专利名称:一种车载自组织网络的分布式入侵检测方法
技术领域:
本发明涉及车载自组织网络领域,特别是涉及一种车载自组织网络的入侵检测方法。
背景技术:
车载自组织网络以车辆为基本信息单元,通过车与车、车与路边设施的实时信息交互来保证车辆行驶安全、规避道路拥塞和提高出行舒适度。车载自组织网络的安全机制可以分为基于预防的安全机制和基于检测的安全机制。其中基于预防的安全机制主要指密钥管理和认证实现的访问控制,而基于检测的安全机制则主要指入侵检测。通常,基于预防的防御策略对于那些已经加入车载自组织网络的恶意节点是无能为力的。作为基于检测的安全机制,入侵检测 技术可以很好地进行补充。资料表明,目前已有较多无线自组织网络入侵检测方面的成果,但是,到目前为止,国内外仅有少量可供参考的车载自组织网络入侵检测方面的成果。Kachirski等人针对无线自组织网络提出一种基于移动安全代理的入侵检测系统,这种系统的前提是被选出的代理节点必须是绝对可信任的。由于迅速的拓扑变化将导致频繁选举代理节点,因此该方案不适用于车载自组织网络。Zhang等人考虑使用统计技术来解决无线自组织网络中的入侵检测问题。但是该方案应用到车载自组织网络也将面临拓扑迅速变化的挑战:很可能在信息搜集和分析决策完成之前,某些恶意节点已经脱离该网络了。Tian等人提出一种依赖于公交车网络(由公交车构成的虚拟移动骨干网)的入侵检测系统,它以公交车为簇头,将整个车载自组织网络划分为若干簇,在每个簇中实现基于合作的入侵检测。这种系统明显的特点是必须依赖于公交车网络的底层结构。综上所述,一方面由于车载自组织网络中节点的高速移动性使得节点间基于合作的检测很难实现,另一方面基于单个节点的检测又很难搜集到足够的信息用于分析决策。因此,迫切需要设计一种既能充分考虑车载自组织网络高速移动、频繁拓扑变化的特点又具有较高检测能力的入侵检测方法。入侵检测系统是一种对网络传输进行实时监测,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IETF将一个入侵检测系统分为四个组件:事件产生器,事件分析器,响应单元和事件数据库。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。根据检测对象的不同,入侵检测系统可分为主机型、网络型和分布式。误用检测和异常检测是入侵检测系统最常见的两种分类模型。误用检测是指使用自定义的描述语言生成入侵模式,并解析网络数据等信息,使各信息与入侵模式进行逐一的匹配,从而发现攻击。异常检测是指通过量化分析与统计分析建立正常的使用规则,并将该规则与当前的系统或用户行为进行比较,根据彼此的差异区分攻击行为。除此之外,神经网络、遗传算法、隐马尔可夫、支持向量机、粗糙集以及人工免疫算法等智能方法也被广泛应用于入侵检测。其中基于朴素贝叶斯分类器的入侵检测方法具有分类效果好、鲁棒性强的特点,能够根据少量的训练数据就能估计出必要的参数,但是在直接应用到车载自组织网络时存在一定的局限性,如:没有考虑训练集中未出现过的事件的概率;不能直接处理数据中的连续属性等。
发明内容
本发明所要解决的技术问题是:如何创新地设计一种既能充分考虑车载自组织网络高速移动、频繁拓扑变化的特点又具有较高检测能力的分布式入侵检测方法。为了解决上述问题,本发明公开了一种车载自组织网络分布式入侵检测方法,其技术方案包括以下各步骤:
步骤1:车载自组织网络中的车辆节点对采集到的原始数据进行预处理,包括无用数据过滤、类型转换和格式统一;
步骤2:车辆节点采用改进的朴素贝叶斯分类算法启动本地检测;
步骤3:当检测出异常时,当前节点将数据标记为异常并存入本地特征库,其本地响应模块立即采取响应措施,同时,当前节点通过联机响应模块向邻居节点发出异常报警并传递异常特征;反之,如果检测为正常,则将数据标记为正常并存入本地特征库;
步骤4:邻居节点在收到异常报警和异常特征后立即隔离异常报警来源节点,启动本地检测,如果发现异常,则存入本地特征库,其本地响模块立即采取响应措施,同时,通过联机响应模块向除异常报警来源节点以外的其它邻居节点发出异常报警并传递异常特征;反之,如果检测正常,则邻居节点不会触发联机响应模块;
步骤5:通过这种方式不断传递下去,从而实现整个车载自组织网络的分布式入侵检 测。与现有技术相比,本发明具有以下优点:
(1)本发明采用了一种适用于车载自组织网络的分布式入侵检测体系结构,车辆节点在本地响应模块的基础上,增加了联机响应模块和异常特征的网络传递功能,实现了分布式网络环境下车辆节点之间的合作检测以及异常特征的联机学习,提高了整个车载自组织网络的分析检测能力,具有体系结构简单、复杂度低、学习能力强和智能化程度高的特点;
(2)本发明采用了一种改进的朴素贝叶斯分类算法用于车辆节点的本地检测,该算法利用等宽区间法将连续属性离散化,引入拉普拉斯平滑从观测到的攻击估计未观测到攻击的概率,利用半衰期更新法不断更新本地特征库,这些措施成功解决了朴素贝叶斯分类算法不能处理数据中连续属性的问题以及可能出现事件概率分配不合理的现象,提高了单个车辆节点分析检测的能力。
图1为本发明的车载自组织网络的分布式入侵检测系统的体系结构图。图2为本发明的改进的朴素贝叶斯分类算法流程图。
具体实施例方式下面结合附图对本发明进行详细说明。
如附图1所示,车载自组织网络的分布式入侵检测系统中每个节点由数据处理、本地检测、特征库、本地响应和联机响应模块组成。本发明方法按照以下步骤进行:
步骤1:车载自组织网络中的车辆节点对采集到的原始数据进行预处理,包括无用数据过滤、类型转换和格式统一;
步骤2:车辆节点采用改进的朴素贝叶斯分类算法启动本地检测;
如附图2所示,改进的朴素贝叶斯分类算法包括以下步骤:(1)利用等宽区间法离散化连续属性;(2)建立多项式事件模型;(3)利用朴素贝叶斯分类器得到目标函数;(4)利用拉普拉斯平滑法估价参数值;(5)计算出目标函数值并得到检测结果;(6)利用半衰期更新法更新特征库。下面结合附图2对改进的朴素贝叶斯分类算法的各个步骤进行详细说明:(1)利用等宽区间法离散化连续属性。由于采集到的数据中有些属性值是连续的,不能直接用于朴素贝叶斯分类器,因此需要采用等宽区间法将数据中的这部分连续属性离散化。等宽区间法是一种简单的无监督学习的离散化方法,其离散过程如下:根据指定的
区间数&将连续属性的值域
权利要求
1.一种车载自组织网络的分布式入侵检测方法,其特征在于,包括以下各个步骤: 步骤1:车载自组织网络中的车辆节点对采集到的原始数据进行预处理,包括无用数据过滤、类型转换和格式统一; 步骤2:车辆节点采用改进的朴素贝叶斯分类算法启动本地检测; 步骤3:当检测出异常时,当前节点将数据标记为异常并存入本地特征库,其本地响应模块立即采取响应措施,同时,当前节点通过联机响应模块向邻居节点发出异常报警并传递异常特征;反之,如果检测为正常,则将数据标记为正常并存入本地特征库; 步骤4:邻居节点在收到异常报警和异常特征后立即隔离异常报警来源节点,启动本地检测,如果发现异常,则存入本地特征库,其本地响模块立即采取响应措施,同时,通过联机响应模块向除异常报警来源节点以外的其它邻居节点发出异常报警并传递异常特征;反之,如果检测正常,则邻居节点不会触发联机响应模块; 步骤5:通过这种方式不断传递下去,从而实现整个车载自组织网络的分布式入侵检测。
2.根据权利要求1所述的改进的朴素贝叶斯分类算法,其特征是: 改进的朴素贝叶斯分类算法包括以下步骤:(1)利用等宽区间法离散化连续属性;(2)建立多项式事件模型;(3)利用朴素贝叶斯分类器得到目标函数;(4)利用拉普拉斯平滑法估价参数值;(5)计算出目标函数值并得到检测结果;(6)利用半衰期更新法更新特征库。
全文摘要
本发明提供了一种车载自组织网络的分布式入侵检测方法,车辆节点采用改进的朴素贝叶斯分类算法启动本地检测,当检测出异常时,将数据标记为异常并存入本地特征库,其本地响应模块立即采取响应措施,同时,通过联机响应模块向邻居节点发出异常报警并传递异常特征,如果邻居节点也发现异常,则存入本地特征库,其本地响模块立即采取响应措施,同时,通过联机响应模块向除异常报警来源节点以外的其它邻居节点发出异常报警并传递异常特征,通过这种方式不断传递下去,从而实现整个车载自组织网络的分布式入侵检测,本发明提高了整个车载自组织网络的分析检测能力,具有体系结构简单、复杂度低、学习能力强和智能化程度高的特点。
文档编号H04L29/06GK103237308SQ20131017715
公开日2013年8月7日 申请日期2013年5月15日 优先权日2013年5月15日
发明者刘兴伟, 汪丽, 黄渊, 贺艳, 黄弘, 徐浩 申请人:西华大学