CN109120627A

CN109120627A - 一种基于改进KNN的6LoWPAN网络入侵检测方法

Info

Publication number: CN109120627A
Application number: CN201810994988.6A
Authority: CN
Inventors: 魏旻; 庄园; 杨涛; 王平
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2018-08-29
Filing date: 2018-08-29
Publication date: 2019-01-01
Anticipated expiration: 2038-08-29
Also published as: CN109120627B; US20210266748A1; WO2020042702A1

Abstract

本发明涉及一种基于改进KNN的6LoWPAN网络入侵检测方法，属于无线通信技术领域。本发明选择能够反映6LoWPAN网络网元自身安全状态的可量化安全特征(即网元特征)进行训练，建立6LoWPAN网络特征空间。本发明给出了网元特征数据的获取方式及处理方式，对特征进行权重分配和转移零点处理，以缓解较大和较小影响因子(指特征量化后的数值)引起的偏见并实现简化计算；通过实时提取网元特征数据实现网元状态数据表的构建和更新，进而基于KNN算法的聚类效果在6LoWPAN网络特征空间中形成根据网络实时状态更新的正常轮廓；本发明对KNN算法进行改进，并重新定义判断入侵的依据，以适应6LoWPAN网络入侵检测的要求。

Description

一种基于改进KNN的6LoWPAN网络入侵检测方法

技术领域

本发明属于无线通信技术领域，涉及基于改进KNN的6LoWPAN网络入侵检测方法。

背景技术

IP化是无线传感网络技术发展的重要趋势，采用IPv6技术是无线传感器网络IP化的必然选择。现有的无线传感器网络私有协议通信往往与具体应用相关，可扩展性和移植性差，外部网络的用户很难直接访问无线传感器网络中的节点。通过IPv6技术，无线传感器网络能够与Internet无缝对接起来，从而实现人与人、人与物、物与物之间基于IP协议的自由通信。互联网工程任务组(IETF)积极推动基于IPv6的无线传感器网络技术，6LoWPAN、RPL、CoAP等核心标准已经基本制定完成，其中6LoWPAN协议底层采用IEEE 802.15.4的物理层和MAC层协议，网络层则对IPv6协议进行裁剪和优化，适用于嵌入式IPv6领域，使大量物联网产品可彼此组网，还可通过IPv6协议接人下一代互联网。

基于6LoWPAN的无线传感网带来自由的同时，安全性问题已经成为制约其应用普及的一个主要障碍及瓶颈问题。6LoWPAN较传统无线传感网有本质区别，因加入了IP协议，使得攻击者对6LoWPAN进行的潜在攻击更多。同时，6LoWPAN本身存在的安全隐患没有得到妥善的解决。

6LoWPAN提供的安全保护机制不足以保护在邻居发现、路径MTU发现、地址配置等过程中由于异质性和分布性引起的大规模网络下多播造成的icmp滥用、Smurf攻击。另外，UDP协议不需提供验证请求分组中给定源地址就可以访问受限网络引入的IP地址spoofing攻击。CoAP协议中响应请求引入的放大风险造成的DoS攻击以及使网络缓冲过载引致崩溃的death of ping。这些上层的层间协议的协作状况带来的漏洞、应用层协议本身的安全事项及应用场景的限制等情况需要建立基于架构和理论基础上进行具体分析。解决6LoWPAN的安全问题是其大规模应用的前提条件。

入侵检测作为自动安全防护技术，可对入侵进行识别、评估和报告，并采取主动反应措施。目前，对于IPv6互联网入侵检测***的研究已初步具备规模，但是对于基于IPv6协议的无线传感器网络入侵检测的研究还比较少，基于6LoWPAN的入侵检测机制的研究存在一些针对某一种攻击的解决方案，这类研究没有涉及对未知攻击的检测。

在IPv6网络入侵检测中，由于流数据的频繁改变，如何对正常数据轮廓的在线更新实现对节点行为的有效判断是目前亟需解决的问题。为实现基于6LoWPAN无线传感网的入侵检测,需要一种新型机制能够在线检测，同时具有可靠性、可扩展性、自主学习性,并且易于管理,具有较低的维护成本等优点。

目前的一些研究集中于采用K-近邻(KNN)算法进行异常评估。KNN算法的优势在于可用于非线性分类，可以生成任意形状的决策边界；另外KNN算法的训练时间复杂度较低，准确度较高，参数k对噪声不敏感。然而，KNN很难直接在6LoWPAN无线传感网。懒惰学***衡问题(即有些类别的样本数量很多，而其它样本的数量很少)；所以需要对参数选择和数据预处理，否则最近邻分类器可能做出错误的预测。

综上所述：1.6LoWPAN网络由于其特征与传统IPv6网络不同，入侵检测困难；2.6LoWPAN网络的节点行为和网络中数据流变化频繁且随机，很难定义正常数据轮廓，使得在线检测困难。

本发明针对6LoWPAN网络的入侵检测问题，综合考虑RFC4944、RFC7252、RFC6550给出的6LoWPAN网络特征和运行方式，提出一种面向6LoWPAN网络的入侵检测架构，同时提出了一种基于KNN改进算法的入侵检测机制，利用改进后轻量KNN算法对正常行为建立轮廓模型，并能够实时调整KNN参数对轮廓模型更新升级。该方法可实现对于DoS，地址欺骗，中间人攻击等典型入侵攻击的有效检测，能够在一定程度上对未知攻击提供冗余检测。

发明内容

有鉴于此，本发明的目的在于提供一种基于改进KNN的6LoWPAN网络入侵检测方法，对于未知攻击类型具有较好的泛化能力，对网络环境变化具有一定的鲁棒性。具有较小的内存，不需要或者很少的先前知识。

为达到上述目的，本发明提供如下技术方案：

本发明提出的6LoWPAN网络的入侵检测架构如图1所示：

1.网关：负责外网(WiFi/3G/4G/以太网)和6LoWPAN子网的协议转换；

2.6R(6LoWPAN边界路由器)：子网内节点的一种，只作为路由节点转发数据包；

3.FFD(6LoWPAN FFD)：6LoWPAN网络中的FFD全功能设备，既能够采集数据又能够实现转发功能；FFD需要对自己接收和发送数据包的能量进行统计；

4.RFD(6LoWPAN RFD)：6LoWPAN网络中RFD精简功能设备)，作为整个网络最底层的节点，只负责数据的采集并发送给父节点或路由器；

a)捕获模块：

i.访问数据包，查找并打开指定网络接口，监听共享网络上的所有数据包，递交给数据包解码模块；

ii.信息收集，内容包括网络流量的内容、用户(客户端)连接活动的状态和行为。

b)解码模块：负责对网络数据包的报头信息字段进行解析，将结果放在已定义的数据结构中。

c)预处理模块：对上述的结果中在检测前需要解码或重装的数据报使用预处理函数处理，以便检测工作的正常运行。

5.MN(监控网元)：在FFD中选择部分网元作为监控网元，建立监控网络，监控网元负责定期将网络相关统计信息上传给入侵检测辅助设备2，经入侵检测辅助设备传给网关，由网关传给IDS控制台分析监控网元操作。选取MN监控网元建立的监控网的原则如下：

(1)网元数目尽可能小，以避免不必要的能量消耗；

(2)监控网元可信且有足够能力处理监控任务，能够胜任其职能；

(3)监控网覆盖全网。

6.入侵检测控制台：包括本地数据库、安全管理软件、入侵检测软件和入侵响应软件四部分：

a)本地数据库：本地数据库负责存储异常检测收集到的信息(例如数据包头部特性及入侵检测方法类型及算法)。

b)入侵检测软件：建立正常行为轮廓模型。

c)入侵响应软件：偏差超过阈值，报警将被触发，请求安全管理软件发送相应的控制命令并执行。

d)安全管理软件：安全管理软件负责记录安全事件，安全事件的地址等网络信息既需要用简单的名称表示，又要与IP地址建立映射关系。

上述网络建立以后，6LoWPAN子网内采用混合网络拓扑结构，采用多跳的路由方式，根据RPL路由协议(RFC 6550)和具体应用创建DODAG。监视网元(MN)将监听来自其邻居(包括其父网元和子网元)的通信。MN网元将为其每个邻居创建一个监控表以存储该网元的监控数据。

入侵检测的判断过程分为基于某一个网元特征进行直接判断和基于某几个网元特征建立网元状态数据表综合判断。具体过程如下：

一、学习过程

本发明下文会高频出现概念：网元状态数据y_i、网元特征数据y_iq；在学习过程中，控制台将建立网元状态数据表对数据缓存，并对表内的数据进行处理。以下内容将说明网元状态数据表构建方法、网元特征选择的方法、网元特征数据捕获方式及捕获特征数据的实施对象。

1.网元状态数据表

下面首先介绍本发明定义的网元状态数据表架构。网络如图1所示，节点完成组网，网络中网元有m个。本发明设表中缓存若干网元状态数据集合为{y₁,...,y_i}。本发明选取6LoWPAN网络网元的q个特征，所构建的网元特征集合记为{Feature1,Feature2,Featureq}。其中某个网元x的状态数据由q个网元特征反映出来，记为y_x＝{y_x1,…,y_xq}。不同的网元的特征数量均为q个。网络开始运行后，控制台开始对所有网元特征数据进行记录。

表1网元状态数据表

下面开始介绍表1的具体构建方法：

主要分为以下3个步骤：

(1)网元状态数据量选择,从而决定网元状态数据表中样本数(行数)

(2)网元特征集合构建，从而决定网元状态数据表中与6LoWPAN入侵检测相关的特征，从而决定数据的维度(列数)

(3)网元状态数据表填充完成

(4)数据预处理，完成正交归一处理

具体构建如下所示：

(1)网元状态数据量选择

网元状态数据表中的样本状态数据个数不得少于网络中网元的个数也不能超过网元总数的二倍，即能够找出离群点的样本数为最佳。设表中缓存若干网元状态集合为{y₁,…,y_i}。本发明规定m＜i＜2m。本发明规定T₀→T₁、T₁→T₂、T₂→T₃三个时段。T₀之前，网络已启动，节点加入过程完成，如图2所示。T₀之前网络启动，节点加入过程完成。T₀→T₁内完成对{y₁,…,y_m}网元状态数据集合的获取；T₁→T₂内完成对{y_m+1,...,y_i}网元状态数据集合的获取；T₂→T₃内完成对网元状态数据表的更新(即清除之前缓存，重新加载新的数据)，具体更新方法见本发明下文(更新过程)。这里需要说明的是只有首次形成网元状态数据表时会经过T₀→T₁、T₁→T₂这两个时段，之后该表内数据的形成过程都遵循T₂→T₃时段的方式。在首次形成的网元状态数据表中，状态y_m+x与y_x是同一网元不同时间段内的状态。随着该表的更新，与上述同理，T₂→T₃时段内会捕获个网元状态数据，p为分数概率；这时表中缓存若干网元状态集合为m＜i＜2m；参数p在更新过程中使用，是更新算法中的参数。p的值由控制台指定。这时状态与y_x是同一网元不同时间段内的状态。这些状态数据按照p的概率筛选后更新表内数据。由于在该表中网元的状态已经转化为数据，因此控制台在构建该表时不需要体现时间，网元先前的状态也无需被替换。

由上述说明，这一步骤将网元状态的数据量确定了下来，如表2所示。

表2网元状态数据量

(2)网元特征集合构建

这里需要进一步说明的是有些特征为基于时间的网络流量统计特征，即

为避免时间段对统计的特征数据带来的影响，这些特征统一利用“报文出现频率”来表示；

特征如下：

Feature1：地址不可达响应报文出现频率，其权值为weight₁；

Feature2：时段内拓扑改变/建立的次数，其权值为weight₂；

Feature3：父网元项计算的子网元数，其权值为weight₃；

Feature4：代理网元和入侵检测设备检测CON报文差异，其权值为weight₄；

Feature5：代理网元和入侵检测设备检测ack报文差异，其权值为weight₅；

Feature6：报文过大响应报文出现频率，其权值为weight₆；

Feature7：接收某下级网元数据包数量，其权值为weight₇；

Feature8：接收某下级网元数据包消耗的能量，其权值为weight₈；

Feature9：网元数据包转发率，其权值为weight₉；

根据每个特征的影响因子控制台对权值进行分配，满足∑weight＝1即可。分配权值能够降低明显的特征引起的偏见。

下面逐步介绍该表中网元一系列特征构建为特征集合的过程。

由于在首次形成网元状态数据表的过程中，表中的网元状态数据的捕获时间不同。因此在下述特征集合构建过程中将说明存在分不同时段(T₀→T₁、T₁→T₂)捕获数据的情况出现。除首次形成该表过程存在分时段捕获数据的情况，其余情况均在同时段(T₂→T₃)捕获数据。

下面按照时间顺序对构造网元状态数据表的过程进行详述。

首先叙述网元状态数据表首次形成过程：

在T₀→T₁时段内，构造过程如图3所示：

1)网元特征Feature1

入侵检测辅助设备2捕获返回给网元的地址不可达报文，对T₀→T₁报文进行统计监测，监测其出现频率，将这一特征记为v_iemp1。

这一步将v_iemp1这一网元特征记录在表内，网元状态数据表变为：

表3网元特征集合构建过程2

mote action	v<sub>icmp1</sub>
		y<sub>1</sub>	y<sub>10</sub>
y<sub>2</sub>	y<sub>20</sub>
		y<sub>3</sub>	y<sub>30</sub>
	…
		y<sub>m</sub>	y<sub>m0</sub>

2)网元特征Feature2、Feature3

监测网元MN在T₀→T₁内：检测网络中网元DIO消息中与首选父网元相关的任何更改(该网元的DODAG ID的更改或等级变为不定式)。将这一特征记为Num_topo。监测网元MN在T₀→T₁时段内：检测父网元统计的子网元数增加量。将这一特征记为Num_sub。这一步将Num_topo和Num_sub特征记录在表内，网元状态数据表变为：

表4网元特征集合构建过程3

mote action	v<sub>icmp1</sub>	Num<sub>topo</sub>	Num<sub>sub</sub>
				y<sub>1</sub>	y<sub>10</sub>	y<sub>11</sub>	y<sub>12</sub>
y<sub>2</sub>	y<sub>20</sub>	y<sub>21</sub>	y<sub>22</sub>
				y<sub>3</sub>	y<sub>30</sub>	y<sub>31</sub>	y<sub>32</sub>
	…	…	…
				y<sub>m</sub>	y<sub>m0</sub>	y<sub>m1</sub>	y<sub>m2</sub>

3)网元特征Feature4

入侵检测设备和代理网元在T₀→T₁内：统计网元通知报文。比较两者获取的通知报文差值。监测其报文差异数，将这一特征记为ΔCON。

这一步将ΔCON特征记录在表内，网元状态数据表变为：

表5网元特征集合构建过程4

mote action	v<sub>icmp1</sub>	Num<sub>topo</sub>	Num<sub>sub</sub>	ΔCON
					y<sub>1</sub>	y<sub>10</sub>	y<sub>11</sub>	y<sub>12</sub>	y<sub>13</sub>
y<sub>2</sub>	y<sub>20</sub>	y<sub>21</sub>	y<sub>22</sub>	y<sub>23</sub>
					y<sub>3</sub>	y<sub>30</sub>	y<sub>31</sub>	y<sub>32</sub>	y<sub>33</sub>
	…	…	…	…
					y<sub>m</sub>	y<sub>m0</sub>	y<sub>m1</sub>	y<sub>m2</sub>	y<sub>m3</sub>

4)网元特征Feature5

入侵检测设备1需要在T₀→T₁时段内：统计网关返回ACK消息的速率；代理网元6R在在T₀→T₁时段内：统计ACK报文速率。比较两者获取的ACK报文差值。监测其报文差异数，将这一特征记为Δack。

这一步将Δack特征记录在表内，网元状态数据表变为：

表6网元特征集合构建过程5

mote action	v<sub>icmp1</sub>	Num<sub>topo</sub>	Num<sub>su6</sub>	ΔCON	Δack
						y<sub>1</sub>	y<sub>10</sub>	y<sub>11</sub>	y<sub>12</sub>	y<sub>13</sub>	y<sub>14</sub>
y<sub>2</sub>	y<sub>20</sub>	y<sub>21</sub>	y<sub>22</sub>	y<sub>23</sub>	y<sub>24</sub>
						y<sub>3</sub>	y<sub>30</sub>	y<sub>31</sub>	y<sub>32</sub>	y<sub>33</sub>	y<sub>34</sub>
	…	…	…	…	…
						y<sub>m</sub>	y<sub>m0</sub>	y<sub>m1</sub>	y<sub>m2</sub>	y<sub>m3</sub>	y<sub>m4</sub>

5)网元特征Feature6

入侵检测辅助设备2在T₀→T₁时段内：捕获返回给网元差错报告报文，对报文进行统计检测。监测其出现频率，将这一特征记为v_icmp2。

这一步将v_icmp2特征记录在表内，网元状态数据表变为：

表7网元特征集合构建过程6

6)网元能量特征

FFD和6R在T₀→T₁时段内：对自身能量进行统计，并对统计得到的报文处理，得到能量特征。因此，网元状态数据表变为：

表8 T₀→T₁网元状态数据

在T₁→T₂时段内，网元状态数据表构造过程如图4(a)所示。在T₁→T₂时段内，对网元特征数据进行捕获，捕获方式和具体实施对象相同。

表9 T₁→T₂网元状态数据

在T₀→T₂时段内，分两个时段对网元特征数据进行捕获，如下表11所示，得到的数据是网络启动后首次构成的网元状态数据表。

表10首次网元状态数据表

在T₂→T₃时段内，网元特征数据的捕获方式和具体实施对象相同，构造过程如图4(b)所示。T₂→T₃时段内会捕获(p为分数概率)个网元状态数据，需要在T₂→T₃时段内分个时段对网络内的网元状态进行捕获。为取小数的整数部分的函数表达。最终构建的网元状态数据表如下表11所示：

表11 T₂→T₃网元状态数据表

在网元状态数据表构建完成后，下面将具体说明控制台对网元状态数据表内网元特征具体数据的处理方式。

(3)网元状态数据表填充完成后数据预处理

1)去噪过程：

控制台检查网元状态数据表中是否存在一些非数值变量和明显不合理的数据，这种网元特征数据作废；去噪过程结束后，设表中第n个特征的网元特征数据集合为y_|n＝{y_1n,y_2n,...,y_in}，即网元状态数据表的第n列，y_|n集合的阈值为max_n和min_n，其中min_n为集合中的最小值，max_n为最大值；

2)这时控制台需要将每个特征的阈值范围预处理，控制台通过归一化函数处理使得每个特征的(min_i,max_i)阈值范围转化到(0,1)之间，即特征值化为另外控制台还需要根据特征的影响因子对每个特征的权重进行重新匹配；

3)因为控制台构建q维坐标空间，q＝10，网元状态数据表中的网元特征数据需要在坐标空间中定位；控制台在此时引入附和系数c转移零点，使得整个特征空间被移动到正坐标空间，这里的系数c设置为：

c＞|min|,min＝min{min_i,i＝1,2,...,q}，

2.网元特征选取及捕获方式

需要特别注意的是，下文所分析的部分网元特征未被列入网元状态数据表中，原因有三：

1)网元的部分特征变化是判断异常的决定性特征，不需要经过入侵检测机制的分析直接判断为异常；

2)网元的部分特征只负责协同其它特征，无需在网元状态数据表中记录；

3)部分特征只属于特定功能网元，其无法代表整个网络中网元的特征，不具有普适性。

本发明下面通过分析网络特征的方式对特征进行逐步的筛选和最终确定。

另外，在下文特征选取的过程中，所有频率限制都是假设的，目的在于说明这些特征能够一定程度上反映网元的安全状态。本发明提出入侵检测机制正是由于网络特征限制值的不可预测性和动态变化性。

过程1：地址分配及解析

网关和6R接入网络，地址固定分配。然后，网元FFD和RFD接入网络后发出请求信息RS报文直连6R请求IPv6地址，6R接收到RS消息后，回复RA报文(RA用于配置地址前缀，网元使用前缀配置IP地址，配置网络参数包括MTU、跳数限制、生命值TTL)，RFD和FFD得到IP地址(将RFD和FFD自身的MAC地址通过EUI-64转换为接口ID，加上通过RA消息得到的链路前缀)。

在上述过程中，网络内各单元执行动作和网络中网元和入侵检测辅助设备对特征数据捕获执行步骤如下：

6R网元每次发送RA报文时，入侵检测辅助设备1(靠近6R网元)分别在定T₀→T₁、T₁→T₂、T₂→T₃时间段捕获RA报文，并对RA报文内容进行解析比较。捕获来自于6R的不同RA报文，其中地址前缀分别为：

predix₁，predix₂，…，predix_n

入侵检测辅助设备将此报文发送给控制台，控制台对报文进行解析并提取地址前缀。控制台对地址前缀执行异或运算。

若则6R网元存在异常；

若则6R网元正常；另外，入侵检测辅助设备1在T₀→T₁、T₁→T₂、T₂→T₃内统计监测6R网元出现RA报文频率，设6R网元在正常情况下，RA报文的出现频率为v_na：若v＞v_na，则6R网元存在异常；若v＜v_na，则6R网元正常；上述检测过程只针对6R。因此RA报文的特征不被列入构造的特征集合中。但是可以依次判断6R网元的状态。

入侵检测辅助设备2分别在T₀→T₁、T₁→T₂、T₂→T₃时间段内对子网内部网元NS报文进行监测，一旦任一网元收到NS的频率超过限制，子网内部网元主动进行检测即反向发送NS报文。如果没有返回NA，或者收到其他MAC地址的NA报文，则证明行为异常，不更新ND表项，并上报控制台。设网元在正常情况下，收到NS报文的频率限制为v_limit-ns，设收到NS报文的源IP地址为Address0，返回NA报文的源IP地址为Address1。若v_ns＞v_limit-ns，反向发送NS报文；Step1:若没有返回NA报文，则该网元异常；Step2:若返回NA报文，比较IP地址；则存在异常；则网元正常；若v＜v_ns，则网元正常；

若数据包目的地址不在网元(FFD和6R)缓存中，即数据包以该网元地址为目标时，若不存在或者未收到回复，长时间没有得到响应，则目的地址不可达。因此需要适配层提供地址不可达报文，需要返回发送数据包的网元一个地址不可达报文即ICMPv6规范的差错报告报文。

入侵检测辅助设备2捕获返回给网元的地址不可达报文，对报文速率进行检测。一旦速率超过阈值，则说明网络内该目的地址不存在，或存在恶意使用情况。入侵检测辅助设备2对T₀→T₁、T₁→T₂、T₂→T₃内的ICMP报文过滤提取。假使T_m(m＝0,1,2)为起始时间，T_m+1为末尾时间，T_m→T_m+1是一个固定时段，可以理解为一个时间窗口。

a为T_m→T_m+1内某一网元(FFD和6R)收到的ICMP错误响应报文数，Timestamp₁表示T_m→T_m+1内某一网元(FFD和6R)收到第1个错误响应报文的时间戳，Timestamp_a表示T_m→T_m+1内收到第a个错误响应报文的时间戳。Timestamp_x表示T_m→T_m+1期间收到第x个报文的时间。

表10捕获数据表

为T_m→T_m+1内受害网元收到错误响应报文的出现频率。

假使网络正常未被入侵时，收到错误响应报文的频率最大值为V'max。

(5)若入侵检测设备2判断该网元受害；

(6)若网元正常；

Feature1在此步骤中得以确立，上述特征：地址不可达报文频率，设其权值设为weight₁；

过程2：网络路由建立

设备按照RFC6550的规定建立路由。需要提前说明这里需要将网元分为子网元和父网元，以rank值进行衡量，级别越高rank值和ETX值越小。以6R加入DAG为初始状态进行组网，已经加入到DAG的6R网元会定时地发送多播地址的DIO消息。另外，请求加入的网元(RFD或FFD)也可以通过发送DIS消息，让6R网元回应DIO消息。DAG中的网元会定时向上一级网元发送DAO消息(里面包含了该网元使用的前缀信息)。上一级网元收到DAO消息后，会缓存子网元的前缀信息，并回应DAO-ACK。在上述过程中，入侵检测机制执行步骤如下：

这个过程中，本发明利用监控网元对数据进行捕获和分析提取。MN监控清单的信息来自确定网元的DIO和DAO消息。MN监控清单：

i.网元ID及其秩rank

ii.网元的优选父网元ID及其秩rank

iii.网元在一段时间内拓扑改变/建立的次数

iv.网元的ETX值(从该网元广播的DIO报文得到)

v.该网元作为父网元的变更(来自其他网元的DAO报文)

vi.父网元项计算的子网元数。

这里要求：沿路由的发送网元和接受网元都有义务检查rank规则是否被破坏，通过在RPL包信息中设置rank-error位，以保证rank值的不可伪造。在上述过程中，网络中网元和入侵检测辅助设备对特征数据捕获执行步骤如下：

每个监控网元负责对T₀→T₁、T₁→T₂、T₂→T₃内的监控范围内网元对象的行为流。当监控网元第一次听到来自网元对象的DIO消息时，说明拓扑开始设置，状态发生更改。然后，监控网元从DIO和DAO报文中提取其监视表中的对象的特定条目中的所有必要信息即监控清单，判断监听到网元对象发送或接收到的控制消息：

1)如果MN检测到DIO消息中与首选父网元相关的任何更改，即该网元的DODAG ID的更改或等级变为不定式，该状态更改被记录；如果状态更改频繁，更改次数超过阈值时，导致本地修复的任何网元行为将记录在监控网元中；导致本地修复的网元为异常；

Feature2在此步骤中得以确立，上述特征：在一段时间内拓扑改变/建立的次数，即更改的次数，设其权值设为weight₂；

2)MN收到DIO时检查中的等级信息，如果监视网元检测到任何违反秩规则的子/父关系，则更改rank的网元存在异常；此特征，即rank值一旦发生变化，沿路由的发送网元或接受网元检查到rank规则被破坏，RPL包信息中rank-error位变为1，则说明该网元存在异常；此特征，即rank值变化直接判断为异常，rank-error位变化无需列入网元特征集合中；

3)当MN检测到监控列表中的父网元和子网元ETX关系被破坏时，即父网元ETX值较大，该路由无效，这时，RPL启动本地修复机制以恢复网络路由拓扑；如果父网元项计算的子网元数增加超过阈值，阈值取决于网络环境波动与网络规模，即当网元广播自身ETX值变小同时其子网元的增加超过了阈值,则该子网元被入侵；该网元一定存在异常；

由此知网元ETX值和其子网元的增加数这两个特征共同判断网元的安全状态；子网元增加数为状态量，无法记录在网元状态数据表中，因此在网元状态数据表中记录“父网元项计算的子网元数”，由网元的ETX值协同“父网元项计算的子网元数”这一特征，当网元的ETX值变小时，记录下此时“父网元项计算的子网元数”这一特征；若网元的ETX值没有变小，这一特征没有影响，特征值和其权值均设置为0；

以父网元项计算的子网元数这一特征为因子，设权值为Feature3；

过程3：网络资源状态获取—CoAP订阅模式

应用层采用CoAP协议订阅者模式对信息进行采集。CoAP Client观察Server上的资源，Client向Server订阅资源，只要资源状态发生变化，Server会通知Client资源新的状态。需要说明的是Client为每个DODAG的网关(即6R)，Server为子网内网元(FFD)，代理Proxy为子网内RFD。

当客户6R需要数据(发送get报文)时，入侵检测设备1需要统计监测在T₀→T₁、T₁→T₂、T₂→T₃内捕获来自6R的get报文，并计算get报文的出现频率，一旦超过限制阈值，则说明6R网元存在异常。

上述特征(get报文出现频率)只针对6R。因此get报文出现频率不被列入特征集合中。

又另一种情况，当数据发生变化时，每个代理客户订阅的网元发送通知(notification)给客户作为请求响应，通知是CON报文。入侵检测设备1还需捕获发送给6R的CON报文并统计计算来自每个网元的通知速率。每个代理网元6R(即不进行信息采集，只进行转发的网元)需要在T₀→T₁、T₁→T₂、T₂→T₃内统计监测的信息有：

i.转发get报文数

ii.来自不同网元CON报文数

一旦检测到某网元发送通知过于频繁，超过阈值，则说明网络中存在异常，这时还不能够判断是代理网元的异常还是子网内网元即server的异常，因此比较由入侵检测设备和代理网元统计的信息。如果这两者差异过大，则说明代理网元被攻陷。反之，则server异常。

上述两个特征(代理网元和入侵检测辅助设备分别捕获的CON报文出现频率)联系起来。

设ΔCON＝|CON_proxy-CON_IDS|；若ΔCON过大；控制台进一步比较CON_proxy-CON_IDS；若CON_proxy-CON_IDS＞0,则代理网元可能存在异常。若CON_proxy-CON_IDS＜0,则server可能存在异常。

通知是CON报文，6R和代理网元需要ACK用来响应CON消息，如果长时间没有得到ACK回应，将会导致客户自动对服务器网元取消订阅。入侵检测设备1需要在T₀→T₁、T₁→T₂、T₂→T₃内统计监测网关返回ACK消息的出现频率；代理也需要在T₀→T₁、T₁→T₂、T₂→T₃内对ACK报文出现频率进行统计监测。

如果ACK报文的出现频率明显低于CON报文的出现频率，则说明网关或者代理网元存在异常；这时比较网关和代理网元统计出的ACK报文出现频率进一步判断异常。与CON报文的判断同理，在此不再赘述。上述两个特征(代理网元和入侵检测辅助设备分别捕获的ACK报文出现频率)联系起来。

Feature4、Feature5确立完成；

Feature4：ΔCON＝|CON_proxy-CON_IDS|，其权值为weight₄；

Feature5：Δack＝|ack_proxy-ack_IDS|，其权值为weight₅；

数据包上传过程中，如果数据包超过当前网元MTU，数据包将被丢弃并返回ICMP差错报告报文。入侵检测辅助设备2对T₀→T₁、T₁→T₂、T₂→T₃内的ICMP报文过滤提取。假使T_m(m＝0,1,2)为起始时间，T_m+1为末尾时间，T_m→T_m+1是一个固定时段，可以理解为一个时间窗口。b为T_m→T_m+1内收到的ICMP错误响应报文数，Timestamp_1'表示T_m→T_m+1内收到第1个错误响应报文的时间戳，Timestamp_b‘表示T_m→T_m+1内收到第b个错误响应报文的时间戳。Timestamp_x'是T_m→T_m+1期间收到第x个报文的时间。

表11捕获数据表

为T_m→T_m+1内受害网元收到错误响应报文的出现频率。

假使网络正常未被入侵时，收到错误响应报文频率的最大值为V_max

(7)若该网元受害；

(8)若网元正常；

Feature7确立完成。

Feature6：其权值为weight7。

网络正常运行过程中，FFD和6R需要对自身进行能量统计，具体措施如下：

FFD和6R将邻居信息存储在路由登记表中。邻居表和DODAG如下：

设想四个网元k1,k2,A,B

k1,k2转发数据给A,A转发数据给B

设Rcv_Ak1是A收到k1的数据报个数，Rcv_Ak2是A收到k1的数据报个数，Rcv_A是A收到所有下级网元(k1和k2)的数据报个数，Sent_A是A转发给它的上一级网元B的数据包个数。

表12网元A的邻居表(k→A→B)

下一级邻居	K1	K2(A另外的下级网元，与k1同理考虑)
			上一级邻居	B

表13网元i的DODAG表

目的地址	转交网元
		其他	B
B	B
		K1	K1
K2	K2

网元A需要将其接收及发送的数据包附上时间戳，以便进行周期性能量统计，统计的能量作为异常检测的关键安全信息。假使T_m(m＝0,1,2)为起始时间，T_m+1为末尾时间，T_m→T_m+1是一个固定时段，可以理解为一个时间窗口。网元i对数据包的处理方式及维护表如下：

表14网元A对接收到的包的处理方式

网元A对k2发送的数据包进行相同方式的处理。网元A维护的表缓存2个周期的数据。

表15网元A维护的表

进一步，所述能量统计，统计接收包和发送包的能量。这里，在距离d内发送kbit数据包(表示为ETx(k,d))和收到kbit数据包(表示为ERx(k,d))，有如下公式：本文设定邻居节点之间的距离均在距离d内，所以距离这一要素可以在本次的能量统计中不予考虑。

表16网元A动作(能量统计)

如果网络被入侵，异常网元存在两种情况：一种是被攻击的网元，一种是被俘获和控制的傀儡网元。

存在以下三种攻击情形：

1)中间人转发攻击：网元丢包严重，只是象征性发送数据包；

2)DoS攻击：傀儡网元不断发送数据包消耗网络能量，严重甚至造成网络瘫痪；

3)Death of ping攻击：傀儡网元不断发送小数据包，导致受害网元无暇处理其他数据包；

网络未被入侵时，网元A在t_m→t_m+1内接收来自每一个下级网元的数据包的最小为n个,t_m→t_m+1内接收来自每一个下级网元的数据包总能量最小值为Energymin，t_m→t_m+1内接收来自每一个下级网元的数据包总能量最大值为Energymax；

规定网络未被入侵时，转发包最小率为V_min；

设转发率为Rate_forward，且

1)中间人转发攻击：受害网元丢包严重，只是象征性发送数据包；

(1).若Rcv_Ak1＜n，网元k1丢包严重，判断为恶意节点；

(2).若Rcv_Ak2＜n，网元k2丢包严重，判断为恶意节点；

(3).若Rate_forward＜Vmin，判断网元i为恶意的中间人节点；

(4).若Rate_forward＞Vmin，网络未发现异常；

对网元i捕获的特征进行说明进行特殊处理：该特征Rcv_Ak1、Rcv_Ak2虽然为网元A捕获得到，但是实际上为下一级网元即k1,k2的特征属性；

2)Death of ping攻击：傀儡网元不断发送小数据包，导致受害网元无暇处理其他数据包；

3)DoS攻击：傀儡网元不断发送数据包消耗网络能量，严重甚至造成网络瘫痪；

当Rcv_ik1＞n时，存在以下情况：

(5).Energymin＞EnergyRcv_Ak1，网元k1异常，判断网元i受到了death of ping攻击；

(6).Energymin＞EnergyRcv_Ak2，网元k2异常，判断网元i受到了death of ping攻击；

(7).Energymin＜EnergyRcv_Ak1＜Energymax，网络未发现异常；

(8).Energymin＜EnergyRcv_Ak2＜Energymax，网络未发现异常；

(9).Energymax＞EnergyRcv_Ak1,则网元k1异常，网元i受到DoS攻击；

(10).Energymax＞EnergyRcv_Ak2,则网元k2异常，网元i受到DoS攻击；

对网元i捕获的特征进行说明进行特殊处理：该特征EnergyRcv_Ak1、EnergyRcv_Ak2虽然为网元i捕获得到，但是实际上为下一级网元即k1,k2的特征属性；

网元i最后需要把Rate_forward、EnergySent、Rcv_Ak1、Rcv_Ak2、EnergyRcv_Ak1、EnergyRcv_Ak2和EnergyRcv的信息发送给网关；

Rcv_Ak1、Rcv_Ak2、EnergyRcv_Ak1、EnergyRcv_Ak2这些信息分别是网元k1和k2的特征数据，网元A的同类特征数据是由网元i的上一级网元B统计计算得出，记为Rcv_BA；

Feature{7,8,9}确立完成；

Feature7：Rcv_Ak，其权值为weight₇；

Feature8：EnergyRcv_Ak，其权值为weight₈；

该特征Rcv_Ak、EnergyRcv_Ak虽然为网元i捕获得到，但是实际上为下一级网元即k1,k2的特征属性；

上述两个特征数据不属于网元i本身；将此捕获信息添加到k1,k2的特征属性中；

Feature9：Rate_forward，其权值为weight₉；

学习过程总结如下：

1)特征选择如下：

Feature1：其权值为weight1；

Feature2：Num_topo(在一段时间内拓扑改变/建立的次数)，其权值为weight₂；

Feature3：Num_sub(父网元项计算的子网元数)，其权值为weight₃；

Feature4：ΔCON＝|CON_proxy＝CON_IDS|，其权值为weight₄；

Feature5：Δack＝|ack_proxy-ack_IDS|，其权值为weight₅；

Feature6：其权值为weight₆；

Feature7：Rcv_Ak，其权值为weight₇；

Feature8：EnergyRcv_Ak，其权值为weight₈；

2)Feature9：Rate_forward，其权值为weight₉；特征定量捕获

上述的10个特征的捕获具体措施如下：

3)以下情况直接判断为异常：

另外，判断网络的行为不只是需要这些具备IPv6特征的数据，还需要将现有的无线传感网络的训练集中的主成分进行特征过滤，从而选择出合适的重要的网络特征。由上述特征和训练集中选择的特征共同构成特征向量空间。这不是本发明的重点，此处不再赘述。

控制台分配给各个特征的权值与对应的特征数据进行相乘，所有的赋予权值的特征数据加和的结果能够有效反应网元的状态。

至此，针对6LoWPAN网络的特性及典型攻击，特征的选择(定性分析网元状态)和网络内网元动作执行的具体指标(定量分析网元特征数据)已经完成。

二、检测过程

本发明上文已将入侵检测需要的数据全部收集完成，网元状态数据表在控制台形成，控制台进行入侵检测。

其关键假设是：正常数据点出现在稠密的邻域内。异常数据点远离近邻。

下面将具体说明特征空间改进和算法参数选择、正常轮廓判断原理及检测依据。

1)本发明提出，构建连续固定大小的超立方体特征空间。

2)全局轮廓形成过程：当网元状态数据表中的网元特征数据填充满后，控制台计算超立方体C_u1,…,uq的位置，通过计算每个超立方***置的频率，即在该超立方体中存在的数据的数量，由此形成全局的正常轮廓。

3)形成全局正常轮廓后，控制台执行在线检测，如果网元状态数据所在的超立方体中的网元状态数据大于k，则该网元状态正常；否则则检测被替代的检测区域内的网元状态数据，大于k，则该网元状态正常。

控制台在超立方体特征空间中定位网元状态数据并计算网元状态数据是否落入的正常轮廓。控制台将该方法的原理在于数据点稠密的超立方体为正常轮廓。虽然这种固定边界的方式虽然在一定程度上牺牲了精度，但是换来的计算复杂度的降低是难得的。

检测原理如下：假设超立方体C_u1,…,uq，超立方体的对角线为h为坐标单元。超立方体由表示；训练数据备好后超立方体的结构是固定的。设L₁(C_u1,…,uq)为超立方体C_u1,…,uq邻居，它能够覆盖落入超立方体C_u1,…,uq的任何网元状态数据的检测区域，满足下式

判断异常的检验方法为：

1)超立方体C_u1,…,uq有至少存在k个数据，落入超立方体内的网元状态数据永远正常；

2)C_u1,…,uq∪L₁(C_u1,…,uq)中少于k个数据，超立方体内的网元状态数据永远异常；

3)不符合上述两种情况下，找出可以替代的DR。

基于移动后的超网格结构，不可能精确的检查出任何网元状态数据的检测区域。但是可以找到替代检查区域的几何DR。对于网元状态数据y∈C_u1,…,uq，可替代的DR有如下定义：J(y)＝{C_v1,…,vq|v_i＝u_i,u_i+e_i}，其中网元状态数据为y＝{y₁,…,y_q}映射在超立方体上。

在本发明的入侵检测机制中存在两个参数d和k，因为没有先验知识参数不能准确的选择，因此可以用已知的信息估计参数。参数k通常由用户指定，直观的说，如果p＝∫_J(y)f(x)dx小于一个小概率，比如说0.01，k应该确定y的异常。这时，k应该被设置为0.01m。我们可以通过对网络观察和统计对已经建立的超立方体结构进行修改，找出最合适的d值。

三、在线更新过程

首先网元状态数据表在控制台部分形成。当网元状态数据在控制台端填满网元状态数据表后，在控制台构造特征空间中形成正常轮廓。网元状态数据表在T₀→T₁、T₁→T₂时段第一次被填满后，进行第一轮检测。如图5所示。

第一轮检测进行的同时，继续填写下一轮的网元状态数据表。在T₂→T₃过程中控制台保存的网元状态数据量达到时，控制台以概率p对T₂→T₃时段内保存的网元状态数据进行随机选取，选取到的网元状态数据填入网元状态数据表中，丢弃其余数据。当网元状态数据表中完全被新的数据取代后，网元发送更新网元状态数据表的请求，正常轮廓被重新学习并更新。本发明规定T₂→T₃为更新网元状态数据表的周期。之后该表的更新方式如上所示，且周期固定。

如图6所示，在无线传感网络中，通信能力相对计算能力更加受到约束。所以集中的数据收集是不现实的，因此分布式计算被纳入考虑中。在此基础上6LoWPAN网络采用实时操作分布式模式，这样能够有效延长网络生存期，提高网络性能。

分布式模式的操作要求所有传感器节点参加网络内部计算，这些网络特征的收集需要网络内每个网元自身的配合，而不是由入侵检测辅助设备捕获。

由此说明IPv6无线传感网络特征数据除辅助设备捕获外，也有子网内网元本身的配合，因此对于网络资源的调度需要考虑以下几点：

1.监视网元(MN)将监听来自其邻居(包括其父网元和子网元)的通信。

2.网元主动进行检测即反向发送NS报文(通过临时申请GTS时隙)。

3.网元i最后只需把Rate_forward、EnergySent、Rcv_ik、EnergyRcv_ik和EnergyRcv的信息发送给网关。

4.每一个网元的检测模块都执行本地的正常轮廓检测，最终把摘要上传给簇头网元。

5.簇头网元还需把全局的正常轮廓发送给各个网元。

6.每个代理网元RFD对CON/GET/ACK报文的速率检测。

另外上述需要考虑的6点是并行发生的，部分网元的任务是多重的，因此时隙分配上需要结合以上6点同时进行考虑，使得通信资源能够合理的进行配置。

本发明的有益效果在于：

1.本发明针对IPv6无线传感网络，以6LoWPAN、RPL、CoAP协议为核心标准，设计一种基于改进的KNN算法的入侵检测机制；

2.本发明规定入侵检测辅助设备及网元对具备IPv6无线传感网络特征的数据捕获的方法；

3.本发明针对6LoWPAN网络，对网络内的网元状态特征选择，分析包括由邻居发现安全漏洞引入的DoS攻击，RPL引入的路由选择攻击、rank攻击和本地修复攻击，CoAP在订阅模式下引入的特定攻击，以及网络中常见的重放攻击和中间人转发攻击等引起的网元状态的变化；

4.本发明将提取的网元特征训练后的数据形成网元状态数据表，并对表中的数据进行预处理以实现检测过程中特征空间的轮廓固定。其中本发明对特征进行权重分配和转移零点处理，以缓解较大和较小影响因子(指特征量化后的数值)引起的偏见并实现简化计算；

5.本发明通过网元状态数据表内数据建立特征空间，为降低计算复杂度，建立由连续固定大小的超立方体构成的超网络结构的特征空间，形成网元状态数据的正常轮廓，并说明解释特征空间中判定异常的依据；

6.本发明通过固定概率选取数据的方式对列表中的网元状态数据进行定期的更新，以实现网元状态数据正常轮廓的自我更新。

附图说明

为了使本发明的目的、技术方案和有益效果更加清楚，本发明提供如下附图进行说明：

图1为一种6LoWPAN网络的入侵检测架构；

图2为数据捕获时序图；

图3为T0→T1动作；

图4为(a)为T1→T2动作；(b)为T2→T3动作；

图5为第一次检测发生时间；

图6为入侵检测过程时序图；

图7为实施例6LoWPAN异构网络。

具体实施方式

下面将结合附图，对本发明的优选实施例进行详细的描述。

实施例主要说明对6LoWPAN异构网络攻击后执行入侵检测过程，描述入侵检测的逻辑过程，并说明检测后效果。

实施例中6LoWPAN异构网络如下图7所示：

角色描述已经在本发明图1中一一进行说明。

模拟攻击实现：

攻击是针对6LoWPAN网络进行的攻击，所以攻击者需要在一个易受攻击的网元的无线覆盖范围内(30米范围内)进行攻击。

6LoWPAN是一种基于IEEE 802.15.4构建的无线通信规范，该规范允许通过低功率的Personal Area Networks(PAN)转发IPv6数据包。

为了监控和注入6LoWPAN流量，需要一个基于IEEE 802.15.4规范的***设备。设备安装了Contiki 6LoWPAN固件镜像的ATMEL AVR Raven，该设备提供了一个标准的网络接口，通过该网络接口我们可以监控和注入网络流量到6LoWPAN网络。通过网络接口，监控并将网络流量注入到6LoWPAN网络中。

通过新节点的入网过程以及同时监控从6LoWPAN网络中捕获的数据包，解析其网络协议，并构造消息来控制网元并发送任意数据包的有效载荷。

实施例：

攻击成果：假设攻击实现节点10被俘获。即节点10为傀儡网元。

入侵检测实施：

1)构造网元状态数据表；

网络中存在节点共12个网元。其中有一个6R网元。

因此，取网元状态数据量为20个。

网络从运行开始T₀→T₁、T₁→T₂各个网元捕获数据并在控制台首次形成网元状态数据表。

首次形成网元状态数据表算法如下：

2)检测过程：构造特征空间，建立正常轮廓。

入侵检测成果：

易见参数k＝1/12*20≈2

入侵检测过程计算节点10所处位置的超立方体内存在的数据点小于k，因此节点10被判断为异常。

3)更新过程

最后说明的是，以上优选实施例仅用以说明本发明的技术方案而非限制，尽管通过上述优选实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其作出各种各样的改变，而不偏离本发明权利要求书所限定的范围。

Claims

1.一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：该方法包括以下步骤：

S1：学习过程：

建立网元状态数据表，节点完成组网，网络中网元有m个；设表中缓存若干网元状态数据集合为{y₁,...,y_i}；选取6LoWPAN网络网元的q个特征，所构建的网元特征集合记为{Feature1,Feature2,Feature q}；

其中某个网元x的状态数据由q个网元特征反映出来，记为y_x＝{y_x1,...,y_xq}；不同的网元的特征数量均为q个；网络开始运行后，控制台开始对所有网元特征数据进行记录；

网元特征选取及捕获；

S2：检测过程：将入侵检测需要的数据全部收集完成，网元状态数据表在控制台形成，控制台进行入侵检测；假设正常数据点出现在稠密的邻域内，异常数据点远离近邻；

S3：在线更新。

2.根据权利要求1所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述入侵检测的判断过程包括：基于某一个网元特征进行直接判断和基于某几个网元特征建立网元状态数据表综合判断。

3.根据权利要求2所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述基于某几个网元特征建立网元状态数据表综合判断为：入侵检测***在网元特征采集过程中，采集能够反映6LoWPAN网络网元自身安全状态的多个可量化安全特征，建立网元状态数据表，综合判断网络中是否存在入侵。

4.根据权利要求3所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述基于某几个网元特征建立网元状态数据表综合判断具体为：

网元状态数据量选择，从而决定网元状态数据表中样本数，即行数；

网元特征集合构建，从而决定网元状态数据表中与6LoWPAN入侵检测相关的特征，从而决定数据的维度，即列数；

网元状态数据表填充完成；

数据预处理，完成正交归一处理；

具体构建如下：

(1)网元状态数据量选择

网元状态数据表中的样本状态数据个数不得少于网络中网元的个数也不能超过网元总数的二倍，即能够找出离群点的样本数为最佳；

设表中缓存若干网元状态集合为{y₁,...,y_i}；规定m＜i＜2m；规定T₀→T₁、T₁→T₂、T₂→T₃三个时段；T₀之前，网络已启动，节点加入过程完成；T₀之前网络启动，节点加入过程完成；T₀→T₁内完成对{y₁,...,y_m}网元状态数据集合的获取；T₁→T₂内完成对{y_m+1,...,y_i}网元状态数据集合的获取；T₂→T₃内完成对网元状态数据表的更新，即清除之前缓存，重新加载新的数据)；这时表中缓存若干网元状态集合为p为分数概率；

只有首次形成网元状态数据表时会经过T₀→T₁、T₁→T₂这两个时段，之后该表内数据的形成过程都遵循T₂→T₃时段的方式；

在首次形成的网元状态数据表中，状态y_m+x与y_x是同一网元不同时间段内的状态；

另外，在T₂→T₃时段内需要分个时段对网络内的网元状态进行捕获；为取小数的整数部分的函数表达；

参数p在更新过程中使用，是更新算法中的参数，p的值由控制台指定；

这时状态与y_x是同一网元不同时间段内的状态，这些状态数据按照p的概率筛选后更新表内数据；

在该表中网元的状态已经转化为数据，控制台在构建该表时不需要体现时间，网元先前的状态也无需被替换；

将网元状态的数据量确定下来；

(2)网元特征集合构建

有些特征为基于时间的网络流量统计特征，即为避免时间段对统计的特征数据带来的影响，这些特征统一利用“报文出现频率”来表示；

特征如下：

Feature1：地址不可达响应报文出现频率，其权值为weight₁；

Feature2：时段内拓扑改变/建立的次数，其权值为weight₂；

Feature3：父网元项计算的子网元数，其权值为weight₃；

Feature6：报文过大响应报文出现频率，其权值为weight₆；

Feature7：接收某下级网元数据包数量，其权值为weight₇；

Feature9：网元数据包转发率，其权值为weight₉；根据每个特征的影响因子控制台对权值进行分配，满足∑weight＝1；分配权值能够降低明显的特征引起的偏见；

该表中网元一系列特征构建为特征集合的过程为：

由于在首次形成网元状态数据表的过程中，表中的网元状态数据的捕获时间不同；在下述特征集合构建过程中将说明存在T₀→T₁、T₁→T₂时段捕获数据的情况出现；除首次形成该表过程存在分时段捕获数据的情况，其余情况均在T₂→T₃时段捕获数据；

按照时间顺序对构造网元状态数据表的过程为：

首先叙述网元状态数据表首次形成过程：

在T₀→T₁时段内，

1)网元特征Feature1

入侵检测辅助设备2捕获网元发送给其上级网元的地址不可达报文，对T₀→T₁地址不可达报文进行统计监测，监测其出现频率，将这一特征记为v_iemp1；将v_iemp1这一网元特征记录在表内；

2)网元特征Feature2、Feature3

监测网元MN在T₀→T₁内：检测网络中网元DIO消息中与首选父网元相关的任何更改，该网元的DODAG ID的更改或等级变为不定式，将这一特征记为Num_topo；

监测网元MN在T₀→T₁时段内：检测父网元统计的子网元数增加量；将这一特征记为Num_sub；将Num_topo和Num_sub特征记录在表内；

3)网元特征Feature4

入侵检测设备和代理网元在T₀→T₁内：统计网元通知报文；比较两者获取的通知报文差值；监测其报文差异数，将这一特征记为ΔCON；

4)网元特征Feature5

入侵检测设备1需要在T₀→T₁时段内：统计网关返回ACK消息的速率；代理网元6R在在T₀→T₁时段内：统计ACK报文速率；比较两者获取的ACK报文差值；监测其报文差异数，将这一特征记为Δack；将Δack特征记录在表内；

5)网元特征Feature6

入侵检测辅助设备2在T₀→T₁时段内：捕获返回给网元差错报告报文，对报文进行统计检测；监测其出现频率，将这一特征记为v_icmp2；将v_icmp2特征记录在表内；

6)网元能量特征

FFD和6R在T₀→T₁时段内：对自身能量进行统计，并对统计得到的报文处理，得到能量特征，包括网元接收数据包数量EnergyRcv_Ak、网元接收数据包消耗的能量EnergyRcv_Ak、网元数据包转发率Rate_fo_rward；

在网元状态数据表构建完成后，将具体说明控制台对网元状态数据表内网元特征具体数据的处理方式；

(3)网元状态数据表填充完成后数据预处理

1)去噪过程：

这时控制台需要将每个特征的阈值范围预处理，控制台通过归一化函数处理使得每个特征的(min_i,max_i)阈值范围转化到(0,1)之间，即特征值化为另外控制台还需要根据特征的影响因子对每个特征的权重进行重新匹配；

2)控制台构建q维坐标空间，取q＝10，网元状态数据表中的网元特征数据需要在坐标空间中定位；控制台在此时引入附和系数c转移零点，使得整个特征空间被移动到正坐标空间，这里的系数c设置为：

c＞|min|,min＝min{min_i,i＝1,2,...,q}。

5.根据权利要求3所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述的能够反映6LoWPAN网络网元自身安全状态的多个可量化安全特征的分析、选取、捕获及异常判断决策方式具体为：

过程1：地址分配及解析

网关和6R接入网络，地址固定分配；然后，网元FFD和RFD接入网络后发出请求信息RS报文直连6R请求IPv6地址，6R接收到RS消息后，回复RA报文；RA用于配置地址前缀，网元使用前缀配置IP地址，配置网络参数包括MTU、跳数限制、生命值TTL；RFD和FFD得到IP地址；将RFD和FFD自身的MAC地址通过EUI-64转换为接口ID，加上通过RA消息得到的链路前缀；

在上述过程中，网元特征选取、捕获方式具体为：

1)地址不可达响应报文出现频率

入侵检测辅助设备2捕获返回给网元的地址不可达报文，对报文速率进行检测；一旦速率超过阈值，则说明网络内该目的地址不存在，或存在恶意使用情况；

入侵检测辅助设备2对T₀→T₁、T₁→T₂、T₂→T₃内的ICMP报文过滤提取；

假使t_m，m＝0,1,2为起始时间，t_m+1为末尾时间，t_m→t_m+1是一个固定时段，为一个时间窗口；

a为t_m→t_m+1内某一网元，即FFD和6R收到的ICMP错误响应报文数，Timestamp₁表示t_m→t_m+1内某一网元，即FFD和6R收到第1个错误响应报文的时间戳，Timestamp_a表示t_m→t_m+1内收到第a个错误响应报文的时间戳；Timestamp_x表示t_m→t_m+1期间收到第x个报文的时间；

为t_m→t_m+1内网元收到ICMP错误响应报文的出现频率；

假使网络正常未被入侵时，收到错误响应报文的频率最大值为V'max；

(1)若入侵检测设备2判断该网元受害；

(2)若该网元正常；

过程2：网络路由建立

入侵检测机制执行步骤如下：

利用监控网元对RFC6550的规定建立的路由控制报文捕获和分析提取；MN监控清单的信息来自确定网元的DIO和DAO消息；

MN监控清单：

i.网元ID及其秩rank

ii.网元的优选父网元ID及其秩rank

iii.网元在一段时间内拓扑改变/建立的次数

iv.网元的ETX值，从该网元广播的DIO报文得到

v.该网元作为父网元的变更，来自其他网元的DAO报文

vi.父网元项计算的子网元数；

这里要求：沿路由的发送网元和接受网元都有义务检查rank规则是否被破坏，通过在RPL包信息中设置rank-error位，以保证rank值的不能伪造；

在上述过程中，网络中网元和入侵检测辅助设备对特征数据捕获执行步骤如下：

每个监控网元负责在T₀→T₁、T₁→T₂、T₂→T₃时段监测其监控范围内网元对象的特征当监控网元第一次听到来自网元对象的DIO消息时，说明拓扑开始设置，状态发生更改；然后，监控网元从DIO和DAO报文中提取其监视表中的对象的特定条目中的所有必要信息即监控清单，判断监听到网元对象发送或接收到的控制消息；

在上述过程中，网元特征选取具体为：

2)DODAG ID更改次数(时段内拓扑改变/建立的次数)

如果MN检测到DIO消息中与首选父网元相关的任何更改，即该网元的DODAG ID的更改或等级变为不定式，该状态更改被记录；如果状态更改频繁，更改次数超过阈值时，导致本地修复的任何网元行为将记录在监控网元中；导致本地修复的网元为异常；

3)父网元项计算的子网元数

当MN检测到监控列表中的父网元和子网元ETX关系被破坏时，即父网元ETX值较大，该路由无效，这时，RPL启动本地修复机制以恢复网络路由拓扑；如果父网元项计算的子网元数增加超过阈值，阈值取决于网络环境波动与网络规模，即当网元广播自身ETX值变小同时其子网元的增加超过了阈值,则该子网元被入侵；该网元一定存在异常；

过程3：网络资源状态获取

网络架构的应用层采用CoAP协议订阅者模式对信息进行采集，网络内各单元执行动作和网络中网元和入侵检测辅助设备对特征数据捕获执行步骤如下：

当数据发生变化时，每个代理客户订阅的网元发送通知(notification)给客户作为请求响应，通知是CON报文；入侵检测设备1还需捕获发送给6R的CON报文并统计计算来自每个网元的通知速率；

4)代理网元和入侵检测设备检测CON报文差异

每个代理网元6R，即不进行信息采集，只进行转发的网元需要在T₀→T₁、T₁→T₂、T₂→T₃内统计监测来自不同网元的CON报文数；

一旦检测到某网元发送通知过于频繁，超过阈值，则说明网络中存在异常，这时还不能够判断是代理网元的异常还是子网内网元即server的异常，因此比较由入侵检测设备和代理网元统计的信息；如果这两者差异过大，则说明代理网元被攻陷；反之，则server异常；

上述两个特征代理网元和入侵检测辅助设备分别捕获的CON报文出现频率联系起来；

CON_proxy是代理网元捕获的CON报文出现频率；

CON_IDS是入侵检测辅助设备捕获的CON报文出现频率；

设ΔCON＝|CON_proxy-CON_IDS|

若ΔCON过大

控制台进一步比较CON_proxy-CON_IDS

若CON_proxy-CON_IDS＞0，则代理网元存在异常；

若CON_proxy-CON_IDS＜0，则server存在异常；

通知是CON报文，6R和代理网元需要ACK用来响应CON消息，如果长时间没有得到ACK回应，将会导致客户自动对服务器网元取消订阅；

5)代理网元和入侵检测设备检测ACK报文差异

入侵检测设备1需要在T₀→T₁、T₁→T₂、T₂→T₃内统计监测网关返回ACK消息的出现频率；代理也需要在T₀→T₁、T₁→T₂、T₂→T₃内对ACK报文出现频率进行统计监测；

如果ACK报文的出现频率明显低于CON报文的出现频率，则说明网关或者代理网元存在异常；这时比较网关和代理网元统计出的ACK报文出现频率进一步判断异常；与CON报文的判断同理，在此不再赘述；

ack_proxy是代理网元捕获的CON报文出现频率；

ack_IDS是入侵检测辅助设备捕获的CON报文出现频率；

上述两个特征，代理网元和入侵检测辅助设备分别捕获的ACK报文出现频率联系起来；

Feature4、Feature5确立完成；

Feature4：ΔCON＝|CON_proxy-CON_IDS|，其权值为weight₄；

Feature5：Δack＝|ack_proxy-ack_IDS|，其权值为weight₅；

6)报文过大响应报文出现频率

数据包上传过程中，如果数据包超过当前网元MTU，数据包将被丢弃并返回ICMP差错报告报文；

b为t_m→t_m+1内收到的ICMP错误响应报文数，Timestamp_1'表示t_m→t_m+1内收到第1个错误响应报文的时间戳，Timestamp_b'表示t_m→t_m+1内收到第b个错误响应报文的时间戳；Timestamp_x是t_m→t_m+1期间收到第x个报文的时间；

为T_m→T_m+1内受害网元收到错误响应报文的出现频率；

(3)若该网元受害；

(4)若网元正常；

Feature6确立完成；

Feature6：其权值为weight₆；

7)能量特征

另外，网络正常运行过程中，FFD和6R需要对自身进行能量统计，具体措施如下：

FFD和6R将邻居信息存储在路由登记表中；邻居表和DODAG如下：

设想四个网元k1,k2,A,B

k1,k2转发数据给A,A转发数据给B；

设Rcv_Ak1是A收到k1的数据报个数，Rcv_Ak2是A收到k2的数据报个数，Rcv_A是A收到所有下级网元k1和k2的数据报个数，Sent_A是A转发给它的上一级网元B的数据包个数；

网元i需要将其接收及发送的数据包附上时间戳，以便进行周期性能量统计，统计的能量作为异常检测的关键安全信息；

所述能量统计，统计接收包和发送包的能量；

在距离d内发送kbit数据包，表示为ETx(k,d)，和收到kbit数据包，表示为ERx(k,d)，设定邻居节点之间的距离均在距离d内；

如果网络被入侵，异常网元存在两种情况：一种是被攻击的网元，一种是被俘获和控制的傀儡网元；

存在以下三种攻击情形：

规定网络未被入侵时，转发包最小率为V_min；

设转发率为Rate_forward，且

(1).若Rcv_Ak1＜n，网元k1丢包严重，判断为恶意节点；

(2).若Rcv_Ak2＜n，网元k2丢包严重，判断为恶意节点；

(3).若Rate_forward＜Vmin，判断网元i为恶意的中间人节点；

(4).若Rate_forward＞Vmin，网络未发现异常；

当Rcv_ik1＞n时，存在以下情况：

(7).Energymin＜EnergyRcv_Ak1＜Energymax，网络未发现异常；

(8).Energymin＜EnergyRcv_Ak2＜Energymax，网络未发现异常；

(9).Energymax＞EnergyRcv_Ak1,则网元k1异常，网元i受到DoS攻击；

(10).Energymax＞EnergyRcv_Ak2,则网元k2异常，网元i受到DoS攻击；

Feature{7,8,9}确立完成；

Feature7：Rcv_Ak，其权值为weight₇；

Feature8：EnergyRcv_Ak，其权值为weight₈；

Feature9：Rate_forward，其权值为weight₉；

学习过程总结如下：

特征选择如下：

Feature1：其权值为weight₁；

Feature4：ΔCON＝|CON_proxy＝CON_IDS|，其权值为weight₄；

Feature5：Δack＝|ack_proxy-ack_IDS|，其权值为weight₅；

Feature6：其权值为weight₆；

Feature7：Rcv_Ak，其权值为weight₇；

Feature8：EnergyRcv_Ak，其权值为weight₈；

Feature9：Rate_forward，其权值为weight₉；

控制台分配给各个特征的权值与对应的特征数据进行相乘，所有的赋予权值的特征数据加和的结果能够有效反应网元的状态；

至此，针对6LoWPAN网络的特性及典型攻击，特征的选择定性分析，网元状态和网络内网元动作执行的具体指标，定量分析网元特征数据已经完成。

6.根据权利要求2所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述基于某一个网元特征进行直接判断的方法为：入侵检测***在网元特征采集过程中，通过采集到的其中一个网元特征，直接判断是否存在入侵，其中所述网元特征选取、捕获方式具体为：

1)RA地址前缀

6R网元每次发送RA报文时，入侵检测辅助设备1，靠近6R网元，分别在T₀→T₁、T₁→T₂、T₂→T₃时间段捕获RA报文，并对RA报文内容进行解析比较；捕获来自于6R的不同RA报文，其中地址前缀分别为：

predix₁，predix₂，…，predix_n

入侵检测辅助设备将此报文发送给控制台，控制台对报文进行解析并提取地址前缀；控制台对地址前缀执行异或运算；

若则控制台直接判断该6R网元存在异常；

若则该6R网元正常；

2)RA报文频率

另外，入侵检测辅助设备1在T₀→T₁、T₁→T₂、T₂→T₃内统计监测6R网元出现RA报文频率，表示为v_na：设6R网元在正常情况下，RA报文的出现频率为v_limit-na，

若v_limit-na＞v_na，则该6R网元正常；

若v_limit-na＜v_na，则控制台直接判断该6R网元存在异常；

3)NS报文频率

入侵检测辅助设备2分别在T₀→T₁、T₁→T₂、T₂→T₃时间段内对子网内部网元NS报文进行监测，一旦任一网元收到NS的频率超过限制，子网内部网元主动进行检测即反向发送NS报文；如果没有返回NA，或者收到其他MAC地址的NA报文，则证明行为异常，不更新ND表项，并上报控制台；

设网元在正常情况下，收到NS报文的频率限制为v_limit-ns，设收到NS报文的源IP地址为Address0，返回NA报文的源IP地址为Address1；

若v_ns＞v_limit-ns，反向发送NS报文；

Step1:若没有返回NA报文，则该网元直接判断为异常；

Step2:若返回NA报文，比较IP地址；

则控制台直接判断该网元存在异常；

则该网元正常；

若v＜v_ns，则网元正常；

4)get报文出现频率

当客户6R需要数据，发送get报文时，入侵检测设备1需要统计监测在T₀→T₁、T₁→T₂、T₂→T₃内捕获来自6R的get报文，并计算get报文的出现频率，一旦超过限制阈值，则直接判断6R网元存在异常；

5)RPL包信息中rank-error位

MN收到DIO时检查中的等级信息，如果监视网元检测到任何违反秩规则的子/父关系，则更改rank的网元存在异常；此特征，即rank值一旦发生变化，沿路由的发送网元或接受网元检查到rank规则被破坏，RPL包信息中rank-error位变为1，则直接判断该网元存在异常；此特征，即rank值变化直接判断为异常。

7.根据权利要求1所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述步骤S2具体为：

1)构建连续固定大小的超立方体特征空间；

2)全局轮廓形成过程：当网元状态数据表中的网元特征数据填充满后，控制台计算超立方体C_u1,…,uq的位置，通过计算每个超立方***置的频率，即在该超立方体中存在的数据的数量，由此形成全局的正常轮廓；

3)形成全局正常轮廓后，控制台执行在线检测，如果网元状态数据所在的超立方体中的网元状态数据大于k，则该网元状态正常；否则则检测被替代的检测区域内的网元状态数据，大于k，则该网元状态正常；

控制台在超立方体特征空间中定位网元状态数据并计算网元状态数据是否落入的正常轮廓；控制台将该方法的原理在于数据点稠密的超立方体为正常轮廓；

检测原理如下：

假设超立方体C_u1,…,uq，超立方体的对角线为h为坐标单元；超立方体由表示

训练数据备好后超立方体的结构是固定的；

设L₁(C_u1,…,uq)为超立方体C_u1,...,uq邻居，它能够覆盖落入超立方体C_u1,...,uq的任何网元状态数据的检测区域，满足下式

参数d和k，没有先验知识参数不能准确的选择，用已知的信息估计参数；参数k由用户指定，如果p＝∫_J(y)f(x)dx小于一个小概率，k确定y的异常；k被设置为0.01m；通过对网络观察和统计对已经建立的超立方体结构进行修改，找出最合适的d值；

下文为判断异常的方法：

判断异常的检验方法为：

1)超立方体C_u1,...,uq有至少存在k个数据，落入超立方体内的网元状态数据永远正常；

2)C_u1,...,uq∪L₁(C_u1,...,uq)中少于k个数据，超立方体内的网元状态数据永远异常；

3)不符合上述两种情况下，找出能替代的DR；

基于移动后的超网格结构，不可能精确的检查出任何网元状态数据的检测区域；但能找到替代检查区域的几何DR；

对于网元状态数据y∈C_u1,...,uq，能替代的DR有如下定义：J(y)＝{C_v1,...,vq|v_i＝u_i,u_i+e_i}，其中网元状态数据为y＝{y₁,…,y_q}映射在超立方体上。

8.根据权利要求1所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述步骤S3具体为：

首先网元状态数据表在控制台部分形成；

当网元状态数据在控制台端填满网元状态数据表后，在控制台构造特征空间中形成正常轮廓；

网元状态数据表在T₀→T₁、T₁→T₂时段第一次被填满后，进行第一轮检测；

第一轮检测进行的同时，继续填写下一轮的网元状态数据表；在T₂→T₃过程中控制台保存的网元状态数据量达到时，控制台以概率p对T₂→T₃时段内保存的网元状态数据进行随机选取，选取到的网元状态数据填入网元状态数据表中，丢弃其余数据；当网元状态数据表中完全被新的数据取代后，网元发送更新网元状态数据表的请求，正常轮廓被重新学习并更新；

规定T₂→T₃为更新网元状态数据表的周期，且周期固定；6LoWPAN网络采用实时操作分布式模式；

分布式模式的操作要求所有传感器节点参加网络内部计算，网络特征的收集需要网络内每个网元自身的配合，而不是由入侵检测辅助设备捕获；

IPv6无线传感网络特征数据除辅助设备捕获外，还有子网内网元本身的配合，对于网络资源的调度需要考虑以下几点：

1)监视网元(MN)将监听来自其邻居，包括其父网元和子网元的通信；

2)网元主动进行检测即反向发送NS报文，通过临时申请GTS时隙；

3)网元i最后只需把Rate_forward、EnergySent、Rcvi_k、EnergyRcv_ik和EnergyRcv的信息发送给网关；

4)每一个网元的检测模块都执行本地的正常轮廓检测，最终把摘要上传给簇头网元；

5)簇头网元还需把全局的正常轮廓发送给各个网元；

6)每个代理网元RFD对CON/GET/ACK报文的速率检测；

另外上述需要考虑的6点是并行发生的，部分网元的任务是多重的，时隙分配上需要结合以上6点同时进行考虑，使得通信资源能够合理的进行配置。