葉小波

(廣東科學(xué)技術(shù)職業(yè)學(xué)院 教務(wù)部，廣東 珠海 519090)

0 引言

物聯(lián)網(wǎng)是以傳統(tǒng)電信網(wǎng)絡(luò)和應(yīng)用互聯(lián)網(wǎng)為基礎(chǔ)，構(gòu)建的新型信息承載體平臺，可以將具有獨立尋址能力的普通對象節(jié)點連接起來，從而在主機(jī)端模塊中形成完整的互聯(lián)網(wǎng)絡(luò)。隨著物聯(lián)網(wǎng)運行速率的加快，網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)信息樣本的實時累積量也會不斷增大，而其中所夾雜的風(fēng)險性信息則會對其他數(shù)據(jù)文本造成攻擊影響。因此，精準(zhǔn)檢測攻擊節(jié)點所在位置，并對其進(jìn)行定向化捕獲，是保障物聯(lián)網(wǎng)運行穩(wěn)定性的必要條件。

文獻(xiàn)[1]系統(tǒng)利用邏輯程序軟件，判斷攻擊性節(jié)點對于數(shù)據(jù)信息樣本的承載能力，再通過多次對比已定義節(jié)點與周圍區(qū)域性節(jié)點組織之間差異性的方式，來判斷節(jié)點對象大致所屬區(qū)域。文獻(xiàn)[2]系統(tǒng)借助OpenFlow軟件，將節(jié)點對象與數(shù)據(jù)樣本匹配起來，根據(jù)NC原則，判斷攻擊性節(jié)點對象在網(wǎng)絡(luò)環(huán)境中所處運行位置。然而上述兩種系統(tǒng)均不能精準(zhǔn)檢測攻擊性節(jié)點位置信息，無法滿足執(zhí)行后續(xù)捕獲處理指令的定向性需求。

物聯(lián)網(wǎng)和嵌入式存在密不可分的關(guān)系，物聯(lián)網(wǎng)就是嵌入式產(chǎn)品的網(wǎng)絡(luò)化。嵌入式系統(tǒng)是由軟件、硬件部分共同組成的應(yīng)用體系平臺，具有獨立運行能力。其軟件部分的組成情況相對較為簡單，只包括基礎(chǔ)運行環(huán)境與操作程序；硬件部分則包括處理器、通信模塊、存儲器等多個運行結(jié)構(gòu)，可以在核心主機(jī)的調(diào)度下，響應(yīng)終端平臺發(fā)出的程序指令[3]。相較于常規(guī)的計算機(jī)處理系統(tǒng)，嵌入式系統(tǒng)雖然沒有配置大容量的數(shù)據(jù)存儲介質(zhì)，但卻可以借助多個開放的API接口組織，實現(xiàn)對運行數(shù)據(jù)的轉(zhuǎn)存與處理。ASG技術(shù)的核心執(zhí)行目的就是對蠕蟲特征的提取過程進(jìn)行自動化處理，從而在抑制蠕蟲數(shù)據(jù)轉(zhuǎn)發(fā)速率的同時，增強(qiáng)網(wǎng)絡(luò)體系的運行穩(wěn)定性[4]。為避免蠕蟲數(shù)據(jù)在網(wǎng)絡(luò)體系中占據(jù)大量存儲空間，在實施信息計算之前，必須準(zhǔn)確定義每一個蠕蟲對象的傳輸特征，特別是在執(zhí)行指令轉(zhuǎn)發(fā)任務(wù)之前，必須確保已定義對象樣本準(zhǔn)確轉(zhuǎn)存至目標(biāo)數(shù)據(jù)庫主機(jī)之中。基于上述分析，設(shè)計基于嵌入式及ASG技術(shù)的物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)。

1 物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)硬件設(shè)計

物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)硬件設(shè)計，包括對數(shù)據(jù)報文捕獲模塊、數(shù)據(jù)報文解析模塊、報文處理模塊等多個硬件應(yīng)用結(jié)構(gòu)的設(shè)計，本章節(jié)將針對具體設(shè)計方法展開研究，基于嵌入式及ASG技術(shù)設(shè)計物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)結(jié)構(gòu)圖

在圖1中，通過API接口組織轉(zhuǎn)存數(shù)據(jù)信息，該結(jié)構(gòu)利用數(shù)據(jù)報文捕獲模塊、數(shù)據(jù)報文解析模塊、報文處理模塊、攻擊檢測與定位模塊和節(jié)點調(diào)試模塊對數(shù)據(jù)樣本進(jìn)行處理，為建立防御機(jī)制、實現(xiàn)檢測奠定基礎(chǔ)。

1.1 數(shù)據(jù)報文捕獲模塊

數(shù)據(jù)報文捕獲模塊的實現(xiàn)主要借助Libpcap主機(jī)中的物聯(lián)網(wǎng)信息調(diào)度函數(shù)，整個執(zhí)行過程較長，需要多個設(shè)備元件的共同配合。NULL芯片負(fù)責(zé)提取物聯(lián)網(wǎng)主機(jī)中存儲的數(shù)據(jù)信息樣本，并借助輸出信道組織，將這些信息參量按需分配至下級負(fù)載節(jié)點，由于每一個節(jié)點對象都對應(yīng)一個獨立的數(shù)據(jù)庫主機(jī)，所以在捕獲數(shù)據(jù)報文的過程中，并不會出現(xiàn)信息錯傳、誤傳的現(xiàn)象[5]。ProcessPkt芯片具有較強(qiáng)的信息處理與信息辨別能力，可以對Libpcap主機(jī)捕獲到的數(shù)據(jù)樣本進(jìn)行初步分類，在處理過程中，來源于攻擊性節(jié)點的信息參量會被存儲于嵌入式數(shù)據(jù)庫設(shè)備中，而來源于常規(guī)節(jié)點的信息參量則可以經(jīng)由信道傳輸組織，在系統(tǒng)核心數(shù)據(jù)庫設(shè)備中形成長期記憶文件，以供檢測主機(jī)的直接調(diào)取與利用。在物聯(lián)網(wǎng)體系中，數(shù)據(jù)樣本傳輸行為具有明顯的方向性，所以為避免信息回傳行為的出現(xiàn)，每一個目標(biāo)節(jié)點都只能與一個獨立數(shù)據(jù)庫主機(jī)保持對應(yīng)連接關(guān)系[6]。數(shù)據(jù)報文捕獲模塊結(jié)構(gòu)如圖2所示。

圖2 數(shù)據(jù)報文捕獲模塊

在物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)中，數(shù)據(jù)報文捕獲模塊只負(fù)責(zé)采集信息樣本，故為維持系統(tǒng)的穩(wěn)定運行能力，所采集到的數(shù)據(jù)參量還必須隨著信息流進(jìn)入下級應(yīng)用模塊之中。

1.2 數(shù)據(jù)報文解析模塊

數(shù)據(jù)報文解析模塊對于物聯(lián)網(wǎng)信息樣本的處理遵循的操作原則如圖3所示。

圖3 物聯(lián)網(wǎng)數(shù)據(jù)報文解析格式

為使系統(tǒng)檢測主機(jī)能夠?qū)粜怨?jié)點對象進(jìn)行精準(zhǔn)捕獲，數(shù)據(jù)報文解析模塊對于信息樣本的處理主要遵循如下四類原則：

1)CRC型：模塊主機(jī)首先獲取數(shù)據(jù)報文的目標(biāo)地址，并根據(jù)源地址編碼結(jié)果，判斷數(shù)據(jù)信息所屬類型，將完成解析的數(shù)據(jù)對象定義為樣本信息，并為其添加.CRC后綴描述。

2)IP數(shù)據(jù)包：作為物聯(lián)網(wǎng)環(huán)境中的主要數(shù)據(jù)類型，模塊主機(jī)對其進(jìn)行的前期解析處理行為與.CRC型數(shù)據(jù)樣本相同，但在完成數(shù)據(jù)打包處理后，則必須將原樣本與報文捕獲模塊所記錄的數(shù)據(jù)樣本進(jìn)行對比。

3)RARP請求/應(yīng)答：模塊主機(jī)所能解析處理的主要數(shù)據(jù)報文類型，存儲模式相對較為單一，在檢測系統(tǒng)中的傳輸行為需要多個應(yīng)用節(jié)點的共同配合[7-8]。

4)節(jié)點填充信息：對于數(shù)據(jù)報文解析模塊而言，已提取到數(shù)據(jù)樣本中節(jié)點填充信息的含量越大，就表示模塊主機(jī)在單位時間內(nèi)所需處理的數(shù)據(jù)樣本越多，因此該類型信息參量實際存儲情況直接影響系統(tǒng)主機(jī)對于物聯(lián)網(wǎng)節(jié)點攻擊性行為的檢測與捕獲處理能力。

1.3 報文處理模塊

在報文處理模塊中，系統(tǒng)主機(jī)將直接根據(jù)解析模塊執(zhí)行結(jié)果來判斷當(dāng)前樣本是否符合實際檢測需求。如果當(dāng)前報文屬于攻擊性報文類別，則直接將其丟棄，同時將該類型信息收入系統(tǒng)黑名單之中，并再次捕獲其他信息樣本，以避免其對系統(tǒng)主機(jī)造成二次攻擊[9]。在實現(xiàn)報文處理的過程中，對于可能發(fā)生的物聯(lián)網(wǎng)節(jié)點IP錯亂問題，系統(tǒng)主機(jī)可以按照報文處理模塊運行原理進(jìn)行處理，如圖4所示。

圖4 報文處理模塊運行原理

圖4中，報文處理模塊主要有SYN設(shè)備和UDP設(shè)備，通過判斷攻擊性報文、攻擊源地址、響應(yīng)時間、黑名單等信息處理報文。發(fā)生IP錯亂問題時，同一類型數(shù)據(jù)報文的攻擊性等級、源地址信息等屬性條件都會發(fā)生錯亂，而SYN設(shè)備、UDP設(shè)備的存在，則可以在正式執(zhí)行檢測指令之間，對已發(fā)生屬性錯亂的信息樣本進(jìn)行復(fù)原處理。SYN設(shè)備、UDP設(shè)備作為報文處理模塊的核心組成結(jié)構(gòu)，對于報文捕獲模塊采集到的數(shù)據(jù)樣本，可以同時判斷其攻擊性等級、源地址信息、響應(yīng)時間等屬性條件[10]。SYN設(shè)備的運行等級較高，在單位時間內(nèi)所能處理的數(shù)據(jù)報文也就相對較多；UDP設(shè)備的運行等級較低，但由于其響應(yīng)速率較快，故而在單位時間內(nèi)可以對捕獲到的數(shù)據(jù)報文進(jìn)行多次識別。

1.4 攻擊檢測與定位模塊

攻擊檢測與定位模塊是包含兩條執(zhí)行路徑的硬件應(yīng)用結(jié)構(gòu)，檢測部分確定物聯(lián)網(wǎng)節(jié)點所捕獲信息樣本的攻擊性能力，定位部分負(fù)責(zé)對已捕獲數(shù)據(jù)所處位置進(jìn)行精準(zhǔn)定位。

1)攻擊檢測部分：模塊體系攻擊檢測能力的實現(xiàn)需借助Check主機(jī)。在物聯(lián)網(wǎng)環(huán)境中，數(shù)據(jù)信息經(jīng)由捕獲模塊、解析模塊、處理模塊進(jìn)入該模塊體系之中，其所包含攻擊性信息對于網(wǎng)絡(luò)節(jié)點的影響能力已經(jīng)減弱。但對于核心網(wǎng)絡(luò)執(zhí)行設(shè)備而言，任何細(xì)小的攻擊性行為都有可能導(dǎo)致系統(tǒng)運行出現(xiàn)偏差，故而該條執(zhí)行路徑的最主要運行職能就是為物聯(lián)網(wǎng)節(jié)點提供絕對安全的數(shù)據(jù)信息樣本[11]。

2)攻擊定位部分：定位部分作為檢測部分的下級附屬結(jié)構(gòu)，不具備捕獲數(shù)據(jù)信息樣本的能力，且該部分運行設(shè)備不與報文處理模塊建立數(shù)據(jù)互傳關(guān)系，其內(nèi)部運行的所有信息全部來自模塊體系內(nèi)的上級執(zhí)行結(jié)構(gòu)[12]。由于信息樣本在模塊內(nèi)傳輸依然存在一定程度的損耗，所以在設(shè)置攻擊定位子模塊時，要設(shè)置一個具有輸出能力的數(shù)據(jù)庫主機(jī)，以用于補充被攻擊檢測子模塊消耗的信息參量。

1.5 節(jié)點調(diào)試模塊

當(dāng)物聯(lián)網(wǎng)節(jié)點的位置發(fā)生變化時，節(jié)點調(diào)試模塊能夠精準(zhǔn)感知到該變化，并能夠及時更新攻擊檢測與定位模塊中的數(shù)據(jù)報文特征，如信息接收強(qiáng)度、信息目標(biāo)傳輸區(qū)域等。運行檢測指令時，核心檢測主機(jī)與物聯(lián)網(wǎng)接入點間距離的變化可能會導(dǎo)致數(shù)據(jù)報文存儲格式發(fā)生變化[13]。該模塊在面對上述問題時，采取零散布局物聯(lián)網(wǎng)節(jié)點的方式，為數(shù)據(jù)報文提供一個相對廣泛的傳輸空間，使其在節(jié)點與節(jié)點之間的連接不受任何束縛，即便是在攻擊性信息、非攻擊性信息混雜的情況下，這些數(shù)據(jù)樣本的源地址信息也不會改變，這也是該模塊的最主要運行目的。具體的節(jié)點調(diào)試模塊連接結(jié)構(gòu)如圖5所示。

圖5 節(jié)點調(diào)試模塊結(jié)構(gòu)簡圖

由圖5可以看出，通過AP過濾裝置、數(shù)據(jù)分辨器、節(jié)點聚合器、Json節(jié)點處理器、JDBC調(diào)試設(shè)備五部分組成了節(jié)點調(diào)試模塊的運行閉環(huán)。數(shù)據(jù)報文在Json節(jié)點處理器、JDBC調(diào)試設(shè)備之間來回反饋時，數(shù)據(jù)分辨器根據(jù)主要判別依據(jù)，確定當(dāng)前捕獲信息的攻擊作用能力，若其行為能力過強(qiáng)，則經(jīng)由AP過濾裝置再次回到節(jié)點調(diào)試模塊的前端運行部分，跟隨未檢測數(shù)據(jù)報文進(jìn)行再次反饋傳輸；若其行為能力符合系統(tǒng)主機(jī)的檢測需求，節(jié)點聚合器對這些數(shù)據(jù)報文進(jìn)行打包處理，并將其回傳至物聯(lián)網(wǎng)節(jié)點之中[14]。

2 嵌入式物聯(lián)網(wǎng)的基礎(chǔ)防御機(jī)制

物聯(lián)網(wǎng)防御機(jī)制對攻擊性數(shù)據(jù)報文起到了一定的抵御作用，為實現(xiàn)系統(tǒng)主機(jī)對于攻擊性節(jié)點的精準(zhǔn)捕獲與檢測，完善防御機(jī)制構(gòu)建原則，按照嵌入式物聯(lián)網(wǎng)的運行需求，完成加密、解密、秘鑰管理與檢測節(jié)點認(rèn)證。

2.1 加密、解密與秘鑰管理

加密、解密、秘鑰管理是3個完全獨立的處理流程。加密就是借助密碼模板定義物聯(lián)網(wǎng)檢測信息的編碼格式；解密的執(zhí)行流程則與加密完全相反，但兩者對于物聯(lián)網(wǎng)檢測信息的處理遵循統(tǒng)一的密碼模板；秘鑰管理就是在物聯(lián)網(wǎng)環(huán)境中開辟獨立空間，以用于編寫密碼模板[15-16]。物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)對于加密、解密、秘鑰管理表達(dá)式的求解滿足如下公式。

加密表達(dá)式：

(1)

解密表達(dá)式：

(2)

秘鑰管理表達(dá)式：

(3)

2.2 節(jié)點認(rèn)證

節(jié)點認(rèn)證就是系統(tǒng)主機(jī)基于加密、解密與秘鑰管理思想所制定的防御機(jī)制考核原則，對于嵌入式物聯(lián)網(wǎng)體系而言，數(shù)據(jù)報文捕獲模塊所提取到的信息不具有針對性，隨著系統(tǒng)主機(jī)的持續(xù)運行，這些信息樣本會傳輸至各個網(wǎng)絡(luò)節(jié)點之中，這也增加了針對性檢測指令的執(zhí)行難度[17-18]。而節(jié)點認(rèn)證原則可以有效避免上述問題的出現(xiàn)，處理數(shù)據(jù)報文捕獲模塊所提取到的信息樣本之前，系統(tǒng)主機(jī)將能夠承擔(dān)攻擊性風(fēng)險的節(jié)點對象挑選出來，并對其進(jìn)行重點檢測，不但可以避免攻擊性信息的擴(kuò)散，還能夠大大增強(qiáng)嵌入式物聯(lián)網(wǎng)體系對于攻擊性行為的防御能力。對于節(jié)點認(rèn)證定義式的推導(dǎo)滿足式(4)：

(4)

3 基于ASG技術(shù)的檢測指令實現(xiàn)方法

為增強(qiáng)物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)的精準(zhǔn)檢測能力，還需要在ASG技術(shù)的支持下，收集并檢測嵌入式物聯(lián)網(wǎng)環(huán)境中的蠕蟲樣本，計算其分發(fā)特征的具體數(shù)值。

3.1 基本蠕蟲檢測

實現(xiàn)ASG技術(shù)的第一步就是實施蠕蟲檢測，只有所收集到攻擊性蠕蟲信息的實例足夠多，才能以此為基礎(chǔ)制定物聯(lián)網(wǎng)主機(jī)所遵循的檢測執(zhí)行指令[19-20]。規(guī)定d1、d2、…、dn表示n個隨機(jī)選取的蠕蟲行為特征，其定義式如下：

(5)

式中，γ1、γ2、…、γn為n個不相等的ASG執(zhí)行系數(shù)，g1、g2、…、gn為隨機(jī)選取的蠕蟲信息實例標(biāo)記參數(shù)。

根據(jù)式(4)、式(5)，可將基于ASG技術(shù)的基本蠕蟲檢測表達(dá)式定義為：

(6)

其中：f為節(jié)點規(guī)劃系數(shù)，φ為蠕蟲行為在物聯(lián)網(wǎng)環(huán)境中的嵌入式特征，φ為蠕蟲樣本定義特征。

在嵌入式物聯(lián)網(wǎng)環(huán)境中，為準(zhǔn)確捕獲節(jié)點攻擊行為，必須正確發(fā)現(xiàn)所有隱藏的蠕蟲行為。衡量系統(tǒng)主機(jī)所執(zhí)行檢測指令是否具備可行性，應(yīng)針對蠕蟲行為特征進(jìn)行甄別，以此精準(zhǔn)捕獲攻擊性信息。

3.2 蠕蟲樣本收集

根據(jù)基本蠕蟲檢測標(biāo)準(zhǔn)，選定一個關(guān)鍵蠕蟲信息，并針對該信息進(jìn)行針對性運算的處理環(huán)節(jié)就是對蠕蟲樣本的收集。系統(tǒng)主機(jī)對于物聯(lián)網(wǎng)節(jié)點攻擊行為的捕獲與檢測必須遵循ASG技術(shù)原理，而判斷所收集到蠕蟲樣本能否滿足檢測嵌入式物聯(lián)網(wǎng)節(jié)點的應(yīng)用需求，才是捕獲攻擊性信息樣本的基礎(chǔ)環(huán)節(jié)[21-22]。在集合空間中選定一個關(guān)鍵檢測參量j，對其取值范圍進(jìn)行約束如式(7)所示：

(7)

(8)

若ιj>νj成立，表示攻擊性信息樣本累積量大于非攻擊性信息樣本，利用ASG技術(shù)檢測蠕蟲行為時，應(yīng)利用相關(guān)硬件應(yīng)用設(shè)備對物聯(lián)網(wǎng)信息參量進(jìn)行多次捕獲。

3.3 特征生成與分發(fā)處理

特征生成與分發(fā)處理就是根據(jù)蠕蟲樣本收集結(jié)果，將必要檢測特征提取出來，再遵循ASG技術(shù)應(yīng)用原則，將這些信息樣本反饋至系統(tǒng)主機(jī)中，以供其制定運行所需的捕獲處理與檢測執(zhí)行指令[23-24]。設(shè)m1、m2、…、mn表示物聯(lián)網(wǎng)節(jié)點中n個已經(jīng)生成的蠕蟲行為特征，b1、b2、…、bn表示與蠕蟲行為特征匹配的信息分發(fā)系數(shù)，聯(lián)立式(8)，推導(dǎo)物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)的特征生成與分發(fā)處理表達(dá)式為：

(9)

在不考慮其他干擾條件的情況下，聯(lián)合相關(guān)軟、硬件應(yīng)用結(jié)構(gòu)，完成基于嵌入式及ASG技術(shù)的物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)設(shè)計，具體設(shè)計步驟如圖6所示。

圖6 基于嵌入式及ASG技術(shù)設(shè)計物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)

由圖6可知，通過API接口組織轉(zhuǎn)存數(shù)據(jù)信息，利用數(shù)據(jù)報文捕獲模塊捕獲節(jié)點攻擊數(shù)據(jù)，采用數(shù)據(jù)報文解析模塊、報文處理模塊、攻擊檢測與定位模塊和節(jié)點調(diào)試模塊對數(shù)據(jù)樣本進(jìn)行處理，采用加密、解密與秘鑰管理機(jī)制和節(jié)點認(rèn)證機(jī)制完成基礎(chǔ)的網(wǎng)絡(luò)防御，檢測蠕蟲后收集蠕蟲樣本，生成樣本特征，提取必要特征后完成檢測。

4 實驗分析

4.1 實驗設(shè)置

為驗證基于嵌入式及ASG技術(shù)的物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)的有效性，利用如表1所示的實驗設(shè)備選型搭建如圖7所示的物聯(lián)網(wǎng)實驗環(huán)境。

表1 實驗設(shè)備選型

圖7 物聯(lián)網(wǎng)實驗環(huán)境

圖7中，應(yīng)用UTX-3117雙網(wǎng)口設(shè)備為物聯(lián)網(wǎng)邊緣智能網(wǎng)關(guān)，將實驗數(shù)據(jù)輸入至TL-WDN5200H網(wǎng)卡中，再傳輸?shù)?4HC595PW寄存器和i7-13700K 13處理器中，完成信息反饋，將最終數(shù)據(jù)輸出到SQL數(shù)據(jù)庫中。

由于TL-WDN5200H網(wǎng)卡不能自主控制數(shù)據(jù)樣本的輸入與輸出行為，所以實驗過程中必須通過人工干預(yù)的方式，控制數(shù)據(jù)樣本的傳輸方向。

將文獻(xiàn)[1]系統(tǒng)和文獻(xiàn)[2]系統(tǒng)作為對比系統(tǒng)，分析三組不同檢測系統(tǒng)作用下，物聯(lián)網(wǎng)主機(jī)對于攻擊性信息樣本的定向化捕獲與處理能力。

4.2 實驗步驟

物聯(lián)網(wǎng)主機(jī)對于攻擊性節(jié)點位置信息的檢測準(zhǔn)確性由數(shù)據(jù)樣本檢測長度、攻擊性強(qiáng)度標(biāo)記值兩個指標(biāo)共同決定。

首先，搭建如圖6所示的物聯(lián)網(wǎng)實驗環(huán)境，分別利用所設(shè)計系統(tǒng)、文獻(xiàn)[1]系統(tǒng)、文獻(xiàn)[2]系統(tǒng)，對主機(jī)元件所捕獲到的信息樣本進(jìn)行檢測；

其次，分別記錄三組不同檢測系統(tǒng)作用下，數(shù)據(jù)樣本檢測長度與攻擊性強(qiáng)度標(biāo)記值指標(biāo)的具體數(shù)值；

再次，按照式(10)，對所得數(shù)據(jù)進(jìn)行運算；

(10)

式中，η為檢測精準(zhǔn)度，σ1為數(shù)據(jù)樣本實際長度，σ2為數(shù)據(jù)樣本檢測長度，ξ為攻擊性強(qiáng)度標(biāo)記值。

最后，統(tǒng)計所得計算結(jié)果，總結(jié)實驗規(guī)律。

4.3 實驗結(jié)果

基于上述實驗設(shè)置和實驗步驟，得到三組不同檢測系統(tǒng)作用下，數(shù)據(jù)樣本的實際長度與檢測長度如圖8所示。

圖8 數(shù)據(jù)樣本長度

由圖8可知，在檢測過程中，所設(shè)計系統(tǒng)檢測的數(shù)據(jù)樣本長度與實際樣本長度一致，證明所設(shè)計系統(tǒng)的檢測能力更佳，而文獻(xiàn)[1]系統(tǒng)和文獻(xiàn)[2]系統(tǒng)檢測的數(shù)據(jù)樣本長度與實際樣本長度存在一定的偏差，檢測能力還需進(jìn)一步提升。

得到三組不同檢測系統(tǒng)作用下，攻擊性強(qiáng)度標(biāo)記值的實驗結(jié)果如圖9所示。

圖9 攻擊性強(qiáng)度標(biāo)記值

在圖9中，所設(shè)計系統(tǒng)的攻擊性強(qiáng)度標(biāo)記值與實際數(shù)值的數(shù)據(jù)重合，證明所設(shè)計系統(tǒng)對攻擊性強(qiáng)度的標(biāo)記更加準(zhǔn)確，檢測效果更好。而文獻(xiàn)[1]系統(tǒng)和文獻(xiàn)[2]系統(tǒng)對攻擊性強(qiáng)度的標(biāo)記值較低，且與實際數(shù)據(jù)的差距較大，檢測效果還需加強(qiáng)。

物聯(lián)網(wǎng)主機(jī)對于攻擊性節(jié)點所在位置的檢測精確性，決定了該網(wǎng)絡(luò)對于攻擊性信息樣本的定向化捕獲與處理能力，通常情況下，檢測精準(zhǔn)度大于95%，表示網(wǎng)絡(luò)體系對于攻擊性信息樣本的定向化捕獲與處理能力較強(qiáng)。選擇圖7中的最大值實驗結(jié)果，并對應(yīng)該結(jié)果，確定當(dāng)前情況下，攻擊性強(qiáng)度標(biāo)記指標(biāo)的具體數(shù)值，按照式(10)，對所設(shè)計系統(tǒng)、文獻(xiàn)[1]系統(tǒng)、文獻(xiàn)[2]系統(tǒng)的檢測精準(zhǔn)度進(jìn)行計算，得到三組不同檢測系統(tǒng)作用下的檢測精準(zhǔn)度對比結(jié)果如表2所示。

表2 三組不同檢測系統(tǒng)的檢測精準(zhǔn)度對比結(jié)果

根據(jù)表2可知，當(dāng)實驗次數(shù)達(dá)到40次時，文獻(xiàn)[1]系統(tǒng)和文獻(xiàn)[2]系統(tǒng)的平均檢測精準(zhǔn)度分別為89.2%和92.4%，而所設(shè)計系統(tǒng)的平均檢測精準(zhǔn)度高達(dá)96.7%。由此可知，所設(shè)計系統(tǒng)的檢測精確性較高。

實驗結(jié)論：文獻(xiàn)[1]系統(tǒng)、文獻(xiàn)[2]系統(tǒng)的檢測精準(zhǔn)度均未達(dá)到95%，因此，這兩類系統(tǒng)并不滿足定向化處理物聯(lián)網(wǎng)攻擊信息的實際應(yīng)用需求；而所設(shè)計系統(tǒng)的檢測準(zhǔn)確度達(dá)到了96.7%，能夠精準(zhǔn)檢測攻擊性節(jié)點所處位置，并對其實施定向化捕獲處理。

5 結(jié)束語

本文設(shè)計了物聯(lián)網(wǎng)節(jié)點捕獲攻擊檢測系統(tǒng)，在ASG技術(shù)的支持下，針對嵌入式物聯(lián)網(wǎng)主機(jī)不能精準(zhǔn)檢測攻擊性節(jié)點所在位置的問題進(jìn)行改進(jìn)，聯(lián)合解析模塊、節(jié)點調(diào)試模塊等多個硬件應(yīng)用設(shè)備，在建立完整防御機(jī)制的同時，收集蠕蟲樣本，并對其分發(fā)特征進(jìn)行計算。從實驗結(jié)果可以看出，這種新型檢測系統(tǒng)的應(yīng)用，可以大幅提升物聯(lián)網(wǎng)主機(jī)對于攻擊性節(jié)點信息的檢測準(zhǔn)確性，在定向化捕獲數(shù)據(jù)樣本并對其進(jìn)行深入檢測方面，具有突出應(yīng)用價值。