CN103731433A - 一种物联网攻击检测系统和攻击检测方法 - Google Patents

Abstract

本发明公开了一种物联网攻击检测系统，由无线网络接口模块、数据存储模块、分析判决模块、入侵响应模块组成，无线网络接口模块的输入端接网络，输出端接所述的数据存储模块的输入端，该数据存储模块的输出端与所述的分析判决模块的输入端相连，该分析判决模块的输出端接所述的入侵响应模块的输入端，该入侵响应模块的输出端接所述的无线网络接口模块的第二输入端。本发明可以有效避免泛洪攻击，使物联网拥有更多防御特性，为今后的开发者做出反击功能奠定坚实的基础。

Description

一种物联网攻击检测系统和攻击检测方法

技术领域

本发明涉及物联网，特别是一种物联网攻击检测装置和攻击检测方法，是根据物联网泛洪攻击提出一种物联网攻击检测系统和攻击检测方法，该系统通过从节点行为数据中分离出明显的异常行为，从而检测异常节点，并分析了检测方法的参数选取及错误率。

背景技术

物联网（Internet of Things）是通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器、气体感应器等信息传感设备，按约定的协议，把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网在军事、商业、环境监测等众多领域有着广阔的应用前景。基于物联网(Internet of Things)的物联网安全也越来越受重视。但是信息传播媒介的开放性和恶劣的部署环境，给物联网的安全带来了极大隐患，严重制约着物联网的应用。物联网面对的主要安全威胁有Dos攻击、重放攻击、完整性攻击、虚假路由信息攻击和泛洪攻击。

发明内容

本发明的目的在于提供一种物联网攻击检测装置和攻击检测方法，该系统通过从节点行为数据中分离出明显地异常行为，从而检测异常节点，并分析了检测算法的参数选取及错误率。该模型为物联网的普及使用具有重大意义：首先，使用该模型可以有效避免泛洪攻击；其次，使用者可以在该模型的基础上进行修改，使物联网拥有更多防御特性；最后，该模型也为今后的开发者做出反击功能奠定坚实的基础。

本发明的技术解决方案如下：

一种物联网攻击检测系统，其特点在于该系统由无线网络接口模块、数据存储模块、分析判决模块、入侵响应模块组成，所述的无线网络接口模块的输入端接网络，输出端接所述的数据存储模块的输入端，该数据存储模块的输出端与所述的分析判决模块的输入端相连，该分析判决模块的输出端接所述的入侵响应模块的输入端，该入侵响应模块的输出端接所述的无线网络接口模块的第二输入端。

利用所述的物联网攻击检测系统的对物联网攻击的检测方法，该方法包括如下步骤：

①启动检测系统；

②所述的无线网络接口模块从网络的RREQ报文中获取报文信息经数据缓冲区相所述的数据存取模块输出；

③所述的数据存取模块接收无线接口模块发来的数据，从中获取统计信息，将该信息存入数据域以待分析判决模块读取；

④所述的分析判决模块从所述的数据存储模块读入待检测数据并进行分析，通过在全网范围内的各个节点发送RREQ报文频率的比对分离出异常节点，计算所有节点的距离函数，使用改进的KNN算法来对分析结果进行判决：

当发现恶意节点，则将所发现的异常节点输入所述的入侵响应模块，进入步骤⑤，否则转入步骤⑦；

⑤所述的入侵相应模块将恶意节点加入到黑名单，递交无线网络接口模块，通过黑名单广播机制实现入侵响应；

⑥所有正常节点收到黑名单后不再接收、转发其中的异常节点的RREQ报文，并且向其他节点转发这份黑名单，以实现攻击响应；

⑦最后，所述的分析判决模块将统计数据清零。

本发明的技术效果如下：

本发明系统通过从节点行为数据中分离出明显地异常行为，从而检测异常节点，并分析了检测算法的参数选取及错误率。该模型为物联网的普及使用具有重大意义：首先，使用该模型可以有效避免泛洪攻击；其次，使用者可以在该模型的基础上进行修改，使物联网拥有更多防御特性；最后，该模型也为今后的开发者做出反击功能奠定坚实的基础。

附图说明

图1是KNN入侵检测算法示意图

图2为本发明入侵检测系统的流程图

图3是本发明物联网攻击检测系统各模块的关系图

具体实施方式

下面结合实施例和附图对本发明作进一步说明，但不应以此限制本发明的保护范围。

先请参阅图3，由图可见，本发明物联网攻击检测系统，由无线网络接口模块、数据存储模块、分析判决模块、入侵响应模块组成，所述的无线网络接口模块的输入端接网络，输出端接所述的数据存储模块的输入端，该数据存储模块的输出端与所述的分析判决模块的输入端相连，该分析判决模块的输出端接所述的入侵响应模块的输入端，该入侵响应模块的输出端接所述的无线网络接口模块的第二输入端。

本发明的基本原理如下：

（一）、物联网中基于KNN的入侵检测算法设计：

K最近邻(K-Nearest Neighbor，KNN)分类算法是一个理论上比较成熟，复杂度较低的数据挖掘算法。其基本思想是：在一个样本空间中，一个样本属于某个类别，如果其K个最邻近样本中的大多数属于该类别。所谓“最邻近”是指在用于描述样本的单维或多维特征矢量上的“最接近”，而“最接近”的评判标准可以是特征矢量的欧氏距离。由于该算法不需要样本的分布模型，故其特别适合于分析无法确定分布模型的样本集。

在实际入侵检测算法中，往往用一个n维矢量表示节点，如{a1,a2,....,an}。这些维度可以是：一段时间内发送的路由报文的总数、在节点发送的路由报文中不同目的节点的总数、在节点接收的路由报文中同源节点的总数等等。一般情况下，相同类型的节点总有相同的特征，因而异常节点就会被区分出来，如图1所示。

基于KNN挖掘算法的物联网入侵检测算法（以下简称“KNN检测”）需要两个参数：选择最邻近节点个数K和判定异常节点的阈值cutoff.K的取值范围为[1,card(NS)-1],cutoff应该为非负数。为描述该算法流程，进行如下定义：

1)用于描述节点i的特征向量为{a_i,b_i,....},共n维；

2)网络中的总节点集合（包括异常节点和正常节点）为NS；

3)两个不同节点i和j的欧氏距离为：

$\mathrm{eudis}(i,j)=\sqrt{\underset{x=a,b,...}{\mathrm{\Σ}}{|x_i-x_j|}^2}---\left(2.1\right)$

4)节点i的欧氏距离集：ES={eudis(i,j)|j≠i,j∈NS}

5)节点j是节点i的“K个最邻近节点”或“最邻近节点”，如果节点i的欧氏距离集ES中除eudis(i,j)外，比eudis(i,j)小的元素的个数少于K个，即eudis(i,j)是所有ES元素中前K个最小的；

6)节点i的K-距离函数dis_K(i)为NS中i与其所有的K个最邻近节点欧氏距离的和，再除以K，即 ${\mathrm{dis}}_k\left(i\right)=\underset{d\∈\mathrm{ES}}{\mathrm{\Σ}}d/K---\left(2.2\right)$

其中j是i的“K个最邻近节点”。KNN检测算法时间复杂度为O(n²log K).

（二）、KNN的算法优化

KNN检测算法时间复杂度为O(n²logk)，随着数据集NS的大小平方增长。其计算量可能超出一些检测设备所能承担，为优化KNN检测算法，根据KNN算法特点，使用分治策略对其进行优化，优化后的算法显然与原算法效果相同。

根据异常节点的特点，如果在NS的子集NS'中，某一点B不是异常节点，那么它在NS中也一定不是异常节点。所以如果某一点B在一个较小的数据集（如NS的子集NS'）中就不是异常节点，可以快速将其排除，从而提高效率。实际上，异常节点的数量是不多的，能够被排除的点数量客观。优化步骤如下：

1、若|NS|<2*K，则使用简单直接计算的算法，找出异常节点。

2、若|NS|>=2*K，则将集合S拆分为两个子集NS₁、NS₂，拆分方法可以任意，但|NS₁|>K*|NS₂|>K.

a）递归地处理子集NS₁、NS₂，分别找到两个子集中的异常节点。只有这些点有可能是在NS上的异常节点。

B）合并结果。从候选异常节点中筛选出在NS上的异常节点。

由上述优化步骤，可以分析优化后的算法复杂度。

设时间复杂度为F(n),则在步骤2中，

其中c(n)表示从n个点中平均找到的异常节点个数。为了简化分析，假定c(n)=α·n，其中α为常数，且0<α<1。

同时结合步骤1，得到如下方程组：

$\left\{\begin{array}{c}F\left(n\right)=2F\left(\frac{n}{2}\right)+2\left(\frac{\mathrm{\&alpha;}\&CenterDot;n}{2}\right)n\log k\\ F\left(2k\right)={\left(2k\right)}^2\log k\end{array}\right.---\left(2.3\right)$

解得：

F(n)=(1-2α)knlogk+2αn²logk   （2.4）

一般情况下α应该很小，即α与

成正比，则算法的时间复杂度为O(knlogk)。

（三）、KNN检测算法在泛洪攻击方面的应用

在KNN检测中，K值的选取是影响检测有效性和开销的重要环节，而cutoff直接影响检测算法的错误率。将KNN检测算法使用在泛洪攻击方面，便利用了异常节点“发送RREQ报文频率远远高于正常节点”这一特征，通过在全网范围内的各个节点发送RREQ报文频率的比对分离出异常节点，即用于描述节点的特征向量选取节点发送RREQ报文频率这个一维向量。这里将讨论K值与网络规模、期望异常节点数的关系，以及cutoff的选取对检测算法错误率的影响。

3.1研究假设与定义

为论述参数选取的理论分析，对KNN挖掘检测的分析模型做以下假设与定义：

1）使用（一）的相关定义；

2）网络正常节点数为m₁,异常节点数为m₂,其中，m₂既包括泛洪攻击节点，也包括人为设定的发送RREQ报文频率较高的节点，并且m₁>m₂,

card(NS)=m₁+m₂.网络中的检测节点知道m₁值，同时可估计m₂值的大致范围或上限；（NS为网络中的总节点集合（包括异常节点和正常节点），KNN挖掘算法中选择最邻近节点个数K的取值范围为[1,card(NS)-1]）

3）“合适K值”是那些使得异常节点的K-距离函数尽可能大，而正常节点的K-距离函数尽可能小的值。同时由于K值还影响检测算法的时间复杂度，故“最优K值”应是上述合适K值中最小的。

3.2K值分析

KNN检测算法通过比较每个节点的K-距离函数dis_k()(式2-2)与参数cutoff的大小来判定异常节点，而K值影响K-距离函数dis_k()的计算结果。

某个值是否属于“合适K值”受集合NS中节点在特征向量表示的n维空间中的分布影响。

3.3错误率分析与cutoff值的选取

KNN检测算法中用于判定异常节点的参数cutoff直接影响着检测效果，在选取“合适K值”的情况下，分析参数cutoff对检测错误率的影响及该参数的选取方法。由于错误率计算需要集合NS中节点在n维空间中的分布模型，而基于物联网的特点，目前无法给出其的单一的、准确的通信模型，故本节分析假设分布模型已知。对于未知分布模型的网络，则无法通过计算贝叶斯最小错误率来求的最理想的cutoff值——使得检测算法错误率最低的cutoff值。但能够肯定的是通过对网络的观测和统计，可以确定cutoff值的范围。

KNN算法错误率的范围为[R*,2R*),其中R*为贝叶斯最小错误率。R*计算方法如下：

根据贝叶斯决策，平均错误率计算公式为：

$P\left(e\right)={\&Integral;}_{-\&infin;}^{\&infin;}p(e,x)\mathrm{dx}={\&Integral;}_{-\&infin;}^{\&infin;}p\left(e\right|x)p\left(x\right)\mathrm{dx}---\left(3.1\right)$

式中，p(x)为先验概率，p(e|x)为误判的后验概率。当判断类别的后验概率相等时，得到最小错误率R*.

上式的后验概率由贝叶斯公式求出，即p(e|x)的计算需要p(w_i)和条件概率p(x|w_i).显然在KNN检测算法中，节点只分为两类：w₁类为异常节点类；w₂为正常节点类。

p(w_i)为经验值或实验值，无法通过理论分析给出，初始的先验概率可以假设为平均分布，即

$p\left(w_1\right)=\frac{m}{N},p\left(w_2\right)=\frac{n}{N},p\left(w_1\right)+p\left(w_2\right)=1---\left(3.2\right)$

条件概率p(x|w_i)由集合NS中节点在n维空间中的分布模型和检测算法决定，在选择“合适K值”的前提下，如上所述，设

p(x|w₁)=f₁(x)   (3.3)

p(x|w₂)=f₂(x)   (3.4)

因此，由贝叶斯公式可得后验概率为

$p\left(w_i\right|x)=\frac{p\left(x\right|w_i)p\left(w_i\right)}{\underset{j=1}{\overset{2}{\mathrm{\&Sigma;}}}p\left(x\right|w_j)p\left(w_j\right)}---\left(3.5\right)$

误判有两种情况：漏警和虚警。其中漏警概率p(e₁,x<cutoff)和虚警概率p(e₂,x>cutoff)定义如下：

p(e₁,x<cutoff)=p(w₁|x<cutoff)×p(x<cutoff)   (3.6)

p(e₂,x>cutoff)=p(w₂|x>cutoff)×p(x>cutoff)   (3.7)

当漏警概率与虚警概率相等时，得到R*.即,使得

p(e₁,x<cutoff)=p(e₂,x>cutoff)   (3.8)

的cutoff值为理想异常检测值。

（四）、系统设计与实现

4.1系统设计方案

基于物联网的物联网安全性广受关注。有研究表明自组网泛洪攻击(Ad HocFlooding Attack,AHFA)能以极小的代价，显著地影响网络性能。同时该攻击作为一种DoS攻击，能够在攻击一段时间后造成网络的彻底阻塞导致全网络通信崩溃。为此，本发明基于KNN数据挖掘检测算法开发了针对自组网泛洪攻击(以下简称“泛洪攻击”)的入侵检测系统。

本系统利用了异常节点“发送RREQ报文频率远远高于正常节点”这一特征，通过在全网范围内的各个节点发送RREQ报文频率的比对分离出异常节点，即用于描述节点的特征向量选取节点发送RREQ报文频率这个一维向量。

当检测结束时，如果发现了异常节点，则向网络中广播黑名单。所有正常节点收到黑名单后不再接收、转发其中的异常节点的RREQ报文，并且向其他节点转发这份黑名单，以实现攻击响应。最后，将统计数据清零。

入侵检测系统的流程如图2所示。

4.2系统实现平台

硬件平台：

1)宁波中科集成电路有限公司GAINZ无线传感器节点：采集网络流量，广播发送黑名单。

2)PC或配有有线网卡的终端设备：负责检测系统控制，网络流量变换分析，异常节点判定及攻击响应。

软件平台：

串口助手：与用户交流报文接收控制信息；

TinyOS:网络接口节点系统平台；

AVRStudio：用于程序烧制。

4.3系统实现模块及实现步骤

系统实现各模块关系如图3所示。

该系统由无线网络接口模块、数据存储模块、分析判决模块、入侵响应模块四个模块组成。

请参见图2，图2为本发明入侵检测系统的流程图，本发明的入侵检测流程如下：

1.启动检测系统，同时开始运行分析判决模块的内部时钟，分析判决模块开始获取检测参数；

2.使用无线网络接口模块获取网络中的RREQ报文信息并收取报文信息到数据缓冲区；

3.数据存取模块接收无线接口模块发来的数据，从中获取统计信息，将该信息存入数据域以待分析判决模块读取；

4.分析判决模块从数据存储模块读入待检测数据并进行分析，通过在全网范围内的各个节点发送RREQ报文频率的比对分离出异常节点，计算所有节点的距离函数，使用改进的KNN算法来对分析结果进行判决。如果发现异常节点，则通知入侵响应模块所发现的异常节点；

5.如果检测到恶意节点，则由入侵相应模块从分析判决模块获取恶意节点信息后，将恶意节点加入到黑名单，递交无线网络接口模块，通过黑名单广播机制实现入侵响应；

6.如果未检测到恶意节点则将统计数据清零。

Claims (2)

1.一种物联网攻击检测系统，其特征在于该系统由无线网络接口模块、数据存储模块、分析判决模块、入侵响应模块组成，所述的无线网络接口模块的输入端接网络，输出端接所述的数据存储模块的输入端，该数据存储模块的输出端与所述的分析判决模块的输入端相连，该分析判决模块的输出端接所述的入侵响应模块的输入端，该入侵响应模块的输出端接所述的无线网络接口模块的第二输入端。

2.权利要求1所述的物联网攻击检测系统的对物联网攻击的检测方法，其特征在于该方法包括如下步骤：

①启动检测系统；

②所述的无线网络接口模块从网络的RREQ报文中获取报文信息经数据缓冲区相所述的数据存取模块输出；

③所述的数据存取模块接收无线接口模块发来的数据，从中获取统计信息，将该信息存入数据域以待分析判决模块读取；

④所述的分析判决模块从所述的数据存储模块读入待检测数据并进行分析，通过在全网范围内的各个节点发送RREQ报文频率的比对分离出异常节点，计算所有节点的距离函数，使用改进的KNN算法来对分析结果进行判决：

当发现恶意节点，则将所发现的异常节点输入所述的入侵响应模块，进入步骤⑤，否则转入步骤⑦；

⑤所述的入侵相应模块将恶意节点加入到黑名单，递交无线网络接口模块，通过黑名单广播机制实现入侵响应；

⑥所有正常节点收到黑名单后不再接收、转发其中的异常节点的RREQ报文，并且向其他节点转发这份黑名单，以实现攻击响应；

⑦最后，所述的分析判决模块将统计数据清零。

Images