陳 琳，李 勇，王 磊

(新疆輕工職業(yè)技術(shù)學(xué)院 信息與軟件分院，烏魯木齊 830021)

面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)設(shè)計與實現(xiàn)

陳 琳，李 勇，王 磊

(新疆輕工職業(yè)技術(shù)學(xué)院 信息與軟件分院，烏魯木齊 830021)

設(shè)計物聯(lián)網(wǎng)中的Sybil入侵防御系統(tǒng)，進行入侵檢測，保障物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全，針對當前入侵防御系統(tǒng)攔截準確性不好的問題，提出基于網(wǎng)絡(luò)入侵信號檢測和前饋調(diào)制濾波設(shè)計的物聯(lián)網(wǎng)Sybil入侵防御系統(tǒng)設(shè)計方法;首先進行Sybil入侵防御系統(tǒng)總體設(shè)計描述和功能分析，然后進行Sybil入侵信號檢測算法設(shè)計，最后完成面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)硬件設(shè)計和軟件開發(fā)，實現(xiàn)系統(tǒng)的集成設(shè)計;仿真測試表明，采用該系統(tǒng)進行物聯(lián)網(wǎng)中的Sybil入侵檢測的準確度較高，性能較好，具有較強的兼容性和友好性。

物聯(lián)網(wǎng)；入侵；檢測；防御；網(wǎng)絡(luò)安全

0 引言

隨著無線傳感器網(wǎng)絡(luò)通信技術(shù)和物聯(lián)網(wǎng)技術(shù)的發(fā)展，越來越多的應(yīng)用環(huán)境采用傳感器和無線通信設(shè)備終端進行數(shù)據(jù)傳輸和信息交流，構(gòu)成大型的物聯(lián)網(wǎng)通信系統(tǒng)，在物聯(lián)網(wǎng)組網(wǎng)環(huán)境下，由于物聯(lián)網(wǎng)節(jié)點的自組織性和廣分布性的特點，容易受到網(wǎng)絡(luò)的攻擊和病毒入侵，特別是Sybil入侵表現(xiàn)比較突出，Sybil入侵是利用物聯(lián)網(wǎng)感知層和中間層的通信鏈路漏洞進行病毒入侵，帶來網(wǎng)絡(luò)安全隱患。研究物聯(lián)網(wǎng)中的Sybil入侵下的入侵防御檢測問題，提高物聯(lián)網(wǎng)安全防范能力，在網(wǎng)絡(luò)安全和物聯(lián)網(wǎng)組網(wǎng)設(shè)計中具有重要的應(yīng)用價值，相關(guān)的入侵防御系統(tǒng)設(shè)計方法受到人們的極大重視[1-3]。

對面向物聯(lián)網(wǎng)的Sybil入侵防御和識別是建立在Sybil入侵下的信息特征提取和入侵信號檢測的基礎(chǔ)上，面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)是利用Sybil入侵信號的統(tǒng)計特征和高階譜聚焦特征，進行信號檢測識別，并結(jié)合高速數(shù)字信號處理芯片進行入侵防御系統(tǒng)的開發(fā)和設(shè)計，取得一定的研究成果，其中，文獻[4]提出一種基于APD最佳雪崩增益控制技術(shù)的物聯(lián)網(wǎng)Sybil入侵檢測系統(tǒng)設(shè)計方法，結(jié)合Emulator硬件開發(fā)環(huán)境實現(xiàn)對Sybil入侵檢測識別，對物聯(lián)網(wǎng)環(huán)境下的病毒入侵檢測的精度較高，但是該系統(tǒng)設(shè)計受到基線漂移的影響容易導(dǎo)致失真，在受到較大強度干擾下對Sybil入侵檢測的準確度不高；文獻[5]提出一種引入偏移量遞階控制的網(wǎng)絡(luò)入侵HHT檢測算法，使用AD公司一款高性能A/D芯片AD9225進行面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)的開發(fā)設(shè)計，通過AD采樣得到網(wǎng)絡(luò)入侵的偏移量特征，進行偏移控制，結(jié)合Hilbert-Huang變換實現(xiàn)病毒入侵檢測，實現(xiàn)網(wǎng)絡(luò)入侵防御系統(tǒng)優(yōu)化設(shè)計，取得了較好的檢測性能，但是該入侵防御系統(tǒng)的計算開銷較大，實時性不好[6-7]。針對上述問題，本文提出一種基于網(wǎng)絡(luò)入侵信號檢測和16位定點DSP內(nèi)核前饋調(diào)制濾波設(shè)計的物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)設(shè)計方法。首先進行Sybil入侵防御系統(tǒng)總體設(shè)計，然后進行了Sybil入侵信號檢測算法設(shè)計，最后進行了面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)硬件設(shè)計和軟件開發(fā)，實現(xiàn)系統(tǒng)的集成設(shè)計，通過仿真測試進行了性能驗證，展示了本文設(shè)計的入侵防御系統(tǒng)在入侵檢測中的優(yōu)越性能。

1 系統(tǒng)的總體設(shè)計描述與算法設(shè)計

1.1 面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)總體設(shè)計

為了實現(xiàn)對面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)優(yōu)化設(shè)計，首先構(gòu)建系統(tǒng)的總體結(jié)構(gòu)模型，物聯(lián)網(wǎng)路由鏈路層一種典型的AD Hoc組網(wǎng)，鏈路層結(jié)構(gòu)分別可以概括為：RNICODE和URI層、協(xié)議堆?？臻g層等，其中RNICODE和URI層構(gòu)成了物聯(lián)網(wǎng)的感知層和中間層，在感知層和中間層的鏈路漏洞中容易產(chǎn)生Sybil入侵，面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)通過網(wǎng)絡(luò)通信節(jié)點實現(xiàn)病毒入侵檢測，主要包括了濾波電路模塊、主控電路模塊、AD電路模塊和檢測模塊。其中，對病毒入侵檢測模塊是整個防御系統(tǒng)的核心單元，面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)采用的是嵌入式系統(tǒng)進行集成芯片開發(fā)和信息處理，采用無線通信技術(shù)進行數(shù)據(jù)傳輸和病毒入侵檢測，采用PCI總線技術(shù)進行數(shù)據(jù)采集，其時鐘頻率為33 MHz或66 MHz，采用32位或64位數(shù)據(jù)線進行電源供電。物聯(lián)網(wǎng)網(wǎng)絡(luò)包括4類基本實體對象：目標、觀測節(jié)點傳感節(jié)點和感知視場，因此在進行面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)開發(fā)設(shè)計中，需要通過配置中間件完成面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)的各種配置工作，例如路由配置、定位系統(tǒng)配置等[8-10]。在受到網(wǎng)絡(luò)攻擊或者能量消耗終止時，接受中斷請求，當硬件裝置或軟件指令請求中斷時，狀態(tài)寄存器ST1中發(fā)出中斷響應(yīng)信號/IACK，進行Sybil入侵檢測，根據(jù)上述總體設(shè)計思想描述和功能指標分析[11-13]，得到本文設(shè)計的面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)結(jié)構(gòu)框圖如圖1所示。

圖1 面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)結(jié)構(gòu)框圖

1.2 Sybil入侵檢測算法設(shè)計

在上述構(gòu)建了面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)的總體設(shè)計結(jié)構(gòu)模型的基礎(chǔ)上，進行系統(tǒng)的開發(fā)設(shè)計，Sybil入侵防御系統(tǒng)設(shè)計包括算法設(shè)計、硬件設(shè)計和軟件設(shè)計三大部分[14-15]，在此，首先進行Sybil入侵防御系統(tǒng)的算法設(shè)計，檢測算法在建立在信號處理算法基礎(chǔ)上的，通過對Sybil入侵信號模型構(gòu)建，結(jié)合信號特征提取和檢測算法，進行入侵檢測，在物聯(lián)網(wǎng)環(huán)境下，給出Sybil入侵的信號模型表達式為：

s(t)+jH[s(t)]

(1)

式中，s(t)稱為Sybil入侵信號z(t)的瞬時幅度，也稱為包絡(luò)；h(t)稱為頻域到時域的映射相位，Z(f)可由S(f)通過小波變換得到，H(f)為Sybil入侵信號的局部(或域)平穩(wěn)長度。Sybil入侵信號頻率分量是一組非平穩(wěn)隨機信號，信號的譜圖具有時變性和非線性。假設(shè)Sybil入侵的短的時間間隔定義為vm,m∈[1,n]。計算出Sybil入侵過程中各個不同時刻的功率譜寫作：

(2)

(3)

式中，f(t)為Sybil入侵信號的非平穩(wěn)態(tài)頻譜，ρ(a,b)為偽平穩(wěn)擴展函數(shù)，a為譜密度，b為時延參數(shù)。為了提高檢測性能，采用功率譜密度加權(quán)，加權(quán)系數(shù)b0=0，ck為合適的短時窗函數(shù)，采用合適的短時窗函數(shù)進行自適應(yīng)檢測，得到檢測輸出的功率譜密度特征為：

(4)

物聯(lián)網(wǎng)在受到攻擊下產(chǎn)生網(wǎng)絡(luò)波動跳變，采用偽平穩(wěn)隨機過程分析處理方法，得到檢測波束域為：

(5)

式中，F(xiàn)(ω)是f(t)傅立葉變換，常數(shù)cf稱為函數(shù)f(t)的波束高階累積特征函數(shù)。通過高階累積量特征提取，得到Sybil入侵特征的復(fù)包絡(luò)分別為：

(6)

y(t)=u(s(t-τ))exp(jωCs(t-τ))

(7)

式中，v表示滿足平穩(wěn)性的假設(shè)的指向性特征，u(t)為復(fù)包絡(luò)，ωC為能量密度。對于寬帶Sybil入侵信號，指向性增益為：

(8)

由此得到了Sybil入侵信號的波束指向性特征分解結(jié)果為：

(9)

采用盲源分離方法，進行時頻分布下的入侵檢測，在t時刻散射特性函數(shù)為：

(10)

化簡得：

(11)

2 系統(tǒng)設(shè)計與實現(xiàn)

2.1 Sybil入侵防御系統(tǒng)的硬件模塊化設(shè)計

在上述進行了Sybil入侵防御系統(tǒng)的總體設(shè)計和入侵檢測算法設(shè)計的基礎(chǔ)上，進行Sybil入侵防御系統(tǒng)的硬件設(shè)計和軟件開發(fā)，系統(tǒng)的模塊化設(shè)計主要包括了濾波電路模塊、主控電路模塊、AD電路模塊和檢測模塊。采用前饋調(diào)制濾波器進行Sybil入侵檢測特征匹配，構(gòu)建濾波器電路。

以面向物聯(lián)網(wǎng)的Sybil入侵信號為原始輸入，給出一種簡單的濾波器形式：

(12)

式中，N(z)是Sybil入侵防御系統(tǒng)的低通信道函數(shù)，它的零點在z=e±jω0處，D(z)為等效低通信道初始狀態(tài)，由濾波器的頻率參數(shù)a和帶寬參數(shù)r,確定前饋調(diào)制濾波器的起始頻率與初始相位為：

ω0=arccos(-a/2)

(13)

在各測量噪聲互不相關(guān)的情況下，通過加權(quán)，得到Sybil入侵檢測前饋濾波器高頻響應(yīng)特征函數(shù)為：

(14)

由此得到設(shè)計的Sybil入侵防御系統(tǒng)的前饋調(diào)制濾波器的傳遞函數(shù)為：

(15)

當滿足約束條件為:

(16)

得到的輸出響應(yīng)特征最大，此時能滿足Sybil入侵檢測的性能要求。根據(jù)上述設(shè)計，得到濾波電路如圖2所示。

圖2 防御系統(tǒng)的濾波電路

主控電路模塊是進行Sybil入侵防御檢測的控制模塊，采用的是16位定點DSP作為控制芯片，主控電路模塊具有8個32位定時器/計數(shù)器功能，采用ADG3301進行AD/DA轉(zhuǎn)換，通過交流耦合，采用PCI9054的LOCAL總線設(shè)計方法，進行面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)的數(shù)據(jù)采集，得到主控電路模塊如圖3所示。

圖3 主控電路模塊

AD電路模塊設(shè)計是Sybil入侵防御系統(tǒng)的數(shù)據(jù)采集部分，包括A/D轉(zhuǎn)換器AD7864兩片外部I/O設(shè)備，面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)A/D電路接口設(shè)計如圖4所示。

圖4 A/D電路接口設(shè)計

檢測模塊通過入侵檢測算法的程序加載，實現(xiàn)面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)內(nèi)部時鐘振蕩檢測和病毒入侵檢測，采用DSP數(shù)字信號處理芯片進行程序加載電路設(shè)計，程序加載是實現(xiàn)Sybil入侵檢測算法的程序?qū)懭氲墓δ埽嫦蛭锫?lián)網(wǎng)的Sybil入侵防御系統(tǒng)的復(fù)位電路從串行的TWI存儲器引導(dǎo)，選擇TWI存儲器進行位置信息存儲，實現(xiàn)入侵檢測。

2.2 軟件開發(fā)實現(xiàn)

在上述進行了面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)的硬件設(shè)計的基礎(chǔ)上，進行系統(tǒng)的軟件設(shè)計，Sybil入侵防御系統(tǒng)的軟件開發(fā)處理程序是在CCS2.20開發(fā)平臺下進行。采用C5409AXDS510Emulator仿真器進行硬件在線編程(Emulator)，實現(xiàn)對檢測算法的寫入和數(shù)據(jù)圖讀取，讀寫操作通過DMA控制器實現(xiàn)系統(tǒng)的程序驅(qū)動，在Sybil入侵防御檢測中，程序分成用戶態(tài)和內(nèi)核態(tài)，經(jīng)過匯編和鏈接生成.out文件，通過WDM驅(qū)動程序與底層硬件進行入侵防御檢測。

3 仿真實驗與結(jié)果分析

為了測試本文設(shè)計的面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)的性能，進行系統(tǒng)調(diào)試和仿真實驗，實驗中，檢測算法設(shè)計采用Matlab進行編程實現(xiàn)。Sybil入侵信號中心頻率測試為f0=1 000Hz，Sybil入侵數(shù)據(jù)信息的離散采樣率為fs=10*f0Hz=10kHz，串口控制的帶寬為B=1 000Hz。Sybil入侵防御系統(tǒng)的濾波器參數(shù)選擇為：φ=φ=0.5，中斷向量的階數(shù)為24，入侵檢測的迭代步長均為0.01，根據(jù)上述設(shè)計，運用WIN32 API函數(shù)CreateFile()函數(shù)打開PCI設(shè)備執(zhí)行檢測程序加載，實現(xiàn)對網(wǎng)絡(luò)入侵檢測仿真，得到面向物聯(lián)網(wǎng)的Sybil入侵信號檢測的原始數(shù)據(jù)時域波形如圖5所示。

圖5 物聯(lián)網(wǎng)數(shù)據(jù)采集原始數(shù)據(jù)波形

從圖可見，在受到網(wǎng)絡(luò)環(huán)境的干擾下，難以有效檢測到Sybil入侵信號，采用本文方法進行Sybil入侵檢測設(shè)計，得到網(wǎng)絡(luò)入侵檢測的信號分離結(jié)果如圖6所示。

圖6 Sybil入侵檢測的信號分離結(jié)果

從圖可見，采用本文方法進行Sybil入侵防御系統(tǒng)，能實現(xiàn)對入侵信息特征的準確分離，檢測準確度較高，抗干擾能力較強，為了對比性能，采用本文方法和傳統(tǒng)方法進行入侵防御，通過10000次試驗取均值，得到物聯(lián)網(wǎng)中信息傳輸?shù)膩G包率平均值如圖7所示。

圖7 性能對比

從圖7可見，采用本文方法進行Sybil入侵防御系統(tǒng)設(shè)計，嵌入式設(shè)計到物聯(lián)網(wǎng)中，進行數(shù)據(jù)傳輸，通過準確檢測到入侵信息，提高了網(wǎng)絡(luò)安全性能，降低了數(shù)據(jù)傳輸?shù)膩G包率。通過測試得知，本文設(shè)計系統(tǒng)具有較強的兼容性。

4 結(jié)束語

本文研究物聯(lián)網(wǎng)中的Sybil入侵下的入侵防御檢測問題，提高物聯(lián)網(wǎng)安全防范能力，提出一種基于網(wǎng)絡(luò)入侵信號檢測和16位定點DSP內(nèi)核設(shè)計的物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)設(shè)計方法。首先進行Sybil入侵防御系統(tǒng)總體設(shè)計描述和功能分析，進行了Sybil入侵信號檢測算法設(shè)計，采用C5409A XDS510 Emulator仿真器進行硬件在線編程，在CCS 2.20開發(fā)平臺下進行面向物聯(lián)網(wǎng)的Sybil入侵防御系統(tǒng)的軟件開發(fā)，實現(xiàn)系統(tǒng)的集成設(shè)計。測試結(jié)果表明，本文系統(tǒng)進行網(wǎng)絡(luò)防御性能較好，可靠穩(wěn)定。

[1] 陸興華,張曉軍.人員圖像跟蹤過程中多人交叉區(qū)域防丟失方法[J].計算機仿真,2014,31(9):243-246.

[2] 于 濤,胡炳樑,高曉惠,等.高光譜干涉圖像動態(tài)追蹤補償方法研究[J].光子學(xué)報,2016,45(7):716-723.

[3] 陸興華,吳恩燊,黃冠華.基于Android的智能家居控制系統(tǒng)軟件設(shè)計研究[J].物聯(lián)網(wǎng)技術(shù),2015,35(5):692-695.

[4] 張軍強,王汝傳,黃海平.基于分簇的無線多媒體傳感器網(wǎng)絡(luò)數(shù)據(jù)聚合方案研究[J].電子與信息學(xué)報,2014,36(1):8-14.

[5] 章武媚,陳慶章.引入偏移量遞階控制的網(wǎng)絡(luò)入侵HHT檢測算法[J].計算機科學(xué),2014,41(12):107-111.

[6] 周小娟.一種輕量級大數(shù)據(jù)分析系統(tǒng)的實現(xiàn)[J].電子設(shè)計工程,2016,23(8):40-43.

[7] 夏光輝,秦建軍,王大成.基于FPGA的雙CF卡數(shù)據(jù)采集系統(tǒng)設(shè)計[J].電子設(shè)計工程,2016,21(4):19-21.

[8] 馮 穎,張 合,張祥金,等.激光探測系統(tǒng)雪崩管實時補償研究[J].南京理工大學(xué)學(xué)報(自然科學(xué)版),2010,34(6):787-791.

[9] Choi J, Yu K, Kim Y. A New Adaptive Component-Substitution-based Satellite Image Fusion by Using Partial Replacement[J].IEEE Transactions on Geoscience and Remote Sensing,2011,49(1):295-309.

[10] 王躍飛,于 炯,魯 亮.面向內(nèi)存云的數(shù)據(jù)塊索引方法[J].計算機應(yīng)用,2016,36(5):1222-1227.

[11] 葛文杰,趙春江.農(nóng)業(yè)物聯(lián)網(wǎng)研究與應(yīng)用現(xiàn)狀及發(fā)展對策研究[J].農(nóng)業(yè)機械學(xué)報,2014,45(7):222-230.

[12] 楊 楠,李世國.物聯(lián)網(wǎng)環(huán)境下的智能產(chǎn)品原型設(shè)計研究[J].包裝工程,2014,21(6):55-58.

[13] 秦懷斌,李道亮,郭 理.農(nóng)業(yè)物聯(lián)網(wǎng)的發(fā)展及關(guān)鍵技術(shù)應(yīng)用進展[J].農(nóng)機化研究,2014,18(4):246-248.

[14] 荊孟春,王繼業(yè),程志華,等.電力物聯(lián)網(wǎng)傳感器信息模型研究與應(yīng)用[J].電網(wǎng)技術(shù),2014,38(2):532-537.

[15] 肖守偉, 姚凱學(xué), 何 勇. 基于物聯(lián)網(wǎng)的新型視頻監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)[J]. 計算機測量與控制, 2015, 23(10):3354-3356.

Design and Implementation of Sybil Intrusion Prevention System Based on Internet of Things

Chen Lin, Li Yong,Wang Lei

(Department of Information and Software, Xinjiang Institute of Light industry Technology,Urumqi 830021, China)

Design the Sybil intrusion defense system of Internet of things, intrusion detection, to protect the security of Internet of things network. Aiming at the problem of current intrusion defense system, suchas: the accuracy is not good, proposed a network intrusion signal detection and feedforward modulation filter design of IOT Sybil intrusion defense system design method. First Sybil intrusion defense system overall design description and function analysis, and then the Sybil intrusion signal detection algorithm is designed, the oriented networking Sybil intrusion defense system hardware design and software development, system integration design. Simulation tests show that the system is used in the Internet of things Sybil intrusion detection accuracy is higher, better performance, with strong compatibility and friendly.

Internet of things; intrusion; detection; defense; network security

2016-10-13；

2016-11-08。

2016年度新疆維吾爾自治區(qū)高校科研計劃項目(XJEDU2016I059)。

陳 琳(1964-)，男，浙江蘭溪人，碩士，副教授，主要從事網(wǎng)絡(luò)安全方向的研究。

1671-4598(2017)03-0180-04

10.16526/j.cnki.11-4762/tp.2017.03.049

TP393

A