专利名称:一种可重构的物联网节点入侵检测方法
技术领域:
本发明涉及物联网及网络安全技术领域,尤其涉及一种可重构的物联网节点入侵检测方法。
背景技术:
入侵检测antrusion Detection)是在网络安全中已经存在的防御概念,是指检测网络中违反安全策略行为的技术,能及时发现并报告系统中未授权或异常的现象,是确保网络系统安全的第二道屏障。有关入侵检测在物联网方面(多数专门针对无线传感器网络)的研究主要包括检测体系和检测算法两部分。检测体系主要包括分离检测体系、对等检测体系和层次化检测。分立检测体系基于邻居节点信息的分布式异常检测结构方案,每个节点对邻居节点维护一个接收缓冲区用来记录报文能量和分组到达速率。遇到匹配外数据,则判断邻居节点异常,广播报警信息,通知基站进行处理。但是该方案不能解决新增节点的问题,且能耗巨大,同时也缺乏对于节点损坏的处理。又如在路径中随机选择节点进行检测的分立检测体系,根据单向hash链表实现数据源身份鉴别防范路由DoS。虽然该方法不依赖公钥加密算法,但初始化和维护工作较复杂。对等检测体系是Perrigy等提出使用μ TESLA协议,添加额外报文加、解密操作保障合作检测的安全传输。以及Strikos等人提出包括数据收集引擎 (data collection engine),^!弓I, (local detection engine),弓 (cooperative detection engine)禾口口向应弓|擎(response engine)的本地检测代理结构 (local detection agent),共同裁决入侵检测结果,都是典型的对等检测体系。层次化检测体系是最后提出也是目前常用的体系方式。Ngai提出一种三层的入侵检测结构,包括普通传感节点,聚合节点和基站。Rajasegarar等人提出基于数据挖掘的分布式异常检测以基站为树根;父节点定期选举产生;子节点周期采样并对数据进行相似分组。父节点和基站分别合并分组信息和汇总。虽然开销小,但实时性比较差。Su等人在2005年提出的分簇式的能量节省入侵检测方案。针对簇头和普通节点分别考虑能耗问题,但其分组划分机制增加乐实施难度和检测准确程度。而后,同一实验室又提出了一种低能耗的混合入侵防御的eHIP算法,这种入侵防御系统中包括了基于身份认证的入侵防护系统和基于协作的入侵检测系统,能够适应不同安全级别的应用需求,但算法设计本身过于复杂,仍然不适合资源有限的无线传感器网络。虽然入侵检测在有线和传统无线自组织网络界已有不少研究成果,但在物联网方面由于其特殊性,整体还处于初级的研究阶段。近几年的研究多集中于针对某一种或几种攻击而进行的特定方法上。例如Loo提出的针对路由拒绝服务攻击的方法,使用聚类进行检索,虽然对未知攻击有一定的检测敏感度,但需要大量数据样本3eng 提出的基于免疫的检测方法具有已知和未知攻击双重检测能力,但缺乏防误判激励,导致误报率高;Doumit提出将自然界中观察到的多个复杂的现象总结抽象成为简单的物理定则,使用隐式马尔可夫模型来检测可能出现的异常。但该算法过于理论化。针对选择性路由转发的攻击类型的三种主要的算法使用“区间规则”、使用预先特定声明,以及使用检测包丢失率,均存在一定的复杂度和实时性的问题。另外,还有基于游戏模型的博弈理论算法、 基于分布式的贝叶斯算法、以及基于边缘区域的算法等。虽然关于物联网入侵检测体系和算法的研究已经开始受到重视,但多数研究成果过于理论化,且主要针对的是来自外部的入侵行为,而对节点自身的感知数据的采集、运算、传输的安全性没有进行考虑,另外在灵活性和实时性方面也有所欠缺。特别是对于在一个物联网终端节点上连接多个感知传感器之后,针对内外部结合的入侵特殊性和实用性的研究还未见报道。因此,亟需能够解决现在存在的算法复杂、实时性弱、误报率偏高、检测片面等问题的新型入侵检测策略。另外,现有的物联网入侵检测系统多数移植了互联网的解决思想,检测手段主要集中在软件层面,而没有关注物联网有别于互联网的安全隐患主要在于感知源的不可信和易攻击。
发明内容
针对现有技术中存在的上述问题,本发明提供了一种可重构的物联网节点入侵检测方法。本发明提供了一种可重构的物联网节点入侵检测方法,包括步骤1,在数据融合过程中根据逻辑运算关系建立信息流逻辑关系,并根据信息流逻辑关系形成入侵检测引擎;步骤2,进行入侵检测引擎多阈值扫描,超过阈值的传感器节点设置标签数据源;步骤3,设置标签数据源的传感器节点进行逻辑运算,如果根据运算结果判定设置标签数据源的传感器节点有影响,则设置标签数据源的传感器节点停止发送来自该设置标签数据源的传感器节点的数据,否则继续发送来自该设置标签数据源的传感器节点的数据。在一个示例中,步骤2中,还进行信任度判别。在一个示例中,步骤1中,先判定融合逻辑是否变化,如果是,则在数据融合过程中根据逻辑运算关系建立阴影逻辑,并根据阴影逻辑形成入侵检测引擎,否则直接执行步马聚2 ο在一个示例中,步骤3中,如果根据逻辑运算结果判定设置标签数据源的传感器节点有影响,设置标签数据源的传感器节点还降低该设置标签数据源的传感器节点的信任度。本发明提供了一种可重构的物联网节点入侵检测方法,包括步骤1,在路由的基础上建立信息流逻辑关系,并根据信息流逻辑关系分层形成入侵检测引擎;步骤2,进行入侵检测引擎多阈值扫描,并对超过阈值的传感器节点设置标签,该传感器节点被相邻的簇头覆盖;步骤3,对设置标签的传感器节点进行逻辑运算,如果根据运算结果判定设置标签的传感器节点有影响,则隔离该设置标签的传感器节点,否则继续发送来自该设置标签的传感器节点的数据。在一个示例中,步骤2中,还进行信任度判别。在一个示例中,步骤1中,先判定拓扑或者逻辑是否变化,如果是,则在路由的基3/6页
础上建立信息流逻辑关系,并根据信息流逻辑关系分层形成入侵检测引擎,否则直接执行步骤2 ο在一个示例中,步骤3中,如果根据逻辑运算结果判定设置标签的传感器节点有影响,还降低设置标签的传感器节点的信任度。在一个示例中,如果根据逻辑运算结果判定设置标签的传感器节点有影响,还上报该设置标签的传感器节点。本发明利用可编程逻辑器件的重构特性和多源融合物联网的特点,对物联网节点的硬件级信息流进行安全监控,有助于入侵攻击的定位和隔离,同时能够减少能耗,提高物联网现有入侵检测系统的灵活性和实时性。
下面结合附图来对本发明作进一步详细说明,其中图Ia是二输入AND门;图Ib是加入了跟踪标签的阴影逻辑;图Ic是阴影逻辑的真值表;图2是多源接入的终端节点上的入侵检测方法流程;图3是可重构门级入侵检测机制示例;图4是可重构物联网节点入侵检测流程图。
具体实施例方式本发明建立一种可重构的物联网入侵检测方法,其中使用了门级硬件信息追踪技术(gate level information flow tracking, GLIFT)建立可重构的安全“热点”追踪。其基本原理如下设原始逻辑为/= / (4 Λ,..., A, , ,.. Λ)对每个变量(An和算一个变量)加入一个跟踪标签知,已证明必定有一个阴影逻辑(shadow logic)能够指示该逻辑的结果是否被标签标注(设被标注值为1,否则为0), 其表达式为图Ia为一个二输入AND门的范例,图Ib阴影的图形所表示的即为加入跟踪标签 \,bt的阴影逻辑,其真值表如图Ic所示,其中0表示原逻辑输出值,Ot表示标注值,可以看到行4中,即使两个输入值都为0,但都被标签,则结果的0也是被标签的。在实际应用中,一般给被怀疑的输入变量设置标签。根据推算,可得到所有逻辑组成的基本单元N输入的AND门,OR门和M)R门的阴影逻辑表达式如下说
权利要求
1.一种可重构的物联网节点入侵检测方法,其特征在于,包括步骤1,在数据融合过程中根据逻辑运算关系建立信息流逻辑关系,并根据信息流逻辑关系形成入侵检测引擎;步骤2,进行入侵检测引擎多阈值扫描,超过阈值的传感器节点设置标签数据源;步骤3,设置标签数据源的传感器节点进行逻辑运算,如果根据运算结果判定设置的标签数据源对传感器节点有影响,则设置标签数据源的传感器节点停止发送来自该设置标签数据源的传感器节点的数据,否则继续发送来自该设置标签数据源的传感器节点的数据。
2.如权利要求1所述的可重构的物联网节点入侵检测方法,其特征在于,步骤2中,还进行信任度判别。
3.如权利要求1所述的可重构的物联网节点入侵检测方法,其特征在于,步骤1中,先判定融合逻辑是否变化,如果是,则在数据融合过程中根据逻辑运算关系建立阴影逻辑,并根据阴影逻辑形成入侵检测引擎,否则直接执行步骤2。
4.如权利要求2所述的可重构的物联网节点入侵检测方法,其特征在于,步骤3中,如果根据逻辑运算结果判定设置标签数据源的传感器节点有影响,设置标签数据源的传感器节点还降低该设置标签数据源的传感器节点的信任度。
5.一种可重构的物联网节点入侵检测方法,其特征在于,包括步骤1,在路由的基础上建立信息流逻辑关系,并根据信息流逻辑关系分层形成入侵检测引擎;步骤2,进行入侵检测引擎多阈值扫描,并对超过阈值的传感器节点设置标签,该传感器节点被相邻的簇头覆盖;步骤3,对设置标签的传感器节点进行逻辑运算,如果根据运算结果判定设置标签的传感器节点有影响,则隔离该设置标签的传感器节点,否则继续发送来自该设置标签的传感器节点的数据。
6.如权利要求5所述的可重构的物联网节点入侵检测方法,其特征在于,步骤2中,还进行信任度判别。
7.如权利要求5所述的可重构的物联网节点入侵检测方法,其特征在于,步骤1中,先判定拓扑或者逻辑是否变化,如果是,则在路由的基础上建立信息流逻辑关系,并根据信息流逻辑关系分层形成入侵检测引擎,否则直接执行步骤2。
8.如权利要求6所述的可重构的物联网节点入侵检测方法,其特征在于,步骤3中,如果根据逻辑运算结果判定设置标签的传感器节点有影响,还降低设置标签的传感器节点的信任度。
9.如权利要求6所述的可重构的物联网节点入侵检测方法,其特征在于,如果根据逻辑运算结果判定设置标签的传感器节点有影响,还上报该设置标签的传感器节点。
全文摘要
本发明公开了步骤1,在数据融合过程中根据逻辑运算关系建立信息流逻辑关系,并根据信息流逻辑关系形成入侵检测引擎;步骤2,进行入侵检测引擎多阈值扫描,超过阈值的传感器节点设置标签数据源;步骤3,设置标签数据源的传感器节点进行逻辑运算,如果根据运算结果判定设置的标签数据源对传感器节点有影响,则设置标签数据源的传感器节点停止发送来自该设置标签数据源的传感器节点的数据,否则继续发送来自该设置标签数据源的传感器节点的数据。本发明利用可编程逻辑器件的重构特性和多源融合物联网的特点,对物联网节点的硬件级信息流进行安全监控,有助于入侵攻击的定位和隔离,提高物联网现有入侵检测系统的灵活性和实时性。
文档编号H04L29/06GK102420824SQ20111039113
公开日2012年4月18日 申请日期2011年11月30日 优先权日2011年11月30日
发明者佟鑫, 李莹, 陈岚 申请人:中国科学院微电子研究所