[发明专利]面向动态拓扑的无线传感器网络自适应分层入侵检测方法

说明书

本发明公开一种面向动态拓扑的无线传感器网络自适应分层入侵检测方法，首先建立无线传感器通信网络，当目标节点接入网络时，底层普通节点作为判别节点，执行基于单时空相关性的入侵检测机制，利用数据包特征的时空相关性进行合法性初步鉴别；若判断为疑似合法，则允许缓存的数据和后续数据向上转发，并对数据进行标记；若判断为疑似非法，则将T1时间段内的特征结果发送至汇聚基站，由汇聚基站做最终判断；中心汇聚基站执行基于孤立森林的多时空相关性的中心识别算法，进行综合决策，实现对目标节点合法性的最终判断；并将最终判断反馈给底层判别节点，由判别节点实现对目标节点的接入和隔离。此种方法可实现轻量级能耗下的网络自适应入侵检测。

技术领域

本发明属于传感器网络安全技术领域，特别涉及一种面向动态拓扑的网络自适应入侵检测方法。

背景技术

无线传感器网络中部署基站后，其感知数据具有向基站汇聚的特性。无线传感器网络中的节点受外界因素影响，位置被迫发生移动后，可能会脱离网络，随后又需要重新接入网络，使得网络具有拓扑动态演化特性。非法节点也会趁机接入网络，窃取数据，破坏数据来源的真实性与可靠性。同时，无线传感器网络作为多个信息邻域的重要支撑，尤其在军事预警等特殊领域，需要具备防止非法节点入侵、确保监测节点的合法性和监测数据的纯洁性的能力。目前，无线传感器网络中普遍使用节点加密认证和入侵检测系统(IntrusionDetection System,IDS)这两大防御机制来保障网络数据的合法性。然而，在一些分布式同构无线传感器网络中，普通传感器节点计算和存储能力不强、通信带宽不高和能源储备有限，极大地限制了节点之间的可靠认证能力，使得复杂的加密认证算法难以运用。

当前网络入侵方式多种多样，针对不同入侵方式的检测方法也十分丰富。入侵检测系统的设计方法主要包括：基于异常、基于签名、以及混合方法。基于异常的入侵检测方法要求传感器节点间交互模式大致相同，可根据异常的交互行为判断入侵。大多数基于异常的入侵检测系统通过阈值识别入侵活动；也就是说，低于阈值的活动都是正常的，而高于阈值的任何情况都称为入侵。基于异常的IDS的主要优势是能够检测新的及未知的攻击，自适应能力较强，缺点是易误警和漏警，应用环境受限，适用于小型传感网。ICAD提出了一种基于属性特征之间间接相关性的异常检测方法，应用马尔可夫链计算状态转移概率矩阵来检测异常，其优点是可以同时检测不同类型的异常，且检测精度较高，缺点是需要有较复杂特征的数据。Online AD利用无线传感器网络中感知数据之间存在的时空相关性(特别是时间相关性)来提高检测的精度，并基于地理特征来优化检测过程，减小检测消耗的资源。基于签名的入侵检测(也称为基于规则的IDS)方法根据不同安全攻击的预定义规则进行检测，当网络的行为符合某种攻击规则时，将其识别为入侵。优点是对已知攻击检测准确性高，缺点是难以预防新型入侵行为，自适应能力较弱。混合入侵检测方法是将上述两种方法结合起来，部分节点执行异常检测，另一部分节点则执行签名检测。优点是检测质量高，缺点是计算资源过大。

考虑到一些分布式同构无线传感器网络中存在的诸多限制和网络数据报文简单、数据特征较少的特点，单一的异常检测方法和结构很难同时兼顾较低的资源负荷和较高的检测准确率。首先，普通传感器节点的能力限制，决定了不可能在普通节点上运行较为复杂的入侵检测系统；其次，复杂环境的动态变化使得节点的行为模式不固定，在不同的时间段可能表现出不同的行为特征；第三，数据传输过程中数据报文简单、数据特征较少的特点决定了基于规则的入侵检测方法在检测准确率上难以有较好的表现；最后，网络对数据的可靠性要求使得入侵检测系统应尽可能地避免非法数据(虚假数据)在网络中传输和汇聚，以免影响最终基于监测数据的分析决策的可靠性。迫切需要轻量级的自适应入侵检测和隔离系统。

发明内容

本发明的目的，在于提供一种面向动态拓扑的无线传感器网络自适应分层入侵检测方法，其可实现轻量级能耗下的网络自适应入侵检测。

为了达成上述目的，本发明的解决方案是：

一种面向动态拓扑的无线传感器网络自适应分层入侵检测方法，包括如下步骤：