CN107426212A - 一种认知无线网络中基于代理的入侵检测方法 - Google Patents

Abstract

本发明属于认知无线网络技术领域，公开了一种认知无线网络中基于代理的入侵检测方法，选取节点放置代理；判断信道能量是否大于阈值；检测内部节点；攻击检测；协作检测；发现入侵后响应。本发明利用基于代理的入侵检测系统对分布式认知无线网络中的攻击进行检测，克服了现有安全方案中只针对单一攻击检测的不足，实现了认知无线网络整体的安全性和健壮性；在检测过程中利用蚁群优化算法，通过多个代理的协同对网络内部出现的攻击进行检测，克服了次级用户计算能力较弱，单个代理不能检测已知所有攻击的缺点，保证了检测的高效性。

Description

一种认知无线网络中基于代理的入侵检测方法

技术领域

本发明属于认知无线网络技术领域，尤其涉及一种认知无线网络中基于代理的入侵检测方法。

背景技术

认知无线网络(Cognitive Radio Networks,CRN)通过感知无线环境，允许次级用户在不干扰主用户的前提下，伺机利用空闲频谱，有效提高频谱资源的利用率，满足更多用户的需求，但同时也引入了新的安全威胁，如模仿主用户攻击，频谱感知数据篡改攻击，狮子攻击等。现在针对某一种攻击已经有具体的检测办法，但从认知网络整体考虑，使用入侵检测系统来抵御认知无线网络中安全威胁的研究并不多。入侵检测系统作为防火墙之后保护系统安全的第二道防线，其作用在于检测通过第一道防线的攻击，通知管理员以及全网用户，做出适当的应对措施。在分布式入侵检测系统的研究中，代理技术已得到了广泛的应用。代理具有的自治性、主动性以及社会性等特征使其能够很好的完成入侵检测任务。而次级用户普遍计算能力有限，检测代理的功能并不强大，因此需要设计好的协同机制来提高系统的检测效率。为了让代理之间能够更好的协同，引入了群体智能理论，通过模仿蚁群觅食行为，完成快速的入侵检测。文章“Towards a Cooperative Intrusion DetectionSystem for Cognitive Radio Networks”提出了认知无线网络中入侵检测系统的需求和一些基本检测模块，为未来的研究提供了指导，但文章并没有提出一个完整的入侵检测系统。在针对具体的网络架构时，并没有一套有效的机制使这些基本检测模块结合起来给系统提供保护。文章提出的检测方法有限，只能检测PUE攻击和狮子攻击，没有针对其他攻击(如信道攻击中的SSDF攻击)的检测方法。

文章“Intrusion Detection System(IDS)for Combating Attacks AgainstCognitive Radio Networks”提出了一种CRN中基于异常检测的入侵检测系统，检测引擎使用复杂度和开销较低的时间序列累积假设检验，但该方案假设每个次级用户上都部署了入侵检测代理，并没有对代理以及其协同机制进行研究。在分布式CRN中，次级用户计算能力有限，在每一个用户上部署完整的入侵检测代理会造成次级用户资源耗尽。

综上所述，现有技术存在的问题是：在CRN中缺少完整的检测机制提供有效的保护，资源受限的次级用户之间并不能很好的合作以达到高效的检测。

发明内容

针对现有技术存在的问题，本发明提供了一种认知无线网络中基于代理的入侵检测方法。

本发明是这样实现的，一种认知无线网络中基于代理的入侵检测方法，所述认知无线网络中基于代理的入侵检测方法通过代理对无线环境进行检测，获得频谱中信号的信息，读取邻居节点的审计数据，与代理中存储的检测规则相匹配，判断是否有攻击发生；单个代理能力不足时，与其他代理进行协同，实现对网络外部和内部出现攻击的检测。

进一步，所述认知无线网络中基于代理的入侵检测方法包括以下步骤：

步骤一，选取节点放置代理，使用最大连接度算法，选取具有最多直接邻居节点的节点放置代理，代理及其通信范围内的所有节点构成一个簇，代理节点为簇头；每个代理只具备检测规则库中的一种检测规则；

步骤二，判断信道能量是否大于阈值，代理使用天线检测无线信道，获得该无线信道上信号的能量，若信号能量小于阈值10dB，判定没有攻击，检测结束；否则，利用TDOA算法估计信号源位置，执行步骤四；

步骤三，检测内部节点，代理读取簇内节点的审计数据，包括TCP重传时间t、可靠性指标r、频段切换时间间隔f、信号强度s；获得特征向量V＝(t,r,f,s)；

步骤四，攻击检测；

步骤五，协作检测，将可疑节点特征向量V发送给所有代理，在发送过程中，利用蚁群优化算法，寻找存在该特征向量的规则库的最短路径代理，若存在这样的代理，执行步骤六；否则，该节点不是攻击者；

步骤六，发现入侵的代理向邻居代理广播该攻击。

进一步，所述步骤一中最大连接度算法是每个节点广播其邻居节点列表，具有最多邻居的节点作为簇首，覆盖范围内的节点为簇内节点；部署的代理具有认知模块、检测攻击模块、通信模块、存储模块、响应模块；检测采用误用检测。

进一步，所述步骤一中检测规则库是针对无线信道和终端设备中存在的攻击的检测方法，典型的信道攻击有模仿主用户攻击，典型的终端设备攻击有频谱感知数据篡改攻击。

进一步，所述步骤二中TDOA算法利用不同的代理，通过比较信号到达各个代理的时间差，作出以代理为焦点，距离差为长轴的双曲线，双曲线的交点就是信号源的位置。信号源的位置坐标为(x,y)，代理i的位置坐标为(x,y)，c信号传播的速度。信号源和第i个代理之间的距离为：

其中，

令R_i,1表示信号源与代理i(i≠1)和代理1的实际距离差，则

其中，d_i,1为TDOA测量值。为求解该方程组可先进行线性化处理。因为：

式(2.4)可以展开表示为：

当i＝1时，式(2.2)为：

式(2.5)减去式(2.6)可得：

其中，

x_i,1＝x_i-x₁ (2.8)

y_i,1＝y_i-y₁ (2.9)

x，y，R₁为未知数，求解式(2.7)线性方程组可得到信号源的坐标位置。

进一步，所述步骤四包括：

a)判断计算出的位置信息是否与代理存储的主发射机位置相差小于10m，若是，执行b)；否则，执行步骤六；

b)检查信号能量是否与代理存储的主发射机信号能量误差在2dB之内，若是，判断为主用户；否则，执行步骤六；

c)检查代理自身检测规则是否存在节点的特征向量V，若存在，则节点受到攻击，执行步骤六；否则，将该节点视为可疑节点，执行步骤五。

进一步，所述步骤五蚁群优化算法是通过模拟蚁群觅食过程，利用代理之间的信息交流与相互协作找到从蚁穴到食物源的最短路径，个体之间通过信息素进行信息传递，代理偏向于选择信息素浓度大的路径移动；在时刻t，代理k从节点i转移到节点j的概率为：

其中，表示蚂蚁k从代理i转移到代理j的概率；τ_ij表示在t时刻在ij连线上的信息素浓度；η_ij是一个启发式因子，表示代理从节点i转移到节点j的期望程度，取决于节点i，j之间距离的倒数；α和β分别表示路径上信息量和启发因子的重要程度；∑为求和符号；j∈Λ表示蚂蚁k下一步允许移动的代理位置。当代理k访问了所有其他代理后，路径上的信息素浓度更新如下：

τ_ij(t+1)＝ρ·τ_ij(t)+Δτ_ij,ρ∈(0,1)；

其中，ρ为常数系数，表示残留信息的保留部分；表示代理k在访问过程中留在路径ij上的信息量。

本发明的另一目的在于提供一种应用所述认知无线网络中基于代理的入侵检测方法的认知无线网络。

本发明的优点及积极效果为：可以通过选举簇头部署代理，利用代理对无线环境及其邻居节点进行检测，以及蚁群优化算法与其他代理实现协同，检测认知无线网络中的内部攻击和外部攻击。本发明利用基于代理的入侵检测系统对分布式认知无线网络中的攻击进行检测，由于次级用户计算能力较弱，单个代理上不能存储所有已知攻击的检测方法，无法对用户提供全面的保护。本发明在检测过程中利用蚁群优化算法，将检测规则分别放置在不同代理上，通过多个代理之间的协同对网络内部出现的攻击的全面检测。

附图说明

图1是本发明实施例提供的认知无线网络中基于代理的入侵检测方法流程图。

图2是本发明实施例提供的认知无线网络中基于代理的入侵检测方法实现流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的认知无线网络中基于代理的入侵检测方法包括以下步骤：

S101：通过代理对无线环境进行检测，获得频谱中信号的信息；

S102：读取邻居节点的审计数据，与代理中存储的检测规则相匹配，判断是否有攻击发生；单个代理能力不足时，与其他代理进行协同，实现对网络外部和内部出现攻击的检测。

下面结合附图对本发明的应用原理作进一步的描述。

本发明的应用场景为分布式认知无线网络，网络中次级用户处于同一地理位置中，采用分布式组网方式，无基站，次用户采用最大连接度算法选举簇头，在簇头上部署代理，通过代理对网络中的攻击进行检测。

如图2所示，本发明实施例提供的认知无线网络中基于代理的入侵检测方法具体包括以下步骤：

步骤1，选取节点放置代理。

使用最大连接度算法，每个节点广播其邻居节点列表，选取具有最多直接邻居节点的节点放置代理，代理及其通信范围内的所有节点构成一个簇，代理节点为簇头。每个代理只具备检测规则库中的一种检测规则；部署的代理具有认知模块、检测攻击模块、通信模块、存储模块、响应模块；检测采用误用检测；检测规则库是针对无线信道和终端设备中存在的攻击的检测方法，典型的信道攻击有模仿主用户攻击，典型的终端设备攻击有频谱感知数据篡改攻击。

步骤2，判断信道能量是否大于阈值。

代理使用天线检测无线信道，获得该无线信道上信号的能量，若信号能量小于阈值10dB，判定没有攻击，检测结束；否则，利用TDOA算法，通过比较信号到达各个代理的时间差，作出以代理为焦点，距离差为长轴的双曲线，双曲线的交点为信号源的位置，执行步骤4。

步骤3，检测内部节点：

代理读取簇内节点的审计数据，包括TCP重传时间t、可靠性指标r、频段切换时间间隔f，信号强度s，得到特征向量V＝(t,r,f,s)。

步骤4，攻击检测。

判断计算出的位置信息是否与代理存储的主发射机位置相差小于10m，若大于10m，执行步骤6；主发射机能量和位置信息是公开的，通过网络获取存储在代理中。

检查信号能量是否与代理存储的主发射机信号能量误差在2dB之内，若是，判断为主用户；否则，执行步骤6；

检查代理自身检测规则是否存在节点的特征向量V，若存在，则节点受到攻击，执行步骤(6)；否则，将该节点视为可疑节点，执行步骤5。

步骤5，协作检测。

将可疑节点特征向量V发送给所有代理，在发送过程中，利用蚁群优化算法，通过模拟蚁群觅食过程，利用代理之间的信息交流与相互协作找到从蚁穴到食物源的最短路径，个体之间通过信息素进行信息传递，代理偏向于选择信息素浓度大的路径移动。在时刻t，代理k从节点i转移到节点j的概率为：

其中，表示蚂蚁k从代理i转移到代理j的概率；τ_ij表示在t时刻在ij连线上的信息素浓度；η_ij是一个启发式因子，表示代理从节点i转移到节点j的期望程度，取决于节点i，j之间距离的倒数；α和β分别表示路径上信息量和启发因子的重要程度；∑为求和符号；j∈Λ表示蚂蚁k下一步允许移动的代理位置。当代理k访问了所有其他代理后，路径上的信息素浓度更新如下：

τ_ij(t+1)＝ρ·τ_ij(t)+Δτ_ij,ρ∈(0,1)；

其中，ρ为常数系数，表示残留信息的保留部分；表示代理k在访问过程中留在路径ij上的信息量。利用该算法寻找存在该特征向量的规则库的最短路径代理，若存在这样的代理，执行步骤6；否则，该节点不是攻击者。

步骤6，发现入侵后响应。

发现入侵的代理向邻居代理广播该攻击。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种认知无线网络中基于代理的入侵检测方法，其特征在于，所述认知无线网络中基于代理的入侵检测方法通过代理对无线环境进行检测，获得频谱中信号的信息，读取邻居节点的审计数据，与代理中存储的检测规则相匹配，判断是否有攻击发生；单个代理能力不足时，与其他代理进行协同，实现对网络外部和内部出现攻击的检测。

2.如权利要求1所述的认知无线网络中基于代理的入侵检测方法，其特征在于，所述认知无线网络中基于代理的入侵检测方法包括以下步骤：

步骤一，选取节点放置代理，使用最大连接度算法，选取具有最多直接邻居节点的节点放置代理，代理及其通信范围内的所有节点构成一个簇，代理节点为簇头；每个代理只具备检测规则库中的一种检测规则；

步骤二，判断信道能量是否大于阈值，代理使用天线检测无线信道，获得该无线信道上信号的能量，若信号能量小于阈值10dB，判定没有攻击，检测结束；否则，利用TDOA算法估计信号源位置，执行步骤四；

步骤三，检测内部节点，代理读取簇内节点的审计数据，包括TCP重传时间t、可靠性指标r、频段切换时间间隔f，信号强度s，获得特征向量V＝(t,r,f,s)；

步骤四，攻击检测；

步骤五，协作检测，将可疑节点特征向量V发送给所有代理，在发送过程中，利用蚁群优化算法，寻找存在该特征向量的规则库的最短路径代理，若存在这样的代理，执行步骤六；否则，该节点不是攻击者；

步骤六，发现入侵的代理向邻居代理广播该攻击。

3.如权利要求2所述的认知无线网络中基于代理的入侵检测方法，其特征在于，所述步骤一中最大连接度算法是每个节点广播其邻居节点列表，具有最多邻居的节点作为簇首，覆盖范围内的节点为簇内节点；部署的代理具有认知模块、检测攻击模块、通信模块、存储模块、响应模块；检测采用误用检测。

4.如权利要求2所述的认知无线网络中基于代理的入侵检测方法，其特征在于，所述步骤一中检测规则库是针对无线信道和终端设备中存在的攻击的检测方法，典型的信道攻击有模仿主用户攻击，典型的终端设备攻击有频谱感知数据篡改攻击。

5.如权利要求2所述的认知无线网络中基于代理的入侵检测方法，其特征在于，所述步骤二中TDOA算法通过比较信号到达各个代理的时间差，作出以代理为焦点，距离差为长轴的双曲线，双曲线的交点就是信号源的位置。

6.如权利要求2所述的认知无线网络中基于代理的入侵检测方法，其特征在于，所述步骤四包括：

a)判断计算出的位置信息是否与代理存储的主发射机位置相差小于10m，若是，执行b)；否则，执行步骤六；

b)检查信号能量是否与代理存储的主发射机信号能量误差在2dB之内，若是，判断为主用户；否则，执行步骤六；

c)检查代理自身检测规则是否存在节点的特征向量V，若存在，则节点受到攻击，执行步骤六；否则，将该节点视为可疑节点，执行步骤五。

7.如权利要求2所述的认知无线网络中基于代理的入侵检测方法，其特征在于，所述步骤五蚁群优化算法是通过模拟蚁群觅食过程，利用代理之间的信息交流与相互协作找到从蚁穴到食物源的最短路径，个体之间通过信息素进行信息传递，代理偏向于选择信息素浓度大的路径移动；在时刻t，代理k从节点i转移到节点j的概率为：

<mrow> <msubsup> <mi>P</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> <mi>k</mi> </msubsup> <mo>=</mo> <mfrac> <mrow> <msubsup> <mi>&amp;tau;</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> <mi>&amp;alpha;</mi> </msubsup> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>&amp;CenterDot;</mo> <msubsup> <mi>&amp;eta;</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> <mi>&amp;beta;</mi> </msubsup> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> </mrow> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>&amp;Element;</mo> <mi>&amp;Lambda;</mi> </mrow> </munder> <msubsup> <mi>&amp;tau;</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> <mi>&amp;alpha;</mi> </msubsup> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>&amp;CenterDot;</mo> <msubsup> <mi>&amp;eta;</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> <mi>&amp;beta;</mi> </msubsup> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> </mrow> </mfrac> </mrow>

其中，表示蚂蚁k从代理i转移到代理j的概率；τ_ij表示在t时刻在ij连线上的信息素浓度；η_ij是一个启发式因子，表示代理从节点i转移到节点j的期望程度，取决于节点i，j之间距离的倒数；α和β分别表示路径上信息量和启发因子的重要程度；∑为求和符号；j∈Λ表示蚂蚁k下一步允许移动的代理位置；当代理k访问了所有其他代理后，路径上的信息素浓度更新如下：

τ_ij(t+1)＝ρ·τ_ij(t)+Δτ_ij,ρ∈(0,1)

<mrow> <msub> <mi>&amp;Delta;&amp;tau;</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>&amp;Delta;&amp;tau;</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> <mi>k</mi> </msubsup> </mrow>

其中，ρ为常数系数，表示残留信息的保留部分；表示代理k在访问过程中留在路径ij上的信息量。

8.一种应用权利要求1～7任意一项所述认知无线网络中基于代理的入侵检测方法的认知无线网络。