摘 要：物聯(lián)網(wǎng)設(shè)備受限于有限的算力，難以部署高計算開銷的安全檢測算法，使得保障物聯(lián)網(wǎng)安全較為困難。為此，提出了一種基于層疊特征選擇的物聯(lián)網(wǎng)攻擊流量分類方法，通過結(jié)合卡方檢驗和隨機(jī)森林算法，并以決策樹作為分類器，構(gòu)建了一個高效且實用的分類架構(gòu)。實驗結(jié)果顯示，該方法不僅有較高且穩(wěn)定的分類準(zhǔn)確性，而且顯著降低了計算開銷。這一創(chuàng)新技術(shù)為物聯(lián)網(wǎng)安全領(lǐng)域帶來了切實可行的分類解決方案，具備巨大的實際應(yīng)用潛力，為構(gòu)建更加堅固的物聯(lián)網(wǎng)安全防護(hù)體系提供了寶貴思路與有效手段。

關(guān)鍵詞：物聯(lián)網(wǎng)攻擊流量；卡方檢驗；隨機(jī)森林；決策樹；層疊特征選擇；物聯(lián)網(wǎng)安全

中圖分類號：TP39；TN918.9 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-1302（2025）03-00-03

0 引 言

物聯(lián)網(wǎng)技術(shù)[1]的迅猛發(fā)展以及智能設(shè)備和傳感器網(wǎng)絡(luò)的廣泛應(yīng)用，極大地推動了數(shù)字化生活的全方位、深層次的發(fā)展。然而，物聯(lián)網(wǎng)設(shè)備普遍具有算力有限、資源受限等特性[2]，這使得保障它們的安全性變得較為棘手。各種攻擊類型如拒絕服務(wù)（DoS）攻擊[3]、惡意軟件[4]、遠(yuǎn)程執(zhí)行代碼（RCE）等威脅著物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)的安全。這些攻擊可能導(dǎo)致系統(tǒng)服務(wù)中斷、數(shù)據(jù)泄露、設(shè)備篡改或控制，嚴(yán)重威脅個人隱私、商業(yè)機(jī)密以及公共基礎(chǔ)設(shè)施的運(yùn)行。在這樣的背景下，對物聯(lián)網(wǎng)攻擊流量進(jìn)行精準(zhǔn)分類和識別成為亟待解決的關(guān)鍵問題。文獻(xiàn)[5]提出了一種聚類加分類的物聯(lián)網(wǎng)惡意攻擊檢測方法，采用隨機(jī)森林算法進(jìn)行特征排序，并用主成分分析法對部分特征進(jìn)行降維，將樣本聚類為兩類并分別進(jìn)行分類。文獻(xiàn)[6]提出了基于流量的物聯(lián)網(wǎng)DDoS攻擊檢測方法，利用一種新興的網(wǎng)絡(luò)架構(gòu)——軟件定義網(wǎng)絡(luò)，實現(xiàn)在攻擊流量傳播過程中并且未聚集于目標(biāo)主機(jī)時實施攻擊檢測。文獻(xiàn)[7]針對IoT典型網(wǎng)絡(luò)流量數(shù)據(jù)，利用滑動窗口算法提取多維網(wǎng)絡(luò)流量特征；運(yùn)用棧式自編碼網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)流量特征降維，建立IoT流量關(guān)鍵特征與網(wǎng)絡(luò)異常之間的關(guān)聯(lián)模型。鑒于物聯(lián)網(wǎng)設(shè)備算力低的特性，采用高性能的分類算法可能會增加系統(tǒng)開銷，因此選擇性能開銷較低的分類器變得至關(guān)重要。特征選擇[8]也是識別和分類攻擊流量數(shù)據(jù)的關(guān)鍵步驟之一。本研究選用決策樹[9]作為分類器，其簡單直觀、易于實現(xiàn)、計算開銷低等優(yōu)勢使其成為適合物聯(lián)網(wǎng)設(shè)備的理想選擇。本文采用將卡方檢驗[10]與隨機(jī)森林[11]相結(jié)合的層疊特征選擇方法，旨在提高物聯(lián)網(wǎng)攻擊流量的分類準(zhǔn)確性和效率。本文不僅專注于理論層面的探索，還將深入分析實驗結(jié)果，對各項技術(shù)指標(biāo)進(jìn)行全面評估，并對方法的優(yōu)勢與局限性進(jìn)行客觀審視。

1 方法流程

特征選擇采用卡方檢驗和隨機(jī)森林相結(jié)合的層疊特征選擇方法。首先，利用卡方檢驗評估每個特征與攻擊類別之間的相關(guān)性，并篩選出具有顯著影響的特征子集。隨后，利用隨機(jī)森林對經(jīng)過初步篩選的特征進(jìn)行進(jìn)一步評估和排序，以確定最終用于分類的特征集合。使用這種層疊的特征選擇方法將有助于提高分類器的性能和泛化能力。在特征選擇完成后，選用決策樹作為分類器對物聯(lián)網(wǎng)攻擊流量進(jìn)行分類。決策樹基于選定的特征集合，通過劃分?jǐn)?shù)據(jù)集并生成樹狀結(jié)構(gòu)來進(jìn)行分類。最終，將層疊特征選擇的結(jié)果與決策樹分類器相結(jié)合，建立綜合的物聯(lián)網(wǎng)攻擊流量分類模型。在模型的整合過程中，對特征選擇的效果進(jìn)行綜合評估，并進(jìn)行多種性能指標(biāo)的分析，以驗證模型的穩(wěn)定性和可靠性。方法流程如圖1所示。

2 實驗與結(jié)果與分析

2.1 數(shù)據(jù)處理

2.1.1 數(shù)據(jù)集介紹

實驗采用的是BoT-IoT數(shù)據(jù)集，BoT-IoT是一個包含物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)的數(shù)據(jù)集，用于研究和分析物聯(lián)網(wǎng)設(shè)備安全性和網(wǎng)絡(luò)安全。此數(shù)據(jù)集共包含45個特征及1個類別，其類別包含Normal（正常流量）、DoS、DDoS、Reconnaissance、Theft五類流量。

2.1.2 數(shù)據(jù)預(yù)處理

對部分與類別無聯(lián)系的特征進(jìn)行刪除處理；對特征值為文本類型且無法直接參與運(yùn)算的特征進(jìn)行刪除或?qū)⑽谋绢愋娃D(zhuǎn)化為數(shù)值類型。刪除的特征有pkSeqID、flgs、proto、sport、dport、saddr、daddr、state，其中類別（category）也為文本類型，將其轉(zhuǎn)換為數(shù)值類型。為了防止相同類別的數(shù)據(jù)過于集中，將原數(shù)據(jù)集的樣本順序隨機(jī)打亂。

2.2 層疊特征選擇

利用卡方檢驗算法對預(yù)處理后的數(shù)據(jù)集進(jìn)行第一層的特征選擇，將數(shù)據(jù)導(dǎo)入卡方檢驗算法，將計算出的卡方統(tǒng)計量作為評估特征重要性的標(biāo)準(zhǔn)，并按照特征重要性從高到低進(jìn)行排序，生成特征序列。

第二層特征采用隨機(jī)森林算法，根據(jù)上述特征序列前二分之一的特征從數(shù)據(jù)集中選取數(shù)據(jù)，將選取的數(shù)據(jù)導(dǎo)入隨機(jī)森林算法。利用隨機(jī)森林特征選擇輸出特征的重要性序列。根據(jù)此序列與需要保留的特征數(shù)目來確定最終的特征子集。

為了展示此方法的有效性，分別選取最重要的3～9個特征進(jìn)行實驗，并與單獨使用卡方檢驗特征選擇方法和單獨使用隨機(jī)森林特征選擇方法的結(jié)果進(jìn)行對比。對比內(nèi)容包括特征選擇所需的時間，以及在相同決策樹參數(shù)設(shè)置下的最終分類效果。

三種特征選擇方法的最終選取結(jié)果見表1。

三種特征選擇方法的用時如圖2所示。卡方檢驗特征選擇方法在時間效率上展現(xiàn)出顯著優(yōu)勢，其耗時遠(yuǎn)低于其他方法。相比之下，隨機(jī)森林特征選擇方法所需時間最長。而層疊特征選擇方法相較于隨機(jī)森林特征選擇方法，在時間消耗上減少約23.7%。

2.3 結(jié)果分析

將三種特征選擇方法得到的結(jié)果分別導(dǎo)入到?jīng)Q策樹算法，將30%劃分為訓(xùn)練集、70%劃分為測試集，以準(zhǔn)確率、精確率、召回率和F1分?jǐn)?shù)作為評價指標(biāo)，對三種特征選擇算法進(jìn)行對比。實驗結(jié)果如圖3所示。

在四項評價指標(biāo)中，卡方檢驗特征選擇方法的表現(xiàn)較差。隨機(jī)森林特征選擇方法與層疊特征選擇方法的效果相近，但層疊特征選擇方法在召回率和F1分?jǐn)?shù)上的表現(xiàn)更加穩(wěn)定。此外，層疊種特征選擇方法在進(jìn)行特征選擇時，相較于隨機(jī)森林特征選擇方法用時更少。因此，結(jié)合了卡方檢驗與隨機(jī)森林的特征選擇方法在處理物聯(lián)網(wǎng)攻擊流量分類問題時，有明顯優(yōu)勢。

3 結(jié) 語

通過對物聯(lián)網(wǎng)安全領(lǐng)域的探索與分析，取得了一定的研究成果和啟示：深刻認(rèn)識到特征選擇的重要性，在物聯(lián)網(wǎng)安全領(lǐng)域的攻擊流量數(shù)據(jù)分類中，特征選擇對構(gòu)建高效分類模型至關(guān)重要；發(fā)現(xiàn)了層疊特征選擇與分類器整合的優(yōu)勢，特別是將層疊特征選擇與決策樹分類器相結(jié)合，能夠顯著提升攻擊流量數(shù)據(jù)的分類準(zhǔn)確性和效率，這為物聯(lián)網(wǎng)系統(tǒng)的安全防御提供了一種切實可行的技術(shù)方案。此外，本文方法還存在一定的局限性和待完善之處。因此，未來的研究方向?qū)⒗^續(xù)聚焦于特征選擇、分類器優(yōu)化、數(shù)據(jù)集多樣性以及實際應(yīng)用驗證等方面，以進(jìn)一步完善物聯(lián)網(wǎng)安全領(lǐng)域的攻擊流量數(shù)據(jù)分類技術(shù)，為構(gòu)建更加安全可靠、高效運(yùn)行的物聯(lián)網(wǎng)系統(tǒng)貢獻(xiàn)更多的研究價值和實用成果。

參考文獻(xiàn)

[1]苗可.針對物聯(lián)網(wǎng)設(shè)備攻擊的研究[J].物聯(lián)網(wǎng)技術(shù)，2024，14（8）：73-75.

[2]羅思源，何蓉，拉巴多吉.物聯(lián)網(wǎng)設(shè)備安全防護(hù)技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（12）：24-26.

[3]蔡娜，劉磊.物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測系統(tǒng)設(shè)計[J].電子設(shè)計工程，2023，31（17）：150-153.

[4]霍添財.物聯(lián)網(wǎng)終端設(shè)備惡意軟件檢測研究與設(shè)計[D].西安：西安電子科技大學(xué)，2021.

[5]李群，董佳涵，關(guān)志濤，等.一種基于聚類分類的物聯(lián)網(wǎng)惡意攻擊檢測方法[J].信息網(wǎng)絡(luò)安全，2021，21（8）：82-90.

[6]楊茵淇.基于流量的物聯(lián)網(wǎng)DDoS攻擊檢測[D].北京：北京交通大學(xué)，2020.

[7]劉興春.基于網(wǎng)絡(luò)流量異常分析的物聯(lián)網(wǎng)入侵檢測算法研究[D].北京：北京交通大學(xué)，2021.

[8]姚旭，王曉丹，張玉璽，等.特征選擇方法綜述[J].控制與決策，2012，27（2）：161-166.

[9]欒麗華，吉根林.決策樹分類技術(shù)研究[J].計算機(jī)工程，2004（9）：94-96.

[10] MUHAMMAD A， FLORENTIN S. Chi-square test for imprecise data in consistency table [J]. Frontiers in applied mathematics and statistics， 2023， 9

[11] 姚登舉，楊靜，詹曉娟.基于隨機(jī)森林的特征選擇算法[J].吉林大學(xué)學(xué)報（工學(xué)版），2014，44（1）：137-141.