一种可重构的物联网节点入侵检测方法

摘要

本发明公开了步骤1，在数据融合过程中根据逻辑运算关系建立信息流逻辑关系，并根据信息流逻辑关系形成入侵检测引擎；步骤2，进行入侵检测引擎多阈值扫描，超过阈值的传感器节点设置标签数据源；步骤3，设置标签数据源的传感器节点进行逻辑运算，如果根据运算结果判定设置的标签数据源对传感器节点有影响，则设置标签数据源的传感器节点停止发送来自该设置标签数据源的传感器节点的数据，否则继续发送来自该设置标签数据源的传感器节点的数据。本发明利用可编程逻辑器件的重构特性和多源融合物联网的特点，对物联网节点的硬件级信息流进行安全监控，有助于入侵攻击的定位和隔离，提高物联网现有入侵检测系统的灵活性和实时性。

说明书

技术领域

本发明涉及物联网及网络安全技术领域，尤其涉及一种可重构的物联网 节点入侵检测方法。

背景技术

入侵检测(Intrusion Detection)是在网络安全中已经存在的防御概 念，是指检测网络中违反安全策略行为的技术，能及时发现并报告系统中未 授权或异常的现象，是确保网络系统安全的第二道屏障。有关入侵检测在物 联网方面(多数专门针对无线传感器网络)的研究主要包括检测体系和检测 算法两部分。

检测体系主要包括分离检测体系、对等检测体系和层次化检测。分立检 测体系基于邻居节点信息的分布式异常检测结构方案，每个节点对邻居节点 维护一个接收缓冲区用来记录报文能量和分组到达速率。遇到匹配外数据， 则判断邻居节点异常，广播报警信息，通知基站进行处理。但是该方案不能 解决新增节点的问题，且能耗巨大，同时也缺乏对于节点损坏的处理。又如 在路径中随机选择节点进行检测的分立检测体系，根据单向hash链表实现数 据源身份鉴别防范路由DoS。虽然该方法不依赖公钥加密算法，但初始化和 维护工作较复杂。对等检测体系是Perrigy等提出使用μTESLA协议，添加额 外报文加、解密操作保障合作检测的安全传输。以及Strikos等人提出包括 数据收集引擎(data collection engine)，本地检测引擎(local detection  engine)，合作检测引擎(cooperative detection engine)和响应引擎 (response engine)的本地检测代理结构(local detection agent)，共同裁 决入侵检测结果，都是典型的对等检测体系。层次化检测体系是最后提出也 是目前常用的体系方式。Ngai提出一种三层的入侵检测结构，包括普通传感 节点，聚合节点和基站。Rajasegarar等人提出基于数据挖掘的分布式异常 检测：以基站为树根；父节点定期选举产生；子节点周期采样并对数据进行 相似分组。父节点和基站分别合并分组信息和汇总。虽然开销小，但实时性 比较差。Su等人在2005年提出的分簇式的能量节省入侵检测方案。针对簇 头和普通节点分别考虑能耗问题，但其分组划分机制增加乐实施难度和检测 准确程度。而后，同一实验室又提出了一种低能耗的混合入侵防御的eHIP 算法，这种入侵防御系统中包括了基于身份认证的入侵防护系统和基于协作 的入侵检测系统，能够适应不同安全级别的应用需求，但算法设计本身过于 复杂，仍然不适合资源有限的无线传感器网络。虽然入侵检测在有线和传统 无线自组织网络界已有不少研究成果，但在物联网方面由于其特殊性，整体 还处于初级的研究阶段。近几年的研究多集中于针对某一种或几种攻击而进 行的特定方法上。例如：Loo提出的针对路由拒绝服务攻击的方法，使用聚 类进行检索，虽然对未知攻击有一定的检测敏感度，但需要大量数据样本； Zeng提出的基于免疫的检测方法：具有已知和未知攻击双重检测能力，但缺 乏防误判激励，导致误报率高；Doumit提出将自然界中观察到的多个复杂的 现象总结抽象成为简单的物理定则，使用隐式马尔可夫模型来检测可能出现 的异常。但该算法过于理论化。针对选择性路由转发的攻击类型的三种主要 的算法：使用“区间规则”、使用预先特定声明，以及使用检测包丢失率， 均存在一定的复杂度和实时性的问题。另外，还有基于游戏模型的博弈理论 算法、基于分布式的贝叶斯算法、以及基于边缘区域的算法等。

虽然关于物联网入侵检测体系和算法的研究已经开始受到重视，但多数 研究成果过于理论化，且主要针对的是来自外部的入侵行为，而对节点自身 的感知数据的采集、运算、传输的安全性没有进行考虑，另外在灵活性和实 时性方面也有所欠缺。特别是对于在一个物联网终端节点上连接多个感知传 感器之后，针对内外部结合的入侵特殊性和实用性的研究还未见报道。因此， 亟需能够解决现在存在的算法复杂、实时性弱、误报率偏高、检测片面等问 题的新型入侵检测策略。另外，现有的物联网入侵检测系统多数移植了互联 网的解决思想，检测手段主要集中在软件层面，而没有关注物联网有别于互 联网的安全隐患主要在于感知源的不可信和易攻击。

发明内容

针对现有技术中存在的上述问题，本发明提供了一种可重构的物联网节 点入侵检测方法。

本发明提供了一种可重构的物联网节点入侵检测方法，包括：

步骤1，在数据融合过程中根据逻辑运算关系建立信息流逻辑关系，并 根据信息流逻辑关系形成入侵检测引擎；

步骤2，进行入侵检测引擎多阈值扫描，超过阈值的传感器节点设置标 签数据源；

步骤3，设置标签数据源的传感器节点进行逻辑运算，如果根据运算结 果判定设置标签数据源的传感器节点有影响，则设置标签数据源的传感器节 点停止发送来自该设置标签数据源的传感器节点的数据，否则继续发送来自 该设置标签数据源的传感器节点的数据。

在一个示例中，步骤2中，还进行信任度判别。

在一个示例中，步骤1中，先判定融合逻辑是否变化，如果是，则在数 据融合过程中根据逻辑运算关系建立阴影逻辑，并根据阴影逻辑形成入侵检 测引擎，否则直接执行步骤2。

在一个示例中，步骤3中，如果根据逻辑运算结果判定设置标签数据源 的传感器节点有影响，设置标签数据源的传感器节点还降低该设置标签数据 源的传感器节点的信任度。

本发明提供了一种可重构的物联网节点入侵检测方法，包括：

步骤1，在路由的基础上建立信息流逻辑关系，并根据信息流逻辑关系 分层形成入侵检测引擎；

步骤2，进行入侵检测引擎多阈值扫描，并对超过阈值的传感器节点设 置标签，该传感器节点被相邻的簇头覆盖；

步骤3，对设置标签的传感器节点进行逻辑运算，如果根据运算结果判 定设置标签的传感器节点有影响，则隔离该设置标签的传感器节点，否则继 续发送来自该设置标签的传感器节点的数据。

在一个示例中，步骤2中，还进行信任度判别。

在一个示例中，步骤1中，先判定拓扑或者逻辑是否变化，如果是，则 在路由的基础上建立信息流逻辑关系，并根据信息流逻辑关系分层形成入侵 检测引擎，否则直接执行步骤2。

在一个示例中，步骤3中，如果根据逻辑运算结果判定设置标签的传感 器节点有影响，还降低设置标签的传感器节点的信任度。

在一个示例中，如果根据逻辑运算结果判定设置标签的传感器节点有影 响，还上报该设置标签的传感器节点。

本发明利用可编程逻辑器件的重构特性和多源融合物联网的特点，对物 联网节点的硬件级信息流进行安全监控，有助于入侵攻击的定位和隔离，同 时能够减少能耗，提高物联网现有入侵检测系统的灵活性和实时性。

附图说明

下面结合附图来对本发明作进一步详细说明，其中：

图1a是二输入AND门；

图1b是加入了跟踪标签的阴影逻辑；

图1c是阴影逻辑的真值表；

图2是多源接入的终端节点上的入侵检测方法流程；

图3是可重构门级入侵检测机制示例；

图4是可重构物联网节点入侵检测流程图。

具体实施方式

本发明建立一种可重构的物联网入侵检测方法，其中使用了门级硬件信 息追踪技术(gate level information flow tracking，GLIFT)建立可重构 的安全“热点”追踪。其基本原理如下：

设原始逻辑为$f=f_n(A_1,A_2,...,A_n,\overline{A_1},\overline{A_2},...\overline{A_n})$

对每个变量(A_n和算一个变量)加入一个跟踪标签a_nt，已证明必定有 一个阴影逻辑(shadow logic)能够指示该逻辑的结果是否被标签标注(设 被标注值为1，否则为0)，其表达式为：

$\mathrm{sh}\left(f\right)=\mathrm{sh}(A_1,A_2,...,A_n,\overline{A_1},\overline{A_2},...\overline{A_n},a_{1t},a_{2t},...a_{\mathrm{nt}})$

图1a为一个二输入AND门的范例，图1b阴影的图形所表示的即为加入 跟踪标签a_t，b_t的阴影逻辑，其真值表如图1c所示，其中O表示原逻辑输出 值，o_t表示标注值，可以看到行4中，即使两个输入值都为0，但都被标签， 则结果的0也是被标签的。

在实际应用中，一般给被怀疑的输入变量设置标签。根据推算，可得到 所有逻辑组成的基本单元：N输入的AND门，OR门和XOR门的阴影逻辑表达 式如下：

$\mathrm{sh}(f=f_1·f_2·...·f_n)=\underset{i=1}{\overset{n}{\Pi }}(f_i+\mathrm{sh}\left(f_i\right))-f;$

$\mathrm{sh}(f=f_1+f_2+...+f_n)=\underset{i=1}{\overset{n}{\Pi }}(\overline{f_i}+\mathrm{sh}\left(f_i\right))-\bar{f};$

$\mathrm{sh}(f=f_1\oplus f_2\oplus ...\oplus f_n)=\underset{i=1}{\overset{n}{\Pi }}\mathrm{sh}\left(f_i\right).$

由上述分析可得，原始逻辑表明了运算结果，而阴影逻辑表明了该结果 的可信度，以及不可信因素来自于哪个输入变量，只要有相应的标签设置方 法，就能够进行门级的信息流追踪。

未来物联网智能终端技术的发展具备多感知源融合、新型感知器件(如 压缩感知)的接入、大规模组网的特点，多元数据信息将在节点进行数据融 合及预处理，而相应的检测手段也应与感知信息匹配，其过程具备抽象为数 学逻辑运算的可能。根据物联网的组网特点，本检测体系采用簇状分层结构， 每个簇头(cluster head)根据通信半径与几个终端传感器节点(sensor node) 进行数据交互，簇头与网关进行最终的数据交互。一般来讲，簇头与终端节 点都有感知能力，网关不具备感知能力。感知信息先在多源接入的节点上进 行初步融合处理，形成单点感知结果，再次由节点发送给相应簇的簇头节点， 进行进一步的融合，形成区域感知结果。任何一个融合过程都存在一定的逻 辑运算关系(取平均值，作为多输入门的判定等)，且该运算应该是在处理 器控制下的运算部件中完成的。因此，利用GLIFT技术能够通过这一逻辑关 系建立相应的阴影逻辑，结合协同怀疑点判定机制，将被追踪信号流程归结 为简单的门级二进制运算，再根据门运算的逻辑真值表在可编程逻辑硬件中 建立与之对应的阴影逻辑，对影响最终输出结果的怀疑节点报告上层并隔离 相应数据，对不影响最终输出结果的选择忽略(其怀疑可作为信任指数的评 估依据)。这样既能够实现从最终感知端到信息中心间的信息追踪，又节省 了对入侵检测结果反应的时间和运算复杂度，从而建立灵活可重构的入侵检 测系统。

多源接入的终端节点上的入侵检测方法为，各个传感器通过接口或者 A/D转换器将数据采集到总线上，利用预先设定的阈值初步设定标签数据源 (数值过大或者过小)。在数据融合过程中根据实际应用的需要，各传感器 采集数据将通过一定的逻辑运算关系得到信息处理结果(如多路选通等)。 本发明指出，由前述的GLIFT方法建立与运算关系一一对应的阴影逻辑，形 成该终端节点的入侵检测引擎(Intrusion Detection Engine，IDE)，其阴 影逻辑最终输出值表明该节点的融合结果是否收到标签数据源的影响。如果 阴影逻辑输出值为1，则表明该终端节点的融合结果(即上层网络发送的数 据结果)受到了由其中一个或多个标签的数据源影响，属于不可靠节点，则 节点设备根据此条件触发内部终端，由其总线上的嵌入式处理器控制，立刻 停止向外发送数据，同时隔离该数据源对其他IP的访问(如存储器等)，并 在下一轮数据采集传输时仍然标注该传感器数据源为标签数据源；如果阴影 逻辑输出值为0，则表示标签数据源对输出数据无影响，可继续正常发送， 完成正常存储操作等，其流程如图2所示：

步骤201，传感器节点采集数据；

步骤202，传感器节点判定对采集数据进行整合和处理的融合逻辑是否 变化，如果是，执行步骤203，否则执行步骤205；

步骤203，传感器节点建立信息逻辑流关系；

步骤204，传感器节点运算得到阴影逻辑，从而建立IDE；

步骤205，传感器节点进行IDE多阈值扫描和信任度判别；

步骤206，传感器节点判定是否超过阈值，如果是，执行步骤207，否则 执行步骤205；

步骤207，传感器节点设置标签数据源；

步骤208，传感器节点根据阴影逻辑的运算输出值判定是否影响，如果 为1，则表明有影响存在，执行步骤209，否则执行步骤210；

步骤209，传感器节点停止传感器节点数据向外发送，隔离数据源对其 他总线设备的影响，执行步骤205；

步骤210，传感器节点忽略影响，继续发送传感器节点数据，执行步骤 205。

簇头节点的入侵检测方法较为复杂，具体如图3所示，假设节点采集的 为感知区域内的温度信息，各节点采集到的温度值将在簇头点进行取平均值 运算，再通过网关传输给基站。利用预先设定的阈值初步怀疑节点D受到了 攻击(数值过大或者过小)，称为热点，并被标签。假设根据网络通信结构， D可以通过两个簇头C1和C2分别将数据传到网关，在这个过程中分别发生 了两种路由对应的数据融合逻辑关系，即D的温度数据与C1区域的节点采集 数据求平均值，或者D的温度数据与C2区域的节点采集数据求平均值。在 C1与C2上分别建立硬件门级的信息流阴影逻辑f1和f2。

C1和C2的阴影逻辑f1和f2有三种不同的结果：全为1，全为0和一个 为1一个为0。下面分别说明其处理过程：

全为1说明所设定标签的协同确认怀疑点D的数据影响了簇头C1和C2 的输出结果，需要进行数据隔离，结合拓扑结构即能够确定两个簇共有区域 为热点区域，共有节点D为热点，同时根据信息包可知可疑行为的发生时间 (标签时间)和类型等信息。数据隔离的过程分为两个方面，第一，C1和C2 将自动停止向网关(Gate way)发送本轮采集数据，只发送警告信息，说明 自己下属区域出现怀疑热点；第二，C1和C2将降低D节点在本簇内的信任 度(设初始值为5，每次+1或者-1)，且下一轮数据处理仍标注D为标签点。

全为0说明虽然在簇中出现了怀疑热点，但其数据最终并没有影响簇头 C1和C2的输出结果，出于低功耗的考虑，可以忽略D的作用，继续按照正 常模式将簇头得到的数据打包发送给Gate way。但需要降低D节点在本簇内 的信任度(例如设初始值为5，每次+1或者-1)，且下一轮数据处理仍标注 D为标签点。

一个为1一个为0说明怀疑热点部分影响了簇头输出结果，对为1的簇 按照全1操作中的方式进行隔离，对于0的簇则按照全0操作中的方式进行 正常传输和信任度降级处理。

信任度的作用为：当节点信任度为满分时，为授信节点，不做标签；为 0到满分的中间值时，均做标签；一旦信任度降为0，说明该点超过了容忍限 度，将被其簇头主动丢弃出网络，并且阻止网内其他簇头再接受它的加入请 求。

当网络拓扑结构发生变化重组或者感知源信息的逻辑运算发生变化后， 通过组网协议对簇头进行重新认定和重构阴影逻辑，再次建立新的检测体系， 即实现了与实时网络情况相适应的可重构物联网节点入侵检测。

这一方法的实现改变了以往的入侵检测模式，仅通过添加一些可配置的 逻辑门就能够实现对可疑“热点”的灵活判定和处理，同时也能够避免因为 处理无影响热点而浪费系统运算资源。攻击一经区域协同确认，可立即采取 数据隔离等后续主动防御措施，提高反应效率。大致流程如下图：

步骤401，簇头节点进行网络维护；

步骤402，簇头节点判定拓扑/逻辑是否变化，如果是，执行步骤403， 否则执行步骤405；

步骤403，簇头节点在路由基础上建立信息流逻辑关系；

步骤404，簇头节点分层建立IDE；

步骤405，簇头节点进行IDE多阈值扫描和信任度判别；

步骤406，簇头节点判定是否超过阈值，如果是，执行步骤407，否则执 行步骤405；

步骤407，簇头节点设置标签点；

步骤408，簇头节点进行邻簇协同判别；

步骤409，簇头节点控制下判定是否影响，如果是，执行步骤410，否则 执行步骤412；

步骤410，簇头节点上报处理，定位热点，隔离热点对其他总线设备的 影响；

步骤411，簇头节点降低热点信任度，执行步骤405；

步骤412，无效热点，忽略数据；

步骤413，簇头节点降低热点信任度，执行步骤405。

以上所述仅为本发明的优选实施方式，但本发明保护范围并不局限于此。 任何本领域的技术人员在本发明公开的技术范围内，均可对其进行适当的改 变或变化，而这种改变或变化都应涵盖在本发明的保护范围之内。