彭　軍　余　強　何明星

(西華大學(xué)數(shù)學(xué)與計算機學(xué)院　四川 成都 610039)

?

基于流量預(yù)測的WSN入侵檢測技術(shù)

彭軍余強何明星

(西華大學(xué)數(shù)學(xué)與計算機學(xué)院四川 成都 610039)

摘要在無線傳感器網(wǎng)絡(luò)(WSN)，針對內(nèi)部攻擊嚴重威脅網(wǎng)絡(luò)的安全和正常運行，如造成網(wǎng)絡(luò)擁塞、能量的大量消耗等問題，提出基于流量預(yù)測的入侵檢測技術(shù)。該技術(shù)首先利用自回歸滑動平均模型ARMA(Autoregressive Moving Average)為節(jié)點建立ARMA(2,1)流量預(yù)測模型，然后利用預(yù)測的流量值來得到通過節(jié)點的流量接收率范圍，最后通過比較實際流量接收率是否超出預(yù)測范圍來達到檢測的效果。實驗結(jié)果表明，和單獨使用ARMA模型相比，在相同報文重放率條件下，采用該技術(shù)有更高的檢測率和更低的誤報警率，同時減少了網(wǎng)絡(luò)節(jié)點的能量消耗。

關(guān)鍵詞無線傳感器網(wǎng)絡(luò)內(nèi)部攻擊入侵檢測自回歸滑動模型流量接收率

WSN INTRUSION DETECTION TECHNOLOGY BASED ON TRAFFIC PREDICTION

Peng JunYu QiangHe Mingxing

(School of Mathematics and Computer,Xi Hua University,Chengdu 610039,Sichuan,China)

AbstractIn wireless sensor networks, in view of that the internal attacks impose serious threats on network security and normal operation, such as causing the network congestion and huge energy consumption and so on, we proposed a traffic prediction-based intrusion detection technology. First the technology uses autoregressive moving average model (ARMA) to build the ARMA (2,1) traffic forecasting model for nodes, then it uses the predicted traffic value to get the range of packet reception rate passing through the nodes, finally, it achieves the effect of detection by comparing whether the actual packet reception rate exceeds the forecasting range. Experimental results showed that under the same message playback rate condition, compared with single ARMA model, to use this technology had higher detection rate and lower false alarm rate, and meanwhile reduced the energy consumption of network nodes.

KeywordsWireless sensor networks (WSN)Internal attackIntrusion detectionAutoregressive moving average model (ARMA)Packet reception rate

0引言

隨著無線傳感器網(wǎng)絡(luò)廣泛應(yīng)用于軍事防備、環(huán)境監(jiān)測、交通管制等重要領(lǐng)域，對于無線傳感器網(wǎng)絡(luò)安全防護的研究也具有很高的研究價值[1]。但是無線傳感器網(wǎng)絡(luò)由于其本身的特性，如節(jié)點的能量、存儲能力和處理能力有限等，提高了對入侵檢測系統(tǒng)的設(shè)計要求。如何設(shè)計出一個能耗低、誤報警率低、檢測率高、應(yīng)用廣泛的入侵檢測系統(tǒng)成為一個重要的研究課題[2,3]。

本文通過對節(jié)點的流量進行預(yù)測后，計算出接收率的范圍來檢測攻擊。目前國內(nèi)外對于相關(guān)的入侵檢測系統(tǒng)的研究，提出了很多種不同的檢測方法。馬立波等[4]提出了基于粒子濾波算法的入侵檢測技術(shù)，該方法首先利用LEACH算法對網(wǎng)絡(luò)節(jié)點進行分簇，然后通過粒子群濾波算法檢測節(jié)點的流量情況來發(fā)現(xiàn)異常節(jié)點。但是該方法存在簇頭節(jié)點能量消耗大的問題。

劉帥等[5]提出了一種基于統(tǒng)計異常的入侵檢測技術(shù)，該系統(tǒng)首先在正常狀態(tài)下利用某些系統(tǒng)特征為節(jié)點建立模型，通過統(tǒng)計觀測值與模型的偏差程度來判斷是否有入侵發(fā)生。但是該方案建立模型所需要的特征參數(shù)和特征值會根據(jù)應(yīng)用場景發(fā)生變化，從而影響監(jiān)測效果。韓志杰等[6]提出了基于Markov 的無線傳感器網(wǎng)絡(luò)入侵檢測機制。首先通過采用Markov模型，為每個節(jié)點建立流量預(yù)測模型來檢測網(wǎng)絡(luò)異常流量，同時也提出了一種報警評估機制，該系統(tǒng)可以有效地檢測拒絕服務(wù)攻擊，但是檢測結(jié)果會受評估機制中參數(shù)的設(shè)定的影響。

曹曉梅等[7]設(shè)計了一種基于ARMA模型的無線傳感器網(wǎng)絡(luò)拒絕服務(wù)攻擊檢測方案TPDD(Traffic Prediction based DOS attack Detection)，首先用ARMA模型對流量進行預(yù)測，通過計算實際流量和預(yù)測流量的差值是否超出了預(yù)定的閾值來看是否有異常，并且還設(shè)計了一種異常檢測報警評估機制，當報警數(shù)目超過一定范圍時，則證明有攻擊發(fā)生。這種方法同樣在評估機制中參數(shù)需要人為設(shè)置，這樣就加大了系統(tǒng)的不確定性。本文主要是在TPDD上進行改進。

滕麗萍提出的基于Sinkhole攻擊的入侵檢測系統(tǒng)利用Sinkhole攻擊的特點設(shè)計了一個基于規(guī)范的分布式入侵檢測系統(tǒng)，該系統(tǒng)需要節(jié)點之間合作來檢測，加大了網(wǎng)絡(luò)的能量消耗。Ponomarchuk等[9]提出的一種基于流量分析的入侵檢測技術(shù)，該方法通過計算出網(wǎng)絡(luò)流量接收率PRR(Packet Reception Rate) 和間隔時間兩種流量特性來判斷網(wǎng)絡(luò)中是否有入侵發(fā)生。該方案在網(wǎng)絡(luò)的參數(shù)設(shè)置中也有一些人為因素的影響，從而會影響檢測結(jié)果。

肖政宏等[10]運用幾種典型的流量預(yù)測模型設(shè)計了一種異常入侵檢測方法。該系統(tǒng)通過網(wǎng)絡(luò)中節(jié)點的預(yù)測流量序列和實際的流量序列的差值來檢測是否存在入侵。由于其缺少一種合理的評估機制，導(dǎo)致系統(tǒng)的檢測結(jié)果可能會因為其他的原因而發(fā)生變化。

從上面的例子可以看出，目前運用流量特性來設(shè)計入侵檢測系統(tǒng)，對于特定的應(yīng)用都可以達到一定的效果。但是普遍存在能量消耗過大、人為參與因素較大，從而會導(dǎo)致檢測的不確定性增加。本文在文獻[7]中TPDD技術(shù)的基礎(chǔ)上進行了改進，因為該方法在報警評估機制中，評估有無風險的異常個數(shù)m的設(shè)置會直接影響到檢測結(jié)果。m過大，會造成遺漏攻擊，太小會增加誤報警率。通過實驗證明ARMA模型對流量的單步預(yù)測效果很好，所以本系統(tǒng)使用ARMA模型預(yù)測的流量值來計算得出流量接收率范圍，通過比較實際流量接收率范圍是否超出范圍來判斷有無攻擊發(fā)生，用流量接收率來代替TPDD中的報警評估機制，這樣就減少了人為因素的影響。通過實驗表明，本系統(tǒng)相比于單獨運用ARMA模型，具有更高的檢測率和更低的誤報警率，并且能量消耗更少。

1ARMA模型的建立

1.1流量模型的選取

由于無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與其應(yīng)用場景密切相關(guān)，對于不同的應(yīng)用，所要處理的數(shù)據(jù)類型也不同，所以為節(jié)點建立無線傳感器網(wǎng)絡(luò)流量模型必須與應(yīng)用場景相聯(lián)系。

之前，王海元等[11]結(jié)合基于移動Agent的中間技術(shù)，設(shè)計出了基于ARMA模型的無線傳感器網(wǎng)絡(luò)可信數(shù)據(jù)采集方法。此方法表明ARMA模型對于數(shù)據(jù)的采集具有高度可信度，并且可以減少網(wǎng)絡(luò)的能量消耗。而本文的研究主要針對數(shù)據(jù)周期性采集型無線傳感器網(wǎng)絡(luò)。并且，為了使網(wǎng)絡(luò)達到流量均衡，假設(shè)傳感器網(wǎng)絡(luò)已通過負載平衡技術(shù)[12]做了相應(yīng)的處理，從而防止了因為漏斗效應(yīng)導(dǎo)致的網(wǎng)絡(luò)擁塞。

因為無線傳感器網(wǎng)絡(luò)節(jié)點的能源、存儲能力、處理能力都非常有限，所以本文選取計算簡單的ARMA(2p，2p-1)模型來對流量進行分析和預(yù)測。因為p為階數(shù)太大的話，就會增加計算量，所以我們采用ARMA(2，1)模型。

1.2ARMA(2,1)流量預(yù)測模型的建立

得到平穩(wěn)序列后，就是建立ARMA模型[13]，即：

φ(B)Xi=θ(B)ai

(1)

φ(B)=1-φ1B-φ2B2

(2)

θ(B)=1-θ1B

(3)

(4)

(5)

(6)

如果滿足上述條件，則說明此序列為平穩(wěn)序列，從而得出ARMA擬合模型，如下所示：

(7)

然后利用逆函數(shù)法進行單步預(yù)測，ARMA的逆函數(shù)記為I1，I2，…，Ij，則有：

(8)

則單步預(yù)測模型為：

(9)

其中m為Xt之前m次觀測，可以根據(jù)預(yù)算精度的要求取值。

2流量接受率范圍的估計

對于周期性傳送數(shù)據(jù)的無線傳感器網(wǎng)絡(luò)，一般在沒有攻擊發(fā)生或者受到其他因素的影響時，包括軟硬件的損壞、自然災(zāi)害等，它應(yīng)該是以一定的速率定期在節(jié)點之間傳送信息，因此，各節(jié)點的流量不會發(fā)生很大的波動，應(yīng)該保持在一定的范圍內(nèi)。正因為這個原因，本文利用節(jié)點的PRR來作為是否有攻擊發(fā)生的依據(jù)。當有攻擊發(fā)生時，節(jié)點的PRR會超出我們預(yù)測的范圍。相反，則不會超出。

下面給出一段時間間隔內(nèi)傳輸失敗的次數(shù)K的二項分布式為：

假設(shè)網(wǎng)絡(luò)中的信息傳輸是定期穩(wěn)定的傳輸，利用前面已經(jīng)預(yù)測的流量的樣本，在一段時間窗口T內(nèi)按照每小段時間Tw來分別提取預(yù)測樣本值為N1，N2，…，Nm，其中m等于T/Tw。從而可以算出接受包的平均值和標準偏差為：

(10)

(11)

其中Ni,i=1,2,…,m為樣本值。

然后就可以算出一段時間間隔內(nèi)接收率的范圍。因為3 s和6 s的置信水平分別為99.87%和100%[14]，所以這里計算出間隔時間為3 s和6 s的PRR范圍為：

(12)

(13)

根據(jù)計算出來的流量的接受率的范圍，就可以判斷是否有攻擊發(fā)生。當后面的流量接受率超出范圍時,則說明網(wǎng)絡(luò)中有內(nèi)部攻擊發(fā)生。在集中式檢測系統(tǒng)中往往會因為“單點失敗”造成檢測效果不佳，而在本文中，系統(tǒng)沒有通過基站來處理檢測數(shù)據(jù)，而是節(jié)點單獨完成檢測，這樣提高了系統(tǒng)的魯棒性。

3仿真實驗

這里采用OMNET++仿真軟件對本實驗進行仿真，因為它具有很好的系統(tǒng)兼容性，可以在Windows和各種UNIX操作系統(tǒng)下利用C++進行編譯，對無線傳感器網(wǎng)絡(luò)的仿真可以達到很好的效果。實驗仿真分為兩個部分，首先對ARMA模型能否精確的對流量進行單步預(yù)測進行驗證，其次當節(jié)點受到不同強度的內(nèi)部攻擊時，對比本系統(tǒng)和單獨使用ARMA模型，二者的檢測準確度、誤報警率。同時，還對系統(tǒng)節(jié)點的平均能量開銷進行了仿真。

3.1ARMA模型預(yù)測精度仿真

圖1實線顯示的某一個傳感器網(wǎng)絡(luò)中通過某個節(jié)點的真實網(wǎng)絡(luò)流量。利用ARMA(2,1) 模型預(yù)測流量，通過最小二乘法估計出模型參數(shù)如下：

圖1　ARMA單步預(yù)測結(jié)果

Xt=0.82471Xt-1+0.08537Xt-2+at-0.64843at-1

令 m=3，得到單步預(yù)測模型為：

本實驗從任意時間起，在250s內(nèi)每秒采樣數(shù)據(jù)流量一次，然后利用模型預(yù)測出流量，圖1中虛線部分就是利用ARMA模型預(yù)測流量狀況。對比圖中實線和虛線，可以看出ARMA模型對流量的單步預(yù)測效果很好，虛線和實線基本吻合，這說明利用ARMA(2,1) 模型可以很好地對無線傳感器網(wǎng)絡(luò)流量進行單步預(yù)測。

3.2入侵檢測方案的仿真

實驗主要是通過分析入侵檢測系統(tǒng)的檢測準確度和誤報警率以及平均能量開銷三個指標來判別本系統(tǒng)的可行性。

檢測準確度指系統(tǒng)檢測到的惡意報文與全部報文的比值和系統(tǒng)檢測到的非惡意報文與全部檢測到的報文數(shù)量的比值。

誤報警率具體指系統(tǒng)將惡意的報文當做正常的報文的數(shù)量與全部報文的比值和系統(tǒng)將正常的報文當做惡意報文的數(shù)量與全部報文的比值。

同時，為了檢測網(wǎng)絡(luò)節(jié)點的平均能量開銷，本文分別在有攻擊有檢測、無攻擊無檢測和有攻擊無檢測三種情況下進行仿真實驗，對比三種情況下節(jié)點的平均能量開銷。

一個好的無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)必須具備高的檢測準確度和低的誤報警率，同時還要有較低的能量開銷。

下面是本實驗的一些仿真參數(shù)的設(shè)定：

? 實驗面積：50×50,200×200 m2

? 一個基站

? 節(jié)點數(shù)目：100

? 節(jié)點均勻網(wǎng)絡(luò)部署

? 信息發(fā)送率：包/1.5 s或者包/15 s

? 包大?。?0~100 B

? 傳輸速率：100 kbps，250 kbps

? 攻擊行為分別丟包率為30%、50%、100%

圖2顯示的是本文設(shè)計的入侵檢測系統(tǒng)和單獨使用ARMA模型以及單獨使用PRR對檢測準確性的對比，橫坐標是報文重放率，縱坐標是檢測率。從圖中可以看到三種方案的檢測率和報文重放率密切相關(guān)，當重放率低于10%時，只有本方案的檢測率超過了50%，這是因為其他兩種方案都可能因為人為設(shè)置的閾值不夠精確而導(dǎo)致部分報文被忽略。然而當重放率達到40%的時候三種方案的檢測率都接近100%，所以當攻擊較為明顯的時候三種方案都可以用來檢測拒絕服務(wù)攻擊，都可以達到很好的效果。然而攻擊不明顯時，本方案有更好的檢測準確度。

圖2　檢測準確度

圖3中顯示的是上述三種方案的誤報警率。橫坐標是報文重放率，縱坐標是誤報警率。從圖中可以看出隨著重放率的增加，三種方案的誤報警率都維持在一個很低的水平，因為信道誤碼所導(dǎo)致的丟包在客觀上降低了重放報文攻擊的誤報警率。但是當報文重放率低于20%時，本方案相對于單獨運用ARMA模型，前者誤報警率明顯低于后者。

圖3　誤報警率

圖4是評估本系統(tǒng)中節(jié)點的平均能量開銷，這里分別統(tǒng)計了在800 s時間內(nèi)，無攻擊無檢測、有攻擊無檢測和有攻擊有檢測三種情況下節(jié)點消耗的平均能量。節(jié)點初始能量為2 J，其中式(14)表示節(jié)點接收一個報文的能量消耗為[15]：

ERx=l×Eelec

(14)

式(15)表示節(jié)點發(fā)送一個報文的能量消耗為：

ETx=l×Eelec+l×efs×d2

(15)

其中l(wèi)表示包信息的字節(jié)數(shù)，Eelec表示射頻能耗系數(shù)，efs表示功率放大能耗系數(shù)，d為節(jié)點之間的通信距離。

從圖4可以看出當網(wǎng)絡(luò)沒有攻擊發(fā)生時，網(wǎng)絡(luò)中的能量消耗維持在一定的水平。當有攻擊時，節(jié)點的能量被大量消耗，但是有檢測和沒有檢測相比，由于前者及時對攻擊作出了反應(yīng)，使流量的路徑改變了，從而保證了網(wǎng)絡(luò)能量不會因為有攻擊發(fā)生而大量消耗，所以加入入侵檢測可以減少攻擊所帶來的能量消耗。

圖4　節(jié)點平均能量消耗

4結(jié)語

實驗結(jié)果表明，ARMA模型對周期性的無線傳感器網(wǎng)絡(luò)流量的單步預(yù)測，可以達到很好的效果。對于檢測內(nèi)部攻擊，本方案相對于單獨利用ARMA模型來說，減少了人為因素對檢測的影響，有著更高的檢測率和更低的誤報警率。同時，在一定程度上本系統(tǒng)減少了網(wǎng)絡(luò)節(jié)點的平均能量開銷，從而延長了網(wǎng)絡(luò)的生命周期。但是對于非周期性網(wǎng)絡(luò)，該系統(tǒng)還存在一定的缺陷，不能達到較好的效果。后期在不斷優(yōu)化本系統(tǒng)的同時，還要更深入地研究本系統(tǒng)對于非周期性傳感器網(wǎng)絡(luò)的入侵檢測技術(shù)。

參考文獻

[1] Murad A,RassamM A,MaarofAnazida Zainal.A Survey of Intrusion Detection Schemes in Wireless Sensor Networks[J].American Journal of Applied Sciences,2013,9(10):1-9.

[2] Pooja,GuptaDr,Naveen,et al.Security Issues in Wireless Sensor Network:A Review[J].International Journal of Engineering Sciences & Research Technology,2013,2(5):342-350.

[3] Shilpa S,Patil P,Khanagoudar S.Intrusion Detection Based Security Solution for Cluster Based WSN[J].International Journal of Advanced Research in Computer Engineering & Technology (IJARCET),2013,1(4):123-132.

[4] 馮立波,羅桂蘭,楊存基,等.WSN中基于粒子濾波的入侵檢測算法實現(xiàn)[J].傳感技術(shù)學(xué)報,2013(11):1573-1578.

[5] 劉帥,朱俊杰,馬振燕.無線傳感器網(wǎng)絡(luò)中基于統(tǒng)計異常的入侵檢測[J].火力與指揮控制,2009,34(7):123-131.

[6] 韓志杰,張瑋瑋,陳志國.基于Markov的無線傳感器網(wǎng)絡(luò)入侵檢測機制[J].計算機工程與科學(xué),2010,32(9):27-35.

[7] 曹雪梅,韓志杰,陳貴海.基于流量預(yù)測的傳感器網(wǎng)絡(luò)拒絕服務(wù)攻擊檢測方案[J].計算機學(xué)報,2007,30(10):116-120.

[8] 滕麗萍.無線傳感器網(wǎng)絡(luò)中基于Sinkhole攻擊的入侵檢測系統(tǒng)研究[J].計算機應(yīng)用與軟件,2013,30(6):312-315,328.

[9] Ponomarchuk,Yulia,Seo.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[J].Dae-Wha Dept of Electrical Engineering and Computer Science Kyungpook National University Daegu,Republic of Kores,2010,24(8):64-72.

[10] 肖政宏,謝贊福,陳志剛.無線傳感器網(wǎng)絡(luò)中一種基于流量預(yù)測和相關(guān)系數(shù)的異常檢測方法[J].微電子學(xué)與計算機,2009,26(7):22-26.

[11] 王海元,王汝傳,黃海平,等.基于ARMA模型的無線傳感器網(wǎng)絡(luò)可信數(shù)據(jù)采集方法[J].南京郵電大學(xué)學(xué)報:自然科學(xué)版,2009,29(4):23-29.

[12] 黃健榮,王新建,于蕭榕.無線局域網(wǎng)中一種層次式負載平衡技術(shù)[J].計算機與數(shù)字工程,2014,42(4):145-152.

[13] 韓志杰,王汝傳,凡高娟,等.一種基于ARMA的WSN非均衡分簇路由算法[J].電子學(xué)報,2010,38(4):865-869.

[14] NIST/SEMATEC e-Handbook of Statistical Methods[EB/OL].2010.http://www.itl.nist.gov/div898/handbook/index.htm.

[15] Heinzelman W B,Chandrakasan A P,Balakrishnan H.An application specific protocol architecture for wireless microsensor networks[J].IEEE Transaction on Wireless Communication,2002,1(4):660-670.

中圖分類號TP393.08

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.02.072

收稿日期：2014-08-01。四川省國際合作項目(2009HH0009)；國家科技部支撐計劃項目(2011BAH26B00)；四川省信息安全創(chuàng)新團隊建設(shè)項目(13TD0005)；面向物聯(lián)網(wǎng)的入侵檢測關(guān)鍵技術(shù)研究項目(szjj 2013-018)。彭軍，碩士生，主研領(lǐng)域：無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)。余強，副教授。何明星，教授。