物联网技术的广泛应用在给人们带来便利的同时也造成诸多安全问题,亟需建立完整且稳定的系统来确保物联网的安全,使得物联网对象间能够安全有效地通信,而入侵检测系统成为保护物联网安全的关键技术。随着机器学习和深度学习技术的不断发展,研究人员设计了大量且有效的入侵检测系统,对此类研究进行了综述。比较了现阶段物联网安全与传统的系统安全之间的不同;从检测技术、数据源、体系结构和工作方式等方面对入侵检测系统进行了详细分类;从数据集入手,对现阶段基于机器学习的物联网入侵检测系统进行了阐述;探讨了物联网安全的未来发展方向。
While the use of the Internet of things technology brings people convenience in life, it also brings many security problems. Therefore, a complete and robust system should be established to protect the security of the Internet of things,so that the objects of the Internet of things can communicate safely and effectively. The detection system has become a key technology to protect the security of the Internet of things. With the continuous development of machine learning and deep learning, researchers have designed a large number of effective intrusion detection systems. This paper reviews these studies. Firstly, the differences between the current Internet of things security and traditional system security are compared. Secondly, the intrusion detection system is classified in detail from the detection technology, data source, architecture and working methods. Thirdly, starting from the data set, the current stage of the Internet of things intrusion detection system based on machine learning is explained. Finally, the future development direction is discussed.
目前,物联网设备越来越智能,并且广泛应用于各种领域,如家庭、教育、娱乐、能源分配、金融、医疗、智能城市、旅游以及交通运输,简化了人们的日常生活和工作方式。然而,无论商届或者学界都在朝着商业化的潮流前进,却很少关注物联网设备的安全性,这样可能会危及到物联网用户,更严重甚至会导致生态系统失衡。例如,制造业的员工将感染了病毒的U盘插入机器;医院被恶意软件破坏的核磁共振成像机器,或是黑客引导输液泵注射致命剂量的药物,都将造成严重后果。根据文献可知,至2020年,网络犯罪破坏预算将达到每年60亿美元,并且有500亿物联网设备需要保护。物联网受到攻击后,不仅会影响物联网本身,还会影响包括网络、应用、社交平台以及服务器在内的完整生态系统,即在物联网系统中,只要破坏单个组件或通信通道,就可能会使部分或者整个网络瘫痪。因此,在关注物联网带来便利的同时,更需考虑物联网的脆弱性。
传统的安全解决方案已经覆盖了服务器、网络和云存储,这些解决方案大多可部署于物联网系统。其中,密码编码学作为保障信息安全的基础,通过密钥中心与传感器网络或其他感知网络的汇聚点进行交互,实现对网络中节点的密钥管理;对数据安全保护常用的办法有同态加密、密文检索等;其他安全技术如认证与访问控制机制、安全路由协议和网络态势感知与评估技术均为必不可少的安全解决方案。
事实上,物联网的多样性和异构性使得物联网系统安全不同于传统的系统安全。(1)越来越多的物理设备连接至无线网络,会将更多安全问题暴露于心术不正的人员,从而导致严重后果,如汽车或输液泵受到攻击,会导致人员伤亡。(2)物联网安全是一项特殊的挑战,表现为对手与以往不同,不再是图财或是制造麻烦的黑客,而是国家黑客系统,面对的是国家级别的网络战争。如2017年8月沙特一家化学工厂遭到黑客攻击,引发大面积爆炸,从而破坏了石油化工产品的生产。(3)物联网设备由不同公司生产,并最终拼凑完成,即便只存在一个薄弱环节,也可能产生漏洞,例如创建汽车通信系统的公司不更新软件,汽车将容易遭受攻击。(4)物联网设备所处的环境不同,例如居家生活中,无人将补丁及时推送至联网的冰箱;而在工业化环境,给机器打补丁意味着该机器需要停止工作,会造成一定的经济损失,而与损失带来的风险相比,黑客攻击的风险会低很多。因此,传统的系统安全技术已不再适用于新的物联网环境。
对此,研究人员将入侵检测系统(IntrusionDetectionSystem,IDS)引入物联网安全领域,并成为防御物联网安全威胁的关键技术。IDS作为一种积极主动的防御技术,利用软件和硬件结合的方式监控网络或系统,以识别恶意活动并立即发出警报,从而保护系统资源的完整性、私密性和可用性。近年来,随着人工智能和大数据的普及,深度学习、机器学习、可视化学习和强化学习等技术得到了广泛的应用,并且在图像识别、自然语言处理方面获得了巨大的成功。同时,在物联网安全领域,已经有大量的研究将入侵检测系统与人工智能技术结合,并获得了一定的成效。早期的入侵检测系统综述更侧重于传统的物联网安全技术,例如Maza等人的基于特征选择算法的入侵检测系统综述,Ring等人的基于网络的入侵检测系统综述,Glass-Vanderlan等人的基于主机的入侵检测系统综述,Buczak等人的基于网络威胁分类的入侵检测系统综述等。上述文献为研究人员提供了大量有价值的信息,但是随着物联网技术的不断发展,该技术领域也在不断地演化更新,而目前没有相关文献对现阶段最新的入侵检测技术进行总结。由此,本文对最新的基于机器学习的物联网入侵检测技术进行综述。
一、入侵检测系统分类
入侵检测技术是软件和硬件的结合,用于监控网络或系统以识别恶意活动并立即发出警报,从而保护系统资源的完整性、私密性和可用性。入侵检测技术与其他安全技术不同,它是一种积极主动的防御技术,可以有效防止未知攻击。可以如此形容入侵检测系统——假如防火墙为一幢大厦的门锁,那么入侵检测系统就是这幢大厦里的监控系统,一旦小偷进入了大厦,或内部人员有越界的行为,监控系统能够立即发出警报。因此,入侵检测系统应当“放置”在所关注流量数据必经的链路上。其系统架构如图1所示,事件产生器是从整个网络中获取事件,并将获取的事件提供给系统的其他部分;事件分析器是分析获取的事件,若发现异常,则通知响应单元;响应单元是对分析的结果做出相应的反应;事件数据库中存放过程数据。本文对入侵检测系统按照数据源、检测方法、工作方式和体系结构进行分类。具体分类框架如图2所示。
1.1 基于检测方法的分类
从检测方法的角度来看,入侵检测技术一般分为误用检测技术和异常检测技术。
二、基于机器学习的入侵检测系统
机器学习技术是从大量的历史数据中挖掘出其中隐含的规律,在网络安全领域,常用在基于异常的入侵检测,如图3所示。基于机器学习的入侵检测系统是在大规模、高宽带的互联网环境中,对网络进行实时监控的一种有效工具。同时,数据集也是入侵检测系统的关键,可以对入侵检测系统的性能进行验证。接下来首先对数据集进行简单介绍,再从数据集入手,对现阶段基于机器学习的物联网入侵检测系统进行阐述,最后比较每种技术的优点和不足。
2.1 入侵检测数据集
KDD99数据集是从一个模拟的美国空军局域网上采集的9个星期的网络连接和系统审计数据,它是目前最流行的入侵检测数据集,自1999年开始使用,但是它数据类型不平衡,导致结果总是偏向更频繁的数据。为了克服KDD99的局限性,NSL-KDD被创建出来,其数据分布平衡,不存在重复的数据,因此不会偏向更频繁的数据。但是NSL-KDD缺乏现阶段流行的攻击,因此又提出了UNSW-NB15数据集,它是由澳大利亚网络安全中心(ACCS)的网络安全实验室利用IXIAPerfectStorm工具创建,更接近真实世界网络的数据。还有一些较新的数据集,例如CICIDS2017等,如表2所示,这里不再进行过多的介绍。接下来将利用以上的数据集对入侵检测系统进行性能评估。
………………
基于机器学习的物联网入侵检测系统 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/p22XnUzLnpx 提取码: 56nl