CN107046549B - 基于免疫的物联网分布式入侵检测方法及系统 - Google Patents
基于免疫的物联网分布式入侵检测方法及系统 Download PDFInfo
- Publication number
- CN107046549B CN107046549B CN201710399249.8A CN201710399249A CN107046549B CN 107046549 B CN107046549 B CN 107046549B CN 201710399249 A CN201710399249 A CN 201710399249A CN 107046549 B CN107046549 B CN 107046549B
- Authority
- CN
- China
- Prior art keywords
- detector
- submodel
- data
- central
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 70
- 239000000427 antigen Substances 0.000 claims abstract description 78
- 102000036639 antigens Human genes 0.000 claims abstract description 78
- 108091007433 antigens Proteins 0.000 claims abstract description 78
- 229960005486 vaccine Drugs 0.000 claims abstract description 50
- 238000002255 vaccination Methods 0.000 claims abstract description 12
- 230000035800 maturation Effects 0.000 claims abstract description 9
- 230000006870 function Effects 0.000 claims description 12
- 238000012549 training Methods 0.000 claims description 12
- 230000000694 effects Effects 0.000 claims description 8
- 238000005538 encapsulation Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 6
- 230000004069 differentiation Effects 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 3
- 201000010099 disease Diseases 0.000 claims 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 claims 1
- 230000007246 mechanism Effects 0.000 abstract description 6
- 238000000034 method Methods 0.000 description 6
- 210000000987 immune system Anatomy 0.000 description 4
- 238000012360 testing method Methods 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000036039 immunity Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 208000002874 Acne Vulgaris Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 206010000496 acne Diseases 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010367 cloning Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 235000001968 nicotinic acid Nutrition 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于免疫的物联网分布式入侵检测方法,包括以下步骤:构建基于免疫的物联网分布式入侵检测整体模型,分别建立本地子模型和中央子模型,通过本地子模型训练出新的记忆检测器,利用中央子模型对新的包含记忆检测器的疫苗进行接收和封装,并进行全局种痘,实现对物联网的入侵检测;还公开了一种基于免疫的物联网分布式入侵检测系统,包括:整体模型模块、本地子模型模块和中央子模型模块;本地子模型模块包括初始化模块、自体转换模块、抗原转换模块、记忆检测器生成模块,中央子模型模块包括接收疫苗模块,封装疫苗模块,种痘模块;本发明采用分布式协同机制提升了物联网的全局入侵检测能力。
Description
技术领域
本发明涉及物联网信息安全领域,尤其涉及一种基于免疫的物联网分布式入侵检测方法及系统。
背景技术
随着物联网不断被推广应用,暴露在无人监控环境下的感知节点也将越来越多,其面临的安全威胁将日渐凸现,心怀叵测的攻击者也想方设法利用脆弱的感知节点攻击物联网。物联网安全问题成为了研究人员关注的热点。物联网既面临重放攻击拒绝服务等传统攻击,也面临其特有的克隆攻击复制攻击、冒用攻击和干扰攻击等攻击。国外学者描述了一种针对远程控制电炉的物联网系统的攻击,这种攻击可以导致一个地区的电网瘫痪。如果针对物联网的攻击检测问题不能得到有效解决,它将阻碍物联网的健康发展。因此,目前迫切需要一种能适应物联网感知节点分布性特点的入侵检测技术,以解决瞬息万变的物联网攻击环境下的入侵检测问题。
为解决物联网环境下的入侵检测难题,Mirowski根据物品标签的过去访问频率提出了一种入侵检测方法,该检测方法只针对标签宿主变化的物联网攻击;Yang提出了无线传感网节点的分布式入侵检测方法,但检测的对象也仅局限于有限的感知节点。但大部分研究只给出了物联网入侵检测的基本概念或简单构想,主要思想基于传统的互联网入侵检测技术,检测攻击的能力具有很大的局限性,物联网攻击稍作变化即可骗过传统的入侵检测系统,从而对物联网系统形成巨大的威胁。
中国专利公开号CN101478534中所述的基于人工免疫原理的网络异常检测方法,首先进行训练抗原数据收集,然后是人工免疫系统学习,最后是对网络异常检测;CN1777119中所述的方法首先获取主机审计数据和网络数据包数据的检测数据源并将其特征格式化,接着产生检测器集合,最后通过检测器集合进行异常检测;中国专利公开号CN101299691B中所述的一种基于人工免疫放入动态网格入侵检测方法,首先得到演化成熟的检测器,然后在人工免疫机制的协调下,动态处理网格环境中的入侵检测问题,以上三个专利中都是通过先学习再检测的方法,难以实现对复杂的网络形势的适应,以及高速网络中快速、实时检测的需要,现如今,物联网中面临的无线传感网络环境千变万化,如果传统静态入侵检测技术的检测措施仍一成不变,并不能适应物联网网络环境的变化。
发明内容
本发明针对现有技术中存在的问题和不足,提出一种基于免疫的物联网分布式入侵检测方法及系统,构建了一种基于免疫的物联网分布式入侵检测模型,建立多个本地子模型同时分布式运行以对物联网环境下面临的攻击进行全面、实时地感知,通过中央子模型采用人工免疫系统的种痘机制实现自学习去适应物联网的本地网络环境,通过先学习、后检测、再学习的方式提升了物联网的全局入侵检测能力。
为了实现上述目的,本发明采用以下技术方案:
本发明提供了一种基于免疫的物联网分布式入侵检测方法,包括以下步骤:
1)构建一种基于免疫的物联网分布式入侵检测整体模型,包括一个中央子模型和至少三个相同的本地子模型;本地子模型以旁路的方式接入物联网网关,各本地子模型分布式独立地运行,由中央子模型对其统一管理和协调,本地子模型和中央子模型共同构成基于免疫的物联网分布式入侵检测模型的整体模型;
2)建立本地子模型
本地子模型包括检测器和抗原,所述的抗原为物联网感知层数据的数据特征,抗原分为自体和非自体,所述的自体为正常数据的数据特征,所述的非自体为攻击性数据的数据特征,所述的检测器为包含抗原数据信息的集合,用于检测抗原;检测器对抗原进行分类,分成自体和非自体;所述的检测器分为非成熟检测器,成熟检测器和记忆检测器;
2.1)将KDD CUP 99数据集作为物联网感知层的初始攻击性数据集,将该初始攻击性数据集初始化为记忆检测器存入中央子模型中的记忆检测器库中,并通过系统随机生成非成熟检测器;
2.2)收集物联网安全环境下的网络活动数据并将其转换为自体;
2.3)捕获通过物联网网关的数据报文,将其转换为抗原;
2.4)通过抗原对非成熟检测器进行耐受训练,所述的耐受训练为通过非成熟检测器对抗原进行分类,判断是否正确区分自体和非自体,如果不能,则非成熟检测器死亡,如果能则非成熟检测器成为成熟检测器,并激活确定为新的记忆检测器;
3)建立中央子模型
3.1)接收疫苗
将新的记忆检测器作为疫苗,当本地子模型经过耐受训练出新的记忆检测器后,将该记忆检测器封装为数据包,设新的记忆检测器为r,数据包包含新的记忆检测器r的信息,将数据包发送给中央子模型,中央子模型在收到数据包中新的记忆检测器r信息后,将其存入到中央子模型中的记忆检测库中;
3.2)封装疫苗
每当接收到新的记忆检测器r后,中央子模型将新的记忆检测器r封装为用于种痘的疫苗v:
v=Encrypt(Hash(packetr),Keypri)+Encrypt(packetr,Keypri)
其中,Encrypt()为公钥加密函数;Keypri为中央子模型的私钥;Hash()为Hash函数;packetr为新的记忆检测器信息;“+”为字符串连接符;
3.3)种痘
中央子模型封装的疫苗v含有本地子模型训练出的新的记忆检测器r的信息,系统将其发给所有的本地子模型,各本地子模型从疫苗v中获取新的记忆检测器r的信息,用于本地物联网内的物联网攻击检测。
优选地,所述的步骤2.3,具体包括:
抽取物联网感知层数据报文的主要特征信息,将其转换成长度为l的二进制串,定义数据报文的特征信息的状态空间为U={0,1}l;将物联网感知层数据报文的特征信息转换成免疫环境下的抗原ag;
定义抗原集合Ag为:
Ag={ag|ag∈U,|ag|=l,ag=GetSig(packet)},且
其中,GetSig()为感知层数据特征信息的提取及转换函数,packet表示捕获通过物联网网关的数据报文;GetSig(packet)表示提取数据报文packet的特征信息并将其转换为二进制串形式的抗原。
优选地,所述的步骤3.2,具体包括:各本地子模型从疫苗v中获取新的记忆检测器r的信息,疫苗v中新的记忆检测器r,在各本地子模型中进行耐受训练后,用于本地物联网的攻击检测。
本发明还提供了一种基于免疫的物联网分布式入侵检测方法的一种基于免疫的物联网分布式入侵检测系统,包括:
整体模型模块,用于构建一种基于免疫的物联网分布式入侵检测整体模型,包括一个中央子模型和至少三个相同的本地子模型;
本地子模型模块,用于建立本地子模型;本地子模型包括检测器和抗原,所述的抗原为物联网感知层数据的数据特征,抗原分为自体和非自体,所述的自体为正常数据的数据特征,所述的非自体为攻击性数据的数据特征,所述的检测器为包含抗原数据信息的集合,用于检测抗原;检测器对抗原进行分类,分成自体和非自体;所述的检测器分为非成熟检测器,成熟检测器和记忆检测器;
中央子模型模块,用于建立中央子模型;
所述的本地子模型模块还包括:
初始化模块,用于将KDD CUP 99数据集作为物联网感知层的初始攻击性数据集,将该初始攻击性数据集初始化为记忆检测器存入中央子模型中的记忆检测器库中,并通过系统随机生成非成熟检测器;
自体转换模块,用于收集物联网安全环境下的网络活动数据并将其转换为自体;
抗原转换模块,用于捕获通过物联网网关的数据报文,将其转换为抗原;
记忆检测器生成模块,用于通过抗原对非成熟检测器进行耐受训练,所述的耐受训练为通过非成熟检测器对抗原进行分类,判断是否正确区分自体和非自体,如果不能,则非成熟检测器死亡,如果能则非成熟检测器成为成熟检测器,并激活确定为新的记忆检测器;
所述的中央子模型模块还包括:
接收疫苗模块,用于将记忆检测器作为疫苗,当本地子模型经过耐受训练出新的记忆检测器后,将该记忆检测器封装为数据包,设新的记忆检测器为r,数据包包含新的记忆检测器r的信息,将数据包发送给中央子模型,中央子模型在接收到数据包中新的记忆检测器r的信息后,将其存入到中央子模型中的记忆检测库中;
封装疫苗模块,用于每当接收到新的记忆检测器r后,中央子模型将新的记忆检测器r封装为用于种痘的疫苗v:
v=Encrypt(Hash(packetr),Keypri)+Encrypt(packetr,Keypri)
其中,Encrypt()为公钥加密函数;Keypri为中央子模型的私钥;Hash()为Hash函数;packetr为新的记忆检测器信息;“+”为字符串连接符;
种痘模块,用于中央子模型封装的疫苗v含有本地子模型训练出的新的记忆检测器r的信息,系统将其发给所有的本地子模型,各本地子模型从疫苗中获取新的记忆检测器r信息,用于本地物联网内的物联网攻击检测。
本发明的有益效果:
1.引入了人工免疫系统中免疫要素的动态演化和种痘机制,采用了分布式、并行式的手段检测物联网面临的攻击,本地子模型通过训练对网络的自适应和自学习,产生了高质量的检测物联网攻击的学习成果,并在物联网全网范围内共享,有效降低了各本地子模型的训练成本,提高了本地子模型适应本地物联网环境能力,并且大力提升了物联网全网的入侵检测性能;
2.采用分布式机制构建整体模型,使物联网数据分散到多个子模型中进行处理,提高大规模数据的处理效率,而且避免了由于单点故障引起整体系统的瘫痪,很大程度上提高了整体系统在千变万化的物联网环境中的生存能力;
3.模拟免疫系统中免疫细胞识别有害抗原的机制,利用仿生学原理模拟物联网环境下的免疫模型,让入侵检测要素根据物联网环境进行动态地演化,包括非成熟检测器、成熟检测器和记忆检测器三种动态过程,物联网环境下的入侵检测具有自适应性,大大提高了局部物联网环境中入侵检测的准确率和效率。
附图说明
图1为本发明基于免疫的物联网分布式入侵检测方法的流程示意图。
图2为本发明基于免疫的物联网分布式入侵检测系统的结构示意图。
图3为本发明基于免疫的物联网分布式入侵检测方法及系统的整体模型的架构图。
图4为本发明基于免疫的物联网分布式入侵检测方法及系统的本地子模型的部署结构图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述:
实施例1:一种基于免疫的物联网分布式入侵检测方法,具体包括以下步骤:
步骤101:构建一种基于免疫的物联网分布式入侵检测整体模型,包括一个中央子模型和至少三个相同的本地子模型;本地子模型以旁路的方式接入物联网网关,各本地子模型分布式独立地运行,由中央子模型对其统一管理和协调,本地子模型和中央子模型共同构成基于免疫的物联网分布式入侵检测模型的整体模型。
步骤102:建立本地子模型:本地子模型包括检测器和抗原,所述的抗原为物联网感知层数据的数据特征,抗原分为自体和非自体,所述的自体为正常数据的数据特征,所述的非自体为攻击性数据的数据特征,所述的检测器为包含抗原数据信息的集合,用于检测抗原;检测器对抗原进行分类,分成自体和非自体;所述的检测器分为非成熟检测器,成熟检测器和记忆检测器。
步骤103:将KDD CUP 99数据集作为物联网感知层的初始攻击性数据集,将该初始攻击性数据集初始化为记忆检测器存入中央子模型中的记忆检测器库中,并通过系统随机生成非成熟检测器。
步骤104:收集物联网安全环境下的网络活动数据并将其转换为自体。
步骤105:捕获通过物联网网关的数据报文,将其转换为抗原。
步骤106:通过抗原对非成熟检测器进行耐受训练,所述的耐受训练为通过非成熟检测器对抗原进行分类,判断是否正确区分自体和非自体,如果不能,则非成熟检测器死亡,如果能则非成熟检测器成为成熟检测器,并激活确定为新的记忆检测器。
步骤107:建立中央子模型。
步骤108:接收疫苗:将新的记忆检测器作为疫苗,当本地子模型经过耐受训练出新的记忆检测器后,将该记忆检测器封装为数据包,设新的记忆检测器为r,数据包包含新的记忆检测器r的信息,将数据包发送给中央子模型,中央子模型在收到数据包中新的记忆检测器r信息后,将其存入到中央子模型中的记忆检测库中。
步骤109:封装疫苗:每当接收到新的记忆检测器r后,中央子模型将新的记忆检测器r封装为用于种痘的疫苗v:
v=Encrypt(Hash(packetr),Keypri)+Encrypt(packetr,Keypri)
其中,Encrypt()为公钥加密函数;Keypri为中央子模型的私钥;Hash()为Hash函数;packert为新的记忆检测器信息;“+”为字符串连接符;
步骤110:种痘:中央子模型封装的疫苗v含有本地子模型训练出的新的记忆检测器r信息,系统将其发给所有的本地子模型,各本地子模型从疫苗v中获取新的记忆检测器r的信息,用于本地物联网内的物联网攻击检测。
实施例2:另一种基于免疫的物联网分布式入侵检测方法,具体包括以下步骤:
步骤201:构建一种基于免疫的物联网分布式入侵检测整体模型,包括一个中央子模型和至少三个相同的本地子模型;本地子模型以旁路的方式接入物联网网关,各本地子模型分布式独立地运行,由中央子模型对其统一管理和协调,本地子模型和中央子模型共同构成基于免疫的物联网分布式入侵检测模型的整体模型。
步骤202:建立本地子模型:本地子模型包括检测器和抗原,所述的抗原为物联网感知层数据的数据特征,抗原分为自体和非自体,所述的自体为正常数据的数据特征,所述的非自体为攻击性数据的数据特征,所述的检测器为包含抗原数据信息的集合,用于检测抗原;检测器对抗原进行分类,分成自体和非自体;所述的检测器分为非成熟检测器,成熟检测器和记忆检测器。
步骤203:将KDD CUP 99数据集作为物联网感知层的初始攻击性数据集,将该初始攻击性数据集初始化为记忆检测器存入中央子模型中的记忆检测器库中,并通过系统随机生成非成熟检测器。
步骤204:收集物联网安全环境下的网络活动数据并将其转换为自体。
步骤205:捕获通过物联网网关的数据报文,将其转换为抗原;抽取物联网感知层数据报文的主要特征信息,将其转换成长度为l的二进制串,定义数据报文的特征信息的状态空间为;将物联网感知层数据报文的特征信息转换成免疫环境下的抗原ag;
定义抗原集合Ag为:
Ag={ag|ag∈U,|ag|=l,ag=GetSig(packet)},且
其中,GetSig()为感知层数据特征信息的提取及转换函数,packet表示捕获通过物联网网关的数据报文;GetSig(packet)表示提取数据报文packet的特征信息并将其转换为二进制串形式的抗原。
步骤206:通过抗原对非成熟检测器进行耐受训练,所述的耐受训练为通过非成熟检测器对抗原进行分类,判断是否正确区分自体和非自体,如果不能,则非成熟检测器死亡,如果能则非成熟检测器成为成熟检测器,并激活确定为新的记忆检测器。
步骤207:建立中央子模型。
步骤208:接收疫苗:将新的记忆检测器作为疫苗,当本地子模型经过耐受训练出新的记忆检测器后,将该记忆检测器封装为数据包,设新的记忆检测器为r,数据包包含新的记忆检测器r的信息,将数据包发送给中央子模型,中央子模型在收到数据包中新的记忆检测器r信息后,将其存入到中央子模型中的记忆检测库中。
步骤209:封装疫苗:每当接收到新的记忆检测器r后,中央子模型将新的记忆检测器r封装为用于种痘的疫苗v:
v=Encrypt(Hash(packetr),Keypri)+Encrypt(packetr,Keypri)
其中,Encrypt()为公钥加密函数;Keypri为中央子模型的私钥;Hash()为Hash函数;packetr为新的记忆检测器信息;“+”为字符串连接符。
步骤211:种痘:中央子模型封装的疫苗v含有本地子模型训练出的新的记忆检测器r的信息,系统将其发给所有的本地子模型,各本地子模型从疫苗v中获取新的记忆检测器r的信息,用于本地物联网内的物联网攻击检测。
作为一种可实施的方式,本发明根据基于免疫的物联网分布式入侵检测方法的整体模型研究出一套网络入侵防御系统,在构建的网络中模拟物联网攻击环境,搭建仿真软件环境,并进行模拟实验,然后利用网络管理中心庞大的校园网络搭建测试平台,测试该系统的运行情况,并评估该系统的技术指标;通过测试得到该网络入侵防御系统的主要技术指标为:1)网络攻击拦截速率>2.2Gbps;
2)报文转发延迟<100微秒;(ICSA认证标准)
3)并发连接数>180万;
4)每秒新建会话数>22000sessions/sec;
5)系统的CPU使用率<10%;
通过该系统的主要技术指标,得出该系统应用效果良好,能够保证一个更加安全、稳定与快速的内部网,保障系统安全、信息安全与技术安全,同时以这些主要技术指标为依据,能够进一步地完善系统的性能。
实施例3:一种基于免疫的物联网分布式入侵检测系统,包括:
整体模型模块301,本地子模型模块和中央子模型模块,所述的本地子模型模块包括初始化模块302、自体转换模块303、抗原转换模块304、记忆检测器生成模块305;所述的中央子模型模块包括接收疫苗模块306,封装疫苗模块307,种痘模块308;整体模型模块301依次连接初始化模块302、自体转换模块303、抗原转换模块304、记忆检测器生成模块305、接收疫苗模块306,封装疫苗模块307,种痘模块308。
整体模型模块301,用于构建一种基于免疫的物联网分布式入侵检测整体模型,包括一个中央子模型和至少三个相同的本地子模型;本地子模型模块,用于构建本地子模型;本地子模型包括检测器和抗原,所述的抗原为物联网感知层数据的数据特征,抗原分为自体和非自体,所述的自体为正常数据的数据特征,所述的非自体为攻击性数据的数据特征,所述的检测器为包含抗原数据信息的集合,用于检测抗原;检测器对抗原进行分类,分成自体和非自体;所述的检测器分为非成熟检测器,成熟检测器和记忆检测器。中央子模型模块,用于构建中央子模型;初始化模块302,用于将KDD CUP 99数据集作为物联网感知层的初始攻击性数据集,将该初始攻击性数据集初始化为记忆检测器存入中央子模型中的记忆检测器库中,并通过系统随机生成非成熟检测器;自体转换模块303,用于收集物联网安全环境下的网络活动数据并将其转换为自体;抗原转换模块304,用于捕获通过物联网网关的数据报文,将其转换为抗原;记忆检测器生成模块305,用于通过抗原对非成熟检测器进行耐受训练,所述的耐受训练为通过非成熟检测器对抗原进行分类,判断是否正确区分自体和非自体,如果不能,则非成熟检测器死亡,如果能则非成熟检测器成为成熟检测器,并激活确定为新的记忆检测器;接收疫苗模块306,用于将新的记忆检测器作为疫苗,当本地子模型经过耐受训练出新的记忆检测器后,将该记忆检测器封装为数据包,设新的记忆检测器为r,数据包包含记忆检测器r的信息,将数据包发送给中央子模型,中央子模型在收到数据包中新的记忆检测器r的信息后,将其存入到中央子模型中的记忆检测库中;封装疫苗模块307,用于每当接收到新的记忆检测器r后,中央子模型将新的记忆检测器r封装为用于种痘的疫苗v:
v=Encrypt(Hash(packetr),Keypri)+Encrypt(packetr,Keypri)
其中,Encrypt()为公钥加密函数;Keypri为中央子模型的私钥;Hash()为Hash函数;packetr为新的记忆检测器信息;“+”为字符串连接符;种痘模块308,用于中央子模型封装的疫苗v含有本地子模型训练出的新的记忆检测器r的信息,系统将其发给所有的本地子模型,各本地子模型从疫苗v中获取新的记忆检测器r的信息,用于本地物联网内的物联网攻击检测。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (2)
1.一种基于免疫的物联网分布式入侵检测方法,其特征在于,包括以下步骤:
1)构建一种基于免疫的物联网分布式入侵检测整体模型,包括一个中央子模型和至少三个相同的本地子模型;本地子模型以旁路的方式接入物联网网关,各本地子模型分布式独立地运行,由中央子模型对其统一管理和协调,本地子模型和中央子模型共同构成基于免疫的分布式入侵检测模型的整体模型;
2)建立本地子模型
本地子模型包括检测器和抗原,所述的抗原为物联网感知层数据的数据特征,抗原分为自体和非自体,所述的自体为正常数据的数据特征,所述的非自体为攻击性数据的数据特征,所述的检测器为包含抗原数据信息的集合,用于检测抗原;检测器对抗原进行分类,分成自体和非自体;所述的检测器分为非成熟检测器,成熟检测器和记忆检测器;
2.1)将KDD CUP 99 数据集作为物联网感知层的初始攻击性数据集,将该初始攻击性数据集初始化为记忆检测器存入中央子模型中的记忆检测器库中,并通过系统随机生成非成熟检测器;
2.2)收集物联网安全环境下的网络活动数据并将其转换为自体;
2.3)捕获通过物联网网关的数据报文,将其转换为抗原,具体包括:抽取物联网感知层数据报文的主要特征信息,将其转换成长度为l的二进制串,定义数据报文的特征信息的状态空间为;将物联网感知层数据报文的特征信息转换成免疫环境下的抗原ag;
定义抗原集合Ag为:
其中,为感知层数据特征信息的提取及转换函数,packet表示捕获通过物联网网关的数据报文;表示提取数据报文packet的特征信息并将其转换为二进制串形式的抗原;
2.4)通过抗原对非成熟检测器进行耐受训练,所述的耐受训练为通过非成熟检测器对抗原进行分类,判断是否正确区分自体和非自体,如果不能,则非成熟检测器死亡,如果能则非成熟检测器成为成熟检测器,并激活确定为新的记忆检测器;
3)建立中央子模型
3.1)接收疫苗
将新的记忆检测器作为疫苗,当本地子模型经过耐受训练出新的记忆检测器后,将该记忆检测器封装为数据包,设新的记忆检测器为r,数据包包含新的记忆检测器r的信息,将数据包发送给中央子模型,中央子模型在收到数据包中新的记忆检测器r信息后,将其存入到中央子模型中的记忆检测库中;
3.2)封装疫苗
每当接收到新的记忆检测器r后,中央子模型将新的记忆检测器r封装为用于种痘的疫苗v:
其中, 为公钥加密函数;为中央子模型的私钥;为Hash函数;为新的记忆检测器信息;“+”为字符串连接符;
3.3)种痘
中央子模型封装的疫苗v含有本地子模型训练出的新的记忆检测器r的信息,系统将其发给所有的本地子模型,各本地子模型从疫苗v中获取新的记忆检测器r的信息,在各本地子模型中进行耐受训练后,用于本地物联网内的物联网攻击检测。
2.基于权利要求1所述的一种基于免疫的物联网分布式入侵检测方法的一种基于免疫的物联网分布式入侵检测系统,其特征在于,包括:
整体模型模块,用于构建一种基于免疫的物联网分布式入侵检测整体模型,包括一个中央子模型和至少三个相同的本地子模型;
本地子模型模块,用于建立本地子模型;本地子模型包括检测器和抗原,所述的抗原为物联网感知层数据的数据特征,抗原分为自体和非自体,所述的自体为正常数据的数据特征,所述的非自体为攻击性数据的数据特征,所述的检测器为包含抗原数据信息的集合,用于检测抗原;检测器对抗原进行分类,分成自体和非自体;所述的检测器分为非成熟检测器,成熟检测器和记忆检测器;
中央子模型模块,用于建立中央子模型;
所述的本地子模型模块还包括:
初始化模块,用于将KDD CUP 99 数据集作为物联网感知层的初始攻击性数据集,将该初始攻击性数据集初始化为记忆检测器存入中央子模型中的记忆检测器库中,并通过系统随机生成非成熟检测器;
自体转换模块,用于收集物联网安全环境下的网络活动数据并将其转换为自体;
抗原转换模块,用于捕获通过物联网网关的数据报文,将其转换为抗原;
记忆检测器生成模块,用于通过抗原对非成熟检测器进行耐受训练,所述的耐受训练为通过非成熟检测器对抗原进行分类,判断是否正确区分自体和非自体,如果不能,则非成熟检测器死亡,如果能则非成熟检测器成为成熟检测器,并激活确定为新的记忆检测器;
所述的中央子模型模块还包括:
接收疫苗模块,用于将新的记忆检测器作为疫苗,当本地子模型经过耐受训练出新的记忆检测器后,将该记忆检测器封装为数据包,设新的记忆检测器为r,数据包包含新的记忆检测器r的信息,将数据包发送给中央子模型,中央子模型在接收到数据包中新的记忆检测器r的信息后,将其存入到中央子模型中的记忆检测库中;
封装疫苗模块,用于每当接收到新的记忆检测器r后,中央子模型将新的记忆检测器r封装为用于种痘的疫苗v:
其中,为公钥加密函数;为中央子模型的私钥;为Hash函数;为新的记忆检测器信息;“+”为字符串连接符;
种痘模块,用于中央子模型封装的疫苗v含有本地子模型训练出的新的记忆检测器r的信息,系统将其发给所有的本地子模型,各本地子模型从疫苗中获取新的记忆检测器r信息,用于本地物联网内的物联网攻击检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710399249.8A CN107046549B (zh) | 2017-05-31 | 2017-05-31 | 基于免疫的物联网分布式入侵检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710399249.8A CN107046549B (zh) | 2017-05-31 | 2017-05-31 | 基于免疫的物联网分布式入侵检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107046549A CN107046549A (zh) | 2017-08-15 |
| CN107046549B true CN107046549B (zh) | 2018-05-18 |
Family
ID=59547274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710399249.8A Active CN107046549B (zh) | 2017-05-31 | 2017-05-31 | 基于免疫的物联网分布式入侵检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107046549B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109426701B (zh) * | 2017-08-30 | 2022-04-05 | 西门子(中国)有限公司 | 数据模型的运行方法、运行系统和存储介质 |
| CN110351229B (zh) | 2018-04-04 | 2020-12-08 | 电信科学技术研究院有限公司 | 一种终端ue管控方法及装置 |
| CN108989338A (zh) * | 2018-08-20 | 2018-12-11 | 常州信息职业技术学院 | 一种物联网信息防止入侵的免疫系统及其方法 |
| CN110572372B (zh) * | 2019-08-20 | 2021-12-10 | 武汉绿色网络信息服务有限责任公司 | 一种检测物联网设备遭受入侵的方法及检测装置 |
| CN113222048B (zh) * | 2021-05-26 | 2023-02-17 | 郑州轻工业大学 | 一种基于人工免疫的疫苗接种与疫苗数据融合方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101887498A (zh) * | 2010-06-30 | 2010-11-17 | 南京邮电大学 | 混合式对等网络中基于免疫算法的病毒检测方法 |
| CN102833228A (zh) * | 2012-07-27 | 2012-12-19 | 江苏亿通高科技股份有限公司 | 一种云计算环境下免疫网络的病毒检测系统及方法 |
| US8572739B1 (en) * | 2009-10-27 | 2013-10-29 | Trend Micro Incorporated | Detection of malicious modules injected on legitimate processes |
| CN103957203A (zh) * | 2014-04-19 | 2014-07-30 | 盐城工学院 | 一种网络安全防御系统 |
-
2017
- 2017-05-31 CN CN201710399249.8A patent/CN107046549B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8572739B1 (en) * | 2009-10-27 | 2013-10-29 | Trend Micro Incorporated | Detection of malicious modules injected on legitimate processes |
| CN101887498A (zh) * | 2010-06-30 | 2010-11-17 | 南京邮电大学 | 混合式对等网络中基于免疫算法的病毒检测方法 |
| CN102833228A (zh) * | 2012-07-27 | 2012-12-19 | 江苏亿通高科技股份有限公司 | 一种云计算环境下免疫网络的病毒检测系统及方法 |
| CN103957203A (zh) * | 2014-04-19 | 2014-07-30 | 盐城工学院 | 一种网络安全防御系统 |
Non-Patent Citations (4)
| Title |
|---|
| 免疫Agent在入侵检测中的应用研究;吴素芹;《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》;20111215;第2-4章 * |
| 基于人工免疫的病毒检测技术研究;柴倩;《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》;20120615;第3章 * |
| 基于改进动态克隆算法的入侵检测研究;徐静等;《计算机工程与应用》;20081231;第44卷(第5期);第1-3节 * |
| 智能电网中分层网络结构的入侵检测系统研究;徐静等;《郑州轻工业学院学报(自然科学版)》;20151130;第30卷(第5/6期);第1-2节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107046549A (zh) | 2017-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107046549B (zh) | 基于免疫的物联网分布式入侵检测方法及系统 | |
| Rana et al. | Lightweight cryptography in IoT networks: A survey | |
| Lau et al. | Probabilistic fault detector for wireless sensor network | |
| CN103763695B (zh) | 一种物联网安全测评方法 | |
| CN107646190A (zh) | 使用傅里叶变换的恶意加密网络流量识别 | |
| CN107493300A (zh) | 网络安全防护系统 | |
| CN107637041A (zh) | 恶意加密网络流量识别的习得的简况 | |
| CN107451510A (zh) | 活体检测方法和活体检测系统 | |
| CN103795529A (zh) | 基于密钥向量的无线传感器网络数据安全融合方法 | |
| CN107612698A (zh) | 一种商用密码检测方法、装置与系统 | |
| CN110247819A (zh) | 一种基于加密流识别的Wi-Fi视频采集设备检测方法及系统 | |
| Rana et al. | Current lightweight cryptography protocols in smart city IoT networks: a survey | |
| Medhat et al. | Testing techniques in IoT-based systems | |
| Chen et al. | An artificial immune-based distributed intrusion detection model for the internet of things | |
| Zahid et al. | A framework for identification and classification of iot devices for security analysis in heterogeneous network | |
| CN101552778B (zh) | 安全协议自动化检测中的攻击者模型构建方法 | |
| CN103414703B (zh) | 基于无线传感网络和云计算的安全订阅发布系统及方法 | |
| CN107273690A (zh) | 演艺场所装备质量安全评估及预警系统及方法 | |
| CN107734500B (zh) | 基于TMWSNs的时空Top-k查询数据完整性保护方法及装置 | |
| Li et al. | ZPA: A Smart Home Privacy Analysis System Based on ZigBee Encrypted Traffic | |
| Liao et al. | A secure end-to-end cloud computing solution for emergency management with UAVs | |
| Wang et al. | A classifier method for detection of covert channels over lte | |
| Mohanabharathi et al. | Feature selection for wireless intrusion detection system using filter and wrapper model | |
| Saba et al. | Optimized embedded healthcare industry model with lightweight computing using wireless body area network | |
| CN202750117U (zh) | 基于sd密码卡的物联网健康医疗服务系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: No. 136, Kexue Avenue, high tech Industrial Development Zone, Zhengzhou City, Henan Province Patentee after: Zhengzhou University of light industry Country or region after: Zhong Guo Address before: 450002 No. 5 Dongfeng Road, Jinshui District, Henan, Zhengzhou Patentee before: ZHENGZHOU University OF LIGHT INDUSTRY Country or region before: Zhong Guo |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240319 Address after: Room 226, Zone A, Optoelectronics Industrial Park, No. 55 Yulan Street, High tech Industrial Development Zone, Zhengzhou City, Henan Province, 450000 Patentee after: Zhengzhou Zhiduoxin Technology Co.,Ltd. Country or region after: Zhong Guo Address before: No. 136, Kexue Avenue, high tech Industrial Development Zone, Zhengzhou City, Henan Province Patentee before: Zhengzhou University of light industry Country or region before: Zhong Guo |