鄧小明

摘要：本文基于Zigbee無線協(xié)議，搭建了7個節(jié)點的樹形無線傳感網(wǎng)絡拓撲，通過隱馬爾科夫HMM模型的Baum-Welch算法迭代訓練正常網(wǎng)絡的模型。選取“節(jié)點通信頻度”、“節(jié)點通信擁擠度”、“數(shù)據(jù)傳輸方式”序列組合作為入侵特征識別點，實驗表明，在仿真環(huán)境下，以10個連續(xù)數(shù)據(jù)幀作為一個單元，特征識別點選擇閾值為4，系統(tǒng)能很好的區(qū)分正常網(wǎng)絡和入侵網(wǎng)絡，具有較好的檢測效果。

關鍵詞：無線傳感網(wǎng)；隱馬爾科夫HMM模型；入侵檢測系統(tǒng)

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2018）06-0193-03

隨著傳感技術、無線網(wǎng)絡技術的快速發(fā)展，無線傳感器網(wǎng)絡被廣泛應用于軍事、環(huán)境檢測、工業(yè)、醫(yī)療和智能家居，安全性是網(wǎng)絡發(fā)展的關鍵性問題之一，無線傳感網(wǎng)絡安全領域主要解決可用性問題、機密性問題、完整性問題、新鮮性問題和節(jié)點的認證問題[1]。由于無線傳感網(wǎng)絡固有的特性，如資源有限、節(jié)點容易捕獲、信號的開放傳輸?shù)热菀自馐芄?，無線Ad Hoc中的安全技術無法移植到無線傳感器網(wǎng)絡中，現(xiàn)有的安全技術仍然存在較大局限，因此需要深入而系統(tǒng)的進行研究。

1 無線傳感網(wǎng)絡面臨的威脅

無線傳感器網(wǎng)絡的諸多特點也導致了保證無線傳感器網(wǎng)絡的安全性成為一個困難的問題。目前傳感器網(wǎng)絡在網(wǎng)絡協(xié)議棧的四個層次中可能受到的攻擊方法和防御手段[2]如表1所示。

2 無線傳感網(wǎng)絡安全技術綜述

對于目前絕大部分的安全策略，都沒有從本質上考慮網(wǎng)絡的攻擊與防御關系，造成網(wǎng)絡的防御總是落后于攻擊，或者在防御的效果和響應的時間上達不到理想的效果。為了實現(xiàn)WSN的網(wǎng)絡通信和數(shù)據(jù)信息安全，需要針對WSN面臨的安全威脅及攻擊手段，采取對應的安全防護技術，目前針對無線傳感網(wǎng)絡的主流安全技術如下：

2.1 安全協(xié)議

安全協(xié)議的目的在于能夠在協(xié)議的框架下，實現(xiàn)數(shù)據(jù)機密性、完整性和數(shù)據(jù)新鮮性，并盡可能的提高通信的安全性并降低通信過程中傳輸?shù)拈_銷。彭磊、畢亞雷、曾家智[3]在“面向服務的無線傳感器網(wǎng)絡協(xié)議架構”中提出了基于任務，網(wǎng)絡，區(qū)域，傳感器節(jié)點，節(jié)點相關能力的無線傳感器網(wǎng)絡架構；魯琛[4]等在“桃園中無線傳感網(wǎng)絡通信協(xié)議改進設計”中提出改進泛洪時間同步協(xié)議，達到降低同步時間誤差；范秋生[5]在“基于相鄰節(jié)點協(xié)作的無線傳感器網(wǎng)絡安全協(xié)議”文中對密鑰分發(fā)的網(wǎng)絡安全協(xié)議進行了探討。這些安全協(xié)議的研究對網(wǎng)絡安全協(xié)議的框架進行了總體分析和探討，也取得了較好的安全效果。但總體而言，安全協(xié)議的實現(xiàn)難度較大。

2.2 信息加密，密鑰管理和訪問控制及身份認證

信息加密，密鑰管理和訪問控制及身份認證的技術針對節(jié)點與節(jié)點之間通信鏈路上的通信數(shù)據(jù)進行加密，對用戶的合法身份和訪問權限進行認證。秘鑰體系中，主要有對稱秘鑰密碼體系和非對稱秘鑰密碼體系兩種。梅園[6]在“無線傳感網(wǎng)絡加密通信優(yōu)化算法的研究與仿真”中提出了一種提出了一種小區(qū)域共享密鑰的無線傳感網(wǎng)絡安全通信策略；蘇兵、王徐[7]等在“基于混淆的無線傳感網(wǎng)絡密鑰管理機制”文中應用了混淆的多重加密方法，信息加密技術、秘鑰分發(fā)機制研究和訪問控制這些手段都能夠有效的防范常見的網(wǎng)絡攻擊。但加密中涉及額外的算法和程序會更多的消耗節(jié)點的能源和增大網(wǎng)絡中的數(shù)據(jù)量。

2.3 擴頻和跳頻

在無線傳感網(wǎng)絡中，任意兩個節(jié)點間都使用不同的頻率信號進行通信，可以增加通信的信道數(shù)量，可以有效避免傳輸過程中發(fā)生碰撞的概率。付亞飛[8]在“基于SX1276的擴頻無線聯(lián)網(wǎng)信息采集系統(tǒng)”文中無線組網(wǎng)采用Rime協(xié)議棧使用擴頻和跳頻技術進行了設計和實現(xiàn)。擴頻和跳頻在防御方式上屬于被動防御技術，增加的信道使整個網(wǎng)絡在實現(xiàn)上復雜度增加。

2.4 安全路由

無線傳感網(wǎng)絡中，節(jié)點、基站和網(wǎng)關相互之間進行通信的過程中，都必須使用路由協(xié)議，安全路由技術的使用主要是為了防止在節(jié)點、基站和網(wǎng)關的數(shù)據(jù)在傳輸?shù)倪^程中發(fā)生泄露，吳銀鋒[9]等在“基于節(jié)點信任值的無線傳感器網(wǎng)絡安全路由”提出了一種基于節(jié)點信任值的層次型路由算法以提高無線傳感器網(wǎng)絡數(shù)據(jù)傳輸過程中的路由安全；段俊奇[10]在“無線傳感器網(wǎng)絡信任管理關鍵技術研究”中對提出的具有高擴展性和靈活性的信任管理系統(tǒng)架構進行了設計和實現(xiàn)。安全路由的使用必然使用一定復雜度的加密算法，加密算法的使用會造成控制信息過多，為了保證數(shù)據(jù)的完整性還要考慮數(shù)據(jù)重傳，增加了額外的計算量，對能源消耗和數(shù)據(jù)量增加都有一定影響。

2.5 入侵檢測

入侵檢測技術的使用，可以有效的預防單個或者部分節(jié)點被惡意捕獲，并被植入惡意程序，變成攻擊潛伏節(jié)點，導致網(wǎng)絡發(fā)生信息泄露或者導致網(wǎng)絡中斷等危險情況，張勇[11]等在“基于SDN架構的WSN入侵檢測技術”中提出將自防御網(wǎng)絡技術與入侵檢測技術相結合，提出了一種有效入侵檢測方案。入侵檢測技術在防御策略上屬于主動防御，且在部署方式上較為靈活。

3 無線傳感網(wǎng)絡入侵檢測系統(tǒng)設計

3.1 框架設計

WSN入侵檢測系統(tǒng)分為五個部分。由無線傳感網(wǎng)絡模塊、網(wǎng)絡嗅探器模塊、檢測服務器和警報器模塊和惡意入侵的節(jié)點模塊組成，入侵檢測系統(tǒng)的結構框圖見圖1所示。

在WSN入侵檢測系統(tǒng)框架中，設置一個協(xié)調器、多個路由器和終端節(jié)點，網(wǎng)絡拓撲結構為樹狀，HMM入侵檢測系統(tǒng)工作流程如下：

（1）網(wǎng)絡中的嗅探器通過捕獲流經(jīng)無線傳感網(wǎng)中的所有的數(shù)據(jù)包，并將數(shù)據(jù)包送入入侵檢測服務器。

（2）檢測服務器通過提取檢測特征點，組成特征序列，通過HMM算法建立正常網(wǎng)絡數(shù)據(jù)概率模型。

（3）設定入侵檢測閾值。

（4）進行入侵檢測并對入侵檢測行為進行記錄和后續(xù)處理。

3.2 檢測特征點設計

在WSN網(wǎng)絡入侵檢測系統(tǒng)中，特征點的選取關系到入侵檢測效果的好壞，通過分析無線傳感網(wǎng)絡數(shù)據(jù)幀的特點，這里選取“節(jié)點通信頻度”、“節(jié)點通信擁擠度”和“傳輸方式”三種反應無線傳感網(wǎng)絡的特征組合起來作為入侵特征識別點：

（1）節(jié)點通信頻度。節(jié)點通信頻度反應了各節(jié)點數(shù)據(jù)通信頻度分布程度。通過提取網(wǎng)絡層數(shù)據(jù)幀首部的目的地址和源地址進行統(tǒng)計計算（以5個節(jié)點為例），設定N[i]用來存儲5個節(jié)點收數(shù)據(jù)和發(fā)數(shù)據(jù)的次數(shù)，其中1≤i≤5，節(jié)點通信頻度公式為：

其中ó表示節(jié)點通信頻度。如果ó的計算數(shù)值較大，則表示在通信過程中，數(shù)據(jù)傳輸分散，只有極少數(shù)的節(jié)點參與了通信；如果ó比較小，則表示各節(jié)點在網(wǎng)絡中各節(jié)點的通信的頻度比較平均。

（2）節(jié)點通信擁擠度。節(jié)點通信擁擠度表示通信節(jié)點間是否存在干路。節(jié)點通信擁擠度較高，說明存在干路，節(jié)點通信擁擠度低，說明傳輸比較平均。由于數(shù)據(jù)幀在路由過程中，MAC層的目的地址和源地址在傳輸中需要更換地址，信息將反映傳輸?shù)穆窂剑ㄒ?個節(jié)點為例），統(tǒng)計數(shù)據(jù)在無線網(wǎng)絡節(jié)點經(jīng)過的次數(shù)，節(jié)點擁擠度公式為：

其中ó的大小表示節(jié)點通信擁擠度，ó較大，說明存在干路，ó較小，則沒有干路存在。

（3）數(shù)據(jù)傳輸方式。無線傳感網(wǎng)絡的數(shù)據(jù)傳輸方式在一定程度上反應了節(jié)點間數(shù)據(jù)通信的狀態(tài)，如節(jié)點間出現(xiàn)大量的廣播數(shù)據(jù)包，導致網(wǎng)絡延遲或通信中斷，廣播傳輸就成為了典型特征。網(wǎng)絡層控制域幀類型子域中，00表示數(shù)據(jù)幀，01表示命令幀。而在交付模式中，00表示單播，01表示間接尋址，10表示廣播。

3.3 檢測序列表設計

對三種類型的入侵特征識別點進行組合，組合后的網(wǎng)絡狀態(tài)和特征序列值呈現(xiàn)一一對應。網(wǎng)絡狀態(tài)的特征序列值表如表2所示。

4 實驗及數(shù)據(jù)分析

4.1 硬件環(huán)境

實驗的無線傳感網(wǎng)絡硬件采用7個節(jié)點，節(jié)點硬件體系結構支持Zigbee協(xié)議，網(wǎng)絡拓撲結構為樹形，7個節(jié)點中包含1個協(xié)調器，2個路由器和2個終端節(jié)點，另外部署1個嗅探節(jié)點和1個攻擊節(jié)點，節(jié)點預先寫入自組網(wǎng)通信程序及攻擊代碼。

4.2 軟件環(huán)境

（1）Matlab 2016a中嵌入HMM中的Baum-Welch算法，嗅探節(jié)點捕獲數(shù)據(jù)包產(chǎn)生觀測序列，并作為觀測序列的第一部分數(shù)據(jù)。

（2）按照“節(jié)點通信頻度”、“節(jié)點通信擁擠度”、“數(shù)據(jù)傳輸方式”提取相應位構造序列表，以10個連續(xù)數(shù)據(jù)幀作為一個單元。

（3）節(jié)點通信頻度和節(jié)點通信擁擠度極限區(qū)間中選擇閾值為4。

（4）攻擊節(jié)點發(fā)出攻擊數(shù)據(jù)，嗅探節(jié)點捕獲數(shù)據(jù)包產(chǎn)生觀測序列，并作為觀測序列的第二部分數(shù)據(jù)。

（5）分兩個部分導入到Matlab軟件中進行概率計算。第一部分數(shù)據(jù)是訓練模型用過的觀測序列，第二部分數(shù)據(jù)是模型中攻擊發(fā)生后產(chǎn)生的觀測序列，在HMM的Forward-Backward算法中進行計算，得出匹配概率值。

4.3 實驗結果及分析

第一部分正常觀測序列時正常網(wǎng)絡輸出時序概率匹配圖和入侵發(fā)生后輸出時序概率匹配圖見圖2、3所示（匹配概率用自然對數(shù)進行處理）。

從圖2可以看出，正常網(wǎng)絡時序在0-6秒出現(xiàn)波動，主要是因為自組網(wǎng)在進行網(wǎng)絡初始化期間的通信數(shù)據(jù)量波動較大，在網(wǎng)絡建立后，節(jié)點通信頻度、節(jié)點通信擁擠度較低，網(wǎng)絡通信的曲線波動在較小范圍內。圖3中，在第31秒左右，網(wǎng)絡通信量突增，與正常網(wǎng)絡相比，匹配概率值急劇下降，網(wǎng)絡曲線發(fā)現(xiàn)較大波動，表示網(wǎng)絡受到攻擊。

5 結語

本文通過建立樹形拓撲，在基于Zigbee協(xié)議的無線傳感網(wǎng)中，通過選取“節(jié)點通信頻度、節(jié)點通信擁擠度、數(shù)據(jù)傳輸方式作為特征點，以10個連續(xù)網(wǎng)絡通信的曲線波動在較小范圍內。數(shù)據(jù)幀作為單元，在閾值為4的情況下，系統(tǒng)能夠很好的對正常網(wǎng)絡和入侵行為進行判定，具有較好的檢測效果。

參考文獻

[1]譚志剛.無線傳感器網(wǎng)絡密鑰管理與安全認證技術研究[D].南京郵電大學，2013.

[2]Wood A D，Stankovic J A.Denial of service in sensor networks[J].IEEE Computer，2002，35（10）：54-62.

[3]彭磊，畢亞雷，曾家智.面向服務的無線傳感器網(wǎng)絡協(xié)議架構[J].計算機工程與應用，2009，45（5）：104-107.

[4]魯琛，屈穩(wěn)太，楊祥龍，王春龍，曹泓，賈生堯.桃園中無線傳感網(wǎng)絡通信協(xié)議改進設計[J].農業(yè)機械學報，2014，（7）：260-265.

[5]范秋生.基于相鄰節(jié)點協(xié)作的無線傳感器網(wǎng)絡安全協(xié)議[J].大學物理，2017，（9）：57-61.

[6]梅園.無線傳感網(wǎng)絡加密通信優(yōu)化算法的研究與仿真[J].計算機仿真，2012，（7）：195-198.

[7]蘇兵，王徐，吳沖.基于混淆的無線傳感網(wǎng)絡密鑰管理機制[J].化工自動化及儀表，2014，4（41）：402-433.

[8]付亞飛.基于SX1276的擴頻無線聯(lián)網(wǎng)信息采集系統(tǒng)[D].石家莊鐵道大學，2016.

[9]吳銀鋒，周翔，馮仁劍，萬江文，許小豐.基于節(jié)點信任值的無線傳感器網(wǎng)絡安全路由[J].儀器儀表學報，2012，33（1）：221-228.

[10]段俊奇.無線傳感器網(wǎng)絡信任管理關鍵技術研究[D].北京交通大學，2014.

[11]張勇，姬生生，王閎毅.基于SDN架構的WSN入侵檢測技術[J].河南大學學報（自然科學版），2015，45（2）：211-216.

Abstract：The intrusion-detection systems of Wireless senser network construct senven nodes based on Zigbee protocol，Through train the normal network model by Baum-Welch iteration of Hidden Markov chain. Select the " Node communication frequency "， "Route congestion level"， "data transmission mode" as the point of Features， Experiments show that， In the simulation environment， Using 10 consecutive data frames as a unit， Select 4 as threshold value， The system can distinguish better in normal network and intrusion network， The results show that the new detection is effective in wireless sensor network in Intrusion-detection System.

Key words：wireless senser network；hidden markov model；the intrusion-detection systems