[发明专利]一种面向边缘计算节点的工业互联网入侵检测方法及系统

说明书

本申请公开了一种面向边缘计算节点的工业互联网入侵检测方法及系统，其中方法步骤包括：通过入侵检测任务边缘化，获得数据集；基于数据集构建初始模型；对初始化模型进行优化，得到检测模型；利用检测模型完成互联网入侵检测。本申请基于边缘计算的入侵检测系统，能够减轻中心节点的计算负担，同时由于省去了数据在终端设备和云计算节点之间的通信，保证了入侵检测的实时性和可靠性。同时，基于GRU的分类网络，继承了RNN在处理序列问题上的优越性，即在入侵检测策略研究中，能通过包含时序信息的网络数据流量找出它们行为上的时间相关性。

技术领域

本申请涉及网络安全检测领域，具体涉及一种面向边缘计算节点的工业互联网入侵检测方法及系统。

背景技术

自从物联网(IoT)的概念问世以来，人们正向着“将互联网延伸到各个终端设备，以实现任何时间任何地点的人、机、物的互联互通”的愿望不懈努力着。技术理论研究的进步和硬件设备的更新换代让这一愿景逐渐成为现实。然而，随着工业设备的大量接入，海量工业互联网数据的交互传输，如何帮助工业联网设备抵御入侵攻击成为了重要问题。为了降低带给云服务器的负担，提高入侵检测的快速性与可靠性，本着“各人自扫门前雪”的理念，基于边缘服务器计算的入侵检测方法和系统亟需实现。

边缘计算存在着服务器资源有限、需要处理的数据类型众多、靠近终端设备等特点，基于边缘计算架构下的入侵检测系统在面对日益多样的攻击种类时，难以有效地实施网络入侵检测和访问控制等安全防御活动。因此，为了给边缘服务器提供安全可信的运行环境，应对恶意攻击，保证边缘计算的安全，针对上面提到的特点和面对的挑战设计高效的入侵检测策略，这具有重要的研究意义。

循环神经网络RNN十分适合处理序列问题，在入侵检测策略研究当中，RNN通过包含时序信息的网络数据流量找出它们行为上的时间相关性，但研究表明RNN存在梯度消失问题。GRU作为RNN的改进，解决了梯度消失问题，并且相较于LSTM更加轻量化，适合在计算资源受限的情况下进行较大规模数据的处理。

基于Actor-Critic的强化学习算法，可以有效地帮助系统选择性跳过一部分数据包不检测，在保证检测效率的前提下，减小计算负担，成功地解决了检测效果和计算资源损耗之间的矛盾。但由于AC网络模型涉及到了Actor和Critic两个神经网络，而且每次都是在连续状态中更新参数，每次参数更新前后都存在相关性，即模型的训练数据不再是独立同分布，这导致神经网络只能片面的看待问题，难以收敛。

发明内容

为解决上述背景中的技术问题，本申请采用基于门控循环单元(GRU)的分类网络和基于深度确定性的策略梯度算法(DDPG)的数据包筛选网络，构成一个能够面向有限计算资源的边缘网络节点的入侵检测模型。

为实现上述目的，本申请提供了一种面向边缘计算节点的工业互联网入侵检测方法，步骤包括：

通过入侵检测任务边缘化，获得数据集；

基于所述数据集构建初始模型；

对所述初始化模型进行优化，得到检测模型；

利用所述检测模型完成互联网入侵检测。

优选的，进行所述入侵检测任务边缘化的方法包括：在中心节点对神经网络原始模型进行初步训练，并将初步训练后的所述神经网络原始模型发送至各边缘节点；所述边缘节点通过对各自边缘设备通信的网络数据包的采样，进行神经网络训练；训练完毕后，各所述边缘节点将网络模型发送至所述中心节点进行备份，并向所述中心节点申请开始进行入侵检测工作。

优选的，构建所述初始模型的方法包括：对所述数据集进行标准化处理；并基于标准化处理后的所述数据集进行初始化训练，得到所述初始模型。

优选的，对所述数据集进行标准化处理的方法包括：将数据包数据集内的数据缩放使其符合标准正太分布，对于数据集中的特征的一个特征值P_j，其标准化的方式包括：