專利名稱：一種車載自組織網(wǎng)絡(luò)的分布式入侵檢測方法
技術(shù)領(lǐng)域：
本發(fā)明涉及車載自組織網(wǎng)絡(luò)領(lǐng)域，特別是涉及一種車載自組織網(wǎng)絡(luò)的入侵檢測方法。
背景技術(shù)：
車載自組織網(wǎng)絡(luò)以車輛為基本信息單元，通過車與車、車與路邊設(shè)施的實時信息交互來保證車輛行駛安全、規(guī)避道路擁塞和提高出行舒適度。車載自組織網(wǎng)絡(luò)的安全機(jī)制可以分為基于預(yù)防的安全機(jī)制和基于檢測的安全機(jī)制。其中基于預(yù)防的安全機(jī)制主要指密鑰管理和認(rèn)證實現(xiàn)的訪問控制，而基于檢測的安全機(jī)制則主要指入侵檢測。通常，基于預(yù)防的防御策略對于那些已經(jīng)加入車載自組織網(wǎng)絡(luò)的惡意節(jié)點是無能為力的。作為基于檢測的安全機(jī)制，入侵檢測 技術(shù)可以很好地進(jìn)行補(bǔ)充。資料表明，目前已有較多無線自組織網(wǎng)絡(luò)入侵檢測方面的成果，但是，到目前為止，國內(nèi)外僅有少量可供參考的車載自組織網(wǎng)絡(luò)入侵檢測方面的成果。Kachirski等人針對無線自組織網(wǎng)絡(luò)提出一種基于移動安全代理的入侵檢測系統(tǒng)，這種系統(tǒng)的前提是被選出的代理節(jié)點必須是絕對可信任的。由于迅速的拓?fù)渥兓瘜?dǎo)致頻繁選舉代理節(jié)點，因此該方案不適用于車載自組織網(wǎng)絡(luò)。Zhang等人考慮使用統(tǒng)計技術(shù)來解決無線自組織網(wǎng)絡(luò)中的入侵檢測問題。但是該方案應(yīng)用到車載自組織網(wǎng)絡(luò)也將面臨拓?fù)溲杆僮兓奶魬?zhàn):很可能在信息搜集和分析決策完成之前，某些惡意節(jié)點已經(jīng)脫離該網(wǎng)絡(luò)了。Tian等人提出一種依賴于公交車網(wǎng)絡(luò)(由公交車構(gòu)成的虛擬移動骨干網(wǎng))的入侵檢測系統(tǒng)，它以公交車為簇頭，將整個車載自組織網(wǎng)絡(luò)劃分為若干簇，在每個簇中實現(xiàn)基于合作的入侵檢測。這種系統(tǒng)明顯的特點是必須依賴于公交車網(wǎng)絡(luò)的底層結(jié)構(gòu)。綜上所述，一方面由于車載自組織網(wǎng)絡(luò)中節(jié)點的高速移動性使得節(jié)點間基于合作的檢測很難實現(xiàn)，另一方面基于單個節(jié)點的檢測又很難搜集到足夠的信息用于分析決策。因此，迫切需要設(shè)計一種既能充分考慮車載自組織網(wǎng)絡(luò)高速移動、頻繁拓?fù)渥兓奶攸c又具有較高檢測能力的入侵檢測方法。入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行實時監(jiān)測，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IETF將一個入侵檢測系統(tǒng)分為四個組件:事件產(chǎn)生器，事件分析器，響應(yīng)單元和事件數(shù)據(jù)庫。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機(jī)型、網(wǎng)絡(luò)型和分布式。誤用檢測和異常檢測是入侵檢測系統(tǒng)最常見的兩種分類模型。誤用檢測是指使用自定義的描述語言生成入侵模式，并解析網(wǎng)絡(luò)數(shù)據(jù)等信息，使各信息與入侵模式進(jìn)行逐一的匹配，從而發(fā)現(xiàn)攻擊。異常檢測是指通過量化分析與統(tǒng)計分析建立正常的使用規(guī)則，并將該規(guī)則與當(dāng)前的系統(tǒng)或用戶行為進(jìn)行比較，根據(jù)彼此的差異區(qū)分攻擊行為。除此之外，神經(jīng)網(wǎng)絡(luò)、遺傳算法、隱馬爾可夫、支持向量機(jī)、粗糙集以及人工免疫算法等智能方法也被廣泛應(yīng)用于入侵檢測。其中基于樸素貝葉斯分類器的入侵檢測方法具有分類效果好、魯棒性強(qiáng)的特點，能夠根據(jù)少量的訓(xùn)練數(shù)據(jù)就能估計出必要的參數(shù)，但是在直接應(yīng)用到車載自組織網(wǎng)絡(luò)時存在一定的局限性，如:沒有考慮訓(xùn)練集中未出現(xiàn)過的事件的概率；不能直接處理數(shù)據(jù)中的連續(xù)屬性等。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是:如何創(chuàng)新地設(shè)計一種既能充分考慮車載自組織網(wǎng)絡(luò)高速移動、頻繁拓?fù)渥兓奶攸c又具有較高檢測能力的分布式入侵檢測方法。為了解決上述問題，本發(fā)明公開了一種車載自組織網(wǎng)絡(luò)分布式入侵檢測方法，其技術(shù)方案包括以下各步驟:
步驟1:車載自組織網(wǎng)絡(luò)中的車輛節(jié)點對采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理，包括無用數(shù)據(jù)過濾、類型轉(zhuǎn)換和格式統(tǒng)一；
步驟2:車輛節(jié)點采用改進(jìn)的樸素貝葉斯分類算法啟動本地檢測；
步驟3:當(dāng)檢測出異常時，當(dāng)前節(jié)點將數(shù)據(jù)標(biāo)記為異常并存入本地特征庫，其本地響應(yīng)模塊立即采取響應(yīng)措施，同時，當(dāng)前節(jié)點通過聯(lián)機(jī)響應(yīng)模塊向鄰居節(jié)點發(fā)出異常報警并傳遞異常特征；反之，如果檢測為正常，則將數(shù)據(jù)標(biāo)記為正常并存入本地特征庫；
步驟4:鄰居節(jié)點在收到異常報警和異常特征后立即隔離異常報警來源節(jié)點，啟動本地檢測，如果發(fā)現(xiàn)異常，則存入本地特征庫，其本地響模塊立即采取響應(yīng)措施，同時，通過聯(lián)機(jī)響應(yīng)模塊向除異常報警來源節(jié)點以外的其它鄰居節(jié)點發(fā)出異常報警并傳遞異常特征；反之，如果檢測正常，則鄰居節(jié)點不會觸發(fā)聯(lián)機(jī)響應(yīng)模塊；
步驟5:通過這種方式不斷傳遞下去，從而實現(xiàn)整個車載自組織網(wǎng)絡(luò)的分布式入侵檢 測。與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點:
(1)本發(fā)明采用了一種適用于車載自組織網(wǎng)絡(luò)的分布式入侵檢測體系結(jié)構(gòu)，車輛節(jié)點在本地響應(yīng)模塊的基礎(chǔ)上，增加了聯(lián)機(jī)響應(yīng)模塊和異常特征的網(wǎng)絡(luò)傳遞功能，實現(xiàn)了分布式網(wǎng)絡(luò)環(huán)境下車輛節(jié)點之間的合作檢測以及異常特征的聯(lián)機(jī)學(xué)習(xí)，提高了整個車載自組織網(wǎng)絡(luò)的分析檢測能力，具有體系結(jié)構(gòu)簡單、復(fù)雜度低、學(xué)習(xí)能力強(qiáng)和智能化程度高的特點；
(2)本發(fā)明采用了一種改進(jìn)的樸素貝葉斯分類算法用于車輛節(jié)點的本地檢測，該算法利用等寬區(qū)間法將連續(xù)屬性離散化，引入拉普拉斯平滑從觀測到的攻擊估計未觀測到攻擊的概率，利用半衰期更新法不斷更新本地特征庫，這些措施成功解決了樸素貝葉斯分類算法不能處理數(shù)據(jù)中連續(xù)屬性的問題以及可能出現(xiàn)事件概率分配不合理的現(xiàn)象，提高了單個車輛節(jié)點分析檢測的能力。


圖1為本發(fā)明的車載自組織網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)的體系結(jié)構(gòu)圖。圖2為本發(fā)明的改進(jìn)的樸素貝葉斯分類算法流程圖。
具體實施例方式下面結(jié)合附圖對本發(fā)明進(jìn)行詳細(xì)說明。
如附圖1所示，車載自組織網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)中每個節(jié)點由數(shù)據(jù)處理、本地檢測、特征庫、本地響應(yīng)和聯(lián)機(jī)響應(yīng)模塊組成。本發(fā)明方法按照以下步驟進(jìn)行:
步驟1:車載自組織網(wǎng)絡(luò)中的車輛節(jié)點對采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理，包括無用數(shù)據(jù)過濾、類型轉(zhuǎn)換和格式統(tǒng)一；
步驟2:車輛節(jié)點采用改進(jìn)的樸素貝葉斯分類算法啟動本地檢測；
如附圖2所示，改進(jìn)的樸素貝葉斯分類算法包括以下步驟:(1)利用等寬區(qū)間法離散化連續(xù)屬性；(2)建立多項式事件模型；(3)利用樸素貝葉斯分類器得到目標(biāo)函數(shù)；(4)利用拉普拉斯平滑法估價參數(shù)值；(5)計算出目標(biāo)函數(shù)值并得到檢測結(jié)果；(6)利用半衰期更新法更新特征庫。下面結(jié)合附圖2對改進(jìn)的樸素貝葉斯分類算法的各個步驟進(jìn)行詳細(xì)說明:(1)利用等寬區(qū)間法離散化連續(xù)屬性。由于采集到的數(shù)據(jù)中有些屬性值是連續(xù)的，不能直接用于樸素貝葉斯分類器，因此需要采用等寬區(qū)間法將數(shù)據(jù)中的這部分連續(xù)屬性離散化。等寬區(qū)間法是一種簡單的無監(jiān)督學(xué)習(xí)的離散化方法，其離散過程如下:根據(jù)指定的
區(qū)間數(shù)&將連續(xù)屬性的值域
權(quán)利要求
1.一種車載自組織網(wǎng)絡(luò)的分布式入侵檢測方法，其特征在于，包括以下各個步驟: 步驟1:車載自組織網(wǎng)絡(luò)中的車輛節(jié)點對采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理，包括無用數(shù)據(jù)過濾、類型轉(zhuǎn)換和格式統(tǒng)一； 步驟2:車輛節(jié)點采用改進(jìn)的樸素貝葉斯分類算法啟動本地檢測； 步驟3:當(dāng)檢測出異常時，當(dāng)前節(jié)點將數(shù)據(jù)標(biāo)記為異常并存入本地特征庫，其本地響應(yīng)模塊立即采取響應(yīng)措施，同時，當(dāng)前節(jié)點通過聯(lián)機(jī)響應(yīng)模塊向鄰居節(jié)點發(fā)出異常報警并傳遞異常特征；反之，如果檢測為正常，則將數(shù)據(jù)標(biāo)記為正常并存入本地特征庫； 步驟4:鄰居節(jié)點在收到異常報警和異常特征后立即隔離異常報警來源節(jié)點，啟動本地檢測，如果發(fā)現(xiàn)異常，則存入本地特征庫，其本地響模塊立即采取響應(yīng)措施，同時，通過聯(lián)機(jī)響應(yīng)模塊向除異常報警來源節(jié)點以外的其它鄰居節(jié)點發(fā)出異常報警并傳遞異常特征；反之，如果檢測正常，則鄰居節(jié)點不會觸發(fā)聯(lián)機(jī)響應(yīng)模塊； 步驟5:通過這種方式不斷傳遞下去，從而實現(xiàn)整個車載自組織網(wǎng)絡(luò)的分布式入侵檢測。
2.根據(jù)權(quán)利要求1所述的改進(jìn)的樸素貝葉斯分類算法，其特征是: 改進(jìn)的樸素貝葉斯分類算法包括以下步驟:(1)利用等寬區(qū)間法離散化連續(xù)屬性；(2)建立多項式事件模型；(3)利用樸素貝葉斯分類器得到目標(biāo)函數(shù)；(4)利用拉普拉斯平滑法估價參數(shù)值；(5)計算出目標(biāo)函數(shù)值并得到檢測結(jié)果；(6)利用半衰期更新法更新特征庫。
全文摘要
本發(fā)明提供了一種車載自組織網(wǎng)絡(luò)的分布式入侵檢測方法，車輛節(jié)點采用改進(jìn)的樸素貝葉斯分類算法啟動本地檢測，當(dāng)檢測出異常時，將數(shù)據(jù)標(biāo)記為異常并存入本地特征庫，其本地響應(yīng)模塊立即采取響應(yīng)措施，同時，通過聯(lián)機(jī)響應(yīng)模塊向鄰居節(jié)點發(fā)出異常報警并傳遞異常特征，如果鄰居節(jié)點也發(fā)現(xiàn)異常，則存入本地特征庫，其本地響模塊立即采取響應(yīng)措施，同時，通過聯(lián)機(jī)響應(yīng)模塊向除異常報警來源節(jié)點以外的其它鄰居節(jié)點發(fā)出異常報警并傳遞異常特征，通過這種方式不斷傳遞下去，從而實現(xiàn)整個車載自組織網(wǎng)絡(luò)的分布式入侵檢測，本發(fā)明提高了整個車載自組織網(wǎng)絡(luò)的分析檢測能力，具有體系結(jié)構(gòu)簡單、復(fù)雜度低、學(xué)習(xí)能力強(qiáng)和智能化程度高的特點。
文檔編號H04L29/06GK103237308SQ20131017715
公開日2013年8月7日 申請日期2013年5月15日 優(yōu)先權(quán)日2013年5月15日
發(fā)明者劉興偉, 汪麗, 黃淵, 賀艷, 黃弘, 徐浩 申請人:西華大學(xué)