專利名稱:一種可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及物聯(lián)網(wǎng)及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�,尤其涉及一種可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法。
背景技術(shù):
入侵檢測antrusion Detection)是在網(wǎng)絡(luò)安全中已經(jīng)存在的防御概念�����,是指檢測網(wǎng)絡(luò)中違反安全策略行為的技術(shù)����,能及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常的現(xiàn)象,是確保網(wǎng)絡(luò)系統(tǒng)安全的第二道屏障��。有關(guān)入侵檢測在物聯(lián)網(wǎng)方面(多數(shù)專門針對無線傳感器網(wǎng)絡(luò))的研究主要包括檢測體系和檢測算法兩部分�。檢測體系主要包括分離檢測體系���、對等檢測體系和層次化檢測。分立檢測體系基于鄰居節(jié)點(diǎn)信息的分布式異常檢測結(jié)構(gòu)方案��,每個(gè)節(jié)點(diǎn)對鄰居節(jié)點(diǎn)維護(hù)一個(gè)接收緩沖區(qū)用來記錄報(bào)文能量和分組到達(dá)速率�。遇到匹配外數(shù)據(jù),則判斷鄰居節(jié)點(diǎn)異常����,廣播報(bào)警信息,通知基站進(jìn)行處理���。但是該方案不能解決新增節(jié)點(diǎn)的問題����,且能耗巨大���,同時(shí)也缺乏對于節(jié)點(diǎn)損壞的處理�。又如在路徑中隨機(jī)選擇節(jié)點(diǎn)進(jìn)行檢測的分立檢測體系�,根據(jù)單向hash鏈表實(shí)現(xiàn)數(shù)據(jù)源身份鑒別防范路由DoS。雖然該方法不依賴公鑰加密算法����,但初始化和維護(hù)工作較復(fù)雜�。對等檢測體系是Perrigy等提出使用μ TESLA協(xié)議��,添加額外報(bào)文加�����、解密操作保障合作檢測的安全傳輸�。以及Strikos等人提出包括數(shù)據(jù)收集引擎 (data collection engine),^!弓I, (local detection engine)����,弓 (cooperative detection engine)禾口口向應(yīng)弓|擎(response engine)的本地檢測代理結(jié)構(gòu) (local detection agent),共同裁決入侵檢測結(jié)果���,都是典型的對等檢測體系。層次化檢測體系是最后提出也是目前常用的體系方式����。Ngai提出一種三層的入侵檢測結(jié)構(gòu),包括普通傳感節(jié)點(diǎn)�����,聚合節(jié)點(diǎn)和基站。Rajasegarar等人提出基于數(shù)據(jù)挖掘的分布式異常檢測以基站為樹根��;父節(jié)點(diǎn)定期選舉產(chǎn)生����;子節(jié)點(diǎn)周期采樣并對數(shù)據(jù)進(jìn)行相似分組。父節(jié)點(diǎn)和基站分別合并分組信息和匯總����。雖然開銷小,但實(shí)時(shí)性比較差����。Su等人在2005年提出的分簇式的能量節(jié)省入侵檢測方案。針對簇頭和普通節(jié)點(diǎn)分別考慮能耗問題��,但其分組劃分機(jī)制增加樂實(shí)施難度和檢測準(zhǔn)確程度�����。而后�����,同一實(shí)驗(yàn)室又提出了一種低能耗的混合入侵防御的eHIP算法�,這種入侵防御系統(tǒng)中包括了基于身份認(rèn)證的入侵防護(hù)系統(tǒng)和基于協(xié)作的入侵檢測系統(tǒng)��,能夠適應(yīng)不同安全級別的應(yīng)用需求�����,但算法設(shè)計(jì)本身過于復(fù)雜�����,仍然不適合資源有限的無線傳感器網(wǎng)絡(luò)�����。雖然入侵檢測在有線和傳統(tǒng)無線自組織網(wǎng)絡(luò)界已有不少研究成果���,但在物聯(lián)網(wǎng)方面由于其特殊性,整體還處于初級的研究階段����。近幾年的研究多集中于針對某一種或幾種攻擊而進(jìn)行的特定方法上。例如Loo提出的針對路由拒絕服務(wù)攻擊的方法��,使用聚類進(jìn)行檢索���,雖然對未知攻擊有一定的檢測敏感度����,但需要大量數(shù)據(jù)樣本3eng 提出的基于免疫的檢測方法具有已知和未知攻擊雙重檢測能力�����,但缺乏防誤判激勵(lì)���,導(dǎo)致誤報(bào)率高���;Doumit提出將自然界中觀察到的多個(gè)復(fù)雜的現(xiàn)象總結(jié)抽象成為簡單的物理定則,使用隱式馬爾可夫模型來檢測可能出現(xiàn)的異常����。但該算法過于理論化。針對選擇性路由轉(zhuǎn)發(fā)的攻擊類型的三種主要的算法使用“區(qū)間規(guī)則”�、使用預(yù)先特定聲明,以及使用檢測包丟失率��,均存在一定的復(fù)雜度和實(shí)時(shí)性的問題���。另外���,還有基于游戲模型的博弈理論算法�����、 基于分布式的貝葉斯算法�、以及基于邊緣區(qū)域的算法等���。雖然關(guān)于物聯(lián)網(wǎng)入侵檢測體系和算法的研究已經(jīng)開始受到重視��,但多數(shù)研究成果過于理論化����,且主要針對的是來自外部的入侵行為�,而對節(jié)點(diǎn)自身的感知數(shù)據(jù)的采集、運(yùn)算���、傳輸?shù)陌踩詻]有進(jìn)行考慮�����,另外在靈活性和實(shí)時(shí)性方面也有所欠缺�����。特別是對于在一個(gè)物聯(lián)網(wǎng)終端節(jié)點(diǎn)上連接多個(gè)感知傳感器之后��,針對內(nèi)外部結(jié)合的入侵特殊性和實(shí)用性的研究還未見報(bào)道�����。因此�,亟需能夠解決現(xiàn)在存在的算法復(fù)雜�����、實(shí)時(shí)性弱����、誤報(bào)率偏高、檢測片面等問題的新型入侵檢測策略�。另外,現(xiàn)有的物聯(lián)網(wǎng)入侵檢測系統(tǒng)多數(shù)移植了互聯(lián)網(wǎng)的解決思想��,檢測手段主要集中在軟件層面���,而沒有關(guān)注物聯(lián)網(wǎng)有別于互聯(lián)網(wǎng)的安全隱患主要在于感知源的不可信和易攻擊�����。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)中存在的上述問題���,本發(fā)明提供了一種可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法���。本發(fā)明提供了一種可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法,包括步驟1����,在數(shù)據(jù)融合過程中根據(jù)邏輯運(yùn)算關(guān)系建立信息流邏輯關(guān)系,并根據(jù)信息流邏輯關(guān)系形成入侵檢測引擎����;步驟2,進(jìn)行入侵檢測引擎多閾值掃描��,超過閾值的傳感器節(jié)點(diǎn)設(shè)置標(biāo)簽數(shù)據(jù)源��;步驟3���,設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)進(jìn)行邏輯運(yùn)算�����,如果根據(jù)運(yùn)算結(jié)果判定設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)有影響���,則設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)停止發(fā)送來自該設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)的數(shù)據(jù)����,否則繼續(xù)發(fā)送來自該設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)的數(shù)據(jù)�。在一個(gè)示例中��,步驟2中��,還進(jìn)行信任度判別�����。在一個(gè)示例中��,步驟1中���,先判定融合邏輯是否變化�,如果是����,則在數(shù)據(jù)融合過程中根據(jù)邏輯運(yùn)算關(guān)系建立陰影邏輯,并根據(jù)陰影邏輯形成入侵檢測引擎�,否則直接執(zhí)行步馬聚2 ο在一個(gè)示例中,步驟3中,如果根據(jù)邏輯運(yùn)算結(jié)果判定設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)有影響��,設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)還降低該設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)的信任度���。本發(fā)明提供了一種可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法�,包括步驟1�����,在路由的基礎(chǔ)上建立信息流邏輯關(guān)系��,并根據(jù)信息流邏輯關(guān)系分層形成入侵檢測引擎�����;步驟2���,進(jìn)行入侵檢測引擎多閾值掃描�,并對超過閾值的傳感器節(jié)點(diǎn)設(shè)置標(biāo)簽��,該傳感器節(jié)點(diǎn)被相鄰的簇頭覆蓋��;步驟3�����,對設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)進(jìn)行邏輯運(yùn)算,如果根據(jù)運(yùn)算結(jié)果判定設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)有影響����,則隔離該設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn),否則繼續(xù)發(fā)送來自該設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)的數(shù)據(jù)����。在一個(gè)示例中�,步驟2中,還進(jìn)行信任度判別���。在一個(gè)示例中�,步驟1中��,先判定拓?fù)浠蛘哌壿嬍欠褡兓?,如果是,則在路由的基3/6頁
礎(chǔ)上建立信息流邏輯關(guān)系���,并根據(jù)信息流邏輯關(guān)系分層形成入侵檢測引擎�,否則直接執(zhí)行步驟2 ο在一個(gè)示例中���,步驟3中���,如果根據(jù)邏輯運(yùn)算結(jié)果判定設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)有影響��,還降低設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)的信任度�����。在一個(gè)示例中�,如果根據(jù)邏輯運(yùn)算結(jié)果判定設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)有影響����,還上報(bào)該設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)。本發(fā)明利用可編程邏輯器件的重構(gòu)特性和多源融合物聯(lián)網(wǎng)的特點(diǎn)��,對物聯(lián)網(wǎng)節(jié)點(diǎn)的硬件級信息流進(jìn)行安全監(jiān)控���,有助于入侵攻擊的定位和隔離�����,同時(shí)能夠減少能耗����,提高物聯(lián)網(wǎng)現(xiàn)有入侵檢測系統(tǒng)的靈活性和實(shí)時(shí)性。
下面結(jié)合附圖來對本發(fā)明作進(jìn)一步詳細(xì)說明���,其中圖Ia是二輸入AND門���;圖Ib是加入了跟蹤標(biāo)簽的陰影邏輯;圖Ic是陰影邏輯的真值表���;圖2是多源接入的終端節(jié)點(diǎn)上的入侵檢測方法流程�;圖3是可重構(gòu)門級入侵檢測機(jī)制示例���;圖4是可重構(gòu)物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測流程圖。
具體實(shí)施例方式本發(fā)明建立一種可重構(gòu)的物聯(lián)網(wǎng)入侵檢測方法�,其中使用了門級硬件信息追蹤技術(shù)(gate level information flow tracking, GLIFT)建立可重構(gòu)的安全“熱點(diǎn)”追蹤。其基本原理如下設(shè)原始邏輯為/= / (4 Λ,..., A�����, ���, �����,.. Λ)對每個(gè)變量(An和算一個(gè)變量)加入一個(gè)跟蹤標(biāo)簽知��,已證明必定有一個(gè)陰影邏輯(shadow logic)能夠指示該邏輯的結(jié)果是否被標(biāo)簽標(biāo)注(設(shè)被標(biāo)注值為1��,否則為0)����, 其表達(dá)式為圖Ia為一個(gè)二輸入AND門的范例,圖Ib陰影的圖形所表示的即為加入跟蹤標(biāo)簽 \����,bt的陰影邏輯,其真值表如圖Ic所示�����,其中0表示原邏輯輸出值��,Ot表示標(biāo)注值���,可以看到行4中���,即使兩個(gè)輸入值都為0,但都被標(biāo)簽���,則結(jié)果的0也是被標(biāo)簽的��。在實(shí)際應(yīng)用中��,一般給被懷疑的輸入變量設(shè)置標(biāo)簽���。根據(jù)推算�����,可得到所有邏輯組成的基本單元N輸入的AND門���,OR門和M)R門的陰影邏輯表達(dá)式如下說
權(quán)利要求
1.一種可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法,其特征在于�,包括步驟1,在數(shù)據(jù)融合過程中根據(jù)邏輯運(yùn)算關(guān)系建立信息流邏輯關(guān)系�,并根據(jù)信息流邏輯關(guān)系形成入侵檢測引擎�;步驟2,進(jìn)行入侵檢測引擎多閾值掃描�,超過閾值的傳感器節(jié)點(diǎn)設(shè)置標(biāo)簽數(shù)據(jù)源;步驟3���,設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)進(jìn)行邏輯運(yùn)算����,如果根據(jù)運(yùn)算結(jié)果判定設(shè)置的標(biāo)簽數(shù)據(jù)源對傳感器節(jié)點(diǎn)有影響,則設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)停止發(fā)送來自該設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)的數(shù)據(jù)���,否則繼續(xù)發(fā)送來自該設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)的數(shù)據(jù)���。
2.如權(quán)利要求1所述的可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法,其特征在于�����,步驟2中�,還進(jìn)行信任度判別。
3.如權(quán)利要求1所述的可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法���,其特征在于����,步驟1中���,先判定融合邏輯是否變化����,如果是,則在數(shù)據(jù)融合過程中根據(jù)邏輯運(yùn)算關(guān)系建立陰影邏輯�,并根據(jù)陰影邏輯形成入侵檢測引擎,否則直接執(zhí)行步驟2�����。
4.如權(quán)利要求2所述的可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法����,其特征在于,步驟3中��,如果根據(jù)邏輯運(yùn)算結(jié)果判定設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)有影響�,設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)還降低該設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)的信任度。
5.一種可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法��,其特征在于�,包括步驟1,在路由的基礎(chǔ)上建立信息流邏輯關(guān)系�����,并根據(jù)信息流邏輯關(guān)系分層形成入侵檢測引擎���;步驟2���,進(jìn)行入侵檢測引擎多閾值掃描,并對超過閾值的傳感器節(jié)點(diǎn)設(shè)置標(biāo)簽��,該傳感器節(jié)點(diǎn)被相鄰的簇頭覆蓋���;步驟3����,對設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)進(jìn)行邏輯運(yùn)算�����,如果根據(jù)運(yùn)算結(jié)果判定設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)有影響�����,則隔離該設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)���,否則繼續(xù)發(fā)送來自該設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)的數(shù)據(jù)�。
6.如權(quán)利要求5所述的可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法����,其特征在于�����,步驟2中����,還進(jìn)行信任度判別��。
7.如權(quán)利要求5所述的可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法����,其特征在于,步驟1中��,先判定拓?fù)浠蛘哌壿嬍欠褡兓?�,如果是�����,則在路由的基礎(chǔ)上建立信息流邏輯關(guān)系����,并根據(jù)信息流邏輯關(guān)系分層形成入侵檢測引擎���,否則直接執(zhí)行步驟2��。
8.如權(quán)利要求6所述的可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法�����,其特征在于�,步驟3中,如果根據(jù)邏輯運(yùn)算結(jié)果判定設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)有影響����,還降低設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)的信任度。
9.如權(quán)利要求6所述的可重構(gòu)的物聯(lián)網(wǎng)節(jié)點(diǎn)入侵檢測方法����,其特征在于,如果根據(jù)邏輯運(yùn)算結(jié)果判定設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)有影響��,還上報(bào)該設(shè)置標(biāo)簽的傳感器節(jié)點(diǎn)��。
全文摘要
本發(fā)明公開了步驟1�����,在數(shù)據(jù)融合過程中根據(jù)邏輯運(yùn)算關(guān)系建立信息流邏輯關(guān)系,并根據(jù)信息流邏輯關(guān)系形成入侵檢測引擎�;步驟2,進(jìn)行入侵檢測引擎多閾值掃描����,超過閾值的傳感器節(jié)點(diǎn)設(shè)置標(biāo)簽數(shù)據(jù)源;步驟3�,設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)進(jìn)行邏輯運(yùn)算,如果根據(jù)運(yùn)算結(jié)果判定設(shè)置的標(biāo)簽數(shù)據(jù)源對傳感器節(jié)點(diǎn)有影響�����,則設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)停止發(fā)送來自該設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)的數(shù)據(jù)���,否則繼續(xù)發(fā)送來自該設(shè)置標(biāo)簽數(shù)據(jù)源的傳感器節(jié)點(diǎn)的數(shù)據(jù)�����。本發(fā)明利用可編程邏輯器件的重構(gòu)特性和多源融合物聯(lián)網(wǎng)的特點(diǎn)����,對物聯(lián)網(wǎng)節(jié)點(diǎn)的硬件級信息流進(jìn)行安全監(jiān)控����,有助于入侵攻擊的定位和隔離��,提高物聯(lián)網(wǎng)現(xiàn)有入侵檢測系統(tǒng)的靈活性和實(shí)時(shí)性�����。
文檔編號H04L29/06GK102420824SQ20111039113
公開日2012年4月18日 申請日期2011年11月30日 優(yōu)先權(quán)日2011年11月30日
發(fā)明者佟鑫, 李瑩, 陳嵐 申請人:中國科學(xué)院微電子研究所