多模型组合的船舶物联网非法入侵行为检测研究.pdf

1、第45卷第19 期2023年10 月舰船科学技术SHIP SCIENCEAND TECHNOLOGYVol.45,No.19Oct.,2023多模型组合的船舶物联网非法人侵行为检测研究张晓伟（华北理工大学，河北唐山0 6 30 0 0）摘要：为了提高非法人侵行为检测效果，确保船舶物联网安全、平稳运行，提出多模型组合的船舶物联网非法入侵行为检测方法。基于密集连接卷积神经网络、门控循环单元基本原理，构建基于DCCNet-GRU的改进船舶物联网非法人侵检测组合模型，将船舶物联网流量数据作为组合模型的输人，通过一维DCCNet网络获取输人样本数据的空间特征，将其作为GRU的输人，完成其时间维度特征的提

2、取后，再将其输人到全连接层中，实现非法船舶物联网人侵行为类型的识别。实验结果表明，该方法可实现船舶物联网非法入侵行为检测，以Focal为损失函数，增长率为30、网络层数为95时，非法人侵行为检测效果最优。关键词：物联网；非法入侵行为；密集连接；门控循环单元；空间特征；全连接层中图分类号：TP391文章编号：16 7 2-7 6 49(2 0 2 3)19-0 18 9-0 4Research on illegal intrusion behavior detection of ship iot based on multiple model combinationAbstract:In ord

3、er to improve the detection effect of illegal intrusion behavior and ensure the safe and stable operationof the ship Internet of Things,a multi model combination method for detecting illegal intrusion behavior in the ship Internetof Things is proposed.Based on the basic principles of dense connected

4、 convolutional neural networks and gated loop units,an improved ship IoT illegal intrusion detection combined model based on DCCNet GRU is constructed.The ship IoT trafficdata is used as input to the combined model,and the spatial features of the input sample data are obtained through a one-di-mensi

5、onal DCCNet network as input to GRU.After extracting its temporal features,they are input into the fully connectedlayer,Identify the types of illegal ship IoT intrusion behaviors.The experimental results show that this method can achievethe detection of illegal intrusion behavior in the ship Interne

6、t of Things.With Focal as the loss function,a growth rate of 30,and a network layer of 95,the detection effect of illegal intrusion behavior is optimal.Key words:Internet of Things;illegal intrusion behavior;dense connection;gate control loop unit;spatial charac-teristics;fully connected layer0引言信息技

7、术与物联网技术的成熟与应用，使船舶智能化、网络化与自动化管理成为可能。船舶物联网可为船舶航行环境监测、船舶设备远程控制提供可靠保障。非法入侵行为将会给船舶物联网安全带来极大威胁，甚至产生难以磨灭的损失2-3。采取有效措施对船舶物联网非法人侵行为进行检测显得极其重要。数据规模的不断扩大以及非法人侵方式的复杂化，为船舶物联网非法入侵行为检测带来极大挑战。收稿日期：2 0 2 3-0 3-2 4作者简介：张晓伟（197 8），男，高级工程师，研究方向为计算机科学。文献标识码：AZHANG Xiao-wei(North China University of Technology,Tangshan 0

8、63000,China)周飞菲4 针对人侵行为检测效果差的问题，提出在对规则、攻击以及边界信息进行精准划定的基础上，利用支持向量机对非法人侵行为进行分类的方法。由于该方法获得非法入侵行为特征不够全面，且存在梯度消失等问题，以致非法人侵行为检测效果并不理想。金诗博等5 根据虚假注人攻击下的物联网参数的变化，实现指标特征数据的获取后，利用贝叶斯分类器完成虚假数据类型的识别。单一模型获得的非法入侵数据特征具有片面性与不完整性，通过多组合模型实doi:10.3404/j.issn.16727649.2023.19.036190现非法入侵行为特征的多尺度获取，是提高非法人侵行为检测效果的关键6 。因此，

9、本文研究多模型组合的船舶物联网非法人侵行为检测方法，以改善非法人侵行为检测效果，确保船舶物联网的安全、平稳运行。1船舶物联网非法入侵行为检测1.1密集连接卷积神经网络传统深层卷积神经网络梯度爆炸或过拟合缺陷，密集连接卷积神经网络的提出，使得这一问题得以解决，该网络的随机2 层之间都具有关联，即其前向各层输出结果构成了当前层的输入，该层处理后的特征图也将被其后各层所利用，以维持网络各层的密集连接状态。该网络通过较少数量卷积核即可实现输人样本特征的学习，在有效降低了网络参数量的同时，能够实现底层特征的高效利用。DCCNet网络基本结构如图1所示。监池输出结果听舰船科学技术网络（LSTM）性能差异不

10、大，但因其缺失一个控制门，网络参数使用数量更低，网络收敛效率更高。GRU的基本结构如图2 所示。GRUy图2 GRU输入输出原理图Fig.2 Schematic diagram of GRU input and output图2 中，t时刻的输入表示为xt，通过前一个节点获得的隐状态表示为ht-1，前向节点信息均隐含在其中。利用xt、h t-1可确定t时刻隐含节点的输出结果与后一节点的隐状态输，分别表示为y、h r。G RU 的工作原理如图3所示。hei密集连接块！池化第45卷hx,Xh,密集连接块舰船物联网卷流量数据积图1CNet网络基本结构Fig.1Basic Structure of D

11、CCNet Network该网络中含有3个密集连接块，过渡层位于2 个密集连接块之间，起到连接作用。每个密集连接块都具有5层结构，利用非线性变换函数Hi（c o m p o s i t efunction）可实现数据在网络上、下层之间的传递，它由BN（Ba tc h-No r m a liz a tio n）、激活函数以及卷积3个处理阶段构成。密集连接块第L层的输出结果描述为：XI=Hixo,X1,.,XI-i。(1)式中：x.1表示密集连接块中各层连接特征。通过H对密集连接块的各层进行处理，可获得特征图数量表示为k(l-1)+ko，则其首层输人特征数量表示为k(l-1)+ko，增长率表示为k

12、，其作用是调节DCCNet网络宽度，输人层通道总量表示为ko。各密集连接块获得的样本数据特征图存在尺寸差异，为使其输出特征维度具有一致性，在其后接人过渡层，依次完成密集连接块输出特征的归一化、激活函数、卷积与池化操作。1.2门控循环单元门控循环单元（GRU）是对循环神经网络（RNN）的改进与延伸，在时间序列数据处理上与长短时记忆密集连接块！卷池积化图3GRU工作原理Fig.3Working principle of GRU在GRU中，根据xt、h t-1可对t时间点下的重置门r、更新门z的状态进行确定，公式描述为：rt=o(Wrxt+Urht-1),zt=o(Wzxt+Uzht-1)。式中：W

13、,、W,分别为输人层与重置门r、更新门z的权重矩阵；Ur、U,分别为隐含层与重置门r、更新门之的权值矩阵。通过重置门r对ht所含信息作更新处理，计算公式为：hf-1=hi-1 ro(4)将h-i1与x作拼接，并利用tanh函数将拼接后数据向-1,1区间进行投影，可完成h,的确定，计算公式为：h=tanh(Wxt+rtUht-1)。(5)通过更新门确定后一节点的隐状态输人ht，计算公式为：ht=Zt ht-1+(1-zt)h。(2)(3)(6)第45卷更新门的取值区间为0,1，门控信号无限接近1，说明可获得更多的“记忆”数据；反之，当其无限趋近于0，则表明更多的数据被“遗忘”。1.3船舶物联网非

14、法入侵行为检测组合模型船舶物联网流量数据为典型的一维数据，一维卷积层可有效增强非法入侵行为检测组合模型对时间序列数据的学习性能，因此对DCCNet网络作改进处理，通过一维卷积对原有二维卷积进行替换，采用小卷积核完成船舶物联网流量数据核心特征的提取。将1通道且卷积核大小为3的一维卷积部署于首个密集连接块前端，以获取改进DCCNet网络首层特征，通过批归一化处理提高网络训练效率，利用最大池化层加大网络感受野，避免网络出现过拟合缺陷。通过一维卷积提取输人样本数据特征后，将其输人到密集连接块中，通过其内的BN1D+ReLU+Conv1D（11）+BN1D+ReLU+Conv1D（33）的H;对其进行处

15、理，以获得多通道融合特征，完成船舶物联网流量数据特征的提取。过渡层采用11卷积，以达到密集连接块产生通道个数降低的目的。设定c为前层网络产生的特征图通道数，压缩系数k在0,1 内取值，则ck为过渡层输出的特征图数量，将其作为后一个密集连接块的输，可确保船舶物联网流量样本数据的核心信息得以完整保留。改进后的DCCNet网络不仅具有较少参数，而且可提高输入样本特征表达能力。船舶物联网流量样本数据经过一维DCCNet网络处理后，可实现其空间特征的完整提取，将其作为GRU的输入，以获得其时间维度特征，从而实现其时空特征的全面学习。采用基于改进DCCNet-GRU的船舶物联网非法入侵检测组合模型对船舶物

16、联网流量样本数据进行处理，可得：(fi=DCCNetlD(f),f2=BatchnormlD(fi),f3=GRU(f2),(f4=AvgpoollD(f3)。式中：Ji为船舶物联网流量样本数据的初始特征张量；f2为Batch-Normalization层获得的特征张量；fs为GRU提取的特征张量；4为船舶物联网非法入侵检测组合模型输出的流量数据特征，利用全连接层对其进行处理，即可完成船舶物联网非法人侵行为检测，确定非法入侵行为类型。2实验结果与分析以船舶物联网为研究对象，将不同非法人侵行为张晓伟：多模型组合的船舶物联网非法入侵行为检测研究Worms3Exploits4Dos5Fuzzers6

17、Backdoor选取精确率（P）、召回率（R）以及Fi分数作为船舶物联网非法入侵行为检测的评价指标，将训练样本作为非法人侵行为检测组合模型的输人对其进行训练，通过对各非法人侵行为的P、R、Fi指标值差异，分析本文方法的非法人侵行为检测性能，实验结果如表2 所示。实验结果表明，本文方法可实现船舶物联网非法人侵行为检测，检测效果较好。表2 本文入侵行为检测结果Tab.2 Intrusion detection results of this article非法入侵行为类型ShellcodeWormsExploitsDoSFuzzersBackdoor(7)损失函数对非法人侵行为检测组合模型至关重要

18、，本文选取交叉熵损失函数与Focal损失函数进行实验，通过对比不同损失函数下各非法人侵行为的R指标值的变化曲线，研究损失函数选择对非法入侵行为检测组合模型性能的影响，实验结果如图4所示。分析可知，当以Focal为非法人侵行为检测组合模型的损失函数时，模型对不同非法人侵行为的检测R指标均较高，达到9 0%以上；当模型采用交叉熵损失函数时，各非法入侵行为检测R指标值均较低，最大值仅为8 8%左右，因此，本文采用Focal损失函数。增长率k与模型深度同样会对非法人侵行为检测组191攻击类型数据注人到船舶物联网中，构建样本数据集，数据总量为10 0 0 0 条，以4：1比例划分训练样本、测试样本，在P

19、yTorch1.2深度学习框架下开展船舶物联网非法入侵行为检测实验，设定批量处理规模为12 8，学习率初值为10-3，最大训练次数为50 0，利用Adam优化器对组合模型参数进行寻优。非法人侵行为攻击数据类型如表1所示，采用本文方法对船舶物联网非法人侵行为进行检测，分析其检测性能。表1非法入侵行为攻击数据表Tab.1 Illegal intrusion behavior attack data table序号12攻击数据类型ShellcodeP/%91.3790.8992.34.91.7992.8593.55数量3505020014060100R/%F/%90.5889.9990.6790.6

20、691.2990.1890.3491.290.2690.5191.5592.44 192%908580750图4损失函数对入侵行为检测组合模型性能影响Fig.4 Impact of loss function on the performance of intrusionbehavior detection combination model合模型性能造成影响，设定k(l-1)+ko为2 0、30，模型深度在2 0,110 区间取值，对不同k(1-1)+ko下的非法人侵行为检测准确度指标分析结果如图5所示。分析可知，随着网络层数的不断增长，非法入侵行为检测准确度呈先增后减趋势变化，当网络层数为

21、9 5时，非法人侵行为检测准确度最高，可达到95.6 7%左右；在相同网络深度条件下，k=30时的非法入侵行为检测效果高于k=20。实验结果表明，当k(l-1)+ko为30、网络层数为95时，非法入侵行为检测效果最优。100.k=2095F9085807520图5非法入侵行为检测组合模型性能分析Fig.5 Performance analysis of the combined model forillegal intrusion detection采用本文方法对测试样本中的非法入侵行为进行检测，通过对检测结果进行分析，验证本文方法的检测效果，实验结果如表3所示。分析可知，应用本文方法对船舶物

22、联网非法人侵行为进行检测，可实现各种非法人侵行为类型的识别，其中在Shellcode、Ex-ploits非法人侵行为上存在一个误检测样本。实验结果表明，本文非法具有非法入侵行为检测能力，并可取得良好的检测效果。3结语构建基于DCCNet-GRU的船舶物联网非法人侵检舰船科学技术100表3非法入侵行为检测结果分析一交叉熵损失函数-Focal损失函数Tab.3Analysis of illegal intrusion detection results95序号12345612345非法入侵行为种类-k=303550网络层数第45卷数据类型样本数量正常样本1820Shellcode70Worms10

23、Exploits40DoS28Fuzzers127Backdoor测组合模型，在包含不同非法入侵行为样本数据集上进行非法人侵行为检测效果分析。实验结果表明，本文方法可实现船舶物联网非法入侵行为检测，采用Fo-cal损失函数，k(l-1)+ko为30、网络层数为9 5时，其非法人侵行为检测效果最优。参考文献：1】乔楠,李振兴,赵国生.XGBoost-RF 的物联网入侵检测模型小型微型计算机系统,2 0 2 2,43(1):7-11.QIAO Nan,LI Zhen-xing,ZHAO Guo-sheng.Intrusion detec-tion model of Internet of Thin

24、gs based on XGBoost-RFJJ.Jour-nal of Chinese Computer Systems,2022,43(1):7-11.2张娅.基于深度学习网络的物联网非法入侵识别研究1.微电子学与计算机,2 0 2 0,37(6):7 5-7 8.ZHANG Ya.Research on Internet of Things illegal intrusionrecognition based on deep learning networkJ.Microelectron-ics&Computer,2020,37(6):75-78.3胡向东,周巧.基于深度学习的工业物联网

25、智能入侵检测1计算机系统应用,2 0 2 0,2 9(9):47-56.HU Xiang-dong,ZHOU Qiao.IIoT intelligent intrusion detec-6580误检测数01010020095110tion based on deep learning.Computer Systems&Applica-tions,2020,29(9):47-56.4周飞菲.基于支持向量机方法的网络入侵检测实验研究.西南师范大学学报（自然科学版),2 0 2 0,45(1):57-6 1.ZHOU Fei-fei.Support vector machine method for

26、 network in-trusion detectionJJ.Journal of Southwest China Normal Uni-versity(Natural Science Edition),2020,45(1):57-61.5】马明艳,陈伟,吴礼发.基于CNN_BiLSTM网络的入侵检测方法.计算机工程与应用,2 0 2 2,58(10)：116-12 4.MA Ming-yan,CHEN Wei,WU Li-fa.Intrusion detectionmethod based on CNN_BiLSTM networkJ.Computer Engi-neering and Applications,2022,58(10):116-124.6】李俊,夏松竹,兰海燕,等.基于GRU-RNN 的网络入侵检测方法J.哈尔滨工程大学学报，2 0 2 1,42(6)：8 7 9-8 8 4.LI Jun,XIA Song-zhu,LAN Hai-yan,et al.Network intrusiondetection method based on GRU-RNNJ.Journal of Harbin En-gineering University,2021,42(6):879-884.