[发明专利]基于分层入侵检测的传感网安全系统

说明书

技术领域

本发明涉及无线传感网安全技术领域，特别是一种分层入侵检测的安全系统。

背景技术

无线技术的飞速发展和日渐成熟，极大地改善了人们的生活质量，加快了社会发展的进程，也使信息共享及应用更加广泛和深入。无线传感网技术扩展了用户的自由度，具有网络结构方便、灵活、经济等特点，成为多个应用领域中迅速发展的热点技术之一，引领智能系统未来的发展方向。然而，这种自由同时也带来了新的挑战，安全问题已经成为制约无线网络技术应用普及的一个主要障碍。由于Internet本身安全机制较为脆弱，无线网络传输介质固有的开放性和移动设备存储资源及计算资源的局限性，特别是在工业现场恶劣的环境中，不仅要面对有线网络环境下的所有安全威胁，而且还要面对新出现的专门针对工业无线环境的安全威胁。

在无线网络中，数据传输是利用微波在空气中进行辐射传播，攻击者可以通过入侵网络，无线接入点所覆盖的任何位置，侦听、拦截、重放、破坏用户的通讯数据。在这些攻击中入侵攻击是一种最常见的、危害性最大的一种攻击。入侵攻击（Intrusion Attacks）包括拒绝服务攻击、泛洪攻击、Sybil攻击、Sinkhole攻击等。攻击者通过发送一个或多个报文，一方面可欺骗、改变路由信息，从而达到欺骗系统的目的，如选择重传攻击，Sybil攻击，Sinkhole攻击等，另一方面通过发送大量报文占用接收系统的资源，使系统的可用性受到损害，使整个网络混乱，如重放攻击，拒绝服务攻击、泛洪攻击等。这些攻击危害性极大，入侵检测技术是传感网安全技术的关键组成部分。无线传感网的入侵检测能力将直接影响整个网络总体上的信息安全、能量高效、容侵容错和高可用性等目标的实现，也将直接影响到传感网应用的安全性和可用性。

目前传感网对于入侵检测的研究主要是针对传感网协议本身，而对入侵攻击与传感器节点能耗的内在关系，从网络流量预测和分析入侵攻击与等方面确很少涉及。入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机入侵检测系统和基于网络的入侵检测系统，根据检测方法又可分为异常入侵检测和误用入侵检测。 误用入侵检测也称基于规则的入侵检测，它提取各类攻击的模式特征形成规则库，以便与值得怀疑的行为进行比较从而检测出攻击。显然，它仅能识别已知的攻击行为，对于规则库中没有的攻击或已有攻击的变种均无法识别，因此，存在一定的漏报。异常入侵检测也称基于行为或基于统计的入侵检测，它用于识别主机或网络中的与正常活动差异较大的异常行为，这种检测首先手机一定时期内的系统正常操作行为的历史数据，检测时将所获得的行为数据与正常的行为模式相比较，根据差异大小决定当前系统的行为是否异常，当这个差异定得不合适时，很可能将一个正常行为误认为是入侵行为，存在一定的误判。现有的一些方法，大都以简化边界条件为前提，没有考虑到无线传感网应用场合及复杂应用环境下，传感网节点的休眠机制会严重制约本地入侵检测的部署，使得网络中的入侵攻击的可能性高，潜藏着巨大的安全风险和安全隐患。这些研究试图将有线网络中的机制直接应用于无线传感网，没有考虑无线传感网自身特性和限制，这些现有检测机制并不能够在无线传感网的具体协议进行实现，其实用性及其有效性很难保证。

正因为如此，在详细研究入侵攻击实例的基础上，设计一种传感网分层入侵检测网络架构，并在此结构上构建一种入侵检测机制，从本地检测模块和全网监测的分层检测的角度设计本地入侵检测模块和第三方检测入侵检测模块，提出一种入侵检测方法，采取适合的安全措施和安全管理，保证无线传感网系统在开放的环境中能够安全地运行，保护网络内部的系统、资源和正常的通信秩序，是提高无线传感网安全的关键。

发明内容

本发明的目的就是提供一种基于分层入侵的传感网安全系统，它通过第三方入侵检测模块和本地入侵检测模块对无线传感网进行分层入侵检测，更加合理利用网络资源，提高网络性能，有效的实现网络的入侵检测，支持网络安全的通信处理，保障网络正常运行。

本发明的目的是通过这样的技术方案实现的，它包括有安全管理器、网络管理器、网关、路由设备和现场设备，所述系统还包括有本地入侵检测模块、分析仪入侵检测装置和全信道分析仪；

本地入侵检测模块，加载在网关、路由设备和现场设备上，监测传感网的数据包和数据流量，对网络中的入侵攻击上报至安全管理器；

全信道分析仪，监测整个无线传感网的数据流量信息，并将监测到的信息发送至分析仪入侵检测装置；