于评价所提出的方法。在这项研究中,准确率和虚警率指标被用于性能评估。作者在这项研究中只进行了二元分类过程。结果表明,该模型的虚警率为15.64%,准确率为85.78%。作者表示,他们的目标是在未来的研究中开发他们提出的模型。在[38]中,作者提出了一种在特征选择过程中使用逻辑回归和遗传算法方法的模型。在该模型中,分类过程中进行了使用C4.5方法。C4.5是一个基于树的算法。在本研究中,获得的准确度值是测试数据中的主要性能指标。该模型的预测精度为81.42%。与文献中的其他研究相比,本研究中获得的准确度值较低在另一项研究中,提出了一种使用各种机器学习方法的IDS。在该模型中,XGBoost(极端梯度提升)被用作特征提取方法。本文采用XGBoost算法进行特征提取在UNSW-NB 15数据集中。这是一个基于集合的算法。此外,通过线性回归方法进行分类过程。XGBoost-Linear Regression模型在多类和二元分类过程中的准确率分别为72.53%和75.51%。作者建议使用过采样技术,以克服UNSW-NB 15数据集内攻击类型的不平衡问题[39]。在[40]中,作者实现了一个基于支持向量机的网络入侵检测系统.该系统的设计方式代表了物联网网络的独特结构。对UNSW-NB 15数据集进行了该模型的评价。作者考虑了检测率、准确性和假阳性率的主要性能指标。实验结果表明,基于SVM的网络入侵检测系统对二分类的正确率达到85.99%,而对多类分类的正确率达到75.77%。在另一项研究中,提出了一个基于决策树的入侵检测系统,通过使用UNSW-NB 15数据集进行在线入侵检测。采用决策树方法进行特征提取。信息增益法确定了最佳的13个属性。另一方面,在分类过程中,研究人员使用了CART、QUEST、C5和CHAID等基于树的分类器的集成形式。所提出的模型得出的结论是84.83%的二进制分类过程的准确性。本文提出的入侵检测模型不能检测出以前没有遇到过的入侵行为。作者表示将在未来的研究中对该模型进行改进以解决该问题[41]。研究人员提出了一种由LTSM和RNN生成的IDS作为深度学习方法。该方法在UNSW-NB 15数据集上进行了评估。此外,准确度值被用作性能度量。长短时记忆法的准确率为85.42%。研究人员表示,与文献中的其他研究相比,他们在本研究中取得了更好的结果[42]。Elijah等人提出了一种基于集成的IDS[43]。LSTM方法被用作深度学习模型。随机梯度下降是在长短期记忆算法上实现的优化算法。在LSTM层上实现的二进制分类过程中使用了Rectified Linear Unit函数。研究人员使用Softmax函数进行多类分类过程。通过UNSW-NB 15数据集对拟议模型进行了评估基于LSTM的H.C. Altunay和Z. Albayrak工程科学与技术,国际期刊38(2023)1013225入侵检测系统在二分类中的准确率为80.72%,而在多分类中的准确率较低,为72.26%。在另一项研究中,提出了一种使用深度神经网络的入侵检测系统。在该模型中,以馈送下一层的方式使用残差块(ResBlk)。残差块涉及RNN和CNN。研究中使用了两个不同的数据集,NSL-KDD和UNSW-NB 15。准确度值被确定为评估该方法的性能指标。根据利用剩余块体进行的研究结果,入侵检测的准确率为99.21%在NSL-KDD数据集和UNSW-NB 15数据集中,分别为86.64%和86.64%。研究人员表示,必须执行更多的应用程序,以增加和保持现有的性能数量[44]。Assiri[45]提出了一种基于随机森林和遗传算法的异常分类方法。在这项研究中,通过遗传算法进行特征和参数选择。另一方面,分类过程是通过随机森林方法进行的。此外,研究人员只进行了二进制分类过程。精确度,准确度,召回率的性能指标,用于评估所提出的模型。该模型的召回率为87.00%,准确率为87%,分类准确率为86.70%.在文献[46]中,作者提出了一种改进的基于遗传算法和逻辑回归的入侵检测模型该模型采用多目标属性选择技术进行设计随机森林是用于评估所提出的方法的性能的机器学习技术之一。准确度值被确定为衡量模型有效性的性能指标。该模型在多类分类任务中获得了64.23%的准确率在[47]中,提出了一种入侵检测模型,旨在快速发现工业物联网网络上的攻击。深度自动编码器和LSTM在所提出的入侵检测模型中一起使用。研究中使用了天然气管道数据集和UNSW-NB 15数据集。研究结束时报告说,天然气管道数据集达到了检测精度97.95%,而UNSW-NB 15数据集的这一比率为97.62%。在[48]中,Awotunde等人开发了一种用于IIoT网络的入侵检测系统。在研究中使用基于规则的方法进行特征选择,该方法通过深度学习方法进行。使用NSL-KDD和UNSW-NB 15数据集对该模型进行了测试在研究结束时,NSL-KDD和UNSW-NB 15数据集的准确率分别达到99.0%和98.9%。作者表示,他们提出的方法适用于IIoT上的入侵检测和分类网络.在[49]中,提出了一种基于机器学习的入侵检测系统。所提出的入侵检测系统在X-IIoTID和ToN_IoT上运行,这两个数据集都是最新的。在XGBoosT模型的入侵检测系统中,采用F1- Score作为评价指标。研究结束时报告称,X-IIoTID和ToN_IoT数据集的F1评分率分别为99.9%和99.87%。3. 数据集通过使用X-IIoTID(最新数据集)和UNSW-NB 15(文献中经常首选的数据集)UNSW-NB 15[50]是IDS研究广泛使用的高级数据集表1中列出了42个特性,表1UNSW-NB 15数据集的属性。特征值区间特征服务标称初级状态标称初级辛普克特浮子时间民主进步党int初级十亿字节int初级Synack浮子时间dttlint初级卸载浮子初级ct_dst_src_ltmint连接装载浮子初级ct_src_dport_ltmint连接德洛斯int初级Slossint初级dur浮子初级proto标称流技术中心浮子时间赛纳克浮子时间DINPKT浮子时间西伊特浮子时间sbytesint初级Swinint内容响应体透镜int内容STCPBint内容德文int内容吉特浮子时间dmeanint内容横向深度int内容ct_state_ttlint一般是_ftp_login二进制一般地段第int初级ct_ftp_cmdint一般ct_flw_http_mthdint一般德国电信公司int内容is_sm_ips_ports二进制一般ct_srv_srcint连接s平均int内容ct_dst_ltmint连接ct_dst_sport_ltmint连接斯派克茨int初级ct_drc_ltmint连接阿克达特浮子时间ct_srv_dstint连接UNSW-NB 15数据集。如表1中的特征列表所示,39个特征是数值特征,3个特征是分类特征。在这项研究中,70%的数据集用于模型的训练阶段,15%用于验证阶段,15%用于测试阶段。进行验证过程以控制在培训过程中是否获得最佳结果。UNSW-NB 15入侵检测数据集包含侦察,拒绝服务,分析,模糊,利用,Shellcode,一般,蠕虫,后门和良性的攻击[51]。UNSW-NB 15数据集中攻击类型的值分布见表2。如表2所示,数据集中攻击类型的数量并未显示出均衡分布。是表2UNSW-NB 15数据集中攻击值的分布攻击Number模糊18184借壳1746分析2000通用40000Shellcode1133侦察10491DoS12264蠕虫130利用33393良性56000H.C. Altunay和Z. Albayrak工程科学与技术,国际期刊38(2023)1013226已知网络在以前的研究中以这种方式生成的数据集中数量很少的攻击类型中面临记忆问题[52]。为了防止这个问题,在文献中使用合成数据通过这种方法,数据集中数量较少的攻击类型相互平衡,并且以这种方式获得平衡的数据集并增加数据总量[53]。研究中使用的另一个数据集是X-IIoTID。作为一个最新的数据集,X-IIoTID是为协调运行并具有复杂结构的IIoT设备创建的。该数据集采用整体方法创建,由从IIoT网络中的设备和协议获得的流量信息和变化组成数据集还包含来自各种设备和链接的日志、X-IIoTID数据集中有820.834种攻击类型和68种特征X-IIoTID数据集中的发作类型数量见表3[24]。4. 该模型近年来,基于数据量的增加,深度学习算法已经频繁地用于工业系统中。深度神经网络中的许多抽象层将输入数据传输到输出层。它对特征选择工程的技能学习过程没有影响。可以使用几种统计方法来根据各种标准基于错误概率来确定分类是否准确。深度学习的焦点是深度网络在多层无监督学习的分层网络中执行分类过程。深度学习网络可能会根据所使用的技术、深度学习方法和入侵检测方法而有所不同。CNN和LSTM是本研究中使用的深度学习模型。每种深度学习方法都使用了准确性和损失指标来计算这些模型的输出。此外,准确率,召回率,F1分数和精度被用作性能评估指标。RNN和LSTM网络中的时间分量特征将这些方法与其他神经网络区分开来。这两个模型都涉及到时间消耗特性和时序考虑。RNN和LSTM与其他神经网络的主要区别研究表明,神经网络是设计入侵检测系统最有效的方法然而,最近,记忆网-表3X-IIoTID数据集中发作值的分布。攻击X-IIoTID通用扫描50277扫描漏洞52852发现资源23148起毛1313蛮力47241字典2572内幕恶意17447反向Shell1016MITM117Modbus寄存器5953MQTT23524TCP中继2119命令控制2863渗出22134Ransomware458RDOS141261虚假通知28错误数据注入5094正常4211417作品、转换器和语言任务在性能方面优先于神经网络。RNN可以分解成补丁,同时扩展到可以部分接近的图像。循环网络使某种记忆形式和记忆成为人类经验的一部分是学习过程的影响者[54]。为二进制和多类分类过程提出的深度学习模型的流程图见2。第一步,在数据预处理层对UNSW-NB 15和X-IIoTID数据集进行数据清理。然后,使用最小-最大方法对数据集进行归一化。然后,将数据集分为训练集、验证集和测试集。在深度学习分类器步骤中,CNN和LSTM分类器是通过归一化数据集生成的。深度学习模型被训练为二进制和多类分类器。在评估阶段,作为最后一步,基于深度学习方法提出的IDS通过使用准确率,召回率,精度,损失和F1分数进行评估,用于二进制和多类分类,属于-生成的每个模型卷积神经网络是入侵检测中常用的一种多层人工神经网络方法。卷积神经网络运行一种称为卷积的数学运算。卷积是一种特殊的线性运算。卷积网络是在至少一层中使用卷积而不是一般矩阵乘法的神经网络[55]。CNN通常由卷积层、池化层和全连接层组成。卷积神经网络可以自动学习提取复杂属性。获得了高级属性表示图二.分类流程图H.C. Altunay和Z. Albayrak工程科学与技术,国际期刊38(2023)1013227我纪JΣΣ我我我我我联系我们jω吉ð Þ我我我我X最小¼x-x我我i;jji;jJ我我i;jji;jJ我我i;jji;jJ我我我在卷积层中[56]。卷积运算如等式中所示1.一、这里演示的xa是卷积层a的属性i映射。/表示激活函数。ki是层(a-1)的输入属性集。wa是卷积的属性i之间的连接权重层a和层(a-1)的属性j。ba是相关层中的偏差。在建议模式的每个阶段执行的流程详细说明如下:阶段1:第一阶段,预处理,本身分为两这是由于UNSW-NB 15数据集的某些特征列这些缺失值不能被引入到学习模型中在此阶段中,要素列中的所有空单元格均填充代表缺失的值。然后,存储在存储器中的细胞xa24Xxa-1Waiskiba35理论被转换为文本;每个分类值都是代表性的。1池化层在卷积层之后。池化层的目的是减小属性映射的大小。此操作可确保识别重要属性,降低数据复杂性,并提高网络对环境变化的容忍度。池化层可以如等式2中所示呈现。1.一、这对各个层次的系统都有帮助。执行最小-最大归一化过程以帮助以更一致的方式生成神经网络。该方法具有准确地进行所有数据连接的优点。当在分类过程中加入最小-最大值时,递增函数落在真实值范围之下然而,特征可以在现有的范围内进行调整[57]。xa¼/bac。xa-1ba2这里演示的c表示子采样函数,新x最大-x最小b表示加权矩阵。分类操作通过卷积后的全连接层执行层和池化层。当量1演示了全连接层的输出函数。ym¼ /wm xm-1bm3这里演示的m表示层索引,而ym表示全连接层的输出,xm-1表示全连接层的输入,wm表示加权系数,bm表示偏差[56]。LSTM细胞取代了递归网络的隐藏单元,并具有递归连接[55]。在LSTM块中,xtindi-在时间步长t中选择输入向量,而ht-1表示在时间步长(t-1)中的隐藏状态,ct-1表示在时间步长(t-1)中的存储单元状态这些构成块的输入的LSTM包括输入门、遗忘门和输出门。关于LSTM的单元状态、遗忘、输入和输出门的计算在下面的等式中陈述协议-实际上,在时间步长t中用于单元i的遗忘门f_t确定哪些信息可以通过或不通过S形动作。vation函数(r)在等式1.一、bf、Zf和Df分别表示遗忘门的偏差、输入权重和递归权重在当量1,展示了单元n的状态更新,而b,Z和D分别表示进入LSTM单元的偏差,输入权重和递归权重。由方程式1、一次计算示出了用于单元P_t_n的由方程式1,ht表示隐藏状态,而st表示输出门。输出门方程如Eq. 1,而b0、Z0和D0分别表示偏差、输入权重和递归权重我的天啊bfXjZfxtXjDfht-14第二阶段:将数据集分为训练、验证和测试三组。我们将70%的数据集作为训练集,15%作为验证集,15%作为测试集。第三阶段:我们提出了一个基于CNN,LSTM,CNN + LSTM深度学习技术CNN方法实现的超参数如表4所示,LSTM方法实现的超参数如表5所示。提出的CNN和LSTM以及CNN + LSTM模型显示在3,4和5中。此外,CNN + LSTM模型在算法1中陈述。第4阶段:在此阶段中,将建议的深度学习方法作为入侵检测方法进行评估,并根据确定的指标测量其用于评估每个模型性能的指标包括准确度、精确度、召回率、F1分数和损失。此外,在检测数据集中的攻击类型时考虑了准确率。有一个召回任务,用于跟踪训练过程中每个时期的验证如果在三十个时期内无法改善验证损失因此,当训练过程结束时,评估过程也将停止。算法1:CNN_LSTM 1:输入:Train_X,Train_Y2 : 超 参 数 : optimizer 、 rate 、 feature_layers 、 poolsize 、batchsize3 : 初 始 化 ( ) 4 : 标 准 化(Train_X,Train_Y)5 : Convolution_1=Sequential ( ( Convolution2D(optimizer,dropout,name=6.Convolution_1.compile ( Train_X , Train_Y , epochs ,batchsize)7.卷积_1.fit(Train_X,Train_Y,epochs,batchsize)不是我的错,是我的错。biXjZxtXjDht-158.卷积_1_feature=模型(输入,卷积_1(我我我i;jji;jJvolution2D:).output)9. 卷积_1_feature.predict(Train_X)我的天bpXjZpxtXjDpht-1610.Lstmmodel =顺序(Lstm(单位,激活,recurrent_activation),flatten(units,activation)httanh.不是吗?ð7Þ11.Lstmmodel.compile(lossfunction,optimizer))12.Lstmmodel.fit(Convolution_1_feature,Train_Y,batchsize,epoch))这是我的错。b0XjZ0xtXjD0ht-18J以一定的数值表示,并进行转换过程。数据的归一化处理特别是ð9ÞH.C. Altunay和Z. Albayrak工程科学与技术,国际期刊38(2023)1013228¼ ð Þ¼ ð Þ¼ ð Þ4.1. 评估措施准确率,F1分数,召回率和精度指标被用来评估所提出的方法的性能。TP表示攻击的数量,TN表示被准确分类的正常流量的数量。FP表示流量的数量,这些流量实际上是正常的数据,但被错误分类并被视为攻击。FN表示被误分类为正常流量的攻击数量[58]。准确度TP10公司简介召回TP11FNFUNTP精密TP12FP-10002ω精度ω召回率将本研究中UNSW-NB 15和X-IIoTID数据集中获得的发生率与先前研究中获得的发生率进行比较。 最后,给出了在本研究中使用的数据集中的攻击类型的准确检测率。通过使用LSTM在UNSW-NB 15数据集中执行的二进制和多类分类过程获得的结果见表6。递归神经网络必须准确定位,以便从为二进制和多类标记生成的数据集中的性能指标中获得最佳结果。该过程缩短了网络的训练周期,并降低了损失值。在这方面,长短期记忆方法在二元分类中的性能被确定为优于在多类分类中的性能。测试集的准确率在二元分类中为91.14%,而在多类分类中为91.10%。在二分类和多分类中,测试损失值均为6.41%。在LSTM模型中,确定了验证精度值二分类的正确率为91.05%,多分类的正确率为91.08%。F1-分数¼精确度和召回率分类正确率为91.12%,多类分类正确率为91.10%。两种分类过程的训练损失值均为11.83%,5. 实验分析和结果在本节中,解释了通过使用CNN、LSTM和CNN + LSTM方法生成的IDS获得的
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 5
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- JSP+SSM科研管理系统响应式网站设计案例
- 推荐一款超级好用的嵌入式串口调试工具
- PHP域名多维查询平台:高效精准的域名搜索工具
- Citypersons目标检测数据集:Yolo格式下载指南
- 掌握MySQL面试必备:程序员面试题解析集锦
- C++软件开发培训:核心技术资料深度解读
- SmartSoftHelp二维码工具:生成与解析条形码
- Android Spinner控件自定义字体大小的方法
- Ubuntu Server on Orangepi3 LTS 官方镜像发布
- CP2102 USB驱动程序的安装与更新指南
- ST-link固件升级指南:轻松更新程序步骤
- Java实现的质量管理系统Demo功能分析与操作
- Everything高效文件搜索工具:快速精确定位文件
- 基于B/S架构的酒店预订系统开发实践
- RF_Setting(E22-E90(SL)) V1.0中性版功能解析
- 高效转换M3U8到MP4:免费下载工具发布
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功