本发明专利技术公开一种基于ARIMA模型的无线传感器网络流量异常检测方法,使用ARIMA模型,进行d次差分使序列平稳,适用于流量非均衡、不平稳的无线传感网络条件;使用窗口大小合适的滑动窗口使历史建模数据量固定,既保证了建模的快速性,还保证了历史数据的最新有效性;每一次滑动窗口建立最优的ARIMA(p,d,q)模型,保证了预测值的准确性;对最终用于异常判定的下一时刻流量预测值由前L次的预测值指数加权平均生成,这样对流量的预测引入一定的“惯性”,当异常流量来临时,不能轻易的改变正常的流量预测模型,而能更好的得到正常流量的预测值,更轻易的检测流量异常。
【技术实现步骤摘要】
本专利技术属于网络安全
,具体涉及一种基于ARIMA模型的无线传感器网络 流量异常检测方法。
技术介绍
无线传感器网络(Wireless Sensor Network,无线传感网络)由于其环境开放、 节点长期暴露在外,极易受到外界攻击。而常见的对于无线传感器网络的攻击,在传感节点 部分或全网都会表现出流量异常行为。因此,无线传感器网络的流量异常检测对于提高其 安全性具有极为重要的作用。 目前对于流量异常检测的研宄大多都使用流量预测模型,当预测的流量值与真 实值偏差过大,则判定为网络出现流量异常。对于预测模型的选择,现有的方法多采用对 时间序列研宄极为重要的自回归滑动平均模型(Autoregressive and Moving Average Model, ARM)。 ARIMA模型全称为差分整合自回归滑动平均模型(Autoregressive Integrated Moving Average Model,简记 ARIMA)。ARIMA (p,d,q)中,AR 是"自回归",p 为自回归项数; M为"移动平均",q为移动平均项数,d为时间序列变为平稳时所做的差分次数(阶数)。 对一般的时间序列仏3 = 1,2,~,11},设其均值£久)=11,则41?1嫩(?,(1,0中模型可以 表示为: 其中,B为后移算子,,为(1阶差分算子,后移算子多项式 = I -(PlB-Cp1B1-----(PpBi',0 (B) = 1- 0 0 2B2-----0 qBq〇 使用该模型的检测方法概括为:使用历史流量数据进行建模、确定参数;对未来 一段时间进行预测;通过误差判定流量异常。该方法能检测到网络流量发生明显异常的时 亥IJ,但检测精度较低,并且不能做到实时的异常检测。当引入了滑动窗口之后,能做到实时 的检测,但模型的不断拟合逼近,使得当异常发生时,容易将大量的异常值判定为正常值。 同时,ARMA模型只针对网络流量较平稳的条件,而对于无线传感网络流量非均衡、不平稳的 特点,其适用性较低。
技术实现思路
为了解决上述的问题,本专利技术提出了一种基于ARIMA模型的无线传感器网络流量 异常检测方法,采用ARIM模型,进行d次差分使序列平稳,适用于流量非均衡、不平稳的无 线传感网络条件。 本专利技术的技术方案是:一种基于ARIMA模型的无线传感器网络流量异常检测方 法,具体包括如下步骤: si:确定滑动窗口的大小; S2 :对由步骤Sl所确定的滑动窗口内流量数据进行平稳性判定,若流量数据非平 稳则进行d次差分,直至得到平稳流量数据序列; S3 :根据已得的平稳序列,利用AIC及BIC定阶法则,确定模型的阶数,即P和q的 值,同时根据步骤S2中的差分次数d,建立最优的ARIMA (p,d,q)模型; S4 :使用极大似然估计法确定由步骤S3得到的ARIMA(p, d, q)模型的待定参数; S5 :根据步骤S4得到ARIMA (p,d,q)模型进行L步预测,每一个预测值对应一预测 时刻,以时刻表存储各预测值; S6 :判断当前预测时刻在步骤S5中是否已存储得M个数据,若是则利用步骤S5中 累计得到的共计M个当前预测时刻的预测值,进行类指数加权平均生成当前预测时刻的一 步流量预测值,然后执行步骤S7 ;否则执行步骤S8 ; S7:根据步骤S6所得的当前预测时刻的一步流量预测值,与当前预测时刻出现的 真实流量值进行相对误差判定,若超过设定阈值则判定出现流量异常; S8 :窗口以设定步长step向前滑动,并转至步骤Sl。 进一步地,所述步骤S2具体包括以下分步骤: S21 :初始化差分次数d = 0 ; S22 :根据Dickey-Fuller测试检测流量数据是否平稳,若是则执行步骤S23,否则 执行步骤S24。 S23 :保留当前的d值,然后执行步骤S3 ; S24 :执行 d = d+1,转至步骤 S22。 进一步地,所述步骤S3具体为: S31 :根据由步骤S2得到的平稳流量数据序列,计算ARIMA(p,d,q)模型的阶数p 和q的值; S32 :根据p和q的值得到对应的AIC值,选取使得AIC值最小的p和q的值作为 ARIMA(p,d,q)模型阶数; S33 :根据步骤S32得到的p和q的值以及步骤S2得到的d值,建立最优 ARIMA(p,d,q)模型。 更进一步地,所述步骤S32中当有两组或两组以上的p和q的值得到相同的AIC 最小值时,则以BIC值进行判定,选取使得BIC值最小的p和q的值为ARIMA(p,d,q)模型 的阶数。 更进一步的,AIC定阶准则为d/C^) = ?ln€(P,g〇 + 2(P + ? + l); BIC定阶准则为: BIC(k) = nlna^:(p,q) + in(n)(p + q +\); 其中,n是样本容量;#是拟合残差方差,为 < 的估计,与p和q有关。 进一步地,所述步骤S6具体包括以下分步骤: S61 :判断当前预测时刻在步骤S5中是否已存储M个数据,若是则执行步骤S62否 则执行步骤S8 ; S62:根据步骤S5累计得到的M个当前预测时刻的预测值,进行类指数加权平均生 成当前预测时刻流量预测值,然后执行步骤S7。 其中,「*1表示向上取整运算。 进一步的,所述步骤S7中的设定阈值范围为:5%~15%。 本专利技术的有益效果是:本专利技术的无线传感器网络流量异常检测方法,使用ARIMA 模型,进行d次差分使序列平稳,适用于流量非均衡、不平稳的无线传感网络条件;使用窗 口大小合适的滑动窗口使历史建模数据量固定,既保证了建模的快速性,还保证了历史数 据的最新有效性;每一次滑动窗口建立最优的ARIMA(p,d,q)模型,保证了预测值的准确 性;对最终用于异常判定的下一时刻流量预测值由前L次的预测值指数加权平均生成,这 样对流量的预测引入一定的"惯性",当异常流量来临时,不能轻易的改变正常的流量预测 模型,而能更好的得到正常流量的预测值,更轻易的检测流量异常。【附图说明】 图1为本专利技术基于ARIMA模型的无线传感器网络流量异常检测方法流程示意图。 图2为含有流量异常数据的无线传感网络流量图。 图3为短步长指数平均加权法示意图。 图4为使用该专利技术方法进行流量异常检测后的标识图。【具体实施方式】 下面结合附图和具体实施例对本专利技术做进一步的说明: 本专利技术基于ARIMA模型的无线传感器网络流量异常检测方法流程示意图如图1所 示,下面使用如图2所示的含有异常流量的无线传感网络流量数据对该方法做实例验证, 具体包括以下步骤: Sl :选定一大小为Wind的滑动窗口。 Wind值的选择应在保证建模准确度的前提下尽可能的小,以减小算法复杂度。在 本实施例中根据ARIMA模型的最小建模长度为10,当Wind = 15时实测效果最好,因此本实 施例设定Wind = 15,包含当前时刻及之前的14个历史时刻流量数据。使用窗口大小合适 的滑动窗口使历史建模数据量固定,既保证了建模的快速性,还保证了历史数据的最新有 效性。 S2 :对由步骤Sl所确定的滑动窗口内流量数据进行平稳性判定,若流量数据非平 稳则进行d次差分,直至得到平稳流量数据序列;具体为: S21 :初始化差分次数d = 0本文档来自技高网...
【技术保护点】
一种基于ARIMA模型的无线传感器网络流量异常检测方法,其特征在于,包括如下步骤:S1:确定滑动窗口的大小;S2:对由步骤S1所确定的滑动窗口内流量数据进行平稳性判定,若流量数据非平稳则进行d次差分,直至得到平稳流量数据序列;S3:根据已得的平稳序列,利用AIC定阶法则,确定模型的阶数,即p和q的值,同时根据步骤S2中的差分次数d,建立最优的ARIMA(p,d,q)模型;S4:使用极大似然估计法确定由步骤S3得到的ARIMA(p,d,q)模型的待定参数;S5:根据步骤S4得到ARIMA(p,d,q)模型进行L步预测,每一个预测值对应一预测时刻,以时刻表存储各预测值;S6:判断当前预测时刻在步骤S5中是否已存储得M个数据,若是则利用步骤S5中累计得到的共计M个当前预测时刻的预测值,进行类指数加权平均生成当前预测时刻的一步流量预测值,然后执行步骤S7;否则执行步骤S8;S7:根据步骤S6所得的当前预测时刻的一步流量预测值,与当前预测时刻出现的真实流量值进行相对误差判定,若超过设定阈值则判定出现流量异常;S8:窗口以设定步长step向前滑动,并转至步骤S1。
【技术特征摘要】
【专利技术属性】
技术研发人员:于秦,吕吉彬,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。