熊偉程

摘 要：文中首先分析了物聯(lián)網(wǎng)的主要特點(diǎn)，然后對(duì)基于入侵檢測(cè)的物聯(lián)網(wǎng)安全體系結(jié)構(gòu)進(jìn)行論述，提出了一種分布式基于入侵檢測(cè)的物聯(lián)網(wǎng)安全模型，通過(guò)分析該模型能夠很好地滿(mǎn)足物聯(lián)網(wǎng)安全和節(jié)能方面的需求。

關(guān)鍵詞：入侵檢測(cè)；物聯(lián)網(wǎng)；安全；體系

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2017）09-00-03

0 引 言

物聯(lián)網(wǎng)是把任何物品通過(guò)信息傳感設(shè)備，按照一定的協(xié)議與互聯(lián)網(wǎng)連接起來(lái)進(jìn)行信息交換和共享，以實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤、監(jiān)控和管理的一種無(wú)處不在的網(wǎng)絡(luò)[1]。目前很多國(guó)家都在進(jìn)行深入研究，如美國(guó)的“智慧地球”戰(zhàn)略，歐盟的物聯(lián)網(wǎng)行動(dòng)計(jì)劃，日本的U-Japan計(jì)劃，韓國(guó)的U-Korea計(jì)劃等，我國(guó)從2009年提出“感知中國(guó)”以來(lái)，物聯(lián)網(wǎng)已成為國(guó)家的新興戰(zhàn)略性產(chǎn)業(yè)。

物聯(lián)網(wǎng)容易受到各種攻擊，如竊聽(tīng)、分組重放攻擊、篡改、分組欺騙、拒絕服務(wù)攻擊、對(duì)服務(wù)完整性的攻擊等，另外還面臨感知層的傳感器、RFID、智能裝置等容易被攻擊者獲取，通過(guò)物理手段獲取節(jié)點(diǎn)中的信息，從而達(dá)到網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)控制的目的。因此，物聯(lián)網(wǎng)安全問(wèn)題必然成為研究的重要方向。物聯(lián)網(wǎng)節(jié)點(diǎn)電源能量有限、通信能力有限，計(jì)算和存儲(chǔ)亦有限，在這種情況下，如何建立有效的安全體系，檢測(cè)各種入侵和惡意攻擊，保證物聯(lián)網(wǎng)的可靠性，尤為重要[2]。

從安全技術(shù)角度出發(fā)，針對(duì)物聯(lián)網(wǎng)安全的技術(shù)包括以確保自身安全的認(rèn)證技術(shù)，確保安全傳輸?shù)拿荑€建立和分發(fā)機(jī)制，確保數(shù)據(jù)自身安全的數(shù)據(jù)加密等[3]。這些技術(shù)都是被動(dòng)的防范，沒(méi)有對(duì)入侵的主動(dòng)檢測(cè)能力。而基于入侵檢測(cè)的物聯(lián)網(wǎng)安全技術(shù)是一種積極主動(dòng)的防御技術(shù)，入侵檢測(cè)系統(tǒng)主要通過(guò)監(jiān)控整個(gè)網(wǎng)絡(luò)和系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況來(lái)檢測(cè)系統(tǒng)用戶(hù)的越權(quán)使用以及系統(tǒng)外部入侵者對(duì)網(wǎng)絡(luò)或系統(tǒng)進(jìn)行入侵的企圖，不僅可以檢測(cè)來(lái)自外部的入侵，還可以監(jiān)控內(nèi)部用戶(hù)的非授權(quán)行為[4]。基于入侵檢測(cè)系統(tǒng)的物聯(lián)網(wǎng)安全體系作為保障物聯(lián)網(wǎng)安全的重要體系，已成為當(dāng)前物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的研究熱點(diǎn)。

本文主要對(duì)基于入侵檢測(cè)系統(tǒng)的物聯(lián)網(wǎng)安全體系結(jié)構(gòu)進(jìn)行論述，分析研究了基于入侵檢測(cè)系統(tǒng)的物聯(lián)網(wǎng)體系結(jié)構(gòu)特性，再根據(jù)物聯(lián)網(wǎng)中節(jié)點(diǎn)的組織關(guān)系，對(duì)物聯(lián)網(wǎng)入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)進(jìn)行分類(lèi)，提出了一個(gè)適應(yīng)物聯(lián)網(wǎng)需求的分布式入侵檢測(cè)系統(tǒng)模型，較好地兼顧了物聯(lián)網(wǎng)對(duì)安全性的需求和物聯(lián)網(wǎng)感知節(jié)點(diǎn)電源能量有限、通信能力和存儲(chǔ)能力有限的特征。

1 物聯(lián)網(wǎng)入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

物聯(lián)網(wǎng)由于受感知節(jié)點(diǎn)的電源能量有限、通信能力有限、計(jì)算和儲(chǔ)存能力有限等因素的限制，使得基于入侵檢測(cè)系統(tǒng)的物聯(lián)網(wǎng)安全體系需要根據(jù)物聯(lián)網(wǎng)的應(yīng)用環(huán)境進(jìn)行設(shè)計(jì)。

1.1 獨(dú)立的入侵檢測(cè)系統(tǒng)

物聯(lián)網(wǎng)的感知層電源能量有限，基于入侵檢測(cè)系統(tǒng)的物聯(lián)網(wǎng)安全結(jié)構(gòu)只在物聯(lián)網(wǎng)感知層的部分關(guān)鍵節(jié)點(diǎn)安裝入侵檢測(cè)系統(tǒng)，這些節(jié)點(diǎn)獨(dú)立工作，除了進(jìn)行數(shù)據(jù)采集外還進(jìn)行入侵檢測(cè)，它們沒(méi)有從屬關(guān)系，所采用的入侵檢測(cè)方法也不盡相同，所檢測(cè)到的信息直接通知中心節(jié)點(diǎn)。

I Onat等人提出了一種基于異常檢測(cè)的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)體系，為各傳感器節(jié)點(diǎn)植入入侵檢測(cè)模塊，構(gòu)建基于路徑的入侵檢測(cè)系統(tǒng)，雖然傳感器節(jié)點(diǎn)計(jì)算和通信能力有限，但它們有特定的屬性，如擁有穩(wěn)定的鄰居信息，它們的相鄰節(jié)點(diǎn)允許對(duì)異常網(wǎng)絡(luò)和收發(fā)器的行為進(jìn)行檢測(cè)，這些特性可以被用來(lái)推動(dòng)大型傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的發(fā)展。并指出在許多針對(duì)傳感器網(wǎng)絡(luò)的攻擊中，攻擊者的第一步是在網(wǎng)絡(luò)中建立自己的合法節(jié)點(diǎn)。

獨(dú)立的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)是實(shí)現(xiàn)和部署簡(jiǎn)單，但由于各個(gè)入侵檢測(cè)節(jié)點(diǎn)相互獨(dú)立，在相互協(xié)作方面比較差，可能導(dǎo)致感知區(qū)域產(chǎn)生大量冗余的感知信息，同時(shí)各入侵檢測(cè)節(jié)點(diǎn)只能檢測(cè)到自身所感知區(qū)域的數(shù)據(jù)。

1.2 入侵檢測(cè)節(jié)點(diǎn)平等合作的入侵檢測(cè)系統(tǒng)

在物聯(lián)網(wǎng)的感知網(wǎng)絡(luò)中，它們的相鄰節(jié)點(diǎn)允許對(duì)異常網(wǎng)絡(luò)和收發(fā)器的行為進(jìn)行檢測(cè)，根據(jù)物聯(lián)網(wǎng)這一特征，構(gòu)建各入侵檢測(cè)節(jié)點(diǎn)平等合作的入侵檢測(cè)系統(tǒng)，在安裝了入侵檢測(cè)系統(tǒng)的節(jié)點(diǎn)之間相互合作，交換檢測(cè)信息，共同判定入侵檢測(cè)結(jié)果。

如Strikos提出的本地代理入侵檢測(cè)系統(tǒng)包括如下部分：

（1）數(shù)據(jù)收集模塊。該模塊負(fù)責(zé)過(guò)濾原始感知數(shù)據(jù)，并將這些數(shù)據(jù)上報(bào)給本地檢測(cè)模塊；

（2）本地檢測(cè)模塊。該模塊針對(duì)數(shù)據(jù)收集模塊上報(bào)的數(shù)據(jù)，對(duì)規(guī)則數(shù)據(jù)庫(kù)查詢(xún)并進(jìn)行規(guī)則分析，判斷是否存在入侵并做出響應(yīng)；

（3）合作檢測(cè)模塊。當(dāng)本地檢測(cè)模塊發(fā)現(xiàn)入侵行為但不確定時(shí)，調(diào)用合作檢測(cè)模塊向相鄰節(jié)點(diǎn)以廣播的方式發(fā)送入侵檢測(cè)合作請(qǐng)求，收到入侵檢測(cè)合作請(qǐng)求的相鄰節(jié)點(diǎn)再以廣播的方式發(fā)送檢測(cè)到的入侵信息，綜合判斷是否存在入侵。

（4）進(jìn)行本地響應(yīng)和全局響應(yīng)。

這種入侵檢測(cè)系統(tǒng)的入侵檢測(cè)能力比獨(dú)立的入侵檢測(cè)系統(tǒng)有了明顯的改進(jìn)和提高，但該系統(tǒng)要求某一區(qū)域內(nèi)的多數(shù)節(jié)點(diǎn)都安裝和運(yùn)行入侵檢測(cè)系統(tǒng)，同時(shí)，節(jié)點(diǎn)間的合作需要廣播大量信息，當(dāng)網(wǎng)絡(luò)安全威脅相對(duì)較小時(shí)，就會(huì)造成資源浪費(fèi)，甚至嚴(yán)重影響網(wǎng)絡(luò)流量。

1.3 層次的入侵檢測(cè)系統(tǒng)

因?yàn)槲锫?lián)網(wǎng)感知層的感知節(jié)點(diǎn)能量有限，為避免像對(duì)等合作的入侵檢測(cè)系統(tǒng)那樣多數(shù)節(jié)點(diǎn)都運(yùn)行入侵檢測(cè)模塊以及節(jié)點(diǎn)間相互合作而產(chǎn)生大量廣播信息，提出層次的樹(shù)型入侵檢測(cè)系統(tǒng)。命令和控制節(jié)點(diǎn)在上層，匯聚節(jié)點(diǎn)在中間層，采集節(jié)點(diǎn)是葉節(jié)點(diǎn)，其基本模型如圖1所示。

（1）葉節(jié)點(diǎn)：負(fù)責(zé)數(shù)據(jù)采集的節(jié)點(diǎn)，進(jìn)行必要的過(guò)濾，并將數(shù)據(jù)傳遞給上層匯聚節(jié)點(diǎn)。

（2）匯聚節(jié)點(diǎn)：進(jìn)行數(shù)據(jù)信息的匯聚并從匯聚的數(shù)據(jù)中找出關(guān)鍵數(shù)據(jù)，同時(shí)利用數(shù)據(jù)融合等技術(shù)對(duì)來(lái)自葉節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行綜合，提高信息的準(zhǔn)確性。

（3）命令和控制節(jié)點(diǎn)：評(píng)估從匯聚節(jié)點(diǎn)中獲取的信息，進(jìn)行是否存在入侵的判斷，這也是層次結(jié)構(gòu)入侵檢測(cè)系統(tǒng)的核心部分，對(duì)攻擊評(píng)估的狀況做出響應(yīng)。endprint

物聯(lián)網(wǎng)的入侵檢測(cè)系統(tǒng)漏檢率低，但層次結(jié)構(gòu)的入侵檢測(cè)系統(tǒng)在數(shù)據(jù)傳送過(guò)程中，需進(jìn)行數(shù)據(jù)過(guò)濾和數(shù)據(jù)融合等相關(guān)操作，增加網(wǎng)絡(luò)延遲。同時(shí)匯聚節(jié)點(diǎn)對(duì)數(shù)據(jù)進(jìn)行匯聚時(shí)可能會(huì)丟失一些重要的入侵檢測(cè)信息，對(duì)網(wǎng)絡(luò)的魯棒性造成了一定影響。

2 基于入侵檢測(cè)系統(tǒng)的物聯(lián)網(wǎng)安全模型

鑒于入侵檢測(cè)在物聯(lián)網(wǎng)安全系統(tǒng)中的重要作用，除了要實(shí)現(xiàn)可靠的檢測(cè)能力，還必須滿(mǎn)足物聯(lián)網(wǎng)在減小通信開(kāi)銷(xiāo)、節(jié)能和檢測(cè)實(shí)時(shí)性等方面的要求，為此，提出了一種物聯(lián)網(wǎng)的入侵檢測(cè)模型。

2.1 系統(tǒng)結(jié)構(gòu)

根據(jù)物聯(lián)網(wǎng)的特殊性，單獨(dú)采用異常檢測(cè)或誤用檢測(cè)都很難達(dá)到較好的檢測(cè)效果。因此根據(jù)入侵檢測(cè)框架（CIDF），建立一個(gè)適應(yīng)物聯(lián)網(wǎng)需求的入侵檢測(cè)模型，如圖2所示。

如果異常檢測(cè)系統(tǒng)根據(jù)定義的正?；顒?dòng)的閾值，檢測(cè)到某一節(jié)點(diǎn)的活動(dòng)超過(guò)這一閾值時(shí)就發(fā)出警報(bào)并觸發(fā)誤用檢測(cè)系統(tǒng)，誤用檢測(cè)系統(tǒng)的檢測(cè)能力依賴(lài)于“入侵模式庫(kù)”的完備性。在物聯(lián)網(wǎng)中，這一步主要利用了物聯(lián)網(wǎng)中的“感知”能力。誤用檢測(cè)系統(tǒng)對(duì)可疑節(jié)點(diǎn)進(jìn)行全面、長(zhǎng)期的觀察，如果誤用檢測(cè)系統(tǒng)最終確認(rèn)該節(jié)點(diǎn)是入侵者就立即啟動(dòng)響應(yīng)單元，協(xié)調(diào)其他安全相關(guān)模塊的工作。檢測(cè)過(guò)程如圖3所示[4]。

2.2 異常檢測(cè)系統(tǒng)

異常檢測(cè)系統(tǒng)根據(jù)節(jié)點(diǎn)的活動(dòng)特征，以及物聯(lián)網(wǎng)系統(tǒng)資源的使用情況對(duì)是否存在入侵進(jìn)行判斷，建立物聯(lián)網(wǎng)節(jié)點(diǎn)和物聯(lián)網(wǎng)系統(tǒng)的正常行為規(guī)律的模型，檢測(cè)節(jié)點(diǎn)將當(dāng)前捕獲的節(jié)點(diǎn)活動(dòng)情況與模型對(duì)比，若節(jié)點(diǎn)的活動(dòng)偏離了正常軌跡，入侵行為很容易就被檢測(cè)出來(lái)。異常檢測(cè)系統(tǒng)中的監(jiān)控對(duì)象是檢測(cè)節(jié)點(diǎn)周?chē)墓?jié)點(diǎn)，比如入侵檢測(cè)節(jié)點(diǎn)附近節(jié)點(diǎn)的活動(dòng)情況；節(jié)點(diǎn)位置的移動(dòng)；所接收到信號(hào)的強(qiáng)弱和方向等。

2.3 誤用檢測(cè)系統(tǒng)

誤用檢測(cè)系統(tǒng)假定所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，根據(jù)以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征建立一個(gè)入侵信息庫(kù)，誤用檢測(cè)系統(tǒng)將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫(kù)中的特征信息進(jìn)行比較，如果匹配，就被認(rèn)定為是違背安全策略的行為或入侵[5]。誤用檢測(cè)系統(tǒng)檢測(cè)準(zhǔn)確度高，技術(shù)比較成熟。在上述體系中一旦異常檢測(cè)系統(tǒng)發(fā)現(xiàn)異常，就會(huì)觸發(fā)誤用檢測(cè)系統(tǒng)，誤用檢測(cè)系統(tǒng)就會(huì)將當(dāng)前的網(wǎng)絡(luò)行為特征與入侵信息庫(kù)中的特征信息進(jìn)行比較，如果匹配，系統(tǒng)就認(rèn)為發(fā)生了誤用或入侵，報(bào)警并進(jìn)行響應(yīng)。

2.4 性能分析

根據(jù)物聯(lián)網(wǎng)的特殊性，基于入侵檢測(cè)系統(tǒng)的物聯(lián)網(wǎng)安全體系必須在保證安全性的前提下充分考慮節(jié)能性。

2.4.1 安全性

本文提出的基于入侵檢測(cè)系統(tǒng)的物聯(lián)網(wǎng)安全體系綜合了異常檢測(cè)系統(tǒng)和誤用檢測(cè)系統(tǒng)的優(yōu)勢(shì)，異常檢測(cè)能夠根據(jù)被監(jiān)控的節(jié)點(diǎn)行為檢測(cè)出入侵或攻擊，入侵節(jié)點(diǎn)一旦進(jìn)入網(wǎng)絡(luò)就會(huì)被監(jiān)控；誤用檢測(cè)系統(tǒng)的漏檢率低、技術(shù)成熟、便于維護(hù)，能夠根據(jù)各種證據(jù)對(duì)入侵行為做出判斷。此外，檢測(cè)節(jié)點(diǎn)分布在不同的位置，能夠保證系統(tǒng)的可用性，并使系統(tǒng)的安全性和可靠性得到保證。

2.4.2 節(jié)能性

根據(jù)物聯(lián)網(wǎng)感知層的特殊性，節(jié)能是一個(gè)非常關(guān)鍵的因素。首先，異常檢測(cè)能耗低，只是被動(dòng)地監(jiān)聽(tīng)周?chē)?jié)點(diǎn)的活動(dòng)，無(wú)需發(fā)送報(bào)文。其次，誤用檢測(cè)系統(tǒng)也只有在被異常檢測(cè)系統(tǒng)觸發(fā)后才工作，節(jié)能性比較好。

3 結(jié) 語(yǔ)

基于入侵檢測(cè)的物聯(lián)網(wǎng)安全體系研究目前還不夠深入，依舊存在如何在物聯(lián)網(wǎng)有限的通信能力、有限的能量供應(yīng)感知節(jié)點(diǎn)中實(shí)現(xiàn)有效入侵檢測(cè)，降低入侵檢測(cè)虛警率，保障入侵檢測(cè)節(jié)點(diǎn)的安全等問(wèn)題。本文在對(duì)對(duì)等合作、層次結(jié)構(gòu)的入侵檢測(cè)系統(tǒng)等技術(shù)進(jìn)行研究和探討的基礎(chǔ)上，提出了一種分布式的綜合的基于入侵檢測(cè)的物聯(lián)網(wǎng)安全體系，該體系在保證系統(tǒng)安全性和可靠性的前提下，充分考慮了物聯(lián)網(wǎng)的節(jié)能問(wèn)題，利用物聯(lián)網(wǎng)中入侵檢測(cè)節(jié)點(diǎn)的智能感知能力，綜合異常檢測(cè)和誤用檢測(cè)來(lái)斷定入侵行為，為物聯(lián)網(wǎng)的安全體系構(gòu)建提供了一種新方案。

參考文獻(xiàn)

[1]喬安平.物聯(lián)網(wǎng)組網(wǎng)技術(shù)[M].北京：中國(guó)鐵道出版社，2013.

[2]劉強(qiáng)，崔莉，陳海明.物聯(lián)網(wǎng)關(guān)鍵技術(shù)與應(yīng)用[J].計(jì)算機(jī)科學(xué)，2010，37（6）：1-4.

[3]許毅.無(wú)線傳感器網(wǎng)絡(luò)原理及方法[M].北京：清華大學(xué)出版社，2012：213-217.

[4]羅守山.入侵檢測(cè)[M]北京：北京郵電大學(xué)出版社，2004：13-26.

[5]胡道元.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2008.

[6]楊黎斌，慕德俊，蔡曉妍.無(wú)線傳感網(wǎng)絡(luò)入侵檢測(cè)研究[J].計(jì)算機(jī)應(yīng)用研究，2008，25（11）：3204-3208.

[7]楊庚，許建，陳偉，等.物聯(lián)網(wǎng)安全特征與關(guān)鍵技術(shù)[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2010，30（4）：20-29.

[8]鄭和喜.WSN RFID物聯(lián)網(wǎng)原理與應(yīng)用[M].北京：電子工業(yè)出版社，2010.

[9]郁有文.傳感器原理及工程應(yīng)用[M].西安：西安電子科技大學(xué)出版社，2009.

[10]劉宴兵，胡文平.物聯(lián)網(wǎng)安全模型及關(guān)鍵技術(shù)[J].數(shù)字通信，2010，37（4）：28-33.endprint