基于入侵檢測的物聯網安全體系研究

熊偉程

摘 要：文中首先分析了物聯網的主要特點，然后對基于入侵檢測的物聯網安全體系結構進行論述，提出了一種分布式基于入侵檢測的物聯網安全模型，通過分析該模型能夠很好地滿足物聯網安全和節能方面的需求。

關鍵詞：入侵檢測；物聯網；安全；體系

中圖分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2017）09-00-03

0 引 言

物聯網是把任何物品通過信息傳感設備，按照一定的協議與互聯網連接起來進行信息交換和共享，以實現智能化識別、定位、跟蹤、監控和管理的一種無處不在的網絡[1]。目前很多國家都在進行深入研究，如美國的“智慧地球”戰略，歐盟的物聯網行動計劃，日本的U-Japan計劃，韓國的U-Korea計劃等，我國從2009年提出“感知中國”以來，物聯網已成為國家的新興戰略性產業。

物聯網容易受到各種攻擊，如竊聽、分組重放攻擊、篡改、分組欺騙、拒絕服務攻擊、對服務完整性的攻擊等，另外還面臨感知層的傳感器、RFID、智能裝置等容易被攻擊者獲取，通過物理手段獲取節點中的信息，從而達到網絡入侵、網絡控制的目的。因此，物聯網安全問題必然成為研究的重要方向。物聯網節點電源能量有限、通信能力有限，計算和存儲亦有限，在這種情況下，如何建立有效的安全體系，檢測各種入侵和惡意攻擊，保證物聯網的可靠性，尤為重要[2]。

從安全技術角度出發，針對物聯網安全的技術包括以確保自身安全的認證技術，確保安全傳輸的密鑰建立和分發機制，確保數據自身安全的數據加密等[3]。這些技術都是被動的防范，沒有對入侵的主動檢測能力。而基于入侵檢測的物聯網安全技術是一種積極主動的防御技術，入侵檢測系統主要通過監控整個網絡和系統的狀態、行為以及系統的使用情況來檢測系統用戶的越權使用以及系統外部入侵者對網絡或系統進行入侵的企圖，不僅可以檢測來自外部的入侵，還可以監控內部用戶的非授權行為[4]。基于入侵檢測系統的物聯網安全體系作為保障物聯網安全的重要體系，已成為當前物聯網網絡安全的研究熱點。

本文主要對基于入侵檢測系統的物聯網安全體系結構進行論述，分析研究了基于入侵檢測系統的物聯網體系結構特性，再根據物聯網中節點的組織關系，對物聯網入侵檢測系統的體系結構進行分類，提出了一個適應物聯網需求的分布式入侵檢測系統模型，較好地兼顧了物聯網對安全性的需求和物聯網感知節點電源能量有限、通信能力和存儲能力有限的特征。

1 物聯網入侵檢測系統結構

物聯網由于受感知節點的電源能量有限、通信能力有限、計算和儲存能力有限等因素的限制，使得基于入侵檢測系統的物聯網安全體系需要根據物聯網的應用環境進行設計。

1.1 獨立的入侵檢測系統

物聯網的感知層電源能量有限，基于入侵檢測系統的物聯網安全結構只在物聯網感知層的部分關鍵節點安裝入侵檢測系統，這些節點獨立工作，除了進行數據采集外還進行入侵檢測，它們沒有從屬關系，所采用的入侵檢測方法也不盡相同，所檢測到的信息直接通知中心節點。

I Onat等人提出了一種基于異常檢測的無線傳感器網絡入侵檢測體系，為各傳感器節點植入入侵檢測模塊，構建基于路徑的入侵檢測系統，雖然傳感器節點計算和通信能力有限，但它們有特定的屬性，如擁有穩定的鄰居信息，它們的相鄰節點允許對異常網絡和收發器的行為進行檢測，這些特性可以被用來推動大型傳感器網絡入侵檢測系統的發展。并指出在許多針對傳感器網絡的攻擊中，攻擊者的第一步是在網絡中建立自己的合法節點。

獨立的入侵檢測系統的優點是實現和部署簡單，但由于各個入侵檢測節點相互獨立，在相互協作方面比較差，可能導致感知區域產生大量冗余的感知信息，同時各入侵檢測節點只能檢測到自身所感知區域的數據。

1.2 入侵檢測節點平等合作的入侵檢測系統

在物聯網的感知網絡中，它們的相鄰節點允許對異常網絡和收發器的行為進行檢測，根據物聯網這一特征，構建各入侵檢測節點平等合作的入侵檢測系統，在安裝了入侵檢測系統的節點之間相互合作，交換檢測信息，共同判定入侵檢測結果。

如Strikos提出的本地代理入侵檢測系統包括如下部分：

（1）數據收集模塊。該模塊負責過濾原始感知數據，并將這些數據上報給本地檢測模塊；

（2）本地檢測模塊。該模塊針對數據收集模塊上報的數據，對規則數據庫查詢并進行規則分析，判斷是否存在入侵并做出響應；

（3）合作檢測模塊。當本地檢測模塊發現入侵行為但不確定時，調用合作檢測模塊向相鄰節點以廣播的方式發送入侵檢測合作請求，收到入侵檢測合作請求的相鄰節點再以廣播的方式發送檢測到的入侵信息，綜合判斷是否存在入侵。

（4）進行本地響應和全局響應。

這種入侵檢測系統的入侵檢測能力比獨立的入侵檢測系統有了明顯的改進和提高，但該系統要求某一區域內的多數節點都安裝和運行入侵檢測系統，同時，節點間的合作需要廣播大量信息，當網絡安全威脅相對較小時，就會造成資源浪費，甚至嚴重影響網絡流量。

1.3 層次的入侵檢測系統

因為物聯網感知層的感知節點能量有限，為避免像對等合作的入侵檢測系統那樣多數節點都運行入侵檢測模塊以及節點間相互合作而產生大量廣播信息，提出層次的樹型入侵檢測系統。命令和控制節點在上層，匯聚節點在中間層，采集節點是葉節點，其基本模型如圖1所示。

（1）葉節點：負責數據采集的節點，進行必要的過濾，并將數據傳遞給上層匯聚節點。

（2）匯聚節點：進行數據信息的匯聚并從匯聚的數據中找出關鍵數據，同時利用數據融合等技術對來自葉節點的數據進行綜合，提高信息的準確性。

（3）命令和控制節點：評估從匯聚節點中獲取的信息，進行是否存在入侵的判斷，這也是層次結構入侵檢測系統的核心部分，對攻擊評估的狀況做出響應。endprint

物聯網的入侵檢測系統漏檢率低，但層次結構的入侵檢測系統在數據傳送過程中，需進行數據過濾和數據融合等相關操作，增加網絡延遲。同時匯聚節點對數據進行匯聚時可能會丟失一些重要的入侵檢測信息，對網絡的魯棒性造成了一定影響。

2 基于入侵檢測系統的物聯網安全模型

鑒于入侵檢測在物聯網安全系統中的重要作用，除了要實現可靠的檢測能力，還必須滿足物聯網在減小通信開銷、節能和檢測實時性等方面的要求，為此，提出了一種物聯網的入侵檢測模型。

2.1 系統結構

根據物聯網的特殊性，單獨采用異常檢測或誤用檢測都很難達到較好的檢測效果。因此根據入侵檢測框架（CIDF），建立一個適應物聯網需求的入侵檢測模型，如圖2所示。

如果異常檢測系統根據定義的正常活動的閾值，檢測到某一節點的活動超過這一閾值時就發出警報并觸發誤用檢測系統，誤用檢測系統的檢測能力依賴于“入侵模式庫”的完備性。在物聯網中，這一步主要利用了物聯網中的“感知”能力。誤用檢測系統對可疑節點進行全面、長期的觀察，如果誤用檢測系統最終確認該節點是入侵者就立即啟動響應單元，協調其他安全相關模塊的工作。檢測過程如圖3所示[4]。

2.2 異常檢測系統

異常檢測系統根據節點的活動特征，以及物聯網系統資源的使用情況對是否存在入侵進行判斷，建立物聯網節點和物聯網系統的正常行為規律的模型，檢測節點將當前捕獲的節點活動情況與模型對比，若節點的活動偏離了正常軌跡，入侵行為很容易就被檢測出來。異常檢測系統中的監控對象是檢測節點周圍的節點，比如入侵檢測節點附近節點的活動情況；節點位置的移動；所接收到信號的強弱和方向等。

2.3 誤用檢測系統

誤用檢測系統假定所有的網絡攻擊行為和方法都具有一定的模式或特征，根據以往發現的所有網絡攻擊的特征建立一個入侵信息庫，誤用檢測系統將當前捕獲到的網絡行為特征與入侵信息庫中的特征信息進行比較，如果匹配，就被認定為是違背安全策略的行為或入侵[5]。誤用檢測系統檢測準確度高，技術比較成熟。在上述體系中一旦異常檢測系統發現異常，就會觸發誤用檢測系統，誤用檢測系統就會將當前的網絡行為特征與入侵信息庫中的特征信息進行比較，如果匹配，系統就認為發生了誤用或入侵，報警并進行響應。

2.4 性能分析

根據物聯網的特殊性，基于入侵檢測系統的物聯網安全體系必須在保證安全性的前提下充分考慮節能性。

2.4.1 安全性

本文提出的基于入侵檢測系統的物聯網安全體系綜合了異常檢測系統和誤用檢測系統的優勢，異常檢測能夠根據被監控的節點行為檢測出入侵或攻擊，入侵節點一旦進入網絡就會被監控；誤用檢測系統的漏檢率低、技術成熟、便于維護，能夠根據各種證據對入侵行為做出判斷。此外，檢測節點分布在不同的位置，能夠保證系統的可用性，并使系統的安全性和可靠性得到保證。

2.4.2 節能性

根據物聯網感知層的特殊性，節能是一個非常關鍵的因素。首先，異常檢測能耗低，只是被動地監聽周圍節點的活動，無需發送報文。其次，誤用檢測系統也只有在被異常檢測系統觸發后才工作，節能性比較好。

3 結 語

基于入侵檢測的物聯網安全體系研究目前還不夠深入，依舊存在如何在物聯網有限的通信能力、有限的能量供應感知節點中實現有效入侵檢測，降低入侵檢測虛警率，保障入侵檢測節點的安全等問題。本文在對對等合作、層次結構的入侵檢測系統等技術進行研究和探討的基礎上，提出了一種分布式的綜合的基于入侵檢測的物聯網安全體系，該體系在保證系統安全性和可靠性的前提下，充分考慮了物聯網的節能問題，利用物聯網中入侵檢測節點的智能感知能力，綜合異常檢測和誤用檢測來斷定入侵行為，為物聯網的安全體系構建提供了一種新方案。

參考文獻

[1]喬安平.物聯網組網技術[M].北京：中國鐵道出版社，2013.

[2]劉強，崔莉，陳海明.物聯網關鍵技術與應用[J].計算機科學，2010，37（6）：1-4.

[3]許毅.無線傳感器網絡原理及方法[M].北京：清華大學出版社，2012：213-217.

[4]羅守山.入侵檢測[M]北京：北京郵電大學出版社，2004：13-26.

[5]胡道元.網絡安全[M].清華大學出版社，2008.

[6]楊黎斌，慕德俊，蔡曉妍.無線傳感網絡入侵檢測研究[J].計算機應用研究，2008，25（11）：3204-3208.

[7]楊庚，許建，陳偉，等.物聯網安全特征與關鍵技術[J].南京郵電大學學報（自然科學版），2010，30（4）：20-29.

[8]鄭和喜.WSN RFID物聯網原理與應用[M].北京：電子工業出版社，2010.

[9]郁有文.傳感器原理及工程應用[M].西安：西安電子科技大學出版社，2009.

[10]劉宴兵，胡文平.物聯網安全模型及關鍵技術[J].數字通信，2010，37（4）：28-33.endprint