一种动态自适应的无线传感器网络入侵检测智能方法技术

本发明专利技术涉及一种动态自适应的无线传感器网络入侵检测智能方法，属于无线传感器网络信息安全技术领域。该方法包括：采用min‑max标准化方法将网络特征归一化；通过均值漂移算法将训练数据聚类为多个簇，并根据簇中心之间的相对距离合并成两个簇；以正常数据为模版将这两个簇标记为正常或异常；训练数据的每个特征向量根据它与它所在的簇中心之间的距离来分配权重；将标记并加权的训练数据作为加权支持向量机的输入来构建决策函数；测试数据通过决策函数判别正常或异常；在检测阶段，每隔更新时间将决策函数判定后的检测数据加入到训练数据来重建决策函数。该算法部署简单，成本低，能适应不同的网络结构，能检测不同形式的攻击行为，而且具备扩展能力。

A dynamic adaptive algorithm for intrusion detection in Wireless Sensor Networks

The invention relates to a dynamic self-adaptive Intelligent Intrusion Detection Algorithm for wireless sensor networks, which belongs to the technical field of information security in wireless sensor networks. The algorithm includes: using min max normalization method normalization through the network; mean shift algorithm clustering the training data into multiple clusters, and according to the relative distance between the centers of clusters merged into two clusters; in the normal data for the two cluster template will be labeled as normal or abnormal; each feature vector of training the data distribution according to the weight between it and its cluster center distance; the training data labeled as weighted and weighted support vector machine input to construct the decision function; test data through the decision function to distinguish normal and abnormal; in the detection stage, every time will be updated after the data detection decision function decision to join the training data to reconstruct the decision function. The algorithm is simple, low cost, can adapt to different network structure, can detect different forms of attack behavior, and has the ability to expand.

【技术实现步骤摘要】

本专利技术属于无线传感器网络信息安全
，涉及一种动态自适应的无线传感器网络入侵检测智能算法。
技术介绍
无线传感器网络入侵检测系统通过收集和分析传感器节点信息，分辨出节点是否存在异常行为，并发出警报给管理员。入侵检测技术能够实时检测节点攻击行为，有效地弥补安全防御技术的不足。因此，入侵检测技术是保障无线传感器网络安全的关键技术之一。Athmani等人通过控制节点与基站的包传输来抵御黑洞攻击。该方案能节省节点能量，但它难以抵御泛洪攻击。因为泛洪攻击增加的是节点之间包传输的数量。为降低入侵检测的能量消耗，DiSarno和Garofalo仅利用能量消耗信息来检测多层泛洪攻击。然而，该方法难以检测与能量消耗信息无关的攻击行为。例如，在选择转发攻击中，恶意节点只转发或不转发特定节点的数据包，这对节点的能量消耗几乎没有影响。Lim和Huie提出Hop-by-HopCooperativeDetection方法来减少恶意转发的概率并达到95％以上的包投递率，但是该方法没有提及如何检测与恶意转发无关的攻击，如泛洪攻击等。Sarigiannidis等人通过基于测距的UWB检测算法建立了一个RADS(arule-basedanomalydetectionsystem)专家系统，该系统不需要节点合作和数据分享就能监测女巫攻击。然而，RADS不能检测规则中未定义的攻击行为。Obado等人通过计算源节点到目的节点之间最短路径的跳数构建HiddenMarkovModel(HMM)算法来检测蠕虫攻击。HMM算法能减少节点的能量消耗，但是难以识别与跳数无关的攻击，如泛洪攻击和Rushing攻击等。虽然上述入侵检测系统具有较好的检测性能或者较少的能源消耗，但它们只能检测一种攻击行为。Shamshirband等人提出Co-FAIS(cooperativemulti-agentbasedfuzzyartificialimmunesystem)方法来检测层级网络中的DDoS攻击(distributeddenial-ofserviceattack)。在该方法中，簇头和基站共同选择一个能发现并报告潜在攻击的最优策略，但是作者没有说明在平级网络中节点和基站之间如何协作并实施该方法。平级网络遭受污水池攻击时，基于污水池周围节点的剩余流量远小于其他节点的原理，Shafiei等人建立了一个地质风险模型和分布式监控方法来检测并抵御污水池攻击。然而，当污水池攻击发生在层级网络的簇头时，簇头周围节点的剩余能量与没有攻击时的情况并无显著差异。网络结构的特性一方面为检测模式提供了便利，然而在另一方面却限制了检测模式的应用范围。综上分析，当前入侵检测算法需要解决两个问题：1.当前入侵检测算法通常只能检测一种攻击行为。2.当前入侵检测算法通常依赖网络结构，使其难以适应不同的网络结构。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种动态自适应的无线传感器网络入侵检测智能算法，该算法不依赖网络结构，且能够检测不同形式的网络攻击并保持高检测率和低误报率。为达到上述目的，本专利技术提供如下技术方案：一种动态自适应的无线传感器网络入侵检测智能算法，该方法包括以下步骤：步骤一：无线传感器网络节点每隔一个时间间隔Δt发送其状态信息给基站；基站将在时间[0,t]内收到的节点状态信息定义为网络流量；网络流量以时间点m分界线分割为训练数据和测试数据；将无线传感器网络初始化后短暂时间[0,n]时间内状态信息定义为正常数据，该时间段内不存在任何攻击行为；步骤二：数据归一化，将训练数据通过max-min标准化方法进行归一化；步骤三：通过均值漂移聚类算法偏移正常数据的初始特征向量x1得到初始偏移轨迹；偏移轨迹内经过的点认为是属于同一个聚类，轨迹的最后一个点认为是聚类中心；x1之后的训练数据依据初始偏移轨迹进行聚类，得到多个簇；将包含正常数据的簇标记为正常簇，将偏离正常簇最远的簇标记为异常簇，剩余的簇就近合并到正常簇或异常簇；步骤四：正常簇和异常簇中的点根据点到其聚类中心的距离分配权值；将训练数据、簇标记和权值作为输入给加权支持向量机来生成决策函数；决策函数用于检测测试数据正常或异常；步骤五：通过决策函数将测试数据标记为正常或异常；根据决策结果将这些特征向量划分到对应的簇中，并用于更新决策函数；步骤六：每隔一个更新时间ΔT，将已决策的数据加入到训练数据，并根据均值漂移聚类算法从新的训练数据中获取新的聚类中心；根据新的聚类中心更新训练数据的权值；最后通过加权支持向量机从新的训练数据和新的权值中生成新的决策函数。进一步，在步骤一中，所述的节点状态信息定义为一个d维的特征向量其中d表示特征的类型数量；时间段[0,t]内记录的特征向量集合为网络流量，其表示为矩阵XAll＝{x1，x2，...，xall本文档来自技高网...

【技术保护点】
一种动态自适应的无线传感器网络入侵检测智能算法，其特征在于：该方法包括以下步骤：步骤一：无线传感器网络节点每隔一个时间间隔Δt发送其状态信息给基站；基站将在时间[0,t]内收到的节点状态信息定义为网络流量；网络流量以时间点m分界线分割为训练数据和测试数据；将无线传感器网络初始化后短暂时间[0,n]时间内状态信息定义为正常数据，该时间段内不存在任何攻击行为；步骤二：数据归一化，将训练数据通过max‑min标准化方法进行归一化；步骤三：通过均值漂移聚类算法偏移正常数据的初始特征向量x1得到初始偏移轨迹；偏移轨迹内经过的点认为是属于同一个聚类，轨迹的最后一个点认为是聚类中心；x1之后的训练数据依据初始偏移轨迹进行聚类，得到多个簇；将包含正常数据的簇标记为正常簇，将偏离正常簇最远的簇标记为异常簇，剩余的簇就近合并到正常簇或异常簇；步骤四：正常簇和异常簇中的点根据点到其聚类中心的距离分配权值；将训练数据、簇标记和权值作为输入给加权支持向量机来生成决策函数；决策函数用于检测测试数据正常或异常；步骤五：通过决策函数将测试数据标记为正常或异常；根据决策结果将这些特征向量划分到对应的簇中，并用于更新决策函数；步骤六：每隔一个更新时间ΔT，将已决策的数据加入到训练数据，并根据均值漂移聚类算法从新的训练数据中获取新的聚类中心；根据新的聚类中心更新训练数据的权值；最后通过加权支持向量机从新的训练数据和新的权值中生成新的决策函数。...

【技术特征摘要】
1.一种动态自适应的无线传感器网络入侵检测智能算法，其特征在于：该方法包括以下步骤：步骤一：无线传感器网络节点每隔一个时间间隔Δt发送其状态信息给基站；基站将在时间[0,t]内收到的节点状态信息定义为网络流量；网络流量以时间点m分界线分割为训练数据和测试数据；将无线传感器网络初始化后短暂时间[0,n]时间内状态信息定义为正常数据，该时间段内不存在任何攻击行为；步骤二：数据归一化，将训练数据通过max-min标准化方法进行归一化；步骤三：通过均值漂移聚类算法偏移正常数据的初始特征向量x1得到初始偏移轨迹；偏移轨迹内经过的点认为是属于同一个聚类，轨迹的最后一个点认为是聚类中心；x1之后的训练数据依据初始偏移轨迹进行聚类，得到多个簇；将包含正常数据的簇标记为正常簇，将偏离正常簇最远的簇标记为异常簇，剩余的簇就近合并到正常簇或异常簇；步骤四：正...

【专利技术属性】
技术研发人员：屈洪春，邱泽良，吕强，宋冀生，伍永波，王平，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：重庆;50