技術領域

本發明涉及WSNs安全技術領域，具體涉及一種基于危險多代理的WSNs聯合入侵檢測方法。

背景技術

WSNs入侵檢測技術主要從檢測體系和檢測算法兩方面進行研究，試圖通過設計適合WSNs特點的入侵檢測體系或入侵檢測算法，在減少能耗的同時增強入侵檢測的有效性和安全性。根據檢測節點之間的關系，WSNs入侵檢測體系主要分為三種類型：分布式、對等協同式以及層次式。其中，分布式體系中的單個節點安裝有完整的入侵檢測系統，各節點互不合作，單獨執行入侵行為檢測，而對等協同式體系則是各節點之間關系均等，相互協作完成檢測任務。與前兩種類型不同的是，層次式體系對檢測任務進行了分解，不同類型的節點執行不同的檢測任務，三種類型各有優缺點。

由于傳統的入侵檢測體系中，檢測節點需要一直處于網絡監聽檢測狀態，而網絡監聽能耗是總檢測消耗的主要組成部分。為此，涌現出了一些應用人工免疫系統中的危險理論基本原理的檢測體系，即只有當檢測節點自身感受到危險時，才激活危險域中的檢測節點收集相關數據并傳輸至決策節點，由決策節點通過人工免疫算法進行運算檢測。這種方式大幅度的降低整個網絡的能量消耗，并且通過免疫原理提高了檢測率，增強了系統的自學習性。

目前基于危險理論的WSNs入侵檢測方法多采用層次型結構，對入侵行為的檢測需經過多層節點的處理，檢測實時性不理想并且決策節點壓力過大，同時存在單點失效的危險。而多代理的方式是在單個節點上安裝多個功能代理，改善了檢測的實時性，也不存在單點失效的問題，但在單個節點上運行多個功能代理會導致開銷過大，影響WSNs的正常運行。危險理論中，節點只在收到危險信號時才被激活進行檢測操作，該特點可以彌補多代理體系能量消耗大的缺陷，因此危險理論與多代理體系的結合能夠很好的實現入侵檢測體系中檢測時間、檢測能量和檢測效率三者的平衡。

而以往基于危險多代理體系的WSNs入侵檢測方法中，危險域中接收到危險信號的節點需要采集網絡相關的抗原信息，而感知并且發出危險信號的節點需要對這些提取到的抗原信息進行集中的入侵檢測，采用的是需進行大量樣本訓練的自體/非自體檢測方法，該方法需要獲取大量原始抗原，訓練時間長，并且訓練開銷大。同時大量抗原信息的傳輸會增加網絡的通信負載，也會增加節點的通信消耗。而網絡中感知到危險的節點對應于生物免疫系統中的“受難節點”，是瀕臨消亡的節點，必然在節點資源等方面受到了損害，若繼續由該節點進行開銷較大的檢測操作，顯然是不合理的。

發明內容

發明目的：WSNs一般處于無人看管的狀態，傳感節點具有能量有限的特點，從而WSNs易受到來自內部和外部的惡意攻擊，因此建立一個能量損耗低的WSNs入侵檢測系統是十分有必要的。為了在保證高檢測率的同時降低傳感節點能量消耗，本發明將“危險喚醒”的機制應用到改進的WSNs多代理檢測體系中，并通過異常數據檢測方法代替了原免疫系統中的自體/非自體檢測方法，使入侵檢測體系更加適用于WSNs，從而提高入侵行為檢測率，減少入侵行為檢測的能量消耗，提供一種基于危險多代理的WSNs聯合入侵檢測方法。

技術方案：本發明的一種基于危險多代理的WSNs聯合入侵檢測方法，在無線傳感器網絡中的每個節點上都植入一個IDS代理，且各IDS代理之間建立對等關系，將感知到危險的節點設為主IDS代理，將危險域中進行檢測的其它節點設為本地IDS代理，每個IDS代理包含了多個功能代理；所述本地IDS代理負責進行本地數據采集和異常數據檢測，所述主IDS代理負責集中處理檢測結果并最終確定惡意節點；其中，所述主IDS代理和本地IDS代理進行聯合入侵檢測的具體過程如下：

（1）主IDS代理實時檢測自身節點性能參數，檢測到危險后，將以主IDS代理為中心劃定一個危險域，該危險域的危險半徑以跳數為單位；

（2）劃定危險域后，主IDS代理將向危險域中的各節點發送一個危險信號，表明該區域內可能存在惡意攻擊；

（3）危險域中的本地IDS代理接收到危險信號后，其相應的檢測功能被激活，開始收集鄰近節點信息并進入檢測階段；

（4）本地IDS代理的檢測活動結束后，將檢測出的惡意節點信息傳遞至主IDS代理，主IDS代理記錄危險域中各本地IDS代理傳遞的異常數據檢測結果，采用“投票機制”確定最終的惡意節點；

（5）獲得惡意節點信息后，主IDS代理向整個危險域內的節點發出響應告警，危險域內節點接收到告警后存儲惡意節點信息，并避免與惡意節點發生數據通信，從而將惡意節點隔離出來。