CN112437440B

CN112437440B - 无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法

Info

Publication number: CN112437440B
Application number: CN202011056403.XA
Authority: CN
Inventors: 童丽媱; 赖英旭; 刘静
Original assignee: Beijing University of Technology
Current assignee: Beijing University of Technology
Priority date: 2020-09-30
Filing date: 2020-09-30
Publication date: 2024-02-02
Anticipated expiration: 2040-09-30
Also published as: CN112437440A

Abstract

本发明公开了无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法，本发明首先基于时间相关性，利用二阶离差差分滤波获取同类传感器数据异常情况的时间序列。然后，基于空间相关性检测恶意节点，该方案包括两个主要阶段，基于近距离的各属性传感器的D‑S检测和基于远距离的簇内节点间行为序列贴近度检测。最后，基于事件相关性验证恶意节点。本发明利用WSN中共谋FDI攻击的攻击范围有限的缺点，发挥其全面挖掘各节点间相关性的优势，该发明在WSN恶意节点检测方面具有较好的性能。

Description

无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法

技术领域

本发明属于无线传感器网络中的恶意节点检测领域，特别涉及一种基于相关性理论的恶意共谋攻击抵抗的方法及系统。

背景技术

无线传感器网络(Wireless Sensor Network,WSN)综合了微电子技术、嵌入式技术、现代化网络及无线通信等先进技术，因此被广泛应用于环境监测、科学观察、交通监测等各个领域。WSN是由许多价格低廉、体积较小的节点构成，一般可分为感知节点、簇节点以及网关三个部分。感知节点可获取覆盖区域内的环境信息，并通过簇头节点对其进行处理，最后，簇头将处理后的信息通过无线的方式发送网关，在网关处作出响应。通过上述步骤可实现对环境的监测。

由于节点通常被暴露在外界不可控的环境下，并且传感器节点的能量、计算能力、存储能力、通信能力等物理资源都十分有限，因此传感器节点极其容易受到环境因素的干扰和人为恶意的数据破坏。故WSN中针对上述两种情况可将异常节点分为两类，一类是节点自身无法正常工作或由于事件发生引起的异常(例如火灾事件)，这类异常节点被称为故障节点；另一类为恶意节点，与故障节点不同，恶意节点可以任意修改检测数据，故意生成错误报告，影响对环境的监测。节点的恶意攻击包括挑战黑洞攻击、分布式拒绝服务攻击、错误数据注入攻击、黑洞攻击及女巫攻击等等。

目前已经研究的入侵检测系统可对上述攻击表现出较好的检测和防御效果，而对于抵抗具有高度协作性的共谋攻击，入侵检测防御系统并没有体现较好的性能。由于系统整体的性能及决策往往依赖传感器节点采集的数据，错误数据注入攻击(False DataInjection,FDI)可通过注入错误数据的方式，影响最终的决策结果，而FDI与共谋攻击的结合使得攻击行为高度隐蔽，因此增加了恶意节点检测难度。

传感器节点采集的数据具有相关性，可概括为时间、空间以及事件相关性。时间相关性是指同一类型传感器数据的采样值前后表现出一定的连续性，则相邻时刻的数据值相似。空间相关性是指监测区域内物理位置相邻的传感器节点采集的数据存在较高的相似性。空间相关性可分为近距离空间相关性(同一感知节点中的不同属性之间的相关性)以及远距离的空间相关性(同一区域内不同节点之间的相关性)。事件相关性是指事件的发生(如火灾)会导致事件周围节点的数据呈相关性变化。由于上述三种相关性可较好区分节点行为或节点身份，故本发明依据相关性理论解决WSN中共谋FDI攻击问题。

发明内容

为了检测WSN中的恶意节点，本发明提出了基于相关性理论的抵抗共谋攻击方法。采用分布式的方式检测WSN中的恶意节点，如图1所示。分布式检测将检测任务分散到感知节点、簇头和网关三个部分，实现对数据的分级处理。由于分布式检测分发数据并消耗更少的能量，因此本发明利用这种方式建立抵抗共谋FDI攻击模型的方法。传感节点收集环境信息，然后将收集的信息上传到簇头进行相关计算。最后，簇头将计算结果上传到网关，并在网关处做出响应。

为了达到本发明的目的，本发明采用的技术方案为基于相关性理论的抵抗恶意共谋攻击方法，实现该方法的模型由感知节点、簇头及网关三部分组成，通过时间、空间以及事件相关性实现恶意节点的检测。如图2所示，相关性的检测原理可从三个角度概括。WSN中的感知节点负责采集环境信息，步骤21为基于时间相关性原理，由于感知节点采集的环境信息存在时间上的周期性，通过对节点采集的历史数据进行建模，并使用二阶离差差分滤波(Second Order Divided Difference Filtering，DDF-2)算法可在预测模型上构建一种迭代式的状态估计模式，实现对模型的预测状态值的修正以及评判，通过使用测量值和后验估计校正系统演进方向，可有效降低估计误差。步骤22，簇头基于空间相关性理论，利用D-S证据推理将各属性数据的异常情况进行融合，得到节点的异常情况。并通过节点的异常情况，引入贴近度理论，得到节点的关联融合值，实现恶意节点的检测。步骤23，基于事件相关性，综合考虑时间相关性及空间相关性的优势。在火灾中，通过故障节点确定火灾位置以及利用附近的温度场情况观察事件发展趋势，验证WSN中的恶意节点。

本发明利用WSN中共谋FDI攻击的攻击范围有限的缺点，发挥其全面挖掘各节点间相关性的优势，该发明在WSN恶意节点检测方面具有较好的性能。

附图说明

图1是本发明的分布式检测模型。

图2是本发明相关性计算的流程示意图。

图3是本发明检测恶意节点的流程示意图。

图4是本发明实验结果图

具体实施方式

以下将结合附图所示的具体实施方式对本发明进行详细描述。

图3是整体计算流程图，如图3所示，包括：

步骤31，基于时间相关性的节点数据异常情况检测方法。

由于同一传感器节点的数据均存在时间相关性，本发明提出将DDF引入到LFDD中，实现节点数据异常情况的检测。首先建立差分整合移动平均自回归模型(AutoregressiveIntegrated Moving Average Model,ARIMA)，通过DDF-2将ARIMA模型的预测状态值进行修正以及评判，节点利用预测的数据状态和预设门限构建了下一个接收到数据的正常范围，当接收到的数据超出构建的正常范围，节点将数据判定为异常。

建立差分整合移动平均自回归模型，步骤如下：

a.用观测、调查、统计、抽样等方法取得被观测系统时间序列动态数据；

b.判断时间序列是否平稳，若不平稳，则进行d次差分处理(后一刻时间减去前一刻时间)，直到序列平稳；

c.根据处理后的序列数据作相关图，进行相关分析，求自相关系数图和偏自相关系数图；

d.根据得到的相关图以及规则，确定模型的系数p,q。

得到模型ARIMA(p,d,q)，公式为：

φ_p(B)(1-B)^dZ_t＝θ_q(B)a_t

其中，d为差分次数，B为后移算子，a_t为白噪声序列，z_t为观测序列，p,q为模型系数，θ,φ为后移算子。

e.对建好后的模型进行白噪声检测，以确定其可用性

利用得到的模型进行DDF-2的计算，以进行数据预测。依据得出的状态方程以及测量方程，计算t-1时刻的离差矩阵、先验估计及估计误差，然后基于上述结果计算t时刻的估计误差，并与预设门限进行对比，超过门限为异常，否则为正常，得出关于异常和正常的二进制序列，并循环此步骤进行更新。

通过上述方案，可实现对WSN中传感器数据异常情况的检测。

步骤32，基于空间相关性的恶意节点识别方法。

利用上述方案检测结果，通过节点间的空间相关性区分恶意及故障节点。检测可分为两个阶段，即基于近距离多源信息的D-S检测和基于远距离的簇内节点间贴近度检测。在第一个阶段，依据上一部分通过时间化处理后的检测结果，利用Adaboost对每个属性的维度数据进行分类，调整融合时的权重，并根据D-S融合规则检测节点的异常情况；在第二阶段，通过计算簇内节点间的相似度，实现簇内恶意及故障节点的区分。

步骤321，基于Adaboost算法改进D-S证据理论。

本发明提出一种调整权值分配处理冲突证据的方法，解决“Zadeh”悖论问题。该方法在证据融合之前，首先根据样本重心计算权值影响系数，从而根据证据冲突的程度对不同证据的融合权重预先进行调整；然后，将判定为发生冲突的证据作为“难分”证据，利用Adaboost算法将此类证据重新分类。实现对簇内节点异常情况的检测。

对每一个节点，都有样本数据(上一阶段的异常情况序列)，包含Z组数据，每组数据具有多个属性，假设初始情况下各属性权重相同，经过多次迭代后样本的权重将发生变化。将每一个特征值赋予相同的权重，则可得到第p次迭代的数据分向量重心。根据欧氏距离计算法，经过两次临近的第p次和第p+1次迭代后，可得到样本的重心偏移值d_p+1，将样本的重心偏移量d_p+1与设定的欧式距离阈值d比较，可判断是否存在冲突证据。

(1)当d_p+1＞d时，存在冲突证据：

令l为修正系数，则：

距离d增大，则l增大，说明第p次迭代中赋予“难分”数据的权值过大，应根据l的大小调整第p次观测数据的权值。

调整后的权值计算公式为：

其中g(x_i)是一个针对x_i的弱分类器。

调整因子为：

其中

强分类器为：

Adaboost算法必须保证大多数分类器的正确率大于1/2，由此才可确保组合而成的分类器集的最终分类错误率趋于0。因此，当e＝0或者e＞1/2时，停止迭代。

上述方案利用修正系数l来减少冲突证据的权重，这样一些极端的冲突证据的矛盾问题就会被模糊化，也不会影响到Adaboost模型整体判断，减少过拟合，更准确的归类问题。

(2)当d_p+1＜d时，无冲突证据，直接计算各属性的基本概率分配(BasicProbability Assignment,BPA)。

而后将各权重与异常情况进行融合，即可得到多源信息的BPA，即有：

这样，各属性的BPA相比于基于信益益的多属性权重分配算法，可以更好的处理冲突证据，并且从时间与属性双重维度上考虑证据冲突，准确率更高。

对于事件A来说，使用D-S的组合规则融合的，依据D-S判定规则，可得出节点的异常情况。

步骤322，基于贴近度理论改进节点关联融合值算法。

本发明通过设计簇内节点间相似度的计算方法并引入贴近度的概念实现恶意节点的检测，提出依据远距离的空间相关性检测WSN中的恶意节点。

首先设计了簇内节点间相似度的计算方法，所提方法对节点异常情况的发生具有严厉惩罚的特征，可有效降低故障节点对检测带来的影响；

然后，在簇内节点间空间相关性的基础上引入模糊贴近度理论。本发明将最大—最小贴近度引用到节点空间相关性的计算中。通过簇内节点间的关联程度确定节点在融合中所占比重，即若存在恶意节点共谋攻击行为，则恶意节点之间的相似度会因明显偏离而被识别出来，据此赋予该相似度一个较小的权重，从而有效削弱共谋攻击的影响。

由于节点是否恶意取决于簇内其余节点对该节点的评价，即节点j的评价来自簇内其他节点对其关联值的融合。

其中，G_i,j为相关系数，ω_k为权重。

设计了相关系数G_i,j及权重ω_k的计算方法。首先针对相关系数的计算方法，如下所示：

式中r_ij(Δt)表示一段时间内，节点正常数据的个数，u_ij(Δt)表示一段时间内，节点异常数据的个数。

依据一段时间内，节点正常/异常数据的个数，在正常节点数目稳定的情况下，表达式随着异常数目的增加能迅速趋于0，这表示节点的异常情况会使得该节点为恶意节点的可能性迅速增高，并且，当r_ij(Δt)与u_ij(Δt)比例较高时，不会过大影响恶意节点的判断，故可排除节点故障的影响。

本发明为了优化综合判决中节点间的相关系数的权重，引进贴近度理论。在网关使用最大—最小贴近进度理论对同一监测时间段内各评价节点对被评价节点j的相似度进行度量。因此得到的权重应包含节点j与其他节点关联贴近度的全部信息，如下所示：

其中σ_k,l＝min{G_k,j,G_l,j}/max{G_k,j,G_l,j}，ω_j满足

步骤33，基于事件相关性验证恶意节点。

为提高检测方案的准确率，依据节点间的事件相关性，验证恶意节点。

步骤331，确定邻居节点。

在WSN中，若两节点间的欧几里得距离小于节点的感知半径，则两节点互为邻居节点。存在某一节点s_m为s_k的邻居节点，且s_m为正常节点，s_k为故障节点，则可将节点s_k作为火灾区与非火灾区的分界点。多个分界点所构成的区域即为火灾发生的区域。

步骤332，基于温度场验证检测结果。

使用克里金插值法建立温度场，通过温度场信息可确定火场的温度范围。对于s_k∈s_i,i＝{1,2,…,n}，若节点s_k检测出火灾，则节点s_k及其邻居节点的温度应处于火灾的温度范围内，若不符合上述相关性，则判断节点s_k为恶意节点。

通过上述发明方案，基于时间相关性可得到关于节点数据异常情况的时间序列及通过空间相关性实现恶意节点及故障节点的区分，最后，通过事件相关性实现恶意节点的验证。

在验证实验中，对本发明提出的基于相关性检测恶意节点的方案在不同恶意节点比例的情况下分别进行实验，对比其在不同恶意节点检测算法下的检测率及误报率。我们首先定义以下两种评价指标：

检测率：检测出的恶意节点个数占恶意节点总数的百分比。

误报率：包括正确节点被误检为恶意节点的百分比和恶意节点未被检出来的百分比。

漏报率：恶意节点当成正确节点的个数与恶意节点总数的百分比。

为了体现本发明中各部分的改进对实验结果的影响大小，本发明采用改进部分算法的方式，观察检测结果的变化，并与本发明方案在检测率及误报率方面进行对比，对比结果如图4(a,b,c)所示。通过对比结果可以看出预测模型及关联融合值得改进对实验结果影响较大，D-S证据推理的改进相比于其余两个，影响较小。

通过图4(d)对比结果可以看出，三种方案的检测率均随恶意节点比例的增大而呈现出下降趋势，并且改进前的方案下降最快。而本发明方案在恶意节点比例相同的条件下，均优于其他三种方法，相比对改进前的方案，检测率可提升近20％。同时，通过对比可以看出，本发明基于相关性的恶意节点检测方案优于基于模糊信誉值及基于信誉度的检测方案，充分体现了相关性检测恶意节点的优势。

由图4(e,f)可知，恶意节点误报率及漏报率同恶意节点比例成正比。同一恶意节点比例下，改进前的方案由于规则不足，导致误报率及漏报率高于其他三种方案；由于基于模糊信誉值及基于信誉度的检测方案依靠太多的因素，且部分因素为作者假设得到的，所以这两个方案的误报率及漏报率高于本发明方案。

本发明方案充分考虑节点的相关性，其误报率低于其他两种方案，且均小于10％，说明本发明方案具有较好的性能。

应当理解，虽然本说明书根据实施方式加以描述，但是并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为了清楚起见，本领域的技术人员应当将说明书作为一个整体，各个实施方式中的技术方案也可以适当组合，按照本领域技术人员的理解来实施。

上文所列出的一系列详细说明仅仅是针对本发明的可行性实施方式的具体说明，它们并非用于限制本发明的保护范围，凡是未脱离发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。

Claims

1.无线传感器网络WSN中基于相关性理论的恶意共谋攻击抵抗方法，其特征在于，

首先基于同一传感器节点的数据均存在时间相关性，将一阶离差差分滤波算法DDF引入到潜在故障检测与诊断LFDD中，实现节点数据异常情况的检测；首先建立差分整合移动平均自回归模型ARIMA，通过二阶离差差分滤波算法DDF-2将ARIMA模型的预测状态值进行修正以及评判，节点利用预测的数据状态和预设门限构建下一个接收到数据的正常范围，当接收到的数据超出构建的正常范围，节点将数据判定为异常；利用基于时间相关性的节点数据异常情况检测结果，通过节点间的空间相关性区分恶意及故障节点；检测分为两个阶段，即基于近距离多源信息的D-S检测和基于远距离的簇内节点间贴近度检测；在第一个阶段，依据上一部分通过时间化处理后的检测结果，利用自适应增强Adaboost对每个属性的维度数据进行分类，调整融合时的权重，并根据D-S融合规则检测节点的异常情况；在第二阶段，通过计算簇内节点间的相似度，实现簇内恶意及故障节点的区分；确定邻居节点；基于温度场验证恶意节点。

2.如权利要求1所述的无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法，其特征在于，

使用DDF-2算法在预测模型上构建一种迭代式的状态估计模式；节点利用预测的数据状态和预设门限构建下一个接收到数据的正常范围，当接收到的数据超出构建的正常范围，节点将数据判定为异常；在感知节点通过不断的循环更新，构成一个迭代式的基于门限判决的错误数据检测机制，实现对模型的预测状态值的修正以及评判，通过使用测量值和后验估计校正系统演进方向；

基于时间相关性的同类传感器异常数据检测流程如下：

a.用观测、调查、统计、抽样取得被观测系统时间序列动态数据；

b.判断时间序列是否平稳，若不平稳，则进行d次差分处理，直到序列平稳；

d.根据得到的相关图以及规则，确定模型的系数p,q；

得到模型ARIMA(p,d,q)，公式为：

φ_p(B)(1-B)^dZ_t＝θ_q(B)a_t

其中，d为差分次数，B、θ、为后移算子，a_t为白噪声序列，Z_t为观测序列；

e.对建好后的模型进行白噪声检测，以确定其可用性；

利用得到的模型进行DDF-2的计算，以进行数据预测；依据得出的状态方程以及测量方程，计算t-1时刻的离差矩阵、先验估计及估计误差，然后基于上述结果计算t时刻的估计误差，并与预设门限进行对比，超过门限为异常，否则为正常，得出关于异常和正常的二进制序列，并循环此步骤进行更新；具体步骤如下所示：

a)对于t-1时间的后验值以及估计误差/>计算离差矩阵；

b)计算t时间先验估计及其估计误差/>

c)将与观测序列Z_t相减，与预设门限对比，如果超出则返回异常；反之，返回正常；

d)更新循环，实现对WSN中传感器数据异常情况的检测。

3.如权利要求1所述的无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法，其特征在于，

对每一个节点，都有样本数据为X即上一阶段的异常情况序列，包含T组数据，每组数据具有N个属性，N个属性权重分别为ρ_n,n＝1,2,...,N；设初始情况下，每一组数据的权重为经过多次迭代后样本的权重变化/>P为迭代次数；

传感器产生T组行为数据，每组行为数据有N个属性特征；

矩阵X的每一列代表一个属性，每一行代表当前时刻下的各属性的异常情况，故矩阵中的值代表以时间为轴，判断属性数据是否异常，异常为0，正常为1；

其中第i组数据表示为[x_i1,x_i2,…,x_iN]，利用加权平均法，将每个样本的属性权重ρ_n迭代次数下数据权重和样本数据x_in相乘，再除以一个归一化因子，即为样本分向量重心意义为每个属性样本在第p次迭代下一组数据的特征表示；

根据欧氏距离计算法，经过两次临近的第p次和第p+1次迭代后，得到样本的重心偏移值d_p+1。

4.如权利要求1所述的无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法，其特征在于，由于节点是否恶意取决于簇内其余节点对该节点的评价，即节点j的评价来自簇内其他节点对其关联值的融合；

设计相关系数G_i,j及权重ω_k的计算方法；依据一段时间内，节点正常/异常数据的个数，在正常节点数目稳定的情况下，表达式随着异常数目的增加能迅速趋于0，表示节点的异常情况会使得该节点为恶意节点的可能性迅速增高，当r_ij(Δt)与u_ij(Δt)比例较高时，不会过大影响恶意节点的判断，故可排除节点故障的影响；在网关使用最大—最小贴近度理论对同一监测时间段内各评价节点对被评价节点j的相似度进行度量；r_ij表示节点正常数据的个数，u_ij表示节点异常数据的个数，Δt表示一段时间。

5.如权利要求1所述的无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法，其特征在于，在WSN中，若两节点间的欧几里得距离小于节点的感知半径，则两节点互为邻居节点；存在某一节点s_m为s_k的邻居节点，且s_m为正常节点，s_k为故障节点，将节点s_k作为火灾区与非火灾区的分界点；多个分界点所构成的区域即为火灾发生的区域；

(1)根据分界点坐标计算覆盖区域的圆心坐标：

x_l、y_l、M分别表示覆盖区域的横坐标、纵坐标，以及覆盖区域总的圆心坐标数；

(2)计算中心节点与各分界点之间的距离，将距离最大值作为半径；

火灾发生的区域为以(x_c,y_c)为圆心，r为半径的圆形区域。

6.如权利要求5所述的无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法，其特征在于，使用克里金插值法建立温度场，通过温度场信息确定火场的温度范围；对于s_k∈s_i,i＝{1,2,…,n}，s_i指的是WSN中节点数量；若故障节点s_k检测出火灾，则故障节点s_k及其邻居节点的温度处于火灾的温度范围内，若不符合上述相关性，则判断故障节点s_k为恶意节点。