物联网环境下小样本入侵检测方法、系统、设备及介质

本发明涉及物联网安全，特别是涉及一种物联网环境下小样本入侵检测方法、系统、设备及介质。

背景技术：

1、近年来，物联网快速发展，随之而来的就是物联网的网络安全问题。传统的网络入侵检测往往依赖于传统的网络，物联网上的入侵检测技术还比较少，而现有的网络入侵检测技术在小样本条件下面临着诸多挑战。传统的方法通常需要大量的训练数据来提高检测准确率，但在实际应用中，只能捕获到数量非常有限的数据，属于小样本条件，这些方法可能无法有效地识别新的网络入侵行为。此外，一些方法在处理小样本数据时可能会出现过拟合现象，导致对新攻击的检测能力下降。

技术实现思路

1、本发明的目的是提供一种物联网环境下小样本入侵检测方法、系统、设备及介质，能够克服现有网络入侵检测技术在小样本条件下的局限性，提高对新型网络攻击特别是物联网上的网络攻击的识别能力。

2、为实现上述目的，本发明提供了如下方案：

3、一种物联网环境下小样本入侵检测方法，包括：

4、在物联网环境下快速捕获不多于10个流量数据作为原始流量数据；

5、对所述原始流量数据进行预处理，生成匿名ip数据流；

6、将所述匿名ip数据流输入入侵检测模型中进行识别分类，确定数据检测结果；所述数据检测结果包括：所述匿名ip数据流是否存在攻击行为，以及存在攻击行为时的攻击类别；所述入侵检测模型是根据多头自注意力机制和元学习框架构建的；所述入侵检测模型包括依次连接的嵌入层、编码层和分类器；所述嵌入层包括可学习向量嵌入层和位置信息嵌入层；

7、其中，所述可学习向量嵌入层用于嵌入可学习向量；所述位置信息嵌入层用于利用正余弦位置编码进行位置信息的添加；所述编码层用于进行特征提取；所述分类器经过特征提取后用于对数据进行识别分类。

8、可选地，在所述编码层中，首先进行归一化处理，将归一化处理后的数据输入多头自注意力模块中进行多个自注意力操作，然后将经自注意力操作后的数据再次进行归一化处理，并输入前馈神经网络，最后将所述前馈神经网络的输出数据输入所述分类器；所述多头自注意力模块的输入和输出与所述前馈神经网络的输入和输出使用残差连接。

9、可选地，所述对所述原始流量数据进行预处理，生成匿名ip数据流，具体包括：

10、对所述原始流量数据中的每一条数据流提取前16个数据包，并对每个所述数据包提取前256个字节，得到提取数据；

11、利用随机产生的ip替换所述提取数据的原始ip，得到匿名ip数据流。

12、可选地，所述入侵检测模型的训练过程，具体包括：

13、获取小样本训练数据；所述小样本训练数据包括匿名ip训练数据及对应的攻击标签；所述攻击标签包括所述匿名ip训练数据是否存在攻击行为，以及存在攻击行为时的攻击类别；

14、将所述小样本训练数据输入依次连接的所述嵌入层和所述编码层，将所述编码层输出的处理结果作为分类器的输入，利用梯度下降策略，并以所述分类器输出的数据预测结果与所述攻击标签之间的损失最小为目标进行训练，得到所述入侵检测模型；所述梯度下降策略包括第一次梯度下降和第二梯度下降。

15、可选地，所述攻击类别包括：ddos、dos、sql injection、port scan。

16、本发明还提供了一种物联网环境下小样本入侵检测系统，包括：

17、数据采集模块，用于在物联网环境下快速捕获不多于10个流量数据作为原始流量数据；

18、匿名模块，用于对所述原始流量数据进行预处理，生成匿名ip数据流；

19、识别分类模块，用于将所述匿名ip数据流输入入侵检测模型中进行识别分类，确定数据检测结果；所述数据检测结果包括：所述匿名ip数据流是否存在攻击行为，以及存在攻击行为时的攻击类别；所述入侵检测模型是根据多头自注意力机制和元学习框架构建的；所述入侵检测模型包括依次连接的嵌入层、编码层和分类器；所述嵌入层包括可学习向量嵌入层和位置信息嵌入层；

20、其中，所述可学习向量嵌入层用于嵌入可学习向量；所述位置信息嵌入层用于利用正余弦位置编码进行位置信息的添加；所述编码层用于进行特征提取；所述分类器经过特征提取后用于对数据进行识别分类。

21、本发明还提供了一种电子设备，包括存储器及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行根据上述的物联网环境下小样本入侵检测方法。

22、本发明还提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的物联网环境下小样本入侵检测方法。

23、根据本发明提供的具体实施例，本发明公开了以下技术效果：

24、本发明公开了一种物联网环境下小样本入侵检测方法、系统、设备及介质，所述方法包括在物联网环境下快速捕获不多于10个流量数据作为原始流量数据；对所述原始流量数据进行预处理，生成匿名ip数据流；将所述匿名ip数据流输入入侵检测模型中进行识别分类，确定数据检测结果；所述数据检测结果包括：所述匿名ip数据流是否存在攻击行为，以及存在攻击行为时的攻击类别；所述入侵检测模型是根据多头自注意力机制和元学习框架构建的；所述入侵检测模型包括依次连接的嵌入层、编码层和分类器；所述嵌入层包括可学习向量嵌入层和位置信息嵌入层。本发明能够克服现有网络入侵检测技术在小样本条件下的局限性，提高对新型网络攻击特别是物联网上的网络攻击的识别能力。

技术特征：

1.一种物联网环境下小样本入侵检测方法，其特征在于，包括：

2.根据权利要求1所述的物联网环境下小样本入侵检测方法，其特征在于，在所述编码层中，首先进行归一化处理，将归一化处理后的数据输入多头自注意力模块中进行多个自注意力操作，然后将经自注意力操作后的数据再次进行归一化处理，并输入前馈神经网络，最后将所述前馈神经网络的输出数据输入所述分类器；所述多头自注意力模块的输入和输出与所述前馈神经网络的输入和输出使用残差连接。

3.根据权利要求1所述的物联网环境下小样本入侵检测方法，其特征在于，所述对所述原始流量数据进行预处理，生成匿名ip数据流，具体包括：

4.根据权利要求1所述的物联网环境下小样本入侵检测方法，其特征在于，所述入侵检测模型的训练过程，具体包括：

5.根据权利要求1所述的物联网环境下小样本入侵检测方法，其特征在于，所述攻击类别包括：ddos、dos、sqlinjection、port scan。

6.一种物联网环境下小样本入侵检测系统，其特征在于，包括：

7.一种电子设备，其特征在于，包括存储器及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1-5中所述的物联网环境下小样本入侵检测方法。

8.一种计算机可读存储介质，其特征在于，其存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-5中所述的物联网环境下小样本入侵检测方法。

技术总结
本发明公开一种物联网环境下小样本入侵检测方法、系统、设备及介质，涉及物联网安全技术领域。所述方法包括：在物联网环境下快速捕获不多于10个原始流量数据；对原始流量数据进行预处理，生成匿名IP数据流；将匿名IP数据流输入入侵检测模型中进行识别分类，确定数据检测结果；数据检测结果包括：匿名IP数据流是否存在攻击行为以及存在攻击行为时的攻击类别；入侵检测模型是根据多头自注意力机制和元学习框架构建的；入侵检测模型包括依次连接的嵌入层、编码层和分类器；嵌入层包括可学习向量嵌入层和位置信息嵌入层。本发明能够克服现有网络入侵检测技术在小样本条件下的局限性，提高对新型网络攻击特别是物联网上的网络攻击的识别能力。

技术研发人员：刘思情,许聪源,陈广辉,胡炜晨,詹勇,王志强,王晓琳
受保护的技术使用者：嘉兴学院
技术研发日：
技术公布日：2024/1/15