一種高效的無線傳感器網(wǎng)絡混合入侵檢測模型

徐小龍++高仲合++韓麗娟

摘要：無線傳感器網(wǎng)絡的安全問題日益引起人們的關注。這種網(wǎng)絡有一些使它容易受到攻擊的特點，如露天傳輸和無固定基礎設施的自組織性。文章為無線傳感器網(wǎng)絡提出了一種混合輕量級入侵檢測模型。該模型利用基于簇的體系結構來降低能耗，采用基于支持向量機的異常檢測算法和一組簽名規(guī)則來檢測惡意行為，并進行整體的輕量級入侵檢測。仿真結果表明，該模型可以有效地檢測異常事件，具有較高的檢出率和較低的誤報率。

關鍵詞：無線傳感器網(wǎng)絡；入侵檢測；支持向量機；簽名攻擊

中圖分類號：TP393

文獻標識碼：A

DOI： 10.3969/j.issn.1003-6970.2016.01.004

本文著錄格式：徐小龍，高仲合，韓麗娟.一種高效的無線傳感器網(wǎng)絡混合入侵檢測模型[J].軟件，2016，37（01）：14-17

0 引言

無線傳感器網(wǎng)絡（Wireless Sensor Networks，WSNs）是近年來的熱門研究領域之一。無線傳感器網(wǎng)絡自身的一些特點如能量有限、低功耗計算、無線通信等使它們面臨許多安全威脅。當攻擊者位于網(wǎng)絡的內(nèi)部時，作為第一道防線的防火墻是無效的。入侵檢測系統(tǒng)（lntrusion Detection System，IDS）是第二道網(wǎng)絡安全防線，可以對來自內(nèi)部和外部的攻擊進行檢測和預防。為有線網(wǎng)絡和ad hoc網(wǎng)絡設計的入侵檢測系統(tǒng)不能直接用于無線傳感器網(wǎng)絡，因此有必要為無線傳感器網(wǎng)絡設計一種特定的入侵檢測系統(tǒng)，并且要充分考慮到無線傳感器網(wǎng)絡自身的特點。文章的組織如下：第一章介紹了相關研究工作。第二章提出了無線傳感器網(wǎng)絡的安全架構。第三章介紹了該IDS應對攻擊的算法。第四章對該方案的性能進行分析。最后得出結論并對未來的工作進行展望。

1 相關研究

在相關文獻中，有一部分將異常檢測技術和基于簽名的檢測技術結合起來以獲得這兩種檢測技術的優(yōu)點。文獻[3]提出了一種基于簇的分層入侵檢測系統(tǒng)，在每個簇頭（Cluster-Head，CH）中安裝一個入侵檢測代理。代理有三個模塊：一個監(jiān)督學習模塊，一個基于規(guī)則的異常檢測模塊和一個決策模塊。仿真結果表明這種模型有較高的檢出率和較低的誤報率。然而這種方案的主要缺點是：入侵檢測系統(tǒng)只運行在靜態(tài)的簇頭節(jié)點中，如果入侵者集中力量攻破這個節(jié)點，網(wǎng)絡就會隨之受到破壞。并且這種檢測機制的實現(xiàn)需要在簇頭節(jié)點進行大量的計算，從而會減少網(wǎng)絡的生存期。文獻基于Roman等人的模型為無線傳感器網(wǎng)絡提出了一種混合輕量級入侵檢測系統(tǒng)。這種入侵檢測方案利用基于簇的協(xié)議構建了一個分層網(wǎng)絡，并提出了一種基于異常模型和誤用檢測技術的入侵檢測框架。在他們的方案中，入侵檢測代理由本地代理和全局代理兩個檢測模塊組成。同一節(jié)點中的兩個代理互相合作以達到更高的檢測精度。然而這種方案的缺點是簽名特征急劇增加，可能導致節(jié)點內(nèi)存過載。文獻提出了一種混合輕量級的分布式無線傳感器網(wǎng)絡入侵檢測系統(tǒng)。該入侵檢測系統(tǒng)采用了誤用檢測和異常檢測相結合的方法。它由一個中央代理和若干本地代理組成，中央代理利用數(shù)據(jù)挖掘技術進行高精度的入侵檢測，本地代理在遠端進行輕量級異常檢測。

基于以上這些混合模型，文章提出了一種高效的輕量級無線傳感器網(wǎng)絡入侵檢測系統(tǒng)。目標是實現(xiàn)一種結合了基于異常和基于簽名模型優(yōu)點的新型入侵檢測模型，該模型能夠超越前面提到的幾種混合模型。

混合入侵檢測系統(tǒng)（Hybrid Intrusion DetectionSystem，HIDS）能夠達到高檢出率和低誤報率這一目標。該模型使用基于支持向量機（Support VectorMachine，SVM）的異常檢測技術和一組由固定規(guī)則簽名表示的攻擊，以驗證該異常檢測技術識別惡意行為的能力。該檢測方法被集成到一個基于簇的拓撲中以延長網(wǎng)絡生存期。這是通過選擇一個已知節(jié)點作為族首，由它將節(jié)點數(shù)據(jù)匯聚后傳給基站（Base Station，BS）來實現(xiàn)的。簇頭就像一個本地基站傳感器，在任何給定的時間，每個節(jié)點都以一定的概率當選為簇頭。我們提出了一種基于簇的架構，將傳感器陣列分成多個組，每個組包含一個簇頭。在這種體系結構中，每個節(jié)點只屬于一個簇，簇在整個網(wǎng)絡中按地理位置分布。簇頭的使用可以減少網(wǎng)絡能量消耗，提高網(wǎng)絡生存期。圖1顯示了該混合型入侵檢測系統(tǒng)的體系結構。

2.1 簇頭選舉與布局策略

簇頭是根據(jù)節(jié)點的能量動態(tài)選出的。由基站宣布簇頭的選舉過程，簇頭通過公式V_i（t） =[lnitial-E_i（t）]/r來計算剩余能量，其中Initial表示初始能量，E；（t）表示剩余能量，r是簇頭選擇的當前輪次。基站根據(jù)得到的值計算平均值和平均偏差，簇頭向節(jié)點宣布選舉的程序。老的簇頭廣播一條消息宣布權力的撤銷，新簇頭向傳感器節(jié)點發(fā)送警報消息。簇頭負責對簇中的其他成員進行身份認證，而基站負責對簇頭進行認證。由于電池壽命和資源有限，每個代理都僅在被需要時激活。代理分為本地代理和全局代理。

本地代理：本地代理模塊負責監(jiān)控傳感器節(jié)點發(fā)送和接收的信息。節(jié)點將特定的惡意節(jié)點攻擊行為存放在它的內(nèi)部數(shù)據(jù)庫中。當網(wǎng)絡剛開始組織時，傳感器節(jié)點沒有任何關于惡意節(jié)點的信息。無線傳感器網(wǎng)絡部署后，簽名數(shù)據(jù)庫逐漸構建起來。惡意節(jié)點數(shù)據(jù)庫中的條目被創(chuàng)建并被簇頭傳播到每個節(jié)點。

全局代理：全局代理監(jiān)聽它的鄰居節(jié)點的通信。由于無線網(wǎng)絡的廣播特性，每個節(jié)點可以接收到所有通過其無線電范圍內(nèi)的數(shù)據(jù)包。全局代理必須有它的鄰居節(jié)點的信息來監(jiān)視數(shù)據(jù)包。我們使用本地監(jiān)測機制和預定義規(guī)則來監(jiān)視數(shù)據(jù)包。如果監(jiān)視節(jié)點發(fā)現(xiàn)其鄰居節(jié)點中可能出現(xiàn)的安全漏洞，它們就創(chuàng)建一個警報并發(fā)送到簇頭。簇頭收到警報后通過閾值判定其是否可疑節(jié)點。兩種代理都建立在應用層。圖2描述了該入侵檢測系統(tǒng)在網(wǎng)絡中的部署情況。

2.2 基于支持向量機的異常檢測

支持向量機是一種由Vapnik等人提出的機器學習算法，它是一種基于小樣本學習的分類器設計方法，適用于小樣本數(shù)據(jù)的分類。因此支持向量機算法適合對IDS中的高維數(shù)據(jù)進行分類，數(shù)據(jù)是從物理層、MAC層和網(wǎng)絡層收集的。收集到的訓練數(shù)據(jù)使用一個數(shù)據(jù)簡化過程進行預處理，目的是減少它們的數(shù)據(jù)量以便于被SVM處理。接下來將訓練數(shù)據(jù)矢量映射到高維空間并將問題轉化為空間中的線性分類問題。映射過后，SVM找出一個具有最大間隔的線性分類超平面。

假設線性可分樣本集為（x_iw，Y_i），給定訓練數(shù)據(jù)集：

i=1，…，n，x∈R^d，y∈{+i，-1），在這里{1）表示正常，{-1）表示不正常。分類超平面方程是：

w'x+b=0

（1）

其中w是標準矢量，參數(shù)b是偏移量。超平面上的訓練樣本被稱為支持向量，因為他們支持最優(yōu)分類超平面。所以我們的問題用公式表述為：

服從于

分類函數(shù)可以如下描述：

最優(yōu)分類函數(shù)可如下描述：

這是核心函數(shù)并且ai是拉格朗日乘子。根據(jù)Kuhn-Tucker條件，與ai>0相對應的xi稱作支持向量（Support Vectors，SVs）。在我們的上下文中，每個節(jié)點與它的單跳鄰居節(jié)點交流向量。這個過程完成后，最終的超平面被計算出來，所有節(jié)點使用相同的判別方法來將數(shù)據(jù)分為正常和異常兩類。因此SVM方法適合將入侵檢測系統(tǒng)中的高維數(shù)據(jù)進行分類。與神經(jīng)網(wǎng)絡方法相比，SVM方法用更少的訓練時間得到了更好的結果。SVM的另一個優(yōu)點是更低的泛化誤差概率。

2.3 基于簽名的模型

該模塊使用一個基于簽名的發(fā)現(xiàn)協(xié)議來檢測惡意節(jié)點，以防止網(wǎng)絡被這些節(jié)點破壞。該協(xié)議的目的是在一組規(guī)則的基礎上將目標的行為分成正常和異常兩類。在這里對每種攻擊有四條檢測規(guī)則。檢測選擇性轉發(fā)攻擊的規(guī)則是通過丟棄的數(shù)據(jù)包的數(shù)量和存在超過閾值的節(jié)點來定義的。檢測Hello泛洪攻擊的規(guī)則是IDS代理接收到的信號的強度超過規(guī)定的閾值。檢測黑洞攻擊的規(guī)則是根據(jù)丟包的數(shù)量和信號強度過高。檢測蟲洞攻擊的規(guī)則是信號強度超過閾值和沒有任何相鄰節(jié)點重傳來自對方的數(shù)據(jù)包。

2.4 決策模型

在協(xié)同作業(yè)過程中，簇頭應用了一個簡單規(guī)則機制。如果被異常檢測技術檢測到的攻擊和預定義的攻擊者簽名之間沒有對應關系，入侵檢測代理便向簇頭發(fā)送一個報告，然后采用一條快速規(guī)則來對可疑節(jié)點做出最后的判定。簇頭向管理員匯報該結果以幫助他們管理網(wǎng)絡并做出進一步的修正。最后簇首發(fā)送一條消息給所有的入侵檢測系統(tǒng)，于是它們便更新自己的簽名庫。圖3說明了決策模型中使用的規(guī)則。

3 混合檢測模型的性能

在這一部分，我們使用KDD99數(shù)據(jù)集來評估該入侵檢測模型的性能。我們研究當網(wǎng)絡中IDS的數(shù)量增加時檢出率和誤報率的變化。最后將我們的模型與其它混合模型的性能進行比較。為了評價所提出模型的有效性，采用了一組度量標準來進行判定。

檢出率：表示檢測出的攻擊數(shù)占總攻擊數(shù)的比率。

誤報率：將正常連接誤判為異常行為的比率。

基于SVM的異常檢測與基于攻擊簽名的檢測相結合的模型能夠達到較高的檢出率（約98%）和較低的誤報率（約3%），表1顯示了該模型對四種攻擊行為的檢出和誤報情況。他四位作者Bin，Khanum，Yuan和Hai提出的混合模型進行比較，著重分析檢出率和誤報率。圖4顯示了幾種無線傳感器網(wǎng)絡入侵檢測模型的性能比較。

通過圖4看出，我們提出的混合模型在檢出率和誤報率方面比其它模型更有優(yōu)勢。

4 結論

在文章中我們?yōu)闊o線傳感器網(wǎng)絡提出了一種混合入侵檢測模型。我們的入侵檢測系統(tǒng)使用了一種基于SVM的學習算法和一種基于攻擊簽名的檢測技術。這兩種技術的結合提供了一種具有高檢出率和低誤報率的入侵檢測系統(tǒng)。我們的檢測方法被整合在一個基于簇的拓撲中，以減少通信開銷，延長網(wǎng)絡生存期。在未來的研究工作中，我們將對更多的的攻擊方式進行仿真以測試所提出模型的性能。