分布式检测系统中基于自适应门限的恶意节点识别方法技术方案

本发明专利技术涉及分布式检测系统中基于自适应门限的恶意节点识别方法。现有的防御方法在攻击概率或攻击强度较小时的恶意节点识别概率会明显降低，甚至无法识别。本发明专利技术方法采用自适应门限调整方法，包含如下步骤：传感器节点首先感知待检测目标信号获得目标测量数据，恶意节点会采用概率型攻击模型篡改测量数据，融合中心根据系统中的N个传感器发送的汇报数据，分别计算每个传感器节点的局部判决结果与系统全局判决结果的不匹配度，然后融合中心选择最优判决门限，最后融合中心将每个传感器节点的不匹配度与其判决门限进行比较，判断出每个传感器节点的类型。本发明专利技术方法操作简单，容易实现，且能够在低攻击概率和低攻击强度时提高恶意节点识别概率。

Malicious Node Recognition Method Based on Adaptive Threshold in Distributed Detection System

The invention relates to a malicious node identification method based on adaptive threshold in a distributed detection system. The existing defense methods can significantly reduce the probability of malicious node identification when the attack probability or intensity is low, or even can not be recognized. The method adopts an adaptive threshold adjustment method, which includes the following steps: the sensor node first senses the target signal to be detected and obtains the target measurement data; the malicious node will tamper with the measurement data using a probabilistic attack model; and the fusion center calculates each transmission separately according to the reported data sent by N sensors in the system. Then the fusion center chooses the optimal decision threshold. Finally, the fusion center compares the mismatch degree of each sensor node with its decision threshold to determine the type of each sensor node. The method of the invention has the advantages of simple operation, easy realization, and can improve the identification probability of malicious nodes at low attack probability and low attack intensity.

【技术实现步骤摘要】
分布式检测系统中基于自适应门限的恶意节点识别方法
本专利技术属于通信
，具体是分布式信息处理中的分布式检测领域，涉及一种分布式检测系统中基于自适应门限的恶意节点识别方法。
技术介绍
分布式检测是无线传感器网络的重要基础应用之一。分布式检测系统由一个待检测目标，若干个传感器节点和一个融合中心构成，每个传感器节点将感知到的目标测量数据先进行一定的预处理，然后将这些数据发送给融合中心，融合中心进行数据融合产生判决统计参量，判决出待检测目标信号是否存在。但是，分布式检测系统的性能依赖于网络传感器节点的感知性能与可靠性，这种系统的分布式结构使得它极易受到各种各样的攻击，其中一种典型的攻击即为感知数据篡改攻击。在这种攻击下，攻击者捕获传感器节点，使其成为恶意节点，恶意节点会发送伪造的目标测量数据给融合中心以干扰系统的最终判决结果，这会导致分布式检测系统性能的下降。因此，分布式检测系统需要解决攻击者发起的感知数据篡改攻击问题。目前已提出一些防御感知数据篡改攻击的方法，如基于信誉度的恶意节点识别方法，基于异常检测的恶意节点识别方法，基于可信节点的恶意节点识别方法等。在基于信誉度的恶意节点识别方法中，采用信誉度表征每个传感器节点的可靠性，当传感器节点的本地判决结果与系统全局判决结果一致时，其信誉度增大；否则其信誉度减小，通过一段时间的累积，若传感器节点的信誉度低于预设门限，则融合中心判定该传感器节点为恶意节点，进而将其剔除出系统。在基于异常检测的恶意节点识别方法中，传感器节点发送目标测量数据给融合中心，融合中心通过定义异常因子衡量每个传感器节点发送的数据与其他传感器节点发送的数据间的偏离程度。当某个传感器节点的异常因子大于预设门限时，则融合中心判定该传感器节点为恶意节点，并在分布式检测时移除该传感器节点。在基于可信节点的恶意节点识别方法中，分布式系统中存在可信节点，融合中心通过传感器节点与可信节点在行为上的差异，识别恶意节点，并将其剔除出系统。当恶意节点的恶意程度(攻击概率和攻击强度)较大时，现有的恶意节点识别方法具有不俗的识别效果。但是，当恶意节点的恶意程度较小时，这些方法的恶意节点识别概率会明显降低，甚至无法识别。在实用的分布式检测系统中，为保证系统在各种恶意程度下总能较准确地识别出恶意节点，融合中心需要设计更加灵活的恶意节点识别方法。
技术实现思路
本专利技术目的是针对感知数据篡改攻击，提供一种分布式检测系统中基于自适应门限的恶意节点识别方法，以降低恶意节点攻击行为造成的影响，保证分布式检测系统的可靠性。本专利技术方法考虑到恶意节点的恶意程度较低时，现有的恶意节点识别方法识别效果较差，因此提出了一种基于自适应门限的恶意节点识别方法。本专利技术不仅在恶意节点的恶意程度较大时有不俗的识别效果，在恶意节点的恶意程度较小时也能较好地识别恶意节点。为了实现上述目的，本专利技术所采用的具体步骤为：步骤1.传感器节点感知待检测目标信号得到目标测量数据，将获取的目标测量数据发送给融合中心；具体过程如下：(1)传感器节点感知目标信号得到目标测量数据：分布式检测系统中有N个传感器节点，传感器节点i获得的目标测量数据为：其中，H0和H1分别表示待检测目标信号不存在的假设和存在的假设；s(t)是待检测目标信号第t次采样值，hi是待检测目标与传感器节点i间的信道增益，是传感器节点i的感知信道上的噪声信号，并假设噪声是均值为0，方差为的加性白高斯噪声。传感器节点i在本地检测过程采样M次后，得到目标测量数据为根据中心极限定理，当采样次数M足够大时，yi可近似为正态分布，则yi在H0和H1假设下的分布为：其中μi,0和μi,1分别表示传感器节点i在H0和H1假设下的均值，和分别表示传感器节点i在H0和H1假设下的方差，具体表示为：νi是传感器节点i接收信号的平均信噪比。(2)传感器节点发送测量数据给融合中心：zi是第i个传感器节点向融合中心汇报的数据。若第i个传感器节点被攻击者捕获成为恶意节点，则采用概率型攻击模型篡改目标测量数据。即恶意节点发起攻击时，zi≠yi；若第i个传感器节点为正常节点或者没有发起攻击的恶意节点，zi＝yi。在概率型感知数据篡改攻击模型中，恶意节点i以攻击概率βi决定是否发起攻击：当恶意节点决定发起攻击时，首先进行本地判决，若本地判决结果为待检测目标信号不存在，则在实际测量数据的基础上加偏移量Δi；若本地判决结果为待检测目标信号存在，则在实际测量数据的基础上减偏移量Δi；当恶意节点决定不发起攻击时，对目标测量数据不做任何处理。因此，恶意节点i的汇报数据的分布为其中和分别表示恶意节点在H0和H1假设下的均值，和分别表示传感器节点在H0和H1假设下的方差，具体表示为：其中Pf,i和Pm,i分别表示传感器节点的本地虚警概率和漏检概率。步骤2.融合中心接收N个传感器节点发送的目标测量数据，进行数据融合，得到全局判决；假设分布式检测系统中，传感器节点与融合中心间的汇报信道是理想信道，即融合中心收到的汇报数据就是各节点发送的数据，不考虑信道误码引起的差错。在一次感知过程中，融合中心收到的目标测量数据表示为z＝[z1,z2,...,zi,...,zN]，融合中心采用线性融合方法得到目标检测的全局检验统计量其中wi表示传感器节点i的权重，满足融合中心采用如下判决准则：对目标存在与否做出全局判决，其中表示目标不存在，表示目标存在，λc为全局判决门限。步骤3.融合中心定义判断传感器节点类型的特征变量，构建节点类型判决变量，并形成节点识别二元判决问题，选择判决门限，进而判断传感器节点i的类型；具体过程如下：(1)融合中心定义传感器节点的特征变量，构建传感器节点类型判断的判决变量：融合中心将传感器节点i的局部判决结果与系统全局判决结果的不匹配度，作为用于传感器类型判断的特征变量。Ii(τ)表示传感器节点i在第τ次感知过程中的局部判决结果与系统全局判决结果一致性表征变量，其中局部判决结果通过比较收到传感器节点i的目标测量数据与局部判决门限得到，判决准则为：λi为传感器节点i的局部判决门限；当传感器节点i的局部判决结果与系统全局判决结果不一致时，Ii(τ)＝1；否则，Ii(τ)＝0。融合中心计算L次感知过程内传感器节点i的局部判决结果与系统全局判决结果的不匹配度，即传感器节点i的判决变量为(2)融合中心形成节点类型二元判决问题，选择最优判决门限：针对每个传感器节点，融合中心构造节点类别二元判决问题如下：其中表示融合中心判决传感器节点i是正常节点，表示融合中心判决传感器节点i是恶意节点，ζi表示融合中心处传感器节点i的判决门限。融合中心希望恶意节点被正确识别的概率(正确识别概率)尽可能大，同时正常节点被错误识别成恶意节点的概率(识别虚警概率)尽可能小。因此融合中心需要在正确识别概率和识别虚警概率之间做出权衡，找到均衡点。通过最大化正确识别概率与识别虚警概率的差值，融合中心可以得到传感器节点i的最优判决门限；最优判决门限的求解问题表示为：其中，ζi*是用于判断传感器节点i的类型的最优判决门限，ωiM表示传感器节点i是恶意节点时的判决变量，P(ωiM＞ζi)表示恶意节点i被正确识别的概率；ωiH表示传感器节点i是正常节点时的判决变量，P(ωiH＞ζi)表示正本文档来自技高网...

【技术保护点】
1.分布式检测系统中基于自适应门限的恶意节点识别方法，其特征在于，该方法的具体步骤是：步骤1.传感器节点感知待检测目标信号得到目标测量数据，将获取的目标测量数据发送给融合中心；具体过程如下：(1)传感器节点感知目标信号得到目标测量数据：分布式检测系统中有N个传感器节点，传感器节点i获得的目标测量数据为：

【技术特征摘要】
1.分布式检测系统中基于自适应门限的恶意节点识别方法，其特征在于，该方法的具体步骤是：步骤1.传感器节点感知待检测目标信号得到目标测量数据，将获取的目标测量数据发送给融合中心；具体过程如下：(1)传感器节点感知目标信号得到目标测量数据：分布式检测系统中有N个传感器节点，传感器节点i获得的目标测量数据为：其中，H0和H1分别表示待检测目标信号不存在的假设和存在的假设；s(t)是待检测目标信号第t次采样值，hi是待检测目标与传感器节点i间的信道增益，是传感器节点i的感知信道上的噪声信号，并假设噪声是均值为0，方差为的加性白高斯噪声；传感器节点i在本地检测过程采样M次后，得到目标测量数据为则yi在H0和H1假设下的分布为：其中μi,0和μi,1分别表示传感器节点i在H0和H1假设下的均值，和分别表示传感器节点i在H0和H1假设下的方差，具体表示为：νi是传感器节点i接收信号的平均信噪比；(2)传感器节点发送测量数据给融合中心：若第i个传感器节点被攻击者捕获成为恶意节点，则采用概率型攻击模型篡改目标测量数据，即恶意节点发起攻击时，zi≠yi，若第i个传感器节点为正常节点或者没有发起攻击的恶意节点，zi＝yi；zi是第i个传感器节点向融合中心汇报的数据；在概率型感知数据篡改攻击模型中，恶意节点i以攻击概率βi决定是否发起攻击：当恶意节点决定发起攻击时，首先进行本地判决，若本地判决结果为待检测目标信号不存在，则在实际测量数据的基础上加偏移量Δi；若本地判决结果为待检测目标信号存在，则在实际测量数据的基础上减偏移量Δi；当恶意节点决定不发起攻击时，对目标测量数据不做任何处理；恶意节点i的汇报数据的分布为其中和分别表示恶意节点在H0和H1假设下的均值，和分别表示传感器节点在H0和H1假设下的方差，具体表示为：其中Pf,i和Pm,i分别表示传感器节点的本地虚警概率和漏检概率；步骤2.融合中心接收N个传感器节点发送的目标测量数据，进行数据融合，得到全局判决；在一次感知过程中，融合中心收到的目标测量数据表示为z＝[z1,z2,...,zi,...,zN]，融合中心采用线性融合方法得到目标检测的全局检验统计量其中wi表示传感器节点i的权重，满足融合中心采用如下判决准则：对目标存在与否做出全局判...

【专利技术属性】
技术研发人员：陈惠芳，谢磊，朱晓颖，
申请(专利权)人：浙江大学，
类型：发明
国别省市：浙江,33