无线信标系统中攻击检测的系统和方法技术方案

一种用于攻击检测的系统和方法该系统包括信标群集，其中每个信标适于广播唯一的信标识别码(信标ID)；终端设备，适于接收该信标ID的用户轨迹，并向后端服务器或路由设备发送查询，以确定经由网络发生的入侵；其中后端服务器适于通过执行以下步骤来确定入侵的发生：计算信标设备之间的空间关系度量；将信标ID转换为马尔可夫链模型的状态，并基于空间关系度量来估计状态转移概率；当终端设备进行查询时，记录该信标ID转换的用户轨迹；并针对马尔可夫链模型对用户轨迹运行假设检验，以确定入侵状态。

【技术实现步骤摘要】
无线信标系统中攻击检测的系统和方法
本专利技术涉及用于无线信标系统中的攻击检测的系统和方法，并且更具体地涉及用于蓝牙低功耗(BluetoothLowEnergy，简称BLE)信标系统中的攻击检测的系统和方法
技术介绍
信标开始被部署以向接收器提供微位置信息，反过来，信标可用于调用基于位置的应用。例如，信标(BLE，iBeacon等)经济的标记物理对象和位置，促进情境化、定制化的内容或服务通过活动广播传递到用户的移动设备。用户装置拾取信标标识(ID)将引导他们查找并下载标签对象的详细信息。正确的内容和服务交付取决于根据规定的群集映射信标ID正确部署信标。然而，信标技术的正确操作可能会受到网络或物理威胁的破坏，即各自的欺骗攻击和重新改组攻击。改组信标导致用户设备“错误的”空间特定信息。通常，所有人都可以使用信标ID来指导他们查找正确的内容。但这也不利地使攻击者的工作更容易。没有可用于保护信标免受改组攻击的防御机制。欺骗性攻击窃听(午餐时间攻击与自适应查询)所有信标ID并在错误的位置播放它们。更复杂的攻击可以在重传之前制作信标数据。
技术实现思路
在本专利技术的一方面，提供了一种用于检测非活动对象的系统，包括：信标群集，其中每个信标适于广播唯一的信标识别码(信标ID)，包括：终端设备，适于接收信标ID，并向后端服务器或路由设备发送查询，以记录和保留信标ID的踪迹；其中所述后端服务器适于通过执行以下步骤来确定入侵的发生：计算信标设备之间的空间关系度量；将所述信标ID转换为马尔可夫(Markov)链模型的状态，并基于空间关系度量来估计状态转移概率；当终端设备进行查询时，记录信标ID转换的用户轨迹；针对马尔可夫链模型对所述用户轨迹运行假设检验以确定入侵状态。优选地，估计状态转移概率的步骤包括以下步骤：选择粒度分辨率；将希尔伯特曲线拟合到信标群集并计算不同信标的希尔伯特值；定义边界限制B；为每个所述信标,选择符合|h(nj)-h(ni)|≤B的所有，以S(ni)表示，并且计算所有n_j∈S(n_i)的1/|h(ni)-h(nj)|的总和D；对于每个所述nj∈S(ni)，设置转换概率Pij＝1/(D|h(nj)-hni；确定是否已设置具有pij的所有nj∈S(ni)，然后进行下一步，否则循环回到所述设置转换概率的步骤；确定所有N个信标是否都具有pij，然后停止，否则循环回到所述计算信标ni的总和D的步骤。优选地，估计状态转移概率的步骤包括以下步骤：计算所述信标群集的Voronoi图映射；确定边界值L；对于每层小区，分配第r层小区的权重为ar；对于每个所述信标n，计算第r层中邻居Xr的数量，其中0<r≤L；计算S(ni)＝a0X0a1X1+…+aLXL的总和；对于ni的邻居的所述第r层中的每个nj，分配所述转移概率递增r；确定如果r<L,返回到分配所述转移概率pij的步骤，否则进行下一步；如果设置了所有n个所述信标的所述转移概率，则停止，否则返回所述计算邻居的数量的步骤。优选地，估计状态转移概率的步骤包括以下步骤：通过信标部署随机漫游；记录所述信标ID转换的所述用户轨迹，计算所述信标的分布统计和后验概率分布；在每对状态之间分配转移概率。优选地，所述分配转移概率的步骤包括使用所述信标ID的所述用户轨迹的步骤用于估计所述信标ID对之间的所述转换概率。优选地，所述分配转移概率的步骤包括使用贝叶斯统计方法(Bayesianstatisticalmeans)估计所述转移概率的步骤，或者诸如深度神经网络之类的机器学习可用于计算所述转移概率。优选地，所述分配转移概率的步骤包括如果在两个状态之间不存在转换则将所述概率值分配为零的步骤。优选地，所述入侵状态包括以下之一：状态H0:(c1,c2,……,cr,……,cT)为被接受的轨迹分布，其适于没有检测到入侵的马尔可夫链模型；或状态H1，入侵或痕迹的异常分布。优选地，所述假设检验包括以下步骤：透过Ω获得所有可能的θ导出pij(θ),其中1≤i、j≤N，当所述转移概率从IDi到IDj表示具有θ的n个状态马尔可夫链为相应的一组参数。对于接收到的用户轨迹C＝(c1,……,cT)，导出似然函数作为给定θ的C发生的条件概率，其中计算所述似然比如下：接受H0(没有检测到入侵)，如果Δ≥λ其中λ是临界值。优选地，通过蒙特卡罗模拟或反复试验来设置所述λ的值。优选地，所述假设检验包括以下步骤：收集相同长度的所述用户轨迹并基于一组所述用户轨迹，估计所收集的轨迹的所述概率分布P(C)，其中C是特定的用户轨迹；计算所述参考概率分布Q(C)；计算Kullback-Leibler发散(Kullback–LeiblerDivergence，简称KLD)，其中和接受H0，如果DKL(P||Q)≤ξ，其中ξ是临界值。优选地，通过蒙特卡罗模拟或反复试验来设置所述ξ的值。在本专利技术的另一方面，提供了一种用于攻击检测的方法，包括以下步骤：在后端服务器计算信标设备之间的空间关系度量；在所述后端服务器将信标ID转换为马尔可夫(Markov)链模型的状态，并且基于所述空间关系度量来估计状态转移概率；接收从终端设备记录的所述信标ID转换的用户踪迹；针对所述马尔可夫链模型对所述用户轨迹运行假设检验以确定所述后端服务器的入侵状态。优选地，本专利技术提供了一种用于无线信标系统中的攻击检测的系统和方法，以及一种信标群集中的攻击检测方法的改进。优选地，用于无线信标系统中的攻击检测的系统和方法不需要对信标群集中的任何信标进行任何修改。在本专利技术的另一方面，提供了一种攻击检测设备，执行包括以下步骤的方法：计算基于马尔可夫链的概率分布，用于在终端设备查询基于位置的服务或内容时，从所述终端设备报告可接受的信标ID的踪迹；通过假设检验来验证以确定所接收的所述信标ID的踪迹是否在所述基于马尔可夫链的概率分布的可接受值的范围之外；所述信标ID的踪迹在可接受值的范围之外的情况中，则生成指示发生入侵的信号。优选地，所述基于马尔可夫链的概率分布是通过希尔伯特值、VORONOI图或具有贝叶斯统计的现场测试或通过DNN的机器学习预先确定的。当考虑以下说明书和附图时，其他优点将变得显而易见。本专利技术的实施例还克服或改善现有技术的至少一个缺点，或提供有用的替代方案。图式简要说明从以下配合参考附图对仅作为示例实施例的描述，本专利技术的特征和优点将变得显而易见，其中：图1所示为根据本专利技术实施例的无线信标系统中的攻击检测方法的示意图；图2所示为由图1所示方法生成的马尔可夫链模型的示意本文档来自技高网...

【技术保护点】
1.一种用于信标群集的攻击检测系统，其中，每个信标适于广播唯一的信标识别码(信标ID)，包括：/n后端服务器或路由设备，适于记录终端设备发送查询所述信标ID的用户轨迹，以确定通过网络发生的入侵；/n其中，所述后端服务器适于通过执行以下步骤来确定入侵的发生：/n计算信标设备之间的空间关系度量；/n将所述信标ID转换为马尔可夫(Markov)链模型的状态，并基于空间关系度量来估计状态转移概率；/n当所述终端设备对基于位置或基于项目的内容或服务进行查询时，记录所述信标ID转换的所述用户轨迹；和/n针对马尔可夫链模型对所述用户轨迹运行假设检验以确定入侵状态。/n

【技术特征摘要】
20181227 HK 18116670.3;20181227 US 16/233,2851.一种用于信标群集的攻击检测系统，其中，每个信标适于广播唯一的信标识别码(信标ID)，包括：
后端服务器或路由设备，适于记录终端设备发送查询所述信标ID的用户轨迹，以确定通过网络发生的入侵；
其中，所述后端服务器适于通过执行以下步骤来确定入侵的发生：
计算信标设备之间的空间关系度量；
将所述信标ID转换为马尔可夫(Markov)链模型的状态，并基于空间关系度量来估计状态转移概率；
当所述终端设备对基于位置或基于项目的内容或服务进行查询时，记录所述信标ID转换的所述用户轨迹；和
针对马尔可夫链模型对所述用户轨迹运行假设检验以确定入侵状态。


2.如权利要求1所述的系统，其中，所述估计状态转移概率的步骤包括以下步骤：
选择粒度分辨率；
将希尔伯特曲线拟合到信标群集并计算不同信标的希尔伯特值；
定义边界限制B；
为每个所述信标ni，选择符合|h(nj)-h(ni)|≤B的所有nj，以S(ni)表示，并且计算所有nj∈S(ni)的1/|h(ni)-h(nj)|的总和D；
对于每个所述nj∈S(ni)，设置转换概率Pij＝1/(D|h(nj)-hni；
确定是否已设置具有pij的所有nj∈S(ni)，然后进行下一步，否则循环回到所述设置转换概率的步骤；和
确定所有N个信标是否都具有pij，然后停止，否则循环回到所述计算信标ni的总和D的步骤。


3.如权利要求1所述的系统，其中，所述估计状态转移概率的步骤包括以下步骤：
计算所述信标群集的Voronoi图映射；
确定边界值L；
对于每层小区，分配第r层小区的权重为ar；
对于每个所述信标n，计算第r层中邻居Xr的数量，其中0＜r≤L；
计算S(ni)＝a0X0+a1X1+…+aLXL的总和；
对于ni的邻居的所述第r层中的每个nj，分配所述转移概率
递增r；
确定如果r＜L，返回到分配所述转移概率pij的步骤，否则进行下一步；和
如果设置了所有n个所述信标的所述转移概率，则停止，否则返回所述计算邻居的数量的步骤。


4.如权利要求1所述的系统，其中，所述估计状态转移概率的步骤包括以下步骤：
通过信标部署随机漫游；
记录所述信标ID转换的所述用户轨迹，计算所述信标的分布统计和后验概率分布；和
在每对状态之间分配转移概率。


5.如权利要求4所述的系统，其中，所述分配转移概率的步骤包括使用所述信标ID的所述用户轨迹用于估计所述信标ID对之间的所述转换概率的步骤。


6.如权利要求4所述的系统，其中，所述分配转移概率的步骤包括使用贝叶斯统计方法(Bayesianstatisticalmeans)估计所述转移概率的步骤，或者诸如深度神经网络之类的机器学习可用于计算所述转移概率。


7.如权利要求4所述的系统，其中，所述分配转移概率的步骤包括如果在两个状态之间不存在转换则将所述概率值分配为零的步骤。


8.如权利要求1所述的系统，其中，所述入侵状态包括以下之一：
状态H0：(c1，c2，......，cr，......，cT)为被接受的轨迹分布，其适于没有检测到入侵的马尔可夫链模型；或
状态H1，入侵或痕迹的异常分布。


9.如权利要求8所述的系统，其中，所述假设检验包括以下步骤：
透过Ω获得所有可能的θ导出pij(θ)，其中1≤i，j≤N，，当所述转移概率从IDi到IDj表示具有θ的n个状态马尔可夫链为相应的一组参数。
对于接收到的用户轨迹C＝(c1，......，cT)，导出似然函数作为给定θ的C发生的条件概率，其中



计算所述似然比如下：

和
接受H0(没有检测到入侵)，如果Δ≥λ，其中λ是临界值。


10.如权利要求9所述的系统，其中，通过蒙特卡罗模拟或反复试验来设置所述λ的值。


11.如权利要求8所述的系统，其中，所述假设检验包括以下步骤：
收集相同长度的所述用户轨迹并基于一组所述用户轨迹，估计所收集的轨迹的所述概率分布P(C)，其中C是特定的用户轨迹；
计算所述参考概率分布Q(C)；
计算KLD，其中和
接受H0，如果DKL(P||Q)≤ξ，其中ξ是临界值。


12.如权利要求11所述的系统，其中，通过蒙特卡罗模拟或反复试验来设置所述ξ的值。


13.一种攻击检测的方法，包括以下步骤：
...

【专利技术属性】
技术研发人员：陈镇辉，钟文翰，
申请(专利权)人：物流及供应链多元技术研发中心有限公司，
类型：发明
国别省市：中国香港;81