一种融合KPCA和ELM的无线传感器网络入侵检测系统及方法与流程
本发明涉及无线传感器网络安全领域,尤其涉及一种融合kpca(kernelprinciplecomponentanalysis,核主成分分析)和elm(extremelearningmachine,极限学习机)的无线传感器网络入侵检测系统及方法。
背景技术:
无线传感器网络是一种分布式传感网络,由大量的静止或移动的传感器以自组织和多跳的方式构成的无线网络,协作地感知、采集、处理和传输网络覆盖区域内被感知对象的信息,并最终这些信息发送给网络的所有者。它相比传统网络具有大规模、自组织、动态性以及以数据为中心等特点。早期的无线传感器网络主要用于军事领域,非常适合应用于恶劣的战场环境中,包括侦查敌情、目标跟踪、判断生物化学攻击等多方面用途。
近年来,无线传感器网络主要应用于环境监测、医疗护理以及在一些危险的工业环境中进行安全监控。然而,无线传感器网络面临着严峻的安全威胁,遭受各种各样的网络攻击,对网络的可用性造成破坏。
传统的基于加密和数字签名的技术只能被动地对传感器网络进行保护。因此,我们需要构建无线传感器入侵检测系统来主动地保护无线传感器网络的安全。
入侵检测方法分为基于误用和基于异常的检测方法。误用检测的基本思想是根据已知的入侵行为建立入侵模式库,对被检测的数据进行特征匹配或规则匹配来识别入侵。异常检测的基本思想是建立一个系统正常行为轮廓,并不断维护和更新轮廓。检测时将用户的当前行为与这个正常行为轮廓进行对比,对差异程度超过了阈值的行为发出入侵警报。误用检测方法基于人工设定的规则,需要完备的模式库,且无法检测未知的攻击类型。而异常检测方法可以检测出以前未出现过的攻击,通用性较强。随着机器学习和深度学习技术的发展,许多基于聚类和分类的机器学习算法都可以应用于网络的入侵检测中。聚类算法是一种无监督学习算法,通过将样本划分为若干个聚簇,通过判断新样本所属的聚簇来进行异常数据的检测。分类算法是一种监督学习算法,根据样本的标签对样本进行划分,通过判断新样本所属的类别来进行异常数据的检测。针对无线传感器网络安全的需求,研发一种融合kpca和elm的无线传感器网络入侵检测系统及方法实为必要。
技术实现要素:
本发明的目的在于提供一种融合kpca和elm的无线传感器网络入侵检测系统及方法,该方法是将核主成分分析方法与极限学习机算法相结合,在入侵检测的过程中,首先使用kpca方法提取无线传感器网络数据的特征,降低网络数据的维度,再用elm分类模型对降维后的网络数据进行异常检测和识别;该系统是一种层次式的无线传感器网络入侵检测系统,充分利用了无线传感器网络不同角色传感器节点的特点。
为了达到以上目的,本发明通过以下技术方案实现:
一种融合kpca和elm的无线传感器网络入侵检测方法,该方法包含以下步骤:
步骤s1、收集无线传感器网络数据包并进行相应的数据预处理;
步骤s2、使用kpca提取预处理后的无线传感器网络数据的特征,降低所述预处理后的无线传感器网络数据的维度;
步骤s3、构建elm分类模型,使用训练数据训练elm分类模型;为elm分类模型设置隐藏层神经元的个数以及隐藏层神经元的激活函数;然后将训练数据输入到elm分类模型中进行训练;
步骤s4、elm分类模型异常检测,将测试数据输入到训练好的elm分类模型中进行异常数据的检测和识别,当检测到异常数据时,发出警报。
优选地,所述步骤s1中的所述数据预处理包含如下步骤:
步骤s1-1、向量化,将收集到的无线传感器网络数据中的字符串类型的特征数据,扩展为单位向量,将字符串类型数据转变为数值类型的数据;当某字符串类型特征有k个特征值,则将其扩展为k维单位向量;
步骤s1-2、数据归一化,将向量化后的数据按比例进行缩放,通过最大最小归一化方法将向量化后的数据统一映射到一固定区间内,平衡各特征的特征值大小分布范围;其中,计算表达式如式(1)所示:
其中,x表示原始特征数据的大小,xmin表示特征数据的最小值,xmax表示特征数据的最大值;y表示归一化后的特征数据,ymin表示归一化后的特征数据的最小值,ymax表示归一化后的特征数据的最大值。
优选地,所述步骤s2中进一步包含:为kpca设置特征提取后数据的维度以及相应的核函数,然后从网络数据中提取特征,降低网络数据的维度;并将降维后的网络数据分为训练数据和测试数据,分别用于elm分类模型的训练和测试;其中,所述核函数用于表示将原始特征空间数据映射到高维特征空间后的向量内积。
优选地,所述步骤s2中采用高斯核函数作为kpca的核函数,将原始特征空间数据映射至无穷维,如式(2)所示:
其中,xi表示第i条网络数据特征向量,xj表示第j条网络数据特征向量,σ为函数的宽度参数,控制了函数的径向作用范围。
优选地,所述步骤s3中,采用sigmoid函数作为隐藏层神经元的激活函数,其函数表达式如式(3)所示:
式中,x表示隐藏层神经元接收到的数据值。
优选地,所述步骤s3中,所述elm分类模型是基于极限学习机算法的模型,所述极限学习机算法是基于单隐层前馈神经网络的学习算法,所述极限学习机算法随机选择隐藏层神经元的参数并分析确定单隐层前馈神经网络的输出权值,在计算过程中不需要迭代;
其中,对于n个任意不同的样本(xi,ti),xi=[xi1,xi2,...,xin]t∈rn,xi表示第i个样本的特征,xi1,xi2,...,xin表示第i个样本有n个特征,ti=[ti1,ti2,...,tim]t∈rn,ti表示第i个样本的标签,ti1,ti2,...,tim表示该标签有m种分类特征,具有
式中,wi=[wi1,wi2,...,win]t是连接输入节点和隐藏层第i个神经元的权值向量,wi·xj代表wi和xj的内积;βi=[βi1,βi2,...,βim]t是连接隐藏层第i个神经元与输出神经元的权值向量,bi是隐藏层第i个神经元的阈值,oj表示第j个样本输入到单隐层前馈神经网络的输出,n表示训练样本的个数;输入层神经元与隐藏层神经元之间的连接权值称为输入权值,隐藏层神经元与输出层神经元之间的连接权值称为输出权值;
若隐藏层神经元个数与训练数据不同样本的个数相等,则对于任意的w和b,单隐层前馈神经网络都可零误差逼近训练数据:
其中,w是连接输入节点和隐藏层神经元的权值矩阵,b是隐藏层神经元的阈值向量;
存在βi,wi和bi满足:
上述公式(5)中包含的n个方程可简化为:
hβ=t(6)
其中,
优选地,所述极限学习机算法包含以下过程:
给定训练样本集合
随机分配输入权值wi和阈值bi,
计算隐藏层输出矩阵h;
计算输出权值β,
本发明提供一种采用如上文所述的融合kpca和elm的无线传感器网络入侵检测方法的无线传感器网络入侵检测系统,该系统包含感知层、数据汇聚层和异常检测层;
所述感知层包含若干个传感器节点,负责感知和采集监测区域内的网络数据,将采集到的网络数据发送到所述数据汇聚层;
所述数据汇聚层包含若干个汇聚节点,负责收集网络及各传感器节点发送过来的数据信息,进行数据融合并进行相应的数据预处理,然后使用kpca提取预处理后的网络数据特征,降低数据的维度,并将降维后的网络数据发送到异常检测层进行分析判断;
所述异常检测层包含若干个任务管理节点,负责构建elm分类模型,接收所述汇聚节点发送的降维后的网络数据,将降维后的网络数据输入到elm分类模型中进行异常数据的检测和识别;若检测到异常网络数据,则发出警报。
优选地,所述数据预处理包含以下过程:
通过向量化将收集到的无线传感器网络数据中的字符串类型特征数据转换为数值类型的数据;采用最大最小归一化方法将向量化后的数据统一映射至一固定区间内,平衡各个特征的特征值大小分布范围;使用kpca提取预处理后的无线传感器网络数据,降低网络数据的维度,汇聚节点将降维后的无线传感器网络数据发送给任务管理节点。
与现有技术相比,本发明的有益效果至少包含以下一项:
1)本发明在数据预处理阶段,通过向量化方法将字符串类型特征的特征值扩展到高维向量空间中保留了原始字符串类型特征值之间的关系;通过数据归一化将数据统一映射到某一固定区间内,平衡了各个特征的特征值大小分布范围。
2)本发明采用kpca对无线传感器网络数据进行特征提取,降低了网络数据的维度,减少了elm分类模型在分类过程中的性能消耗;kpca在主成分分析的基础上引入了核方法,通过非线性映射找到恰当的低维空间。
3)本发明采用elm分类模型对异常数据进行检测;elm分类模型随机选择隐藏层神经元的参数,并分析确定单隐层前馈神经网络的输出权值,在计算过程中不需要迭代,而且该模型倾向于以极快的学习速度提供良好的泛化性能;在大幅度提高分类模型训练速度的同时,提高了对异常数据的检测率。
4)本发明的系统是一种层次式的无线传感器网络入侵检测系统,包含感知层、数据汇聚层和异常检测层三个层次,充分利用了无线传感器网络不同角色传感器节点的特点,整体上降低了无线传感器网络的能量消耗。
附图说明
图1为本发明的无线传感器网络体系结构示意图;
图2为本发明的融合kpca和elm的无线传感器网络入侵检测系统体系结构示意图;
图3为本发明的融合kpca和elm的无线传感器网络入侵检测方法流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白理解,下面结合附图和具体实施例对本发明做进一步详细的说明,但不以任何方式限制本发明的范围。
图1为本发明提供的一种无线传感器网络体系结构示意图,无线传感器网络一般包括普通传感器节点、汇聚节点和任务管理节点三种角色节点。无线传感器网络的覆盖范围通常十分广泛,网络中需要部署多个汇聚节点。无线传感器网络中的普通传感器节点以多跳路由的方式传送收集的数据到汇聚节点,之后汇聚节点对收集的数据进行融合等操作,最后汇聚节点将处理后的数据信息发送至任务管理节点,其中,任务管理节点实现对计算、存储等要求高的复杂分析功能。
图2为本发明的融合kpca和elm的无线传感器网络入侵检测系统体系结构,包含感知层、数据汇聚层和异常检测层三个层次。感知层由若干个普通传感器节点构成,数据汇聚层由若干个汇聚节点构成,异常检测层由若干个任务管理节点构成,它们分别在各个层次执行不同的入侵检测任务,构成一种层次式的入侵检测系统。
图3为本发明的融合kpca和elm的无线传感器网络入侵检测方法,该方法提高了入侵检测的响应速度,并且提高了对异常数据的检测率,该方法包含如下步骤:
步骤s1、收集无线传感器网络数据包并进行相应的数据预处理。
步骤s2、使用kpca提取预处理后的无线传感器网络数据特征,降低网络数据的维度;具体包含:为kpca设置特征提取后数据的维度以及相应的核函数,然后从网络数据中提取特征,降低网络数据(即数据预处理后的无线传感器网络数据)的维度;并将降维后的网络数据分为训练数据和测试数据,分别用于elm分类模型的训练和测试。
其中,所述核函数用于表示将原始特征空间数据映射到高维特征空间后的向量内积,本发明采用高斯核函数作为kpca的核函数,它能够把原始特征空间数据映射至无穷维,如式(1)所示:
其中,xi表示第i条网络数据特征向量,xj表示第j条网络数据特征向量,σ为函数的宽度参数,控制了函数的径向作用范围。
所述kpca是指核主成分分析方法,是机器学习方法中常用于特征提取的方法,可以自定义核函数,本发明首次将该方法用于无线传感网络中;无线传感器网络数据是通过对无线传感器网络数据包分析而来,通常包含tcp连接基本特征、tcp连接的内容特征、基于主机的网络流量统计特征等。所述kpca是在主成分分析的基础上引入了核方法,主成分分析是一种线性降维方法,假设从高维空间到低维空间的函数映射是线性的,然而,在无线传感器网络入侵检测任务中,需要非线性映射才能找到恰当的低维空间。
所述主成分分析(principalcomponentanalysis,pca)是一种统计学方法,通过正交变换将一组可能存在相关性的变量转换为一组不相关的变量,转换后的这组变量称为主成分;在实际问题中,为了全面分析问题,往往提出很多与此有关的变量;因为每个变量都在不同程度上反映了问题的某些信息;在主成分分析中,信息的大小通常用方差来衡量。主成分分析是对于原先提出的所有变量,将重复的变量删去,建立尽可能少的新变量,使得这些新变量是两两不相关的,而且尽可能保持原有的信息;主成分分析的目标是在高维数据中找到最大方差的方向,并将数据映射到一个维度不大于原始数据的新的子空间上。新特征的坐标是相互正交的,新的子空间上正交的坐标轴为方差最大的方向。
步骤s3、构建elm分类模型,使用训练数据训练elm分类模型;为elm分类模型设置隐藏层神经元的个数以及隐藏层神经元的激活函数;然后将训练数据(即所述步骤s2中的训练数据)输入到elm分类模型中进行训练。
本发明采用sigmoid函数作为隐藏层神经元的激活函数,其函数表达式如式(2)所示:
式中,x表示隐藏层神经元接收到的数据值。
步骤s4、elm分类模型异常检测,将测试数据输入到训练好的elm分类模型中进行异常数据的检测和识别,当检测到异常数据时,发出警报。其中,训练好的elm分类模型可以对当前网络数据进行分类判断,若被检测的数据与elm分类模型训练的数据集中的数据都不同,则判断该数据为异常数据。
在所述步骤s1中,所述数据预处理具体包含如下步骤:
步骤s1-1、向量化,将收集到的无线传感器网络数据中的字符串类型的特征数据,扩展为单位向量,将字符串类型数据转变为数值类型的数据;假设某字符串类型特征有k个特征值,则将其扩展为k维单位向量;
步骤s1-2、数据归一化,将向量化后的数据按比例进行缩放,通过最大最小归一化方法将向量化后的网络数据统一映射到某一固定区间内,平衡了各个特征的特征值大小分布范围;计算表达式如式(3)所示:
其中,x表示原始特征数据的大小,xmin表示特征数据的最小值,xmax表示特征数据的最大值;y表示归一化后的特征数据,ymin表示归一化后的特征数据的最小值,ymax表示归一化后的特征数据的最大值。
在所述步骤s3中,所述elm分类模型是一种基于极限学习机算法的模型,该极限学习机算法是一种基于单隐层前馈神经网络的学习算法;极限学习机算法主要特点在于随机选择隐藏层神经元的参数,并分析确定单隐层前馈神经网络的输出权值,在计算过程中不需要迭代;该算法倾向于以极快的学习速度提供良好的泛化性能;
下面表述极限学习机数学原理。对于n个任意不同的样本(xi,ti),其中xi=[xi1,xi2,...,xin]t∈rn,xi表示第i个样本的特征,xi1,xi2,…,xin表示第i个样本有n个特征,ti=[ti1,ti2,...,tim]t∈rn,ti表示第i个样本的标签,ti1,ti2,…,tim表示该标签有m种分类特征,具有
其中,wi=[wi1,wi2,...,win]t是连接输入节点和隐藏层第i个神经元的权值向量,wi·xj代表wi和xj的内积;βi=[βi1,βi2,...,βim]t是连接隐藏层第i个神经元与输出神经元的权值向量,bi是隐藏层第i个神经元的阈值,oj表示第j个样本输入到单隐层前馈神经网络的输出,n表示训练样本的个数;输入层神经元与隐藏层神经元之间的连接权值称为输入权值,隐藏层神经元与输出层神经元之间的连接权值称为输出权值。
若隐藏层神经元个数与训练集不同样本的个数相等,则对于任意的w和b,单隐层前馈神经网络都可零误差逼近训练样本:
其中,w是连接输入节点和隐藏层神经元的权值矩阵,b是隐藏层神经元的阈值向量;
存在βi,wi和bi满足:
上述公式(6)中包含的n个方程可简化为:
hβ=t(7)
其中,
所述极限学习机算法具体包含如下步骤:
(1)给定训练样本集合
(2)随机分配输入权值wi和阈值bi,
(3)计算隐藏层输出矩阵h;
(4)计算输出权值β,
本发明还提供了一种融合kpca和elm的无线传感器网络入侵检测系统,包含如下层次:
感知层,由普通传感器节点构成,负责感知和采集监测区域内的网络数据,然后将采集到的网络数据发送到数据汇聚层;
数据汇聚层,由汇聚节点构成,负责收集网络及各普通传感器节点发送过来的数据信息,进行数据融合,并进行相应的数据预处理;然后使用kpca提取预处理后的网络数据特征,降低数据的维度;将降维后的网络数据发送到异常检测层进行分析判断;
异常检测层,由任务管理节点构成,负责构建elm分类模型,接收汇聚节点发送的降维后的网络数据;将降维后的网络数据输入到elm分类模型中进行异常数据的检测和识别;若检测到异常网络数据,则发出警报;该层对网络数据分析的准确性与时效性影响着整个入侵检测系统的性能。
其中,所述无线传感器网络入侵检测系统执行过程具体包含如下流程:
(1)采集无线传感器网络数据:普通传感器节点采集监测区域内的网络数据,将采集到的网络数据发送给汇聚节点;
(2)汇聚无线传感器网络数据:汇聚节点收集网络及各普通传感器节点发送的网络数据,进行数据融合;
(3)数据预处理:通过向量化将收集到的无线传感器网络数据中的字符串类型特征数据转换为数值类型的数据;数据归一化,通过最大最小归一化方法将向量化后的网络数据统一映射至某一固定区间内,平衡各个特征的特征值大小分布范围;
(4)特征提取:使用kpca提取预处理后的无线传感器网络数据,降低网络数据的维度;汇聚节点将降维后的无线传感器网络数据发送给任务管理节点;
(5)elm分类模型异常检测:任务管理节点接收汇聚节点发送的无线传感器网络数据,使用elm分类模型对降维后的无线传感器网络数据进行异常检测;若检测到异常数据,则发出警报。
所述kpca在理论上首先通过将原始特征空间数据映射至高维特征空间,再从高维特征空间上进行降维,然而在高维特征空间上计算特征空间向量的内积的复杂度很高,因而通过从原始空间中寻找一个函数来表示高维特征空间向量的内积;这个用于表示高维特征空间向量内积的函数就是核函数;通过这种方式进行特征提取,才能在无线传感器网络入侵检测任务中找到恰当的低维空间。所述elm分类模型相比传统误差反向传播神经网络模型收敛速度快,检测率高;在训练速度上是传统误差反向传播神经网络模型的上百倍,而且拥有更快的响应速度。所述系统是一种层次式的无线传感器网络入侵检测系统,包含普通传感器节点、汇聚节点和任务管理节点三个层次,充分利用了无线传感器网络中的不同角色传感器节点的特点,使不同角色传感器节点的能量消耗趋于平均,整体上降低了传感器网络的能量消耗,延长了无线传感器网络的生命周期。
本发明为了检测融合kpca和elm的无线传感器网络入侵检测方法的性能,搭建了无线传感器网络平台,对无线传感器网络数据进行了检测和分析。并与其他方法进行了对比,入侵检测方法性能对比如表1所示:
表1入侵检测方法性能对比
从表1可以看出,本发明在训练精度和测试精度上相比其他两种方法较高,验证了本方法具有较高的检测率,而且极大地缩短了训练时间和测试时间。本发明在较短的时间达到了较高的分类性能,具有较高的检测率,证明了融合kpca和elm神经网络的入侵检测方法适合在无线传感器网络中完成入侵检测的任务,保护无线传感器网络的安全。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
- 还没有人留言评论。精彩留言会获得点赞!