專利名稱:一種車載自組織網(wǎng)絡(luò)的分布式入侵檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及車載自組織網(wǎng)絡(luò)領(lǐng)域,特別是涉及一種車載自組織網(wǎng)絡(luò)的入侵檢測(cè)方法。
背景技術(shù):
車載自組織網(wǎng)絡(luò)以車輛為基本信息單元,通過車與車、車與路邊設(shè)施的實(shí)時(shí)信息交互來保證車輛行駛安全、規(guī)避道路擁塞和提高出行舒適度。車載自組織網(wǎng)絡(luò)的安全機(jī)制可以分為基于預(yù)防的安全機(jī)制和基于檢測(cè)的安全機(jī)制。其中基于預(yù)防的安全機(jī)制主要指密鑰管理和認(rèn)證實(shí)現(xiàn)的訪問控制,而基于檢測(cè)的安全機(jī)制則主要指入侵檢測(cè)。通常,基于預(yù)防的防御策略對(duì)于那些已經(jīng)加入車載自組織網(wǎng)絡(luò)的惡意節(jié)點(diǎn)是無能為力的。作為基于檢測(cè)的安全機(jī)制,入侵檢測(cè) 技術(shù)可以很好地進(jìn)行補(bǔ)充。資料表明,目前已有較多無線自組織網(wǎng)絡(luò)入侵檢測(cè)方面的成果,但是,到目前為止,國(guó)內(nèi)外僅有少量可供參考的車載自組織網(wǎng)絡(luò)入侵檢測(cè)方面的成果。Kachirski等人針對(duì)無線自組織網(wǎng)絡(luò)提出一種基于移動(dòng)安全代理的入侵檢測(cè)系統(tǒng),這種系統(tǒng)的前提是被選出的代理節(jié)點(diǎn)必須是絕對(duì)可信任的。由于迅速的拓?fù)渥兓瘜?dǎo)致頻繁選舉代理節(jié)點(diǎn),因此該方案不適用于車載自組織網(wǎng)絡(luò)。Zhang等人考慮使用統(tǒng)計(jì)技術(shù)來解決無線自組織網(wǎng)絡(luò)中的入侵檢測(cè)問題。但是該方案應(yīng)用到車載自組織網(wǎng)絡(luò)也將面臨拓?fù)溲杆僮兓奶魬?zhàn):很可能在信息搜集和分析決策完成之前,某些惡意節(jié)點(diǎn)已經(jīng)脫離該網(wǎng)絡(luò)了。Tian等人提出一種依賴于公交車網(wǎng)絡(luò)(由公交車構(gòu)成的虛擬移動(dòng)骨干網(wǎng))的入侵檢測(cè)系統(tǒng),它以公交車為簇頭,將整個(gè)車載自組織網(wǎng)絡(luò)劃分為若干簇,在每個(gè)簇中實(shí)現(xiàn)基于合作的入侵檢測(cè)。這種系統(tǒng)明顯的特點(diǎn)是必須依賴于公交車網(wǎng)絡(luò)的底層結(jié)構(gòu)。綜上所述,一方面由于車載自組織網(wǎng)絡(luò)中節(jié)點(diǎn)的高速移動(dòng)性使得節(jié)點(diǎn)間基于合作的檢測(cè)很難實(shí)現(xiàn),另一方面基于單個(gè)節(jié)點(diǎn)的檢測(cè)又很難搜集到足夠的信息用于分析決策。因此,迫切需要設(shè)計(jì)一種既能充分考慮車載自組織網(wǎng)絡(luò)高速移動(dòng)、頻繁拓?fù)渥兓奶攸c(diǎn)又具有較高檢測(cè)能力的入侵檢測(cè)方法。入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)測(cè),在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IETF將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件:事件產(chǎn)生器,事件分析器,響應(yīng)單元和事件數(shù)據(jù)庫。事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復(fù)雜的數(shù)據(jù)庫,也可以是簡(jiǎn)單的文本文件。根據(jù)檢測(cè)對(duì)象的不同,入侵檢測(cè)系統(tǒng)可分為主機(jī)型、網(wǎng)絡(luò)型和分布式。誤用檢測(cè)和異常檢測(cè)是入侵檢測(cè)系統(tǒng)最常見的兩種分類模型。誤用檢測(cè)是指使用自定義的描述語言生成入侵模式,并解析網(wǎng)絡(luò)數(shù)據(jù)等信息,使各信息與入侵模式進(jìn)行逐一的匹配,從而發(fā)現(xiàn)攻擊。異常檢測(cè)是指通過量化分析與統(tǒng)計(jì)分析建立正常的使用規(guī)則,并將該規(guī)則與當(dāng)前的系統(tǒng)或用戶行為進(jìn)行比較,根據(jù)彼此的差異區(qū)分攻擊行為。除此之外,神經(jīng)網(wǎng)絡(luò)、遺傳算法、隱馬爾可夫、支持向量機(jī)、粗糙集以及人工免疫算法等智能方法也被廣泛應(yīng)用于入侵檢測(cè)。其中基于樸素貝葉斯分類器的入侵檢測(cè)方法具有分類效果好、魯棒性強(qiáng)的特點(diǎn),能夠根據(jù)少量的訓(xùn)練數(shù)據(jù)就能估計(jì)出必要的參數(shù),但是在直接應(yīng)用到車載自組織網(wǎng)絡(luò)時(shí)存在一定的局限性,如:沒有考慮訓(xùn)練集中未出現(xiàn)過的事件的概率;不能直接處理數(shù)據(jù)中的連續(xù)屬性等。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是:如何創(chuàng)新地設(shè)計(jì)一種既能充分考慮車載自組織網(wǎng)絡(luò)高速移動(dòng)、頻繁拓?fù)渥兓奶攸c(diǎn)又具有較高檢測(cè)能力的分布式入侵檢測(cè)方法。為了解決上述問題,本發(fā)明公開了一種車載自組織網(wǎng)絡(luò)分布式入侵檢測(cè)方法,其技術(shù)方案包括以下各步驟:
步驟1:車載自組織網(wǎng)絡(luò)中的車輛節(jié)點(diǎn)對(duì)采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理,包括無用數(shù)據(jù)過濾、類型轉(zhuǎn)換和格式統(tǒng)一;
步驟2:車輛節(jié)點(diǎn)采用改進(jìn)的樸素貝葉斯分類算法啟動(dòng)本地檢測(cè);
步驟3:當(dāng)檢測(cè)出異常時(shí),當(dāng)前節(jié)點(diǎn)將數(shù)據(jù)標(biāo)記為異常并存入本地特征庫,其本地響應(yīng)模塊立即采取響應(yīng)措施,同時(shí),當(dāng)前節(jié)點(diǎn)通過聯(lián)機(jī)響應(yīng)模塊向鄰居節(jié)點(diǎn)發(fā)出異常報(bào)警并傳遞異常特征;反之,如果檢測(cè)為正常,則將數(shù)據(jù)標(biāo)記為正常并存入本地特征庫;
步驟4:鄰居節(jié)點(diǎn)在收到異常報(bào)警和異常特征后立即隔離異常報(bào)警來源節(jié)點(diǎn),啟動(dòng)本地檢測(cè),如果發(fā)現(xiàn)異常,則存入本地特征庫,其本地響模塊立即采取響應(yīng)措施,同時(shí),通過聯(lián)機(jī)響應(yīng)模塊向除異常報(bào)警來源節(jié)點(diǎn)以外的其它鄰居節(jié)點(diǎn)發(fā)出異常報(bào)警并傳遞異常特征;反之,如果檢測(cè)正常,則鄰居節(jié)點(diǎn)不會(huì)觸發(fā)聯(lián)機(jī)響應(yīng)模塊;
步驟5:通過這種方式不斷傳遞下去,從而實(shí)現(xiàn)整個(gè)車載自組織網(wǎng)絡(luò)的分布式入侵檢 測(cè)。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn):
(1)本發(fā)明采用了一種適用于車載自組織網(wǎng)絡(luò)的分布式入侵檢測(cè)體系結(jié)構(gòu),車輛節(jié)點(diǎn)在本地響應(yīng)模塊的基礎(chǔ)上,增加了聯(lián)機(jī)響應(yīng)模塊和異常特征的網(wǎng)絡(luò)傳遞功能,實(shí)現(xiàn)了分布式網(wǎng)絡(luò)環(huán)境下車輛節(jié)點(diǎn)之間的合作檢測(cè)以及異常特征的聯(lián)機(jī)學(xué)習(xí),提高了整個(gè)車載自組織網(wǎng)絡(luò)的分析檢測(cè)能力,具有體系結(jié)構(gòu)簡(jiǎn)單、復(fù)雜度低、學(xué)習(xí)能力強(qiáng)和智能化程度高的特點(diǎn);
(2)本發(fā)明采用了一種改進(jìn)的樸素貝葉斯分類算法用于車輛節(jié)點(diǎn)的本地檢測(cè),該算法利用等寬區(qū)間法將連續(xù)屬性離散化,引入拉普拉斯平滑從觀測(cè)到的攻擊估計(jì)未觀測(cè)到攻擊的概率,利用半衰期更新法不斷更新本地特征庫,這些措施成功解決了樸素貝葉斯分類算法不能處理數(shù)據(jù)中連續(xù)屬性的問題以及可能出現(xiàn)事件概率分配不合理的現(xiàn)象,提高了單個(gè)車輛節(jié)點(diǎn)分析檢測(cè)的能力。
圖1為本發(fā)明的車載自組織網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)圖。圖2為本發(fā)明的改進(jìn)的樸素貝葉斯分類算法流程圖。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)說明。
如附圖1所示,車載自組織網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)中每個(gè)節(jié)點(diǎn)由數(shù)據(jù)處理、本地檢測(cè)、特征庫、本地響應(yīng)和聯(lián)機(jī)響應(yīng)模塊組成。本發(fā)明方法按照以下步驟進(jìn)行:
步驟1:車載自組織網(wǎng)絡(luò)中的車輛節(jié)點(diǎn)對(duì)采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理,包括無用數(shù)據(jù)過濾、類型轉(zhuǎn)換和格式統(tǒng)一;
步驟2:車輛節(jié)點(diǎn)采用改進(jìn)的樸素貝葉斯分類算法啟動(dòng)本地檢測(cè);
如附圖2所示,改進(jìn)的樸素貝葉斯分類算法包括以下步驟:(1)利用等寬區(qū)間法離散化連續(xù)屬性;(2)建立多項(xiàng)式事件模型;(3)利用樸素貝葉斯分類器得到目標(biāo)函數(shù);(4)利用拉普拉斯平滑法估價(jià)參數(shù)值;(5)計(jì)算出目標(biāo)函數(shù)值并得到檢測(cè)結(jié)果;(6)利用半衰期更新法更新特征庫。下面結(jié)合附圖2對(duì)改進(jìn)的樸素貝葉斯分類算法的各個(gè)步驟進(jìn)行詳細(xì)說明:(1)利用等寬區(qū)間法離散化連續(xù)屬性。由于采集到的數(shù)據(jù)中有些屬性值是連續(xù)的,不能直接用于樸素貝葉斯分類器,因此需要采用等寬區(qū)間法將數(shù)據(jù)中的這部分連續(xù)屬性離散化。等寬區(qū)間法是一種簡(jiǎn)單的無監(jiān)督學(xué)習(xí)的離散化方法,其離散過程如下:根據(jù)指定的
區(qū)間數(shù)&將連續(xù)屬性的值域
權(quán)利要求
1.一種車載自組織網(wǎng)絡(luò)的分布式入侵檢測(cè)方法,其特征在于,包括以下各個(gè)步驟: 步驟1:車載自組織網(wǎng)絡(luò)中的車輛節(jié)點(diǎn)對(duì)采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理,包括無用數(shù)據(jù)過濾、類型轉(zhuǎn)換和格式統(tǒng)一; 步驟2:車輛節(jié)點(diǎn)采用改進(jìn)的樸素貝葉斯分類算法啟動(dòng)本地檢測(cè); 步驟3:當(dāng)檢測(cè)出異常時(shí),當(dāng)前節(jié)點(diǎn)將數(shù)據(jù)標(biāo)記為異常并存入本地特征庫,其本地響應(yīng)模塊立即采取響應(yīng)措施,同時(shí),當(dāng)前節(jié)點(diǎn)通過聯(lián)機(jī)響應(yīng)模塊向鄰居節(jié)點(diǎn)發(fā)出異常報(bào)警并傳遞異常特征;反之,如果檢測(cè)為正常,則將數(shù)據(jù)標(biāo)記為正常并存入本地特征庫; 步驟4:鄰居節(jié)點(diǎn)在收到異常報(bào)警和異常特征后立即隔離異常報(bào)警來源節(jié)點(diǎn),啟動(dòng)本地檢測(cè),如果發(fā)現(xiàn)異常,則存入本地特征庫,其本地響模塊立即采取響應(yīng)措施,同時(shí),通過聯(lián)機(jī)響應(yīng)模塊向除異常報(bào)警來源節(jié)點(diǎn)以外的其它鄰居節(jié)點(diǎn)發(fā)出異常報(bào)警并傳遞異常特征;反之,如果檢測(cè)正常,則鄰居節(jié)點(diǎn)不會(huì)觸發(fā)聯(lián)機(jī)響應(yīng)模塊; 步驟5:通過這種方式不斷傳遞下去,從而實(shí)現(xiàn)整個(gè)車載自組織網(wǎng)絡(luò)的分布式入侵檢測(cè)。
2.根據(jù)權(quán)利要求1所述的改進(jìn)的樸素貝葉斯分類算法,其特征是: 改進(jìn)的樸素貝葉斯分類算法包括以下步驟:(1)利用等寬區(qū)間法離散化連續(xù)屬性;(2)建立多項(xiàng)式事件模型;(3)利用樸素貝葉斯分類器得到目標(biāo)函數(shù);(4)利用拉普拉斯平滑法估價(jià)參數(shù)值;(5)計(jì)算出目標(biāo)函數(shù)值并得到檢測(cè)結(jié)果;(6)利用半衰期更新法更新特征庫。
全文摘要
本發(fā)明提供了一種車載自組織網(wǎng)絡(luò)的分布式入侵檢測(cè)方法,車輛節(jié)點(diǎn)采用改進(jìn)的樸素貝葉斯分類算法啟動(dòng)本地檢測(cè),當(dāng)檢測(cè)出異常時(shí),將數(shù)據(jù)標(biāo)記為異常并存入本地特征庫,其本地響應(yīng)模塊立即采取響應(yīng)措施,同時(shí),通過聯(lián)機(jī)響應(yīng)模塊向鄰居節(jié)點(diǎn)發(fā)出異常報(bào)警并傳遞異常特征,如果鄰居節(jié)點(diǎn)也發(fā)現(xiàn)異常,則存入本地特征庫,其本地響模塊立即采取響應(yīng)措施,同時(shí),通過聯(lián)機(jī)響應(yīng)模塊向除異常報(bào)警來源節(jié)點(diǎn)以外的其它鄰居節(jié)點(diǎn)發(fā)出異常報(bào)警并傳遞異常特征,通過這種方式不斷傳遞下去,從而實(shí)現(xiàn)整個(gè)車載自組織網(wǎng)絡(luò)的分布式入侵檢測(cè),本發(fā)明提高了整個(gè)車載自組織網(wǎng)絡(luò)的分析檢測(cè)能力,具有體系結(jié)構(gòu)簡(jiǎn)單、復(fù)雜度低、學(xué)習(xí)能力強(qiáng)和智能化程度高的特點(diǎn)。
文檔編號(hào)H04L29/06GK103237308SQ20131017715
公開日2013年8月7日 申請(qǐng)日期2013年5月15日 優(yōu)先權(quán)日2013年5月15日
發(fā)明者劉興偉, 汪麗, 黃淵, 賀艷, 黃弘, 徐浩 申請(qǐng)人:西華大學(xué)