本發明屬于物聯網技術領域，公開了一種網絡入侵檢測的方法，包括如下步驟：步驟1：在邊緣網關上部署模型，所述模型采用隨機森林算法對多個數據包的特征進行訓練得到；所述特征通過抓取邊緣網收到的數據包并采用argus?client程序對數據包的特征進行提取得到；步驟2：邊緣網關對收到的數據包采用argus?client程序進行特征提取并采用模型對提取得到的特征進行推理，得到針對該數據包的推理結果。該方法對數據包的特征提取進行優化，得到了能夠利于邊緣網關進行推理的特征，其推理精度高，計算量小、計算速度快，同時通過優化模型推理算法，利于邊緣網關的推理部署。同時，本發明還提供了基于該方法的系統。

技術領域

本發明屬于物聯網領域，具體涉及一種網絡入侵檢測的方法和系統。

背景技術

物聯網技術的廣泛應用，在發展迅速的同時也造成諸多安全問題，需建立完整且穩定的系統來確保物聯網的安全。而入侵檢測系統，成為保護物聯網安全的關鍵技術。

傳統的安全解決方案已經覆蓋了個人電腦、服務器、網絡和云存儲，這些解決方案大多可部署于云平臺，但是物聯網和網關部分依然是較為薄弱和空白。由于物聯網結構和行為的差異，傳統網絡安全解決方案可能無法直接適用。

隨著機器學習和深度學習技術的發展，從檢測技術、數據集、架構設計和工作模式等方面，從數據集入手，對現階段基于機器學習的物聯網入侵檢測系統，進行了物聯網安全檢測的探索，并設計一套邊緣網關和云平臺結合的系統。

而結合機器學習算法，正是能最大體現邊緣計算優點的方向。選中機器學習算法而不是深度學習的原因，是因為深度學習的神經網絡，需要借助GPU或NPU等硬件支持。而機器學習算法的效果不會比深度學習差很多，重要的是只需要使用CPU資源就可以完成，更適合目前絕大部分的邊緣網關硬件環境。

因此現有技術不足有：

目前主要是依賴x86架構下的主動檢測和防御解決方案，只適合部署在PC或者云服務器上。對于其他芯片架構的嵌入式方案非常稀缺，更缺乏有效部署更新方式。

針對深度或機器學習算法，大多利用GPU、NPU硬件加速，邊緣網關的嵌入式方案下CPU方案難以應用。

更多是針對服務器端的服務軟件進行檢測和防護，工業或物聯網數據部分很少，比如CoAP、MQTT等協議的。

沒有針對邊緣設備進行優化，消耗資源較大。

CN115396212A公開了一種檢測模型的訓練方法、裝置、計算機設備、存儲介質和計算機程序產品；其說明書記載：所述方法包括：

獲取第一網絡數據集以及第二網絡數據集，并將所述第一網絡數據集和所述第二網絡數據集進行融合處理，得到樣本數據集；所述樣本數據集包括樣本網絡數據和所述樣本網絡數據的數據類型標識，所述數據類型標識包括正常數據類型標識和攻擊數據類型標識；

對各所述樣本網絡數據進行特征提取，得到網絡特征數據集；所述網絡特征數據集包含提取出的各樣本網絡特征數據、以及各所述樣本網絡特征數據對應的初始權重；

基于權重調整算法對所述各所述樣本網絡特征數據對應的初始權重進行更新，并基于更新后的權重構建目標網絡特征數據集；所述目標網絡特征數據集包括目標樣本網絡特征數據、所述目標樣本網絡特征數據的數據類型標識以及各所述樣本網絡特征數據對應的權重；

基于所述目標網絡特征數據集和各所述目標樣本網絡特征數據對應的數據類型標識，對機器學習模型進行訓練，得到檢測模型，所述檢測模型用于檢測網絡數據的數據類型標識。

所述對各所述樣本網絡數據進行特征提取，得到網絡特征數據集，包括：

對所述樣本數據集中的所述各所述樣本網絡數據進行數據預處理，得到數據預處理后的各所述樣本網絡數據；

使用隨機森林算法對所述數據預處理后的各所述樣本網絡數據進行特征提取，得到所述網絡特征數據集。