一種基于本體論的射頻識別系統入侵檢測方法
【技術領域】
[0001] 針對射頻識別系統中日益嚴重的射頻識別標簽克隆攻擊問題，本發明設計了一種 基于本體論語義定義規則的射頻識別系統標簽克隆攻擊入侵檢測系統，并設計了一種可對 克隆標簽進行追蹤及定位的方法，本發明屬于網絡安全定義域。
【背景技術】
[0002] 隨著計算機W及物聯網技術的發展，射頻識別系統得到了持續的發展，不同的應 用類型不斷的在增加，在眾多應用場景中，最具挑戰的安全問題是標簽克隆。為了應對運一 威脅，研究者主要通過標簽加密，身份認證和訪問控制運=種對策來應對。
[0003] 運幾種對策的執行困難度，需要在標簽成本，安全級別和硬件功能之間權衡。然 而，那些擁有龐大規模終端用戶的大型公司卻鼓勵開發者降低標簽的成本，因此，介于低成 本標簽有限的電量，W及其有限的存儲和處理資源能力，想要利用增強標簽加密算法運個 對策來應對標簽克隆是難W實現的。此外，為了提供給加密組件足夠的電力，標簽需要在更 短的距離內被讀取，運將大大降低讀卡器的讀取率。盡管對于上述的方案有了很多改進的 方案，但是，仍有大量研究指出，運一方案并不能徹底的保護標簽不遭受到克隆攻擊。
[0004] 首先，運種解決方案在本質上是不安全的，在射頻識別系統中，標簽的有限功能導 致其成為整個系統鏈中最弱的一環：攻擊者利用簡單的設備和技術都可W輕松的突破射 頻識別的安全防護。此外，在不提高標簽成本的前提下，并不能研發出一種真正安全的射頻 識別標簽來解決所有已知漏桐。其次，現有的解決方案主要集中于防止標簽克隆，而沒有設 及對標簽克隆的超前性預防。本發明的著重點則是在于通過提供標簽克隆攻擊發生時的實 時檢測能力，提供一種射頻識別系統的標簽克隆攻擊入侵檢測方法。 陽〇化]本體論是哲學概念，它是研究存在的本質的哲學問題。但近幾十年里，運個詞被應 用到計算機界，并在人工智能、計算機語言W及數據庫理論中扮演著越來越重要的作用。現 在已經形成了一個計算機科學方面的一個有關構建本體的方法和方法學的新興定義域。
[0006] 本體是一個形式化定義語詞關系的標準文件，一個完整的本體需要具有一個分類 體系和一系列的推理原則，構建本體的簡單步驟是：
[0007] 步驟1:列出研究課題所設及到的詞條
[0008] 步驟2:按照詞條的固有屬性和專屬特征進行歸納和修改，對詞條建立類W及層 級化的分類模型
[0009] 步驟3:加入關系聯系詞條和分類模型
[0010] 步驟4:按照需要，添加實例作為概念的對象
[0011] 借助本體的推理原則，可W完成在射頻識別系統中對射頻識別標簽克隆攻擊的檢 ，為本發明提出的入侵檢測方法提供強大的誤用檢測推理能力。本方案中，提供了一個 基于本體論的入侵檢測方法，該方法通過集成來源于射頻識別中間件的信息來檢測標簽克 隆。具體的講，提出了一種利用語義地址與物理地址完成對射頻識別標簽的追溯及定位技 術，實現一個射頻識別系統的誤用檢測方法。本方法基于如下兩點：（1)利用本體論的語義 規則建立一個關于"射頻識別標簽追溯及定位"模型，（2)利用本體論得到計算機可識別的 形式化表述，建立一個兩級的防御體系來對抗標簽克隆。結合射頻識別標簽的追溯及定位 技術利用本體論的語義規則構建一個推理檢測引擎，該引擎可W提供給誤用檢測系統一個 先進的自動推理能力來定義"射頻識別標簽追溯及定位"模型，用來推斷出真實的標簽是否 正在遭受克隆攻擊。

【發明內容】

[0012] 技術問題：本發明的目的是提供一種基于本體論的射頻識別系統入侵檢測方法， 可W實時監測和識別射頻識別系統中的克隆標簽，利用動態信息點和靜態信息點之間互相 的信息校驗，識別出射頻識別系統中的標簽讀取異常，進而完成對射頻識別系統中標簽克 隆攻擊的檢測。
[0013] 技術方案：本發明的方法是利用射頻識別標簽的追溯及定位技術，構建一個二級 標簽克隆防御機制，W本體論的語義規則對該機制進行形式化的表述并建模，并使用該模 型來設計相應的推測引擎，來完成對射頻識別系統中標簽克隆攻擊的檢測。
[0014] 一、體系結構
[0015] 入侵檢測包括兩種基本的檢測方法：異常檢測和誤用檢測。異常檢測的目標是，定 義和描述用戶的行為，依靠建立指標，通過量化之前的偏差來檢測異常行為。誤用檢測則設 及到另一個功能，比較已知的用戶的正常行為和攻擊者行為，并將其正式確立在不同的模 型中。
[0016] 本發明提出的方法選擇采用誤用檢測的機制進行入侵檢測，該種方法依賴于一個 基于本體論語義規則的誤用檢測應用程序來識別在射頻識別系統中的標簽克隆行為。選擇 運用該方法來構建誤用檢測機制基于下列幾點原因：（1)基于本體論語義規則的誤用檢測 系統可W對于構成標簽克隆場景的事物產生清晰的理解，由此降低檢測的誤報率。（2)檢測 結果可W得到更加直觀的展示，當用戶需要計算機語言形式化表述所獲取的信息，運就需 要該誤用檢測系統擁有判斷標簽是否合法的推理能力，進而對審計數據進行簡單有效地處 理。
[0017] 誤用檢測利用射頻識別標簽的追溯及定位技術滿足入侵檢測系統的如下需求：在 已知合法標簽的物理位置情況下，實時檢測出射頻識別系統中的克隆標簽。射頻識別標簽 的追溯與定位是指通過射頻識別供應鏈，產生和存儲射頻識別標簽固有的動態特征。運些 動態特征可W構建一個利用位置事件相關的標簽對象，并完成在跟蹤系統中的檢索。除了 上述動態特征，標簽對象也有相應的靜態特征。射頻識別供應鏈中所提供的固定路徑組成 信息點，此外，信息點還可W指定出標簽對象的正常使用條件。上述所有產生的信息都會計 入到審計記錄中。在概念層次上進行定義域本體模型的構建，具體構建信息在方法流程中 進行展示。 陽〇1引二、方法流程
[0019] 該入侵檢測方法中的推理克隆標簽入侵的具體流程如下：
[0020] 步驟1:分析和處理審計記錄中的數據，完成對射頻識別系統中讀寫數據的初步 分析，根據審計中包含的數據記錄，設定下列檢測規則：
[0021] 1)確定靠近射頻識別閱讀器且進行了讀寫操作的標簽的物理地址，
[0022] 2)當檢測到的物理地址不屬于原有的信息點中時，添加一個新的動態信息點， 運個新的信息點也需要被從審計記錄中提取出的使用形態和相關時間戳來進行特征化處 理；
[0023] 3)當檢測到的物理地址屬于現有的信息點中時，及時更新現有的動態信息點，但 是此時一個新的讀寫操作已經完成，而原來的信息點被從審計記錄中提取的新的使用形態 和相關時間戳來進行特征化處理；
[0024] 4)當檢測到物理地址屬于一個現有的信息點時，更新現有的動態信息點中的使 用形態，讀寫操作已經在之前完成，現有的信息點將會更新時間戳和剛剛進行過的讀寫操 作；
[0025] 步驟2:執行第一級標簽篩選，利用步驟1中的檢測規則檢測出系統中擁有無效序 列號的射頻識別標簽；
[00%] 步驟3 :執行第二級標簽篩選，對步驟2中檢測出的擁有無效序列號的射頻識別標 簽進行進一步篩選，精確判斷運些標簽是否是克隆標簽，根據存儲在動態和靜態對象中的 數據，設定下列檢測規則：
[0027] 1)在一個很短的時間窗口內，至少同時出現兩個不同的在物理地址上不接壤的動 態信息點，則推斷出標簽已被克隆；
[0028] 2)-個動態信息點出現在了一個靜態對象中，并且在地理位置上它不和靜態信息 點接壤，則推斷出標簽已被克隆；
[0029] 3) -個動態信息點出現在了一個靜態對象中，并且在地理位置上它和靜態信息點 接壤，則推斷出標簽正在遭受克隆攻擊；
[0030] 4)當一個動態信息點的使用形態和其相對應的靜態信息點使用條件不相符，且讀 寫操作數在一個可允許的闊值內，則推斷出標簽正在遭受克隆攻擊。
[0031] 利用本體論的語義規則構建出"射頻識別標簽追溯及定位"模型
[0032]"射頻識別標簽追溯及定位"模型W-種獨特和共享的方式指定出靜態和動態對 象，位置，W及審計記錄等信息。但是，為了方便推理技術應用于比較標簽靜態和動態對象 件，運些信息必須用良好的定義W機器可讀的格式被形式化的表示出來。
[0033] 因此，我們要定義一個本體來描述"射頻識別標簽追溯及定位"模型，模型涵蓋 了相關概念，屬性和關系。該本體的語義標準是網絡本體語言（Web化tologyLanguage, OWL),細分為四個清晰的邏輯部分，并且命名為"追溯與定位"。接下來分別描述四個邏輯 部分：
[0034] (1)標簽的靜態對象模型，本體的框架圖如圖1所示，每一個概念及其下屬概念都 在表1中進行了完整詳細的列舉，具體定義域包括：射頻識別標簽對象，靜態路徑，靜態信 息點，用戶使用條件，語義地址。
[0035] (2)標簽的動態對象模型，本體的框架圖如圖2所示，每一個概念及其下屬概念都 在表2中進行了完整詳細的列舉。具體定義域包括：射頻識別標簽對象，動態路徑，動態 信息點，用戶使用形式，物理地址。
[0036] 做地址信息模型，本體的框架圖如圖3所示，每一個概念及其下屬概念都在表3 中進行了完整詳細的列舉。具體定義域包括：語義地址，物理地址，射頻識別閱讀器，建 筑，房間。
[0037] (4)審計記錄模型，本體的框架圖如圖4所示，每一個概念及其下屬概念都在表4 中進行了完整詳細的列舉。具體定義域包括：審計記錄。
[0038] 至此，整個"射頻識別標簽追溯及定位"的本體語義模型構建完畢，構建的域模型 利用網絡本體語言規則生成為一個.OWl文件，在該本體模型中插入由M. Esposito提出的 邏輯推理引擎，該引擎能夠將存儲在本體知識庫中的定義域知識的推理過程展現出來，從 而使該模型可W完成克隆標簽檢測的推理過程。
[0039] 有益效果：本發明提出了一種基于本體論語義定義規則，利用語義地址與物理地 址對射頻識別標簽完成系統中的追溯與定位，并構建一個二級防御體系的入侵檢測方法， 在不提高標簽成本的前提下，有效地完成對射頻識別系統的實時監測和對標簽克隆攻擊的 識別。下面進行具體的說明。
[0040] 低成本：目前很多對于射頻識別標簽安全的研究重屯、都著眼于對標簽的加密算 法進行加強和改進，但是介于低成本標簽有限的電量，W及低下的存儲和處理資源能力，想 要利用增強標簽加密算法運個對策來應對標簽克隆是非常的難W實現的，如果依靠運種方 式來對標簽的安全性進行提升的話，標簽的生