無(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型

金　鑫，胡　平

(南京工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211816)

無(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型

金鑫，胡平

(南京工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211816)

摘要:為了提高無(wú)線(xiàn)傳感器網(wǎng)絡(luò)的安全性，針對(duì)無(wú)線(xiàn)傳感器網(wǎng)絡(luò)的自身特性，設(shè)計(jì)了一種入侵檢測(cè)系統(tǒng)模型。該模型按照聚類(lèi)的方法，將區(qū)域劃分成簇；在每個(gè)簇中選舉簇頭，簇頭需定期輪換；采用基于相關(guān)向量機(jī)(RVM)的入侵檢測(cè)方案。實(shí)驗(yàn)表明：所提出的模型與其它檢測(cè)模型相比具有更高的平均檢測(cè)率和更低的平均誤檢率，且具有低能耗的特點(diǎn)。

關(guān)鍵詞:無(wú)線(xiàn)傳感器網(wǎng)絡(luò)；入侵檢測(cè)；相關(guān)向量機(jī)

0引言

無(wú)線(xiàn)傳感器網(wǎng)絡(luò)(WSNs)已成功應(yīng)用到了工業(yè)、軍事、環(huán)境保護(hù)以及交通運(yùn)輸?shù)榷鄠€(gè)領(lǐng)域,同時(shí)也是物聯(lián)網(wǎng)[1]中獲取信息的主要方式。無(wú)線(xiàn)傳感器網(wǎng)絡(luò)通常部署在無(wú)人看管的區(qū)域，由于傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)能量受限、通信介質(zhì)開(kāi)放、網(wǎng)絡(luò)邊界模糊等特性[2]，使得無(wú)線(xiàn)傳感器網(wǎng)絡(luò)比其它網(wǎng)絡(luò)更易遭到入侵，因此,其安全問(wèn)題也愈發(fā)重要[3]。

目前,針對(duì)無(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)模型的研究已提出了不少方法。Tang Jiayu等人[4]提出了基于RSSI合作的入侵檢測(cè)系統(tǒng)；Yan K等人[5]提出了一個(gè)基于分簇的結(jié)構(gòu)混合入侵檢測(cè)系統(tǒng)，用異常檢測(cè)模快來(lái)過(guò)濾數(shù)據(jù)包，用誤用檢測(cè)模塊來(lái)決定當(dāng)前行為是否屬于入侵，用BP神經(jīng)網(wǎng)絡(luò)來(lái)劃分入侵；Li Lei等人[6]提出了一個(gè)層次結(jié)構(gòu)的入侵檢測(cè)模型，將無(wú)線(xiàn)傳感器網(wǎng)絡(luò)的體系結(jié)構(gòu)劃分為入侵層、合作層以及基站層。

1無(wú)線(xiàn)傳感器入侵檢測(cè)模型

本文采用的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型屬于分布集中混合式。在本文的入侵檢測(cè)模型中，所有傳感器節(jié)點(diǎn)都有入侵檢測(cè)代理。此外，模型采用聚簇技術(shù)將所有的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)節(jié)點(diǎn)分配到不同的簇中，在每一個(gè)簇中都有稱(chēng)之為簇頭的組織者和其它的傳感器節(jié)點(diǎn)成員。所有的簇頭形成上層節(jié)點(diǎn)，而其它傳感器節(jié)點(diǎn)則形成下層節(jié)點(diǎn)，簇頭對(duì)簇內(nèi)傳感器節(jié)點(diǎn)進(jìn)行信息融合，并通過(guò)其它的簇頭將數(shù)據(jù)傳送給基站。為了均衡節(jié)點(diǎn)的能量消耗，簇頭需要定期輪換。當(dāng)一個(gè)傳感器節(jié)點(diǎn)被選中為簇頭時(shí)，其上的入侵檢測(cè)代理被同時(shí)啟動(dòng)，而其它傳感器節(jié)點(diǎn)上的入侵檢測(cè)代理將處于睡眠轉(zhuǎn)態(tài)。圖1為網(wǎng)絡(luò)模型。

圖1　無(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)模型Fig 1　Wireless sensor networks intrusion detection model

2入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

2.1簇的劃分

考慮到相鄰傳感器節(jié)點(diǎn)采集到的數(shù)據(jù)差異性較小，被劃分到同一類(lèi)別的可能性較大。本文采用一種基于區(qū)域劃分的思想，將整個(gè)網(wǎng)絡(luò)隨機(jī)分為k個(gè)區(qū)域，k值的取值參照LEACH分簇協(xié)議[7]

(1)

式中N為傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)的數(shù)目，εfs為自由空間中衰減信道模式下的放大指數(shù)，εmp為多路徑衰減模式下的放大指數(shù)，d為簇頭節(jié)點(diǎn)與基站的距離，L為傳感器網(wǎng)絡(luò)正方形的邊長(zhǎng)。

Zhong Shi等人[8，9]將均值聚類(lèi)算法(k-means)算法應(yīng)用到無(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)中，考慮到初始類(lèi)中心的選擇對(duì)結(jié)果有很大影響，如果初始值選擇不當(dāng)，就有可能無(wú)法得到想要的結(jié)果，這也是均值聚類(lèi)算法面臨的主要問(wèn)題。受最大最小準(zhǔn)則[10]的啟發(fā)，根據(jù)已知條件，找出傳感器網(wǎng)絡(luò)中相距最遠(yuǎn)的兩個(gè)點(diǎn)C(xmin,ymin)，C(xmax,ymax)，k值按式(1)取值。其中

xs=(xmax-xmin)×2/k

(2)

ys=(ymax-ymin)×2/k

(3)

C(xi,yi)=C(xmin+i·xs,ymin+i·ys)i=1,2,…,k/2

(4)

改進(jìn)后的k-means算法如下述：

輸入：n個(gè)對(duì)象，簇的數(shù)目k。

輸出：k個(gè)簇，使平方誤差準(zhǔn)則最小。

1)for i=1 to k/2

2)for j=1 to k/2

3)C(xi,yi)=C(xmin+i·xs,ymin+i·ys)

4)end for

5)end for

6)為k個(gè)聚類(lèi)來(lái)確定初始聚類(lèi)中心，依次為C1,C2,…,CK。

7)將每一個(gè)樣本集中的樣本Xi按最小距離分配的原則依次分配到最鄰近的聚類(lèi)Cc。

8)重新計(jì)算聚類(lèi)中心Cc。

10)If D≤ε then

11)輸出簇C1,C2,…,CK，結(jié)束算法

12)else

13)回到步驟(7)

14)end if

改進(jìn)后的k-means算法聚類(lèi)效率高，計(jì)算復(fù)雜度低，這些滿(mǎn)足傳感器節(jié)點(diǎn)開(kāi)銷(xiāo)小的特點(diǎn)。

2.2簇頭選擇

簇頭的選擇參照LEACH分簇算法，它的基本思想是隨機(jī)的循環(huán)等概率的選擇簇頭。在簇的初始階段，每一個(gè)節(jié)點(diǎn)在0～1內(nèi)隨機(jī)選擇一個(gè)數(shù)，如果該值小于規(guī)定的閾值T(n),則被選為簇頭。T(n)計(jì)算公式如下

(5)

式中N為總的傳感器節(jié)點(diǎn)數(shù)，k為一個(gè)周期內(nèi)網(wǎng)絡(luò)的簇頭節(jié)點(diǎn)數(shù)，r為已經(jīng)完成的周期輪數(shù)，G為未成為簇頭的傳感器節(jié)點(diǎn)結(jié)合。

但是在實(shí)際的應(yīng)用中LEACH算法存在一些不足。首先簇頭的選擇具有隨機(jī)性，可能導(dǎo)致有的區(qū)域簇頭會(huì)比較多，造成網(wǎng)絡(luò)的負(fù)載不均衡；其次動(dòng)態(tài)地更換簇頭沒(méi)有考慮節(jié)點(diǎn)的剩余能量，可能會(huì)導(dǎo)致節(jié)點(diǎn)過(guò)早地死亡，減少了網(wǎng)絡(luò)的生存周期。因此,考慮節(jié)點(diǎn)的剩余能量選舉簇頭，簇頭閾值f(i)如下

(6)

式中K為簇頭數(shù)目與全部節(jié)點(diǎn)的比率，r為已經(jīng)完成的周期輪數(shù)，Ecount為節(jié)點(diǎn)i當(dāng)前能量，E為節(jié)點(diǎn)i初始能量。

2.3入侵檢測(cè)

在支持向量機(jī)(SVM)的基礎(chǔ)上,Micnacl E.Tipping提出了相關(guān)向量機(jī)(RVM)[11]的模型，它克服了SVM在學(xué)習(xí)的過(guò)程中存在的一些問(wèn)題。本文采用基于RVM的入侵檢測(cè)，它是在貝葉斯框架下進(jìn)行訓(xùn)練的，RVM算法如下：

記得在《新潮》引言中，書(shū)中有這樣的一句話(huà)：這本書(shū)里要講的是一個(gè)人、一個(gè)民族、一個(gè)時(shí)代的經(jīng)驗(yàn)。經(jīng)驗(yàn)是寶貴的；可是寶貴的經(jīng)驗(yàn)是付重大的代價(jià)買(mǎi)來(lái)的。個(gè)人的經(jīng)驗(yàn)如此，一個(gè)民族、一個(gè)國(guó)家、一個(gè)時(shí)代的經(jīng)驗(yàn)，也是如此。

(7)

式中wi為權(quán)值；N為樣本數(shù)；K(x,xi)為核函數(shù)。

設(shè)目標(biāo)函數(shù)是獨(dú)立的，且含有噪聲

yn=f(xn,w)+εn

(8)

式中εn為噪聲。

訓(xùn)練樣本集似然函數(shù)為

(9)

y=[y1,y2,…,yN]T;w=[w1,w2,…,wN]T;φ=[φ(x1),φ(x2),…,φ(xN)]T,φ(xN)=[1,K(xn,x1),K(xn,x2),…,K(xn,xN)T。權(quán)值w先驗(yàn)條件概率分布

(10)

根據(jù)Bayesian公式，未知參數(shù)的后驗(yàn)公式如下

(11)

則權(quán)值w的后驗(yàn)概率為

∑-1(w-μ)}

(12)

式中

∑=(δ-2φTφ+A)-1,A=diag(α0,α1,…,αN)

μ=δ-2∑φTy。

(13)

(14)

式中γi=1-∑ij,∑ij為第i個(gè)對(duì)角元素；N為樣本中數(shù)據(jù)的個(gè)數(shù)；μi為第i個(gè)后驗(yàn)平均權(quán)。

相關(guān)向量機(jī)學(xué)習(xí)的過(guò)程就是不斷地重復(fù)式(13)和式(14)進(jìn)行迭代更新，并不斷地更新∑和μ，直到滿(mǎn)足收斂要求。

本文選擇RBF核函數(shù)構(gòu)造RVM，徑向基核函數(shù)為

(15)

3仿真實(shí)驗(yàn)

3.1實(shí)驗(yàn)環(huán)境設(shè)置

通過(guò)仿真實(shí)驗(yàn)將該模型應(yīng)用到無(wú)線(xiàn)傳感器網(wǎng)絡(luò)中，從平均檢測(cè)率、平均誤檢率、能耗等方面分析系統(tǒng)性能。本文采用NS2仿真器進(jìn)行仿真，傳感器網(wǎng)絡(luò)節(jié)點(diǎn)隨機(jī)分布在1 000 m×1 000 m的網(wǎng)絡(luò)中，數(shù)據(jù)包長(zhǎng)度為56 byte，通信速率為20 kB/s。

實(shí)驗(yàn)數(shù)據(jù)采用Intel Berkeley實(shí)驗(yàn)室中54個(gè)Mica2Dot傳感器節(jié)點(diǎn)在2004年2月28日到4月5日采集到的真實(shí)數(shù)據(jù)，包括溫度、濕度、電壓值和光照。這些數(shù)據(jù)是正常情況下采集到的數(shù)據(jù)，沒(méi)有傳感器節(jié)點(diǎn)在異常情況下的數(shù)據(jù)，本文采用文獻(xiàn)[12]的方法，通過(guò)對(duì)數(shù)據(jù)加上滿(mǎn)足正態(tài)分布的噪聲值來(lái)模擬異常情況下傳感器節(jié)點(diǎn)的數(shù)據(jù)。

實(shí)驗(yàn)中,選取δ=2，N=54，εfs=50 nJ/bit,εmp=10 pJ/bit/m2，L=40,按式(1)求得k=6，傳感器節(jié)點(diǎn)被分為6個(gè)簇。圖2為改進(jìn)的k-means算法分簇結(jié)果，表1表示簇與對(duì)應(yīng)傳感器節(jié)點(diǎn)。

3.2入侵檢測(cè)性能分析

在進(jìn)行訓(xùn)練和測(cè)試時(shí)，實(shí)驗(yàn)中選取由電壓值、溫度和濕度所組成的向量。RVM最大迭代次數(shù)為500，核函數(shù)為RBF。在訓(xùn)練時(shí)選用200～500條記錄的平均值來(lái)作為樣本中的記錄，進(jìn)行測(cè)試時(shí)選用隨機(jī)的樣本進(jìn)行測(cè)試。

圖2　簇的分類(lèi)Fig 2　Classification of cluster

簇傳感器節(jié)點(diǎn)113,14,15,16,17,18,19,2024,5,6,7,8,9,10,11,12,53,54347,48,49,50,51,52438,39,40,41,42,43,44,45,4651,2,3,32,33,34,35,36,37621,22,23,24,25,26,27,28,29,30,31

對(duì)入侵檢測(cè)的性能評(píng)價(jià)指標(biāo)采用平均檢測(cè)率和平均誤檢率。在仿真實(shí)驗(yàn)中比較本文基于RVM方法和文獻(xiàn)[13]提出的基于SVM的方法。圖3表示傳感器節(jié)點(diǎn)平均檢測(cè)率，圖4表示傳感器節(jié)點(diǎn)平均誤檢率。

圖3　平均檢測(cè)率Fig 3　Average detection rate

圖4　平均誤檢率Fig 4　Average error detection rate

從圖3和圖4中可以看出，隨著訓(xùn)練記錄數(shù)的增多，與文獻(xiàn)[13]提出的基于SVM的入侵檢測(cè)方法相比，本文提出基于RVM的入侵檢測(cè)方法具有較高的平均檢測(cè)率和較低的平均誤檢率。這是因?yàn)楸疚牡哪Ｐ蛯⑾嗨频膫鞲衅鞴?jié)點(diǎn)劃分到同一個(gè)簇，使簇中的數(shù)據(jù)對(duì)象具有較高的相似度，

再經(jīng)過(guò)RVM算法訓(xùn)練后，泛化能力得到提高。

3.3能耗分析

為了評(píng)估節(jié)點(diǎn)平均能量開(kāi)銷(xiāo)，統(tǒng)計(jì)了節(jié)點(diǎn)在無(wú)入侵無(wú)檢測(cè)、無(wú)入侵有檢測(cè)和有入侵有檢測(cè)3種情況下的能量開(kāi)銷(xiāo)。入侵檢測(cè)能量消耗如圖5所示。

圖5　能量消耗Fig 5　Energy consumption

從圖5可以看出，在無(wú)入侵無(wú)檢測(cè)和無(wú)入侵有檢測(cè)情況下，節(jié)點(diǎn)能量的消耗比較平均；在有入侵有檢測(cè)情況下，系統(tǒng)初期能耗比較大，經(jīng)過(guò)一段時(shí)間后，能耗開(kāi)始降低。

4結(jié)束語(yǔ)

針對(duì)無(wú)線(xiàn)傳感器網(wǎng)絡(luò)計(jì)算能力低、能量有限等特點(diǎn)，本文提出了一種通過(guò)劃分簇、簇頭輪換以及基于RVM的入侵檢測(cè)模型。實(shí)驗(yàn)表明:該模型具有較高的平均檢測(cè)率和較低的平均誤檢率，并且具有低能耗的特點(diǎn)，對(duì)解決無(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)的問(wèn)題有一定的參考價(jià)值。

參考文獻(xiàn):

[1]王素蘋(píng).物聯(lián)網(wǎng)感知層安全性研究綜述[J].傳感器與微系統(tǒng),2015,34(16):6-9,16.

[2]Mutschlechner M,Li B,Kapitza R,et al.Using Erasure codes to overcome reliability issues in energy-constrained sensor network-s[C]∥Proceedings of the 11th Annual Conference on Wireless On-demand Network Systems and Services(WONS),Obergurgl,Austria,2014:41-48.

[3]李建中,高宏.無(wú)線(xiàn)傳感器網(wǎng)絡(luò)研究進(jìn)展[J].計(jì)算機(jī)研究與發(fā)展,2008,45(1):1-15.

[4]Tang Jiayu,Fan Pingzhi.A RSSI-based cooperative anomaly detection scheme for wireless sensor networks[C]∥Proceedings of the International Conference on Wireless Communications,Networking and Mobile Computing,2007:2783-2786.

[5]Yan K,Wang S C,Wang S S,et al.Hybrid intrusion detection system for enhancing the security of a cluster-based wireless sensor networks[C]∥Proceedings of 2010 the 3rd IEEE Internatio-nal Conference on Computer Science and Information Technology(ICCSIT),2010:114-118.

[6]Li Lei,Li Yanhui,Fu Dongyang,et al.Intrusion detection model based on hierarchical structure in wireless sensor networks[C]∥Proceedings of 2010 International Conference on Electrical and Control Engineering(ICECE),2010:2816-2819.

[7]王進(jìn),邵玉斌,龍華,等.基于能量和距離加權(quán)的WSNs簇頭選擇算法[J].傳感器與微系統(tǒng),2014,33(5):132-134.

[8]孫吉貴,劉杰,趙連宇.聚類(lèi)算法研究[J].軟件學(xué)報(bào),2008,19(1):48-61.

[9]Zhong Shi,Khoshgoftaar T M,Nath S V.A clustering approach to wireless network intrusion detection[C]∥Proceedings of the17th IEEE International Conference on Tools with Artificial Intelligence,ICTAI’05,Washington:IEEE Computer Society,2005:190-196.

[10] Liu Yuanchao,Wang Xiaolong,Liu Bingquan.An adapted algorithm of choosing initial values for K-means document cluste-ring[J].Chinese High Technology Letters,2006,16(1):11-15.

[11] John Flake,Todd K Moon,Mac McKee,et al.Application of the relevance vector machine to canal flow prediction in the Sevier River Basin[J].Agricultural Water Management,2010,97(2):208-214.

[12] Li Guorui,He Jingsha,Fu Yingfang.Group-based intrusion detection system in wireless sensor networks[J].Computer Communications,2008,31:4324-4332.

[13] Yassine Maleh,Abdellah Ezzati,Youssef Qasmaoui,et al.A glo-bal hybrid intrusion detection system for wireless sensor network-s[C]∥Proceedings of the 5th International Symposium on Frontiers in Ambient and Mobile Systems,FAMS 2015,Procedia Computer Science,2015:1047 - 1052.

Intrusion detection system model for wireless sensor networks

JIN Xin,HU Ping

(College of Computer Science and Technology,Nanjing Technology University,Nanjing 211816，China)

Abstract:To improve safety of wireless sensor networks(WSNs),in view of characteristics of WSNs,an intrusion detection system model is designed.According to clustering method,the model divides area into clusters;elect cluster heads in each cluster,cluster heads should be rotated regularly;adopt intrusion detection scheme based on relevance vector machine(RVM).Experimental results show that the proposed model has a higher average detection rate and lower average false rate compared with other intrusion detection models,and has characteristics of low energy consumption.

Key words:wireless senser networks(WSNs);intrusion detection;relevance vector machine(RVM)

DOI:10.13873/J.1000—9787(2016)05—0046—03

收稿日期：2015—08—19

中圖分類(lèi)號(hào):TP 393

文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1000—9787(2016)05—0046—03

作者簡(jiǎn)介:

金鑫(1990-)，男，江蘇南通人，碩士研究生,主要研究方向?yàn)闊o(wú)線(xiàn)傳感器網(wǎng)絡(luò)、信號(hào)處理。