CN111385747B - 无线信标系统中攻击检测的系统和方法 - Google Patents

无线信标系统中攻击检测的系统和方法 Download PDF

Info

Publication number
CN111385747B
CN111385747B CN201811633704.7A CN201811633704A CN111385747B CN 111385747 B CN111385747 B CN 111385747B CN 201811633704 A CN201811633704 A CN 201811633704A CN 111385747 B CN111385747 B CN 111385747B
Authority
CN
China
Prior art keywords
beacon
beacons
transition
user
calculating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811633704.7A
Other languages
English (en)
Other versions
CN111385747A (zh
Inventor
陈镇辉
钟文翰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Logistics and Supply Chain Multitech R&D Centre Ltd
Original Assignee
Logistics and Supply Chain Multitech R&D Centre Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US16/233,285 external-priority patent/US10699545B1/en
Priority claimed from HK18116670A external-priority patent/HK1255291A2/zh
Application filed by Logistics and Supply Chain Multitech R&D Centre Ltd filed Critical Logistics and Supply Chain Multitech R&D Centre Ltd
Publication of CN111385747A publication Critical patent/CN111385747A/zh
Application granted granted Critical
Publication of CN111385747B publication Critical patent/CN111385747B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种用于攻击检测的系统和方法该系统包括信标群集,其中每个信标适于广播唯一的信标识别码(信标ID);终端设备,适于接收该信标ID的用户轨迹,并向后端服务器或路由设备发送查询,以确定经由网络发生的入侵;其中后端服务器适于通过执行以下步骤来确定入侵的发生:计算信标设备之间的空间关系度量;将信标ID转换为马尔可夫链模型的状态,并基于空间关系度量来估计状态转移概率;当终端设备进行查询时,记录该信标ID转换的用户轨迹;并针对马尔可夫链模型对用户轨迹运行假设检验,以确定入侵状态。

Description

无线信标系统中攻击检测的系统和方法
技术领域
本发明涉及用于无线信标系统中的攻击检测的系统和方法,并且更具体地涉及用于蓝牙低功耗(Bluetooth Low Energy,简称BLE)信标系统中的攻击检测的系统和方法。
背景技术
信标开始被部署以向接收器提供微位置信息,反过来,信标可用于调用基于位置的应用。例如,信标(BLE,iBeacon等)经济的标记物理对象和位置,促进情境化、定制化的内容或服务通过活动广播传递到用户的移动设备。用户装置拾取信标标识(ID)将引导他们查找并下载标签对象的详细信息。正确的内容和服务交付取决于根据规定的群集映射信标ID正确部署信标。然而,信标技术的正确操作可能会受到网络或物理威胁的破坏,即各自的欺骗攻击和重新改组攻击。
改组信标导致用户设备“错误的”空间特定信息。通常,所有人都可以使用信标ID来指导他们查找正确的内容。但这也不利地使攻击者的工作更容易。没有可用于保护信标免受改组攻击的防御机制。欺骗性攻击窃听(午餐时间攻击与自适应查询)所有信标ID并在错误的位置播放它们。更复杂的攻击可以在重传之前制作信标数据。
发明内容
在本发明的一方面,提供了一种用于检测非活动对象的系统,包括:
信标群集,其中每个信标适于广播唯一的信标识别码(信标ID),包括:
终端设备,适于接收信标ID,并向后端服务器或路由设备发送查询,以记录和保留信标ID的踪迹;
其中所述后端服务器适于通过执行以下步骤来确定入侵的发生:
计算信标设备之间的空间关系度量;
将所述信标ID转换为马尔可夫(Markov)链模型的状态,并基于空间关系度量来估计状态转移概率;
当终端设备进行查询时,记录信标ID转换的用户轨迹;
针对马尔可夫链模型对所述用户轨迹运行假设检验以确定入侵状态。
优选地,估计状态转移概率的步骤包括以下步骤:
选择粒度分辨率;
将希尔伯特曲线拟合到信标群集并计算不同信标的希尔伯特值;
定义边界限制B;
为每个所述信标,选择符合|h(nj)-h(ni)|≤B的所有,以S(ni)表示,并且计算所有n_j∈S(n_i)的1/|h(ni)-h(nj)|的总和D;
对于每个所述nj∈S(ni),设置转移概率pij=1/(D|h(nj)-h(ni)|);
确定是否已设置具有pij的所有nj∈S(ni),然后进行下一步,否则循环回到所述设置转移概率的步骤;
确定所有N个信标是否都具有pij,然后停止,否则循环回到所述计算信标ni的总和D的步骤。
优选地,估计状态转移概率的步骤包括以下步骤:
计算所述信标群集的Voronoi图映射;
确定边界值L;
对于每层小区,分配第r层小区的权重为ar
对于每个所述信标ni,计算第r层中邻居Xr的数量,其中0<r≤L;
计算S(ni)=a0X0+a1X1+…+aLXL的总和;
对于ni的邻居的所述第r层中的每个nj,分配所述转移概率
递增r;
确定如果r<L,返回到分配所述转移概率pij的步骤,否则进行下一步;
如果设置了所有n个所述信标的所述转移概率,则停止,否则返回所述计算邻居的数量的步骤。
优选地,估计状态转移概率的步骤包括以下步骤:
通过信标部署随机漫游;
记录所述信标ID转换的所述用户轨迹,计算所述信标的分布统计和后验概率分布;
在每对状态之间分配转移概率。
优选地,所述分配转移概率的步骤包括使用所述信标ID的所述用户轨迹的步骤用于估计所述信标ID对之间的所述转移概率。
优选地,所述分配转移概率的步骤包括使用贝叶斯统计方法(Bayesianstatistical means)估计所述转移概率的步骤,或者诸如深度神经网络之类的机器学习可用于计算所述转移概率。
优选地,所述分配转移概率的步骤包括如果在两个状态之间不存在转换则将所述概率值分配为零的步骤。
优选地,所述入侵状态包括以下之一:
状态H0:(c1,c2,……,cr,……,cT)为被接受的轨迹分布,其适于没有检测到入侵的马尔可夫链模型;或
状态H1,入侵或痕迹的异常分布。
优选地,所述假设检验包括以下步骤:
透过Ω获得所有可能的θ导出pij(θ),其中1≤i、j≤N,当所述转移概率从IDi到IDj表示具有θ的n个状态马尔可夫链为相应的一组参数。
对于接收到的用户轨迹C=(c1,……,cT),导出似然函数作为给定θ的C发生的条件概率,其中
计算所述似然比如下:
接受H0(没有检测到入侵),如果Δ≥λ其中λ是临界值。
优选地,通过蒙特卡罗模拟或反复试验来设置所述λ的值。
优选地,所述假设检验包括以下步骤:
收集相同长度的所述用户轨迹并基于一组所述用户轨迹,估计所收集的轨迹的所述概率分布P(C),其中C是特定的用户轨迹;
计算所述参考概率分布Q(C);
计算Kullback-Leibler发散(Kullback–Leibler Divergence,简称KLD),其中
接受H0,如果DKL(P||Q)≤ξ,其中ξ是临界值。
优选地,通过蒙特卡罗模拟或反复试验来设置所述ξ的值。
在本发明的另一方面,提供了一种用于攻击检测的方法,包括以下步骤:
在后端服务器计算信标设备之间的空间关系度量;
在所述后端服务器将信标ID转换为马尔可夫(Markov)链模型的状态,并且基于所述空间关系度量来估计状态转移概率;
接收从终端设备记录的所述信标ID转换的用户踪迹;
针对所述马尔可夫链模型对所述用户轨迹运行假设检验以确定所述后端服务器的入侵状态。
优选地,本发明提供了一种用于无线信标系统中的攻击检测的系统和方法,以及一种信标群集中的攻击检测方法的改进。
优选地,用于无线信标系统中的攻击检测的系统和方法不需要对信标群集中的任何信标进行任何修改。
在本发明的另一方面,提供了一种攻击检测设备,执行包括以下步骤的方法:
计算基于马尔可夫链的概率分布,用于在终端设备查询基于位置的服务或内容时,从所述终端设备报告可接受的信标ID的踪迹;
通过假设检验来验证以确定所接收的所述信标ID的踪迹是否在所述基于马尔可夫链的概率分布的可接受值的范围之外;
所述信标ID的踪迹在可接受值的范围之外的情况中,则生成指示发生入侵的信号。
优选地,所述基于马尔可夫链的概率分布是通过希尔伯特值、Voronoi图或具有贝叶斯统计的现场测试或通过DNN的机器学习预先确定的。
当考虑以下说明书和附图时,其他优点将变得显而易见。
本发明的实施例还克服或改善现有技术的至少一个缺点,或提供有用的替代方案。
附图说明
从以下配合参考附图对仅作为示例实施例的描述,本发明的特征和优点将变得显而易见,其中:
图1所示为根据本发明实施例的无线信标系统中的攻击检测方法的示意图;
图2所示为由图1所示方法生成的马尔可夫链模型的示意图;
图3所示为图2所示的马尔可夫链模型生成状态转移概率的方法的示意图;
图4所示为由图3所示图形表示方法的示意图;
图5所示为图2所示的马尔可夫链模型生成状态转移概率的另一方法的示意图;
图6所示为由图5所示图形表示方法的示意图;
图7所示为根据本发明实施例的无线信标系统中的攻击检测系统;
图8所示为根据本发明实施例的无线信标系统中的另一攻击检测系统;和
图9所示为根据本发明实施例的无线信标系统中的另一攻击检测终端设备。
具体实施方式
发明人通过他们自己的研究设计出,对于信标安全性,计算约束可能是实现有效防御的主要障碍。
在一个示例中,存在用于iBeacon基站的数据保护方法。该数据保护方法包括:在控制设备与iBeacon基站建立通信连接之后,修改iBeacon基站标识信息,并将修改后的iBeacon基站标识信息上传至服务器;根据修改的iBeacon基站标识信息,由服务器更新iBeacon基站的位置和标识信息的映射表。
在另一示例中,可以使用在无连接广告和广播期间具有认证的低能量蓝牙系统。使用所述经认证的信息生成经认证的数据。在无连接会话中从BLE设备广播广告字符串以及所述验证数据。
或者,可以采用基于iBeacon的数据加密方法和系统。iBeacon基站以固定的时间间隔生成并发送改变的UUID(通用唯一标识符)信息,其中UUID信息被加密;终端用户设备判断接收到的UUID是否属于UUID信息之一;并且在用户设备确定所接收的UUID属于UUID信息之一之后,用户设备解密UUID信息,并且将UUID信息访问到网络之中。
在一个示例实施例中,该方法可以使用假名来保护通信消息的隐私和匿名性。在该示例中,从接收的消息中提取假名,用于与分别与多个无线节点社区相关联的预先计算的假名集进行比较。假名仅在特定时间段内有效。
在替代方法中,在事件之后,装置可以基于该事件创建无线消息,然后将无线消息发送到外围设备。所述外围设备利用一些或所有消息数据来制定和显示用户界面。根据用户界面致动外围设备中的输入(例如,软编码或基于硬件的按钮),这导致响应消息被发送到设备。响应消息又触发装置中的功能。
在不希望受理论束缚的情况下,使用随时间变化的动态信标识别(ID),这样(通过午餐时间攻击)所收集的识别在以后可能没有用。因此,对信标的修改是必要的。此外,这种方法可能不会阻止足够的查询攻击,这些查询攻击会被窃听并立即转发到欺骗信标进行回放。
例如,可以使用安全的基于信标的信标来生成动态信标标识符。移动设备应用可以向应用服务器发送请求,包括动态信标标识符。应用服务器可以在本地计算动态信标标识符,并将其与接收到的信标标识符进行比较,以验证请求并确定是否响应该请求。
或者,可以从诸如移动设备或服务器的信标设备接收信标信号,该信标设备从信标信号中识别信标认证值。信标设备根据安全算法计算本地验证值。执行认证值与本地验证值的比较,并且基于该比较提供位置服务。
这些示例可以提供关于信标ID业务的正常行为的基线模型,并且因此检测归因于欺骗和重新改组攻击的异常行为,以及其他原因。
在另一示例实施例中,提供一种通过信标流检测物联网(IoT)位置广播上的欺骗攻击的系统。生成包括至少唯一源标识符的信标流。广播信标列表与广播的时间和位置一起存储在表中。在广播之后,检测到信标流。检测到的信标流包括唯一的源标识符以及广播的时间和位置。可以将检测到的信标流的至少一个信标的唯一源标识符,时间和位置与,广播信标流的至少一个信标的唯一源标识符,时间和位置进行比较。响应于唯一源标识符与时间和位置中的至少一个的不匹配之间的匹配,确定广播信标流已被检测到的信标流欺骗。一旦检测到欺骗,就可以采取各种补救措施,例如向管理员发送警报、警告最终用户以及其他安全模式程序。
一些其他系统可以在具有静默期的无线局域网(WLAN)中检测物联网(IoT)位置信标的中毒攻击。静默期与位置信标相关联,并且公众不知道。将位置信标传输时间与静默时段进行比较。响应于与至少一个静默时段相对应的位置信标传送时间,该位置设备被标记为中毒。
为了防御自适应查询攻击,可以在伪信标设备附近安装新的无线网络设备以发送虚拟信标,并用错误的时间戳检测来自它们的回放以推断攻击的存在。
或者,在合法信标中使用秘密静默期以检测中毒攻击。为了实现这些系统,需要在伪信标设备附近安装新设备以拾取欺骗信标,而所有检测都在后端服务器中无缝地完成给用户。
可能更优选的是提供一种攻击检测方法,使得不需要对信标设备施加最小或理想的工作负载,同时实现检测到错误的信标ID群集,这些信标ID群集归因于欺骗攻击、重新改组攻击或其他攻击。大部分开销应该在移动设备或后端服务器上。
一些上述示例可能仅防御欺骗攻击。或者,本发明的一些优选实施例可以同时用于欺骗和重新改组攻击。
优选地,攻击检测方法不需要对信标设备(硬件或固件)进行修改。也就是说,标准信标ID仍然可以以典型方式向所有人(包括攻击者)广播。应使用被动检测,以便无需安装其他设备。
在本发明的一个实施例中,一种形成设备身份转移概率的基线马尔可夫链模型的方法,对于主动(例如信标)和被动(RFID标签)物联网设备来“被动地”检测欺骗和重新改组攻击等。有源(例如信标)和无源(RFID标签)物联网设备形成信标群集。
在本发明实施例的一个实现中,提供一种后端服务器或路由设备,其接收来自诸如智能电话、平板电脑、路由设备或其他移动设备的终端设备的查询,并且检测到诸如欺骗和重新改组攻击的入侵已经发生。
后端服务器或路由设备适于形成具有作为信标设备标识的状态的马尔可夫链,并且从给定的设备部署群集计算每对马尔可夫链状态之间的转移概率。
终端设备将向后端服务器或路由设备发送一系列信标ID。后端服务器记录从各种终端设备发送的信标ID的踪迹。每当终端设备接收到信标ID时,它将在通常情况下将其转发到后端服务器,以基于信标ID查询内容或服务。随着时间的推移,后端服务器记录/存储由特定终端设备拾取的ID的转换序列。这一系列的转移形成了一条轨迹。然后,后端服务器针对预定的马尔可夫链转移概率对轨迹运行假设检验。
一旦后端服务器或路由设备从终端设备的请求接收到信标ID转换,它将运行假设测试以确定给定用户轨迹是否是关于基线模型的异常值。如果发现用户轨迹是基线模型的异常值,则后端服务器将标记可能的入侵系统管理员。
图1所示为根据本发明实施例的无线信标系统中的攻击检测方法10的示意图。方法10包括以下步骤:
如步骤S12所示,在后端服务器计算信标设备之间的空间关系度量;
信标ID转换为马尔可夫(Markov)链模型的状态,并且基于所述空间关系度量来估计状态转移概率,以形成如步骤14所示的基线模型;
如步骤16所示,当终端设备进行查询时,记录信标ID转换的用户轨迹;
如步骤18所示,针对马尔可夫链模型(基线模型)对所述用户轨迹运行假设检验以确定入侵状态。
本发明实施例的原理利用由信标ID生成的马尔可夫链模型中的用户轨迹的统计特性作为状态和相应的状态转移概率。每个信标ID表示一个状态。然后,可以导出从信标IDi到信标IDj的转移概率pij,如图2所示。本发明提出许多不同的方法来计算状态转移概率。
在一个实施例中,使用希尔伯特变换算法计算转移概率。希尔伯特变换算法是一种空间拟合曲线算法,它使用信标的有序希尔伯特值来找到最近邻居,并根据顺序分配转移概率。该算法将信标设备的平面群集的二维坐标变换为具有希尔伯特值的权重的设备身份的线性排列。然后将权重(基于所选择的邻居跳数的最大数量)归一化为转移概率,使得对于任何状态,所有条件概率总计为1。
将2-D空间中的信标的空间群集转换为具有希尔伯特值h(ni)的信标ID的线性排序,其中ni是信标ID。两个信标ni、nj的接近程度可以通过以下方式估算:
Dij=|h(ni)-h(nj)|
通过选择边界B,the nearest neighbours of a beacon device,信标设备ni的最近邻居就是集合S(ni)={nj:|h(nj)-h(ni)|≤B}。从IDi到IDj的转移概率可以估计为:
在图2和图3中所示为本发明的实施例的希尔伯特空间拟合曲线的过程30。过程30包括以下步骤:
在步骤32中,选择粒度分辨率;
在步骤33中,将希尔伯特曲线拟合到信标群集并计算不同信标的希尔伯特值;
在步骤34中,定义边界限制B;
为每个所述信标ni,选择符合|h(nj)-h(ni)|≤B的所有ni,以S(ni)表示,并且在步骤S35中计算所有nj∈S(ni)的1/|h(ni)-h(nj)|的总和D;
在步骤36中,对于每个所述nj∈S(ni),设置转移概率pij=1/(D|h(nj)-h(ni)|);
在步骤S37中,如果设置具有pij的所有nj∈S(ni),然后进行到步骤S38,否则循环回到步骤S36;
在步骤S38中,如果所有N个信标都具有pij,然后停止,否则循环回到步骤S35。
或者,本发明的实施例使用Voronoi图映射以便生成转移概率。Voronoi图映射方法包括将二维空间划分为小区(cell)的步骤。对于任何信标ni,系统基于这些信标所属的Voronoi小区与ni的小区的距离,向其他信标分配不同的权重。更近的小区被赋予更高的权重。然后系统将第r层小区的权重分配为ar。也就是说,a0>a1>……。
然后,系统在要设置转移概率的层上分配最大边界L。若超过该转移概率,则转移概率为零。分配转移概率pij使得
a.pij:pij'=ax:ay的比率,如果nj和nj'分别属于层x和层y的小区;和
b.并且对于任何ni,所有pij的总和为1。
图4和图5示出了本发明实施例的Voronoi图映射的过程40。过程40包括以下步骤:
在步骤41中,计算所述信标群集的Voronoi图映射;
在步骤42中,确定边界值L;
在步骤43中,对于每层小区(cell),分配第r层小区的权重为ar
对于每个所述信标n,计算第r层中邻居Xr的数量,其中在步骤44中0<r≤L;
在步骤45中,计算S(ni)=a0X0+a1X1+…+aLXL的总和;
对于ni的邻居的所述第r层中的每个nj,在步骤46中分配所述转移概率
在步骤47中,递增r;
在步骤48中,检查r<L,然后返回步骤46,否则进入步骤49。
在步骤49中,如果设置了所有n个信标的转移概率,则停止,否则返回步骤44。
在本发明的另一个实施例中,信标之间的转移概率是用经验方法导出的,该方法包括步骤:
通过信标部署随机漫游(发布前或发布后);
记录信标ID转换的轨迹,计算信标的分布统计和后验概率分布;
在每对状态之间分配转移概率。
在分配转移概率的步骤,系统可以使用信标ID的轨迹来估计信标ID对之间的转移概率。或者,系统可以使用贝叶斯统计手段(Bayesian statistical means)或任何机器学习算法来估计转移概率。如果两个状态之间没有转移,则可以分配零或非常小的概率值。
如图7所示本发明的一个实施例中,终端设备获取广播信标ID并将它们用作密钥以向后端服务器或路由设备查询基于位置的信息或服务。因此,后端服务器(可以在云中)或路由设备可以记录终端设备的用户轨迹,该用户轨迹是由终端设备记录的信标ID的时间序列。
用户轨迹可以被视为由基础马尔可夫链参数化的离散随机过程。首先,基线模型代表一个概率分布。其次,用户轨迹可以形成另一个概率分布。如果没有入侵,则两个分布应该在概率上彼此相似。如果用户轨迹分布显着偏离并形成异常值,我们可以得出结论,它与基线模型有很大不同,并且可能发生入侵。
用户轨迹概率分布的异常值可能表示发生入侵。改变基础马尔可夫链模型或基础模型的参数可以调整攻击检测系统的准确性。在一个实施例中,后端服务器或路由设备将使用用户轨迹来确定,它是否属于在终端设备向后端服务器或路由设备进行查询时对应于马尔可夫链模型或基本模型的分布。
在大多数情况下,信标ID转换的随机性很大程度上取决于用户移动性模式。因此,信标ID转换的潜在概率分布是相对时间不变的或缓慢变化的。马尔可夫链模型也可以是较低阶。因此,基于马尔可夫链模型,可以测试观察到的用户轨迹是否属于马尔可夫链的相应分布。如果不是,可以假设可能发生入侵。
在本发明的一个实施例中,具有T的ID的用户轨迹,由后端服务器记录和编码为:
(c1,c2,……,cr,……,cT)
当终端设备向后端服务器或路由设备发送查询时,该用户轨迹将被记录在后端服务器或路由设备之中。然后,后端服务器或路由设备运行假设测试以确定所接收的用户轨迹是否符合由马尔可夫链模型过程导出的分布。测试过程将产生两个相反的假设中的一个,即:
H0:(c1,c2,……,cr,……,cT)为符合马尔可夫链模型基线;或
H1:入侵或异常分布。
有许多不同的假设检验可以在本发明的实施例中实现。例如,后端服务器或路由设备可以执行广义似然比测试(Generalized Likelihood Ratio Test,简称GLRT)或Kullback-Leibler发散(Kullback-Leibler Divergence,简称KLD)来测试假设。
在本发明的一个实施例中,步骤18中的假设检验包括广义似然比检验(GLRT)的方法,其中GLRT包括以下步骤:
透过Ω获得所有可能的θ导出pij(θ),其中1≤i、j≤N,当所述转移概率从IDi到IDj表示具有θ的n个状态马尔可夫链为相应的一组参数。
对于接收到的用户轨迹C=(c1,……,cT),导出似然函数作为给定θ的C发生的条件概率,其中
计算所述似然比如下:
接受H0(没有检测到入侵),如果Δ≥λ其中λ是临界值。
pij(θ)的值是通过前面描述的三种(3)方法之一导出的,包括希尔伯特变换、Voronoi图和现场试验以及贝叶斯统计或机器学习算法。
在一实施例中,通过蒙特卡罗模拟或反复试验来设置所述λ的值。在后端服务器或路由设备根据接收到的多个误报和漏报来自终端设备的反馈后,后端服务器或路由设备可以调整λ的值。
一般来说,在一个实施例中,如果因为这意味着Δ≥λ,后端服务器或路由设备接受H0。这将减少计算过程的数量并加快测试过程。
在本发明的另一个实施例中,步骤18中的假设检验包括Kullback-Leibler离散(KLD)的方法,其中KLD包括以下步骤:
收集相同长度的所述用户轨迹并基于一组所述用户轨迹,估计所收集的轨迹的所述概率分布P(C),其中C是特定的用户轨迹;
计算所述参考概率分布Q(C);
计算KLD,其中
接受H0,如果DKL(P||Q)≤ξ,其中ξ是临界值。
在一实施例中,通过蒙特卡罗模拟或反复试验来设置所述ξ的值。在另一个实施例中,ξ的值是根据经验设定。在后端服务器或路由设备根据接收到的多个误报和漏报来自终端设备的反馈后,后端服务器或路由设备可以调整ξ的值。
在一个实施例中,收集用户轨迹的步骤包括在所有用户轨迹上设置移动窗口的步骤,使得在特定时间的C是窗口中的所有用户轨迹。
在如图8所示的本发明的一个实施例中,提供了一种用于无线信标系统中的攻击检测系统50,包括信标群集52,其中每个信标53适于广播唯一的信标识别码(信标ID)。系统50还具有适于接收信标ID的用户踪迹的终端设备51,并且向后端服务器54或路由设备发送查询以经由网络55确定入侵的发生。后端服务器54适于通过执行如步骤12所示的计算信标设备之间的空间关系度量的步骤来确定入侵的发生。然后,后端服务器54将信标ID转换为马尔可夫(Markov)链模型的状态,并且如步骤14所示基于所述空间关系度量来估计状态转移概率。然后,当终端设备51进行如步骤16所示的查询时,后端服务器54将记录信标ID转换的用户踪迹;并如步骤18所示,根据马尔可夫链模型对用户轨迹进行假设检验,以确定入侵状态。
如图9所示本发明的一个方面中,提供了一种终端设备60,其包括用于通过射频(RF)收发器64控制无线电信号的控制器61,其中RF收发器连接到天线67。终端设备60还具有用于将无线电信号编码为信标ID的现场可编程门阵列(FPGA),以及用于存储用户信标ID轨迹的存储器模块65。控制器61适于通过使用户轨迹针对马尔可夫链模型进行假设检验,来转发用于检测指令发生的信标ID的用户轨迹,以确定入侵状态,如步骤18所示。如步骤12所示,通过在后端服务器处或路由设备计算信标设备之间的空间关系度量来生成马尔可夫链模型,并且将信标ID转换为马尔可夫链模型的状态,并且如步骤14所示,基于空间关系度量来估计状态转移概率。
有利地,本发明的实施例基于完全被动检测方法,其中基线完全基于被动地观察用户迹线或离线计算而形成,并且不需要额外的设备来注入信标并检测欺骗信标。
本发明的实施例可以优于在可疑假信标设备附近注入时变虚拟信标以形成基线模型,并假设这些假的信标设备取得虚拟信标以及用不同的时间戳重放它们。
此外,注入时变虚拟信标的方法仍然易受不涉及信标信号播放的重新改组攻击的影响。
本发明对于欺骗和重新改组攻击都很有效,因为两者都会导致转移概率偏离基线的情况。
有利地,本发明的方法不需要将新的检测器设备放置在可疑的伪信标设备附近。
本发明的所有检测都将在后端服务器或路由器中完成,具有先前形成的基线模型和在信标系统的正常操作中从用户请求中提取的信标ID轨迹。
有利地,本发明的方法不需要专用设备来拾取信标信号以验证是否发生入侵。
本发明仅使用来自用户的常规查询的记录痕迹来运行假设检验以验证可能的入侵。
应该理解,本领域技术人员将认识到可以在本发明的核心教导中进行变化。
还应当理解,在本发明的方法和系统完全由计算系统实现或部分由计算系统实现的情况下,可以使用任何适当的计算系统架构。这将包括独立计算机、网络计算机和专用硬件设备。在使用术语“计算系统”和“计算设备”的情况下,这些术语旨在涵盖能够实现所描述的功能的计算机硬件的任何适当配置。
本领域技术人员将理解,在不脱离广泛描述的本发明的精神或范围的情况下,可以对具体实施方案中所示的本发明进行多种变化和/或修改。因此,本发明的实施例在所有方面都被认为是说明性的而非限制性的。
除非另有说明,否则对本文包含的现有技术的任何引用不应视为承认该信息是公知常识。尽管已经参考具体示例描述本发明,但是本领域技术人员将理解,本发明可以以许多其他形式实施,以符合本文描述的本发明的广泛原理和精神。

Claims (24)

1.一种用于信标群集的攻击检测系统,其中,每个信标适于广播唯一的信标识别码(信标ID),包括:
后端服务器或路由设备,适于记录终端设备发送查询所述信标ID的用户轨迹,以确定通过网络发生的入侵;
其中,所述后端服务器适于通过执行以下步骤来确定入侵的发生:
计算信标设备之间的空间关系度量;
将所述信标ID转换为马尔可夫(Markov)链模型的状态,并基于空间关系度量来估计状态转移概率;
当所述终端设备对基于位置或基于项目的内容或服务进行查询时,记录所述信标ID转换的所述用户轨迹;和
针对马尔可夫链模型对所述用户轨迹运行假设检验以确定入侵状态。
2.如权利要求1所述的系统,其中,所述估计状态转移概率的步骤包括以下步骤:
选择粒度分辨率;
将希尔伯特曲线拟合到信标群集并计算不同信标的希尔伯特值;
定义边界限制B;
为每个所述信标ni,选择符合|h(nj)-h(ni)|≤B的所有nj,以S(ni)表示,并且计算所有nj∈S(ni)的1/|h(ni)-h(nj)|的总和D;
对于每个所述nj∈S(ni),设置转移概率pij=1/(D|h(nj)-h(ni)|),其中,h(nj)、h(ni)分别表示信标nj、ni的希尔伯特值;
确定是否已设置具有pij的所有nj∈S(ni),然后进行下一步,否则循环回到所述设置转移概率的步骤;和
确定所有N个信标是否都具有pij,然后停止,否则循环回到所述计算信标ni的总和D的步骤。
3.如权利要求1所述的系统,其中,所述估计状态转移概率的步骤包括以下步骤:
计算所述信标群集的Voronoi图映射;
确定边界值L;
对于每层小区,分配第r层小区的权重为ar
对于每个所述信标ni,计算第r层中邻居Xr的数量,其中0<r≤L;
计算S(ni)=a0X0+a1X1+…+aLXL的总和;
对于ni的邻居的所述第r层中的每个nj,分配所述转移概率
递增r;
确定如果r<L,返回到分配所述转移概率pij的步骤,否则进行下一步;和
如果设置了所有n个所述信标的所述转移概率,则停止,否则返回所述计算邻居的数量的步骤。
4.如权利要求1所述的系统,其中,所述估计状态转移概率的步骤包括以下步骤:
通过信标部署随机漫游;
记录所述信标ID转换的所述用户轨迹,计算所述信标的分布统计和后验概率分布;和
在每对状态之间分配转移概率。
5.如权利要求4所述的系统,其中,所述分配转移概率的步骤包括使用所述信标ID的所述用户轨迹用于估计所述信标ID对之间的所述转移概率的步骤。
6.如权利要求4所述的系统,其中,所述分配转移概率的步骤包括使用贝叶斯统计方法(Bayesian statistical means)的步骤,或者机器学习用于估计所述转移概率。
7.如权利要求4所述的系统,其中,所述分配转移概率的步骤包括如果在两个状态之间不存在转换则将所述转移概率分配为零的步骤。
8.如权利要求1所述的系统,其中,所述入侵状态包括以下之一:
状态H0:(c1,c2,……,cr,……,cT)为被接受的轨迹分布,其适于没有检测到入侵的马尔可夫链模型;或
状态H1,入侵或痕迹的异常分布。
9.如权利要求8所述的系统,其中,所述假设检验包括以下步骤:
透过Ω获得所有可能的θ导出pij(θ),其中1≤i,j≤N,当所述转移概率从IDi到IDj表示具有θ的n个状态马尔可夫链为相应的一组参数;
对于接收到的用户轨迹C=(c1,……,cT),导出似然函数作为给定θ的C发生的条件概率,其中
计算似然比如下:
接受H0,如果Δ≥λ,其中λ是临界值。
10.如权利要求9所述的系统,其中,通过蒙特卡罗模拟或反复试验来设置所述λ的值。
11.如权利要求8所述的系统,其中,所述假设检验包括以下步骤:
收集相同长度的所述用户轨迹并基于一组所述用户轨迹,估计所收集的轨迹的概率分布P(C),其中C是特定的用户轨迹;
计算参考概率分布Q(C);
计算KLD(Kullback–Leibler Divergence),其中
接受H0,如果DKL(P||Q)≤ξ,其中ξ是临界值。
12.如权利要求11所述的系统,其中,通过蒙特卡罗模拟或反复试验来设置所述ξ的值。
13.一种攻击检测的方法,包括以下步骤:
在后端服务器计算信标设备之间的空间关系度量;
在所述后端服务器将信标ID转换为马尔可夫(Markov)链模型的状态,并且基于所述空间关系度量来估计状态转移概率;
接收从终端设备记录的所述信标ID转换的用户踪迹;
针对所述马尔可夫链模型对用户轨迹运行假设检验以确定所述后端服务器的入侵状态。
14.如权利要求13所述的方法,其中,所述估计状态转移概率的步骤包括以下步骤:
选择粒度分辨率;
将希尔伯特曲线拟合到信标群集并计算不同信标的希尔伯特值;
定义边界限制B;
为每个所述信标ni,选择符合|h(nj)-h(ni)|≤B的所有nj,以S(ni)表示,并且计算所有nj∈S(ni)的1/|h(ni)-h(nj)|的总和D;
对于每个所述nj∈S(ni),设置转移概率pij=1/(D|h(nj)-h(ni)|),其中,h(nj)、h(ni)分别表示信标nj、ni的希尔伯特值;
确定是否已设置具有pij的所有nj∈S(ni),然后进行下一步,否则循环回到所述设置转移概率的步骤;和
确定所有N个信标是否都具有pij,然后停止,否则循环回到所述计算信标ni的总和D的步骤。
15.如权利要求13所述的方法,其中,所述估计状态转移概率的步骤包括以下步骤:
计算信标群集的Voronoi图映射;
确定边界值L;
对于每层小区,分配第r层小区的权重为ar
对于每个所述信标ni,计算第r层中邻居Xr的数量,其中0<r≤L;
计算S(ni)=a0X0+a1X1+…+aLXL的总和;
对于ni的邻居的所述第r层中的每个nj,分配所述转移概率
递增r;
确定如果r<L,返回到分配所述转移概率pij的步骤,否则进行下一步;和
如果设置了所有n个所述信标的所述转移概率,则停止,否则返回所述计算邻居的数量的步骤。
16.如权利要求13所述的方法,其中,所述估计状态转移概率的步骤包括以下步骤:
通过信标部署随机漫游;
记录所述信标ID转换的所述用户轨迹,计算所述信标的分布统计和后验概率分布;和
在每对状态之间分配转移概率。
17.如权利要求16所述的方法,其中,所述分配转移概率的步骤包括使用所述信标ID的所述用户轨迹用于估计所述信标ID对之间的所述转移概率的步骤。
18.如权利要求16所述的方法,其中,所述分配转移概率的步骤包括使用贝叶斯统计方法(Bayesian statistical means)的步骤,或者机器学习用于估计所述转移概率。
19.如权利要求16所述的方法,其中,所述分配转移概率的步骤包括如果在两个状态之间不存在转换则将转移概率分配为零的步骤。
20.如权利要求13所述的方法,其中,所述入侵状态包括以下之一:
状态H0:(c1,c2,……,cr,……,cT)为符合马尔可夫链模型基线;或
状态H1,入侵或异常分布。
21.如权利要求19所述的方法,其中,所述假设检验包括以下步骤:
透过Ω获得所有可能的θ导出pij(θ),其中1≤i、j≤N,当所述转移概率从IDi到IDj表示具有θ的n个状态马尔可夫链为相应的一组参数;
对于接收到的用户轨迹C=(c1,……,cT),导出似然函数作为给定θ的C发生的条件概率,其中
计算似然比如下:
接受H0,如果Δ≥λ,其中λ是临界值。
22.如权利要求21所述的方法,其中,通过蒙特卡罗模拟或反复试验来设置所述λ的值。
23.如权利要求19所述的方法,其中,所述假设检验包括以下步骤:
收集相同长度的所述用户轨迹并基于一组所述用户轨迹,估计所收集的轨迹的概率分布P(C),其中C是特定的用户轨迹;
计算参考概率分布Q(C);
计算KLD(Kullback–Leibler Divergence),其中
接受H0,如果DKL(P||Q)≤ξ,其中ξ是临界值。
24.如权利要求21所述的方法,其中,通过蒙特卡罗模拟或反复试验来设置所述ξ的值。
CN201811633704.7A 2018-12-27 2018-12-29 无线信标系统中攻击检测的系统和方法 Active CN111385747B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
HK18116670.3 2018-12-27
US16/233,285 2018-12-27
US16/233,285 US10699545B1 (en) 2018-12-27 2018-12-27 System and method for attack detection in wireless beacon systems
HK18116670A HK1255291A2 (zh) 2018-12-27 2018-12-27 用於ble信標系統的攻擊檢測方法

Publications (2)

Publication Number Publication Date
CN111385747A CN111385747A (zh) 2020-07-07
CN111385747B true CN111385747B (zh) 2023-05-16

Family

ID=71217975

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811633704.7A Active CN111385747B (zh) 2018-12-27 2018-12-29 无线信标系统中攻击检测的系统和方法

Country Status (1)

Country Link
CN (1) CN111385747B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103781075B (zh) * 2014-01-22 2017-04-12 中国石油大学(华东) 无线传感器网络移动信标节点的虫洞攻击检测及定位方法
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10097568B2 (en) * 2016-08-25 2018-10-09 International Business Machines Corporation DNS tunneling prevention
CN108933772B (zh) * 2018-03-19 2021-05-04 和芯星通(上海)科技有限公司 攻击检测方法和装置、计算机可读存储介质与终端
CN108418843B (zh) * 2018-06-11 2021-06-18 中国人民解放军战略支援部队信息工程大学 基于攻击图的网络攻击目标识别方法及系统

Also Published As

Publication number Publication date
CN111385747A (zh) 2020-07-07

Similar Documents

Publication Publication Date Title
Yao et al. Multi-channel based Sybil attack detection in vehicular ad hoc networks using RSSI
Ferrag et al. Security for 4G and 5G cellular networks: A survey of existing authentication and privacy-preserving schemes
Agarwal et al. Machine learning approach for detection of flooding DoS attacks in 802.11 networks and attacker localization
Chen et al. Detecting and localizing identity-based attacks in wireless and sensor networks
Desmond et al. Identifying unique devices through wireless fingerprinting
Chen et al. Privacy protection for internet of drones: A network coding approach
Wei et al. Lightweight location verification algorithms for wireless sensor networks
EP3803659B1 (en) Anomalous access point detection
Zheng et al. Location based handshake and private proximity test with location tags
US10699545B1 (en) System and method for attack detection in wireless beacon systems
Moreira et al. Cross-layer authentication protocol design for ultra-dense 5G HetNets
Koh et al. Geo-spatial location spoofing detection for Internet of Things
Aman et al. A lightweight protocol for secure data provenance in the Internet of Things using wireless fingerprints
Wang et al. BCAuth: Physical layer enhanced authentication and attack tracing for backscatter communications
Kumar et al. Novel trusted hierarchy construction for RFID sensor–based MANETs using ECCs
Sabbah et al. An application-driven perspective on wireless sensor network security
Zhu et al. Detecting node replication attacks in mobile sensor networks: theory and approaches
US12096217B2 (en) PUF-based IoT device using channel state information, and authentication method thereof
Sartayeva et al. A survey on indoor positioning security and privacy
Vamsi et al. Detecting sybil attacks in wireless sensor networks using sequential analysis
Mazzo et al. Physical-layer challenge-response authentication for drone networks
CN111385747B (zh) 无线信标系统中攻击检测的系统和方法
CN115426654B (zh) 一种构建面向5g通信系统的网元异常检测模型的方法
US11856409B2 (en) Trusted location tracking
Das et al. A synopsis on node compromise detection in wireless sensor networks using sequential analysis (Invited Review Article)

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40029992

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant