CN107135093B - 一种基于有限自动机的物联网入侵检测方法及检测*** - Google Patents

一种基于有限自动机的物联网入侵检测方法及检测*** Download PDF

Info

Publication number
CN107135093B
CN107135093B CN201710158735.0A CN201710158735A CN107135093B CN 107135093 B CN107135093 B CN 107135093B CN 201710158735 A CN201710158735 A CN 201710158735A CN 107135093 B CN107135093 B CN 107135093B
Authority
CN
China
Prior art keywords
event
data
label
conversion
stream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710158735.0A
Other languages
English (en)
Other versions
CN107135093A (zh
Inventor
付玉龙
闫峥
李晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201710158735.0A priority Critical patent/CN107135093B/zh
Publication of CN107135093A publication Critical patent/CN107135093A/zh
Application granted granted Critical
Publication of CN107135093B publication Critical patent/CN107135093B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于有限自动机的物联网入侵检测方法及检测***,采用有限自动机理论对联网终端的通用协议群进行建模,同时针对交互中的物联网终端所执行的动作进行实时监控、建模,并使其与有限自动机模型预测的正常交互行为进行匹配,从而判断出异常攻击行为的方法。本发明可以使用简略的可组合标签转换模型表示复杂的物联网***,因此在很大程度上降低了IDS对于存储空间的要求。同时,我们使用的比较算法的复杂度是根据对应的物联网设备运行协议的Glued‑IOLTS(可组合标签转换模型)图的深度来决定的,因此,这种基于有限自动机遍历的检测方法将可被应用于物联网***中。本发明具有体量小,占用资源少,执行效率高的特点,使用方便,投入成本较低。

Description

一种基于有限自动机的物联网入侵检测方法及检测***
技术领域
本发明属于物联网移动通信网络安全技术领域,具体涉及一种基于有限自动机的物联网入侵检测方法。
背景技术
万物互联已经成为未来网络发展的主要趋势,物联网因其能够大大的扩展互联网的网络边界,成为未来5G网络发展的主要方向。针对物联网的研究和投入已逐渐成为当前高科技公司的共识。但是一方面由于大部分的物联网终端设备性能低下,单点计算能力不足;终端设备物理分布较广,容易被敌手捕获;网络拓扑组网灵活,易于从网络内部发起攻击等特征,导致了传统的基于算法复杂度的安全协议设计方案将不再适合保护物联网设备的安全。另一方面,入侵检测***是一种后验性安全防护方法,也是一种被学术和工业界高度认同的安全防护体制。
传统的入侵检测***能够依据已有攻击的流量、行为以及统计规律等特征,对疑似攻击的网络通信行为进行预判,进而在一定程度上保护网络设备和用户的安全。传统的入侵检测***(IDS)是运用入侵检测技术对***行为数据进行分析来检测入侵行为的一种***,也就是进行入侵检测的一种硬件与软件的结合。虽然现如今入侵检测***已经发展为很多不同的种类,但它们的基本过程是一致的,大致分为信息收集、信息分析、结果处理这几个模块(如图1所示)。不同的入侵检测***的区别在于,它们所采用的数据源不同、信息分析以及检测方法不同。总而言之,入侵检测***这种主动防御的后盾,对计算机与网络安全起着相当关键的作用。
入侵检测的概念最早是由Anderson于1980年提出,并由此开始了对入侵检测***的研究。1988年Denning提出了第一个IDS专家***,而Heberlein于1990年开发了第一个适用于网络***的入侵检测***NSM。之后,针对入侵检测***的研究逐渐朝着分布式、大规模的检测方向发展。近年来,伴随着移动物联网、智能硬件、虚拟现实等技术的发展,物联网下的入侵检测方法已经成为当前该技术发展的一个主流趋势,但针对物联网整体的入侵识别***的研究还尚处于起步阶段。研究者们大多从IoT(Internet of Things,物联网)技术包含的各个主要方面着手对适合物联网的入侵检测技术展开研究。Hichem等人提出了一种基于博弈论的混合使用基于签名检测方法和基于异常检测方法的面向IoT网络的动态入侵检测方法。在入侵判断阶段引入game-theoretic方法,通过建立入侵者和正常用户的博弈模型,计算出最优的NE值,并使用该NE值来确定何时启动基于异常的入侵检测方法。Chen等人使用Complex Event Processing(CEP)技术提出了一种面向物联网设备的实时模式匹配***。该方法的优点在于利用事件流特征做出的判断,从而可以降低传统的入侵检测方法的误报率。该方法虽然在一定程度上增加了***计算资源的消耗,但确明显降低了IDS***的反馈延时。Nadeem和Howarth针对物联网的一种常见网络结构-MANET网络的入侵检测***进行了总结,通过对MANET网络特点的攻击方法和检测算法的分析和比较,分析了面向MANET网络的CRADS、GIDP等入侵检测框架。Yan等人也提出了一种针对MANET网络的,基于分布式信任管理机制的不期望数据检测和防御方法。Modia等人针对物联网的后端-云服务***的入侵威胁和检测方法进行了研究,分类归纳了近年来针对云***入侵检测和防御的方法和原理,但并未对未来云***的入侵检测和防御的发展给出了相关建议。这些已有的方法和***,虽然在不同层面上解决了物联网入侵检测所需要解决的一定问题,但是仍无法针对整个物联网***给出相应评价,即无法在整体上解决物联网各部件间的数据、模型等评价标准的一致性问题。正如Audrey等人对现有的IoT***的入侵检测方法所做的综述性研究中,所指出的面向物联网的入侵检测***研究需重点解决“具有高交互能力的标准化变量评价体系”以及“更加底层的真实数据建模”的问题。
在物联网中,数量众多的传感器、RFID标签设备、CCTV网络摄像头等只具有简单计算和存储能力的感知设备将会被使用,大大扩展当前互联网的网络边界,为未来的网络提供信息采集和信息服务的功能。但是这些感知设备却可能工作在非安全的环境中,且由于其计算能力的限制,无法使用复杂的密码学机制保护自己,容易被敌手干扰、捕获、破译,甚至篡改并嵌入恶意攻击程序,造成对物联网其他设备以及核心网的安全攻击。针对物联网中所存在的这种安全隐患,我们需要一种轻量级的主动防御机制来保护物联网***的安全。
发明内容
为了解决现有技术中存在的物联网终端设备性能低下,单点计算能力不足导致的无法使用复杂密码算法和复杂认证协议的问题,本发明提供了一种基于有限自动机的物联网入侵检测方法及检测***,本发明比传统的入侵检测***相比具有体量小,占用资源少,执行效率高的特点。同时,由于***状态机本身的模型容易被理解,且使用方便,投入成本较低。本发明要解决的技术问题通过以下技术方案实现:
一种基于有限自动机的物联网入侵检测方法,包括以下步骤:
步骤1,采用有限自动机理论对物联网终端的通用协议群建立用于将标签转换模型间的信道进行标准化表示的可组合标签转换模型,该可组合标签转换模型表示通过媒介相互连接的多个标签转换模型,且该可组合标签转换模型定义为四元组
Figure BDA0001247897700000021
Figure BDA0001247897700000031
其中,Sglu=<S1∪S2∪…∪Sn∪SM>,
Lglu=<L1∪L2∪…∪Ln>,
Figure BDA0001247897700000032
Figure BDA0001247897700000033
Figure BDA0001247897700000034
Figure BDA0001247897700000035
sl表示可组合标签转换模型的低层状态;M表示媒介,
Figure BDA0001247897700000036
即表示媒介M内的一个转换,其中
Figure BDA0001247897700000037
表示的是状态si的低层表示;SM表示媒介的状态;i、j和m均表示自然数且1<i<m;α表示标签转换模型中的标签;
Figure BDA0001247897700000039
表示多个标签转换模型,S为所刻画的设备的所有状态的集合,L为设备主要行为抽象表示的集合,T为L内的某个或多个行为导致所述标签转换模型的状态的转移;s0为有限自动机的初始状态,且LI为引起所述标签转换模型的状态转移的输入行为集合,LO为引起所述标签转换模型的状态转移的输出行为集合,并使LI∪Lo=L且
Figure BDA0001247897700000038
步骤2,在云服务器上建立事件数据库,事件数据库中的数据包括标准协议的数据、可能操作流和异常动作流,且该事件数据库直接访问IDS事件分析器;
标准协议的数据为通过所述可组合标签转换模型对标准协议的描述;
可能操作流为通过标准协议的数据创建的数据;
异常动作流为已知异常入侵事件的数据;
步骤3,通过事件监视器采集物联网上的控制流数据,并把控制流数据根据需求重新打包成需求打包数据发送至事件数据库和IDS事件分析器;
步骤41,IDS事件分析器接收所述需求打包数据并分析需求打包数据的信息,识别出网络设备中的物联网设备,并生成网络拓扑视图,然后记录被识别的物联网设备的ID信息;
步骤42,IDS事件分析器首先根据所述网络拓扑视图和ID信息将所述需求打包数据进行分组,具体分组步骤为:将具有相同会话ID的数据包分为一组,同时将相同会话ID的数据包根据协议类型,按时间顺序整理,生成分组数据;
然后,IDS事件分析器将每组分组数据通过所述可组合标签转换模型转换为转换事件流,具体步骤为:根据相同会话ID的数据包中的协议类型获取每组分组数据中消息序列的协议类型,再将消息序列的协议类型与所述标准协议的数据进行比对,获取所述消息序列的协议类型的基本的形式化动作原语,将动作原语与每组分组数据中的信息进行组合后将分组数据表示为自动机原语,即将每组分组数据转换为转换事件流;
步骤43,IDS事件分析器将转换事件流与异常动作流进行比对,进行基于签名的入侵检测;
如转换事件流中含有与异常动作流中的入侵事件签名相同的事件签名,则判断为异常入侵事件,则将异常结果输出至响应单元;
如转换事件流中不含有与异常动作流中的已知入侵事件签名相同的事件签名,则该转换事件流继续与可能操作流中的数据进行比对,判断是否为异常入侵事件,如判断为异常入侵事件,则记录该异常入侵事件,同时向用户发送判断请求;
如用户判断为异常入侵事件,则将异常结果输出至响应单元,并将该异常入侵事件的特征进行提取存储至事件数据库中的异常动作流数据中;
步骤5,响应单元接收到异常结果后生成警告入侵风险报告。
进一步的,所述步骤43中,转换事件流继续与可能操作流中的数据进行比对,判断是否为异常入侵事件的具体判断方法为:
将转换事件流的标签与可能操作流中的标签进行比对,比对后将与可能操作流中的标签具有相同标签的转换事件流存储在中间变量中;
当转换事件流中的所有标签在可能操作流中均存在相同的标签时,如果该标签在可能操作流中对应的结束点状态为可能操作流中对应标签的终止状态,则判断为安全行为;否则,判断为阻塞异常入侵事件;
当转换事件流的标签在所述可能操作流中的标签存在差异时,查看转换事件流中的首个引起差异的项,如果该差异项为中间变量中的项,则判断该转换事件流为重放异常入侵事件;否则,判断该转换事件流为伪造异常入侵事件。
进一步的,所述步骤3中的所述需求打包数据中包括源IP数据、目的IP数据、端口号数据、时间戳数据以及协议类型数据。
一种基于有限自动机的物联网入侵检测方法的检测***,包括建模单元,用于建立所述可组合标签转换模型;
事件数据库,用于存储标准协议的数据、可能操作流和异常动作流,且直接访问IDS事件分析器;
所述事件数据库包括:
标准协议库,用于存储通过可组合标签转换模型对标准协议的描述的准协议的数据;
正常动作库,用于存储通过标准协议的数据创建的可能操动作流;
异常动作库,用于存储已知异常入侵事件的异常动作流;
事件监视器,用于采集物联网上的控制流数据,并把控制流数据根据需求重新打包成需求打包数据发送至事件数据库和IDS事件分析器;
IDS事件分析器,用于将需求打包数据通过可组合标签转换模型转换成转换事件流,并判断该转换事件流是否为异常入侵事件;
所述IDS事件分析器包括:
网络结构学习模块,用于接收所述需求打包数据并分析需求打包数据的信息,识别出网络设备中的物联网设备,生成网络拓扑视图,然后记录被识别的物联网设备的ID信息并发送至动作流抽象模块;
动作流抽象模块,用于接收所述网络拓扑视图和ID信息,首先根据所述网络拓扑视图和ID信息将所述需求打包数据进行分组,然后将每个分组通过所述可组合标签转换模型转换为转换事件流;
入侵检测模块,用于将转换事件流进行异常入侵事件的检测和输出异常结果;
响应单元,用于接收异常结果后生成警告入侵风险报告。
进一步的,所述入侵检测模块包括检测分析子模块,用于将转换事件流的标签与可能操作流中的标签进行比对,比对后将与可能操作流中的标签具有相同标签的转换事件流存储在中间变量中;
当转换事件流中的所有标签在可能操作流中均存在相同的标签时,如果该标签在可能操作流中对应的结束点状态为可能操作流中对应标签的终止状态,则判断为安全行为;否则,判断为阻塞异常入侵事件;
当转换事件流的标签在所述可能操作流中的标签存在差异时,查看转换事件流中的首个引起差异的项,如果该差异项为中间变量中的项,则判断该转换事件流为重放异常入侵事件;否则,判断该转换事件流为伪造异常入侵事件。
本发明的有益效果:
本发明是基于自动机理论而为物联网***专门设计的入侵检测方法及检测***,由于形式化方法的运用,本发明可以使用简略的可组合的标签转换模型表示复杂的物联网***,因此在很大程度上降低了IDS(Intrusion Detection Systems,入侵检测***)对于存储空间的要求。同时,我们使用的比较算法的复杂度是根据对应的物联网设备运行协议的Glued-IOLTS(可组合的标签转换模型)图的深度来决定的,考虑到物联网设备资源的有限性,这类设备不会运行特别复杂的程序,因此,这种基于有限自动机遍历的检测方法将可被应用于物联网***中。基于以上愿意,本发明比传统的入侵检测***相比具有体量小,占用资源少,执行效率高的特点。同时,由于***状态机本身的模型容易被理解,且使用方便,投入成本较低。
以下将结合附图及实施例对本发明做进一步详细说明。
附图说明
图1是传统入侵检测***示意图;
图2是IEEE802.15.4星型拓扑结构示意图;
图3是IEEE802.15.4网状拓扑结构示意图;
图4是IEEE802.15.4簇树拓扑结构示意图;
图5是重放异常入侵事件的网络攻击形式示意图;
图6是阻塞异常入侵事件的网络攻击形式示意图;
图7是伪造异常入侵事件的网络攻击形式示意图;
图8是本发明基于NSPK的对称密钥协议安全连接两个设备的有限自动机示意图;
图9是本发明物联网***参考架构示意图;
图10是本发明入侵检测***架构示意图;
图11是本发明需求打包数据分组过程示意图;
图12是本发明具体实施例中硬件架构示意图;
图13是本发明具体实施例中将需求打包数据分组方法示意图。
具体实施方式
为进一步阐述本发明达成预定目的所采取的技术手段及功效,以下结合附图及实施例对本发明的具体实施方式、结构特征及其功效,详细说明如下。
在物联网中,数量众多的传感器、RFID标签设备、CCTV网络摄像头等只具有简单计算和存储能力的感知设备将会被使用,大大扩展当前互联网的网络边界,为未来的网络提供信息采集和信息服务的功能。但是这些感知设备却可能工作在非安全的环境中,且由于其计算能力的限制,无法使用复杂的密码学机制保护自己,容易被敌手干扰、捕获、破译,甚至篡改并嵌入恶意攻击程序,造成对物联网其他设备以及核心网的安全攻击。针对物联网中所存在的这种安全隐患,我们需要一种轻量级的主动防御机制来保护物联网***的安全。
(1)物联网参考模型
物联网是一种综合的异构网络,它可能包含多种网络类型,包括WSN、MANET、Zigbee等,从而使我们的对物联网安全的研究很难获得一个统一的表示方法。但是,一般来讲,物联网***需要具有三个基本的性质,即:唯一身份标识、物物通信能力以及感知外部环境的能力。而在当前的TCP/IP网络架构下,唯一身份标识即指IP地址。但是我们知道,在当前普遍采用的IPv4机制中,IP地址已经成为了稀缺资源,基本上无法通过IP地址来唯一的标识一个网络参与者。虽然IPv6扩展了可使用的地址数量,但针对未来海量连接的物联网设备,IPv6所能提供的地址个数也无法满足需求。因此,当前比较认可的物联网组网方式中,物联网路由(IoT Gateway)成为一个必不可少的存在。例如,在IEEE 802.15.4中,物联网路由是通过个人网络调谐器(PAN)来实现的。基于这一点,我们认为未来物联网的网络结构总体上将会呈现出有中心的状态,其拓扑结构可参考IEEE802.15.4的设定。如图2~图4所示,其中,R表示RFD(Reduced Function Device,精简功能设备),F表示FFD(fullfunction device,全功能设备)。
(1)攻击类型
针对物联网的网络特点,我们认为如下三种攻击场景将可能会出现,并难于通过传统的密码机制在物联网设备中进行防御:
攻击场景1:重放异常入侵事件(重放攻击,replay-attack)
如图5所示,这是一种较为传统的网络攻击形式,攻击者User2通过监听User1与物联网***的通信来实施对物联网***的攻击。例如伪造签名攻击、重放攻击等。对于这类攻击的防御传统上需要使用身份认证机制,因此对物联网设备的资源消耗较大。
攻击场景2:阻塞异常入侵事件(阻塞攻击,jam-attack)
如图6所示,由于物联网***的开放性,一个被攻击者控制的物联网设备也可以申请加入到该物联网中。这样的攻击者设备可能具有更强大的计算能力和资源,它可以通过监听广播等方式获得物联网的相关信息,并对该网络发起DoS/DDoS等类型的攻击。
攻击场景3:伪造异常入侵事件(伪造攻击,fake-attack,)
如图7所示,由于物联网***网络结构的动态性特征,一个已授权的设备可能被攻击者俘获,并在其上注入木马、病毒等软件而形成对整个物联网***的威胁。由于这样的设备本身是授权过的设备,所以它将可以再次加入到网络中,从而可以从网络内部对***进行攻击。这种类型的攻击将很难被传统的基于密钥的方法所保护。
针对这三类物联网攻击场景,我们需要将传统网络中入侵检测的概念引入,提出一种适合于物联网设备的后验式主动安全防护方法。然而当前已有的研究中,虽然已在物联网所涉及的不同网络结构层面上(例如MANET网络、WSN网络、Zigbee网络等)提出了相应的检测办法,但是一种具有标准化评价体系的、面向整个物联网***的入侵检测方法尚未被提出。
实现本发明的技术方案是:针对物联网设备性能低下,通常仅可提供特定和简单的交互功能,且其传输、交互模式较为固定的特征,采用有限自动机理论对联网终端的通用协议群进行建模,同时针对交互中的物联网终端所执行的动作进行实时监控、建模,并使其与有限自动机模型预测的正常交互行为进行匹配,从而判断出异常攻击行为的方案。具体定义及步骤如下:
一、可组合的标签转换***(Glued-IOLTS)
根据IoT同盟提出的IOT-A(Internet of Things–Architecture,物联网架构)架构及Hannelore等人提出的物联网层次参考架构(RILA),一个典型的物联网***将会围绕物联设备(Things)完成多个层次的聚合和管理,物联网***实现的关键在于如何在不同的Things之间实现标准化。
为实现这一目的,当前流行的方法是对AnindK.Deg所提出的Context Toolkit(上下文工具包)框架在更大规模上的应用的一种扩展。也就是通过对当前***运行的上下文(context)情况及***的目标(goal)进行分析,从而决定下一步的action。然而,这种方法存在一个问题,即并不是所有的context都可以被标准化表示的,也因此,在ContextToolkit框架中,又进一步的将这些无法立即实现标准化的上下文元素称为高层次的上下文,而对这些高层次的上下文的处理通常都很困难。为了解决这一标准化问题,我们首先通过扩展***自动机(automata)模型,提出可组合标签转换模型这一概念。
传统的有限自动机模型可以利用集合论和图论的知识,有效的对计算机***进行建模并加以分析。在一个有限自动机中,我们通常将***定义为一个三元组,即<S,L,T>,其中S表示所刻画的设备的所有状态的集合,L表示设备主要行为抽象表示的集合,T表示L内的某个或多个行为导致***的状态的转移。如果在一个有限自动机中,能够明确该设备的初始状态s0,并将引起***状态转移的行为分类为输入行为集合LI和输出行为集合Lo,并使LI∪LO=L且
Figure BDA0001247897700000081
则该***所对应的四元组<s0,S,L,T>被称为一个标签转换模型(IOLTS)。实际上,每一个IOLTS可以表示一个独立的***,然而在网络环境中,我们所考察的***通常都是互相关联的。为了能够在***状态机中表示这些互相关联的***,我们又对标签转换模型进行了扩展,提出了可组合标签转换模型的概念,即the Glued-IOLTS。一个Glued-IOLTS是在IOLTS的基础上,为实现不同***间的联通和转换,进一步的将***状态分为两个类别:高层状态(su)和低层状态(sl)。高层状态用来与同一***内部状态进行连接和转换,低层状态则用于表示IOLTS***间的状态和信息转移。通过这样简单的分类表示,在不同的IOLTS***间的信道就可以通过标签转换模型进行表示。
定义:一个可组合标签转换模型(Glued-IOLTS)表示一系列的标签转换模型(IOLTS
Figure BDA0001247897700000098
和一个连接这些***的媒介(medium M),它可以定义为一个四元组
Figure BDA0001247897700000091
其中,Sglu=<S1∪S2∪…∪Sn∪SM>,
Lglu=<L1∪L2∪…∪Ln>,
Figure BDA0001247897700000092
Figure BDA0001247897700000093
Figure BDA0001247897700000094
Figure BDA0001247897700000095
注意
Figure BDA0001247897700000096
即表示一个连接媒介M内的一个转换,其中
Figure BDA0001247897700000097
表示的是状态si的低层表示。i、j和m均表示自然数且1<i<m,表示S集合中s的序数。si和sj表示集合S中不同的两个点。α对应于任意一个输入或输出事件,在IOLTS中就是一个label
利用Glued-IOLTS我们可以很方便的表示一个联通的***,例如一个基于NSPK的对称密钥协议完成安全连接的两个设备,就可以简单的表示成图8所示的***状态机。
通过我们所提出的可组合标签转换模型这一模型,IOT-A中所使用的ContextInformation+Goals=Actions模型就可以通过状态转移TM加以表示。同时由于在我们的模型中使用的是高度抽象的形式化语句,在定义层面就解决的表述的标准化问题,因此我们发明的方法可以克服传统Context Toolkit框架的标准化问题。
二、物联网环境下的安全检测的实施步骤:
我们所提出的方法是通过对物联网设备中控制流数据进行实时的采集、标准化表示,并与依据对应设备注册时所提供的执行及规范上的行为预测模型进行对比,从而找出潜在的非正常行为。为实现我们的检测目的,我们需要物联网***围绕IOT-A架构以及RILA参考模型进行部署,推荐架构如图9所示。
在实际执行时,不同层的功能将会在不同的交互设备上实现。在这样的参考模型下,物联网设备的控制流信息都将会经过数据管理层设备的分析和管理。因此,我们可以在数据管理层设备上部署我们所需要的数据采集器,并将采集到的数据上传到云端服务器上,利用云服务器的强大计算能力进行分析和处理。最后再将结果反馈给数据管理层设备,以提供对非安全数据处理的依据。我们的安全检测***的架构图如图10所示:
具体安全检测和管理的过程中将分为以下几个步骤:
一种基于有限自动机的物联网入侵检测方法,包括以下步骤:
步骤1,采用有限自动机理论对物联网终端的通用协议群建立用于将标签转换模型间的信道进行标准化表示的可组合标签转换模型,该可组合标签转换模型表示通过媒介相互连接的多个标签转换模型,且该可组合标签转换模型定义为四元组
Figure BDA0001247897700000101
Figure BDA0001247897700000102
其中,Sglu=<S1∪S2∪…∪Sn∪SM>,
Lglu=<L1∪L2∪…∪Ln>,
Figure BDA0001247897700000103
Figure BDA0001247897700000104
Figure BDA0001247897700000105
su表示可组合标签转换模型的高层状态,sl表示可组合标签转换模型的低层状态;M表示媒介,
Figure BDA0001247897700000106
即表示媒介M内的一个转换,其中
Figure BDA0001247897700000107
表示的是状态si的低层表示;SM表示媒介的状态;
Figure BDA0001247897700000108
表示多个标签转换模型,S为所刻画的设备的所有状态的集合,L为设备主要行为抽象表示的集合,T为L内的某个或多个行为导致所述标签转换模型的状态的转移;s0为有限自动机的初始状态,且LO为引起所述标签转换模型的状态转移的输入行为集合,LO为引起所述标签转换模型的状态转移的输出行为集合,并使LI∪Lo=L且
Figure BDA0001247897700000109
步骤2,在云服务器上建立事件数据库,事件数据库中的数据包括标准协议的数据、可能操作流和异常动作流,且该事件数据库直接访问IDS事件分析器;在我们的方法中,网络事件被描述为抽象动作流,并且这种网络动作可以转换成我们所提出的GULED-IOLTS模型来描述。
标准协议的数据为通过所述可组合标签转换模型对标准协议的描述;
可能操作流为通过标准协议的数据创建的数据;
异常动作流为已知异常入侵事件的数据;
事件数据库包括用于存储通过可组合标签转换模型对标准协议的描述的准协议的数据的标准协议库、用于存储通过标准协议的数据创建的可能操动作流的正常动作库以及用于存储已知异常入侵事件的异常动作流的异常动作库。这三个数据库应存储在云上,并可以直接访问事件分析器。
步骤3,通过事件监视器采集物联网上的控制流数据,并把控制流数据根据需求重新打包成需求打包数据发送至事件数据库和IDS事件分析器;需求打包数据中包括源IP数据、目的IP数据、端口号数据、时间戳数据以及协议类型数据。
步骤41-步骤43由IDS事件分析器进行执行。其中,步骤41由网络结构学习模块执行,步骤42由动作流抽象模块执行,步骤43由入侵检测模块执行。
步骤41,IDS事件分析器接收所述需求打包数据并分析需求打包数据的信息,识别出网络设备中的物联网设备,生成网络拓扑视图,然后记录被识别的物联网设备的ID信息。
步骤41,首先需要发送收集的需求打包数据到网络结构学习模块使IDS***获得网络拓扑的一般视图。由于物联网设备可以通过唯一ID进行区分,通过分析收集的数据包信息,如源IP,目的IP,端口号,时间戳和协议类型等,我们可以区分物联网设备与其他设备。例如,因为物联网设备通常连接到同一物联网网关,所以这些设备的IPv4地址的前三个字段将可能符合某些规律。在这种情况下,通过计数每个IPv4字段的频率,我们可以鉴别物联网设备的IP段。IoT设备的这些唯一ID将被记录并发送到动作流抽象模块。
步骤42,IDS事件分析器首先根据所述网络拓扑视图和ID信息将所述需求打包数据进行分组,具体分组步骤为:将具有相同会话ID的数据包分为一组,同时将相同会话ID的数据包根据协议类型,按时间顺序整理,生成分组数据;
然后,IDS事件分析器将每组分组数据通过所述可组合标签转换模型转换为转换事件流,具体步骤为:根据相同会话ID的数据包中的协议类型获取每组分组数据中消息序列的协议类型,再将消息序列的协议类型与所述标准协议的数据进行比对,获取所述消息序列的协议类型的基本的形式化动作原语,将动作原语与每组分组数据中的信息进行组合后将分组数据表示为自动机原语,即将每组分组数据转换为转换事件流;
如图11所示,从IoT收集的需求打包数据也需要发送到动作流抽象模块中。通过该模块,将根据通过网络结构学习模块和标准协议库的辅助识别的设备属性,会话ID,时间戳和协议类型来分配分组。通过检测到的信息,网络业务可以被分类为消息序列。然后,我们需要将这些消息转换为抽象的动作流。为此,需要标准协议库的帮助。从消息分配的结果,连同每个分组数据的协议类型信息,我们可以知道这样选择的消息的主协议类型。然后,在我们获得所选消息的协议类型之后,我们可以从标准协议库中搜索基本的形式化动作原语。并且通过与每个分组数据相比较,我们可以将分组数据表示为自动机原语。其中,一个网络动作对应一个标签,网络动作流由多个网络动作形成的序列,也就是由多个标签形成的标签序列,也即消息序列。
步骤43,IDS事件分析器将转换事件流与异常动作流进行比对,进行基于签名的入侵检测;
如转换事件流中含有与异常动作流中的入侵事件签名相同的事件签名,则判断为异常入侵事件,则将异常结果输出至响应单元;
如转换事件流中不含有与异常动作流中的已知入侵事件签名相同的事件签名,则该转换事件流继续与可能操作流中的数据进行比对,判断是否为异常入侵事件,如判断为异常入侵事件,则记录该异常入侵事件,同时向用户发送判断请求;
如用户判断为异常入侵事件,则将异常结果输出至响应单元,并将该异常入侵事件的特征进行提取存储至异常动作流中。
在获得转换事件流之后(transition trace),需要经过两个步骤的入侵检测阶段。第一阶段是需要将转换为自动机原语的转换事件流与异常动作库中的数据进行对比,进行基于签名的入侵检测。如果一个事件流中不含有已知的入侵事件片段(签名),那么这样的事件流将进行第二阶段的入侵判断,即需要与正常动作库中的可能操作流进行比对,从而判断出该事件流中是否存在异常。如果判断为异常,入侵***将记录该事件,并提请人工干预判断。如人工判断为异常,则将异常结果反馈输出,并将该事件的特征进行提取,保存在异常动作库中。第二阶段的入侵判断具体过程如下:
当转换事件流在可组合标签转换模型图中存在相同的步行时,如该步行的结束状态是分组数据转换为转换事件流的终止状态,则判断为安全行为;否则,判断为阻塞异常入侵事件;
当转换事件流在可组合标签转换模型图中不存在对应的步行时,且转换事件流的步行已经终止,则将引起循环终止的步行与可能操作流的步行进行比对,如可能操作流中存在与该引起循环终止的步行相同的步行时,则判断为重放异常入侵事件;如可能操作流中不存在与该引起循环终止的步行相同的步行时,则判断为伪造异常入侵事件。
基于我们所提出的Glued-IOLTS所表示的***的第二阶段的入侵判断的自动鉴别算法如下:
Figure BDA0001247897700000131
Figure BDA0001247897700000141
代码的解释:我们使用类JAVA语言来表示这个算法。在这个算法中,输入的是一个类型为Label的数组lids和一个类型为Transition的数组Tsys,其中,Label表示可组合标签转换模型中的Lglu,也就是标签的集合;Transition表示可组合标签转换模型中的Tglu,其中lids表示由采集端采集到的数据(经转换表示为transition的表示形式);Tsys表示存储在正常行为库中的可通过有限自动机表示的对应协议***(可能操作流)。输出是对待考察的lids的判断,结果可为secure、fake-attack、jam-attack和replay-attack。
算法的过程如下:
定义Transition类型的数组t_temp,t_next为中间变量,String类型的result,以及int类型的flag,并令flag=0.
程序运行时,首先在给定的Tsys中搜索跟lids数组中所存储的第一个transition具有相同label表示的transition,并将结果保存在t_temp中。然后,对t_temp中的每一个transitionti,比较该ti在Tsys中的下一个transition的label与lids中对应的下一个label是否一致,如果不一致,将ti从t_temp中移除;如果一致,将ti的下一个transition记录到t_temp中,并将该t_temp的内容备份到t_temp_bac中。之后重复这一比对过程,直到遍历lids或t_temp为空。在这一过程中,程序将比对过的lids中的label记录为lpass
当该段程序结束时,如果我们在Tsys中找到了lids的所有label,我们需要进一步检查结束时对应的transition在Tsys中的结束状态。如果这个transition的结束状态正好是Tsys的终止状态,那么我们可以判断该lids是安全的,程序返回secure。否则的话,对应的lids中可能包含Jam-attack攻击,程序返回“Jam-attack”。
如果程序在比较lids中ln时,由于t_temp为空而结束时,那么对t_temp_bac中的所有transitiontj,比较tj的下一个标签和lpass中li。如果结果相同,将tj的下一个transition记录到t_temp中,并更新t_temp_bac。然后在t_temp中查找ln。如果ln被找到,将ln记录到lpass中。如果在考虑了lpass中的标签后仍无法找到对应的ln,那么我们判断对应的lids中一定含有相应的修改。这是程序返回“fake-attack”。同时,如果lpass中包含ln,那么这样的lids可能包含一个前面字段的重放,因此可能包含重放攻击,程序返回“replay-attack”
步骤5,响应单元接收到异常结果后生成警告入侵风险报告。响应单元产生报告,以警告物联网的入侵风险。在报告中,通过对异常事件上下文的分析,三种类型的攻击将可被鉴别,这将分别对应于前面提出的攻击场景。
一种基于有限自动机的物联网入侵检测方法的检测***,包括建模单元,用于建立所述可组合标签转换模型;
事件数据库,用于存储标准协议的数据、可能操作流和异常动作流,且直接访问IDS事件分析器;
所述事件数据库包括:
标准协议库,用于存储通过可组合标签转换模型对标准协议的描述的准协议的数据;
正常动作库,用于存储通过标准协议的数据创建的可能操动作流;
异常动作库,用于存储已知异常入侵事件的异常动作流;
事件监视器,用于采集物联网上的控制流数据,并把控制流数据根据需求重新打包成需求打包数据发送至事件数据库和IDS事件分析器;
IDS事件分析器,用于将需求打包数据通过可组合标签转换模型转换成转换事件流,并判断该转换事件流是否为异常入侵事件;
所述IDS事件分析器包括:
网络结构学习模块,用于接收所述需求打包数据并分析需求打包数据的信息,识别出网络设备中的物联网设备,生成网络拓扑视图,然后记录被识别的物联网设备的ID信息并发送至动作流抽象模块;
动作流抽象模块,用于接收所述网络拓扑视图和ID信息,首先根据所述网络拓扑视图和ID信息将所述需求打包数据进行分组,然后将每个分组通过所述可组合标签转换模型转换为转换事件流;
入侵检测模块,用于将转换事件流进行异常入侵事件的检测和输出异常结果;
入侵检测模块包括检测分析子模块,用于判断当转换事件流在可组合标签转换模型图中存在相同的步行时,如该步行的结束状态是分组数据转换为转换事件流的终止状态,则判断为安全行为;否则,判断为阻塞异常入侵事件;
当转换事件流在可组合标签转换模型图中不存在对应的步行时,且转换事件流的步行已经终止,则将引起循环终止的步行与可能操作流的步行进行比对,如可能操作流中存在与该引起循环终止的步行相同的步行时,则判断为重放异常入侵事件;如可能操作流中不存在与该引起循环终止的步行相同的步行时,则判断为伪造异常入侵事件;
响应单元,用于接收异常结果后生成警告入侵风险报告。
本发明是基于自动机理论而为物联网***专门设计的入侵检测方法,由于形式化方法的运用,本方法可以使用简略的标签转移***表示复杂的物联网***,因此在很大程度上降低了IDS***对于存储空间的要求。同时,我们使用的比较算法的复杂度是根据对应的物联网设备运行协议的Glued-IOLTS图的深度来决定的,考虑到物联网设备资源的有限性,这类设备不会运行特别复杂的程序,因此,这种基于有限自动机遍历的检测方法将可被应用于物联网***中。基于以上愿意,本发明比传统的入侵检测***相比具有体量小,占用资源少,执行效率高的特点。同时,由于***状态机本身的模型容易被理解,且使用方便,投入成本较低。我们还为本方法开发了易于使用的交互式GUI管理界面,可以方便直观的对物联网上***的状态情况和与标准预测模型的比较情况进行查看,方便用户的部署和使用。
在试验环境下,我们对本发明的内容进行了实施,试验的平台的设计如图12所示。
试验中,我们使用2个树莓派(Raspberry Pi 3)作为RFD设备,1个Android手机作为FFD设备,并选择一个具有端口镜像功能的路由器作为PAN设备,将路由器上的无线端口镜像到与服务器连接的端口以实现对数据的监听。这样的一个试验环境虽然简化了物联网中的通信体量,但具有很好的扩展性和典型性。
A、数据的采集与建模的具体实现方法:
我们在可以通过在服务器上安装网络流量监听分析软件,例如Wireshark、Snort、Tcpdump等网络工具,实现对网络数据的获取和监控。在本例中,我们在服务器上安装了Wireshark并指定其分析与PAN连接的网络接口的数据包。由于在使用Wireshake等软件的时候,该软件即可对数据的包头进行解析,获得传输中所使用的协议类型。因此,在这一步中,我们也可以方便的获得所采集数据所对应的协议格式。因此,依据对应的协议格式,我们就可以对当前采集数据的标准化格式进行预判,从而实现从流数据通过可组合标签转换模型到标准化数据表示的转化。
对于前面获得的网络数据,根据数据的一些特征(已标准化表示),如sid,端口号,时间等信息,我们可以实现对相关数据的初步聚合。例如,我们可以将源ip相同,且时间片段临近的数据,按时间顺序连接到一起统一考虑。这里假设所有的采集到的数据的时间戳都不一致,也就是说可以在时间维度上进行区分。这样的话,在获得前面聚合的数据集之后,我们可以选择一个时间窗口N,并用N来对当前数据集进行截取,从而获得时间长度为N的不同的时间切片里的数据集。例如图13中,针对一个物联网***的TCP协议数据包,我们可通过对时间进行切片的方法,获得对应得行为流。通过这种方法,我们将可获得不同物联网设备终端上的交互数据流量。
B、标准库,异常动作库和正常动作库的实现方法:
对于数据库的构建,我们在对应的服务器上安装MySQL,并建立3个不同的表单,分别存储标准协议、异常动作流和可能操作流。在标准库中,由于网络事件都可表示为Glued-IOLTS的transition形态,我们只需要记录起点(state)、终点(state)、标签(label)和协议类型(type)即可。标准协议库需要通过人工进行构建和积累来实现常见协议的覆盖。正常动作库可通过对标准库的泛化而获得。我们通过使用Fuzzy(模糊)和对应***的健壮性安全构建的方法,对准协议库中的transition进行变化,从而获得正常动作库。而异常动作库则是在实际操作中,根据数据的训练而自动生成的。异常动作库中所记录的数据结构与正常动作库中略有不同,它需要记录的是一个上下文关系,因此需要记录前置条件(pre-con)、后置条件(after-con)、关键词(key-word)。
C、安全检测的实现方法
安全检测就是将标准化表述的采集数据流与通过标准动作库所获得的预测行为进行对比,从而判断当前行为是否正常且可能出现什么样攻击的过程。在本发明中,我们将可能的攻击分为三类:即伪造攻击、重放攻击和阻塞攻击。阻塞攻击即表示攻击者可能采用未知的行为向对应***发出请求,其目的再于耗尽***的通信和计算资源。这类攻击的衍生攻击较多,例如DoS攻击和DDoS攻击等,我们再判断出对应设备可能出现伪造攻击行为后,还需对该设备进行对应性的监控,从而判断出是否出现DoS/DDoS攻击的情况。伪造攻击是指攻击者大致知道通信协议中需要的消息类型,于是攻击者人为的制造一个相同格式但内容不匹配的信息并发送给被攻击者。许多常见的网络攻击都具有伪造攻击的特征,例如ip泛洪攻击中,攻击者都是在伪造ip数据包来对受害者进行攻击的。而重放攻击即攻击者记录之前已使用过或其他用户所使用的正常行为重新由攻击者播放给被攻击设备的攻击类型。这类攻击也可能成为DoS/DDoS攻击的基础,而且还可能引出更复杂的综合性攻击类型,例如零日攻击等。
在我们的方案中,我们设计了对应的图形用户界面来揭示整个比对的过程,通过我们所设计的算法和程序,我们可以对实时获取的事件流进行对比,判断出可能的异常事件,并警告给物联网管理员。管理员稍后可利用我们的软件对该警报进行跟踪检查,从而清晰的判断出该警报是否正确。通过这种方法,可以大大的降低本发明的误警率。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (5)

1.一种基于有限自动机的物联网入侵检测方法,其特征在于:包括以下步骤:
步骤1,采用有限自动机理论对物联网终端的通用协议群建立用于将标签转换模型间的信道进行标准化表示的可组合标签转换模型,该可组合标签转换模型表示通过媒介相互连接的多个标签转换模型,且该可组合标签转换模型定义为四元组
Figure FDA0002292482100000011
其中,Sglu=<S1∪S2∪...∪Sn∪SM>,
Lglu=<L1∪L2∪...∪Ln>,
Figure FDA0002292482100000012
Figure FDA0002292482100000013
Figure FDA0002292482100000014
Figure FDA0002292482100000015
sl表示可组合标签转换模型的低层状态;M表示媒介,
Figure FDA0002292482100000016
即表示媒介M内的一个转换,其中
Figure FDA0002292482100000017
表示的是状态si的低层表示;SM表示媒介的状态;i、j和m均表示自然数且1<i<m;d表示标签转换模型中的标签;
Figure FDA0002292482100000018
表示多个标签转换模型,S为所刻画的设备的所有状态的集合,L为设备主要行为抽象表示的集合,T为L内的某个或多个行为导致所述标签转换模型的状态的转移;s0为有限自动机的初始状态,且LI为引起所述标签转换模型的状态转移的输入行为集合,LO为引起所述标签转换模型的状态转移的输出行为集合,并使LI∪LO=L且
Figure FDA0002292482100000019
Figure FDA00022924821000000110
s′i表示S集合中与si连通的另外一个状态点;Si表示的是第i个标签转换模型中的S集合,Ti表示的是第i个标签转换模型中的T的集合;
μ表示的是某个标签转换模型自身的一种内部行为,即该行为不会使其他的标签转换模型产生可见的输入或输出,但会使其自身的状态发生转移;
Figure FDA0002292482100000021
表示第i个标签转换模型中第1个状态的所有输出的标签的集合;
Figure FDA0002292482100000022
表示第j个标签转换模型中第1个状态的所有输入的标签的集合;
Figure FDA0002292482100000023
表示n个标签转换模型的初始状态,即
Figure FDA0002292482100000024
表示第1个标签转换模型的s0
Figure FDA0002292482100000025
表示第n个标签转换模型的s0
S1∪S2∪...∪Sn∪SM中的S1,S2,...,Sn表示第i到第n个标签转换模型的状态集合;
步骤2,在云服务器上建立事件数据库,事件数据库中的数据包括标准协议的数据、可能操作流和异常动作流,且该事件数据库直接访问IDS事件分析器;
标准协议的数据为通过所述可组合标签转换模型对标准协议的描述;
可能操作流为通过标准协议的数据创建的数据;
异常动作流为已知异常入侵事件的数据;
步骤3,通过事件监视器采集物联网上的控制流数据,并把控制流数据根据需求重新打包成需求打包数据发送至事件数据库和IDS事件分析器;
步骤41,IDS事件分析器接收所述需求打包数据并分析需求打包数据的信息,识别出网络设备中的物联网设备,并生成网络拓扑视图,然后记录被识别的物联网设备的ID信息;
步骤42,IDS事件分析器首先根据所述网络拓扑视图和ID信息将所述需求打包数据进行分组,具体分组步骤为:将具有相同会话ID的数据包分为一组,同时将相同会话ID的数据包根据协议类型,按时间顺序整理,生成分组数据;
然后,IDS事件分析器将每组分组数据通过所述可组合标签转换模型转换为转换事件流,具体步骤为:根据相同会话ID的数据包中的协议类型获取每组分组数据中消息序列的协议类型,再将消息序列的协议类型与所述标准协议的数据进行比对,获取所述消息序列的协议类型的基本的形式化动作原语,将动作原语与每组分组数据中的信息进行组合后将分组数据表示为自动机原语,即将每组分组数据转换为转换事件流;
步骤43,IDS事件分析器将转换事件流与异常动作流进行比对,进行基于签名的入侵检测;
如转换事件流中含有与异常动作流中的入侵事件签名相同的事件签名,则判断为异常入侵事件,则将异常结果输出至响应单元;
如转换事件流中不含有与异常动作流中的已知入侵事件签名相同的事件签名,则该转换事件流继续与可能操作流中的数据进行比对,判断是否为异常入侵事件,如判断为异常入侵事件,则记录该异常入侵事件,同时向用户发送判断请求;
如用户判断为异常入侵事件,则将异常结果输出至响应单元,并将该异常入侵事件的特征进行提取存储至事件数据库中的异常动作流数据中;
步骤5,响应单元接收到异常结果后生成警告入侵风险报告。
2.根据权利要求1所述的一种基于有限自动机的物联网入侵检测方法,其特征在于:所述步骤43中,转换事件流继续与可能操作流中的数据进行比对,判断是否为异常入侵事件的具体判断方法为:
将转换事件流的标签与可能操作流中的标签进行比对,比对后将与可能操作流中的标签具有相同标签的转换事件流存储在中间变量中;
当转换事件流中的所有标签在可能操作流中均存在相同的标签时,如果该标签在可能操作流中对应的结束点状态为可能操作流中对应标签的终止状态,则判断为安全行为;否则,判断为阻塞异常入侵事件;
当转换事件流的标签在所述可能操作流中的标签存在差异时,查看转换事件流中的首个引起差异的项,如果该差异项为中间变量中的项,则判断该转换事件流为重放异常入侵事件;否则,判断该转换事件流为伪造异常入侵事件。
3.根据权利要求1或2所述的一种基于有限自动机的物联网入侵检测方法,其特征在于:所述步骤3中的所述需求打包数据中包括源IP数据、目的IP数据、端口号数据、时间戳数据以及协议类型数据。
4.根据权利要求3所述的一种基于有限自动机的物联网入侵检测方法的检测***,其特征在于:包括建模单元,用于建立所述可组合标签转换模型;
事件数据库,用于存储标准协议的数据、可能操作流和异常动作流,且直接访问IDS事件分析器;
所述事件数据库包括:
标准协议库,用于存储通过可组合标签转换模型对标准协议的描述的准协议的数据;
正常动作库,用于存储通过标准协议的数据创建的可能操动作流;
异常动作库,用于存储已知异常入侵事件的异常动作流;
事件监视器,用于采集物联网上的控制流数据,并把控制流数据根据需求重新打包成需求打包数据发送至事件数据库和IDS事件分析器;
IDS事件分析器,用于将需求打包数据通过可组合标签转换模型转换成转换事件流,并判断该转换事件流是否为异常入侵事件;
所述IDS事件分析器包括:
网络结构学习模块,用于接收所述需求打包数据并分析需求打包数据的信息,识别出网络设备中的物联网设备,生成网络拓扑视图,然后记录被识别的物联网设备的ID信息并发送至动作流抽象模块;
动作流抽象模块,用于接收所述网络拓扑视图和ID信息,首先根据所述网络拓扑视图和ID信息将所述需求打包数据进行分组,然后将每个分组通过所述可组合标签转换模型转换为转换事件流;
入侵检测模块,用于将转换事件流进行异常入侵事件的检测和输出异常结果;
响应单元,用于接收异常结果后生成警告入侵风险报告。
5.根据权利要求4所述的一种基于有限自动机的物联网入侵检测方法的检测***,其特征在于:所述入侵检测模块包括检测分析子模块,用于将转换事件流的标签与可能操作流中的标签进行比对,比对后将与可能操作流中的标签具有相同标签的转换事件流存储在中间变量中;
当转换事件流中的所有标签在可能操作流中均存在相同的标签时,如果该标签在可能操作流中对应的结束点状态为可能操作流中对应标签的终止状态,则判断为安全行为;否则,判断为阻塞异常入侵事件;
当转换事件流的标签在所述可能操作流中的标签存在差异时,查看转换事件流中的首个引起差异的项,如果该差异项为中间变量中的项,则判断该转换事件流为重放异常入侵事件;否则,判断该转换事件流为伪造异常入侵事件。
CN201710158735.0A 2017-03-17 2017-03-17 一种基于有限自动机的物联网入侵检测方法及检测*** Active CN107135093B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710158735.0A CN107135093B (zh) 2017-03-17 2017-03-17 一种基于有限自动机的物联网入侵检测方法及检测***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710158735.0A CN107135093B (zh) 2017-03-17 2017-03-17 一种基于有限自动机的物联网入侵检测方法及检测***

Publications (2)

Publication Number Publication Date
CN107135093A CN107135093A (zh) 2017-09-05
CN107135093B true CN107135093B (zh) 2020-05-05

Family

ID=59721154

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710158735.0A Active CN107135093B (zh) 2017-03-17 2017-03-17 一种基于有限自动机的物联网入侵检测方法及检测***

Country Status (1)

Country Link
CN (1) CN107135093B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12021697B2 (en) 2017-10-27 2024-06-25 Palo Alto Networks, Inc. IoT device grouping and labeling

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9774604B2 (en) 2015-01-16 2017-09-26 Zingbox, Ltd. Private cloud control
US10380348B2 (en) 2016-11-21 2019-08-13 ZingBox, Inc. IoT device risk assessment
US11070568B2 (en) 2017-09-27 2021-07-20 Palo Alto Networks, Inc. IoT device management visualization
US11443230B2 (en) 2018-01-26 2022-09-13 Cisco Technology, Inc. Intrusion detection model for an internet-of-things operations environment
CN110166409B (zh) * 2018-02-13 2021-12-28 华为技术有限公司 设备接入方法、相关平台及计算机存储介质
WO2019246169A1 (en) 2018-06-18 2019-12-26 ZingBox, Inc. Pattern match-based detection in iot security
CN109067763B (zh) 2018-08-29 2020-05-29 阿里巴巴集团控股有限公司 安全检测方法、设备及装置
US20210367829A1 (en) * 2018-09-04 2021-11-25 Palo Alto Networks, Inc. Iot application learning
US11451571B2 (en) 2018-12-12 2022-09-20 Palo Alto Networks, Inc. IoT device risk assessment and scoring
US11689573B2 (en) 2018-12-31 2023-06-27 Palo Alto Networks, Inc. Multi-layered policy management
CN109818793A (zh) * 2019-01-30 2019-05-28 基本立子(北京)科技发展有限公司 针对物联网的设备类型识别及网络入侵检测方法
CN109947835B (zh) * 2019-03-12 2023-05-23 东华大学 基于有限状态自动机的印染报价结构化需求数据提取方法
CN111447115B (zh) * 2020-03-25 2021-08-27 北京奥陌科技有限公司 一种物联网实体的状态监测方法
US11115799B1 (en) 2020-06-01 2021-09-07 Palo Alto Networks, Inc. IoT device discovery and identification
US20220174076A1 (en) * 2020-11-30 2022-06-02 Microsoft Technology Licensing, Llc Methods and systems for recognizing video stream hijacking on edge devices
CN112737865B (zh) * 2021-01-18 2022-05-03 清华大学 基于自动机的物联网设备流量建模、检测方法和装置
CN113158184B (zh) * 2021-03-03 2023-05-19 中国人民解放军战略支援部队信息工程大学 基于有限状态自动机的攻击脚本生成方法及相关装置
US11552975B1 (en) 2021-10-26 2023-01-10 Palo Alto Networks, Inc. IoT device identification with packet flow behavior machine learning model

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7356663B2 (en) * 2004-11-08 2008-04-08 Intruguard Devices, Inc. Layered memory architecture for deterministic finite automaton based string matching useful in network intrusion detection and prevention systems and apparatuses
CN101976313A (zh) * 2010-09-19 2011-02-16 四川大学 基于频繁子图挖掘的异常入侵检测方法
CN102184197A (zh) * 2011-04-22 2011-09-14 湖南亿谷信息科技发展有限公司 基于智能有限自动机的正则表达式匹配方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10009372B2 (en) * 2014-07-23 2018-06-26 Petabi, Inc. Method for compressing matching automata through common prefixes in regular expressions
US20160381076A1 (en) * 2015-06-23 2016-12-29 Avocado Systems Inc. Service level agreements and application defined security policies for application and data security registration

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7356663B2 (en) * 2004-11-08 2008-04-08 Intruguard Devices, Inc. Layered memory architecture for deterministic finite automaton based string matching useful in network intrusion detection and prevention systems and apparatuses
CN101976313A (zh) * 2010-09-19 2011-02-16 四川大学 基于频繁子图挖掘的异常入侵检测方法
CN102184197A (zh) * 2011-04-22 2011-09-14 湖南亿谷信息科技发展有限公司 基于智能有限自动机的正则表达式匹配方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12021697B2 (en) 2017-10-27 2024-06-25 Palo Alto Networks, Inc. IoT device grouping and labeling

Also Published As

Publication number Publication date
CN107135093A (zh) 2017-09-05

Similar Documents

Publication Publication Date Title
CN107135093B (zh) 一种基于有限自动机的物联网入侵检测方法及检测***
Hamza et al. Detecting volumetric attacks on lot devices via sdn-based monitoring of mud activity
Kumar et al. A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing
US11201882B2 (en) Detection of malicious network activity
US9275224B2 (en) Apparatus and method for improving detection performance of intrusion detection system
US8631464B2 (en) Method of detecting anomalous behaviour in a computer network
Alserhani et al. MARS: multi-stage attack recognition system
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
Rahal et al. A distributed architecture for DDoS prediction and bot detection
CN114143037B (zh) 一种基于进程行为分析的恶意加密信道检测方法
Aleroud et al. Identifying DoS attacks on software defined networks: A relation context approach
Frye et al. An ontology-based system to identify complex network attacks
CN108712369B (zh) 一种工业控制网多属性约束访问控制决策***和方法
Rizvi et al. Application of artificial intelligence to network forensics: Survey, challenges and future directions
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
Sukhwani et al. A survey of anomaly detection techniques and hidden markov model
Uhříček et al. Bota: Explainable iot malware detection in large networks
Pan et al. Anomaly behavior analysis for building automation systems
Sayadi et al. Detection of covert channels over ICMP protocol
Sun et al. IoT‐IE: An Information‐Entropy‐Based Approach to Traffic Anomaly Detection in Internet of Things
Nicheporuk et al. A System for Detecting Anomalies and Identifying Smart Home Devices Using Collective Communication.
Mallissery et al. Survey on intrusion detection methods
Dadkhah et al. Alert correlation through a multi components architecture
Ding et al. Machine learning for cybersecurity: Network-based botnet detection using time-limited flows
Shah et al. Disclosing malicious traffic for Network Security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant