CN101610516B - 自组织网络中的入侵检测方法与设备 - Google Patents

Abstract

本发明实施例公开了一种自组织网络中的入侵检测方法与设备，涉及无线网络领域，能够在保证检测正确性的前提下提高检测速度。一种自组织网络中的入侵检测方法，包括：接收数据并获取所述数据的特征，并将所述特征组成原始特征集合；基于信息增益，将所述原始特征集合中的特征进行分组，得到各个特征分组；基于支持向量机的最小分类误差判决准则，采用支持向量机从所述各个特征分组中筛选最优特征子集；对所述最优特征子集进行分析，判断是否被入侵。本发明实施例可用于在保证检测正确性的前提下提高检测速度。

Description

自组织网络中的入侵检测方法与设备

技术领域

本发明涉及无线网络领域，尤其涉及自组织网络中的入侵检测方法与设备。

背景技术

自组织(Ad Hoc)网络与固定有线网络的差别，导致入侵检测系统(IntrusionDetection System，IDS)在Ad hoc网络中面临着不同的问题。其一，Ad hoc网络无固定基础设施，导致IDS不能很好的统计数据。在任何时间，统计的数据局限于特定无线传输范围内的通信活动，这要求IDS能基于部分的、本地的信息进行。其二，Ad hoc网络的通信链路具有低速率、有限带宽、高误码、电源能量受限等特征，断链在无线传输中是非常常见的，这就要求IDS的实现需要考虑这些因素。其三，Ad hoc网络中，正常与异常活动没有明显的差别。如被入侵的节点发送了错误的路由信息与由于节点移动导致的路由传输出错，这两种现象很难区别。此外，Ad hoc网络所处的外部环境对其网络特性和行为也有很大的影响。

对入侵检测系统的要求，首先是正确性，其次是实时性。然而，随着网络的高速提升，入侵检测系统面临的一个主要问题是检测速度低、负荷大，来不及处理网络中传输的海量数据，因此，检测速度已成为入侵检测系统实时性的一个重要指标。由于实际检测中，有些特征没有包含或者包含极少的系统状态信息，所以，特征选择，即去除冗余特征、保留能够反映系统状态的重要特征是提高检测速度的一种有效方法。图1是特征选择的一般流程。

现有Ad Hoc网络中的入侵检测系统采用的是一种基于信息增益及遗传算法的特征选择方法。首先基于特征之间的信息增益进行特征分组及筛选，然后针对经过筛选而精简的特征子集采用遗传算法进行随机搜索，并采用感知器模型的分类错误率作为评价指标，其流程如图2所示。但是，采用该方法并不能得到最高的检测率和最低的误检率，如表1和表2所示(说明：特征子集(1，15，11)代表表4中的总控制发送Total control transmit，上层包吞吐量Upper layerpacket throughput，来自于目标的总回复Total relies from target这三个特征，来观察及测试网络是否异常。其他特征子集类似)。

基于以上分析，如何在保证检测正确性的前提下开发出检测速度快的轻量级入侵检测系统，是急需解决的问题。

表1现有技术各特征子集的分类正确率

特征子集	分类正确率
		(1，15，11)	0.5
(2，15，11)	0.9
		(3，15，11)	1
(4，15，11)	1
		(5，15，11)	1
(6，15，11)	0.5
		(7，15，11)	1
(8，15，11)	0.72
		(9，15，11)	1
(10，15，11)	1
		(12，15，11)	1
(13，15，11)	0.9
		(14，15，11)	1
(16，15，11)	1

表2现有技术各特征子集的检测率和误检率

特征子集	检测率	误检率
			(1，15，11)	1	1
(2，15，11)	1	0.2
			(3，15，11)	1	0
(4，15，11)	1	0
			(5，15，11)	1	0
(6，15，11)	1	1
			(7，15，11)	1	0
(8，15，11)	1	0.56
			(9，15，11)	1	0
(10，15，11)	1	0
			(12，15，11)	1	0
(13，15，11)	1	0.2
			(14，15，11)	1	0
(16，15，11)	1	0

发明内容

本发明实施例提供一种自组织网络中的入侵检测方法，能够在保证检测正确性的前提下提高检测速度。

为解决上述技术问题，本发明采用如下技术方案：

一种自组织网络中的入侵检测方法，包括：

接收数据并获取所述数据的特征，并将所述特征组成原始特征集合；

基于信息增益，将所述原始特征集合中的特征进行分组，得到各个特征分组；

基于支持向量机的最小分类误差判决准则，采用支持向量机从所述各个特征分组中筛选最优特征子集；

对所述最优特征子集进行分析，判断是否被入侵。

本发明实施例还提供一种自组织网络中的入侵检测设备，能够在保证检测正确性的前提下提高检测速度。

为解决上述技术问题，本发明采用如下技术方案：

一种自组织网络中的入侵检测设备，包括：

特征分组单元，用于接收数据并获取所述数据的特征，将所述特征组成原始特征集合，并基于信息增益，将所述原始特征集合中的特征进行分组，并将得到的各个特征分组发送给最优特征子集筛选单元；

最优特征子集筛选单元，用于接收所述特征分组单元发送的所述各个特征分组，并基于支持向量机的最小分类误差判决准则，采用支持向量机从所述各个特征分组中筛选最优特征子集，并将所述最优特征子集发送给检测单元；

检测单元，用于对所述最优特征子集进行分析，判断是否被入侵。

通过采用所述的入侵检测方法与设备，由于能够基于信息增益将原始特征集合进行特征分组，并基于支持向量机的最小分类误差判决准则，采用支持向量机筛选最优特征子集，进而采用最优特征子集进行入侵检测，所以能够在保证检测正确性的前提下提高检测速度。

附图说明

显而易见地，下面描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中特征选择的一般流程图；

图2为现有技术中基于信息增益及遗传算法的特征选择方法流程图；

图3为本发明实施例1自组织网络中的入侵检测方法流程图；

图4为本发明实施例1自组织网络中的入侵检测方法另一流程图；

图5为本发明实施例1自组织网络中的入侵检测方法另一流程图；

图6为本发明实施例2自组织网络中的入侵检测设备结构图；

图7为本发明实施例2自组织网络入侵检测设备中的特征分组单元的结构图；

图8为本发明实施例2自组织网络入侵检测设备中的最优特征子集筛选单元的结构图。

具体实施方式

本发明实施例提供一种自组织网络中的入侵检测方法与设备，能够在保证检测正确率的前提下提高检测速度。

下面结合附图对本发明进行详细描述。所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

如图3所示，本发明实施例Ad Hoc网络中的入侵检测方法包括：

S31、接收数据并获取所述数据的特征，并将所述特征组成原始特征集合；

S32、基于信息增益，将所述原始特征集合中的特征进行分组，得到各个特征分组；

S33、基于支持向量机的最小分类误差判决准则，采用支持向量机从所述各个特征分组中筛选最优特征子集；

S34、对所述最优特征子集进行分析，判断是否被入侵。

例如，自组织网络被入侵的状况包括：节点是否被截获、敌方节点可持密钥是否冒充合法节点加入了网络等。可选的，步骤S34可以参考现有技术中，通过遗传算法选择得到特征子集，判断是否被入侵的过程，在此不在赘述。

通过采用所述的入侵检测方法，由于能够基于信息增益将原始特征集合进行特征分组，并基于支持向量机的的最小分类误差判决准则，采用支持向量机筛选最优特征子集，进而采用最优特征子集进行入侵检测，所以能够在保证检测正确性的前提下提高检测速度。

特征分组是进行特征选择及降维的有效方法之一，其主要思想是基于特定的相似性度量，对特征进行分组，使得分在同一组的特征具有很强的相似性，而不同组的特征具有较大的差异，从而在一定程度上消除特征冗余，实现降维。

在本实施例中，如步骤S32所述，采用信息增益作为特征之间的相似性度量(简称相似度)，下面首先给出信息增益的定义。

令X为随机变量，则X的信息熵定义为：

$H\left(X\right)=-\underset{i}{\mathrm{\Σ}}P\left(x_i\right){\log }_2\left(P\left(x_i\right)\right)---\left(1\right)$

通过观测随机变量Y，随机变量X的信息熵变为：

$H\left(X\right|Y)=-\underset{j}{\mathrm{\Σ}}P\left(y_j\right)\underset{i}{\mathrm{\Σ}}P\left(x_i\right|y_j){\log }_2\left(P\left(x_i\right|y_j)\right)---\left(2\right)$

式(2)中，P(x_i)代表随机变量X的先验概率，P(x_i|y_j)代表观测到随机变量Y后随机变量X的后验概率。引入随机变量Y的信息后，随机变量X的信息熵H(X|Y)≤H(X)，即引入Y后，X的不确定程度会变小或保持不变。若Y与X不相关，则H(X|Y)＝H(X)；若Y与X相关，则H(X|Y)＜H(X)，而差值H(X)-H(X|Y)越大，Y与X的相关性越强。因此，信息增益IG(X|Y)为H(X)与H(X|Y)的差值，反映了Y与X的相关程度，IG(X|Y)越大，则变量Y与X的相关性越强，如式(3)所示：

IG(X|Y)＝H(X)-H(X|Y)                        (3)

而且，信息增益具有对称性，即IG(X|Y)＝IG(Y|X)。另外，信息增益的归一化表达式如式(4)所示，同理有SU(X，Y)＝SU(Y，X)。

$\mathrm{SU}(X,Y)=2\frac{\mathrm{IG}\left(X\right|Y)}{H\left(X\right)+H\left(Y\right)}---\left(4\right)$

如果样本是离散的，则任意两特征的信息增益定义如下：

${\mathrm{\ρ}}_{\mathrm{ij}}=\frac{\underset{n=1}{\overset{N}{\mathrm{\Σ}}}{x}_{\mathrm{nj}}{x}_{\mathrm{ni}}}{\sqrt{\underset{n=1}{\overset{N}{\mathrm{\Σ}}}{x}_{\mathrm{ni}}^2\underset{n=1}{\overset{N}{\mathrm{\Σ}}}{x}_{\mathrm{nj}}^2}}---\left(5\right)$

式(5)中，x_nk，n＝1，...，N，k＝1，...，p，表示第k个特征的第n个样本。

在上述相似度和信息增益定义的基础上，就可以基于特征之间的相似度进行特征分组。如图4所示，本实施例中，步骤S 32可以包括：

S321、根据式(5)，计算所述原始特征集合中任意两个特征之间的信息增益，形成特征相似度矩阵(即信息增益)SU；

S322、查找密度最大的特征，并在所述原始特征集合中搜索与所述密度最大的特征之间的信息增益大于指定阈值的其它特征；

其中，所述查找密度最大的特征具体为：针对所述原始特征集合中的每个特征，分别统计与该特征的相似度大于指定阈值的其它特征的个数；基于所述其它特征的个数，查找密度最大(即与该特征的相似度大于指定阈值的其它特征的个数最大)的特征。

S323、将搜索到的其它特征与所述密度最大的特征组成一个特征分组；

S324、将所述特征分组从所述原始特征集合中剔除，并将所述原始特征集合中的剩余特征组成一个新的原始特征集合；

S325、判断所述新的原始特征集合是否为空或者是否只有一个特征，若为否，则返回步骤S321；若为空，则结束特征分组；若只有一个特征，则将该特征单独组成一个特征分组，并结束特征分组。

通过采用图4所示的流程，采用信息增益作为特征之间的相似性度量(简称相似度)，并采用基于密度的分组方法进行特征分组，从而实现了原始特征集合的精简。

进一步地，在得到上述各个特征分组后，本实施例中的步骤S33基于支持向量机算法对上述各个特征分组进行处理，从而得到所述最优特征子集。下面首先对支持向量机算法进行简单介绍。

支持向量机(support vector machine，SVM)的基本功能是处理两类问题，其原理是用一个由一定数量的支持向量决定的超平面来分类数据，用于各种分类和预测，使错误的检测率减小到最小。支持向量是一个训练数据的子集，该子集被用于定义二类数据的边界。在无法用支持向量机分离二类问题的情况下，则用核函数将输入数据映射到高维特征空间，然后在高维特征空间解决这个分类问题，例如，在高维特征空间中，可以用线性超平面来分离。

数学上，线性边界可表示为：

w^Tx+b＝0                       (6)

用训练数据估计一个函数f：R^N→{±1}，用x∈A，y＝1表示A类点，用x∈B，y＝-1表示B类点，且(x_i，y_i)∈Rⁿ×{±1}。如果训练数据是线性可分的，那么就存在一对(w，b)∈Rⁿ×R使得：

w^Tx+b≥+1(x∈A)                (7)

w^Tx+b≤-1(x∈B)                (8)

其决策函数：

f_w，b(x)＝sign(w^Tx+b)          (9)

式中：w为权重向量，b为偏离值.不等式约束(7)和(8)可合并成：

y(w^Tx+b)≥1(x∈A∪B)           (10)

此时，分类间隔为2/||w||，使间隔最大即等价于使||w||²最小。满足式(6)且使||w||²/2最小的分类面就称为最优分类面，所以，优化问题也就转化满足式(11)：

minΦ(w)＝||w||²/2             (11)

约束条件：y(w^Tx+b)≥1

基于上述对支持向量机算法的分析，如图5所示，本实施例步骤S33可以包括：

S331、从所述各个特征分组中，任意各选取一个特征，基于选取的特征所对应的训练样本和检测样本，采用支持向量机，计算所述选取的特征的分类正确率，并把所述选取的特征存入预设的数组中。

其中，所述基于选取的特征所对应的训练样本和检测样本，采用支持向量机，计算所述选取的特征的分类正确率具体为：将所述选取的特征所对应的训练样本在所述支持向量机中进行训练，然后把所述选取的特征所对应的检测样本放进所述支持向量机中，基于所述训练样本以及所述检测样本，计算所述选取的特征的分类正确率。

S332、从所述各个特征分组中，重新任意各选取一个特征，基于重新选取的特征所对应的训练样本和检测样本，采用支持向量机，计算所述重新选取的特征的分类正确率。

S333、将所述重新选取的特征的分类正确率与上一次的分类正确率进行比较，若大于上一次的，则将所述重新选取的特征存入所述预设的数组；

S334、判断是否达到预定的计算次数，若达到，则转向步骤S335；否则转向步骤S332。

S335、将所述预设的数组中的特征作为精简后的最优特征子集输出。

实施例2

如图6所示，本发明实施例提供一种Ad Hoc网络中的入侵检测设备600，包括：

特征分组单元601，用于接收数据并获取所述数据的特征，将所述特征组成原始特征集合，并基于信息增益，将所述原始特征集合中的特征进行分组，将得到的各个特征分组发送给最优特征子集筛选单元602；

最优特征子集筛选单元602，用于接收所述特征分组单元601发送的所述各个特征分组，并基于支持向量机的最小分类误差判决准则，采用支持向量机从所述各个特征分组中筛选最优特征子集，并将所述最优特征子集发送给检测单元603；

检测单元603，用于对所述最优特征子集进行分析，判断是否被入侵。例如，自组织网络被入侵的状况包括：节点是否被截获、敌方节点可持密钥是否冒充合法节点加入了网络等。

通过采用所述的入侵检测设备600，由于特征分组单元601能够基于信息增益将原始特征集合进行特征分组，最优特征子集筛选单元602能够基于支持向量机的的最小分类误差判决准则，采用支持向量机筛选最优特征子集，进而检测单元603采用最优特征子集进行入侵检测，所以能够在保证检测正确性的前提下提高检测速度。

进一步地，如图7所示，所述特征分组单元601包括：

原始特征集合单元701，用于接收所述数据并获取所述数据的特征，并将所述特征组成所述原始特征集合；

计算单元702，用于计算所述原始特征集合中任意两个特征之间的信息增益；

查找单元703，用于查找密度最大的特征(即与该特征的相似度大于指定阈值的其它特征的个数最大的特征)，并在所述原始特征集合中搜索与所述密度最大的特征的信息增益大于指定阈值的其它特征，并将搜索到的其它特征发送给所述处理单元704；

第一处理单元704，用于将所述搜索到的其它特征与所述密度最大的特征组成一个特征分组，将所述特征分组从所述原始特征集合中剔除，将所述原始特征集合中的剩余特征组成一个新的原始特征集合，并判断所述新的原始特征集合是否为空或者是否只有一个特征，并将各个所述特征分组发送给所述最优特征子集筛选单元602。

进一步地，如图8所示，所述最优特征子集筛选单元602包括：

第二处理单元801，用于接收所述特征分组单元601发送的各个所述特征分组，在预定的计算次数内，从各个所述特征分组中，任意各选取一个特征，基于选取的特征所对应的训练样本和检测样本，采用支持向量机，计算所述选取的特征的分类正确率，若新选取的特征的分类正确率大于上一次得到的所述分类正确率，则将所述新选取的特征存入预设数组；

其中，所述基于选取的特征所对应的训练样本和检测样本，采用支持向量机，计算所述选取的特征的分类正确率包括：将所述选取的特征所对应的训练样本在所述支持向量机中进行训练，然后把所述选取的特征所对应的检测样本放进所述支持向量机中，基于所述训练样本以及所述检测样本，计算所述选取的特征的分类正确率。

输出单元802，用于判断所述第二处理单元801的计算次数是否达到预定值，若达到所述预定值，则将所述预设数组中的特征作为最优特征子集发送给所述检测单元603。

下面，采用表3所示的检测环境，本发明实施例对入侵检测设备600在网络存在自私节点攻击的情况下的误检率和分类正确率进行了分析。分析中主要收集的特征数据如表4所示，所述指定阈值设置为0.8。自私节点，即当其他节点发来路由包时直接丢弃，自己发送数据包时才发送路由包，目的是节省能量。检测率和误检率分别定义为：

检测率(true positive rate，TPR)，定义为：

误检率(false positive rate，FPR)，定义为：

表3检测参数设置

检测参量	取值
		路由协议	动态源路由协议
节点数	30
		自私节点数	3
仿真时间	1分钟

表4检测中收集的特征值

序号	名称
		1	总控制发送(Total control transmit)
2	总数据效率(Total data efficiency)
		3	总缓冲数据(Total data in buffer)
4	总服务数据(Total data served)
		5	总成功发送的数据(Total data successfully transmitted)
6	总发送数据(Total data transmit)
		7	总非传播请求(Total non propa requests)
8	总开销(Total overhead)
		9	总回复(Total replies)
10	来自于中继的总回复(Total replies from relay)
		11	来自于目标的总回复(Total relies from target)
12	总请求(Total requests)
		13	上层效率(Upper layer efficiency)
14	接收到的上层包(Upper layer packet received)
		15	上层包吞吐量(Upper layer packet throughput)
16	发送的上层包(Upper layer packet transmited)

表5本发明实施例特征分组结果

第一组	1，2，3，4，5，6，7，8，9，10，12，13，14，16
		第二组	15
第三组	11

对于表4所示的特征，本发明实施例基于信息增益的特征分组如表5所示，基于支持向量机的最优特征子集筛选得到的最优特征子集为(3，5，11)，其分类正确率为1，可见本发明实施例能够实时准确的检测到入侵，与现有技术相比，降低了误检率。

本领域普通技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求所述的保护范围为准。

Claims (6)

1.一种自组织网络中的入侵检测方法，其特征在于，包括：

接收数据并获取所述数据的特征，并将所述特征组成原始特征集合；

基于信息增益，将所述原始特征集合中的特征进行分组，得到各个特征分组；

基于支持向量机的最小分类误差判决准则，采用支持向量机从所述各个特征分组中筛选最优特征子集；所述基于支持向量机的最小分类误差判决准则，采用支持向量机从所述各个特征分组中筛选最优特征子集包括：(1)从所述各个特征分组中，任意各选取一个特征，基于选取的特征所对应的训练样本和检测样本，采用支持向量机，计算所述选取的特征的分类正确率，并把所述选取的特征存入预设的数组中；(2)从所述各个特征分组中，重新任意各选取一个特征，基于重新选取的特征所对应的训练样本和检测样本，采用支持向量机，计算所述重新选取的特征的分类正确率，若所述重新选取的特征的分类正确率大于上一次的分类正确率，则将所述重新选取的特征存入所述预设的数组；(3)重复步骤(2)，直至达到预定的计算次数，并将所述预设的数组中的特征作为精简后的最优特征子集输出；

对所述最优特征子集进行分析，判断是否被入侵。

2.根据权利要求1所述的入侵检测方法，其特征在于，所述基于信息增益，将所述原始特征集合中的特征进行分组，得到各个特征分组包括：

(1)计算所述原始特征集合中任意两个特征之间的信息增益；

(2)查找密度最大的特征，并在所述原始特征集合中，搜索与所述密度最大的特征之间的信息增益大于指定阈值的其它特征；

(3)将搜索到的其它特征与所述密度最大的特征组成一个特征分组；

(4)将所述特征分组从所述原始特征集合中剔除，并将所述原始特征集合中的剩余特征组成一个新的原始特征集合；

(5)判断所述新的原始特征集合是否为空或者是否只有一个特征，若为否，则返回步骤(1)。

3.根据权利要求1所述的入侵检测方法，其特征在于，所述基于选取的特征所对应的训练样本和检测样本，采用支持向量机，计算所述选取的特征的分类正确率包括：

将所述选取的特征所对应的训练样本在所述支持向量机中进行训练，然后把所述选取的特征所对应的检测样本放进所述支持向量机中，基于所述训练样本以及所述检测样本，计算所述选取的特征的分类正确率。

4.一种自组织网络中的入侵检测设备，其特征在于，包括：

特征分组单元，用于接收数据并获取所述数据的特征，将所述特征组成原始特征集合，并基于信息增益，将所述原始特征集合中的特征进行分组，将得到的各个特征分组发送给最优特征子集筛选单元；

最优特征子集筛选单元，用于接收所述特征分组单元发送的所述各个特征分组，并基于支持向量机的最小分类误差判决准则，采用支持向量机从所述各个特征分组中筛选最优特征子集，并将所述最优特征子集发送给检测单元；所述最优特征子集筛选单元包括：第二处理单元，用于接收所述特征分组单元发送的各个所述特征分组，在预定的计算次数内，从各个所述特征分组中，任意各选取一个特征，基于选取的特征所对应的训练样本和检测样本，采用支持向量机，计算所述选取的特征的分类正确率，若新选取的特征的分类正确率大于上一次得到的所述分类正确率，则将所述新选取的特征存入预设数组；输出单元，用于判断所述第二处理单元的计算次数是否达到预定值，若达到所述预定值，则将所述预设数组中的特征作为最优特征子集发送给所述检测单元；

检测单元，用于对所述最优特征子集进行分析，判断是否被入侵。

5.根据权利要求4所述的入侵检测设备，其特征在于，所述特征分组单元包括：

原始特征集合单元，用于接收所述数据并获取所述数据的特征，并将所述特征组成所述原始特征集合；

计算单元，用于计算所述原始特征集合中任意两个特征之间的信息增益；

查找单元，用于查找密度最大的特征，并在所述原始特征集合中搜索与所述密度最大的特征之间的信息增益大于指定阈值的其它特征，并将搜索到的其它特征发送给第一处理单元；

第一处理单元，用于将所述搜索到的其它特征与所述密度最大的特征组成一个特征分组，将所述特征分组从所述原始特征集合中剔除，将所述原始特征集合中的剩余特征组成一个新的原始特征集合，并判断所述新的原始特征集合是否为空或者是否只有一个特征，并将各个所述特征分组发送给所述最优特征子集筛选单元。

6.根据权利要求4所述的入侵检测设备，其特征在于，所述基于选取的特征所对应的训练样本和检测样本，采用支持向量机，计算所述选取的特征的分类正确率包括：

将所述选取的特征所对应的训练样本在所述支持向量机中进行训练，然后把所述选取的特征所对应的检测样本放进所述支持向量机中，基于所述训练样本以及所述检测样本，计算所述选取的特征的分类正确率。

Images