件系统进行相应的信息处理和管理等操作。需要说明的一点是，
接受到的信息先需要进行判断被识别出有用数据、垃圾数据和
恶意数据。应用层所面临的安全挑战首当其冲的就是面对海量
数据的识别和处理，处理的平台也可能是分布式的，如何分配
与协调并快速有效智能地处理数据也是需要考虑的问题。除此
之外，智能的自动处理过程也存在被攻击者绕过或篡改的隐患，
击。由于传感网的节点一般结构单一、资源较小且携带能源较低， 多对多的关系，避免系统因为一个网络代理失效而宕机。网络
容易遭受攻击导致节点崩溃甚至传感网瘫痪。
代理之间将形成层次结构，高层的网络代理负责将检测结果汇
1.2 网络层
总上报到控制台。
物联网网络层建立在现有通信网和互联网的基础上，综合 2.2 基于博弈论模型的入侵检测技术
使用现有通信技术，实现感知网与通信网的结合。该层的主要
在物联网感知层中 , 入侵检测系统不仅需要依靠其自身行
工作就是可靠地接收来自感知层的数据，再根据不同的应用需 为还应基于入侵者的行为采取相关的行动。入侵者和入侵检测
求进行处理。该层主要考虑安全威胁和安全架构问题就可以移 系统之间任一方的策略变化都会有可能导致另一方的策略发生
从而得到
( 公式 5)
据上所述，依据各种异常检测的值、入侵的先验概率以及 入侵时每种测量值的异常概率，能够判断出入侵攻击的概率。 为了检测结果的准确性，还需要考虑各个异常测量值 Bi 之间的 独立性，此时可以通过网络层中不同特征值的相关性分析，确 定各个异常变量与入侵攻击的关系 [8]。
2.4 基于机器学习的入侵检测技术
ZHANG Xin, YUAN Yu-yu
(School of Software Engineering, Beijing University of Posts and Telecommunications, Beijing 100876,China)
【Abstract 】 This article briefly describes the network security issues of the Internet of Things, and pointed out the necessity of intrusion detection. The current main three-tier structure is proposed in this aritcal and their respective security threats that may exist is analysed.Several intrusion detection technologies's application to the IoT is analysed and their application effects are compared. Finally the direction of the next stage of the research is given in the article.
入侵行为主要指任何试图破坏目标资源完整性、机密性和 可访问行的动作 [1]，是物联网安全防范研究所针对的主要方面。 传统的安全防御机制，如加密、身份认证等，相对比较被动， 不论如何升级更新，总会被入侵者找到其漏洞进行攻击。入侵 检测是近年来出现的一种较新的安全防御技术，可以相对主动 地为网络进行安全检测并采取相应的措施，从而在很大程度上 弥补了传统安全防御技术的不足。
输出，计算完成。
( 公式 1)
遗传算法只需要对少数结构进行搜索，加上群体的适应度
我们可以选取网络系统中不同方面的特征值（如网络中的 等信息，通过选择，交叉和变异，可以很快找到良好的解，即
异常请求数量或者系统中出错的数量），用 Bi 表示。通过测量 使解空间比较复杂。这样在网络层纷繁复杂的信息中可以及时
一旦自动过程正在被攻击或者已经被攻击而导致灾难，就应该 有相应的可控机制以保障能够即时有效的中断并自我保护，能 够从灾难中恢复。最后，在个人和商业信息都网络化的时代， 还需要对隐私信息建立起相应的安全保护机制。
2 入侵检测技术在物联网架构中的应用
图 1 基于博弈论的入侵检测系统架构 Fig. 1 Intrusion Detection System Architecture Based on Game Theory 分布部署在感知层网络终端上的入侵检测器会使用某种检 测手段审计网络数据以区别正常数据和攻击数据，将检测到的
入侵数据过滤简化汇总成数据报告提交给博弈模型。博弈模型 通过模拟攻防双方的互动行为并比对权衡检测结果和检测效率， 从而得出理论上的纳什均衡，IDS 决策中心依据此均衡结果做出 合理正确的响应策略。
2.3 基于贝叶斯推理的入侵检测技术
贝叶斯推理是由英国牧师贝叶斯发现的一种归纳推理方法， 作为一种推理方法，贝叶斯推理是从概率论中的贝叶斯定理扩 充 而 来。 贝 叶 斯 定 理 断 定： 已 知 一 个 事 件 集 Bi(i=1,2,...k) 中 每一 Bi 的概率 P(Bi)，又知在 Bi 已发生的条件下事件 A 的条件
甚至还可以将节点上被操控的标签和物品分离，并关联到别的 终端上。每一个网络终端上有多个检测代理对本机上发生的事
物体上。而网关节点同样存在被恶意操控的隐患，攻击者一旦 件进行监听。每一个终端上部署一个主机代理，其主要功能是
达到这个目的，就可以广播大量干扰信号以对网络造成持续性 管理相应终端上所有检测代理，负责检查检测代理的运行情况
网络系统中不同时刻的 Bi 变量值，设定 Bi 有变量有两个值，1 分辨出入侵攻击信息。
表示异常，0 表示正常。事件 A 用来表示系统正在受到攻击入侵。 2.5 基于物联网表示为 P(Bi=1/A) 和 P(Bi=1/ A)，那么在测定了每个 Bi 值的情况下，由贝叶斯定理可以得出 A 的可信度为：
植或参考现有的互联网安全研究成果。概括来说，网络层的安 全需求有数据的机密性、完整性、攻击的检测与预防等 [4]。
变化。 本文使用的基于博弈论的物联网入侵检测系统基本模型 [7]
1.3 应用层
如图 1 所示
应用层就是物联网的社会分工，与具体行业相结合，实现
广泛智能化。该层可靠的从网络中接收到信息，通过一些中间
关键词：物联网；网络安全；入侵检测；多代理；遗传算法
中图分类号： TP393
文献标识码：A
DOI：10.3969/j.issn.1003-6970.2012.11.044
Research of Intrusion Detection Technology Applying to Internet of Things
面对物联网中存在的安全威胁，有效的入侵检测技术须要 具有简单性、实时性和检测准确性。下面主要介绍一下目前应 用于物联网的入侵检测技术。
2.1 基于多代理的入侵检测技术
代理 Agent 是指在给定条件下具有独立逻辑处理能力、 可以持续运行的软件实体。Agent 具有自治性、移动性，并且 Agent 之间可以通过相互通信从而协作完成任务。根据物联网的 结构特点，我们考虑在感知层应用多代理的入侵检测技术，使 入侵检测系统具备减轻网络负载及延时，动态地适应网络变化
通过机器学习的方式实现入侵检测，其主要方法有归纳学 习，分析学习，类比学习，遗传算法等。遗传算法擅长解决的 问题是全局最优化问题，能够跳出局部最优而找到全局最优点。 而且遗传算法允许使用非常复杂的适应度函数（或者叫做目标 函数），并对变量的变化范围可以加以限制 [9]。在无确定规则的 指导下，能自适应的对搜索方向进行调整。遗传算法可按如下 步骤进行：
Dorothy E. Denning 在 他 的 论 文“An Intrusion-
Detection Model”中对入侵检测系统（IDS）模型进行了定义 [2]。 Denning 指出，入侵检测应通过对网络封包信息进行收集，并对 收集到的信息进行分析，检测潜在的入侵行为，并能够实时地 向系统管理人员发送警报，以提供相应的处理措施。因此，一 个典型的入侵检测系统（IDS）至少应该包括信息收集、分析检 测和报警相应等必要的功能。
作者简介：张馨（1987-），男，硕士研究生，软件测试与质量保证 通信联系人：袁玉宇，教授，博士生导师，国家软件标准化推广中心副主任，中国人工智能协会智能产品与产业工作委员会副主任，ISO/IEC JTC1 SC7 国际软件工程标准委员会中国代表团团长，ISO/IEC JTC1 SC7 WG6 工作组成员，第五届 IEEE 认知信息学国际会议委员会主席，中国 电子学会数据库专家委员会委员，主要研究方向：软件工程、软件质量、软件测试 .
【Key words】Internet of Things; Network security; intrusion detection; multiple proxies; genetic algorithm
0 引言
随着物联网的研究与应用越来越受到广泛的关注，物联网 的安全问题也日益凸显。由于物联网的应用将会涉及到军事、 民生、工商业等各个领域，其网络安全的重要性不言而喻。一 旦发生例如病毒破坏，黑客入侵，恶意代码攻击等问题，所造 成的危害及损失也将会比传统网络上的类似情况范围更广，影 响更大。而物联网又是在传统的计算机网络、无线传感网、移 动通讯网等网络的基础上建设而来的，由于这些网络本身所固 有的安全漏洞和脆弱性，使得物联网的网络信息安全也面临着 不小的挑战。因此，物联网安全防范技术的研究显得尤为重要。
161
张馨 等：入侵检测技术在物联网中的应用研究
概率 P(A|Bi)，就可得出在给定 A 已发生的条件下任何 Bi 的条 因是这么做可能收敛到局部的最佳点，而非整体的。
件概率 ( 逆概率 )P(Bi|A)。即：
4) 交叉和变异运算：通过交叉和变异改变该种群
5) 终止运算：将进化过程结束后得到的适应度最高的个体