基于机器学习的物联网僵尸网络检测模型研究

作     者：胡晋宁 

作者单位：天津理工大学 

学位级别：硕士

导师姓名：莫秀良;顾立志

授予年度：2023年

学科分类：1305[艺术学-设计学（可授艺术学、工学学位）] 12[管理学] 13[艺术学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 0839[工学-网络空间安全] 08[工学] 081104[工学-模式识别与智能系统] 0804[工学-仪器科学与技术] 0835[工学-软件工程] 081101[工学-控制理论与控制工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：僵尸网络 物联网 Mirai 机器学习 

摘      要：近年来物联网相关技术的高速发展,方便了人们的日常工作与生活,然而物联网设备由于自身的计算资源底下、存储资源不足,人工监管短缺以及应用于设备的安全技术并未很好的适配其发展的速度等原因,导致物联网中存在着大量易被攻击的脆弱设备,这使得基于物联网的僵尸网络攻击的安全威胁也随着物联网设备的爆发式增长而增大,因此针对物联网僵尸检测的研究具有十分重要的意义。为此,本文对物联网僵尸网络的特点和相关检测方法进行分析总结,并以物联网僵尸网络流量分析和机器学习相关技术作为基础对其进行深入研究。本文主要的工作和创新点归纳如下:(1)以物联网僵尸网络的典型代表——Mirai僵尸网络为例,从源代码层面分析其主要构成模块以及组建流程,通过组建Mirai僵尸网络深入理解分析物联网僵尸网络特点,并将物联网僵尸网络流量与正常流量进行对比分析,为后续检测奠定基础。(2)针对网络流量数据体量大以及特征维度高的问题,提出一种基于RFRFECV和Light GBM的物联网僵尸网络检测模型。该模型在随机森林算法的基础上引入RFECV算法并根据特征重要性来进行特征选择,减小模型过拟合的风险,并使用Light GBM构建模型来提高模型的训练速度与分类精度,最后通过实验表明该模型对物联网僵尸网络检测具有很好的效果。(3)针对真实环境中网络流量是无标签数据的问题,提出一种基于无监督集成学习的物联网僵尸网络检测模型。该模型使用Johnson-Lindenstrauss随机投影用于特征降维,还引入离群点集成算法用于无监督基分类模型以及离群得分组合函数的选择,并在不同设备上分别构建模型,最后通过实验结果表明该模型在不同设备上都具有适用性,且均具有较高的检出率与较低的误报率。面对当前规模日益增长的物联网僵尸网络,本文提出的检测模型能够有效的实现物联网僵尸网络的检测,实验表明模型均具有较高的检测率和较低的误报率,这对物联网设备的安全防护以及保护物联网的网络安全等方面具有重大的现实意义。