技術領域

本發明涉及無線傳感器網絡安全技術領域，具體地說，涉及一種基于選擇性非零和博弈的無線傳感器網絡入侵檢測方法。?

背景技術

在無線傳感器網絡中，完全依靠密碼體制，不能抵御所有攻擊。特別對于內部攻擊，密碼體制往往無能為力。基于無線傳感器網絡自身安全的入侵檢測和將無線傳感器網絡應用于安全環境的檢測任務不同，其主要任務是檢測和發現針對無線傳感器網絡本身的攻擊行為。入侵檢測是一種檢測網絡中違反安全策略行為，并及時發現并報告系統中未授權或異常現象的技術，是信息安全的第二道防線。對于無線傳感器網絡而言，入侵檢測也非常重要，幾乎出現在所有無線傳感器網絡安全相關研究中。例如，許多安全路由策略都試圖識別網絡入侵者；在密鑰管理技術中，通常也需要確定被俘獲的節點，以便將其攜帶的密鑰撤銷。?

在傳統計算機網絡中，從部署位置看，可分為基于主機的和基于網絡的入侵檢測系統（IDS）。基于主機的IDS在一個或更多主機上運行，通過分析操作系統的審計信息，以期發現在那些主機上的不良行為。基于網絡的IDS作用于網絡整體，通過不停地監視網絡中的各種數據包，對每一個數據包或可疑的數據包進行特征分析，以檢測對網絡的攻擊行為。從技術層面看，基于行為檢測的IDS可分為特征檢測(Signature-based?intrusion?detection)與異常檢測(Anomaly?based?intrusion?detection)兩種，它們都基于入侵者行為異常于正常主體行為這一假設前提。特征檢測又稱Misuse?intrusion?detection，這一檢測假設所有已知入侵者行為可以用模式來表示，系統的目標是檢測主體行為是否匹配這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現象又不會誤將正常行為包含進來。異常檢測則是針對正常的主體行為進行建模，得到所有合法行為的模式，然后檢測當前主體的行為是否匹配這些模式。它可以檢測新的入侵方法。異常檢測的難題在于如何建立所有合法行為模式以及如何設計模式匹配算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。總之，入侵檢測是一種基于行為檢測的技術。它期望能對系統中所有活動和行為進行建模，以便進行識別和分類，并針對任何不希望有的活動，采取相關措施限制這些活動，以保護系統的安全。入侵檢測系統的應用，能在入侵攻擊對系統發生危害前，檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加入知識庫內，以增強系統的防范能力。?

無線傳感器網絡易于受到多種攻擊，對入侵者行為建模將非常困難，而且，未知的新的攻擊方法無從預料。另外，鑒于極強的應用特點會簡化任務相關的正常行為建模，似乎于基于異常檢測的IDS更適合于無線傳感器網絡。但是，相對于特征檢測方法，異常檢測容易產生誤報。為降低誤報率，異常檢測的匹配算法會很復雜，消耗大量無線傳感器網絡的能量，進而可能嚴重影響網絡壽命。?

在無線自組織網中實現IDS的各種挑戰，同時提出基于看門狗、控制消息、鄰居監測以及異常監測等方法對抗動態路由源攻擊。如果將這些技術在無線傳感器網絡中實現，不能回避的問題是：由于資源受限，不可能在每個節點上都運行一個全功能IDS代理；而且，無線傳感器網絡通常是高密度冗余部署，讓每個節點都參與分析鄰居傳來的所有數據包明顯多余和浪費資源；那么如何在無線傳感器網絡中合理地分布IDS代理，進而合理分配IDS任務。?

因此，鑒于IDS在無線傳感器網絡中的實現難度，研究者們還在尋找能量高效IDS實現技術。回避入侵監測的辦法即入侵容忍也有相應研究成果出現。入侵容忍是基于冗余的，冗余提高了網絡的可用性，但也容易帶來資源浪費。因此入侵容忍不是抵御內部攻擊的根本解決之道，入侵檢測問題仍然是一個開放的研究問題。?

發明內容

本發明針對現有的無線傳感器網絡在入侵檢測上存在的不足，提供一種基于選擇性非零和博弈的無線傳感器網絡入侵檢測方法。?

本發明所需要解決的技術問題，可以通過以下技術方案來實現：?

一種基于選擇性非零和博弈的無線傳感器網絡入侵檢測方法，其特征在于，包括如下步驟：

1）將無線傳感器網絡劃分為分簇結構，入侵檢測系統以簇為單位對無線傳感器網絡進行防守；