CN106161241A - 一种无线传感器网络路由层低速洪泛攻击的检测方法 - Google Patents

一种无线传感器网络路由层低速洪泛攻击的检测方法 Download PDF

Info

Publication number
CN106161241A
CN106161241A CN201610725730.7A CN201610725730A CN106161241A CN 106161241 A CN106161241 A CN 106161241A CN 201610725730 A CN201610725730 A CN 201610725730A CN 106161241 A CN106161241 A CN 106161241A
Authority
CN
China
Prior art keywords
low speed
flood attack
packet stream
stream amount
component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610725730.7A
Other languages
English (en)
Other versions
CN106161241B (zh
Inventor
陈红松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Luban (beijing) Electronic Commerce Technology Co Ltd
Original Assignee
University of Science and Technology Beijing USTB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Science and Technology Beijing USTB filed Critical University of Science and Technology Beijing USTB
Priority to CN201610725730.7A priority Critical patent/CN106161241B/zh
Publication of CN106161241A publication Critical patent/CN106161241A/zh
Application granted granted Critical
Publication of CN106161241B publication Critical patent/CN106161241B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/32Flooding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种无线传感器网络路由层低速洪泛攻击的检测方法,能够节约无线传感网节点有限的计算和存储资源,并且能够得到产生低速洪泛攻击流量的节点。所述方法包括:侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;通过基于Hilbert‑Huang变换的时域‑频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。本发明适用于通信技术领域。

Description

一种无线传感器网络路由层低速洪泛攻击的检测方法
技术领域
本发明涉及通信技术领域,特别是指一种无线传感器网络路由层低速洪泛攻击的检测方法。
背景技术
近年来,随着无线传感器网络技术的发展,其应用范围不断扩大,目前已有的许多应用涉及到了军事、海洋、工控检测等数据敏感领域。而很多情况下,无线传感器部署在开放的环境中,无线传感器网络易受到攻击,由于无线传感器组网依赖路由协议,路由层安全问题成了一个巨大挑战。路由层低速洪泛攻击具有隐蔽性强、破坏力持久、影响范围广、难以检测的特点,洪泛攻击节点间歇性的以较低速率向网络里注入一定量的路由包,能够干扰正常的路由协议处理过程,消耗节点能量,降低网络服务质量和性能。
现有技术一,传统的网络异常检测方法通过设置一定的流量阈值,去发现洪泛攻击节点;但是,低速洪泛攻击产生的的流量阈值跟正常路由通信产生的流量阈值差别不大,很难通过传统的阈值检测法对低速洪泛攻击进行检测。
现有技术二,Curiac D等人提出用神经网络模型和自回归模型来检测恶意节点(所述节点指无线传感器节点),具体的步骤包括:通过输入邻居节点过去值和当前值,利用神经网络训练得出节点的估计输出值,再与节点的实际输出比较,当差值大于一个预先设定好的限定值时,节点为可疑节点。利用过去N个时段的输出值,通过自回归模型,计算出估计输出,再与实际输出比较,当差值大于一个预先设定好的限定值时,节点为可疑节点。在自回归模型的基础上,又进一步提出了一个节点自毁算法,将节点驱逐出网络。这两个算法在一定程度上解决了恶意节点检测问题,但每个节点都要存储待检测节点过去时间段的输出值,需要节点的额外内存,算法复杂度与时间和网络密度呈正相关,有其局限性。在使用神经网络模型和自回归模型来检测恶意节点时,需要每个节点存储自身节点及相关邻居节点的网络行为信息,占有本来就比较稀缺的存储资源,且需要在线进行评估与检测,节点有限的计算资源难以进行复杂的模式和特征匹配计算。
发明内容
本发明要解决的技术问题是提供一种无线传感器网络路由层低速洪泛攻击的检测方法,以解决现有技术所存在的难以通过传统的阈值检测法对低速洪泛攻击进行检测,以及使用模型检测方法检测低速洪泛攻击时,需占用无线传感器节点的计算资源和存储资源的问题。
为解决上述技术问题,本发明实施例提供一种无线传感器网络路由层低速洪泛攻击的检测方法,包括:
侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。
进一步地,所述通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量包括:
通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量;
对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
进一步地,所述通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量包括:
在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
进一步地,所述利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量包括:
步骤1,向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
步骤2,重复步骤1,直至达到预定的重复次数,将每次得到的IMF分量相加求均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
进一步地,所述若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点包括:
根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
本发明实施例还提供一种无线传感器网络路由层低速洪泛攻击的检测系统,包括:
侦听模块,用于侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
检测模块,用于通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
获取模块,用于若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。
进一步地,所述检测模块包括:
去除单元,用于通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
分解单元,用于利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量;
变换单元,用于对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
判断单元,用于将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
进一步地,所述去除单元包括:
第一分解子单元,用于在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
第一获取子单元,用于获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
第二获取子单元,用于获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
去除子单元,用于判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
进一步地,所述分解单元包括:N个分解子单元及重构子单元;其中,
每个分解子单元,用于向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
所述重构子单元,用于将N个分解子单元分解得到的IMF分量相加求均值,并将所述均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
进一步地,所述获取模块包括:
第一获取单元,用于根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
第二获取单元,用于根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
本发明的上述技术方案的有益效果如下:
上述方案中,通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量,若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。这样,通过基于Hilbert-Huang变换的时域-频域联合分析法对路由包流量进行离线检测,不需要无线传感器节点参与计算和存储,可以有效节约无线传感网节点的计算和存储资源,且能够发现传统的阈值检测法难以发现的路由层低速洪泛攻击流量,并得到产生所述低速洪泛攻击流量的节点,还能在不影响无线传感器节点的使用寿命的情况下,提高路由层低速洪泛攻击的检测效率和检测精度。
附图说明
图1为本发明实施例提供的无线传感器网络路由层低速洪泛攻击的检测方法的流程示意图;
图2为本发明实施例提供的低速洪泛攻击情况下的累积概率密度函数曲线分布图;
图3为本发明实施例提供的去除虚假分量后的累积概率密度函数曲线分布图;
图4为本发明实施例提供的利用EEMD对去除虚假分量后的路由包流量进行处理;
图5(a)为本发明实施例提供的第一个固有模态函数IMF(IMF1)的瞬时振幅和频率;
图5(b)为本发明实施例提供的第二个固有模态函数IMF(IMF2)的瞬时振幅和频率;
图5(c)为本发明实施例提供的第三个固有模态函数IMF(IMF3)的瞬时振幅和频率;
图5(d)为本发明实施例提供的第四个固有模态函数IMF(IMF4)的瞬时振幅和频率;
图6为本发明实施例提供的无线传感器网络路由层低速洪泛攻击的检测系统的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的难以通过传统的阈值检测法对低速洪泛攻击进行检测,以及使用模型检测方法检测低速洪泛攻击时,需占用无线传感器节点的计算资源和存储资源的问题,提供一种无线传感器网络路由层低速洪泛攻击的检测方法。
实施例一
参看图1所示,本发明实施例提供的一种无线传感器网络路由层低速洪泛攻击的检测方法,包括:
S1,侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
S2,通过基于Hilbert-Huang(希尔伯特-黄)变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
S3,若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。
本发明实施例所述的无线传感器网络路由层低速洪泛攻击的检测方法,通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量,若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。这样,通过基于Hilbert-Huang变换的时域-频域联合分析法对路由包流量进行离线检测,不需要无线传感器节点参与计算和存储,可以有效节约无线传感网节点的计算和存储资源,且能够发现传统的阈值检测法难以发现的路由层低速洪泛攻击流量,并得到产生所述低速洪泛攻击流量的节点,还能在不影响无线传感器节点的使用寿命的情况下,提高路由层低速洪泛攻击的检测效率和检测精度。
本实施例中,为了验证本发明实施例所述的无线传感器网络路由层低速洪泛攻击的检测方法,可以采用网络仿真技术模拟出低速洪泛攻击流量,并通过本实施例提出的Hilbert-Huang变换的时域-频域联合分析法进行离线检测。具体的步骤包括:
首先,可以通过网络模拟器(Network Simulater 2,NS2)网络仿真软件建立无线传感器网络拓扑结构,定义路由协议、建立无线传感器节点通信链路;
接着,通过洪泛攻击节点在路由层注入低速洪泛攻击流量;
最后,通过本发明实施例所述的无线传感器网络路由层低速洪泛攻击的检测方法进行离线的分析与攻击检测。
本实施例中,所述侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量具体步骤可以包括:通过网关节点侦听已建立的无线传感器网络节点通信范围内的无线传感器网络路由层所有路由包流量,并提取路由信息,其中,所述路由包流量包括:低速洪泛攻击流量。
在前述无线传感器网络路由层低速洪泛攻击的检测方法的具体实施方式中,进一步地,所述通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量包括:
通过Kolmogorov-Smirnov(柯尔莫哥罗夫-斯米尔诺夫)拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个固有模态函数(Intrinsic Mode Function,IMF)分量;
对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
本实施例中,由于低速洪泛攻击流量在整个无线传感器网络路由层的路由包流量里属于微弱信号,低速洪泛攻击流量的幅值跟正常的路由包流量所产生的幅值差别不大,采用传统的阈值检测法难以直接检测出该类攻击。因此,采用基于Hilbert-Huang变换的时域-频域联合分析法离线检测低速洪泛攻击流量,从而发现路由层的低速攻击行为,并进一步发现洪泛攻击节点。
本实施例中,由于低速洪泛攻击的时间空间局部性、随机性、低幅值等特点,在Hilbert-Huang变换的经验模态分解(Empirical Mode Decomposition,EMD)分解过程中容易产生虚假分量,影响检测效果;本实施例可以采用Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中EMD分解产生的虚假分量,从而最大限度的保留洪泛攻击节点产生的真实分量。
在前述无线传感器网络路由层低速洪泛攻击的检测方法的具体实施方式中,进一步地,所述通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量包括:
在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
本实施例中,设两个信号的累积分布函数分别为f(x)、r(x),若x表示时间,则f(x)、r(x)对于同一时间点上的概率之间的最大差值D可以表示为式(1):
累积概率密度函数通过图中的曲线体现出来,通过判断各IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线的距离远近,判断当前IMF分量是否为虚假分量,存在低速洪泛攻击情况下,各IMF分量的概率分布如图2所示:
本实施例中,如图2所示,分量IMF6距离原始路由包流量较远,若分量IMF6的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是超出预设的第二阈值,可以判断分量IMF6为虚假分量,将分量IMF6去除后得到新的累积概率密度分布图如图3所示。
本实施例中,如图3所示,去除虚假分量后的累积概率密度函数各曲线中,没有严重偏离的曲线,可以判断此时不存在虚假分量,达到了去除虚假分量的目的。这种去除虚假分量的方法更加准确有效,各IMF分量的累积概率密度函数曲线几乎与原始路由包流量的累积概率密度函数曲线重合,从而提高了时频分析的准确性。
在前述无线传感器网络路由层低速洪泛攻击的检测方法的具体实施方式中,进一步地,所述利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量包括:
步骤1,向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
步骤2,重复步骤1,直至达到预定的重复次数,将每次得到的IMF分量相加求均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
本实施例中,在运用Kolmogorov-Smirnov拟合优度法去除虚假IMF6分量后,得到处理后的路由包流量,如图4所示,执行如下步骤对去除所述虚假分量后的路由包流量进行分解:
A11,通过向处理后的路由包流量中添加一定强度(标准差0.01-0.2)的白噪声信号后,再使用集合经验模态分解(Ensemble EMD,EEMD)方法将加入白噪声信号的路由包流量分解为IMF分量;
A12,重复步骤A11,直至达到预定的重复次数,例如,60次,将60次的分解结果相加求均值后,可以消除所添加白噪声的影响,并去掉预先设置的高频分量及趋势项进行分析与重构,从而提取出局部有效的低速洪泛攻击信号,从而有效抑制模态混频干扰现象,提高对低速洪泛攻击的检测效果。
本实施例中,所述高频分量是指EEMD分解后得到的信号频率超过预设频率值的分量,如果EEMD分解得到的高频分量中,信号的平均周期小于0.01秒,则认为该高频分量包含大量随机干扰噪声,应去除该高频分量,其中,所述预设频率值的大小可以根据实际情况确定;所述趋势项是指EEMD分解后得到的单调函数,具体指的是EEMD分解后的线性剩余分量,应去除。
在前述无线传感器网络路由层低速洪泛攻击的检测方法的具体实施方式中,进一步地,所述若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点包括:
根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
本实施例中,假设,利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解后,得到4个IMF分量,对这4个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图,如图5(a)-图5(d)所示,将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比后,发现EEMD分解产生的中间IMF分量,如正常流量的IMF3和IMF4分量时频图和所述路由包流量的IMF3和IMF4分量时频图有较为显著的差异,则判断所述路由包流量包含有低速洪泛攻击流量,并可以根据产生显著差异的时间段,获取低速洪泛攻击的时间范围;根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点,其中,所述正常流量对应的时频图和所述路由包流量对应的时频图局部的极值相差两倍以上时则为显著差异。
本实施例中,如图5(a)-图5(d)所示,可以判断在时间30-50秒、70-100秒存在低速洪泛攻击的异常情况,并根据这两个时间段内路由包流量的主要产生来源,判断产生所述低速洪泛攻击流量的节点,所述产生所述低速洪泛攻击流量的节点即为低速洪泛攻击节点。
本实施例中,通过所述无线传感器网络路由层低速洪泛攻击的检测方法对无线传感器网络路由层流量数据(路由包流量)进行离线分析,发现所述路由包流量中是否包含有低速洪泛攻击流量,若有,则检测出低速洪泛攻击的时间范围及低速洪泛攻击节点,能够提高路由层低速洪泛攻击的检测效率和检测精度。
实施例二
本发明还提供一种无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式,由于本发明提供的无线传感器网络路由层低速洪泛攻击的检测系统与前述无线传感器网络路由层低速洪泛攻击的检测方法的具体实施方式相对应,该无线传感器网络路由层低速洪泛攻击的检测系统可以通过执行上述方法具体实施方式中的流程步骤来实现本发明的目的,因此上述无线传感器网络路由层低速洪泛攻击的检测方法具体实施方式中的解释说明,也适用于本发明提供的无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式,在本发明以下的具体实施方式中将不再赘述。
参看图6所示,本发明实施例还提供一种无线传感器网络路由层低速洪泛攻击的检测系统,包括:
侦听模块11,用于侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
检测模块12,用于通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
获取模块13,用于若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。
本发明实施例所述的无线传感器网络路由层低速洪泛攻击的检测系统,通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量,若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。这样,通过基于Hilbert-Huang变换的时域-频域联合分析法对路由包流量进行离线检测,不需要无线传感器节点参与计算和存储,可以有效节约无线传感网节点的计算和存储资源,且能够发现传统的阈值检测法难以发现的路由层低速洪泛攻击流量,并得到产生所述低速洪泛攻击流量的节点,还能在不影响无线传感器节点的使用寿命的情况下,提高路由层低速洪泛攻击的检测效率和检测精度。
在前述无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式中,进一步地,所述检测模块12包括:
去除单元,用于通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
分解单元,用于利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量;
变换单元,用于对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
判断单元,用于将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
在前述无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式中,进一步地,所述去除单元包括:
第一分解子单元,用于在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
第一获取子单元,用于获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
第二获取子单元,用于获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
去除子单元,用于判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
在前述无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式中,进一步地,所述分解单元包括:N个分解子单元及重构子单元;其中,
每个分解子单元,用于向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
所述重构子单元,用于将N个分解子单元分解得到的IMF分量相加求均值,并将所述均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
在前述无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式中,进一步地,所述获取模块13包括:
第一获取单元,用于根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
第二获取单元,用于根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种无线传感器网络路由层低速洪泛攻击的检测方法,其特征在于,包括:
侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。
2.根据权利要求1所述的无线传感器网络路由层低速洪泛攻击的检测方法,其特征在于,所述通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量包括:
通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量;
对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
3.根据权利要求2所述的无线传感器网络路由层低速洪泛攻击的检测方法,其特征在于,所述通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量包括:
在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
4.根据权利要求2所述的无线传感器网络路由层低速洪泛攻击的检测方法,其特征在于,所述利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量包括:
步骤1,向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
步骤2,重复步骤1,直至达到预定的重复次数,将每次得到的IMF分量相加求均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
5.根据权利要求2所述的无线传感器网络路由层低速洪泛攻击的检测方法,其特征在于,所述若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点包括:
根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
6.一种无线传感器网络路由层低速洪泛攻击的检测系统,其特征在于,包括:
侦听模块,用于侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
检测模块,用于通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
获取模块,用于若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。
7.根据权利要求6所述的无线传感器网络路由层低速洪泛攻击的检测系统,其特征在于,所述检测模块包括:
去除单元,用于通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
分解单元,用于利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量;
变换单元,用于对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
判断单元,用于将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
8.根据权利要求7所述的无线传感器网络路由层低速洪泛攻击的检测系统,其特征在于,所述去除单元包括:
第一分解子单元,用于在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
第一获取子单元,用于获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
第二获取子单元,用于获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
去除子单元,用于判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
9.根据权利要求7所述的无线传感器网络路由层低速洪泛攻击的检测系统,其特征在于,所述分解单元包括:N个分解子单元及重构子单元;其中,
每个分解子单元,用于向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
所述重构子单元,用于将N个分解子单元分解得到的IMF分量相加求均值,并将所述均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
10.根据权利要求7所述的无线传感器网络路由层低速洪泛攻击的检测系统,其特征在于,所述获取模块包括:
第一获取单元,用于根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
第二获取单元,用于根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
CN201610725730.7A 2016-08-25 2016-08-25 一种无线传感器网络路由层低速洪泛攻击的检测方法 Active CN106161241B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610725730.7A CN106161241B (zh) 2016-08-25 2016-08-25 一种无线传感器网络路由层低速洪泛攻击的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610725730.7A CN106161241B (zh) 2016-08-25 2016-08-25 一种无线传感器网络路由层低速洪泛攻击的检测方法

Publications (2)

Publication Number Publication Date
CN106161241A true CN106161241A (zh) 2016-11-23
CN106161241B CN106161241B (zh) 2019-02-15

Family

ID=57343206

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610725730.7A Active CN106161241B (zh) 2016-08-25 2016-08-25 一种无线传感器网络路由层低速洪泛攻击的检测方法

Country Status (1)

Country Link
CN (1) CN106161241B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110868431A (zh) * 2019-12-24 2020-03-06 华北电力大学 一种网络流量异常检测方法
CN111600876A (zh) * 2020-05-14 2020-08-28 湖南大学 一种基于mfopa算法的慢速拒绝服务攻击检测方法
CN112910926A (zh) * 2021-03-09 2021-06-04 中南大学 一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7543070B1 (en) * 2000-12-28 2009-06-02 Mcafee, Inc. System and method for negotiating multi-path connections through boundary controllers in a networked computing environment
CN102655465A (zh) * 2012-05-09 2012-09-05 东北大学 一种网络异常流量的时频域快速侦测方法
CN105119908A (zh) * 2015-07-22 2015-12-02 上海迈外迪网络科技有限公司 无线网络安全控制方法、装置和无线路由器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7543070B1 (en) * 2000-12-28 2009-06-02 Mcafee, Inc. System and method for negotiating multi-path connections through boundary controllers in a networked computing environment
CN102655465A (zh) * 2012-05-09 2012-09-05 东北大学 一种网络异常流量的时频域快速侦测方法
CN105119908A (zh) * 2015-07-22 2015-12-02 上海迈外迪网络科技有限公司 无线网络安全控制方法、装置和无线路由器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王进: "HTTP洪泛攻击检测机制与算法研究", 《全国优秀硕士学位论文》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110868431A (zh) * 2019-12-24 2020-03-06 华北电力大学 一种网络流量异常检测方法
CN111600876A (zh) * 2020-05-14 2020-08-28 湖南大学 一种基于mfopa算法的慢速拒绝服务攻击检测方法
CN111600876B (zh) * 2020-05-14 2021-07-27 湖南大学 一种基于mfopa算法的慢速拒绝服务攻击检测方法
CN112910926A (zh) * 2021-03-09 2021-06-04 中南大学 一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质

Also Published As

Publication number Publication date
CN106161241B (zh) 2019-02-15

Similar Documents

Publication Publication Date Title
Ullah et al. A two-level hybrid model for anomalous activity detection in IoT networks
Mousavian et al. A probabilistic risk mitigation model for cyber-attacks to PMU networks
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
Osman et al. ML-LGBM: A machine learning model based on light gradient boosting machine for the detection of version number attacks in RPL-based networks
Ghugar et al. LB-IDS: Securing wireless sensor network using protocol layer trust-based intrusion detection system
CN103338451B (zh) 一种无线传感器网络中分布式的恶意节点检测方法
CN104125112B (zh) 基于物理‑信息模糊推理的智能电网攻击检测方法
CN106161241A (zh) 一种无线传感器网络路由层低速洪泛攻击的检测方法
CN106713354A (zh) 一种基于不可检测信息攻击预警技术的电力信息物理系统脆弱性节点评估方法
CN106357434A (zh) 一种基于熵分析的智能电网通信网络流量异常检测方法
Sherasiya et al. Intrusion detection system for internet of things
Zhijie et al. Intrusion detection for wireless sensor network based on traffic prediction model
CN107104988A (zh) 一种基于概率神经网络的IPv6入侵检测方法
Wu et al. A low-rate dos attack detection method based on hilbert spectrum and correlation
Wu et al. Online detection of false data injection attacks to synchrophasor measurements: A data-driven approach
Jaint et al. An efficient weighted trust method for malicious node detection in clustered wireless sensor networks
Lontorfos et al. Remotely inferring device manipulation of industrial control systems via network behavior
Abdelkhalek et al. Ml-based anomaly detection system for der dnp3 communication in smart grid
Patel et al. Detection of wormhole attacks in mobility-based wireless sensor networks
Arifin et al. Denial of service attacks detection on scada network iec 60870-5-104 using machine learning
Agarwal et al. P2pcpm: point to point critical path monitoring based denial of service attack detection for vehicular communication network resource management
Bernieri et al. Network Anomaly Detection in Critical Infrastructure Based on Mininet Network Simulator.
Kim et al. Timing-based localization of in-band wormhole tunnels in manets
Wang et al. An algorithm for finding carriers of amplitude-modulated electromagnetic emanations in computer systems
Saghar et al. Application of formal modeling to detect black hole attacks in wireless sensor network routing protocols

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20200131

Address after: No.163, East 2nd Street, Yudai, Yongding town, Mentougou District, Beijing

Patentee after: Luban (Beijing) Electronic Commerce Technology Co., Ltd.

Address before: 100083 Haidian District, Xueyuan Road, No. 30,

Patentee before: University OF SCIENCE AND TECHNOLOGY BEIJING

TR01 Transfer of patent right