物聯(lián)網(wǎng)入侵檢測技術(shù)

入侵檢測技術(shù)在物聯(lián)網(wǎng)中的應(yīng)用

引言

隨著物聯(lián)網(wǎng)的研究與應(yīng)用越來越受到廣泛的關(guān)注，物聯(lián)網(wǎng)的安全問題也日益凸顯。由于物聯(lián)網(wǎng)的應(yīng)用將會涉及到軍事、民生、工商業(yè)等各個領(lǐng)域，其網(wǎng)絡(luò)安全的重要性不言而喻。一旦發(fā)生例如病毒破壞，黑客入侵，惡意代碼攻擊等問題，所造成的危害及損失也將會比傳統(tǒng)網(wǎng)絡(luò)上的類似情況范圍更廣，影響更大。而物聯(lián)網(wǎng)又是在傳統(tǒng)的計算機(jī)網(wǎng)絡(luò)、無線傳感網(wǎng)、移動通訊網(wǎng)等網(wǎng)絡(luò)的基礎(chǔ)上建設(shè)而來的，由于這些網(wǎng)絡(luò)本身所固有的安全漏洞和脆弱性，使得物聯(lián)網(wǎng)的網(wǎng)絡(luò)信息安全也面臨著不小的挑戰(zhàn)。因此，物聯(lián)網(wǎng)安全防范技術(shù)的研究顯得尤為重要。引言

入侵行為主要指任何試圖破壞目標(biāo)資源完整性、機(jī)密性和可訪問性的動作，是物聯(lián)網(wǎng)安全防范研究所針對的主要方面。傳統(tǒng)的安全防御機(jī)制，如加密、身份認(rèn)證等，相對比較被動，不論如何升級更新，總會被入侵者找到其漏洞進(jìn)行攻擊。入侵檢測是近年來出現(xiàn)的一種較新的安全防御技術(shù)，可以相對主動地為網(wǎng)絡(luò)進(jìn)行安全檢測并采取相應(yīng)的措施，從而在很大程度上彌補(bǔ)了傳統(tǒng)安全防御技術(shù)的小足。物聯(lián)網(wǎng)的組成

對于物聯(lián)網(wǎng)的體系架構(gòu)，目前業(yè)界比較公認(rèn)的是分為三層:采集數(shù)據(jù)的感知層、傳輸數(shù)據(jù)的網(wǎng)絡(luò)層和內(nèi)容應(yīng)用層。這里將簡要介紹各層實(shí)現(xiàn)的功能并分析各層存在的安全威肋。Page

5物聯(lián)網(wǎng)的組成感知層感知層的主要功能是全面感知，即利用RFID(射頻識別)、傳感器、二維碼等隨時隨地獲取物體的信息。

網(wǎng)絡(luò)層網(wǎng)絡(luò)層的主要功能是實(shí)現(xiàn)感知數(shù)據(jù)和控制信息的雙向傳遞，通過各種電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)的融合，將物體的信息實(shí)時準(zhǔn)確地傳遞出去。

應(yīng)用層應(yīng)用層主要是利用經(jīng)過分析處理的感知數(shù)據(jù)，為用戶提供豐富的特定服務(wù)。

Page

6物聯(lián)網(wǎng)的組成

感知層是物聯(lián)網(wǎng)發(fā)展和應(yīng)用的基礎(chǔ)，該層包括采集數(shù)據(jù)的傳感器末端設(shè)備，以及數(shù)據(jù)接入互聯(lián)網(wǎng)網(wǎng)管之前的傳感網(wǎng)絡(luò)。感知層遭受攻擊通常情況下是感知層的節(jié)點(diǎn)遭受挾持，包括普通節(jié)點(diǎn)和網(wǎng)關(guān)節(jié)點(diǎn)。就普通節(jié)點(diǎn)而言，一旦被攻擊者控制，所面臨的安全隱患不僅僅是信息被竊取，攻擊者還可以對物品上的電子標(biāo)簽進(jìn)行控制，比如電路中斷，時鐘失效等就可以造成物理標(biāo)簽的暫時性或永久性失效。這種類型的攻擊就可以使合法的普通節(jié)點(diǎn)無法被識別，導(dǎo)致得不到相應(yīng)的服務(wù)。攻擊者甚至還可以將節(jié)點(diǎn)上被操控的標(biāo)簽和物品分離，并關(guān)聯(lián)到別的物體上。而網(wǎng)關(guān)節(jié)點(diǎn)同樣存在被惡意操控的隱患，攻擊者一旦達(dá)到這個目的，就可以廣播大量干擾信號以對網(wǎng)絡(luò)造成持續(xù)性的擁塞。此外，物聯(lián)網(wǎng)要實(shí)現(xiàn)的是任意時問任意地點(diǎn)的物物連接，感知網(wǎng)最終還是要接入互聯(lián)網(wǎng)，這樣一來就不可避免的會遭受到來自互聯(lián)網(wǎng)的攻擊，比較常見的就是非法訪問和拒絕服務(wù)攻擊。由于傳感網(wǎng)的節(jié)點(diǎn)一般結(jié)構(gòu)單一、資源較小且攜帶能源較低，容易遭受攻擊導(dǎo)致節(jié)點(diǎn)崩潰甚至傳感網(wǎng)癱瘓。感知層Page

7物聯(lián)網(wǎng)的組成

物聯(lián)網(wǎng)網(wǎng)絡(luò)層建立在現(xiàn)有通信網(wǎng)和互聯(lián)網(wǎng)的基礎(chǔ)上，綜合使用現(xiàn)有通信技術(shù)，實(shí)現(xiàn)感知網(wǎng)與通信網(wǎng)的結(jié)合。該層的主要工作就是可靠地接收來自感知層的數(shù)據(jù)，再根據(jù)不同的應(yīng)用需求進(jìn)行處理。該層主要考慮安全威脅和安全架構(gòu)問題就可以移植或參考現(xiàn)有的互聯(lián)網(wǎng)安全研究成果。概括來說，網(wǎng)絡(luò)層的安全需求有數(shù)據(jù)的機(jī)密性、完整性、攻擊的檢測與預(yù)防等。網(wǎng)絡(luò)層應(yīng)用層應(yīng)用層就是物聯(lián)網(wǎng)的社會分工，與具體行業(yè)相結(jié)合，實(shí)現(xiàn)廣泛智能化。該層可靠的從網(wǎng)絡(luò)中接收到信息，通過一些中問件系統(tǒng)進(jìn)行相應(yīng)的信息處理和管理等操作。需要說明的一點(diǎn)是，接受到的信息先需要進(jìn)行判斷被識別出有用數(shù)據(jù)、垃圾數(shù)據(jù)和惡意數(shù)據(jù)。應(yīng)用層所面臨的安全挑戰(zhàn)首當(dāng)其沖的就是面對海量數(shù)據(jù)的識別和處理，處理的平臺也可能是分布式的，如何分配與協(xié)調(diào)并快速有效智能地處理數(shù)據(jù)也是需要考慮的問題。除此之外，智能的自動處理過程也存在被攻擊者繞過或篡改的隱患，一旦自動過程正在被攻擊或者已經(jīng)被攻擊而導(dǎo)致災(zāi)難，就應(yīng)該有相應(yīng)的可控機(jī)制以保障能夠即時有效的中斷并自我保護(hù)，能夠從災(zāi)難中恢復(fù)。最后，在個人和商業(yè)信息都網(wǎng)絡(luò)化的時代，還需要對隱私信息建立起相應(yīng)的安全保護(hù)機(jī)制。入侵檢測技術(shù)面對物聯(lián)網(wǎng)中存在的安全威脅，有效的入侵檢測技術(shù)必須要具有簡單性、實(shí)時性和檢測準(zhǔn)確性。下面主要介紹一下目前應(yīng)用物聯(lián)網(wǎng)的入侵檢測技術(shù)?；诙啻淼娜肭謾z測技術(shù)

代理Agent是指在給定條件下具有獨(dú)立邏輯處理能力、可以持續(xù)運(yùn)行的軟件實(shí)體。Agent具有自治性、移動性，并且Agent之間可以通過相互通信從而協(xié)作完成任務(wù)。根據(jù)物聯(lián)網(wǎng)的結(jié)構(gòu)特點(diǎn)，我們考慮在感知層應(yīng)用多代理的入侵檢測技術(shù)，使入侵檢測系統(tǒng)具備減輕網(wǎng)絡(luò)負(fù)載及延時，動態(tài)地適應(yīng)網(wǎng)絡(luò)變化和進(jìn)行快速實(shí)時反應(yīng)的優(yōu)點(diǎn)。 感知層的多代理入侵檢測系統(tǒng)由檢測代理、主機(jī)代理和網(wǎng)絡(luò)代理等三部分構(gòu)成。入侵檢測系統(tǒng)部署在感知層的多個網(wǎng)絡(luò)終端上。每一個網(wǎng)絡(luò)終端上有多個檢測代理對本機(jī)上發(fā)生的事件進(jìn)行監(jiān)聽。每一個終端上部署一個主機(jī)代理，其主要功能是管理相應(yīng)終端上所有檢測代理，負(fù)責(zé)檢查檢測代理的運(yùn)行情況并對檢測代理匯報的數(shù)據(jù)進(jìn)行過濾處理。在一定的網(wǎng)絡(luò)緯度內(nèi)會設(shè)置相應(yīng)的網(wǎng)絡(luò)代理，主機(jī)代理將經(jīng)過過濾處理后的數(shù)據(jù)匯報到所在網(wǎng)絡(luò)范圍內(nèi)的網(wǎng)絡(luò)代理。主機(jī)代理與網(wǎng)絡(luò)代理之問是多對多的關(guān)系，避免系統(tǒng)因為一個網(wǎng)絡(luò)代理失效而宕機(jī)。網(wǎng)絡(luò)代理之問將形成層次結(jié)構(gòu)，高層的網(wǎng)絡(luò)代理負(fù)責(zé)將檢測結(jié)果匯總上報到控制臺?；诓┺恼撃Ｐ偷娜肭謾z測技術(shù)在物聯(lián)網(wǎng)感知層中，入侵檢測系統(tǒng)不僅需要依靠其自身行為還應(yīng)基于入侵者的行為采取相關(guān)的行動。入侵者和入侵檢測系統(tǒng)之問任一方的策略變化都會有可能導(dǎo)致另一方的策略發(fā)生變化。下圖是一個基于博弈論的物聯(lián)網(wǎng)入侵檢測基本模型?；诓┺恼摰娜肭謾z測架構(gòu)基于博弈論模型的入侵檢測技術(shù)分布部署在感知層網(wǎng)絡(luò)終端上的入侵檢測器會使用某種檢測手段審計網(wǎng)絡(luò)數(shù)據(jù)以區(qū)別正常數(shù)據(jù)和攻擊數(shù)據(jù)，將檢測到的入侵?jǐn)?shù)據(jù)過濾簡化匯總成數(shù)據(jù)報告提交給博弈模型。博弈模型通過模擬攻防雙方的互動行為并比對權(quán)衡檢測結(jié)果和檢測效率，從而得出理論上的納什均衡，IDS決策中心依據(jù)此均衡結(jié)果做出合理正確的響應(yīng)策略?；跈C(jī)器學(xué)習(xí)的入侵檢測技術(shù)

通過機(jī)器學(xué)習(xí)的方式實(shí)現(xiàn)入侵檢測，其主要方法有歸納學(xué)習(xí)，分析學(xué)習(xí)，類比學(xué)習(xí)，遺傳算法等。遺傳算法擅長解決的問題是全局最優(yōu)化問題，能夠跳出局部最優(yōu)而找到全局最優(yōu)點(diǎn)。而且遺傳算法允許使用非常復(fù)雜的適應(yīng)度函數(shù)(或者叫做目標(biāo)函數(shù))，并對變量的變化范圍可以加以限制。在無確定規(guī)則的指導(dǎo)下，能自適應(yīng)的對搜索方向進(jìn)行調(diào)整。遺傳算法可按如下步驟進(jìn)行:Page

13設(shè)置最大進(jìn)化代數(shù)和初始進(jìn)化代數(shù)，選擇一定數(shù)量個體作為初始種群以比例原則（分?jǐn)?shù)高的挑中機(jī)率也較高）選擇產(chǎn)生下一個種群（輪盤法競爭）。挑分?jǐn)?shù)最高的原因是這么做可能收斂到局部的最佳點(diǎn)，而非整體。評價種群中的個體適應(yīng)度將進(jìn)化過程結(jié)束后得到的適應(yīng)度最高的個體輸出，計算完成初始化個體評價選擇運(yùn)算交叉和終止運(yùn)算通過交叉和變異改變種群基于機(jī)器學(xué)習(xí)的入侵檢測技術(shù)基于機(jī)器學(xué)習(xí)的入侵檢測技術(shù)

遺傳算法只需要對少數(shù)結(jié)構(gòu)進(jìn)行搜索，加上群體的適應(yīng)度等信息，通過選擇，交叉和變異，可以很快找到良好的解，即使解空問比較復(fù)雜。這樣在網(wǎng)絡(luò)層紛繁復(fù)雜的信息中可以及時分辨出入侵攻擊信息?；谪惾~斯推理的入侵檢測技術(shù)貝葉斯推理是由英國牧師貝葉斯發(fā)現(xiàn)的一種歸納推理方法，作為一種推理方法，貝葉斯推理是從概率論中的貝葉斯定理擴(kuò)充而來。貝葉斯定理斷定:已知一個事件集Bi(i=1,2,...k)中每一Bi的概率P(Bi)，又知在Bi已發(fā)生的條件下事件A的條件概率(逆概率)P(A|Bi），就可以得出在給定A發(fā)生的條件下任何Bi發(fā)生的條件概率P(Bi|A)，即：基于貝葉斯推理的入侵檢測技術(shù)

我們可以選取網(wǎng)絡(luò)系統(tǒng)中不同方面的特征值(如網(wǎng)絡(luò)中的異常請求數(shù)量或者系統(tǒng)中出錯的數(shù)量)，用Bi表示。通過測量網(wǎng)絡(luò)系統(tǒng)中不同時刻的Bi變量值，設(shè)定Bi變量有兩個值，1表示異常，0表示正常。事件A用來表示系統(tǒng)正在受到攻擊入侵。每個變量Bi的可靠性和敏感性表示為P(Bi=1|A)和 ，那么在測定Bi值的情況下，由貝葉斯定理可以得出A的可信度為:基于貝葉斯推理的入侵檢測技術(shù)其中要求給出A和-A的聯(lián)合概率分布，然后設(shè)定每個測量值Bi僅與A相關(guān)，并且與其他的測量值Bj無關(guān)，其中i不等于j，則有：

基于貝葉斯推理的入侵檢測技術(shù)據(jù)上所述，依據(jù)各種異常檢測的值、入侵的先驗概率以及入侵時每種測量值的異常概率，能夠判斷出入侵攻擊的概率。為了檢測結(jié)果的準(zhǔn)確性，還需要考慮各個異常測量值Bi之間的獨(dú)立性，此時可以通過網(wǎng)絡(luò)層中不同特征值的相關(guān)性分析，確定各個異常變量與入侵攻擊的關(guān)系。Page

19入侵檢測技術(shù)總結(jié)上面講了四種入侵檢測技術(shù)，其中，基于多代理的入侵檢測技術(shù)由于其具有的自治性和移動性的特點(diǎn)，可以良好地應(yīng)用于物聯(lián)網(wǎng)感知層，與網(wǎng)絡(luò)終端結(jié)合。通過終端上的主機(jī)代理與檢測代理，對感知層終端運(yùn)行情況進(jìn)行監(jiān)測，從而起到對針對終端節(jié)點(diǎn)的挾持攻擊的監(jiān)控和預(yù)防作用?；诓┺恼撃Ｐ偷娜肭謾z測技術(shù)通過部署在網(wǎng)絡(luò)層的檢測終端收集并區(qū)分正常數(shù)據(jù)與攻擊數(shù)據(jù)，并交給博弈模型進(jìn)行權(quán)衡，得出合理的相應(yīng)策略。基于貝葉斯推理的入侵檢測技術(shù)通過對網(wǎng)絡(luò)層中不同的特征值的相關(guān)性分析，判斷異常變量與入侵行為之間的關(guān)系。基于機(jī)器學(xué)習(xí)的入侵檢測技術(shù)通過抓取網(wǎng)絡(luò)層中的網(wǎng)絡(luò)信息，通過機(jī)器學(xué)習(xí)檢測入侵行為，并且能夠提供良好地自適應(yīng)能力。參考文獻(xiàn)[1]左軍.物聯(lián)網(wǎng)中重復(fù)博弈論入侵檢測模型[J].重慶大學(xué)學(xué)報,2014,06:90-96.[2]張馨,袁玉宇.入侵檢測技術(shù)在物聯(lián)網(wǎng)中的應(yīng)用研究[J].軟件,2012,11:160-164.[3]張劍鋒.物聯(lián)無線傳感網(wǎng)入侵檢測技術(shù)的研究[J].數(shù)字技術(shù)與應(yīng)用,2014,11:193-194.[4]楊庚,許建,陳偉,祁正華,王海勇.物聯(lián)網(wǎng)安全特征與關(guān)鍵技術(shù)[J].南京郵電大學(xué)學(xué)報(自然科學(xué)版),2010,04:20-29.[5]李冠廣.基于貝葉斯網(wǎng)絡(luò)的入侵檢測[D]