一种基于本体论的射频识别系统入侵检测方法

一种基于本体论的射频识别系统入侵检测方法
【技术领域】
[0001] 针对射频识别系统中日益严重的射频识别标签克隆攻击问题，本发明设计了一种 基于本体论语义定义规则的射频识别系统标签克隆攻击入侵检测系统，并设计了一种可对 克隆标签进行追踪及定位的方法，本发明属于网络安全定义域。
【背景技术】
[0002] 随着计算机W及物联网技术的发展，射频识别系统得到了持续的发展，不同的应 用类型不断的在增加，在众多应用场景中，最具挑战的安全问题是标签克隆。为了应对运一 威胁，研究者主要通过标签加密，身份认证和访问控制运=种对策来应对。
[0003] 运几种对策的执行困难度，需要在标签成本，安全级别和硬件功能之间权衡。然 而，那些拥有庞大规模终端用户的大型公司却鼓励开发者降低标签的成本，因此，介于低成 本标签有限的电量，W及其有限的存储和处理资源能力，想要利用增强标签加密算法运个 对策来应对标签克隆是难W实现的。此外，为了提供给加密组件足够的电力，标签需要在更 短的距离内被读取，运将大大降低读卡器的读取率。尽管对于上述的方案有了很多改进的 方案，但是，仍有大量研究指出，运一方案并不能彻底的保护标签不遭受到克隆攻击。
[0004] 首先，运种解决方案在本质上是不安全的，在射频识别系统中，标签的有限功能导 致其成为整个系统链中最弱的一环：攻击者利用简单的设备和技术都可W轻松的突破射 频识别的安全防护。此外，在不提高标签成本的前提下，并不能研发出一种真正安全的射频 识别标签来解决所有已知漏桐。其次，现有的解决方案主要集中于防止标签克隆，而没有设 及对标签克隆的超前性预防。本发明的着重点则是在于通过提供标签克隆攻击发生时的实 时检测能力，提供一种射频识别系统的标签克隆攻击入侵检测方法。 阳〇化]本体论是哲学概念，它是研究存在的本质的哲学问题。但近几十年里，运个词被应 用到计算机界，并在人工智能、计算机语言W及数据库理论中扮演着越来越重要的作用。现 在已经形成了一个计算机科学方面的一个有关构建本体的方法和方法学的新兴定义域。
[0006] 本体是一个形式化定义语词关系的标准文件，一个完整的本体需要具有一个分类 体系和一系列的推理原则，构建本体的简单步骤是：
[0007] 步骤1:列出研究课题所设及到的词条
[0008] 步骤2:按照词条的固有属性和专属特征进行归纳和修改，对词条建立类W及层 级化的分类模型
[0009] 步骤3:加入关系联系词条和分类模型
[0010] 步骤4:按照需要，添加实例作为概念的对象
[0011] 借助本体的推理原则，可W完成在射频识别系统中对射频识别标签克隆攻击的检 ，为本发明提出的入侵检测方法提供强大的误用检测推理能力。本方案中，提供了一个 基于本体论的入侵检测方法，该方法通过集成来源于射频识别中间件的信息来检测标签克 隆。具体的讲，提出了一种利用语义地址与物理地址完成对射频识别标签的追溯及定位技 术，实现一个射频识别系统的误用检测方法。本方法基于如下两点：（1)利用本体论的语义 规则建立一个关于"射频识别标签追溯及定位"模型，（2)利用本体论得到计算机可识别的 形式化表述，建立一个两级的防御体系来对抗标签克隆。结合射频识别标签的追溯及定位 技术利用本体论的语义规则构建一个推理检测引擎，该引擎可W提供给误用检测系统一个 先进的自动推理能力来定义"射频识别标签追溯及定位"模型，用来推断出真实的标签是否 正在遭受克隆攻击。

【发明内容】

[0012] 技术问题：本发明的目的是提供一种基于本体论的射频识别系统入侵检测方法， 可W实时监测和识别射频识别系统中的克隆标签，利用动态信息点和静态信息点之间互相 的信息校验，识别出射频识别系统中的标签读取异常，进而完成对射频识别系统中标签克 隆攻击的检测。
[0013] 技术方案：本发明的方法是利用射频识别标签的追溯及定位技术，构建一个二级 标签克隆防御机制，W本体论的语义规则对该机制进行形式化的表述并建模，并使用该模 型来设计相应的推测引擎，来完成对射频识别系统中标签克隆攻击的检测。
[0014] 一、体系结构
[0015] 入侵检测包括两种基本的检测方法：异常检测和误用检测。异常检测的目标是，定 义和描述用户的行为，依靠建立指标，通过量化之前的偏差来检测异常行为。误用检测则设 及到另一个功能，比较已知的用户的正常行为和攻击者行为，并将其正式确立在不同的模 型中。
[0016] 本发明提出的方法选择采用误用检测的机制进行入侵检测，该种方法依赖于一个 基于本体论语义规则的误用检测应用程序来识别在射频识别系统中的标签克隆行为。选择 运用该方法来构建误用检测机制基于下列几点原因：（1)基于本体论语义规则的误用检测 系统可W对于构成标签克隆场景的事物产生清晰的理解，由此降低检测的误报率。（2)检测 结果可W得到更加直观的展示，当用户需要计算机语言形式化表述所获取的信息，运就需 要该误用检测系统拥有判断标签是否合法的推理能力，进而对审计数据进行简单有效地处 理。
[0017] 误用检测利用射频识别标签的追溯及定位技术满足入侵检测系统的如下需求：在 已知合法标签的物理位置情况下，实时检测出射频识别系统中的克隆标签。射频识别标签 的追溯与定位是指通过射频识别供应链，产生和存储射频识别标签固有的动态特征。运些 动态特征可W构建一个利用位置事件相关的标签对象，并完成在跟踪系统中的检索。除了 上述动态特征，标签对象也有相应的静态特征。射频识别供应链中所提供的固定路径组成 信息点，此外，信息点还可W指定出标签对象的正常使用条件。上述所有产生的信息都会计 入到审计记录中。在概念层次上进行定义域本体模型的构建，具体构建信息在方法流程中 进行展示。 阳〇1引二、方法流程
[0019] 该入侵检测方法中的推理克隆标签入侵的具体流程如下：
[0020] 步骤1:分析和处理审计记录中的数据，完成对射频识别系统中读写数据的初步 分析，根据审计中包含的数据记录，设定下列检测规则：
[0021] 1)确定靠近射频识别阅读器且进行了读写操作的标签的物理地址，
[0022] 2)当检测到的物理地址不属于原有的信息点中时，添加一个新的动态信息点， 运个新的信息点也需要被从审计记录中提取出的使用形态和相关时间戳来进行特征化处 理；
[0023] 3)当检测到的物理地址属于现有的信息点中时，及时更新现有的动态信息点，但 是此时一个新的读写操作已经完成，而原来的信息点被从审计记录中提取的新的使用形态 和相关时间戳来进行特征化处理；
[0024] 4)当检测到物理地址属于一个现有的信息点时，更新现有的动态信息点中的使 用形态，读写操作已经在之前完成，现有的信息点将会更新时间戳和刚刚进行过的读写操 作；
[0025] 步骤2:执行第一级标签筛选，利用步骤1中的检测规则检测出系统中拥有无效序 列号的射频识别标签；
[00%] 步骤3 :执行第二级标签筛选，对步骤2中检测出的拥有无效序列号的射频识别标 签进行进一步筛选，精确判断运些标签是否是克隆标签，根据存储在动态和静态对象中的 数据，设定下列检测规则：
[0027] 1)在一个很短的时间窗口内，至少同时出现两个不同的在物理地址上不接壤的动 态信息点，则推断出标签已被克隆；
[0028] 2)-个动态信息点出现在了一个静态对象中，并且在地理位置上它不和静态信息 点接壤，则推断出标签已被克隆；
[0029] 3) -个动态信息点出现在了一个静态对象中，并且在地理位置上它和静态信息点 接壤，则推断出标签正在遭受克隆攻击；
[0030] 4)当一个动态信息点的使用形态和其相对应的静态信息点使用条件不相符，且读 写操作数在一个可允许的阔值内，则推断出标签正在遭受克隆攻击。
[0031] 利用本体论的语义规则构建出"射频识别标签追溯及定位"模型
[0032]"射频识别标签追溯及定位"模型W-种独特和共享的方式指定出静态和动态对 象，位置，W及审计记录等信息。但是，为了方便推理技术应用于比较标签静态和动态对象 件，运些信息必须用良好的定义W机器可读的格式被形式化的表示出来。
[0033] 因此，我们要定义一个本体来描述"射频识别标签追溯及定位"模型，模型涵盖 了相关概念，属性和关系。该本体的语义标准是网络本体语言（Web化tologyLanguage, OWL),细分为四个清晰的逻辑部分，并且命名为"追溯与定位"。接下来分别描述四个逻辑 部分：
[0034] (1)标签的静态对象模型，本体的框架图如图1所示，每一个概念及其下属概念都 在表1中进行了完整详细的列举，具体定义域包括：射频识别标签对象，静态路径，静态信 息点，用户使用条件，语义地址。
[0035] (2)标签的动态对象模型，本体的框架图如图2所示，每一个概念及其下属概念都 在表2中进行了完整详细的列举。具体定义域包括：射频识别标签对象，动态路径，动态 信息点，用户使用形式，物理地址。
[0036] 做地址信息模型，本体的框架图如图3所示，每一个概念及其下属概念都在表3 中进行了完整详细的列举。具体定义域包括：语义地址，物理地址，射频识别阅读器，建 筑，房间。
[0037] (4)审计记录模型，本体的框架图如图4所示，每一个概念及其下属概念都在表4 中进行了完整详细的列举。具体定义域包括：审计记录。
[0038] 至此，整个"射频识别标签追溯及定位"的本体语义模型构建完毕，构建的域模型 利用网络本体语言规则生成为一个.OWl文件，在该本体模型中插入由M. Esposito提出的 逻辑推理引擎，该引擎能够将存储在本体知识库中的定义域知识的推理过程展现出来，从 而使该模型可W完成克隆标签检测的推理过程。
[0039] 有益效果：本发明提出了一种基于本体论语义定义规则，利用语义地址与物理地 址对射频识别标签完成系统中的追溯与定位，并构建一个二级防御体系的入侵检测方法， 在不提高标签成本的前提下，有效地完成对射频识别系统的实时监测和对标签克隆攻击的 识别。下面进行具体的说明。
[0040] 低成本：目前很多对于射频识别标签安全的研究重屯、都着眼于对标签的加密算 法进行加强和改进，但是介于低成本标签有限的电量，W及低下的存储和处理资源能力，想 要利用增强标签加密算法运个对策来应对标签克隆是非常的难W实现的，如果依靠运种方 式来对标签的安全性进行提升的话，标签的生