1.一種基于流量預測的雙層觸發入侵檢測方法，其特征在于：其中無線傳感器網絡中傳感器節點被監測節點分為幾個區域，同一監測節點的探測半徑內的節點屬于同一個區域，整個網絡由以下4個元素組成：

普通節點：sensor節點，內置入本地入侵檢測系統；

匯聚節點：sink節點，負責收集由普通節點傳來的各種數據信息，內含區域節點列表，該表存儲了不同監測節點能覆蓋的所有普通節點和匯聚節點信息；置入本地入侵檢測系統；

監測節點：監測節點有很高的能量和本地存儲空間，主要負責收集網絡中的數據流量信息；

基站：收集從匯聚節點和監測節點傳來的各種信息，置入第一層入侵檢測系統，能夠分析數據、控制網絡；

具體包括以下步驟：

數據采集步驟：監測節點將周期性的采集網絡中的數據流量信息并傳輸給基站；

數據分析步驟：基站收到監測節點發送的信息后根據ARIMA模型對該監測節點的歷史數據進行流量預測；

觸發判斷步驟：基站在流量預測值與真實值相差超出預定閥值時向匯聚節點發送異常警報，異常區域開始啟用本地入侵檢測系統；

啟用本地入侵檢測模型步驟：當匯聚節點接收到異常警報時，警報中異常出現區域的匯聚節點和普通節點將啟動第二層入侵檢測模型，即本地入侵監測模型；

其中數據采集步驟和數據分析步驟屬于第一層模型；觸發判斷步驟為一二層模型之間的轉化條件；本地入侵檢測模型則為第二層模型。

2.如權利要求1所述的一種基于流量預測的雙層觸發入侵檢測方法，其特征在于：所述的根據ARIMA模型對該監測節點的歷史數據進行流量預測采用以下步驟：

1)對歷史數據進行平穩化處理，平穩化為非白噪聲序列；

2)求出所述序列的樣本自相關系數和樣本偏自相關系數的值；

3)根據樣本自相關系數和偏自相關系數的性質，選擇階數適當的模型，進行模型擬合；

4)估計模型中未知參數的值；

5)檢驗模型的有效性，如果擬合模型通不過檢驗，轉向上述步驟3)，重新選擇模型進行判斷；

6)建立多個擬合模型，從所有通過檢驗的模型中選擇最優模型；

7)利用所述的最優模型，預測序列的將來走勢。

3.如權利要求1或2所述的一種基于流量預測的雙層觸發入侵檢測方法，其特征在于：其中本地入侵檢測模型采用以下方法進行入侵檢測：

1)匯聚節點接收到基站傳來的異常警報后，讀取警報數據包中記錄的監測節點信息，遍歷自己的區域節點列表，更新異常警報數據包中的源節點地址為自己，目的節點地址為區域節點列表中該監測節點所能探測到的全體節點，并向該區域內匯聚節點和普通節點多播更新后的異常警報；

2)區域內節點接收到傳給自己的異常警報后將在異常警報活動列表中記錄監測節點信息并激活本地入侵檢測進行檢測活動，若發現區域內的異常節點則全網通報進行異常處理；

3)若在本地入侵檢測運行連續時間T內沒有再發現網絡內異常，該節點將向匯聚節點發送停用本地入侵檢測申請，申請包中記錄本節點異常警報活動列表中的監測節點信息；

4)匯聚節點接收到停用申請，按照不同的監測節點信息對其進行分類記錄，在時間t內，匯聚節點累計收到同一區域內全部節點的停用申請時，將向該區域廣播結束這次異常警報；

5)區域內節點接收到結束異常警報命令后，在自己的異常警報活動列表中刪除相關監測節點信息，此時掃描節點異?；顒恿斜恚舢惓；顒恿斜頌榭?，則關閉該節點的本地入侵檢測模型；若異常活動列表中還存在其他監測節點，本地入侵檢測將繼續運行，直至該節點異?；顒恿斜頌榭諡橹?。