CN103973697B - 一种物联网感知层入侵检测方法 - Google Patents
一种物联网感知层入侵检测方法 Download PDFInfo
- Publication number
- CN103973697B CN103973697B CN201410211088.1A CN201410211088A CN103973697B CN 103973697 B CN103973697 B CN 103973697B CN 201410211088 A CN201410211088 A CN 201410211088A CN 103973697 B CN103973697 B CN 103973697B
- Authority
- CN
- China
- Prior art keywords
- data
- detection
- sensing layer
- site detection
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开了一种物联网感知层入侵检测方法,涉及一种物联网感知层的安全检测方法,特别涉及一种通过特征检测技术与异常检测技术相结合进而判断网络是否存在入侵行为的检测方法。是为了解决现有技术的误报率高、漏报率高、检测率低等问题提出的,本发明采用特征检测技术和异常检测技术相结合的方法来进行物联网感知层的入侵检测,与现有技术相比,具有误报率低、漏报率低、检测率高、及时性好等优点,适用于物联网感知层异常行为的入侵检测。
Description
技术领域
本发明涉及物联网安全领域,尤其涉及一种物联网感知层的入侵行为检测方法,
背景技术
物联网(Internet of Things,简称IoTs)是以感知为核心的物与物互联的综合信息***,被誉为是继计算机、互联网之后信息产业的第三次浪潮。物联网在数据的安全性方面的要求是很高的,尤其是信息感知层,如果网络受到侵犯,不合法的或者是恶意的数据经感知层流入物联网中,则不仅会危害到感知层数据,而且还会危及到与之相连的信息传输层,进而给整个全局网络带来不可预料的损害。与此同时,由于物联网感知层节点自身的特点原因,感知层节点是极容易受到入侵行为攻击的,因此对物联网感知层的数据安全性采取相应的保护措施是相当重要的。
目前,物联网感知层入侵检测还处于起步的阶段,为了保障感知层节点的安全,以提高整个网络的安全性能,至今已经提出了很多入侵检测解决方案。多以特征检测或者异常检测为主,其中,特征检测是对入侵行为的特征做出确定性的描述,形成相应的规则并汇总成一个特征库,然后将采集的数据信息与特征库进行比对,若匹配,那么就表明该行为为一入侵行为。该检测通常情况下是采用统计方法进行检测的,而统计方法中的阈值有效的确定是很难的,值太小会产生大量的误报,值太大又会产生大量的漏报。特征检测能够准确地检测到已知的入侵行为,但是对新入侵确是无能为力的。异常检测是将规则库中设定为正常的行为与检测行为进行比较,如果相匹配则认为此行为是合法的,如果不匹配则认为此行为是不合法的。该检测方法可以检测到新的入侵行为,但是也具有较高的误检率问题。
如何将两种检测方法优点有机地结合起来,同时避免两者的缺点,是本发明的重点。一些学者也对特征检测和异常检测技术的结合进行了研究,但他们大多是简单的使用两种检测方法,两种检测技术的实现是分离的。这样并不能从本质上去克服两种检测技术缺陷,因此,本文提出了一种新的特征检测与异常检测结合检测方案,以求克服两种检测技术的固有缺陷,使***有更高的检测率和较低的漏报率。
同时,如今的物联网感知层入侵检测方案多以初探为主,也就是说,目前多数有关于物联网感知层入侵检测的论述只是提供一个框架,对于具体如何实现检测未能确定。
发明内容
针对以上现有技术中的不足,本发明的目的在于提供一种漏报率低、检测率高的物联网感知层入侵检测方法,本发明的技术方案如下:一种物联网感知层入侵检测方法,其包括以下步骤:
101、初始化,生成一个内容为空的规则库;
102、物联网感知层节点采用传感器获取并收集现场检测数据,将所收集的现场检测数据采用免疫遗传算法训练形成正常行为集和入侵行为集,并分别将正常行为集和入侵行为集存入步骤101中的规则库,形成训练规则库,跳转至步骤103;
103、当物联网感知层节点再次采用传感器获取并收集现场检测数据时,采用基于特征检测法对现场检测数据进行判断,若现场检测数据符合步骤102中的训练规则库中的正常行为集,则判断检测结果为1,现场检测数据是安全的,并将所得到的现场检测数据更新到训练规则库中;
若现场检测数据符合步骤102中的训练规则库中的入侵行为集,则判断检测结果为0,现场检测数据为安全隐患数据,并将得到的安全隐患数据采用基于异常检测法检测,若再次检测结果为1,则判断安全隐患数据为检测误报数据,给予通行并将所述检测误报数据反馈给训练规则库进行更新;当再次检测结果为0时,则表明该安全隐患数据为入侵数据,则将该入侵数据进行拦截以及报警处理。
进一步的,步骤102中的免疫遗传算法包括以下步骤:
A、根据现场检测数据随机的产生一个初始的种群,然后对产生的初始种群进行适应度f的计算其中H(i,s)表示个体i与自体S中的某单个个体之间的信息熵,且自体S中含n个个体排序,选择出其中适应度值f>0.8的个体遗传到下一代中;
B、同时对种群中的个体进行交叉、变异操作;
C、如果种群的适应度f满足终止条件(f>0.8)则得到规则库,若不满足则继续训练,得到训练规则库。
进一步的,步骤102中的正常行为集和入侵行为集分别表述为:当现场检测数据为A时,则为正常行为;当现场检测数据为B时,则为入侵行为集。
本发明的优点及有益效果如下:
本发明采用特征检测技术与异常检测技术相结合,克服了传统特征检测方法不能够检测出未知入侵行为的缺陷,在检测过程中既可以检测到已知入侵行为,又可以检测到未知入侵行为;与传统的特征检测方法或者异常检测方法相比,采用上述方案具有误报率、漏报率低、检测率高的优势。由于在规则库的产生过程中免疫遗传算法的采用,使得本发明方法具有自学能力强、自适应性好的特点。
附图说明
图1为本发明的流程示意框图;
图2是检测示意框图;
图3是规则库生成更新及工作流程详图。
具体实施方式
下面结合附图给出一个非限定性的实施例对本发明作进一步的阐述。
参照图1-图3所示,物联网感知层入侵检测方法,其包括以下步骤:
101、初始化,生成一个内容为空的规则库;
102、物联网感知层节点采用传感器获取并收集现场检测数据(如温度、湿度等),将所收集的现场检测数据采用免疫遗传算法训练形成正常行为集和入侵行为集,并分别将正常行为集和入侵行为集存入步骤101中的规则库,形成训练规则库,跳转至步骤103;
103、当物联网感知层节点再次采用传感器获取并收集现场检测数据时,采用基于特征检测法对现场检测数据进行判断,若现场检测数据符合步骤102中的训练规则库中的正常行为集,则判断检测结果为1,现场检测数据是安全的,并将所得到的现场检测数据更新到训练规则库中;
若现场检测数据符合步骤102中的训练规则库中的入侵行为集,则判断检测结果为0,现场检测数据为安全隐患数据,并将得到的安全隐患数据采用基于异常检测法检测,若再次检测结果为1,则判断安全隐患数据为检测误报数据,给予通行并将所述检测误报数据反馈给训练规则库进行更新;当再次检测结果为0时,则表明该安全隐患数据为入侵数据,则将该入侵数据进行拦截以及报警处理。
优选的,步骤102中的免疫遗传算法包括以下步骤:
A、根据现场检测数据随机的产生一个初始的种群,然后对产生的初始种群进行适应度f的计算(其中H(i,s)表示个体i与自体S中的某单个个体之间的信息熵,且自体S中含n个个体排序,选择出其中适应度值f>0.8的个体遗传到下一代中;
B、同时对种群中的个体进行交叉、变异操作;
C、如果种群的适应度f满足终止条件(f>0.8)则得到规则库,若不满足则继续训练,得到训练规则库。
步骤102中的正常行为集和入侵行为集分别表述为:当现场检测数据为A时,则为正常行为;当现场检测数据为B时,则为入侵行为集。
实施例:物联网感知层入侵检测方法主要由感知层数据收集步骤、规则库生成及更新步骤、入侵行为检测步骤以及响应步骤组成,如图1所示,感知层数据收集步骤负责对数据的收集以及暂时存储;规则库生成及更新步骤则是生成用于特征检测及异常检测的规则描述库,并完成及时的自我更新,规则库的生成过程中,首先随机的产生一个初始的种群,然后对产生的初始种群进行适应度的计算、排序,选择出其中适应度高的个体遗传到下一代中,同时对种群中的个体进行交叉、变异操作以增强个体适应能力,达到改善种群目的,最后进行新种群终止判断,如果种群的适应度满足终止条件则得到规则库,若不满足则继续训练,更新过程,是通过在检测过程中,通过检测模块得到的结果反补之前产生的规则库,达到实时更新的效果;入侵行为检测步骤对数据安全性做出判定,同时反馈规则库;响应步骤是根据入侵行为检测步骤消息对数据做出相应的处理。
完整的检测流程如下述所示:
如图2所示,数据通过感知层数据收集步骤收集后,流入结合检测模块中处理、检测,数据首先进入规则库作为初始数据训练形成规则库,然后通过特征检测模块利用形成的规则库进行初步检测,此时,若检测结果为1,表明数据是安全的,给予通行并将数据反馈于规则库中,使规则库及时地更新;若检测结果为0,表明数据存在安全隐患,则将数据送入异常检测模块中进行再次检测,当再次检测结果为1时,表明初步检测误报,给予通行并将数据反馈规则库更新;当再次检测结果为0时,则表明该数据为入侵数据,直接将结果送人响应模块中对数据给予拦截以及做出报警处理。
规则库生成、更新及工作情况,如图3所示:
1、生成,当本发明***首次运用时,规则库为空,数据直接通过免疫遗传算法作用形成正常行为库和入侵行为库;
2、更新,规则库的生成完成后,由特征检测及异常检测得出的正常行为,即判定为1的行为用于更新正常行为库,由异常检测得出的入侵行为更新入侵行为库;
3、工作,规则库中描述的入侵行为和正常行为分别送入特征检测及异常检测中进行比对,得出各自检测结果。
本发明适用于物联网感知层异常行为的入侵检测,使用本发明所公开的入侵检测方法,由于特征检测技术与异常检测技术的结合使用,在入侵检测过程中可达到误报率低、漏报率低、检测率高的效果;并对未知入侵行为有较好的检测能力;同时具有较好的自适应能力。
在传统的方法中,其误报率一般在2%左右,本发明中的方法可使误报率降低到0.3%以下。同时,在检测率方面,可以达到99%以上。
以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明方法权利要求所限定的范围。
Claims (2)
1.一种物联网感知层入侵检测方法,其特征在于包括以下步骤:
101、初始化,生成一个内容为空的规则库;
102、物联网感知层节点采用传感器获取并收集现场检测数据,将所收集的现场检测数据采用免疫遗传算法训练形成正常行为集和入侵行为集,并分别将正常行为集和入侵行为集存入步骤101中的规则库,形成训练规则库,跳转至步骤103;其中免疫遗传算法包括以下步骤:
A、根据现场检测数据随机的产生一个初始的种群,然后对产生的初始种群进行适应度f的计算其中H(i,s)表示个体i与自体S中的某单个个体之间的信息熵,且自体S中含n个个体排序,选择出其中适应度值f>0.8的个体遗传到下一代中;
B、同时对种群中的个体进行交叉、变异操作;
C、如果种群的适应度f满足终止条件f>0.8则得到规则库,若不满足则继续训练,得到训练规则库。
103、当物联网感知层节点再次采用传感器获取并收集现场检测数据时,采用基于特征检测法对现场检测数据进行判断,若现场检测数据符合步骤102中的训练规则库中的正常行为集,则判断检测结果为1,现场检测数据是安全的,并将所得到的现场检测数据更新到训练规则库中;
若现场检测数据符合步骤102中的训练规则库中的入侵行为集,则判断检测结果为0,现场检测数据为安全隐患数据,并将得到的安全隐患数据采用基于异常检测法检测,若再次检测结果为1,则判断安全隐患数据为检测误报数据,给予通行并将所述检测误报数据反馈给训练规则库进行更新;当再次检测结果为0时,则表明该安全隐患数据为入侵数据,则将该入侵数据进行拦截以及报警处理。
2.根据权利要求1所述的物联网感知层入侵检测方法,其特征在于:步骤102中的正常行为集和入侵行为集分别表述为:当现场检测数据为A时,则为正常行为;当现场检测数据为B时,则为入侵行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410211088.1A CN103973697B (zh) | 2014-05-19 | 2014-05-19 | 一种物联网感知层入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410211088.1A CN103973697B (zh) | 2014-05-19 | 2014-05-19 | 一种物联网感知层入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103973697A CN103973697A (zh) | 2014-08-06 |
| CN103973697B true CN103973697B (zh) | 2017-03-29 |
Family
ID=51242743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410211088.1A Active CN103973697B (zh) | 2014-05-19 | 2014-05-19 | 一种物联网感知层入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103973697B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601556B (zh) * | 2014-12-30 | 2017-12-26 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及*** |
| US11507848B2 (en) * | 2016-08-08 | 2022-11-22 | TCL Research America Inc. | Experience-aware anomaly processing system and method |
| CN106789904B (zh) * | 2016-11-23 | 2019-10-25 | 北京邮电大学 | 物联网入侵检测方法及装置 |
| CN106603546B (zh) * | 2016-12-22 | 2020-07-28 | 北京邮电大学 | 物联网入侵监测方法及装置 |
| CN107222491B (zh) * | 2017-06-22 | 2021-01-05 | 北京工业大学 | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 |
| CN110351229B (zh) * | 2018-04-04 | 2020-12-08 | 电信科学技术研究院有限公司 | 一种终端ue管控方法及装置 |
| CN108989338A (zh) * | 2018-08-20 | 2018-12-11 | 常州信息职业技术学院 | 一种物联网信息防止入侵的免疫***及其方法 |
| CN109347870B (zh) * | 2018-11-29 | 2022-01-14 | 广州大学 | 一种基于生物免疫的主动防御***法及方法 |
| CN113630478B (zh) * | 2021-10-11 | 2022-01-07 | 山东美欣医疗科技有限公司 | 多感知物联网的动态监测***及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测***和方法 |
| CN101431416A (zh) * | 2008-12-10 | 2009-05-13 | 南京邮电大学 | 一种应用于数据网格的协同学习入侵检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7096498B2 (en) * | 2002-03-08 | 2006-08-22 | Cipher Trust, Inc. | Systems and methods for message threat management |
-
2014
- 2014-05-19 CN CN201410211088.1A patent/CN103973697B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测***和方法 |
| CN101431416A (zh) * | 2008-12-10 | 2009-05-13 | 南京邮电大学 | 一种应用于数据网格的协同学习入侵检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种混合式网络入侵检测***;孙云等;《计算机工程》;20080531;第34卷(第9期);第1-3页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103973697A (zh) | 2014-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103973697B (zh) | 一种物联网感知层入侵检测方法 | |
| Pal et al. | Classification and detection of PMU data manipulation attacks using transmission line parameters | |
| CN103840967B (zh) | 一种电力通信网中故障定位的方法 | |
| CN103793853B (zh) | 基于双向贝叶斯网络的架空输电线路运行状态评估方法 | |
| US9177139B2 (en) | Control system cyber security | |
| TW200849917A (en) | Detecting method of network invasion | |
| CN104166718B (zh) | 一种适用于大电网的不良数据检测与辨识方法 | |
| CN104267346B (zh) | 一种发电机励磁***故障远程诊断方法 | |
| Anwar et al. | A data-driven approach to distinguish cyber-attacks from physical faults in a smart grid | |
| CN103605787B (zh) | 继电保护评价分析方法及*** | |
| CN114977483B (zh) | 一种智能电网调控控制设备故障诊断*** | |
| CN106709905A (zh) | 一种基于双目视觉图像的防振锤故障在线检测识别方法 | |
| CN107871206A (zh) | 基于连锁故障网络图的输电线路脆弱性识别方法 | |
| CN108205874A (zh) | 基于多参数联动的地质灾害预警方法、现场主控站及*** | |
| RU2013130664A (ru) | Способ выполнения диагностики конструкции, подверженной нагрузкам, и система реализации упомянутого способа | |
| CN108572308A (zh) | 故障诊断方法及*** | |
| CN109829627A (zh) | 一种基于集成学习方案的电力***动态安全置信评估方法 | |
| CN110022293A (zh) | 一种电网信息物理融合***风险评估方法 | |
| CN102123062B (zh) | 基于树突细胞算法的网络数据异常检测方法 | |
| CN104635146B (zh) | 基于随机正弦信号测试和hmm的模拟电路故障诊断方法 | |
| Jiang et al. | Detection model for seepage behavior of earth dams based on data mining | |
| He et al. | Detection of false data injection attacks leading to line congestions using Neural networks | |
| CN117494950A (zh) | 一种光储充检微电网一体站运行安全评价方法 | |
| CN109784777B (zh) | 基于时序信息片段云相似度度量的电网设备状态评估方法 | |
| Song et al. | A Novel Outlier Detection Method of Long‐Term Dam Monitoring Data Based on SSA‐NAR |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |