[发明专利]一种基于有限自动机的物联网入侵检测方法及检测系统

摘要

本发明涉及一种基于有限自动机的物联网入侵检测方法及检测系统，采用有限自动机理论对联网终端的通用协议群进行建模，同时针对交互中的物联网终端所执行的动作进行实时监控、建模，并使其与有限自动机模型预测的正常交互行为进行匹配，从而判断出异常攻击行为的方法。本发明可以使用简略的可组合标签转换模型表示复杂的物联网系统，因此在很大程度上降低了IDS对于存储空间的要求。同时，我们使用的比较算法的复杂度是根据对应的物联网设备运行协议的Glued‑IOLTS(可组合标签转换模型)图的深度来决定的，因此，这种基于有限自动机遍历的检测方法将可被应用于物联网系统中。本发明具有体量小，占用资源少，执行效率高的特点，使用方便，投入成本较低。

主权项

一种基于有限自动机的物联网入侵检测方法，其特征在于：包括以下步骤：步骤1，采用有限自动机理论对物联网终端的通用协议群建立用于将标签转换模型间的信道进行标准化表示的可组合标签转换模型，该可组合标签转换模型表示通过媒介相互连接的多个标签转换模型，且该可组合标签转换模型定义为四元组其中，Sglu＝<S1∪S2∪…∪Sn∪SM>，Lglu＝<L1∪L2∪…∪Ln>，sglu0=<s10,s20,...,sn0>,]]>Tglu⋐Sglu×Lglu×Sglu,]]>Tglu={(s1,s2,...,si,...,sm)→α(s1,s2,...,si′,...,sm)|(si,α,si′)∈Ti∪TM},]]>TM={(sil,μ,sjl)|i≠j,μ∈Out(sil)∩In(sjl)};]]>sl表示可组合标签转换模型的低层状态；M表示媒介，即表示媒介M内的一个转换，其中表示的是状态si的低层表示；SM表示媒介的状态；i、j和m均表示自然数且1＜i＜m；α表示标签转换模型中的标签；(i＝1,2,…,n)表示多个标签转换模型，S为所刻画的设备的所有状态的集合，L为设备主要行为抽象表示的集合，T为L内的某个或多个行为导致所述标签转换模型的状态的转移；s0为有限自动机的初始状态，且LI为引起所述标签转换模型的状态转移的输入行为集合，LO为引起所述标签转换模型的状态转移的输出行为集合，并使LI∪LO＝L且步骤2，在云服务器上建立事件数据库，事件数据库中的数据包括标准协议的数据、可能操作流和异常动作流，且该事件数据库直接访问IDS事件分析器；标准协议的数据为通过所述可组合标签转换模型对标准协议的描述；可能操作流为通过标准协议的数据创建的数据；异常动作流为已知异常入侵事件的数据；步骤3，通过事件监视器采集物联网上的控制流数据，并把控制流数据根据需求重新打包成需求打包数据发送至事件数据库和IDS事件分析器；步骤41，IDS事件分析器接收所述需求打包数据并分析需求打包数据的信息，识别出网络设备中的物联网设备，并生成网络拓扑视图，然后记录被识别的物联网设备的ID信息；步骤42，IDS事件分析器首先根据所述网络拓扑视图和ID信息将所述需求打包数据进行分组，具体分组步骤为：将具有相同会话ID的数据包分为一组，同时将相同会话ID的数据包根据协议类型，按时间顺序整理，生成分组数据；然后，IDS事件分析器将每组分组数据通过所述可组合标签转换模型转换为转换事件流，具体步骤为：根据相同会话ID的数据包中的协议类型获取每组分组数据中消息序列的协议类型，再将消息序列的协议类型与所述标准协议的数据进行比对，获取所述消息序列的协议类型的基本的形式化动作原语，将动作原语与每组分组数据中的信息进行组合后将分组数据表示为自动机原语，即将每组分组数据转换为转换事件流；步骤43，IDS事件分析器将转换事件流与异常动作流进行比对，进行基于签名的入侵检测；如转换事件流中含有与异常动作流中的入侵事件签名相同的事件签名，则判断为异常入侵事件，则将异常结果输出至响应单元；如转换事件流中不含有与异常动作流中的已知入侵事件签名相同的事件签名，则该转换事件流继续与可能操作流中的数据进行比对，判断是否为异常入侵事件，如判断为异常入侵事件，则记录该异常入侵事件，同时向用户发送判断请求；如用户判断为异常入侵事件，则将异常结果输出至响应单元，并将该异常入侵事件的特征进行提取存储至事件数据库中的异常动作流数据中；步骤5，响应单元接收到异常结果后生成警告入侵风险报告。