本發(fā)明涉及物聯(lián)網(wǎng)信息安全領(lǐng)域,尤其涉及一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)方法及系統(tǒng)。
背景技術(shù):
隨著物聯(lián)網(wǎng)不斷被推廣應(yīng)用,暴露在無(wú)人監(jiān)控環(huán)境下的感知節(jié)點(diǎn)也將越來(lái)越多,其面臨的安全威脅將日漸凸現(xiàn),心懷叵測(cè)的攻擊者也想方設(shè)法利用脆弱的感知節(jié)點(diǎn)攻擊物聯(lián)網(wǎng)。物聯(lián)網(wǎng)安全問(wèn)題成為了研究人員關(guān)注的熱點(diǎn)。物聯(lián)網(wǎng)既面臨重放攻擊拒絕服務(wù)等傳統(tǒng)攻擊,也面臨其特有的克隆攻擊復(fù)制攻擊、冒用攻擊和干擾攻擊等攻擊。國(guó)外學(xué)者描述了一種針對(duì)遠(yuǎn)程控制電爐的物聯(lián)網(wǎng)系統(tǒng)的攻擊,這種攻擊可以導(dǎo)致一個(gè)地區(qū)的電網(wǎng)癱瘓。如果針對(duì)物聯(lián)網(wǎng)的攻擊檢測(cè)問(wèn)題不能得到有效解決,它將阻礙物聯(lián)網(wǎng)的健康發(fā)展。因此,目前迫切需要一種能適應(yīng)物聯(lián)網(wǎng)感知節(jié)點(diǎn)分布性特點(diǎn)的入侵檢測(cè)技術(shù),以解決瞬息萬(wàn)變的物聯(lián)網(wǎng)攻擊環(huán)境下的入侵檢測(cè)問(wèn)題。
為解決物聯(lián)網(wǎng)環(huán)境下的入侵檢測(cè)難題,mirowski根據(jù)物品標(biāo)簽的過(guò)去訪問(wèn)頻率提出了一種入侵檢測(cè)方法,該檢測(cè)方法只針對(duì)標(biāo)簽宿主變化的物聯(lián)網(wǎng)攻擊;yang提出了無(wú)線傳感網(wǎng)節(jié)點(diǎn)的分布式入侵檢測(cè)方法,但檢測(cè)的對(duì)象也僅局限于有限的感知節(jié)點(diǎn)。但大部分研究只給出了物聯(lián)網(wǎng)入侵檢測(cè)的基本概念或簡(jiǎn)單構(gòu)想,主要思想基于傳統(tǒng)的互聯(lián)網(wǎng)入侵檢測(cè)技術(shù),檢測(cè)攻擊的能力具有很大的局限性,物聯(lián)網(wǎng)攻擊稍作變化即可騙過(guò)傳統(tǒng)的入侵檢測(cè)系統(tǒng),從而對(duì)物聯(lián)網(wǎng)系統(tǒng)形成巨大的威脅。
中國(guó)專利公開(kāi)號(hào)cn101478534中所述的基于人工免疫原理的網(wǎng)絡(luò)異常檢測(cè)方法,首先進(jìn)行訓(xùn)練抗原數(shù)據(jù)收集,然后是人工免疫系統(tǒng)學(xué)習(xí),最后是對(duì)網(wǎng)絡(luò)異常檢測(cè);cn1777119中所述的方法首先獲取主機(jī)審計(jì)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)的檢測(cè)數(shù)據(jù)源并將其特征格式化,接著產(chǎn)生檢測(cè)器集合,最后通過(guò)檢測(cè)器集合進(jìn)行異常檢測(cè);中國(guó)專利公開(kāi)號(hào)cn101299691b中所述的一種基于人工免疫放入動(dòng)態(tài)網(wǎng)格入侵檢測(cè)方法,首先得到演化成熟的檢測(cè)器,然后在人工免疫機(jī)制的協(xié)調(diào)下,動(dòng)態(tài)處理網(wǎng)格環(huán)境中的入侵檢測(cè)問(wèn)題,以上三個(gè)專利中都是通過(guò)先學(xué)習(xí)再檢測(cè)的方法,難以實(shí)現(xiàn)對(duì)復(fù)雜的網(wǎng)絡(luò)形勢(shì)的適應(yīng),以及高速網(wǎng)絡(luò)中快速、實(shí)時(shí)檢測(cè)的需要,現(xiàn)如今,物聯(lián)網(wǎng)中面臨的無(wú)線傳感網(wǎng)絡(luò)環(huán)境千變?nèi)f化,如果傳統(tǒng)靜態(tài)入侵檢測(cè)技術(shù)的檢測(cè)措施仍一成不變,并不能適應(yīng)物聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境的變化。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明針對(duì)現(xiàn)有技術(shù)中存在的問(wèn)題和不足,提出一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)方法及系統(tǒng),構(gòu)建了一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)模型,建立多個(gè)本地子模型同時(shí)分布式運(yùn)行以對(duì)物聯(lián)網(wǎng)環(huán)境下面臨的攻擊進(jìn)行全面、實(shí)時(shí)地感知,通過(guò)中央子模型采用人工免疫系統(tǒng)的種痘機(jī)制實(shí)現(xiàn)自學(xué)習(xí)去適應(yīng)物聯(lián)網(wǎng)的本地網(wǎng)絡(luò)環(huán)境,通過(guò)先學(xué)習(xí)、后檢測(cè)、再學(xué)習(xí)的方式提升了物聯(lián)網(wǎng)的全局入侵檢測(cè)能力。
為了實(shí)現(xiàn)上述目的,本發(fā)明采用以下技術(shù)方案:
本發(fā)明提供了一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)方法,包括以下步驟:
1)構(gòu)建一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)整體模型,包括一個(gè)中央子模型和至少三個(gè)相同的本地子模型;本地子模型以旁路的方式接入物聯(lián)網(wǎng)網(wǎng)關(guān),各本地子模型分布式獨(dú)立地運(yùn)行,由中央子模型對(duì)其統(tǒng)一管理和協(xié)調(diào),本地子模型和中央子模型共同構(gòu)成基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)模型的整體模型;
2)建立本地子模型
本地子模型包括檢測(cè)器和抗原,所述的抗原為物聯(lián)網(wǎng)感知層數(shù)據(jù)的數(shù)據(jù)特征,抗原分為自體和非自體,所述的自體為正常數(shù)據(jù)的數(shù)據(jù)特征,所述的非自體為攻擊性數(shù)據(jù)的數(shù)據(jù)特征,所述的檢測(cè)器為包含抗原數(shù)據(jù)信息的集合,用于檢測(cè)抗原;檢測(cè)器對(duì)抗原進(jìn)行分類,分成自體和非自體;所述的檢測(cè)器分為非成熟檢測(cè)器,成熟檢測(cè)器和記憶檢測(cè)器;
2.1)將kddcup99數(shù)據(jù)集作為物聯(lián)網(wǎng)感知層的初始攻擊性數(shù)據(jù)集,將該初始攻擊性數(shù)據(jù)集初始化為記憶檢測(cè)器存入中央子模型中的記憶檢測(cè)器庫(kù)中,并通過(guò)系統(tǒng)隨機(jī)生成非成熟檢測(cè)器;
2.2)收集物聯(lián)網(wǎng)安全環(huán)境下的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)并將其轉(zhuǎn)換為自體;
2.3)捕獲通過(guò)物聯(lián)網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)報(bào)文,將其轉(zhuǎn)換為抗原;
2.4)通過(guò)抗原對(duì)非成熟檢測(cè)器進(jìn)行耐受訓(xùn)練,所述的耐受訓(xùn)練為通過(guò)非成熟檢測(cè)器對(duì)抗原進(jìn)行分類,判斷是否正確區(qū)分自體和非自體,如果不能,則非成熟檢測(cè)器死亡,如果能則非成熟檢測(cè)器成為成熟檢測(cè)器,并激活確定為新的記憶檢測(cè)器;
3)建立中央子模型
3.1)接收疫苗
將新的記憶檢測(cè)器作為疫苗,當(dāng)本地子模型經(jīng)過(guò)耐受訓(xùn)練出新的記憶檢測(cè)器后,將該記憶檢測(cè)器封裝為數(shù)據(jù)包,設(shè)新的記憶檢測(cè)器為r,數(shù)據(jù)包包含新的記憶檢測(cè)器r的信息,將數(shù)據(jù)包發(fā)送給中央子模型,中央子模型在收到數(shù)據(jù)包中新的記憶檢測(cè)器r信息后,將其存入到中央子模型中的記憶檢測(cè)庫(kù)中;
3.2)封裝疫苗
每當(dāng)接收到新的記憶檢測(cè)器r后,中央子模型將新的記憶檢測(cè)器r封裝為用于種痘的疫苗v:
v=encrypt(hash(packetr),keypri)+encrypt(packetr,keypri)
其中,encrypt()為公鑰加密函數(shù);keypri為中央子模型的私鑰;hash()為hash函數(shù);packetr為新的記憶檢測(cè)器信息;“+”為字符串連接符;
3.3)種痘
中央子模型封裝的疫苗v含有本地子模型訓(xùn)練出的新的記憶檢測(cè)器r的信息,系統(tǒng)將其發(fā)給所有的本地子模型,各本地子模型從疫苗v中獲取新的記憶檢測(cè)器r的信息,用于本地物聯(lián)網(wǎng)內(nèi)的物聯(lián)網(wǎng)攻擊檢測(cè)。
優(yōu)選地,所述的步驟2.3,具體包括:
抽取物聯(lián)網(wǎng)感知層數(shù)據(jù)報(bào)文的主要特征信息,將其轉(zhuǎn)換成長(zhǎng)度為l的二進(jìn)制串,定義數(shù)據(jù)報(bào)文的特征信息的狀態(tài)空間為u={0,1}l;將物聯(lián)網(wǎng)感知層數(shù)據(jù)報(bào)文的特征信息轉(zhuǎn)換成免疫環(huán)境下的抗原ag;
定義抗原集合ag為:
ag={ag|ag∈u,|ag|=l,ag=getsig(packet)},且
其中,getsig()為感知層數(shù)據(jù)特征信息的提取及轉(zhuǎn)換函數(shù),packet表示捕獲通過(guò)物聯(lián)網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)報(bào)文;getsig(packet)表示提取數(shù)據(jù)報(bào)文packet的特征信息并將其轉(zhuǎn)換為二進(jìn)制串形式的抗原。
優(yōu)選地,所述的步驟3.2,具體包括:各本地子模型從疫苗v中獲取新的記憶檢測(cè)器r的信息,疫苗v中新的記憶檢測(cè)器r,在各本地子模型中進(jìn)行耐受訓(xùn)練后,用于本地物聯(lián)網(wǎng)的攻擊檢測(cè)。
本發(fā)明還提供了一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)方法的一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)系統(tǒng),包括:
整體模型模塊,用于構(gòu)建一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)整體模型,包括一個(gè)中央子模型和至少三個(gè)相同的本地子模型;
本地子模型模塊,用于建立本地子模型;本地子模型包括檢測(cè)器和抗原,所述的抗原為物聯(lián)網(wǎng)感知層數(shù)據(jù)的數(shù)據(jù)特征,抗原分為自體和非自體,所述的自體為正常數(shù)據(jù)的數(shù)據(jù)特征,所述的非自體為攻擊性數(shù)據(jù)的數(shù)據(jù)特征,所述的檢測(cè)器為包含抗原數(shù)據(jù)信息的集合,用于檢測(cè)抗原;檢測(cè)器對(duì)抗原進(jìn)行分類,分成自體和非自體;所述的檢測(cè)器分為非成熟檢測(cè)器,成熟檢測(cè)器和記憶檢測(cè)器;
中央子模型模塊,用于建立中央子模型;
所述的本地子模型模塊還包括:
初始化模塊,用于將kddcup99數(shù)據(jù)集作為物聯(lián)網(wǎng)感知層的初始攻擊性數(shù)據(jù)集,將該初始攻擊性數(shù)據(jù)集初始化為記憶檢測(cè)器存入中央子模型中的記憶檢測(cè)器庫(kù)中,并通過(guò)系統(tǒng)隨機(jī)生成非成熟檢測(cè)器;
自體轉(zhuǎn)換模塊,用于收集物聯(lián)網(wǎng)安全環(huán)境下的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)并將其轉(zhuǎn)換為自體;
抗原轉(zhuǎn)換模塊,用于捕獲通過(guò)物聯(lián)網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)報(bào)文,將其轉(zhuǎn)換為抗原;
記憶檢測(cè)器生成模塊,用于通過(guò)抗原對(duì)非成熟檢測(cè)器進(jìn)行耐受訓(xùn)練,所述的耐受訓(xùn)練為通過(guò)非成熟檢測(cè)器對(duì)抗原進(jìn)行分類,判斷是否正確區(qū)分自體和非自體,如果不能,則非成熟檢測(cè)器死亡,如果能則非成熟檢測(cè)器成為成熟檢測(cè)器,并激活確定為新的記憶檢測(cè)器;
所述的中央子模型模塊還包括:
接收疫苗模塊,用于將記憶檢測(cè)器作為疫苗,當(dāng)本地子模型經(jīng)過(guò)耐受訓(xùn)練出新的記憶檢測(cè)器后,將該記憶檢測(cè)器封裝為數(shù)據(jù)包,設(shè)新的記憶檢測(cè)器為r,數(shù)據(jù)包包含新的記憶檢測(cè)器r的信息,將數(shù)據(jù)包發(fā)送給中央子模型,中央子模型在接收到數(shù)據(jù)包中新的記憶檢測(cè)器r的信息后,將其存入到中央子模型中的記憶檢測(cè)庫(kù)中;
封裝疫苗模塊,用于每當(dāng)接收到新的記憶檢測(cè)器r后,中央子模型將新的記憶檢測(cè)器r封裝為用于種痘的疫苗v:
v=encrypt(hash(packetr),keypri)+encrypt(packetr,keypri)
其中,encrypt()為公鑰加密函數(shù);keypri為中央子模型的私鑰;hash()為hash函數(shù);packetr為新的記憶檢測(cè)器信息;“+”為字符串連接符;
種痘模塊,用于中央子模型封裝的疫苗v含有本地子模型訓(xùn)練出的新的記憶檢測(cè)器r的信息,系統(tǒng)將其發(fā)給所有的本地子模型,各本地子模型從疫苗中獲取新的記憶檢測(cè)器r信息,用于本地物聯(lián)網(wǎng)內(nèi)的物聯(lián)網(wǎng)攻擊檢測(cè)。
本發(fā)明的有益效果:
1.引入了人工免疫系統(tǒng)中免疫要素的動(dòng)態(tài)演化和種痘機(jī)制,采用了分布式、并行式的手段檢測(cè)物聯(lián)網(wǎng)面臨的攻擊,本地子模型通過(guò)訓(xùn)練對(duì)網(wǎng)絡(luò)的自適應(yīng)和自學(xué)習(xí),產(chǎn)生了高質(zhì)量的檢測(cè)物聯(lián)網(wǎng)攻擊的學(xué)習(xí)成果,并在物聯(lián)網(wǎng)全網(wǎng)范圍內(nèi)共享,有效降低了各本地子模型的訓(xùn)練成本,提高了本地子模型適應(yīng)本地物聯(lián)網(wǎng)環(huán)境能力,并且大力提升了物聯(lián)網(wǎng)全網(wǎng)的入侵檢測(cè)性能;
2.采用分布式機(jī)制構(gòu)建整體模型,使物聯(lián)網(wǎng)數(shù)據(jù)分散到多個(gè)子模型中進(jìn)行處理,提高大規(guī)模數(shù)據(jù)的處理效率,而且避免了由于單點(diǎn)故障引起整體系統(tǒng)的癱瘓,很大程度上提高了整體系統(tǒng)在千變?nèi)f化的物聯(lián)網(wǎng)環(huán)境中的生存能力;
3.模擬免疫系統(tǒng)中免疫細(xì)胞識(shí)別有害抗原的機(jī)制,利用仿生學(xué)原理模擬物聯(lián)網(wǎng)環(huán)境下的免疫模型,讓入侵檢測(cè)要素根據(jù)物聯(lián)網(wǎng)環(huán)境進(jìn)行動(dòng)態(tài)地演化,包括非成熟檢測(cè)器、成熟檢測(cè)器和記憶檢測(cè)器三種動(dòng)態(tài)過(guò)程,物聯(lián)網(wǎng)環(huán)境下的入侵檢測(cè)具有自適應(yīng)性,大大提高了局部物聯(lián)網(wǎng)環(huán)境中入侵檢測(cè)的準(zhǔn)確率和效率。
附圖說(shuō)明
圖1為本發(fā)明基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)方法的流程示意圖。
圖2為本發(fā)明基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖。
圖3為本發(fā)明基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)方法及系統(tǒng)的整體模型的架構(gòu)圖。
圖4為本發(fā)明基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)方法及系統(tǒng)的本地子模型的部署結(jié)構(gòu)圖。
具體實(shí)施方式
下面結(jié)合附圖和實(shí)施例,對(duì)本發(fā)明的具體實(shí)施方式作進(jìn)一步詳細(xì)描述:
實(shí)施例1:一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)方法,具體包括以下步驟:
步驟101:構(gòu)建一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)整體模型,包括一個(gè)中央子模型和至少三個(gè)相同的本地子模型;本地子模型以旁路的方式接入物聯(lián)網(wǎng)網(wǎng)關(guān),各本地子模型分布式獨(dú)立地運(yùn)行,由中央子模型對(duì)其統(tǒng)一管理和協(xié)調(diào),本地子模型和中央子模型共同構(gòu)成基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)模型的整體模型。
步驟102:建立本地子模型:本地子模型包括檢測(cè)器和抗原,所述的抗原為物聯(lián)網(wǎng)感知層數(shù)據(jù)的數(shù)據(jù)特征,抗原分為自體和非自體,所述的自體為正常數(shù)據(jù)的數(shù)據(jù)特征,所述的非自體為攻擊性數(shù)據(jù)的數(shù)據(jù)特征,所述的檢測(cè)器為包含抗原數(shù)據(jù)信息的集合,用于檢測(cè)抗原;檢測(cè)器對(duì)抗原進(jìn)行分類,分成自體和非自體;所述的檢測(cè)器分為非成熟檢測(cè)器,成熟檢測(cè)器和記憶檢測(cè)器。
步驟103:將kddcup99數(shù)據(jù)集作為物聯(lián)網(wǎng)感知層的初始攻擊性數(shù)據(jù)集,將該初始攻擊性數(shù)據(jù)集初始化為記憶檢測(cè)器存入中央子模型中的記憶檢測(cè)器庫(kù)中,并通過(guò)系統(tǒng)隨機(jī)生成非成熟檢測(cè)器。
步驟104:收集物聯(lián)網(wǎng)安全環(huán)境下的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)并將其轉(zhuǎn)換為自體。
步驟105:捕獲通過(guò)物聯(lián)網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)報(bào)文,將其轉(zhuǎn)換為抗原。
步驟106:通過(guò)抗原對(duì)非成熟檢測(cè)器進(jìn)行耐受訓(xùn)練,所述的耐受訓(xùn)練為通過(guò)非成熟檢測(cè)器對(duì)抗原進(jìn)行分類,判斷是否正確區(qū)分自體和非自體,如果不能,則非成熟檢測(cè)器死亡,如果能則非成熟檢測(cè)器成為成熟檢測(cè)器,并激活確定為新的記憶檢測(cè)器。
步驟107:建立中央子模型。
步驟108:接收疫苗:將新的記憶檢測(cè)器作為疫苗,當(dāng)本地子模型經(jīng)過(guò)耐受訓(xùn)練出新的記憶檢測(cè)器后,將該記憶檢測(cè)器封裝為數(shù)據(jù)包,設(shè)新的記憶檢測(cè)器為r,數(shù)據(jù)包包含新的記憶檢測(cè)器r的信息,將數(shù)據(jù)包發(fā)送給中央子模型,中央子模型在收到數(shù)據(jù)包中新的記憶檢測(cè)器r信息后,將其存入到中央子模型中的記憶檢測(cè)庫(kù)中。
步驟109:封裝疫苗:每當(dāng)接收到新的記憶檢測(cè)器r后,中央子模型將新的記憶檢測(cè)器r封裝為用于種痘的疫苗v:
v=encrypt(hash(packetr),keypri)+encrypt(packetr,keypri)
其中,encrypt()為公鑰加密函數(shù);keypri為中央子模型的私鑰;hash()為hash函數(shù);packert為新的記憶檢測(cè)器信息;“+”為字符串連接符;
步驟110:種痘:中央子模型封裝的疫苗v含有本地子模型訓(xùn)練出的新的記憶檢測(cè)器r信息,系統(tǒng)將其發(fā)給所有的本地子模型,各本地子模型從疫苗v中獲取新的記憶檢測(cè)器r的信息,用于本地物聯(lián)網(wǎng)內(nèi)的物聯(lián)網(wǎng)攻擊檢測(cè)。
實(shí)施例2:另一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)方法,具體包括以下步驟:
步驟201:構(gòu)建一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)整體模型,包括一個(gè)中央子模型和至少三個(gè)相同的本地子模型;本地子模型以旁路的方式接入物聯(lián)網(wǎng)網(wǎng)關(guān),各本地子模型分布式獨(dú)立地運(yùn)行,由中央子模型對(duì)其統(tǒng)一管理和協(xié)調(diào),本地子模型和中央子模型共同構(gòu)成基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)模型的整體模型。
步驟202:建立本地子模型:本地子模型包括檢測(cè)器和抗原,所述的抗原為物聯(lián)網(wǎng)感知層數(shù)據(jù)的數(shù)據(jù)特征,抗原分為自體和非自體,所述的自體為正常數(shù)據(jù)的數(shù)據(jù)特征,所述的非自體為攻擊性數(shù)據(jù)的數(shù)據(jù)特征,所述的檢測(cè)器為包含抗原數(shù)據(jù)信息的集合,用于檢測(cè)抗原;檢測(cè)器對(duì)抗原進(jìn)行分類,分成自體和非自體;所述的檢測(cè)器分為非成熟檢測(cè)器,成熟檢測(cè)器和記憶檢測(cè)器。
步驟203:將kddcup99數(shù)據(jù)集作為物聯(lián)網(wǎng)感知層的初始攻擊性數(shù)據(jù)集,將該初始攻擊性數(shù)據(jù)集初始化為記憶檢測(cè)器存入中央子模型中的記憶檢測(cè)器庫(kù)中,并通過(guò)系統(tǒng)隨機(jī)生成非成熟檢測(cè)器。
步驟204:收集物聯(lián)網(wǎng)安全環(huán)境下的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)并將其轉(zhuǎn)換為自體。
步驟205:捕獲通過(guò)物聯(lián)網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)報(bào)文,將其轉(zhuǎn)換為抗原;抽取物聯(lián)網(wǎng)感知層數(shù)據(jù)報(bào)文的主要特征信息,將其轉(zhuǎn)換成長(zhǎng)度為l的二進(jìn)制串,定義數(shù)據(jù)報(bào)文的特征信息的狀態(tài)空間為;將物聯(lián)網(wǎng)感知層數(shù)據(jù)報(bào)文的特征信息轉(zhuǎn)換成免疫環(huán)境下的抗原ag;
定義抗原集合ag為:
ag={ag|ag∈u,|ag|=l,ag=getsig(packet)},且
其中,getsig()為感知層數(shù)據(jù)特征信息的提取及轉(zhuǎn)換函數(shù),packet表示捕獲通過(guò)物聯(lián)網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)報(bào)文;getsig(packet)表示提取數(shù)據(jù)報(bào)文packet的特征信息并將其轉(zhuǎn)換為二進(jìn)制串形式的抗原。
步驟206:通過(guò)抗原對(duì)非成熟檢測(cè)器進(jìn)行耐受訓(xùn)練,所述的耐受訓(xùn)練為通過(guò)非成熟檢測(cè)器對(duì)抗原進(jìn)行分類,判斷是否正確區(qū)分自體和非自體,如果不能,則非成熟檢測(cè)器死亡,如果能則非成熟檢測(cè)器成為成熟檢測(cè)器,并激活確定為新的記憶檢測(cè)器。
步驟207:建立中央子模型。
步驟208:接收疫苗:將新的記憶檢測(cè)器作為疫苗,當(dāng)本地子模型經(jīng)過(guò)耐受訓(xùn)練出新的記憶檢測(cè)器后,將該記憶檢測(cè)器封裝為數(shù)據(jù)包,設(shè)新的記憶檢測(cè)器為r,數(shù)據(jù)包包含新的記憶檢測(cè)器r的信息,將數(shù)據(jù)包發(fā)送給中央子模型,中央子模型在收到數(shù)據(jù)包中新的記憶檢測(cè)器r信息后,將其存入到中央子模型中的記憶檢測(cè)庫(kù)中。
步驟209:封裝疫苗:每當(dāng)接收到新的記憶檢測(cè)器r后,中央子模型將新的記憶檢測(cè)器r封裝為用于種痘的疫苗v:
v=encrypt(hash(packetr),keypri)+encrypt(packetr,keypri)
其中,encrypt()為公鑰加密函數(shù);keypri為中央子模型的私鑰;hash()為hash函數(shù);packetr為新的記憶檢測(cè)器信息;“+”為字符串連接符。
步驟211:種痘:中央子模型封裝的疫苗v含有本地子模型訓(xùn)練出的新的記憶檢測(cè)器r的信息,系統(tǒng)將其發(fā)給所有的本地子模型,各本地子模型從疫苗v中獲取新的記憶檢測(cè)器r的信息,用于本地物聯(lián)網(wǎng)內(nèi)的物聯(lián)網(wǎng)攻擊檢測(cè)。
作為一種可實(shí)施的方式,本發(fā)明根據(jù)基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)方法的整體模型研究出一套網(wǎng)絡(luò)入侵防御系統(tǒng),在構(gòu)建的網(wǎng)絡(luò)中模擬物聯(lián)網(wǎng)攻擊環(huán)境,搭建仿真軟件環(huán)境,并進(jìn)行模擬實(shí)驗(yàn),然后利用網(wǎng)絡(luò)管理中心龐大的校園網(wǎng)絡(luò)搭建測(cè)試平臺(tái),測(cè)試該系統(tǒng)的運(yùn)行情況,并評(píng)估該系統(tǒng)的技術(shù)指標(biāo);通過(guò)測(cè)試得到該網(wǎng)絡(luò)入侵防御系統(tǒng)的主要技術(shù)指標(biāo)為:1)網(wǎng)絡(luò)攻擊攔截速率>2.2gbps;
2)報(bào)文轉(zhuǎn)發(fā)延遲<100微秒;(icsa認(rèn)證標(biāo)準(zhǔn))
3)并發(fā)連接數(shù)>180萬(wàn);
4)每秒新建會(huì)話數(shù)>22000sessions/sec;
5)系統(tǒng)的cpu使用率<10%;
通過(guò)該系統(tǒng)的主要技術(shù)指標(biāo),得出該系統(tǒng)應(yīng)用效果良好,能夠保證一個(gè)更加安全、穩(wěn)定與快速的內(nèi)部網(wǎng),保障系統(tǒng)安全、信息安全與技術(shù)安全,同時(shí)以這些主要技術(shù)指標(biāo)為依據(jù),能夠進(jìn)一步地完善系統(tǒng)的性能。
實(shí)施例3:一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)系統(tǒng),包括:
整體模型模塊301,本地子模型模塊和中央子模型模塊,所述的本地子模型模塊包括初始化模塊302、自體轉(zhuǎn)換模塊303、抗原轉(zhuǎn)換模塊304、記憶檢測(cè)器生成模塊305;所述的中央子模型模塊包括接收疫苗模塊306,封裝疫苗模塊307,種痘模塊308;整體模型模塊301依次連接初始化模塊302、自體轉(zhuǎn)換模塊303、抗原轉(zhuǎn)換模塊304、記憶檢測(cè)器生成模塊305、接收疫苗模塊306,封裝疫苗模塊307,種痘模塊308。
整體模型模塊301,用于構(gòu)建一種基于免疫的物聯(lián)網(wǎng)分布式入侵檢測(cè)整體模型,包括一個(gè)中央子模型和至少三個(gè)相同的本地子模型;本地子模型模塊,用于構(gòu)建本地子模型;本地子模型包括檢測(cè)器和抗原,所述的抗原為物聯(lián)網(wǎng)感知層數(shù)據(jù)的數(shù)據(jù)特征,抗原分為自體和非自體,所述的自體為正常數(shù)據(jù)的數(shù)據(jù)特征,所述的非自體為攻擊性數(shù)據(jù)的數(shù)據(jù)特征,所述的檢測(cè)器為包含抗原數(shù)據(jù)信息的集合,用于檢測(cè)抗原;檢測(cè)器對(duì)抗原進(jìn)行分類,分成自體和非自體;所述的檢測(cè)器分為非成熟檢測(cè)器,成熟檢測(cè)器和記憶檢測(cè)器。中央子模型模塊,用于構(gòu)建中央子模型;初始化模塊302,用于將kddcup99數(shù)據(jù)集作為物聯(lián)網(wǎng)感知層的初始攻擊性數(shù)據(jù)集,將該初始攻擊性數(shù)據(jù)集初始化為記憶檢測(cè)器存入中央子模型中的記憶檢測(cè)器庫(kù)中,并通過(guò)系統(tǒng)隨機(jī)生成非成熟檢測(cè)器;自體轉(zhuǎn)換模塊303,用于收集物聯(lián)網(wǎng)安全環(huán)境下的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)并將其轉(zhuǎn)換為自體;抗原轉(zhuǎn)換模塊304,用于捕獲通過(guò)物聯(lián)網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)報(bào)文,將其轉(zhuǎn)換為抗原;記憶檢測(cè)器生成模塊305,用于通過(guò)抗原對(duì)非成熟檢測(cè)器進(jìn)行耐受訓(xùn)練,所述的耐受訓(xùn)練為通過(guò)非成熟檢測(cè)器對(duì)抗原進(jìn)行分類,判斷是否正確區(qū)分自體和非自體,如果不能,則非成熟檢測(cè)器死亡,如果能則非成熟檢測(cè)器成為成熟檢測(cè)器,并激活確定為新的記憶檢測(cè)器;接收疫苗模塊306,用于將新的記憶檢測(cè)器作為疫苗,當(dāng)本地子模型經(jīng)過(guò)耐受訓(xùn)練出新的記憶檢測(cè)器后,將該記憶檢測(cè)器封裝為數(shù)據(jù)包,設(shè)新的記憶檢測(cè)器為r,數(shù)據(jù)包包含記憶檢測(cè)器r的信息,將數(shù)據(jù)包發(fā)送給中央子模型,中央子模型在收到數(shù)據(jù)包中新的記憶檢測(cè)器r的信息后,將其存入到中央子模型中的記憶檢測(cè)庫(kù)中;封裝疫苗模塊307,用于每當(dāng)接收到新的記憶檢測(cè)器r后,中央子模型將新的記憶檢測(cè)器r封裝為用于種痘的疫苗v:
v=encrypt(hash(packetr),keypri)+encrypt(packetr,keypri)
其中,encrypt()為公鑰加密函數(shù);keypri為中央子模型的私鑰;hash()為hash函數(shù);packetr為新的記憶檢測(cè)器信息;“+”為字符串連接符;種痘模塊308,用于中央子模型封裝的疫苗v含有本地子模型訓(xùn)練出的新的記憶檢測(cè)器r的信息,系統(tǒng)將其發(fā)給所有的本地子模型,各本地子模型從疫苗v中獲取新的記憶檢測(cè)器r的信息,用于本地物聯(lián)網(wǎng)內(nèi)的物聯(lián)網(wǎng)攻擊檢測(cè)。
以上所示僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。