技術領域

本發明涉及一種結合異常監測的物聯網篡改入侵檢測方法，屬于物聯網入侵檢測技術領域。

背景技術

隨著物聯網的研究與應用越來越受到廣泛的關注，物聯網的安全問題也日益凸顯。由于物聯網的應用將會涉及到軍事、民生、工商業等各個領域，其網絡安全的重要性不言而喻。針對物聯網的入侵行為主要指任何試圖破壞目標資源完整性、機密性和可訪問性的動作，是物聯網安全防范研究所針對的主要方面。

傳統的安全防御機制，如加密、身份認證等，相對比較被動。入侵檢測系統(IDS)是一種主動保護自己免受攻擊的網絡安全系統。入侵檢測系統對網絡行為進行實時檢測，可以記錄和阻止某些網絡行為。

Dorothy?E.Denning在他的論文“An?Intrusion?Detection?Model”中對入侵檢測系統(IDS)模型進行了定義。Denning指出，入侵檢測應通過對網絡封包信息進行收集，并對收集到的信息進行分析，檢測潛在的入侵行為，并能夠實時地向系統管理人員發送警報，以提供相應的處理措施。因此，一個典型的入侵檢測系統(IDS)至少應包括3個功能模塊：

提供事件記錄流的信息源、發現入侵跡象的分析引擎和基于分析引擎的響應部件。公共入侵檢測框架CIDF闡述了一個入侵檢測系統的通用模型，即入侵檢測系統的四個組件：事件產生器、事件分析器、響應單元和事件數據庫，CIDF將需要分析的數據統稱為事件。

目前比較成熟的入侵檢測方法是異常檢測和誤用檢測兩種類型。

(1)入侵檢測系統分類

①根據數據信息來源進行分類

基于主機的IDS(HIDS):在操作系統、應用程序或內核層次上對攻擊進行檢測。系統獲取數據的依據是系統所在的主機。保護的目標也是系統運行所在的主機，通過監視和分析主機的審計記錄和日志文件來檢測入侵。

基于網絡的IDS(NIDS)：系統獲取數據的來源是網絡傳輸的原始數據包，NIDS放置在網絡基礎設施的關鍵區域.通常利用一個運行在隨機模式下的網絡適配器來實時監視并分析通過網絡的所有通信業務，保護的目標是網路的運行。

混合型的IDS：它是基于主機和基于網絡的入侵檢測系統的結合，在網絡中配置NIDS以檢測整個網絡的安全情況，同時在那些關鍵的主機上配置HIDS，這可以提供比采用單一的入侵檢測方案更為安全的保護。

②根據系統各個模塊運行的分布式方式不同進行分類

集中式入侵檢測：它有一個中心計算機負責監控、檢測和響應等工作，這種適用于網絡比較簡單的情況下。

分布式入侵檢測：它用一個移動代理的方式監視和檢測，每個分析點都有響應的能力。

③根據分析方法的不同進行分類

異常檢測是根據使用者的行為或資源使用狀況的正常程度來判斷是否入侵。異常檢測與系統相對無關，通用性較強，其主要缺陷是誤檢率較高。

誤用檢測有時也稱為特征分析或基于知識的檢測，根據已定義的入侵模式，判斷在實際的安全審計數據中是否出現這些入侵模式，這種檢測準確度較高，檢測結果有明確的參照性，便于決策響應，缺陷是無法檢測未知的攻擊類型。

(2)入侵檢測系統研究進展