[发明专利]面向动态拓扑的无线传感器网络自适应分层入侵检测方法

权利要求书

1.一种面向动态拓扑的无线传感器网络自适应分层入侵检测方法，其特征在于包括如下步骤：

步骤1，建立无线传感器通信网络，包括普通传感器节点和汇聚基站；普通传感器节点负责监测网络，将感知数据传递给汇聚基站；汇聚基站负责信息处理，实现对异常数据的分析；

步骤2，目标节点接入网络时，由底层普通节点作为判别节点，收集T1时间段内的目标节点传输数据，执行基于单时空相关性的入侵检测机制，利用数据包特征的时空相关性进行合法性初步鉴别；

所述步骤2的具体过程是：

步骤21，每个判别节点都运行一个入侵检测代理，由判别节点自身感知并发送的数据，入侵检测代理在数据发送前对数据流的单位时间内发送的报文数和单位时间内发送的字节数进行统计，并保留最近T1时间段内的特征值；

步骤22，当目标节点向判别节点发送数据时，由判别节点运行入侵检测代理缓存自身及目标节点T1时间内数据流特征值，入侵检测代理对判别节点自身感知数据的统计值进行计算；

步骤23，获得各类特征值的平均值；

步骤24，获得各类特征值的方差；

步骤25，根据概率论中的拉依达准则，比较目标节点的特征值和判别节点统计值，从而初步判断目标节点是否合法；

步骤3，若判别节点将目标节点判断为疑似合法，则允许缓存的数据和后续数据向上转发，并对数据进行标记；若将目标节点判断为疑似非法，则丢弃缓存数据及后续数据，且在丢弃前对数据特征进行统计，将T1时间段内的特征结果发送至汇聚基站，由汇聚基站做最终判断；

步骤4，汇聚基站通过扩大数据流相关性的参考范围，执行基于孤立森林的多时空相关性的中心识别算法，综合判别节点传递的信息进行综合决策，实现对目标节点合法性的最终判断；

所述步骤4的具体过程是：

步骤41，假设判别节点为L，新接入的待判别节点为M，产生的数据集分别为D_l和D_m，各包含T2个时刻的特征元素，定义与判别节点L具有相关性的节点集合ψ(L)为：

ψ(L)＝{K|hop_LK≤H,K≠L}

其中，hop_LK表示节点L与节点K之间的跳数；H为纳入与待判别节点进行对比分析的最高邻居跳数，初始时进行设定；

步骤42，节点集合ψ(L)产生的数据集为：

故最终进行训练的合法数据集为：

步骤43，数据集D由||ψ(L)||+1个子集构成，且每个子集表示为：

D_sub＝{NPS_t,NBS_t|t＝1,2,...,T₂}

其中，D_sub由T2个时刻特征值组成的数据对构成；其中，NPS_t表示T2个时刻中第t个时刻发送报文数的统计数据，NBS_t表示T2个时刻中第t个时刻发送字节数的统计数据；

步骤44，生成孤立森林用于判定节点合法性；

所述步骤44的具体过程是：

步骤A，采用蒙特卡洛的方法反复选择子集，并与待判别数据集进行合并，用于生成iTree的样本空间X，同时，采用蒙特卡洛方法对每个样本空间进行随机切割，最终得到tr1*tr2颗孤立树，从而形成孤立森林，其中，tr1表示反复选择子集并与待判别数据集合并后生成树的总数，tr2表示对每个tr1进行随机切割后生成的子树个数，定义Tree_ij表示由第i次随机构成的数据子集样本空间生成的第j颗树，h_ij表示Tree_ij的高度，Tree_i表示由第i次随机构成的样本空间生成的所有树的集合，即：

Tree_i＝{Tree_ij|j＝1,2,...,tr₂}

步骤B，对于待判别节点的数据集D_m中的每个元素x＝＜x_NPS,x_NBS＞，h_ij(x_NPS)和h_ij(x_NBS)分别表示Tree_ij中以x_NPS和x_NBS为叶子的节点高度，E(h_i(x))表示元素x在Tree_i中的平均高度，即：

步骤C，c_i表示Tree_i的平均高度，即：

其中，h_ij表示Tree_ij的高度；

步骤D，异常分数表示：

其中，异常分数越接近1，元素x是异常点的可能性越高；异常分数越接近0.5，元素x是正常数据的可能性越高；定义参数a为元素判别参数，score′(i,x)为元素异常值，且：

步骤E，定义节点异常值score′(i)为：

其中参数b为节点判别参数；

步骤F，对于所有随机构成的样本空间，加权平均之后节点仍为异常则判定该节点为非法节点，即：

其中，w_i为产生Tree_i的数据子集的权重；

步骤5，汇聚基站将最终判断反馈给判别节点，由判别节点实现对目标节点的接入或隔离。

2.如权利要求1所述的面向动态拓扑的无线传感器网络自适应分层入侵检测方法，其特征在于：所述步骤1中，网络中的节点分布式部署，网络中的节点默认为合法节点，均能够运行一个入侵检测代理；当有目标节点接入网络中的某个合法节点时，该节点则作为判别节点，进行入侵检测，同时，汇聚基站则部署一个入侵检测中心，用于执行综合性的入侵检测。