Dazaaaiii/IIoT-intrusion-detection-system-using-Metaheuristic-ML

IIoT入侵检测与元启发式优化机器学习 本仓库提供了一个完整的、面向研究的实现方案，即协议感知元启发式集成（PAME）框架，专为工业物联网（IIoT）环境中的实时入侵检测而设计。该项目专注于利用机器学习、协议感知特征工程和元启发式优化技术，保护工业控制系统（ICS）、SCADA基础设施以及边缘制造环境免受现代网络威胁。 现代IIoT系统严重依赖传统的工业通信协议，如Modbus TCP/IP。这些协议最初设计时主要考虑的是可靠性和确定性通信，而非网络安全。因此，这些协议极易受到分布式拒绝服务（DDoS）攻击、SQL注入、后门入侵、端口扫描、漏洞扫描以及恶意上传等攻击。工业4.0环境中运营技术（OT）与信息技术（IT）的日益融合，极大地扩展了关键制造基础设施的攻击面，使得智能入侵检测系统对工业网络安全至关重要。 本项目实现并评估了多种机器学习算法，包括： 随机森林 梯度提升 XGBoost LightGBM 决策树 逻辑回归 该框架使用了Edge-IIoTset数据集，这是目前最全面的IIoT网络安全数据集之一，包含真实的工业网络流量和多种攻击类别。为高效实验和面向边缘的部署分析，使用了约157,000条网络流量记录的处理子集。 系统使用Scapy库执行协议感知的深度包检查，以提取关键的传输层和协议特定属性，例如： * TCP序列号 * TCP确认值 * TCP标志位 * TCP校验和值 * 流统计信息 * Modbus TCP/IP协议属性 特征重要性分析表明，传输层属性对入侵检测准确性的贡献显著，凸显了协议感知安全分析在工业环境中的有效性。 为提高计算效率并支持在资源受限的边缘设备上部署，该框架集成了多种元启发式优化算法，用于智能特征选择和降维： * 灰狼优化器 * 鲸鱼优化算法 * 哈里斯鹰优化算法 * 萨尔普群算法 这些优化算法在保留检测性能的同时，减少了冗余和非判别性特征。优化后的集成模型在大幅减少特征的情况下，达到了99.72%的峰值准确率，显著提高了推理速度和边缘部署可行性。 该项目还集成了一个基于Streamlit的实时仪表板，用于可视化和威胁监控。该仪表板使安全运营中心（SOC）分析师和工业运营商能够以低延迟监控实时入侵预测、攻击分布和流量分析。该框架专门为在IIoT架构的边缘/雾层部署而设计，以确保快速响应时间和对制造控制回路的最小干扰。 **核心特性：** * 协议感知入侵检测 * 多类攻击分类 * 元启发式特征优化 * 集成机器学习模型 * 使用Scapy进行实时数据包检查 * 基于Streamlit的可视化仪表板 * 面向边缘的部署架构 * 特征重要性与传输层分析 * 面向IIoT系统的低延迟推理 **数据集：** * 使用数据集：Edge-IIoTset * 使用记录数：约157,000条 * 攻击类别：9类 * 协议：TCP, UDP, ICMP, Modbus TCP/IP, MQTT **使用技术：** * Python * Scikit-learn * XGBoost * LightGBM * Scapy * Streamlit * Pandas * NumPy * Matplotlib **性能亮点：** | 模型 | 准确率 | | :--- | :--- | | 梯度提升 | 96.69% | | 随机森林 | 95.67% | | 决策树 | 95.14% | | LightGBM | 92.63% | | XGBoost | 92.55% | | 逻辑回归 | 42.96% | **元启发式优化结果** | 优化器 + 分类器 | 准确率 | | :--- | :--- | | 鲸鱼优化算法 + 梯度提升 | 99.72% | | 哈里斯鹰优化算法 + 随机森林 | 99.72% | | 哈里斯鹰优化算法 + 梯度提升 | 99.72% | **研究目标** 本项目的主要目标是开发一个可扩展、准确且计算高效的入侵检测框架，能够在真实的IIoT环境中运行。该研究侧重于平衡检测准确性、特征维度降低、可解释性以及工业网络安全应用的实时部署可行性。 **未来改进** 本项目未来的扩展方向可能包括： * 面向分布式IIoT安全的联邦学习 * 基于深度强化学习的自适应安全策略 * 实时流式流量分析 * 在Raspberry Pi和工业网关上的硬件部署 * 与SIEM和SOC平台集成 * 使用基于异常的学习进行零日攻击检测 **作者：** * Ajay Kumar Karra * Aashish Bagi * G Praneeth **许可** 本项目旨在用于学术研究和教育目的。

标签：Kubernetes, 逆向工具