一種動(dòng)態(tài)自適應(yīng)的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)智能方法技術(shù)

本發(fā)明專利技術(shù)涉及一種動(dòng)態(tài)自適應(yīng)的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)智能方法，屬于無(wú)線傳感器網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域。該方法包括：采用min?max標(biāo)準(zhǔn)化方法將網(wǎng)絡(luò)特征歸一化；通過(guò)均值漂移算法將訓(xùn)練數(shù)據(jù)聚類為多個(gè)簇，并根據(jù)簇中心之間的相對(duì)距離合并成兩個(gè)簇；以正常數(shù)據(jù)為模版將這兩個(gè)簇標(biāo)記為正常或異常；訓(xùn)練數(shù)據(jù)的每個(gè)特征向量根據(jù)它與它所在的簇中心之間的距離來(lái)分配權(quán)重；將標(biāo)記并加權(quán)的訓(xùn)練數(shù)據(jù)作為加權(quán)支持向量機(jī)的輸入來(lái)構(gòu)建決策函數(shù)；測(cè)試數(shù)據(jù)通過(guò)決策函數(shù)判別正常或異常；在檢測(cè)階段，每隔更新時(shí)間將決策函數(shù)判定后的檢測(cè)數(shù)據(jù)加入到訓(xùn)練數(shù)據(jù)來(lái)重建決策函數(shù)。該算法部署簡(jiǎn)單，成本低，能適應(yīng)不同的網(wǎng)絡(luò)結(jié)構(gòu)，能檢測(cè)不同形式的攻擊行為，而且具備擴(kuò)展能力。

A dynamic adaptive algorithm for intrusion detection in Wireless Sensor Networks

The invention relates to a dynamic self-adaptive Intelligent Intrusion Detection Algorithm for wireless sensor networks, which belongs to the technical field of information security in wireless sensor networks. The algorithm includes: using min max normalization method normalization through the network; mean shift algorithm clustering the training data into multiple clusters, and according to the relative distance between the centers of clusters merged into two clusters; in the normal data for the two cluster template will be labeled as normal or abnormal; each feature vector of training the data distribution according to the weight between it and its cluster center distance; the training data labeled as weighted and weighted support vector machine input to construct the decision function; test data through the decision function to distinguish normal and abnormal; in the detection stage, every time will be updated after the data detection decision function decision to join the training data to reconstruct the decision function. The algorithm is simple, low cost, can adapt to different network structure, can detect different forms of attack behavior, and has the ability to expand.

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)屬于無(wú)線傳感器網(wǎng)絡(luò)信息安全
，涉及一種動(dòng)態(tài)自適應(yīng)的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)智能算法。
技術(shù)介紹
無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過(guò)收集和分析傳感器節(jié)點(diǎn)信息，分辨出節(jié)點(diǎn)是否存在異常行為，并發(fā)出警報(bào)給管理員。入侵檢測(cè)技術(shù)能夠?qū)崟r(shí)檢測(cè)節(jié)點(diǎn)攻擊行為，有效地彌補(bǔ)安全防御技術(shù)的不足。因此，入侵檢測(cè)技術(shù)是保障無(wú)線傳感器網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)之一。Athmani等人通過(guò)控制節(jié)點(diǎn)與基站的包傳輸來(lái)抵御黑洞攻擊。該方案能節(jié)省節(jié)點(diǎn)能量，但它難以抵御泛洪攻擊。因?yàn)榉汉楣粼黾拥氖枪?jié)點(diǎn)之間包傳輸?shù)臄?shù)量。為降低入侵檢測(cè)的能量消耗，DiSarno和Garofalo僅利用能量消耗信息來(lái)檢測(cè)多層泛洪攻擊。然而，該方法難以檢測(cè)與能量消耗信息無(wú)關(guān)的攻擊行為。例如，在選擇轉(zhuǎn)發(fā)攻擊中，惡意節(jié)點(diǎn)只轉(zhuǎn)發(fā)或不轉(zhuǎn)發(fā)特定節(jié)點(diǎn)的數(shù)據(jù)包，這對(duì)節(jié)點(diǎn)的能量消耗幾乎沒(méi)有影響。Lim和Huie提出Hop-by-HopCooperativeDetection方法來(lái)減少惡意轉(zhuǎn)發(fā)的概率并達(dá)到95％以上的包投遞率，但是該方法沒(méi)有提及如何檢測(cè)與惡意轉(zhuǎn)發(fā)無(wú)關(guān)的攻擊，如泛洪攻擊等。Sarigiannidis等人通過(guò)基于測(cè)距的UWB檢測(cè)算法建立了一個(gè)RADS(arule-basedanomalydetectionsystem)專家系統(tǒng)，該系統(tǒng)不需要節(jié)點(diǎn)合作和數(shù)據(jù)分享就能監(jiān)測(cè)女巫攻擊。然而，RADS不能檢測(cè)規(guī)則中未定義的攻擊行為。Obado等人通過(guò)計(jì)算源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間最短路徑的跳數(shù)構(gòu)建HiddenMarkovModel(HMM)算法來(lái)檢測(cè)蠕蟲攻擊。HMM算法能減少節(jié)點(diǎn)的能量消耗，但是難以識(shí)別與跳數(shù)無(wú)關(guān)的攻擊，如泛洪攻擊和Rushing攻擊等。雖然上述入侵檢測(cè)系統(tǒng)具有較好的檢測(cè)性能或者較少的能源消耗，但它們只能檢測(cè)一種攻擊行為。Shamshirband等人提出Co-FAIS(cooperativemulti-agentbasedfuzzyartificialimmunesystem)方法來(lái)檢測(cè)層級(jí)網(wǎng)絡(luò)中的DDoS攻擊(distributeddenial-ofserviceattack)。在該方法中，簇頭和基站共同選擇一個(gè)能發(fā)現(xiàn)并報(bào)告潛在攻擊的最優(yōu)策略，但是作者沒(méi)有說(shuō)明在平級(jí)網(wǎng)絡(luò)中節(jié)點(diǎn)和基站之間如何協(xié)作并實(shí)施該方法。平級(jí)網(wǎng)絡(luò)遭受污水池攻擊時(shí)，基于污水池周圍節(jié)點(diǎn)的剩余流量遠(yuǎn)小于其他節(jié)點(diǎn)的原理，Shafiei等人建立了一個(gè)地質(zhì)風(fēng)險(xiǎn)模型和分布式監(jiān)控方法來(lái)檢測(cè)并抵御污水池攻擊。然而，當(dāng)污水池攻擊發(fā)生在層級(jí)網(wǎng)絡(luò)的簇頭時(shí)，簇頭周圍節(jié)點(diǎn)的剩余能量與沒(méi)有攻擊時(shí)的情況并無(wú)顯著差異。網(wǎng)絡(luò)結(jié)構(gòu)的特性一方面為檢測(cè)模式提供了便利，然而在另一方面卻限制了檢測(cè)模式的應(yīng)用范圍。綜上分析，當(dāng)前入侵檢測(cè)算法需要解決兩個(gè)問(wèn)題：1.當(dāng)前入侵檢測(cè)算法通常只能檢測(cè)一種攻擊行為。2.當(dāng)前入侵檢測(cè)算法通常依賴網(wǎng)絡(luò)結(jié)構(gòu)，使其難以適應(yīng)不同的網(wǎng)絡(luò)結(jié)構(gòu)。
技術(shù)實(shí)現(xiàn)思路
有鑒于此，本專利技術(shù)的目的在于提供一種動(dòng)態(tài)自適應(yīng)的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)智能算法，該算法不依賴網(wǎng)絡(luò)結(jié)構(gòu)，且能夠檢測(cè)不同形式的網(wǎng)絡(luò)攻擊并保持高檢測(cè)率和低誤報(bào)率。為達(dá)到上述目的，本專利技術(shù)提供如下技術(shù)方案：一種動(dòng)態(tài)自適應(yīng)的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)智能算法，該方法包括以下步驟：步驟一：無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)每隔一個(gè)時(shí)間間隔Δt發(fā)送其狀態(tài)信息給基站；基站將在時(shí)間[0,t]內(nèi)收到的節(jié)點(diǎn)狀態(tài)信息定義為網(wǎng)絡(luò)流量；網(wǎng)絡(luò)流量以時(shí)間點(diǎn)m分界線分割為訓(xùn)練數(shù)據(jù)和測(cè)試數(shù)據(jù)；將無(wú)線傳感器網(wǎng)絡(luò)初始化后短暫時(shí)間[0,n]時(shí)間內(nèi)狀態(tài)信息定義為正常數(shù)據(jù)，該時(shí)間段內(nèi)不存在任何攻擊行為；步驟二：數(shù)據(jù)歸一化，將訓(xùn)練數(shù)據(jù)通過(guò)max-min標(biāo)準(zhǔn)化方法進(jìn)行歸一化；步驟三：通過(guò)均值漂移聚類算法偏移正常數(shù)據(jù)的初始特征向量x1得到初始偏移軌跡；偏移軌跡內(nèi)經(jīng)過(guò)的點(diǎn)認(rèn)為是屬于同一個(gè)聚類，軌跡的最后一個(gè)點(diǎn)認(rèn)為是聚類中心；x1之后的訓(xùn)練數(shù)據(jù)依據(jù)初始偏移軌跡進(jìn)行聚類，得到多個(gè)簇；將包含正常數(shù)據(jù)的簇標(biāo)記為正常簇，將偏離正常簇最遠(yuǎn)的簇標(biāo)記為異常簇，剩余的簇就近合并到正常簇或異常簇；步驟四：正常簇和異常簇中的點(diǎn)根據(jù)點(diǎn)到其聚類中心的距離分配權(quán)值；將訓(xùn)練數(shù)據(jù)、簇標(biāo)記和權(quán)值作為輸入給加權(quán)支持向量機(jī)來(lái)生成決策函數(shù)；決策函數(shù)用于檢測(cè)測(cè)試數(shù)據(jù)正常或異常；步驟五：通過(guò)決策函數(shù)將測(cè)試數(shù)據(jù)標(biāo)記為正常或異常；根據(jù)決策結(jié)果將這些特征向量劃分到對(duì)應(yīng)的簇中，并用于更新決策函數(shù)；步驟六：每隔一個(gè)更新時(shí)間ΔT，將已決策的數(shù)據(jù)加入到訓(xùn)練數(shù)據(jù)，并根據(jù)均值漂移聚類算法從新的訓(xùn)練數(shù)據(jù)中獲取新的聚類中心；根據(jù)新的聚類中心更新訓(xùn)練數(shù)據(jù)的權(quán)值；最后通過(guò)加權(quán)支持向量機(jī)從新的訓(xùn)練數(shù)據(jù)和新的權(quán)值中生成新的決策函數(shù)。進(jìn)一步，在步驟一中，所述的節(jié)點(diǎn)狀態(tài)信息定義為一個(gè)d維的特征向量其中d表示特征的類型數(shù)量；時(shí)間段[0,t]內(nèi)記錄的特征向量集合為網(wǎng)絡(luò)流量，其表示為矩陣XAll＝{x1，x2，...，xall本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種動(dòng)態(tài)自適應(yīng)的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)智能算法，其特征在于：該方法包括以下步驟：步驟一：無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)每隔一個(gè)時(shí)間間隔Δt發(fā)送其狀態(tài)信息給基站；基站將在時(shí)間[0,t]內(nèi)收到的節(jié)點(diǎn)狀態(tài)信息定義為網(wǎng)絡(luò)流量；網(wǎng)絡(luò)流量以時(shí)間點(diǎn)m分界線分割為訓(xùn)練數(shù)據(jù)和測(cè)試數(shù)據(jù)；將無(wú)線傳感器網(wǎng)絡(luò)初始化后短暫時(shí)間[0,n]時(shí)間內(nèi)狀態(tài)信息定義為正常數(shù)據(jù)，該時(shí)間段內(nèi)不存在任何攻擊行為；步驟二：數(shù)據(jù)歸一化，將訓(xùn)練數(shù)據(jù)通過(guò)max?min標(biāo)準(zhǔn)化方法進(jìn)行歸一化；步驟三：通過(guò)均值漂移聚類算法偏移正常數(shù)據(jù)的初始特征向量x1得到初始偏移軌跡；偏移軌跡內(nèi)經(jīng)過(guò)的點(diǎn)認(rèn)為是屬于同一個(gè)聚類，軌跡的最后一個(gè)點(diǎn)認(rèn)為是聚類中心；x1之后的訓(xùn)練數(shù)據(jù)依據(jù)初始偏移軌跡進(jìn)行聚類，得到多個(gè)簇；將包含正常數(shù)據(jù)的簇標(biāo)記為正常簇，將偏離正常簇最遠(yuǎn)的簇標(biāo)記為異常簇，剩余的簇就近合并到正常簇或異常簇；步驟四：正常簇和異常簇中的點(diǎn)根據(jù)點(diǎn)到其聚類中心的距離分配權(quán)值；將訓(xùn)練數(shù)據(jù)、簇標(biāo)記和權(quán)值作為輸入給加權(quán)支持向量機(jī)來(lái)生成決策函數(shù)；決策函數(shù)用于檢測(cè)測(cè)試數(shù)據(jù)正常或異常；步驟五：通過(guò)決策函數(shù)將測(cè)試數(shù)據(jù)標(biāo)記為正常或異常；根據(jù)決策結(jié)果將這些特征向量劃分到對(duì)應(yīng)的簇中，并用于更新決策函數(shù)；步驟六：每隔一個(gè)更新時(shí)間ΔT，將已決策的數(shù)據(jù)加入到訓(xùn)練數(shù)據(jù)，并根據(jù)均值漂移聚類算法從新的訓(xùn)練數(shù)據(jù)中獲取新的聚類中心；根據(jù)新的聚類中心更新訓(xùn)練數(shù)據(jù)的權(quán)值；最后通過(guò)加權(quán)支持向量機(jī)從新的訓(xùn)練數(shù)據(jù)和新的權(quán)值中生成新的決策函數(shù)。...

【技術(shù)特征摘要】
1.一種動(dòng)態(tài)自適應(yīng)的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)智能算法，其特征在于：該方法包括以下步驟：步驟一：無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)每隔一個(gè)時(shí)間間隔Δt發(fā)送其狀態(tài)信息給基站；基站將在時(shí)間[0,t]內(nèi)收到的節(jié)點(diǎn)狀態(tài)信息定義為網(wǎng)絡(luò)流量；網(wǎng)絡(luò)流量以時(shí)間點(diǎn)m分界線分割為訓(xùn)練數(shù)據(jù)和測(cè)試數(shù)據(jù)；將無(wú)線傳感器網(wǎng)絡(luò)初始化后短暫時(shí)間[0,n]時(shí)間內(nèi)狀態(tài)信息定義為正常數(shù)據(jù)，該時(shí)間段內(nèi)不存在任何攻擊行為；步驟二：數(shù)據(jù)歸一化，將訓(xùn)練數(shù)據(jù)通過(guò)max-min標(biāo)準(zhǔn)化方法進(jìn)行歸一化；步驟三：通過(guò)均值漂移聚類算法偏移正常數(shù)據(jù)的初始特征向量x1得到初始偏移軌跡；偏移軌跡內(nèi)經(jīng)過(guò)的點(diǎn)認(rèn)為是屬于同一個(gè)聚類，軌跡的最后一個(gè)點(diǎn)認(rèn)為是聚類中心；x1之后的訓(xùn)練數(shù)據(jù)依據(jù)初始偏移軌跡進(jìn)行聚類，得到多個(gè)簇；將包含正常數(shù)據(jù)的簇標(biāo)記為正常簇，將偏離正常簇最遠(yuǎn)的簇標(biāo)記為異常簇，剩余的簇就近合并到正常簇或異常簇；步驟四：正...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：屈洪春，邱澤良，呂強(qiáng)，宋冀生，伍永波，王平，
申請(qǐng)(專利權(quán))人：重慶郵電大學(xué)，
類型：發(fā)明
國(guó)別省市：重慶;50