CN101286872A - 无线传感器网络中分布式入侵检测方法 - Google Patents

Abstract

本发明公开了一种无线传感器网络中分布式入侵检测方法，在传感器节点中使用频繁项集检测方法对离散型网络日志数据进行异常度检测，使用联合概率分布计算的方法对连续型网络日志数据进行异常度检测，传感器节点如果判定整个数据为异常入侵数据，则把该嫌疑数据发往邻居传感器节点进行验证，如果邻居节点也认为该嫌疑数据为入侵数据，该传感器节点则标记该数据为入侵数据，然后开始检测下一个数据。本发明将分布式技术与入侵检测技术相结合，通过传感器网络中的各节点的协同工作，从而减少各自节点的计算量和通信量。通过分析本地的网络日志数据，识别出入侵动作，进而向系统告警，从而达到保护无线传感器网络免受各种新旧攻击的安全目标。

Description

无线传感器网络中分布式入侵检测方法

技术领域

本发明涉及一种无线传感器网络的安全保护方法，具体是一种无线传感器网络中分布式入侵检测方法。

背景技术

随着无线传感器网络应用的快速发展，网络安全问题日益重要。尽管在在有线网络中，防火墙是有效的检测入侵的第一道防线，但在无线网络中还没有这样的工具。因为无线传输受制于丢包和信号阻塞。每个传感器节点的安全对维护整个网络的安全完整性都是很重要的。在无线传感器网络应用越来越广泛的今天，用户需要一种有效的网络安全措施。

入侵检测技术是保护网络安全的关键技术之一。入侵检测系统IDS(IntrusionDetection System)就是一个能检测网络入侵并能进行报警的系统，这里的入侵指网络系统未授权的行为或不是网络系统期望的动作。针对有线网络中的入侵检测系统已经比较成熟，这些系统能够连续的监控用户、系统和网络级的行为，并通常有一个中心化的决策模块。这种架构在有线网络是很有效的，但在无线传感器网络环境下却是不可行的，这是由于网络中无线传感器节点通信能力有限，能量有限，计算能力也有限，不可能都将数据发送到中心模块做决策，对于无线传感器网络需要有一个分布式的，节能的，效率优先的入侵检测系统。

目前大部分的入侵检测方法使用大量的带标签数据或者完全正常的数据来进行训练。在异常检测方法中，大多数方法采用的训练方法是，从一个完全正常的数据集中学习和建立正常行为的模型，然后根据新的数据偏离正常模型的程度，判断数据是否是异常数据。这类算法极大地依赖带标签的训练数据。如果训练数据的标签不正确，通过算法训练得到的正常或异常模型就会不准确，算法的检测效率就会大大降低，甚至算法会完全失效。然而，实际操作中，并不能在实际网络环境中实时地或者轻易地得到带有正确标签的或是完全正常的数据。当前寻求在无标签的数据中进行学习并发现数据中的入侵行为的算法受到日益关注。

经过对现有技术的文献检索发现，中国专利申请号为200710019976.3，名称为“无线传感器网络的混合入侵检测方法”阐述一个基于多种入侵检测手段如：基于聚类，基于距离的用于检测集中式入侵或分布式入侵的无线传感器网络的入侵检测方法，这种方法、仅是一种集中式检测方法，并且没有针对离散型数据和连续型数据的特点做入侵检测，不能满足无线传感器网络中实时的入侵检测要求。

发明内容

本发明的目的是针对现有技术的不足，提供一种有效的无线传感器网络中分布式入侵检测方法，来解决无线传感器网络面临的各种安全问题和安全攻击。本发明将分布式技术与入侵检测技术相结合，通过传感器网络中的各节点的协同工作，从而减少各自节点的计算量和通信量。通过分析本地的网络日志数据，识别出入侵动作，进而向系统告警，从而达到保护无线传感器网络免受各种新旧攻击的安全目标。

本发明是通过以下技术方案实现的：

本发明在传感器节点中使用频繁项集检测方法对离散型网络日志数据进行异常度检测，使用联合概率分布计算的方法对连续型网络日志数据进行异常度检测，对离散数据和连续数据采用不同的方法进行检测，可以避免这两种数据转化成一种时的信息的丢失；传感器节点如果判定整个数据为异常入侵数据，则把该嫌疑数据发往邻居传感器节点进行验证，如果邻居节点也认为该嫌疑数据为入侵数据，该传感器节点则标记该数据为入侵数据，然后开始检测下一个数据，通过这种分布式算法可以将用局部处理代替全局处理，使用局部处理的结果来逼近全局处理的结果，从而达到减少计算量的目的。

本发明方法包含两个阶段：局部入侵检测阶段和全局入侵检测阶段。由于网络日志数据分为离散型部分和连续型部分，局部入侵检测阶段分为离散型数据异常检测和连续型数据异常检测。

所谓离散型数据的入侵检测，是利用apriori算法(由Agrawal、Imielinski和Swami于1993提出)进行的频繁度统计，进而计算数据的异常度是否超过阈值。apriori算法是数据挖掘中用于关联规则挖掘的算法，其作用是找出所有数据中不小于最小支持度的，长度大于最小长度为项目。本发明利用该算法计算所有长度大于3的项的频繁度，所以设最小长度为2，最小支持度设为1。

本发明定义离散型数据的异常度为：

${\mathrm{Score}}_1=\underset{d\⊆P}{\mathrm{\Σ}}\left(\frac{1}{\left|d\right|}\right|\sup \left(d\right)\≤s)---\left(1\right)$

其中P为每个待检测数据，d为每个数据中离散型数据的子项，sup(d)为用apriori算法计算出的每个项的支持度，s为最小支持度，|d|为d的长度，即属性的个数。

所谓连续型数据的入侵检测，是计算当前的数据违背当前的联合概率分布的程度，当违背该分布的程度大于阈值时，则判定该连续型数据为入侵数据。

当前的联合概率分布是由协方差矩阵C_ij ^d决定的，该协方差矩阵是在线更新的，如果当前检测的数据不被判定为全局入侵数据，则使用该数据中的连续型部分更新该协方差矩阵。

本发明定义离散和连续混合类型数据的异常度为：

式中C1：是根据score₁计算出来的，C2：是指是是否超过协方差矩阵所允许最大违背程度。

所谓局部入侵检测，是指设定一个宽度为10的窗口，并计算这个窗口内的混合类型数据的平均异常程度。如果这个窗口内的混合类型数据的异常度超过平均异常度设定范围，就将其标记为嫌疑入侵数据。

所谓全局入侵检测是指为了节约网络资源和节点的计算能力，每个节点只对本地数据进行局部入侵检测，并把自己所检测到的嫌疑入侵数据发送到邻近节点验证，邻居节点再将验证结果反馈回该节点。如果其他节点都认可这个数据为入侵数据，这个数据就是全局入侵数据。

本发明存在一个权衡问题，那就是各节点间的同步问题。如果节点每检测到一个异常数据，就要求别的节点的验证，这样的效率很低下。一个替代方案是，将可能的局部异常数据累积到k个时，才要求别的结点来验证。这样的方法可以减少各节点的同步，但会有更多的通信消耗。这是因为一旦节点接收到的全局信息少了，就意味着要发送更多的局部异常点去验证。本发明采用实验方法，根据具体网络环境，确定K的取值。

本发明是一种在深入分析无线传感器网络特点和现有技术的基础上，针对无线传感器网络日志数据的混合类型的特性以及传感器节点计算，存储，通信和电池能力不足的特点，提出了一种基于分布式数据挖掘技术的，能够处理动态网络日志数据的无线传感器网络入侵检测技术，该技术能在尽量少消耗节点的能量和网络资源的情况下，通过在线监测的方案解决无线传感器网络的安全攻击问题。

附图说明

图1为本发明方法流程图

具体实施方式

下面结合附图对本发明的实施例作详细说明：本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

本实施例采用Matlab程序仿真无线传感器网络，各传感器节点地位平等，都参与数据采集和路由转发功能。每个传感器节点除了存储数据和网络日志外，还存储着邻居节点(一跳)的信息和本地网络日志数据的联合分布概率模型。为了达到实时性要求，传感器网络节点先对非入侵数据上运行一次apriori算法，得到每个项的频繁度表和初始联合分布概率模型。这样在实际检测过程中，就不用遍历所有数据，只要在该表中查找当前项的频繁度，就可直接计算出离散型数据的异常度。图1演示了本实施例的过程，整个检测过程如下：

(1)对数据的离散型部分的数据进行入侵检测，使用score₁计算数据离散型部分的异常度。

(2)利用当前的联合分布概率的协方差矩阵模型，对数据的连续型部分的数据进行入侵检测，使用score₂计算混合属性数据的异常度。

(3)设定一个宽度为10的窗口，并计算这个窗口内的混合类型数据的平均异常度。如果这个窗口内的混合类型数据的异常度超过平均异常度30％，就将其标记为嫌疑入侵数据，没有被判定为嫌疑入侵数据的则视为正常数据，用该数据更新当前联合概率分布模型。

(4)当前传感器节点的嫌疑入侵数据积累到5个时，将这些嫌疑入侵数据发送往邻居节点验证，邻居节点在本地运行入侵检测过程，检验这些嫌疑入侵数据。

(5)如果邻居节点也认可这些嫌疑数据为入侵数据，则标记这些嫌疑入侵数据为入侵数据，否则就用该数据更新当前联合概率分布模型。

本实施例在KDD Cup’99网络入侵数据集上进行实验，对于多数入侵类型使用本发明描述的分布式入侵检测方法，入侵检测率均在85％以上，虽然检测率比使用传统的集中式入侵检测方法略低，但计算复杂度显著下降；而在传感器网络中由于数据分散存储，若要进行集中式入侵检测，就需要把数据集中在一起，这样对无线传感器节点来说是极大的通信和计算负担，是不可行的。所以本实施例是适应于无线传感器网络特点的有效的入侵检测方法。

以上步骤可以满足无线传感器实时性的要求，最耗费计算的apriori算法在真正的检测步骤前运行，预先训练好参数，实时监测时可以直接查表得到结果；联合概率分布模型可以在线用所得的正常检测数据更新，进行增量学习，所处理的结果也越来越精确。针对连续型数据和离散型数据有各自的检测方法，不需要将这两种数据转化为统一的形式，减少了转化过程中的信息丢失。通过分布式算法在分散存储的数据中进行全局的入侵检测，减少了各节点的通讯和计算负担。本实施例可以解决无线传感器网络面临的各种安全问题和安全攻击。

本实施例对网络日志数据分为离散型部分和连续型部分分别进行入侵检测，并采用分布式方法，将局部检测结果转化为全局检测结果，实时保护无线传感器网络安全。处理混合类型数据时，考虑到连续数据和属性数据之间关系的异常评估函数，这样能将两个数据空间作为整体来考虑。传统方法将属性数据转化为连续数据或将连续数据转化为属性数据，然后再处理。这样导致的信息的损失，并增加了噪声。本实施例扩展了基本的入侵检测方法，具有增量学习能力，使之能够处理动态数据。

Claims (5)

1、一种无线传感器网络中分布式入侵检测方法，其特征在于，在传感器节点中使用频繁项集检测方法对离散型网络日志数据进行异常度检测，使用联合概率分布计算的方法对连续型网络日志数据进行异常度检测，传感器节点如果判定整个数据为异常入侵数据，则把该嫌疑数据发往邻居传感器节点进行验证，如果邻居节点也认为该嫌疑数据为入侵数据，该传感器节点则标记该数据为入侵数据，然后开始检测下一个数据。

2、根据权利要求1所述的无线传感器网络中分布式入侵检测方法，其特征是，包含两个阶段：局部入侵检测阶段和全局入侵检测阶段，

所谓局部入侵检测，是指设定一个宽度为10的窗口，并计算这个窗口内的混合类型数据的平均异常程度，如果这个窗口内的混合类型数据的异常度超过平均异常度设定范围，就将其标记为嫌疑入侵数据；

所谓全局入侵检测是指每个节点只对本地数据进行局部入侵检测，并把自己所检测到的嫌疑入侵数据发送到邻近节点验证，邻居节点再将验证结果反馈回该节点，如果其他节点都认可这个数据为入侵数据，这个数据就是全局入侵数据。

其中：局部入侵检测阶段分为离散型数据异常检测和连续型数据异常检测；

所谓离散型数据的入侵检测，是利用apiori算法进行的频繁度统计，进而计算数据的异常度是否超过阈值，apiori算法找出所有数据中不小于最小支持度的、长度大于最小长度为项目，设最小长度为2，最小支持度设为1；

所谓连续型数据的入侵检测，是计算当前的数据违背当前的联合概率分布的程度，当违背该分布的程度大于阈值时，则判定该连续型数据为入侵数据；当前的联合概率分布是由协方差矩阵C_ij ^d决定的，该协方差矩阵是在线更新的，如果当前检测的数据不被判定为全局入侵数据，则使用该数据中的连续型部分更新该协方差矩阵；

3、根据权利要求2所述的无线传感器网络中分布式入侵检测方法，其特征是，所述离散型数据的异常度，其定义为：

${\mathrm{Score}}_1=\underset{d\⊆P}{\mathrm{\Σ}}\left(\frac{1}{\left|d\right|}\right|\sup \left(d\right)\≤s)$

其中P为每个待检测数据，d为每个数据中离散型数据的子项，sup(d)为用apiori算法计算出的每个项的支持度，s为最小支持度，|d|为d的长度，即属性的个数。

4、根据权利要求2所述的无线传感器网络中分布式入侵检测方法，其特征是，所述离散和连续混合类型数据的异常度，定义为：

式中C1是根据score₁计算出来的，C2是指是是否超过协方差矩阵所允许最大违背程度，P为每个待检测数据，d为每个数据中离散型数据的子项，|d|为d的长度，即属性的个数。

5、根据权利要求1或2所述的无线传感器网络中分布式入侵检测方法，其特征是，所述局部异常数据累积到k个时，才由别的结点来验证，根据具体网络环境确定K的取值。

Images