一种物联网入侵检测方法

本发明涉及物联网和网络安全检测，尤其涉及一种物联网入侵检测方法。

背景技术：

1、物联网是由大量信息感知设备组成的集合网络。传感器之间相互通信和协作，支持系统做出可靠的决策和解决问题，这也要求系统传递的信息必须可信。如果系统中的恶意设备提供虚假信息，相互勾结误导系统，将严重影响物联网系统的可靠性，给系统造成巨大损失。因此，网络入侵检测系统作为一种主动安全防御技术，可以实时监控来自内网和外网的攻击，并提供解决方案来降低对物联网系统可靠性的影响。

2、目前，已经提出了许多轻量级的入侵检测方法，但都是以牺牲识别准确率为代价的，而且只是基于整个系统的层面，这种考虑不能直接运用于物联网节点上，导致物联网入侵检测过程中误判、漏判概率较高等问题。因此，迫切需要提出一种可以应用于单个节点的轻量级入侵检测方法，能解决现有物联网入侵检测过程中误判、漏判概率较高等问题。

技术实现思路

1、本发明实施例所要解决的技术问题在于，提供一种基于单节点考虑的物联网入侵检测方法，能够解决现有物联网入侵检测过程中误判、漏判概率较高等问题。

2、为了解决上述技术问题，本发明实施例提供了一种物联网入侵检测方法，所述方法包括以下步骤：

3、s1、基于物联网的拓扑结构，确定传感器节点，以及确定每一个传感器节点通信范围内的所有相邻节点并均记为对应该传感器节点的投票节点；

4、s2、在当前入侵检测周期中，确定每一个传感器节点轮流由其对应投票节点进行投票时所形成的投票结果；其中，每一个传感器节点的投票结果均是由其所属的各投票节点的投票动作来得到的；每一个投票节点的投票动作均是由投票节点在通过判断自身与相应传感器节点动作顺应度对应的状态后，根据预设主机级智能投票策略训练得到的动作价值函数qs，选择自身对相应传感器节点进行动作时得到的；

5、s3、根据预设系统级审计策略训练所得的动作价值函数q，选择对当前入侵检测周期中所得的投票结果之全部或多个进行审计，得到相应的审计结果，且将审计结果与投票结果不一致的传感器节点均标记为恶意节点，并进一步驱逐。

6、其中，所述步骤s2具体包括：

7、根据投票机制，设定每一个传感器节点的投票动作空间，并将各投票节点均以对应所属传感器节点的历史投票信息作为属性判断参考，对比出每一个传感器节点基于各自投票动作空间的投票动作顺应度，以形成每一个传感器节点的投票状态空间；

8、在当前入侵检测周期中，基于每一个传感器节点的投票状态空间，让各投票节点均通过判断自身与所属传感器节点的投票动作顺应度对应的状态后，根据预设主机级智能投票策略训练得到的动作价值函数qs，选择自身对相应传感器节点进行动作，以得到各投票节点的投票结果，且进一步统计出归属于同一个传感器节点的投票结果。

9、其中，所述动作价值函数qs的表达式为qs(sv,avi)←qs(sv,avi)+αv[rv(sv,avi)+γvπv(s'v)-qs(sv,avi)]；其中，

10、avi为在投票动作空间av＝(av1,av2,…,avk)中分配的第i个投票策略；svi为当前传感器节点对于投票节点采用avi投票策略进行投票时所形成的动作顺应度，其属性标记为好或坏；sv＝(sv1,sv2,…,svk)为当前传感器节点的投票状态空间；rv(sv,av)为奖励；αv∈[0,1]和γv∈(0,1)分别为学习率和折现因子；s'v为当前传感器节点其相邻的下一个传感器节点的投票状态空间；0≤ζ≤1为均匀分布的随机数，是在执行某一动作前随机分配的，若ζ＜ε，则将从投票动作空间av中随机选择一个行为；反之，若ζ≥ε，则将遍历投票动作空间av中的所有动作，最终执行某一特定动作，得到qs的最大值。

11、其中，所述步骤s3具体包括：

12、根据预设的恶意节点攻击概率，设定每一个传感器节点的审计状态空间，以及设定每一个传感器节点的审计动作空间；

13、在当前入侵检测周期中，基于每一个传感器节点的审计状态空间，根据预设系统级审计策略训练所得动作价值函数q，选择多个或全部传感器节点所得的投票结果进行审计，以得到每一个被审计传感器节点的审计结果；

14、将每一个被审计传感器节点的审计结果与其对应的投票结果进行对比，并将对比出投票结果与对应审计结果不一致的传感器节点均标记为恶意节点，且进一步驱逐。

15、其中，所述动作价值函数q的表达式为q(sc,aci)←q(sc,aci)+αc[rc(sc,aci)+γcπc(s'c)-q(sc,aci)]；其中，

16、aci为在审计动作空间ac＝(ac1,ac2,...,ack)中分配的第i个审计策略；sc＝(sc1,sc2,...,sck)为当前传感器节点的审计状态空间；rc(sc,aci)为奖励，b为一个恒定的奖励值，ea为执行审计的成本；αc∈[0,1]和γc∈(0,1)分别为学习率和折现因子；s'c为当前传感器节点其相邻的下一个传感器节点的审计状态空间。

17、其中，所述方法进一步包括：

18、将当前入侵检测周期驱逐出的恶意节点进行临时保存，并等待下一个入侵检测周期到达时，对所有恶意节点进行投票及审计。

19、实施本发明实施例，具有如下有益效果：

20、1、本发明通过主机级智能投票策略训练得到的动作价值函数qs，选择自身对相应传感器节点进行动作来得到每一个传感器节点的投票结果，并通过审计选出恶意节点，从而解决了现有物联网入侵检测过程中误判、漏判概率较高等问题；

21、2、本发明通过q学习来训练系统级审计策略，可以让系统级的审计更加有效且能耗少，从而减少整体入侵检测对网络的资源消耗。

技术特征：

1.一种物联网入侵检测方法，其特征在于，所述方法包括以下步骤：

2.如权利要求1所述的物联网入侵检测方法，其特征在于，所述步骤s2具体包括：

3.如权利要求2所述的物联网入侵检测方法，其特征在于，所述动作价值函数qs的表达式为qs(sv,avi)←qs(sv,avi)+αv[rv(sv,avi)+γvπv(sv)-qs(sv,avi)]；其中，

4.如权利要求1所述的物联网入侵检测方法，其特征在于，所述步骤s3具体包括：

5.如权利要求4所述的物联网入侵检测方法，其特征在于，所述动作价值函数q的表达式为q(sc,aci)←q(sc,aci)+αc[rc(sc,aci)+γcπc(s'c)-q(sc,aci)]；其中，

6.如权利要求1所述的物联网入侵检测方法，其特征在于，所述方法进一步包括：

技术总结
本发明提供一种物联网入侵检测方法，包括基于物联网的拓扑结构，确定传感器节点以及投票节点；在当前入侵检测周期中，确定每一个传感器节点轮流由其对应投票节点进行投票时所形成的投票结果，且投票结果是由各投票节点的投票动作来得到的；其中，每一个投票节点的投票动作均是由投票节点在通过判断自身与相应传感器节点动作顺应度对应的状态后，根据动作价值函数QS得到的；根据动作价值函数Q，选择对当前入侵检测周期中所得的投票结果之全部或多个进行审计，得到相应的审计结果，且将审计结果与投票结果不一致的传感器节点均标记为恶意节点并驱逐。实施本发明，能够解决现有物联网入侵检测过程中误判、漏判概率较高等问题。

技术研发人员：朱志亮,伍默然,翁德华,朱翔鸥,闫正兵,蒋子昂
受保护的技术使用者：温州大学
技术研发日：
技术公布日：2024/1/16