本发明专利技术涉及一种基于有限自动机的物联网入侵检测方法及检测系统,采用有限自动机理论对联网终端的通用协议群进行建模,同时针对交互中的物联网终端所执行的动作进行实时监控、建模,并使其与有限自动机模型预测的正常交互行为进行匹配,从而判断出异常攻击行为的方法。本发明专利技术可以使用简略的可组合标签转换模型表示复杂的物联网系统,因此在很大程度上降低了IDS对于存储空间的要求。同时,我们使用的比较算法的复杂度是根据对应的物联网设备运行协议的Glued‑IOLTS(可组合标签转换模型)图的深度来决定的,因此,这种基于有限自动机遍历的检测方法将可被应用于物联网系统中。本发明专利技术具有体量小,占用资源少,执行效率高的特点,使用方便,投入成本较低。
【技术实现步骤摘要】
一种基于有限自动机的物联网入侵检测方法及检测系统
本专利技术属于物联网移动通信网络安全
,具体涉及一种基于有限自动机的物联网入侵检测方法。
技术介绍
万物互联已经成为未来网络发展的主要趋势,物联网因其能够大大的扩展互联网的网络边界,成为未来5G网络发展的主要方向。针对物联网的研究和投入已逐渐成为当前高科技公司的共识。但是一方面由于大部分的物联网终端设备性能低下,单点计算能力不足;终端设备物理分布较广,容易被敌手捕获;网络拓扑组网灵活,易于从网络内部发起攻击等特征,导致了传统的基于算法复杂度的安全协议设计方案将不再适合保护物联网设备的安全。另一方面,入侵检测系统是一种后验性安全防护方法,也是一种被学术和工业界高度认同的安全防护体制。传统的入侵检测系统能够依据已有攻击的流量、行为以及统计规律等特征,对疑似攻击的网络通信行为进行预判,进而在一定程度上保护网络设备和用户的安全。传统的入侵检测系统(IDS)是运用入侵检测技术对系统行为数据进行分析来检测入侵行为的一种系统,也就是进行入侵检测的一种硬件与软件的结合。虽然现如今入侵检测系统已经发展为很多不同的种类,但它们的基本过程是一致的,大致分为信息收集、信息分析、结果处理这几个模块(如图1所示)。不同的入侵检测系统的区别在于,它们所采用的数据源不同、信息分析以及检测方法不同。总而言之,入侵检测系统这种主动防御的后盾,对计算机与网络安全起着相当关键的作用。入侵检测的概念最早是由Anderson于1980年提出,并由此开始了对入侵检测系统的研究。1988年Denning提出了第一个IDS专家系统,而Heberlein于1990年开发了第一个适用于网络系统的入侵检测系统NSM。之后,针对入侵检测系统的研究逐渐朝着分布式、大规模的检测方向发展。近年来,伴随着移动物联网、智能硬件、虚拟现实等技术的发展,物联网下的入侵检测方法已经成为当前该技术发展的一个主流趋势,但针对物联网整体的入侵识别系统的研究还尚处于起步阶段。研究者们大多从IoT(InternetofThings,物联网)技术包含的各个主要方面着手对适合物联网的入侵检测技术展开研究。Hichem等人提出了一种基于博弈论的混合使用基于签名检测方法和基于异常检测方法的面向IoT网络的动态入侵检测方法。在入侵判断阶段引入game-theoretic方法,通过建立入侵者和正常用户的博弈模型,计算出最优的NE值,并使用该NE值来确定何时启动基于异常的入侵检测方法。Chen等人使用ComplexEventProcessing(CEP)技术提出了一种面向物联网设备的实时模式匹配系统。该方法的优点在于利用事件流特征做出的判断,从而可以降低传统的入侵检测方法的误报率。该方法虽然在一定程度上增加了系统计算资源的消耗,但确明显降低了IDS系统的反馈延时。Nadeem和Howarth针对物联网的一种常见网络结构-MANET网络的入侵检测系统进行了总结,通过对MANET网络特点的攻击方法和检测算法的分析和比较,分析了面向MANET网络的CRADS、GIDP等入侵检测框架。Yan等人也提出了一种针对MANET网络的,基于分布式信任管理机制的不期望数据检测和防御方法。Modia等人针对物联网的后端-云服务系统的入侵威胁和检测方法进行了研究,分类归纳了近年来针对云系统入侵检测和防御的方法和原理,但并未对未来云系统的入侵检测和防御的发展给出了相关建议。这些已有的方法和系统,虽然在不同层面上解决了物联网入侵检测所需要解决的一定问题,但是仍无法针对整个物联网系统给出相应评价,即无法在整体上解决物联网各部件间的数据、模型等评价标准的一致性问题。正如Audrey等人对现有的IoT系统的入侵检测方法所做的综述性研究中,所指出的面向物联网的入侵检测系统研究需重点解决“具有高交互能力的标准化变量评价体系”以及“更加底层的真实数据建模”的问题。在物联网中,数量众多的传感器、RFID标签设备、CCTV网络摄像头等只具有简单计算和存储能力的感知设备将会被使用,大大扩展当前互联网的网络边界,为未来的网络提供信息采集和信息服务的功能。但是这些感知设备却可能工作在非安全的环境中,且由于其计算能力的限制,无法使用复杂的密码学机制保护自己,容易被敌手干扰、捕获、破译,甚至篡改并嵌入恶意攻击程序,造成对物联网其他设备以及核心网的安全攻击。针对物联网中所存在的这种安全隐患,我们需要一种轻量级的主动防御机制来保护物联网系统的安全。
技术实现思路
为了解决现有技术中存在的物联网终端设备性能低下,单点计算能力不足导致的无法使用复杂密码算法和复杂认证协议的问题,本专利技术提供了一种基于有限自动机的物联网入侵检测方法及检测系统,本专利技术比传统的入侵检测系统相比具有体量小,占用资源少,执行效率高的特点。同时,由于系统状态机本身的模型容易被理解,且使用方便,投入成本较低。本专利技术要解决的技术问题通过以下技术方案实现:一种基于有限自动机的物联网入侵检测方法,包括以下步骤:步骤1,采用有限自动机理论对物联网终端的通用协议群建立用于将标签转换模型间的信道进行标准化表示的可组合标签转换模型,该可组合标签转换模型表示通过媒介相互连接的多个标签转换模型,且该可组合标签转换模型定义为四元组其中,Sglu=<S1∪S2∪…∪Sn∪SM>,Lglu=<L1∪L2∪…∪Ln>,sl表示可组合标签转换模型的低层状态;M表示媒介,即表示媒介M内的一个转换,其中表示的是状态si的低层表示;SM表示媒介的状态;i、j和m均表示自然数且1<i<m;α表示标签转换模型中的标签;表示多个标签转换模型,S为所刻画的设备的所有状态的集合,L为设备主要行为抽象表示的集合,T为L内的某个或多个行为导致所述标签转换模型的状态的转移;s0为有限自动机的初始状态,且LI为引起所述标签转换模型的状态转移的输入行为集合,LO为引起所述标签转换模型的状态转移的输出行为集合,并使LI∪Lo=L且步骤2,在云服务器上建立事件数据库,事件数据库中的数据包括标准协议的数据、可能操作流和异常动作流,且该事件数据库直接访问IDS事件分析器;标准协议的数据为通过所述可组合标签转换模型对标准协议的描述;可能操作流为通过标准协议的数据创建的数据;异常动作流为已知异常入侵事件的数据;步骤3,通过事件监视器采集物联网上的控制流数据,并把控制流数据根据需求重新打包成需求打包数据发送至事件数据库和IDS事件分析器;步骤41,IDS事件分析器接收所述需求打包数据并分析需求打包数据的信息,识别出网络设备中的物联网设备,并生成网络拓扑视图,然后记录被识别的物联网设备的ID信息;步骤42,IDS事件分析器首先根据所述网络拓扑视图和ID信息将所述需求打包数据进行分组,具体分组步骤为:将具有相同会话ID的数据包分为一组,同时将相同会话ID的数据包根据协议类型,按时间顺序整理,生成分组数据;然后,IDS事件分析器将每组分组数据通过所述可组合标签转换模型转换为转换事件流,具体步骤为:根据相同会话ID的数据包中的协议类型获取每组分组数据中消息序列的协议类型,再将消息序列的协议类型与所述标准协议的数据进行比对,获取所述消息序列的协议类型的基本的形式化动作原语,将动作原本文档来自技高网...
【技术保护点】
一种基于有限自动机的物联网入侵检测方法,其特征在于:包括以下步骤:步骤1,采用有限自动机理论对物联网终端的通用协议群建立用于将标签转换模型间的信道进行标准化表示的可组合标签转换模型,该可组合标签转换模型表示通过媒介相互连接的多个标签转换模型,且该可组合标签转换模型定义为四元组
【技术特征摘要】
1.一种基于有限自动机的物联网入侵检测方法,其特征在于:包括以下步骤:步骤1,采用有限自动机理论对物联网终端的通用协议群建立用于将标签转换模型间的信道进行标准化表示的可组合标签转换模型,该可组合标签转换模型表示通过媒介相互连接的多个标签转换模型,且该可组合标签转换模型定义为四元组其中,Sglu=<S1∪S2∪…∪Sn∪SM>,Lglu=<L1∪L2∪…∪Ln>,sl表示可组合标签转换模型的低层状态;M表示媒介,即表示媒介M内的一个转换,其中表示的是状态si的低层表示;SM表示媒介的状态;i、j和m均表示自然数且1<i<m;α表示标签转换模型中的标签;(i=1,2,…,n)表示多个标签转换模型,S为所刻画的设备的所有状态的集合,L为设备主要行为抽象表示的集合,T为L内的某个或多个行为导致所述标签转换模型的状态的转移;s0为有限自动机的初始状态,且LI为引起所述标签转换模型的状态转移的输入行为集合,LO为引起所述标签转换模型的状态转移的输出行为集合,并使LI∪LO=L且步骤2,在云服务器上建立事件数据库,事件数据库中的数据包括标准协议的数据、可能操作流和异常动作流,且该事件数据库直接访问IDS事件分析器;标准协议的数据为通过所述可组合标签转换模型对标准协议的描述;可能操作流为通过标准协议的数据创建的数据;异常动作流为已知异常入侵事件的数据;步骤3,通过事件监视器采集物联网上的控制流数据,并把控制流数据根据需求重新打包成需求打包数据发送至事件数据库和IDS事件分析器;步骤41,IDS事件分析器接收所述需求打包数据并分析需求打包数据的信息,识别出网络设备中的物联网设备,并生成网络拓扑视图,然后记录被识别的物联网设备的ID信息;步骤42,IDS事件分析器首先根据所述网络拓扑视图和ID信息将所述需求打包数据进行分组,具体分组步骤为:将具有相同会话ID的数据包分为一组,同时将相同会话ID的数据包根据协议类型,按时间顺序整理,生成分组数据;然后,IDS事件分析器将每组分组数据通过所述可组合标签转换模型转换为转换事件流,具体步骤为:根据相同会话ID的数据包中的协议类型获取每组分组数据中消息序列的协议类型,再将消息序列的协议类型与所述标准协议的数据进行比对,获取所述消息序列的协议类型的基本的形式化动作原语,将动作原语与每组分组数据中的信息进行组合后将分组数据表示为自动机原语,即将每组分组数据转换为转换事件流;步骤43,IDS事件分析器将转换事件流与异常动作流进行比对,进行基于签名的入侵检测;如转换事件流中含有与异常动作流中的入侵事件签名相同的事件签名,则判断为异常入侵事件,则将异常结果输出至响应单元;如转换事件流中不含有与异常动作流中的已知入侵事件签名相同的事件签名,则该转换事件流继续与...
【专利技术属性】
技术研发人员:付玉龙,闫峥,李晖,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。