入侵检测在物联网上的应用

入侵检测的研究可以追溯到JamesPAnderson在1980年的工作，他首次提出了“威胁”等术语，这里所指的“威胁”与入侵的含义基本相同，将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问企图，致使系统不可靠或无法使用。1987年DorothyE Denning首次给出一个入侵检测的抽象模型，并将入侵检测作为一个新的安全防御措施提出。1988年，Morris蠕虫事件加快了对入侵检测系统(IDS:Intrusion Detection System)的开发研究。
一、目前IDS存在的缺陷
入侵检测系统作为网络安全防护的重要手段，有很多地方值得我们进一步深入研究。目前的IDS还存在很多问题，有待于我们进一步完善。
1高误警(误报)率
误警的传统定义是将良性流量误认为恶性的。广义上讲，误警还包括对IDS用户不关心事件的告警。因此，导致IDS产品高误警率的原因是IDS检测精度过低以及用户对误警概念的拓展。
2产品适应能力低
传统的IDS产品在开发时没有考虑特定网络环境的需求，千篇一律。网络技术在发展，网络设备变得复杂化、多样化，这就需要入侵检测产品能动态调整，以适应不同环境的需求。
3大型网络的管理问题
很多企业规模在不断扩大，对IDS产品的部署从单点发展到跨区域全球部署，这就将公司对产品管理的问题提上日程。首先，要确保新的产品体系结构能够支持数以百计的IDS传感器;其次，要能够处理传感器产生的告警事件;此外，还要解决攻击特征库的建立，配置以及更新问题。
4缺少防御功能
检测，作为一种被动且功能有限的技术，缺乏主动防御功能。因此，需要在下一代IDS产品中嵌入防御功能，才能变被动为主动。
5评价IDS产品没有统一标准
　对入侵检测系统的评价目前还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断升级才能保证网络的安全性。
6处理速度上的瓶颈
随着高速网络技术如ATM、千兆以太网等的相继出现，如何实现高速网络下的实时入侵检测是急需解决的问题。目前的百兆、千兆IDS产品的性能指标与实际要求还存在很大的差距。
二、下一代IDS系统采用的技术
为了降低误警率、合理部署多级传感器、有效控制跨区域的传感器，下一代入侵检测产品需要包含以下关键技术。
　1智能关联
智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合，从而减少误警。如系统的脆弱性信息需要包括特定的 *** 作系统(OS)以及主机上运行的服务。当IDS使用智能关联时，它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞，IDS将抑制告警的产生。
智能关联包括主动关联和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助 *** 作系统的指纹识别技术，即通过分析IP、TCP报头信息识别主机上的 *** 作系统。下面将详细介绍指纹识别技术。
(1)IDS有时会出现误报(主机系统本身并不存在某种漏洞，而IDS报告系统存在该漏洞)
这种现象的原因是当IDS检测系统是否受到基于某种漏洞的攻击时，没有考虑主机的脆弱性信息。以针对Windows *** 作系统的RPC攻击为例，当网络中存在RPC攻击时，即使该网络中只有基于Linux的机器，IDS也会产生告警，这就是一种误报现象。为了解决这个问题，需要给IDS提供一种基于主机信息的报警机制。因此新一代IDS产品利用被动指纹识别技术构造一个主机信息库，该技术通过对TCP、IP报头中相关字段进行识别来确定 *** 作系统(OS)类型。
(2)被动指纹识别技术的工作原理
被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息，另一个是特征数据库中的目标主机信息，通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口大小(Windowsize)、数据报存活期(TTL)、DF(don tfragment)标志以及数据报长(Totallength)。
窗口大小(wsize)指输入数据缓冲区大小，它在TCP会话的初始阶段由OS设定。多数UNIX *** 作系统在TCP会话期间不改变它的值，而在Windows *** 作系统中有可能改变。
数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值代表不同的OS，TTL=64，OS=UNIX;TTL=12，OS=Windows。DF字段通常设为默认值，而OpenBSD不对它进行设置。
数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中，不同的数据报长代表不同的 *** 作系统，60代表Linux、44代表Solaris、48代表Windows2000。
IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的 *** 作系统。如TTL=64，初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此，(TTL，wsize)就可以作为特征库中的一个特征信息。
(3)被动指纹识别技术工作流程
具有指纹识别技术的IDS系统通过收集目标主机信息，判断主机是否易受到某种漏洞的攻击，从而降低误报率。它的工作流程如图1所示。
<1>指纹识别引擎检查SYN报头，提取特定标识符;
<2>从特征库中提取目标主机上的 *** 作系统信息;
<3>更新主机信息表;
<4>传感器检测到带有恶意信息的数据报，在发出警告前先与主机信息表中的内容进行比较;
<5>传感器发现该恶意数据报是针对Windows服务器的，而目标主机是Linux服务器，所以IDS将抑制该告警的产生。

物联网一般都具有唯一性，其实像近几年出现的一些东西，像二维码都具有唯一性，还有射频识别，这些都确保了信息的安全性，这些都涉及到物联网频射方面的技术。另外，举个例子，在里你会看到一些片段，一些密码什么的会通过扫描你的眼睛，识别指纹这些的属于物联网。我是物联网专业的学生，回答有不满意的地方请见谅。

物联网如何加强安全问题
由于国家和地方政府的推动，当前物联网正在加速发展，物联网的安全需求日益迫切。理顺物联网的体系结构、明确物联网中的特殊安全需求，考虑怎么样用现有机制和技术手段来解决面物联网临的安全问题，是目前当务之急。
由于物联网必须兼容和继承现有的TCP/IP网络、无线移动网络等，因此现有网络安全体系中的大部分机制仍然可以适用于物联网，并能够提供一定的安全性，如认证机制、加密机制等。但是还需要根据物联网的特征对安全机制进行调整和补充。
可以认为，物联网的安全问题同样也要走“分而治之”、分层解决的路子。传统TCP/IP网络针对网络中的不同层都有相应的安全措施和对应方法，这套比较完整的方法，不能原样照搬到物联网领域，而要根据物联网的体系结构和特殊性进行调整。物联网感知层、感知层与主干网络接口以下的部分的安全防御技术主要依赖于传统的信息安全的知识。
1物联网中的加密机制
密码编码学是保障信息安全的基础。在传统IP网络中加密的应用通常有两种形式：点到点加密和端到端加密。从目前学术界所公认的物联网基础架构来看，不论是点点加密还是端端加密，实现起来都有困难，因为在感知层的节点上要运行一个加密/解密程序不仅需要存储开销、高速的CPU，而且还要消耗节点的能量。因此，在物联网中实现加密机制原则上有可能，但是技术实施上难度大。
2节点的认证机制
认证机制是指通信的数据接收方能够确认数据发送方的真实身份，以及数据在传送过程中是否遭到篡改。从物联网的体系结构来看，感知层的认证机制非常有必要。身份认证是确保节点的身份信息，加密机制通过对数据进行编码来保证数据的机密性,以防止数据在传输过程中被窃取。
PKI是利用公钥理论和技术建立的提供信息安全服务的基础设施，是解决信息的真实性、完整性、机密性和不可否认性这一系列问题的技术基础，是物联网环境下保障信息安全的重要方案。
3访问控制技术
访问控制在物联网环境下被赋予了新的内涵，从TCP/IP网络中主要给“人”进行访问授权、变成了给机器进行访问授权，有限制的分配、交互共享数据，在机器与机器之间将变得更加复杂。
4态势分析及其他
网络态势感知与评估技术是对当前和未来一段时间内的网络运行状态进行定量和定性的评价、实时监测和预警的一种新的网络安全监控技术。物联网的网络态势感知与评估的有关理论和技术还是一个正在开展的研究领域。
深入研究这一领域的科学问题，从理论到实践意义上来讲都非常值得期待，因为同传统的TCP/IP网络相比，传感网络领域的态势感知与评估被赋予了新的研究内涵，不仅仅是网络安全单一方面的问题，还涉及到传感网络体系结构的本身问题，如传感智能节点的能量存储问题、节点布局过程中的传输延迟问题、汇聚节点的数据流量问题等。这些网络本身的因素对于传感网络的正常运行都是致命的。所以，在传感网络领域中态势感知与评估已经超越了IP网络中单纯的网络安全的意义，已经从网络安全延伸到了网络正常运行状态的监控；另外，传感网络结构更加复杂，网络数据是多源的、异构的，网络数据具有很强的互补性和冗余性，具有很强的实时性。
物联网在线认为在同时考虑外来入侵的前提下，需要对传感网络数据进行深入的数据挖掘分析、从数据中找出统计规律性。通过建立传感网络数据析取的各种数学模型，进行规则挖掘和融合、推理、归纳等，提出能客观、全面地对大规模传感网络正常运行做态势评估的指标，为传感网络的安全运行提供分析报警等措施。
（转帖于中国电子商务研究中心）

不要紧的，物联网卡可以设置停用，后期通过技术服务追回。
智宇物联网卡的后台可以设置自动告警，出现异常通过短信或者邮件方式自动告警，这样的话可以提前避免被盗用的风险。

节点受到来自DoS的攻击；感知信息被非法获取；感知层节点被恶意控制。
物联网（英文：InternetofThings，缩写：IoT）起源于传媒领域，是信息科技产业的第三次革命。物联网是指通过信息传感设备，按约定的协议，将任何物体与网络相连接，物体通过信息传播媒介进行信息交换和通信，以实现智能化识别、定位、跟踪、监管等功能。

网络技术在带来网络巨大变革的同时，也让网络暴力有了更大的发展空间。在10月28日河南省新郑市第三中学一名历史教师就在进行网络直播时遭遇不明身份者闯入，并大声喧哗，言语辱骂，愤然之下诱发疾病猝死。入侵者玩世不恭的语态，激怒了有良知的全网人。教育不是万能的，对于一些特殊人群教育起不到丝毫感化的作用，所以拿起法律手段才是真正解决这一小部分人学会适应规则的方法。

在特殊情况的氛围笼罩下，接受网上教学，已经成为了学生必须要面对的现实，但是针对这一种情况，如果不彻底整治网课爆破乱象只会影响正常的教学活动，而只是河南女教师的猝死算是把网络爆破现象展示在了大家的眼前，让更多的师生明白网络暴力造成的恶劣影响，就应该被严厉打击。网课爆破等网络暴力行为涉嫌违法犯罪，应当追究涉事者的刑事责任，让他们承受后果。

辱骂恐吓他人，达到情节恶劣的程度，是构成刑法规定的行衅滋事罪。像此次郑州老师所遭遇的事情就可能涉及侮辱罪，既以暴力或者其他方法，公然侮辱他人，情节严重的还可以处三年以下有期徒刑。我们应该在近几年发生的涉及暴力导致的种种悲剧中得到清醒，缺乏管制的网络暴力不仅会造成社会性死亡，也会导致真正的死亡，立法需要更完善，而网络平台也更需要更规范，作为网民也需要提高素养。

很多人觉得网课入侵只是为了好玩以及恶作剧带来的快感，他们大多数年龄不大，只是充分利用了不少教师，对物联网的不熟悉，此外许多人能够得手也是因为上网课的同学透露了网课会议号有关，所以如果发现他人误入会议干扰课堂，可以在会后进行举报并提供相关材料，同时也可以把其移出会议关闭允许成员自我解除静音等功能。特殊的时期，老师们要付出更多的努力才能够保证教学质量的效果，所以我们也应当谨言慎行，不把会议号透露出去。

---