范一鳴，屠雄剛(浙江工業(yè)職業(yè)技術(shù)學(xué)院信息學(xué)院，浙江紹興312000)

一種基于譜聚類分析的物聯(lián)網(wǎng)節(jié)點(diǎn)安全控制域劃分算法*

范一鳴*，屠雄剛
(浙江工業(yè)職業(yè)技術(shù)學(xué)院信息學(xué)院，浙江紹興312000)

物聯(lián)網(wǎng)的多源異構(gòu)性使其安全面臨更多的挑戰(zhàn)，為實(shí)現(xiàn)跨層安全控制，部署多層融合的安全控制策略，提出了一種基于譜聚類的節(jié)點(diǎn)安全域分類算法。通過對物聯(lián)網(wǎng)感知節(jié)點(diǎn)在歷史安全事件中的波及狀態(tài)統(tǒng)計(jì)，確定感知節(jié)點(diǎn)與攻擊事件之間的相關(guān)性，進(jìn)而利用譜聚類方法將節(jié)點(diǎn)劃分為若干個安全控制域?；谑录嚓P(guān)性的譜聚類節(jié)點(diǎn)安全域劃分，將為部署域內(nèi)和域間的安全控制策略提供依據(jù)，從而整體提升物聯(lián)網(wǎng)安全防護(hù)水平。

物聯(lián)網(wǎng);安全控制;譜聚類;節(jié)點(diǎn)安全域

物聯(lián)網(wǎng)IoT(Internet of Things)是指通過各種信息傳感設(shè)備，如物理傳感器、紅外感應(yīng)器、射頻識別(RFID)、全球定位系統(tǒng)、激光掃描器等，實(shí)時監(jiān)測任何需要監(jiān)控、處理、通信和互動的物體或過程，采集其聲、光、熱、電、力學(xué)、化學(xué)、生物、位置等各種所需的信息，按約定的協(xié)議，與互聯(lián)網(wǎng)結(jié)合而形成的一個巨大網(wǎng)絡(luò)。其目的是實(shí)現(xiàn)現(xiàn)實(shí)世界中物與物、物與人，所有的物品與網(wǎng)絡(luò)的連接，方便識別、管理和控制［1-2］。近年來，物聯(lián)網(wǎng)在軍事、工業(yè)、交通、醫(yī)療、環(huán)保等領(lǐng)域中得到越來越廣泛的應(yīng)用。

與此同時，隨著物聯(lián)網(wǎng)應(yīng)用的不斷推廣，其安全性也受到越來越多的關(guān)注［3-4］。2010年震驚業(yè)界的超級網(wǎng)絡(luò)武器“震網(wǎng)病毒(Stuxnet)［5］”的出現(xiàn)，給物聯(lián)網(wǎng)安全敲響了警鐘。據(jù)權(quán)威工業(yè)安全事件信息庫RISI(Repository of Industrial Security Incidents)統(tǒng)計(jì)［6-7］，截至2013年10月，全球已發(fā)生240余起針對工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的重大安全事件，雖然數(shù)量遠(yuǎn)低于互聯(lián)網(wǎng)上的安全事件，但每一起事件都會產(chǎn)生巨大影響，并遭受重大損失。這表明，當(dāng)物聯(lián)網(wǎng)技術(shù)應(yīng)用到工業(yè)控制系統(tǒng)(IDS)等重要領(lǐng)域時，帶來的不僅是更為智能化的系統(tǒng)、更為高效的管理、更為便捷的控制，同時還有更為嚴(yán)峻的安全挑戰(zhàn)。與傳統(tǒng)網(wǎng)絡(luò)相比，物聯(lián)網(wǎng)由于具有環(huán)境開放、信道公開、節(jié)點(diǎn)能力受限和分布式控制等特點(diǎn)，加之在體系結(jié)構(gòu)上追求高效性和實(shí)時性而較少關(guān)注安全保護(hù)，物聯(lián)網(wǎng)面臨著比傳統(tǒng)網(wǎng)絡(luò)更大的安全威脅，越來越多的工業(yè)控制系統(tǒng)正由封閉、私有轉(zhuǎn)向開放、互聯(lián)，隨之帶來了惡意代碼攻擊、信息泄漏、指令篡改等安全問題，其安全問題更為突出。一般而言，物聯(lián)網(wǎng)的安全控制，必須從其網(wǎng)絡(luò)體系結(jié)構(gòu)出發(fā)，針對感知層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全采取相關(guān)措施，并實(shí)施跨層融合控制［8-9］。

本文提出一種基于安全事件相關(guān)性的物聯(lián)網(wǎng)節(jié)點(diǎn)聚類分析算法，其核心目標(biāo)是通過對物聯(lián)網(wǎng)節(jié)點(diǎn)遭受攻擊事件的分析，將全部節(jié)點(diǎn)根據(jù)其受攻擊事件的相關(guān)性加以分類，從而確定若干個“安全控制域(Security Domain)”，以便后續(xù)在此基礎(chǔ)上有針對性的部署跨層綜合安全控制機(jī)制，通過感知層和上層的融合協(xié)同，以提升整體安全防護(hù)能力。

1 相關(guān)技術(shù)

1.1 物聯(lián)網(wǎng)安全體系

從物聯(lián)網(wǎng)的體系架構(gòu)出發(fā)，一般將物聯(lián)網(wǎng)安全分為3個層次加以考慮:

1.1.1 感知層

物聯(lián)網(wǎng)的感知節(jié)點(diǎn)通常呈現(xiàn)多源異構(gòu)性、資源受限(尤其是能量)、存儲和處理能力弱，且無人值守，使得它們無法擁有復(fù)雜的自我安全保護(hù)能力，較易受到安全攻擊。同時感知網(wǎng)絡(luò)多種多樣，從溫度測量到水文監(jiān)控，從道路導(dǎo)航到自動控制，它們的數(shù)據(jù)傳輸和消息也沒有特定的標(biāo)準(zhǔn)，所以難以實(shí)現(xiàn)統(tǒng)一的安全保護(hù)機(jī)制［10-11］。

1.1.2 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層安全的核心是傳輸與信息安全問題。與互聯(lián)網(wǎng)一樣，物聯(lián)網(wǎng)網(wǎng)絡(luò)層也存在非授權(quán)節(jié)點(diǎn)非法接入、信息錯誤傳輸、惡意攻擊等安全隱患。而且由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大，且以集群方式存在，易導(dǎo)致在突發(fā)數(shù)據(jù)傳播時，因大量感知節(jié)點(diǎn)的數(shù)據(jù)并發(fā)而引發(fā)網(wǎng)絡(luò)擁塞，產(chǎn)生拒絕服務(wù)攻擊(DoS)。此外，現(xiàn)有通信網(wǎng)絡(luò)的安全架構(gòu)都是從人機(jī)通信的角度設(shè)計(jì)的，對以物為主體的物聯(lián)網(wǎng)，要建立適合于感知信息傳輸與應(yīng)用的安全架構(gòu)［12-13］。

1.1.3 應(yīng)用層

應(yīng)用層安全主要針對的是物聯(lián)網(wǎng)業(yè)務(wù)的安全需求。支撐物聯(lián)網(wǎng)業(yè)務(wù)的平臺有著不同的安全策略，如云計(jì)算、分布式系統(tǒng)、海量信息處理等，這些支撐平臺要為上層服務(wù)管理和大規(guī)模行業(yè)應(yīng)用建立起一個高效、可靠和可信的系統(tǒng)，而大規(guī)模、多平臺、多業(yè)務(wù)類型使物聯(lián)網(wǎng)業(yè)務(wù)層次的安全面臨新的挑戰(zhàn)。同時，物聯(lián)網(wǎng)應(yīng)用層安全還必須考慮機(jī)密性、完整性和可用性的保障［14-15］。

綜上，物聯(lián)網(wǎng)的安全控制需要面對感知信息的多樣性、網(wǎng)絡(luò)環(huán)境的復(fù)雜性和應(yīng)用需求的多態(tài)性等重要特征，需要根據(jù)其龐大的網(wǎng)絡(luò)規(guī)模和傳輸數(shù)據(jù)量，綜合實(shí)現(xiàn)多重安全決策控制。特別是根據(jù)RISI報告統(tǒng)計(jì)，超過1/3的物聯(lián)網(wǎng)安全事件源自于遠(yuǎn)程攻擊［6］。為此，從針對性防范遠(yuǎn)程攻擊考慮，除了加強(qiáng)感知層節(jié)點(diǎn)自我安全防護(hù)措施以外，若能根據(jù)特定的組網(wǎng)環(huán)境以及攻擊源和攻擊類型分析，動態(tài)構(gòu)建物聯(lián)網(wǎng)節(jié)點(diǎn)安全控制域，并在網(wǎng)絡(luò)層對域間傳輸和域內(nèi)傳輸部署相應(yīng)路由控制、訪問控制等策略，無疑將有助于大大提升物聯(lián)網(wǎng)的整體安全防護(hù)水平。

1.2 聚類分析

聚類分析(Cluster analysis，亦稱為群集分析)是一種靜態(tài)數(shù)據(jù)分析技術(shù)，在許多領(lǐng)域受到廣泛應(yīng)用，包括機(jī)器學(xué)習(xí)，數(shù)據(jù)挖掘，模式識別，圖像分析以及生物信息。其主要思想是對于一組兩兩間定義了某種體現(xiàn)相關(guān)性“距離”的數(shù)據(jù)進(jìn)行分類，使得每一類內(nèi)部節(jié)點(diǎn)間的“距離”較小，從而具有某種相似性;而類與類之間則有相對較大的“距離”，從而具有較明顯的分離。聚類的方法一般按對于分類結(jié)果不同的需求主要有K-nearest、譜方法(Spectral Clustering)以及懲罰函數(shù)最優(yōu)化方法(主要用在Social Network中)等［16-17］。

本文的節(jié)點(diǎn)聚類分析采用了譜聚類的方法。其主要思想是將樣本看作頂點(diǎn)，樣本間的相似度(即距離)看作帶權(quán)的邊，從而將聚類問題轉(zhuǎn)為圖分割問題，即:找到一種圖分割的方法使得連接不同組的邊的權(quán)重盡可能低(這意味著組間相似度要盡可能低)，組內(nèi)的邊的權(quán)重盡可能高(這意味著組內(nèi)相似度要盡可能高)。譜聚類算法的主要步驟如下(假設(shè)要分K個類):①計(jì)算節(jié)點(diǎn)之間的相似度，得到相似矩陣C，進(jìn)而得到距離矩陣D;②選取閥值，將距離矩陣D轉(zhuǎn)化為圖的鄰接矩陣W;③計(jì)算并確定劃分域的數(shù)量; (a)計(jì)算圖的拉普拉斯矩陣:L=D-1/2(D-W)D-1/2; (b)計(jì)算L的0特征根重?cái)?shù)(特征根重?cái)?shù)即為劃分域數(shù));④如果劃分域數(shù)符合預(yù)期要求，則通過圖的聯(lián)通子圖進(jìn)行劃分;否則，回到②重新選取閥值。

2 數(shù)據(jù)及算法描述

2.1 數(shù)據(jù)結(jié)構(gòu)

以n表示物聯(lián)網(wǎng)的節(jié)點(diǎn)個數(shù)，m表示歷史安全攻擊事件總數(shù)。C為節(jié)點(diǎn)的相似矩陣，D為距離矩陣。用節(jié)點(diǎn)-事件矩陣X記錄節(jié)點(diǎn)涉及安全事件的具體情形:

其中:

2.2 聚類算法的實(shí)現(xiàn)

如果將物聯(lián)網(wǎng)中節(jié)點(diǎn)遭受安全攻擊事件的波及視作3個隨機(jī)變量(即:事件發(fā)生時間、發(fā)生位置橫坐標(biāo)及縱坐標(biāo))共同作用的結(jié)果，不難看出在物聯(lián)網(wǎng)的實(shí)際環(huán)境下，安全攻擊事件所波及的節(jié)點(diǎn)通常不會呈現(xiàn)均勻分布，在某些節(jié)點(diǎn)上可能較多發(fā)生，而某些節(jié)點(diǎn)則較少波及。為此，在節(jié)點(diǎn)劃分聚類時不能簡單依賴于由節(jié)點(diǎn)位置計(jì)算出的距離，而應(yīng)該用其共同涉及安全事件的頻度來定義距離。然而，由于無法事先獲知攻擊事件在節(jié)點(diǎn)上發(fā)生的概率分布，在這里我們采用記錄下一定數(shù)量的事件，并用共同參與事件的次數(shù)來表示2個節(jié)點(diǎn)間的相似距離，即用前述的節(jié)點(diǎn)-事件矩陣X表示，進(jìn)而相似度矩陣C為:

這里Cij表示節(jié)點(diǎn)i與節(jié)點(diǎn)j共同參與事件的總數(shù)。顯然，當(dāng)2個節(jié)點(diǎn)共同參與事件總數(shù)越大時，它們之間的距離應(yīng)該越小。故可以對C施行一個核函數(shù)變換，從而計(jì)算出它們之間的相似距離dij，這里我們選用熱核函數(shù)e-αx，則有:

式中:α是一個可調(diào)節(jié)的系數(shù)，它的合適選取將使后面需要用到的MDS(Multidimensional scaling，多維標(biāo)度法)具有更好的效果，且有助于幫助譜聚類算法所需的閥值選取。

在得到相似距離矩陣D后，取閥值λ，并將其轉(zhuǎn)換為一個無向圖G(W，V)，其中:

接下去就可以用圖的聯(lián)通子圖來進(jìn)行聚類劃分。

容易看出，核函數(shù)e-αx在α＞0的情形下是一個關(guān)于x的單調(diào)遞減函數(shù)，故對Cij施行逆序變換后，它將更符合通常的“距離”意義(即2個節(jié)點(diǎn)之間的邊權(quán)較大的情況下它們更為鄰近、距離更短)。這里，核函數(shù)e-αx中α的選取必須考慮以下兩點(diǎn):一方面，由于經(jīng)過核函數(shù)變換所得的“距離”并非一般的歐氏距離，故無法直接將其還原到歐氏空間中通過直觀觀察其分布，從而確定聚類的個數(shù)。本文采用的方法是通過MDS(Multidimensional Scaling)獲得二維、三維上的近似分布，進(jìn)而加以確定。而MDS要求距離矩陣為正定矩陣，故α的選取必須首先確保這一點(diǎn)。另一方面，盡管本文的聚類方法中由于使用了閥值，在聚類個數(shù)確定后，分類結(jié)果并不受到α值的影響(這是因?yàn)閑-αx是單調(diào)遞減函數(shù)，對于選定閥值λ，e-αx＞λ等價于x＜-。但在另一些聚類方法中，α的選取將對分類結(jié)果產(chǎn)生重大影響。具體到α值的選取，由于對不同的相似度矩陣C并沒有一種較為簡單的統(tǒng)一方法來確保變換所得的一定是正定矩陣。本文算法實(shí)現(xiàn)中，利用實(shí)驗(yàn)數(shù)據(jù)對α值的選取采用經(jīng)驗(yàn)估計(jì)，即:在大多數(shù)Cij的數(shù)量級為10k和10k+1(k=1，2，3，…)時，選擇滿足10k-1≤α≤10k的α，以使得距離矩陣正定。

在算法的具體實(shí)現(xiàn)中，閥值λ的如何選取是另一個需要特別加以考慮的問題。這是因?yàn)椋环矫孢^大的閥值會導(dǎo)致只有一個聯(lián)通子圖(即所有感知節(jié)點(diǎn)均落入同一個安全域)，使得聚類劃分失去意義;而選取過小的閥值將產(chǎn)生過多的聯(lián)通子圖，也就是安全控制域的劃分過細(xì)，則將使得后續(xù)的安全策略難以部署。在通過MDS確定了適當(dāng)?shù)木垲悅€數(shù)后，為選取相應(yīng)的α，若對一列閥值中的每一個λ分別做一次聯(lián)通子圖劃分，則會浪費(fèi)大量的資源和時間。故在后面的算法中將引入圖拉普拉斯中的結(jié)論，事先判斷并確定閥值λ，以便獲得恰當(dāng)?shù)穆?lián)通子圖個數(shù)(安全控制域個數(shù))，即:若W是圖G的鄰接矩陣，di為第i個節(jié)點(diǎn)的總邊數(shù)，設(shè)D=diag d，令:

則圖G聯(lián)通子圖個數(shù)等于L的0特征根的重?cái)?shù)。

具體實(shí)現(xiàn)的算法流程如下:①計(jì)算節(jié)點(diǎn)之間的相似度，得到相似矩陣C，進(jìn)而得到距離矩陣D;②通過MDS獲取二維及三維近似分布并確定劃分域的數(shù)量k;③確定劃分域數(shù)量所對應(yīng)的閥值;(a)選取閥值，將距離矩陣D轉(zhuǎn)化為圖的鄰接矩陣W;(b)計(jì)算圖的拉普拉斯矩陣:L=D-1/2(D-W)D-1/2;(c)計(jì)算L的0特征根重?cái)?shù)(特征根重?cái)?shù)即為劃分域數(shù));(d)如果劃分域數(shù)符合預(yù)期要求，則轉(zhuǎn)④;否則，回到(a)重新選取閥值;④劃分安全域;(a)根據(jù)劃分域數(shù)k建立k個數(shù)組;(b)將第1個節(jié)點(diǎn)歸入第1個域中，然后用兩次搜索的方法將所有與其聯(lián)通的節(jié)點(diǎn)歸入同一域中; (c)任選一個不在第1個域中的節(jié)點(diǎn)歸入第2個域，類似地將其聯(lián)通點(diǎn)歸入此域，并重復(fù)此過程。

3 仿真實(shí)驗(yàn)分析

采用OPNET Modeler網(wǎng)絡(luò)仿真工具，隨機(jī)部署了374個物聯(lián)網(wǎng)傳感節(jié)點(diǎn)，模擬發(fā)生并實(shí)時記錄下475次安全攻擊事件。對每次攻擊事件同時記錄所涉及的傳感節(jié)點(diǎn)，從而得到一個374×475的0/1矩陣X。

考慮到實(shí)際物聯(lián)網(wǎng)中的節(jié)點(diǎn)數(shù)量眾多，通常情況是只有其中的一部分節(jié)點(diǎn)可能較頻繁地遭受安全攻擊事件的影響。故首先從中挑選出參與度較大的節(jié)點(diǎn)，圖1和圖2為排序后節(jié)點(diǎn)的涉及攻擊事件次數(shù)及歸一化后的涉及事件次數(shù)。

圖1 節(jié)點(diǎn)參與事件數(shù)排序

圖2 歸一化后節(jié)點(diǎn)參與事件數(shù)排序

從圖中可以看出，從關(guān)聯(lián)次數(shù)排名前56個節(jié)點(diǎn)之后的節(jié)點(diǎn)實(shí)際上只有很小的相關(guān)度。事實(shí)上，前56個節(jié)點(diǎn)與安全事件的相關(guān)次數(shù)占總數(shù)的比例達(dá)78.8%。故這里僅取前56個重要節(jié)點(diǎn)進(jìn)行聚類劃分(即參與事件次數(shù)大于等于10個的節(jié)點(diǎn))。

提取出這56個節(jié)點(diǎn)的事件參與數(shù)據(jù)后，得到一個56×475的矩陣A，并算出對應(yīng)的節(jié)點(diǎn)共同參與次數(shù)矩陣:

由于C的取值集中在［1，10］，這里選取α=1/5，計(jì)算得距離矩陣D。通過特征值分解，可以發(fā)現(xiàn)D為正定矩陣，故可以通過MDS進(jìn)行降維處理，從而獲得其在二維和三維下的近似圖像(圖3、圖4)。

圖3 距離矩陣二維近似圖像

圖4 距離矩陣三維近似圖像

通過觀察閥值實(shí)驗(yàn)結(jié)果及MDS得到的近似二維和三維圖像可以發(fā)現(xiàn)節(jié)點(diǎn)應(yīng)該被分為3～4類，其對應(yīng)閥值λ的選取應(yīng)該在［0.2，0.5］之間。接下來根據(jù)圖拉普拉斯的結(jié)論對閥值進(jìn)行試驗(yàn)。表1為不同閥值時0特征值重?cái)?shù)。在此，選取λ=0.4，即將全部節(jié)點(diǎn)分為3個安全控制域。分類結(jié)果為:第1個安全域包含8個節(jié)點(diǎn)，第2個安全域包含18個節(jié)點(diǎn)，第3個安全域包含30個節(jié)點(diǎn)，它們在二維MDS近似圖上的分布如圖5所示。

表1 閥值試驗(yàn)

圖5 安全域劃分結(jié)果

從節(jié)點(diǎn)安全域劃分的結(jié)果可以看出，劃分得到的聚類在距離近似圖中的表現(xiàn)非常符合我們的直觀感知，從而較好的實(shí)現(xiàn)了同一域內(nèi)部距離較小(容易一起受到攻擊)，而不同域間的距離較大(一起受到攻擊的可能性較小)的目標(biāo)。很顯然，在此基礎(chǔ)上，基于3個安全域聚類邊界，分別實(shí)施多層聯(lián)合安全控制可以更為有效地抵御外來攻擊，提高安全防護(hù)等級。

4 結(jié)語

與互聯(lián)網(wǎng)、通信網(wǎng)絡(luò)相比，物聯(lián)網(wǎng)的多源異構(gòu)性使其安全面臨巨大的挑戰(zhàn)。迄今為止，物聯(lián)網(wǎng)的安全尚缺乏一個跨層融合的完整的解決方案。加之物聯(lián)網(wǎng)中感知節(jié)點(diǎn)的資源局限性，使其安全控制的難度大大增加，因此僅從感知層入手難以全面解決節(jié)點(diǎn)的安全控制問題，必須聯(lián)合其上層(網(wǎng)絡(luò)層和應(yīng)用層)實(shí)現(xiàn)協(xié)同防護(hù)。由于物聯(lián)網(wǎng)覆蓋范圍廣、節(jié)點(diǎn)數(shù)量大，且沒有明確的子網(wǎng)邊界，故從歷史攻擊事件的統(tǒng)計(jì)入手，采用聚類分析方法，將全部節(jié)點(diǎn)根據(jù)事件相關(guān)性劃分為若干個安全控制域，從而在此基礎(chǔ)上部署有效的多層融合的安全架構(gòu)，對提升物聯(lián)網(wǎng)安全防護(hù)水平具有十分重要的意義。

［1］楊光，耿貴寧，都婧，等.物聯(lián)網(wǎng)安全威脅與措施［J］.清華大學(xué)學(xué)報(自然科學(xué)版)，2011(10):1335-1340..

［2］Said O.Development of an Innovative Internet of Things Security System［J］.International Journal of Computer Science Issues(IJCSI)，2013，10(6):155-161.

［3］Zhao K，Ge L.A Survey on the Internet of Things Security［C］// Computational Intelligence and Security(CIS).2013 9th International Conference on IEEE，2013:663-667.

［4］楊金翠，方濱興，翟立東，等.面向物聯(lián)網(wǎng)的通用控制系統(tǒng)安全模型研究［J］.通信學(xué)報，2012(11):49-56.

［5］Matrosov A，Rodionov E，Harley D，et al.Stuxnet under the Microscope［J］.ESET LLC，2010.

［6］RISI.2013 Report on Control System Cyber Security Incident Released［EB/OL］.http://www.securityincidents.net/index.php/ news/2013_report_on_control_system_cyber_security_incidents_ released/，2013-10-23.

［7］張帥.工業(yè)控制系統(tǒng)安全現(xiàn)狀與風(fēng)險分析——ICS工業(yè)控制系統(tǒng)安全風(fēng)險分析之一［J］.計(jì)算機(jī)安全，2012(1):15-19.

［8］Weber R H.Internet of Things—New Security and Privacy Challenges［J］.Computer Law and Security Review，2010，26(1):23 -30.

［9］楊海波，華驚宇，劉半藤.基于減聚類優(yōu)化算法的無線傳感網(wǎng)絡(luò)分簇路由協(xié)議研究［J］.傳感技術(shù)學(xué)報，2012(11):1603-1606.

［10］陳紅霞，趙俊鈺.物聯(lián)網(wǎng)感知層標(biāo)準(zhǔn)體系架構(gòu)研究［J］.電信科學(xué)，2011(9):101-106.

［11］陳鐵明，江頡，王小號，陳波.一種改進(jìn)的基于位置的攻擊容忍WSN安全方案［J］.傳感技術(shù)學(xué)報，2012(4):545-551.

［12］楊庚，許建，陳偉，祁正華，等.物聯(lián)網(wǎng)安全特征與關(guān)鍵技術(shù)［J］.南京郵電大學(xué)學(xué)報(自然科學(xué)版)，2010(4):20-29.

［13］Ning H，Liu H.Cyber-Physical-Social Based Security Architecture for Future Internet of Things［J］.Advances in Internet of Things，2012(2):1.

［14］Riahi A，Challal Y，Natalizio E，etal.A Systemic Approach for IoT Security［C］//Distributed Computing in Sensor Systems (DCOSS).2013 IEEE International Conference on IEEE，2013: 351-355.

［15］Roman R，Zhou J，Lopez J.On the Features and Challenges of Security and Privacy in Distributed Internet of Things［J］.Computer Networks，2013，57(10):2266-2279.

［16］Liang H，Gu X.Black-Start Network Partitioning Based on Spectral Clustering［J］.Power System Technology，2013(2):16.

［17］Pongaliur K，Xiao L.Recursive Validation and Clustering for Distributed Spectrum Sensing in CR-MANET［C］//Sensor，Mesh and Ad Hoc Communications and Networks(SECON)，2013 10th Annual IEEE Communications Society Conference on IEEE，2013: 282-290.

范一鳴(1964-)，男，教授，研究方向?yàn)闊o線傳感器網(wǎng)與物聯(lián)網(wǎng)安全技術(shù)等，fyim@live.com;

屠雄剛(1977-)，男，副教授，碩士，研究方向?yàn)槟Ｊ阶R別、智能計(jì)算等，sxtuxionggang@163.com。

A Security Domain Division Algorithm of the Internet of Things Based on Spectral Clustering*

FAN Yiming*，TU Xionggang

(Zhejiang Industry Polytechnic College，Shaoxing Zhejiang 324000，China)

In the Internetof Things(IoT)，the property ofmulti-source and heterogeneity bring more challenges to its security.In order to attain cross-layer security control and deploy multi-layer combined security control strategy，an algorithm based on spectral clustering is proposed to divide nodes into several security domains.In the algorithm，through statistics about which sensor nodes are involved in history security events，correlations of sensor nodes to history events are calculated and then nodes are divided accordingly using spectral clustering method.The dipartition can serve strong support for deployment of security control strategy within domain and between different domains，thus improve overall security level of IoT.

internet of things;security control;spectral clustering;node security domain

TP393.08

A

1004－1699(2014)05－0675－05

10.3969/j.issn.1004－1699.2014.05.020

項(xiàng)目來源:浙江省自然科學(xué)基金項(xiàng)目(LY12E05016)

2014-02-12

2014-04-14