1、第 49卷 第 2期2023年 2月Computer Engineering 计算机工程自适应类增量学习的物联网入侵检测系统刘强1,张颖2,周卫祥2,蒋先涛2,周薇娜2,周谋国3(1.上海海事大学 物流科学与工程研究院,上海 201306;2.上海海事大学 信息工程学院,上海 201306;3.上海真灼科技股份有限公司,上海 201199)摘要:传统物联网入侵检测系统难以实时检测新类别攻击,为此,提出一种基于堆叠稀疏自编码器(SSAE)和自组织增量神经网络(SOINN)的物联网入侵检测方法。SSAE 对已知类别的攻击样本进行稀疏编码和特征提取,所提取的特征输入 SOINN,SOINN 形成符合
2、流量特征空间分布的拓扑结构。当出现新类别训练样本的特征时,SOINN自适应地生成新节点以建立新的局部拓扑结构。为了保留 SSAE在旧类别样本上的知识,对 SOINN已有的拓扑结构施加约束,通过误差反向传递间接约束 SSAE权重的变化。针对 SOINN 在新类别上产生的新局部拓扑结构进行自适应聚合和优化,从而实现新类别样本学习。实验结果表明,该方法能基于新类别数据对模型进行增量训练而无需历史类别数据,在 CIC-IDS2017数据集的动态数据流中能有效检测新类别攻击同时缓解旧类别数据中存在的灾难性遗忘问题,在初始已知数据集上的准确率达到 98.15%,完成 3个阶段的类别增量学习后整体准确率仍能
3、达到 57.34%,优于 KNN-SVM、mCNN等增量学习方法。关键词:入侵检测系统;堆叠稀疏自编码器;自组织增量神经网络;增量学习;知识保留开放科学(资源服务)标志码(OSID):中文引用格式:刘强,张颖,周卫祥,等.自适应类增量学习的物联网入侵检测系统 J.计算机工程,2023,49(2):169-174.英文引用格式:LIU Q,ZHANG Y,ZHOU W X,et al.Adaptive class incremental learning-based IoT intrusion detection system J.Computer Engineering,2023,49(2):
4、169-174.Adaptive Class Incremental Learning-Based IoT Intrusion Detection SystemLIU Qiang1,ZHANG Ying2,ZHOU Weixiang2,JIANG Xiantao2,ZHOU Weina2,ZHOU Mouguo3(1.Institute of Logistics Science and Engineering,Shanghai Maritime University,Shanghai 201306,China;2.College of Information Engineering,Shang
5、hai Maritime University,Shanghai 201306,China;3.Shanghai Zenkore Technology Co.,Ltd.,Shanghai 201199,China)【Abstract】The conventional intrusion detection system for the Internet of Things(IoT)typically fails to detect new types of attacks in real time.Therefore,a new intrusion detection method for t
6、he IoT that is based on Stacked Sparse Autoencoders(SSAE)and Self-Organizing Incremental Neural Networks(SOINN)is proposed in this study.SSAE performs sparse coding and feature extraction on sample attacks of known categories.The extracted features are input to the SOINN,which forms a topological st
7、ructure that conforms to the spatial distribution of the traffic characteristics.When the features of new class training samples appear,the SOINN adaptively generates new nodes to establish a new local topology.To retain the knowledge of SSAE on the old class samples,constraints are imposed on the e
8、xisting topology of the SOINN,and the changes to the SSAE weights are indirectly constrained through error reverse transfer.Adaptive aggregation and optimization are performed using the new local topological structure generated by the SOINN for the new class to learn the new class samples.The experi
9、mental results indicate that this method can perform incremental training on the model based on new categories of data without requiring historical data.It can effectively detect new types of attacks in the dynamic data flow of the CIC-IDS2017 dataset and alleviate the catastrophic forgetting proble
10、m associated with the old category data.The accuracy rate for the initially known dataset is 98.15%,and the overall accuracy rate reaches 57.34%after completing the three stages of category incremental learning,which is better than that of KNN-SVM,mCNN,and other incremental learning methods.【Key wor
11、ds】intrusion detection system;Stacked Sparse Autoencoders(SSAE);Self-Organizing Incremental Neural Networks(SOINN);incremental learning;knowledge retentionDOI:10.19678/j.issn.1000-3428.0063917基金项目:国家自然科学基金(61673259)。作者简介:刘强(1997),男,硕士研究生,主研方向为物联网信息安全;张颖(通信作者),教授;周卫祥、蒋先涛,讲师;周薇娜,副教授;周谋国,工程师。收稿日期:2022-
12、02-12 修回日期:2022-04-03 Email:网络空间安全文章编号:1000-3428(2023)02-0169-06 文献标志码:A 中图分类号:TP3932023年 2月 15日Computer Engineering 计算机工程0概述网 络 安 全 是 物 联 网 能 够 快 速 发 展 的 重 要 前提1,物联网入侵检测系统旨在监测、检测和应对试图 破 坏 物 联 网 系 统 中 资 源 完 整 性 和 机 密 性 的 行为2-3。物联网覆盖范围广,一旦遭到入侵,将造成大规模的工业设施无法工作1。目前,已有诸多基于机器学习的检测方法相继被提出以应对物联网安全问题,如支持向量机
13、4、深度信念网络5、模糊神经网络6等。但是,这些方法不能很好地应对物联网流量数据中的动态特性,其默认数据集可完全获取且数据集类别已知,然而当新的攻击出现时,已经训练好的模型难以准确识别流量类型7。物联网设备成本相对有限,仅支持满足自身功能的计算和存储,在边缘设备上部署人工智能模型算法时受到隐私保护、计算能力和存储空间的约束8。物联网流量的攻击类别层出不穷,若在掌握新数据后对模型重新训练,将对物联网设备的计算能力和存储提出更高的要求。在增量学习中,随着数据流的更新,入侵检测模型对数据流的识别能力逐渐增强,从而保证了动态数据流检测的实时性9。当前,已有一些学者针对物联网入侵检测系统的增量式学习方法
14、进行了研究。SU 等10提出一种基于增量式挖掘的模糊关联规则实时挖掘方法,通过比较 2 个规则集的样本来实现数据流在线检测。CHEN 等11提出一种在线入侵检测方法,利用人工免疫系统、基于种群的在线机器学习和协作滤波相结合的方法构建入侵检测分类器。TAHERI等12设计一种网络攻击分类算法以检测异常值,该方法将一组簇分成正常簇和稳定簇,结合正常簇的质心间平均距离,在稳定簇中发现异常值。WANG 等13提出一种学习策略,其充分利用元学习从少数样本中挖掘新的入侵模式,提高了模型的泛化能力。增量学习方式包括任务增量学习和类增量学习,实现类增量学习需要解决的问题是稳定性-可塑性困境14。稳定性表示在增
15、量学习过程中保留旧知识的能力,可塑性则表示整合新知识的能力15。当需要对新类别的攻击数据进行训练学习时,模型容易遗忘先前所学习到的样本知识16。针对该问题,研究人员提出了许多解决方案17-19,其中,基于图拓扑结构的方法性能较优,图拓扑结构易于拓展的特性使得其能在维持原有拓扑结构的基础上增加新的拓扑结构,从而在增量学习过程中取得良好的表现20-21。本 文 将 堆 叠 稀 疏 自 编 码 器(Stacked Sparse Autoencoders,SSAE)与自组织增量神经网络(Self-Organizing Incremental Neural Networks,SOINN)相结合,其中,S
16、SAE对高维物联网流量数据进行稀疏编码和特征提取,SOINN将 SSAE提取的特征映射至拓扑空间,根据拓扑更新规则和定义的拓扑约束函数间接约束 SSAE的权重变化,从而实现类增量学习。1相关理论本文基于 SSAE 和 SOINN 的物联网入侵检测系统框架如图 1所示,该系统分为 2个阶段:1)SSAE 初始化阶段。旧类别数据对 SSAE 进行预训练和微调,最终 SSAE 编码器形成特征提取器,样本经特征提取器后输出至 SOINN,SOINN 根据拓扑更新规则完成初始化。2)增量学习阶段。当存在新类别的样本需要训练时,新类别样本经训练后的SSAE编码器提取特征,特征输入至SOINN,SOINN根据拓扑更新规则自适应生成新的局部拓扑结构,同时约束旧节点的权值变化,最后通过误差计算和反向传播约束编码器的权值变化。1.1SSAE特征提取自编码器是一种尽可能复现输入样本的神经网络模型,包括编码器和解码器 2 个部分。堆叠稀疏自编码器由多个自编码器稀疏化后堆叠而成,引入KL 离散度来衡量某个隐层节点的平均激活输出?j和设定的稀疏度之间的相似性,KL离散度表示为:KL(|?j)=loga?j+(1-