[发明专利]无线传感器网络中分布式入侵检测方法

权利要求书

1、一种无线传感器网络中分布式入侵检测方法，其特征在于，在传感器节点中使用频繁项集检测方法对离散型网络日志数据进行异常度检测，使用联合概率分布计算的方法对连续型网络日志数据进行异常度检测，传感器节点如果判定整个数据为异常入侵数据，则把该嫌疑数据发往邻居传感器节点进行验证，如果邻居节点也认为该嫌疑数据为入侵数据，该传感器节点则标记该数据为入侵数据，然后开始检测下一个数据。

2、根据权利要求1所述的无线传感器网络中分布式入侵检测方法，其特征是，包含两个阶段：局部入侵检测阶段和全局入侵检测阶段，

所谓局部入侵检测，是指设定一个宽度为10的窗口，并计算这个窗口内的混合类型数据的平均异常程度，如果这个窗口内的混合类型数据的异常度超过平均异常度设定范围，就将其标记为嫌疑入侵数据；

所谓全局入侵检测是指每个节点只对本地数据进行局部入侵检测，并把自己所检测到的嫌疑入侵数据发送到邻近节点验证，邻居节点再将验证结果反馈回该节点，如果其他节点都认可这个数据为入侵数据，这个数据就是全局入侵数据。

其中：局部入侵检测阶段分为离散型数据异常检测和连续型数据异常检测；

所谓离散型数据的入侵检测，是利用apiori算法进行的频繁度统计，进而计算数据的异常度是否超过阈值，apiori算法找出所有数据中不小于最小支持度的、长度大于最小长度为项目，设最小长度为2，最小支持度设为1；

所谓连续型数据的入侵检测，是计算当前的数据违背当前的联合概率分布的程度，当违背该分布的程度大于阈值时，则判定该连续型数据为入侵数据；当前的联合概率分布是由协方差矩阵C_ij^d决定的，该协方差矩阵是在线更新的，如果当前检测的数据不被判定为全局入侵数据，则使用该数据中的连续型部分更新该协方差矩阵；

3、根据权利要求2所述的无线传感器网络中分布式入侵检测方法，其特征是，所述离散型数据的异常度，其定义为：

Score1=Σd⊆P(1|d||sup(d)≤s)]]>

其中P为每个待检测数据，d为每个数据中离散型数据的子项，sup(d)为用apiori算法计算出的每个项的支持度，s为最小支持度，|d|为d的长度，即属性的个数。

4、根据权利要求2所述的无线传感器网络中分布式入侵检测方法，其特征是，所述离散和连续混合类型数据的异常度，定义为：

式中C1是根据score₁计算出来的，C2是指是是否超过协方差矩阵所允许最大违背程度，P为每个待检测数据，d为每个数据中离散型数据的子项，|d|为d的长度，即属性的个数。

5、根据权利要求1或2所述的无线传感器网络中分布式入侵检测方法，其特征是，所述局部异常数据累积到k个时，才由别的结点来验证，根据具体网络环境确定K的取值。