導(dǎo) 語

在過去的幾年里，世界目睹了智能設(shè)備的生產(chǎn)和使用的急劇增長，這些設(shè)備被稱為物聯(lián)網(wǎng)(IoT)。這些設(shè)備相互之間以及與周圍環(huán)境相互作用，以感知、收集和處理各種數(shù)據(jù)。

這類設(shè)備現(xiàn)在已經(jīng)成為我們?nèi)粘Ｉ畹囊徊糠郑⒄e極應(yīng)用于交通、醫(yī)療和智能家居等多個(gè)垂直領(lǐng)域。物聯(lián)網(wǎng)設(shè)備通常資源受限，經(jīng)常需要與霧節(jié)點(diǎn)和/或云計(jì)算服務(wù)器等其他設(shè)備通信，以完成某些需要大量資源需求的任務(wù)。這些通信帶來了前所未有的安全漏洞，惡意方在這種異構(gòu)和多方架構(gòu)中找到了一個(gè)發(fā)動(dòng)攻擊的強(qiáng)大平臺(tái)。

本文主要針對(duì)現(xiàn)有物聯(lián)網(wǎng)系統(tǒng)的入侵檢測解決方案進(jìn)行深入調(diào)查，其中包括物聯(lián)網(wǎng)設(shè)備以及物聯(lián)網(wǎng)、霧計(jì)算和云計(jì)算層之間的通信。同時(shí)，對(duì)入侵檢測進(jìn)行分類，并討論機(jī)器學(xué)習(xí)和深度學(xué)習(xí)在入侵檢測中的作用，對(duì)未來入侵檢測的前景進(jìn)行展望。

引 言

毫無疑問，物聯(lián)網(wǎng)(IoT)是過去幾年最大的技術(shù)進(jìn)步之一。思科估計(jì)，到2030年，全球?qū)⒂写蠹s300億臺(tái)物聯(lián)網(wǎng)設(shè)備投入使用[1]。物聯(lián)網(wǎng)技術(shù)的主要任務(wù)之一是物聯(lián)網(wǎng)設(shè)備感知其環(huán)境，收集相關(guān)數(shù)據(jù)并相應(yīng)地采取行動(dòng)。這些設(shè)備經(jīng)常與其他技術(shù)創(chuàng)新(如霧計(jì)算和云計(jì)算)通信，以促進(jìn)存儲(chǔ)和分析收集的數(shù)據(jù)的過程。盡管物聯(lián)網(wǎng)給我們的現(xiàn)代生活帶來了許多好處，但這一新興技術(shù)也受到非傳統(tǒng)安全風(fēng)險(xiǎn)的高度挑戰(zhàn)。事實(shí)上，物聯(lián)網(wǎng)設(shè)備的異構(gòu)性質(zhì)、它們對(duì)各種技術(shù)堆棧(如霧和云計(jì)算)和通信協(xié)議的依賴，以及跨物聯(lián)網(wǎng)設(shè)備的不同資源能力，所有這些都使物聯(lián)網(wǎng)非常容易受到安全攻擊。此外，由于物聯(lián)網(wǎng)設(shè)備負(fù)責(zé)大量的數(shù)據(jù)，它們很可能成為惡意攻擊的目標(biāo)，試圖竊取、修改或篡改部分或所有這些數(shù)據(jù)。此外，許多物聯(lián)網(wǎng)設(shè)備部署在高度關(guān)鍵的環(huán)境中(例如，軍事、制造業(yè)、智能電網(wǎng))，若被惡意方利用為攻擊跳板平臺(tái)，則攻擊者可以通過該平臺(tái)造成大規(guī)模破壞。

物聯(lián)網(wǎng)設(shè)備雖然配備了一些安全工具和機(jī)制，但設(shè)備本身過度異構(gòu)的性質(zhì)阻礙了此類解決方案的部署。在受限于資源的短缺，以及缺乏較大的處理、存儲(chǔ)和通信能力的情況下，物聯(lián)網(wǎng)設(shè)備往往無法進(jìn)行復(fù)雜的加密或身份驗(yàn)證[2]，甚至有時(shí)這些保密功能會(huì)減慢它們的正常運(yùn)行效率。因此，研究人員最近開始研究更輕量級(jí)的安全方法：其中一種方法是設(shè)計(jì)更適合資源約束物聯(lián)網(wǎng)設(shè)備的入侵檢測系統(tǒng)。[3]為了更好地理解這一主題并突出一些新的研究方向，本文介紹了傳統(tǒng)的入侵檢測的背景及分類，以及如何利用統(tǒng)計(jì)學(xué)和機(jī)器學(xué)習(xí)的方法改善物聯(lián)網(wǎng)設(shè)備入侵檢測。

入侵檢測的背景和概念闡釋

目前，不同的聯(lián)盟、財(cái)團(tuán)、特殊利益集團(tuán)和標(biāo)準(zhǔn)開發(fā)組織已經(jīng)為物聯(lián)網(wǎng)提出了大量的通信技術(shù)，這可能為物聯(lián)網(wǎng)應(yīng)用中的端到端安全帶來巨大挑戰(zhàn)。

物聯(lián)網(wǎng)最流行的技術(shù)包括基礎(chǔ)設(shè)施協(xié)議，如IEEE 802.15.4、ZigBee、6LoWPAN、DTLS和RPL以及應(yīng)用協(xié)議，如CoAP和MQTT(消息隊(duì)列遙測傳輸)。在這些協(xié)議和技術(shù)中，加密和身份認(rèn)證的問題是如今物聯(lián)網(wǎng)發(fā)展中的挑戰(zhàn)。對(duì)于這些安全問題的保護(hù)，除了一些增強(qiáng)物聯(lián)網(wǎng)安全的解決方案，也需要開發(fā)更多特定于物聯(lián)網(wǎng)的安全工具，這也是設(shè)計(jì)物聯(lián)網(wǎng)入侵檢測系統(tǒng)來檢測和保護(hù)物聯(lián)網(wǎng)的必要性。

入侵檢測的概念最早由Anderson在1980年提出，并由Heberlein在1990年引入網(wǎng)絡(luò)系統(tǒng)。入侵檢測系統(tǒng)（IDS）是一種工具或機(jī)制，用于保護(hù)給定的設(shè)備、節(jié)點(diǎn)等硬件或軟件，防止它們受到惡意的，未經(jīng)授權(quán)的訪問。并通過分析網(wǎng)絡(luò)或系統(tǒng)本身的活動(dòng)來檢測對(duì)系統(tǒng)或網(wǎng)絡(luò)的攻擊。

入侵檢測系統(tǒng)(IDSs)是保護(hù)給定設(shè)備、節(jié)點(diǎn)或網(wǎng)絡(luò)免受惡意攻擊和/或策略違反的硬件設(shè)備或軟件。IDS能夠檢測對(duì)系統(tǒng)的未經(jīng)授權(quán)的訪問，并向系統(tǒng)管理員發(fā)送警報(bào)，以便做出適當(dāng)?shù)臎Q定

一個(gè)典型的入侵檢測系統(tǒng)由傳感器、分析引擎和報(bào)告系統(tǒng)組成。傳感器位于不同的網(wǎng)絡(luò)位置或主機(jī)上，其主要任務(wù)是采集數(shù)據(jù)。收集到的數(shù)據(jù)被發(fā)送到分析引擎，分析引擎負(fù)責(zé)檢查收集到的數(shù)據(jù)并檢測入侵。當(dāng)分析引擎檢測到入侵時(shí)，報(bào)告系統(tǒng)向網(wǎng)絡(luò)管理員發(fā)送告警信息。

入侵檢測系統(tǒng)的分類

入侵檢測系統(tǒng)IDS可分為基于主機(jī)的IDS (Host-based IDS)和基于網(wǎng)絡(luò)的IDS (Network-based IDS)[4]。

HIDS附加到設(shè)備/主機(jī)上，監(jiān)視系統(tǒng)中發(fā)生的惡意活動(dòng)。NIDS連接到一個(gè)或多個(gè)網(wǎng)段，并監(jiān)視網(wǎng)絡(luò)流量的惡意活動(dòng)。與NIDS不同，HIDS不僅分析網(wǎng)絡(luò)流量，還分析系統(tǒng)調(diào)用、運(yùn)行進(jìn)程、文件系統(tǒng)更改、進(jìn)程間通信和應(yīng)用程序日志。

IDS也可以分為基于簽名的、基于異常的或基于規(guī)范的。在基于簽名的方法中，當(dāng)系統(tǒng)或網(wǎng)絡(luò)行為與IDS內(nèi)部數(shù)據(jù)庫中存儲(chǔ)的攻擊簽名相匹配時(shí)，IDS就會(huì)檢測攻擊。如果任何系統(tǒng)或網(wǎng)絡(luò)活動(dòng)與存儲(chǔ)的模式/簽名匹配，則會(huì)觸發(fā)警報(bào)。這種方法在檢測已知威脅時(shí)非常準(zhǔn)確和有效，其機(jī)制也很容易理解。然而，這種方法對(duì)于檢測新的攻擊和已知攻擊的變體無效，因?yàn)檫@些攻擊的匹配簽名仍然是未知的[5][6]。

基于異常的ids將系統(tǒng)在某一時(shí)刻的活動(dòng)與正常行為概要進(jìn)行比較，并在偏離正常行為超過閾值時(shí)生成警報(bào)。這種方法可以有效地檢測新的攻擊，但是，任何與正常行為不匹配的行為都被認(rèn)為是入侵，界定正常行為的范圍并不是一項(xiàng)簡單的任務(wù)。所以，這種方法通常有很高的誤測性。為了構(gòu)建正常行為概要，研究人員通常使用統(tǒng)計(jì)技術(shù)或機(jī)器學(xué)習(xí)算法。

基于規(guī)范的方法在網(wǎng)絡(luò)行為偏離規(guī)范定義時(shí)檢測入侵。其所設(shè)定的規(guī)范是一組規(guī)則和閾值，定義了網(wǎng)絡(luò)組件(如節(jié)點(diǎn)、協(xié)議和路由表)的預(yù)期行為。因此，基于規(guī)范與基于異常的檢測具有相同的目的：識(shí)別檢測到非正常行為。不過，基于規(guī)范的方法里，研究者需要手動(dòng)定義每個(gè)規(guī)范的細(xì)則。

與基于異常的檢測相比，手動(dòng)定義的規(guī)范通常提供較低的誤測性。此外，基于規(guī)范的檢測系統(tǒng)不需要前置訓(xùn)練階段，因?yàn)樗鼈兛梢栽谠O(shè)置好規(guī)范后立即開始工作。然而，手動(dòng)定義的規(guī)范可能不能適應(yīng)不同的環(huán)境，而且可能很耗時(shí)且容易出錯(cuò)。

IDS的放置策略很重要，一般分為集中式、分布式和混合式的策略。集中式的策略中，IDS放置在整個(gè)系統(tǒng)的集中處，要么在節(jié)點(diǎn)的邊界，要么在重要節(jié)點(diǎn)處。集中式放置的好處在于可以分析大部分進(jìn)出的流量，但缺點(diǎn)也較為明顯，無法監(jiān)測小部分繞過集中節(jié)點(diǎn)的攻擊。分布式策略中，IDS放置在系統(tǒng)的每個(gè)節(jié)點(diǎn)處，但是成本耗費(fèi)極大。而混合式策略結(jié)合了前兩者，在包括檢測精度、能耗、計(jì)算成本等在內(nèi)進(jìn)行了權(quán)衡。

基于機(jī)器學(xué)習(xí)和深度學(xué)習(xí)的入侵檢測

物聯(lián)網(wǎng)入侵檢測中產(chǎn)生的大量數(shù)據(jù)隨著科技的發(fā)展，在傳統(tǒng)的入侵檢測中逐漸無法有效處理而變?yōu)槿哂鄶?shù)據(jù)。隨著計(jì)算能力的成本不斷降低，研究人員現(xiàn)在為了充分利用這些數(shù)據(jù)的價(jià)值，可以很容易地將機(jī)器學(xué)習(xí)、強(qiáng)化學(xué)習(xí)和深度學(xué)習(xí)地技術(shù)在商業(yè)上應(yīng)用于物聯(lián)網(wǎng)設(shè)備上?；谶@種數(shù)據(jù)驅(qū)動(dòng)技術(shù)的入侵檢測系統(tǒng)主要分為三類：基于機(jī)器學(xué)習(xí)的IDS按其細(xì)分(決策樹，支持向量機(jī)，樸素貝葉斯，K近鄰，隨機(jī)森林)，基于深度學(xué)習(xí)的IDS(人工神經(jīng)網(wǎng)絡(luò)，卷積神經(jīng)網(wǎng)絡(luò)，循環(huán)神經(jīng)網(wǎng)絡(luò))和基于層的IDS系統(tǒng)(感知層，網(wǎng)絡(luò)層，應(yīng)用層)[7]。

本文針對(duì)人工智能相關(guān)檢測技術(shù)的分類標(biāo)準(zhǔn)主要分為以下幾點(diǎn)：

首先，這種檢測方法是否應(yīng)用了數(shù)據(jù)預(yù)處理，例如歸一化，降維等。

第二，這種檢測方法是否使用定制數(shù)據(jù)集，而不是使用現(xiàn)有數(shù)據(jù)集，如NSL-KDD, KDD99和UNSW-NB15。

第三，底層的結(jié)構(gòu)是否涉及許多神經(jīng)網(wǎng)絡(luò)層，是否可以解釋，對(duì)于人類來說，其輸出是否可讀。

最后，底層檢測模型對(duì)試圖擾亂訓(xùn)練過程功能的對(duì)抗性攻擊是否有彈性。

在集中式IDS中，模型通常利用服務(wù)器(可以是云中、霧中，甚至是本地網(wǎng)絡(luò)中的集群節(jié)點(diǎn))對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行學(xué)習(xí)，從而使入侵檢測模型更好。傳統(tǒng)的機(jī)器學(xué)習(xí)方法，例如有監(jiān)督和半監(jiān)督學(xué)習(xí)適合檢測已知的攻擊，并在數(shù)據(jù)集中標(biāo)記。若是出現(xiàn)0day攻擊，則使用深度學(xué)習(xí)或無監(jiān)督學(xué)習(xí)的效果更好。因?yàn)樯疃葘W(xué)習(xí)的檢測方法更適合處理非標(biāo)記數(shù)據(jù)，通過創(chuàng)建數(shù)據(jù)的抽象表示進(jìn)行學(xué)習(xí)，使得模型能自動(dòng)提取特征，自行確定檢測精度[8]。

在分布式IDS中，通常是不僅將物聯(lián)網(wǎng)系統(tǒng)分布化，在檢測計(jì)算中也要分布化。由于模式匹配在檢測過程中是一項(xiàng)占用CPU時(shí)間和內(nèi)存密集的任務(wù)，因此曾在Myers算法[9]中使用MapReduce實(shí)現(xiàn)，在多核CPU上平均速度比串行檢測提高了4倍以上。之后支持向量機(jī)，DBN的方法也加入，以剔除不相關(guān)的特征，解決維數(shù)問題，并降低誤報(bào)率。分布式GAN網(wǎng)絡(luò)也在分布式IDS中發(fā)揮作用，以便在對(duì)核心部件依賴性最小的邊緣區(qū)域中檢測入侵。

總結(jié)與展望

從蘋果的Siri，微軟的Cortana，亞馬遜的Alexa到谷歌Photos，從Spotify到Grammarly，幾乎沒有與消費(fèi)者相關(guān)的商業(yè)案例不是由機(jī)器學(xué)習(xí)、深度學(xué)習(xí)技術(shù)來檢測入侵的。而目前可解釋性是物聯(lián)網(wǎng)中現(xiàn)有的基于深度學(xué)習(xí)的入侵檢測方法的一個(gè)主要挑戰(zhàn)。局部可解釋性主要關(guān)注于解釋每個(gè)個(gè)體的預(yù)測和個(gè)體特征之間的關(guān)系。全局可解釋性研究深度學(xué)習(xí)在檢查模型概念時(shí)如何運(yùn)作。諸如局部可解釋模型未知解釋(LIME)和SHapley附加解釋(SHAP)等技術(shù)可用于此目的。因此，本文相信，將可解釋人工智能(XAI)的技術(shù)集成到未來的入侵檢測中可使物聯(lián)網(wǎng)系統(tǒng)的入侵檢測能力達(dá)到新的高度。

參考文獻(xiàn)

[1] Dave Evans. The Internet of Things: How the next evolution of the internet is changing everything. Cisco Internet Business Solutions Group (IBSG), 2011

[2] Bruno Bogaz Zarpel?o, Rodrigo Sanches Miani, Cláudio Toshio Kawakani, and Sean Carlisto de Alvarenga. A survey of intrusion detection in Internet of Things. Journal of Network and Computer Applications, 84:25–37, 2017

[3] Hui Wu, Haiting Han, Xiao Wang, and Shengli Sun. Research on artificial intelligence enhancing Internet of Things: A survey. IEEE Access, 8:153826–153848, 2020.

[4] Ansam Khraisat and Ammar Alazab. A critical review of intrusion detection systems in the Internet of Things: techniques, deployment strategy, validation strategy, attacks, public datasets and challenges. Cybersecurity, 4(1):1–27, 2021

[5] J. Vacca, 2013. Computer and Information Security Handbook. Morgan Kaufmann, Amsterdam, 2013

[6] H. Liao, C. Lin, Y. Lin, and K. Tung, “Intrusion detection system: a comprehensive review”, Journal of Network and Computer Applications, 36 (1), 16-24, 2013

[7] Tariq Ahamed Ahanger, Abdullah Aljumah, and Mohammed Atiquzzaman. State-of-the-art survey of artificial intelligent techniques for IoT security. Computer Networks, page 108771, 2022

[8] Tran Viet Khoa, Yuris Mulya Saputra, Dinh Thai Hoang, Nguyen Linh Trung, Diep Nguyen, Nguyen Viet Ha, and Eryk Dutkiewicz. Collaborative learning model for cyberattack detection systems in IoT industry 4.0. In 2020 IEEE Wireless Communications and Networking Conference (WCNC), pages 1–6. IEEE, 2020.

[9] Monther Aldwairi, Ansam M Abu-Dalo, and Moath Jarrah. Pattern matching of signature-based IDS using Myers algorithm under MapReduce framework. EURASIP Journal on Information Security,2017(1):1–11, 2017