一種物聯(lián)網(wǎng)攻擊檢測系統(tǒng)和攻擊檢測方法
【專利摘要】本發(fā)明公開了一種物聯(lián)網(wǎng)攻擊檢測系統(tǒng)�,由無線網(wǎng)絡接口模塊、數(shù)據(jù)存儲模塊�����、分析判決模塊�����、入侵響應模塊組成�����,無線網(wǎng)絡接口模塊的輸入端接網(wǎng)絡,輸出端接所述的數(shù)據(jù)存儲模塊的輸入端����,該數(shù)據(jù)存儲模塊的輸出端與所述的分析判決模塊的輸入端相連�,該分析判決模塊的輸出端接所述的入侵響應模塊的輸入端,該入侵響應模塊的輸出端接所述的無線網(wǎng)絡接口模塊的第二輸入端���。本發(fā)明可以有效避免泛洪攻擊�,使物聯(lián)網(wǎng)擁有更多防御特性�,為今后的開發(fā)者做出反擊功能奠定堅實的基礎。
【專利說明】一種物聯(lián)網(wǎng)攻擊檢測系統(tǒng)和攻擊檢測方法
【技術領域】
[0001]本發(fā)明涉及物聯(lián)網(wǎng)��,特別是一種物聯(lián)網(wǎng)攻擊檢測裝置和攻擊檢測方法����,是根據(jù)物聯(lián)網(wǎng)泛洪攻擊提出一種物聯(lián)網(wǎng)攻擊檢測系統(tǒng)和攻擊檢測方法,該系統(tǒng)通過從節(jié)點行為數(shù)據(jù)中分離出明顯的異常行為�,從而檢測異常節(jié)點,并分析了檢測方法的參數(shù)選取及錯誤率��。
【背景技術】
[0002]物聯(lián)網(wǎng)(Internet of Things)是通過射頻識別(RFID)��、紅外感應器����、全球定位系統(tǒng)��、激光掃描器�、氣體感應器等信息傳感設備���,按約定的協(xié)議����,把任何物品與互聯(lián)網(wǎng)連接起來����,進行信息交換和通訊,以實現(xiàn)智能化識別���、定位����、跟蹤�、監(jiān)控和管理的一種網(wǎng)絡。物聯(lián)網(wǎng)在軍事�����、商業(yè)、環(huán)境監(jiān)測等眾多領域有著廣闊的應用前景��?�;谖锫?lián)網(wǎng)(Internet ofThings)的物聯(lián)網(wǎng)安全也越來越受重視���。但是信息傳播媒介的開放性和惡劣的部署環(huán)境,給物聯(lián)網(wǎng)的安全帶來了極大隱患���,嚴重制約著物聯(lián)網(wǎng)的應用�。物聯(lián)網(wǎng)面對的主要安全威脅有Dos攻擊����、重放攻擊、完整性攻擊���、虛假路由信息攻擊和泛洪攻擊���。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的在于提供一種物聯(lián)網(wǎng)攻擊檢測裝置和攻擊檢測方法,該系統(tǒng)通過從節(jié)點行為數(shù)據(jù)中分離出明顯地異常行為���,從而檢測異常節(jié)點�,并分析了檢測算法的參數(shù)選取及錯誤率。該模型為物聯(lián)網(wǎng)的普及使用具有重大意義:首先�����,使用該模型可以有效避免泛洪攻擊�����;其次���,使用者可以在該模型的基礎上進行修改�����,使物聯(lián)網(wǎng)擁有更多防御特性?’最后�,該模型也為今后的開發(fā)者做出反擊功能奠定堅實的基礎����。
[0004]本發(fā)明的技術解決方案如下:
[0005]一種物聯(lián)網(wǎng)攻擊檢測系`統(tǒng),其特點在于該系統(tǒng)由無線網(wǎng)絡接口模塊�、數(shù)據(jù)存儲模塊、分析判決模塊�����、入侵響應模塊組成,所述的無線網(wǎng)絡接口模塊的輸入端接網(wǎng)絡�,輸出端接所述的數(shù)據(jù)存儲模塊的輸入端,該數(shù)據(jù)存儲模塊的輸出端與所述的分析判決模塊的輸入端相連��,該分析判決模塊的輸出端接所述的入侵響應模塊的輸入端��,該入侵響應模塊的輸出端接所述的無線網(wǎng)絡接口模塊的第二輸入端����。
[0006]利用所述的物聯(lián)網(wǎng)攻擊檢測系統(tǒng)的對物聯(lián)網(wǎng)攻擊的檢測方法,該方法包括如下步驟:
[0007]①啟動檢測系統(tǒng)�����;
[0008]②所述的無線網(wǎng)絡接口模塊從網(wǎng)絡的RREQ報文中獲取報文信息經(jīng)數(shù)據(jù)緩沖區(qū)相所述的數(shù)據(jù)存取模塊輸出�;
[0009]③所述的數(shù)據(jù)存取模塊接收無線接口模塊發(fā)來的數(shù)據(jù)�,從中獲取統(tǒng)計信息,將該信息存入數(shù)據(jù)域以待分析判決模塊讀?。?br>
[0010]④所述的分析判決模塊從所述的數(shù)據(jù)存儲模塊讀入待檢測數(shù)據(jù)并進行分析�,通過在全網(wǎng)范圍內(nèi)的各個節(jié)點發(fā)送RREQ報文頻率的比對分離出異常節(jié)點,計算所有節(jié)點的距離函數(shù)�����,使用改進的KNN算法來對分析結(jié)果進行判決:[0011]當發(fā)現(xiàn)惡意節(jié)點,則將所發(fā)現(xiàn)的異常節(jié)點輸入所述的入侵響應模塊�,進入步驟⑤,否則轉(zhuǎn)入步驟⑦�����;
[0012]⑤所述的入侵相應模塊將惡意節(jié)點加入到黑名單��,遞交無線網(wǎng)絡接口模塊��,通過黑名單廣播機制實現(xiàn)入侵響應��;
[0013]⑥所有正常節(jié)點收到黑名單后不再接收�����、轉(zhuǎn)發(fā)其中的異常節(jié)點的RREQ報文����,并且向其他節(jié)點轉(zhuǎn)發(fā)這份黑名單,以實現(xiàn)攻擊響應�����;
[0014]⑦最后,所述的分析判決模塊將統(tǒng)計數(shù)據(jù)清零�����。
[0015]本發(fā)明的技術效果如下:
[0016]本發(fā)明系統(tǒng)通過從節(jié)點行為數(shù)據(jù)中分離出明顯地異常行為�,從而檢測異常節(jié)點,并分析了檢測算法的參數(shù)選取及錯誤率����。該模型為物聯(lián)網(wǎng)的普及使用具有重大意義:首先,使用該模型可以有效避免泛洪攻擊���;其次���,使用者可以在該模型的基礎上進行修改,使物聯(lián)網(wǎng)擁有更多防御特性�;最后��,該模型也為今后的開發(fā)者做出反擊功能奠定堅實的基礎�。
【專利附圖】
【附圖說明】
[0017]圖1是KNN入侵檢測算法示意圖
[0018]圖2為本發(fā)明入侵檢測系統(tǒng)的流程圖
[0019]圖3是本發(fā)明物聯(lián)網(wǎng)攻擊檢測系統(tǒng)各模塊的關系圖
【具體實施方式】
[0020]下面結(jié)合實施例和附圖對本發(fā)明作進一步說明,但不應以此限制本發(fā)明的保護范圍����。
[0021]先請參閱圖3�,由圖可見���,本發(fā)明物聯(lián)網(wǎng)攻擊檢測系統(tǒng)�,由無線網(wǎng)絡接口模塊���、數(shù)據(jù)存儲模塊����、分析判決模塊��、入侵響應模塊組成�����,所述的無線網(wǎng)絡接口模塊的輸入端接網(wǎng)絡�,輸出端接所述的數(shù)據(jù)存儲模塊的輸入端,該數(shù)據(jù)存儲模塊的輸出端與所述的分析判決模塊的輸入端相連���,該分析判決模塊的輸出端接所述的入侵響應模塊的輸入端��,該入侵響應模塊的輸出端接所述的無線網(wǎng)絡接口模塊的第二輸入端��。
[0022]本發(fā)明的基本原理如下:
[0023](一)�、物聯(lián)網(wǎng)中基于KNN的入侵檢測算法設計:
[0024]K最近鄰(Κ-Nearest Neighbor,KNN)分類算法是一個理論上比較成熟��,復雜度較低的數(shù)據(jù)挖掘算法����。其基本思想是:在一個樣本空間中,一個樣本屬于某個類別�,如果其K個最鄰近樣本中的大多數(shù)屬于該類別。所謂“最鄰近”是指在用于描述樣本的單維或多維特征矢量上的“最接近”�����,而“最接近”的評判標準可以是特征矢量的歐氏距離��。由于該算法不需要樣本的分布模型�,故其特別適合于分析無法確定分布模型的樣本集。
[0025]在實際入侵檢測算法中���,往往用一個η維矢量表示節(jié)點��,如{al,a2����,....�����,an}���。這些維度可以是:一段時間內(nèi)發(fā)送的路由報文的總數(shù)、在節(jié)點發(fā)送的路由報文中不同目的節(jié)點的總數(shù)�、在節(jié)點接收的路由報文中同源節(jié)點的總數(shù)等等。一般情況下�����,相同類型的節(jié)點總有相同的特征��,因而異常節(jié)點就會被區(qū)分出來��,如圖1所示��。
[0026]基于KNN挖掘算法的物聯(lián)網(wǎng)入侵檢測算法(以下簡稱“KNN檢測”)需要兩個參數(shù):選擇最鄰近節(jié)點個數(shù)K和判定異常節(jié)點的閾值cutoff.K的取值范圍為[I, Card(NS)-1], cutoff應該為非負數(shù)�����。為描述該算法流程��,進行如下定義:
[0027]I)用于描述節(jié)點i的特征向量為{apbi,....}��,共η維�����;
[0028]2)網(wǎng)絡中的總節(jié)點集合(包括異常節(jié)點和正常節(jié)點)為NS ����;
[0029]3)兩個不同節(jié)點i和j的歐氏距離為:
[0030]
【權利要求】
1.一種物聯(lián)網(wǎng)攻擊檢測系統(tǒng),其特征在于該系統(tǒng)由無線網(wǎng)絡接口模塊�、數(shù)據(jù)存儲模塊、分析判決模塊���、入侵響應模塊組成���,所述的無線網(wǎng)絡接口模塊的輸入端接網(wǎng)絡,輸出端接所述的數(shù)據(jù)存儲模塊的輸入端���,該數(shù)據(jù)存儲模塊的輸出端與所述的分析判決模塊的輸入端相連����,該分析判決模塊的輸出端接所述的入侵響應模塊的輸入端��,該入侵響應模塊的輸出端接所述的無線網(wǎng)絡接口模塊的第二輸入端。
2.權利要求1所述的物聯(lián)網(wǎng)攻擊檢測系統(tǒng)的對物聯(lián)網(wǎng)攻擊的檢測方法�,其特征在于該方法包括如下步驟: ①啟動檢測系統(tǒng)��; ②所述的無線網(wǎng)絡接口模塊從網(wǎng)絡的RREQ報文中獲取報文信息經(jīng)數(shù)據(jù)緩沖區(qū)相所述的數(shù)據(jù)存取模塊輸出����; ③所述的數(shù)據(jù)存取模塊接收無線接口模塊發(fā)來的數(shù)據(jù),從中獲取統(tǒng)計信息�,將該信息存入數(shù)據(jù)域以待分析判決模塊讀取��; ④所述的分析判決模塊從所述的數(shù)據(jù)存儲模塊讀入待檢測數(shù)據(jù)并進行分析�����,通過在全網(wǎng)范圍內(nèi)的各個節(jié)點發(fā)送RREQ報文頻率的比對分離出異常節(jié)點��,計算所有節(jié)點的距離函數(shù)�����,使用改進的KNN算法來對分析結(jié)果進行判決: 當發(fā)現(xiàn)惡意節(jié)點���,則將所發(fā)現(xiàn)的異常節(jié)點輸入所述的入侵響應模塊��,進入步驟⑤����,否則轉(zhuǎn)入步驟⑦; ⑤所述的入侵相應模塊將惡意節(jié)點加入到黑名單�,遞交無線網(wǎng)絡接口模塊,通過黑名單廣播機制實現(xiàn)入侵響應���; ⑥所有正常節(jié)點收到黑名單后不再接收���、轉(zhuǎn)發(fā)其中的異常節(jié)點的RREQ報文,并且向其他節(jié)點轉(zhuǎn)發(fā)這份黑名單�,以實現(xiàn)攻擊響應; ⑦最后�����,所述的分析判決模塊將統(tǒng)計數(shù)據(jù)清零�。
【文檔編號】H04L29/06GK103731433SQ201410015400
【公開日】2014年4月16日 申請日期:2014年1月14日 優(yōu)先權日:2014年1月14日
【發(fā)明者】易平, 李文超, 吳越, 潘理, 李建華 申請人:上海交通大學