[发明专利]基于混合神经网络模型优化的物联网入侵检测系统及方法

权利要求书

1.一种基于混合神经网络模型优化的物联网入侵检测系统，其特征在于，该系统包括物联网入侵检测的数据解压模块、数据预处理模块、混合神经网络模型离线优化模块和在线检测模块；

所述物联网入侵检测的数据解压模块包括数据嗅探和数据采集两个子模块，即首先将物联网通讯流量数据进行数据嗅探，通过将网卡置于混杂模式，将网络中的通讯流量以报文为单位存储进系统中；数据采集模块收到通讯报文后，将其汇总成网络流的形式并产生相对应的特征；

将数据解压模块处理后的网络流发送到数据预处理模块，所述数据预处理模块包括数据解析和数据归一化两个子模块；数据解析子模块对其中所有类别特征进行汇总并产生特征映射表，特征表中类别特征与数值特征一一对应；根据特征表将数据中的类别特征全部转换为数值特征，从而获得源数据集，将其标记为X，并按照公式(1)进行数据的归一化处理，将归一化处理后获得的数据集标记为X_o，再将X_o进行序号随机化处理并以7:3的比例分配进训练集X_o1与验证集X_o2中；

其中，X_oj表示数据集X_o第j维度的特征，X_j表示源数据集X第j维度的特征，X_jmax与X_jmin分别表示X_oj的最小值与最大值，m表示数据集X_o维度的最大值；

将X_o1与X_o2传输到混合神经网络模型离线优化模块，所述混合神经网络模型离线优化模块通过离散粒子群优化技术对混合神经网络模型进行优化搜索，获得混合神经网络的最优模型信息；

将获得的最优模型信息传输到在线检测模块，所述在线检测模块基于最优模型的混合神经网络模型进行入侵检测，若检测到入侵则产生报警信息并评估入侵检测性能指标。

2.一种应用权利要求1所述系统的基于混合神经网络模型优化的物联网入侵检测方法，其特征在于，包括以下步骤：

(1)设置基于混合神经网络模型优化的离线优化训练模块的参数值，所述参数值包括种群大小N、混合神经网络模型架构与超参数优化的迭代优化次数G_max、混合神经网络模型离线训练的轮次E₁、混合神经网络模型进行离线验证的轮次E₂、混合神经网络模型二进制编码维度D、粒子群优化求解器中惯性系数的最大值ω_max、惯性系数的最小值ω_min、速度的最大值v_max、速度的最小值v_min，自身认知的学习因子ρ₁，群体认知的学习因子ρ₂；

(2)随机产生包含N个粒子的初始粒子群P₀，即P₀＝{p₁,…,p_i,…,p_N,1≤i≤N}，其中p_i表示P₀中第i个粒子，p_i将待优化设计的混合神经网络模型的超参数和网络架构参数编码成一个D维的二进制向量，p_i位置的具体编码如公式(2)所示：

p_i＝{x₁,L,x_d,L,x_D},1≤d≤D (2)

其中，x_d表示混合神经网络模型的超参数和网络架构参数编码的第d位二进制数值，x_d∈{0,1}，将p_i位置所对应的混合神经网络模型的超参数和网络架构参数标记为q_i，即q_i表示第i个粒子所对应的混合神经网络模型超参数和网络架构参数的实数向量；

其中，[B,f,η]表示混合神经网络模型所采用的超参数，B代表混合神经网络模型训练时采用的批大小，f代表混合神经网络模型训练时所采用的优化器类型，f∈{sgd,momentum,nesterov,adagrad,adamax,adam,rmsprop,adadelta}，sgd表示随机梯度下降(Stochastic Gradient Descent，SGD)，momentum表示具有动量(Momentum)的随机梯度下降，nest erov表示涅斯捷罗夫加速梯度(Nesterov Accelerated Gradient)，adagrad表示自适应梯度(Adaptive Gradient Algorithm)，adamax表示自适应矩估计最大值优化(Adaptive Mome nt Estimation Max,Adamax)，adam表示自适应矩估计(Adaptive MomentEstimation)，rmsprop表示均方根反向传播(Root Mean Squre Propogation)，adadelta表示在均方根反向传播的基础上，对相邻两步迭代的差值(即迭代增量)进行累计加权和的优化求解方法；η代表混合神经网络模型训练时采用的学习率大小；n_c代表混合神经网络模型中卷积层的层数，conv_j代表第j层卷积层，1≤j≤n_c，n_f代表混合神经网络模型中全连接层的层数，fc_k代表第k层全连接层，1≤k≤n_f；conv_i的具体组成如公式(4)所示：

conv_j＝[pa_j,kn_j,ks_j,ps_j,af_j],1≤j≤n_c (4)

其中，pa_j代表第j层卷积层的填充类型，pa_j∈{valid,same}，valid表示不填充，same表示填充输入以使输出具有与原始输入相同的长度，kn_j代表第j层卷积层的卷积核个数，ks_j代表第j层卷积层的卷积核大小，ps_j代表第j层卷积层的所接的池化层大小，af_j代表第j层卷积层的激活函数类型，af_j∈{sigmoid,tanh,relu,none}，sigmoid表示S型函数，tanh表示双曲正切函数，relu表示线性整流函数，none表示不做处理；全连接层fc_k的具体组成如公式(5)所示：

fc_k＝[ft_k,nn_k,af_k,rt_k,dr_k],1≤k≤n_f (5)

其中，ft_k代表第k层全连接层的类型，ft_k∈{rnn,lstm,gru,linear}，rnn表示循环神经网络(Recurrent Neural Network)，lstm表示长短期记忆人工神经网络(Long Short-TermMemory)，gru表示门循环单元(Gate Recurrent Unit)，linear表示线性层(LinearLayer)，nn_k代表第k层全连接层的神经元数量，af_k代表第k层全连接层的激活函数类型，af_k∈{sigmoid,tanh,relu,none}，rt_k代表第k层全连接层正则化类型，rt_k∈{L1-L2,L2,L1,none}，L1-L2表示L1与L2的混合正则化，L2表示L2正则化，L1表示L1正则化，none表示不做处理，dr_k代表第i层全连接层的舍弃(Dropout)概率。再根据公式(6)初始化每个粒子p_i的运动速度

其中表示针对第i个粒子p_i的第d维随机产生的一个0到1范围内的随机数；

(3)设置初始迭代次数g＝1，将初始粒子群P₀作为当前迭代次数g＝1的粒子群P_g＝P₀，对粒子群P_g进行性能评估，性能评估具体过程如下：将P_g中每个粒子所表征的超参数和网络架构实数q_i转化为对应的混合神经网络模型，将离线训练数据集X_o1作为每个混合神经网络模型的数据输入，进行E₁轮次的离线训练；针对验证集X_o2进行E₂轮次的验证测试，按照公式(7)获得每个粒子对应的准确率，统计出粒子群P_g中最优的准确率，将粒子群P_g中最优准确率对应的粒子位置标记为粒子群中全局最优位置G_gbest，并将每个粒子p_i历史上获得的最优准确率对应的位置标记为历史最好位置p_gibest；

其中，TP表示将正常物联网数据样本正确地预测为正常分类的数量，TN表示将异常物联网数据样本正确地预测为异常分类的数量，FP表示将异常物联网数据样本错误地预测为正常分类的数量，FN表示将正常物联网数据样本错误地预测为异常分类的数量。

(4)按照公式(8)计算当前优化迭代数g(1≤g≤G_max)所对应的动态惯性权重值ω_g：

其中，ω_max为惯性最大值，ω_min为惯性最小值；

(5)按照公式(9)更新P_g中每一个粒子p_i第d维的当前优化迭代数g所对应的运动速度

其中表示针对p_i在当前迭代次数g时第d维位置自身认知更新而产生的一个0到1范围内的随机数，表示针对p_i在当前迭代次数g时第d维位置群体认知更新而产生的一个0到1范围内的随机数，表示p_i在当前迭代次数g时第d维所对应的位置，表示p_i截止到当前迭代次数g时获得的历史最好第d维位置，表示截止到当前迭代次数g时粒子群获得的全局最好第d维位置，表示p_i在前一个迭代次数(g-1)时第d维所对应的运动速度；对超出边界条件的运动速度按照公式(10)进行处理：

其中，表示针对p_i在当前迭代次数g时第d维运动速度越界处理而产生的一个0到1范围内的随机数；

(6)按照公式(11)计算每一个粒子p_i第d维的当前优化迭代数g所对应的最终速度

(7)根据公式(12)对p_i第d维位置进行更新，获得更新后的位置，将其标记为将更新后的所有粒子组成在当前迭代次数g时更新后的粒子群，将其标记为P_ng，即P_ng＝{p_ng1,…,p_ngi,…,p_ngN,1≤i≤N}，p_ngi表示在当前迭代次数g时第i个更新后的粒子；

其中v_rand_d为针对p_ngi第d维位置更新而产生的一个0到1范围内的随机数；

(8)按照步骤(3)所述的性能评估过程，对P_ng中的每个粒子p_ngi进行性能评估，获得P_ng中全局最优位置，将其标记为G_ngbest；如果G_ngbest对应的准确率大于G_gbest对应的准确率，则更新G_gbest，即G_gbest＝G_ngbest；否则，G_gbest保持不变；如果粒子p_ngi对应的准确率大于p_gibest对应的准确率，则更新p_gibest，即p_gibest＝p_ngi，否则p_gibest保持不变；

(9)若gG_max,则更新g＝g+1，P_g＝P_ng，重复步骤(4)～步骤(8)；否则，则直接进入下一步骤；

(10)根据离线优化训练模块中最终获得的全局最优个体G_best所表征的最优模型信息，构建物联网入侵检测在线检测模块中的最优混合神经网络模型；

(11)物联网入侵检测的数据采集模块从物联网监测系统的实时数据库中采集物联网的实时监控数据，经过数据解析和数据归一化处理后，作为基于最优混合神经网络模型的物联网在线入侵检测模块的在线检测数据集，将其标记为X_t；

(12)利用在线检测模块运行最优混合神经网络模型，对在线检测数据集X_t进行在线入侵检测，运行最优混合神经网络模型，对在线检测数据集X_t进行在线入侵检测，分别按照公式(13)～(15)计算入侵检测的精准率、召回率与F₁评分等性能指标；

其中，TP表示将正常物联网数据样本正确地预测为正常分类的数量，TN表示将异常物联网数据样本正确地预测为异常分类的数量，FP表示将异常物联网数据样本错误地预测为正常分类的数量，FN表示将正常物联网数据样本错误地预测为异常分类的数量。