物联网入侵检测技术

LOGO
基于博弈论模型的入侵检测技术
在物联网感知层中，入侵检测系统不仅需要依靠其自身行为还应基 于入侵者的行为采取相关的行动。入侵者和入侵检测系统之问任一方 的策略变化都会有可能导致另一方的策略发生变化。下图是一个基于 博弈论的物联网入侵检测基本模型。
基于博弈论的入侵检测架构
LOGO
基于博弈论模型的入侵检测技术
P( Bi) P( A | Bi) P( Bi | A) P( B1) P( A | B1) P( B 2) P( A | B 2) ... P( Bn) P( A | Bn)
LOGO

基于贝叶斯推理的入侵检测技术
我们可以选取网络系统中不同方面的特征值(如网络中的异 常请求数量或者系统中出错的数量)，用Bi表示。通过测量 网络系统中不同时刻的Bi变量值，设定Bi变量有两个值，1 表示异常，0表示正常。事件A用来表示系统正在受到攻击 入侵。每个变量Bi的可靠性和敏感性表示为P(Bi=1|A)和 P( Bi 1 | A) ，那么在测定Bi值的情况下，由贝叶 斯定理可以得出A的可信度为:
入侵检测技术
上面讲了四种入侵检测技术，其中，基于多代理的入侵检 测技术由于其具有的自治性和移动性的特点，可以良好地应 用于物联网感知层，与网络终端结合。通过终端上的主机代 理与检测代理，对感知层终端运行情况进行监测，从而起到 对针对终端节点的挟持攻击的监控和预防作用。 基于博弈论模型的入侵检测技术通过部署在网络层的检测 终端收集并区分正常数据与攻击数据，并交给博弈模型进行 权衡，得出合理的相应策略。 基于贝叶斯推理的入侵检测技术通过对网络层中不同的特 征值的相关性分析，判断异常变量与入侵行为之间的关系。 基于机器学习的入侵检测技术通过抓取网络层中的网络信 息，通过机器学习检测入侵行为，并且能够提供良好地自适 应能力。
LOGO
引言
入侵行为主要指任何试图破坏目标资源完整性、机密性和
可访问性的动作，是物联网安全防范研究所针对的主要方 面。传统的安全防御机制，如加密、身份认证等，相对比 较被动，不论如何升级更新，总会被入侵者找到其漏洞进 行攻击。入侵检测是近年来出现的一种较新的安全防御技 术，可以相对主动地为网络进行安全检测并采取相应的措 施，从而在很大程度上弥补了传统安全防御技术的小足。
P( B1, B2, B3,...,Bn | A) P( A) P( A | B1, B 2, B3,...,Bn) P( B1, B 2, B3,...,Bn)
LOGO
基于贝叶斯推理的入侵检测技术
其中要求给出A和-A的联合概率分布，然后设定每个测量值Bi仅与A 相关，并且与其他的测量值Bj无关，其中i不等于j，则有：
入侵检测技术在物联网中的应用
引言
随着物联网的研究与应用越来越受到广泛的关注，物联 网的安全问题也日益凸显。由于物联网的应用将会涉及到 军事、民生、工商业等各个领域，其网络安全的重要性不 言而喻。一旦发生例如病毒破坏，黑客入侵，恶意代码攻 击等问题，所造成的危害及损失也将会比传统网络上的类 似情况范围更广，影响更大。而物联网又是在传统的计算 机网络、无线传感网、移动通讯网等网络的基础上建设而 来的，由于这些网络本身所固有的安全漏洞和脆弱性，使 得物联网的网络信息安全也面临着不小的挑战。因此，物 联网安全防范技术的研究显得尤为重要。
分布部署在感知层网络终端上的入侵检测器会使用某种检测手段审计 网络数据以区别正常数据和攻击数据，将检测到的入侵数据过滤简化 汇总成数据报告提交给博弈模型。博弈模型通过模拟攻防双方的互动 行为并比对权衡检测结果和检测效率，从而得出理论上的纳什均衡， IDS决策中心依据此均衡结果做出合理正确的响应策略。
P ( B1, B 2, B3,...,Bn | A) P ( Bi | A)
i 1
n
P ( B1, B 2, B3,...,Bn | A) P ( Bi | A)
i 1
n
从而得到 P( A)i P( Bi | A) P ( A | B1, B 2, B3,...,Bn) P (A | B1, B 2, B3,...,Bn) P(A)n P( Bi | A) i
LOGO
LOGO
Page 19
参考文献
[1]左军. 物联网中重复博弈论入侵检测模型[J]. 重庆大学学报 ,2014,06:90-96. [2]张馨,袁玉宇. 入侵检测技术在物联网中的应用研究[J]. 软件 ,2012,11:160-164. [3]张剑锋. 物联无线传感网入侵检测技术的研究[J]. 数字技术与应用 ,2014,11:193-194. [4]杨庚,许建,陈伟,祁正华,王海勇. 物联网安全特征与关键技术[J]. 南 京邮电大学学报(自然科学版),2010,04:20-29. [5]李冠广. 基于贝叶斯网络的入侵检测[D].大连理工大学,2010. [6]Lu-ping, Zhou,Bing-rong, Li. The study on the Intrusion Detection Algorithm Analysis using the Improved Genetic Optimized Neural Network[J]. Journal of Convergence Information Technology,2013,85:.
n
LOGO
基于贝叶斯推理的入侵检测技术
据上所述，依据各种异常检测的值、入侵的先验概率以 及入侵时每种测量值的异常概率，能够判断出入侵攻击的 概率。为了检测结果的准确性，还需要考虑各个异常测量 值Bi之间的独立性，此时可以通过网络层中不同特征值的 相关性分析，确定各个异常变量与入侵攻击的关系。
LOGO
LOGO
Page 13
评价种群中的个体 适应度
通过交叉和变异改 变种群
基于机器学习的入侵检测技术

遗传算法只需要对少数结构进行搜索，加上群体 的适应度等信息，通过选择，交叉和变异，可以 很快找到良好的解，即使解空问比较复杂。这样 在网络层纷繁复杂的信息中可以及时分辨出入侵 攻击信息。
LOGO
基于贝叶斯推理的入侵检测技术
LOGO
基于机器学习的入侵检测技术
通过机器学习的方式实现入侵检测，其主要方法有归纳学习，分析 学习，类比学习，遗传算法等。遗传算法擅长解决的问题是全局最优 化问题，能够跳出局部最优而找到全局最优点。而且遗传算法允许使 用非常复杂的适应度函数(或者叫做目标函数)，并对变量的变化范围 可以加以限制。在无确定规则的指导下，能自适应的对搜索方向进行 调整。遗传算法可按如下步骤进行:
贝叶斯推理是由英国牧师贝叶斯发现的一种归纳推理方法，作为一 种推理方法，贝叶斯推理是从概率论中的贝叶斯定理扩充而来。贝 叶斯定理断定:已知一个事件集Bi (i=1,2,...k)中每一Bi的概率P(Bi)， 又知在Bi已发生的条件下事件A的条件概率(逆概率)P(A|Bi），就可 以得出在给定A发生的条件下任何Bi发生的条件概率P(Bi|A)，即：
Baidu NhomakorabeaLOGO
基于机器学习的入侵检测技术
设置最大进化代数 和初始进化代数， 选择一定数量个体 作为初始种群
以比例原则（分数高的挑中 机率也较高）选择产生下一 个种群（轮盘法竞争）。挑 分数最高的原因是这么做可 能收敛到局部的最佳点，而 非整体。
终止运算
将进化过程结束后 得到的适应度最高 的个体输出，计算 完成
LOGO
物联网的组成
对于物联网的体系架构，目前业界比较公认的是分为三
层:采集数据的感知层、传输数据的网络层和内容应用层 。这里将简要介绍各层实现的功能并分析各层存在的安全 威肋。
LOGO
物联网的组成
感知层
感知层的主要功能是全面感知，即利用RFID(射频识别)、 传感器、二维码等随时随地获取物体的信息。 网络层的主要功能是实现感知数据和控制信息的 双向传递，通过各种电信网络与互联网的融合， 将物体的信息实时准确地传递出去。
LOGO
Page 6
物联网的组成
物联网网络层建立在现有通信网和互联网的基础上，综合使用现有通信技 术，实现感知网与通信网的结合。该层的主要工作就是可靠地接收来自感 知层的数据，再根据不同的应用需求进行处理。该层主要考虑安全威胁和 安全架构问题就可以移植或参考现有的互联网安全研究成果。概括来说， 网络层的安全需求有数据的机密性、完整性、攻击的检测与预防等。 应用层就是物联网的社会分工，与具体行业相结合，实现广泛智能化。该 层可靠的从网络中接收到信息，通过一些中问件系统进行相应的信息处理 和管理等操作。需要说明的一点是，接受到的信息先需要进行判断被识别 出有用数据、垃圾数据和恶意数据。应用层所面临的安全挑战首当其冲的 就是面对海量数据的识别和处理，处理的平台也可能是分布式的，如何分 配与协调并快速有效智能地处理数据也是需要考虑的问题。除此之外，智 能的自动处理过程也存在被攻击者绕过或篡改的隐患，一旦自动过程正在 被攻击或者已经被攻击而导致灾难，就应该有相应的可控机制以保障能够 即时有效的中断并自我保护，能够从灾难中恢复。最后，在个人和商业信 息都网络化的时代，还需要对隐私信息建立起相应的安全保护机制。
网络层
应用层
应用层主要是利用经过分析处理的感知数据， 为用户提供丰富的特定服务。
LOGO
Page 5
物联网的组成
感知层是物联网发展和应用的基础，该层包括采集数据的传感 器末端设备，以及数据接入互联网网管之前的传感网络。感知层 遭受攻击通常情况下是感知层的节点遭受挟持，包括普通节点和 网关节点。就普通节点而言，一旦被攻击者控制，所面临的安全 隐患不仅仅是信息被窃取，攻击者还可以对物品上的电子标签进 行控制，比如电路中断，时钟失效等就可以造成物理标签的暂时 性或永久性失效。这种类型的攻击就可以使合法的普通节点无法 被识别，导致得不到相应的服务。攻击者甚至还可以将节点上被 操控的标签和物品分离，并关联到别的物体上。而网关节点同样 存在被恶意操控的隐患，攻击者一旦达到这个目的，就可以广播 大量干扰信号以对网络造成持续性的拥塞。此外，物联网要实现 的是任意时问任意地点的物物连接，感知网最终还是要接入互联 网，这样一来就不可避免的会遭受到来自互联网的攻击，比较常 见的就是非法访问和拒绝服务攻击。由于传感网的节点一般结构 单一、资源较小且携带能源较低，容易遭受攻击导致节点崩溃甚 至传感网瘫痪。
LOGO
Page 7
入侵检测技术
面对物联网中存在的安全威胁，有效的入侵检测技术必须要具有简单性、实 时性和检测准确性。下面主要介绍一下目前应用物联网的入侵检测技术。
LOGO
基于多代理的入侵检测技术
代理Agent是指在给定条件下具有独立逻辑处理能力、可以持续运行 的软件实体。Agent具有自治性、移动性，并且Agent之间可以通过 相互通信从而协作完成任务。根据物联网的结构特点，我们考虑在感 知层应用多代理的入侵检测技术，使入侵检测系统具备减轻网络负载 及延时，动态地适应网络变化和进行快速实时反应的优点。 感知层的多代理入侵检测系统由检测代理、主机代理和网络代 理等三部分构成。入侵检测系统部署在感知层的多个网络终端上。每 一个网络终端上有多个检测代理对本机上发生的事件进行监听。每一 个终端上部署一个主机代理，其主要功能是管理相应终端上所有检测 代理，负责检查检测代理的运行情况并对检测代理汇报的数据进行过 滤处理。在一定的网络纬度内会设置相应的网络代理，主机代理将经 过过滤处理后的数据汇报到所在网络范围内的网络代理。主机代理与 网络代理之问是多对多的关系，避免系统因为一个网络代理失效而宕 机。网络代理之问将形成层次结构，高层的网络代理负责将检测结果 汇总上报到控制台。