[发明专利]基于sniffer的无线传感网的入侵检测方法

说明书

技术领域

本发明涉及一种基于sniffer的无线传感网的入侵检测方法，属于无线传感网的入侵检测方法的技术领域。

背景技术

无线传感器网络(wireless sensor network，WSN)是由部署在监测区域内大量的廉价微型传感器节点组成，各个节点通过无线通信方式形成一个多跳自组织网络。由于没有网络基础设施，无线传感器网络除受到传统网络面临的威胁外，还将面临虚假路由信息、选择性转发、Sinkhole、Wormholes、HELLO Flood攻击和确认欺骗等众多安全因素的威胁。然而，由于无线传感器网络的特点，防火墙技术无法用来实现对其进行保护，入侵检测技术就成为解决无线传感器网络安全问题的重要途径。入侵检测系统(IDS)是对攻击在适当的时间内进行检测并做出响应的工具，它能对网络威胁进行实时的监控，如果结合适当的响应机制，可以及时阻止入侵，防患于未然。

无线传感网络中，每个节点的通信和计算资源都十分有限，其有效信号范围也很小，这就导致每个节点在面对攻击的时候非常脆弱，容易被攻击者控制，从而在网络内部发起对其他节点的攻击。

为了应对无线传感网络这种特殊的网络属性，要在WSN中建立起有效的入侵检测系统。传统的方法是充分利用传感网各节点工作时的分工协作，即由多个节点联合协同完成，各个节点分别完成不同的功能。这些节点分别实现数据收集，入侵检测，结果响应，入侵跟踪和节点选择功能。在这种框架下面，有一些典型的方法：

如刘宁等人根据无线传感器网络能量有限这个特点，设计了针对无线传感器网络的入侵检测系统模型。该模型把检测功能让多节点联合协作完成，缓解了节点能量消耗严重的压力，一定程度解决了入侵检测的能量消耗问题。

如曾夏玲等人基于无线传感器网络的分簇结构，运用Agent技术设计了入侵检测系统，即在网络中的每个节点部署IDS代理，其中包括本地检测Agent和全局检测Agent两个不同代理，分别完成不同的检测任务；并利用蓝牙散射网形成算法TPSF构建传感器网络的簇节点层，完成簇的划分，进而对不同的Agent进行任务分配，通过限制节点的角色，一定程度减轻了节点的复杂度。

如王汝传等人(专利申请号200710019976)提出将检测任务分散到传感器节点、簇头节点和基站节点，一定程度避免了依靠复杂算法增强网络安全而导致的对网络和节点资源过多的消耗。

现有技术，IDS功能由多个节点联合协同完成。由于传感器节点的通信、计算资源、能量都十分有限，在实际使用中，原有的解决方案仍存在着诸多瓶颈。

发明内容

本发明目的是针对现有技术存在的缺陷提供一种基于sniffer的无线传感网的入侵检测方法。

本发明为实现上述目的，采用如下技术方案：

本发明基于sniffer的无线传感网的入侵检测方法包括如下步骤：

一：样本训练

1)利用智能学习算法对不同层次的样本数据(节点、sniffer覆盖域、整个网络)进行训练得到不同层次(节点、sniffer覆盖域、整个网络)的预测模型；

二：实时检测

2)在无线传感器网络中加入若干个sniffer侦听节点，所述sniffer侦听节点侦听无线传感器网络内的所有帧信号；

3)sniffer侦听节点将侦听得到的帧信号发送到主机，由主机通过传统的特征检测和上述智能算法训练获得的预测模型进行不同级别(节点、sniffer覆盖域、整个网络)的入侵检测判断与报警。

步骤1)中采用半监督学习中的Co-training算法对每个节点的样本数据进行训练。

步骤1)中采用极小极大概率机算法(MPM)对每个sniffer覆盖的样本数据进行训练。

步骤1)中还采用支持向量机中的核向量机算法(OCVM)对所有sniffer监听的数据进行训练。

步骤4)中采用sniffer侦听无线传感器网络内的所有帧信号。

步骤3)采用上述智能算法训练获得的预测模型进行不同级别包括节点、sniffer覆盖域、整个网络。

本发明基于sniffer的无线传感网的入侵检测方法，相对于现有的技术本方案具有如下的优点：

1)采用sniffer侦听节点，该节点可以侦听覆盖范围内的所有帧信号，而不占用被检测无线传感网节点的任何资源；

2)由sniffer侦听的信息发送到主机，主机负责进行入侵检测判断与报警，由于主机不存在通信、计算资源、能量等限制，故可以使用较为复杂的算法实现异常入侵检测，从不同层次提高入侵检测的精度。