《Computer Communications》:Context-aware anomaly detection by community detection in the Internet of Things
编辑推荐:
基于多边图和异构图神经网络的物联网上下文感知异常检测框架,通过社区检测分析动态网络交互,有效识别非工作时间流量激增、非常规设备通信模式等异常,实验验证其99%的AUC精度。
Fatemeh Stodt|Christoph Reich|Fabrice Theoleyre
数据科学、云计算与信息技术安全研究所(IDACUS),富特旺根应用科技大学,78120 富特旺根,德国
摘要
本文提出了一种新型的基于上下文的异常检测框架,用于物联网(IoT),该框架利用多边图中的社区检测技术,并结合异构图神经网络(HeteroGNN)架构来提升网络安全。该框架能够检测到诸如设备间罕见的异常通信模式、非工作时间出现的异常流量峰值,以及设备在上下文和知识交互中的异常行为。例如,在工业物联网环境中,可以通过工作时间后的设备间异常通信来推断未经授权的访问或恶意活动。我们的检测方法使用多边图来建模多样化的交互(网络通信、上下文、知识),并应用社区检测技术来捕捉稳定的图结构。通过将这些洞察融入HeteroGNN中,该框架能够在保持可扩展性和适应动态网络条件的同时有效区分异常边缘。在CIC-ToN-IoT和CIC-IDS2017数据集上的实验评估证明了该框架在准确性、精确度和鲁棒性方面的优越性,使其成为保护物联网网络免受已知和新兴威胁的实用有效解决方案。
引言
物联网(IoT)设备融入我们的日常生活已经带来了革命性的变化,在医疗保健、家庭自动化和智能电表等多个领域提供了前所未有的便利和效率。它们也开始被部署在更加受限的环境中,用于关键应用,从而形成了所谓的工业物联网(IIoT)。IIoT是工业4.0(Industry X.0)的关键推动力:实时收集数据以供控制器向执行器发送指令。
由于物联网的分布式特性,它必须面对各种威胁。攻击可能来自外部(例如,恶意软件注入、网络扫描)或内部(例如,设备在本地固件更新后遭到破坏)。在这种情况下,我们必须保护网络基础设施和每个设备的完整性。物联网网络的复杂性和动态性要求先进的异常检测系统,这些系统需要具备上下文感知能力,能够区分合法网络行为与恶意活动之间的细微差别[1]。传统方法[2]往往无法应对现代网络的动态和多方面特性,尤其是那些包含IIoT设备的网络。
现有的物联网网络异常检测方法主要关注网络通信的分析,而没有考虑这些通信发生的更广泛背景。这里的“上下文”指的是网络事件周围的情境因素,包括但不限于通信时间、涉及的具体设备、运行条件以及预期的行为模式。例如,在工业物联网环境中,设备在工作时间之外出现的异常通信可能表明数据泄露或设备被入侵。同样,恒温器和安全摄像头之间不相关的设备之间的通信可能暗示横向恶意软件的传播。这一差距凸显了需要集成这些因素的上下文感知解决方案,以提供更强大和准确的异常检测机制。
异常检测对于保护网络免受未经授权的访问和攻击至关重要,可以采用统计分析、深度学习(DL)和各种分类方法来增强检测能力[3]。统计技术可以识别网络行为中的异常,而深度学习模型,特别是卷积神经网络(CNN)和循环神经网络(RNN),在从数据中学习复杂模式方面表现出色。分类技术,从监督学习(例如决策树、SVM)到无监督和半监督学习,对于区分正常行为和恶意行为至关重要。然而,流行的数据集往往高度不平衡[4],这增加了检测和识别攻击的难度。
基于上下文的异常检测提供了一种有前景的技术,可以克服传统方法的局限性。上下文感知系统将时间、位置、设备状态和交互历史等上下文信息整合到异常检测过程中。这种整合使得能够检测到传统方法可能忽略的复杂、基于上下文的异常,例如与特定时间或地点相关的异常通信模式[5]。
图结构能够有效捕捉物联网网络生成的复杂、动态和大规模的数据[6]。
例如,图神经网络(GNN)可以捕捉通信图中的时间和结构模式,从而检测到在非正常时间形成的设备异常社区,这可能表明存在协同攻击或网络被入侵[7]。
我们的工作引入了一种新的异常检测模型,该模型利用多边图和社区检测技术来深入理解网络行为和设备间的相互关系。与依赖预定义模式或物理偏差的现有方法不同,我们的模型深入分析了异常的上下文,考虑了网络流量中的时间和复杂交互模式。
本文的贡献有三个方面:
- 1.
多边图的整合以实现上下文感知:与传统方法仅关注通信数据不同,我们的方法融入了额外的上下文信息,如时间模式、设备状态和运行条件。这种多维度表示有助于更细致地理解网络行为,并有助于检测传统方法可能遗漏的复杂异常,例如非高峰时期的协同攻击或异常通信。
- 2.
图神经网络(GNN)的应用:我们采用基于社区的方法,结合社区检测和GNN学习,有效地捕捉物联网网络的结构和时间动态。这使我们不仅能够在节点或边级别检测异常,还能在整个设备社区层面进行检测,从而提高检测准确性和可扩展性。
- 3.
实时框架:我们的框架采用半监督学习方法,利用HeteroGNN将网络边缘分类为良性或异常。通过使用计算效率高的算法(如标签传播算法(LPA),我们的方法可以实时运行。这种设计确保了在资源受限的物联网环境中的适用性,同时提供了强大的异常检测能力。
我们实现了我们的上下文感知异常检测方案,并将其免费公开[8]以便他人重现。我们的方法在CIC-ToN-IoT数据集上的AUC达到了99%。
本文的结构如下:第2节回顾了相关领域的研究工作。第3节解释了我们在本文中要解决的问题。第4节详细介绍了我们提出的异常检测方法。第5节介绍了实验设置、数据集和评估指标。最后,第6节总结了我们的分析结果并总结了本文。
部分摘录
现有技术
本节回顾了物联网网络异常检测的关键方法以及最流行的入侵检测系统(IDS)数据集。接下来,我们探讨了利用图结构进行异常检测的方法,这些方法通过图结构识别不规则性,并讨论了深度学习如何通过捕捉复杂关系来提升检测能力。最后,我们讨论了上下文感知在提高检测准确性方面的作用。
问题陈述
物联网在安全方面面临许多挑战。由于环境本质上是分布式的,威胁可能来自内部和外部。然而,保护基础设施的同时不能妨碍各种任务的执行(例如维护、预测性维护、报告等)。
在这种情况下,我们的方法旨在检测两种类型的异常:
基于上下文的社区多图异常检测
本节介绍了我们的异常检测流程,包括多边图构建、社区检测和HeteroGNN[42]的集成。
实验评估
我们首先单独评估了我们方法的性能,然后将其与最先进的技术进行了比较,使用了两个数据集。评估重点关注准确性和实时响应能力。该模型使用配备10个CPU核心和32 GB RAM的Apple M2 Pro移动计算平台进行了训练。为了验证我们的方法的鲁棒性,模型经过了50个训练周期的训练,使我们能够全面评估其学习能力和性能稳定性。
结论与讨论
在这项工作中,我们提出了一个适用于复杂网络环境的异常检测框架,该框架利用HeteroGNN和社区检测来分析动态网络交互。该框架构建多边图来表示多样化的关系(网络通信、上下文、知识),并通过流量分析动态捕捉网络行为的时间演变。通过对标记数据进行训练,我们的框架能够有效识别异常行为
CRediT作者贡献声明
Fatemeh Stodt:撰写 – 审稿与编辑、初稿撰写、可视化、验证、软件开发、资源管理、方法论。Christoph Reich:撰写 – 审稿与编辑、监督、项目管理、方法论、资金获取。Fabrice Theoleyre:撰写 – 审稿与编辑、初稿撰写、监督、项目管理、方法论。
利益冲突声明
作者声明以下可能的财务利益/个人关系可能被视为潜在的利益冲突:Christoph Reich和Fatemeh Stodt表示获得了奥地利联邦教育、科学与研究部的财政支持。如果还有其他作者,他们声明没有已知的可能影响本文工作的财务利益或个人关系。
致谢
本研究由德国联邦教育与研究部(BMBF)资助,参考编号为COSMIC-X 02J21D144,并由Karlsruhe项目机构(PTKA)监督。
