[发明专利]一种基于有限自动机的物联网入侵检测方法及检测系统

说明书

本发明涉及一种基于有限自动机的物联网入侵检测方法及检测系统，采用有限自动机理论对联网终端的通用协议群进行建模，同时针对交互中的物联网终端所执行的动作进行实时监控、建模，并使其与有限自动机模型预测的正常交互行为进行匹配，从而判断出异常攻击行为的方法。本发明可以使用简略的可组合标签转换模型表示复杂的物联网系统，因此在很大程度上降低了IDS对于存储空间的要求。同时，我们使用的比较算法的复杂度是根据对应的物联网设备运行协议的Glued‑IOLTS(可组合标签转换模型)图的深度来决定的，因此，这种基于有限自动机遍历的检测方法将可被应用于物联网系统中。本发明具有体量小，占用资源少，执行效率高的特点，使用方便，投入成本较低。

技术领域

本发明属于物联网移动通信网络安全技术领域，具体涉及一种基于有限自动机的物联网入侵检测方法。

背景技术

万物互联已经成为未来网络发展的主要趋势，物联网因其能够大大的扩展互联网的网络边界，成为未来5G网络发展的主要方向。针对物联网的研究和投入已逐渐成为当前高科技公司的共识。但是一方面由于大部分的物联网终端设备性能低下，单点计算能力不足；终端设备物理分布较广，容易被敌手捕获；网络拓扑组网灵活，易于从网络内部发起攻击等特征，导致了传统的基于算法复杂度的安全协议设计方案将不再适合保护物联网设备的安全。另一方面，入侵检测系统是一种后验性安全防护方法，也是一种被学术和工业界高度认同的安全防护体制。

传统的入侵检测系统能够依据已有攻击的流量、行为以及统计规律等特征，对疑似攻击的网络通信行为进行预判，进而在一定程度上保护网络设备和用户的安全。传统的入侵检测系统(IDS)是运用入侵检测技术对系统行为数据进行分析来检测入侵行为的一种系统，也就是进行入侵检测的一种硬件与软件的结合。虽然现如今入侵检测系统已经发展为很多不同的种类，但它们的基本过程是一致的，大致分为信息收集、信息分析、结果处理这几个模块(如图1所示)。不同的入侵检测系统的区别在于，它们所采用的数据源不同、信息分析以及检测方法不同。总而言之，入侵检测系统这种主动防御的后盾，对计算机与网络安全起着相当关键的作用。