今日动态 返回首页
会员注册 登录 生物通快讯免费订阅

  • 生物通官微
    陪你抓住生命科技
    跳动的脉搏

生物通首页  >  今日动态  >  正文

基于强化超图表示学习的鲁棒物联网入侵检测框架RHNN-IoT

《Future Generation Computer Systems》:RHNN-IoT: A Robust IoT Intrusion Detection Framework Based on Reinforced Hypergraph Representation Learning

【字体: 时间:2025年10月25日 来源:Future Generation Computer Systems 6.2

编辑推荐:

  本文提出了一种新颖的物联网(IoT)入侵检测框架RHNN-IoT,该框架利用强化超图神经网络(Reinforced Hypergraph Neural Networks)解决传统图神经网络(GNNs)在检测高阶攻击行为和应对类别不平衡(Class Imbalance)方面的局限性。通过构建超图(Hypergraph)建模设备间高阶关联、采用强化邻域节点选择策略以及基于对比知识蒸馏(Contrastive Knowledge Distillation)的嵌入方法,显著提升了在TON-IoT和IM-IoT数据集上的检测精度(Precision)和Micro-F1值,为复杂物联网环境下的网络安全防护提供了创新解决方案。

  
Highlight
本文提出RHNN-IoT,一种基于强化超图神经网络(Reinforced Hypergraph Neural Networks)的新型物联网(IoT)网络入侵检测框架。
Introduction
物联网(IoT)已广泛应用于能源、医疗保健和智能家居等多个领域,通过互联的物联网设备之间的数据交换实现自动化监控和控制[1], [2]。然而,由于这些物联网设备固有的低安全保护机制,它们日益成为主要的攻击目标。近年来,针对物联网的入侵行为不断升级,进一步加剧了恶意软件、网络钓鱼、分布式拒绝服务(DDoS)攻击和高级持续性威胁(APTs)等网络威胁[3]。
为防御物联网系统遭受的攻击,越来越多的物联网入侵检测方法被提出[4], [5]。近年来,随着图神经网络(GNNs)的发展,基于GNN的入侵检测方法得以开发。通常,基于GNN的入侵检测方法利用图结构对物联网网络流之间的互连进行建模,其中节点代表物联网设备,边表示这些设备之间的交互关系。随后,采用消息传递机制聚合邻域信息以学习中心节点的表示,并利用这些表示来识别异常节点或子图。然而,当前的基于GNN的检测方法仅在狭窄范围内应用GNN,而忽略了以下挑战。
挑战1: 首先,在现实世界的物联网入侵(例如DDoS攻击)中,一组被攻陷的设备由攻击者掌控,形成一个攻击团伙来发起恶意攻击。然而,大多数基于GNN的模型仅从成对节点捕获低阶交互关系,而无法同时掌握由多个被攻陷设备组成的攻击团伙内部的高阶交互模式,导致基于群体的入侵模式丢失。
挑战2: 其次,在现实的物联网网络中,恶意节点稀少且与大量良性节点互连,表现出显著的异质性(即一条边包含一个恶意节点和一个良性节点)以及恶意节点与良性节点之间的类别不平衡(Class Imbalance)。这种异质性和不平衡的类别分布显著削弱了GNN中信息聚合的有效性。直接将图卷积应用于类别不平衡的数据可能导致恶意节点的表示向良性节点漂移,因为来自多数良性节点的特征倾向于主导来自少数恶意节点的特征。这种特征主导显著损害了GNN中节点表示的判别能力,导致检测性能不佳。
为解决上述挑战,我们提出了一种基于强化超图表示学习(Reinforced Hypergraph Representation Learning)的鲁棒物联网入侵检测框架,其关键贡献如下:
  • 本文提出了RHNN-IoT,一种基于强化超图神经网络的新型物联网入侵检测框架,它通过超边(Hyperedges)建模高阶交互关系,有效捕获基于群体的入侵模式。
  • 本文提出了一种强化邻域节点选择策略(Reinforced Neighboring Nodes Selection Strategy),以识别用于表示中心节点的top-k最优邻居节点,通过剪枝噪声节点和关系,有效减轻类别不平衡和异质性对节点表示的影响。
  • 本文提出了一种基于对比知识蒸馏(Contrastive Knowledge Distillation)的超图嵌入方法,有效缓解了由类别不平衡引起的性能下降。
  • 本文进行了充分的实验分析以评估RHNN-IoT的性能。实验结果表明,我们提出的RHNN-IoT以优异的准确性和鲁棒性超越了当前最先进的方法。
Section snippets
Related Work
为防御网络攻击,大量入侵检测方法已被开发。Kheddar等人[6, 7]系统地研究了现有的入侵检测方法,并将其分为四类:基于深度学习的方法(DL-based)、基于图神经网络的方法(GNN-based)、基于注意力机制的技术、基于强化学习的方法(RL-based)和基于知识蒸馏的方法(Knowledge Distillation-based approaches)。
DL-based methods。 深度学习技术已...
Preliminaries
在本节中,我们首先解释为什么所提出的基于强化超图的RHNN-IoT模型比传统的基于GNN的模型更适合物联网入侵检测。然后,我们给出网络流超图(Network Flow Hypergraph)和超图投影(Hypergraph Projection)的形式化定义。
在本文中,我们引入超图来建模物联网网络流,并提出一种超图嵌入方法来捕获基于群体的高阶入侵模式。与传统的图模型(例如k阶GNNs)相比,...
Hypergraph Construction
给定一个物联网网络流集合 S = (s0, s1, ?, sn, ?, sN),其中 sn = (v1, v2, ?, vi, ?, vm),sn 代表第nth条网络流记录,它记录了包含多个设备(即IP地址)的完整网络访问序列,vi 表示第ith个设备。根据定义1,每个设备作为超边内的一个节点被纳入超图 HG = (V, Eh),其中 V 代表设备节点,Eh 是超边的集合。然后,设备之间的交互关系被...
Experimental Datasets
TON-IoT数据集。 TON-IoT数据集2被广泛用于评估物联网入侵检测模型的性能。该数据集包含1,520,000条良性网络流和20,980,000条恶意网络流。为探究RHNN-IoT和基线方法在类别平衡检测场景下的性能,我们分别随机抽取50,000条良性网络流和恶意网络流以创建平衡的TON-IoT数据集。
Class-imbalanced Robustness Analysis
在真实的物联网系统中,受感染的物联网设备数量显著少于良性设备,导致了严重的类别不平衡问题。在本文中,RHNN-IoT提出了一种强化邻域节点选择策略和对比知识蒸馏来缓解由类别不平衡引起的性能下降。为详细评估RHNN-IoT在类别不平衡入侵检测任务中的有效性,我们评估了其对不同不平衡比例的容忍度...
Conclusion
在本文中,我们提出了一种基于强化超图神经网络的鲁棒物联网入侵检测框架,即RHNN-IoT。RHNN-IoT首先引入超图来建模物联网网络内设备间的拓扑结构,其中超边用于描述多个物联网设备之间的高阶群体级交互。然后,RHNN-IoT提出了一种强化邻域节点选择策略来识别top-k相似节点以表示中心节点,这...
相关新闻
生物通微信公众号
微信
新浪微博
我要投稿
  • 搜索
  • 国际
  • 国内
  • 人物
  • 产业
  • 热点
  • 科普

热点排行

    今日动态 | 人才市场 | 新技术专栏 | 中国科学人 | 云展台 | BioHot | 云讲堂直播 | 会展中心 | 特价专栏 | 技术快讯 | 免费试用

    版权所有 生物通

    Copyright© eBiotrade.com, All Rights Reserved

    联系信箱:

    粤ICP备09063491号