专利名称:基于分层入侵检测的传感网安全系统的制作方法
技术领域:
本发明涉及无线传感网安全技术领域,特别是一种分层入侵检测的安全系统。
背景技术:
无线技术的飞速发展和日渐成熟,极大地改善了人们的生活质量,加快了社会发展的进程,也使信息共享及应用更加广泛和深入。无线传感网技术扩展了用户的自由度,具有网络结构方便、灵活、经济等特点,成为多个应用领域中迅速发展的热点技术之一,引领智能系统未来的发展方向。然而,这种自由同时也带来了新的挑战,安全问题已经成为制约无线网络技术应用普及的ー个主要障碍。由于Internet本身安全机制较为脆弱,无线网络传输介质固有的开放性和移动设备存储资源及计算资源的局限性,特别是在エ业现场恶劣的环境中,不仅要面对有线网络环境下的所有安全威胁,而且还要面对新出现的专门针对エ业无线环境的安全威胁。在无线网络中,数据传输是利用微波在空气中进行辐射传播,攻击者可以通过入侵网络,无线接入点所覆盖的任何位置,侦听、拦截、重放、破坏用户的通讯数据。在这些攻击中入侵攻击是ー种最常见的、危害性最大的ー种攻击。入侵攻击(Intrusion Attacks)包括拒绝服务攻击、泛洪攻击、Sybil攻击、Sinkhole攻击等。攻击者通过发送ー个或多个报文,一方面可欺骗、改变路由信息,从而达到欺骗系统的目的,如选择重传攻击,Sybil攻击,Sinkhole攻击等,另ー方面通过发送大量报文占用接收系统的资源,使系统的可用性受到损害,使整个网络混乱,如重放攻击,拒绝服务攻击、泛洪攻击等。这些攻击危害性极大,入侵检测技术是传感网安全技术的关键组成部分。无线传感网的入侵检测能力将直接影响整个网络总体上的信息安全、能量高效、容侵容错和高可用性等目标的实现,也将直接影响到传感网应用的安全性和可用性。目前传感网对于入侵检测的研究主要是针对传感网协议本身,而对入侵攻击与传感器节点能耗的内在关系,从网络流量预测和分析入侵攻击与等方面确很少涉及。入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机入侵检测系统和基于网络的入侵检测系统,根据检测方法又可分为异常入侵检测和误用入侵检測。误用入侵检测也称基于规则的入侵检测,它提取各类攻击的模式特征形成规则库,以便与值得怀疑的行为进行比较从而检测出攻击。显然,它仅能识别已知的攻击行为,对于规则库中没有的攻击或已有攻击的变种均无法识别,因此,存在一定的漏报。异常入侵检测也称基于行为或基于统计的入侵检测,它用于识别主机或网络中的与正常活动差异较大的异常行为,这种检测首先手机一定时期内的系统正常操作行为的历史数据,检测时将所获得的行为数据与正常的行为模式相比较,根据差异大小决定当前系统的行为是否异常,当这个差异定得不合适时,很可能将ー个正常行为误认为是入侵行为,存在一定的误判。现有的ー些方法,大都以简化边界条件为前提,没有考虑到无线传感网应用场合及复杂应用环境下,传感网节点的休眠机制会严重制约本地入侵检测的部署,使得网络中的入侵攻击的可能性高,潜藏着巨大的安全风险和安全隐患。这些研究试图将有线网络中的机制直接应用于无线传感网,没有考虑无线传感网自身特性和限制,这些现有检测机制并不能够在无线传感网的具体协议进行实现,其实用性及其有效性很难保证。正因为如此,在详细研究入侵攻击实例的基础上,设计ー种传感网分层入侵检测网络架构,并在此结构上构建ー种入侵检测机制,从本地检测模块和全网监测的分层检测的角度设计本地入侵检测模块和第三方检测入侵检测模块,提出ー种入侵检测方法,采取适合的安全措施和安全管理,保证无线传感网系统在开放的环境中能够安全地运行,保护网络内部的系统、资源和正常的通信秩序,是提高无线传感网安全的关键
发明内容
本发明的目的就是提供一种基于分层入侵的传感网安全系统,它通过第三方入侵检测模块和本地入侵检测模块对无线传感网进行分层入侵检测,更加合理利用网络资源,提高网络性能,有效的实现网络的入侵检测,支持网络安全的通信处理,保障网络正常运行。本发明的目的是通过这样的技术方案实现的,它包括有安全管理器、网络管理器、网关、路由设备和现场设备,所述系统还包括有本地入侵检测模块、分析仪入侵检测装置和全信道分析仪;
本地入侵检测模块,加载在网关、路由设备和现场设备上,监测传感网的数据包和数据流量,对网络中的入侵攻击上报至安全管理器;
全信道分析仪,监测整个无线传感网的数据流量信息,并将监测到的信息发送至分析仪入侵检测装置;
分析入侵检测装置,根据来至全信道分析仪的信息,实时数据分析,提取相应数据特征,判断是否受到入侵攻击,并将判断结果报告给安全管理器;
分析入侵检测装置和全信道分析仪构成了第三方入侵检测模块。进ー步,路由设备和路由设备之间的通信形成网状通信网络,路由设备和现场设备之间的通信形成星型通信网络。进ー步,本地入侵检测模块加载于部分路由设备和现场设备上,本地入侵检测模块所加载的设备长期工作,不进行休眠。进ー步,通过安全管理器设置本地入侵检测模块的最低检测率if,作为是否启动本地入侵检测模块的门限,if ニ 0不启动本地入侵检测模块,P; > 0启动本地入侵检测模块。进ー步,本地入侵检测模块的实际平均检测率的计算方法为
5-1)设网络的平均数据包错误率是e ,本地入侵检测模块检测到入侵的可能性为巧,
其中i SプSiリ代表从带本地入侵检测模块的本地设备往下为i跳簇,J代表从簇头起J跳位置的本地设备被恶意入侵,无线传感网本地设备检测模块的平均检测率为A ;
5-2)带入侵检测模块的路由设备在本簇内能够检测到入侵的可能性为/ 韦-多;
5-3)若入侵来自路由设备所在簇外的设备,分为被入侵设备是路由设备和被入侵设备是现场设备两种情况;5-3-1)被入侵的设备是路由设备,能够检测到入侵的可能性为
权利要求
1.基于分层入侵检测的传感网安全系统,包括有安全管理器、网络管理器、网关、路由设备和现场设备,其特征在于所述系统还包括有本地入侵检测模块、分析仪入侵检测装置和全信道分析仪; 本地入侵检测模块,加载在网关、路由设备和现场设备上,监测传感网的数据包和数据流量,对网络中的入侵攻击上报至安全管理器; 全信道分析仪,监测整个无线传感网的数据流量信息,并将监测到的信息发送至分析仪入侵检测装置; 分析入侵检测装置,根据来至全信道分析仪的信息,实时数据分析,提取相应数据特征,判断是否受到入侵攻击,并将判断结果报告给安全管理器; 分析入侵检测装置和全信道分析仪构成了第三方入侵检测模块。
2.如权利要求I所述的基于分层入侵检测的传感网安全系统,其特征在于路由设备和路由设备之间的通信形成网状通信网络,路由设备和现场设备之间的通信形成星型通信网络。
3.如权利要求2所述的基于分层入侵检测的传感网安全系统,其特征在于本地入侵检测模块加载于部分路由设备和现场设备上,本地入侵检测模块所加载的设备长期工作,不进行休眠。
4.如权利要求3所述的基于分层入侵检测的传感网安全系统,其特征在干通过安全管理器设置本地入侵检测模块的最低检测率P* ,作为是否启动本地入侵检测模块的门限,P- = O不启动本地入侵检测模块,if > O启动本地入侵检测模块。
5.如权利要求4所述的基于分层入侵检测的传感网安全系统,其特征在于本地入侵检测模块的实际平均检测率的计算方法为 5-1)设网络的平均数据包错误率是e,本地入侵检测模块检测到入侵的可能性为巧,其中i<プム,2代表从带本地入侵检测模块的本地设备往下为i跳簇,]代表从簇头起J跳位置的本地设备被恶意入侵,无线传感网本地设备检测模块的平均检测率为Pi ; 5-2)带入侵检测模块的路由设备在本簇内能够检测到入侵的可能性; 5-3)若入侵来自路由设备所在簇外的设备,分为被入侵设备是路由设备和被入侵设备是现场设备两种情况; 5-3-1)被入侵的设备是路由设备,能够检测到入侵的可能性为P21=(Pe); 5-3-2)被入侵的设备是现场设备,且该设备的簇头路由设备《未部署本地入侵检测模块,路由设备休眠的可能性为'5;,若未部署本地入侵检测模块的簇头路由设备ー个工作周期中的休眠休眠时间为T和工作时间ち,那么ん,则该本地入侵检测模块能够检测到簇外节点入侵的可能性为:p22=(i-m-sa); 5-4)根据上述计算,星网双层结构无线传感网本地设备检测模块的平均检测率为^ =落,-=I TtPv =^[(l- )+Cl-句。-^)]。
6.如权利要求5所述的基于分层入侵检测的传感网安全系统,其特征在于通过网络管理器,调整网络中未部署本地入侵检测模块的簇头路由设备ー个工作周期中的休眠时间和工作时间,调整本地入侵检测模块的实际平均检测率p,sa<2(Pi+€~l)则p、
7.如权利要求I所述的基于分层入侵检测的传感网安全系统,其特征在于全信道分析仪为多个,每个全信道分析仪负责相应区域内的数据监測。
8.如权利要求I所述的基于分层入侵检测的传感网安全系统,其特征在于分析入侵检测装置提取的数据特征包括有当前网络流量及数据包特征。
9.如权利要求I所述的基于分层入侵检测的传感网安全系统,其特征在于所述分析入侵检测装置包括有流量预测子模块、误用检测子模块、异常检测子模块和结果分析子模块; 流量预测子模块,根据全信道分析仪接收到的信息,对网路中数据流量进行预测,并将预测结果发送给结果分析子模块; 误用检测子模块,用误用分析规则匹配来实时检测网络中可能存在的攻击,并将检测结果发送给结果分析子模块; 异常检测子模块,用异常分析规则匹配来实时检测网络中可能存在的攻击,并将检测结果发送给结果分析子模块; 结果分析子模块,根据接收到的三个分析结果进行分析,确定最终检测结果,并将结果报告给安全管理器。
10.如权利要求9所述的基于分层入侵检测的传感网安全系统,其特征在于流量预测子模块利用ARMA数据流量进行预测和分析。
11.如权利要求9所述的基于分层入侵检测的传感网安全系统,其特征在于异常检测子模块和误用检测子模块通过设定门限值来判定入侵,若在一定时间内检测到的入侵次数超过门限设定次数,则判定网络中存在入侵行为。
12.如权利要求11所述的基于分层入侵检测的传感网安全系统,其特征在于所述门限值由自适应的阈值检测方法来设定。
13.如权利要求I所述的基于分层入侵检测的传感网安全系统,其特征在于■ 第三方检测模块和本地入侵检测模块检测到入侵攻击信息,报告给安全管理器,安全管理器将更新网络中的密钥,升级网络的安全级别,对存在入侵可能的区域设备进行重新的安全入网和设备认证。
全文摘要
基于分层入侵检测的传感网安全系统,包括有安全管理器、网络管理器、网关、路由设备和现场设备,所述系统还包括有本地入侵检测模块、分析仪入侵检测装置和全信道分析仪。用户可以根据本地入侵检测率的需求,对网络中设备的休眠时间占空比进行调整,使得本地入侵检测率满足需求;基于全信道分析仪的第三方检测模块对网络流量进行检测和分析,可以减少系统资源消耗;在进一步的技术方案中,通过简单的线性预测算法ARMA模型对网络中的流量进行预测,可以有效避免无线传感网络中因本地检测过大的资源消耗。可以更加合理利用网络资源,提高网络性能,有效的实现入网设备的入侵检测,支持网络安全的通信处理,保障网络正常运行。
文档编号H04W12/06GK102625312SQ20121012347
公开日2012年8月1日 申请日期2012年4月25日 优先权日2012年4月25日
发明者李玉, 梁晶, 王一帆, 王平, 金基天, 魏旻 申请人:重庆邮电大学