一種基于無線傳感器網(wǎng)絡的入侵檢測技術

穆瑞輝

（新鄉(xiāng)學院計算機與信息工程學院，河南　新鄉(xiāng)453003）

一種基于無線傳感器網(wǎng)絡的入侵檢測技術

穆瑞輝

（新鄉(xiāng)學院計算機與信息工程學院，河南新鄉(xiāng)453003）

描述了關于WSN（無線傳感器網(wǎng)絡）入侵檢測的基本方法，并依據(jù)該方法建立了對應的數(shù)學模型。詳細分析并歸納了基于WSN運行的網(wǎng)絡關鍵特性，同時設計了一個通用的入侵檢測模型，該模型具有耗能小、檢測速度快等優(yōu)點。

WSN；入侵檢測；網(wǎng)絡特性

WSN（Wireless Sensor Network）是構成物聯(lián)網(wǎng)的重要部分，是關于信息采集和信息感知的一場革命，它有著廣闊的應用前景，可用于工業(yè)生產控制、醫(yī)療診斷、環(huán)境檢測、智能家居、商業(yè)應用及軍事偵察等諸多方面［1］。WSN是一種分布式的網(wǎng)絡，常用于對節(jié)點部署區(qū)內的各種信息進行采集和檢測，比如噪聲、濕度、有害氣體、溫度和光強等，其規(guī)模較大，節(jié)點一般分布在環(huán)境條件惡劣并且無人維護的地方。它通常在信息采集完畢并分析處理后，將數(shù)據(jù)通過無線的方式發(fā)送給研究者。由于WSN的網(wǎng)絡節(jié)點工作環(huán)境惡劣，既要面對各種威脅，如數(shù)據(jù)偽造、拒絕服務、數(shù)據(jù)泄露和重復攻擊等，又要面對攻擊者為獲取機密信息，比如存儲在傳感器節(jié)點中的數(shù)據(jù)、共享密鑰等對節(jié)點的物理捕獲，甚至有些攻擊者通過重寫存儲器，把節(jié)點變成攻擊者的網(wǎng)絡“臥底”，因此WSN系統(tǒng)的安全性要求較高，要求它既能準確地對網(wǎng)絡中各種非法入侵進行識別、報警并進行主動防御，又能準確地對入侵節(jié)點進行身份識別或位置定位，從而隔離入侵節(jié)點，保證WSN系統(tǒng)的安全。

1　入侵檢測的原理和數(shù)學模型

WSN網(wǎng)絡節(jié)點自身攜帶的電池能源是有限的，并且節(jié)點大都分布在無人區(qū)等環(huán)境惡劣的地方，因此在構建入侵檢測模型時，要關注以下幾點：1）節(jié)點的檢測速度。如果節(jié)點檢測速度慢，不僅會造成節(jié)點能量的浪費，還會造成節(jié)點的壽命變短。2）節(jié)點的網(wǎng)絡分布拓撲結構。這要求入侵檢測模型的工作模式也是分布式的。3）入侵檢測的準確性。即使在網(wǎng)絡出錯的情況下也需保持高準確性。

為了滿足上述要求，需要在監(jiān)視區(qū)域部署監(jiān)視節(jié)點和普通節(jié)點兩種類型的節(jié)點。監(jiān)視節(jié)點因為具有超強的計算處理能力、大的存儲容量及遠距離的無線傳輸能力，且運行模式是混合模式，既可以對信道進行監(jiān)聽，又可以對數(shù)據(jù)進行傳輸，所以主要被用來監(jiān)聽大范圍的信道，以監(jiān)控是否產生了非法的節(jié)點。普通節(jié)點主要負責數(shù)據(jù)的采集、檢測，以及數(shù)據(jù)的匯集和路由轉發(fā)［2］。

假設有監(jiān)視節(jié)點M個，這M個節(jié)點組成的集合，記為M，運行模式為混合模式，可進行無線傳輸?shù)淖畲缶嚯x是R；普通節(jié)點N個，節(jié)點集合記為N，每個節(jié)點都可以與鄰居節(jié)點通過一個安全的數(shù)據(jù)鏈路進行通信，可進行無線傳輸?shù)淖畲缶嚯x是r，且r＜＜R；監(jiān)視節(jié)點和普通節(jié)點的網(wǎng)絡位置分布服從泊松分布，在面積為A的區(qū)域內被混合隨機部署，則普通節(jié)點的密度函數(shù)為

監(jiān)視節(jié)點的密度函數(shù)為

假設監(jiān)視節(jié)點m所能監(jiān)聽到的最大范圍（半徑為R的圓形）內普通節(jié)點的集合用SMBm來表示，那么監(jiān)視節(jié)點m能監(jiān)聽到數(shù)量為k的普通節(jié)點的概率就是普通節(jié)點在半徑為R的圓上分布的概率。因為各節(jié)點的分布服從泊松分布，所以有

同理，假設普通節(jié)點s所能監(jiān)聽到的最大范圍（半徑為r的圓形）內的普通節(jié)點的集合用SHBs來表示，則普通節(jié)點s有鄰居節(jié)點k1的概率為

由于普通節(jié)點和監(jiān)視節(jié)點都服從泊松分布，并且是隨機部署，因此，可以用（3）式計算出每個監(jiān)視節(jié)點至少可監(jiān)聽到數(shù)量為k的普通節(jié)點的概率為

同樣，可以用（4）式計算出每個普通節(jié)點s至少與數(shù)量為k1的鄰居節(jié)點保持安全數(shù)據(jù)通信的概率為

用（4）式計算出每個普通節(jié)點最多有k2個鄰居節(jié)點的概率為

2　WSN網(wǎng)絡的關鍵特征

WSN有自己固有的特性，如數(shù)據(jù)傳輸模式、網(wǎng)絡拓撲結構和節(jié)點特性等，本文中所設計的入侵檢測模型就是通過檢測這些特性來發(fā)現(xiàn)網(wǎng)絡中的異常節(jié)點，進而判斷出入侵節(jié)點。

為了把模型中WSN的網(wǎng)絡特性描述清楚，現(xiàn)做如下假設：

1）pmean是網(wǎng)絡節(jié)點每秒產生的數(shù)據(jù)包的概率。

2）nc是網(wǎng)絡節(jié)點平均每秒要傳輸?shù)臄?shù)據(jù)包數(shù)量。

3）k2是每個網(wǎng)絡節(jié)點的最多鄰居數(shù)目，k1是每個網(wǎng)絡節(jié)點的最少鄰居數(shù)目。

4）t是網(wǎng)絡節(jié)點處理每個數(shù)據(jù)包的平均時間。

5）s是網(wǎng)絡節(jié)點產生數(shù)據(jù)包的平均長度。

6）nu是網(wǎng)絡節(jié)點傳輸或者產生數(shù)據(jù)包的平均耗能。

7）pi是每個網(wǎng)絡節(jié)點可以與i個鄰居節(jié)點進行安全通信的概率。

2.1網(wǎng)絡節(jié)點的流量

設r是WSN中每個網(wǎng)絡節(jié)點的無線傳輸距離，則根據(jù)假設1）、7）和（4）、（6）、（7）式，可以計算出網(wǎng)絡節(jié)點傳輸數(shù)據(jù)和產生數(shù)據(jù)的平均流量Ta、最小流量Tmin和最大流量Tmax分別為。其中pi的值可以由（4）式算出。

在實際應用中，可能有些網(wǎng)絡節(jié)點由于出現(xiàn)硬件故障或者電池能源耗盡而退出網(wǎng)絡，故這些節(jié)點傳輸和產生的數(shù)據(jù)量是零。這種情況會在檢測節(jié)點數(shù)據(jù)的最小流量時產生影響，導致檢測結果出現(xiàn)偏差。因此，這里以每個網(wǎng)絡節(jié)點的最大流量和平均流量作為主要的入侵檢測特征［3］。

2.2鄰居節(jié)點的數(shù)量

在實際應用中，一般情況下不會增加新的網(wǎng)絡節(jié)點，而每個網(wǎng)絡節(jié)點都可能會因能源耗盡而停止工作，導致與之相鄰的網(wǎng)絡節(jié)點的鄰居節(jié)點數(shù)量減少，因此，如果發(fā)現(xiàn)某些節(jié)點的鄰居節(jié)點數(shù)目增加，就有可能是入侵網(wǎng)絡的非法節(jié)點。

2.3路由表變化頻率

依據(jù)2.2的描述，一旦WSN部署完畢，就不會增加新的節(jié)點，因此，路由表應該在一定的時間段是保持靜態(tài)的，不會發(fā)生太大、太快的變化。

2.4網(wǎng)絡節(jié)點數(shù)據(jù)包處理的最長時間

（（k2-1）nc+Δn）t是每一個網(wǎng)絡節(jié)點轉發(fā)數(shù)據(jù)包和處理自己所產生的數(shù)據(jù)包的最長時間，其中Δn為固定參數(shù)。

2.5數(shù)據(jù)包存儲占用的最大空間

（（k2-1）nc+Δn）s是每一個網(wǎng)絡節(jié)點進行存儲轉發(fā)數(shù)據(jù)包所需要的最大空間值。

2.6網(wǎng)絡節(jié)點的耗能

（（k2-1）nc+Δn）nu是網(wǎng)絡節(jié)點每秒耗能的最大值。

使用以上定義的WSN網(wǎng)絡的特性，就可以檢測出網(wǎng)絡節(jié)點是否被入侵。

3　基于WSN網(wǎng)絡特性的入侵檢測模型

3.1入侵檢測模型的構建

假設場景為某戰(zhàn)場，一方使用飛機等飛行器將體積微小的傳感器節(jié)點拋灑到需要監(jiān)聽的另一方陣地。這些傳感器節(jié)點會把檢測到的敵方信息生成相應的數(shù)據(jù)報告，并通過安全的數(shù)據(jù)鏈路發(fā)送到隱蔽基站，由基站把數(shù)據(jù)報告通過衛(wèi)星或者大功率的無線電臺轉發(fā)到后方指揮中心。由于戰(zhàn)場形勢瞬息萬變，及時發(fā)來的數(shù)據(jù)信息是戰(zhàn)場勝負的關鍵因素之一，因此WSN網(wǎng)絡的快速傳輸和快速檢測能力就顯得極為重要。但是，部署在對方陣地的傳感器節(jié)點容易暴露并被捕獲，若對方在其中植入代碼，則可更改和竊取更多傳感器節(jié)點的數(shù)據(jù)信息，進而通過無線電信號干擾和破壞一定范圍內的傳感器節(jié)點的正常數(shù)據(jù)通信。此外，常見的傳感器節(jié)點攻擊還有耗盡能量的攻擊和不同步的攻擊等［5］。

本文構建的入侵檢測模型如圖1所示。

監(jiān)視節(jié)點先監(jiān)聽其監(jiān)視范圍內的網(wǎng)絡節(jié)點，再將檢測到的數(shù)據(jù)信息存儲、過濾和整理分類，最后對數(shù)據(jù)信息進行分析并轉發(fā)，過程如圖2所示。

圖1　入侵檢測模型檢測流程圖

圖2　監(jiān)視節(jié)點進行數(shù)據(jù)信息分類和收集

窗函數(shù)決定了監(jiān)視節(jié)點能收集的數(shù)據(jù)信息量。在圖2中，監(jiān)視節(jié)點的檢測時間被分成若干時間片，每個窗函數(shù)所能用的時間片是動態(tài)的，大小由入侵檢測結果來決定。檢測過程可以用如下算法描述：

在算法中，監(jiān)視節(jié)點開始只在原始分配的時間片MT內監(jiān)聽其周圍的網(wǎng)絡節(jié)點，若檢測收集的數(shù)據(jù)信息量大，那么監(jiān)視節(jié)點就會調整窗函數(shù)來延長收集時間，從而可以監(jiān)聽到更多的數(shù)據(jù)信息。如果監(jiān)視節(jié)點延長的窗函數(shù)處理時間超出原始的監(jiān)聽時間片較多，則監(jiān)視節(jié)點就會減少監(jiān)聽時間［6-7］。

3.2入侵檢測模型的仿真實驗

通過仿真可檢測出該模型與常用模型相比所具有的優(yōu)勢。在發(fā)生攻擊時，數(shù)據(jù)信息包傳輸信道的報文重放率與相關系數(shù)之間的關系如圖3所示。

圖3　報文重放率與入侵檢測相關系數(shù)的關系

從圖3可以看出，在報文重放率較小的情況下，相關系數(shù)的值要大于傳統(tǒng)模型的檢測值，隨著報文重放率的增大，本文設計的檢測模型的相關系數(shù)急劇下降，符合相關系數(shù)受報文重放率影響的特征。

與傳統(tǒng)檢測模型相比，該模型具有明顯的入侵檢測優(yōu)勢：1）檢測速度更快；2）不需要額外的硬件支持，資源消耗少，增強了WSN網(wǎng)絡的健壯性；3）在采集數(shù)據(jù)的同時進行入侵檢測，并對數(shù)據(jù)包進行分析，不僅大大提高了入侵檢測的速度，而且大大減輕了通信負擔。

4　結束語

通過在WSN網(wǎng)絡中部署普通節(jié)點和監(jiān)視節(jié)點，并劃分相應節(jié)點的功能，構建了基于WSN網(wǎng)絡的入侵檢測模型，該模型具有耗能小、檢測速度快等優(yōu)點，可以應用于大部分WSN網(wǎng)絡的入侵檢測中。

［1］劉陽.基于免疫原理的無線傳感器網(wǎng)絡入侵檢測系統(tǒng)研究［D］.北京：中國科學院計算技術研究所，2008.

［2］VAQUERO L，RODERO M L，CACERCE J，et al.A Break in the Clouds:Towards a Cloud Definition［J］. SIGCOMM Computer Communication Review，2009，39 （1）:50-55.

［3］張建偉，王玲艷，姚云磊.一種基于OPTICS聚類的流量分類算法［J］.鄭州輕工業(yè)學院學報（自然科學版），2013 （2）：93-96.

［4］徐志紅，劉進軍，趙生慧.適應廣域網(wǎng)的虛擬機在線遷移模型［J］.計算機應用，2012（7）：1929-1931.

［5］任豐原，黃海寧，林闖.無線傳感器網(wǎng)絡［J］.軟件學報，2013（7）：1282-1291.

［6］王得發(fā)，王麗芳，蔣澤軍.云計算環(huán)境中虛擬機智遷移關鍵技術研究［J］.計算機測量與控制，2012（5）：1389-1391.

［7］賴昨江，王漫，尹京苑.無線傳感器網(wǎng)絡安全研究綜述［J］.電子測量技術，2010（12）：72-78.

【責任編輯梅欣麗】

An Intrusion Detection Technology Based on Wireless Sensor Networks

MU Ruihui
（College of Computer and Information Engineering，Xinxiang University，Xinxiang 453003，China）

This paper described the basic methods on WSN（Wireless Sensor Networks）intrusion detection technology，and the corresponding mathematical model was established according to the method.The key features of network-based WSN run were detailedly analyzed and summarized；meanwhile a common intrusion detection model was designed，which had advantages of low energy consumption and fast testing speed.

WNS；intrusion detection；network features

TP393

A

2095-7726（2016）03-0033-04

2015-11-15

穆瑞輝（1980-），男，河南輝縣人，講師，碩士，研究方向：網(wǎng)絡軟件設計與開發(fā)。