物联网安全技术第9章 物联网的入侵检测.pptVIP

* 9.3 典型入侵检测模型与算法 模式匹配与统计分析入侵检测模型 基于统计分析的异常检测与基于模式匹配的误用检测相结合的(Pattern Matching and Statistical Analysis Intrusion Detection System, MAIDS)模型，减少了仅使用单个入侵检测技术时的漏报率与误报率，其结构如下图所示。 * 9.3 典型入侵检测模型与算法 MADIS主要有以下几个部分组成:探测器、中心控制服务器、异常检测服务器、特征检测服务器。 探测器 探测器负责收集系统的审计数据，并将数据处理成适当的格式提交给中心控制服务器； 中心控制服务器 是系统的控制台，可以配置整个系统信息，接受审计数据，控制系统行为，处理后传送给基于签名的检测服务器，接受特征检测服务器与异常检测器的分析结果，对审计数据做出判断，若发现异常则报警； * 9.3 典型入侵检测模型与算法 特征检测服务器 包含模式匹配器、攻击特征库与正常特征库，模式匹配器将审计数据与两个特征库通过匹配算法匹配，判断审计数据是否与其中一个特征库符合，从而判断该行为是否异常； 异常检测服务器 包括轮廓引擎与异常检测器，它对审计数据进行分析，判断该行为与正常行为轮廓是否匹配，若不匹配则报警。 * 9.3 典型入侵检测模型与算法 基于博弈论的入侵检测模型 分布在网络中的入侵检测器采用某种检测手段审计网络数据，检测入侵，并提交检测结果。然后博弈模型模拟攻防双方的互动行为， 并权衡来自入侵检测器的检测结果和其检测效率，得出纳什均衡以辅助IDS 做出合理正确的响应策略。 * 9.3 典型入侵检测模型与算法 基于贝叶斯推理的入侵检测算法 选取网络系统中不同方面的特征值(如网络中的异常请求数量或者系统中出错的数量)，用Bi表示。事件A用来表示系统正在受到攻击入侵。那么在测定了每个 值的情况下，由贝叶斯定理可以得出A的可信度为： 设定变量Bi有两个值，1表示异常，0表示正常; Bi的可靠性和敏感性表示为 * 9.3 典型入侵检测模型与算法 判断出入侵攻击的概率： 式中： 为了检测结果的准确性，还需要考虑各个异常测量值之间的独立性，此时可以通过网络层中不同特征值的相关性分析，确定各个异常变量与入侵攻击的关系。 * 第九章 物联网的入侵检测 9.1 物联网入侵检测概述 9.2 入侵检测系统分类 9.3 典型入侵检测模型与算法 9.4 基于SRARMA的DoS攻击检测技术 * 9.4 基于SRARMA的DoS攻击检测技术 系统结构设计 基于SRARMA的DoS攻击检测方案，从整个无线传感器网络的角度看来，处于网络的过程监控层与现场设备层。 通过部署独立于网络的协议分析设备，监听网络中无线信号的通信状况，同时捕获网络中的通信数据，传送至检测主机对网络运行状态进行安全检测。 * * * * * * * * * * * * * 物联网安全技术 普通高等教育 物联网工程类规划教材 * 第九章 物联网的入侵检测 9.1 物联网入侵检测概述 9.2 入侵检测系统分类 9.3 典型入侵检测模型与算法 9.4 基于SRARMA的DoS攻击检测技术 * 9.1 物联网入侵检测概述 概述 入侵检测系统(Intrusion Detection Systems, IDS)是一种网络安全系统，当有恶意攻击者企图通过网络进入物联网系统时，IDS能够检测出来，并进行报警，通知网络管理者采取相应的措施进行响应。 基本原理 入侵检测系统的基本原理如下图所示，主要分为4个阶段：数据收集、数据处理、数据分析和响应处理。 9.1 物联网入侵检测概述 1.数据收集 数据收集是入侵检测的基础，通过不同途径采集的数据，需要采用不同的方法进行分析。 2.数据处理 为了进行全面的、进一步的分析，需要从原始数据中去除冗余、噪声，并进行格式化及标准化处理。 9.1 物联网入侵检测概述 3.数据分析 经过数据处理阶段所得到的数据，需要对其进行分析，通过采集统计、智能算法等方法分析经过处理的数据，检查数据是否存在异常现象。 4.输出响应 当发现或者怀疑存在入侵者时，系统需要采取相应的保护措施进行防御。 9.1 物联网入侵检测概述 检测系统的模型 所有的IDS模型都由3个模块组成，它们是信息收集模块、信息分析模块和报警与响应模块。 9.1 物联网入侵