传感器网络异常数据检测方法与系统与流程

本发明涉及数据监测领域，尤其涉及一种传感器网络异常数据检测方法与系统。

背景技术：

无线传感器网络的异常数据对于环境监测具有重要意义，实际应用中，异常数据可能存在两种情况：恶意数据与事件数据。恶意数据会影响基站的观测结果，降低网络可靠性；事件数据是环境变化的重要表现，可反映监测区域的变化情况。如何对异常数据进行准确识别并对其进行有效区分，从而在维护网络安全性的同时准确了解监测区域的变化情况，是当下的研究热点。

目前广泛应用的异常数据检测方法主要有基于统计和基于数据挖掘两大类。基于统计的方法首先对将要检测的数据集合假设一个分布模型或者概率模型，将不符合该模型的数据判定为异常数据。但在实际应用中，数据分布通常未知，或者无法与任何一个标准分布所拟合，所以这种方法并不具有通用性。基于数据挖掘的方法包括基于聚类、基于距离以及基于密度的检测方法，这些方法多用于收集到大量数据后挖掘出异常数据，具有明显的滞后性，不符合传感器网络实时监测的初衷。

在无线传感器网络中，相邻节点的监测数据具有一定空间相关性。同时，每个传感器节点的监测数据可以形成一个时间序列，具有时间相关性。近年来，针对传感器网络中数据的相关性，出现了一些新的异常数据检测方法：例如利用基于高斯分布的检测方法，通过邻居节点的数据来判定异常数据；又如基于神经网络的异常数据分析方法，通过使用历史数据集训练神经网络，来完成下一时刻的预报。上述方法虽能判断出传感器网络中存在的一些异常，但都只考虑了时间或空间的单一维度，没有将二维度结合，使得检测准确率不高，并且无法准确区分恶意数据和事件数据。另外，现有的很多异常数据检测方法计算复杂度较高，通信成本也较高，无法适用于计算资源有限、存储资源有限的无线传感器网络。

技术实现要素：

针对现有技术的上述缺陷，本发明提供一种传感器网络异常数据检测方法与系统，可实时检测传感器网络中的异常数据，并能对检测出的异常数据进行准确鉴别，判定其为恶意数据还是事件数据。

根据本发明的一个方面，提供一种传感器网络异常数据检测方法，包括步骤：

S1.获取传感器网络的监测数据；

S2.根据数据的空间相关性特征，对所述监测数据进行空间相关检测，获得其中的异常数据；并

根据数据的时间相关性特征，对所述监测数据进行时间相关检测，获得其中的异常数据；

S3.针对任一异常数据，结合所述空间相关检测及所述时间相关检测的检测结果，判断该异常数据是事件数据或恶意数据。

优选地，在步骤S1之后，步骤S2之前，所述方法还包括步骤：S11.根据传感器网络中各节点的空间位置信息对各节点进行聚类，将空间位置接近的节点划分到同一簇中。

优选地，所述根据数据的空间相关性特征，对所述监测数据进行空间相关检测，获得其中的异常数据具体为：

S21.针对任一簇中任一节点的监测数据，计算该监测数据与该簇内其它节点同一时刻的监测数据的欧式距离；

S22.将所述欧式距离与预设的欧式距离阈值比较，将小于欧式距离阈值的欧式距离的个数作为该监测数据的空间相关数；

S23.将所述空间相关数除以该任一簇中的节点总数，获得该监测数据的空间相关系数；

S24.将所述空间相关系数与预设的系数阈值比较：若所述空间相关系数大于系数阈值，则该监测数据的空间相关检测结果为正常；若所述空间相关系数不大于系数阈值，则该监测数据的空间相关检测结果为异常，判断该监测数据为异常数据。

优选地，所述根据数据的时间相关性特征，对所述监测数据进行时间相关检测，获得其中的异常数据具体为：

S25.针对任一簇中任一节点的监测数据，利用滑动窗口获取该任一节点在该监测数据获取时间之前且最前的多个历史监测数据；

S26.利用所述多个历史监测数据进行预测，得到预测数据；

S27.计算该监测数据与该预测数据的欧式距离，比较该欧式距离与预设的时间相关阈值：若该欧式距离小于时间相关阈值，则该监测数据的时间相关检测结果为正常；若该欧式距离不小于时间相关阈值，则该监测数据的时间相关检测结果为异常，判断该监测数据为异常数据。

优选地，步骤S3具体为：对于任一异常数据：若其空间相关检测结果与时间相关检测结果均为异常，则判断该异常数据为恶意数据；若其空间相关检测结果为异常，时间相关检测结果为正常，则判断该异常数据为事件数据；若其时间相关检测结果为异常，空间相关检测结果为正常，则判断该异常数据为事件数据。

优选地，在步骤S2之后，所述方法还包括：对于任一监测数据，若其空间相关检测结果与时间相关检测结果均为正常，则判断该监测数据为正常数据。

优选地，在步骤S3之后，所述方法还包括：若监测数据为事件数据，向监测者发送告警信号；若监测数据为恶意数据，降低发送该恶意数据的节点的信誉度；若节点的信誉度低于第一信誉阈值，则使数据不从该节点转发；若节点的信誉度低于第二信誉阈值，则屏蔽该节点。

优选地，步骤S11具体为：根据传感器网络中各节点的空间位置信息，利用K-Means聚类法对各节点进行聚类，将空间位置接近的节点划分到同一簇中。

优选地，步骤S26具体为：根据所述多个历史监测数据，利用指数平滑预测法得到预测数据；以及所述传感器网络为无线传感器网络。

根据本发明的另一个方面，提供一种传感器网络异常数据检测系统，包括：数据获取模块，用于获取传感器网络的监测数据；异常判断模块，用于根据数据的空间相关性特征，对数据获取模块获取的所述监测数据进行空间相关检测，获得其中的异常数据；并根据数据的时间相关性特征，对所述监测数据进行时间相关检测，获得其中的异常数据；异常分类模块，用于针对任一异常数据，结合所述空间相关检测及所述时间相关检测的检测结果，判断该异常数据是事件数据或恶意数据。

在本发明的技术方案中，在获取传感器网络的监测数据之后，分别进行空间相关检测与时间相关检测，由两种途径检测其中的异常数据，并结合两种方法的检测结果，判断异常数据是事件数据还是恶意数据。本发明可实时检测传感器网络中的异常数据，并对检测出的异常数据进行准确鉴别。

附图说明

图1是本发明实施例的传感器网络异常数据检测方法示意图；

图2是本发明实施例的空间相关检测流程示意图；

图3是本发明实施例的时间相关检测流程示意图；

图4是本发明实施例的传感器网络异常数据检测系统示意图；

图5是本发明实施例的传感器网络异常数据检测方法另一示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举出优选实施例，对本发明进一步详细说明。然而，需要说明的是，说明书中列出的许多细节仅仅是为了使读者对本发明的一个或多个方面有一个透彻的理解，即便没有这些特定的细节也可以实现本发明的这些方面。

本发明的发明人考虑到：近年来，随着智慧城市、物联网的普遍应用，无线传感器网络得到飞速发展，而实时发现异常数据，并对其进行准确区分进而有效处理是网络安全的基础。同样，在军事领域及工业领域，恶意攻击对网络安全造成重大威胁，迅速准确地识别恶意数据具有重要的现实意义。但是，现有的异常数据监测方法只考虑时间相关性或空间相关性，没有将二者结合，使得检测准确率不高，而且也无法区分恶意数据和事件数据。同时，现有的很多异常数据检测方法计算复杂度较高，通信成本也较高，无法适用于计算资源有限、存储资源有限的无线传感器网络。

基于上述考虑，本发明的发明人综合时空相关性特征进行监测数据的检测，可快速检测传感器网络中可能存在的异常数据，并从中准确鉴别恶意数据与事件数据，进而进行针对性处理，从而在维护网络安全性的同时准确了解监测区域的变化情况。本发明提供的传感器网络异常数据检测方法与系统计算简便、成本较低、在无线传感器网络的数据监测中具有广阔应用前景。

以下详细介绍本发明的技术方案。

图1示出了本发明的传感器网络异常数据检测方法，参见图1，异常数据检测方法具体按照下面的步骤执行：

步骤S1，获取传感器网络的监测数据。

具体地，当传感器网络每个监测周期的监测数据发送至基站后，获取上述监测数据进行检测。一般地，传感器网络指无线传感器网络。

步骤S11，根据传感器网络中各节点的空间位置信息对各节点进行聚类，将空间位置接近的节点划分到同一簇中。上述空间位置接近指的是二节点的空间距离在预设的距离门限之内。一般地，上述步骤针对传感器网络所有节点聚类，聚类完成后，对于任一节点均存在一个簇与之对应。

实际应用中，空间位置接近的传感器节点具有空间相关性，其监测的数据相差不大。如果选择通信范围内的所有节点作为计算节点，那么在空间相关检测过程中将产生大量的通信和计算开销，计算复杂度将以节点数量的平方增加。在本发明优选实施例中，使用K-Means聚类方法对传感器节点进行聚类，可确保同一簇内的各节点位置接近，从而实现节点空间的合理划分，同时降低通信与计算开销。

步骤S2，根据数据的空间相关性特征，对监测数据进行空间相关检测，获得其中的异常数据。根据数据的时间相关性特征，对监测数据进行时间相关检测，获得其中的异常数据。

一般地，针对监测数据的空间相关检测与时间相关检测是并列的，二者的执行顺序可根据实际需求灵活设置。

下面首先介绍空间相关检测方法，其具体流程可参见图2。

一般来说，在根据步骤S11划分的一个簇内，如果某个节点的监测数据与其它节点相差过大，则可认为该数据异常。于是可基于距离进行数据挖掘。基于距离的数据挖掘方法不同于现有的基于统计的方法，基于距离的方法使用机器学习的思想，无需先验数据，不需要训练数据模型。从这一点来说，基于距离的方法和基于密度的方法是相同的，都属于邻近度的方法，但是基于密度的方法较为复杂，不适合大规模无线传感器网络。

基于距离的空间相关检测具体根据以下步骤执行：

步骤S21，针对任一簇中任一节点的监测数据，分别计算该监测数据与该簇内其它每一节点同一时刻的监测数据的欧式距离。上述同一时刻指的是用于计算的其它节点的数据与待检测数据对应于同一时刻。

欧式距离的定义为：

对于两个n维向量X_a(x_a1,x_a2,...,x_an)、X_b(x_b1,x_b2,...,x_bn)，欧氏距离为：

当X_a、X_b均为一维向量时，其欧氏距离为：

d(a,b)＝|x_a-x_b|

步骤S22，将计算的各欧式距离与预设的欧式距离阈值比较，将小于欧式距离阈值的欧式距离的个数作为待检测监测数据的空间相关数。

步骤S23，将空间相关数除以该簇中的节点总数，获得待检测监测数据的空间相关系数。

步骤S24，将空间相关系数与预设的系数阈值比较：若空间相关系数大于系数阈值，则待检测监测数据的空间相关检测结果为正常；若空间相关系数小于等于系数阈值，则待检测监测数据的空间相关检测结果为异常，判断此监测数据为异常数据。

通过步骤S21到S24，即可实现监测数据的空间相关检测，在计算复杂度及通信成本较低的情况下，实时检测出空间相关维度的异常数据。

下面介绍时间相关检测方法，其具体流程可参见图3。

一般地，在无线传感器网络中，传感器节点以一定的时间间隔获取监测数据，每个传感器节点传输的数据可形成一个时间序列。通过时间序列分析，可以得出数据序列所遵从的统计规律。传感器节点采集的数据可以有很多类型，如温度、湿度、光照等，上述监测指标范围不同，表现形式也不同，倘若按照不同的监测指标建立不同的时间序列模型，时间复杂度极高，实施难度极大，不适用于无线传感器网络。但是，本发明的发明人发现，在不考虑节点长时间休眠的情况下，每种监测指标的共同点是在一小段时间内测量值不会产生较大的上升或下降趋势。与积分的思想类似，可以认为测量值的变化是由一系列的平稳状态积累而成。

基于上述考虑，本发明的发明人提出一种基于滑动窗口的指数平滑预测法来进行时间相关检测。传感器网络数据量大，处理能力较为有限，而指数平滑预测法是时间序列预测方法中复杂度低、计算量小的一种分析方法，因此十分适用于传感器网络。在此基础上，使用滑动窗口的思想，选取窗口大小为L(L为大于1的整数)，只选取当前数据的前L个历史数据进行分析，同时，由于在相对较短的时间内测量值没有明显的趋势变化，可采用一次指数平滑法来进行预测。

时间相关检测按照下列步骤执行：

步骤S25，针对任一簇中任一节点的监测数据，利用滑动窗口获取该任一节点在该监测数据获取时间之前且最前的L个历史监测数据。上述最前指的是在待检测数据之前，并且与待检测数据最为接近的数据。譬如，P1、P2、P3、P4、P5为监测数据时间序列，数据P5的最前2个数据为P3、P4。

步骤S26，利用L个历史监测数据进行预测，得到预测数据。较佳地，采用指数平滑预测法进行上述预测。

步骤S27，计算待检测监测数据与预测数据的欧式距离，比较上述欧式距离与预设的时间相关阈值：若欧式距离小于时间相关阈值，则待检测监测数据的时间相关检测结果为正常；若欧式距离大于等于时间相关阈值，则待检测监测数据的时间相关检测结果为异常，判断该数据为异常数据。

通过步骤S25到S27，即可实现监测数据的时间相关检测，快速检测出时间相关维度的异常数据。

针对空间相关检测与时间相关检测得到的异常数据，本发明的发明人分析：一般来说，恶意数据在空间与时间维度均与邻近数据显著不同，而事件数据往往只存在一个维度的不同，由此可以对异常数据进行鉴别。鉴别过程如下：

步骤S3，针对通过时间、空间相关检测得到的任一异常数据，结合空间相关检测及时间相关检测的检测结果，判断该异常数据是事件数据或恶意数据。

具体地，对于任一监测数据：若其空间相关检测结果与时间相关检测结果均为异常，则判断该数据为恶意数据；若其空间相关检测结果与时间相关检测结果均为正常，则判断该数据为正常数据；若空间相关检测结果为异常，时间相关检测结果为正常，则判断该数据为事件数据；若时间相关检测结果为异常，空间相关检测结果为正常，则判断该数据为事件数据。

这样，本发明通过时间相关检测与空间相关检测结合的方法实现了异常数据的检测与分类。

对于已分类的事件数据与恶意数据，本发明进行下列不同处理：

对于事件数据，向监测者发送告警信号引起其注意，使其及时了解监测区域的实时变化情况。

对于恶意数据，修正此数据并降低发送该恶意数据的节点的信誉度。若节点的信誉度低于第一信誉阈值，则使数据不从该节点转发。若节点的信誉度低于第二信誉阈值，则屏蔽该节点，不再接受其数据。显然，第二信誉阈值一般小于第一信誉阈值。

通过上述处理，本发明在及时了解监测区域情况的同时惩处恶意节点，维护网络安全。

图5是本发明传感器网络异常数据检测方法的另一个示意图，从中可以看到时间相关检测与空间相关检测结合的具体过程。

图4示出了本发明的传感器网络异常数据检测系统组成，检测系统包括数据获取模块300、异常判断模块400、异常分类模块500。具体而言：

数据获取模块300用于获取传感器网络的监测数据。

异常判断模块400用于根据数据的空间相关性特征，对数据获取模块300获取的监测数据进行空间相关检测，获得其中的异常数据；并根据数据的时间相关性特征，对监测数据进行时间相关检测，获得其中的异常数据。

异常分类模块500用于针对任一异常数据，结合空间相关检测及时间相关检测的检测结果，判断该异常数据是事件数据或恶意数据。

根据本发明提供的传感器网络异常数据检测方法与系统，能够实时对无线传感器网络节点监测的数据进行异常检测。每个监测周期的数据发送至基站后，便可通过数据间的时空相关性进行检测，不但可以找出异常数据，还可以对检测出的异常数据进行分类，准确辨别异常数据是恶意数据还是事件数据，从而对不同的异常数据进行针对性的处理。本发明可广泛应用于企事业单位、军事领域、工业领域的传感器网络数据监测、物联网信息监测，具有较高实用价值。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读取存储介质中，如：ROM/RAM、磁碟、光盘等。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。