[发明专利]一种物联网感知层入侵检测方法

说明书

技术领域

本发明涉及物联网安全领域，尤其涉及一种物联网感知层的入侵行为检测方法，

背景技术

物联网(Internet of Things,简称IoTs)是以感知为核心的物与物互联的综合信息系统，被誉为是继计算机、互联网之后信息产业的第三次浪潮。物联网在数据的安全性方面的要求是很高的，尤其是信息感知层，如果网络受到侵犯，不合法的或者是恶意的数据经感知层流入物联网中，则不仅会危害到感知层数据，而且还会危及到与之相连的信息传输层，进而给整个全局网络带来不可预料的损害。与此同时，由于物联网感知层节点自身的特点原因，感知层节点是极容易受到入侵行为攻击的,因此对物联网感知层的数据安全性采取相应的保护措施是相当重要的。

目前，物联网感知层入侵检测还处于起步的阶段，为了保障感知层节点的安全，以提高整个网络的安全性能，至今已经提出了很多入侵检测解决方案。多以特征检测或者异常检测为主，其中，特征检测是对入侵行为的特征做出确定性的描述，形成相应的规则并汇总成一个特征库，然后将采集的数据信息与特征库进行比对，若匹配，那么就表明该行为为一入侵行为。该检测通常情况下是采用统计方法进行检测的，而统计方法中的阈值有效的确定是很难的，值太小会产生大量的误报，值太大又会产生大量的漏报。特征检测能够准确地检测到已知的入侵行为，但是对新入侵确是无能为力的。异常检测是将规则库中设定为正常的行为与检测行为进行比较，如果相匹配则认为此行为是合法的，如果不匹配则认为此行为是不合法的。该检测方法可以检测到新的入侵行为，但是也具有较高的误检率问题。

如何将两种检测方法优点有机地结合起来，同时避免两者的缺点，是本发明的重点。一些学者也对特征检测和异常检测技术的结合进行了研究，但他们大多是简单的使用两种检测方法，两种检测技术的实现是分离的。这样并不能从本质上去克服两种检测技术缺陷，因此，本文提出了一种新的特征检测与异常检测结合检测方案，以求克服两种检测技术的固有缺陷，使系统有更高的检测率和较低的漏报率。

同时，如今的物联网感知层入侵检测方案多以初探为主，也就是说，目前多数有关于物联网感知层入侵检测的论述只是提供一个框架，对于具体如何实现检测未能确定。

发明内容

针对以上现有技术中的不足，本发明的目的在于提供一种漏报率低、检测率高的物联网感知层入侵检测方法，本发明的技术方案如下：一种物联网感知层入侵检测方法,其包括以下步骤：

101、初始化，生成一个内容为空的规则库；

102、物联网感知层节点采用传感器获取并收集现场检测数据，将所收集的现场检测数据采用免疫遗传算法训练形成正常行为集和入侵行为集，并分别将正常行为集和入侵行为集存入步骤101中的规则库，形成训练规则库，跳转至步骤103；

103、当物联网感知层节点再次采用传感器获取并收集现场检测数据时，采用基于特征检测法对现场检测数据进行判断，若现场检测数据符合步骤102中的训练规则库中的正常行为集，则判断检测结果为1，现场检测数据是安全的，并将所得到的现场检测数据更新到训练规则库中；

若现场检测数据符合步骤102中的训练规则库中的入侵行为集，则判断检测结果为0，现场检测数据为安全隐患数据，并将得到的安全隐患数据采用基于异常检测法检测，若再次检测结果为1，则判断安全隐患数据为检测误报数据，给予通行并将所述检测误报数据反馈给训练规则库进行更新；当再次检测结果为0时，则表明该安全隐患数据为入侵数据，则将该入侵数据进行拦截以及报警处理。

进一步的，步骤102中的免疫遗传算法包括以下步骤：

A、根据现场检测数据随机的产生一个初始的种群，然后对产生的初始种群进行适应度f的计算其中H(i，s)表示个体i与自体S中的某单个个体之间的信息熵，且自体S中含n个个体排序，选择出其中适应度值f>0.8的个体遗传到下一代中；

B、同时对种群中的个体进行交叉、变异操作；

C、如果种群的适应度f满足终止条件(f>0.8)则得到规则库，若不满足则继续训练，得到训练规则库。

进一步的，步骤102中的正常行为集和入侵行为集分别表述为：当现场检测数据为A时，则为正常行为；当现场检测数据为B时，则为入侵行为集。

本发明的优点及有益效果如下：