物联网入侵检测技术.ppt

引言 随着物联网的研究与应用越来越受到广泛的关注，物联网的安全问题也日益凸显。由于物联网的应用将会涉及到军事、民生、工商业等各个领域，其网络安全的重要性不言而喻。一旦发生例如病毒破坏，黑客入侵，恶意代码攻击等问题，所造成的危害及损失也将会比传统网络上的类似情况范围更广，影响更大。而物联网又是在传统的计算机网络、无线传感网、移动通讯网等网络的基础上建设而来的，由于这些网络本身所固有的安全漏洞和脆弱性，使得物联网的网络信息安全也面临着不小的挑战。因此，物联网安全防范技术的研究显得尤为重要。 引言 入侵行为主要指任何试图破坏目标资源完整性、机密性和可访问性的动作，是物联网安全防范研究所针对的主要方面。传统的安全防御机制，如加密、身份认证等，相对比较被动，不论如何升级更新，总会被入侵者找到其漏洞进行攻击。入侵检测是近年来出现的一种较新的安全防御技术，可以相对主动地为网络进行安全检测并采取相应的措施，从而在很大程度上弥补了传统安全防御技术的小足。 物联网的组成 对于物联网的体系架构，目前业界比较公认的是分为三层:采集数据的感知层、传输数据的网络层和内容应用层。这里将简要介绍各层实现的功能并分析各层存在的安全威肋。 入侵检测技术 面对物联网中存在的安全威胁，有效的入侵检测技术必须要具有简单性、实时性和检测准确性。下面主要介绍一下目前应用物联网的入侵检测技术。 基于多代理的入侵检测技术 代理Agent是指在给定条件下具有独立逻辑处理能力、可以持续运行的软件实体。Agent具有自治性、移动性，并且Agent之间可以通过相互通信从而协作完成任务。根据物联网的结构特点，我们考虑在感知层应用多代理的入侵检测技术，使入侵检测系统具备减轻网络负载及延时，动态地适应网络变化和进行快速实时反应的优点。 感知层的多代理入侵检测系统由检测代理、主机代理和网络代理等三部分构成。入侵检测系统部署在感知层的多个网络终端上。每一个网络终端上有多个检测代理对本机上发生的事件进行监听。每一个终端上部署一个主机代理，其主要功能是管理相应终端上所有检测代理，负责检查检测代理的运行情况并对检测代理汇报的数据进行过滤处理。在一定的网络纬度内会设置相应的网络代理，主机代理将经过过滤处理后的数据汇报到所在网络范围内的网络代理。主机代理与网络代理之问是多对多的关系，避免系统因为一个网络代理失效而宕机。网络代理之问将形成层次结构，高层的网络代理负责将检测结果汇总上报到控制台。 基于博弈论模型的入侵检测技术 在物联网感知层中，入侵检测系统不仅需要依靠其自身行为还应基于入侵者的行为采取相关的行动。入侵者和入侵检测系统之问任一方的策略变化都会有可能导致另一方的策略发生变化。下图是一个基于博弈论的物联网入侵检测基本模型。 基于博弈论模型的入侵检测技术 分布部署在感知层网络终端上的入侵检测器会使用某种检测手段审计网络数据以区别正常数据和攻击数据，将检测到的入侵数据过滤简化汇总成数据报告提交给博弈模型。博弈模型通过模拟攻防双方的互动行为并比对权衡检测结果和检测效率，从而得出理论上的纳什均衡，IDS决策中心依据此均衡结果做出合理正确的响应策略。 基于机器学习的入侵检测技术 通过机器学习的方式实现入侵检测，其主要方法有归纳学习，分析学习，类比学习，遗传算法等。遗传算法擅长解决的问题是全局最优化问题，能够跳出局部最优而找到全局最优点。而且遗传算法允许使用非常复杂的适应度函数(或者叫做目标函数)，并对变量的变化范围可以加以限制。在无确定规则的指导下，能自适应的对搜索方向进行调整。遗传算法可按如下步骤进行: 基于机器学习的入侵检测技术 遗传算法只需要对少数结构进行搜索，加上群体的适应度等信息，通过选择，交叉和变异，可以很快找到良好的解，即使解空问比较复杂。这样在网络层纷繁复杂的信息中可以及时分辨出入侵攻击信息。 基于贝叶斯推理的入侵检测技术 贝叶斯推理是由英国牧师贝叶斯发现的一种归纳推理方法，作为一种推理方法，贝叶斯推理是从概率论中的贝叶斯定理扩充而来。贝叶斯定理断定:已知一个事件集Bi (i=1,2,...k)中每一Bi的概率P(Bi)，又知在Bi已发生的条件下事件A的条件概率(逆概率)P(A|Bi），就可以得出在给定A发生的条件下任何Bi发生的条件概率P(Bi|A)，即： 基于贝叶斯推理的入侵检测技术 我们可以选取网络系统中不同方面的特征值(如网络中的异常请求数量或者系统中出错的数量)，用Bi表示。通过测量网络系统中不同时刻的Bi变量值，设定Bi变量有两个值，1表示异常，0表示正常。事件A用来表示系统正在受到攻击入侵。每个变量Bi的可靠性和敏感性表示为P(Bi=1|A)和 ，那么在测定Bi值的情况下，由贝叶斯定理可以得出A的可信度为: 基于贝叶斯推理的入