专利名称:基于信任评估的无线传感器网络异常检测方法
技术领域:
本发明涉及一种基于信任评估的无线传感器网络异常检测方法,属于无线传感器网络和物联网安全领域。
背景技术:
无线传感器网络作为无线通信的一个重要分支,是物联网的核心技术,现已取得了较为卓越的成效,并广泛应用于军事、交通、农业和医疗中。无线传感器网络通常由大量的传感节点组成,这些节点分别负责数据感应、收集或者将收到的信息进行中继处理。由于无线传感器网络长期暴露在自然环境中,而且由于开放频谱本身固有的易受攻击等特性,使得无线传输的可靠性变得异常脆弱。在军事应用上,感应节点经常长时间分布在战争区域,这毫无疑问将加大了感应节点被俘获或者节点遭受攻击从而转变成恶意节点的可能 性。与此同时,无线传感器网络与有线网络最大的区别在于其资源有限,包括能量、内存、计算能力等,所以传统有线网络的安全技术(如密钥管理、基于主机的入侵检测等)不能直接移植到无线传感器网络中。因此,提出一种节能、高效的异常检测模型,及时发现存在于网络中的异常节点是无线传感器网络安全必不可少的一部分。作为一种对目标的提前评价机制,信任评估已在金融、航海等领域得到广泛应用。在无线传感器网络中,通过对节点的行为特征进行观察,将观察结果发送给评估节点,然后融合其邻居节点的推荐值,最后根据相应的评估模型从而发现网络中存在的异常节点。这不但提高了路由的可靠性,保证其路径中不包含任意恶意、自私或错误节点,而且解决了基于节点质量和其服务质量的相应接入控制问题。因此,信任机制是网络中节点之间安全通信的必要条件,传统的安全机制不能很好的解决这个问题。现有的信任模型分为以下几类I)基于Bayesian网络的信任模型该模型利用Bayesian网络,根据用户节点的不同需求和偏好灵活的给出目标节点的信任值。该模型的不足之处在于对网络中节点的分布有要求,即假设网络中节点服从正态分布等。而且在设计时没有考虑到恶意节点,缺少相应的惩罚机制,另外在进行大规模的交易时,计算节点信任值的开销很大。2)基于统计分析的信任模型该模型利用现存的恶意节点的异常行为特征数据库,对收集的节点特征值进行一一匹配,如果吻合度达到一定程度,就将其判断为对应的攻击类型。该模型的不足之处在于不能很好的检测新型的攻击类型,只能对已有的攻击类型进行检测,且误判率较高。3)基于推荐的信任模型该模型引入了交易的成功数、交易次数、推荐信息等参数,对于恶意节点也提出了相应的惩罚机制。通过对节点的直接行为进行监测,发现其行为的异常,并结合邻居节点与其交往的历史数据给出间接推荐值,最终整合直接信任值和间接信任值给出节点最后的综合评估,然后通过门限值的设定将节点划定为某种状态,如图I所示。该模型的缺点在于对于推荐信息采取的是完全信任态度,并未考虑推荐节点的可靠度问题。
发明内容
本发明所要解决的技术问题是提供一种基于信任评估的无线传感器网络异常检测方法,该基于信任评估的无线传感器网络异常检测方法易于实施,校准精度高。发明的技术解决方案如下一种基于信任评估的无线传感器网络异常检测方法,包括监测步骤、模糊化步骤、DS融合步骤、推荐信息处理步骤、判断步骤;所述的监测步骤为收集无线传感器网络中各节点的以下五种行为特征数据( I)节点能量的消耗率ECR,评估节点i对被评估节点j的能量消耗速率的监测值 为/·; 'R (/) = WG),其中Δ E (t) =E」(t- Δ t) -E」⑴表示在t- Δ t到t时间内节点j的 .Kl V ’ M
剩余能量变化(消耗),ΛΕ表示t-At到t时间内网络节点的平均能量消耗;取样间隔△ t根据实际评估性能要求决定。为了在过于频繁收集状态数据带来的能量额外消耗和过长时间间隔数据取样带来的安全等级下降之间折衷,一般取值为f60s。(2)节点的数据包接收率PRR:网络中的节点采取ACK机制对数据包的流向进行监测,若节点j从节点i处正确接收一个数据包,则节点j向节点i发送一个ACK数据包。因此,通过统计ACK数据包的数量可以得到节点j正确接收包数量,用以判断节点j处是否存在丢包现象,计算公式如下
/、 RU)/WvVi (/) = Y^y其中Rj (t)表示在t-At到t时间段内,节点j从节点i正确接收包的数量,也等于节点i从节点j处收到的ACK包数量各(t)表示节点i在t- △ t到t时间段内发送给节点j的数据包总和。(3 )数据包发送率PSR 计算公式为PIij( =J ■ PSRi J表示评估节点i对被评估节点j的
数据包发送率变化的监测值,其中Sjt)表示t-At到t时间段节点j的发包数;(4)节点的转发率PFR:
V (/)计算公式为/Wi..,,(/)=,
f V)其中SyiU)表示在时间段t-At到t内节点j从节点i处获得数据包后按照路由表发送给下一跳k的数据包数量,Si_>lu(t)表示在时间段t-At到t内节点i需要节点j转发给节点k的数据包数量;(5)数据相关性
,、TS:(/')—计算公式为··)(. (/)=.,、'OCi j (t)表不评估节点i对被评估节点
j的数据相关性的统计值,这里的数据包差别程度是指数据包中可用的监测数据的差别,监测数据的差别即不同属性监测数据的数据量差异,数据量差异是指当前节点i接收到的节点j的数据Xj与节点i接收到的任一其他节点k的数据xk (假定xk的数据为正常)比较,再除以xk,再衡量比值(比值为(xj-xk)/xk)是否在(_ξ,+ ξ)范围内;,若数据包差别程度在(_ξ,+ ξ)范围内,其中ξ为59TlO%之间的任意一个值,则将TSu(t)的值加I,否则将NTSy⑴的值加I。式中t也表示在时间段t-At到t内,其中TSiJt)和NTS初值分别取为I和O。(每个时段开始,将二者初值按照如前设置,以后每比较一次,根据结果调整加I)在模糊化步骤中,将信任状态分为三个阶级信任、不信任和不确定,用模糊子集T1, T2, T3表示;!\,T2, T3对应的隶属度函数为μ (T1)=O. 95*sigmf(9x_2. 25,[I 4])+0. 03 ;μ (T2) =1-(0. 95*sigmf (9x-2. 25, [I 3])+0. 01); μ (T3)=I-μ (T1)-U (T2),[A Γ])=~Λ—T ;
He1' 1X为五种行为特征数据中的任一个。DS融合步骤中,先对收集的5组特征数据进行模糊化之后得到5组隶属函数值^Ti,分别将5组隶属函数值Mo;赋值给与隶属度函数值对应的基本可信度分配函数队^),即 m” (忑)=/^(1 </2<5,1</<3);合成公式如下
( Φ ) = O< M(Ti)= [ Υ\ηιη Γ ) + ]^· {Τ )^Τ,φΦ'
(^T=Ti 1<η<5其中是=Σ⑷’/⑷=* Σ樣h
"1如55 !< <5推荐信息处理步骤为采用下式计算推荐信任值ITVi, j KVij(Ti) = Iw^DTVki(Ti)'其中DTVt j (Ti)表示节点k对节点j的直接信任评估值,其值为最终隶属值合成后对应的Hi(Ti),Ti表示不同的信任状态,i的取值为1,2,3 ;
— I其中的、1+f 其中i幸k,(因为当i=k时,两节点为同一个节点,节点间
^ r!
i=l uRjM
数据距离为0,权重为I);式中的J为距离,且有£(孓)]2 ,Xi表示上面提
a RkMV =1
取的5个特征值的任一个,E(Xi)表示该特征数据的期望值,是根据所有推荐信息中该特征数据的平均值。判断步骤为先计算最终被评估节点的信任值TVu (Ti),计算公式为
W1+W2=II Wi」⑴=WiDrvi: (:r:)+wjrv,从、其中^和《2表示直接信任值和间接信任值的权重其取值可以根据实际应用进行动态调整,例如W1取O. 6,则W2取O. 4;最后,将得到的信任值TVu(Ti)传入到判断机制中进行判断,其判断准则如下式所示I Beli j(T1)K a
[Plu (T2)-Bell j (T2) <β其中Beli j(0是信度函数,Pli」(·)是似然函数,Bd丨'丨(7:) = Σ (7O,表示对
,j,jJJcr
某种信任状态的支持程度,吨)=Σ., rvU (I) ’表示对某种信任状态的不反对程度,其 中α,β为状态判断参数,α,β可以根据安全等级需求进行取值,其取值越大,判断条件越宽松,其安全等级越高,但随之也会产生较高的误判率,因此实际应用中必须对两者进行权衡。如在实例中,α,β分别取值为O. 5,O. 3如果满足上述规则就将被评估节点判断为恶意节点,并将其列入黑名单,通知其邻居节点避免与被评估节点进行通信。本发明的技术构思本发明的基于信任评估的无线传感器网络异常检测方法的原理如图I所示,采用信任评估机制找出网络中存在的恶意节点。所谓信任评估机制是指应用人类社会中人与人之间信任关系确立的思想对无线传感器网络中的传感器节点进行评估,通过对被评估节点的行为进行监测,从而探测出网络中存在的异常节点,将其广播给邻居节点,防止恶意节点破坏整网的正常运行。其主要步骤为收集节点行为特征,通过模糊理论和DS证据理论计算其信任值,利用判断机制确定节点运行状态,发现恶意节点,确保网络收集数据的有效性。评估节点对其通信范围内的所有节点进行行为特征监测,包括能量消耗率(记为ECR)、数据包接收率(记为PRR)、数据包发送率(记为PSR)、数据包转发率(记为PFR)和数据相关性(记为DO0ECR特征是由被评估节点周期的发出自身剩余能量而得到的,整网内所有的节点都周期性的将自身所剩能量告知周围的邻居节点。当评估节点收到自身通信范围内的被评估节点发来的ECR消息时,便将其与上个周期的数据进行对比计算,从而得到了被评估节点在时间周期内能量的消耗率。全网的能量剩余消息广播时间间隔相同,都由预先设置值确定。当节点正常运行时,每个节点的能量消耗率不会出现巨大的波动。PRR特征是利用ACK机制得到的。当节点收到数据包后便会向其上游(即将数据包发送给它的节点)回送一个ACK数据包,从而通知上游数据包已经送达。利用ACK机制,评估节点通过收集被评估节点发送过来的ACK数据包便可得到被评估节点的数据包接收率。当节点运行正常时,被评估节点应该能够准确无误的接收评估节点发送给它的数据包而不会造成丢包现象。PSR特征是利用消息广播的特性而收集到的。因为每个被评估节点都在评估节点的通信范围内,所以任何被评估节点发送的消息评估节点都可以收到,通过数据包中的ID便可知道是哪个节点发送的数据包,从而统计被评估节点的发包率。PFR特征是通过对比路由表和实际传输路径而得到的。每个传感器节点都保存着一张路由表,从而知道自己的下一跳是哪个节点,于是将收到的数据包进行转发。通过统计按照存储路由表转发数据包的个数得到PFR特征。DC特征是根据感应数据包在空间上具有相关性得到的。也就是说相邻节点根据不同应用所感应到的数据包具有一定的相似性,通过对比邻居节点间感应到的数据的相似度从而收集到DC特征。通过模糊理论和DS证据理论计算其信任值具体为在收集到被评估节点的行为特征值后,将这些特征值传入到信任模型中,最终得到被评估节点的信任值。其中信任模型由两大理论组成模糊理论和DS证据理论。首先利用模糊理论将每个特征值进行模糊化,得到各特征值对三种运行状态(信任状态、不信任状态、不确定状态)的隶属度。然后利用DS证据理论对模糊化处理后得到的5组向量进行融合得到其直接信任值。与此同时,通过收集邻居节点发来的推荐信任值,并根据不同可靠度进行加权融合得到被评估节点的间接信任值。最后根据经验值对直接信任值和间接信任值进行组合,得到被评估节点最终对各个运行状态的隶属度。利用判断机制确定节点运行状态具体为得到被评估节点对各个运行状态的隶属度后,将其传送至判断单元,根据具体的应用环境和要求对判断机制中的参数进行动态调整,从而提高判断的精确度,降低误判率。对于符合恶意节点判断标准的将其进行标记并将其ID告知全网,确保网络的正常运行。有益效果本发明的基于信任评估的无线传感器网络异常检测方法,应用人类社会中人与人之间信任关系确立的思想对无线传感器网节点的信任评估进行建模,提出了节点信任值计算方法。方法能真实有效的反映被评估节点的运行状态,使得网络的通信安全得到最大的保证。该方法首先对被评估节点的行为特征进行监测,然后将监测到的数据通过模糊函数进行模糊化处理,得到各特征值对每个运行状态的隶属程度,接着利用证据理论对模糊后的数据进行融合得到被评估节点的直接信任值。与此同时,被评估节点的邻居节点利用同样的方法对被评估节点进行直接评估,然后将评估后的结果发送给评估节点,评估节点收集完被评估节点的邻居节点发来的推荐信息后根据邻居节点的推荐信息的可靠度进行融合得到被评估节点的间接信任值。最后,根据应用环境和专家经验值进行最后的信任融合, 得到被评估节点的最终信任值,并利用预设的判断机制进行判断,从而找出网络中存在的恶意节点,确保全网节点感应数据的准确性。
图I是本发明的基于信任评估的无线传感器网络异常检测方法的原理示意图;图2是应用场景图;图3是隶属函数示意图;图4是检测率性能分析图。
具体实施例方式以下将结合附图和具体实施例对本发明做进一步详细说明实施例I :
如图2所示,图中节点i对节点j进行信任评估,虚线圆圈代表节点的传输范围。节点j必须位于节点i的通信范围内。且节点i只接收来自推荐节点R1、R2、R3的关于节点j的推荐信息,也即节点i和节点j的共同的邻居节点。这是由于评估节点收到的被评估节点的推荐信息所经过的跳数越多,其真实性越低。为了防止诸如坏嘴攻击类型的内部攻击,本发明中的信任模型只接收总跳数为两跳的推荐信息(一跳范围内的推荐信息实质就是直接监测信息)。本发明的信任模型由5个阶段组成。包括监测阶段、模糊阶段、DS融合阶段、推荐信息处理阶段、判断阶段。I)监测阶段 对节点进行信任评估,首要任务就是收集其行为特征数据,并对其进行量化。因为攻击类型的复杂多变,不同的攻击对节点的行为影响表现各异,所以只从一个方面对节点的行为特征进行考量粒度较粗,不能准确地判断出恶意节点。本发明中的信任模型从5个方面对节点的行为进行监测。一是节点能量的消耗率。节点的能量是有限的,节点的任何行为都将消耗节点的存储能量,所以通过对节点当前的能量消耗速率可以有效反应出节点的当前信任状态。其计算公式如下
权利要求
1.一种基于信任评估的无线传感器网络异常检测方法,其特征在于,包括监测步骤、模糊化步骤、DS融合步骤、推荐信息处理步骤、判断步骤; 所述的监测步骤为收集无线传感器网络中各节点的以下五种行为特征数据 (1)节点能量的消耗率ECR,评估节点i对被评估节点j的能量消耗速率的监测值为 叫,其中
2.根据权利要求I所述的基于信任评估的无线传感器网络异常检测方法,其特征在于,在模糊化步骤中,将信任状态分为三个阶级信任、不信任和不确定,用模糊子集T1, T2, T3表示J1, T2, T3对应的隶属度函数为U (T1)=O. 95*sigmf(9x-2. 25,[14] )+0. 03 ; U (T2) =1-(0. 95*sigmf (9x-2. 25, [13] )+0. 01);U (T3)=I-U (T1)-U (T2);其中
3.根据权利要求2所述的基于信任评估的无线传感器网络异常检测方法,其特征在于,DS融合步骤中,先对收集的5组特征数据进行模糊化之后得到5组隶属函数值Mu5,分别将5组隶属函数值武值给与隶属度函数值对应的基本可信度分配函数Hin(Ti),即
4.根据权利要求3所述的基于信任评估的无线传感器网络异常检测方法,其特征在于,推荐信息处理步骤为采用下式计算推荐信任值ITVu :
5.根据权利要求4所述的基于信任评估的无线传感器网络异常检测方法,其特征在于,判断步骤为先计算最终被评估节点的信任值TVy(Ti),计算公式为
全文摘要
本发明公开了一种基于信任评估的无线传感器网络异常检测方法,包括监测步骤、模糊化步骤、DS融合步骤、推荐信息处理步骤、判断步骤;其主要过程是收集节点行为特征,通过模糊理论和DS证据理论计算其信任值,利用判断机制确定节点运行状态,发现恶意节点,确保网络收集数据的有效性。本发明通过对被评估节点的行为进行监测,从而探测出网络中存在的异常节点,将其广播给邻居节点,防止恶意节点破坏整网的正常运行。
文档编号H04W12/12GK102802158SQ20121027886
公开日2012年11月28日 申请日期2012年8月7日 优先权日2012年8月7日
发明者伍仁勇, 邓学, 肖长清, 李仁发 申请人:湖南大学