IoMT 设备上的 DDoS 攻击检测

大家读完觉得有帮助记得关注和点赞!!!

抽象

医疗物联网 (IoMT) 代表了医疗保健领域的范式转变,使医疗设备、传感器和系统能够互连,以增强患者监测、诊断和管理。IoMT 的快速发展为医疗保健领域带来了显著的好处。然而,由于 IoMT 连接设备中存在多个漏洞,IoMT 网络上的分布式拒绝服务 (DDoS) 攻击迅速增加,这会对患者的健康产生负面影响,甚至可能导致死亡。因此,在本文中,我们的目标是通过研究用于检测 IoMT 设备上的 DDoS 攻击的极限学习机器来挽救生命。所提出的方法以较低的实现预算实现了高准确度。因此,它可以降低 DDoS 检测系统的实现成本,使模型能够在雾级别执行。

索引术语:

DDoS、DoS、IoMT、安全、ELM、AI

第一介绍

在数字技术集成推动下,医疗保健行业正在经历一场重大转型。这种演变的一个关键组成部分是医疗物联网 (IoMT),它是专门为医疗领域量身定制的更广泛的物联网 (IoT) 概念的扩展[1]. 医疗物联网 (IoMT) 是指通过互联网进行通信的医疗设备和应用程序的互连网络[2].IoMT 通过互连网络技术连接各种医疗设备、传感器、软件应用程序和医疗保健系统,包括跟踪生命体征的可穿戴传感器、调节慢性病的植入物和先进的医院诊断工具[3].IoMT 组件如图 1 所示。这些系统的主要功能是收集、传输和处理健康数据以改善患者护理[4].IoMT 能够将健康数据从各种医疗设备传输到计算机化系统,从而将医疗保健专业人员与患者联系起来。这些设备允许医疗保健提供者远程(门诊患者)或在医院(住院患者)监测患者的健康状况并简化工作流程,从而改善患者的健康状况[5,4,6].

IoMT 和物联网 (IoT) 设备共享类似的技术协议,包括无线通信协议,如 MQTT(消息队列遥测传输)、CoAP(受限应用协议)、低功耗蓝牙 (BLE)、Zigbee、Wi-Fi 和 TCP/IP[7].与一般 IoT 设备不同,IoMT 系统采用机器智能、微控制器和传感器设计,以减少标准监控和医疗保健程序中对人工干预的需求[8],[9],[10].

 

图 1:医疗物联网 (IoMT) 组件。

IoMT 的生态系统由设备和软件应用程序组成,这些设备和软件应用程序有助于方便地提供医疗保健服务,通过网络将数据传输到云服务器,在那里数据被处理并用于触发作或通过用户界面提供见解[9].IoMT 的一些创新发展包括从温度计、吸入器和胰岛素泵等简单的设备到生物识别环和先进的机器人系统[11,12].图 2 显示了一些 IoMT 设备的示例。

 

图 2:IoMT 设备示例。

从业务角度来看,IoMT 并不是趋势;但是,它表现出生长现象。市场预测显示,全球 IoMT 将显着增长,预计未来几年将达到数千亿美元。根据 HealthTech Research Group 的数据,到 2030 年,IoMT 将达到 8613 亿美元,复合年增长率 (CAGR) 为 28%[13].此外,世界卫生组织 (WHO) 预计到 2030 年将出现医疗保健专业人员短缺[14].这一预测表明,全球将没有足够的医护人员来满足医疗服务需求,从而限制了全球人们获得优质医疗保健的机会。Rahan 等人。[15]还表明,人类预期寿命的预期增长可能会使全球人口增加 31%,到 2050 年将达到 98 亿。鉴于这些趋势,需要开发负担得起且安全的医疗保健解决方案,以满足人们的健康需求,同时适应全球化和医疗物联网 (IoMT) 数字化的双重压力。

 

图 3:IoMT 网络中的安全威胁按对机密性、完整性和可用性 (CIA) 三元组的威胁进行分类。

IoMT 安全形势的特点是跨不同架构层和设备类型的各种漏洞。其中一些漏洞包括糟糕的身份验证过程,例如依赖于弱密码或默认密码的身份验证过程,以及授予敏感数据和帐户访问权限的授权控制不足。对传输中的数据和静态数据缺乏适当的加密是一个关键问题,使敏感的 PHI 容易受到窃听和拦截[16].许多设备还存在固件不安全、更新机制不规则以及具有已知漏洞的过时软件组件。物理安全性也是一个漏洞,某些设备没有强化防篡改功能[17].IoMT 中使用的通信协议,如低功耗蓝牙 (BLE)、Zigbee、MQTT 和 CoAP,如果不安全实施,同样容易受到攻击。这些漏洞会吸引各种攻击,例如恶意软件感染(如勒索软件)、损害服务可用性的分布式拒绝服务 (DDoS) 攻击以及窃听通信的中间人 (MitM) 攻击[6,18].图 3 显示了主要的 IoMT 安全威胁[19].

从大多数研究为制定企业 IT 环境工作原则而采用的对策和漏洞来看,这些措施和漏洞往往被证明是不够的,IoMT 的这些独特挑战:

  •  资源约束:大多数 IoMT 设备(尤其是可穿戴设备和植入物)的处理能力、内存和电池寿命都受到限制,因此无法运行复杂的加密算法或专为高性能服务器或台式机设计的重量级入侵检测软件[20].对强安全性的需求和硬件限制之间的这种内在权衡会影响安全机制的设计。
  •  异质性和缺乏标准化:IoMT 生态系统中的设备、制造商、通信协议和数据传输种类繁多,因此很难应用统一的安全策略和解决方案[21].这些互作性挑战使安全集成进一步复杂化。
  •  可扩展性:许多互联的 IoMT 设备给集中式安全管理和监控系统带来了严峻的可扩展性挑战[.
  •  遗留系统:医疗保健环境通常包含不是为网络连接或安全而设计的传统设备,但正在联网,从而带来严重的漏洞[23].这些设备可能很难或不可能修补或更新。
  •  实时要求:许多 IoMT 应用程序(例如关键患者监护设备或治疗设备的远程控制)都有严格的实时性能期望[24].
  •  动态环境:IoMT 环境通常是动态的,因为设备经常进出网络,并且用户环境(如位置)经常变化[25].因此,静态安全策略是不够的。

其中包括 2024 年 Elastic 全球威胁报告提供的漏洞和攻击媒介统计数据[26],由 Cybersecurity Ventures 发布的报告指出,针对医疗物联网 (IoMT) 系统的主要威胁问题已被确定为分布式拒绝服务 (DDoS) 攻击,恶意软件攻击是 IoMT 生态系统面临的最重大网络安全威胁,以及其他潜在威胁。这些攻击对 IoMT 系统的完整性、可用性和机密性构成严重风险[27],[28],[29].

由于 IoMT 设备的可用性至关重要,尤其是对于生命支持物联网设备,本文的目标是检测 IoMT 网络上的 DDoS 攻击,以保护和拯救生命免受关键威胁。

IoMT 网络的资源限制是 IoMT 设备上成功发起 DDoS 攻击的重要原因;由于无法使用安全软件,它们还会导致安全限制,这增加了 IoMT 设备受到威胁的风险。因此,在本文中,我们的目标是采用一种基于极限学习机 (ELM) 的预算友好的机器学习模型。这种强大而强大的方法需要最少的资源,并且可以在检测 DoS 和 DDoS 攻击方面实现非常高的准确性。因此,本文的主要贡献是实证研究了使用 ELM 检测 IoMT 网络设备上不同 DDoS 攻击的能力,重点是准确性和低预算实施,这与 IoMT 网络的有限资源兼容。

图 4:ELM 拓扑。 表 I:ELM 与其他人工神经网络的比较

方面 榆树FNN (英文)BPNN1D-卷积神经网络
建筑 单个隐藏层前馈网络多层全连接网络具有反向传播的多层1D 滤波器:卷积层、池化层和密集层
权重初始化 随机分配的输入权重和偏差在训练期间初始化和更新通过反向传播初始化和更新通过反向传播初始化和更新
训练算法 使用 Moore-Penrose 伪逆的解析解基于梯度梯度下降的反向传播梯度下降的反向传播
训练速度 非常快(非迭代)温和较慢(迭代,通常为多个 epoch)较慢(需要卷积和优化)
学习类型 仅批量学习批量或在线批量或在线批量或小批量学习
泛化能力 参数适当取决于培训和架构需要正则化以防止过拟合擅长大数据、空间模式学习
可解释性 温和温和
数据类型 表格结构化数据表格结构化数据表格结构化数据顺序时间序列数据
使用案例 快速分类、入侵检测、异常检测常规分类/回归任务常规 ML 任务,尤其是小型/中型数据集时间序列分类、信号分析
参数调优 更少的参数(神经元数量)需要调整层、单元、激活需要调整层、学习率需要调整内核大小、步幅、过滤器
可扩展性 超大型数据的可扩展性有限可通过正则化和优化进行扩展可通过 GPU 进行扩展,但速度较慢高度可扩展,支持 GPU
IoMT Edge 的用法 高度适用:快速、轻量级、低计算适宜:需要优化不太适合:训练速度慢,开销较高适用于时间序列传感器数据,资源消耗更大

第二极限学习机

极限学习机 (ELM) 由 Huang 等人于 2006 年提出。[30]作为具有 N 个隐藏节点的单隐藏层前馈神经网络 (SLFN) 的简单学习算法[31,32,33]其中 SLFN 是最简单的前馈网络类型,其架构设计由单隐藏层感知器组成[34].

ELM 拓扑如图 4 所示,其中X=[x1,x2,….,xn]T是输入向量,wj是从输入到隐藏节点的权重j,n是要素的数量,而 .bj是隐藏节点的偏差j.对于每个隐藏的节点j=1,2,….,L,则隐藏神经元的输出oj计算公式为:

oj=g(wj.X+bj)

 

哪里g(.)是激活函数。对于所有训练样本,输出可以通过以下方式计算:

Y=H⁢β

其中 H 是所有训练样本的隐藏层输出矩阵,其中:

H=g⁢(XW+b)

 

哪里X∈ℝN×n,W∈ℝn×L,b∈ℝ1×L,H∈ℝN×L.N是样本数,而L是隐藏节点的总数,β是从 hidden 层到 output 层的权重,其中:

β=HT⁢T

 

T∈ℝN×m是目标(标签)矩阵,并且HT是 H 的 Moore-Penrose 伪逆元 [35].

与传统神经网络不同,传统神经网络采用基于迭代梯度的方法(例如反向传播)来调整所有网络权重,而 ELM 将随机权重和偏差分配给其隐藏层。它使它们保持不变,仅使用封闭式解决方案(通常通过伪逆的最小二乘法)学习输出权重。与传统神经网络相比,这种网络设计使 ELM 的训练速度要快得多,并且在许多问题中通常具有相当的泛化性能[36].表 I 显示了 ELM、前馈神经网络 (FNN)、反向传播神经网络 (BPNN) 和一维卷积神经网络 (1D-CNN) 之间的比较[30,37,38,39,40].

ELM 在不同的应用和任务中表现出显著的性能,包括医疗保健应用,包括糖尿病预测[41]、 心电图 (ECK/EKG) 分类[42]和脑电图 (EEG) 分类[43].此外,它在图像的稀疏表示方面也取得了显著的成功[44]、动作识别[45]、图像分类[46]和网络中的入侵检测[47,48].

图 5:提议的基于 ELM 的方法,用于检测 IoMT 设备上的 DDoS 攻击。

第三方法论

在本文中,我们使用 ELM 来检测 IoMT 网络设备上的 DDoS 攻击。所提出的方法旨在实现高检测准确率,同时保持较小的实施预算并加快检测速度。建议的模型如图 5 所示。所提出的方法包括三个主要阶段:数据输入、数据处理和使用 ELM 进行分类。所提出的方法旨在提供对恶意网络流量模式的准确检测,同时保持快速处理。所提出的方法损害了 IoMT 系统的可用性和可靠性。

第一阶段涉及收集输入数据,其中包括来自 IoMT 设备的实时或记录的网络流量。该数据由描述网络流特征的广泛特征组成,包括数据包大小、协议类型、流持续时间、源和目标 IP 地址、端口号以及连接请求数。这些功能构成了识别网络流量中嵌入的潜在 DDoS 攻击模式的基础。

收集数据后,它会进入一个处理阶段。数据处理阶段涉及清理数据,以删除任何可能影响 ELM 检测模型的性能和学习过程的缺失、重复或嘈杂的数据样本。然后应用特征提取和选择技术来识别与检测 DDoS 攻击最相关的属性。然后,对选定的特征进行归一化,以提高 ELM 模型的学习效率和稳定性。最后,为正常攻击和 DDoS 攻击标记数据。

然后,学习阶段从使用 ELM 作为分类器开始。在这种方法中,输入权重和偏差是随机初始化的,隐藏层输出是使用激活函数计算的。最后阶段涉及生成分类模型的输出,该模型提供一个二进制决策,指示是否检测到 DDoS 攻击。

四实验和结果

IV-A 型数据

在本文中,我们采用了 CICIoMT2024 数据集基准测试[49].我们选择 CICIoMT2024 数据集基准测试进行实验是因为几个因素,包括 CICIoMT2024 数据集是一个现实的基准测试数据集,可以开发和评估专门关注 IoMT 安全性的解决方案。此外,该数据集还包括针对 IoMT 测试平台的 18 次不同的 DDoS 攻击,该测试平台由 40 台 IoMT 设备组成,其中 25 台真实设备和 15 台模拟设备。DDoS 攻击的 18 种类型分为主要五大类:分布式拒绝服务 (DDoS)、拒绝服务 (DoS)、侦察 (Recon)、消息队列遥测传输 (MQTT) 攻击和欺骗。表 II 显示了五大类中每类的主要攻击和子攻击。该数据集由 476,150 个数据样本组成。

表 II:CICIoMT2024 数据集基准攻击类别及其子类别

类别 子类别
DDoS 攻击 SYN 泛洪
TCP 泛洪
ICMP 泛洪
UDP 泛洪
DoS SYN 泛洪
TCP 泛洪
ICMP 泛洪
UDP 泛洪
侦察 Ping 扫描
漏洞扫描
作系统扫描
端口扫描
欺骗 ARP 欺骗
MQTT 协议 格式错误的数据
DoS Connect 洪水
DDoS 连接 洪水
DoS 发布洪水
DDoS 发布洪水

表 III:拟议的基于 ELM 的方法测试结果

指标结果
准确率 (%)94.87%
精度0.95
召回0.95
F1 分数0.95
AUC-ROC0.945

 

图 6:CICIoMT2024 数据集基准测试中用于检测 DDoS 攻击的 ELM 模型的混淆矩阵。

IV-B 型数据处理

对于数据处理,我们执行了数据清理,删除了缺失值。此外,我们还将其用于测试和培训。非良性流量标记为 1(表示 DDoS 攻击),而良性流量标记为 0。

为了降低维度并提高模型有效性,确定了每个特征与目标类别的相关性。绝对相关值小于 0.02 的特征将被丢弃。只剩下与 DoS 和 DDoS 检测相关的最具预测性的功能。

表 IV:与最先进的 DDoS 检测建模的分析比较

研究 型号类型数据准确率 (%)精度召回F1 分数具体发现
我们的工作 榆树CICIoMT24 系列95.00.940.950.95用于比较的基线模型
Neto 等人。[50CICIoV2024Logistic 回归95%0.740.680.63Logistic 回归显示检测较弱,尽管准确率高
Kharoubi 等人。[51卷积神经网络 (CNN)CICIoT2023 (医学子集)99.10.9860.990.99专注于使用基于 CNN 的 NIDS 的 IoT 安全性
Canavese 等人。[52Random ForestCICIoT2023 国际开发大赛95.7%0.280.650.33准确度高,但精度和召回率非常低
Ansar 等人。[53混合卷积神经网络CICIoMT24 + IoMT-TON97.80.9720.9720.968用于 IoT 安全应用
Chandekar 等人。[54集成 AICICIoMT2024 系列96.80.9650.9710.968IoMT 网络中增强的异常检测
Gueriani 等人。[55混合 CNN-LSTMCICIoT2023、CICIoMT2499.30.980.9910.99使用基于 CNN-LSTM 的 IDS 增强 IoT 安全性
Fernández Maimó 等人。[56动力分析系统CICIoMT24 系列97.20.9680.9750.971专注于临床环境中的勒索软件检测

数据集分为 80% 的训练集和 20% 的测试集X火车,Y火车.通过 StandardScaler 使用 z 分数归一化对特征进行归一化,以便所有输入特征具有相同的缩放比例[57].

IV-C 型模型实现和评估

ELM 分类器是基于模型架构组件实现的:

  • • 

    一个具有可调神经元数量的隐藏层。

  • • 

    输入权重和偏差的随机初始化。

  • • 

    激活函数:tanh、sigmoid 和径向基函数 (RBF)[58,59].

  • • 

    通过 Moore-Penrose 伪逆计算输出权重以获得闭式解。

该模型封装在一个特殊的 ELMWrapper 类中,以便于与 GridSearchCV 集成。超参数利用神经元的数量和激活函数类型来优化 5 倍交叉验证方法。

我们通过二元分类评估了模型的性能。这包括在数据集上训练它以区分正常流量和攻击流量。我们使用了一系列评估指标来评估其有效性。

该模型的总体准确率为 94.87%,反映出它在区分 IoMT 网络中的恶意流量和正常流量方面具有很高的潜力。分类报告显示,两个类别(良性和攻击)的准确率很高,召回率为 0.95,表明该模型有效且高效地最大限度地减少了假阴性和假阳性,如混淆矩阵 6 所示。表 LABEL:results1 显示了 ELM 测试结果。ELM 模型在使用少量实施预算的情况下表现非常出色。它还记录了 0.95 的准确率、0.95 的召回率和 0.95 的 F1 分数。事实证明,我们提出的方法优于大多数传统的机器学习模型。除了实现高精度外,ELM 模型还表现出高训练速度和快速的时间复杂性,使其适用于实时应用。此功能有利于需要以有限资源进行实时威胁检测的 IoMT 系统。结果进一步证实了基于 ELM 的检测系统在对恶意软件和 DDoS 攻击进行分类方面的有效性。

对各种机器学习算法进行了比较分析,以评估 ELM 模型与传统方法相比的优势和劣势。将我们的 ELM 模型的性能与其他方法的性能进行了比较,特别关注在 CICIoMT24 数据库上测试的模型以进行公平比较。该研究确定了 IoMT 安全解决方案的关键维度,包括检测准确性、计算效率、精度和召回率。表 IV 显示了所提出的基于 ELM 的方法与其他最先进模型之间的比较。不同研究中使用的 CNN-LSTM 混合体和深度神经网络具有高精度模型;但是,我们的 ELM 模型分类器更适用于 IoMT 系统。此外,深度学习模型,例如 Ansar 等人开发的模型。[53]和 Gueriani 等人。[55],准确率略高 (97–98%)。尽管如此,它们的资源密集度更高,需要更高级的训练和处理能力,这对于资源有限的医疗设备来说是不可行的。从实现资源方面来看,对于更适合 IoMT 设备的模型,Neto 等人。[50]和 Canavese 等人。[52]模型显示出很高的准确性;但是,它们的准确率和召回率明显较低,证明每个类的性能很差。因此,ELM 模型的特点是:

  • • 

    用于训练的单次学习速度。

  • • 

    其较低的内存使用率使其易于安装在 IoMT 设备上。

  • • 

    由于训练 epoch 和超参数的数量减少,因此优化变得容易。

  • • 

    实时入侵检测提供了 95% 的高准确率,这在医疗保健机构中至关重要。

  • • 

    保持高精度、召回率和 F1 分数。

我们的 ELM 模型由于其单通道学习机制而提供了更好的训练效率,这与 CNN 和 LSTM 等模型使用的迭代反向传播不同,后者会显著增加训练时间和计算负载。此外,ELM 模型还提供较低的 CPU 和内存使用率,因此非常适合部署在资源受限的边缘设备上。

V结论

本文提出了一种极限学习机 (ELM) 方法,用于检测互联医疗网络中医疗物联网 (IoMT) 系统的 DDOS 攻击。使用来自 CICIoMT24 数据集的真实模拟攻击流量应用和测试了所提出的 ELM 模型。所提出的 ELM 方法在检测良性和实际攻击方面取得了显著的分类性能,准确率达到 95%,需要最少的培训时间和实施资源。ELM 模型使其成为资源受限的医疗保健系统中实时攻击检测的合适选项。

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值