The usage of technologically advanced devices has seen a boom in many domains, including education, automation, and healthcare; with most of the services requiring Internet connectivity. To secure a network, device identification plays key role. In this paper, a device fingerprinting (DFP) model, which is able to distinguish between Internet of Things (IoT) and non-IoT devices, as well as uniquely identify individual devices, has been proposed. Four statistical features have been extracted from the consecutive five device-originated packets, to generate individual device fingerprints. The method has been evaluated using the Random Forest (RF) classifier and different datasets. Experimental results have shown that the proposed method achieves up to 99.8% accuracy in distinguishing between IoT and non-IoT devices and over 97.6% in classifying individual devices. These signify that the proposed method is useful in assisting operators in making their networks more secure and robust to security breaches and unauthorized access.

随着物联网设备的扩散，研究人员在机器学习的帮助下开发了各种IOT设备识别方法。尽管如此，这些识别方法的安全性主要取决于收集的培训数据。在这项研究中，我们提出了一种名为IOTGan的新型攻击策略来操纵IoT设备的流量，使得它可以避免基于机器学习的IOT设备识别。在IOTGAN的发展中，我们有两个主要的技术挑战：（i）如何在黑匣子环境中获得歧视模型，并如何通过操纵模型将扰动添加到物联网交通中，从而逃避识别不影响物联网设备的功能。为了解决这些挑战，基于神经网络的替代模型用于将目标模型放在黑盒设置中，它作为IOTGAN中的歧视模型。培训操纵模型，以将对抗性扰动添加到物联网设备的流量中以逃避替代模型。实验结果表明，IOTAN可以成功实现攻击目标。我们还开发了高效的对策，以保护基于机器的机器学习的IOT设备识别由IOTGAN破坏。

设备识别是保护IoT设备网络的一种方法，该设备随后可以从网络中隔离被识别为可疑的设备。在这项研究中，我们提出了一种基于机器学习的方法IotDevid，该方法通过其网络数据包的特征来识别设备。通过使用严格的功能分析和选择过程，我们的研究为建模设备行为提供了可推广和现实的方法，从而在两个公共数据集中实现了高预测精度。该模型的基础功能集显示出比用于设备识别的现有功能集更具预测性，并且显示出在功能选择过程中概括为看不见的数据。与大多数现有的物联网设备识别方法不同，IotDevid能够使用非IP和低能协议来检测设备。

Industrial Internet of Things (IoT) systems increasingly rely on wireless communication standards. In a common industrial scenario, indoor wireless IoT devices communicate with access points to deliver data collected from industrial sensors, robots and factory machines. Due to static or quasi-static locations of IoT devices and access points, historical observations of IoT device channel conditions provide a possibility to precisely identify the device without observing its traditional identifiers (e.g., MAC or IP address). Such device identification methods based on wireless fingerprinting gained increased attention lately as an additional cyber-security mechanism for critical IoT infrastructures. In this paper, we perform a systematic study of a large class of machine learning algorithms for device identification using wireless fingerprints for the most popular cellular and Wi-Fi IoT technologies. We design, implement, deploy, collect relevant data sets, train and test a multitude of machine learning algorithms, as a part of the complete end-to-end solution design for device identification via wireless fingerprinting. The proposed solution is currently being deployed in a real-world industrial IoT environment as part of H2020 project COLLABS.

在当前的Internet-Internet-More（IoT）部署中，依赖于TCP协议的传统IP网络和IOT特定协议的组合可用于将数据从源传输到目标。因此，使用TCP SYN攻击的TCP特定攻击，例如使用TCP SYN攻击的分布式拒绝服务（DDOS）是攻击者可以在网络物理系统（CPS）上使用的最合理的工具之一。这可以通过从其IOT子系统启动攻击来完成，这里被称为“CPS-IOT”，其潜在的传播到位于雾中的不同服务器和CP的云基础架构。该研究比较了监督，无监督和半监控机器学习算法的有效性，用于检测CPS-IOT中的DDOS攻击，特别是在通过因特网到网络空间到网络空间的数据传输期间。所考虑的算法广泛地分为二：i）检测算法，其包括逻辑回归（LGR），K型和人工神经网络（ANN）。我们还研究了半监督混合学习模型的有效性，它使用无监督的K-means来标记数据，然后将输出馈送到攻击检测的监督学习模型。 II。）预测算法 - LGR，内核RIDGE回归（KRR）和支持向量回归（SVR），用于预测即将发生的攻击。进行实验试验并获得结果表明，杂交模型能够达到100％的精度，零误报;虽然所有预测模型都能够实现超过94％的攻击预测准确性。

第五代（5G）网络和超越设想巨大的东西互联网（物联网）推出，以支持延长现实（XR），增强/虚拟现实（AR / VR），工业自动化，自主驾驶和智能所有带来的破坏性应用一起占用射频（RF）频谱的大规模和多样化的IOT设备。随着频谱嘎嘎和吞吐量挑战，这种大规模的无线设备暴露了前所未有的威胁表面。 RF指纹识别是预约的作为候选技术，可以与加密和零信任安全措施相结合，以确保无线网络中的数据隐私，机密性和完整性。在未来的通信网络中，在这项工作中，在未来的通信网络中的相关性，我们对RF指纹识别方法进行了全面的调查，从传统观点到最近的基于深度学习（DL）的算法。现有的调查大多专注于无线指纹方法的受限制呈现，然而，许多方面仍然是不可能的。然而，在这项工作中，我们通过解决信号智能（SIGINT），应用程序，相关DL算法，RF指纹技术的系统文献综述来缓解这一点，跨越过去二十年的RF指纹技术的系统文献综述，对数据集和潜在研究途径的讨论 - 必须以百科全书的方式阐明读者的必要条件。

The Internet of Things (IoT) is a system that connects physical computing devices, sensors, software, and other technologies. Data can be collected, transferred, and exchanged with other devices over the network without requiring human interactions. One challenge the development of IoT faces is the existence of anomaly data in the network. Therefore, research on anomaly detection in the IoT environment has become popular and necessary in recent years. This survey provides an overview to understand the current progress of the different anomaly detection algorithms and how they can be applied in the context of the Internet of Things. In this survey, we categorize the widely used anomaly detection machine learning and deep learning techniques in IoT into three types: clustering-based, classification-based, and deep learning based. For each category, we introduce some state-of-the-art anomaly detection methods and evaluate the advantages and limitations of each technique.

随着物联网设备越来越多地集成到重要网络，对安全互联网（IoT）设备的需求正在增长。许多系统依靠这些设备保持可用并提供可靠的服务。拒绝对物联网设备的服务攻击是一个真正的威胁，因为这些低功率设备非常容易受到拒绝服务攻击。启用机器学习的网络入侵检测系统可以有效地识别新威胁，但是它们需要大量数据才能正常工作。有许多网络流量数据集，但很少有人关注物联网网络流量。在物联网网络数据集中，缺乏coap拒绝服务数据。我们提出了一个涵盖此差距的新型数据集。我们通过从真正的COAP拒绝服务攻击中收集网络流量来开发新数据集，并在多个不同的机器学习分类器上比较数据。我们证明数据集对许多分类器有效。

本文介绍了基于图形神经网络（GNN）的新的网络入侵检测系统（NID）。 GNN是深度神经网络的一个相对较新的子领域，可以利用基于图形数据的固有结构。 NIDS的培训和评估数据通常表示为流记录，其可以自然地以图形格式表示。这建立了探索网络入侵检测GNN的潜在和动力，这是本文的重点。基于机器的基于机器的NIDS的目前的研究只考虑网络流动，而不是考虑其互连的模式。这是检测复杂的物联网网络攻击的关键限制，例如IOT设备推出的DDOS和分布式端口扫描攻击。在本文中，我们提出了一种克服了这种限制的GNN方法，并允许捕获图形的边缘特征以及IOT网络中网络异常检测的拓扑信息。据我们所知，我们的方法是第一次成功，实用，广泛地评估应用图形神经网络对使用流基于流的数据的网络入侵检测问题的方法。我们在最近的四个NIDS基准数据集上进行了广泛的实验评估，表明我们的方法在关键分类指标方面占据了最先进的，这证明了网络入侵检测中GNN的潜力，并提供了进一步研究的动机。

通过无线网络互联设备数量和数据通信数量的显着增加引起了各种威胁，风险和安全问题。物联网（IoT）应用程序几乎部署在日常生活中的几乎所有领域，包括敏感环境。边缘计算范例通过在数据源附近移动计算处理来补充了IOT应用程序。在各种安全模型中，基于机器学习（ML）的入侵检测是最可想到的防御机制，用于打击已启用边缘的物联网中的异常行为。 ML算法用于将网络流量分类为正常和恶意攻击。入侵检测是网络安全领域的具有挑战性问题之一。研究界提出了许多入侵检测系统。然而，选择合适的算法涉及在启用边缘的物联网网络中提供安全性的挑战存在。在本文中，已经执行了传统机器学习分类算法的比较分析，以在Puparm工具上使用Jupyter对NSL-KDD数据集上的网络流量进行分类。可以观察到，多层感知（MLP）在输入和输出之间具有依赖性，并且更多地依赖于用于入侵检测的网络配置。因此，MLP可以更适合于基于边缘的物联网网络，其具有更好的培训时间为1.2秒，测试精度为79％。

医学事物互联网（IOMT）允许使用传感器收集生理数据，然后将其传输到远程服务器，这使医生和卫生专业人员可以连续，永久地分析这些数据，并在早期阶段检测疾病。但是，使用无线通信传输数据将其暴露于网络攻击中，并且该数据的敏感和私人性质可能代表了攻击者的主要兴趣。在存储和计算能力有限的设备上使用传统的安全方法无效。另一方面，使用机器学习进行入侵检测可以对IOMT系统的要求提供适应性的安全响应。在这种情况下，对基于机器学习（ML）的入侵检测系统如何解决IOMT系统中的安全性和隐私问题的全面调查。为此，提供了IOMT的通用三层体系结构以及IOMT系统的安全要求。然后，出现了可能影响IOMT安全性的各种威胁，并确定基于ML的每个解决方案中使用的优势，缺点，方法和数据集。最后，讨论了在IOMT的每一层中应用ML的一些挑战和局限性，这些挑战和局限性可以用作未来的研究方向。

互联网流量分类在网络可见性，服务质量（QoS），入侵检测，经验质量（QOE）和交通趋势分析中起关键作用。为了提高隐私，完整性，机密性和协议混淆，当前的流量基于加密协议，例如SSL/TLS。随着文献中机器学习（ML）和深度学习（DL）模型的使用增加，由于缺乏标准化的框架，不同模型和方法之间的比较变得繁琐且困难。在本文中，我们提出了一个名为OSF-EIMTC的开源框架，该框架可以提供学习过程的完整管道。从著名的数据集到提取新的和知名的功能，它提供了著名的ML和DL模型（来自交通分类文献）的实现以及评估。这样的框架可以促进交通分类域的研究，从而使其更可重复，可重复，更易于执行，并可以更准确地比较知名和新颖的功能和新颖的功能和模型。作为框架评估的一部分，我们演示了可以使用多个数据集，模型和功能集的各种情况。我们展示了公开可用数据集的分析，并邀请社区使用OSF-EIMTC参与我们的公开挑战。

A large number of network security breaches in IoT networks have demonstrated the unreliability of current Network Intrusion Detection Systems (NIDSs). Consequently, network interruptions and loss of sensitive data have occurred, which led to an active research area for improving NIDS technologies. In an analysis of related works, it was observed that most researchers aim to obtain better classification results by using a set of untried combinations of Feature Reduction (FR) and Machine Learning (ML) techniques on NIDS datasets. However, these datasets are different in feature sets, attack types, and network design. Therefore, this paper aims to discover whether these techniques can be generalised across various datasets. Six ML models are utilised: a Deep Feed Forward (DFF), Convolutional Neural Network (CNN), Recurrent Neural Network (RNN), Decision Tree (DT), Logistic Regression (LR), and Naive Bayes (NB). The accuracy of three Feature Extraction (FE) algorithms; Principal Component Analysis (PCA), Auto-encoder (AE), and Linear Discriminant Analysis (LDA), are evaluated using three benchmark datasets: UNSW-NB15, ToN-IoT and CSE-CIC-IDS2018. Although PCA and AE algorithms have been widely used, the determination of their optimal number of extracted dimensions has been overlooked. The results indicate that no clear FE method or ML model can achieve the best scores for all datasets. The optimal number of extracted dimensions has been identified for each dataset, and LDA degrades the performance of the ML models on two datasets. The variance is used to analyse the extracted dimensions of LDA and PCA. Finally, this paper concludes that the choice of datasets significantly alters the performance of the applied techniques. We believe that a universal (benchmark) feature set is needed to facilitate further advancement and progress of research in this field.

这项工作提供了可靠的nids（R-nids），一种新的机器学习方法（ML）的网络入侵检测系统（NIDS），允许ML模型在集成数据集上工作，从不同数据集中具有不同信息的学习过程。因此，R-NIDS针对更强大的模型的设计，比传统方法更好地概括。我们还提出了一个名为UNK21的新数据集。它是由三个最着名的网络数据集（UGR'16，USNW-NB15和NLS-KDD）构建，每个网络环境收集，使用不同的特征和类，通过使用数据聚合方法R-nids。在r-nids之后，在这项工作中，我们建议基于文献中的三个最常见的数据集的信息来构建两个着名的ML模型（一个线性和非线性的一个），用于NIDS评估中的三个，集成在UNK21中的那些。所提出的方法优惠展示了作为NIDS解决方案训练的两种ML模型的结果可以从这种方法中受益，在新提议的UNK21数据集上培训时能够更好地概括。此外，这些结果用统计工具仔细分析了对我们的结论提供了高度信心的统计工具。

Network Intrusion and Detection Systems (NIDS) are essential for malicious traffic and cyberattack detection in modern networks. Artificial intelligence-based NIDS are powerful tools that can learn complex data correlations for accurate attack prediction. Graph Neural Networks (GNNs) provide an opportunity to analyze network topology along with flow features which makes them particularly suitable for NIDS applications. However, successful application of such tool requires large amounts of carefully collected and labeled data for training and testing. In this paper we inspect different versions of ToN-IoT dataset and point out inconsistencies in some versions. We filter the full version of ToN-IoT and present a new version labeled ToN-IoT-R. To ensure generalization we propose a new standardized and compact set of flow features which are derived solely from NetFlowv5-compatible data. We separate numeric data and flags into different categories and propose a new dataset-agnostic normalization approach for numeric features. This allows us to preserve meaning of flow flags and we propose to conduct targeted analysis based on, for instance, network protocols. For flow classification we use E-GraphSage algorithm with modified node initialization technique that allows us to add node degree to node features. We achieve high classification accuracy on ToN-IoT-R and compare it with previously published results for ToN-IoT, NF-ToN-IoT, and NF-ToN-IoT-v2. We highlight the importance of careful data collection and labeling and appropriate data preprocessing choice and conclude that the proposed set of features is more applicable for real NIDS due to being less demanding to traffic monitoring equipment while preserving high flow classification accuracy.

人工智能（AI）发展鼓励了许多新的研究领域，包括支持AI的东西（物联网）网络。 AI分析和智能范式大大提高了学习效率和准确性。将这些学习范例应用于网络方案提供了新的网络解决方案的技术优势。在本文中，我们提出了一种改进的数据视角来的IOT安全方法。可以使用AI技术分析IoT设备的网络流量。使用经常性神经网络（RNN）提出了对抗学习（ADLIOTLOG）模型，并对网络流量的网络事件序列进行注意机制。我们将网络事件定义为日志中捕获的协议的时间序列包的序列。我们在网络日志中考虑了不同的数据包TCP数据包，UDP数据包和HTTP报文，以使算法强大。分布式物联网设备可以合作攻击我们的世界，该世界正在延伸到智力互联网。时间序列数据包通过去除噪声并添加时间戳来转换为结构化数据。得到的数据集由RNN训练，并且可以检测彼此协作的节点对。我们使用了BLEU分数来评估模型性能。我们的研究结果表明，当网络不受攻击时，我们方法训练的Adliotlog模型的预测性能在存在的情况下降低了3-4％。 Adliotlog可以检测到对手，因为当存在对手时，模型被协作事件欺骗，因此使用偏置事件而不是良性事件预测下一个事件。我们得出结论，AI可以为新一代的事物提供无处不在的学习。

目前，数据赢得了用户生成的数据和数据处理系统之间的大鼠竞赛。机器学习的使用增加导致处理需求的进一步增加，而数据量不断增长。为了赢得比赛，需要将机器学习应用于通过网络的数据。数据的网络分类可以减少服务器上的负载，减少响应时间并提高可伸缩性。在本文中，我们使用现成的网络设备以混合方式介绍了IISY，以混合方式实施机器学习分类模型。 IISY针对网络内分类的三个主要挑战：（i）将分类模型映射到网络设备（ii）提取所需功能以及（iii）解决资源和功能约束。 IISY支持一系列传统和集合机器学习模型，独立于开关管道中的阶段数量扩展。此外，我们证明了IISY用于混合分类的使用，其中在一个开关上实现了一个小模型，在后端的大型模型上实现了一个小模型，从而实现了接近最佳的分类结果，同时大大降低了服务器上的延迟和负载。

越来越多的东西数量（物联网）设备使得必须了解他们在网络安全方面所面临的真实威胁。虽然蜜罐已经历史上用作诱饵设备，以帮助研究人员/组织更好地了解网络的威胁动态及其影响，因此由于各种设备及其物理连接，IOT设备为此目的构成了独特的挑战。在这项工作中，通过在低互动蜜罐生态系统中观察真实世界攻击者的行为，我们（1）我们（1）介绍了创建多阶段多方面蜜罐生态系统的新方法，逐渐增加了蜜罐的互动的复杂性有了对手，（2）为相机设计和开发了一个低交互蜜罐，允许研究人员对攻击者的目标进行更深入的了解，并且（3）设计了一种创新的数据分析方法来识别对手的目标。我们的蜜罐已经活跃三年了。我们能够在每个阶段收集越来越复杂的攻击数据。此外，我们的数据分析指向蜜罐中捕获的绝大多数攻击活动共享显着的相似性，并且可以集聚集和分组，以更好地了解野外物联网攻击的目标，模式和趋势。

在单个组织中设计和评估时，机器学习（ML）在检测网络攻击中的用途是有效的。然而，通过利用源自若干来源的异构网络数据样本来设计基于ML的检测系统非常具有挑战性。这主要是由于隐私问题和缺乏数据集的普遍格式。在本文中，我们提出了协同联合学习计划来解决这些问题。拟议的框架允许多个组织在设计，培训和评估中加入强大的ML的网络入侵检测系统的武力。威胁情报方案利用其应用的两个关键方面;以通用格式提供网络数据流量的可用性，以允许在数据源上提取有意义的模式。其次，采用联合学习机制来避免在组织之间共享敏感用户信息的必要性。因此，每个组织都与其他组织网络威胁智能受益，同时在内部保持其数据的隐私。该模型在本地培训，只有更新的权重与剩余的参与者共享联合平均过程。通过使用称为NF-UNSW-NB15-V2和NF-BOT-IOT-V2的NETFOL格式的两个密钥数据集，在本文中设计和评估了该框架。在评估过程中考虑了另外两种常见情景;一种集中式培训方法，其中与其他组织共享本地数据样本和本地化培训方法，没有共享威胁情报。结果证明了通过设计通用ML模型的建议框架的效率和有效性，这些框架模型有效地分类源自多个组织的良性和侵入性流量，而无需当地数据交换。

基于深度学习的设备指纹识别最近被认为是自动化网络访问身份验证的关键推动因素。由于复制物理特征的固有难度，其对模仿攻击的稳健性是区别于常规加密解决方案的原因。尽管设备指纹刻印已显示出令人鼓舞的性能，但其对网络操作环境变化的敏感性仍然构成主要限制。本文提出了一个实验框架，旨在研究和克服支持LORA的设备指纹对此类变化的敏感性。首先，我们首先描述使用启用LORA的无线设备测试台收集的RF数据集。然后，我们提出了一种新的指纹技术，该技术利用了由硬件损伤引起的带外失真信息，以提高指纹精度。最后，我们通过实验研究和分析Lora RF指纹对各种网络设置变化的敏感性。我们的结果表明，当在相同的设置下对学习模型进行培训和测试时，指纹识别相对较好。但是，当在不同的设置下接受训练和测试时，这些模型对通道状况的变化表现出适度的敏感性，以及对协议配置和接收器硬件的严重敏感性，当智商数据用作输入时。但是，使用FFT数据作为输入，它们在任何变化下的性能都差。