CN110662220B - 基于时空相关性和信息熵的无线传感器网络异常检测方法 - Google Patents

基于时空相关性和信息熵的无线传感器网络异常检测方法 Download PDF

Info

Publication number
CN110662220B
CN110662220B CN201911118673.6A CN201911118673A CN110662220B CN 110662220 B CN110662220 B CN 110662220B CN 201911118673 A CN201911118673 A CN 201911118673A CN 110662220 B CN110662220 B CN 110662220B
Authority
CN
China
Prior art keywords
node
value
nodes
coefficient
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911118673.6A
Other languages
English (en)
Other versions
CN110662220A (zh
Inventor
李光辉
许力
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangnan University
Original Assignee
Jiangnan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangnan University filed Critical Jiangnan University
Priority to CN201911118673.6A priority Critical patent/CN110662220B/zh
Publication of CN110662220A publication Critical patent/CN110662220A/zh
Application granted granted Critical
Publication of CN110662220B publication Critical patent/CN110662220B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了基于时空相关性和信息熵的无线传感器网络异常检测方法,属于无线传感网络安全领域。本发明考虑了传感器采集的数据与时间和地理空间上的相关性,利用传感器数据的最大相关性和概率变异系数分析节点状态,使用置信区间实现阈值的自适应更新;最后,通过基于信息熵的线性最小二乘估计法确定异常传感器,并使用信息熵分析数据波动找出最佳预测节点提高估计准确性。本发明方法在伯克利实验室真实数据集上进行实验,实验结果表明,本发明方法降低了误报率和漏报率,检测准确率稳定在96%以上。

Description

基于时空相关性和信息熵的无线传感器网络异常检测方法
技术领域
本发明涉及无线传感网络安全领域,具体是基于时空相关性和信息熵的混合的无线传感器网络异常检测方法。
背景技术
随着无线传感器网络在优化资源和节省能耗方面的研究日趋成熟,无线传感器开始大规模部署。专家对传感器采集到的各种环境数据,如:温度、水位、光照等,进行分析和挖掘,以获取数据中潜在的价值。在一些特定场景中,专家系统的决策依靠对传感器数据的分析,数据的真实性和可靠性成为影响专家系统决策的重要影响因素。因此,专家们的目光被无线传感器网络存在的安全问题吸引。
无线传感器网络安全问题的一种表现形式是异常数据,其产生方式包括:节点设备故障或者能量耗尽、自然灾害、季节的更替等。例如,当化学物质泄露时,环境中的化学元素将会显著增加,某些化学元素会导致设备损坏或故障。暴露在太阳下的传感器的温度、光照时间会明显高于有遮蔽物的传感器。然而,相比较上述产生异常数据的情况,节点遭受入侵造成的危害将显著高于节点故障或能量耗尽造成的危害。例如:入侵者可以干扰数据传输和窃取传感器网络中的数据,入侵者通过操纵传感器只接收数据但不发送数据(黑洞攻击)。除此之外,攻击者通过入侵向系统篡改传感器数据向管理者提供虚假数据。由于使用虚假数据,专家系统或管理者可能会决策错误。可见,虚假的数据会给整个系统带来灾难性的后果。
入侵已经成为无线传感器网络安全的威胁之一,其重要的表现形式有数据异常、包转发异常、能耗异常等。因此,异常检测是确保传感器采集到数据的准确性和可靠性主要方式。数据的异常检测可以定义为:检测违背已经明确定义的正常行为的过程。在异常检测方法中,有基于距离的检测方法,尽管很受欢迎但其性能取决于邻域的大小。而基于密度的检测方法对定义邻域的参数敏感。在这些方法中,邻域范围和参考对象的选择存在一定的困难,而且没有充分考虑时间和地理空与数据的相关性。无线传感器网络处于复杂的环境中,其测量值随着环境、时间等因素的变化而变化,因此,阈值的设定也会影响异常检测方法的性能。
发明内容
[技术问题]
本发明要解决的技术问题是现有的无线传感器网络异常检测方法忽略了传感器节点的时空相关性,导致检测方法难以准确地检测上下文异常检测,导致检测精度下降。
[技术方案]
本发明提供了一种基于时空相关性的和自适应更新阈值的异常检测方法,该方法分析数据与时间和空间的相关性,同时,自适应阈值更新方法取代了使用固定阈值的方法。此外,本发明采用了基于信息熵的线性最小二乘法估计法(IE-LLSE),可以挑选最优的辅助估计传感器节点。具体地,本发明通过分析传感器节点的空间和时间相关性判断当前时刻无线传感器网络状态,并利用信息熵来分析传感器节点历史测量值的波动性,寻找最佳参考节点并估算测量值。
本发明的技术方案,包含以下步骤:
步骤1:搭建无线传感器网络。
步骤2:计算节点测量值最大差异化相关性。
步骤3:计算局部节点的概率变异系数。
步骤4:利用置信区间,自适应地更新检测阈值,进行局部网络的状态判断。
步骤5:利用基于信息熵的线性最小二乘估计方法估计当前节点的数据,找出恶意状态节点。
在本发明的一种实施方式中,所述“计算节点测量值最大差异化相关性”包括以下步骤:
步骤21:利用欧式距离计算某一传感器节点(以下称为“该节点”)与该节点的邻居节点的距离,并寻找出最近的h个邻居节点;
步骤22:利用皮尔逊相关系数计算该节点当前时刻测量值与该节点到簇头距离的相关性;
步骤23:计算该节点的h个最近邻的邻居节点的测量值的相对偏差值,并找出最大相对偏差值,将最大相对偏差值与相关性相乘得到最大差异化相关性。
在本发明的一种实施方式中,所述“计算局部节点的概率变异系数”包含以下步骤:
步骤31:计算该节点历史数据中被检测为异常的次数,计算其异常概率;
步骤32:利用变异系数计算滑动窗口内数据的变异系数和该节点与h个最近邻的节点的空间变异系数;
步骤33:将异常概率与时间和空间上的变异系数相结合得到概率变异系数。
在本发明的一种实施方式中,所述“利用置信区间,自适应地更新检测阈值,进行状态判断”,包含以下步骤:
步骤41:利用当前该节点的h个最近邻的节点的正常历史测量值更新置信区间;
步骤42:根据上述最大差异化相关性和概率变异系数的值与置信区间的对比,判断该节点与h个邻居节点的局部区域状态。此时,可以判定该节点及其h个最近邻的节点所处的局部区域内的传感器节点是否出现了问题,但并不能判断具体是哪一个节点出现了问题。
所述“利用基于信息熵的线性最小二乘估计方法估计当前节点的数据,找出恶意状态节点”,包含以下步骤:
步骤51:利用信息熵计算最近的h个邻居节点的历史数据的差异性,选择最佳的参考节点;
步骤52:线性最小二乘估计方法利用最佳的参考节点估计该节点的测量值;
步骤53:将测量值与估计值进行比较,判断恶意节点。
[有益效果]
本发明在检测无线传感器网络异常的过程中,分析了空间相关性和时间相关性。在空间相关性方面,本发明通过皮尔逊相关系数分析节点的距离和节点的测量值,并利用相对偏差值计算最大差异化相关性,利用h个最近邻的节点的测量值,计算空间变异系数。在时间相关性方面,本发明利用滑动窗口内的测量值计算变异系数,分析节点历史测量值的异常次数计算异常概率,将空间和时间变异系数与异常概率结合得到概率变异系数。本发明利用信息熵分析传感器节点所有数据的波动,选择最佳的参考估计节点。并利用线性最小二乘估计法使用最佳的参考估计节点估计传感器节点的测量值,并与真实测量值进行对比判断节点的最终状态。本发明在伯克利实验室数据集上进行实验,检测准确率保持在96%以上,并有较低的误报率和漏报率。
附图说明
图1分层结构无线传感网络
图2采用8,9,10号节点温度样本中本方案与CTS和S-H-ESD方案的准确率(Accuracy Rate)对比图,其中,A:在温度数据中的准确率;B:在相对湿度数据中的准确率。
图3采用8,9,10号节点温度样本中本方案与CTS和S-H-ESD方案的误报率(FalsePositive Rate)对比图,其中,A:在温度数据中的误报率;B:在相对湿度数据中的误报率。
图4采用8,9,10号节点温度样本中本方案与CTS和S-H-ESD方案的漏报率(FalseNegative Rate)对比图,其中,A:在温度数据中的漏报率;B:在相对湿度数据中的漏报率。
具体实施方式
实施例1
关于二分类问题,可以将真实样例的真实类别与检测出的类别的组合划分为真正例TP(True Positive)、假正例FP(False positive)、真反例TN(True negative)、假反例FN(False negative)。我们可以得到混淆矩阵。
Figure BDA0002274798720000041
准确率ACR(Accuracy Rate)、误报率FPR、漏报率FNR的计算公式如下:
Figure BDA0002274798720000042
Figure BDA0002274798720000043
Figure BDA0002274798720000044
下面结合附图对于本发明进行进一步的解释说明。
步骤1:搭建无线传感器网络
分层结构无线传感网络如图1所示,每个簇内由许多节点(SNs)组成,簇内的节点可以直接或者通过簇内其他节点与簇头进行通信。簇头可以直接或者通过其他簇头将簇内收集到的信息发送给基站。节点在网络连接后,计算节点与簇头的距离和节点与邻域内其他节点的距离。
步骤2:计算节点测量值最大差异化相关性。
步骤21:传感器节点利用欧式距离计算与其邻域内节点的距离,并寻找出距离由近到远的h个邻居节点,即最近的h个邻居节点。
一般情况下,传感器节点采集到的数据连续多次偏离实际特征时,认为该传感器节点遭受入侵或故障。无线传感器网络由n个传感器节点组成,节点i与节点j的距离由
Figure BDA0002274798720000045
表示,其中,
Figure BDA0002274798720000046
分别是节点i的三维坐标。Dich={d1ch,d2ch,…,dnch}表示所有节点到簇头(CH)的距离集合,其中dich表示节点i到簇头的距离。节点i与邻居节点j的距离结果可以表示为dij,Ni={a,b,…h}是节点i的h个最近邻居节点序号的集合,其中a,b,…h表示其邻居节点传感器的序号,满足dia≤dib≤…dih≤di1,…diz,z为节点i的邻居节点个数,h∈[1,z],
Figure BDA0002274798720000047
则,t时刻节点采集到的测量值为
Figure BDA0002274798720000048
其中0<i≤n。
步骤22:利用皮尔逊相关系数计算传感器节点当前时刻测量值与该节点到簇头距离的相关性。
使用皮尔逊相关系数来测量两组变量数据的线性相关性。皮尔逊相关系数的值范围是-1到1,其中1为最相关,-1为负相关,0代表不相关。给定两组数据Xi,i∈Ni和Dich的相关性可以通过皮尔逊相关系数来表示:
Figure BDA0002274798720000051
τt为t时刻两组变量的皮尔逊相关系数,可以用来衡量两组变量间的紧密程度。其中
Figure BDA0002274798720000052
因为,负相关对于检测结果也有贡献,因此采用相关性的绝对值|τt|。
步骤23:计算h个最近邻的测量值的相对偏差值,并找出相对偏差值最大的值,其与相关性的乘积得到最大差异化相关性。
当传感器节点位置固定后,传感器节点距离簇头的距离不再改变,传感器节点采集的数据随着节点距离越近而越相似。距离是固定的,传感器节点采集的数据和传感器节点距离簇头的距离存在一定的相关性,因而,分析传感器节点到簇头的距离与传感器采集到的数据之间的相关性。
相对偏差值可以用来衡量单项测定结果对平均值的偏离程度,i节点在t时刻的相对偏差值表示为:
Figure BDA0002274798720000053
其中,i∈Ni
Figure BDA0002274798720000054
Figure BDA0002274798720000055
是i节点与近邻节点测量值的平均值。当节点采集到的数据
Figure BDA0002274798720000056
偏离邻居节点数据越大,其相对偏差值也越大,反之则会越小,将最近的h个近邻节点最大的相对偏差值称为最大相对偏差值。
Figure BDA0002274798720000061
在异常数据检测过程中,为了凸显数据相关性程度的差异化,在皮尔逊相关系数引入最大相对偏差值,将其定义为最大差异化相关性δt,其公式为下:
Figure BDA0002274798720000062
δt的值由相关性的绝对值|τt|和最大相对偏差值
Figure BDA0002274798720000063
共同决定。
步骤3:计算局部节点的概率变异系数。
步骤31:利用变异系数计算滑动窗口内数据的变异系数和该节点与h个最近邻的节点的空间变异系数。
滑动滑动窗口内的数据的时间变异系数可以表示为:
Figure BDA0002274798720000064
其中,T表示当前滑动窗口内第T个数据。滑动窗口以一个数据为单位,w是滑动窗口的大小,
Figure BDA0002274798720000065
表示在t时刻滑动窗口内的节点i的测量值。变异系数可以比较不同量纲数据的离散程度。一般来说,传感器节点与空间中邻居节点有着相似的外部环境,因此数据存在空间相关性。但是,异常节点与邻居节点的数据存在差异,可以通过变异系数衡量是否存在异常数据。节点i与Ni中(邻居节点)节点数据的空间变异系数可以表示为:
Figure BDA0002274798720000066
其中,Ni是节点i的h个最近邻居节点序号的集合。
步骤32:计算传感器节点历史数据中被检测为异常的次数,计算其异常概率。
然而,两种情况会出现异常数据:1.恶意节点:传感器节点遭受恶意攻击,攻击者篡改数据。2.节点故障:传感器节点出现数据采集错误。针对问题1,计算t时刻的节点i和Ni内所有节点数据的变异系数。针对问题2传感器节点本身出现故障,容易出现安全漏洞,因此遭受多次攻击的可能性更大,而故障的传感器节点只是出现短暂采集异常,通过统计故障节点采集异常的次数,得到故障节点被攻击的概率,如果故障的传感器节点出现多次采集异常,那么该节点也将会被认定为恶意节点。因此,我们引入新的定义概率变异系数PCVT。PCVT是变异系数与变异概率的乘积。
Pi t是t时刻i节点被攻击的概率,
Figure BDA0002274798720000071
分别表示异常和正常的次数。若检测为异常节点则
Figure BDA0002274798720000072
否则
Figure BDA0002274798720000073
因此Pi t可以表示为:
Figure BDA0002274798720000074
步骤33:将异常概率与时间和空间上的变异系数想结合得到概率变异系数。
通过引入异常概率作为变异系数的权重值,将时空变异系数CVW和CVT更新为概率变异系数PCVW和PCVT。
PCVWi t=CVWi t×Pi t (8)
PCVTi t=CVTi t×Pi t (9)
步骤4:利用置信区间,自适应地更新检测阈值,进行状态判断。
步骤41:利用当前h个最近邻的节点的测量值更新置信区间。
阈值选定是影响检测精确度的重要因素。固定的阈值无法适应复杂条件下环境的变化。因此,一个可以自适应调整的阈值机制是很有必要的。样本的中位数有利于抵抗异常值的干扰,越靠近中位数的样本其越可以抗干扰。
在4.1中,利用节点正常的历史数据自动调整置信区间,用中位数代替均值自适应更新置信区间。计算置信区间的样本为
Figure BDA0002274798720000075
Figure BDA0002274798720000076
由于总体样本方差未知,因此将正常节点最新的υ个时间内样本方差来计算置信区间,将计算置信区间样本表示为:
Figure BDA0002274798720000077
Figure BDA0002274798720000078
表示节点i中第1个正常的数据,q表示历史正常样本数量,med为样本的中位数,当q为奇数时,med=sp[q/2]+1,当q为偶数时,med=(spq/2+sp(q/2)+1)/2。由于总体的方差σ2未知,因此利用样本方差S2来代替总体方差,由此我们可以得到:
Figure BDA0002274798720000081
易证U是关于μ的轴量,由于样本数据
Figure BDA0002274798720000082
为差值的绝对值,很明显只需要单侧检测,对于给定显著性水平α可以得到:
Figure BDA0002274798720000083
可以进一步推导:
Figure BDA0002274798720000084
最终可以得到置信度为1-α的置信区间:
Figure BDA0002274798720000085
由上式中置信区间为总体样本中位数的一个估计区间,将其变形得到总体样本的估计区间。
Figure BDA0002274798720000086
其中置信区间χ估计的精度受到置信水平α和滑动窗口大小w影响,因此α和w分别设置为0.005和10,α选择以及滑动窗口w的大小将在实验结果处分析说明。
步骤42:根据测量值与置信区间的对比,判断节点状态。
一个节点的状态分为3类:(1)正常状态,(2)危险状态,(3)恶意状态。正常状态定义为:节点数据无异常。危险状态定义:节点数据可能为异常。恶意状态:节点数据完全异常。节点的状态由以下几个方面共同决定。
(1)如果
Figure BDA0002274798720000091
表明节点i最大相关性系数高于阈值,节点i处于异常状态s1=1。否则,节点i处于正常状态,s1=0其中
Figure BDA0002274798720000092
(2)如果
Figure BDA0002274798720000093
表示节点i滑动窗口内数据的变异系数高于阈值,节点i是异常状态s2=1。否则节点为正常状态s2=0,其中
Figure BDA0002274798720000094
(3)如果
Figure BDA0002274798720000095
节点i与邻居节点所采集的数据的空间变异系数高于空间变异系数阈值,节点为异常状态s3=1。否则,节点为正常状态s3=0,其中
Figure BDA0002274798720000096
Figure BDA0002274798720000097
分别对应节点在t时刻的最大差异化相关性的阈值、加权空间变异系数的阈值、滑动窗口变异系数的阈值。我们将三个状态条件形式化定义为status={s1,s2,s3},s∈{0,1},如果节点在t时刻状态条件满足1≤s1+s2+s3≤2,则将该节点和其最近h个邻居节点的局部网络定义为危险状态。如果状态条件满足s1+s2+s3>2,则将该节点和其最近h个邻居节点的局部网络定义为恶意状态。如果s1+s2+s3<1,则将该节点和其最近h个邻居节点的局部网络定义为恶意状态。
步骤5:利用基于信息熵的线性最小二乘估计方法估计当前节点的数据,找出恶意状态节点。
步骤51:利用信息熵计算传感器历史数据的差异性,选择最佳的参考节点。
选取的参考节点会对预测结果产生巨大的影响,恶意节点的数据波动较大,LLSE利用波动较大的数据,其估计值的结果偏差较大,因此我们提出了一种基于信息熵的改进线性最小二乘估计法(IE-LLSE),利用信息熵,选择最佳的参考节点来计算估计值。计算t时刻i节点最近邻居节点的数据比重,在实际问题中,将不同量纲的数据进行标准化,将不同的数据统一压缩至区间[0,1]上,其方程式为:
Figure BDA0002274798720000101
Figure BDA0002274798720000102
为t时刻,i节点的最近邻节点j测量数据占历史数据的比重,
Figure BDA0002274798720000103
为测量值,j=1,2,…,h,b=1,2,…,t-1。计算t时刻,节点j的熵值:
Figure BDA0002274798720000104
式中:
Figure BDA0002274798720000105
为t时刻节点j的熵值,Q=1/ln t,利用熵值可以计算出近邻节点的差异性系数:
Figure BDA0002274798720000106
作为LLSE估计参考节点的数据波动剧烈,H值下降,导致估计值精确度下降;相反,随着数据波动平缓,H值上升,估计值变得更精确。
步骤52:线性最小二乘估计方法利用最佳的参考节点估计节点的测量值。
线性最小二乘估计法(LLSE)是一种有效的评估方法,LLSE方程式:
Figure BDA0002274798720000107
利用节点j的测量值估算出节点i的值
Figure BDA0002274798720000108
mi和mj为一个大小为ω滑动窗口内数据的平均值。ηij表示在ω滑动窗口内节点i和j的采集数据的协方差,ηj为节点j的方差。λi为节点i的实际测量值,
步骤53:将测量值与估计值进行比较,判断恶意节点。
如果
Figure BDA0002274798720000109
则表明i节点为恶意节点,θ是检测为恶意节点的阈值。θ的取值可以根据实际情况下对精度的要求来确定。本实施例中θ的取值为0.25。
实验结果分析:
基于时空相关性和信息熵的无线传感器网络异常检测方法将在真实的数据集Berkeley datasets中检验本发明算法的性能。英特尔实验室数据集收集自2004年2月28日至4月5日期间部署在英特尔伯克利研究实验室的54个Mica2Dot传感器。每个节点每31秒收集一次相对湿度、温度、光照和电压值。
本实施例实验数据为8、9、10号节点温度、相对湿度,抽取在同一个时间段内的6000个数据。数据集中存在缺失数据的情况,利用均值法补全缺失数据。本发明提出的算法在伯克利实验室两组数据集上与CTS(H.Zhang,and Z.Li,“Anomaly Detection Approachfor Urban Sensing Based on Credibility and Time-Series Analysis OptimizationModel,”IEEE Access,vol.7,pp.49102-49110,2019.)方法和S-H-ESD(J.Hochenbaum,O.S.Vallis,and A.Kejariwal,“Automatic Anomaly Detection in the Cloud ViaStatistical Learning,”2017.)方法在准确率、误报率和漏报率进行对比,结果如图2~4所示。
置信水平α和滑动滑动窗口w的性能表现如下表1~3所示,当α和w分别为0.005和10时,性能最佳。
表1在不同大小滑动窗口w下性能表现
Figure BDA0002274798720000111
表2在8,9,10号节点温度样本中不同α值算法性能表现
Figure BDA0002274798720000112
表3在8,9,10号节点相对湿度样本中不同α值算法性能表现
Figure BDA0002274798720000113
虽然本发明已以较佳实施例公开如上,但其并非用以限定本发明,任何熟悉此技术的人,在不脱离本发明的精神和范围内,都可做各种的改动与修饰,因此本发明的保护范围应该以权利要求书所界定的为准。

Claims (2)

1.一种无线传感器网络异常检测方法,其特征在于,通过皮尔逊相关系数分析传感器节点的距离和节点的测量值,利用相对偏差值计算最大差异化相关性,利用近邻节点的测量值计算空间变异系数,利用滑动窗口内的测量值计算变异系数、分析节点历史测量值的异常次数计算异常概率,将空间和时间变异系数与异常概率结合得到概率变异系数;并利用信息熵分析传感器节点测量值的波动,选择最佳的参考估计节点,利用线性最小二乘估计法使用最佳的参考估计节点估计传感器节点的测量值,并与真实测量值进行对比判断传感器节点的最终状态;包含以下步骤:
步骤1:搭建无线传感器网络,
步骤2:计算传感器节点测量值最大差异化相关性,
步骤3:计算局部节点的概率变异系数,
步骤4:利用置信区间,自适应地更新检测阈值,进行局部网络状态判断;
步骤5:利用基于信息熵的线性最小二乘估计方法估计当前节点的测量值,找出恶意状态节点;
所述计算传感器节点测量值最大差异化相关性包括以下步骤:
步骤21:利用欧式距离计算某一传感器节点与该节点的邻居节点的距离,并寻找出最近的h个邻居节点,称为近邻节点;
步骤22:利用皮尔逊相关系数计算该节点当前时刻测量值与该节点到簇头距离的相关性;
步骤23:计算该节点的h个近邻节点的测量值的相对偏差值,并找出最大相对偏差值,将最大相对偏差值与相关性的乘积得到最大差异化相关性;
所述计算局部节点的概率变异系数包含以下步骤:
步骤31:统计该节点历史测量值中被检测为异常的次数,计算其异常概率;
步骤32:计算滑动窗口内节点的时间变异系数与h个近邻节点的空间变异系数;
步骤33:将异常概率与时间和空间上的变异系数相结合得到概率变异系数;
滑动窗口内的节点的时间变异系数表示为:
Figure FDA0002916070590000011
其中,T表示当前滑动窗口内第T个数据;滑动窗口以一个数据为单位,w是滑动窗口的大小,
Figure FDA0002916070590000012
表示在t时刻滑动窗口内的节点i的测量值;节点i与Ni中节点测量值的空间变异系数表示为:
Figure FDA0002916070590000021
其中,Ni是节点i的h个近邻节点序号的集合;
通过引入异常概率作为变异系数的权重值,将时空变异系数CVW和CVT更新为概率变异系数PCVW和PCVT;
Figure FDA0002916070590000022
Figure FDA0002916070590000023
Pi t是t时刻i节点被攻击的概率;
所述利用置信区间,自适应地更新检测阈值,进行局部网络状态判断,包含以下步骤:
步骤41:利用当前该节点的h个近邻节点的正常历史测量值更新置信区间;包括:
计算置信区间的样本为
Figure FDA0002916070590000024
Figure FDA0002916070590000025
δt为t时刻最大差异化相关性;
将正常节点最新的υ个时刻内样本方差来计算置信区间,将计算置信区间样本表示为:
Figure FDA0002916070590000026
Figure FDA0002916070590000027
表示节点i中第1个正常的测量值,q表示历史正常样本数量,med为样本的中位数,当q为奇数时,med=sp[q/2]+1,当q为偶数时,med=(spq/2+sp(q/2)+1)/2,利用样本方差S2来代替总体方差,得到:
Figure FDA0002916070590000028
U是关于χ的轴量,样本数据
Figure FDA0002916070590000029
为差值的绝对值,对于给定显著性水平α得到:
Figure FDA00029160705900000210
进一步推导:
Figure FDA0002916070590000031
最终得到置信度为1-α的置信区间:
Figure FDA0002916070590000032
由上式中置信区间为总体样本中位数的一个估计区间,将其变形得到总体样本的估计区间;
Figure FDA0002916070590000033
其中置信区间χ估计的精度受到置信水平α和滑动窗口大小w影响,α和w分别设置为0.005和10;
步骤42:根据上述最大差异化相关性和概率变异系数的值与置信区间的对比,判断该节点与h个近邻节点的局部网络状态;包括:
节点的状态分为3类:(1)正常状态,(2)危险状态,(3)恶意状态;
正常状态定义为:节点测量值无异常;
危险状态定义:节点测量值可能为异常;
恶意状态:节点测量值完全异常;
(1)如果
Figure FDA0002916070590000034
表明节点i最大相关性系数高于阈值,节点i处于异常状态s1=1;
否则,节点i处于正常状态,s1=0其中
Figure FDA0002916070590000035
(2)如果
Figure FDA0002916070590000036
表示节点i滑动窗口内数据的变异系数高于阈值,节点i是异常状态s2=1;否则节点为正常状态s2=0,其中
Figure FDA0002916070590000037
(3)如果
Figure FDA0002916070590000038
节点i与近邻节点测量值的空间变异系数高于空间变异系数阈值,节点为异常状态s3=1;否则,节点为正常状态s3=0,其中
Figure FDA0002916070590000039
Figure FDA00029160705900000310
分别对应节点在t时刻的最大差异化相关性的阈值、加权空间变异系数的阈值、滑动窗口变异系数的阈值;
节点的三个状态定义为status={s1,s2,s3},s∈{0,1},如果节点在t时刻状态条件满足1≤s1+s2+s3≤2,则将该节点和其h个近邻节点的局部网络定义为危险状态;如果状态条件满足s1+s2+s3>2,则将该节点和其h个近邻节点的局部网络定义为恶意状态;如果s1+s2+s3<1,则将该节点和其h个近邻节点的局部网络定义为正常状态;
所述利用基于信息熵的线性最小二乘估计方法估计当前节点的测量值,找出恶意状态节点,包含以下步骤:
步骤51:利用信息熵计算h个近邻节点的历史测量值的差异性,选择最佳的参考节点;
将不同量纲的测量值进行标准化,将不同的测量值统一压缩至区间[0,1]上,其方程式为:
Figure FDA0002916070590000041
Figure FDA0002916070590000042
为t时刻,i节点的近邻节点j测量值占历史测量值的比重,
Figure FDA0002916070590000043
为测量值,j=1,2,…,h,b=1,2,…,t-1;计算t时刻,节点j的熵值:
Figure FDA0002916070590000044
式中:
Figure FDA0002916070590000045
为t时刻节点j的熵值,Q=1/lnt,利用熵值计算出近邻节点的差异性系数:
Figure FDA0002916070590000046
作为LLSE估计参考节点的测量值波动剧烈,H值下降,导致估计值精确度下降;相反,随着测量值波动平缓,H值上升,估计值变得更精确;
步骤52:线性最小二乘估计方法利用最佳的参考节点估计该节点的测量值;
线性最小二乘估计法LLSE方程式:
Figure FDA0002916070590000047
利用节点j的测量值估算出节点i的估计值
Figure FDA0002916070590000048
mi和mj为一个大小为ω滑动窗口内数据的平均值;ηij表示在ω滑动窗口内节点i和j的测量值的协方差,ηj为节点j的方差;λi为节点i的实际测量值;
步骤53:将测量值与估计值进行比较,判断恶意节点;如果节点i的估计值
Figure FDA0002916070590000051
与测量值λi满足
Figure FDA0002916070590000052
则表明节点i为恶意节点,θ是检测为恶意节点的阈值。
2.根据权利要求1所述的一种无线传感器网络异常检测方法,其特征在于,θ的取值是0.25。
CN201911118673.6A 2019-11-15 2019-11-15 基于时空相关性和信息熵的无线传感器网络异常检测方法 Active CN110662220B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911118673.6A CN110662220B (zh) 2019-11-15 2019-11-15 基于时空相关性和信息熵的无线传感器网络异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911118673.6A CN110662220B (zh) 2019-11-15 2019-11-15 基于时空相关性和信息熵的无线传感器网络异常检测方法

Publications (2)

Publication Number Publication Date
CN110662220A CN110662220A (zh) 2020-01-07
CN110662220B true CN110662220B (zh) 2021-04-30

Family

ID=69043706

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911118673.6A Active CN110662220B (zh) 2019-11-15 2019-11-15 基于时空相关性和信息熵的无线传感器网络异常检测方法

Country Status (1)

Country Link
CN (1) CN110662220B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115372881B (zh) * 2022-10-25 2023-02-10 武汉格蓝若智能技术股份有限公司 一种电压互感器计量误差评估方法及系统
CN116955091B (zh) * 2023-09-20 2024-04-30 深圳市互盟科技股份有限公司 基于机器学习的数据中心故障检测系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014163358A1 (en) * 2013-04-04 2014-10-09 Samsung Electronics Co., Ltd. Context recognition and social profiling using mobile devices

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI361610B (en) * 2007-12-03 2012-04-01 Ind Tech Res Inst Key establishing and event processing method and system for dual-mode wireless sensor network
CN107205244A (zh) * 2016-03-18 2017-09-26 哈尔滨工业大学(威海) 一种基于时空相关性的传感器网络异常数据检测的设计方法
EP3446916A4 (en) * 2016-05-20 2019-05-01 Mitsubishi Electric Corporation EQUIPMENT MONITORING DEVICE, WIRELESS SENSOR AND COLLECTION STATION
CN107423435B (zh) * 2017-08-04 2020-05-12 电子科技大学 多维时空数据的多层次异常检测方法
CN107948172B (zh) * 2017-11-30 2021-05-25 恒安嘉新(北京)科技股份公司 一种基于人工智能行为分析的车联网入侵攻击检测方法和系统
CN108696865B (zh) * 2018-04-24 2021-02-02 西南科技大学 一种无线传感网络节点安全认证方法
CN109474461B (zh) * 2018-10-31 2022-02-22 上海无线通信研究中心 基于信誉泊松分布的无线传感器网络信任管理方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014163358A1 (en) * 2013-04-04 2014-10-09 Samsung Electronics Co., Ltd. Context recognition and social profiling using mobile devices

Also Published As

Publication number Publication date
CN110662220A (zh) 2020-01-07

Similar Documents

Publication Publication Date Title
CN108601026B (zh) 基于随机抽样一致性的感知数据错误化攻击检测方法
CN111783845B (zh) 一种基于局部线性嵌入和极限学习机的隐匿虚假数据注入攻击检测方法
CN109816031B (zh) 一种基于数据不均衡度量的变压器状态评估聚类分析方法
US7555399B1 (en) Method and system for detecting changes in sensor sample streams
CN110662220B (zh) 基于时空相关性和信息熵的无线传感器网络异常检测方法
CN116366376B (zh) 一种apt攻击溯源图分析方法
CN110830946A (zh) 混合型在线数据异常检测方法
Nguyen et al. Applying time series analysis and neighbourhood voting in a decentralised approach for fault detection and classification in WSNs
Kiluk Diagnostic information system dynamics in the evaluation of machine learning algorithms for the supervision of energy efficiency of district heating-supplied buildings
Ashrafuzzaman et al. Elliptic envelope based detection of stealthy false data injection attacks in smart grid control systems
CN111460026B (zh) 基于直觉模糊时间序列图挖掘的网络流量异常检测方法
Karthik et al. Data trust model for event detection in wireless sensor networks using data correlation techniques
CN109951420A (zh) 一种基于熵和动态线性关系的多级流量异常检测方法
Lin et al. A static state estimation approach including bad data detection and identification in power systems
Hegazy Tag Eldien, AS; Tantawy, MM; Fouda, MM; TagElDien, HA Real-time locational detection of stealthy false data injection attack in smart grid: Using multivariate-based multi-label classification approach
CN112437440B (zh) 无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法
Dai et al. Distance-based outliers method for detecting disease outbreaks using social media
Zhang et al. Online community detection by spectral cusum
Wang et al. Abnormal event detection in wireless sensor networks based on multiattribute correlation
CN110266527B (zh) 基于空间相关性的传感器节点故障分类报警方法及装置
CN110472188A (zh) 一种面向传感数据的异常模式检测方法
CN116193425A (zh) 一种基于感知分组的时间序列异常数据在线检测方法
Ghaddar et al. Identifying mass-based local anomalies using binary space partitioning
Chen et al. Anomaly detection using spatio-temporal correlation and information entropy in wireless sensor networks
Lu et al. An Ensemble Learning-Based Cyber-Attacks Detection Method of Cyber-Physical Power Systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant