張磊+蔡永新　陳潮

摘 要： 由于無線傳感器網(wǎng)絡(luò)工作環(huán)境的不穩(wěn)定性，其安全問題成為公共安全新一輪的挑戰(zhàn)。為防止無線傳感器網(wǎng)絡(luò)被惡意破壞，僅依靠其自身安全機制不足以應(yīng)對復(fù)雜的安全環(huán)境。因此，針對數(shù)據(jù)包的時間序列，開展對無線傳感器網(wǎng)絡(luò)入侵檢測方法的研究。通過時間序列算法對入侵?jǐn)?shù)據(jù)進行檢測，并采用切比雪夫算法對離群時間序列進行驗證，以達(dá)到無線傳感器網(wǎng)絡(luò)入侵檢測的目的；通過NS2仿真技術(shù)對ZigBee傳感器漏洞進行建模分析，驗證通過數(shù)據(jù)包時間序列分析，檢測惡意入侵的有效性，并達(dá)到預(yù)期成果。

關(guān)鍵詞： 無線傳感器網(wǎng)絡(luò)； 時間序列； 入侵檢測； 切比雪夫算法

中圖分類號：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2017）12-24-04

Intrusion detection in wireless sensor networks based on time series analysis

Zhang Lei， Cai Yongxin， Chen Chao

（Zhejiang Police College， Hangzhou， Zhejiang 310053， China）

Abstract： With the continuous development of wireless sensor network technology， the logical information world and the objective physical world are fused together. Due to the instability of the working environment of wireless sensor networks， the security problem has become a new round of public security challenges. In order to prevent wireless sensor networks from being maliciously destroyed， relying only on its own security mechanism is not enough to cope with the complex security environment. Therefore， this paper studies the intrusion detection methods for wireless sensor networks according to the time series of packets. The time series algorithm is used to detect the intrusion data， and the Chebyshev algorithm is used to verify the outlier time series， so as to achieve the purpose of intrusion detection in wireless sensor networks； NS2 simulation technology is used to model and analyze the ZigBee sensor vulnerability， and the validity to detect the malicious intrusion is verified through the data packet time series analysis， and the expected results are achieved.

Key words： wireless sensor networks （WSN）； time series； intrusion detection； Chebyshev algorithm

0 引言

無線傳感器網(wǎng)絡(luò)[1]（Wireless Sensor Networks， WSN）是一種分布式傳感網(wǎng)絡(luò)，它的末梢是可以感知外部世界的無線傳感器。在其監(jiān)測區(qū)域內(nèi)，部署著大量靜止或移動的傳感節(jié)點，形成一個多跳的自組網(wǎng)絡(luò)系統(tǒng)。無線傳感器之間通過IEEE802.15.4協(xié)議進行通信，對感知數(shù)據(jù)進行采集、傳輸和處理等工作。在安全性方面，無線傳感器網(wǎng)絡(luò)具有規(guī)模大、自組織、動態(tài)性、能量有限，以及以數(shù)據(jù)為中心等特點。因此，其不僅包含了傳統(tǒng)的網(wǎng)絡(luò)安全問題，更增加其自帶的許多安全問題，比如：蟲洞攻擊、黑洞攻擊、女巫攻擊、選擇性轉(zhuǎn)發(fā)攻擊、HELLO泛洪攻擊、欺騙性確認(rèn)攻擊、虛假路由攻擊等。這些針對無線傳感器網(wǎng)絡(luò)的入侵行為不僅對網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的真實性造成影響，還會導(dǎo)致整個無線傳感器網(wǎng)絡(luò)癱瘓，造成無可挽回的損失。在安全事件的預(yù)防技術(shù)方面，無線傳感器網(wǎng)絡(luò)有健全的數(shù)據(jù)傳輸加密機制[2]和身份認(rèn)證機制[3]，這些技術(shù)能夠降低無線傳感器網(wǎng)絡(luò)被入侵的風(fēng)險，但是不能夠完全阻止入侵事件的發(fā)生，僅依靠網(wǎng)絡(luò)的安全機制，還不足以達(dá)到預(yù)期的安全目標(biāo)。同時，這些不安全因素已經(jīng)嚴(yán)重阻礙無線傳感器網(wǎng)絡(luò)的普及和應(yīng)用。因此，無線傳感器網(wǎng)絡(luò)的入侵檢測技術(shù)受到領(lǐng)域內(nèi)研究人員的極大關(guān)注。通過入侵檢測彌補通過預(yù)防技術(shù)所不能解決的安全問題，為無線傳感器網(wǎng)絡(luò)提供實時的入侵檢測和安全防護。

一個有效的入侵檢測系統(tǒng)需要具有簡單性、實時性和檢測有效性這三個特性。目前無線傳感器網(wǎng)絡(luò)的入侵檢測主要方法有：基于多代理的入侵檢測方法、基于機器學(xué)習(xí)的入侵檢測方法和基于網(wǎng)絡(luò)流量的入侵檢測方法等。在文獻(xiàn)[5]中王培等人通過讓節(jié)點和簇頭執(zhí)行不同檢測任務(wù)，結(jié)合本地檢測和聯(lián)合檢測技術(shù)，使用多個代理模塊實現(xiàn)數(shù)據(jù)的收集、入侵響應(yīng)、分析檢測和代理管理等任務(wù)，提出一種基于多代理的入侵檢測方法。文獻(xiàn)[6]中作者通過對鄰居節(jié)點監(jiān)聽信標(biāo)包，基于免疫遺傳算法提取作為抗原的關(guān)鍵參數(shù)，通過抗原數(shù)量與閾值相比較，提出基于免疫遺傳算法的入侵檢測方法。文獻(xiàn)[7]中作者通過SVM（Support Vector Machine）對入侵?jǐn)?shù)據(jù)進行健壯性分類，提出基于支持向量機的入侵檢測方法。以上檢測方法通過實驗檢測，均能夠?qū)θ肭中袨檫M行較為準(zhǔn)確的檢測。但是這些檢測方法存在以下兩點缺陷：①能耗問題，使用代理功能造成較大的能量消耗；②基于機器學(xué)習(xí)、數(shù)據(jù)挖掘等方法的檢測技術(shù)存在著樣本需求量大、訓(xùn)練所需時間長等缺點。

針對上述入侵檢測方法所存在的缺陷，本文提出一種基于時間序列分析的無線傳感器網(wǎng)絡(luò)入侵檢測方法。該方法通過sink節(jié)點監(jiān)聽所有子節(jié)點的行為模式，以無線傳感器網(wǎng)絡(luò)內(nèi)流量的實時數(shù)據(jù)為對象，分析數(shù)據(jù)包的時間序列。獲取數(shù)據(jù)包的接收率：檢測無線傳感器網(wǎng)絡(luò)中一段固定時間窗下數(shù)據(jù)包分組接收率。數(shù)據(jù)包到達(dá)時間間隔：從相同的源節(jié)點的兩個連續(xù)的數(shù)據(jù)包到達(dá)間隔時間。以正常狀態(tài)下，獲取時間序列參數(shù)值。計算出數(shù)據(jù)包接收率和數(shù)據(jù)包到達(dá)時間間隔的閾值，建立檢測模型。將無線傳感器網(wǎng)絡(luò)中新數(shù)據(jù)與檢測模型進行分析，如果與模型不一致，則發(fā)出入侵警報。最后，在仿真網(wǎng)絡(luò)環(huán)境來驗證該算法的有效性。

1 入侵檢測模型

本文提出的基于時間序列分析的入侵檢測算法是一種高效率的、輕量的、連續(xù)而且實時的入侵檢測算法。通過sink節(jié)點對無線傳感器網(wǎng)絡(luò)流量進行實時監(jiān)測，不需要額外的硬件設(shè)施和通信費用，避免采用代理功能等方式所需要消耗的大量資源、能量，實現(xiàn)輕量的特性。對數(shù)據(jù)包的時間序列，分析子節(jié)點的行為模式，在一定時間窗下測量數(shù)據(jù)包接收率和數(shù)據(jù)包間的時間間隔，建立檢測模型，判斷是否存在入侵行為。該方式彌補基于機器學(xué)習(xí)、數(shù)據(jù)挖掘等方法存在的過度依賴訓(xùn)練庫、訓(xùn)練時間長等缺陷。所設(shè)計的基于時間序列分析的入侵檢測模型，如圖1所示。

該模型結(jié)合特征檢測和統(tǒng)計檢測方法。根據(jù)入侵檢測的實時數(shù)據(jù)，建立實時特征庫，通過特征數(shù)據(jù)庫對數(shù)據(jù)進行碰撞，提高檢測的準(zhǔn)確性和檢測效率。對未知數(shù)據(jù)采用時間序列分析，時間序列分析算法能夠?qū)崟r的、準(zhǔn)確的對入侵行為進行檢測。并且對入侵行為和非入侵行為分別進行記錄，可發(fā)現(xiàn)后續(xù)的檢測效率會不斷的提高。

2 時間序列分析算法

時間序列是按照時間順序收集到的一組監(jiān)測數(shù)據(jù)。記錄第i時刻的監(jiān)測數(shù)據(jù)為x（i），則x（1），x（2），x（3），x（4），x（5）…x（i）…就是一個時間序列。假設(shè)對無線傳感器網(wǎng)絡(luò)的某一節(jié)點的時間序列進行K次檢測，每次檢測為一個運行周期，將運行周期劃分為l個時段，用x（i，j）表示第i次檢測時第j和時段內(nèi)事件（數(shù)據(jù)包到達(dá)的時間間隔或數(shù)據(jù)包的接收率）。M（j）表示在第j個時段內(nèi)該時間發(fā)生的平均次數(shù)，則有：

當(dāng)進行K+1次檢測后，將M（j）作為第j時間段內(nèi)事件（數(shù)據(jù)包到達(dá)的時間間隔或數(shù)據(jù)包的接收率發(fā)生次數(shù)）的期望值。用x（K+1，j）表示第j時間段內(nèi)事件的實際發(fā)生次數(shù)，可以獲取他們的相對偏差為：

根據(jù)時間段j建立時間模型，設(shè)立閾值δ，當(dāng)?shù)南鄬ζ顉（j）≧δ1，即可判定在j時間段內(nèi)可能發(fā)生入侵事件。

文獻(xiàn)[10]中作者提出一種通過切比雪夫多項式對無線傳感器網(wǎng)絡(luò)的時間序列進行分析獲取網(wǎng)絡(luò)中的離群時間序列。在為無線傳感器網(wǎng)絡(luò)Y中設(shè)置參數(shù)，D：部署區(qū)域；A：傳感節(jié)點的集合；m：傳感器節(jié)點采集到數(shù)據(jù)長度，d：傳感器節(jié)點采集到數(shù)據(jù)維度；W：時間窗口；ω：滑動窗口（ω<

時間序列的切比雪夫系數(shù)：

相似序列：對于兩個時間序列S，R，此兩個時間序列的切比雪夫系數(shù)向量分別為C，D。若Discby（C，D）<ε， 則稱時間序列S和R相似。對于一個時間序列S，如果歷史數(shù)據(jù)窗口中，與之相似的時間序列（記為similar（S，R））數(shù)量小于一定的比例，那么時間序列S稱為離群時間序列即

在式⑷中，R為與S相似的時間序列，H為時間窗口W中的歷史數(shù)據(jù)窗口。

3 入侵檢測算法

根據(jù)第1部分基于時間序列分析的無線傳感器網(wǎng)絡(luò)入侵檢測模型，通過對無線傳感器網(wǎng)絡(luò)進行流量分析，以時間序列中數(shù)據(jù)包到達(dá)的時間間隔和數(shù)據(jù)包的接收率的值為數(shù)據(jù)特征，判斷是否存在入侵行為。入侵檢測模塊中采用時間序列分析算法作為檢測算法，采用切比雪夫算法作為行為預(yù)測的核心算法。入侵檢測算法描述如下：

抽取時間段j網(wǎng)絡(luò)流量進行檢測；z（j）為j時間段內(nèi)的相對偏差；t為在正常行為庫中多個時間序列；δ1為通過時間序列檢測模型建立的閾值；S為在j時間段內(nèi)數(shù)據(jù)包的時間序列；δ2為通過切比雪夫算法運算后，時間序列相似序列閾值；具體流程如圖2所示。

通過監(jiān)測并采集網(wǎng)絡(luò)流量，對無線傳感器網(wǎng)絡(luò)進行入侵檢測。通過抽取正常行為庫中多個時刻的時間序列，建立檢測模型、設(shè)定閾值δ1。時間序列的相對偏差z（j），當(dāng)z（j）<δ1時表示該測量時間序列在正常范圍內(nèi)發(fā)送至正常行為庫，通過決策模塊對正常數(shù)據(jù)放行。當(dāng)z（j）≧δ1時，j時間段內(nèi)的時間序列存在偏差數(shù)據(jù)，可能存在入侵行為。再通過切比雪夫算法進行分析，判斷時間段j內(nèi)是否存在離群時間序列S，閾值δ2如果時間序列S≧δ2，則返回再次進行相對偏差分析。如果時間序列S<δ2，即時間序列S為離群時間序列，將數(shù)據(jù)錄入到入侵行為庫，并且將數(shù)據(jù)發(fā)送至決策模塊，對入侵行為進行警報。

4 仿真實驗

4.1 背景介紹

仿真模擬實驗基于模擬CVE-2016-2398，Comcast Xfinity家庭安全系統(tǒng)缺陷，使得攻擊者可以通過干擾ZigBee 2.4GHz傳輸，破壞傳感器正常運行。使用NS2（Network Simulator version 2）仿真，模擬Xfinity智能家庭安全系統(tǒng)的漏洞的無線傳感器網(wǎng)絡(luò)通信。通過對無線傳感器網(wǎng)絡(luò)進行流量監(jiān)聽，分析網(wǎng)絡(luò)內(nèi)IP數(shù)據(jù)包到達(dá)各節(jié)點的時間序列，驗證數(shù)據(jù)的真實性和完整性，檢測出該惡意入侵行為。在該仿真實驗中無線傳感器節(jié)點分布如圖3所示；系統(tǒng)參數(shù)配置如表1所示。

4.2 測試參數(shù)配置

本次仿真實驗，通過干擾無線傳感器網(wǎng)絡(luò)node6節(jié)點的2.4GHz信道，造成信道擁塞。使node6節(jié)點間不能夠與網(wǎng)絡(luò)正常通信，造成錯誤的數(shù)據(jù)包時間序列。

4.3 實驗結(jié)果

如圖4所示，為正常狀態(tài)下在某一時間段內(nèi)IP數(shù)據(jù)包時間序列和入侵狀態(tài)下在同一時間段內(nèi)IP數(shù)據(jù)包時間序列。在這種情況下，通過計算無線傳感器網(wǎng)絡(luò)中的數(shù)據(jù)包接收率和到達(dá)時間間隔，對比在相同時間段內(nèi)兩組數(shù)據(jù)的值。結(jié)果顯而易見，入侵行為與正常行為存在明顯偏差。這種情況下，將正常狀態(tài)下的數(shù)據(jù)包接收率和到達(dá)時間間隔進行統(tǒng)計建模，得出時間序列閾值，再與入侵狀態(tài)下的時間序列進行相對偏差比較。就能夠準(zhǔn)確的檢測出入侵行為，檢測準(zhǔn)確率能達(dá)到95%以上。從檢測統(tǒng)計結(jié)果中可知，使用該算法能夠根據(jù)實時數(shù)據(jù)很好地檢測出入侵行為，有較高的準(zhǔn)確率以及較低的錯誤率和漏檢率。

5 結(jié)束語

本文提出的基于時間序列分析的實時入侵檢測方法，以無線傳感器網(wǎng)絡(luò)中的流量作為對象，測量時間序列。采用時間序列相對偏差計算、切比雪夫算法對網(wǎng)絡(luò)中流量進行分析，判斷時間序列中存在的離群數(shù)據(jù)，進而對入侵行為進行準(zhǔn)確辨認(rèn)。在仿真環(huán)境下對該算法進行測試，對入侵行為檢測有較高的準(zhǔn)確率，對無線傳感器網(wǎng)絡(luò)的入侵檢測具有實際作用。

參考文獻(xiàn)（References）：

[1] 孫利民.無線傳感器網(wǎng)絡(luò)[M].清華大學(xué)出版社，2005.

[2] 包榮鑫，溫靖程，黎子熠等.無線傳感器網(wǎng)絡(luò)傳輸加密機制[J].

中國新通信，2015.18：66-66

[3] 趙玉華，李志剛，李志民等.無線傳感器網(wǎng)絡(luò)用戶認(rèn)證技術(shù)綜

述[J].計算機測量與控制，2009.17（12）：2348-2351

[4] 濮青.入侵檢測系統(tǒng)面臨問題與發(fā)展趨勢研究[J].計算機工

程與設(shè)計，2004.25（1）：55-57

[5] 王培，周賢偉，覃伯平等.基于多代理的無線傳感器網(wǎng)絡(luò)入侵

檢測系統(tǒng)研究[J].傳感技術(shù)學(xué)報，2007.20（3）：677-681

[6] Liu Y， Yu F. Immunity-based intrusion detection for

wireless sensor networks[C]//IEEE International Joint Conference on Neural Networks. IEEE，2008：439-444

[7] Tian J， Gao M， Zhou S. Wireless sensor network for

community intrusion detection system based on classify support vector machine[C]//International Conference on Information and Automation.IEEE，2009：1217-1221

[8] 鐘敦昊，張冬梅，張玉.一種基于相似度計算的無線傳感器網(wǎng)

絡(luò)入侵檢測方法[J].信息網(wǎng)絡(luò)安全，2016.2：22-27

[9] 韓志杰，張瑋瑋，陳志國.基于Markov的無線傳感器網(wǎng)絡(luò)入侵

檢測機制[J].計算機工程與科學(xué)，2010.32（9）：27-29

[10] 唐琪，劉學(xué)軍.無線傳感器網(wǎng)絡(luò)離群時間序列檢測研究[J].傳

感技術(shù)學(xué)報，2013.26（1）：95-99