基于入侵檢測系統的物聯網安全體系建設分析研究

張 煒

（鐵科院（北京）工程咨詢有限公司，北京 海淀 100081）

1 前言

隨著信息技術的飛速發展，物聯網技術在人們日常生活中所涉及的應用領域也越來越多[1]。與傳統的互聯網不同，物聯網數據信息泄漏將會給用戶帶來更為慘重的財產經濟損失，為此人們也更加關心物聯網數據信息在傳輸過程中的整體安全性[2]。然而遺憾的是，由于傳統入侵檢測技術存在著較大的局限性，不僅無法很好地適應現有的網絡環境，同時針對一些突發性較強的入侵攻擊行為也無法及時地給予處理[3]?；谏鲜鲈?，本文將以居家老人綜合安全監測系統為研究實例，設計一個可以在復雜環境下正常應對各種安全問題和突發情況的基于入侵檢測系統的物聯網安全體系，以切實地提高物聯網安全體系的整體防護能力。

2 系統背景

居家老人綜合安全監測系統主要包含老人生理參數監測和老年公寓智能安防兩個子系統。這兩個子系統皆由主控芯片為Arduino Uno R3的主控模塊進行控制。Arduino Uno R3是一塊基于Atmei SAM3X8E CPU的微控制器板（如圖1所示），擁有豐富的拓展接口。

老人生理參數監測系統主要是由數據采集部分和無線傳輸部分組成。數據采集電路通過來獲取老人的脈搏、體溫、血氧飽和度等生命數據信息。然后由ZigBee傳輸模塊把報警數據信息傳送給主控制器Arduino Uno R3。

家居安全防范報警模塊主要有報警信息采集電路和無線傳輸模塊組成。其中報警電路信息采集模塊包括DHT11和DS18B20數字傳感器、NRF24L01無線模塊、Zigbee無線傳輸模塊、GP2Y1050AU灰塵傳感器等。這些傳感模塊執行主控芯片Arduino Uno R3所發出的指令。系統架構圖如圖3所示。

3 建設方案

本文基于上述實例將從主動式入侵檢測和物聯網數據通信加密兩大方面入手，提出一些安全防范措施以構建一個在復雜環境下正常應對各種安全問題和突發情況的物聯網安全體系。

（1）主動式入侵檢測

傳統的物聯網安全體系的入侵檢測功能基本上都是基于專家知識庫中所設定的規則并推理算法檢測入侵。而這種檢測模式主能檢測現有的安全漏洞，對于一些新型的入侵模式往往無能為力。為此本文利用BP神經網絡算法對海量的攻擊數據樣本進行學習訓練，以便系統可以有效預測與預防一些攻擊行為的效果?？紤]到傳統的BP神經網絡算法存在著收斂速度整體比較緩慢且難以獲得全局最優解的問題。本文主要是利用GA遺傳算法在獲取全局最優解中所具備的優勢對BP神經網絡的初始連接權值和學習速率進行合理地優化，使得該物聯網安全體系在復雜的網絡環境下仍然可以有效地抵御各式各樣的入侵行為，保護用戶的數據信息安全。

BP神經網絡算法是一種模擬人腦思考方式的算法。假設BP神經網絡存在著k數據樣本，那么第k個數據樣本的期望輸出可以采用下述公式進行描述：

為了方便計算，可以對利用全局誤差化簡方式對公式（2）進行化簡，可以得出下列公式：

GA遺傳算法是通過利用遺傳規律對遺傳因子進行模擬多次組合篩選淘汰以獲得最適合環境生存的遺傳因子。遺傳算法最大的優勢在于能夠做到均衡搜索，進而得到該問題的最優解。遺傳的生存概率可以使用下述公式進行描述

在遺傳的過程中，假設變量Pm<<1，那么其變異生存概率為

子代的樣本數為

（2）物聯網數據通信加密

在物聯網數據通信的過程中所傳輸的數據包往往由兩大部分組成：①數據包頭；②用戶數據。數據包中的用戶數據基本上都是采用加密算法進行加密的。因此在傳輸的過程中即便是被監聽竊取缺乏解密密鑰也很難將原內容還原解密出來。而數據包頭部分主要是提供給數據接收方進行數據的接收處理驗證，不便進行加密處理。因此如何確保數據包的數據包頭部分不被竊聽獲取或惡意篡改就成為物聯網數據通信加密的重點。為此本文提出一種新型的物聯網數據通信加密方法。其實現步驟如下：①網絡側生成隨機數，并且隨同期標識發送給終端側；②終端側生產自己的隨機數，連同網絡標識和隨機數，生成密鑰，且密鑰對隨機數進行簽名；③網絡側首先使用其標識、隨機數，終端側的隨機數使用和網絡側同樣算法生成密鑰，然后對終端側的簽名信息進行認證，最后使用期密鑰對加密參數進行簽名；④終端側使用其密鑰對網絡側簽名進行認證，然后對加密參數進行簽名，網絡側使用其密鑰對終端側簽名進行認證；⑤當上述簽名認證都通過的時候，網絡側和終端側各自保存密鑰和隨機數，在后續數據的加密解密中使用。

上述過程中網絡側的密鑰生成后與報文頭、Nonce一起將明文數據進行CCM加密和鑒權，形成密文數據；在終端側生產相應的密鑰與報文頭、Nonce一起對密文數據進行解密。密文數據包括加密數據和鑒權信息。Nonce包括安全計數器、標識、終端側隨機數以及網絡側隨機數。Nonce為12個字節，其中0-3字節為安全計數器，第4字節為標識，第5-8字節為終端側隨機數，第9-12字節為網絡側隨機數；安全計數器關聯上行和下行用戶數據并控制消息；標識指示傳輸的數據方向和邏輯信道，是否可靠傳輸。具體包括傳輸方向字段、邏輯信號字段、可靠性字段以及數據負載字段，所述的傳輸方向字段、邏輯信號字段、可靠性字段以及數據負載字段分別對應比特位0位、1位、2位以及3位，4-7比特位為預留位；終端側隨機數，以及網絡側隨機數都是給加密過程服務的隨機數，隨機數通過雙向認證機制成對產生。

4 結語

本文將以居家老人綜合安全監測系統為研究實例，針對該系統設計一個基于入侵檢測系統的物聯網安全體系。該物聯網安全體系的設計主要是集中在主動式入侵檢測和物聯網數據通信加密兩大方面。將BP神經網絡算法引入到物聯網安全體系之中以提高其對入侵攻擊行為的檢測能力，并引入遺傳算法優化BP神經網絡算法最優解收斂問題。然后提出一種新型的物聯網數據通信加密方法對物聯網網絡通訊中的數據包內容進行加密，以切實地提高物聯網安全體系的整體防護能力。