CN114827211B - 一种物联网节点数据驱动的异常监控区域检测方法 - Google Patents

Abstract

本发明公开了一种物联网节点数据驱动的异常监控区域检测方法，包括：提取物联网节点的上报状态数据的平均值、变化值、与关键点的差异值、与平均点的差异值、信誉值、可信度等特征数据；根据物联网节点的特征数据，计算每一个物联网节点的第一距离相关邻居节点，采用高效无参数的层次分簇方法实现物联网节点的分簇；根据分簇结果，计算每一个簇的评价分，从而判断该簇中物联网节点所在区域是否为异常监测区域。本发明时间复杂度较低，可快速确定存在异常状态的簇和簇中物联网节点所在的监测区域，提高异常监测区域检测的速度，可第一时间分析和降低该异常监测区域内物联网节点数据对整个物联网系统的影响，提高物联网系统运行的鲁棒性。

Description

一种物联网节点数据驱动的异常监控区域检测方法

技术领域

本发明涉及物联网节点安全技术领域，具体涉及一种物联网节点数据驱动的异常监控区域检测方法。

背景技术

随着物联网技术的成熟和基础设施的日益完善，物联网具有愈发重要的理论意义和社会经济价值，其各个应用领域已成为全球发展的战略方向和必然趋势。我国的物联网产业具有很大的发展空间，市场潜力巨大。

目前，虽然我国物联网产业飞速发展，但是很多企业侧重于物联网的快速应用、市场占有和其产生的经济效益，较少投入力量考虑物联网节点的安全问题，大量的物联网节点缺乏安全防护措施；因此物联网节点间共享的信息很容易被窃听、干扰和篡改，面临通信安全威胁、硬件安全威胁、数据安全威胁等安全威胁，导致安全事件频发和用户生命财产受损，因此物联网节点的安全是物联网的核心技术之一。

在物联网节点的安全中，如何根据物联网节点的数据，检测存在的异常情况是其需要研究的关键问题之一。有些学者侧重于研究单个物联网节点本身的异常检测方法，如Haojie等人针对基于5G技术的车载网络的潜在安全威胁问题，设计了4类实验场景并提出了一种车载网络异常行为的轻量级入侵检测方法；Joosang Y等人针对攻击者可通过拦截和篡改电子传感器的数据而远程控制汽车的问题，提出了一种基于代码的智能车辆轻量级完整性检测认证方案，此方案计算效率较高且不需要额外通信。但是，上述方法主要考虑单个物联网节点的各自数据，没有考虑利用全网物联网数据进行异常检测。同时，部分学者采用人工智能、深度学习等方法检测异常物联网节点，如Loukas G等人选择采用深度学习检测异常节点的入侵，即将采集到的时间序列数作为输入，然后结合多层感知器和递归神经网络结构，实现检测任务；刘湘雯等人针对虚假交通警报信息的检测问题，提出一种基于弱分类器集成的虚假交通信息检测方法，该方法扩充交通警报信息的有效特征，并设计分割规则，将信息的特征集划分为多个特征子集，使用对应的弱分类器分别进行识别。虽然上述方法在异常检测中应用神经网络，取得较好的效果；但是主要实时检测单一物联网节点，没能考虑全网数据和实现监测区域的异常检测。

发明内容

针对现有技术中存在的上述问题，本发明提供一种物联网节点数据驱动的异常监控区域检测方法，其根据全网物联网节点的上报状态数据，提取物联网节点的特征数据，并实现节点分簇和簇评价，从而快速确定存在异常状态的簇和簇中物联网节点所在的异常监测区域，提高异常区域检测的速度，降低异常数据对物联网系统的影响。

本发明公开了一种物联网节点数据驱动的异常监控区域检测方法，包括：

采集物联网节点的上报状态数据；

计算每个物联网节点上报状态数据的特征数据；其中，所述特征数据包括：上报状态数据的平均值、变化值、与关键点的差异值、与平均点的差异值、信誉值和可信度；

基于每个物联网节点的特征数据，构成所有物联网节点的数据集；

计算数据集中距离最近的两个物联网节点的邻居连接矩阵；

设定分簇个数

基于邻居连接矩阵A和图连通原则，将物联网节点分成个簇，获得分簇方案F_t；

判断分簇方案F_t中是否存在2个以上的簇；

若存在，则依次对分簇方案F_t中的每个簇进行重新分簇，并将新分成的簇添加到新分簇方案中，并继续判断当前分簇方案F_t与新分簇方案/>是否一致；

若分簇方案F_t中不存在2个以上的簇或者当前分簇方案F_t与新分簇方案一致，则判断当前分簇方案F_t的簇数量/>是否大于设定的簇数量/>

若大于，则令当前分簇方案F_t为基于上报状态数据的物联网节点分簇方案F；

计算物联网节点分簇方案F中第b个簇的评价分score_b；

判断第b个簇的评价分score_b是否低于阈值θ；

若低于阈值，则认定该簇中物联网节点所在的监测区域存在异常；否则，认定为该簇中物联网节点所在的监测区域不存在异常；

完成分簇方案F中所有簇的判断后，输出所有存在异常的监测区域。

作为本发明的进一步改进，所述物联网节点的上报状态数据包括当前位置信息、速度、工作电流和工作电压。

作为本发明的进一步改进，所述特征数据的计算，包括：

1)计算整体监测区域内物联网节点上报状态数据的平均值S_center；

2)计算物联网节点上报状态数据的变化值Δs₁：

式中，S_t表示物联网节点在t时刻的上报状态数据，S_t-1表示物联网节点在t-1时刻的上报状态数据；

3)计算物联网节点上报状态数据与关键点的差异值Δs₂：

式中，S_key表示关键点的状态平均值；

4)计算物联网节点上报状态数据与平均点的差异值Δs₃：

5)计算物联网节点上报状态数据的信誉值γ：

式中，Λ表示物联网节点上传所有虚假状态数据的次数，K表示物联网节点上传所有状态数据的次数；

6)计算物联网节点单次启动到结束时的上传自身感知数据的可信度β：

式中，μ表示物联网节点在单次运行过程中上传的正确感知数据，M表示物联网节点单次运行所上传的全部感知数据。

作为本发明的进一步改进，所有物联网节点的数据集D为：

D＝{d₁,d₁,...,d_i,...,d_N}

式中，d_i表示物联网节点i的特征数据，N表示物联网节点的数量。

作为本发明的进一步改进，所述计算数据集中距离最近的两个物联网节点的邻居连接矩阵，包括：

计算每个物联网节点特征数据与剩余所有物联网节点特征数据的距离：

T_ij＝|d_i-d_j|

式中，T_ij表示物联网节点i的特征数据d_i与物联网节点j的特征数据d_j的距离，||表示距离计算符号；

将每一个物联网节点距离最短的物联网节点作为该物联网节点的第一邻居节点；

计算每个物联网节点与对应第一邻居节点的邻居连接矩阵A：

式中，a_ij表示邻居连接矩阵A中物联网节点i与物联网节点j的连接关系符号，表示物联网节点i的第一个邻居物联网节点。

作为本发明的进一步改进，所述重新分簇，具体包括：

若F_t中存在2个簇以上，则令b＝1，新分簇方案为空集；

选择F_t中第b个簇C_b，根据邻居连接矩阵A分析簇C_b中所有物联网节点之间的距离，从簇C_b的物联网节点中重新选择每一个物联网节点的第一邻居节点，根据图连通原则，将簇C_b的物联网节点重新分簇；

判断新分成的簇数量是否大于2；

若新分成的簇数量大于2，则将新分成的簇添加到新分簇方案中；否则，将簇C_b添加到新分簇方案/>b＝b+1；

判断b是否小于当前簇数量

若b小于当前簇数量则返回重新分簇；否则，判断当前分簇方案F_t和新分簇方案/>是否一致。

作为本发明的进一步改进，

若当前分簇方案F_t与新分簇方案不一致，则令当前分簇方案F_t为新分簇方案计算和更新当前分簇方案F_t的簇数量/>并返回步骤“判断分簇方案F_t中是否存在2个以上的簇”中。

作为本发明的进一步改进，

若当前分簇方案F_t的簇数量不大于设定的簇数量/>则选择物联网节点数量最多的簇C_m，重新计算簇C_m中所有物联网节点的邻居连接矩阵A1：/>

根据图连通原则和邻居连接矩阵A1，将簇C_m的物联网节点重新分簇，并更新分簇方案F_t和其簇数量并返回步骤“判断当前分簇方案F_t的簇数量/>是否大于设定的簇数量/>”中。

作为本发明的进一步改进，分簇方案F中第b个簇的评价分score_b计算公式为：

式中，γ_i表示第b个簇内第i个物联网节点的信誉值，β_i表示第b个簇内第i个物联网节点的数据可信度，Δs_1,i表示第b个簇内第i个物联网节点在t与t-1时刻下状态数据的变化值，Δs_2,i表示第b个簇内第i个物联网节点在t时刻下状态数据与关键点的差异值，Δs_3,i表示第b个簇内第i个物联网节点在t时刻下状态数据与平均点的差异值，SN表示第b个簇的物联网节点数量，表示信誉值的权重参数，/>表示数据可信度的权重参数，/>表示状态数据变化值的权重参数，/>表示状态数据与关键点差异值的权重参数，/>表示状态数据与平均点差异值的权重参数。

作为本发明的进一步改进，还包括：

基于存在异常的监测区域，及时提醒系统管理者对该簇内物联网节点进行检查。

与现有技术相比，本发明的有益效果为：

本发明时间复杂度较低，可快速确定存在异常状态的簇和簇中物联网节点所在的监测区域，提高异常监测区域检测的速度，可第一时间分析和降低该异常监测区域内物联网节点数据对整个物联网系统的影响，提高物联网系统运行的鲁棒性。

附图说明

图1为本发明一种实施例公开的物联网节点数据驱动的异常监控区域检测方法的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面结合附图对本发明做进一步的详细描述：

如图1所示，本发明提供一种物联网节点数据驱动的异常监控区域检测方法，包括：

步骤1、网络启动后，采集物联网节点的当前位置信息、速度、工作电流、工作电压等上报状态数据；

步骤2、计算每个物联网节点上报状态数据的特征数据；其中，特征数据包括：上报状态数据的平均值、变化值、与关键点的差异值、与平均点的差异值、信誉值和可信度；

具体的计算方法为：

1)计算整体监测区域内物联网节点上报状态数据的平均值S_center；

2)计算物联网节点上报状态数据的变化值Δs₁：

式中，S_t表示物联网节点在t时刻的上报状态数据，S_t-1表示物联网节点在t-1时刻的上报状态数据；

3)计算物联网节点上报状态数据与关键点的差异值Δs₂：

式中，S_key表示关键点的状态平均值；

4)计算物联网节点上报状态数据与平均点的差异值Δs₃：

5)根据物联网节点上传的历史状态数据，计算物联网节点上报状态数据的信誉值γ：

式中，Λ表示物联网节点上传所有虚假状态数据的次数，K表示物联网节点上传所有状态数据的次数；

6)考虑部分攻击会专门针对高信誉的物联网节点，计算物联网节点单次启动到结束时的上传自身感知数据的可信度β：

式中，μ表示物联网节点在单次运行过程中上传的正确感知数据，M表示物联网节点单次运行所上传的全部感知数据。

步骤3、获得每一个物联网节点在当天t时刻上报状态数据的特征数据，构成所有物联网节点的数据集D：

D＝{d₁,d₁,...,d_i,...,d_N}

式中，d_i表示物联网节点i的特征数据，N表示物联网节点的数量。

步骤4、计算数据集中距离最近的两个物联网节点的邻居连接矩阵；

具体包括：

1)计算每个物联网节点特征数据与剩余所有物联网节点特征数据的距离：

T_ij＝|d_i-d_j|

式中，T_ij表示物联网节点i的特征数据d_i与物联网节点j的特征数据d_j的距离，||表示距离计算符号；

2)将每一个物联网节点距离最短的物联网节点作为该物联网节点的第一邻居节点；

3)计算每个物联网节点与对应第一邻居节点的邻居连接矩阵A：

式中，a_ij表示邻居连接矩阵A中物联网节点i与物联网节点j的连接关系符号，表示物联网节点i的第一个邻居物联网节点。

步骤5、设定分簇个数

步骤6、基于邻居连接矩阵A和图连通原则，将物联网节点分成个簇，获得分簇方案F_t；

步骤7、判断分簇方案F_t中是否存在2个以上的簇；若存在，则跳至步骤8；否则，跳至步骤11；

步骤8、令b＝1，新分簇方案为空集；选择F_t中第b个簇C_b，根据邻居连接矩阵A分析簇C_b中所有物联网节点之间的距离，从簇C_b的物联网节点中重新选择每一个物联网节点的第一邻居节点，根据图连通原则，将簇C_b的物联网节点重新分簇；

步骤9、判断新分成的簇数量是否大于2；若新分成的簇数量大于2，则将新分成的簇添加到新分簇方案中；否则，将簇C_b添加到新分簇方案/>b＝b+1；

步骤10、判断b是否小于当前簇数量若b小于当前簇数量/>则返回重新分簇；否则，判断当前分簇方案F_t和新分簇方案/>是否一致；若F_t与/>一致，则获得当前分簇方案F_t和其簇数量/>跳到步骤11；若F_t与/>不一致，则令当前分簇方案F_t为新分簇方案/>计算和更新当前分簇方案F_t的簇数量/>并返回步骤7；

步骤11、判断当前分簇方案F_t的簇数量是否大于设定的簇数量/>若大于，则跳至步骤12；

否则，选择物联网节点数量最多的簇C_m，重新计算簇C_m中所有物联网节点的邻居连接矩阵A1：

即，在邻居连接矩阵A1的每一行中，只保留距离最近的两个物联网节点的连接关系符号为1，其他都为零；根据图连通原则和邻居连接矩阵A1，将簇C_m的物联网节点重新分簇，并更新分簇方案F_t和其簇数量重新跳到步骤11；

步骤12、令当前分簇方案F_t为基于上报状态数据的物联网节点分簇方案F，令b＝1，并计算物联网节点分簇方案F中第b个簇的评价分score_b；

式中，γ_i表示第b个簇内第i个物联网节点的信誉值，β_i表示第b个簇内第i个物联网节点的数据可信度，Δs_1,i表示第b个簇内第i个物联网节点在t与t-1时刻下状态数据的变化值，Δs_2,i表示第b个簇内第i个物联网节点在t时刻下状态数据与关键点的差异值，Δs_3,i表示第b个簇内第i个物联网节点在t时刻下状态数据与平均点的差异值，SN表示第b个簇的物联网节点数量，表示信誉值的权重参数，/>表示数据可信度的权重参数，/>表示状态数据变化值的权重参数，/>表示状态数据与关键点差异值的权重参数，/>表示状态数据与平均点差异值的权重参数。

步骤13、判断第b个簇的评价分score_b是否低于阈值θ；

若低于阈值，则认定该簇中物联网节点所在的监测区域存在异常；

否则，认定为该簇中物联网节点所在的监测区域不存在异常；

步骤14、b＝b+1，如果b小于或等于簇数量则跳到步骤13，否则，输出存在异常的监测区域，及时提醒系统管理者对该簇内物联网节点进行检查，实现异常监控区域检测的目的。

本发明的优点为：

本发明提取物联网节点的上报状态数据的平均值、变化值、与关键点的差异值、与平均点的差异值、信誉值、可信度等特征数据，为物联网节点的分簇提供了有效特征数据，提高分簇效果；同时，采用高效无参数的层次分簇方法实现物联网节点的分簇，具有分簇效果好、计算开销低、易于扩展等优点，适用于大规模物联网节点的分簇；

基于此，本发明时间复杂度较低，可快速确定存在异常状态的簇和簇中物联网节点所在的监测区域，提高异常监测区域检测的速度，可第一时间分析和降低该异常监测区域内物联网节点数据对整个物联网系统的影响，提高物联网系统运行的鲁棒性。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种物联网节点数据驱动的异常监控区域检测方法，其特征在于，包括：

采集物联网节点的上报状态数据；

计算每个物联网节点上报状态数据的特征数据；其中，所述特征数据包括：上报状态数据的平均值、变化值、与关键点的差异值、与平均点的差异值、信誉值和可信度；

基于每个物联网节点的特征数据，构成所有物联网节点的数据集；

计算数据集中距离最近的两个物联网节点的邻居连接矩阵；

设定分簇个数

基于邻居连接矩阵A和图连通原则，将物联网节点分成个簇，获得分簇方案F_t；

判断分簇方案F_t中是否存在2个以上的簇；

若存在，则依次对分簇方案F_t中的每个簇进行重新分簇，并将新分成的簇添加到新分簇方案中，并继续判断当前分簇方案F_t与新分簇方案/>是否一致；

若当前分簇方案F_t与新分簇方案不一致，则令当前分簇方案F_t为新分簇方案/>计算和更新当前分簇方案F_t的簇数量/>并返回步骤“判断分簇方案F_t中是否存在2个以上的簇”中；

若分簇方案F_t中不存在2个以上的簇或者当前分簇方案F_t与新分簇方案一致，则判断当前分簇方案F_t的簇数量/>是否大于设定的簇数量/>

若大于，则令当前分簇方案F_t为基于上报状态数据的物联网节点分簇方案F；

若当前分簇方案F_t的簇数量不大于设定的簇数量/>则选择物联网节点数量最多的簇C_m，重新计算簇C_m中所有物联网节点的邻居连接矩阵A1：

根据图连通原则和邻居连接矩阵A1，将簇C_m的物联网节点重新分簇，并更新分簇方案F_t和其簇数量并返回步骤“判断当前分簇方案F_t的簇数量/>是否大于设定的簇数量/>”中；

计算物联网节点分簇方案F中第b个簇的评价分score_b；

判断第b个簇的评价分score_b是否低于阈值θ；

若低于阈值，则认定该簇中物联网节点所在的监测区域存在异常；否则，认定为该簇中物联网节点所在的监测区域不存在异常；

完成分簇方案F中所有簇的判断后，输出所有存在异常的监测区域。

2.如权利要求1所述的异常监控区域检测方法，其特征在于，所述物联网节点的上报状态数据包括当前位置信息、速度、工作电流和工作电压。

3.如权利要求1所述的异常监控区域检测方法，其特征在于，所述特征数据的计算，包括：

1)计算整体监测区域内物联网节点上报状态数据的平均值S_center；

2)计算物联网节点上报状态数据的变化值Δs₁：

式中，S_t表示物联网节点在t时刻的上报状态数据，S_t-1表示物联网节点在t-1时刻的上报状态数据；

3)计算物联网节点上报状态数据与关键点的差异值Δs₂：

式中，S_key表示关键点的状态平均值；

4)计算物联网节点上报状态数据与平均点的差异值Δs₃：

5)计算物联网节点上报状态数据的信誉值γ：

式中，Λ表示物联网节点上传所有虚假状态数据的次数，K表示物联网节点上传所有状态数据的次数；

6)计算物联网节点单次启动到结束时的上传自身感知数据的可信度β：

式中，μ表示物联网节点在单次运行过程中上传的正确感知数据，M表示物联网节点单次运行所上传的全部感知数据。

4.如权利要求1所述的异常监控区域检测方法，其特征在于，所有物联网节点的数据集D为：

D＝{d₁,d₁,...,d_i,...,d_N}

式中，d_i表示物联网节点i的特征数据，N表示物联网节点的数量。

5.如权利要求1所述的异常监控区域检测方法，其特征在于，所述计算数据集中距离最近的两个物联网节点的邻居连接矩阵，包括：

计算每个物联网节点特征数据与剩余所有物联网节点特征数据的距离：

T_ij＝|d_i-d_j|

式中，T_ij表示物联网节点i的特征数据d_i与物联网节点j的特征数据d_j的距离，||表示距离计算符号；

将每一个物联网节点距离最短的物联网节点作为该物联网节点的第一邻居节点；

计算每个物联网节点与对应第一邻居节点的邻居连接矩阵A：

式中，a_ij表示邻居连接矩阵A中物联网节点i与物联网节点j的连接关系符号，表示物联网节点i的第一个邻居物联网节点。

6.如权利要求1所述的异常监控区域检测方法，其特征在于，所述重新分簇，具体包括：

若F_t中存在2个簇以上，则令b＝1，新分簇方案为空集；

选择F_t中第b个簇C_b，根据邻居连接矩阵A分析簇C_b中所有物联网节点之间的距离，从簇C_b的物联网节点中重新选择每一个物联网节点的第一邻居节点，根据图连通原则，将簇C_b的物联网节点重新分簇；

判断新分成的簇数量是否大于2；

若新分成的簇数量大于2，则将新分成的簇添加到新分簇方案中；否则，将簇C_b添加到新分簇方案/>b＝b+1；

判断b是否小于当前簇数量

若b小于当前簇数量则返回重新分簇；否则，判断当前分簇方案F_t和新分簇方案/>是否一致。

7.如权利要求1所述的异常监控区域检测方法，其特征在于，分簇方案F中第b个簇的评价分score_b计算公式为：

式中，γ_i表示第b个簇内第i个物联网节点的信誉值，β_i表示第b个簇内第i个物联网节点的数据可信度，Δs_1,i表示第b个簇内第i个物联网节点在t与t-1时刻下状态数据的变化值，Δs_2,i表示第b个簇内第i个物联网节点在t时刻下状态数据与关键点的差异值，Δs_3,i表示第b个簇内第i个物联网节点在t时刻下状态数据与平均点的差异值，SN表示第b个簇的物联网节点数量，表示信誉值的权重参数，/>表示数据可信度的权重参数，/>表示状态数据变化值的权重参数，/>表示状态数据与关键点差异值的权重参数，/>表示状态数据与平均点差异值的权重参数。

8.权利要求1所述的异常监控区域检测方法，其特征在于，还包括：

基于存在异常的监测区域，及时提醒系统管理者对该簇内物联网节点进行检查。