CN109257749A

CN109257749A - 面向动态拓扑的无线传感器网络自适应分层入侵检测方法

Info

Publication number: CN109257749A
Application number: CN201811033201.6A
Authority: CN
Inventors: 何明; 陈秋丽; 黄倩; 柳强; 牛彦杰; 刘光云; 王勇; 杨壹; 余沛毅
Original assignee: Army Engineering University of PLA
Current assignee: Army Engineering University of PLA
Priority date: 2018-09-05
Filing date: 2018-09-05
Publication date: 2019-01-22
Anticipated expiration: 2038-09-05
Also published as: CN109257749B

Abstract

本发明公开一种面向动态拓扑的无线传感器网络自适应分层入侵检测方法，首先建立无线传感器通信网络，当目标节点接入网络时，底层普通节点作为判别节点，执行基于单时空相关性的入侵检测机制，利用数据包特征的时空相关性进行合法性初步鉴别；若判断为疑似合法，则允许缓存的数据和后续数据向上转发，并对数据进行标记；若判断为疑似非法，则将T1时间段内的特征结果发送至汇聚基站，由汇聚基站做最终判断；中心汇聚基站执行基于孤立森林的多时空相关性的中心识别算法，进行综合决策，实现对目标节点合法性的最终判断；并将最终判断反馈给底层判别节点，由判别节点实现对目标节点的接入和隔离。此种方法可实现轻量级能耗下的网络自适应入侵检测。

Description

面向动态拓扑的无线传感器网络自适应分层入侵检测方法

技术领域

本发明属于传感器网络安全技术领域，特别涉及一种面向动态拓扑的网络自适应入侵检测方法。

背景技术

无线传感器网络中部署基站后，其感知数据具有向基站汇聚的特性。无线传感器网络中的节点受外界因素影响，位置被迫发生移动后，可能会脱离网络，随后又需要重新接入网络，使得网络具有拓扑动态演化特性。非法节点也会趁机接入网络，窃取数据，破坏数据来源的真实性与可靠性。同时，无线传感器网络作为多个信息邻域的重要支撑，尤其在军事预警等特殊领域，需要具备防止非法节点入侵、确保监测节点的合法性和监测数据的纯洁性的能力。目前，无线传感器网络中普遍使用节点加密认证和入侵检测系统(IntrusionDetection System,IDS)这两大防御机制来保障网络数据的合法性。然而，在一些分布式同构无线传感器网络中，普通传感器节点计算和存储能力不强、通信带宽不高和能源储备有限，极大地限制了节点之间的可靠认证能力，使得复杂的加密认证算法难以运用。

当前网络入侵方式多种多样，针对不同入侵方式的检测方法也十分丰富。入侵检测系统的设计方法主要包括：基于异常、基于签名、以及混合方法。基于异常的入侵检测方法要求传感器节点间交互模式大致相同，可根据异常的交互行为判断入侵。大多数基于异常的入侵检测系统通过阈值识别入侵活动；也就是说，低于阈值的活动都是正常的，而高于阈值的任何情况都称为入侵。基于异常的IDS的主要优势是能够检测新的及未知的攻击，自适应能力较强，缺点是易误警和漏警，应用环境受限，适用于小型传感网。ICAD提出了一种基于属性特征之间间接相关性的异常检测方法，应用马尔可夫链计算状态转移概率矩阵来检测异常，其优点是可以同时检测不同类型的异常，且检测精度较高，缺点是需要有较复杂特征的数据。Online AD利用无线传感器网络中感知数据之间存在的时空相关性(特别是时间相关性)来提高检测的精度，并基于地理特征来优化检测过程，减小检测消耗的资源。基于签名的入侵检测(也称为基于规则的IDS)方法根据不同安全攻击的预定义规则进行检测，当网络的行为符合某种攻击规则时，将其识别为入侵。优点是对已知攻击检测准确性高，缺点是难以预防新型入侵行为，自适应能力较弱。混合入侵检测方法是将上述两种方法结合起来，部分节点执行异常检测，另一部分节点则执行签名检测。优点是检测质量高，缺点是计算资源过大。

考虑到一些分布式同构无线传感器网络中存在的诸多限制和网络数据报文简单、数据特征较少的特点，单一的异常检测方法和结构很难同时兼顾较低的资源负荷和较高的检测准确率。首先，普通传感器节点的能力限制，决定了不可能在普通节点上运行较为复杂的入侵检测系统；其次，复杂环境的动态变化使得节点的行为模式不固定，在不同的时间段可能表现出不同的行为特征；第三，数据传输过程中数据报文简单、数据特征较少的特点决定了基于规则的入侵检测方法在检测准确率上难以有较好的表现；最后，网络对数据的可靠性要求使得入侵检测系统应尽可能地避免非法数据(虚假数据)在网络中传输和汇聚，以免影响最终基于监测数据的分析决策的可靠性。迫切需要轻量级的自适应入侵检测和隔离系统。

发明内容

本发明的目的，在于提供一种面向动态拓扑的无线传感器网络自适应分层入侵检测方法，其可实现轻量级能耗下的网络自适应入侵检测。

为了达成上述目的，本发明的解决方案是：

一种面向动态拓扑的无线传感器网络自适应分层入侵检测方法，包括如下步骤：

步骤1，建立无线传感器通信网络，包括普通传感器节点和汇聚基站；普通传感器节点负责监测网络，将感知数据传递给汇聚基站；汇聚基站负责信息处理，实现对异常数据的分析；

步骤2，目标节点接入网络时，由底层普通节点作为判别节点，收集T1时间段内的新节点传输数据，执行基于单时空相关性的入侵检测机制，利用数据包特征的时空相关性进行合法性初步鉴别；

步骤3，若判别节点将目标节点判断为疑似合法，则允许缓存的数据和后续数据向上转发，并对数据进行标记；若将目标节点判断为疑似非法，则丢弃缓存数据及后续数据，且在丢弃前对数据特征进行统计，将T1时间段内的特征结果发送至汇聚基站，由汇聚基站做最终判断；

步骤4，中心汇聚基站通过扩大数据流相关性的参考范围，执行基于孤立森林的多时空相关性的中心识别算法，综合底层判别节点传递的信息进行综合决策，实现对目标节点合法性的最终判断；

步骤5，汇聚基站将最终判断反馈给底层判别节点，由判别节点实现对目标节点的接入和隔离。

采用上述方案后，本发明带来的有益效果是：

由于自组织无线传感器网络受环境影响，存在拓扑频繁动态变化的情况，本发明在每个节点上都可运行一个轻量的入侵检测代理，汇聚基站执行综合分析。这种分层的检测方式使得整个网络能够全方位的快速识别异常非法节点，率先隔离疑似异常的节点，降低网络能耗。

本发明在网络能耗、网络生存周期等方面均有较大优化，尤其在拓扑动态演化频繁、网络能量较低、覆盖范围宽广的无线传感器网络中有较大的检测优势。

附图说明

图1是本发明层次化入侵检测示意图；

图2是本发明的原理图。

具体实施方式

以下将结合附图，对本发明的技术方案及有益效果进行详细说明。

如图1(a)所示，面向动态拓扑的无线传感器网络自适应入侵检测需求，在考虑常规的监测任务中，网络感知范围内主要存在位置相对固定的目标事件，相邻节点感知信息具有一定时空相关性的前提下，网络中的节点分布式部署，网络具有汇聚基站。网络中的节点默认为合法节点，均可运行一个入侵检测代理。同时，汇聚基站则部署一个入侵检测中心，可执行综合性的入侵检测，通过分层检测使得恶意目标节点能够被快速有效隔离。

如图1(b)(c)(d)所示，本发明包括以下步骤：

步骤A：普通传感器节点负责监测网络，将感知数据传递给汇聚基站；汇聚基站负责信息处理，实现对异常数据的分析。针对由网络拓扑动态变化引发的目标节点伪装攻击，当有目标节点接入网络中的某个合法节点时，该节点则作为判别节点，进行入侵检测。

步骤B：目标节点接入网络时，由底层普通节点作为判别节点，收集T1时间段内的新节点传输数据，执行基于单时空相关性的入侵检测机制，利用数据包特征的时空相关性进行合法性初步鉴别；

步骤B-1，每个判别节点都运行一个入侵检测代理(IDA)。由判别节点自身感知并发送的数据，IDA需要在数据发送前对数据流的单位时间内发送的报文数(number ofpackets in sent,NPS)和单位时间内发送的字节数(number of bytes in sent,NBS)进行统计，并保留最近T1时间段内的特征值；

步骤B-2，当目标节点向判别节点发送数据时，由判别节点运行IDA缓存自身及目标节点T1时间内数据流特征值。IDA对判别节点自身感知数据的统计值进行计算。

步骤B-3，获得各类特征值的平均值，计算如下：

其中，NPS_j表示T1时间段内第j个单位时间内发送的报文数，NBS_j表示T1时间段内第j个单位时间内发送的字节数；

步骤B-4，获得各类特征值的方差，计算如下：

步骤B-5，根据概率论中的拉依达准则，比较目标节点的特征值和判别节点统计值，从而初步判断目标节点是否合法。

步骤C：若判别节点将目标节点判断为疑似合法，则允许缓存的数据和后续数据向上转发，并对数据进行标记。若将目标节点判断为疑似非法，则丢弃缓存数据及后续数据，且在丢弃前对数据特征进行统计，将T1时间段内的特征结果发送至汇聚基站，由汇聚基站做最终判断；

步骤D：中心汇聚基站通过扩大数据流相关性的参考范围，执行基于孤立森林的多时空相关性的中心识别算法，综合底层判别节点传递的信息进行综合决策，实现对目标节点合法性的最终判断。

步骤D-1，明确用于学习训练的数据集。假设判别节点为L，新接入的待判别节点为M，产生的数据集分别为D_l和D_m，各包含T2个时刻的特征元素。根据时空相关性原则，中心汇聚基站扩大了与待判别节点M进行比较的数据集的范围，定义与判别节点L相关性较大的节点集合ψ(L)为：

ψ(L)＝{K|hop_LK≤H,K≠L}

其中，hop_LK表示节点L与节点K之间的跳数。H为纳入与待判别节点进行对比分析的最高邻居跳数，初始时进行设定，如，初始时设置H＝3，则中心汇聚基站最多选取待判别节点三跳之内的邻居节点与其进行特征对比分析。

步骤D-2，节点集合ψ(L)产生的数据集为：

故最终进行训练的合法数据集为：

步骤D-3，数据集D由||ψ(L)||+1个子集构成，且每个子集表示为：

D_sub＝{<NPS_t,NBS_t>|t＝1,2,...,T₂}

其中，D_sub由T2个时刻特征值组成的数据对构成。由于不同数据子集与待判别节点数据的相关性不同，因此在识别过程不同子集具有的权值不同。

步骤D-4，生成孤立森林用于判定节点合法性。由于合法数据集由多个具有不同权值的子集组成，因此在构造样本空间时采用蒙特卡洛的方法反复选择子集，并与带判别数据集进行合并，用于生成iTree的样本空间X。同时，采用蒙特卡洛方法对每个样本空间进行随机切割，最终得到tr1*tr2颗孤立树，从而形成孤立森林，其中，tr1表示反复选择子集并与待判别数据集合并后生成的树的总数，tr2表示对每个tr1进行随机切割后生成的子树个数，定义Tree_ij表示由第i次随机构成的数据子集样本空间生成的第j颗树，h_ij表示Tree_ij的高度，Tree_i表示由第i次随机构成的样本空间生成的所有树的集合，即：

Tree_i＝{Tree_ij|j＝1,2,...,tr₂}

步骤D-5，对于待判别节点的数据集D_m中的每个元素x＝＜x_NPS,x_NBS＞，h_ij(x_NPS)和h_ij(x_NBS)分别表示Tree_ij中以x_NPS和x_NBS为叶子的节点高度。E(h_i(x))表示元素x在Tree_i中的平均高度，即：

步骤D-6，c_i表示Tree_i的平均高度，即：

其中，h_ij表示Tree_ij的高度；

步骤D-7，异常分数(Anomaly Score)表示：

其中，异常分数越接近1，元素x是异常点的可能性越高；异常分数越接近0.5，元素x是正常数据的可能性越高。定义参数a为元素判别参数，score′(i,x)为元素异常值，且：

步骤D-8，定义节点异常值score′(i)为：

其中参数b为节点判别参数。如果在Tree_i中，待判别数据集D_m中的大部分元素都被判断为异常，则可以认为该节点为非法节点，即score′(i)的值为1。

步骤D-9，对于所有随机构成的样本空间，加权平均之后节点仍为异常则可以判定该节点为非法节点，即：

其中，w_i为产生Tree_i的数据子集的权重。

步骤E：汇聚基站将最终判断反馈给底层判别节点，由判别节点实现对目标节点的接入和隔离。

综合上述，本发明一种面向动态拓扑的无线传感器网络自适应分层入侵检测方法，针对具有汇聚基站的无线传感器网络，首先，设计入侵检测模型；利用分层的思想，确定底层判别节点检测层和中心汇聚基站检测层。其次，提出判别节点检测机制；针对底层普通传感器节点作为判别节点的情况，选取感知数据流的特征，运用邻居节点时空相关性，初步识别接入节点的合法性。最后，设计中心汇聚基站检测机制；提出基于孤立森林的多时空相关性的中心识别算法，扩大数据流相关性的参考范围，综合底层判别节点传递的信息进行综合决策，最终完成入侵检测。本发明能够有效适应无线传感器网络覆盖范围较广、拓扑动态变化、传感器节点能量较低等诸多限制条件，具有较低的资源负荷和较高的检测准确率。

以上实施例仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。

Claims

1.一种面向动态拓扑的无线传感器网络自适应分层入侵检测方法，其特征在于包括如下步骤：

2.如权利要求1所述的面向动态拓扑的无线传感器网络自适应分层入侵检测方法，其特征在于：所述步骤1中，网络中的节点分布式部署，网络中的节点默认为合法节点，均能够运行一个入侵检测代理；当有目标节点接入网络中的某个合法节点时，该节点则作为判别节点，进行入侵检测，同时，汇聚基站则部署一个入侵检测中心，用于执行综合性的入侵检测。

3.如权利要求1所述的面向动态拓扑的无线传感器网络自适应分层入侵检测方法，其特征在于：所述步骤2中，执行基于单时空相关性的入侵检测机制的具体过程是：

步骤21，每个判别节点都运行一个入侵检测代理，由判别节点自身感知并发送的数据，入侵检测代理在数据发送前对数据流的单位时间内发送的报文数和单位时间内发送的字节数进行统计，并保留最近T1时间段内的特征值；

步骤22，当目标节点向判别节点发送数据时，由判别节点运行入侵检测代理缓存自身及目标节点T1时间内数据流特征值，入侵检测代理对判别节点自身感知数据的统计值进行计算；

步骤23，获得各类特征值的平均值；

步骤24，获得各类特征值的方差；

步骤25，根据概率论中的拉依达准则，比较目标节点的特征值和判别节点统计值，从而初步判断目标节点是否合法。

4.如权利要求1所述的面向动态拓扑的无线传感器网络自适应分层入侵检测方法，其特征在于：所述步骤4的具体过程是：

步骤41，假设判别节点为L，新接入的待判别节点为M，产生的数据集分别为D_l和D_m，各包含T2个时刻的特征元素，定义与判别节点L具有相关性的节点集合ψ(L)为：

ψ(L)＝{K|hop_LK≤H,K≠L}

其中，hop_LK表示节点L与节点K之间的跳数；H为纳入与待判别节点进行对比分析的最高邻居跳数，初始时进行设定；

步骤42，节点集合ψ(L)产生的数据集为：

故最终进行训练的合法数据集为：

步骤43，数据集D由||ψ(L)||+1个子集构成，且每个子集表示为：

D_sub＝{<NPS_t,NBS_t>|t＝1,2,...,T₂}

其中，D_sub由T2个时刻特征值组成的数据对构成；

步骤44，生成孤立森林用于判定节点合法性。

5.如权利要求4所述的面向动态拓扑的无线传感器网络自适应分层入侵检测方法，其特征在于：所述步骤44的具体过程是：

步骤A，采用蒙特卡洛的方法反复选择子集，并与待判别数据集进行合并，用于生成iTree的样本空间X，同时，采用蒙特卡洛方法对每个样本空间进行随机切割，最终得到tr1*tr2颗孤立树，从而形成孤立森林，其中，tr1表示反复选择子集并与待判别数据集合并后生成树的总数，tr2表示对每个tr1进行随机切割后生成的子树个数，定义Tree_ij表示由第i次随机构成的数据子集样本空间生成的第j颗树，h_ij表示Tree_ij的高度，Tree_i表示由第i次随机构成的样本空间生成的所有树的集合，即：

Tree_i＝{Tree_ij|j＝1,2,...,tr₂}

步骤B，对于待判别节点的数据集D_m中的每个元素x＝＜x_NPS,x_NBS＞，h_ij(x_NPS)和h_ij(x_NBS)分别表示Tree_ij中以x_NPS和x_NBS为叶子的节点高度，E(h_i(x))表示元素x在Tree_i中的平均高度，即：

步骤C，c_i表示Tree_i的平均高度，即：

其中，h_ij表示Tree_ij的高度；

步骤D，异常分数表示：

其中，异常分数越接近1，元素x是异常点的可能性越高；异常分数越接近0.5，元素x是正常数据的可能性越高；定义参数a为元素判别参数，score′(i,x)为元素异常值，且：

步骤E，定义节点异常值score′(i)为：

其中参数b为节点判别参数；

步骤F，对于所有随机构成的样本空间，加权平均之后节点仍为异常则判定该节点为非法节点，即：

其中，w_i为产生Tree_i的数据子集的权重。