CN104301895A - 一种基于流量预测的双层触发入侵检测方法 - Google Patents

Abstract

本发明提供一种基于流量预测的双层触发入侵检测方法，只有在上层模型检测出异常时，判断出现异常的区域才将会以一定的规则激发下层模型，在减少节点能源使用的同时也能确保检测结果的准确性。包括数据采集步骤：监测节点将周期性的采集网络中的数据流量信息并传输给基站；数据分析步骤：基站收到监测节点发送的信息后根据ARIMA模型对该监测节点的历史数据进行流量预测；触发判断步骤：基站在流量预测值与真实值相差超出预定阀值时向汇聚节点发送异常警报，异常区域开始启用本地入侵检测系统；启用本地入侵检测模型步骤：当汇聚节点接收到异常警报时，警报中异常出现区域的汇聚节点和普通节点将启动第二层入侵检测模型，即本地入侵监测模型。

Description

一种基于流量预测的双层触发入侵检测方法

技术领域

本发明涉及一种基于流量预测的双层触发入侵检测方法，属于无线传感器网络领域。

背景技术

入侵检测的研究可以追溯到James P.Anderson在1980年的工作，他首次提出了“威胁”等术语，这里所指的“威胁”与入侵的含义基本相同，将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问企图，致使系统不可靠或无法使用。1987年，乔治敦大学的Dorothy Denning首先提出了入侵检测的定义：一个入侵检测系统由三个部件组成，信息收集部件完成网络信息的收集；检测部件完成对收集信息的分析、检测；响应模块对入侵行为采取一定的处理措施。入侵检测系统的框架如图1所示。

针对无线传感器网络的特点，目前已经提出了一些有效的入侵检测方案：

(1)流量预测技术

Han等基于马尔可夫流量预测模型提出了一种有效的入侵检测方法，该方法通过预测每一个节点的流量独立的进行异常检测，不需要特殊的硬件支持和节点之间的合作。Lee等通过利用遗传算法(Genetic Algorithm)优化流量矩阵，提出了一种增强DDOS攻击检测的方法。Stetsko等提出了基于邻居节点流量的入侵检测系统。该方法认为空间上相互接近的节点具有类似的行为，如果一个节点的行为和邻居节点有明显的不同，节点被认为是恶意节点，这种检测技术是区域性、无监督、适应网络的动态变化。

(2)统计方法

Wang等采用了服从泊松分布的无线传感器网络对入侵检测进行研究，分别通过同构无线传感器网络和异构无线传感器网络中传感器节点的密度、采集信息的能力及通信范围对入侵检测概率进行了分析，并讨论了网络连通性和广播能力对入侵检测的影响。Zhang等依赖一些空间粒度的时空相关性和频率机制的一致性，用一个检测框架来处理内部攻击，例如意外信息和异常行为。该框架描述了两类检测机制，一种是簇头节点覆盖它的组，另一种是普通传感器节点监视它的一跳邻近节点。同时一个随机预分配密钥和这个检测框架合作。

(3)数据挖掘和计算机能

Rajasegarar等基于一个k-means聚类算法设计了一个分布式检测框架。每一个本地的普通传感器节点收集本地的数据集合构成正常的模型。然后簇头节点收集所有本地正常的模型来完成数据处理的过程，这里一个全局的正常模型被产生。在接收到全局正常模型后，每一个传感器节点通过初始化分析和决策过程来完成检测。为适应基于距离的聚类，每个传感器节点用一个预处理过程来对输入的数据标准化。Tian等提出了基于支持向量机(SVM)的社区入侵检测系统，该方案通过利用遗传算法来优化SVM的参数，从而增强了算法收敛速度和识别精度，由于具有较高的分类能力、有效的学习能力和推广能力，算法具有较高的准确率，不足之处是算法需要大量的训练样本，训练时间较长。

(4)博弈理论

Agah等人提出了基于博弈的传感网络入侵检测模型。该模型由网络攻击方和网络防御方组成，其中攻击方的策略有三种：AS₁攻击簇k，AS₂不攻击任何簇，AS₃攻击不同的簇；网络防御方的策略有两中：SS₁保护簇k，SS₂保护不同的簇。效用函数A和B表示博弈结束后，攻击放和防御方得到的效益集合。

(5)免疫理论

Forrest首先将免疫技术用于基于主机的入侵检测中。她首先定义特权进程所执行的系统调用序列作为被保护计算机的“自我”，然后建立有系统程序的正常行为组成的数据库，当建立好这个数据库后就可以监视程序行为了。如果发现了不在数据库中的序列表明有异常的行为发生。

(6)信任模型

Lin等针对无线传感器网络中的各类攻击，提出了基于信任管理的入侵检测方案。该方案通过信任度高的节点监控整个簇头从而节省了能量、延长了网络的寿命，通过改进CUSUM算法来检测一系列恶意节点的攻击。Long等提出了基于权重信任管理的入侵检测方案，初始化时每个节点被分配一个权重值，如果一个节点发送和其它节点不同的报告，则更改它的权重值，当节点的权重值小于某一个阀值，可以检测出恶意节点。该方案具有检测效率高、误检率低等特点。

(7)混合

Su等基于预防检测技术、能量节约检测技术和认证预防技术提出了一种混合检测技术。在这个检测方案中簇头负责监控传感器节点，另一方面，部分传感器节点根据他们剩余的能量被轮换选出监控簇头节点。

(8)规则

Wang等提出路由异常检测方法，该方案利用模糊均值聚类算法检测路由数据流异常。Bankovi等结合信誉系统和聚类技术，应用无监督遗传算法和自组织图(SOM)，提出了消除无线传感器网络中路由异常的方法。

发明内容

本发明提供了一种基于流量预测的双层触发入侵检测方法，只有在上层模型检测出异常时，判断出现异常的区域才将会以一定的规则激发下层模型，在减少节点能源使用的同时也能确保检测结果的准确性。

该一种基于流量预测的双层触发入侵检测方法，其中无线传感器网络中传感器节点被监测节点分为几个区域，同一监测节点的探测半径内的节点属于同一个区域，整个网络由以下4个元素组成：

普通节点：sensor节点，内置入本地入侵检测系统；

汇聚节点：sink节点，负责收集由普通节点传来的各种数据信息，内含区域节点列表，该表存储了不同监测节点能覆盖的所有普通节点和汇聚节点信息；置入本地入侵检测系统；

监测节点：监测节点有很高的能量和本地存储空间，主要负责收集网络中的数据流量信息；

基站：收集从汇聚节点和监测节点传来的各种信息，置入第一层入侵检测系统，能够分析数据、控制网络；

具体包括以下步骤：

数据采集步骤：监测节点将周期性的采集网络中的数据流量信息并传输给基站；

数据分析步骤：基站收到监测节点发送的信息后根据ARIMA模型对该监测节点的历史数据进行流量预测；

触发判断步骤：基站在流量预测值与真实值相差超出预定阀值时向汇聚节点发送异常警报，异常区域开始启用本地入侵检测系统；

启用本地入侵检测模型步骤：当汇聚节点接收到异常警报时，警报中异常出现区域的汇聚节点和普通节点将启动第二层入侵检测模型，即本地入侵监测模型；

其中数据采集步骤和数据分析步骤属于第一层模型；触发判断步骤为一二层模型之间的转化条件；本地入侵检测模型则为第二层模型。

所述的根据ARIMA模型对该监测节点的历史数据进行流量预测采用以下步骤：

1)对历史数据进行平稳化处理，平稳化为非白噪声序列；

2)求出所述序列的样本自相关系数和样本偏自相关系数的值；

3)根据样本自相关系数和偏自相关系数的性质，选择阶数适当的模型，进行模型拟合；

4)估计模型中未知参数的值；

5)检验模型的有效性，如果拟合模型通不过检验，转向步骤3)，重新选择模型进行判断；

6)建立多个拟合模型，从所有通过检验的模型中选择最优模型；

7)利用所述的最优模型，预测序列的将来走势。

其中本地入侵检测模型采用以下方法进行入侵检测：

1)汇聚节点接收到基站传来的异常警报后，读取警报数据包中记录的监测节点信息，遍历自己的区域节点列表，更新异常警报数据包中的源节点地址为自己，目的节点地址为区域节点列表中该监测节点所能探测到的全体节点，并向该区域内汇聚节点和普通节点多播更新后的异常警报；

2)区域内节点接收到传给自己的异常警报后将在异常警报活动列表中记录监测节点信息并激活本地入侵检测进行检测活动，若发现区域内的异常节点则全网通报进行异常处理；

3)若在本地入侵检测运行连续时间T内没有再发现网络内异常，该节点将向汇聚节点发送停用本地入侵检测申请，申请包中记录本节点异常警报活动列表中的监测节点信息；

4)汇聚节点接收到停用申请，按照不同的监测节点信息对其进行分类记录，在时间t内，汇聚节点累计收到同一区域内全部节点的停用申请时，将向该区域广播结束这次异常警报；

5)区域内节点接收到结束异常警报命令后，在自己的异常警报活动列表中删除相关监测节点信息，此时扫描节点异常活动列表，若异常活动列表为空，则关闭该节点的本地入侵检测模型；若异常活动列表中还存在其他监测节点，本地入侵检测将继续运行，直至该节点异常活动列表为空为止。

本发明的有益效果：

现有的无线传感器网络入侵检测研究主要集中在具体算法的研究上，如簇头选举算法、信任模型、统计算法等等。尚缺乏能结合不同算法，实现分层的入侵检测系统。此外基于无线传感器网络感知节点的能源多有限的特点，入侵检测算法一般都要考虑到能耗的问题。而如何能在实现算法精确性的同时，最大限度的延长网络寿命就成了无线传感器网络中入侵检测算法最大的难题。本发明提出的双层模型方法则更进一步的实现了网络对网络寿命和精确性的要求。一方面，本发明减少了启用入侵检测系统过程中传感器节点的能耗——模型第一层无论是信息收集还是数据分析都不需要耗费无线传感器节点的任何能量，而且第二层模型的激发也是局部的，这在很大程度上也减少了网络的耗能；另一方面，本发明也能实现检测的精确性——在第一层模型进行粗略定位分析后，启用第二层模型就可以实现对异常的精确判断和分析。因此使用本发明不仅在算法上可以结合并实现两种不同算法的优点，在网络构架上积极使用第三方进行大量复杂运算也可以达到延长网络的使用寿命的效果。

附图说明

图1为现有技术中入侵检测系统的框架图；

图2为无线传感器网络结构图；

图3为本发明基于流量预测的双层触发入侵检测方法的模型结构图；

图4为本发明中ARIMA建模步骤图；

图5为第二层模型(本地入侵检测系统)流程图；

图6为具体实施例中无线传感器网络网络结构图；

图7为具体实施例中基站发现网络异常的结构图；

图8为具体实施例中异常警报的发送的结构图；

图9为具体实施例中启动本地入侵检测系统的结构图；

图10为具体实施例中全网通报并移除异常节点的结构图；

图11为具体实施例中传感器节点申请停用本地入侵检测系统结构图；

图12为具体实施例中结束警报的结构图；

图13为具体实施例中关闭本地入侵检测系统的结构图。

具体实施方式

下面结合附图对本发明作进一步介绍。

本发明提出了一种无线传感器网络中基于流量预测技术的双层触发入侵检测方法。无线传感器网络中的入侵检测系统结构如下图2所示这个无线传感器网络中的传感器节点被监测节点分为几个区域，同一监测节点的探测半径内的节点属于同一个区域。由于不同的监测节点探测范围可能重合，因此按照监测节点探测半径划分的区域也可能有重合部分。网络中的任意一个节点都至少属于某一个区域。整个网络由以下4个元素组成：

普通节点：sensor节点，是普通节点，内置入本地入侵检测系统；

汇聚节点：sink节点，负责收集由普通节点传来的各种数据信息，内含区域节点列表，该表存储了不同监测节点能覆盖的所有普通节点和汇聚节点信息；置入本地入侵检测系统；

监测节点：监测节点有很高的能量和本地存储空间，主要负责收集网络中的数据流量信息；

基站：收集从汇聚节点和监测节点传来的各种信息，置入第一层入侵检测系统可以分析数据、控制网络。

(1)模型结构

本发明提出的双层触发入侵检测方法可以由数据采集，数据分析，触发判断和启用本地入侵检测模型这四个部分组成。其中数据采集和数据分析属于第一层模型；触发判断为一二层模型之间的转化条件；而本地入侵检测模型则为第二层模型。

数据采集阶段：监测节点将周期性的采集网络中的数据流量信息并传输给基站；数据分析阶段：基站收到监测节点发送的信息后根据ARIMA(p,d,q)模型对该监测节点的历史数据进行流量预测；

触发判断：基站只有在预测值与真实值相差超出预定阀值时才向汇聚节点发送异常警报，异常区域开始启用本地入侵检测系统；

启用本地入侵检测模型：当汇聚节点接收到异常警报时，警报中异常出现区域的汇聚节点和普通节点将启动第二层入侵检测模型，即本地入侵监测模型。

网络数据流量模型主要可以分为数据采集，数据分析这两部分。下面将分别对这两部分进行描述。

(1)数据采集

数据采集表示的为流量数据采集，这个过程主要由监测节点完成。监测节点需要覆盖整个网络，同时考虑到其寿命问题，这里要求其覆盖的重叠区域尽可能的小且本身存储很高的能量。监测节点需要具有很大的探测半径，对于收集到的数据不需要进行任何处理直接传输基站。

(2)数据分析

数据分析过程需要在基站实现，基站分别对不同监测节点的数据进行预测，本方法采用的是ARIMA(p,d,q)预测模型

1.对数据进行平稳化处理；

2.求出该观察值序列的样本自相关系数和样本偏自相关系数的值；

3.根据样本自相关系数和偏自相关系数的性质，选择阶数适当的模型，进行模型拟合；

4.估计模型中未知参数的值；

5.检验模型的有效性。如果拟合模型通不过检验，转向步骤3，重新选择模型进行判断；

6.模型优化。充分考虑各种可能，建立多个拟合模型，从所有通过检验的模型中选择最优模型。

7.利用拟合模型，预测序列的将来走势。

1)对收集到的流量数据进行平稳化处理

记收集到的数据为Y₁,Y₂,...,Y_t，利用游程检验法来判断序列是否为平稳序列，如果为平稳序列则无需进行任何处理；否则用差分法，即

Y′_t-i＝Y_t-Y_t-1，

对序列进行平稳化预处理，每次差分后数据进行游程检验，直到差分所得数据可以通过平稳性检验，记为d次差分。现假设得到的平稳序列为X₁,X₂,...,X_t-d。取前N组(或者全部)数据作为观测数据，对这些数据进行零均值化处理，即：

$X_n^{\′}=X_n-\stackrel{\‾}{X},$

得到一组预处理后的新序列X'_n。

2)计算样本相关系数

序列的自相关系数和偏自相关系数计算方法如下。

自相关系数： ${\widehat{\mathrm{\&rho;}}}_k=\frac{\underset{n=1}{\overset{t-d-k}{\mathrm{\&Sigma;}}}(X_n-\stackrel{\&OverBar;}{X})(X_{n+k}-\stackrel{\&OverBar;}{X})}{\underset{n=1}{\overset{t-d}{\mathrm{\&Sigma;}}}{(X_n-\stackrel{\&OverBar;}{X})}^2},\&ForAll;0<k<t-d,$

偏自相关系数：

3)ARMA模型识别

ARIMA(p,d,q)模型是ARMA(p,q)模型与d次差分的组合，其实质是对非平稳时间序列进行d次差分后得到平稳时间序列，然后再用ARMA(p,d)模型进行拟合。对d阶差分的平稳序列求其自相关与偏自相关系数，并根据自相关与偏自相关系数的性质确定自相关阶数p与移动平均阶数q，基本原则如下表4.1所示.

4)参数估计和模型定阶

参数估计和模型定阶是建立备件消耗预测模型的重要内容，二者相互影响。

本发明在上述模型识别的基础上，利用极大似然估计法等对ARMA(p,q)的未知参数，即自回归系数、滑动平均系数以及白噪声方差进行估计。

参数的定阶主要由自相关和偏自相关函数值决定。当p、q较大时，自相关函数值和偏自相关函数值将会出现截尾或者在0附近轻微震荡，此时可以根据需求确定p和q的取值，即模型定阶。根据样本容量的大小分别可以选择利用AIC、BIC准则进行模型定阶。

5)模型检验

检验所建立模型是否能满足模型的显著性检验和参数的显著性检验。

模型的显著性检验：

原假设：残差序列为白噪声序列

备择假设：残差序列为非白噪声序列

$H_0:{\widehat{\mathrm{\&rho;}}}_1={\widehat{\mathrm{\&rho;}}}_2=...={\widehat{\mathrm{\&rho;}}}_m=0,\&ForAll;m\&GreaterEqual;1$

H₁:至少存在某个 ${\widehat{\mathrm{\&rho;}}}_k\&NotEqual;0,\&ForAll;m\&GreaterEqual;1,k\&le;m$

参数的显著性检验：

$H_0;{\mathrm{\&beta;}}_j=0\&LeftRightArrow;H_1:{\mathrm{\&beta;}}_j\&NotEqual;0,\&ForAll;1\&le;j\&le;l$

其中β_j为某个参数，l为参数个数。由上述两对假设可以分别构造出符合χ²(m)和T(n-l)的检验统计量根据检验水平α可知拒绝域分别为 $\{\mathrm{LB}\&le;{{\mathrm{\&chi;}}_{1-\frac{\mathrm{\&alpha;}}{2}}}^2\left(m\right)\mathrm{orLB}\&GreaterEqual;{{\mathrm{\&chi;}}_{\frac{\mathrm{\&alpha;}}{2}}}^2\left(m\right)\}$ 和 $\left\{\right|T|\&GreaterEqual;t_{\frac{\mathrm{\&alpha;}}{2}}(n-l)\}.$

6)模型优化

返回步骤四根据不同的p、q选择构建多个不同的预测模型。当样本数据量较小时采用AIC准则对这些预测模型进行优化选择；当样本数据量较大时，采用SBC准则进行模型的优化选择。

7)预测

流量的预测值的计算方法如下式所示：

其中Z'_n表示n+d时刻的预测值，该预测值并不是真实流量的预测值，而是经过d次差分运算后流量的预测值。ε_q表示Z'_q的误差。

基站对不同监测节点传来的数据分别进行流量预测后，对不同监测节点的最新m组预测数据进行分析和评价。具体选用的指标包括：

最大相对误差： $\max \mathrm{RE}=\max \left\{\right|\frac{{Z^{\&prime;}}_i-X_i}{X_i}\left|\right|i=\mathrm{1,2},...,m\}$

平均相对误差： $\mathrm{MRE}=\frac{1}{m}\underset{i=1}{\overset{m}{\mathrm{\&Sigma;}}}\left|\frac{{Z^{\&prime;}}_i-X_i}{X_i}\right|$

其中，X_i为经过d次差分运算后的实际数据，Z_i'为预测数据。

根据不同的精度需求拟定阈值α₁，当时，认为真实流量与预测流量具有较大差距，即此时网络中存在异常；否则认为网络正常。当基站认为网络中存在异常时，将把收集到异常数据的监测节点信息和异常结果打包成异常警报发送至汇聚节点。

汇聚节点接收到基站传来的异常警报后，读取警报数据包中记录的监测节点信息。遍历自己的区域节点列表，更新异常警报数据包中的源节点地址为自己，目的节点地址为区域节点列表中该监测节点所能探测到的全体节点。向该区域内汇聚节点和普通节点多播更新后的异常警报。

区域内节点接收到传给自己的异常警报后将在异常警报活动列表中记录监测节点信息并激活本地入侵检测进行检测活动，若发现区域内的异常节点则全网通报进行异常处理。

若在本地入侵检测运行连续时间T内没有再发现网络内异常，该节点将向汇聚节点发送停用本地入侵检测申请(简称停用申请)，申请包中记录本节点异常警报活动列表中的监测节点信息。

汇聚节点接收到停用申请，按照不同的监测节点信息对其进行分类记录；在时间t内，汇聚节点累计收到同一区域内全部节点的停用申请时，将向该区域广播结束这次异常警报。

区域内节点接收到结束异常警报命令后，在自己的异常警报活动列表中删除相关监测节点信息。此时扫描节点异常活动列表，若异常活动列表为空，则关闭该节点的本地入侵检测模型；若异常活动列表中还存在其他监测节点，本地入侵检测系统将继续运行，直至该节点异常活动列表为空为止。

假设网络中只有两个监测节点，分别命名为监测节点1、监测节点2。其中监测节点1的覆盖范围为区域1，监测节点2的覆盖范围为区域2。网络中有16个传感器节点，其中节点1为汇聚节点，节点2-16为普通节点。节点1-9可以被监测节点1覆盖，节点1和节点10-16可以被监测节点2覆盖。即节点1-9属于区域1，节点1和节点10-16属于区域2。现假设节点3被攻击者捕获并进行异常操作，监测节点1,2探测周期性探测网内流量数据并发送给基站。基站使用ARIMA预测算法分别对监测节点1,2探测的信息进行分析。在对监测节点1的数据进行分析的过程中，基站发现异常。当基站发现监测节点1探测的数据存在异常，而监测节点2探测的数据正常时，其向汇聚节点发送异常警报。汇聚节点接收到警报后，向区域1内节点多播异常警报。当区域1内节点收到异常警报时，开启本地入侵检测系统。当检测到节点3异常时，进行全网通报，移除节点3。当开启本地入侵检测系统的节点在时间T内未发现任何异常时，向汇聚节点发送停用申请。当汇聚节点在t时间内收齐区域1内所有节点发送的停用申请时，向区域1广播结束这次异常警报。区域1内的节点接收到结束异常警报控制包时，更新自己的异常活动列表，由于区域1中节点的列表更新后为空，关闭本地入侵检测模型。

Claims (3)

1.一种基于流量预测的双层触发入侵检测方法，其特征在于：其中无线传感器网络中传感器节点被监测节点分为几个区域，同一监测节点的探测半径内的节点属于同一个区域，整个网络由以下4个元素组成：

普通节点：sensor节点，内置入本地入侵检测系统；

汇聚节点：sink节点，负责收集由普通节点传来的各种数据信息，内含区域节点列表，该表存储了不同监测节点能覆盖的所有普通节点和汇聚节点信息；置入本地入侵检测系统；

监测节点：监测节点有很高的能量和本地存储空间，主要负责收集网络中的数据流量信息；

基站：收集从汇聚节点和监测节点传来的各种信息，置入第一层入侵检测系统，能够分析数据、控制网络；

具体包括以下步骤：

数据采集步骤：监测节点将周期性的采集网络中的数据流量信息并传输给基站；

数据分析步骤：基站收到监测节点发送的信息后根据ARIMA模型对该监测节点的历史数据进行流量预测；

触发判断步骤：基站在流量预测值与真实值相差超出预定阀值时向汇聚节点发送异常警报，异常区域开始启用本地入侵检测系统；

启用本地入侵检测模型步骤：当汇聚节点接收到异常警报时，警报中异常出现区域的汇聚节点和普通节点将启动第二层入侵检测模型，即本地入侵监测模型；

其中数据采集步骤和数据分析步骤属于第一层模型；触发判断步骤为一二层模型之间的转化条件；本地入侵检测模型则为第二层模型。

2.如权利要求1所述的一种基于流量预测的双层触发入侵检测方法，其特征在于：所述的根据ARIMA模型对该监测节点的历史数据进行流量预测采用以下步骤：

1)对历史数据进行平稳化处理，平稳化为非白噪声序列；

2)求出所述序列的样本自相关系数和样本偏自相关系数的值；

3)根据样本自相关系数和偏自相关系数的性质，选择阶数适当的模型，进行模型拟合；

4)估计模型中未知参数的值；

5)检验模型的有效性，如果拟合模型通不过检验，转向上述步骤3)，重新选择模型进行判断；

6)建立多个拟合模型，从所有通过检验的模型中选择最优模型；

7)利用所述的最优模型，预测序列的将来走势。

3.如权利要求1或2所述的一种基于流量预测的双层触发入侵检测方法，其特征在于：其中本地入侵检测模型采用以下方法进行入侵检测：

1)汇聚节点接收到基站传来的异常警报后，读取警报数据包中记录的监测节点信息，遍历自己的区域节点列表，更新异常警报数据包中的源节点地址为自己，目的节点地址为区域节点列表中该监测节点所能探测到的全体节点，并向该区域内汇聚节点和普通节点多播更新后的异常警报；

2)区域内节点接收到传给自己的异常警报后将在异常警报活动列表中记录监测节点信息并激活本地入侵检测进行检测活动，若发现区域内的异常节点则全网通报进行异常处理；

3)若在本地入侵检测运行连续时间T内没有再发现网络内异常，该节点将向汇聚节点发送停用本地入侵检测申请，申请包中记录本节点异常警报活动列表中的监测节点信息；

4)汇聚节点接收到停用申请，按照不同的监测节点信息对其进行分类记录，在时间t内，汇聚节点累计收到同一区域内全部节点的停用申请时，将向该区域广播结束这次异常警报；

5)区域内节点接收到结束异常警报命令后，在自己的异常警报活动列表中删除相关监测节点信息，此时扫描节点异常活动列表，若异常活动列表为空，则关闭该节点的本地入侵检测模型；若异常活动列表中还存在其他监测节点，本地入侵检测将继续运行，直至该节点异常活动列表为空为止。