CN106161241B - 一种无线传感器网络路由层低速洪泛攻击的检测方法 - Google Patents
一种无线传感器网络路由层低速洪泛攻击的检测方法 Download PDFInfo
- Publication number
- CN106161241B CN106161241B CN201610725730.7A CN201610725730A CN106161241B CN 106161241 B CN106161241 B CN 106161241B CN 201610725730 A CN201610725730 A CN 201610725730A CN 106161241 B CN106161241 B CN 106161241B
- Authority
- CN
- China
- Prior art keywords
- low
- flow
- flooding attack
- routing packet
- imf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 49
- 238000000034 method Methods 0.000 claims abstract description 47
- 238000004458 analytical method Methods 0.000 claims abstract description 28
- 238000004891 communication Methods 0.000 claims abstract description 13
- 238000000354 decomposition reaction Methods 0.000 claims description 90
- 230000009466 transformation Effects 0.000 claims description 38
- 230000001186 cumulative effect Effects 0.000 claims description 30
- 230000008569 process Effects 0.000 claims description 23
- 238000010586 diagram Methods 0.000 claims description 21
- 238000010998 test method Methods 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000003860 storage Methods 0.000 abstract description 10
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000007689 inspection Methods 0.000 abstract 1
- 230000000875 corresponding effect Effects 0.000 description 33
- 230000006870 function Effects 0.000 description 24
- 238000004364 calculation method Methods 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000002401 inhibitory effect Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/32—Flooding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种无线传感器网络路由层低速洪泛攻击的检测方法,能够节约无线传感网节点有限的计算和存储资源,并且能够得到产生低速洪泛攻击流量的节点。所述方法包括:侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;通过基于Hilbert‑Huang变换的时域‑频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。本发明适用于通信技术领域。
Description
技术领域
本发明涉及通信技术领域,特别是指一种无线传感器网络路由层低速洪泛攻击的检测方法。
背景技术
近年来,随着无线传感器网络技术的发展,其应用范围不断扩大,目前已有的许多应用涉及到了军事、海洋、工控检测等数据敏感领域。而很多情况下,无线传感器部署在开放的环境中,无线传感器网络易受到攻击,由于无线传感器组网依赖路由协议,路由层安全问题成了一个巨大挑战。路由层低速洪泛攻击具有隐蔽性强、破坏力持久、影响范围广、难以检测的特点,洪泛攻击节点间歇性的以较低速率向网络里注入一定量的路由包,能够干扰正常的路由协议处理过程,消耗节点能量,降低网络服务质量和性能。
现有技术一,传统的网络异常检测方法通过设置一定的流量阈值,去发现洪泛攻击节点;但是,低速洪泛攻击产生的的流量阈值跟正常路由通信产生的流量阈值差别不大,很难通过传统的阈值检测法对低速洪泛攻击进行检测。
现有技术二,Curiac D等人提出用神经网络模型和自回归模型来检测恶意节点(所述节点指无线传感器节点),具体的步骤包括:通过输入邻居节点过去值和当前值,利用神经网络训练得出节点的估计输出值,再与节点的实际输出比较,当差值大于一个预先设定好的限定值时,节点为可疑节点。利用过去N个时段的输出值,通过自回归模型,计算出估计输出,再与实际输出比较,当差值大于一个预先设定好的限定值时,节点为可疑节点。在自回归模型的基础上,又进一步提出了一个节点自毁算法,将节点驱逐出网络。这两个算法在一定程度上解决了恶意节点检测问题,但每个节点都要存储待检测节点过去时间段的输出值,需要节点的额外内存,算法复杂度与时间和网络密度呈正相关,有其局限性。在使用神经网络模型和自回归模型来检测恶意节点时,需要每个节点存储自身节点及相关邻居节点的网络行为信息,占有本来就比较稀缺的存储资源,且需要在线进行评估与检测,节点有限的计算资源难以进行复杂的模式和特征匹配计算。
发明内容
本发明要解决的技术问题是提供一种无线传感器网络路由层低速洪泛攻击的检测方法,以解决现有技术所存在的难以通过传统的阈值检测法对低速洪泛攻击进行检测,以及使用模型检测方法检测低速洪泛攻击时,需占用无线传感器节点的计算资源和存储资源的问题。
为解决上述技术问题,本发明实施例提供一种无线传感器网络路由层低速洪泛攻击的检测方法,包括:
侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。
进一步地,所述通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量包括:
通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量;
对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
进一步地,所述通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量包括:
在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
进一步地,所述利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量包括:
步骤1,向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
步骤2,重复步骤1,直至达到预定的重复次数,将每次得到的IMF分量相加求均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
进一步地,所述若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点包括:
根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
本发明实施例还提供一种无线传感器网络路由层低速洪泛攻击的检测系统,包括:
侦听模块,用于侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
检测模块,用于通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
获取模块,用于若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。
进一步地,所述检测模块包括:
去除单元,用于通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
分解单元,用于利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量;
变换单元,用于对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
判断单元,用于将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
进一步地,所述去除单元包括:
第一分解子单元,用于在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
第一获取子单元,用于获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
第二获取子单元,用于获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
去除子单元,用于判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
进一步地,所述分解单元包括:N个分解子单元及重构子单元;其中,
每个分解子单元,用于向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
所述重构子单元,用于将N个分解子单元分解得到的IMF分量相加求均值,并将所述均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
进一步地,所述获取模块包括:
第一获取单元,用于根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
第二获取单元,用于根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
本发明的上述技术方案的有益效果如下:
上述方案中,通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量,若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。这样,通过基于Hilbert-Huang变换的时域-频域联合分析法对路由包流量进行离线检测,不需要无线传感器节点参与计算和存储,可以有效节约无线传感网节点的计算和存储资源,且能够发现传统的阈值检测法难以发现的路由层低速洪泛攻击流量,并得到产生所述低速洪泛攻击流量的节点,还能在不影响无线传感器节点的使用寿命的情况下,提高路由层低速洪泛攻击的检测效率和检测精度。
附图说明
图1为本发明实施例提供的无线传感器网络路由层低速洪泛攻击的检测方法的流程示意图;
图2为本发明实施例提供的低速洪泛攻击情况下的累积概率密度函数曲线分布图;
图3为本发明实施例提供的去除虚假分量后的累积概率密度函数曲线分布图;
图4为本发明实施例提供的利用EEMD对去除虚假分量后的路由包流量进行处理;
图5(a)为本发明实施例提供的第一个固有模态函数IMF(IMF1)的瞬时振幅和频率;
图5(b)为本发明实施例提供的第二个固有模态函数IMF(IMF2)的瞬时振幅和频率;
图5(c)为本发明实施例提供的第三个固有模态函数IMF(IMF3)的瞬时振幅和频率;
图5(d)为本发明实施例提供的第四个固有模态函数IMF(IMF4)的瞬时振幅和频率;
图6为本发明实施例提供的无线传感器网络路由层低速洪泛攻击的检测系统的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的难以通过传统的阈值检测法对低速洪泛攻击进行检测,以及使用模型检测方法检测低速洪泛攻击时,需占用无线传感器节点的计算资源和存储资源的问题,提供一种无线传感器网络路由层低速洪泛攻击的检测方法。
实施例一
参看图1所示,本发明实施例提供的一种无线传感器网络路由层低速洪泛攻击的检测方法,包括:
S1,侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
S2,通过基于Hilbert-Huang(希尔伯特-黄)变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
S3,若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。
本发明实施例所述的无线传感器网络路由层低速洪泛攻击的检测方法,通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量,若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。这样,通过基于Hilbert-Huang变换的时域-频域联合分析法对路由包流量进行离线检测,不需要无线传感器节点参与计算和存储,可以有效节约无线传感网节点的计算和存储资源,且能够发现传统的阈值检测法难以发现的路由层低速洪泛攻击流量,并得到产生所述低速洪泛攻击流量的节点,还能在不影响无线传感器节点的使用寿命的情况下,提高路由层低速洪泛攻击的检测效率和检测精度。
本实施例中,为了验证本发明实施例所述的无线传感器网络路由层低速洪泛攻击的检测方法,可以采用网络仿真技术模拟出低速洪泛攻击流量,并通过本实施例提出的Hilbert-Huang变换的时域-频域联合分析法进行离线检测。具体的步骤包括:
首先,可以通过网络模拟器(Network Simulater 2,NS2)网络仿真软件建立无线传感器网络拓扑结构,定义路由协议、建立无线传感器节点通信链路;
接着,通过洪泛攻击节点在路由层注入低速洪泛攻击流量;
最后,通过本发明实施例所述的无线传感器网络路由层低速洪泛攻击的检测方法进行离线的分析与攻击检测。
本实施例中,所述侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量具体步骤可以包括:通过网关节点侦听已建立的无线传感器网络节点通信范围内的无线传感器网络路由层所有路由包流量,并提取路由信息,其中,所述路由包流量包括:低速洪泛攻击流量。
在前述无线传感器网络路由层低速洪泛攻击的检测方法的具体实施方式中,进一步地,所述通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量包括:
通过Kolmogorov-Smirnov(柯尔莫哥罗夫-斯米尔诺夫)拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个固有模态函数(Intrinsic Mode Function,IMF)分量;
对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
本实施例中,由于低速洪泛攻击流量在整个无线传感器网络路由层的路由包流量里属于微弱信号,低速洪泛攻击流量的幅值跟正常的路由包流量所产生的幅值差别不大,采用传统的阈值检测法难以直接检测出该类攻击。因此,采用基于Hilbert-Huang变换的时域-频域联合分析法离线检测低速洪泛攻击流量,从而发现路由层的低速攻击行为,并进一步发现洪泛攻击节点。
本实施例中,由于低速洪泛攻击的时间空间局部性、随机性、低幅值等特点,在Hilbert-Huang变换的经验模态分解(Empirical Mode Decomposition,EMD)分解过程中容易产生虚假分量,影响检测效果;本实施例可以采用Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中EMD分解产生的虚假分量,从而最大限度的保留洪泛攻击节点产生的真实分量。
在前述无线传感器网络路由层低速洪泛攻击的检测方法的具体实施方式中,进一步地,所述通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量包括:
在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
本实施例中,设两个信号的累积分布函数分别为f(x)、r(x),若x表示时间,则f(x)、r(x)对于同一时间点上的概率之间的最大差值D可以表示为式(1):
累积概率密度函数通过图中的曲线体现出来,通过判断各IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线的距离远近,判断当前IMF分量是否为虚假分量,存在低速洪泛攻击情况下,各IMF分量的概率分布如图2所示:
本实施例中,如图2所示,分量IMF6距离原始路由包流量较远,若分量IMF6的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是超出预设的第二阈值,可以判断分量IMF6为虚假分量,将分量IMF6去除后得到新的累积概率密度分布图如图3所示。
本实施例中,如图3所示,去除虚假分量后的累积概率密度函数各曲线中,没有严重偏离的曲线,可以判断此时不存在虚假分量,达到了去除虚假分量的目的。这种去除虚假分量的方法更加准确有效,各IMF分量的累积概率密度函数曲线几乎与原始路由包流量的累积概率密度函数曲线重合,从而提高了时频分析的准确性。
在前述无线传感器网络路由层低速洪泛攻击的检测方法的具体实施方式中,进一步地,所述利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量包括:
步骤1,向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
步骤2,重复步骤1,直至达到预定的重复次数,将每次得到的IMF分量相加求均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
本实施例中,在运用Kolmogorov-Smirnov拟合优度法去除虚假IMF6分量后,得到处理后的路由包流量,如图4所示,执行如下步骤对去除所述虚假分量后的路由包流量进行分解:
A11,通过向处理后的路由包流量中添加一定强度(标准差0.01-0.2)的白噪声信号后,再使用集合经验模态分解(Ensemble EMD,EEMD)方法将加入白噪声信号的路由包流量分解为IMF分量;
A12,重复步骤A11,直至达到预定的重复次数,例如,60次,将60次的分解结果相加求均值后,可以消除所添加白噪声的影响,并去掉预先设置的高频分量及趋势项进行分析与重构,从而提取出局部有效的低速洪泛攻击信号,从而有效抑制模态混频干扰现象,提高对低速洪泛攻击的检测效果。
本实施例中,所述高频分量是指EEMD分解后得到的信号频率超过预设频率值的分量,如果EEMD分解得到的高频分量中,信号的平均周期小于0.01秒,则认为该高频分量包含大量随机干扰噪声,应去除该高频分量,其中,所述预设频率值的大小可以根据实际情况确定;所述趋势项是指EEMD分解后得到的单调函数,具体指的是EEMD分解后的线性剩余分量,应去除。
在前述无线传感器网络路由层低速洪泛攻击的检测方法的具体实施方式中,进一步地,所述若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点包括:
根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
本实施例中,假设,利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解后,得到4个IMF分量,对这4个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图,如图5(a)-图5(d)所示,将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比后,发现EEMD分解产生的中间IMF分量,如正常流量的IMF3和IMF4分量时频图和所述路由包流量的IMF3和IMF4分量时频图有较为显著的差异,则判断所述路由包流量包含有低速洪泛攻击流量,并可以根据产生显著差异的时间段,获取低速洪泛攻击的时间范围;根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点,其中,所述正常流量对应的时频图和所述路由包流量对应的时频图局部的极值相差两倍以上时则为显著差异。
本实施例中,如图5(a)-图5(d)所示,可以判断在时间30-50秒、70-100秒存在低速洪泛攻击的异常情况,并根据这两个时间段内路由包流量的主要产生来源,判断产生所述低速洪泛攻击流量的节点,所述产生所述低速洪泛攻击流量的节点即为低速洪泛攻击节点。
本实施例中,通过所述无线传感器网络路由层低速洪泛攻击的检测方法对无线传感器网络路由层流量数据(路由包流量)进行离线分析,发现所述路由包流量中是否包含有低速洪泛攻击流量,若有,则检测出低速洪泛攻击的时间范围及低速洪泛攻击节点,能够提高路由层低速洪泛攻击的检测效率和检测精度。
实施例二
本发明还提供一种无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式,由于本发明提供的无线传感器网络路由层低速洪泛攻击的检测系统与前述无线传感器网络路由层低速洪泛攻击的检测方法的具体实施方式相对应,该无线传感器网络路由层低速洪泛攻击的检测系统可以通过执行上述方法具体实施方式中的流程步骤来实现本发明的目的,因此上述无线传感器网络路由层低速洪泛攻击的检测方法具体实施方式中的解释说明,也适用于本发明提供的无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式,在本发明以下的具体实施方式中将不再赘述。
参看图6所示,本发明实施例还提供一种无线传感器网络路由层低速洪泛攻击的检测系统,包括:
侦听模块11,用于侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
检测模块12,用于通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
获取模块13,用于若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。
本发明实施例所述的无线传感器网络路由层低速洪泛攻击的检测系统,通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量,若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点。这样,通过基于Hilbert-Huang变换的时域-频域联合分析法对路由包流量进行离线检测,不需要无线传感器节点参与计算和存储,可以有效节约无线传感网节点的计算和存储资源,且能够发现传统的阈值检测法难以发现的路由层低速洪泛攻击流量,并得到产生所述低速洪泛攻击流量的节点,还能在不影响无线传感器节点的使用寿命的情况下,提高路由层低速洪泛攻击的检测效率和检测精度。
在前述无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式中,进一步地,所述检测模块12包括:
去除单元,用于通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
分解单元,用于利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量;
变换单元,用于对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
判断单元,用于将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
在前述无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式中,进一步地,所述去除单元包括:
第一分解子单元,用于在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
第一获取子单元,用于获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
第二获取子单元,用于获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
去除子单元,用于判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
在前述无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式中,进一步地,所述分解单元包括:N个分解子单元及重构子单元;其中,
每个分解子单元,用于向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
所述重构子单元,用于将N个分解子单元分解得到的IMF分量相加求均值,并将所述均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
在前述无线传感器网络路由层低速洪泛攻击的检测系统的具体实施方式中,进一步地,所述获取模块13包括:
第一获取单元,用于根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
第二获取单元,用于根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种无线传感器网络路由层低速洪泛攻击的检测方法,其特征在于,包括:
侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点;
其中,所述通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量包括:
通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量;
对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
2.根据权利要求1所述的无线传感器网络路由层低速洪泛攻击的检测方法,其特征在于,所述通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量包括:
在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
3.根据权利要求1所述的无线传感器网络路由层低速洪泛攻击的检测方法,其特征在于,所述利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量包括:
步骤1,向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
步骤2,重复步骤1,直至达到预定的重复次数,将每次得到的IMF分量相加求均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
4.根据权利要求1所述的无线传感器网络路由层低速洪泛攻击的检测方法,其特征在于,所述若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点包括:
根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
5.一种无线传感器网络路由层低速洪泛攻击的检测系统,其特征在于,包括:
侦听模块,用于侦听无线传感器节点通信范围内的无线传感器网络路由层的路由包流量;
检测模块,用于通过基于Hilbert-Huang变换的时域-频域联合分析法离线检测侦听到的所述路由包流量中是否包含有低速洪泛攻击流量;
获取模块,用于若包含有低速洪泛攻击流量,则根据所述路由包流量中包含的所述低速洪泛攻击流量,获取产生所述低速洪泛攻击流量的节点;
其中,所述检测模块包括:
去除单元,用于通过Kolmogorov-Smirnov拟合优度检验法识别并去除Hilbert-Huang变换过程中经验模态分解产生的虚假分量;
分解单元,用于利用集合经验模态分解对去除所述虚假分量后的路由包流量进行分解,得到多个IMF分量;
变换单元,用于对所述多个IMF分量中的每个IMF分量进行Hilbert变换,得到所述路由包流量对应的IMF分量的时频图;
判断单元,用于将预设的正常流量对应的IMF分量的时频图相应地与所述路由包流量对应的IMF分量的时频图进行对比,若预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异超过预设的第一阈值,则判断所述路由包流量包含有低速洪泛攻击流量。
6.根据权利要求5所述的无线传感器网络路由层低速洪泛攻击的检测系统,其特征在于,所述去除单元包括:
第一分解子单元,用于在Hilbert-Huang变换过程中,利用经验模态分解对所述侦听到的所述路由包流量进行分解;
第一获取子单元,用于获取Hilbert-Huang变换过程中经验模态分解产生的所有IMF分量;
第二获取子单元,用于获取所述所有IMF分量中每个IMF分量的累积概率密度函数曲线;
去除子单元,用于判断每个IMF分量的累积概率密度函数曲线与原始路由包流量的累积概率密度函数曲线在同一时间点上的概率之间的差值是否超出预设的第二阈值,若超出预设的第二阈值,则当前IMF分量为虚假分量,并去除所述虚假分量。
7.根据权利要求5所述的无线传感器网络路由层低速洪泛攻击的检测系统,其特征在于,所述分解单元包括:N个分解子单元及重构子单元;其中,
每个分解子单元,用于向去除所述虚假分量后的路由包流量中添加白噪声信号,利用集合经验模态分解将加入白噪声信号的路由包流量分解为IMF分量;
所述重构子单元,用于将N个分解子单元分解得到的IMF分量相加求均值,并将所述均值作为集合经验模态分解的分解结果,从所述集合经验模态分解的分解结果中去掉预先设置的高频分量及趋势项进行分析与重构。
8.根据权利要求5所述的无线传感器网络路由层低速洪泛攻击的检测系统,其特征在于,所述获取模块包括:
第一获取单元,用于根据预设的正常流量对应的IMF分量的时频图与所述路由包流量对应的IMF分量的时频图之间的差异,获取低速洪泛攻击的时间范围;
第二获取单元,用于根据获取的低速洪泛攻击的时间范围,获取产生所述低速洪泛攻击流量的节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610725730.7A CN106161241B (zh) | 2016-08-25 | 2016-08-25 | 一种无线传感器网络路由层低速洪泛攻击的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610725730.7A CN106161241B (zh) | 2016-08-25 | 2016-08-25 | 一种无线传感器网络路由层低速洪泛攻击的检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106161241A CN106161241A (zh) | 2016-11-23 |
| CN106161241B true CN106161241B (zh) | 2019-02-15 |
Family
ID=57343206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610725730.7A Active CN106161241B (zh) | 2016-08-25 | 2016-08-25 | 一种无线传感器网络路由层低速洪泛攻击的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106161241B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
| CN111600876B (zh) * | 2020-05-14 | 2021-07-27 | 湖南大学 | 一种基于mfopa算法的慢速拒绝服务攻击检测方法 |
| CN112910926A (zh) * | 2021-03-09 | 2021-06-04 | 中南大学 | 一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6983325B1 (en) * | 2000-12-28 | 2006-01-03 | Mcafee, Inc. | System and method for negotiating multi-path connections through boundary controllers in a networked computing environment |
| CN102655465B (zh) * | 2012-05-09 | 2014-12-10 | 东北大学 | 一种网络异常流量的时频域快速侦测方法 |
| CN105119908B (zh) * | 2015-07-22 | 2018-07-27 | 上海迈外迪网络科技有限公司 | 无线网络安全控制方法、装置和无线路由器 |
-
2016
- 2016-08-25 CN CN201610725730.7A patent/CN106161241B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106161241A (zh) | 2016-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| Kazemi et al. | A secure hybrid dynamic-state estimation approach for power systems under false data injection attacks | |
| Presekal et al. | Attack graph model for cyber-physical power systems using hybrid deep learning | |
| Zhu et al. | Alert correlation for extracting attack strategies | |
| Le et al. | Traffic dispersion graph based anomaly detection | |
| Jiang et al. | Temporal and spatial distributed event correlation for network security | |
| CN106161241B (zh) | 一种无线传感器网络路由层低速洪泛攻击的检测方法 | |
| CN103338451B (zh) | 一种无线传感器网络中分布式的恶意节点检测方法 | |
| CN116318924A (zh) | 一种小样本入侵检测方法、系统、介质、设备及终端 | |
| Tian et al. | A digital evidence fusion method in network forensics systems with Dempster-shafer theory | |
| Basiri et al. | Kalman filter based secure state estimation and individual attacked sensor detection in cyber-physical systems | |
| Nichelini et al. | Canova: a hybrid intrusion detection framework based on automatic signal classification for can | |
| Levy et al. | CAN-LOC: Spoofing detection and physical intrusion localization on an in-vehicle CAN bus based on deep features of voltage signals | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| Lightbody et al. | Host-based intrusion detection system for IOT using convolutional neural networks | |
| Arifin et al. | Denial of service attacks detection on scada network iec 60870-5-104 using machine learning | |
| Cui et al. | Authenticating source information of distribution synchrophasors at intra-state locations for cyber-physical resilient power networks | |
| CN107231377B (zh) | 基于突变平衡态理论的BGP-LDoS攻击检测方法 | |
| Yin et al. | Detecting CAN overlapped voltage attacks with an improved voltage-based in-vehicle intrusion detection system | |
| Ibrahim Gabr et al. | Hybrid detection algorithm for online faulty sensors identification in wireless sensor networks | |
| Yan et al. | Detect and identify DDoS attacks from flash crowd based on self-similarity and Renyi entropy | |
| Huang et al. | Application of type-2 fuzzy logic to rule-based intrusion alert correlation detection | |
| Zhou et al. | Finite-Time Distributed $ H_ {\infty} $ Filtering in Sensor Networks with Switching Topology and Two-Channel Stochastic Attacks | |
| Wang et al. | MBM-IoT: Intelligent multi-baseline modeling of heterogeneous device behaviors against iot botnet | |
| Haghshenas et al. | Impact of Topology Noise on Power Systems State Estimation Using a Temporal GCN Framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200131 Address after: No.163, East 2nd Street, Yudai, Yongding town, Mentougou District, Beijing Patentee after: Luban (Beijing) Electronic Commerce Technology Co., Ltd. Address before: 100083 Haidian District, Xueyuan Road, No. 30, Patentee before: University OF SCIENCE AND TECHNOLOGY BEIJING |
|
| TR01 | Transfer of patent right |