物联网入侵检测技术

入侵检测技术在物联网中的应用

引言

随着物联网的研究与应用越来越受到广泛的关注，物联网的安全问题也日益凸显。由于物联网的应用将会涉及到军事、民生、工商业等各个领域，其网络安全的重要性不言而喻。一旦发生例如病毒破坏，黑客入侵，恶意代码攻击等问题，所造成的危害及损失也将会比传统网络上的类似情况范围更广，影响更大。而物联网又是在传统的计算机网络、无线传感网、移动通讯网等网络的基础上建设而来的，由于这些网络本身所固有的安全漏洞和脆弱性，使得物联网的网络信息安全也面临着不小的挑战。因此，物联网安全防范技术的研究显得尤为重要。引言

入侵行为主要指任何试图破坏目标资源完整性、机密性和可访问性的动作，是物联网安全防范研究所针对的主要方面。传统的安全防御机制，如加密、身份认证等，相对比较被动，不论如何升级更新，总会被入侵者找到其漏洞进行攻击。入侵检测是近年来出现的一种较新的安全防御技术，可以相对主动地为网络进行安全检测并采取相应的措施，从而在很大程度上弥补了传统安全防御技术的小足。物联网的组成

对于物联网的体系架构，目前业界比较公认的是分为三层:采集数据的感知层、传输数据的网络层和内容应用层。这里将简要介绍各层实现的功能并分析各层存在的安全威肋。Page

5物联网的组成感知层感知层的主要功能是全面感知，即利用RFID(射频识别)、传感器、二维码等随时随地获取物体的信息。

网络层网络层的主要功能是实现感知数据和控制信息的双向传递，通过各种电信网络与互联网的融合，将物体的信息实时准确地传递出去。

应用层应用层主要是利用经过分析处理的感知数据，为用户提供丰富的特定服务。

Page

6物联网的组成

感知层是物联网发展和应用的基础，该层包括采集数据的传感器末端设备，以及数据接入互联网网管之前的传感网络。感知层遭受攻击通常情况下是感知层的节点遭受挟持，包括普通节点和网关节点。就普通节点而言，一旦被攻击者控制，所面临的安全隐患不仅仅是信息被窃取，攻击者还可以对物品上的电子标签进行控制，比如电路中断，时钟失效等就可以造成物理标签的暂时性或永久性失效。这种类型的攻击就可以使合法的普通节点无法被识别，导致得不到相应的服务。攻击者甚至还可以将节点上被操控的标签和物品分离，并关联到别的物体上。而网关节点同样存在被恶意操控的隐患，攻击者一旦达到这个目的，就可以广播大量干扰信号以对网络造成持续性的拥塞。此外，物联网要实现的是任意时问任意地点的物物连接，感知网最终还是要接入互联网，这样一来就不可避免的会遭受到来自互联网的攻击，比较常见的就是非法访问和拒绝服务攻击。由于传感网的节点一般结构单一、资源较小且携带能源较低，容易遭受攻击导致节点崩溃甚至传感网瘫痪。感知层Page

7物联网的组成

物联网网络层建立在现有通信网和互联网的基础上，综合使用现有通信技术，实现感知网与通信网的结合。该层的主要工作就是可靠地接收来自感知层的数据，再根据不同的应用需求进行处理。该层主要考虑安全威胁和安全架构问题就可以移植或参考现有的互联网安全研究成果。概括来说，网络层的安全需求有数据的机密性、完整性、攻击的检测与预防等。网络层应用层应用层就是物联网的社会分工，与具体行业相结合，实现广泛智能化。该层可靠的从网络中接收到信息，通过一些中问件系统进行相应的信息处理和管理等操作。需要说明的一点是，接受到的信息先需要进行判断被识别出有用数据、垃圾数据和恶意数据。应用层所面临的安全挑战首当其冲的就是面对海量数据的识别和处理，处理的平台也可能是分布式的，如何分配与协调并快速有效智能地处理数据也是需要考虑的问题。除此之外，智能的自动处理过程也存在被攻击者绕过或篡改的隐患，一旦自动过程正在被攻击或者已经被攻击而导致灾难，就应该有相应的可控机制以保障能够即时有效的中断并自我保护，能够从灾难中恢复。最后，在个人和商业信息都网络化的时代，还需要对隐私信息建立起相应的安全保护机制。入侵检测技术面对物联网中存在的安全威胁，有效的入侵检测技术必须要具有简单性、实时性和检测准确性。下面主要介绍一下目前应用物联网的入侵检测技术。基于多代理的入侵检测技术

代理Agent是指在给定条件下具有独立逻辑处理能力、可以持续运行的软件实体。Agent具有自治性、移动性，并且Agent之间可以通过相互通信从而协作完成任务。根据物联网的结构特点，我们考虑在感知层应用多代理的入侵检测技术，使入侵检测系统具备减轻网络负载及延时，动态地适应网络变化和进行快速实时反应的优点。 感知层的多代理入侵检测系统由检测代理、主机代理和网络代理等三部分构成。入侵检测系统部署在感知层的多个网络终端上。每一个网络终端上有多个检测代理对本机上发生的事件进行监听。每一个终端上部署一个主机代理，其主要功能是管理相应终端上所有检测代理，负责检查检测代理的运行情况并对检测代理汇报的数据进行过滤处理。在一定的网络纬度内会设置相应的网络代理，主机代理将经过过滤处理后的数据汇报到所在网络范围内的网络代理。主机代理与网络代理之问是多对多的关系，避免系统因为一个网络代理失效而宕机。网络代理之问将形成层次结构，高层的网络代理负责将检测结果汇总上报到控制台。基于博弈论模型的入侵检测技术在物联网感知层中，入侵检测系统不仅需要依靠其自身行为还应基于入侵者的行为采取相关的行动。入侵者和入侵检测系统之问任一方的策略变化都会有可能导致另一方的策略发生变化。下图是一个基于博弈论的物联网入侵检测基本模型。基于博弈论的入侵检测架构基于博弈论模型的入侵检测技术分布部署在感知层网络终端上的入侵检测器会使用某种检测手段审计网络数据以区别正常数据和攻击数据，将检测到的入侵数据过滤简化汇总成数据报告提交给博弈模型。博弈模型通过模拟攻防双方的互动行为并比对权衡检测结果和检测效率，从而得出理论上的纳什均衡，IDS决策中心依据此均衡结果做出合理正确的响应策略。基于机器学习的入侵检测技术

通过机器学习的方式实现入侵检测，其主要方法有归纳学习，分析学习，类比学习，遗传算法等。遗传算法擅长解决的问题是全局最优化问题，能够跳出局部最优而找到全局最优点。而且遗传算法允许使用非常复杂的适应度函数(或者叫做目标函数)，并对变量的变化范围可以加以限制。在无确定规则的指导下，能自适应的对搜索方向进行调整。遗传算法可按如下步骤进行:Page

13设置最大进化代数和初始进化代数，选择一定数量个体作为初始种群以比例原则（分数高的挑中机率也较高）选择产生下一个种群（轮盘法竞争）。挑分数最高的原因是这么做可能收敛到局部的最佳点，而非整体。评价种群中的个体适应度将进化过程结束后得到的适应度最高的个体输出，计算完成初始化个体评价选择运算交叉和终止运算通过交叉和变异改变种群基于机器学习的入侵检测技术基于机器学习的入侵检测技术

遗传算法只需要对少数结构进行搜索，加上群体的适应度等信息，通过选择，交叉和变异，可以很快找到良好的解，即使解空问比较复杂。这样在网络层纷繁复杂的信息中可以及时分辨出入侵攻击信息。基于贝叶斯推理的入侵检测技术贝叶斯推理是由英国牧师贝叶斯发现的一种归纳推理方法，作为一种推理方法，贝叶斯推理是从概率论中的贝叶斯定理扩充而来。贝叶斯定理断定:已知一个事件集Bi(i=1,2,...k)中每一Bi的概率P(Bi)，又知在Bi已发生的条件下事件A的条件概率(逆概率)P(A|Bi），就可以得出在给定A发生的条件下任何Bi发生的条件概率P(Bi|A)，即：基于贝叶斯推理的入侵检测技术

我们可以选取网络系统中不同方面的特征值(如网络中的异常请求数量或者系统中出错的数量)，用Bi表示。通过测量网络系统中不同时刻的Bi变量值，设定Bi变量有两个值，1表示异常，0表示正常。事件A用来表示系统正在受到攻击入侵。每个变量Bi的可靠性和敏感性表示为P(Bi=1|A)和 ，那么在测定Bi值的情况下，由贝叶斯定理可以得出A的可信度为:基于贝叶斯推理的入侵检测技术其中要求给出A和-A的联合概率分布，然后设定每个测量值Bi仅与A相关，并且与其他的测量值Bj无关，其中i不等于j，则有：

基于贝叶斯推理的入侵检测技术据上所述，依据各种异常检测的值、入侵的先验概率以及入侵时每种测量值的异常概率，能够判断出入侵攻击的概率。为了检测结果的准确性，还需要考虑各个异常测量值Bi之间的独立性，此时可以通过网络层中不同特征值的相关性分析，确定各个异常变量与入侵攻击的关系。Page

19入侵检测技术总结上面讲了四种入侵检测技术，其中，基于多代理的入侵检测技术由于其具有的自治性和移动性的特点，可以良好地应用于物联网感知层，与网络终端结合。通过终端上的主机代理与检测代理，对感知层终端运行情况进行监测，从而起到对针对终端节点的挟持攻击的监控和预防作用。基于博弈论模型的入侵检测技术通过部署在网络层的检测终端收集并区分正常数据与攻击数据，并交给博弈模型进行权衡，得出合理的相应策略。基于贝叶斯推理的入侵检测技术通过对网络层中不同的特征值的相关性分析，判断异常变量与入侵行为之间的关系。基于机器学习的入侵检测技术通过抓取网络层中的网络信息，通过机器学习检测入侵行为，并且能够提供良好地自适应能力。参考文献[1]左军.物联网中重复博弈论入侵检测模型[J].重庆大学学报,2014,06:90-96.[2]张馨,袁玉宇.入侵检测技术在物联网中的应用研究[J].软件,2012,11:160-164.[3]张剑锋.物联无线传感网入侵检测技术的研究[J].数字技术与应用,2014,11:193-194.[4]杨庚,许建,陈伟,祁正华,王海勇.物联网安全特征与关键技术[J].南京邮电大学学报(自然科学版),2010,04:20-29.[5]李冠广.基于贝叶斯网络的入侵检测[D]