[发明专利]一种基于流量预测的双层触发入侵检测方法

说明书

技术领域

本发明涉及一种基于流量预测的双层触发入侵检测方法，属于无线传感器网络领域。

背景技术

入侵检测的研究可以追溯到James P.Anderson在1980年的工作，他首次提出了“威胁”等术语，这里所指的“威胁”与入侵的含义基本相同，将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问企图，致使系统不可靠或无法使用。1987年，乔治敦大学的Dorothy Denning首先提出了入侵检测的定义：一个入侵检测系统由三个部件组成，信息收集部件完成网络信息的收集；检测部件完成对收集信息的分析、检测；响应模块对入侵行为采取一定的处理措施。入侵检测系统的框架如图1所示。

针对无线传感器网络的特点，目前已经提出了一些有效的入侵检测方案：

(1)流量预测技术

Han等基于马尔可夫流量预测模型提出了一种有效的入侵检测方法，该方法通过预测每一个节点的流量独立的进行异常检测，不需要特殊的硬件支持和节点之间的合作。Lee等通过利用遗传算法(Genetic Algorithm)优化流量矩阵，提出了一种增强DDOS攻击检测的方法。Stetsko等提出了基于邻居节点流量的入侵检测系统。该方法认为空间上相互接近的节点具有类似的行为，如果一个节点的行为和邻居节点有明显的不同，节点被认为是恶意节点，这种检测技术是区域性、无监督、适应网络的动态变化。

(2)统计方法

Wang等采用了服从泊松分布的无线传感器网络对入侵检测进行研究，分别通过同构无线传感器网络和异构无线传感器网络中传感器节点的密度、采集信息的能力及通信范围对入侵检测概率进行了分析，并讨论了网络连通性和广播能力对入侵检测的影响。Zhang等依赖一些空间粒度的时空相关性和频率机制的一致性，用一个检测框架来处理内部攻击，例如意外信息和异常行为。该框架描述了两类检测机制，一种是簇头节点覆盖它的组，另一种是普通传感器节点监视它的一跳邻近节点。同时一个随机预分配密钥和这个检测框架合作。

(3)数据挖掘和计算机能

Rajasegarar等基于一个k-means聚类算法设计了一个分布式检测框架。每一个本地的普通传感器节点收集本地的数据集合构成正常的模型。然后簇头节点收集所有本地正常的模型来完成数据处理的过程，这里一个全局的正常模型被产生。在接收到全局正常模型后，每一个传感器节点通过初始化分析和决策过程来完成检测。为适应基于距离的聚类，每个传感器节点用一个预处理过程来对输入的数据标准化。Tian等提出了基于支持向量机(SVM)的社区入侵检测系统，该方案通过利用遗传算法来优化SVM的参数，从而增强了算法收敛速度和识别精度，由于具有较高的分类能力、有效的学习能力和推广能力，算法具有较高的准确率，不足之处是算法需要大量的训练样本，训练时间较长。

(4)博弈理论

Agah等人提出了基于博弈的传感网络入侵检测模型。该模型由网络攻击方和网络防御方组成，其中攻击方的策略有三种：AS₁攻击簇k，AS₂不攻击任何簇，AS₃攻击不同的簇；网络防御方的策略有两中：SS₁保护簇k，SS₂保护不同的簇。效用函数A和B表示博弈结束后，攻击放和防御方得到的效益集合。

(5)免疫理论

Forrest首先将免疫技术用于基于主机的入侵检测中。她首先定义特权进程所执行的系统调用序列作为被保护计算机的“自我”，然后建立有系统程序的正常行为组成的数据库，当建立好这个数据库后就可以监视程序行为了。如果发现了不在数据库中的序列表明有异常的行为发生。

(6)信任模型

Lin等针对无线传感器网络中的各类攻击，提出了基于信任管理的入侵检测方案。该方案通过信任度高的节点监控整个簇头从而节省了能量、延长了网络的寿命，通过改进CUSUM算法来检测一系列恶意节点的攻击。Long等提出了基于权重信任管理的入侵检测方案，初始化时每个节点被分配一个权重值，如果一个节点发送和其它节点不同的报告，则更改它的权重值，当节点的权重值小于某一个阀值，可以检测出恶意节点。该方案具有检测效率高、误检率低等特点。

(7)混合

Su等基于预防检测技术、能量节约检测技术和认证预防技术提出了一种混合检测技术。在这个检测方案中簇头负责监控传感器节点，另一方面，部分传感器节点根据他们剩余的能量被轮换选出监控簇头节点。

(8)规则