CN103929738B

CN103929738B - 一种基于危险多代理的WSNs联合入侵检测方法

Info

Publication number: CN103929738B
Application number: CN201410161843.XA
Authority: CN
Inventors: 黄杰; 张莎; 王恩飞; 陈磊; 孙熊; 陈叶荣; 张丽
Original assignee: Southeast University
Current assignee: Southeast University
Priority date: 2014-04-21
Filing date: 2014-04-21
Publication date: 2017-04-12
Anticipated expiration: 2034-04-21
Also published as: CN103929738A

Abstract

本发明公开一种基于危险多代理的WSNs联合入侵检测方法，在无线传感器网络中的每个节点上都植入一个IDS代理，且各IDS代理之间建立对等关系，将感知到危险的节点设为主IDS代理，将危险域中进行检测的其它节点设为本地IDS代理，每个IDS代理包含了多个功能代理；本地IDS代理负责进行本地数据采集和异常数据检测，主IDS代理负责集中处理检测结果并最终确定恶意节点。本发明充分的考虑WSNs本身的特点，在增强检测效率的同时，节省整个网络的检测能耗，延长网络的运行寿命。

Description

一种基于危险多代理的WSNs联合入侵检测方法

技术领域

本发明涉及WSNs安全技术领域，具体涉及一种基于危险多代理的WSNs联合入侵检测方法。

背景技术

WSNs入侵检测技术主要从检测体系和检测算法两方面进行研究，试图通过设计适合WSNs特点的入侵检测体系或入侵检测算法，在减少能耗的同时增强入侵检测的有效性和安全性。根据检测节点之间的关系，WSNs入侵检测体系主要分为三种类型：分布式、对等协同式以及层次式。其中，分布式体系中的单个节点安装有完整的入侵检测系统，各节点互不合作，单独执行入侵行为检测，而对等协同式体系则是各节点之间关系均等，相互协作完成检测任务。与前两种类型不同的是，层次式体系对检测任务进行了分解，不同类型的节点执行不同的检测任务，三种类型各有优缺点。

由于传统的入侵检测体系中，检测节点需要一直处于网络监听检测状态，而网络监听能耗是总检测消耗的主要组成部分。为此，涌现出了一些应用人工免疫系统中的危险理论基本原理的检测体系，即只有当检测节点自身感受到危险时，才激活危险域中的检测节点收集相关数据并传输至决策节点，由决策节点通过人工免疫算法进行运算检测。这种方式大幅度的降低整个网络的能量消耗，并且通过免疫原理提高了检测率，增强了系统的自学习性。

目前基于危险理论的WSNs入侵检测方法多采用层次型结构，对入侵行为的检测需经过多层节点的处理，检测实时性不理想并且决策节点压力过大，同时存在单点失效的危险。而多代理的方式是在单个节点上安装多个功能代理，改善了检测的实时性，也不存在单点失效的问题，但在单个节点上运行多个功能代理会导致开销过大，影响WSNs的正常运行。危险理论中，节点只在收到危险信号时才被激活进行检测操作，该特点可以弥补多代理体系能量消耗大的缺陷，因此危险理论与多代理体系的结合能够很好的实现入侵检测体系中检测时间、检测能量和检测效率三者的平衡。

而以往基于危险多代理体系的WSNs入侵检测方法中，危险域中接收到危险信号的节点需要采集网络相关的抗原信息，而感知并且发出危险信号的节点需要对这些提取到的抗原信息进行集中的入侵检测，采用的是需进行大量样本训练的自体/非自体检测方法，该方法需要获取大量原始抗原，训练时间长，并且训练开销大。同时大量抗原信息的传输会增加网络的通信负载，也会增加节点的通信消耗。而网络中感知到危险的节点对应于生物免疫系统中的“受难节点”，是濒临消亡的节点，必然在节点资源等方面受到了损害，若继续由该节点进行开销较大的检测操作，显然是不合理的。

发明内容

发明目的：WSNs一般处于无人看管的状态，传感节点具有能量有限的特点，从而WSNs易受到来自内部和外部的恶意攻击，因此建立一个能量损耗低的WSNs入侵检测系统是十分有必要的。为了在保证高检测率的同时降低传感节点能量消耗，本发明将“危险唤醒”的机制应用到改进的WSNs多代理检测体系中，并通过异常数据检测方法代替了原免疫系统中的自体/非自体检测方法，使入侵检测体系更加适用于WSNs，从而提高入侵行为检测率，减少入侵行为检测的能量消耗，提供一种基于危险多代理的WSNs联合入侵检测方法。

技术方案：本发明的一种基于危险多代理的WSNs联合入侵检测方法，在无线传感器网络中的每个节点上都植入一个IDS代理，且各IDS代理之间建立对等关系，将感知到危险的节点设为主IDS代理，将危险域中进行检测的其它节点设为本地IDS代理，每个IDS代理包含了多个功能代理；所述本地IDS代理负责进行本地数据采集和异常数据检测，所述主IDS代理负责集中处理检测结果并最终确定恶意节点；其中，所述主IDS代理和本地IDS代理进行联合入侵检测的具体过程如下：

（1）主IDS代理实时检测自身节点性能参数，检测到危险后，将以主IDS代理为中心划定一个危险域，该危险域的危险半径以跳数为单位；

（2）划定危险域后，主IDS代理将向危险域中的各节点发送一个危险信号，表明该区域内可能存在恶意攻击；

（3）危险域中的本地IDS代理接收到危险信号后，其相应的检测功能被激活，开始收集邻近节点信息并进入检测阶段；

（4）本地IDS代理的检测活动结束后，将检测出的恶意节点信息传递至主IDS代理，主IDS代理记录危险域中各本地IDS代理传递的异常数据检测结果，采用“投票机制”确定最终的恶意节点；

（5）获得恶意节点信息后，主IDS代理向整个危险域内的节点发出响应告警，危险域内节点接收到告警后存储恶意节点信息，并避免与恶意节点发生数据通信，从而将恶意节点隔离出来。

进一步的，所述IDS代理的内部工作流程如下：IDS内部的危险感知代理将检测到的危险信息进行广播，进而激活抗原提呈代理；然后所述抗原提呈代理将监听获得的抗原信息传递给决策代理；所述本地IDS代理的决策代理检测本地抗原的异常数据，并将检测结果递交给主IDS代理，所述主IDS代理的决策代理运用“投票机制”对检测结果进行集中处理进而确定恶意节点，并向响应警告代理传递最终检测结果；最后，所述响应警告代理根据检测结果确定恶意节点的具体信息，并将恶意节点信息通知整个危险域。

进一步的，所述响应警告代理从决策代理处获得恶意节点的信息后，向整个危险域内节点发布恶意节点的警告消息，危险域内的节点收到恶意节点的相关信息后，将修改自身的路由表，将恶意节点排除在自身可通信对象的列表之外，从而各节点不会转发恶意节点发送的数据，也不会向该节点发送任何数据。

有益效果：本发明的一种基于危险多代理的WSNs联合入侵检测方法，将危险理论和多代理检测体系结合起来，并将检测任务分为本地IDS代理检测和主IDS代理检测，同时采用异常数据检测和简单的“投票机制”代替需要进行样本训练的自体/非自体检测方法，充分的考虑WSNs本身的特点，在增强检测效率的同时，节省整个网络的检测能耗，延长网络的运行寿命。

附图说明

图1本发明的的体系结构示意图；

图2本发明的流程示意图；

图3本发明中IDS代理的内部功能结构示意图；

图4本发明中的响应警告代理的示意图；

图5本发明与其它检测方案的入侵检测率对比示意图；

图6本发明与其它检测方案的检测能耗对比示意图。

具体实施方式

下面对本发明技术方案结合附图进行详细说明。

如图1至图4所示，本发明的一种基于危险多代理的WSNs联合入侵检测方法，在无线传感器网络中的每个节点上都植入一个IDS（入侵检测系统）代理，且各IDS代理之间建立对等关系，将感知到危险的节点设为主IDS代理，将危险域中进行检测的其它节点设为本地IDS代理，每个IDS代理包含了多个功能代理；所述本地IDS代理负责进行本地数据采集和异常数据检测，所述主IDS代理负责集中处理检测结果并最终确定恶意节点；其中，所述主IDS代理和本地IDS代理进行联合检测的过程如下：

（1）主IDS代理实时检测自身节点性能参数，检测到危险后，将以主IDS代理为中心划定一个危险域，该危险域的危险半径以跳数为单位，其中所需检测的数据包括能量下降速率ERi、数据接收频率CRi和数据发送频率SRi，由于网络中存在恶意攻击时，这些性能参数可能发生较为明显的变化，因此运用均值与标准差模型对性能参数进行异常变化的检测；

下面将详细说明IDS代理内部的各功能代理的工作原理及流程：

1、危险感知代理

当无线传感器网络中存在恶意攻击时，各节点的能量下降率、数据接收率和数据发送率将可能发生较为明显的变化，而本发明将这种性能参数的异常变化作为危险感知的依据，运用均值与标准差模型进行异常变化的检测，具体过程如下：

设随机变量x₁,x₂,x₃...相互独立，且具有相同的数学期望和方差：

E(x_k)=u （1）

D(x_k)=σ²(k=1,2,...) （2）

则随机变量的分布函数F_n(x)对任意实数x，有：

令平均值则Y_n表示为根据公式（3）可知服从标准正态分布N(0,1)，即服从N(u,σ²n)，这正是中心极限定理的本质。

在本实施例中，设ER_i,CR_i,SR_i分别表示第i个周期内节点的能量下降速率、数据接收频率和数据发送频率。对于能量下降速率，设ER₁,ER₂,...,ER_n为n个周期内能量的下降速率，则在该时间段内，该节点的平均能量下降速率为：

则平均值的标准差定义为：

异常值的置信区间为若节点第n+1个周期的平均能量下降速率时，则认为能量下降速率出现了异常。对于另外两个参数CR_i、SR_i的处理原理是一样的，若发现了异常则说明网络中出现了恶意攻击。

（2）危险区域的划分

节点检测到危险后，将以主IDS代理为中心划定一个危险域，该危险域的危险半径以跳数为单位。由于恶意节点发起的攻击强度不同，主IDS代理检测到的危险强度也不一样，因此危险域的半径与检测到的危险强度息息相关。主IDS代理中第n周期的危险强度DST_n的表示如公式（6）所示。

DST_n=w₁·DE_n+w₂·DC_n+w₃·DS_n (6)

其中，DE_n、DC_n、DS_n分别表示第n周期能量下降速率、数据接收频率和数据发送频率的异常变化强度，DE_n的计算方法如公式（7）所示，DC_n、DS_n的计算方式类似，都与该参数前n-1个周期的均值有关。若参数值未发现异常，则异常变化强度值赋0。w₁,w₂,w₃分别表示各参数的危险权重，表现为对危险强度的影响大小。而不同WSNs协议的设计者对网络安全等级的要求也会影响到危险区域的划分，设SL为网络安全等级，则危险区域的计算公式如下：

DSR_n=DST_n·SL （8）

由公式（8）可知，危险半径与危险强度和网络安全等级成正比。在危险强度较大并且网络安全等级要求较高的情形下，危险信号所覆盖范围自然更大，参与入侵检测的IDS代理就会更多。

2、抗原提呈代理

由于WSNs是采用广播方式传递节点信息，因此当节点接收端口设为混杂模式时，可以监测到所有邻近节点的相关特征值。

抗原提呈代理并不会一直进行抗原提取，而是根据主IDS代理要求的提取周期进行特征值提取。

3、决策代理

获得抗原提呈代理提交的抗原后，决策代理将对这些数据进行检测判断，本方法中检测分为两种情况，即主IDS代理的检测和其它IDS代理的本地检测。进行本地检测的决策代理获得本地抗原信息后，将采用异常数据检测方法处理这些信息。基于能量的考虑，本发明使用经典的k-均值计算方法；检测出本地的恶意节点后，危险域中的其它IDS代理向主IDS代理递交恶意节点信息，主IDS代理统一处理危险域中的所有恶意节点信息，通过“投票机制”确定危险度最高的节点为恶意节点。

其中，K-均值计算方法的具体方法如下：

Step1：首先为每个簇选择一个初始聚类中心，初始聚类中心的选择直接影响聚类结果的有效性，由于本发明使用聚类算法进行异常检测，因此根据最小最大原则，从聚类对象中选择两个差异性最大的对象作为初始聚类中心，采用欧式距离作为聚类对象之间的差异性度量。假设采用(X₁,X₂...X_n)来描述对象A的属性，而(x_i1,x_i2...x_in)和(x_j1,x_j2...x_jn)分别表示对象A_i和A_j的属性取值，则两属性之间的欧式距离计算如公式（9）所示。

Step2：聚类对象集中的其它对象计算与目前所有聚类中心的差异性，并按照最小差异性原则选择加入该聚类中心A_p代表的簇。

Step3：使用公式（11）计算每个簇的平均值，并用该值作为新的聚类中心代表该簇。重复step2和step3，直到聚类中心不再变化。

Step4：结束运算并得到两个聚类，其中成员最少的簇属于异常对象集合。

K-均值聚类算法的复杂度是O(nkt)，其中n是所有对象的数目，k是簇的数目，t是迭代的次数，通常k<<n且t<<n。该种算法简单快速，对于处理区别明显的簇是非常有效的，因此在传感器节点上检测异常数据，这种算法是十分合适的。

（2）投票机制

危险域中的本地IDS代理以数组形式向主IDS代理传递检测出来的恶意节点信息，主IDS代理将这些检测信息记录在表1中，其中Node_i表示危险域中第i个节点的ID号，而Ni表示该节点所获得的异常票数。

表1恶意节点统计表格

危险域节点ID	Node₁	Node₂	......	Node_n
					异常票数	N₁	N₂	......	N_n

当节点投票结束后，主IDS代理对表格中的数据进行综合处理，若某节点票数满足公式（12），则确定该节点为恶意节点。

其中，n表示该危险域中的节点总数，而α∈[0,1]表示恶意节点裁定阈值，即恶意节点的异常票数会大于α·n。

4、响应警告代理

从决策代理处获得恶意节点的信息后，响应警告代理将向整个危险域内节点发布恶意节点的警告消息，这些节点收到恶意节点的相关信息后，将修改自身的路由表，将恶意节点排除在自身可通信对象的列表之外，从而各节点不会转发恶意节点发送的数据，也不会向该节点发送任何数据。如图4所示，恶意节点在WSNs的路由中被孤立起来，无法对路径上的数据产生干扰，进而实现WSNs的入侵检测。

下面对本发明通过实施例来进行详细说明。

实施例：

将实施例命名为DT-MASC，则为了验证DT-MASC的功能特性，将与基于危险理论的主从式多代理检测方案DT_MAS和典型的多代理检测方案MAIDS进行仿真对比，对比性能包括检测率和检测能耗，仿真平台是OMNET++，其中仿真场景的主要参数设置如表2所示。

表2仿真实验参数

按照表2中的仿真参数，节点被随机部署在网络中，根据仿真需要可随机选择恶意节点的位置。通过调整恶意节点的数目实现网络恶意攻击强度的调整，从而研究各入侵检测方案在不同攻击强度下的检测性能，其中每个数据是连续10轮相同实验求得的平均值。

如图5所示，随着攻击节点的增加，三种方案都呈现下降的趋势，但是由于本实施例结合了局部检测和联合检测的特点，能够适当提高检测的正确率，其检测率仍然高于其它两个方案。

传感器节点的功能单元包括数据采集单元、数据处理单元和无线通信单元，由于节点将1bit数据传输100m所消耗的能量大约等于执行3000条计算指令消耗的能量，而数据采集单元的能耗相比于无线通信单元的能耗也很低。因此，可以认为传感器节点的能耗主要集中在无线通信上。如图6所示，随着攻击节点的增加，节点进行监听检测以及消息传递会增加能量消耗，而在不同的检测环境中，本实施例的能耗都会明显低于另外两个检测方案，这是因为MAIDS方案要求所有节点参与监听检测，而DT_MAS传递大量抗原信息将增加能量消耗。因此在检测能耗方面，本发明具有较大优势。

Claims

1.一种基于危险多代理的WSNs联合入侵检测方法，其特征在于：在无线传感器网络中的每个节点上都植入一个IDS代理，且各IDS代理之间建立对等关系，将感知到危险的节点设为主IDS代理，将危险域中进行检测的其它节点设为本地IDS代理，每个IDS代理包含了多个功能代理；所述本地IDS代理负责进行本地数据采集和异常数据检测，所述主IDS代理负责集中处理检测结果并最终确定恶意节点，其中，所述主IDS代理和本地IDS代理进行联合入侵检测的具体过程如下：

(1)主IDS代理实时检测自身节点性能参数，检测到危险后，将以主IDS代理为中心划定一个危险域，该危险域的危险半径以跳数为单位；

(2)划定危险域后，主IDS代理将向危险域中的各节点发送一个危险信号，表明该区域内可能存在恶意攻击；

(3)危险域中的本地IDS代理接收到危险信号后，其相应的检测功能被激活，开始收集邻近节点信息并进入检测阶段；

(4)本地IDS代理的检测活动结束后，将检测出的恶意节点信息传递至主IDS代理，主IDS代理记录危险域中各本地IDS代理传递的异常数据检测结果，采用“投票机制”确定最终的恶意节点；

(5)获得恶意节点信息后，主IDS代理向整个危险域内的节点发出响应告警，危险域内节点接收到告警后存储恶意节点信息，并避免与恶意节点发生数据通信，从而将恶意节点隔离出来。

2.根据权利要求1所述的基于危险多代理的WSNs联合入侵检测方法，其特征在于：所述IDS代理的内部工作流程如下：IDS内部的危险感知代理将检测到的危险信息进行广播，进而激活抗原提呈代理；然后所述抗原提呈代理将监听获得的抗原信息传递给决策代理；所述本地IDS代理的决策代理检测本地抗原的异常数据，并将检测结果递交给主IDS代理，所述主IDS代理的决策代理运用“投票机制”对检测结果进行集中处理进而确定恶意节点，并向响应警告代理传递最终检测结果；最后，所述响应警告代理根据检测结果确定恶意节点的具体信息，并将恶意节点信息通知整个危险域。

3.根据权利要求2所述的基于危险多代理的WSNs联合入侵检测方法，其特征在于：所述响应警告代理从决策代理处获得恶意节点的信息后，向整个危险域内节点发布恶意节点的警告消息，危险域内的节点收到恶意节点的相关信息后，将修改自身的路由表，将恶意节点排除在自身可通信对象的列表之外，从而各节点不会转发恶意节点发送的数据，也不会向该恶意节点发送任何数据。