图片58

物联网安全入侵检测技术可分为异常检测(anomaly detection)和误用检测(misuse detection)。在普通模式下，异常检测提取了审计数据的数学特征，检查事件数据是否违反了异常模式。滥用检测是在审计事件数据中进行搜索，以确定其中是否有预先定义的滥用模式。为提高入侵检测的精确度，引入了数据挖掘。人工智能，遗传算法等技术。然而，入侵检测技术尚未达到最好的水平，目前尚有很多问题有待解决。

近年来，随着入侵检测的不断发展，研究者们又提出了一系列新的入侵检测技术，这些新技术不能简单地归结为误用检测和异常检测，而是提供了一些具有普遍性的分析技术。特别是在免疫系统基础上，提出了一种基于遗传算法和基于核心的检测方法。

1)检测以免疫系统为基础。

免疫力是一种保护生物免受病原菌侵害的系统，对病原菌及自身组织的检测非常精确，不仅能记住被感染的病原菌的特征，也能有效检测出未知病原体。免疫系统有多层保护.分布式检测。各部分相互独立，检测未知病原体的特征，而这正是计算机安全系统所急需的不足。

与入侵探测中的异常探测概念类似，免疫系统最重要的能力是识别自我(Self)和非我(Nonself)的能力。为此，研究者们从免疫学的角度来研究入侵检测问题。

2）遗传算法。

另外一种比较复杂的检测技术是将遗传算法应用于审计事件记录分析。通过引入达尔文在进化理论中提出的“自然选择”概念，遗传算法(evolutionary algorithms)的一种进化算法来优化系统。在需要优化的系统变量中对遗传算法进行编码，将其作为组成个体的“染色体”，利用相应的变异与组合，形成新的个体。

对于遗传算法的研究者来说，入侵检测过程可以抽象为：为审计记录定义一个矢量表示，这个矢量是一个攻击行为，或者是一个普通行为。提出了一种改进的矢量表示方法，并通过对矢量进行检验，提出了一种改进的矢量表示方法，并重复该方法直到获得满意的结果。

3)核心探测技术。

由于Linux在开源操作系统中的广泛应用，基于内核的检测技术成为入侵检测的一个新方向。这一方法的核心就是从操作系统层面去审视安全漏洞，并采取措施避免或消除安全隐患。本发明主要通过修改操作系统源代码或在内核中增加安全模块，对系统文件、进程等进行保护。