本發(fā)明屬于無線傳感器網(wǎng)絡(luò)信息安全領(lǐng)域，涉及一種基于感知數(shù)據(jù)的無線傳感器網(wǎng)絡(luò)異常類型鑒別方法。
背景技術(shù)：
：無線傳感器網(wǎng)絡(luò)是由大量微型傳感器節(jié)點組成的分布式感知系統(tǒng)。該系統(tǒng)能夠?qū)崟r采集監(jiān)測區(qū)域內(nèi)的環(huán)境信息(感知數(shù)據(jù))，如溫度、濕度、亮度和壓強(qiáng)等，并將感知數(shù)據(jù)以無線的方式多跳傳輸給基站。無線傳感器網(wǎng)絡(luò)通常部署在無人值守的、惡劣的環(huán)境中，甚至是在敵方區(qū)域，攻擊者可以輕易捕獲傳感器節(jié)點并入侵網(wǎng)絡(luò)。此外，傳感器節(jié)點在能量、通信能力以及計算和存儲等方面受限，使其極易受到各種攻擊。入侵檢測系統(tǒng)(IDS)是用于檢測網(wǎng)絡(luò)內(nèi)部和外部攻擊的重要安全工具，該系統(tǒng)可以發(fā)現(xiàn)惡意節(jié)點并將其剔除網(wǎng)絡(luò)以達(dá)到保障網(wǎng)絡(luò)正常運行的目的。入侵檢測系統(tǒng)的有效性體現(xiàn)在能有效地檢測多種類型攻擊行為。IllianoandLupu指出在無線傳感器網(wǎng)絡(luò)中，除了有與網(wǎng)絡(luò)協(xié)議相關(guān)的攻擊，還存在惡意數(shù)據(jù)注入攻擊。與網(wǎng)絡(luò)協(xié)議相關(guān)的攻擊是指利用網(wǎng)絡(luò)協(xié)議的缺陷而發(fā)起的攻擊行為，如黑洞攻擊、泛洪攻擊和選擇轉(zhuǎn)發(fā)攻擊等。而惡意數(shù)據(jù)注入攻擊通常不破壞網(wǎng)絡(luò)協(xié)議的正常運行而是直接影響節(jié)點收集感知數(shù)據(jù)的過程。惡意數(shù)據(jù)注入攻擊通常通過引入錯誤的感知數(shù)據(jù)來實現(xiàn)觸發(fā)異常網(wǎng)絡(luò)響應(yīng)或者掩蓋正常網(wǎng)絡(luò)響應(yīng)的目的。數(shù)據(jù)污染攻擊是一種典型的惡意數(shù)據(jù)注入攻擊。在數(shù)據(jù)污染攻擊中，攻擊者通過欺騙傳感器節(jié)點或者篡改其軟件來引入錯誤的測量信息，例如利用打火機(jī)引發(fā)火災(zāi)報警。Shamshirband等人采用CPU使用量、內(nèi)存負(fù)載、帶寬飽和度以及連接主機(jī)頻率等系統(tǒng)資源審計數(shù)據(jù)作為檢測特征，并提出Co-FAIS(Cooperativemulti-agentbasedFuzzyArtificialImmuneSystem)方法來檢測DDoS攻擊，然而該方法難以檢測惡意數(shù)據(jù)注入攻擊。為了檢測DOS攻擊，Shamshirband等人提出D-FICCA(Density-basedFuzzyImperialistCompetitiveClusteringAlgorithm)。作者采用溫度、濕度和電壓等感知數(shù)據(jù)作為檢測特征，并通過發(fā)現(xiàn)感知數(shù)據(jù)的異常值判定網(wǎng)絡(luò)是否遭受了DOS攻擊。但作者既沒有給出異常值與攻擊行為之間的聯(lián)系，也沒有給出如何判斷是不是攻擊導(dǎo)致異常的方法。Rassam等人提出異常檢測模型APCCAD(AdaptivePrincipalComponentClassifier-basedAnomalyDetection)來適應(yīng)動態(tài)拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)。該模型可以降低誤報率和減少通信消耗。Moshtaghi等人提出分布式自適應(yīng)異常檢測模型以減少通信開銷。該模型的魯棒性好、檢測率高且不需要更新決策策略。Rassam等人和Moshtaghi等人專注于挖掘感知數(shù)據(jù)的異常值且都取得較好的檢測效果，但它們并沒有進(jìn)一步地區(qū)分引起異常的原因?，F(xiàn)有的基于網(wǎng)絡(luò)特征的入侵檢測算法難以檢測惡意數(shù)據(jù)注入攻擊，而基于感知數(shù)據(jù)異常值的異常檢測算法雖然能夠有效地檢測惡意數(shù)據(jù)注入攻擊，但缺乏對攻擊原因的分析和判斷。傳感器節(jié)點的能量通常是由電池供應(yīng)且難以補(bǔ)充，因此傳感器網(wǎng)絡(luò)節(jié)點應(yīng)該將能量最大化地分布在傳輸感知數(shù)據(jù)上，而分配給入侵檢測的能量要盡可能少。針對入侵檢測系統(tǒng)的能量消耗優(yōu)化問題，Riecker等人提出一輕量級的入侵檢測系統(tǒng)，其中移動代理節(jié)點僅通過單一特征即節(jié)點能量消耗而不需要多種特征來檢測DoS攻擊，普通節(jié)點可以避免復(fù)雜計算并保持通信消耗在一個合理的范圍。該方法可以減少網(wǎng)絡(luò)負(fù)載和網(wǎng)絡(luò)時延，但是運行IDS的移動代理節(jié)點會有較高的能量消耗。此外，代理節(jié)點之間的通信開銷易于導(dǎo)致網(wǎng)絡(luò)擁塞，同時普通節(jié)點仍需要定時與代理節(jié)點通信來更新節(jié)點能量消耗信息。Huang等人提出將博弈論與馬爾科夫決策過程相結(jié)合來抵御攻擊行為。博弈論用于選擇最佳的抵御策略，馬爾科夫決策過程用于預(yù)測節(jié)點可能遭受的攻擊類型和選出最弱節(jié)點并保護(hù)它免受攻擊。該算法的仿真結(jié)果表明該算法的成功抵御率遠(yuǎn)高于博弈論和馬爾科夫決策過程單獨使用的場景，不足之處在于博弈過程中節(jié)點之間的頻繁通信會導(dǎo)致能量消耗過高。雖然作者提出可以使用低功耗路由協(xié)議(LEACH)、隨機(jī)選擇簇頭和高效率能量分層聚類等策略來減輕節(jié)點的通信開銷，節(jié)點仍然需要為入侵檢測活動傳輸識別和驗證等消息，而論文未給出該入侵檢測算法與節(jié)點能量消耗關(guān)系的實驗結(jié)果。傳感器節(jié)點的能量消耗主要在感知周圍環(huán)境、處理感知信息和傳輸數(shù)據(jù)(數(shù)據(jù)包括感知數(shù)據(jù)和網(wǎng)絡(luò)協(xié)議數(shù)據(jù))三個方面，其中節(jié)點能量消耗主要是在傳輸數(shù)據(jù)方面，而入侵檢測系統(tǒng)通常要求節(jié)點記錄并傳輸特征信息以用于檢測，這會增大節(jié)點用于入侵檢測活動的能量消耗。綜上分析，無線傳感器鑒別網(wǎng)絡(luò)異常類型存在以下難點：(1)檢測并區(qū)分引起感知數(shù)據(jù)異常的原因；(2)降低節(jié)點用于入侵檢測活動的能量消耗。技術(shù)實現(xiàn)要素：有鑒于此，本發(fā)明目的在于提供一種基于感知數(shù)據(jù)的無線傳感器網(wǎng)絡(luò)異常類型鑒別方法，該方法檢測感知數(shù)據(jù)異常并可以從各類異常中區(qū)分出網(wǎng)絡(luò)協(xié)議相關(guān)攻擊和惡意數(shù)據(jù)注入攻擊，且能降低節(jié)點用于入侵檢測活動的能量消耗。為達(dá)到上述目的，本發(fā)明提供如下技術(shù)方案：一種基于感知數(shù)據(jù)的無線傳感器網(wǎng)絡(luò)異常類型鑒別方法，包括以下步驟：S1：無線傳感器網(wǎng)絡(luò)節(jié)點每隔一個固定時間間隔Δt收集一組感知數(shù)據(jù)，包括溫度、濕度或亮度，并將其發(fā)送給基站，在沒有發(fā)生攻擊行為時間段內(nèi)，基站將收到的感知數(shù)據(jù)集生成檢測特征集，作為訓(xùn)練數(shù)據(jù)，即訓(xùn)練集；S2：將訓(xùn)練集進(jìn)行z-score標(biāo)準(zhǔn)化方法歸一化，并保留列均值μ和列方差σ；S3：將訓(xùn)練集進(jìn)行主成分分析法PCA(PrincipalComponentAnalysis,PCA)降維，保留特征向量矩陣E*和列均值向量μ*；S4：采用基于密度的競爭聚類算法DCCA(DetrendedCanonicalCorrespondenceAnalysis,DCCA)將訓(xùn)練集聚類為正常簇和異常簇；S5：當(dāng)新的檢測特征出現(xiàn)時，依據(jù)列均值μ和列方差σ進(jìn)行歸一化，經(jīng)特征向量矩陣E*和列均值向量μ*降維，最后根據(jù)其劃歸在正常簇與異常簇的收益值判定網(wǎng)絡(luò)是否異常。進(jìn)一步，在步驟S1中，所述無線傳感器網(wǎng)絡(luò)節(jié)點為S＝{Sj:j＝1,2,…,m}，其中m是節(jié)點的數(shù)量；所述一組感知數(shù)據(jù)是一個p維向量vj＝(vj1，vj2，…,vjp)，vj∈Rp，其中p表示感知數(shù)據(jù)的類型數(shù)，R為實數(shù)域；所述感知數(shù)據(jù)集為V＝{v1,v2,…,vn}，其中n為組數(shù)，與節(jié)點ID無關(guān)，n≤m；V的均值為其中V的均方差為σ＝{σ1,σ2,…,σp}，其中所述檢測特征為向量其維度為q＝2p；定義檢測特征完整度為檢測特征ID為其中t是該檢測特征的接收時間；定義時間段[0,T]內(nèi)收到的檢測特征集作為訓(xùn)練數(shù)據(jù)，表示為矩陣XT＝{x1,x2,…,xk}，k＝T/Δt。進(jìn)一步，所述步驟S2包括以下步驟：S201：定義訓(xùn)練數(shù)據(jù)為S202：將XT經(jīng)公式進(jìn)行歸一化，其中μ是矩陣XT的列均值，σ是矩陣XT的列均方差，得到進(jìn)一步，所述步驟S3包括以下步驟：S301：計算的列均值向量μ*并對進(jìn)行零均值化得到矩陣其中零均值化就是矩陣中的每個數(shù)減去自身所在列的均值；S302：通過公式計算矩陣X'的協(xié)方差矩陣；S303：計算協(xié)方差矩陣的特征向量E＝{e1,e2,…,eq}與特征值λ1,λ2,…,λq，其中特征值按從大到小排序，與特征向量一一對應(yīng)；S304：計算貢獻(xiàn)率當(dāng)前l(fā)個特征值貢獻(xiàn)率之和大于θ時，保留對應(yīng)l個特征向量組成矩陣E*；S305：計算得到降維后的矩陣X＝X'*E*。進(jìn)一步，所述基于密度的競爭聚類算法包括以下步驟：S401：給定降維后的訓(xùn)練數(shù)據(jù)，計算每個點的代價函數(shù)，若該點在其鄰域內(nèi)代價值最大，則為聚類中心；S402：每個點依據(jù)其他點選擇聚類中心的概率選擇收益最大的類；S403：每個點基于每次選擇結(jié)果重新選擇直到所有點的收益值都達(dá)到最大；S404：依據(jù)各個點的選擇結(jié)果形成了多個簇，通過簇均值和簇均方差區(qū)分簇的類型，即正常簇與異常簇。進(jìn)一步，所述步驟S401包括以下步驟：定義降維后的訓(xùn)練數(shù)據(jù)集X＝{x1,x2,…,xk}，計算每個點x的代價函數(shù)其中，dist為歐式距離，dc為截斷距離，dc可取所有點的相互距離中由小到大排列占總數(shù)1％的位置的距離數(shù)值；若該點在其鄰域內(nèi)代價值最大，則為聚類中心。進(jìn)一步，所述步驟S402包括以下步驟：定義點xi與點xj同屬一個聚類時，點xi的收益值value(xi，xj)＝exp(-dist(xi，xj))，定義點xi選擇與點xj歸屬同一類的概率為則點x選擇歸屬到聚類中心c的收益函數(shù)為g(x)＝value(x)probs(c)，其中value(x)＝(value(x,x1),value(x,x2),…,value(x,xk))，probs(c)＝(probs(x1,c),probs(x2,c),…,probs(xk,c))，若點x選擇聚類中心c的收益值最大，即獲取的利益最大，則選擇歸類到聚類中心c。進(jìn)一步，所述步驟S403包括以下步驟：定義點x歸屬到聚類C的收益為h(x)，其中num表示聚類C中點的個數(shù)(若x∈C,則個數(shù)減1)，點x依據(jù)在各個聚類的收益值，重新選擇歸屬到收益值最大的聚類中，所有點重復(fù)選擇直到所有點選擇不變，達(dá)到平衡，即所有點獲得最大收益。進(jìn)一步，所述步驟S404包括以下步驟：定義一個簇內(nèi)所有檢測特征中的感知數(shù)據(jù)均值v的平均值為簇均值其中表示第i個檢測特征的第j個均值，num表示簇中檢測特征的個數(shù)；定義一個簇內(nèi)所有檢測特征中的感知數(shù)據(jù)均方差σ的平均值為簇均方差其中σij分別表示第i個檢測特征的第j個均方差；通過計算各個簇的簇均方差來劃分正常數(shù)據(jù)和噪聲，其中簇均方差最大的簇為異常簇且異常是由噪聲與錯誤引起的，簇內(nèi)點為噪聲與錯誤，而簇均方差最小的簇為正常簇，剩余簇依據(jù)與正常簇以及異常簇的簇均方差的差異程度就近判斷為正?；虍惓！＿M(jìn)一步，所述步驟S5包括以下步驟：S501：定義一個簇內(nèi)所有檢測特征的完整度A的平均值為簇完整度其中Ai表示第i個檢測特征的完整度；定義一個簇內(nèi)的所有檢測特征ID的方差為簇連續(xù)度其中di表示第i個檢測特征的ID，為均值；S502：新的檢測特征xnew先經(jīng)z-score標(biāo)準(zhǔn)化以及PCA降維后得到點x；S503：通過公式計算點x歸屬到各個簇的收益值；若收益值的最大值大于給定的閾值(ε＝10e-5)，則將點x歸屬到收益值最大的簇中；若點x歸屬到正常簇，則判定為正常值，否則判定為異常值并根據(jù)異常簇的類型決策引起點x異常的原因；若收益值的最大值小于給定的閾值，也就是點x在現(xiàn)有的簇中的收益值小到可以忽略不計，則點x形成一個新簇；根據(jù)規(guī)則判定新簇的類型，在判定點x的歸屬后用它替換對應(yīng)簇內(nèi)舊的檢測特征；所述規(guī)則如下：若新簇的簇均值、簇均方差、簇完整度以及簇連續(xù)度均與正常簇簇持平，則判定該簇為正常簇；若新簇的簇均方差和簇連續(xù)度大于正常簇而簇完整度與正常簇持平，則該簇判定為異常簇且異常是由噪聲與錯誤引起的；若新簇的簇均方差、簇完整度和簇連續(xù)度與正常簇簇持平，而簇均值遠(yuǎn)大于或遠(yuǎn)小于正常簇，則該簇判定為異常簇且異常是由事件引起的；若新簇的簇均方差與正常簇持平，而簇均值和簇完整度均遠(yuǎn)小于正常簇，則該簇判定為異常簇且異常是由與網(wǎng)絡(luò)協(xié)議相關(guān)的攻擊引起的；若新簇的簇均方差大于正常簇，而簇連續(xù)度與正常簇持平，則該簇為異常簇且異常是由惡意數(shù)據(jù)注入攻擊引起的；其中，持平、大于、遠(yuǎn)大于和遠(yuǎn)大于指標(biāo)都是與訓(xùn)練集的正常簇相比而言，持平表示兩者的數(shù)量級相同，遠(yuǎn)大于和遠(yuǎn)小于表示新簇大于或小于正常簇一個數(shù)量級以上。與現(xiàn)有的技術(shù)相比，本發(fā)明的優(yōu)點在于：(1)在本發(fā)明中，節(jié)點不需要額外傳輸檢測特征且不參與入侵檢測的決策，基站負(fù)責(zé)接收感知數(shù)據(jù)來判斷網(wǎng)絡(luò)狀態(tài)。這使得本發(fā)明與節(jié)點類型、網(wǎng)絡(luò)協(xié)議無關(guān)，提高本發(fā)明的適應(yīng)性。同時降低了節(jié)點用于入侵檢測活動的能量消耗，而且本發(fā)明也不會因為節(jié)點被俘獲而失效。(2)基于不同異常會使感知數(shù)據(jù)的范圍偏離正常的范圍并形成不同的聚集的原理，本發(fā)明通過基于密度的競爭聚類算法發(fā)現(xiàn)特定數(shù)量的簇且不需要任何先驗知識。本發(fā)明能夠檢測不同類型的攻擊行為，包括網(wǎng)絡(luò)協(xié)議相關(guān)攻擊和惡意數(shù)據(jù)注入攻擊(3)基于本發(fā)明的簇的判定規(guī)則，本發(fā)明可以區(qū)分引起異常的原因。附圖說明為了使本發(fā)明的目的、技術(shù)方案和有益效果更加清楚，本發(fā)明提供如下附圖進(jìn)行說明：圖1為本發(fā)明的無線傳感器網(wǎng)絡(luò)結(jié)構(gòu)圖；圖2為本發(fā)明的流程圖。具體實施方式下面將結(jié)合附圖，對本發(fā)明的優(yōu)選實施例進(jìn)行詳細(xì)的描述。圖1為實施本發(fā)明的無線傳感器網(wǎng)絡(luò)結(jié)構(gòu)圖。網(wǎng)絡(luò)節(jié)點每隔一個時間間隙Δt發(fā)送感知數(shù)據(jù)給基站，基站將收到的感知數(shù)據(jù)并生成檢測特征。在正常時間段內(nèi)(沒有發(fā)生攻擊行為)生成的檢測特征集作為訓(xùn)練集。本方法部署在基站，本方法的流程圖如圖2所示。其步驟如下：步驟一：無線傳感器網(wǎng)絡(luò)節(jié)點S＝{Sj:j＝1,2,…,m}每隔一個固定時間間隔Δt，各個節(jié)點收集一組感知數(shù)據(jù)(如溫度、濕度和亮度等)并將其發(fā)送給基站。節(jié)點Sj記錄的一組感知數(shù)據(jù)是一個p維的向量vj＝(vj1，vj2，…，vjp)，vj∈Rp，其中p表示感知數(shù)據(jù)的類型數(shù)。在下一個Δt內(nèi)，基站將收到n(n≤m，由于無線鏈路故障、節(jié)點故障以及網(wǎng)絡(luò)擁塞等原因，可能導(dǎo)致感知數(shù)據(jù)包丟失)組感知數(shù)據(jù)V＝{v1,v2,…,vn}，其中組數(shù)n與節(jié)點ID無關(guān)。定義感知數(shù)據(jù)集V的均值為其中定義感知數(shù)據(jù)集V的均方差為σ＝{σ1,σ2,…,σp},其中定義檢測特征為向量其維度為q＝2p。定義檢測特征完整度為定義檢測特征ID為其中時間t是該檢測特征的接收時間。定義時間段[0,T]內(nèi)收到的檢測特征集為訓(xùn)練數(shù)據(jù)，其表示為矩陣XT＝{x1,x2,…,xk}，k＝T/Δt。步驟二：將訓(xùn)練集進(jìn)行z-score標(biāo)準(zhǔn)化方法歸一化，并保留列均值μ和列方差σ。給定訓(xùn)練數(shù)據(jù)訓(xùn)練數(shù)據(jù)的每個元素經(jīng)公式歸一，其中μ是矩陣XT的列均值，σ是矩陣XT的列均方差。訓(xùn)練數(shù)據(jù)XT歸一化后得到步驟三：將訓(xùn)練集進(jìn)行主成分分析法PCA降維，保留特征向量矩陣E*和列均值向量μ*。計算的列均值向量μ*并對進(jìn)行零均值化得到矩陣其中零均值化就是矩陣中的每個數(shù)減去自身所在列的均值；通過公式計算矩陣X'的協(xié)方差矩陣；計算協(xié)方差矩陣的特征向量E＝{e1,e2,…,eq}與特征值λ1,λ2,…,λq，其中特征值按從大到小排序，與特征向量一一對應(yīng)；計算貢獻(xiàn)率當(dāng)前l(fā)個特征值貢獻(xiàn)率之和大于θ時，保留對應(yīng)l個特征向量組成矩陣E*；計算得到降維后的矩陣X＝X'*E*。步驟四：采用基于密度的競爭聚類算法DCCA將訓(xùn)練集聚類為正常簇和異常簇。給定降維后的訓(xùn)練數(shù)據(jù)，計算每個點的代價函數(shù)，若該點在其鄰域內(nèi)代價值最大，則為聚類中心；每個點依據(jù)其他點選擇聚類中心的概率選擇收益最大的類；每個點基于每次選擇結(jié)果重新選擇直到所有點的收益值都達(dá)到最大；依據(jù)各個點的選擇結(jié)果形成了多個簇，通過簇均值和簇均方差區(qū)分簇的類型，即正常簇與異常簇。定義降維后的訓(xùn)練數(shù)據(jù)集X＝{x1,x2,…,xk}，計算每個點x的代價函數(shù)其中，dist為歐式距離，dc為截斷距離，dc可取所有點的相互距離中由小到大排列占總數(shù)1％的位置的距離數(shù)值；若該點在其鄰域內(nèi)代價值最大，則為聚類中心。定義點xi與點xj同屬一個聚類時，點xi的收益值value(xi,xj)＝exp(-dist(xi,xj))，定義點xi選擇與點xj歸屬同一類的概率為則點x選擇歸屬到聚類中心c的收益函數(shù)為g(x)＝value(x)probs(c)，value(x)＝(value(x,x1),value(x,x2),…,value(x,xk))，probs(c)＝(probs(x1,c),probs(x2,c),…,probs(xk,c))，若點x選擇聚類中心c的收益值最大，即獲取的利益最大，則選擇歸類到聚類中心c。定義點x歸屬到聚類C的收益為h(x)，其中num表示聚類C中點的個數(shù)(若x∈C,則個數(shù)減1)，點x依據(jù)在各個聚類的收益值，重新選擇歸屬到收益值最大的聚類中，所有點重復(fù)選擇直到所有點選擇不變，達(dá)到平衡，即所有點獲得最大收益。定義一個簇內(nèi)所有檢測特征中的感知數(shù)據(jù)均值的平均值為簇均值其中表示第i個檢測特征的第j個均值，num表示簇中檢測特征的個數(shù)；定義一個簇內(nèi)所有檢測特征中的感知數(shù)據(jù)均方差σ的平均值為簇均方差其中σij分別表示第i個檢測特征的第j個均方差；通過計算各個簇的簇均方差來劃分正常數(shù)據(jù)和噪聲，其中簇均方差最大的簇為異常簇且異常是由噪聲與錯誤引起的，簇內(nèi)點為噪聲與錯誤，而簇均方差最小的簇為正常簇，剩余簇依據(jù)與正常簇以及異常簇的簇均方差的差異程度就近判斷為正?；虍惓！２襟E五：當(dāng)新的檢測特征出現(xiàn)時，依據(jù)列均值μ和列方差σ進(jìn)行歸一化，經(jīng)特征向量矩陣E*和列均值向量μ*降維，最后根據(jù)其劃歸在正常簇與異常簇的收益值判定網(wǎng)絡(luò)是否異常。定義一個簇內(nèi)所有檢測特征的完整度A的平均值為簇完整度其中Ai表示第i個檢測特征的完整度；定義一個簇內(nèi)的所有檢測特征ID的方差為簇連續(xù)度其中di表示第i個檢測特征的ID，為均值；本步驟將實時檢測每一個新的檢測特征。新的檢測特征xnew先經(jīng)z-score標(biāo)準(zhǔn)化以及PCA降維后得到點x；通過公式計算點x歸屬到各個簇的收益值；若收益值的最大值大于給定的閾值(ε＝10e-5)，則將點x歸屬到收益值最大的簇中；若點x歸屬到正常簇，則判定為正常值，否則判定為異常值并根據(jù)異常簇的類型決策引起點x異常的原因；若收益值的最大值小于給定的閾值，也就是點x在現(xiàn)有的簇中的收益值小到可以忽略不計，則點x形成一個新簇。依據(jù)噪聲與錯誤、事件和惡意攻擊對感知數(shù)據(jù)均值、均方差、完整性以及連續(xù)性的影響，本方法制定了依據(jù)簇均值、簇均方差、簇完整度以及簇連續(xù)度等參數(shù)判定新簇類型的規(guī)則，如下表1所示。新簇依據(jù)表1判定簇的類型，從而區(qū)分出引起異常的原因。若新簇的簇均值、簇均方差、簇完整度以及簇連續(xù)度均與正常簇簇持平，則判定該簇為正常簇。若新簇的簇均方差和簇連續(xù)度大于正常簇而簇完整度與正常簇持平，則該簇判定為異常簇且異常是由噪聲與錯誤引起的。若新簇的簇均方差、簇完整度和簇連續(xù)度與正常簇簇持平，而簇均值遠(yuǎn)大于或遠(yuǎn)小于正常簇，則該簇判定為異常簇且異常是由事件引起的。若新簇的簇均方差與正常簇持平，而簇均值和簇完整度均遠(yuǎn)小于正常簇，則該簇判定為異常簇且異常是由與網(wǎng)絡(luò)協(xié)議相關(guān)的攻擊引起的。若新簇的簇均方差大于正常簇，而簇連續(xù)度與正常簇持平，則該簇為異常簇且異常是由惡意數(shù)據(jù)注入攻擊引起的。在判定點x的歸屬后用它替換對應(yīng)簇內(nèi)舊的檢測特征。表1簇的判定規(guī)則類型簇均值簇均方差簇完整度簇連續(xù)度正常持平持平持平持平噪聲與錯誤*大于持平遠(yuǎn)大于事件遠(yuǎn)大于或遠(yuǎn)小于持平持平持平網(wǎng)絡(luò)協(xié)議相關(guān)攻擊遠(yuǎn)小于持平遠(yuǎn)小于持平惡意數(shù)據(jù)注入攻擊*大于持平持平注：持平、大于、遠(yuǎn)大于和遠(yuǎn)大于等指標(biāo)都是與訓(xùn)練集的正常簇相比。持平表示兩者的數(shù)量級相同；遠(yuǎn)大于和遠(yuǎn)小于表示新簇大于或小于正常簇一個數(shù)量級以上；*表示小于、持平和大于等情況都存在。最后說明的是，以上優(yōu)選實施例僅用以說明本發(fā)明的技術(shù)方案而非限制，盡管通過上述優(yōu)選實施例已經(jīng)對本發(fā)明進(jìn)行了詳細(xì)的描述，但本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，可以在形式上和細(xì)節(jié)上對其作出各種各樣的改變，而不偏離本發(fā)明權(quán)利要求書所限定的范圍。當(dāng)前第1頁1 2 3