羅富財(cái)，吳飛，陳倩，何金棟，寇亮

(1.國網(wǎng)福建省電力有限公司 信息中心，福建 福州 350003； 2.哈爾濱工程大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，黑龍江 哈爾濱 150001)

近年來，隨著傳感器、無線射頻識別標(biāo)簽(RFID)以及機(jī)器對機(jī)器(machine-to-machine, M2M)等相關(guān)技術(shù)的快速發(fā)展，對可穿戴設(shè)備等應(yīng)用領(lǐng)域需求的提高，物聯(lián)網(wǎng)(internet of things, IOT)己經(jīng)成為當(dāng)今學(xué)術(shù)研究領(lǐng)域和工業(yè)制造領(lǐng)域的一項(xiàng)熱門技術(shù)，并在未來新型互聯(lián)網(wǎng)世界中占有重要地位[1]。自2005年國際電信聯(lián)盟正式提出物聯(lián)網(wǎng)概念以來，物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅猛，目前被廣泛應(yīng)用于環(huán)境監(jiān)測與保護(hù)、智能交通、移動(dòng)醫(yī)療、食品安全和物流供應(yīng)鏈管理等諸多領(lǐng)域。根據(jù)Statistic門戶網(wǎng)站最新統(tǒng)計(jì)數(shù)據(jù)，2017年物聯(lián)網(wǎng)的互聯(lián)設(shè)備數(shù)量約為203.5億，預(yù)計(jì)2020年增長至307.3億，市場規(guī)模將達(dá)7.1萬億美元。

WSNs作為物聯(lián)網(wǎng)參與信息感知的重要組成部分發(fā)揮著越來越重要的作用。WSNs是一種分布式無線網(wǎng)絡(luò)，由部署在感知區(qū)域的數(shù)量龐大的低功耗傳感器節(jié)點(diǎn)通過無線通信鏈路通信所構(gòu)成。傳感器節(jié)點(diǎn)是一種微型計(jì)算單元，具有存儲容量小，計(jì)算能力有限和電池供能等特點(diǎn)。由于無線網(wǎng)絡(luò)的開放性以及傳感器節(jié)點(diǎn)自身的限制，WSNs面臨著多種多樣的安全威脅。引入密鑰管理和身份認(rèn)證機(jī)制作為保護(hù)WSNs的第一道防線，可以有效防御來自WSNs外部的攻擊。然而，攻擊者通過捕獲節(jié)點(diǎn)可以獲得節(jié)點(diǎn)內(nèi)部的秘密消息，進(jìn)而發(fā)動(dòng)內(nèi)部攻擊。第一道防線無法抵抗WSNs的內(nèi)部攻擊。入侵檢測技術(shù)作為安全防御的第二道防線能夠從根源上發(fā)現(xiàn)安全威脅，降低攻擊帶來的損失。由于WSNs的局限性，傳統(tǒng)的入侵檢測技術(shù)不能直接應(yīng)用于WSNs環(huán)境中。研究一種適合WSNs入侵檢測技術(shù)成為研究熱點(diǎn)，引起了國內(nèi)外專家學(xué)者的廣泛關(guān)注。

根據(jù)檢測入侵的實(shí)現(xiàn)細(xì)節(jié)可以將入侵檢測系統(tǒng)分為基于特征的入侵檢測技術(shù)和基于異常的特征檢測技術(shù)[2]?；谔卣鞯娜肭謾z測技術(shù)使用一組預(yù)定義惡意行為模式和攻擊特征進(jìn)行入侵檢測，而基于異常的入侵檢測系統(tǒng)使用異于正常的行為作為特征檢測入侵行為[3]。WSNs應(yīng)用場景多種多樣，基于預(yù)定義攻擊特征的入侵檢測是不切實(shí)際的，基于異常的入侵檢測系統(tǒng)能夠在缺少預(yù)定義攻擊特征的前提下檢測未知攻擊。基于異常的入侵檢測系統(tǒng)主要包括：基于統(tǒng)計(jì)學(xué)的入侵檢測技術(shù)和基于機(jī)器學(xué)習(xí)的入侵檢測技術(shù)。

張玲等[4]引入粗糙集方法對基于人工免疫的入侵檢測模型進(jìn)行改進(jìn)，將異常檢測和誤用檢測有機(jī)結(jié)合，提出一種入侵檢測方法，該方法能夠在不終止入侵檢測行為的前提下實(shí)現(xiàn)疫苗的注入。粗糙集優(yōu)化了疫苗，進(jìn)而提高了入侵檢測方法的檢測性能。疫苗的注入有效降低了檢測器的長度，提高了檢測速度。然而，基于免疫的入侵檢測方法在訓(xùn)練初期存在檢測率低的問題。

杜輝等[5]提出一種K-means算法解決了聚類數(shù)目預(yù)先設(shè)定和算法陷入局部最優(yōu)的問題。該算法在樣本空間均勻地防止若干數(shù)目的探測器，使用萬有引力定律牽引探測器，當(dāng)探測器之間的距離足夠近時(shí)，進(jìn)行合并。算法最終包含的探測器的數(shù)目就是聚類中心的數(shù)目。但是該方法對樣本數(shù)據(jù)的離群點(diǎn)效果不佳，由于離群點(diǎn)與聚類中心距離較遠(yuǎn)，萬有引力產(chǎn)生的作用微乎其微。

為了解決數(shù)據(jù)量過大造成入侵檢測效率低的問題，江頡等[6]將自適應(yīng)AP算法于聚類算法相結(jié)合，提出自適應(yīng)AP聚類算法，并將其應(yīng)用于入侵檢測。該算法僅對基準(zhǔn)數(shù)據(jù)和距離聚類中心較遠(yuǎn)的樣本進(jìn)行聚類，其余樣本數(shù)據(jù)進(jìn)行直接關(guān)聯(lián)操作，減少了進(jìn)行聚類的樣本數(shù)量，降低了聚類的時(shí)間，同時(shí)根據(jù)關(guān)聯(lián)結(jié)果對模型不斷調(diào)整。數(shù)據(jù)壓縮提高了聚類的效率，但是不可避免地造成了精度的下降。

劉緒崇[7]針對傳統(tǒng)模糊C均值聚類算法的缺陷，提出一種改進(jìn)算法：采用Mercer核定義優(yōu)化FCM算法的目標(biāo)函數(shù)提高了FCM的尋優(yōu)能力，使用Lagrange乘子法分別計(jì)算聚類中心和隸屬度矩陣，提高了算法收斂的速度。但是該算法沒有解決不平衡聚類和噪聲點(diǎn)對聚類結(jié)果的影響。

許勐璠等[8]針對現(xiàn)有入侵檢測方法對未知類型攻擊檢測率低的問題，提出了基于半監(jiān)督學(xué)習(xí)和信息增益率的入侵檢測方案：訓(xùn)練階段，借助半監(jiān)督學(xué)習(xí)算法將少量標(biāo)記數(shù)據(jù)擴(kuò)展為大規(guī)模訓(xùn)練數(shù)據(jù)；檢測階段，借助信息增益率量化不同特征對檢測性能的影響，提高了模型對未知類型攻擊的識別能力。

任家東等[9]針對Probe(probing)，U2R(user to root)和R2L(remote to local)的檢測率比較低這一問題，提出一種混合多層次入侵檢測模型：首先，使用KNN剔除離群樣本數(shù)據(jù)，構(gòu)造一個(gè)質(zhì)量高且規(guī)模小的訓(xùn)練集；然后，針對不同類型的攻擊，提出一種類別劃分方法；最終構(gòu)建多層次隨機(jī)森林模型進(jìn)行網(wǎng)絡(luò)異常的檢測。實(shí)驗(yàn)表明該方法能夠提高Probe、U2R和R2L等網(wǎng)絡(luò)攻擊行為的檢測效果。

現(xiàn)有的入侵檢測方法取得一定成果的同時(shí)，存在一定的問題：針對已知攻擊類型的攻擊檢測率較高，但是未知類型的攻擊效果不佳；由于應(yīng)用場景的復(fù)雜多變，實(shí)際應(yīng)用中的入侵檢方案受到惡劣環(huán)境的影響存在誤報(bào)率偏高的現(xiàn)象；為了提高檢測率，一些入侵檢測算法引入復(fù)雜的數(shù)學(xué)模型，增加了計(jì)算復(fù)雜度，不適合資源受限的應(yīng)用場景。本文針對WSNs資源高度受限的特性，提出一種基于機(jī)器學(xué)習(xí)的WSNs入侵檢測方法，用來抵抗WSNs常見的攻擊行為。

1 WSNs網(wǎng)絡(luò)結(jié)構(gòu)及威脅模型

1.1 網(wǎng)絡(luò)結(jié)構(gòu)

本文的提出的入侵檢測方法基于3層WSNs網(wǎng)絡(luò)。網(wǎng)絡(luò)包含4種節(jié)點(diǎn)類型：傳感器節(jié)點(diǎn)部署在監(jiān)控區(qū)域，在組網(wǎng)初期根據(jù)分簇算法形成簇，負(fù)責(zé)采集監(jiān)控區(qū)域的狀態(tài)信息，形成感知數(shù)據(jù)并發(fā)送給簇頭節(jié)點(diǎn)；簇頭節(jié)點(diǎn)是每個(gè)簇的管理者負(fù)責(zé)將傳感器節(jié)點(diǎn)采集的感知數(shù)據(jù)進(jìn)行數(shù)據(jù)聚合發(fā)送給傳輸節(jié)點(diǎn)；傳輸節(jié)點(diǎn)將數(shù)據(jù)以無線多跳的形式傳輸至匯聚節(jié)點(diǎn)；匯聚節(jié)點(diǎn)負(fù)責(zé)進(jìn)一步處理數(shù)據(jù)并呈現(xiàn)給用戶。網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 分層WSNs網(wǎng)絡(luò)模型Fig.1 Cluster-based WSNs network model

1.2 WSNs威脅模型

本文提出的入侵檢測方法主要針對黑洞攻擊、灰洞攻擊、洪泛攻擊和調(diào)度攻擊等類型的主動(dòng)攻擊行為，具體如下所示。

黑洞攻擊：攻擊節(jié)點(diǎn)在每個(gè)工作周期的開始階段將自己是簇頭節(jié)點(diǎn)的消息通過廣播的方式發(fā)送給其他節(jié)點(diǎn)。因此，一些節(jié)點(diǎn)會(huì)錯(cuò)誤地加入偽簇頭節(jié)點(diǎn)進(jìn)而將數(shù)據(jù)包發(fā)送給偽簇頭節(jié)點(diǎn)。真正的簇頭節(jié)點(diǎn)會(huì)將數(shù)據(jù)包轉(zhuǎn)發(fā)至基站，發(fā)起黑洞攻擊的偽簇頭節(jié)點(diǎn)會(huì)持續(xù)地丟棄數(shù)據(jù)包并不會(huì)轉(zhuǎn)發(fā)給基站。

灰洞攻擊：與黑洞攻擊相同的是，攻擊節(jié)點(diǎn)在每個(gè)工作周期的開始階段將自己是簇頭節(jié)點(diǎn)的消息通過廣播的方式發(fā)送給其他節(jié)點(diǎn)。一些節(jié)點(diǎn)會(huì)錯(cuò)誤地加入偽簇頭節(jié)點(diǎn)進(jìn)而將數(shù)據(jù)包發(fā)送給偽簇頭節(jié)點(diǎn)。與黑洞攻擊不同的是，發(fā)起灰洞攻擊的偽簇頭節(jié)點(diǎn)隨機(jī)丟棄數(shù)據(jù)包或者丟棄特定類型的數(shù)據(jù)包并阻止數(shù)據(jù)包轉(zhuǎn)發(fā)給基站。

洪泛攻擊：洪泛攻擊主要發(fā)送大量簇頭廣播消息占用大量網(wǎng)絡(luò)帶寬資源。感知節(jié)點(diǎn)收到大量的簇頭廣播消息不僅耗費(fèi)了感知層節(jié)點(diǎn)的能源供給，而且導(dǎo)致感知節(jié)點(diǎn)耗費(fèi)大量時(shí)間決定加入具體的簇頭節(jié)點(diǎn)。除此之外，攻擊節(jié)點(diǎn)會(huì)嘗試欺騙感知節(jié)點(diǎn)并偽裝成偽簇頭，令遠(yuǎn)距離感知節(jié)點(diǎn)加入自己導(dǎo)致其能源耗費(fèi)嚴(yán)重。

調(diào)度攻擊：調(diào)度攻擊發(fā)生在LEACH協(xié)議的初始化階段，簇頭節(jié)點(diǎn)實(shí)現(xiàn)分時(shí)復(fù)用調(diào)度策略為感知節(jié)點(diǎn)確定數(shù)據(jù)傳輸時(shí)間戳。攻擊者假裝簇頭節(jié)點(diǎn)，賦予所有感知節(jié)點(diǎn)相同的發(fā)送數(shù)據(jù)時(shí)間戳。攻擊者將廣播調(diào)度行為修改為單播調(diào)度行為，最終導(dǎo)致數(shù)據(jù)沖突進(jìn)而數(shù)據(jù)丟失。

2 基于機(jī)器學(xué)習(xí)的檢測算法

2.1 基于密度感知的初始數(shù)據(jù)集劃分算法

定義1樣本數(shù)據(jù)xi的局部密度表示為ρi：

(1)

式中：‖xi-xj‖表示xi和xj之間的歐式距離；dc為預(yù)定義的截?cái)嗑嚯x，通常為所有樣本截?cái)嗑嚯x的前1%～2%。局部密度ρi表示樣本數(shù)據(jù)xi之間距離小于dc的數(shù)據(jù)點(diǎn)個(gè)數(shù)。與樣本數(shù)據(jù)xi之間距離小于dc的數(shù)據(jù)點(diǎn)越多，密度值ρi越大。本文選擇連續(xù)型高斯核計(jì)算樣本數(shù)據(jù)的局部密度避免不同樣本數(shù)據(jù)的局部密度值相同。

定義2特征距離表示樣本數(shù)據(jù)xi與具有更高局部密度的樣本數(shù)據(jù)之間的最小距離：

(2)

式中：δi表示樣本數(shù)據(jù)xi與其他高密度樣本數(shù)據(jù)的最短距離。具有較大局部密度和較大特征距離的樣本數(shù)據(jù)成為聚類中心的可能性更大。

定義3直接鄰居q表示樣本數(shù)據(jù)p的直接鄰居定義為：

(3)

擁有最大密度的樣本數(shù)據(jù)xs沒有直接鄰居，這類樣本數(shù)據(jù)的特征距離為：

(4)

構(gòu)造有向無環(huán)圖(directed acycline graph，DAG)根據(jù)特征距離對數(shù)據(jù)集進(jìn)行劃分。DAG的頂點(diǎn)表示數(shù)據(jù)點(diǎn)，DAG的有向邊表示數(shù)據(jù)點(diǎn)之間的鄰居關(guān)系。需要注意一點(diǎn)，直接鄰居關(guān)系是不可逆的，如果數(shù)據(jù)點(diǎn)p的直接鄰居是數(shù)據(jù)點(diǎn)q，那么數(shù)據(jù)點(diǎn)q的直接鄰居不是數(shù)據(jù)點(diǎn)p。使用特征距離作為DAG有向邊的權(quán)重。特征距離可以有效描述數(shù)據(jù)分布密度，擁有較小特征距離的數(shù)據(jù)樣本與它的直接鄰居處在同一類內(nèi)，擁有較大特征距離的特征點(diǎn)與它的直接鄰居不在同一類內(nèi)。因此，經(jīng)過若干次迭代后，數(shù)據(jù)集劃分成若干臨時(shí)類，如圖2所示。

圖2 基于DAG的臨時(shí)類劃分Fig.2 Temporary class division based on DAG

采用同時(shí)具備較大局部密度和特征距離的點(diǎn)作為潛在聚類中心可以避免dc選取不當(dāng)導(dǎo)致特征距離大于dc的高局部密度數(shù)據(jù)無法正確聚類的問題。兼顧數(shù)據(jù)局部密度和特征距離二者的優(yōu)點(diǎn)，選取二者的乘積作為最終決定聚類中心的值，記為γ，其中γi=ρiδi。

1)根據(jù)公式γi=ρiδi計(jì)算臨時(shí)類聚類中心的γ，并將M個(gè)臨時(shí)類聚類中心按照γ降序排列；

2)根據(jù)γ選擇前C個(gè)臨時(shí)類的聚類中心作為模糊聚類的初始聚類中心；

3)將余下臨時(shí)類內(nèi)的樣本合并到其直接鄰居所在的前C個(gè)臨時(shí)類內(nèi)，完成臨時(shí)類的合并，形成數(shù)據(jù)集的初始劃分。

數(shù)據(jù)集初始劃分表示樣本數(shù)據(jù)經(jīng)過臨時(shí)類合并算法形成數(shù)據(jù)集的初始劃分，數(shù)據(jù)集初始劃分定義為FC×N=[f1,1,f2,1,…,fC,1;…;f1,N,f2,N,…,fC,N]。

其中C表示臨時(shí)類個(gè)數(shù)，N表示數(shù)據(jù)樣本的總個(gè)數(shù)。設(shè)數(shù)據(jù)集的初始劃分共包含C個(gè)子類，函數(shù)f滿足:

(5)

聚類中心一般處于數(shù)據(jù)點(diǎn)密度高的區(qū)域，處于高密度區(qū)域的數(shù)據(jù)點(diǎn)應(yīng)該在聚類中心更新時(shí)具備更大的權(quán)重，將局部數(shù)據(jù)密度引入模糊聚類的中心計(jì)算，聚類中心計(jì)算公式更新為:

(6)

將局部密度應(yīng)用于更新聚類中心，僅使用聚類中心相關(guān)的數(shù)據(jù)點(diǎn)進(jìn)行聚類中心更新的計(jì)算，能保證聚類中心總是處在高密度區(qū)域附近而非隨機(jī)移動(dòng)。由于聚類中心總是處在高密度區(qū)域，經(jīng)過較少的迭代次數(shù)目標(biāo)函數(shù)完成收斂，提高了算法的效率。

2.2 基于密度感知的模糊聚類算法

在初始數(shù)據(jù)集劃分算法的基礎(chǔ)上，本文提出了基于密度感知的核模糊聚類算法(density- awared kernel based fuzzy c-means clustering algorithm, DKFCM)。輸入的樣本經(jīng)過核函數(shù)映射到高維特征空間，解決低維空間線性不可分的問題。DKFCM的目標(biāo)函數(shù)定義[10]:

(7)

(8)

DKFCM算法的目標(biāo)函數(shù)達(dá)到最優(yōu)，絕對度矩陣T和相對度矩陣U需要分別滿足：

(9)

(10)

式(10)中的隸屬度矩陣滿足：

將數(shù)據(jù)局部密度和數(shù)據(jù)集初始劃分引入模糊聚類算法，更新聚類中心的計(jì)算公式為:

(11)

(12)

(13)

(14)

(15)

DKFCM算法的描述，遠(yuǎn)離聚類中心的點(diǎn)被視為離群點(diǎn)，賦予離群點(diǎn)較小的絕對度，例如tij<ε，ε是非常接近0 的正數(shù)。算法的描述具體如下：

1)計(jì)算各個(gè)數(shù)據(jù)樣本的局部密度和特征距離，根據(jù)截?cái)嗑嚯xdc對數(shù)據(jù)集進(jìn)行基于DAG的臨時(shí)類劃分；

2)執(zhí)行臨時(shí)類合并算法得到模糊聚類的初始聚類中心tCen以及樣本數(shù)據(jù)與臨時(shí)聚類之間的關(guān)系FC×N=[f1,1,f2,1,…,fC,1;…;f1,N,f2,N,…,fC,N]；

3)將數(shù)據(jù)樣本的局部數(shù)據(jù)密度和關(guān)系矩陣引入模糊聚類的中心計(jì)算，更新聚類中心計(jì)算公式；

4)將tCen作為聚類中心V(0)的初始值，運(yùn)行KFCM算法，獲得模糊隸屬度矩陣、絕對度矩陣，同時(shí)初始化核函數(shù)；

5)確定c、m、p的值，最大迭代次數(shù)為rmax，停止閾值ε，根據(jù)式(12)～(15)不斷地更新聚類中心，模糊隸屬度矩陣和絕對度矩陣直到收斂。

2.3 模糊支持向量機(jī)

實(shí)際應(yīng)用中，訓(xùn)練集中的樣本數(shù)據(jù)對模型的訓(xùn)練做出的貢獻(xiàn)有所不同，一些樣本數(shù)據(jù)比另外一些樣本數(shù)據(jù)更重要。有意義的樣本數(shù)據(jù)期望被正確分類，而像噪聲這種無意義的樣本數(shù)據(jù)是否正確分類影響不大。這就意味著一些樣本數(shù)據(jù)可能不僅屬于一個(gè)類也可能屬于多個(gè)類：樣本數(shù)據(jù)90%的可能屬于某一個(gè)類、10%的可能無實(shí)際意義或者20%的可能屬于一個(gè)類、80%的可能無實(shí)際意義。換言之，每個(gè)樣本數(shù)據(jù)存在模糊隸屬度0

模糊支持向量機(jī)(fuzzy support vector machine, FSVM)模型求解最優(yōu)分類超平面轉(zhuǎn)換成基于不等式約束的二次規(guī)劃問題:

(16)

滿足約束條件：

式中：w是分類超平面向量；b是偏移量；φ(xi)是將樣本xi映射到高維空間的非線性核函數(shù)；ξi是分類錯(cuò)誤率，C是控制分類邊際與分類錯(cuò)誤率之間的正則化常數(shù)；si由DKFCM算法完成聚類后，所得的模糊隸屬度uij確定，能夠降低分類錯(cuò)誤率對目標(biāo)函數(shù)的影響，降低了噪聲和孤立點(diǎn)的影響力。

構(gòu)造拉格朗日乘子對式(16)進(jìn)行優(yōu)化：

(17)

使用SMO優(yōu)化算法對式(17)進(jìn)行求解獲得最優(yōu)判別式：

(18)

2.4 模糊支持向量機(jī)

在DKFCM與FSVM的基礎(chǔ)上本文提出一種應(yīng)用于WSNs的基于機(jī)器學(xué)習(xí)的入侵檢測模型DKFCM-FSVM，如圖3所示。

圖3 入侵檢測模型Fig.3 Intrusion detection model

模型包含的實(shí)體包括匯聚節(jié)點(diǎn)、檢測節(jié)點(diǎn)和普通節(jié)點(diǎn)，具體分工如下。

1)匯聚節(jié)點(diǎn)。

匯聚節(jié)點(diǎn)的主要功能是訓(xùn)練檢測器，主要包括樣數(shù)據(jù)預(yù)處理、訓(xùn)練分類器和分發(fā)分類器3個(gè)功能。

數(shù)據(jù)預(yù)處理：與普通節(jié)點(diǎn)不同的是，網(wǎng)關(guān)節(jié)點(diǎn)具有充足的能源供給和強(qiáng)大的運(yùn)算能力，能夠處理大規(guī)模樣本數(shù)據(jù)庫?；具x取WSN-DS(針對無線傳感器網(wǎng)絡(luò)入侵檢測設(shè)計(jì)的數(shù)據(jù)集)作為訓(xùn)練集訓(xùn)練DKFCM-FSVM模型。數(shù)據(jù)預(yù)處理的2個(gè)重要過程是歸一化和特征降維。

訓(xùn)練檢測器：檢測器的訓(xùn)練是入侵檢測模型的關(guān)鍵部分。首先，網(wǎng)關(guān)節(jié)點(diǎn)對訓(xùn)練集進(jìn)行數(shù)據(jù)預(yù)處理；計(jì)算樣本數(shù)據(jù)的數(shù)據(jù)密度和特征距離，使用臨時(shí)類合并算法形成數(shù)據(jù)集初始劃分，挖掘訓(xùn)練集中數(shù)據(jù)點(diǎn)潛在的分布特征；使用DKFCM算法計(jì)算模糊隸屬度矩陣U(r)；根據(jù)式(18)訓(xùn)練模糊支持向量機(jī)，計(jì)算參數(shù)α和b。根據(jù)式(18)進(jìn)行樣本的預(yù)測并驗(yàn)證提出方法的準(zhǔn)確度。檢測結(jié)果以正?；虍惓５男问捷敵?。

發(fā)布檢測器：基站將驗(yàn)證過的檢測器發(fā)送至各個(gè)檢測節(jié)點(diǎn)，供檢測節(jié)點(diǎn)進(jìn)行入侵行為的檢測。

2)檢測節(jié)點(diǎn)。

一定數(shù)量的檢測節(jié)點(diǎn)被分配到網(wǎng)絡(luò)內(nèi)對普通節(jié)點(diǎn)提取的測試樣本進(jìn)行檢測以便發(fā)現(xiàn)入侵行為。相比于普通節(jié)點(diǎn)，檢測節(jié)點(diǎn)具備更大的存儲空間和強(qiáng)大的運(yùn)算能力，可以存儲檢測模型和運(yùn)行入侵檢測算法。檢測節(jié)點(diǎn)的主要功能是實(shí)時(shí)檢測入侵行為：

檢測節(jié)點(diǎn)運(yùn)行基站發(fā)布的檢測器，主要依據(jù)公式(18)對網(wǎng)絡(luò)行為進(jìn)行檢測，結(jié)果為正常和異常；檢測節(jié)點(diǎn)一旦發(fā)現(xiàn)異常行為向基站發(fā)送告警信息；檢測節(jié)點(diǎn)向基站發(fā)送新的樣本并更新基站樣本數(shù)據(jù)庫，通知基站重新訓(xùn)練檢測器保證檢測器的實(shí)效性。

3)普通節(jié)點(diǎn)。

普通節(jié)點(diǎn)運(yùn)行監(jiān)測代理(monitor agent, MA)獲取感知層網(wǎng)絡(luò)中感知節(jié)點(diǎn)獲取的感知數(shù)據(jù)，并發(fā)送至檢測節(jié)點(diǎn)進(jìn)行入侵檢測。

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)環(huán)境

在入侵檢測實(shí)驗(yàn)中，感知層網(wǎng)絡(luò)的覆蓋范圍是100 m×100 m，100個(gè)感知節(jié)點(diǎn)：使用筆記本計(jì)算機(jī)作為網(wǎng)關(guān)節(jié)點(diǎn)，檢測節(jié)點(diǎn)10個(gè)，普通節(jié)點(diǎn)90個(gè)。仿真參數(shù)如表1所示。每次仿真的持續(xù)時(shí)間設(shè)置為200 s，實(shí)驗(yàn)結(jié)果采用20次仿真結(jié)果的平均值。

表1 仿真模型的參數(shù)和值Table 1 Parameters and Values of simulation model

本節(jié)采用NS-2進(jìn)行仿真實(shí)驗(yàn)驗(yàn)證本文提出的入侵檢測算法的有效性。為了驗(yàn)證提出方法在感知層網(wǎng)絡(luò)環(huán)境下入侵檢測的效果，本小節(jié)采用的數(shù)據(jù)集WSN-DS。WSN-DS數(shù)據(jù)集是專門針對WSNs入侵檢測所設(shè)計(jì)。在使用低能量感知集群層次結(jié)構(gòu)(LEACH)路由協(xié)議的感知層網(wǎng)絡(luò)環(huán)境收集數(shù)據(jù)并形成數(shù)據(jù)集。WSN-DS數(shù)據(jù)集包含374 661條記錄，數(shù)據(jù)集的每個(gè)樣本包含23個(gè)屬性，文獻(xiàn)[11]介紹了每個(gè)屬性的具體含義。分別將WSN-DS數(shù)據(jù)集的60%和40%作為訓(xùn)練集和測試集，每種類型的攻擊具體如表2所示。

表2 數(shù)據(jù)集隨機(jī)分配訓(xùn)練集60%和測試集40%Table 2 The random distribution of data set 60% of training set and 40% of test set data sets

3.2 評價(jià)指標(biāo)

入侵檢測系統(tǒng)的檢測結(jié)果包含下面四種：真陽性(true positive，TP)表示異常行為被正確識別為異常行為所占的比例；假陽性(false positive，F(xiàn)P)表示正常行為被錯(cuò)誤識別為異常行為所占的比例；真陰性(true negative，TN)表示正常行為被正確識別為正常行為所占的比例；假陰性(false negative，F(xiàn)N)表示異常行為被錯(cuò)誤識別為正常行為所占的比例。根據(jù)上述4種檢測結(jié)果進(jìn)一步演化出準(zhǔn)確率、誤報(bào)率、漏報(bào)率和受試者工作特性曲線下方面積，作為本文入侵檢測技術(shù)采用的評價(jià)指標(biāo)。

1)準(zhǔn)確率(precision)表示正確識別異常行和正常行為為占有的比例，計(jì)算公式為:

(19)

2)誤報(bào)率(false positive rate, FPR)表示將正常行為識別為異常行為占有的比例為:

(20)

3) 漏報(bào)率(false negative rate, FNR)表示將異常行為識別為正常行為占有的比例:

(21)

3.3 實(shí)驗(yàn)結(jié)果分析

為了驗(yàn)證提出方法的有效性，本節(jié)選擇SVM、FCM-SVM、FCM-FSVM和KFCM-FSVM算法作為對比算法分別對比。算法的核函數(shù)采用高斯核函數(shù)，F(xiàn)CM-FSVM、KFCM-FSVM和DKFCM-FSVM的參數(shù)m取典型值2，ε取典型值0.01，使用隨機(jī)矩陣作為初始矩陣，根據(jù)文獻(xiàn)[12]設(shè)置模糊隸屬度，其中核函數(shù)的參數(shù)σ取值為0.01，正則化常數(shù)C取值為2。在訓(xùn)練集上訓(xùn)練本文提出的算法和對照組算法，訓(xùn)練完成后在測試集上完成算法的驗(yàn)證。采用10-fold交叉驗(yàn)證方式，取實(shí)驗(yàn)結(jié)果的平均值進(jìn)行對比。

圖4給出了DKFCM-FSVM與對照算法之間在準(zhǔn)確率上的對比結(jié)果。同對照算法相比，本文提出的DKFCM-FSVM算法檢測5種行為的平均準(zhǔn)確率分別為0.998、0.993、0.905、0.997和0.947，在不同行為的檢測上準(zhǔn)確率均達(dá)到最優(yōu)。SVM算法耗時(shí)短，檢測率最差，其次是FCM-SVM算法，優(yōu)于SVM算法。FCM-FSVM和KFCM-FSVM的檢測率相近，DKFCM-FSVM略優(yōu)于KFCM-FSVM。

圖4 5種分類算法的準(zhǔn)確率對比Fig.4 Comparison of precision rates of five classification algorithms

圖5給出了DKFCM-FSVM與對照算法之間在誤報(bào)率上的對比結(jié)果。同對照算法相比，本文提出的DKFCM-FSVM算法檢測5種行為的平均誤報(bào)率分別為0.004、0.004、0.01、0.002和0.006，在不同行為的檢測上達(dá)到最低的誤報(bào)率。SVM算法的誤報(bào)率最高，其次是FCM-SVM算法，優(yōu)于SVM算法。FCM-FSVM和KFCM-FSVM的誤報(bào)率相近，DKFCM-FSVM優(yōu)于KFCM-FSVM。

圖5 5種分類算法的誤報(bào)率對比Fig.5 Comparison of false positive rates of five classification algorithms

圖6給出了DKFCM-FSVM與對照算法之間在漏報(bào)率上的對比結(jié)果。同對照算法相比，本文提出的DKFCM-FSVM算法檢測5種行為的平均漏報(bào)率分別為0.004、0.003、0.002、0.007和0.006，在不同行為的檢測上達(dá)到最低的漏報(bào)率。SVM算法的漏報(bào)率較高，其次是FCM-SVM算法，優(yōu)于SVM算法。FCM-FSVM和KFCM-FSVM的漏報(bào)率相近，DKFCM-FSVM優(yōu)于KFCM-FSVM。

圖6 5種分類算法的漏報(bào)率對比Fig.6 Comparison of underreporting rates of five classification algorithms

圖7給出了DKFCM-FSVM與對照算法之間在總體檢測準(zhǔn)確率的對比結(jié)果，各算法你總體檢測準(zhǔn)確率分別為0.820 8、0.859 6、0.923 6、0.933 2和0.968。因此，本文提出的DKFCM-FSVM優(yōu)于對比算法。

圖7 5種分類算法的總體檢測準(zhǔn)確率對比Fig.7 Comparison of the overall detection accuracy of five classification algorithms

實(shí)驗(yàn)結(jié)果分析：WSNs環(huán)境下，正常數(shù)據(jù)和入侵?jǐn)?shù)據(jù)的比例不平衡，多數(shù)行為是正常行為，由入侵攻擊產(chǎn)生的異常數(shù)據(jù)占有極少數(shù)，除此之外正常行為和入侵行為在多數(shù)情況下線性不可分，需要使用核函數(shù)映射到高維空間，SVM的檢測效果不佳。FCM對初始聚類的選取和不平衡的數(shù)據(jù)集敏感，同樣效果不佳。即使使用核函數(shù)將樣本映射到高維空間，噪聲數(shù)據(jù)和離群點(diǎn)對聚類產(chǎn)生的影響也是不容忽視的，引入數(shù)據(jù)密度和特征距離能有效避免噪聲數(shù)據(jù)和離群點(diǎn)對分類結(jié)果的影響，達(dá)到最優(yōu)分類結(jié)果。誤報(bào)率和漏報(bào)率低也說明本文提出的算法更適合不平衡數(shù)據(jù)集，能有效應(yīng)對離群點(diǎn)和噪聲數(shù)據(jù)。

4 結(jié)論

1)DKFCM引入數(shù)據(jù)密度和特征距離對模糊聚類進(jìn)行改進(jìn)，降低了噪聲點(diǎn)和離群點(diǎn)對聚類算法影響的同時(shí)加快了聚類算法的收斂速度；FSVM使用DKFCM所得的模糊隸屬度作為模糊因子，增強(qiáng)了模糊因子選取的客觀性，提高了分類準(zhǔn)確度，顯著提高了WSNs場景下入侵檢測的效果。

2)實(shí)驗(yàn)結(jié)果表明，在WSN-DS數(shù)據(jù)集下，DKFCM-FSVM入侵檢測各項(xiàng)評價(jià)指標(biāo)與對照算法相比均達(dá)到最優(yōu)，其能源消耗僅比SVM略高。因此，DKFCM-FSVM可以應(yīng)用到實(shí)際的WSNs場景中，從而提升WSNs抵抗網(wǎng)絡(luò)內(nèi)部攻擊的能力。

3)傳統(tǒng)機(jī)器學(xué)習(xí)處理大規(guī)模數(shù)據(jù)具有檢測精度低和檢測速度慢等問題。深度學(xué)習(xí)在模式識別、圖像處理和惡意流量分析等方面取得顯著成功，為入侵檢測領(lǐng)域提供了一種思路。