CN106878995B - 一种基于感知数据的无线传感器网络异常类型鉴别方法 - Google Patents

Abstract

本发明提出了一种基于感知数据的无线传感器网络异常类型鉴别方法，涉及无线传感器网络信息安全领域。本方法为无线传感器网络节点每隔一个固定时间间隔收集一组感知数据并将其发送给基站，在正常时间段内，将基站生成的检测特征集作为训练集，并归一化，保留列均值和列方差；将训练集进行主成分分析法降维，保留特征向量矩阵和列均值向量；采用基于密度的竞争聚类算法将训练集聚类为正常簇和异常簇；当新的检测特征出现时，依据列均值和列方差进行归一化，经特征向量矩阵和列均值向量降维，最后根据其划归在正常簇与异常簇的收益值判定网络是否异常。该方法部署简单，成本低，能同时检测网络协议攻击和恶意数据注入攻击，能降低节点的能量效果。

Description

一种基于感知数据的无线传感器网络异常类型鉴别方法

技术领域

本发明属于无线传感器网络信息安全领域，涉及一种基于感知数据的无线传感器网络异常类型鉴别方法。

背景技术

无线传感器网络是由大量微型传感器节点组成的分布式感知系统。该系统能够实时采集监测区域内的环境信息(感知数据)，如温度、湿度、亮度和压强等，并将感知数据以无线的方式多跳传输给基站。无线传感器网络通常部署在无人值守的、恶劣的环境中，甚至是在敌方区域，攻击者可以轻易捕获传感器节点并入侵网络。此外，传感器节点在能量、通信能力以及计算和存储等方面受限，使其极易受到各种攻击。入侵检测系统(IDS)是用于检测网络内部和外部攻击的重要安全工具，该系统可以发现恶意节点并将其剔除网络以达到保障网络正常运行的目的。

入侵检测系统的有效性体现在能有效地检测多种类型攻击行为。Illiano andLupu指出在无线传感器网络中，除了有与网络协议相关的攻击，还存在恶意数据注入攻击。与网络协议相关的攻击是指利用网络协议的缺陷而发起的攻击行为，如黑洞攻击、泛洪攻击和选择转发攻击等。而恶意数据注入攻击通常不破坏网络协议的正常运行而是直接影响节点收集感知数据的过程。恶意数据注入攻击通常通过引入错误的感知数据来实现触发异常网络响应或者掩盖正常网络响应的目的。数据污染攻击是一种典型的恶意数据注入攻击。在数据污染攻击中，攻击者通过欺骗传感器节点或者篡改其软件来引入错误的测量信息，例如利用打火机引发火灾报警。Shamshirband等人采用CPU使用量、内存负载、带宽饱和度以及连接主机频率等系统资源审计数据作为检测特征，并提出Co-FAIS(Cooperativemulti-agent based Fuzzy Artificial Immune System)方法来检测DDoS攻击，然而该方法难以检测恶意数据注入攻击。为了检测DOS攻击，Shamshirband等人提出D-FICCA(Density-based Fuzzy Imperialist Competitive Clustering Algorithm)。作者采用温度、湿度和电压等感知数据作为检测特征，并通过发现感知数据的异常值判定网络是否遭受了DOS攻击。但作者既没有给出异常值与攻击行为之间的联系，也没有给出如何判断是不是攻击导致异常的方法。Rassam等人提出异常检测模型APCCAD(Adaptive PrincipalComponent Classifier-based Anomaly Detection)来适应动态拓扑网络结构。该模型可以降低误报率和减少通信消耗。Moshtaghi等人提出分布式自适应异常检测模型以减少通信开销。该模型的鲁棒性好、检测率高且不需要更新决策策略。Rassam等人和Moshtaghi等人专注于挖掘感知数据的异常值且都取得较好的检测效果，但它们并没有进一步地区分引起异常的原因。现有的基于网络特征的入侵检测算法难以检测恶意数据注入攻击，而基于感知数据异常值的异常检测算法虽然能够有效地检测恶意数据注入攻击，但缺乏对攻击原因的分析和判断。

传感器节点的能量通常是由电池供应且难以补充，因此传感器网络节点应该将能量最大化地分布在传输感知数据上，而分配给入侵检测的能量要尽可能少。针对入侵检测系统的能量消耗优化问题，Riecker等人提出一轻量级的入侵检测系统，其中移动代理节点仅通过单一特征即节点能量消耗而不需要多种特征来检测DoS攻击，普通节点可以避免复杂计算并保持通信消耗在一个合理的范围。该方法可以减少网络负载和网络时延，但是运行IDS的移动代理节点会有较高的能量消耗。此外，代理节点之间的通信开销易于导致网络拥塞，同时普通节点仍需要定时与代理节点通信来更新节点能量消耗信息。Huang等人提出将博弈论与马尔科夫决策过程相结合来抵御攻击行为。博弈论用于选择最佳的抵御策略，马尔科夫决策过程用于预测节点可能遭受的攻击类型和选出最弱节点并保护它免受攻击。该算法的仿真结果表明该算法的成功抵御率远高于博弈论和马尔科夫决策过程单独使用的场景，不足之处在于博弈过程中节点之间的频繁通信会导致能量消耗过高。虽然作者提出可以使用低功耗路由协议(LEACH)、随机选择簇头和高效率能量分层聚类等策略来减轻节点的通信开销，节点仍然需要为入侵检测活动传输识别和验证等消息，而论文未给出该入侵检测算法与节点能量消耗关系的实验结果。传感器节点的能量消耗主要在感知周围环境、处理感知信息和传输数据(数据包括感知数据和网络协议数据)三个方面，其中节点能量消耗主要是在传输数据方面，而入侵检测系统通常要求节点记录并传输特征信息以用于检测，这会增大节点用于入侵检测活动的能量消耗。

综上分析，无线传感器鉴别网络异常类型存在以下难点：

(1)检测并区分引起感知数据异常的原因；

(2)降低节点用于入侵检测活动的能量消耗。

发明内容

有鉴于此，本发明目的在于提供一种基于感知数据的无线传感器网络异常类型鉴别方法，该方法检测感知数据异常并可以从各类异常中区分出网络协议相关攻击和恶意数据注入攻击，且能降低节点用于入侵检测活动的能量消耗。

为达到上述目的，本发明提供如下技术方案：

一种基于感知数据的无线传感器网络异常类型鉴别方法，包括以下步骤：

S1：无线传感器网络节点每隔一个固定时间间隔Δt收集一组感知数据，包括温度、湿度或亮度，并将其发送给基站，在没有发生攻击行为时间段内，基站将收到的感知数据集生成检测特征集，作为训练数据，即训练集；

S2：将训练集进行z-score标准化方法归一化，并保留列均值μ和列方差σ；

S3：将训练集进行主成分分析法PCA(Principal Component Analysis,PCA)降维，保留特征向量矩阵E^*和列均值向量μ^*；

S4：采用基于密度的竞争聚类算法DCCA(Detrended Canonical CorrespondenceAnalysis,DCCA)将训练集聚类为正常簇和异常簇；

S5：当新的检测特征出现时，依据列均值μ和列方差σ进行归一化，经特征向量矩阵E^*和列均值向量μ^*降维，最后根据其划归在正常簇与异常簇的收益值判定网络是否异常。

进一步，在步骤S1中，所述无线传感器网络节点为S＝{S_j:j＝1,2,…,m}，其中m是节点的数量；所述一组感知数据是一个p维向量v_j＝(v_j1,v_j2,…,v_jp)，v_j∈R^p，其中p表示感知数据的类型数，R为实数域；所述感知数据集为V＝{v₁,v₂,…,v_n}，其中n为组数，与节点ID无关，n≤m；V的均值为

其中

V的均方差为σ＝{σ₁,σ₂,…,σ_p}，其中

所述检测特征为向量其维度为q＝2p；定义检测特征完整度为检测特征ID为

其中t是该检测特征的接收时间；定义时间段[0,T]内收到的检测特征集作为训练数据，表示为矩阵X_T＝{x₁,x₂,…,x_k}，k＝T/Δt。

进一步，所述步骤S2包括以下步骤：

S201：定义训练数据为

S202：将X_T经公式

进行归一化，其中μ是矩阵X_T的列均值，σ是矩阵X_T的列均方差，得到

进一步，所述步骤S3包括以下步骤：

S301：计算

的列均值向量μ^*并对

进行零均值化得到矩阵

其中零均值化就是矩阵中的每个数减去自身所在列的均值；

S302：通过公式

计算矩阵X'的协方差矩阵；

S303：计算协方差矩阵的特征向量E＝{e₁,e₂,…,e_q}与特征值λ₁,λ₂,…,λ_q，其中特征值按从大到小排序，与特征向量一一对应；

S304：计算贡献率

当前l个特征值贡献率之和大于θ时，保留对应l个特征向量组成矩阵E^*；

S305：计算得到降维后的矩阵X＝X'*E^*。

进一步，所述基于密度的竞争聚类算法包括以下步骤：

S401：给定降维后的训练数据，计算每个点的代价函数，若该点在其邻域内代价值最大，则为聚类中心；

S402：每个点依据其他点选择聚类中心的概率选择收益最大的类；

S403：每个点基于每次选择结果重新选择直到所有点的收益值都达到最大；

S404：依据各个点的选择结果形成了多个簇，通过簇均值和簇均方差区分簇的类型，即正常簇与异常簇。

进一步，所述步骤S401包括以下步骤：定义降维后的训练数据集X＝{x₁,x₂,…,x_k}，计算每个点x的代价函数

其中，dist为欧式距离，d_c为截断距离，d_c可取所有点的相互距离中由小到大排列占总数1％的位置的距离数值；若该点在其邻域内代价值最大，则为聚类中心。

进一步，所述步骤S402包括以下步骤：定义点x_i与点x_j同属一个聚类时，点x_i的收益值value(x_i,x_j)＝exp(-dist(x_i,x_j))，定义点x_i选择与点x_j归属同一类的概率为

则点x选择归属到聚类中心c的收益函数为g(x)＝value(x)probs(c)，其中value(x)＝(value(x,x₁),value(x,x₂),…,value(x,x_k))，probs(c)＝(probs(x₁,c),probs(x₂,c),…,probs(x_k,c))，若点x选择聚类中心c的收益值最大，即获取的利益最大，则选择归类到聚类中心c。

进一步，所述步骤S403包括以下步骤：定义点x归属到聚类C的收益为h(x)，

其中num表示聚类C中点的个数(若x∈C,则个数减1)，点x依据在各个聚类的收益值，重新选择归属到收益值最大的聚类中，所有点重复选择直到所有点选择不变，达到平衡，即所有点获得最大收益。

进一步，所述步骤S404包括以下步骤：定义一个簇内所有检测特征中的感知数据均值

的平均值为簇均值

其中

表示第i个检测特征的第j个均值，num表示簇中检测特征的个数；定义一个簇内所有检测特征中的感知数据均方差σ的平均值为簇均方差

其中σ_ij分别表示第i个检测特征的第j个均方差；通过计算各个簇的簇均方差来划分正常数据和噪声，其中簇均方差最大的簇为异常簇且异常是由噪声与错误引起的，簇内点为噪声与错误，而簇均方差最小的簇为正常簇，剩余簇依据与正常簇以及异常簇的簇均方差的差异程度就近判断为正常或异常。

进一步，所述步骤S5包括以下步骤：

S501：定义一个簇内所有检测特征的完整度A的平均值为簇完整度

其中A_i表示第i个检测特征的完整度；定义一个簇内的所有检测特征ID的方差为簇连续度其中d_i表示第i个检测特征的ID，

为均值；

S502：新的检测特征x_new先经z-score标准化以及PCA降维后得到点x；

S503：通过公式

计算点x归属到各个簇的收益值；若收益值的最大值大于给定的阈值(ε＝10e-5)，则将点x归属到收益值最大的簇中；若点x归属到正常簇，则判定为正常值，否则判定为异常值并根据异常簇的类型决策引起点x异常的原因；若收益值的最大值小于给定的阈值，也就是点x在现有的簇中的收益值小到可以忽略不计，则点x形成一个新簇；根据规则判定新簇的类型，在判定点x的归属后用它替换对应簇内旧的检测特征；

所述规则如下：若新簇的簇均值、簇均方差、簇完整度以及簇连续度均与正常簇持平，则判定该簇为正常簇；若新簇的簇均方差和簇连续度大于正常簇而簇完整度与正常簇持平，则该簇判定为异常簇且异常是由噪声与错误引起的；若新簇的簇均方差、簇完整度和簇连续度与正常簇持平，而簇均值远大于或远小于正常簇，则该簇判定为异常簇且异常是由事件引起的；若新簇的簇均方差与正常簇持平，而簇均值和簇完整度均远小于正常簇，则该簇判定为异常簇且异常是由与网络协议相关的攻击引起的；若新簇的簇均方差大于正常簇，而簇连续度与正常簇持平，则该簇为异常簇且异常是由恶意数据注入攻击引起的；其中，持平、大于、远大于和远小于指标都是与训练集的正常簇相比而言，持平表示两者的数量级相同，远大于和远小于表示新簇大于或小于正常簇一个数量级以上。

与现有的技术相比，本发明的优点在于：

(1)在本发明中，节点不需要额外传输检测特征且不参与入侵检测的决策，基站负责接收感知数据来判断网络状态。这使得本发明与节点类型、网络协议无关，提高本发明的适应性。同时降低了节点用于入侵检测活动的能量消耗，而且本发明也不会因为节点被俘获而失效。

(2)基于不同异常会使感知数据的范围偏离正常的范围并形成不同的聚集的原理，本发明通过基于密度的竞争聚类算法发现特定数量的簇且不需要任何先验知识。本发明能够检测不同类型的攻击行为，包括网络协议相关攻击和恶意数据注入攻击

(3)基于本发明的簇的判定规则，本发明可以区分引起异常的原因。

附图说明

为了使本发明的目的、技术方案和有益效果更加清楚，本发明提供如下附图进行说明：

图1为本发明的无线传感器网络结构图；

图2为本发明的流程图。

具体实施方式

下面将结合附图，对本发明的优选实施例进行详细的描述。

图1为实施本发明的无线传感器网络结构图。网络节点每隔一个时间间隙Δt发送感知数据给基站，基站将收到的感知数据并生成检测特征。在正常时间段内(没有发生攻击行为)生成的检测特征集作为训练集。本方法部署在基站，本方法的流程图如图2所示。其步骤如下：

步骤一：无线传感器网络节点S＝{S_j:j＝1,2,…,m}每隔一个固定时间间隔Δt，各个节点收集一组感知数据(如温度、湿度和亮度等)并将其发送给基站。节点S_j记录的一组感知数据是一个p维的向量v_j＝(v_j1,v_j2,…,v_jp)，v_j∈R^p，其中p表示感知数据的类型数。在下一个Δt内，基站将收到n(n≤m，由于无线链路故障、节点故障以及网络拥塞等原因，可能导致感知数据包丢失)组感知数据V＝{v₁,v₂,…,v_n}，其中组数n与节点ID无关。定义感知数据集V的均值为

其中

定义感知数据集V的均方差为σ＝{σ₁,σ₂,…,σ_p},其中定义检测特征为向量其维度为q＝2p。定义检测特征完整度为

定义检测特征ID为其中时间t是该检测特征的接收时间。定义时间段[0,T]内收到的检测特征集为训练数据，其表示为矩阵X_T＝{x₁,x₂,…,x_k}，k＝T/Δt。

步骤二：将训练集进行z-score标准化方法归一化，并保留列均值μ和列方差σ。给定训练数据

训练数据的每个元素经公式

归一，其中μ是矩阵X_T的列均值，σ是矩阵X_T的列均方差。训练数据X_T归一化后得到

步骤三：将训练集进行主成分分析法PCA降维，保留特征向量矩阵E^*和列均值向量μ^*。计算

的列均值向量μ^*并对

进行零均值化得到矩阵其中零均值化就是矩阵中的每个数减去自身所在列的均值；通过公式

计算矩阵X'的协方差矩阵；计算协方差矩阵的特征向量E＝{e₁,e₂,…,e_q}与特征值λ₁,λ₂,…,λ_q，其中特征值按从大到小排序，与特征向量一一对应；计算贡献率

当前l个特征值贡献率之和大于θ时，保留对应l个特征向量组成矩阵E^*；计算得到降维后的矩阵X＝X'*E^*。

步骤四：采用基于密度的竞争聚类算法DCCA将训练集聚类为正常簇和异常簇。给定降维后的训练数据，计算每个点的代价函数，若该点在其邻域内代价值最大，则为聚类中心；每个点依据其他点选择聚类中心的概率选择收益最大的类；每个点基于每次选择结果重新选择直到所有点的收益值都达到最大；依据各个点的选择结果形成了多个簇，通过簇均值和簇均方差区分簇的类型，即正常簇与异常簇。定义降维后的训练数据集X＝{x₁,x₂,…,x_k}，计算每个点x的代价函数

其中，dist为欧式距离，d_c为截断距离，d_c可取所有点的相互距离中由小到大排列占总数1％的位置的距离数值；若该点在其邻域内代价值最大，则为聚类中心。

定义点x_i与点x_j同属一个聚类时，点x_i的收益值value(x_i,x_j)＝exp(-dist(x_i,x_j))，定义点x_i选择与点x_j归属同一类的概率为

则点x选择归属到聚类中心c的收益函数为g(x)＝value(x)probs(c)，value(x)＝(value(x,x₁),value(x,x₂),…,value(x,x_k))，probs(c)＝(probs(x₁,c),probs(x₂,c),…,probs(x_k,c))，若点x选择聚类中心c的收益值最大，即获取的利益最大，则选择归类到聚类中心c。

定义点x归属到聚类C的收益为h(x)，

其中num表示聚类C中点的个数(若x∈C,则个数减1)，点x依据在各个聚类的收益值，重新选择归属到收益值最大的聚类中，所有点重复选择直到所有点选择不变，达到平衡，即所有点获得最大收益。

定义一个簇内所有检测特征中的感知数据均值

的平均值为簇均值

其中

表示第i个检测特征的第j个均值，num表示簇中检测特征的个数；定义一个簇内所有检测特征中的感知数据均方差σ的平均值为簇均方差其中σ_ij分别表示第i个检测特征的第j个均方差；通过计算各个簇的簇均方差来划分正常数据和噪声，其中簇均方差最大的簇为异常簇且异常是由噪声与错误引起的，簇内点为噪声与错误，而簇均方差最小的簇为正常簇，剩余簇依据与正常簇以及异常簇的簇均方差的差异程度就近判断为正常或异常。

步骤五：当新的检测特征出现时，依据列均值μ和列方差σ进行归一化，经特征向量矩阵E^*和列均值向量μ^*降维，最后根据其划归在正常簇与异常簇的收益值判定网络是否异常。定义一个簇内所有检测特征的完整度A的平均值为簇完整度

其中A_i表示第i个检测特征的完整度；定义一个簇内的所有检测特征ID的方差为簇连续度其中d_i表示第i个检测特征的ID，

为均值；本步骤将实时检测每一个新的检测特征。新的检测特征x_new先经z-score标准化以及PCA降维后得到点x；通过公式计算点x归属到各个簇的收益值；若收益值的最大值大于给定的阈值(ε＝10e-5)，则将点x归属到收益值最大的簇中；若点x归属到正常簇，则判定为正常值，否则判定为异常值并根据异常簇的类型决策引起点x异常的原因；若收益值的最大值小于给定的阈值，也就是点x在现有的簇中的收益值小到可以忽略不计，则点x形成一个新簇。依据噪声与错误、事件和恶意攻击对感知数据均值、均方差、完整性以及连续性的影响，本方法制定了依据簇均值、簇均方差、簇完整度以及簇连续度等参数判定新簇类型的规则，如下表1所示。新簇依据表1判定簇的类型，从而区分出引起异常的原因。若新簇的簇均值、簇均方差、簇完整度以及簇连续度均与正常簇持平，则判定该簇为正常簇。若新簇的簇均方差和簇连续度大于正常簇而簇完整度与正常簇持平，则该簇判定为异常簇且异常是由噪声与错误引起的。若新簇的簇均方差、簇完整度和簇连续度与正常簇持平，而簇均值远大于或远小于正常簇，则该簇判定为异常簇且异常是由事件引起的。若新簇的簇均方差与正常簇持平，而簇均值和簇完整度均远小于正常簇，则该簇判定为异常簇且异常是由与网络协议相关的攻击引起的。若新簇的簇均方差大于正常簇，而簇连续度与正常簇持平，则该簇为异常簇且异常是由恶意数据注入攻击引起的。在判定点x的归属后用它替换对应簇内旧的检测特征。

表1簇的判定规则

类型	簇均值	簇均方差	簇完整度	簇连续度
					正常	持平	持平	持平	持平
噪声与错误	*	大于	持平	大于
					事件	远大于或远小于	持平	持平	持平
网络协议相关攻击	远小于	持平	远小于	*
					恶意数据注入攻击	*	大于	持平	持平

注：持平、大于、远大于和远小于等指标都是与训练集的正常簇相比。持平表示两者的数量级相同；远大于和远小于表示新簇大于或小于正常簇一个数量级以上；*表示小于、持平和大于等情况都存在。

最后说明的是，以上优选实施例仅用以说明本发明的技术方案而非限制，尽管通过上述优选实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其作出各种各样的改变，而不偏离本发明权利要求书所限定的范围。

Claims (1)

1.一种基于感知数据的无线传感器网络异常类型鉴别方法，其特征在于：该方法包括以下步骤：

S1：无线传感器网络节点每隔一个固定时间间隔Δt收集一组感知数据，包括温度、湿度或亮度，并将其发送给基站，在没有发生攻击行为时间段内，基站将收到的感知数据集生成检测特征集，作为训练数据，即训练集；

S2：将训练集进行z-score标准化方法归一化，并保留列均值μ和列方差σ；

S3：将训练集进行主成分分析法PCA降维，保留特征向量矩阵E^*和列均值向量μ^*；

S4：采用基于密度的竞争聚类算法DCCA将训练集聚类为正常簇和异常簇；

S5：当新的检测特征出现时，依据列均值μ和列方差σ进行归一化，经特征向量矩阵E^*和列均值向量μ^*降维，最后根据其划归在正常簇与异常簇的收益值判定网络是否异常；

在步骤S1中，所述无线传感器网络节点为S＝{S_j:j＝1,2,…,m}，其中m是节点的数量；所述一组感知数据是一个p维向量v_j＝(v_j1,v_j2,…,v_jp)，v_j∈R^p，其中p表示感知数据的类型数，R为实数域；所述感知数据集为V＝{v₁,v₂,…,v_n}，其中n为组数，与节点ID无关，n≤m；V的均值为其中V的均方差为σ＝{σ₁,σ₂,…,σ_p}，其中所述检测特征为向量

其维度为q＝2p；定义检测特征完整度为

检测特征ID为

其中t是该检测特征的接收时间；定义时间段[0,T]内收到的检测特征集作为训练数据，表示为矩阵X_T＝{x₁,x₂,…,x_k}，k＝T/Δt；

所述步骤S2包括以下步骤：

S201：定义训练数据为

S202：将X_T经公式

进行归一化，其中μ是矩阵X_T的列均值，σ是矩阵X_T的列均方差，得到

所述步骤S3包括以下步骤：

S301：计算

的列均值向量μ^*并对

进行零均值化得到矩阵其中零均值化就是矩阵中的每个数减去自身所在列的均值；

S302：通过公式

计算矩阵X'的协方差矩阵；

S303：计算协方差矩阵的特征向量E＝{e₁,e₂,…,e_q}与特征值λ₁,λ₂,…,λ_q，其中特征值按从大到小排序，与特征向量一一对应；

S304：计算贡献率

当前l个特征值贡献率之和大于θ时，保留对应l个特征向量组成矩阵E^*；

S305：计算得到降维后的矩阵X＝X'*E^*；

所述基于密度的竞争聚类算法包括以下步骤：

S401：给定降维后的训练数据，计算每个点的代价函数，若该点在其邻域内代价值最大，则为聚类中心；

S402：每个点依据其他点选择聚类中心的概率选择收益最大的类；

S403：每个点基于每次选择结果重新选择直到所有点的收益值都达到最大；

S404：依据各个点的选择结果形成了多个簇，通过簇均值和簇均方差区分簇的类型，即正常簇与异常簇；

所述步骤S401包括以下步骤：定义降维后的训练数据集X＝{x₁,x₂,…,x_k}，计算每个点x的代价函数

其中，dist为欧式距离，d_c为截断距离，d_c可取所有点的相互距离中由小到大排列占总数1％的位置的距离数值；若该点在其邻域内代价值最大，则为聚类中心；

所述步骤S402包括以下步骤：定义点x_i与点x_j同属一个聚类时，点x_i的收益值value(x_i,x_j)＝exp(-dist(x_i,x_j))，定义点x_i选择与点x_j归属同一类的概率为

则点x选择归属到聚类中心c的收益函数为g(x)＝value(x)probs(c)，其中value(x)＝(value(x,x₁),value(x,x₂),…,value(x,x_k))，probs(c)＝(probs(x₁,c),probs(x₂,c),…,probs(x_k,c))，若点x选择聚类中心c的收益值最大，即获取的利益最大，则选择归类到聚类中心c；

所述步骤S403包括以下步骤：定义点x归属到聚类C的收益为h(x)，

其中num表示聚类C中点的个数，若x∈C,则个数减1；点x依据在各个聚类的收益值，重新选择归属到收益值最大的聚类中，所有点重复选择直到所有点选择不变，达到平衡，即所有点获得最大收益；

所述步骤S404包括以下步骤：定义一个簇内所有检测特征中的感知数据均值

的平均值为簇均值其中

表示第i个检测特征的第j个均值，num表示簇中检测特征的个数；定义一个簇内所有检测特征中的感知数据均方差σ的平均值为簇均方差

其中σ_ij分别表示第i个检测特征的第j个均方差；通过计算各个簇的簇均方差来划分正常数据和噪声，其中簇均方差最大的簇为异常簇且异常是由噪声与错误引起的，簇内点为噪声与错误，而簇均方差最小的簇为正常簇，剩余簇依据与正常簇以及异常簇的簇均方差的差异程度就近判断为正常或异常；

所述步骤S5包括以下步骤：

S501：定义一个簇内所有检测特征的完整度A的平均值为簇完整度

其中A_i表示第i个检测特征的完整度；定义一个簇内的所有检测特征ID的方差为簇连续度

其中d_i表示第i个检测特征的ID，

为均值；

S502：新的检测特征x_new先经z-score标准化以及PCA降维后得到点x；

S503：通过公式

计算点x归属到各个簇的收益值；若收益值的最大值大于给定的阈值ε＝10e-5，则将点x归属到收益值最大的簇中；若点x归属到正常簇，则判定为正常值，否则判定为异常值并根据异常簇的类型决策引起点x异常的原因；若收益值的最大值小于给定的阈值，也就是点x在现有的簇中的收益值小到可以忽略不计，则点x形成一个新簇；根据规则判定新簇的类型，在判定点x的归属后用它替换对应簇内旧的检测特征；

所述规则如下：若新簇的簇均值、簇均方差、簇完整度以及簇连续度均与正常簇持平，则判定该簇为正常簇；若新簇的簇均方差和簇连续度大于正常簇而簇完整度与正常簇持平，则该簇判定为异常簇且异常是由噪声与错误引起的；若新簇的簇均方差、簇完整度和簇连续度与正常簇持平，而簇均值远大于或远小于正常簇，则该簇判定为异常簇且异常是由事件引起的；若新簇的簇均方差与正常簇持平，而簇均值和簇完整度均远小于正常簇，则该簇判定为异常簇且异常是由与网络协议相关的攻击引起的；若新簇的簇均方差大于正常簇，而簇连续度与正常簇持平，则该簇为异常簇且异常是由恶意数据注入攻击引起的；其中，持平、大于、远大于和远小于指标都是与训练集的正常簇相比而言，持平表示两者的数量级相同，远大于和远小于表示新簇大于或小于正常簇一个数量级以上。

Images