1.一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：该方法包括以下步骤：S1：学习过程：

建立网元状态数据表，节点完成组网，网络中网元有m个；设表中缓存若干网元状态数据集合为{y1,...,yi}；选取6LoWPAN网络网元的q个特征，所构建的网元特征集合记为{Feature1,Feature2,Feature q}；

其中某个网元x的状态数据由q个网元特征反映出来，记为yx＝{yx1,...,yxq}；不同的网元的特征数量均为q个；网络开始运行后，控制台开始对所有网元特征数据进行记录；

网元特征选取及捕获；

S2：检测过程：将入侵检测需要的数据全部收集完成，网元状态数据表在控制台形成，控制台进行入侵检测；假设正常数据点出现在稠密的邻域内，异常数据点远离近邻；

S3：在线更新。

2.根据权利要求1所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述入侵检测的判断过程包括：基于某一个网元特征进行直接判断和基于某几个网元特征建立网元状态数据表综合判断。

3.根据权利要求2所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述基于某几个网元特征建立网元状态数据表综合判断为：入侵检测系统在网元特征采集过程中，采集能够反映6LoWPAN网络网元自身安全状态的多个可量化安全特征，建立网元状态数据表，综合判断网络中是否存在入侵。

4.根据权利要求3所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述基于某几个网元特征建立网元状态数据表综合判断具体为：网元状态数据量选择，从而决定网元状态数据表中样本数，即行数；

网元特征集合构建，从而决定网元状态数据表中与6LoWPAN入侵检测相关的特征，从而决定数据的维度，即列数；

网元状态数据表填充完成；

数据预处理，完成正交归一处理；

具体构建如下：

(1)网元状态数据量选择

网元状态数据表中的样本状态数据个数不得少于网络中网元的个数也不能超过网元总数的二倍，即能够找出离群点的样本数为最佳；

设表中缓存若干网元状态集合为{y1,...,yi}；规定m＜i＜2m；规定T0→T1、T1→T2、T2→T3三个时段；T0之前，网络已启动，节点加入过程完成；T0之前网络启动，节点加入过程完成；

T0→T1内完成对{y1,...,ym}网元状态数据集合的获取；T1→T2内完成对{ym+1,...,yi}网元状态数据集合的获取；T2→T3内完成对网元状态数据表的更新，即清除之前缓存，重新加载新的数据)；这时表中缓存若干网元状态集合为 p为分数概率；

只有首次形成网元状态数据表时会经过T0→T1、T1→T2这两个时段，之后该表内数据的形成过程都遵循T2→T3时段的方式；

在首次形成的网元状态数据表中，状态ym+x与yx是同一网元不同时间段内的状态；

另外，在T2→T3时段内需要分 个时段对网络内的网元状态进行捕获； 为取小数的整数部分的函数表达；

参数p在更新过程中使用，是更新算法中的参数，p的值由控制台指定；

这时状态 与yx是同一网元不同时间段内的状态，这些状态数据按照p的概率筛选后更新表内数据；

在该表中网元的状态已经转化为数据，控制台在构建该表时不需要体现时间，网元先前的状态也无需被替换；

将网元状态的数据量确定下来；

(2)网元特征集合构建

有些特征为基于时间的网络流量统计特征，即 为避免时间段对统计的特征数据带来的影响，这些特征统一利用“报文出现频率”来表示；

特征如下：

Feature1：地址不可达响应报文出现频率，其权值为weight1；

Feature2：时段内拓扑改变/建立的次数，其权值为weight2；

Feature3：父网元项计算的子网元数，其权值为weight3；

Feature4：代理网元和入侵检测设备检测CON报文差异，其权值为weight4；

Feature5：代理网元和入侵检测设备检测ack报文差异，其权值为weight5；

Feature6：报文过大响应报文出现频率，其权值为weight6；

Feature7：接收某下级网元数据包数量，其权值为weight7；

Feature8：接收某下级网元数据包消耗的能量，其权值为weight8；

Feature9：网元数据包转发率，其权值为weight9；根据每个特征的影响因子控制台对权值进行分配，满足∑weight＝1；分配权值能够降低明显的特征引起的偏见；

该表中网元一系列特征构建为特征集合的过程为：

由于在首次形成网元状态数据表的过程中，表中的网元状态数据的捕获时间不同；在下述特征集合构建过程中将说明存在T0→T1、T1→T2时段捕获数据的情况出现；除首次形成该表过程存在分时段捕获数据的情况，其余情况均在T2→T3时段捕获数据；

按照时间顺序对构造网元状态数据表的过程为：

首先叙述网元状态数据表首次形成过程：

在T0→T1时段内，

1)网元特征Feature1

入侵检测辅助设备2捕获网元发送给其上级网元的地址不可达报文，对T0→T1地址不可达报文进行统计监测，监测其出现频率，将这一特征记为viemp1；将viemp1这一网元特征记录在表内；

2)网元特征Feature2、Feature3监测网元MN在T0→T1内：检测网络中网元DIO消息中与首选父网元相关的任何更改，该网元的DODAG ID的更改或等级变为不定式，将这一特征记为Numtopo；

监测网元MN在T0→T1时段内：检测父网元统计的子网元数增加量；将这一特征记为Numsub；将Numtopo和Numsub特征记录在表内；

3)网元特征Feature4

入侵检测设备和代理网元在T0→T1内：统计网元通知报文；比较两者获取的通知报文差值；监测其报文差异数，将这一特征记为ΔCON；

4)网元特征Feature5

入侵检测设备1需要在T0→T1时段内：统计网关返回ACK消息的速率；代理网元6R在在T0→T1时段内：统计ACK报文速率；比较两者获取的ACK报文差值；监测其报文差异数，将这一特征记为Δack；将Δack特征记录在表内；

5)网元特征Feature6

入侵检测辅助设备2在T0→T1时段内：捕获返回给网元差错报告报文，对报文进行统计检测；监测其出现频率，将这一特征记为vicmp2；将vicmp2特征记录在表内；

6)网元能量特征

FFD和6R在T0→T1时段内：对自身能量进行统计，并对统计得到的报文处理，得到能量特征，包括网元接收数据包数量EnergyRcvAk、网元接收数据包消耗的能量EnergyRcvAk、网元数据包转发率Rateforward；

在网元状态数据表构建完成后，将具体说明控制台对网元状态数据表内网元特征具体数据的处理方式；

(3)网元状态数据表填充完成后数据预处理

1)去噪过程：

控制台检查网元状态数据表中是否存在一些非数值变量和明显不合理的数据，这种网元特征数据作废；去噪过程结束后，设表中第n个特征的网元特征数据集合为y|n＝{y1n,y2n,...,yin}，即网元状态数据表的第n列，y|n集合的阈值为maxn和minn，其中minn为集合中的最小值，maxn为最大值；

这时控制台需要将每个特征的阈值范围预处理，控制台通过归一化函数处理使得每个特征的(mini,maxi)阈值范围转化到(0,1)之间，即特征值化为 另外控制台还需要根据特征的影响因子对每个特征的权重进行重新匹配；

2)控制台构建q维坐标空间，取q＝10，网元状态数据表中的网元特征数据需要在坐标空间中定位；控制台在此时引入附和系数c转移零点，使得整个特征空间被移动到正坐标空间，这里的系数c设置为：c＞|min|,min＝min{mini,i＝1,2,...,q}。

5.根据权利要求3所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述的能够反映6LoWPAN网络网元自身安全状态的多个可量化安全特征的分析、选取、捕获及异常判断决策方式具体为：过程1：地址分配及解析

网关和6R接入网络，地址固定分配；然后，网元FFD和RFD接入网络后发出请求信息RS报文直连6R请求IPv6地址，6R接收到RS消息后，回复RA报文；RA用于配置地址前缀，网元使用前缀配置IP地址，配置网络参数包括MTU、跳数限制、生命值TTL；RFD和FFD得到IP地址；将RFD和FFD自身的MAC地址通过EUI-64转换为接口ID，加上通过RA消息得到的链路前缀；

在上述过程中，网元特征选取、捕获方式具体为：

1)地址不可达响应报文出现频率

入侵检测辅助设备2捕获返回给网元的地址不可达报文，对报文速率进行检测；一旦速率超过阈值，则说明网络内该目的地址不存在，或存在恶意使用情况；

入侵检测辅助设备2对T0→T1、T1→T2、T2→T3内的ICMP报文过滤提取；

假使tm，m＝0,1,2为起始时间，tm+1为末尾时间，tm→tm+1是一个固定时段，为一个时间窗口；

a为tm→tm+1内某一网元，即FFD和6R收到的ICMP错误响应报文数，Timestamp1表示tm→tm+1内某一网元，即FFD和6R收到第1个错误响应报文的时间戳，Timestampa表示tm→tm+1内收到第a个错误响应报文的时间戳；Timestampx表示tm→tm+1期间收到第x个报文的时间；

为tm→tm+1内网元收到ICMP错误响应报文的出现频率；

假使网络正常未被入侵时，收到错误响应报文的频率最大值为V'max；

(1)若 入侵检测设备2判断该网元受害；

(2)若 该网元正常；

Feature1在此步骤中得以确立，上述特征：地址不可达报文频率，设其权值设为weight1；

过程2：网络路由建立

入侵检测机制执行步骤如下：

利用监控网元对RFC6550的规定建立的路由控制报文捕获和分析提取；MN监控清单的信息来自确定网元的DIO和DAO消息；

MN监控清单：

i.网元ID及其秩rank

ii.网元的优选父网元ID及其秩rank

iii.网元在一段时间内拓扑改变/建立的次数

iv.网元的ETX值，从该网元广播的DIO报文得到v.该网元作为父网元的变更，来自其他网元的DAO报文vi.父网元项计算的子网元数；

这里要求：沿路由的发送网元和接受网元都有义务检查rank规则是否被破坏，通过在RPL包信息中设置rank-error位，以保证rank值的不能伪造；

在上述过程中，网络中网元和入侵检测辅助设备对特征数据捕获执行步骤如下：每个监控网元负责在T0→T1、T1→T2、T2→T3时段监测其监控范围内网元对象的特征当监控网元第一次听到来自网元对象的DIO消息时，说明拓扑开始设置，状态发生更改；然后，监控网元从DIO和DAO报文中提取其监视表中的对象的特定条目中的所有必要信息即监控清单，判断监听到网元对象发送或接收到的控制消息；

在上述过程中，网元特征选取具体为：

2)DODAG ID更改次数(时段内拓扑改变/建立的次数)如果MN检测到DIO消息中与首选父网元相关的任何更改，即该网元的DODAG ID的更改或等级变为不定式，该状态更改被记录；如果状态更改频繁，更改次数超过阈值时，导致本地修复的任何网元行为将记录在监控网元中；导致本地修复的网元为异常；

Feature2在此步骤中得以确立，上述特征：在一段时间内拓扑改变/建立的次数，即更改的次数，设其权值设为weight2；

3)父网元项计算的子网元数

当MN检测到监控列表中的父网元和子网元ETX关系被破坏时，即父网元ETX值较大，该路由无效，这时，RPL启动本地修复机制以恢复网络路由拓扑；如果父网元项计算的子网元数增加超过阈值，阈值取决于网络环境波动与网络规模，即当网元广播自身ETX值变小同时其子网元的增加超过了阈值,则该子网元被入侵；该网元一定存在异常；

由此知网元ETX值和其子网元的增加数这两个特征共同判断网元的安全状态；子网元增加数为状态量，无法记录在网元状态数据表中，因此在网元状态数据表中记录“父网元项计算的子网元数”，由网元的ETX值协同“父网元项计算的子网元数”这一特征，当网元的ETX值变小时，记录下此时“父网元项计算的子网元数”这一特征；若网元的ETX值没有变小，这一特征没有影响，特征值和其权值均设置为0；

以父网元项计算的子网元数这一特征为因子，设权值为Feature3；

过程3：网络资源状态获取

网络架构的应用层采用CoAP协议订阅者模式对信息进行采集，网络内各单元执行动作和网络中网元和入侵检测辅助设备对特征数据捕获执行步骤如下：当数据发生变化时，每个代理客户订阅的网元发送通知(notification)给客户作为请求响应，通知是CON报文；入侵检测设备1还需捕获发送给6R的CON报文并统计计算来自每个网元的通知速率；

4)代理网元和入侵检测设备检测CON报文差异

每个代理网元6R，即不进行信息采集，只进行转发的网元需要在T0→T1、T1→T2、T2→T3内统计监测来自不同网元的CON报文数；

一旦检测到某网元发送通知过于频繁，超过阈值，则说明网络中存在异常，这时还不能够判断是代理网元的异常还是子网内网元即server的异常，因此比较由入侵检测设备和代理网元统计的信息；如果这两者差异过大，则说明代理网元被攻陷；反之，则server异常；

上述两个特征代理网元和入侵检测辅助设备分别捕获的CON报文出现频率联系起来；

CONproxy是代理网元捕获的CON报文出现频率；

CONIDS是入侵检测辅助设备捕获的CON报文出现频率；

设ΔCON＝|CONproxy-CONIDS|若ΔCON过大

控制台进一步比较CONproxy-CONIDS若CONproxy-CONIDS＞0，则代理网元存在异常；

若CONproxy-CONIDS＜0，则server存在异常；

通知是CON报文，6R和代理网元需要ACK用来响应CON消息，如果长时间没有得到ACK回应，将会导致客户自动对服务器网元取消订阅；

5)代理网元和入侵检测设备检测ACK报文差异

入侵检测设备1需要在T0→T1、T1→T2、T2→T3内统计监测网关返回ACK消息的出现频率；

代理也需要在T0→T1、T1→T2、T2→T3内对ACK报文出现频率进行统计监测；

如果ACK报文的出现频率明显低于CON报文的出现频率，则说明网关或者代理网元存在异常；这时比较网关和代理网元统计出的ACK报文出现频率进一步判断异常；与CON报文的判断同理，在此不再赘述；

ackproxy是代理网元捕获的CON报文出现频率；

ackIDS是入侵检测辅助设备捕获的CON报文出现频率；

上述两个特征，代理网元和入侵检测辅助设备分别捕获的ACK报文出现频率联系起来；

Feature4、Feature5确立完成；

Feature4：ΔCON＝|CONproxy-CONIDS|，其权值为weight4；

Feature5：Δack＝|ackproxy-ackIDS|，其权值为weight5；

6)报文过大响应报文出现频率

数据包上传过程中，如果数据包超过当前网元MTU，数据包将被丢弃并返回ICMP差错报告报文；

入侵检测辅助设备2对T0→T1、T1→T2、T2→T3内的ICMP报文过滤提取；

假使tm，m＝0,1,2为起始时间，tm+1为末尾时间，tm→tm+1是一个固定时段，为一个时间窗口；

b为tm→tm+1内收到的ICMP错误响应报文数，Timestamp1'表示tm→tm+1内收到第1个错误响应报文的时间戳，Timestampb'表示tm→tm+1内收到第b个错误响应报文的时间戳；

Timestampx是tm→tm+1期间收到第x个报文的时间；

为Tm→Tm+1内受害网元收到错误响应报文的出现频率；

假使网络正常未被入侵时，收到错误响应报文频率的最大值为Vmax(3)若 该网元受害；

(4)若 网元正常；

Feature6确立完成；

Feature6： 其权值为weight6；

7)能量特征

另外，网络正常运行过程中，FFD和6R需要对自身进行能量统计，具体措施如下：FFD和6R将邻居信息存储在路由登记表中；邻居表和DODAG如下：设想四个网元k1,k2,A,B

k1,k2转发数据给A,A转发数据给B；

设RcvAk1是A收到k1的数据报个数，RcvAk2是A收到k2的数据报个数，RcvA是A收到所有下级网元k1和k2的数据报个数，SentA是A转发给它的上一级网元B的数据包个数；

网元i需要将其接收及发送的数据包附上时间戳，以便进行周期性能量统计，统计的能量作为异常检测的关键安全信息；

所述能量统计，统计接收包和发送包的能量；

在距离d内发送kbit数据包，表示为ETx(k,d)，和收到kbit数据包，表示为ERx(k,d)，设定邻居节点之间的距离均在距离d内；

如果网络被入侵，异常网元存在两种情况：一种是被攻击的网元，一种是被俘获和控制的傀儡网元；

存在以下三种攻击情形：

1)中间人转发攻击：网元丢包严重，只是象征性发送数据包；

2)DoS攻击：傀儡网元不断发送数据包消耗网络能量，严重甚至造成网络瘫痪；

3)Death of ping攻击：傀儡网元不断发送小数据包，导致受害网元无暇处理其他数据包；

网络未被入侵时，网元A在tm→tm+1内接收来自每一个下级网元的数据包的最小为n个,tm→tm+1内接收来自每一个下级网元的数据包总能量最小值为Energymin，tm→tm+1内接收来自每一个下级网元的数据包总能量最大值为Energymax；

规定网络未被入侵时，转发包最小率为Vmin；

设转发率为Rateforward，且

1)中间人转发攻击：受害网元丢包严重，只是象征性发送数据包；

(1).若RcvAk1＜n，网元k1丢包严重，判断为恶意节点；

(2).若RcvAk2＜n，网元k2丢包严重，判断为恶意节点；

(3).若Rateforward＜Vmin，判断网元i为恶意的中间人节点；

(4).若Rateforward＞Vmin，网络未发现异常；

对网元i捕获的特征进行说明进行特殊处理：该特征RcvAk1、RcvAk2虽然为网元A捕获得到，但是实际上为下一级网元即k1,k2的特征属性；

2)Death of ping攻击：傀儡网元不断发送小数据包，导致受害网元无暇处理其他数据包；

3)DoS攻击：傀儡网元不断发送数据包消耗网络能量，严重甚至造成网络瘫痪；

当Rcvik1＞n时，存在以下情况：

(5).Energymin＞EnergyRcvAk1，网元k1异常，判断网元i受到了death of ping攻击；

(6).Energymin＞EnergyRcvAk2，网元k2异常，判断网元i受到了death of ping攻击；

(7).Energymin＜EnergyRcvAk1＜Energymax，网络未发现异常；

(8).Energymin＜EnergyRcvAk2＜Energymax，网络未发现异常；

(9).Energymax＞EnergyRcvAk1,则网元k1异常，网元i受到DoS攻击；

(10).Energymax＞EnergyRcvAk2,则网元k2异常，网元i受到DoS攻击；

对网元i捕获的特征进行说明进行特殊处理：该特征EnergyRcvAk1、EnergyRcvAk2虽然为网元i捕获得到，但是实际上为下一级网元即k1,k2的特征属性；

网元i最后需要把Rateforward、EnergySent、RcvAk1、RcvAk2、EnergyRcvAk1、EnergyRcvAk2和EnergyRcv的信息发送给网关；

RcvAk1、RcvAk2、EnergyRcvAk1、EnergyRcvAk2这些信息分别是网元k1和k2的特征数据，网元A的同类特征数据是由网元i的上一级网元B统计计算得出，记为RcvBA；

Feature{7,8,9}确立完成；

Feature7：RcvAk，其权值为weight7；

Feature8：EnergyRcvAk，其权值为weight8；

该特征RcvAk、EnergyRcvAk虽然为网元i捕获得到，但是实际上为下一级网元即k1,k2的特征属性；

上述两个特征数据不属于网元i本身；将此捕获信息添加到k1,k2的特征属性中；

Feature9：Rateforward，其权值为weight9；

学习过程总结如下：

特征选择如下：

Feature1： 其权值为weight1；

Feature2：Numtopo(在一段时间内拓扑改变/建立的次数)，其权值为weight2；

Feature3：Numsub(父网元项计算的子网元数)，其权值为weight3；

Feature4：ΔCON＝|CONproxy＝CONIDS|，其权值为weight4；

Feature5：Δack＝|ackproxy-ackIDS|，其权值为weight5；

Feature6： 其权值为weight6；

Feature7：RcvAk，其权值为weight7；

Feature8：EnergyRcvAk，其权值为weight8；

Feature9：Rateforward，其权值为weight9；

控制台分配给各个特征的权值与对应的特征数据进行相乘，所有的赋予权值的特征数据加和的结果能够有效反应网元的状态；

至此，针对6LoWPAN网络的特性及典型攻击，特征的选择定性分析，网元状态和网络内网元动作执行的具体指标，定量分析网元特征数据已经完成。

6.根据权利要求2所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述基于某一个网元特征进行直接判断的方法为：入侵检测系统在网元特征采集过程中，通过采集到的其中一个网元特征，直接判断是否存在入侵，其中所述网元特征选取、捕获方式具体为：

1)RA地址前缀

6R网元每次发送RA报文时，入侵检测辅助设备1，靠近6R网元，分别在T0→T1、T1→T2、T2→T3时间段捕获RA报文，并对RA报文内容进行解析比较；捕获来自于6R的不同RA报文，其中地址前缀分别为：predix1，predix2，…，predixn入侵检测辅助设备将此报文发送给控制台，控制台对报文进行解析并提取地址前缀；

控制台对地址前缀执行异或运算；

若 则控制台直接判断该6R网元存在异常；

若 则该6R网元正常；

2)RA报文频率

另外，入侵检测辅助设备1在T0→T1、T1→T2、T2→T3内统计监测6R网元出现RA报文频率，表示为vna：设6R网元在正常情况下，RA报文的出现频率为vlimit-na，若vlimit-na＞vna，则该6R网元正常；

若vlimit-na＜vna，则控制台直接判断该6R网元存在异常；

3)NS报文频率

入侵检测辅助设备2分别在T0→T1、T1→T2、T2→T3时间段内对子网内部网元NS报文进行监测，一旦任一网元收到NS的频率超过限制，子网内部网元主动进行检测即反向发送NS报文；如果没有返回NA，或者收到其他MAC地址的NA报文，则证明行为异常，不更新ND表项，并上报控制台；

设网元在正常情况下，收到NS报文的频率限制为vlimit-ns，设收到NS报文的源IP地址为Address0，返回NA报文的源IP地址为Address1；

若vns＞vlimit-ns，反向发送NS报文；

Step1:若没有返回NA报文，则该网元直接判断为异常；

Step2:若返回NA报文，比较IP地址；

则控制台直接判断该网元存在异常；

则该网元正常；

若v＜vns，则网元正常；

4)get报文出现频率

当客户6R需要数据，发送get报文时，入侵检测设备1需要统计监测在T0→T1、T1→T2、T2→T3内捕获来自6R的get报文，并计算get报文的出现频率，一旦超过限制阈值，则直接判断

6R网元存在异常；

5)RPL包信息中rank-error位

MN收到DIO时检查中的等级信息，如果监视网元检测到任何违反秩规则的子/父关系，则更改rank的网元存在异常；此特征，即rank值一旦发生变化，沿路由的发送网元或接受网元检查到rank规则被破坏，RPL包信息中rank-error位变为1，则直接判断该网元存在异常；

此特征，即rank值变化直接判断为异常。

7.根据权利要求1所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述步骤S2具体为：

1)构建连续固定大小的超立方体特征空间；

2)全局轮廓形成过程：当网元状态数据表中的网元特征数据填充满后，控制台计算超立方体Cu1,…,uq的位置，通过计算每个超立方体位置的频率，即在该超立方体中存在的数据的数量，由此形成全局的正常轮廓；

3)形成全局正常轮廓后，控制台执行在线检测，如果网元状态数据所在的超立方体中的网元状态数据大于k，则该网元状态正常；否则则检测被替代的检测区域内的网元状态数据，大于k，则该网元状态正常；

控制台在超立方体特征空间中定位网元状态数据并计算网元状态数据是否落入的正常轮廓；控制台将该方法的原理在于数据点稠密的超立方体为正常轮廓；

检测原理如下：

假设超立方体Cu1,…,uq，超立方体的对角线为 h为坐标单元；超立方体由 表示训练数据备好后超立方体的结构是固定的；

设L1(Cu1,…,uq)为超立方体Cu1,...,uq邻居，它能够覆盖落入超立方体Cu1,...,uq的任何网元状态数据的检测区域，满足下式参数d和k，没有先验知识参数不能准确的选择，用已知的信息估计参数；参数k由用户指定，如果p＝∫J(y)f(x)dx小于一个小概率，k确定y的异常；k被设置为0.01m；通过对网络观察和统计对已经建立的超立方体结构进行修改，找出最合适的d值；

下文为判断异常的方法：

判断异常的检验方法为：

1)超立方体Cu1,...,uq有至少存在k个数据，落入超立方体内的网元状态数据永远正常；

2)Cu1,...,uq∪L1(Cu1,...,uq)中少于k个数据，超立方体内的网元状态数据永远异常；

3)不符合上述两种情况下，找出能替代的DR；

基于移动后的超网格结构，不可能精确的检查出任何网元状态数据的检测区域；但能找到替代检查区域的几何DR；

对于网元状态数据y∈Cu1,...,uq，能替代的DR有如下定义：J(y)＝{Cv1,...,vq|vi＝ui,ui+ei}，其中 网元状态数据为y＝{y1,…,yq}映射在超立方体上。

8.根据权利要求1所述的一种基于改进KNN的6LoWPAN网络入侵检测方法，其特征在于：所述步骤S3具体为：

首先网元状态数据表在控制台部分形成；

当网元状态数据在控制台端填满网元状态数据表后，在控制台构造特征空间中形成正常轮廓；

网元状态数据表在T0→T1、T1→T2时段第一次被填满后，进行第一轮检测；

第一轮检测进行的同时，继续填写下一轮的网元状态数据表；在T2→T3过程中控制台保存的网元状态数据量达到 时，控制台以概率p对T2→T3时段内保存的网元状态数据进行随机选取，选取到的网元状态数据填入网元状态数据表中，丢弃其余数据；当网元状态数据表中完全被新的数据取代后，网元发送更新网元状态数据表的请求，正常轮廓被重新学习并更新；

规定T2→T3为更新网元状态数据表的周期，且周期固定；6LoWPAN网络采用实时操作分布式模式；

分布式模式的操作要求所有传感器节点参加网络内部计算，网络特征的收集需要网络内每个网元自身的配合，而不是由入侵检测辅助设备捕获；

IPv6无线传感网络特征数据除辅助设备捕获外，还有子网内网元本身的配合，对于网络资源的调度需要考虑以下几点：

1)监视网元(MN)将监听来自其邻居，包括其父网元和子网元的通信；

2)网元主动进行检测即反向发送NS报文，通过临时申请GTS时隙；

3)网元i最后只需把Rateforward、EnergySent、Rcvik、EnergyRcvik和EnergyRcv的信息发送给网关；

4)每一个网元的检测模块都执行本地的正常轮廓检测，最终把摘要上传给簇头网元；

5)簇头网元还需把全局的正常轮廓发送给各个网元；

6)每个代理网元RFD对CON/GET/ACK报文的速率检测；

另外上述需要考虑的6点是并行发生的，部分网元的任务是多重的，时隙分配上需要结合以上6点同时进行考虑，使得通信资源能够合理的进行配置。