(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN106559416A(43)申请公布日2017.04.05(21)申请号201610943016.5(22)申请日2016.10.26(71)申请人华中科技大学地址430074湖北省武汉市洪山区珞喻路1037号(72)发明人周纯杰黄开兴彭源秦元庆涂伟勋(74)专利代理机构华中科技大学专利中心42201代理人赵伟(51)Int.Cl.H04L29/06(2006.01)H04L12/26(2006.01)H04L12/24(2006.01)H04W12/12(2009.01)权利要求书2页说明书6页附图1页(54)发明名称一种基于支撑向量机的无线传感网入侵检测方法(57)摘要本发明公开了一种基于支撑向量机的无线传感网入侵检测方法，首先通过建立无线传感网的流量模型来描述系统网络的流量模式，根据该流量模型从网络数据流量包中提取流量特征参数，并对流量特征参数进行归一化处理；通过上述流量特征参数来训练支撑向量机，学习系统网络的流量模式；采用经过训练的支撑向量机进行在线入侵检测；本发明提供的这种无线传感网入侵检测方法，使用网络流量模型提取无线传感网运行状态参数，不用对网络报文进行深度解析，只需要提取少量的特征参数，即可实现实时的入侵检测，并且可通用于周期轮询型和事件触发型无线传感网的入侵检测；在保证实用性的同时，极大地提高了检测率、降低了误报率。CN106559416ACN106559416A权利要求书1/2页1.一种基于支撑向量机的无线传感网入侵检测方法，其特征在于，包括如下步骤：(1)建立无线传感网的流量模型，根据所述流量模型从网络数据流量包中提取流量特征参数，并对所述流量特征参数进行归一化处理；其中，所述流量模型用于描述系统网络的流量模式；(2)通过采用所述流量特征参数训练支撑向量机来学习系统网络的流量模式；(3)采用经过训练的支撑向量机进行在线入侵检测。2.如权利要求1所述的无线传感网入侵检测方法，其特征在于，所述步骤(1)包括如下子步骤：(1.1)采用ON/OFF模型对无线传感网中每一个传感器的流量模式进行描述；(1.2)采用以下流量特征参数来详细描述各传感器节点的流量特征：ON状态的平均持续时间；OFF状态的平均持续时间；λON：ON状态下平均的数据传输速率；TIAT：ON状态下两个数据包之间的平均时间间隔；nON：ON状态下平均的数据包传输总量；k：数据传输速率；λb：单位时间内簇头收到的来自于传感器节点的ON状态的个数；传感器节点的数据突发性程度；(1.3)采集网络数据包，根据所述ON/OFF模型从所述网络数据包中提取流量特征参数，根据所述流量特征参数构建特征集并依据网络数据包来自于正常网络或来自处于被攻击状态下的网络，将特征集分为正常集SetN或攻击集SetA；(1.4)获取正常集SetN各向量每个维度的均值μi和方差σi；并对正常集和攻击集中的每个向量采用以下公式进行归一化处理：其中，xi是指向量中的第i个参数。3.如权利要求2所述的无线传感网入侵检测方法，其特征在于，所述步骤(2)包括如下子步骤：(2.1)从攻击集SetA和正常集SetN中各随机挑选N/2个样本，构成样本集{(x1，y1)，(x2，y2)，...，(xN，yN)}；其中，xj是指第j个流量特征样本，yj∈{-1，+1}，用-1表示该样本属于正常集，用+1表示该样本属于攻击集；N是指每次训练支撑向量机时所需训练集中的样本数量；(2.2)根据以下函数获取超平面：上述函数满足：2CN106559416A权利要求书2/2页其中，w是指超平面的法向量，wT是指w的转置向量；C是正数常量，用于控制与之间的相对影响；ξk是指松弛变量；b是指超平面偏移值；k是指训练集中样本的索引值；yk是训练集中的标记；Φ(·)是指从输入空间到高维特征空间的映射；(2.3)通过使用朗格朗日数乘法求代价函数最大值来解支撑向量机的凸二次规划问题，获得支撑向量机分类超平面的法向量w和偏移量b，具体为：上述函数满足：其中，K(xm，xn)＝<Ф(xm)，Ф(xn)>是核函数；xm和xn是指训练集中的样本；ym和yn是指训练集中样本的标记值；αm和αn是指拉格朗日数乘系数；(2.4)从攻击集SetA中随机挑选N个样本构成第一攻击集，从正常集SetN中随机挑选N个样本构成第一正常集；(2.5)将所述第一攻击集和第一正常集中的所有向量分别根据其中每个向量距离当前超平面的距离按照升序排列；(2.6)从所述第一攻击集和第一正常集中各挑选N/2个向量构成训练集SetT；(2.7)以训练集SetT作为样本集，重复步骤(2.2)～(2.3)更新超平面；(2.8)重复步骤(2.5)～(2.8)，直到达到预设的训练次数，获取超平面法