物联网入侵 检测技术学科介绍课程讲述.pptVIP

入侵检测技术在物联网中的应用 物联网的组成 对于物联网的体系架构，目前业界比较公认的是分为三层:采集数据的感知层、传输数据的网络层和内容应用层。这里将简要介绍各层实现的功能并分析各层存在的安全威肋。 Page  5 物联网的组成 感知层 感知层的主要功能是全面感知，即利用RFID(射频识别)、 传感器、二维码等随时随地获取物体的信息。 网络层 网络层的主要功能是实现感知数据和控制信息的 双向传递，通过各种电信网络与互联网的融合， 将物体的信息实时准确地传递出去。 应用层 应用层主要是利用经过分析处理的感知数据， 为用户提供丰富的特定服务。 Page  7 物联网的组成 物联网网络层建立在现有通信网和互联网的基础上，综合使用现有通信技术，实现感知网与通信网的结合。该层的主要工作就是可靠地接收来自感知层的数据，再根据不同的应用需求进行处理。该层主要考虑安全威胁和安全架构问题就可以移植或参考现有的互联网安全研究成果。概括来说，网络层的安全需求有数据的机密性、完整性、攻击的检测与预防等。 应用层就是物联网的社会分工，与具体行业相结合，实现广泛智能化。该层可靠的从网络中接收到信息，通过一些中问件系统进行相应的信息处理和管理等操作。需要说明的一点是，接受到的信息先需要进行判断被识别出有用数据、垃圾数据和恶意数据。应用层所面临的安全挑战首当其冲的就是面对海量数据的识别和处理，处理的平台也可能是分布式的，如何分配与协调并快速有效智能地处理数据也是需要考虑的问题。除此之外，智能的自动处理过程也存在被攻击者绕过或篡改的隐患，一旦自动过程正在被攻击或者已经被攻击而导致灾难，就应该有相应的可控机制以保障能够即时有效的中断并自我保护，能够从灾难中恢复。最后，在个人和商业信息都网络化的时代，还需要对隐私信息建立起相应的安全保护机制。 基于多代理的入侵检测技术 代理Agent是指在给定条件下具有独立逻辑处理能力、可以持续运行的软件实体。Agent具有自治性、移动性，并且Agent之间可以通过相互通信从而协作完成任务。根据物联网的结构特点，我们考虑在感知层应用多代理的入侵检测技术，使入侵检测系统具备减轻网络负载及延时，动态地适应网络变化和进行快速实时反应的优点。 感知层的多代理入侵检测系统由检测代理、主机代理和网络代理等三部分构成。入侵检测系统部署在感知层的多个网络终端上。每一个网络终端上有多个检测代理对本机上发生的事件进行监听。每一个终端上部署一个主机代理，其主要功能是管理相应终端上所有检测代理，负责检查检测代理的运行情况并对检测代理汇报的数据进行过滤处理。在一定的网络纬度内会设置相应的网络代理，主机代理将经过过滤处理后的数据汇报到所在网络范围内的网络代理。主机代理与网络代理之问是多对多的关系，避免系统因为一个网络代理失效而宕机。网络代理之问将形成层次结构，高层的网络代理负责将检测结果汇总上报到控制台。 基于博弈论模型的入侵检测技术 在物联网感知层中，入侵检测系统不仅需要依靠其自身行为还应基于入侵者的行为采取相关的行动。入侵者和入侵检测系统之问任一方的策略变化都会有可能导致另一方的策略发生变化。下图是一个基于博弈论的物联网入侵检测基本模型。 基于博弈论的入侵检测架构 基于博弈论模型的入侵检测技术 分布部署在感知层网络终端上的入侵检测器会使用某种检测手段审计网络数据以区别正常数据和攻击数据，将检测到的入侵数据过滤简化汇总成数据报告提交给博弈模型。博弈模型通过模拟攻防双方的互动行为并比对权衡检测结果和检测效率，从而得出理论上的纳什均衡，IDS决策中心依据此均衡结果做出合理正确的响应策略。 基于机器学习的入侵检测技术 通过机器学习的方式实现入侵检测，其主要方法有归纳学习，分析学习，类比学习，遗传算法等。遗传算法擅长解决的问题是全局最优化问题，能够跳出局部最优而找到全局最优点。而且遗传算法允许使用非常复杂的适应度函数(或者叫做目标函数)，并对变量的变化范围可以加以限制。在无确定规则的指导下，能自适应的对搜索方向进行调整。遗传算法可按如下步骤进行: Page  13 设置最大进化代数和初始进化代数，选择一定数量个体作为初始种群 以比例原则（分数高的挑中机率也较高）选择产生下一个种群（轮盘法竞争）。挑分数最高的原因是这么做可能收敛到局部的最佳点，而非整体。 评价种群中的个体适应度 将进化过程结束后得到的适应度最高的个体输出，计算完成 终止运算 通过交叉和变异改变种群 基于机器学习的入侵检测技术 基于机器学习的入侵检测技术 遗传算法只需要对少数结构进行搜索，加上群体的适应度等信息，通过选择，交叉和变异，可以很快找到良好的解，即使解空问比较复杂。这样在网络层纷繁复杂的信息中可以及时分辨出入侵攻击信息。 基于贝叶斯推理的入侵