專利名稱:無線傳感器網(wǎng)絡(luò)中分布式入侵檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種無線傳感器網(wǎng)絡(luò)的安全保護(hù)方法�,具體是一種無線傳感器網(wǎng)絡(luò) 中分布式入侵檢測(cè)方法。
背景技術(shù):
隨著無線傳感器網(wǎng)絡(luò)應(yīng)用的快速發(fā)展���,網(wǎng)絡(luò)安全問題日益重要���。盡管在在有線 網(wǎng)絡(luò)中,防火墻是有效的檢測(cè)入侵的第一道防線��,但在無線網(wǎng)絡(luò)中還沒有這樣的工 具���。因?yàn)闊o線傳輸受制于丟包和信號(hào)阻塞。每個(gè)傳感器節(jié)點(diǎn)的安全對(duì)維護(hù)整個(gè)網(wǎng)絡(luò) 的安全完整性都是很重要的�。在無線傳感器網(wǎng)絡(luò)應(yīng)用越來越廣泛的今天,用戶需要 一種有效的網(wǎng)絡(luò)安全措施�����。
入侵檢測(cè)技術(shù)是保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)之一�����。入侵檢測(cè)系統(tǒng)IDS (Intrusion Detection System)就是一個(gè)能檢測(cè)網(wǎng)絡(luò)入侵并能進(jìn)行報(bào)警的系統(tǒng),這里的入侵指 網(wǎng)絡(luò)系統(tǒng)未授權(quán)的行為或不是網(wǎng)絡(luò)系統(tǒng)期望的動(dòng)作���。針對(duì)有線網(wǎng)絡(luò)中的入侵檢測(cè)系 統(tǒng)已經(jīng)比較成熟����,這些系統(tǒng)能夠連續(xù)的監(jiān)控用戶�、系統(tǒng)和網(wǎng)絡(luò)級(jí)的行為,并通常有 一個(gè)中心化的決策模塊�。這種架構(gòu)在有線網(wǎng)絡(luò)是很有效的,但在無線傳感器網(wǎng)絡(luò)環(huán) 境下卻是不可行的����,這是由于網(wǎng)絡(luò)中無線傳感器節(jié)點(diǎn)通信能力有限,能量有限�,計(jì) 算能力也有限,不可能都將數(shù)據(jù)發(fā)送到中心模塊做決策��,對(duì)于無線傳感器網(wǎng)絡(luò)需要 有一個(gè)分布式的�����,節(jié)能的�,效率優(yōu)先的入侵檢測(cè)系統(tǒng)���。
目前大部分的入侵檢測(cè)方法使用大量的帶標(biāo)簽數(shù)據(jù)或者完全正常的數(shù)據(jù)來進(jìn)行 訓(xùn)練。在異常檢測(cè)方法中�����,大多數(shù)方法采用的訓(xùn)練方法是�����,從一個(gè)完全正常的數(shù)據(jù) 集中學(xué)習(xí)和建立正常行為的模型�,然后根據(jù)新的數(shù)據(jù)偏離正常模型的程度,判斷數(shù) 據(jù)是否是異常數(shù)據(jù)�����。這類算法極大地依賴帶標(biāo)簽的訓(xùn)練數(shù)據(jù)���。如果訓(xùn)練數(shù)據(jù)的標(biāo)簽 不正確�����,通過算法訓(xùn)練得到的正常或異常模型就會(huì)不準(zhǔn)確���,算法的檢測(cè)效率就會(huì)大大降低��,甚至算法會(huì)完全失效��。然而��,實(shí)際操作中�����,并不能在實(shí)際網(wǎng)絡(luò)環(huán)境中實(shí)時(shí) 地或者輕易地得到帶有正確標(biāo)簽的或是完全正常的數(shù)據(jù)�����。當(dāng)前尋求在無標(biāo)簽的數(shù)據(jù) 中進(jìn)行學(xué)習(xí)并發(fā)現(xiàn)數(shù)據(jù)中的入侵行為的算法受到日益關(guān)注��。
經(jīng)過對(duì)現(xiàn)有技術(shù)的文獻(xiàn)檢索發(fā)現(xiàn)�,中國(guó)專利申請(qǐng)?zhí)枮?00710019976.3,名稱為 "無線傳感器網(wǎng)絡(luò)的混合入侵檢測(cè)方法"闡述一個(gè)基于多種入侵檢測(cè)手段如基于 聚類��,基于距離的用于檢測(cè)集中式入侵或分布式入侵的無線傳感器網(wǎng)絡(luò)的入侵檢測(cè) 方法�����,這種方法����、僅是一種集中式檢測(cè)方法�����,并且沒有針對(duì)離散型數(shù)據(jù)和連續(xù)型數(shù) 據(jù)的特點(diǎn)做入侵檢測(cè)����,不能滿足無線傳感器網(wǎng)絡(luò)中實(shí)時(shí)的入侵檢測(cè)要求����。
發(fā)明內(nèi)容
本發(fā)明的目的是針對(duì)現(xiàn)有技術(shù)的不足,提供一種有效的無線傳感器網(wǎng)絡(luò)中分布 式入侵檢測(cè)方法����,來解決無線傳感器網(wǎng)絡(luò)面臨的各種安全問題和安全攻擊。本發(fā)明 將分布式技術(shù)與入侵檢測(cè)技術(shù)相結(jié)合�,通過傳感器網(wǎng)絡(luò)中的各節(jié)點(diǎn)的協(xié)同工作,從 而減少各自節(jié)點(diǎn)的計(jì)算量和通信量���。通過分析本地的網(wǎng)絡(luò)日志數(shù)據(jù)�,識(shí)別出入侵動(dòng) 作�,進(jìn)而向系統(tǒng)告警,從而達(dá)到保護(hù)無線傳感器網(wǎng)絡(luò)免受各種新舊攻擊的安全目標(biāo)。
本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的
本發(fā)明在傳感器節(jié)點(diǎn)中使用頻繁項(xiàng)集檢測(cè)方法對(duì)離散型網(wǎng)絡(luò)日志數(shù)據(jù)進(jìn)行異常 度檢測(cè)��,使用聯(lián)合概率分布計(jì)算的方法對(duì)連續(xù)型網(wǎng)絡(luò)日志數(shù)據(jù)進(jìn)行異常度檢測(cè)�,對(duì) 離散數(shù)據(jù)和連續(xù)數(shù)據(jù)采用不同的方法進(jìn)行檢測(cè)����,可以避免這兩種數(shù)據(jù)轉(zhuǎn)化成一種時(shí) 的信息的丟失;傳感器節(jié)點(diǎn)如果判定整個(gè)數(shù)據(jù)為異常入侵?jǐn)?shù)據(jù)�,則把該嫌疑數(shù)據(jù)發(fā) 往鄰居傳感器節(jié)點(diǎn)進(jìn)行驗(yàn)證,如果鄰居節(jié)點(diǎn)也認(rèn)為該嫌疑數(shù)據(jù)為入侵?jǐn)?shù)據(jù)����,該傳感 器節(jié)點(diǎn)則標(biāo)記該數(shù)據(jù)為入侵?jǐn)?shù)據(jù),然后開始檢測(cè)下一個(gè)數(shù)據(jù)�,通過這種分布式算法 可以將用局部處理代替全局處理,使用局部處理的結(jié)果來逼近全局處理的結(jié)果�����,從 而達(dá)到減少計(jì)算量的目的�����。
本發(fā)明方法包含兩個(gè)階段局部入侵檢測(cè)階段和全局入侵檢測(cè)階段����。由于網(wǎng)絡(luò) 日志數(shù)據(jù)分為離散型部分和連續(xù)型部分�,局部入侵檢測(cè)階段分為離散型數(shù)據(jù)異常檢 測(cè)和連續(xù)型數(shù)據(jù)異常檢測(cè)��。所謂離散型數(shù)據(jù)的入侵檢測(cè)�����,是利用apriori算法(由Agrawal���、 Imielinski 和Swami于1993提出)進(jìn)行的頻繁度統(tǒng)計(jì)���,進(jìn)而計(jì)算數(shù)據(jù)的異常度是否超過閾值。 apriori算法是數(shù)據(jù)挖掘中用于關(guān)聯(lián)規(guī)則挖掘的算法����,其作用是找出所有數(shù)據(jù)中不 小于最小支持度的,長(zhǎng)度大于最小長(zhǎng)度為項(xiàng)目�。本發(fā)明利用該算法計(jì)算所有長(zhǎng)度大 于3的項(xiàng)的頻繁度,所以設(shè)最小長(zhǎng)度為2���,最小支持度設(shè)為l���。
本發(fā)明定義離散型數(shù)據(jù)的異常度為
化尸Kl (i)
其中P為每個(gè)待檢測(cè)數(shù)據(jù),d為每個(gè)數(shù)據(jù)中離散型數(shù)據(jù)的子項(xiàng),sup(d)為用 apriori算法計(jì)算出的每個(gè)項(xiàng)的支持度��,s為最小支持度��,M為d的長(zhǎng)度���,即屬性
的個(gè)數(shù)。
所謂連續(xù)型數(shù)據(jù)的入侵檢測(cè)�����,是計(jì)算當(dāng)前的數(shù)據(jù)違背當(dāng)前的聯(lián)合概率分布的程 度�,當(dāng)違背該分布的程度大于閾值時(shí),則判定該連續(xù)型數(shù)據(jù)為入侵?jǐn)?shù)據(jù)�����。
當(dāng)前的聯(lián)合概率分布是由協(xié)方差矩陣G-決定的����,該協(xié)方差矩陣是在線更新的, 如果當(dāng)前檢測(cè)的數(shù)據(jù)不被判定為全局入侵?jǐn)?shù)據(jù)���,則使用該數(shù)據(jù)中的連續(xù)型部分更新 該協(xié)方差矩陣���。
本發(fā)明定義離散和連續(xù)混合類型數(shù)據(jù)的異常度為
Sc匿2(尸)=J] (Al(C1 v C2) ^ true)
化f Kl (2)
式中Cl:是根據(jù)"0 計(jì)算出來的�����,C2:是指是是否超過協(xié)方差矩陣所允許最 大違背程度�����。
所謂局部入侵檢測(cè)�����,是指設(shè)定一個(gè)寬度為10的窗口��,并計(jì)算這個(gè)窗口內(nèi)的混合 類型數(shù)據(jù)的平均異常程度���。如果這個(gè)窗口內(nèi)的混合類型數(shù)據(jù)的異常度超過平均異常 度設(shè)定范圍,就將其標(biāo)記為嫌疑入侵?jǐn)?shù)據(jù)�。
所謂全局入侵檢測(cè)是指為了節(jié)約網(wǎng)絡(luò)資源和節(jié)點(diǎn)的計(jì)算能力,每個(gè)節(jié)點(diǎn)只對(duì)本地?cái)?shù)據(jù)進(jìn)行局部入侵檢測(cè)����,并把自己所檢測(cè)到的嫌疑入侵?jǐn)?shù)據(jù)發(fā)送到鄰近節(jié)點(diǎn)驗(yàn)證, 鄰居節(jié)點(diǎn)再將驗(yàn)證結(jié)果反饋回該節(jié)點(diǎn)��。如果其他節(jié)點(diǎn)都認(rèn)可這個(gè)數(shù)據(jù)為入侵?jǐn)?shù)據(jù), 這個(gè)數(shù)據(jù)就是全局入侵?jǐn)?shù)據(jù)����。
本發(fā)明存在一個(gè)權(quán)衡問題,那就是各節(jié)點(diǎn)間的同步問題�。如果節(jié)點(diǎn)每檢測(cè)到一 個(gè)異常數(shù)據(jù),就要求別的節(jié)點(diǎn)的驗(yàn)證���,這樣的效率很低下�。 一個(gè)替代方案是��,將可 能的局部異常數(shù)據(jù)累積到々個(gè)時(shí)��,才要求別的結(jié)點(diǎn)來驗(yàn)證��。這樣的方法可以減少各 節(jié)點(diǎn)的同步�����,但會(huì)有更多的通信消耗�。這是因?yàn)橐坏┕?jié)點(diǎn)接收到的全局信息少了��, 就意味著要發(fā)送更多的局部異常點(diǎn)去驗(yàn)證���。本發(fā)明采用實(shí)驗(yàn)方法����,根據(jù)具體網(wǎng)絡(luò)環(huán) 境,確定K的取值��。
本發(fā)明是一種在深入分析無線傳感器網(wǎng)絡(luò)特點(diǎn)和現(xiàn)有技術(shù)的基礎(chǔ)上���,針對(duì)無線
傳感器網(wǎng)絡(luò)日志數(shù)據(jù)的混合類型的特性以及傳感器節(jié)點(diǎn)計(jì)算�����,存儲(chǔ)�����,通信和電池能
力不足的特點(diǎn)�����,提出了一種基于分布式數(shù)據(jù)挖掘技術(shù)的���,能夠處理動(dòng)態(tài)網(wǎng)絡(luò)日志數(shù)
據(jù)的無線傳感器網(wǎng)絡(luò)入侵檢測(cè)技術(shù),該技術(shù)能在盡量少消耗節(jié)點(diǎn)的能量和網(wǎng)絡(luò)資源
的情況下�,通過在線監(jiān)測(cè)的方案解決無線傳感器網(wǎng)絡(luò)的安全攻擊問題�����。
圖1為本發(fā)明方法流程圖
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明的實(shí)施例作詳細(xì)說明本實(shí)施例在以本發(fā)明技術(shù)方案為 前提下進(jìn)行實(shí)施�,給出了詳細(xì)的實(shí)施方式和具體的操作過程�����,但本發(fā)明的保護(hù)范圍 不限于下述的實(shí)施例�����。
本實(shí)施例采用Matlab程序仿真無線傳感器網(wǎng)絡(luò)��,各傳感器節(jié)點(diǎn)地位平等�,都參 與數(shù)據(jù)采集和路由轉(zhuǎn)發(fā)功能�����。每個(gè)傳感器節(jié)點(diǎn)除了存儲(chǔ)數(shù)據(jù)和網(wǎng)絡(luò)日志外�����,還存儲(chǔ)著 鄰居節(jié)點(diǎn)(一跳)的信息和本地網(wǎng)絡(luò)日志數(shù)據(jù)的聯(lián)合分布概率模型����。為了達(dá)到實(shí)時(shí)性 要求�����,傳感器網(wǎng)絡(luò)節(jié)點(diǎn)先對(duì)非入侵?jǐn)?shù)據(jù)上運(yùn)行一次apriOTi算法�����,得到每個(gè)項(xiàng)的頻繁 度表和初始聯(lián)合分布概率模型���。這樣在實(shí)際檢測(cè)過程中,就不用遍歷所有數(shù)據(jù)����,只要 在該表中查找當(dāng)前項(xiàng)的頻繁度,就可直接計(jì)算出離散型數(shù)據(jù)的異常度��。圖l演示了本實(shí)施例的過程�,整個(gè)檢測(cè)過程如下-
(1) 對(duì)數(shù)據(jù)的離散型部分的數(shù)據(jù)進(jìn)行入侵檢測(cè),使用^w^計(jì)算數(shù)據(jù)離散型部
分的異常度�。
(2) 利用當(dāng)前的聯(lián)合分布概率的協(xié)方差矩陣模型,對(duì)數(shù)據(jù)的連續(xù)型部分的數(shù)據(jù) 進(jìn)行入侵檢測(cè)�����,使用^w^計(jì)算混合屬性數(shù)據(jù)的異常度。
(3) 設(shè)定一個(gè)寬度為IO的窗口����,并計(jì)算這個(gè)窗口內(nèi)的混合類型數(shù)據(jù)的平均異常 度。如果這個(gè)窗口內(nèi)的混合類型數(shù)據(jù)的異常度超過平均異常度30%����,就將其標(biāo)記為嫌 疑入侵?jǐn)?shù)據(jù),沒有被判定為嫌疑入侵?jǐn)?shù)據(jù)的則視為正常數(shù)據(jù)�,用該數(shù)據(jù)更新當(dāng)前聯(lián)合 概率分布模型。
(4) 當(dāng)前傳感器節(jié)點(diǎn)的嫌疑入侵?jǐn)?shù)據(jù)積累到5個(gè)時(shí)�,將這些嫌疑入侵?jǐn)?shù)據(jù)發(fā)送 往鄰居節(jié)點(diǎn)驗(yàn)證,鄰居節(jié)點(diǎn)在本地運(yùn)行入侵檢測(cè)過程���,檢驗(yàn)這些嫌疑入侵?jǐn)?shù)據(jù)��。
(5) 如果鄰居節(jié)點(diǎn)也認(rèn)可這些嫌疑數(shù)據(jù)為入侵?jǐn)?shù)據(jù)�,則標(biāo)記這些嫌疑入侵?jǐn)?shù)據(jù) 為入侵?jǐn)?shù)據(jù)�,否則就用該數(shù)據(jù)更新當(dāng)前聯(lián)合概率分布模型��。
本實(shí)施例在KDD C叩'99網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集上進(jìn)行實(shí)驗(yàn)��,對(duì)于多數(shù)入侵類型使用本 發(fā)明描述的分布式入侵檢測(cè)方法�����,入侵檢測(cè)率均在85%以上,雖然檢測(cè)率比使用傳統(tǒng) 的集中式入侵檢測(cè)方法略低����,但計(jì)算復(fù)雜度顯著下降;而在傳感器網(wǎng)絡(luò)中由于數(shù)據(jù)分 散存儲(chǔ)���,若要進(jìn)行集中式入侵檢測(cè)�,就需要把數(shù)據(jù)集中在一起�,這樣對(duì)無線傳感器節(jié) 點(diǎn)來說是極大的通信和計(jì)算負(fù)擔(dān),是不可行的���。所以本實(shí)施例是適應(yīng)于無線傳感器網(wǎng) 絡(luò)特點(diǎn)的有效的入侵檢測(cè)方法���。
以上步驟可以滿足無線傳感器實(shí)時(shí)性的要求,最耗費(fèi)計(jì)算的apriori算法在真正 的檢測(cè)步驟前運(yùn)行�����,預(yù)先訓(xùn)練好參數(shù)����,實(shí)時(shí)監(jiān)測(cè)時(shí)可以直接查表得到結(jié)果�����;聯(lián)合概率 分布模型可以在線用所得的正常檢測(cè)數(shù)據(jù)更新���,進(jìn)行增量學(xué)習(xí),所處理的結(jié)果也越來 越精確�。針對(duì)連續(xù)型數(shù)據(jù)和離散型數(shù)據(jù)有各自的檢測(cè)方法,不需要將這兩種數(shù)據(jù)轉(zhuǎn)化 為統(tǒng)一的形式��,減少了轉(zhuǎn)化過程中的信息丟失��。通過分布式算法在分散存儲(chǔ)的數(shù)據(jù)中 進(jìn)行全局的入侵檢測(cè)�,減少了各節(jié)點(diǎn)的通訊和計(jì)算負(fù)擔(dān)。本實(shí)施例可以解決無線傳感 器網(wǎng)絡(luò)面臨的各種安全問題和安全攻擊��。本實(shí)施例對(duì)網(wǎng)絡(luò)日志數(shù)據(jù)分為離散型部分和連續(xù)型部分分別進(jìn)行入侵檢測(cè)����,并 采用分布式方法,將局部檢測(cè)結(jié)果轉(zhuǎn)化為全局檢測(cè)結(jié)果�����,實(shí)時(shí)保護(hù)無線傳感器網(wǎng)絡(luò) 安全����。處理混合類型數(shù)據(jù)時(shí),考慮到連續(xù)數(shù)據(jù)和屬性數(shù)據(jù)之間關(guān)系的異常評(píng)估函數(shù)����, 這樣能將兩個(gè)數(shù)據(jù)空間作為整體來考慮。傳統(tǒng)方法將屬性數(shù)據(jù)轉(zhuǎn)化為連續(xù)數(shù)據(jù)或?qū)?連續(xù)數(shù)據(jù)轉(zhuǎn)化為屬性數(shù)據(jù)����,然后再處理。這樣導(dǎo)致的信息的損失����,并增加了噪聲。 本實(shí)施例擴(kuò)展了基本的入侵檢測(cè)方法���,具有增量學(xué)習(xí)能力�,使之能夠處理動(dòng)態(tài)數(shù)據(jù)�����。
權(quán)利要求
1. 一種無線傳感器網(wǎng)絡(luò)中分布式入侵檢測(cè)方法�,其特征在于,在傳感器節(jié)點(diǎn)中使用頻繁項(xiàng)集檢測(cè)方法對(duì)離散型網(wǎng)絡(luò)日志數(shù)據(jù)進(jìn)行異常度檢測(cè),使用聯(lián)合概率分布計(jì)算的方法對(duì)連續(xù)型網(wǎng)絡(luò)日志數(shù)據(jù)進(jìn)行異常度檢測(cè)�,傳感器節(jié)點(diǎn)如果判定整個(gè)數(shù)據(jù)為異常入侵?jǐn)?shù)據(jù),則把該嫌疑數(shù)據(jù)發(fā)往鄰居傳感器節(jié)點(diǎn)進(jìn)行驗(yàn)證�,如果鄰居節(jié)點(diǎn)也認(rèn)為該嫌疑數(shù)據(jù)為入侵?jǐn)?shù)據(jù),該傳感器節(jié)點(diǎn)則標(biāo)記該數(shù)據(jù)為入侵?jǐn)?shù)據(jù)��,然后開始檢測(cè)下一個(gè)數(shù)據(jù)���。
2�、 根據(jù)權(quán)利要求1所述的無線傳感器網(wǎng)絡(luò)中分布式入侵檢測(cè)方法�����,其特征是��, 包含兩個(gè)階段局部入侵檢測(cè)階段和全局入侵檢測(cè)階段��,所謂局部入侵檢測(cè)�����,是指設(shè)定一個(gè)寬度為IO的窗口���,并計(jì)算這個(gè)窗口內(nèi)的混合 類型數(shù)據(jù)的平均異常程度��,如果這個(gè)窗口內(nèi)的混合類型數(shù)據(jù)的異常度超過平均異常 度設(shè)定范圍����,就將其標(biāo)記為嫌疑入侵?jǐn)?shù)據(jù)�����;所謂全局入侵檢測(cè)是指每個(gè)節(jié)點(diǎn)只對(duì)本地?cái)?shù)據(jù)進(jìn)行局部入侵檢測(cè)�,并把自己所 檢測(cè)到的嫌疑入侵?jǐn)?shù)據(jù)發(fā)送到鄰近節(jié)點(diǎn)驗(yàn)證,鄰居節(jié)點(diǎn)再將驗(yàn)證結(jié)果反饋回該節(jié)點(diǎn)��, 如果其他節(jié)點(diǎn)都認(rèn)可這個(gè)數(shù)據(jù)為入侵?jǐn)?shù)據(jù)�,這個(gè)數(shù)據(jù)就是全局入侵?jǐn)?shù)據(jù)。其中局部入侵檢測(cè)階段分為離散型數(shù)據(jù)異常檢測(cè)和連續(xù)型數(shù)據(jù)異常檢測(cè)��;所謂離散型數(shù)據(jù)的入侵檢測(cè)�,是利用apiori算法進(jìn)行的頻繁度統(tǒng)計(jì),進(jìn)而計(jì)算 數(shù)據(jù)的異常度是否超過閾值�,apiori算法找出所有數(shù)據(jù)中不小于最小支持度的、長(zhǎng) 度大于最小長(zhǎng)度為項(xiàng)目�����,設(shè)最小長(zhǎng)度為2�,最小支持度設(shè)為l;所謂連續(xù)型數(shù)據(jù)的入侵檢測(cè)�,是計(jì)算當(dāng)前的數(shù)據(jù)違背當(dāng)前的聯(lián)合概率分布的程 度���,當(dāng)違背該分布的程度大于閾值時(shí)���,則判定該連續(xù)型數(shù)據(jù)為入侵?jǐn)?shù)據(jù)當(dāng)前的聯(lián)合概率分布是由協(xié)方差矩陣q^決定的,該協(xié)方差矩陣是在線更新的�,如果當(dāng)前檢 測(cè)的數(shù)據(jù)不被判定為全局入侵?jǐn)?shù)據(jù),則使用該數(shù)據(jù)中的連續(xù)型部分更新該協(xié)方差矩 陣�����;
3�����、 根據(jù)權(quán)利要求2所述的無線傳感器網(wǎng)絡(luò)中分布式入侵檢測(cè)方法���,其特征是���,所述離散型數(shù)據(jù)的異常度,其定義為<formula>formula see original document page 3</formula>化/> w其中P為每個(gè)待檢測(cè)數(shù)據(jù)�,d為每個(gè)數(shù)據(jù)中離散型數(shù)據(jù)的子項(xiàng),s叩(d)為用 apiori算法計(jì)算出的每個(gè)項(xiàng)的支持度���,s為最小支持度��,M為d的長(zhǎng)度��,即屬性的個(gè)數(shù)�����。
4���、 根據(jù)權(quán)利要求2所述的無線傳感器網(wǎng)絡(luò)中分布式入侵檢測(cè)方法,其特征是���, 所述離散和連續(xù)混合類型數(shù)據(jù)的異常度����,定義為<formula>formula see original document page 3</formula>化/> |d|式中Cl是根據(jù)wo 計(jì)算出來的�����,C2是指是是否超過協(xié)方差矩陣所允許最大違 背程度��,P為每個(gè)待檢測(cè)數(shù)據(jù)����,d為每個(gè)數(shù)據(jù)中離散型數(shù)據(jù)的子項(xiàng)����,M為d的長(zhǎng)度���, 即屬性的個(gè)數(shù)����。
5���、 根據(jù)權(quán)利要求1或2所述的無線傳感器網(wǎng)絡(luò)中分布式入侵檢測(cè)方法��,其特征 是����,所述局部異常數(shù)據(jù)累積到A個(gè)時(shí)����,才由別的結(jié)點(diǎn)來驗(yàn)證,根據(jù)具體網(wǎng)絡(luò)環(huán)境確 定K的取值����。
全文摘要
本發(fā)明公開了一種無線傳感器網(wǎng)絡(luò)中分布式入侵檢測(cè)方法�����,在傳感器節(jié)點(diǎn)中使用頻繁項(xiàng)集檢測(cè)方法對(duì)離散型網(wǎng)絡(luò)日志數(shù)據(jù)進(jìn)行異常度檢測(cè)���,使用聯(lián)合概率分布計(jì)算的方法對(duì)連續(xù)型網(wǎng)絡(luò)日志數(shù)據(jù)進(jìn)行異常度檢測(cè),傳感器節(jié)點(diǎn)如果判定整個(gè)數(shù)據(jù)為異常入侵?jǐn)?shù)據(jù)�����,則把該嫌疑數(shù)據(jù)發(fā)往鄰居傳感器節(jié)點(diǎn)進(jìn)行驗(yàn)證���,如果鄰居節(jié)點(diǎn)也認(rèn)為該嫌疑數(shù)據(jù)為入侵?jǐn)?shù)據(jù),該傳感器節(jié)點(diǎn)則標(biāo)記該數(shù)據(jù)為入侵?jǐn)?shù)據(jù)����,然后開始檢測(cè)下一個(gè)數(shù)據(jù)。本發(fā)明將分布式技術(shù)與入侵檢測(cè)技術(shù)相結(jié)合�,通過傳感器網(wǎng)絡(luò)中的各節(jié)點(diǎn)的協(xié)同工作,從而減少各自節(jié)點(diǎn)的計(jì)算量和通信量����。通過分析本地的網(wǎng)絡(luò)日志數(shù)據(jù),識(shí)別出入侵動(dòng)作�����,進(jìn)而向系統(tǒng)告警,從而達(dá)到保護(hù)無線傳感器網(wǎng)絡(luò)免受各種新舊攻擊的安全目標(biāo)���。
文檔編號(hào)H04L12/24GK101286872SQ20081003820
公開日2008年10月15日 申請(qǐng)日期2008年5月29日 優(yōu)先權(quán)日2008年5月29日
發(fā)明者杰 楊, 雷 陳 申請(qǐng)人:上海交通大學(xué)