[发明专利]基于分层入侵检测的传感网安全系统

权利要求书

1. 基于分层入侵检测的传感网安全系统，包括有安全管理器、网络管理器、网关、路由设备和现场设备，其特征在于：所述系统还包括有本地入侵检测模块、分析仪入侵检测装置和全信道分析仪；

本地入侵检测模块，加载在网关、路由设备和现场设备上，监测传感网的数据包和数据流量，对网络中的入侵攻击上报至安全管理器；

全信道分析仪，监测整个无线传感网的数据流量信息，并将监测到的信息发送至分析仪入侵检测装置；

分析入侵检测装置，根据来至全信道分析仪的信息，实时数据分析，提取相应数据特征，判断是否受到入侵攻击，并将判断结果报告给安全管理器；

分析入侵检测装置和全信道分析仪构成了第三方入侵检测模块。

2. 如权利要求1所述的基于分层入侵检测的传感网安全系统，其特征在于：路由设备和路由设备之间的通信形成网状通信网络，路由设备和现场设备之间的通信形成星型通信网络。

3. 如权利要求2所述的基于分层入侵检测的传感网安全系统，其特征在于：本地入侵检测模块加载于部分路由设备和现场设备上，本地入侵检测模块所加载的设备长期工作，不进行休眠。

4. 如权利要求3所述的基于分层入侵检测的传感网安全系统，其特征在于：通过安全管理器设置本地入侵检测模块的最低检测率                                               ，作为是否启动本地入侵检测模块的门限，不启动本地入侵检测模块，启动本地入侵检测模块。

5. 如权利要求4所述的基于分层入侵检测的传感网安全系统，其特征在于：本地入侵检测模块的实际平均检测率的计算方法为：

5-1）设网络的平均数据包错误率是，本地入侵检测模块检测到入侵的可能性为，其中，代表从带本地入侵检测模块的本地设备往下为跳簇，代表从簇头起跳位置的本地设备被恶意入侵，无线传感网本地设备检测模块的平均检测率为；

5-2）带入侵检测模块的路由设备在本簇内能够检测到入侵的可能性为；

5-3）若入侵来自路由设备所在簇外的设备，分为被入侵设备是路由设备和被入侵设备是现场设备两种情况；

5-3-1）被入侵的设备是路由设备，能够检测到入侵的可能性为：；

5-3-2）被入侵的设备是现场设备，且该设备的簇头路由设备未部署本地入侵检测模块，路由设备休眠的可能性为，若未部署本地入侵检测模块的簇头路由设备一个工作周期中的休眠休眠时间为和工作时间，那么，则该本地入侵检测模块能够检测到簇外节点入侵的可能性为：；

5-4）根据上述计算，星网双层结构无线传感网本地设备检测模块的平均检测率为：。

6. 如权利要求5所述的基于分层入侵检测的传感网安全系统，其特征在于：通过网络管理器，调整网络中未部署本地入侵检测模块的簇头路由设备一个工作周期中的休眠时间和工作时间，调整本地入侵检测模块的实际平均检测率，则。

7. 如权利要求1所述的基于分层入侵检测的传感网安全系统，其特征在于：全信道分析仪为多个，每个全信道分析仪负责相应区域内的数据监测。

8. 如权利要求1所述的基于分层入侵检测的传感网安全系统，其特征在于：分析入侵检测装置提取的数据特征包括有当前网络流量及数据包特征。

9. 如权利要求1所述的基于分层入侵检测的传感网安全系统，其特征在于：所述分析入侵检测装置包括有流量预测子模块、误用检测子模块、异常检测子模块和结果分析子模块；

流量预测子模块，根据全信道分析仪接收到的信息，对网路中数据流量进行预测，并将预测结果发送给结果分析子模块；

误用检测子模块，用误用分析规则匹配来实时检测网络中可能存在的攻击，并将检测结果发送给结果分析子模块；

异常检测子模块，用异常分析规则匹配来实时检测网络中可能存在的攻击，并将检测结果发送给结果分析子模块；

结果分析子模块，根据接收到的三个分析结果进行分析，确定最终检测结果，并将结果报告给安全管理器。

10. 如权利要求9所述的基于分层入侵检测的传感网安全系统，其特征在于：流量预测子模块利用ARMA数据流量进行预测和分析。