［胡向東 熊文韜］

?

面向智能家居的入侵檢測方法研究

［胡向東 熊文韜］

摘要依托新興物聯(lián)網(wǎng)技術(shù)的智能家居面臨著用戶隱私泄露、測控指令截取與篡改等信

息安全風(fēng)險(xiǎn)。文章針對智能家居網(wǎng)絡(luò)特點(diǎn)及潛在安全問題，提出一種基于特征匹配和網(wǎng)絡(luò)流量統(tǒng)計(jì)分析的智能家居混合入侵檢測系統(tǒng)，特征匹配作用在智能家居節(jié)點(diǎn)、網(wǎng)關(guān)部分，該部分基本規(guī)則庫特征集的生成先采用K-means算法生成聚類，然后進(jìn)行PCA特征提取，在檢測過程中先對數(shù)據(jù)進(jìn)行PCA特征提取，選取歐氏距離最小的聚類中心，然后進(jìn)行特征匹配，相似度值超過閾值則匹配成功，判斷為合法或非法數(shù)據(jù)，否則進(jìn)行下一步。流量統(tǒng)計(jì)分析作用在智能家居服務(wù)器部分，選取合適的λ值，確定可信區(qū)間，主要針對能夠引起流量變化的攻擊。仿真結(jié)果表明：采用該方法可以有效提高智能家居網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測性能，提升物聯(lián)網(wǎng)智能家居系統(tǒng)的安全性。

關(guān)鍵詞：物聯(lián)網(wǎng)（IOT） 智能家居入侵檢測K-meansPCA統(tǒng)計(jì)分析

胡向東

現(xiàn)為重慶郵電大學(xué)教授，主要研究方向?yàn)榫W(wǎng)絡(luò)化測控及其信息安全，復(fù)雜系統(tǒng)建模仿真與優(yōu)化等。

熊文韜

現(xiàn)為重慶郵電大學(xué)碩士研究生，主要研究方向?yàn)槲锫?lián)網(wǎng)信息安全。

引言

作為物聯(lián)網(wǎng)技術(shù)的典型應(yīng)用之一，智能家居正在得到快速發(fā)展。人們在享受智能家居帶來的各種便利的同時(shí)，卻面臨著智能家居系統(tǒng)中所采用的無線傳感網(wǎng)（Wireless Sensor Networks，WSN）技術(shù)因通信開放性帶來的多種信息安全隱患，如節(jié)點(diǎn)假冒，非授權(quán)訪問，隱私泄露，系統(tǒng)測控指令的截取、篡改、偽造、重放或非法注入，拒絕服務(wù)等攻擊。這些攻擊將導(dǎo)致系統(tǒng)無法按照預(yù)定的功能正常運(yùn)行，并可能泄露用戶的隱私。因此，及時(shí)的發(fā)現(xiàn)智能家居網(wǎng)絡(luò)所遭受的攻擊并采取有效的應(yīng)對措施是十分必要的。入侵檢測屬于主動(dòng)防御是保障網(wǎng)絡(luò)安全的重要手段，它是指在盡量少的影響網(wǎng)絡(luò)性能的情況下，通過對入侵行為進(jìn)行檢測、分析，提高系統(tǒng)應(yīng)對外部威脅的能力。

近年來，許多國內(nèi)外專家、學(xué)者對物聯(lián)網(wǎng)智能家居安全進(jìn)行了研究，主要包括：（1）一種基于GSM的智能家居安全策略［1］，對智能家居的報(bào)警機(jī)制做了研究，但僅限于硬件控制層面；（2）一種基于嵌入式互聯(lián)網(wǎng)的智能家居安全防護(hù)系統(tǒng)［2］，對系統(tǒng)運(yùn)行中的硬件設(shè)計(jì)及安全防護(hù)做了研究，但未涉及其信息控制安全；（3）一種時(shí)間序列加密智能家居安全控制系統(tǒng)［3］，涉及人機(jī)交換的安全性，但不包括信息傳輸與控制安全，且對下位機(jī)的控制需要短信密碼確認(rèn)，存在不便利性；（4）一種基于國產(chǎn)SM4密碼算法的智能家居安全控制系統(tǒng)［4］，以加密方式進(jìn)行數(shù)據(jù)傳輸。這些研究都屬于被動(dòng)防御機(jī)制，能夠一定程度上提高智能家居網(wǎng)絡(luò)的安全性，但對于復(fù)雜多變的入侵行為，這些缺乏主動(dòng)防御手段的安全研究成果還不足以構(gòu)建起完備的智能家居安全解決方案。

智能家居入侵檢測方面的研究還較少。文獻(xiàn)［6］是一種無線智能家居傳感器網(wǎng)絡(luò)基于移動(dòng)代理的異常檢測方法，在網(wǎng)絡(luò)中設(shè)置中間件，檢測的主要是內(nèi)存資源豐富的簇頭節(jié)點(diǎn)等，檢測范圍小，局限性比較大。

本文提出一種基于特征匹配和網(wǎng)絡(luò)流量統(tǒng)計(jì)分析的智能家居入侵檢測系統(tǒng)，保證高檢測率的同時(shí)降低誤檢率，有效提升物聯(lián)網(wǎng)智能家居系統(tǒng)的安全性。

1　智能家居入侵檢測模型

1.1智能家居網(wǎng)絡(luò)整體系統(tǒng)

本系統(tǒng)模型中運(yùn)用到的傳感器節(jié)點(diǎn)數(shù)目相對較少，網(wǎng)絡(luò)節(jié)點(diǎn)的部署方式為確定性、靜態(tài)網(wǎng)絡(luò)，并采用星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

帶入侵檢測的安全智能家居系統(tǒng)構(gòu)成如圖1。在智能家居系統(tǒng)中，智能家居物聯(lián)網(wǎng)系統(tǒng)主要可以分為以下幾部分：

監(jiān)測節(jié)點(diǎn)，如煙霧探測器、可燃?xì)馓綔y器、溫濕度傳感器、光照傳感器、紅外傳感器、攝像頭等；

控制節(jié)點(diǎn)，如ZigBee（CC2530）等，保證傳感器或控制器與主節(jié)點(diǎn)和家用電器間的相互通信；

路由節(jié)點(diǎn)，主要用于信息路由和轉(zhuǎn)發(fā)，實(shí)現(xiàn)信息收集匯總；主路由節(jié)點(diǎn)，將路由節(jié)點(diǎn)的信息收集匯總，并與家居網(wǎng)關(guān)進(jìn)行信息交互；

家居網(wǎng)關(guān)，可用于過濾對網(wǎng)絡(luò)的訪問，是智能家居網(wǎng)絡(luò)的信息處理和存儲(chǔ)中心，實(shí)現(xiàn)人機(jī)交互和智能控制等；

報(bào)警響應(yīng)模塊，報(bào)警器等相關(guān)裝置，用于入侵與異常報(bào)警和處理；

用戶遠(yuǎn)程智能終端：智能手機(jī)、平板、PC等終端設(shè)備遠(yuǎn)程登陸智能家居系統(tǒng)，對智能家居系統(tǒng)各節(jié)點(diǎn)進(jìn)行控制。

圖1　帶入侵檢測的安全智能家居系統(tǒng)

本文選取ZigBee模塊作為智能家居物聯(lián)網(wǎng)的組網(wǎng)節(jié)點(diǎn)，模塊包括處理器CC2530（256k）、晶振電路、復(fù)位電路、電源、天線、傳感器模塊等。組網(wǎng)節(jié)點(diǎn)屬于微器件有非常小的存儲(chǔ)空間和代碼存放空間，且計(jì)算能力有限、用于安全相關(guān)的存儲(chǔ)空間非常有限［5］，這些硬件約束條件使得復(fù)雜的入侵檢測算法根本無法運(yùn)用。

針對物聯(lián)網(wǎng)智能家居網(wǎng)絡(luò)節(jié)點(diǎn)的硬件特點(diǎn)、約束條件和可能受到的攻擊，本文設(shè)計(jì)的入侵檢測方法如下：特征匹配算法，作用在節(jié)點(diǎn)和網(wǎng)關(guān)，主要針對的是外來系統(tǒng)或節(jié)點(diǎn)控制指令的發(fā)布、重放攻擊、非法指令等；網(wǎng)絡(luò)流量統(tǒng)計(jì)分析部分針對的是智能家居服務(wù)器，主要針對DOS攻擊等能夠引起流量明顯變化的攻擊類型。

1.2智能家居入侵檢測模型

本文設(shè)計(jì)了一種特征匹配和網(wǎng)絡(luò)流量統(tǒng)計(jì)分析的入侵檢測方法，該方法是把特征檢測和異常檢測相結(jié)合的新的混合檢測方法，其中特征匹配屬于特征檢測；網(wǎng)絡(luò)流量統(tǒng)計(jì)分析屬于異常檢測。模型如圖2。

圖2　智能家居混合入侵檢測模型

針對物聯(lián)網(wǎng)智能家居網(wǎng)絡(luò)節(jié)點(diǎn)的硬件特點(diǎn)、約束條件和可能受到的攻擊，該模型分為兩大塊，分別為智能家居節(jié)點(diǎn)、網(wǎng)關(guān)部分和智能家居服務(wù)器部分，各模塊的功能如下：

入侵檢測特征匹配：該模型的第一核心模塊，對數(shù)據(jù)進(jìn)行初步檢測，與基本規(guī)則庫進(jìn)行匹配得出結(jié)果，異常情況直接報(bào)警響應(yīng)，合法數(shù)據(jù)包直接丟棄，其他情況發(fā)給下一步；

基本規(guī)則庫：包含非法特征庫和合法特征庫兩個(gè)部分，非法特征庫中存儲(chǔ)的是已知的非法行為模板，凡是符合這個(gè)特征庫的行為都視為非法行為。合法特征庫中存儲(chǔ)的是己知的合法行為模板，凡是符合這個(gè)特征庫的行為都可視為合法行為。定期接收來自外部新特征更新庫的特征更新；

外部新特征更新庫：收集最新的匹配特征規(guī)則，包括入侵特征與合法特征，定期對基本規(guī)則庫進(jìn)行更新；

數(shù)據(jù)流量統(tǒng)計(jì)器：對網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，整個(gè)周期是一個(gè)固定周期的時(shí)間片，時(shí)間片結(jié)束就是一輪；

模塊系統(tǒng)時(shí)鐘：為數(shù)據(jù)流量統(tǒng)計(jì)器等提供時(shí)鐘信號；

異常情況存儲(chǔ)器：按照時(shí)間先后順序記錄前輪異常流量值；

檢測器：該模型的第二核心模塊，也是最重要的模塊。負(fù)責(zé)統(tǒng)計(jì)各時(shí)間片的網(wǎng)絡(luò)流量情況，與事先訓(xùn)練生成特征庫得出的可信區(qū)間比較，對網(wǎng)絡(luò)流量異常與否進(jìn)行判斷。

本模型通過上述七部分模塊協(xié)同作用，達(dá)到對智能家居網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)關(guān)、服務(wù)器的檢測和判定，其中基本規(guī)則庫和可信區(qū)間的建立至關(guān)重要，因?yàn)槎哧P(guān)系到入侵檢測的檢測速率和檢測準(zhǔn)確度。智能家居入侵檢測模型中前后兩部分之間相輔相成，在不同的位置，對數(shù)據(jù)進(jìn)行詳細(xì)檢測，提高檢測率，降低了漏檢率，有效的提升系統(tǒng)整體安全性的同時(shí)，對系統(tǒng)運(yùn)行效率影響較小。

1.3基本規(guī)則庫的建立

訓(xùn)練過程中將常見的入侵類型數(shù)據(jù)對象和合法類型數(shù)據(jù)對象數(shù)據(jù)先采用K-means算法對樣本進(jìn)行聚類，經(jīng)過k次迭代之后，樣本內(nèi)的數(shù)據(jù)被聚成k類，使得各聚類內(nèi)部的數(shù)據(jù)相似度最大，類間數(shù)據(jù)的相似度最小。然后，對各聚類分別使用PCA分析進(jìn)行降維處理，根據(jù)降維后的主成分在樣本中對應(yīng)的維度提取特征，生成該聚類的特征集作為基本規(guī)則庫中存儲(chǔ)的特征用于入侵檢測進(jìn)行特征匹配。規(guī)則庫的建立與該部分檢測模型如圖3。

2　智能家居入侵檢測算法

2.1基本規(guī)則庫生成—基于K-means聚類與PCA算法

智能家居無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)和網(wǎng)關(guān)是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)，但該部分計(jì)算能力有限、存儲(chǔ)空間較小制約復(fù)雜入侵檢測算法的應(yīng)用，硬件特點(diǎn)和約束條件以及面臨的威脅使得該部分只能采用一種輕量級入侵檢測方法，本文方案中的基本規(guī)則庫采用基于K-means聚類與PCA主成分析算法并通過優(yōu)化得到，檢測方案采用特征匹配的方法。

K-means一種基于距離的聚類算法［20］，相似性評價(jià)指標(biāo)為歐氏距離，對數(shù)據(jù)集，我們將其看作若干個(gè)簇，簇由距離靠近的對象組成，每一個(gè)簇就是一個(gè)聚類，相同簇中對象之間的距離越小，相似度就越大，使用K-means聚類算法就是將所有對象按相似度聚類，并計(jì)算每一類的聚類中心。

K-means聚類算法每個(gè)數(shù)據(jù)經(jīng)過k次迭代，k為聚類中心個(gè)數(shù)，對于一個(gè)樣本Y，歐氏距離最小的聚類中心通過公式（1）得到，并以最后得到的k個(gè)聚類中心為數(shù)據(jù)的最優(yōu)聚類中心。

其中，d（i，j）表示對象i和對象j之間的距離，分別為i與j在k維上的數(shù)據(jù)。

K-means聚類算法的工作流程如下：

（1）選取k個(gè)對象作為初始聚類中心；

（2）計(jì)算其他對象到聚類中心的距離；

（3）根據(jù)最小距離原則重新劃分?jǐn)?shù)據(jù)對象；

（4）重新計(jì)算每個(gè)聚類的均值作為新的聚類中心；

（5）重復(fù)直到不再發(fā)生變化。

對于初始數(shù)據(jù)集進(jìn)行K-means聚類以后，將具有相似特征的數(shù)據(jù)集合到了一起，然后在此基礎(chǔ)上使用PCA進(jìn)行分析和處理，達(dá)到降維目的，從而減少不必要特征的影響。

PCA［21］是一種降維算法，在面對較為復(fù)雜的系統(tǒng)和大量數(shù)據(jù)時(shí)，可以將其包含的無用信息去除，保留必要的信息。將PCA算法運(yùn)用到入侵檢測規(guī)則庫建立中，可以有效的減少系統(tǒng)處理的特征數(shù)量，從而縮短檢測時(shí)間。PCA算法描述如下：

2.2智能家居節(jié)點(diǎn)和網(wǎng)關(guān)特征匹配部分

智能家居節(jié)點(diǎn)和網(wǎng)關(guān)特征匹配部分的基本規(guī)則庫特征集，分為合法特征集和非法特征集。兩個(gè)庫分別將智能家居網(wǎng)絡(luò)常見的合法行為和非法行為的基本屬性進(jìn)行聚類并提取特征。檢測過程如圖3 ，工作流程如下：

（1）對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行PCA特征提取，這樣有利于減少數(shù)據(jù)特征數(shù)量為特征匹配減少能量開銷和縮短匹配時(shí)間；

（2）與基本規(guī)則庫特征集的中心數(shù)據(jù)進(jìn)行歐氏距離的比較，對數(shù)據(jù)進(jìn)行聚類定位；

（3）定位完成后找到基本規(guī)則庫特征子集進(jìn)行特征匹配；

（4）特征匹配以相似度為標(biāo)準(zhǔn)，匹配成功則執(zhí)行相應(yīng)響應(yīng)或通過操作，其他類型則進(jìn)行下一步檢測。

智能家居網(wǎng)絡(luò)節(jié)點(diǎn)和網(wǎng)關(guān)由于其運(yùn)算能力有限，資源受限，復(fù)雜的入侵檢測算法無法應(yīng)用在網(wǎng)絡(luò)中。本文充分考慮智能家居網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)關(guān)部分硬件特點(diǎn)和約束條件，通過K-means聚類和PCA特征提取生成基本規(guī)則庫特征集，使得計(jì)算開銷降低，資源占有量減小，對于待檢測數(shù)據(jù)先進(jìn)行PCA特征提取，后進(jìn)行特征匹配，在減少不必要時(shí)間和能量開銷的同時(shí)，計(jì)算量也得到降低。

2.3智能家居服務(wù)器流量統(tǒng)計(jì)分析部分

智能家居服務(wù)器，由于其不同于節(jié)點(diǎn)、網(wǎng)關(guān)，擁有較強(qiáng)的計(jì)算和存儲(chǔ)能力，能夠處理較大的數(shù)據(jù)，故本文選取服務(wù)器流量值作為統(tǒng)計(jì)分析的對象。

整個(gè)智能家居服務(wù)器部分，定義一個(gè)時(shí)間周期為一個(gè)固定時(shí)長的時(shí)間片，一個(gè)時(shí)間周期簡稱為一輪。異常數(shù)據(jù)存儲(chǔ)器是一個(gè)遞增函數(shù)，初值為0，在第一輪開始時(shí)清零，發(fā)現(xiàn)一個(gè)異常流量值就編號計(jì)1，并且統(tǒng)計(jì)流量值大小與出現(xiàn)的時(shí)間，異常流量存儲(chǔ)器里面的數(shù)據(jù)稱為異常值。

數(shù)據(jù)流量統(tǒng)計(jì)器按照時(shí)間先后順序記錄下n輪不為0的流量值，記為：。對于，本文進(jìn)行如下運(yùn)算：

式（1）表示對前n輪的流量值求和；式（2）表示對流量值求平均數(shù)；式（3）表示對n輪數(shù)樣本值取樣本估算標(biāo)準(zhǔn)偏差。

求得樣本估算標(biāo)準(zhǔn)偏差以后，將根據(jù)標(biāo)準(zhǔn)偏差設(shè)置正常情況的可信區(qū)間，本文設(shè)置為。當(dāng)?shù)谳喌牧髁恐禃r(shí)，檢測器就判斷該輪網(wǎng)絡(luò)中有入侵行為發(fā)生，同時(shí)異常情況存儲(chǔ)器記錄此次的異常流量值；當(dāng)時(shí)，檢測器判定為正常流量值。

（4）式可化解成如下：

3　仿真實(shí)現(xiàn)和性能測試

3.1仿真平臺(tái)環(huán)境與實(shí)驗(yàn)說明

仿真環(huán)境在英特爾Core i3-3240 （雙核）3.40GHz，內(nèi)存4 GBytesDDR3 SDRAM，Windows 7旗艦版的PC機(jī)上進(jìn)行。用Matlab仿真平臺(tái)構(gòu)造智能家居網(wǎng)絡(luò)入侵檢測模型進(jìn)行性能評估。

整個(gè)仿真模擬節(jié)點(diǎn)都默認(rèn)為互為鄰居節(jié)點(diǎn)，惡意節(jié)點(diǎn)模擬攻擊。第二部分的初始一段時(shí)間為訓(xùn)練階段，對模擬網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行采樣，再進(jìn)行統(tǒng)計(jì)分析，得出可信區(qū)間，檢測器通過得出的可信區(qū)間進(jìn)行判斷。仿真實(shí)驗(yàn)的入侵模型為能夠引起流量變化的DOS（Denial of Service）攻擊。通過直接重放數(shù)據(jù)集的流量值大小進(jìn)行第二部分模擬實(shí)驗(yàn)?？尚艆^(qū)間訓(xùn)練參數(shù)如表1。

表1　可信區(qū)間訓(xùn)練參數(shù)表

檢測數(shù)據(jù)集為KDDCUP99［11］入侵檢測數(shù)據(jù)集，該數(shù)據(jù)集可分為訓(xùn)練數(shù)據(jù)（有標(biāo)識）和測試數(shù)據(jù)（無標(biāo)識），數(shù)據(jù)集的類型分為Normal、DOS、Probing、R2L、U2R五種，每個(gè)數(shù)據(jù)含有41個(gè)特征，具體標(biāo)識情況如表2所示。KDD-CUP99原式數(shù)據(jù)集較大，不便于處理操作，故本文選擇在10%的訓(xùn)練集（kddcup.data_10_percent.gz）中隨機(jī)抽取10000個(gè)，將其訓(xùn)練成基本規(guī)則庫特征集，對10%測試集（kddcup.newtestdata.unlabeled_10_ percent.gz）進(jìn)行檢測來評價(jià)本文方法的性能。

按照 KDDCUP99 原始數(shù)據(jù)集中各類攻擊所占比例隨機(jī)地從 10%測試集中選擇 950 條記錄得到各組測試數(shù)據(jù)，其中 Normal、DOS、Probing、R2L、U2R 分別為 300、300、300、20、30 條記錄，用于性能測試；本文將入侵行為的檢測率、誤檢率、漏檢率用來評價(jià)算法的性能。三者定義為

表2　KDDCUP99數(shù)據(jù)集標(biāo)識類型

3.2仿真性能分析

3.2.1智能家居節(jié)點(diǎn)和網(wǎng)關(guān)部分

智能家居節(jié)點(diǎn)和網(wǎng)關(guān)部分特征匹配算法是通過K-means聚類算法對初始訓(xùn)練集進(jìn)行聚類，然后通過PCA特征提取降維生成基本規(guī)則庫，而這一操作的關(guān)鍵之一就是k值的選擇。本文對比了不同k值與基本規(guī)則庫生成時(shí)間之間的關(guān)系，如圖4，由圖可知時(shí)間隨k值的增大呈增加趨勢，k值越大，系統(tǒng)計(jì)算時(shí)間就越長，對應(yīng)計(jì)算量也增大。經(jīng)過多次實(shí)驗(yàn)對比發(fā)現(xiàn)：k=10，此時(shí)能取得良好的聚類時(shí)間和效果，不會(huì)出現(xiàn)剪影值過低、聚類不精確的現(xiàn)象，結(jié)合智能家居網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)資源有限等約束條件，本文取k=10。

圖4　k值與基本規(guī)則庫生成時(shí)間關(guān)系

Richard Lippmann代表性評估檢測結(jié)果［21］如表3，本文將以此作為對比。本文對測試數(shù)據(jù)的檢測結(jié)果如圖5、圖6、圖7。通過多次實(shí)驗(yàn)測試，本文選取相似度閾值為0.85，若得到檢測數(shù)據(jù)相似度值大于或者等于0.85則認(rèn)為該數(shù)據(jù)與基本規(guī)則庫特征集相似度大，匹配成功，與合法特征集匹配成功則為合法，與非法特征集匹配成功則為非法；反之，則匹配失敗數(shù)據(jù)進(jìn)行下一步檢測。

表3　Richard Lippmann評估檢測結(jié)果［21］

圖5　Normal數(shù)據(jù)誤檢率

圖6　DOS數(shù)據(jù)檢測率

圖7是對Probing數(shù)據(jù)進(jìn)行檢測的結(jié)果圖，由圖可知，300個(gè)數(shù)據(jù)中檢測出297個(gè)數(shù)據(jù)，故檢測率為99%，而Richard Lippmann評估檢測結(jié)果只有82%。

綜上所述，本文在基本規(guī)則庫特征集的生成上采用K-means聚類算法產(chǎn)生聚類，然后通過PCA特征提取進(jìn)行降維，檢測過程中先對數(shù)據(jù)進(jìn)行PCA特征提取，從而達(dá)到保持較好性能的同時(shí)，對系統(tǒng)資源占用較小，仿真結(jié)果表明在Normal誤檢率、DOS數(shù)據(jù)及Probing數(shù)據(jù)檢測率上有了較大改善。

圖7　Probing數(shù)據(jù)檢測率

3.2.2智能家居服務(wù)器部分

智能家居服務(wù)器流量統(tǒng)計(jì)分析部分的仿真結(jié)果如圖8、圖9、圖10。本文提出方案的關(guān)鍵是入值的選取，這個(gè)關(guān)系到實(shí)驗(yàn)的準(zhǔn)確性，本文選取1、1.5、2、2.5這四個(gè)入值作為對比。該部分主要應(yīng)對DOS攻擊等能夠引起流量值變化的攻擊，故實(shí)驗(yàn)?zāi)MDOS攻擊。

圖8　入值對檢測率的影響

圖8對比了不同的入值對檢測率的影響，由圖可知，入值越大，可信區(qū)間越寬，檢測率在相同的DOS攻擊強(qiáng)度下越低，而隨著DOS攻擊強(qiáng)度的增加，檢測率都是整體呈現(xiàn)增長趨勢的。

圖9　值對誤檢率的影響

圖10對比了不同的入值對漏檢率的影響，由圖可知，入值越小，可信區(qū)間越窄，漏檢率在相同的DOS攻擊強(qiáng)度下越低，而隨著DOS攻擊強(qiáng)度的增加，漏檢率都是呈現(xiàn)下降趨勢的。

圖10　值對漏檢率的影響

綜上所述，智能家居服務(wù)器部分運(yùn)用統(tǒng)計(jì)分析得出的可信區(qū)間，而值選取成為本方案的關(guān)鍵。選取合適的值來確定可信區(qū)間，使得檢測率在一個(gè)較高水平，誤檢率在一個(gè)較低水平，漏檢率也維持低水平，達(dá)到最優(yōu)組合，是保證智能家居服務(wù)器部分入侵檢測性能的關(guān)鍵。

4　結(jié)束語

隨著物聯(lián)網(wǎng)技術(shù)的推廣，智能家居的普及，智能化的生活方式令人期待，然而我們在享受便利的同時(shí)，迫切需要為智能家居網(wǎng)絡(luò)引入入侵檢測系統(tǒng)，以確保其安全。

本文提出了面向智能家居的混合入侵檢測模型，分為：節(jié)點(diǎn)和網(wǎng)關(guān)部分、智能家居服務(wù)器部分。針對節(jié)點(diǎn)、網(wǎng)關(guān)部分特點(diǎn)，采用K-means聚類算法和PCA特征提取的方法，生成基本規(guī)則庫特征集，同時(shí)檢測時(shí)先對待測數(shù)據(jù)集進(jìn)行PCA特征提取，仿真結(jié)果表明：在對系統(tǒng)運(yùn)行產(chǎn)生較小影響的情況下，有效的提高了整個(gè)智能家居網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)關(guān)應(yīng)對一些常見威脅的能力；智能家居服務(wù)器部分采用流量統(tǒng)計(jì)分析的方案，得出可信區(qū)間，實(shí)驗(yàn)結(jié)果表明：合適的λ能夠使得檢測率在一個(gè)很高的水平，而誤檢率和漏檢率都在一個(gè)較低的水平。

參考文獻(xiàn)

1陳帥，鐘先信，劉積學(xué)等.基于GPRS的智能家居安全監(jiān)控［J］.計(jì)算機(jī)測量與控制，2011，（02）:326-328

2Yang X，Zhang Y，Zhao R.Study and design of home intelligent system based on embedded internet［C］//Embedded Software and Systems Symposia，2008.ICESS Symposia’08.International Conference on.IEEE，2008: 344-349

3鄧彬偉，李超.時(shí)間序列加密智能家居安全控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.電子產(chǎn)品世界，2012，（09）:33-35

4胡向東，韓愷敏，許宏如.智能家居物聯(lián)網(wǎng)的安全性設(shè)計(jì)與驗(yàn)證［J］.重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2014，4:171-176

5胡向東，魏琴芳，向敏.物聯(lián)網(wǎng)安全［M］.北京: 科學(xué)出版社，2012:53-54

6劉帥，朱俊杰，馬振燕.無線傳感器網(wǎng)絡(luò)中基于統(tǒng)計(jì)異常的入侵檢測［J］.火力與指揮控制，2009，7: 129-132

7Usman M，Muthukkumarasamy V，Wu X W，et al.Wireless smart home sensor networks: mobile agent based anomaly detection［C］//Ubiquitous Intelligence & Computing and 9th International Conference on Autonomic & Trusted Computing （UIC/ATC），2012 9th International Conference on.IEEE，2012: 322-329

8Karl of C，Wagner D.Secure routing in wireless sensor networks: attacks and countermeasures［C］//In: First IEEE International Workshop on Sensor Network Protocols and Applications.Anchorage，2003

9Hettich S，Bay S D.KDD cup 1999 data ［EB/OL］.［2014-09-23］.http://kdd.ics.uci.edu/databases/kdd-cup99/kddcup99.html

10Jianliang M，Haikun S，Ling B. The application on intrusion detection based on k-means cluster algorithm［C］//Information Technology and Applications，2009.IFITA’09.International Forum on.IEEE，2009，1: 150-152

11Richard L，Joshua W H.The 1999 Darpa off-line intrusion detection evaluation ［J］.Computer Networks，2000，34（4）: 579-595

DOI:10.3969/j.issn.1006-6403.2016.05.003

收稿日期：（2016-2-24）