基于投影尋蹤的無線傳感器網絡入侵檢測模型*

葛瀟藝， 汪烈軍， 郭學讓

(新疆大學 信息科學與工程學院，新疆 烏魯木齊 830046)

?

基于投影尋蹤的無線傳感器網絡入侵檢測模型*

葛瀟藝， 汪烈軍， 郭學讓

(新疆大學 信息科學與工程學院，新疆 烏魯木齊 830046)

提出基于投影尋蹤(PP)算法解決無線傳感器網絡入侵檢測問題，利用PP算法將高維數據投影到低維數據空間，使得多特征屬性的節點數據準確聚集。通過節點屬性投影值的浮動來檢測節點是否受到攻擊。實驗結果表明:基于PP的無線傳感器網絡入侵檢測的方法在減少計算量，降低檢測能耗的情況下，可以得到比傳統的誤差反向傳播(BP)模型檢測方法得到更好的檢測效果。

無線傳感器網絡； 投影尋蹤算法； 遺傳算法； 入侵檢測

0 引 言

無線傳感器網絡是一組在不同地點利用通信基礎設施進行記錄和監測的包含具有微型低功耗傳感器探測單元節點的專用傳感器組成。無線傳感器網絡在環境監測、災情響應、軍事偵察、智能建筑和工業質量控制等領域有著廣泛的應用前景[1]。

無線傳感器網絡具有自組織、低成本、易于部署的特點。然而，傳感器節點普遍部署在敵對或者是無人值守的環境中進行無線通信。基于這些特點，無線傳感器網絡容易受到各種攻擊。目前常用的入侵檢測方法有異常檢測和誤用檢測兩種應用技術。異常檢測在檢測前需要建立用戶的正常行為和描述系統，若發現當前行為和建立的系統超出了預定標準的差別，則表明系統受到了攻擊，異常檢測可以識別新的攻擊，但很容易產生誤報[2]。誤用檢測主要是建立相關的特征庫，在進行檢測的過程中，將收集到的數據與建立特征庫的特征數據進行比對，判斷網絡是否受到攻擊，誤用檢測可以準確檢測到已知攻擊，但無法檢測到未遇到過的攻擊[3]。到目前為止，在入侵檢測領域有很多不同的方法。如模式匹配、神經網絡、統計等方法。投影尋蹤(PP)算法最早由Kruskal提出并進行實驗。隨后Friedman J H和Tukey J W提出了一種將整體上的散布程度和局部凝聚程度結合起來，進行多元統計分析，正式提出了PP概念。近年來，由于PP的原理將高維數據投影到低維空間進行數據特征分析，因此，常常應用到探索性數據分析中[4]。無線傳感器網絡中的節點數據具有高維多特征特性，這種特性導致一個問題—維數災難[5]，同時，在無線傳感器網絡中進行入侵檢測具有不相關特征和冗余特征的高維數據可能會帶來負面影響[6]。

本文采用PP來解決這個問題。該方法不需要已知或預測模型，可以直接通過線性投影來處理線性和非線性問題。

1 PP理論

作為一種新的方法處理和分析高維數據，PP方法的重要途徑是：

1)將高維數據投影到低維空間;

2)用最優化的方法得到最大化指數從而選擇最佳的投影方向;

3)通過最佳投影，得到反映節點特征屬性數據的投影值。

PP算法詳細描述如下：

1.1 歸一化

由于每個數據指標量綱是不一樣的，如果直接采用原始數據，則必須規范指標數據。規范如下：

(1)

為了能夠準確找到受到攻擊的節點，至關重要的是選擇節點的特征屬性指標性能必須具有代表性，然后用這些節點指標構造出指標矩陣X

(2)

式中xij為第n個節點的第m個指標值。

1.2 線性投影

PP算法用線性結合的方法將高維數據投影到低維空間下。Z為投影值

(3)

式中a=(a1,a2,a3,…am),為投影方向。

1.3 構造投影指標

為了能夠客觀地反映高維數據的特征和得到精確的投影值，局部投影值要滿足內部關聯性大且外部相關性小的必要條件，所以，構建的收斂條件，即投影指標

Q(a)=Sz×Dz,

(4)

式中Sz為投影值Z的偏差，Dz為局部投影值Z密度，分別表示為

(5)

(6)

式中R=0.1S(a)，R為數據局部特點的寬度參數；rij=abs(Zi-Zj),i,j=1,2,…,n;u(R-rij)為單位階躍函數，當R≥rij時單位階躍函數值為1；否則，函數值為0。Dz的值越大，分類時就會更準確明顯。

1.4 最優投影方向

如上所述，PP關鍵問題是尋找反映高維數據特征的最優投影方向，PP算法可以描述為如下的優化問題

(7)

本文采用遺傳算法取得最優投影方向。

2 建立實驗模型與仿真分析

2.1 實驗過程

1)本文利用Matlab進行仿真實驗，使用的實驗數據是海軍研究實驗室的無線傳感網絡數據集。這些數據包含正常數據節點集合和異常數據節點集合，有明確的攻擊類型。

2)首先選擇了10個傳感器節點，每個節點有40個屬性值，PP指標矩陣是一個10×40維的矩陣如下

(8)

3)利用式(1)，將矩陣X歸一化。

4)將歸一化后的節點信息矩陣進行PP運算。這里應用遺傳算法來求解最優投影方向，遺傳算法的原理是隨機形成初始種群集合，然后利用適應度函數計算每個個體的適應度來滿足目標函數。遺傳算法的最小誤差演變如圖1所示。

圖1 遺傳算法的最小誤差

5)在獲得最優投影方向后，用式(3)得到這些節點屬性的投影值。通過這些投影值浮動狀態來判定異常節點。如果節點投影值與其他節點投影值差異明顯，則認為這些節點受到攻擊。

2.2 實驗仿真與分析

2.2.1 實驗結果

本文將用10個節點進行實驗驗證，其中三個被入侵的節點，攻擊類型為：DOS攻擊，緩沖區溢出攻擊和周期路由錯誤攻擊。實驗結果如圖2。

圖2 節點檢測結果

從圖中可以看出:節點2在這個測試中取得最高值，并且與節點10都高于節點1，3，5，6，7，8，9。此外，節點4在這個實驗中取得最低值。事實上，節點2，4,10都是在實驗中受到不同攻擊的節點。節點2是緩沖區溢出，節點4和節點DOC攻擊，節點10是路由錯誤攻擊。在圖3中，可以看到節點被入侵時，節點的投影值會有明顯的浮動，即基于PP入侵檢測的實驗結果與設定的結果一致。

2.2.2 性能指標實驗檢測

檢測率(DR)和誤報率(FR)是測量入侵檢測方法性能的重要指標。DR表示被正確檢測的攻擊記錄數占整個攻擊記錄數的比例,FR表示正常數據被記錄為攻擊的記錄數占整個正常記錄數的比例，實驗中最多用了2000個實驗節點。在表1中模擬檢測3大類不同攻擊的DR。

表1 PP檢測結果

Tab 1 Detection results of PP

類別不同節點數(個)的PP的DR(%)10020050010002000DOS100100100 99.6098.91緩沖區溢出100100100 99.4098.67路由錯誤10010098.3797.5296.833類攻擊10010098.7197.6496.30

表1中得到PP方法有很高的DR。特別是PP對DOS攻擊和緩沖區溢出攻擊的檢測。表2、表3和表4中，用PP算法和誤差BP方法對比檢測實驗節點數據。

表2 PP和BP算法DOS攻擊檢測對比

Tab 2 Comparison of detection of DOS attack between PP and BP algorithms

算法不同節點數(個)的DOS攻擊的DR(%)10020050010002000BP10010098.5097.2393.42pp100100100 99.6098.91

表3 PP和BP緩沖區溢出攻擊檢測對比

Tab 3 Comparison of detection of overflow attack between PP and BP

算法不同節點數(個)的緩沖區溢出攻擊的DR(%)10020050010002000BP10010097.3495.8392.75PP100100100 99.4098.67

表4 PP和BP算法檢測性能比較

Tab 4 Comparison of detecting performance between PP and BP algorithms

檢測項PP(2000nodes)BP(2000nodes)DR(%)96.3091.06FR(%)1.62 9.22

實驗結果表明：由于采用PP的入侵檢測算法使得在降低節點特征屬性數據的計算量的同時保留了高維數據的非線性特征，這個特點使得PP方法比傳統的檢測模型有更好的檢測效果。這充分表明基于PP算法無線傳感器網絡入侵檢測是一種有效的方法。

3 結 論

本文提出了基于PP算法的節點屬性值浮動的入侵檢測機制。由于被攻擊的節點的屬性特征值相較正常節點的屬性特征值波動大，所以，可從正常的節點中輕易地將異常節點分辨出來。本文用遺傳算法獲得充分反映高維數據的結構和特點的最佳投影方向，重點是利用PP算法將高維數據延投影方向投影到低維空間，實現了無線傳感器網絡入侵檢測。該方法不需要假設數據，這就意味著檢測結果更加準確，同時，該方法通過數據的降維大大降低了計算量，很好地節約了能耗。

[1] Akyildiz I F,Su W,Sankarasubramaniam Y,et al.Wireless sensor networks:A survey[J].Computer Networks,2002,38(4):393-422.

[2] Ourston D,Matzner S,Stump W,et al.Coordinated Internet attacks:Responding to attack complexity[J].Journal of Computer Security,2004,12(2):165-190.

[3] Jyothsna V,Prasad V R,Prasad K M.A review of anomaly-based intrusion detection systems[J].International Journal of Computer Applications,2011,28(7):26-35.

[4] Friedman J H,Tukey J W.A projection pursuit algorithm for exploratory data analysis[J].IEEE Transactions on Computers,1974,23(9):881-890.

[5] Wang S,Zhang X,Ding J,et al.Projection pursuit cluster model and its application[J].Journal of Yangtze River Scientific Research Institute,2002,19(6):53-55.

[6] Cui Y,Li L,Cao D.The SVM intrusion detection problem based on nonlinear projection and penalty function[J].Information Technology and Informatization,2014(2):57-59,65.

汪烈軍，通訊作者,E—mail:wljxju@xju.edu.cn。

Intrusion detection model for WSNs based on projection pursuit*

GE Xiao-yi, WANG Lie-jun, GUO Xue-rang

(College of Information Science and Engineering,Xinjiang University,Urumqi 830046,China)

Propose to use projection pursuit(PP)algorithm to solve the problem of intrusion detection of wireless sensor networks(WSNs),use PP algorithm which turns high-dimensional node properties to low-dimension space and node data of multi-properties attributes will accurately aggregation.Through floating of node attribute projection value to detect whether the node is attacked.The experimental results show that this method reduces amount of calculation and reduce energy consumption of detection can be obtained better detection effect than traditional error back propagation (BP)model detection method.

wireless sensor networks(WSNs); project pursuit(PP)algorithm; genetic algorithm; intrusion detection

2015—07—02

新疆大學博士啟動基金資助項目(213—61355)

10.13873/J.1000—9787(2015)09—0024—03

TP 393

A

1000—9787(2015)09—0024—03

葛瀟藝(1990-)，女，新疆烏魯木齊人，碩士研究生，主要研究方向為無線傳感器網絡安全。