一种物联网入侵检测方法、装置、设备以及存储介质

技术领域

本申请属于网络通讯技术领域，特别涉及一种物联网入侵检测方法、装置、设备以及存储介质。

背景技术

随着物联网设备的快速进步与发展，越来越多的物联网设备被应用在日常生产生活之中，并使得越来越多的应用变得更加智能化，如物联网驱动的智慧城市，物联网驱动的智慧医疗养老等等。然而，物联网设备自身具有一些缺陷，如，大多数的物联网设备具有极其有限的计算、存储能力，其能源供应也十分有限，因此，在物联网设备上部署较为强有力的入侵检测机制变得较为不可行，这就使得物联网设备更加容易受到恶意入侵攻击，从而使得物联网设备自身的安全性受损，其应用以及用户的安全也因此难以得到保障。

为了保障物联网设备、其运行的应用以及用户的安全，需要一个有效的入侵检测机制，对可能的入侵行为进行检测，从而保障物联网设备的安全。传统的入侵检测机制主要有两种：一种是基于规则库的入侵检测方法；另一种是基于机器学习的入侵检测方法。基于规则库的入侵检测方法依赖于一个预先建立好的入侵规则库。当检测到某一次通讯符合入侵规则库中的某种规则时，判定该次通讯为非法入侵。而基于机器学习的入侵检测方法则需要用一个具有完整标记的数据集预先训练一个机器学习模型，并通过训练好的机器学习模型进行入侵检测。

然而，传统的两种入侵检测方法均具有很强的数据依赖性。基于规则库的入侵检测方法依赖于一个完备的知识库，然而构建该知识库并时常更新需要很强的专家知识。基于机器学习的入侵检测方法依赖于一个完整标记的训练数据集，然而构建该数据集需要大量的时间与人力，成本昂贵。此外，物联网设备的一些自身限制，如较弱的存储与通讯能力，以及一些用户隐私信息的考虑使得物联网通讯数据较少被采集并获取，如此进一步使得上述两种对数据依赖性强的传统入侵检测方法在面对物联网入侵检测时效果大大受损。

发明内容

本申请提供了一种物联网入侵检测方法、装置、设备以及存储介质，旨在至少在一定程度上解决现有技术中的上述技术问题之一。

为了解决上述问题，本申请提供了如下技术方案：

一种物联网入侵检测方法，包括：

步骤S1：将互联网源域入侵检测数据输入至源域特征映射器，将物联网目标域入侵检测数据输入至目标域特征映射器；

步骤S2：以互联网源域入侵检测数据作为输入，构建基于源域训练的推荐系统；

步骤S3，采用所述基于源域训练的推荐系统，为每一个物联网目标域入侵检测数据推荐一个与其最相似的互联网源域入侵检测数据；

步骤S4，以物联网目标域入侵检测数据作为输入，构建基于目标域训练的推荐系统；

步骤S5：采用所述基于目标域训练的推荐系统，为每个互联网源域入侵检测数据的均值向量推荐前N个相似的物联网目标域入侵检测数据；

步骤S6：计算得到每个通讯类别之间的基于源域训练的推荐系统的推荐结果与基于目标域训练的推荐系统的推荐结果之间的欧式距离，得到推荐系统匹配损失；

步骤S7：根据所述互联网源域入侵检测数据，计算得到监督损失；

步骤S8：对所述监督损失与所述推荐系统匹配损失进行优化，更新神经网络的参数；

步骤S9：若推荐系统为物联网目标域推荐互联网源域入侵检测数据的余弦相似度大于设定阈值，则使用推荐系统所推荐的互联网源域入侵检测数据的入侵类型作为最终入侵类型；若未达到设定阈值，则使用神经网络分类器对物联网目标域入侵检测数据进行入侵检测。

本申请实施例采取的技术方案还包括：所述步骤S2包括：

采用Latent Semantic Indexing算法，以互联网源域入侵检测数据作为输入，构建基于源域训练的推荐系统；其数学表达式为：

其中，M矩阵为源域特征矩阵，U为特征-隐空间矩阵，T为隐空间变换矩阵，V为通讯数据-隐空间矩阵，R为维度参数，

本申请实施例采取的技术方案还包括：所述步骤S3包括：

采用所述基于源域训练的推荐系统，为每一个物联网目标域入侵检测数据推荐一个与其最相似的互联网源域入侵检测数据，被推荐的所述互联网源域入侵检测数据的入侵类别标签作为所述物联网目标域入侵检测数据的推荐系统标签，其数学表达式如下：

其中，RS

之后，对所有物联网目标域入侵检测数据，根据其推荐系统标签按类取均值向量。

本申请实施例采取的技术方案还包括：所述步骤S5包括：

对所有互联网源域入侵检测数据按类取平均，并采用所述基于目标域训练的推荐系统，为每个互联网源域入侵检测数据的均值向量推荐前N个相似的物联网目标域入侵检测数据，并对所述N个相似的物联网目标域入侵检测数据取均值向量。

本申请实施例采取的技术方案还包括：所述步骤S6包括：

最小化每个通讯类别之间的基于源域训练的推荐系统的推荐结果以及基于目标域训练的推荐系统的推荐结果之间的欧式距离，其数学表达式如下：

其中，L

本申请实施例采取的技术方案还包括：所述步骤S7包括：

计算互联网源域入侵检测数据监督损失，其数学表达式如下：

其中：L

本申请实施例采取的技术方案还包括：所述步骤S8包括：

采用梯度下降优化算法对所述监督损失与所述推荐系统匹配损失进行优化，更新网络参数；判断模型是否收敛：如果模型收敛，则执行步骤S9；否则，返回步骤S1。

本申请实施例采取的另一技术方案为：一种物联网入侵检测装置，包括：

输入模块：用于将互联网源域入侵检测数据输入至源域特征映射器，将物联网目标域入侵检测数据输入至目标域特征映射器；

构建模块：用于以互联网源域入侵检测数据作为输入，，构建基于源域训练的推荐系统；

推荐模块：用于采用所述基于源域训练的推荐系统，为每一个物联网目标域入侵检测数据推荐一个与其最相似的互联网源域入侵检测数据；

构建模块：还用于以物联网目标域入侵检测数据作为输入，构建基于目标域训练的推荐系统；

推荐模块：还用于采用所述基于目标域训练的推荐系统，为每个互联网源域入侵检测数据的均值向量推荐前N个相似的物联网目标域入侵检测数据；

匹配损失计算模块：用于计算得到每个通讯类别之间的基于源域训练的推荐系统的推荐结果与基于目标域训练的推荐系统的推荐结果之间的欧式距离，得到推荐系统匹配损失；

监督损失计算模块：用于根据所述互联网源域入侵检测数据，计算得到监督损失；

更新模块：用于对所述监督损失与所述推荐系统匹配损失进行优化，更新神经网络的参数；

入侵检测模块：用于当推荐系统为物联网目标域推荐互联网源域入侵检测数据的余弦相似度大于设定阈值时，使用推荐系统所推荐的互联网源域入侵检测数据的入侵类型作为最终入侵类型；当未达到设定阈值时，则使用神经网络分类器对物联网目标域入侵检测数据进行入侵检测。

本申请实施例采取的又一技术方案为：一种设备，所述设备包括处理器、与所述处理器耦接的存储器，其中，

所述存储器存储有用于实现所述物联网入侵检测方法的程序指令；

所述处理器用于执行所述存储器存储的所述程序指令以控制物联网入侵检测。

本申请实施例采取的又一技术方案为：一种存储介质，存储有处理器可运行的程序指令，所述程序指令用于执行所述物联网入侵检测方法。

相对于现有技术，本申请产生的有益效果在于：涉及一个互联网入侵数据领域，其包含从互联网领域采集的入侵检测数据，如从网络中心服务器上采集的入侵检测数据，以及一个完全没有标记的物联网领域。通过将丰富的入侵检测知识从互联网入侵领域迁移至数据稀少的物联网入侵领域，并通过推荐系统增强知识迁移时的准确性，从而使得数据稀少的物联网领域可以进行更加有效的入侵检测，克服物联网数据稀少的困难。相对于现有技术，本申请至少具有以下有益效果：

1、本申请采用了基于迁移学习的方式，对物联网设备进行入侵检测，其优势在于相较于传统的入侵检测方法而言，本申请能够在数据稀少的无监督场景下进行有效的物联网入侵检测，且能够克服互联网入侵数据源域与物联网入侵数据目标域之间的特征异构性。

2、本申请采用一种推荐系统推荐结果匹配的方式，使得迁移学习方法在进行入侵检测知识迁移时可以更加细化。推荐系统推荐结果匹配机制能够促使入侵数据在两个数据领域之间实现更加细化的匹配，而更加细化的特征匹配则可以进一步使得推荐系统可以更好的挖掘入侵信息与知识，从而形成一个推荐系统匹配与特征空间匹配之间的良性循环。

3、本申请采用推荐系统与神经网络分类器相结合的方式进行入侵检测的决断。推荐系统作为一个可以有效挖掘类别兴趣的工具，其在进行良好训练的情况下可以充分的对不同入侵类别进行特征挖掘与学习，从而相较于神经网络而言做出更加准确的入侵检测判断。

附图说明

图1是本申请实施例的物联网入侵检测方法的流程图；

图2为本申请实施例的物联网入侵检测装置结构示意图；

图3为本申请实施例的设备结构示意图；

图4为本申请实施例的存储介质的结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。

请参阅图1，是本申请实施例的物联网入侵检测方法的流程图。本申请实施例的物联网入侵检测方法包括以下步骤：

步骤S1，将互联网源域入侵检测数据输入至源域特征映射器，将物联网目标域入侵检测数据输入至目标域特征映射器。具体而言：

将互联网源域入侵检测数据输入至源域特征映射器，将物联网目标域入侵检测数据输入至目标域特征映射器。源域特征映射器与目标域特征映射器均为两层的全连接神经网络，以LeakyRelu作为激活函数。源域特征映射器与目标域特征映射器将互联网源域入侵检测数据以及物联网目标域入侵检测数据映射至一个公共特征空间中。

步骤S2，以互联网源域入侵检测数据作为输入，构建基于源域训练的推荐系统。具体而言：

采用Latent Semantic Indexing(潜在语义索引，LSI)算法，以互联网源域入侵检测数据作为输入，构建基于源域训练的推荐系统。其数学表达式如下：

其中，M矩阵为源域特征矩阵，U为特征-隐空间矩阵，T为隐空间变换矩阵，V为通讯数据-隐空间矩阵，R为维度参数，

步骤S3，采用所述基于源域训练的推荐系统，为每一个物联网目标域入侵检测数据推荐一个与其最相似的互联网源域入侵检测数据。具体而言：

采用所述基于源域训练的推荐系统，为每一个物联网目标域入侵检测数据推荐一个与其最相似的互联网源域入侵检测数据。被推荐的所述互联网源域入侵检测数据的入侵类别标签作为所述物联网目标域入侵检测数据的推荐系统标签。其数学表达式如下：

其中，RS

推荐规则基于余弦距离的最大化。之后，对所有物联网目标域入侵检测数据，根据其推荐系统标签按类取均值向量。

步骤S4，以物联网目标域入侵检测数据作为输入，构建基于目标域训练的推荐系统。具体而言：

采用Latent Semantic Indexing(潜在语义索引，LSI)算法，以物联网目标域入侵检测数据作为输入，构建基于目标域训练的推荐系统。

具体构建过程与步骤S2类似，此处不再赘述。

步骤S5：采用所述基于目标域训练的推荐系统，为每个互联网源域入侵检测数据的均值向量推荐前N个相似的物联网目标域入侵检测数据。具体包括：

对所有互联网源域入侵检测数据按类取平均，并采用所述基于目标域训练的推荐系统，为每个互联网源域入侵检测数据的均值向量推荐前N个相似的物联网目标域入侵检测数据，并对所述N个相似的物联网目标域入侵检测数据取均值向量。

步骤S6：计算得到每个通讯类别之间的基于源域训练的推荐系统的推荐结果与基于目标域训练的推荐系统的推荐结果之间的欧式距离，得到推荐系统匹配损失。具体而言：

最小化每个通讯类别之间的基于源域训练的推荐系统的推荐结果以及基于目标域训练的推荐系统的推荐结果之间的欧式距离，其数学表达式如下：

其中，L

步骤S7：根据所述互联网源域入侵检测数据，计算得到监督损失。具体而言：

计算互联网源域入侵检测数据监督损失，其数学表达式如下：

其中：L

步骤S8：对所述监督损失与所述推荐系统匹配损失进行优化，更新神经网络的参数。具体而言：

采用梯度下降优化算法对所述监督损失与所述推荐系统匹配损失进行优化，更新网络参数。判断模型是否收敛：如果模型收敛，则执行步骤S9；否则，返回步骤S1。

步骤S9：进行物联网入侵检测。具体而言：

进行入侵检测：若推荐系统为物联网目标域推荐互联网源域入侵检测数据时的余弦相似度大于设定阈值，如0.6，则使用推荐系统所推荐的互联网源域入侵检测数据的入侵类型作为最终入侵类型判断；若未达到设定阈值，则使用神经网络分类器对物联网目标域入侵检测数据进行入侵检测判断。

请参阅图2，为本申请实施例的物联网入侵检测装置结构示意图。本申请实施例的物联网入侵检测装置10包括：输入模块101、构建模块102、推荐模块103、匹配损失计算模块104、监督损失计算模块105、更新模块106、入侵检测模块107。其中：

所述输入模块101用于将互联网源域入侵检测数据输入至源域特征映射器，将物联网目标域入侵检测数据输入至目标域特征映射器。具体而言：

所述输入模块101将互联网源域入侵检测数据输入至源域特征映射器，将物联网目标域入侵检测数据输入至目标域特征映射器。源域特征映射器与目标域特征映射器均为两层的全连接神经网络，以LeakyRelu作为激活函数。源域特征映射器与目标域特征映射器将互联网源域入侵检测数据以及物联网目标域入侵检测数据映射至一个公共特征空间中。

所述构建模块102用于以互联网源域入侵检测数据作为输入，构建基于源域训练的推荐系统。具体而言：

所述构建模块102采用Latent Semantic Indexing(潜在语义索引，LSI)算法，以互联网源域入侵检测数据作为输入，构建基于源域训练的推荐系统。其数学表达式如下：

其中，M矩阵为源域特征矩阵，U为特征-隐空间矩阵，T为隐空间变换矩阵，V为通讯数据-隐空间矩阵，R为维度参数，

所述推荐模块103用于采用所述基于源域训练的推荐系统，为每一个物联网目标域入侵检测数据推荐一个与其最相似的互联网源域入侵检测数据。

具体而言：

所述推荐模块103采用所述基于源域训练的推荐系统，为每一个物联网目标域入侵检测数据推荐一个与其最相似的互联网源域入侵检测数据。被推荐的所述互联网源域入侵检测数据的入侵类别标签作为所述物联网目标域入侵检测数据的推荐系统标签。其数学表达式如下：

其中，RS

推荐规则基于余弦距离的最大化。之后，对所有物联网目标域入侵检测数据，根据其推荐系统标签按类取均值向量。

所述构建模块102还用于以物联网目标域入侵检测数据作为输入，构建基于目标域训练的推荐系统。具体而言：

所述构建模块102采用Latent Semantic Indexing(潜在语义索引，LSI)算法，以物联网目标域入侵检测数据作为输入，构建基于目标域训练的推荐系统。

所述推荐模块103还用于采用所述基于目标域训练的推荐系统，为每个互联网源域入侵检测数据的均值向量推荐前N个相似的物联网目标域入侵检测数据。具体包括：

所述推荐模块103对所有互联网源域入侵检测数据按类取平均，并采用所述基于目标域训练的推荐系统，为每个互联网源域入侵检测数据的均值向量推荐前N个相似的物联网目标域入侵检测数据，并对所述N个相似的物联网目标域入侵检测数据取均值向量。

所述匹配损失计算模块104用于计算得到每个通讯类别之间的基于源域训练的推荐系统的推荐结果与基于目标域训练的推荐系统的推荐结果之间的欧式距离，得到推荐系统匹配损失。具体而言：

所述匹配损失计算模块104最小化每个通讯类别之间的基于源域训练的推荐系统的推荐结果以及基于目标域训练的推荐系统的推荐结果之间的欧式距离，其数学表达式如下：

其中，L

所述监督损失计算模块105用于根据所述互联网源域入侵检测数据，计算得到监督损失。具体而言：

所述监督损失计算模块105计算互联网源域入侵检测数据监督损失，其数学表达式如下：

其中：L

所述更新模块106用于对所述监督损失与所述推荐系统匹配损失进行优化，更新神经网络的参数。具体而言：

所述更新模块106采用梯度下降优化算法对所述监督损失与所述推荐系统匹配损失进行优化，更新网络参数。

所述入侵检测模块107用于进行物联网入侵检测。具体而言：

所述入侵检测模块107进行入侵检测：若推荐系统为物联网目标域推荐互联网源域入侵检测数据时的余弦相似度大于设定阈值，如0.6，则使用推荐系统所推荐的互联网源域入侵检测数据的入侵类型作为最终入侵类型判断；若未达到设定阈值，则使用神经网络分类器对物联网目标域入侵检测数据进行入侵检测判断。

请参阅图3，为本申请实施例的设备结构示意图。该设备50包括处理器51、与处理器51耦接的存储器52。

存储器52存储有用于实现上述物联网入侵检测方法的程序指令。

处理器51用于执行存储器52存储的程序指令以控制物联网入侵检测。

其中，处理器51还可以称为CPU(Central Processing Unit，中央处理单元)。处理器51可能是一种集成电路芯片，具有信号的处理能力。处理器51还可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

请参阅图4，为本申请实施例的存储介质的结构示意图。本申请实施例的存储介质存储有能够实现上述所有方法的程序文件61，其中，该程序文件61可以以软件产品的形式存储在上述存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施方式方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质，或者是计算机、服务器、手机、平板等设备。

需要说明的是：本申请具有普遍适用性，可以用于进行多种多样的通讯检测，如入侵检测、安全检测、任务检测等等。本申请对于源域数据与目标域数据的特征与分布具有鲁棒性。本申请可以作用于同构或是异构的源域数据与目标域数据上。本申请可以作用于完全没有监督信息的物联网待测数据上。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本申请中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本申请所示的这些实施例，而是要符合与本申请所公开的原理和新颖特点相一致的最宽的范围。