用于物联网的混合型入侵检测系统
02.pdf

摘要:

—物联网(IoT)是一个有前途的解决方案,通过互联网连接和访问每个设备。设备数量每天都在增加,其形状、大小、用途和复杂性都有很大差异。由于物联网以其广泛的服务和应用推动世界并改变人们的生活。然而,物联网通过应用提供大量的服务,它面临着严重的安全问题,容易受到攻击,如天坑攻击、窃听、拒绝服务攻击等,当网络安全被破坏时,入侵检测系统被用来检测此类攻击。这项研究工作提出了一个物联网网络的入侵检测系统,并基于混合卷积神经网络模型检测不同类型的攻击。建议的模型适用于广泛的物联网应用。拟议的研究工作得到了验证,并与传统的机器学习和深度学习模型进行了比较。实验结果表明,拟议的混合模型对物联网网络中的攻击更加敏感。

关键词。- 入侵检测系统(IDS),物联网(IoT),网络攻击

1. 1.简介

物联网(IoT)由于其新颖的应用和对众多领域的支持,如工业流程、医疗保健、自动化、智能环境等,在最近的时间里获得了更多的关注,尽管物联网提供了广泛的服务和应用,但它面临着严重的安全问题,如攻击。由于物联网是一个异质的环境,其互操作性机制不支持传统的安全方法。然而,物联网的安全性在其他方面得到了加强,如数据认证、保密性和访问控制。这些安全措施是在用户和物联网之间制定的,但如果仍然面临安全问题。因此,必须提供一个单独的模块来确保物联网网络的安全。入侵检测系统(IDS)就是这样一个概念,已经在无线网络中使用。加强无线网络的IDS功能将帮助物联网确保网络免受攻击和其他漏洞的影响。

为了给用户提供高效和便利的环境,物联网使用互联网和实时应用。物联网不是针对单一目标的,它提供支持以实现多个目标,它必须满足其对大规模攻击的安全要求。在开发入侵检测系统之前,必须事先获得有关物联网环境和其安全问题的知识。一些主要的物联网安全属性被总结为以下几点。

  • 数据保密 - 物联网保护的基本要求 物联网设备中的数据更改和修改不应该由授权用户执行。数据隐私对于工业和个人应用是至关重要的,健康数据的修改将导致严重的问题。因此,数据保密性是物联网环境中的一个重要因素。

  • 数据完整性 - 物联网环境中的数据完整性是一个重要因素。因为它在异质环境中工作,数据从远程地点转移到中央单元。在物联网中,从远程系统传输数据的可信度和保证服务是至关重要的。因此,有必要通过验证数据源和识别物联网模块中的恶意攻击来定义数据完整性。数据可用性—在物联网框架中收集的信息必须能被用户持续访问,这也是物联网模块的一个重要过程。由于没有数据访问的过程对用户来说是失败的,所以物联网必须在任何时间、任何地点向用户提供数据访问。但用户使用的设备可能会遇到漏洞,导致网络的安全问题。因此,为用户提供安全的数据访问是至关重要的。

  • 验证 - 一般来说,物联网的验证过程因系统而异,对象在初始阶段就需要进行分类,这本身就是一个重要的过程。物联网需要一个强大的认证过程,以提供授权和访问数据,以及更好的适应性技能。这将增加物联网环境和系统中的数据之间的权衡。

  • 授权—在物联网环境中,需要用更好的授权过程来定义用户对数据的访问权限。通过测量设备和信息保密性,需要在网络中定义授权过程。

考虑到安全措施,必须为物联网环境开发一个安全机制。需要关注面向数据的安全机制,以防止恶意用户对数据源的未授权访问。必须关注数据的保密性和完整性,这主要是为了减少物联网环境中的严重安全威胁。传统的安全机制是基于密码学技术开发的,由于大量的数据,它没有被广泛用于物联网环境。必须在最短的时间内识别威胁,以减少网络中的问题,而传统的安全模型需要更多的时间来处理如此大量的数据以识别威胁。短时间内未经授权的数据访问足以让恶意用户获得机密数据,对这些数据的修改会给用户带来巨大的影响。因此,识别物联网网络中的入侵者是至关重要的,实施IDS是必要的。入侵检测系统可以检测到入侵者,并通过防止未经授权的用户访问来保护网络和数据。但由于能源的限制,实施IDS是一个复杂的过程。为了减少这种复杂性,可以使用中央入侵检测系统,该系统监测网络和远程节点并识别入侵。因此,一个警报被触发给网络管理员,以便对安全问题作出反应。图1描述了一个入侵检测系统的图示。

image.png
入侵检测系统的运作分为三个阶段。监测是IDS的初始阶段,它以网络或主机传感器为基础。分析是IDS的第二个阶段,它执行基于特征提取和模式识别的过程。检测是IDS的最后一个阶段,检测网络中的异常情况或入侵。IDS有助于监测和分析信息、服务和网络,通过其有效的网络管理和在最短的时间内识别漏洞进行流量分析。它保护网络免受攻击,提高数据、网络的保密性和完整性。IDS总结系统的数据流量,并对其进行分析,以检测有害或恶意的活动。

传统的入侵检测系统架构主要集中在为互联网管理特征提供安全,它在实时大量数据流的安全方面是滞后的。基本上传统的IDS被分为三种类型,如放置策略、检测策略和验证策略。图2描述了物联网环境中不同类型的入侵检测系统。在这三类中,检测策略获得了更多的关注,大多数系统只基于检测策略而开发。基于签名的IDS、基于异常的IDS、基于规范的IDS和混合的IDS是检测策略的子类别。
image.png

  • 基于签名的IDS - 它描述了攻击和它的模式,并识别了攻击。在检测到网络中的攻击时,基于签名的检测系统对可疑的活动发出警报并进行模式匹配。根据相似性和差异,向用户提供访问或警报,并有效地检测攻击。

  • 基于异常的IDS - 这是一个初始阶段的入侵检测系统,它收集数据并识别系统中的异常情况。基于阈值,正常和异常行为被识别,并向网络管理员发出关于异常的警报。它能有效地检测出未知的攻击,但它需要大量的内存来处理,计算成本是基于异常的入侵检测系统的限制。

  • 基于规范的IDS - 基于特定的操作,这些系统持续评估系统操作。具体操作是由网络管理员定义的,它不断监测过程以验证操作。如果根据操作检测到异常,警报将被转发给网络管理员。
  • 混合 IDS - 异常和基于签名的IDS的组合被认为是混合模型,它在存储和计算成本之间提供了更好的权衡,减少误报。最近,由于其有效的检测和简化的操作,大多数系统都是基于混合IDS。

    Related Works

入侵检测系统主要侧重于检测攻击,定义物联网环境中遇到的不同类型的攻击是至关重要的。各种研究工作都在发展,以定义一个先进的入侵检测系统,并且仍在进行中,以获得一个有效的系统来识别不同类型的攻击。物联网中的一些主要攻击被归类为Sybil攻击、选择性转发攻击、服务攻击、虫洞攻击、重放攻击、天坑攻击、虚假数据攻击、黑洞攻击、干扰攻击等,图4提供了物联网环境中不同类型攻击的详细视图。
image.png
Snehal等人[1]报告了物联网环境中的特定路由攻击。研究工作的重点是虫洞攻击,其中目标节点从两个不同的方向被攻击或破坏。识别网络中入侵者的位置是很困难的,研究的重点是识别入侵者的位置并提醒网络管理员。识别邻近节点和提取威胁的影响被认为是这项研究工作的优点。Rup Kumar等人[2]讨论了物联网环境下的等级攻击。这基本上是一种基于路由的入侵,发生在低功率网络中。节点被指定为特定的等级,其值在定期的时间间隔内被更新。在某些情况下,入侵者会修改排名过程,使最差的节点被路由过程选中,从而降低系统性能。在研究工作中,基于等级规则,通过避免传统的循环制定过程,提供更好的开销,构建了一个有效的拓扑结构。

在Shailendra等人[3]的研究模型中,重点讨论了Sybil攻击对物联网网络的影响。在Sybil攻击中,节点产生了多个身份,因此它将产生各种路由协议。需要检测算法和欺骗方法来识别这种攻击。根据入侵者的效率和攻击的影响,Sybil攻击被分类。Alekha等人[4]讨论了基于社会图的Sybil攻击,它通过图的过程来识别网络中的入侵者。基于分类的检测被认为是物联网安全的重要领域。如果一个特定的节点被组成以提取其邻居节点的所有数据,那么从技术上讲,它被称为天坑攻击。Guangjie等人[5]在他的研究工作中报告了水槽洞攻击及其对网络的影响,该研究确定了网络中的恶意节点和其路由过程。基于路由成本,这些类型的攻击在网络中被识别。Yuxin Liu等人[6] 提出了一个入侵检测系统,使用RPL路由协议来识别水坑攻击,该系统评估了接收数据包和传输数据包的比率,以获得入侵比率。在识别出恶意节点后,系统会向网络管理员发出警报,以减少入侵的影响。

Bin Xu等人[7]报告了由于网络中节点的重复而引起的缓冲区保留攻击。入侵者分割节点并创建重复的节点进行攻击,在网络中进行恶意操作。用户没有意识到这种网络变化和碎片化的信息。因此,入侵者使用了缓冲空间并捕获了网络中的其他节点。Chen Lyu等人[8]报告了物联网安全中的一个重要问题,如拒绝服务(DoS)攻击。在这个过程中,入侵者对节点进行攻击并拒绝其他节点的数据服务请求。这些无力的节点状况被称为拒绝服务。而分布式拒绝服务(DDoS)在同一过程中使用多个节点,使用户无法使用网络。拟议的入侵检测模型可以识别网络中的恶意用户。Mahmudul Hasan等人[9]报告了拒绝服务攻击的各种策略作为一项调查。研究总结提供了针对DoS和DDoS攻击的不同预防机制和检测技术的概述。

Ju Ren等人[10]报告了物联网网络中由于选择性转发攻击而出现的问题。在这种情况下,一个恶意节点将自己作为主要节点进行传输,并影响网络的路由和传输性能。在这个过程中,有选择的信息被考虑用于传输,而其他信息则在节点本身中滑动并阻止数据传输,从而影响了路由操作。Noshina Tariq等人[11]使用该研究工作的入侵检测模型,利用人工神经网络来识别物联网网络中的此类攻击。研究工作通过一个实时数据传输系统进行了验证,该系统转发控制信息并阻止其他信息。所提出的模型具有较高的检测率和较少的计算成本,可以识别网络中的入侵者。

Pham等人[12]提出了一个入侵检测系统来识别网络中的hello flood攻击。这种类型的路由协议在网络中不断传输hello信息,并在网络传输中产生干扰。由于入侵者在每次传输时都会改变节点的位置,因此识别这种攻击很困难。拟议的检测模型通过反向传播神经网络模型识别物联网网络中的攻击。学习算法选择恶意的特征,并以有效的方式识别入侵者。除了洪水攻击,拒绝服务攻击和虫洞攻击也在实验模型中被识别和分析。Bo Chen等人[13]讨论了物联网环境中的入侵行为,并将研究工作集中在识别水坑、重放攻击和Sybil攻击上。在这个重放攻击中,入侵者在不同的时间段收集必要的数据,然后在网络中进行重放。这就导致了用户社区在重要的传输中面临不必要的问题。建议的模型通过基于模糊的入侵检测系统有效地识别此类攻击,该系统通过一组规则进行检测过程。

Olivier Brun等人[14]讨论了物联网环境中的干扰攻击,其中传输介质被入侵者监控。在这种类型的攻击中,入侵者通过跟踪控制频率获得对网络的关注,并中断源节点和目标节点之间的通信。研究工作提出了一个使用自适应模糊神经推理系统的入侵检测系统,以识别干扰、Sybil和拒绝服务攻击。这些系统的计算成本很高,这是主要的限制。Haythem等人[15]提出了一个使用深度神经网络的入侵检测系统,它可以有效地识别黑洞攻击和虚假数据攻击。在黑洞攻击中,入侵者观察用户请求的数据包以获取机密信息。观察到路由模块的属性,入侵者进行这样的攻击并获得重要的用户信息,这影响了网络的可信度。在虚假数据攻击的情况下,入侵者观察到网络的组织和结构,并通过插入虚假的回复数据包来破坏网络。拟议的模型使用混合机器学习方法来检测网络中的此类攻击。表1提供了攻击的摘要和其性质的细节。

image.png
拟议的入侵检测系统是在分析了现有IDS的问题后开发的。从调查中可以看出,研究工作在入侵检测方面是滞后的,因为研究模型都集中在对单一攻击的检测。很少有研究模型专注于多重攻击检测,其计算成本相当高,这使得该系统不适合广泛的应用。为了获得一个高效的检测系统,本研究工作的重点是卷积神经网络,这是近来人们熟悉的。它是一个著名的数据分类深度学习模型,为不同的数据库集合提供更好的性能。最近,基于卷积神经网络的入侵检测系统得到了发展,其性能优于现有的检测系统。虽然性能更好,但为了检测网络中广泛的异常和恶意攻击,拟议的研究模型结合了长短期记忆(LSTM),这基本上是一个循环神经网络(RNN)模型,以实现更好的性能。