一种基于压缩感知的无线网络的物理层入侵检测方法

摘要

本发明公开了一种基于压缩感知的无线网络的物理层入侵检测方法，传感器节点检测到事件信号。SINR信号x首先经过稀疏变换，得到信号的稀疏表示形式x’；SINR信号稀疏表示x’(x′∈RN)通过在矩阵Φ上的投影的得到y(y∈RM)；y通过无线网络进行传输，中间经过多个节点后达到中心汇聚节点；在中心汇聚节点采样利用CUSUM算法进行检测，并对检测出的结果进行重构还原，得到异常的行为数据，然后进行后续处理。本发明优势在于通过压缩的信号采样，减少数据规模，减少传输代价，从而实现快速地判断出物理层的异常情况。

说明书

技术领域

本发明涉及一种无线网络的入侵检测，具体地说，涉及一种基于压缩感知的无线网络的物理层入侵检测方法。 

背景技术

无线技术提供了方便的、低廉的网络接入方式。其宽带频率的频谱覆盖范围为大量的用户提供了简单、易用的使用模式。然而开放的接入方式使得无线网络容易受到各种各样的攻击。入侵者可以使用各种入侵工具很容易地对无线节点发起攻击，对无线网络造成较大破坏。在一些文献中，攻击者通常使用无线干扰设备对网络进行破坏。在众多攻击方式中，信号干扰器可以有目的性发送与无线网络相近频段信号来干扰无线网络的物理层传输。干扰器能够采用各种策略对网络发起攻击。如在相邻的信道上发送信号，造成正常节点受到干扰，或者直接在无线网络节点使用的通信频段上释放无线信号，直接对通信进行干扰。这里还有许多智能化的攻击方式。如CTS corruption干扰，ACKcorruption干扰，DATA corruption干扰，窄带干扰，DIFS等待干扰等方式。 

目前对无线网络的入侵检测的大部分工作集中于对入侵检测算法性能的研究，而没有考虑它的系统运行代价，如CPU消耗，内存消耗以及传输带宽。系统代价的最小化直接影响了能量消耗，越小的能量消耗使得更多能量用于入侵检测。 

发明内容

为了克服现有技术中存在的缺陷，本发明提出了一种基于压缩感知的无线网络的物理层入侵检测方法，利用压缩感知技术，对无线网络信号进行压缩采样，得到压缩后的传输数据，然后通过专门的入侵检测算法进行检测，以实现对物理层的干扰信号进行区分，甄别的效果。其技术方案如下： 

一种基于压缩感知的无线网络的物理层入侵检测方法，包括以下步骤： 

1)传感器节点检测到事件信号(SINR信号)。SINR信号x首先经过稀疏变换，得到信号的稀疏表示形式x’； 

2)SINR信号稀疏表示x’(x′∈R^N)通过在矩阵Φ上的投影的得到y(y∈R^M)矩阵Φ采样了一个m×n的托普利兹矩阵，其形式如下： 

这里元素是服从独立同分布的； 

3)y通过无线网络进行传输，中间经过多个节点后达到中心汇聚节点，多跳无线传输方式如图2B所示： 

中心汇聚点不单独接受每个感知节点的数据，而是接受经过感知矩阵压缩采样后的信号的权重值，基于压缩感知的数据获取及传输流程如下： 

31)当传输第i个节点的测量值到中心汇聚点时，节点A1把信号d1乘上感知矩阵的一个元素φ_i1然后发送给A2； 

32)节点A2将自身的信号数据d2乘上φ_i2，然后A2发送φ_i1d₁+φ_i2d₂给节点A3； 

33)以此类推，Aj发送自身数据和其接受到数据的权值之和给A(j+1)，最后中心汇聚点收到第i个数据的测量值为

在无线网络中，有M个测量值，则每个节点需发送M个数据包，即可完成整个网络信号数据的传输，且在这种方式下，每个节点发送的数据包数目都是相同的； 

4)在中心汇聚节点采样利用CUSUM算法进行检测，并对检测出的结果进行重构还原，得到异常的行为数据，然后进行后续处理。 

本发明的有益效果为： 

本发明主要是用于对无线网络的物理层信号进行检测，发现干扰传输的异常信号。整个基于压缩感知的无线网络的物理层入侵检测系统主要是通过感知矩阵实现对无线信号进行采样，然后把采样到的压缩数据传输到中心(AP)节点。 对于这种压缩的数据利用CUSUM算法进行检测，判别出正常和干扰信号。本发明优势在于通过压缩的信号采样，减少数据规模，减少传输代价，从而实现快速地判断出物理层的异常情况。 

附图说明

图1为本发明实施例提供的一种基于压缩感知的无线网络的物理层入侵检测方法的压缩感知理论的编解码框图 

图2为本发明实施例提供的一种基于压缩感知的无线网络的物理层入侵检测方法的多跳链式网络数据收集图，其中，图2A为不压缩数据，去2B为给予压缩感知的数据采集； 

图3为本发明实施例提供的一种基于压缩感知的无线网络的物理层入侵检测方法的SINR信号受到干扰的情况图，其中，图3(a)攻击期间SINR的变化；图3(b)在攻击期间期望值Z从负值到正值的偏移，图3(c)一个攻击出现时Cmm的输出信号； 

图4为本发明实施例提供的一种基于压缩感知的无线网络的物理层入侵检测方法的基于压缩感知的CUSUM算法用于入侵检测流程图 

图5为本发明实施例提供的一种基于压缩感知的无线网络的物理层入侵检测方法的无线网络入侵检测测试平台图 

图6为本发明实施例提供的一种基于压缩感知的无线网络的物理层入侵检测方法的不同测量矩阵，攻击强度下采用OMP算法的重构误差图，其中图6(a)为高攻击强度下Toeplitz矩阵重构误差与CDF关系，图6(b)为中等攻击强度下Toeplitz矩阵重构误差与CDF关系，图6(c)为高攻击强度下Gaussian矩阵重构误差与CDF关系，图6(d)为中等攻击强度下Gaussian矩阵重构误差与CDF关系； 

图7为本发明实施例提供的一种基于压缩感知的无线网络的物理层入侵检测方法的Toeplitz矩阵作为采样矩阵的SINR信号压缩比率图，其中图7(a)为原始的SINR，图7(b)为压缩率为75％时重构的信号的SINR，图7(c)为压缩率为50％时重构的信号的SINR，图7(d)为压缩率为25％时重构的信号的SINR；图7(e)为压缩率为5％时重构的信号的SINR。 

具体实施方式

下面结合附图和具体实施方式对本发明的技术方案作进一步详细地说明。 

本发明主要是用于对无线网络的物理层信号进行检测，发现干扰传输的异常信号。整个基于压缩感知的无线网络的物理层入侵检测系统主要是通过感知矩阵实现对无线信号进行采样，然后把采样到压缩数据传输到中心(AP)节点。对于这种压缩的数据利用CUSUM算法进行检测，判别出正常和干扰信号。 

1压缩感知的无线信号采集 

传统信号采集通常是编码端先对信号进行采样，再对所有采样值进行变换，并将其中重要系数的幅度和位置进行编码，最后将编码值进行存储或传输，信号的解码过程仅仅是编码的逆过程。而压缩感知理论对信号的采样、压缩编码发生在同一个步骤，利用信号的稀疏性，以远低于Nyquist采样率的速率对信号进行非自适应的测量编码，如图1所示。测量值并非信号本身，而是从高维到低维的投影值，从数学角度看，每个测量值是传统理论下的每个样本信号的组合函数，即一个测量值已经包含了所有样本信号的少量信息。解码过程不是编码的简单逆过程，而是在盲源分离中的求逆思想下。利用信号稀疏分解中已有的重构方法在概率意义上实现信号的精确重构或者一定误差下的近似重构。解码所需测量值的数目远小于传统理论下的样本数。 

基于压缩感知的无线网络的数据采集和传输方式如下： 

假定N个传感节点产生信号的x是K稀疏的，则这N个节点产生的N维K稀疏信号可以进行少量采样，并通过自适应的非线性求解来精确恢复。采样矩阵为Φ＝(φ_ij)_M×N，其中M<<N，则进行投影运算后的测量值为： 

y＝(y_ij)_M×1＝Φx   (1) 

对于该式的求解可以通过一个最优化问题求解来恢复被压缩的信号x 

$\left(\begin{array}{ccc}\hat{x}=\underset{z}{\arg \min }{\left|\right|z\left|\right|}_1& s.t.& y=\mathrm{\Phi z}\end{array}\right)---\left(2\right)$

然而，在具体的应用环境中，无线网络传感信号通常并不是稀疏的。因此需要建立一个稀疏基，使得在该稀疏基的投影下非稀疏信号能转化为稀疏信号。即有x＝Ψs和||s||₀≤K，这里是s为信号x在稀疏基Ψ下的稀疏表示。结合(1)和(2)式，可以得到 

y＝Φx＝ΦΨs      (3) 

$\left(\begin{array}{ccc}\hat{s}=\underset{z}{\arg \min }{\left|\right|z\left|\right|}_1& s.t.& y=\mathrm{\Phi \Psi z}\end{array}\right)$

在无线传感网络中对信号进行收集，我们采取了多跳链式结构。假定在无线传感网络中有N个感知节点，A1，A2，…An。且在某一时刻某一事件产生的感知信号为d1，d2，…dn是可压缩的。通常的非压缩的方式进行数据收集中(如图2A所示)，节点A1传输信号d1给A2，A2发送信号给A3，同信号d1也转发给了A3。按照这种方式，An发送N个感知节点的数据给中心汇聚节点。在这种传输方式中，越往中心汇聚节点传输的信号越密集，这势必造成中心节点负担过重，从而迅速地消耗掉能量。图2B展示了采样压缩感知的方式进行数据收集和传输。在这样的数据传输方式中，中心汇聚点不再单独接受每个感知节点的数据，而是接受经过感知矩阵压缩采样后的信号的权重值。基于压缩感知的数据获取流程如下： 

1当传输第i个节点的测量值到中心汇聚点时，节点A1把信号d1乘上感知矩阵的一个元素φ_i1然后发送给A2。 

2节点A2将自身的信号数据d2乘上φ_i2，然后A2发送φ_i1d₁+φ_i2d₂给节点A3 

3以此类推，Aj发送自身数据和其接受到数据的权值之和给A(j+1)，最后中心汇聚点收到第i个数据的测量值为

在无线网络中，有M个测量值，则每个节点需发送M个数据包，即可完成整个网络信号数据的传输，且在这种方式下，每个节点发送的数据包数目都是相同的 

2.基于CUSUM算法的入侵检测 

本发明通过对SINR值的变化情况进行分析，进而判断正常和入侵信号。我们分析了无线网络物理层入侵检测的可行性，采用了在压缩感知下的基于SINR的变换点入侵检测算法。压缩感知能够利用较少的测量次数来重构SINR信号，因此能得到最小的测量值用于传输。 

为了进一步选择较好的检测算法，我们比较了两种算法。一种是简单的阈值算法，即当累积量超过了合理的阈值时，触发警报。另一种是累积(CUSUM)算法。即当输出量超过了预先设定的阈值是，触发警报。在应用中，我们发现比起简单阈值算法而言，CUSUM算法的有较高的性能。CUSUM算法是工业异常监控常用的算法，它可以检测到一个统计过程均值的变化。因此如果CUSUM算法检测到数据序列有变化发生，随机序列的概率分布也会改变。检测中，我们对信号按照一定窗口长度进行切分，形成长-短两种窗口尺寸的信号。并计算短窗口的SINR信号的最大-最小值和长窗口的平均值，采用这样的最大最小方法能获得较好的检测性能。 

CUSUM算法属于基于假设检验的变换点检查技术。该算法能检测出系统突然的变化，且有两种类型：参数和非参数。参数的CUSUM算法要求在检测事件之前，预先设定度量标准(如基于SINR的标准)。在参数的CUSUM算法中，如果不事先设定SINR标准，算法容易受到网络拓扑结构，节点距离等因素的影响。因此这里我们使用非参数的CUSUM算法用于入侵检测。定义CUSUM算法的输出On为： 

$O_n=\left(\begin{array}{ccc}{O}_{n-1}+Z_n-\alpha & \mathrm{if}& O_n\ge 0\\ 0& \mathrm{if}& O_n<0\end{array}\right)---\left(4\right)$

那些运行CUSUM算法的监控节点持续不断地进行SINR采样(如图6所示)。对于节点收到的SINR测量次数n，算法的输出O_n被三个参数影响：1)上一步的输出O_n-1，2)期望值Z_n，3)α∈R⁺Z的值取决于SINR的测量值x,其表达式为： 

$Z_n=D\left(n\right)-\bar{D}\left(n\right)---\left(5\right)$

其中 

$D\left(n\right)=\underset{n-K+1<i\le n}{\max x_i}-\underset{n-K+1<i\le n}{\min x_i}$

$\bar{D}\left(n\right)=\frac{\underset{i-n-L+1}{\overset{n}{\Sigma }}D\left(i\right)}{L}$

在系统发生变化前，Z表示负偏移；在系统发生变化之后，Z表示正偏移。在整个系统运行过程中，当干扰产生时，SINR值的会发生变化。 

图3(a)展示了SINR值在干扰攻击中的变换情况。在Z值上的变化效果如图图3(b)。当攻击发生时，Z值的偏移变化从负数到正数，参数α控制偏移量。根据公式(4)可以看出α的值越大，偏移变化越小。z_n值越大表示网络信号异常的可能性越大。若设定报警阈值为h，在时间n发生的变化判断网络流量异常函数可以表示为： 

$f_h\left(z_n\right)=\left(\begin{array}{c}0(z_n\le h)\\ 1(z_n>h)\end{array}\right)---\left(6\right)$

如果z_n≤h，f_h(z_n)＝0表明网络信号正常；如果z_n＜h，f_h(z_n)＝1，则表明网络信号出现异常现象，并给出报警。 

K和L分别是短和长的窗口的尺度。当O_n>h时(h是预先定义的检测阈值)，报警产生。图3c表示了CUSUM算法输出在攻击中输出的变化情况(其中K＝10，L＝100，α＝0.5) 

3.基于压缩感知的CUSUM算法用于入侵检测过程 

整个入侵检测流程图如图4所示。虚线表示了CS理论在入侵检测上的应用，而实线表示基本的检测功能。 

1.SINR信号x首先经过稀疏变换，得到信号的稀疏表示形式x’ 

2.SINR信号稀疏表示x’(x′∈R^N)通过在矩阵Φ上的投影的得到y(y∈R^M) 

3.y通过无线网络进行传输，中间经过多个节点后达到中心汇聚节点。 

4.在中心汇聚节点采样利用CUSUM算法进行检测，并对检测出的结果进行重构还原，得到异常的行为数据，然后进行下一步处理。 

1稀疏变换 

根据前述压缩感知的理论，信号在某个变换域下是稀疏的才能用较少的测量值有效地实现信号重构。因此为了有效地在无线传感网络中应用压缩感知，需要为SINR信号寻求一个合适的转换矩阵(稀疏基)Ψ。一般情况下，一个信号的可压缩程度是与其稀疏性相关的。 

我们考虑一个测试平台(如图5)收集到的特定长度SINR信号。我们把该信号分割成长度为N的多个部分。对于每个部分，我们使用不同变化形式计算压缩程度。1)FFT2)DCT3)Haar小波变换。然后，我们计算每种变换的平均压缩度(ACO)，对每个长度为N部分分别计算。我们观察到FFT对应的ACO 值高于DCT和Haar小波变换对应的ACO值。因此本发明采用FFT作为变换矩阵Ψ。 

2测量矩阵 

压缩感知的性能很大程度上依赖于测量矩阵Φ。本发明用Toeplitz矩阵作为感知矩阵高概率地重构信号。Toeplitz作为感知矩阵的优势如下： 

(1)Toeplitz矩阵要求O(N)量级的变量值，而服从I.I.D的随机矩阵则需O(MN)量级的变量值。 

(2)对Toeplitz矩阵是FFT乘性变换，仅需要O(Nlog2(N))次运算，比起I.I.D矩阵要求O(MN)而已，其运算次数大大减少。 

(3)I.I.D矩阵并不适合在无线网络，无线网络是线性不变化系统 

一个m×n的托普利兹矩阵形式如下： 

这里元素是服从独立同分布的，因此用Toeplitz矩阵构建的测量矩阵很大程度上满足3m阶等距约束条件(压缩感知理论限定性条件之一)。且其3m阶等距约束常数δ_3m∈(0，1/3)稀疏度k≥const·m³ln(n/m)。 

3无线网络物理层入侵检测性能评估 

图5展示了无线网络中SIN信号采集的拓扑结构。这里4个节点的通过AP进行通信。一个监控节点(monitor node,MN)收集SINR测量值，并执行入侵检测算法，这时一个干扰源正在临近信道释放干扰信号影响通信。节点与AP的通信速率为1.5Mbps。 

这里考虑两种类型的攻击强度。1)高强度攻击：干扰器在临近信道以3Mbps的速率广播发送UDP报文。2)中等强度攻击：干扰器以1.5Mbps的速率发送报文。监控节点(MN)负责5个接口的监控以便记录主要信道，临近信道(IAC)，和下次测试的临近信道。MN每次计算SINR信号需要AP捕获一个先导数据包。所有的节点使用相同的硬件平台，Mini-ITX板，该板拥有512M内存，80G的硬盘容量，同时装备Atheros CM9-GP min-PCI卡，驱动为ATH5K，运行Gentoo linux系统。同时干扰器攻击按照周期执行，分为休眠期和攻击期。 

3.1重构性能评估 

我们使用SINR信号来分析CUSUM算法的性能以及两种矩阵的重构误差。即均值为0，方差为1/M，服从I.I.D的高斯矩阵和具有相同分布的Toeplitz矩阵。重构误差表示为其中x和分别表示原始信号和重构信号。 

图6表示了两中攻击强度下(High,Medium)，重构信号的累积密度函数(Cumulative Density Function,CDF)。其测试采用的测量矩阵是Gaussian和Toeplitz，压缩比率表示为100×(1-M/N),使用OMP算法进行重构。测试进行了100次。重构误差随着攻击强度的增加而增加。可以观察到Toeplitz的重构误差低于Gaussian矩阵。 

可以看出，对于所有的压缩率，随着攻击强度增加，重构误差也相应增加。这是由于攻击中SINR信号的变化影响了它的ACO。 

3.2检测性能评估 

在这个部分，我们对基于压缩感知的CUSUM算法性能进行评估。通常情况下，对一个检测算法的性能进行评估时通过特征曲线图(ROC)进行表示。该图能表示在检测率和误警率之间的各种阈值的权重比例。由于这种方法主观性较强，因此我们又采用了F检验来定量分析检测结果。F检验中F∈[0，1]被定义为： 

$F=(1+c^2)\times \frac{\mathrm{recall}\times \mathrm{precision}}{c^2\times \mathrm{recall}+\mathrm{precision}}---\left(7\right)$

其中为正检率(true positives,tp)与误检率(false negatives,f_n)的比值。c∈R⁺用来调节precision与recall(set c＝1)之间的权重。F检验的值越大，算法的性能越高。 

表1展示了两种攻击强度下(high和medium)F检验的结果。测量矩阵采用Gaussian矩阵和Toeplitz矩阵，同时实验在不同压缩率的条件下进行了测试。如果压缩率为0则意味着没有压缩，即原始的SINR信号被直接使用。我们选取不同的阈值h，从0到最大值，CUSUM算法没有给出检测报警。F检验依赖于阈值h，在这个表中，我们展示了最大的F检验值。我们观察到随着压缩率的提高，CUSUM算法的性能逐渐降低。同时当Toeplitz矩阵被使用时，CUSUM算 法的性能表现优于Gaussian矩阵。这是因为Toeplitz矩阵在测量过程中，导致了SINR信号较高的重构误差。 

表1不同攻击强度和测量矩阵下的F检验结果 

我们也注意到了较高攻击强度下，CUSUM算法表现出了比中等攻击强度的较好的检测性能，尽管后者的重构误差低于前者。这是由于CUSUM算法在入侵检测时具有的突发性。这种性能取决于基于压缩感知的SINR变化和重构误差的不稳定性。在较高密度攻击期间，SINR信号有较大幅度的波动，且重构误差较高。另一方面，在中等强度攻击中，SINR信号的波动不太大，且重构误差较小。从而，我们可以得出SINR值的波动决定了重构误差，因此CUSUM算法在高强度攻击中能取得较好的性能。同时从表中可以看出在高压缩率下(>75％),CUSUM算法在2种测量矩阵下，仍能得到较高的F检验值(>7％)。 

图7展示了在不同压缩率下，使用Toeplitz矩阵做出测量矩阵时，原始的SINR信号和他的重构信号的结构图。对于高强度攻击，SINR信号的这种突发改变被压缩采样过程保存了下来。 

以上所述，仅为本发明较佳的具体实施方式，本发明的保护范围不限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可显而易见地得到的技术方案的简单变化或等效替换均落入本发明的保护范围内。