一种物联网攻击检测系统和攻击检测方法
【专利摘要】本发明公开了一种物联网攻击检测系统,由无线网络接口模块、数据存储模块、分析判决模块、入侵响应模块组成,无线网络接口模块的输入端接网络,输出端接所述的数据存储模块的输入端,该数据存储模块的输出端与所述的分析判决模块的输入端相连,该分析判决模块的输出端接所述的入侵响应模块的输入端,该入侵响应模块的输出端接所述的无线网络接口模块的第二输入端。本发明可以有效避免泛洪攻击,使物联网拥有更多防御特性,为今后的开发者做出反击功能奠定坚实的基础。
【专利说明】一种物联网攻击检测系统和攻击检测方法
【技术领域】
[0001]本发明涉及物联网,特别是一种物联网攻击检测装置和攻击检测方法,是根据物联网泛洪攻击提出一种物联网攻击检测系统和攻击检测方法,该系统通过从节点行为数据中分离出明显的异常行为,从而检测异常节点,并分析了检测方法的参数选取及错误率。
【背景技术】
[0002]物联网(Internet of Things)是通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器、气体感应器等信息传感设备,按约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网在军事、商业、环境监测等众多领域有着广阔的应用前景。基于物联网(Internet ofThings)的物联网安全也越来越受重视。但是信息传播媒介的开放性和恶劣的部署环境,给物联网的安全带来了极大隐患,严重制约着物联网的应用。物联网面对的主要安全威胁有Dos攻击、重放攻击、完整性攻击、虚假路由信息攻击和泛洪攻击。
【发明内容】
[0003]本发明的目的在于提供一种物联网攻击检测装置和攻击检测方法,该系统通过从节点行为数据中分离出明显地异常行为,从而检测异常节点,并分析了检测算法的参数选取及错误率。该模型为物联网的普及使用具有重大意义:首先,使用该模型可以有效避免泛洪攻击;其次,使用者可以在该模型的基础上进行修改,使物联网拥有更多防御特性?’最后,该模型也为今后的开发者做出反击功能奠定坚实的基础。
[0004]本发明的技术解决方案如下:
[0005]一种物联网攻击检测系`统,其特点在于该系统由无线网络接口模块、数据存储模块、分析判决模块、入侵响应模块组成,所述的无线网络接口模块的输入端接网络,输出端接所述的数据存储模块的输入端,该数据存储模块的输出端与所述的分析判决模块的输入端相连,该分析判决模块的输出端接所述的入侵响应模块的输入端,该入侵响应模块的输出端接所述的无线网络接口模块的第二输入端。
[0006]利用所述的物联网攻击检测系统的对物联网攻击的检测方法,该方法包括如下步骤:
[0007]①启动检测系统;
[0008]②所述的无线网络接口模块从网络的RREQ报文中获取报文信息经数据缓冲区相所述的数据存取模块输出;
[0009]③所述的数据存取模块接收无线接口模块发来的数据,从中获取统计信息,将该信息存入数据域以待分析判决模块读取;
[0010]④所述的分析判决模块从所述的数据存储模块读入待检测数据并进行分析,通过在全网范围内的各个节点发送RREQ报文频率的比对分离出异常节点,计算所有节点的距离函数,使用改进的KNN算法来对分析结果进行判决:[0011]当发现恶意节点,则将所发现的异常节点输入所述的入侵响应模块,进入步骤⑤,否则转入步骤⑦;
[0012]⑤所述的入侵相应模块将恶意节点加入到黑名单,递交无线网络接口模块,通过黑名单广播机制实现入侵响应;
[0013]⑥所有正常节点收到黑名单后不再接收、转发其中的异常节点的RREQ报文,并且向其他节点转发这份黑名单,以实现攻击响应;
[0014]⑦最后,所述的分析判决模块将统计数据清零。
[0015]本发明的技术效果如下:
[0016]本发明系统通过从节点行为数据中分离出明显地异常行为,从而检测异常节点,并分析了检测算法的参数选取及错误率。该模型为物联网的普及使用具有重大意义:首先,使用该模型可以有效避免泛洪攻击;其次,使用者可以在该模型的基础上进行修改,使物联网拥有更多防御特性;最后,该模型也为今后的开发者做出反击功能奠定坚实的基础。
【专利附图】
【附图说明】
[0017]图1是KNN入侵检测算法示意图
[0018]图2为本发明入侵检测系统的流程图
[0019]图3是本发明物联网攻击检测系统各模块的关系图
【具体实施方式】
[0020]下面结合实施例和附图对本发明作进一步说明,但不应以此限制本发明的保护范围。
[0021]先请参阅图3,由图可见,本发明物联网攻击检测系统,由无线网络接口模块、数据存储模块、分析判决模块、入侵响应模块组成,所述的无线网络接口模块的输入端接网络,输出端接所述的数据存储模块的输入端,该数据存储模块的输出端与所述的分析判决模块的输入端相连,该分析判决模块的输出端接所述的入侵响应模块的输入端,该入侵响应模块的输出端接所述的无线网络接口模块的第二输入端。
[0022]本发明的基本原理如下:
[0023](一)、物联网中基于KNN的入侵检测算法设计:
[0024]K最近邻(Κ-Nearest Neighbor,KNN)分类算法是一个理论上比较成熟,复杂度较低的数据挖掘算法。其基本思想是:在一个样本空间中,一个样本属于某个类别,如果其K个最邻近样本中的大多数属于该类别。所谓“最邻近”是指在用于描述样本的单维或多维特征矢量上的“最接近”,而“最接近”的评判标准可以是特征矢量的欧氏距离。由于该算法不需要样本的分布模型,故其特别适合于分析无法确定分布模型的样本集。
[0025]在实际入侵检测算法中,往往用一个η维矢量表示节点,如{al,a2,....,an}。这些维度可以是:一段时间内发送的路由报文的总数、在节点发送的路由报文中不同目的节点的总数、在节点接收的路由报文中同源节点的总数等等。一般情况下,相同类型的节点总有相同的特征,因而异常节点就会被区分出来,如图1所示。
[0026]基于KNN挖掘算法的物联网入侵检测算法(以下简称“KNN检测”)需要两个参数:选择最邻近节点个数K和判定异常节点的阈值cutoff.K的取值范围为[I, Card(NS)-1], cutoff应该为非负数。为描述该算法流程,进行如下定义:
[0027]I)用于描述节点i的特征向量为{apbi,....},共η维;
[0028]2)网络中的总节点集合(包括异常节点和正常节点)为NS ;
[0029]3)两个不同节点i和j的欧氏距离为:
[0030]
【权利要求】
1.一种物联网攻击检测系统,其特征在于该系统由无线网络接口模块、数据存储模块、分析判决模块、入侵响应模块组成,所述的无线网络接口模块的输入端接网络,输出端接所述的数据存储模块的输入端,该数据存储模块的输出端与所述的分析判决模块的输入端相连,该分析判决模块的输出端接所述的入侵响应模块的输入端,该入侵响应模块的输出端接所述的无线网络接口模块的第二输入端。
2.权利要求1所述的物联网攻击检测系统的对物联网攻击的检测方法,其特征在于该方法包括如下步骤: ①启动检测系统; ②所述的无线网络接口模块从网络的RREQ报文中获取报文信息经数据缓冲区相所述的数据存取模块输出; ③所述的数据存取模块接收无线接口模块发来的数据,从中获取统计信息,将该信息存入数据域以待分析判决模块读取; ④所述的分析判决模块从所述的数据存储模块读入待检测数据并进行分析,通过在全网范围内的各个节点发送RREQ报文频率的比对分离出异常节点,计算所有节点的距离函数,使用改进的KNN算法来对分析结果进行判决: 当发现恶意节点,则将所发现的异常节点输入所述的入侵响应模块,进入步骤⑤,否则转入步骤⑦; ⑤所述的入侵相应模块将恶意节点加入到黑名单,递交无线网络接口模块,通过黑名单广播机制实现入侵响应; ⑥所有正常节点收到黑名单后不再接收、转发其中的异常节点的RREQ报文,并且向其他节点转发这份黑名单,以实现攻击响应; ⑦最后,所述的分析判决模块将统计数据清零。
【文档编号】H04L29/06GK103731433SQ201410015400
【公开日】2014年4月16日 申请日期:2014年1月14日 优先权日:2014年1月14日
【发明者】易平, 李文超, 吴越, 潘理, 李建华 申请人:上海交通大学