基于信任及噪声点检测技术的多协议层的入侵检测方法与流程
本发明涉及无线传感网络安全领域,具体涉及一种基于信任及噪声点检测技术的多协议层的入侵检测方法。
背景技术:
由于节点部署和无线通信的开放性,无线传感网络面临着严重的安全问题。在某些无线传感网的部署中,节点可能会被捕获,关键信息被窃取。攻击者的目的是破坏无线传感网络的安全属性,包括机密性、完整性、可用性和身份认证。为了实现这些攻击目标,攻击者会从无线传感网的不同协议层发动攻击。在无线传感网络中,除了针对单个协议层的攻击外,还存在与多协议层相关的跨层攻击。与单层相比,跨层攻击可以获得更好的攻击效果,同时更好的隐藏攻击行为或者降低攻击的代价。
传统技术存在以下技术问题:
现在的无线传感网络(wsn)入侵检测模型还存在着一些未解决的问题,一些模型根据网络流量的异常来检测攻击,实际上,并不是所有的无线传感网络的攻击都会引起异常的网络流量。还有一些入侵检测的模型只针对几种典型的攻击类型。很少考虑不同类型的同时或者跨层攻击,无线传感网络上的攻击行为通常是相互关联的和相互转化的。因为仅仅是通过研究某种攻击就很难获得良好的检测性能,存在很大的局限性。因此跨层或者多种攻击有必要引起更多的关注。
技术实现要素:
本发明要解决的技术问题是提供一种基于信任及噪声点检测技术的多协议层的入侵检测方法,可以有效的检测出不同协议层的攻击类型,既可以适合分层结构的无线传感网络,也适用于平面结构的无线传感网络。
为了解决上述技术问题,本发明提供了一种基于信任及噪声点检测技术的多协议层的入侵检测方法,包括:
搭建无线传感器网络;
通过计算节点在物理层、mac层、网络层关键参数的相对偏差值得到节点在各层的信任值;
根据物理层、mac层、网络层得到的信任值,进行融合得到总的信任值;
由数据噪声点技术将数据带入检测出异常的节点,得到传感器节点的噪声点列表;
利用惩罚机制,确定惩罚力度,得到最终节点的信任值,对于信任值低于阈值的节点,列为恶意节点。
在其中一个实施例中,“通过计算节点在物理层、mac层、网络层关键参数的相对偏差值得到节点在各层的信任值;”具体包括:
根据发送、接受、转发包的数量来衡量能量损耗,利用能耗的相对偏差值得到物理层的信任值;
根据节点的退避窗口是随机的机制,以及包重传次数,可以得到节点的空闲时间和重传率;利用节点空闲时间和重传率的与邻居节点的相对偏差值得到mac层的信任值;
根据节点的包转发率和节点到簇头的跳数的与邻居节点的相对偏差值计算网络层的信任值。
在其中一个实施例中,“由数据噪声点技术将数据带入检测出异常的节点,得到传感器节点的噪声点列表;”具体包括:
各协议层的参数作为数据,发送给簇头或者基站;
簇头或基站将接收到的参数,利用得到的信任值给与每个节点参数的不同权重,带入算法中得到检测结果;
将得到的检测结果生成一个传感器噪声点列表,并发送给各个节点。
在其中一个实施例中,“利用惩罚机制,确定惩罚力度,得到最终节点的信任值,对于信任值低于阈值的节点,列为恶意节点。”具体包括:
利用协议层的融合信任值对节点的惩罚力度加上权重,信任值越高,惩罚力度越大;
对节点的信任值进行惩罚,得到最终节点的信任值;
利用误报率和漏报率得到最佳的检测阈值,将节点信任值与阈值对比,小于阈值即为恶意节点
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现任一项所述方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一项所述方法的步骤。
一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行任一项所述的方法。
本发明的有益效果:
多个协议层的参数相对偏差作为信任度量,利用加权法建立信任系统模型,并通过数据噪声点检测技术建立惩罚机制;监控节点对物理层、mac层和网络层观察被监控节点的关键参数,并计算这些关键参数的相对偏差,根据参数的相对偏差,监控节点可以通过不同层协议层聚合信任值来评估对被监控节点的可信度,并将可信度和关键参数发送给簇头(ch)或者基站(bs)。簇头和基站可以通过多个监控节点的评估信任值来计算节点的聚合信任值,同时簇头或者基站将在周期性的利用噪声检测技术获得异常关键参,对存在异常关键参数数据的节点进行惩罚,降低其信任值。如果节点的信任值小于阈值,则将该节点视为异常节点;信任值由不同协议层的关键参数决定;可以有效的检测出不同协议层的攻击类型;既可以适合分层结构的无线传感网络,也适用于平面结构的无线传感网络。
附图说明
图1基于信任及噪声点检测技术的多协议层的入侵检测方法中的分层结构无线传感网络的示意图。
图2是最佳的误报率和各种攻击下的漏报率图。
图3是基于信任及噪声点检测技术的多协议层的入侵检测方法与nbbte方案的检测率对比图。
图4是基于信任及噪声点检测技术的多协议层的入侵检测方法与pltb方案的检测率对比图。
图5是基于信任及噪声点检测技术的多协议层的入侵检测方法与nbbte方案的误报率对比图。
图6是基于信任及噪声点检测技术的多协议层的入侵检测方法与pltb方案的误报率对比图。
图7是基于信任及噪声点检测技术的多协议层的入侵检测方法与nbbte方案的漏报率对比图。
图8是基于信任及噪声点检测技术的多协议层的入侵检测方法与pltb方案的漏报率对比图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
在本发明中,提出一种结合信任系统和数据噪声点检测技术的多协议层入侵检测模型。该模型中将多个协议层的参数相对偏差作为信任度量,利用加权法建立信任系统模型,并通过数据噪声点检测技术建立惩罚机制。在我们的方案中,监控节点对物理层、mac层和网络层观察被监控节点的关键参数,并计算这些关键参数的相对偏差,根据参数的相对偏差,监控节点可以通过不同层协议层聚合信任值来评估对被监控节点的可信度,并将可信度和关键参数发送给簇头(ch)或者基站(bs)。簇头和基站可以通过多个监控节点的评估信任值来计算节点的聚合信任值,同时簇头或者基站将在周期性的利用噪声检测技术获得异常关键参,对存在异常关键参数数据的节点进行惩罚,降低其信任值。如果节点的信任值小于阈值,则将该节点视为异常节点。因为本发明提出的方案,信任值由不同协议层的关键参数决定,因此,我们的模型可以有效的检测出不同协议层的攻击类型。而且,我们的模型既可以适合分层结构的无线传感网络,也适用于平面结构的无线传感网络。
步骤1:搭建无线传感器网络
本发明用于对多协议层以及跨层的入侵检测,如图1所示为分层结构无线传感网络,每个簇内由许多节点(sns)组成,簇内的节点可以直接或者通过簇内其他节点与簇头进行通信。簇头可以直接或者通过其他簇头将簇内收集到的信息发送给基站。
步骤2:根据节在物理层、mac层、网络层关键参数的相对偏差值得到节点在各层的信任值。步骤21:根据发送、接收、转发包的数量来衡量能量损耗。利用能耗的相对偏差值得到物理层的信任值。
在物理层中,我们根据监控节点i,监控节点j的传输通信过程中产生的发送包传输,转发包、接受包的数量总和,来粗略估计δt时间段内的能量消耗。在i可以得到其相邻节点j在δt时间段的能耗,节点j的能耗的相对偏差可以得出:
tcj(t)=s_packj(t)+r_packj(t)+f_packj(t)\*mergeformat(1)
在式(1)中,s_packj(t)、r_packj(t),f_packj(t)分别表示j节点在t时刻发包总数量、接受包的总数量和转发包的总数量。式(2)中,δtcj(t)=tcj(t)-tcj(t-δt),
在式(3)中,如果节点能量消耗与邻居节点的平均能量消耗的相对偏差值大于1时,表明节点的能量消耗已经超过或者低于邻居节点的平均节点能量消耗的两倍甚至两倍以上,此时的节点就可能为恶意节点,将信任值降为0。
步骤22:根据节点的退避窗口是随机的机制,以及包重传次数,可以得到节点的空闲时间和重传率。利用节点空闲时间和重传率的与邻居节点的相对偏差值得到mac层的信任值。
mac层的信任值计算,我们将节点连续两次成功传输的间隔时间定义为空闲时间。攻击者通过降低随机退避时间来减少等待时间,减少两次传输的时间间隔,恶意节点的空闲时间将小于非恶意节点的空闲时间。恶意节点通过对帧进行扰乱,以获得信道访问的优先级。由于恶意节点有着对信道访问更高的优先级,所以恶意节点的重传率将会低于非恶意节点。,我们将空闲时间和重传率作为mac层的信任度量。那么节点i将节点j的信任值评估为:
在式(4)中,m1,m2为两个参数信任度量的权重。m1∈[0,1],m2∈[0,1],且m1+m2=1。m1,m2权重的值由在实施检测系统的实际情况来定。
式(5)fdifs表示节点长帧间隔(difs)帧的持续时间,
在式(6)中,m为成功发送数据的节点的个数,由空闲时间的相对偏差值,可以到得到空闲时间这一参数的信任值。
由式(7),我们可以看出如果被监测节点的空闲时间小于簇内的平均空闲时间,那么其信任值将会减小。
为了计算
在式(8)中,rsij(t)表示节点j的在时间δt周期内重传次数。s_packj(t)表示节点j在δt时间周期内发送包的数。还可以通过监测节点i获得其相邻节点在δt时间周期内的平均重传率。
在式(9)中,rs_rateik(t)表示k节点在δt时间周期内的重传率,k是节点i的邻居节点之一。n表示节点i的相邻节点数量。由式(13)可得被监测节点j的相邻节点的平均重传率,并计算出重传率相对偏差值。我们利用节点j的重传率的相对偏差值,得到重传率的:
步骤23:根据节点的包转发率和节点到簇头的跳数的与邻居节点的相对偏差值计算网络层的信任值。
网络层的信任值计算,将节点到达簇头的跳数和包的转发率两个作为信任度量。因此我们计算出网络层的信任值为式(11):
q1∈[0,1],q2∈[0,1]是权重值,且q1+q2=1。q1和q2权重值可以根据网络部署的实际情况来确定。
我们先计算跳数作为信任值度量的信任值,监测节点通过对被监测节点和其周围邻居节点跳数的相对偏差值作为被信任值。
在式子(12)中,n表示邻居节点的数量,k是被监测节点的邻居节点之一。由邻居节点的平均跳数可以计算出被监测节点j的跳数和邻居节点的平均跳数的相对偏差值。由此可以得被监测j节点的信任值。
在式(13)中hop_countj表示节点j到簇头的跳数。当被监测节点的跳数小于邻居节点的平均跳数时,信任值将会下降。
监测节点i可以获得被监测节点j的包转发率,还可以得到转发的获得转发率的信任值。
fpj(t)表示节点j成功转发包的数量,rfpj(t)表示节点j由周围节点转发过来的包的数量。由式(14)可以看出如果节点的j没有转发成功,那么信任值就会相应的下降。
步骤3:根据物理层、mac层、网络层得到的信任值,进行融合得到总的信任值。
节点j对节点i的信任值根据节点的各协议层的参数的相对偏差值得到。总的信任值公式为
式(15)中
考虑一个节点是否是恶意节点,我们通过将节点的信任值与我们预设的信任值阈值进行比较。在簇内,由于监测节点将其有关相邻节点的信任评估结果发送给簇头,簇头可以计算j的平均信任值作为其信任值:
其中tij(t)为当前j节点的融合信任值,n表示节点j有关相邻节点的数量。簇头的信任值的计算与簇内节点的信任值计算相同。
步骤4:然后由数据噪声点技术将数据带入检测出异常的节点,得到传感器节点的噪声点列表。
步骤41-步骤42:各协议层的参数作为数据,发送给簇头或者基站,簇头或基站将接收到的参数,利用s1得到的信任值给与每个节点参数的不同权重,带入算法中得到检测结果。
数据噪声点检测技术,我们对mac层中,δt时间内退避窗口(cw)的平均大小作为噪声点检测的关键参数,当平均退避窗口的越小,信道的优先级就越高,越有可能受到攻击。在网络层中,将节点包的转发率和到簇头的跳数和作为噪声点检测的关键参数,因为当邻居节点中出现大量的恶意节点时,与邻居节点的相对偏差值将出现严重的误差。将上两种参数作为关键参数可以降低检测过程的误差。簇头或基站将s1得到的信任值作为数据可信的权重,使用dbscan算法做噪声点检测。
步骤43:将得到的检测结果生成一个传感器噪声点列表,并发送给各个节点。
簇头会将每个周期数据噪声点检测后产生的噪声传感器列表中的节点进行信任值的惩罚,降低其信任值,并在将惩罚后的簇内节点的信任值转发到簇内的每个节点。
步骤5:利用惩罚机制,确定惩罚力度,得到最终节点的信任值,对于信任值低于阈值的节点,列为恶意节点。
步骤51-步骤52:利用协议层的融合信任值对节点的惩罚力度加上权重,信任值越高,惩罚力度越大。对节点的信任值进行惩罚,得到最终节点的信任值。
本发明根据不同协议层的惩罚程度也不相同,惩罚后的信任值表示为:
tc(t){phy,mac,net}=tij(t)-α1cmac-α2cnet\*mergeformat(18)
式(18)中,cmac,cnet分别表示在mac层和网络层出现攻击情况下的惩罚因子,惩罚因子通过多次实验后确定最终的惩罚因子的值。α1∈[0,1],α2∈[0,1]分别在mac层和网络层惩罚因子的权重值,本发明将α1,α2权重值设置为当前已经计算出的节点的信任值,当节点的信任值越高,却被检测为噪声点传感器节点时,那么节点可能遭受恶意攻击,却没有检测出来,那么该节点的惩罚力度越大,反之当节点的信任值越低,那么节点受到的惩罚力度就越小。
步骤53:利用误报率率和漏报率得到最佳的检测阈值,将节点信任值与阈值对比,小于阈值即为恶意节点。
经过实验确定,如图2所示,最佳检测阈值设定为0.885,在检测率、误报率,漏报率三个方面在与两种最新算法进行对比:如图3和图4所示,我们的方案在检测率上优于对比的方案。如图5和图6我们的方案在误报率上低于对比方案。如图7和图8所示,我们的方案的漏报率也优于对比的方案。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现任一项所述方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一项所述方法的步骤。
一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行任一项所述的方法。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。
- 还没有人留言评论。精彩留言会获得点赞!