一種基于流量預(yù)測的雙層觸發(fā)入侵檢測方法
【專利摘要】本發(fā)明提供一種基于流量預(yù)測的雙層觸發(fā)入侵檢測方法��,只有在上層模型檢測出異常時�,判斷出現(xiàn)異常的區(qū)域才將會以一定的規(guī)則激發(fā)下層模型,在減少節(jié)點(diǎn)能源使用的同時也能確保檢測結(jié)果的準(zhǔn)確性����。包括數(shù)據(jù)采集步驟:監(jiān)測節(jié)點(diǎn)將周期性的采集網(wǎng)絡(luò)中的數(shù)據(jù)流量信息并傳輸給基站;數(shù)據(jù)分析步驟:基站收到監(jiān)測節(jié)點(diǎn)發(fā)送的信息后根據(jù)ARIMA模型對該監(jiān)測節(jié)點(diǎn)的歷史數(shù)據(jù)進(jìn)行流量預(yù)測���;觸發(fā)判斷步驟:基站在流量預(yù)測值與真實值相差超出預(yù)定閥值時向匯聚節(jié)點(diǎn)發(fā)送異常警報�����,異常區(qū)域開始啟用本地入侵檢測系統(tǒng)����;啟用本地入侵檢測模型步驟:當(dāng)匯聚節(jié)點(diǎn)接收到異常警報時����,警報中異常出現(xiàn)區(qū)域的匯聚節(jié)點(diǎn)和普通節(jié)點(diǎn)將啟動第二層入侵檢測模型��,即本地入侵監(jiān)測模型�����。
【專利說明】一種基于流量預(yù)測的雙層觸發(fā)入侵檢測方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種基于流量預(yù)測的雙層觸發(fā)入侵檢測方法���,屬于無線傳感器網(wǎng)絡(luò)領(lǐng) 域���。
【背景技術(shù)】
[0002] 入侵檢測的研究可以追溯到James P. Anderson在1980年的工作�,他首次提出了 "威脅"等術(shù)語�����,這里所指的"威脅"與入侵的含義基本相同�����,將入侵嘗試或威脅定義為:潛 在的�、有預(yù)謀的、未經(jīng)授權(quán)的訪問企圖�,致使系統(tǒng)不可靠或無法使用。1987年��,喬治敦大學(xué)的 Dorothy Denning首先提出了入侵檢測的定義:一個入侵檢測系統(tǒng)由三個部件組成,信息收 集部件完成網(wǎng)絡(luò)信息的收集�;檢測部件完成對收集信息的分析、檢測�����;響應(yīng)模塊對入侵行 為采取一定的處理措施��。入侵檢測系統(tǒng)的框架如圖1所示�。
[0003] 針對無線傳感器網(wǎng)絡(luò)的特點(diǎn),目前已經(jīng)提出了一些有效的入侵檢測方案:
[0004] (1)流量預(yù)測技術(shù)
[0005] Han等基于馬爾可夫流量預(yù)測模型提出了一種有效的入侵檢測方法�,該方法通過 預(yù)測每一個節(jié)點(diǎn)的流量獨(dú)立的進(jìn)行異常檢測,不需要特殊的硬件支持和節(jié)點(diǎn)之間的合作��。 Lee等通過利用遺傳算法(Genetic Algorithm)優(yōu)化流量矩陣�����,提出了一種增強(qiáng)DD0S攻擊 檢測的方法�����。Stetsko等提出了基于鄰居節(jié)點(diǎn)流量的入侵檢測系統(tǒng)����。該方法認(rèn)為空間上相 互接近的節(jié)點(diǎn)具有類似的行為���,如果一個節(jié)點(diǎn)的行為和鄰居節(jié)點(diǎn)有明顯的不同,節(jié)點(diǎn)被認(rèn) 為是惡意節(jié)點(diǎn)�,這種檢測技術(shù)是區(qū)域性、無監(jiān)督����、適應(yīng)網(wǎng)絡(luò)的動態(tài)變化。
[0006] ⑵統(tǒng)計方法
[0007] Wang等采用了服從泊松分布的無線傳感器網(wǎng)絡(luò)對入侵檢測進(jìn)行研究�,分別通過同 構(gòu)無線傳感器網(wǎng)絡(luò)和異構(gòu)無線傳感器網(wǎng)絡(luò)中傳感器節(jié)點(diǎn)的密度��、采集信息的能力及通信范 圍對入侵檢測概率進(jìn)行了分析�����,并討論了網(wǎng)絡(luò)連通性和廣播能力對入侵檢測的影響����。Zhang 等依賴一些空間粒度的時空相關(guān)性和頻率機(jī)制的一致性,用一個檢測框架來處理內(nèi)部攻 擊�,例如意外信息和異常行為。該框架描述了兩類檢測機(jī)制�,一種是簇頭節(jié)點(diǎn)覆蓋它的組, 另一種是普通傳感器節(jié)點(diǎn)監(jiān)視它的一跳鄰近節(jié)點(diǎn)�����。同時一個隨機(jī)預(yù)分配密鑰和這個檢測框 架合作。
[0008] (3)數(shù)據(jù)挖掘和計算機(jī)能
[0009] Rajasegarar等基于一個k-means聚類算法設(shè)計了一個分布式檢測框架����。每一個 本地的普通傳感器節(jié)點(diǎn)收集本地的數(shù)據(jù)集合構(gòu)成正常的模型。然后簇頭節(jié)點(diǎn)收集所有本地 正常的模型來完成數(shù)據(jù)處理的過程�����,這里一個全局的正常模型被產(chǎn)生���。在接收到全局正常 模型后���,每一個傳感器節(jié)點(diǎn)通過初始化分析和決策過程來完成檢測。為適應(yīng)基于距離的聚 類��,每個傳感器節(jié)點(diǎn)用一個預(yù)處理過程來對輸入的數(shù)據(jù)標(biāo)準(zhǔn)化����。Tian等提出了基于支持向 量機(jī)(SVM)的社區(qū)入侵檢測系統(tǒng),該方案通過利用遺傳算法來優(yōu)化SVM的參數(shù)���,從而增強(qiáng)了 算法收斂速度和識別精度�,由于具有較高的分類能力、有效的學(xué)習(xí)能力和推廣能力�,算法具 有較高的準(zhǔn)確率,不足之處是算法需要大量的訓(xùn)練樣本����,訓(xùn)練時間較長。
[0010] (4)博弈理論
[0011] Agah等人提出了基于博弈的傳感網(wǎng)絡(luò)入侵檢測模型��。該模型由網(wǎng)絡(luò)攻擊方和網(wǎng) 絡(luò)防御方組成���,其中攻擊方的策略有三種:ASi攻擊簇k�,AS 2不攻擊任何簇��,AS3攻擊不同的 簇���;網(wǎng)絡(luò)防御方的策略有兩中:SSi保護(hù)簇k,SS 2保護(hù)不同的簇���。效用函數(shù)A和B表示博弈 結(jié)束后�,攻擊放和防御方得到的效益集合��。
[0012] (5)免疫理論
[0013] Forrest首先將免疫技術(shù)用于基于主機(jī)的入侵檢測中�。她首先定義特權(quán)進(jìn)程所執(zhí) 行的系統(tǒng)調(diào)用序列作為被保護(hù)計算機(jī)的"自我"�,然后建立有系統(tǒng)程序的正常行為組成的數(shù) 據(jù)庫�,當(dāng)建立好這個數(shù)據(jù)庫后就可以監(jiān)視程序行為了。如果發(fā)現(xiàn)了不在數(shù)據(jù)庫中的序列表 明有異常的行為發(fā)生����。
[0014] (6)信任模型
[0015] Lin等針對無線傳感器網(wǎng)絡(luò)中的各類攻擊,提出了基于信任管理的入侵檢測方案����。 該方案通過信任度高的節(jié)點(diǎn)監(jiān)控整個簇頭從而節(jié)省了能量、延長了網(wǎng)絡(luò)的壽命�����,通過改進(jìn) CUSUM算法來檢測一系列惡意節(jié)點(diǎn)的攻擊���。Long等提出了基于權(quán)重信任管理的入侵檢測方 案�����,初始化時每個節(jié)點(diǎn)被分配一個權(quán)重值�����,如果一個節(jié)點(diǎn)發(fā)送和其它節(jié)點(diǎn)不同的報告�,則更 改它的權(quán)重值,當(dāng)節(jié)點(diǎn)的權(quán)重值小于某一個閥值�,可以檢測出惡意節(jié)點(diǎn)。該方案具有檢測效 率高�、誤檢率低等特點(diǎn)。
[0016] (7)混合
[0017] Su等基于預(yù)防檢測技術(shù)�、能量節(jié)約檢測技術(shù)和認(rèn)證預(yù)防技術(shù)提出了一種混合檢測 技術(shù)。在這個檢測方案中簇頭負(fù)責(zé)監(jiān)控傳感器節(jié)點(diǎn)��,另一方面����,部分傳感器節(jié)點(diǎn)根據(jù)他們剩 余的能量被輪換選出監(jiān)控簇頭節(jié)點(diǎn)。
[0018] (8)規(guī)則
[0019] Wang等提出路由異常檢測方法��,該方案利用模糊均值聚類算法檢測路由數(shù)據(jù)流異 常����。Bankovi等結(jié)合信譽(yù)系統(tǒng)和聚類技術(shù),應(yīng)用無監(jiān)督遺傳算法和自組織圖(S0M)��,提出了 消除無線傳感器網(wǎng)絡(luò)中路由異常的方法�����。
【發(fā)明內(nèi)容】
[0020] 本發(fā)明提供了一種基于流量預(yù)測的雙層觸發(fā)入侵檢測方法���,只有在上層模型檢測 出異常時�����,判斷出現(xiàn)異常的區(qū)域才將會以一定的規(guī)則激發(fā)下層模型�,在減少節(jié)點(diǎn)能源使用 的同時也能確保檢測結(jié)果的準(zhǔn)確性�。
[0021] 該一種基于流量預(yù)測的雙層觸發(fā)入侵檢測方法,其中無線傳感器網(wǎng)絡(luò)中傳感器節(jié) 點(diǎn)被監(jiān)測節(jié)點(diǎn)分為幾個區(qū)域��,同一監(jiān)測節(jié)點(diǎn)的探測半徑內(nèi)的節(jié)點(diǎn)屬于同一個區(qū)域�����,整個網(wǎng) 絡(luò)由以下4個元素組成:
[0022] 普通節(jié)點(diǎn):sensor節(jié)點(diǎn)��,內(nèi)置入本地入侵檢測系統(tǒng)����;
[0023] 匯聚節(jié)點(diǎn):sink節(jié)點(diǎn),負(fù)責(zé)收集由普通節(jié)點(diǎn)傳來的各種數(shù)據(jù)信息�����,內(nèi)含區(qū)域節(jié)點(diǎn) 列表,該表存儲了不同監(jiān)測節(jié)點(diǎn)能覆蓋的所有普通節(jié)點(diǎn)和匯聚節(jié)點(diǎn)信息�;置入本地入侵檢 測系統(tǒng);
[0024] 監(jiān)測節(jié)點(diǎn):監(jiān)測節(jié)點(diǎn)有很高的能量和本地存儲空間��,主要負(fù)責(zé)收集網(wǎng)絡(luò)中的數(shù)據(jù) 流量信息���;
[0025] 基站:收集從匯聚節(jié)點(diǎn)和監(jiān)測節(jié)點(diǎn)傳來的各種信息�����,置入第一層入侵檢測系統(tǒng)��,能 夠分析數(shù)據(jù)���、控制網(wǎng)絡(luò);
[0026] 具體包括以下步驟:
[0027] 數(shù)據(jù)采集步驟:監(jiān)測節(jié)點(diǎn)將周期性的采集網(wǎng)絡(luò)中的數(shù)據(jù)流量信息并傳輸給基站�;
[0028] 數(shù)據(jù)分析步驟:基站收到監(jiān)測節(jié)點(diǎn)發(fā)送的信息后根據(jù)ARIMA模型對該監(jiān)測節(jié)點(diǎn)的 歷史數(shù)據(jù)進(jìn)行流量預(yù)測;
[0029] 觸發(fā)判斷步驟:基站在流量預(yù)測值與真實值相差超出預(yù)定閥值時向匯聚節(jié)點(diǎn)發(fā)送 異常警報�,異常區(qū)域開始啟用本地入侵檢測系統(tǒng);
[0030] 啟用本地入侵檢測模型步驟:當(dāng)匯聚節(jié)點(diǎn)接收到異常警報時���,警報中異常出現(xiàn)區(qū) 域的匯聚節(jié)點(diǎn)和普通節(jié)點(diǎn)將啟動第二層入侵檢測模型����,即本地入侵監(jiān)測模型���;
[0031] 其中數(shù)據(jù)采集步驟和數(shù)據(jù)分析步驟屬于第一層模型�����;觸發(fā)判斷步驟為一二層模型 之間的轉(zhuǎn)化條件���;本地入侵檢測模型則為第二層模型。
[0032] 所述的根據(jù)ARIMA模型對該監(jiān)測節(jié)點(diǎn)的歷史數(shù)據(jù)進(jìn)行流量預(yù)測采用以下步驟:
[0033] 1)對歷史數(shù)據(jù)進(jìn)行平穩(wěn)化處理���,平穩(wěn)化為非白噪聲序列���;
[0034] 2)求出所述序列的樣本自相關(guān)系數(shù)和樣本偏自相關(guān)系數(shù)的值;
[0035] 3)根據(jù)樣本自相關(guān)系數(shù)和偏自相關(guān)系數(shù)的性質(zhì)�����,選擇階數(shù)適當(dāng)?shù)哪P?�,進(jìn)行模型 擬合�;
[0036] 4)估計模型中未知參數(shù)的值;
[0037] 5)檢驗?zāi)P偷挠行?�,如果擬合模型通不過檢驗,轉(zhuǎn)向步驟3)��,重新選擇模型進(jìn) 行判斷����;
[0038] 6)建立多個擬合模型,從所有通過檢驗的模型中選擇最優(yōu)模型�;
[0039] 7)利用所述的最優(yōu)模型,預(yù)測序列的將來走勢��。
[0040] 其中本地入侵檢測模型采用以下方法進(jìn)行入侵檢測:
[0041] 1)匯聚節(jié)點(diǎn)接收到基站傳來的異常警報后�����,讀取警報數(shù)據(jù)包中記錄的監(jiān)測節(jié)點(diǎn)信 息��,遍歷自己的區(qū)域節(jié)點(diǎn)列表����,更新異常警報數(shù)據(jù)包中的源節(jié)點(diǎn)地址為自己,目的節(jié)點(diǎn)地址 為區(qū)域節(jié)點(diǎn)列表中該監(jiān)測節(jié)點(diǎn)所能探測到的全體節(jié)點(diǎn)����,并向該區(qū)域內(nèi)匯聚節(jié)點(diǎn)和普通節(jié)點(diǎn) 多播更新后的異常警報;
[0042] 2)區(qū)域內(nèi)節(jié)點(diǎn)接收到傳給自己的異常警報后將在異常警報活動列表中記錄監(jiān)測 節(jié)點(diǎn)信息并激活本地入侵檢測進(jìn)行檢測活動�,若發(fā)現(xiàn)區(qū)域內(nèi)的異常節(jié)點(diǎn)則全網(wǎng)通報進(jìn)行異 常處理����;
[0043] 3)若在本地入侵檢測運(yùn)行連續(xù)時間T內(nèi)沒有再發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)異常�,該節(jié)點(diǎn)將向匯聚 節(jié)點(diǎn)發(fā)送停用本地入侵檢測申請�,申請包中記錄本節(jié)點(diǎn)異常警報活動列表中的監(jiān)測節(jié)點(diǎn)信 息;
[0044] 4)匯聚節(jié)點(diǎn)接收到停用申請�����,按照不同的監(jiān)測節(jié)點(diǎn)信息對其進(jìn)行分類記錄�����,在時 間t內(nèi)���,匯聚節(jié)點(diǎn)累計收到同一區(qū)域內(nèi)全部節(jié)點(diǎn)的停用申請時�,將向該區(qū)域廣播結(jié)束這次 異常警報��;
[0045] 5)區(qū)域內(nèi)節(jié)點(diǎn)接收到結(jié)束異常警報命令后�,在自己的異常警報活動列表中刪除相 關(guān)監(jiān)測節(jié)點(diǎn)信息,此時掃描節(jié)點(diǎn)異?���;顒恿斜?��,若異常活動列表為空���,則關(guān)閉該節(jié)點(diǎn)的本地 入侵檢測模型�����;若異?��;顒恿斜碇羞€存在其他監(jiān)測節(jié)點(diǎn),本地入侵檢測將繼續(xù)運(yùn)行�,直至該 節(jié)點(diǎn)異常活動列表為空為止�����。
[0046] 本發(fā)明的有益效果:
[0047] 現(xiàn)有的無線傳感器網(wǎng)絡(luò)入侵檢測研究主要集中在具體算法的研究上�����,如簇頭選舉 算法����、信任模型�����、統(tǒng)計算法等等��。尚缺乏能結(jié)合不同算法�,實現(xiàn)分層的入侵檢測系統(tǒng)��。此外 基于無線傳感器網(wǎng)絡(luò)感知節(jié)點(diǎn)的能源多有限的特點(diǎn)�����,入侵檢測算法一般都要考慮到能耗的 問題��。而如何能在實現(xiàn)算法精確性的同時�����,最大限度的延長網(wǎng)絡(luò)壽命就成了無線傳感器網(wǎng) 絡(luò)中入侵檢測算法最大的難題��。本發(fā)明提出的雙層模型方法則更進(jìn)一步的實現(xiàn)了網(wǎng)絡(luò)對網(wǎng) 絡(luò)壽命和精確性的要求�����。一方面�,本發(fā)明減少了啟用入侵檢測系統(tǒng)過程中傳感器節(jié)點(diǎn)的能 耗--模型第一層無論是信息收集還是數(shù)據(jù)分析都不需要耗費(fèi)無線傳感器節(jié)點(diǎn)的任何能 量,而且第二層模型的激發(fā)也是局部的��,這在很大程度上也減少了網(wǎng)絡(luò)的耗能���;另一方面����, 本發(fā)明也能實現(xiàn)檢測的精確性--在第一層模型進(jìn)行粗略定位分析后���,啟用第二層模型就 可以實現(xiàn)對異常的精確判斷和分析�。因此使用本發(fā)明不僅在算法上可以結(jié)合并實現(xiàn)兩種不 同算法的優(yōu)點(diǎn),在網(wǎng)絡(luò)構(gòu)架上積極使用第三方進(jìn)行大量復(fù)雜運(yùn)算也可以達(dá)到延長網(wǎng)絡(luò)的使 用壽命的效果。
【專利附圖】
【附圖說明】
[0048] 圖1為現(xiàn)有技術(shù)中入侵檢測系統(tǒng)的框架圖����;
[0049] 圖2為無線傳感器網(wǎng)絡(luò)結(jié)構(gòu)圖�;
[0050] 圖3為本發(fā)明基于流量預(yù)測的雙層觸發(fā)入侵檢測方法的模型結(jié)構(gòu)圖;
[0051] 圖4為本發(fā)明中ARIMA建模步驟圖�����;
[0052] 圖5為第二層模型(本地入侵檢測系統(tǒng))流程圖��;
[0053] 圖6為具體實施例中無線傳感器網(wǎng)絡(luò)網(wǎng)絡(luò)結(jié)構(gòu)圖;
[0054] 圖7為具體實施例中基站發(fā)現(xiàn)網(wǎng)絡(luò)異常的結(jié)構(gòu)圖�;
[0055] 圖8為具體實施例中異常警報的發(fā)送的結(jié)構(gòu)圖;
[0056] 圖9為具體實施例中啟動本地入侵檢測系統(tǒng)的結(jié)構(gòu)圖�;
[0057] 圖10為具體實施例中全網(wǎng)通報并移除異常節(jié)點(diǎn)的結(jié)構(gòu)圖;
[0058] 圖11為具體實施例中傳感器節(jié)點(diǎn)申請停用本地入侵檢測系統(tǒng)結(jié)構(gòu)圖�����;
[0059] 圖12為具體實施例中結(jié)束警報的結(jié)構(gòu)圖�����;
[0060] 圖13為具體實施例中關(guān)閉本地入侵檢測系統(tǒng)的結(jié)構(gòu)圖�。
【具體實施方式】
[0061] 下面結(jié)合附圖對本發(fā)明作進(jìn)一步介紹��。
[0062] 本發(fā)明提出了一種無線傳感器網(wǎng)絡(luò)中基于流量預(yù)測技術(shù)的雙層觸發(fā)入侵檢測方 法�。無線傳感器網(wǎng)絡(luò)中的入侵檢測系統(tǒng)結(jié)構(gòu)如下圖2所示這個無線傳感器網(wǎng)絡(luò)中的傳感器 節(jié)點(diǎn)被監(jiān)測節(jié)點(diǎn)分為幾個區(qū)域,同一監(jiān)測節(jié)點(diǎn)的探測半徑內(nèi)的節(jié)點(diǎn)屬于同一個區(qū)域�。由于 不同的監(jiān)測節(jié)點(diǎn)探測范圍可能重合,因此按照監(jiān)測節(jié)點(diǎn)探測半徑劃分的區(qū)域也可能有重合 部分��。網(wǎng)絡(luò)中的任意一個節(jié)點(diǎn)都至少屬于某一個區(qū)域�����。整個網(wǎng)絡(luò)由以下4個元素組成:
[0063] 普通節(jié)點(diǎn):sensor節(jié)點(diǎn),是普通節(jié)點(diǎn)���,內(nèi)置入本地入侵檢測系統(tǒng)�����;
[0064] 匯聚節(jié)點(diǎn):sink節(jié)點(diǎn)�,負(fù)責(zé)收集由普通節(jié)點(diǎn)傳來的各種數(shù)據(jù)信息���,內(nèi)含區(qū)域節(jié)點(diǎn) 列表�����,該表存儲了不同監(jiān)測節(jié)點(diǎn)能覆蓋的所有普通節(jié)點(diǎn)和匯聚節(jié)點(diǎn)信息����;置入本地入侵檢 測系統(tǒng)����;
[0065] 監(jiān)測節(jié)點(diǎn):監(jiān)測節(jié)點(diǎn)有很高的能量和本地存儲空間,主要負(fù)責(zé)收集網(wǎng)絡(luò)中的數(shù)據(jù) 流量信息�����;
[0066] 基站:收集從匯聚節(jié)點(diǎn)和監(jiān)測節(jié)點(diǎn)傳來的各種信息,置入第一層入侵檢測系統(tǒng)可 以分析數(shù)據(jù)��、控制網(wǎng)絡(luò)�。
[0067] (1)模型結(jié)構(gòu)
[0068] 本發(fā)明提出的雙層觸發(fā)入侵檢測方法可以由數(shù)據(jù)采集,數(shù)據(jù)分析��,觸發(fā)判斷和啟 用本地入侵檢測模型這四個部分組成�����。其中數(shù)據(jù)采集和數(shù)據(jù)分析屬于第一層模型����;觸發(fā)判 斷為一二層模型之間的轉(zhuǎn)化條件;而本地入侵檢測模型則為第二層模型�。
[0069] 數(shù)據(jù)采集階段:監(jiān)測節(jié)點(diǎn)將周期性的采集網(wǎng)絡(luò)中的數(shù)據(jù)流量信息并傳輸給基站; 數(shù)據(jù)分析階段:基站收到監(jiān)測節(jié)點(diǎn)發(fā)送的信息后根據(jù)ARIMA(P�,d�����,q)模型對該監(jiān)測節(jié)點(diǎn)的 歷史數(shù)據(jù)進(jìn)行流量預(yù)測��;
[0070] 觸發(fā)判斷:基站只有在預(yù)測值與真實值相差超出預(yù)定閥值時才向匯聚節(jié)點(diǎn)發(fā)送異 常警報��,異常區(qū)域開始啟用本地入侵檢測系統(tǒng);
[0071] 啟用本地入侵檢測模型:當(dāng)匯聚節(jié)點(diǎn)接收到異常警報時�����,警報中異常出現(xiàn)區(qū)域的 匯聚節(jié)點(diǎn)和普通節(jié)點(diǎn)將啟動第二層入侵檢測模型���,即本地入侵監(jiān)測模型�����。
[0072] 網(wǎng)絡(luò)數(shù)據(jù)流量模型主要可以分為數(shù)據(jù)采集����,數(shù)據(jù)分析這兩部分����。下面將分別對這 兩部分進(jìn)行描述。
[0073] (1)數(shù)據(jù)采集
[0074] 數(shù)據(jù)采集表示的為流量數(shù)據(jù)采集�����,這個過程主要由監(jiān)測節(jié)點(diǎn)完成���。監(jiān)測節(jié)點(diǎn)需要 覆蓋整個網(wǎng)絡(luò)����,同時考慮到其壽命問題,這里要求其覆蓋的重疊區(qū)域盡可能的小且本身存 儲很高的能量��。監(jiān)測節(jié)點(diǎn)需要具有很大的探測半徑�����,對于收集到的數(shù)據(jù)不需要進(jìn)行任何處 理直接傳輸基站��。
[0075] (2)數(shù)據(jù)分析
[0076] 數(shù)據(jù)分析過程需要在基站實現(xiàn)�,基站分別對不同監(jiān)測節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行預(yù)測,本方 法采用的是ARIMA (p����,d,q)預(yù)測模型
[0077] 1.對數(shù)據(jù)進(jìn)行平穩(wěn)化處理�����;
[0078] 2.求出該觀察值序列的樣本自相關(guān)系數(shù)和樣本偏自相關(guān)系數(shù)的值�����;
[0079] 3.根據(jù)樣本自相關(guān)系數(shù)和偏自相關(guān)系數(shù)的性質(zhì)�����,選擇階數(shù)適當(dāng)?shù)哪P?,進(jìn)行模型 擬合;
[0080] 4.估計模型中未知參數(shù)的值�;
[0081] 5.檢驗?zāi)P偷挠行浴H绻麛M合模型通不過檢驗����,轉(zhuǎn)向步驟3,重新選擇模型進(jìn)行 判斷;
[0082] 6.模型優(yōu)化����。充分考慮各種可能,建立多個擬合模型����,從所有通過檢驗的模型中選 擇最優(yōu)模型。
[0083] 7.利用擬合模型����,預(yù)測序列的將來走勢。
[0084] 1)對收集到的流量數(shù)據(jù)進(jìn)行平穩(wěn)化處理
[0085] 記收集到的數(shù)據(jù)為L Y2, . . .�����,Yt,利用游程檢驗法來判斷序列是否為平穩(wěn)序列��,如 果為平穩(wěn)序列則無需進(jìn)行任何處理�����;否則用差分法��,即
[0086] Υ�,η=Υ「Υη,
[0087] 對序列進(jìn)行平穩(wěn)化預(yù)處理�,每次差分后數(shù)據(jù)進(jìn)行游程檢驗,直到差分所得數(shù)據(jù)可 以通過平穩(wěn)性檢驗�����,記為d次差分?��,F(xiàn)假設(shè)得到的平穩(wěn)序列為Xi�����,X 2,. . .�����,Xt_d��。取前Ν組(或 者全部)數(shù)據(jù)作為觀測數(shù)據(jù)����,對這些數(shù)據(jù)進(jìn)行零均值化處理�,即:
[0088]
【權(quán)利要求】
1. 一種基于流量預(yù)測的雙層觸發(fā)入侵檢測方法,其特征在于:其中無線傳感器網(wǎng)絡(luò)中 傳感器節(jié)點(diǎn)被監(jiān)測節(jié)點(diǎn)分為幾個區(qū)域����,同一監(jiān)測節(jié)點(diǎn)的探測半徑內(nèi)的節(jié)點(diǎn)屬于同一個區(qū) 域,整個網(wǎng)絡(luò)由以下4個元素組成: 普通節(jié)點(diǎn):sensor節(jié)點(diǎn)���,內(nèi)置入本地入侵檢測系統(tǒng)����; 匯聚節(jié)點(diǎn):sink節(jié)點(diǎn)����,負(fù)責(zé)收集由普通節(jié)點(diǎn)傳來的各種數(shù)據(jù)信息,內(nèi)含區(qū)域節(jié)點(diǎn)列表����, 該表存儲了不同監(jiān)測節(jié)點(diǎn)能覆蓋的所有普通節(jié)點(diǎn)和匯聚節(jié)點(diǎn)信息�;置入本地入侵檢測系 統(tǒng)����; 監(jiān)測節(jié)點(diǎn):監(jiān)測節(jié)點(diǎn)有很高的能量和本地存儲空間,主要負(fù)責(zé)收集網(wǎng)絡(luò)中的數(shù)據(jù)流量 信息�����; 基站:收集從匯聚節(jié)點(diǎn)和監(jiān)測節(jié)點(diǎn)傳來的各種信息���,置入第一層入侵檢測系統(tǒng)���,能夠分 析數(shù)據(jù)、控制網(wǎng)絡(luò)�; 具體包括以下步驟: 數(shù)據(jù)采集步驟:監(jiān)測節(jié)點(diǎn)將周期性的采集網(wǎng)絡(luò)中的數(shù)據(jù)流量信息并傳輸給基站; 數(shù)據(jù)分析步驟:基站收到監(jiān)測節(jié)點(diǎn)發(fā)送的信息后根據(jù)ARIMA模型對該監(jiān)測節(jié)點(diǎn)的歷史 數(shù)據(jù)進(jìn)行流量預(yù)測��; 觸發(fā)判斷步驟:基站在流量預(yù)測值與真實值相差超出預(yù)定閥值時向匯聚節(jié)點(diǎn)發(fā)送異常 警報���,異常區(qū)域開始啟用本地入侵檢測系統(tǒng)�����; 啟用本地入侵檢測模型步驟:當(dāng)匯聚節(jié)點(diǎn)接收到異常警報時��,警報中異常出現(xiàn)區(qū)域的 匯聚節(jié)點(diǎn)和普通節(jié)點(diǎn)將啟動第二層入侵檢測模型�����,即本地入侵監(jiān)測模型����; 其中數(shù)據(jù)采集步驟和數(shù)據(jù)分析步驟屬于第一層模型���;觸發(fā)判斷步驟為一二層模型之間 的轉(zhuǎn)化條件���;本地入侵檢測模型則為第二層模型。
2. 如權(quán)利要求1所述的一種基于流量預(yù)測的雙層觸發(fā)入侵檢測方法�,其特征在于:所 述的根據(jù)ARIMA模型對該監(jiān)測節(jié)點(diǎn)的歷史數(shù)據(jù)進(jìn)行流量預(yù)測采用以下步驟: 1) 對歷史數(shù)據(jù)進(jìn)行平穩(wěn)化處理,平穩(wěn)化為非白噪聲序列���; 2) 求出所述序列的樣本自相關(guān)系數(shù)和樣本偏自相關(guān)系數(shù)的值�; 3) 根據(jù)樣本自相關(guān)系數(shù)和偏自相關(guān)系數(shù)的性質(zhì)�����,選擇階數(shù)適當(dāng)?shù)哪P停M(jìn)行模型擬 合���; 4) 估計模型中未知參數(shù)的值���; 5) 檢驗?zāi)P偷挠行裕绻麛M合模型通不過檢驗����,轉(zhuǎn)向上述步驟3),重新選擇模型進(jìn) 行判斷�����; 6) 建立多個擬合模型���,從所有通過檢驗的模型中選擇最優(yōu)模型����; 7) 利用所述的最優(yōu)模型���,預(yù)測序列的將來走勢���。
3. 如權(quán)利要求1或2所述的一種基于流量預(yù)測的雙層觸發(fā)入侵檢測方法�����,其特征在于: 其中本地入侵檢測模型采用以下方法進(jìn)行入侵檢測: 1) 匯聚節(jié)點(diǎn)接收到基站傳來的異常警報后����,讀取警報數(shù)據(jù)包中記錄的監(jiān)測節(jié)點(diǎn)信息�, 遍歷自己的區(qū)域節(jié)點(diǎn)列表,更新異常警報數(shù)據(jù)包中的源節(jié)點(diǎn)地址為自己�,目的節(jié)點(diǎn)地址為 區(qū)域節(jié)點(diǎn)列表中該監(jiān)測節(jié)點(diǎn)所能探測到的全體節(jié)點(diǎn)��,并向該區(qū)域內(nèi)匯聚節(jié)點(diǎn)和普通節(jié)點(diǎn)多 播更新后的異常警報�����; 2) 區(qū)域內(nèi)節(jié)點(diǎn)接收到傳給自己的異常警報后將在異常警報活動列表中記錄監(jiān)測節(jié)點(diǎn) 信息并激活本地入侵檢測進(jìn)行檢測活動����,若發(fā)現(xiàn)區(qū)域內(nèi)的異常節(jié)點(diǎn)則全網(wǎng)通報進(jìn)行異常處 理; 3) 若在本地入侵檢測運(yùn)行連續(xù)時間T內(nèi)沒有再發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)異常����,該節(jié)點(diǎn)將向匯聚節(jié)點(diǎn) 發(fā)送停用本地入侵檢測申請,申請包中記錄本節(jié)點(diǎn)異常警報活動列表中的監(jiān)測節(jié)點(diǎn)信息�; 4) 匯聚節(jié)點(diǎn)接收到停用申請,按照不同的監(jiān)測節(jié)點(diǎn)信息對其進(jìn)行分類記錄,在時間t 內(nèi)�,匯聚節(jié)點(diǎn)累計收到同一區(qū)域內(nèi)全部節(jié)點(diǎn)的停用申請時,將向該區(qū)域廣播結(jié)束這次異常 警報�; 5) 區(qū)域內(nèi)節(jié)點(diǎn)接收到結(jié)束異常警報命令后,在自己的異常警報活動列表中刪除相關(guān)監(jiān) 測節(jié)點(diǎn)信息�����,此時掃描節(jié)點(diǎn)異?���;顒恿斜恚舢惓����;顒恿斜頌榭眨瑒t關(guān)閉該節(jié)點(diǎn)的本地入侵 檢測模型�;若異常活動列表中還存在其他監(jiān)測節(jié)點(diǎn)��,本地入侵檢測將繼續(xù)運(yùn)行���,直至該節(jié)點(diǎn) 異?;顒恿斜頌榭諡橹?。
【文檔編號】H04W24/00GK104301895SQ201410508798
【公開日】2015年1月21日 申請日期:2014年9月28日 優(yōu)先權(quán)日:2014年9月28日
【發(fā)明者】張冬梅, 鄭康鋒, 高大永, 武斌, 伍淳華, 周楊, 查選 申請人:北京郵電大學(xué)