[发明专利]一种可重构的物联网节点入侵检测方法

说明书

技术领域

本发明涉及物联网及网络安全技术领域，尤其涉及一种可重构的物联网节点入侵检测方法。

背景技术

入侵检测(Intrusion Detection)是在网络安全中已经存在的防御概念，是指检测网络中违反安全策略行为的技术，能及时发现并报告系统中未授权或异常的现象，是确保网络系统安全的第二道屏障。有关入侵检测在物联网方面(多数专门针对无线传感器网络)的研究主要包括检测体系和检测算法两部分。

检测体系主要包括分离检测体系、对等检测体系和层次化检测。分立检测体系基于邻居节点信息的分布式异常检测结构方案，每个节点对邻居节点维护一个接收缓冲区用来记录报文能量和分组到达速率。遇到匹配外数据，则判断邻居节点异常，广播报警信息，通知基站进行处理。但是该方案不能解决新增节点的问题，且能耗巨大，同时也缺乏对于节点损坏的处理。又如在路径中随机选择节点进行检测的分立检测体系，根据单向hash链表实现数据源身份鉴别防范路由DoS。虽然该方法不依赖公钥加密算法，但初始化和维护工作较复杂。对等检测体系是Perrigy等提出使用μTESLA协议，添加额外报文加、解密操作保障合作检测的安全传输。以及Strikos等人提出包括数据收集引擎(data collection engine)，本地检测引擎(local detection engine)，合作检测引擎(cooperative detection engine)和响应引擎(response engine)的本地检测代理结构(local detection agent)，共同裁决入侵检测结果，都是典型的对等检测体系。层次化检测体系是最后提出也是目前常用的体系方式。Ngai提出一种三层的入侵检测结构，包括普通传感节点，聚合节点和基站。Rajasegarar等人提出基于数据挖掘的分布式异常检测：以基站为树根；父节点定期选举产生；子节点周期采样并对数据进行相似分组。父节点和基站分别合并分组信息和汇总。虽然开销小，但实时性比较差。Su等人在2005年提出的分簇式的能量节省入侵检测方案。针对簇头和普通节点分别考虑能耗问题，但其分组划分机制增加乐实施难度和检测准确程度。而后，同一实验室又提出了一种低能耗的混合入侵防御的eHIP算法，这种入侵防御系统中包括了基于身份认证的入侵防护系统和基于协作的入侵检测系统，能够适应不同安全级别的应用需求，但算法设计本身过于复杂，仍然不适合资源有限的无线传感器网络。虽然入侵检测在有线和传统无线自组织网络界已有不少研究成果，但在物联网方面由于其特殊性，整体还处于初级的研究阶段。近几年的研究多集中于针对某一种或几种攻击而进行的特定方法上。例如：Loo提出的针对路由拒绝服务攻击的方法，使用聚类进行检索，虽然对未知攻击有一定的检测敏感度，但需要大量数据样本；Zeng提出的基于免疫的检测方法：具有已知和未知攻击双重检测能力，但缺乏防误判激励，导致误报率高；Doumit提出将自然界中观察到的多个复杂的现象总结抽象成为简单的物理定则，使用隐式马尔可夫模型来检测可能出现的异常。但该算法过于理论化。针对选择性路由转发的攻击类型的三种主要的算法：使用“区间规则”、使用预先特定声明，以及使用检测包丢失率，均存在一定的复杂度和实时性的问题。另外，还有基于游戏模型的博弈理论算法、基于分布式的贝叶斯算法、以及基于边缘区域的算法等。

虽然关于物联网入侵检测体系和算法的研究已经开始受到重视，但多数研究成果过于理论化，且主要针对的是来自外部的入侵行为，而对节点自身的感知数据的采集、运算、传输的安全性没有进行考虑，另外在灵活性和实时性方面也有所欠缺。特别是对于在一个物联网终端节点上连接多个感知传感器之后，针对内外部结合的入侵特殊性和实用性的研究还未见报道。因此，亟需能够解决现在存在的算法复杂、实时性弱、误报率偏高、检测片面等问题的新型入侵检测策略。另外，现有的物联网入侵检测系统多数移植了互联网的解决思想，检测手段主要集中在软件层面，而没有关注物联网有别于互联网的安全隐患主要在于感知源的不可信和易攻击。

发明内容

针对现有技术中存在的上述问题，本发明提供了一种可重构的物联网节点入侵检测方法。

本发明提供了一种可重构的物联网节点入侵检测方法，包括：

步骤1，在数据融合过程中根据逻辑运算关系建立信息流逻辑关系，并根据信息流逻辑关系形成入侵检测引擎；

步骤2，进行入侵检测引擎多阈值扫描，超过阈值的传感器节点设置标签数据源；