基于時(shí)間序列分析的無線傳感器網(wǎng)絡(luò)入侵檢測研究

張磊+蔡永新　陳潮

摘 要： 由于無線傳感器網(wǎng)絡(luò)工作環(huán)境的不穩(wěn)定性，其安全問題成為公共安全新一輪的挑戰(zhàn)。為防止無線傳感器網(wǎng)絡(luò)被惡意破壞，僅依靠其自身安全機(jī)制不足以應(yīng)對復(fù)雜的安全環(huán)境。因此，針對數(shù)據(jù)包的時(shí)間序列，開展對無線傳感器網(wǎng)絡(luò)入侵檢測方法的研究。通過時(shí)間序列算法對入侵?jǐn)?shù)據(jù)進(jìn)行檢測，并采用切比雪夫算法對離群時(shí)間序列進(jìn)行驗(yàn)證，以達(dá)到無線傳感器網(wǎng)絡(luò)入侵檢測的目的；通過NS2仿真技術(shù)對ZigBee傳感器漏洞進(jìn)行建模分析，驗(yàn)證通過數(shù)據(jù)包時(shí)間序列分析，檢測惡意入侵的有效性，并達(dá)到預(yù)期成果。

關(guān)鍵詞： 無線傳感器網(wǎng)絡(luò)； 時(shí)間序列； 入侵檢測； 切比雪夫算法

中圖分類號：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2017）12-24-04

Intrusion detection in wireless sensor networks based on time series analysis

Zhang Lei， Cai Yongxin， Chen Chao

（Zhejiang Police College， Hangzhou， Zhejiang 310053， China）

Abstract： With the continuous development of wireless sensor network technology， the logical information world and the objective physical world are fused together. Due to the instability of the working environment of wireless sensor networks， the security problem has become a new round of public security challenges. In order to prevent wireless sensor networks from being maliciously destroyed， relying only on its own security mechanism is not enough to cope with the complex security environment. Therefore， this paper studies the intrusion detection methods for wireless sensor networks according to the time series of packets. The time series algorithm is used to detect the intrusion data， and the Chebyshev algorithm is used to verify the outlier time series， so as to achieve the purpose of intrusion detection in wireless sensor networks； NS2 simulation technology is used to model and analyze the ZigBee sensor vulnerability， and the validity to detect the malicious intrusion is verified through the data packet time series analysis， and the expected results are achieved.

Key words： wireless sensor networks （WSN）； time series； intrusion detection； Chebyshev algorithm

0 引言

無線傳感器網(wǎng)絡(luò)[1]（Wireless Sensor Networks， WSN）是一種分布式傳感網(wǎng)絡(luò)，它的末梢是可以感知外部世界的無線傳感器。在其監(jiān)測區(qū)域內(nèi)，部署著大量靜止或移動(dòng)的傳感節(jié)點(diǎn)，形成一個(gè)多跳的自組網(wǎng)絡(luò)系統(tǒng)。無線傳感器之間通過IEEE802.15.4協(xié)議進(jìn)行通信，對感知數(shù)據(jù)進(jìn)行采集、傳輸和處理等工作。在安全性方面，無線傳感器網(wǎng)絡(luò)具有規(guī)模大、自組織、動(dòng)態(tài)性、能量有限，以及以數(shù)據(jù)為中心等特點(diǎn)。因此，其不僅包含了傳統(tǒng)的網(wǎng)絡(luò)安全問題，更增加其自帶的許多安全問題，比如：蟲洞攻擊、黑洞攻擊、女巫攻擊、選擇性轉(zhuǎn)發(fā)攻擊、HELLO泛洪攻擊、欺騙性確認(rèn)攻擊、虛假路由攻擊等。這些針對無線傳感器網(wǎng)絡(luò)的入侵行為不僅對網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的真實(shí)性造成影響，還會導(dǎo)致整個(gè)無線傳感器網(wǎng)絡(luò)癱瘓，造成無可挽回的損失。在安全事件的預(yù)防技術(shù)方面，無線傳感器網(wǎng)絡(luò)有健全的數(shù)據(jù)傳輸加密機(jī)制[2]和身份認(rèn)證機(jī)制[3]，這些技術(shù)能夠降低無線傳感器網(wǎng)絡(luò)被入侵的風(fēng)險(xiǎn)，但是不能夠完全阻止入侵事件的發(fā)生，僅依靠網(wǎng)絡(luò)的安全機(jī)制，還不足以達(dá)到預(yù)期的安全目標(biāo)。同時(shí)，這些不安全因素已經(jīng)嚴(yán)重阻礙無線傳感器網(wǎng)絡(luò)的普及和應(yīng)用。因此，無線傳感器網(wǎng)絡(luò)的入侵檢測技術(shù)受到領(lǐng)域內(nèi)研究人員的極大關(guān)注。通過入侵檢測彌補(bǔ)通過預(yù)防技術(shù)所不能解決的安全問題，為無線傳感器網(wǎng)絡(luò)提供實(shí)時(shí)的入侵檢測和安全防護(hù)。

一個(gè)有效的入侵檢測系統(tǒng)需要具有簡單性、實(shí)時(shí)性和檢測有效性這三個(gè)特性。目前無線傳感器網(wǎng)絡(luò)的入侵檢測主要方法有：基于多代理的入侵檢測方法、基于機(jī)器學(xué)習(xí)的入侵檢測方法和基于網(wǎng)絡(luò)流量的入侵檢測方法等。在文獻(xiàn)[5]中王培等人通過讓節(jié)點(diǎn)和簇頭執(zhí)行不同檢測任務(wù)，結(jié)合本地檢測和聯(lián)合檢測技術(shù)，使用多個(gè)代理模塊實(shí)現(xiàn)數(shù)據(jù)的收集、入侵響應(yīng)、分析檢測和代理管理等任務(wù)，提出一種基于多代理的入侵檢測方法。文獻(xiàn)[6]中作者通過對鄰居節(jié)點(diǎn)監(jiān)聽信標(biāo)包，基于免疫遺傳算法提取作為抗原的關(guān)鍵參數(shù)，通過抗原數(shù)量與閾值相比較，提出基于免疫遺傳算法的入侵檢測方法。文獻(xiàn)[7]中作者通過SVM（Support Vector Machine）對入侵?jǐn)?shù)據(jù)進(jìn)行健壯性分類，提出基于支持向量機(jī)的入侵檢測方法。以上檢測方法通過實(shí)驗(yàn)檢測，均能夠?qū)θ肭中袨檫M(jìn)行較為準(zhǔn)確的檢測。但是這些檢測方法存在以下兩點(diǎn)缺陷：①能耗問題，使用代理功能造成較大的能量消耗；②基于機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等方法的檢測技術(shù)存在著樣本需求量大、訓(xùn)練所需時(shí)間長等缺點(diǎn)。

針對上述入侵檢測方法所存在的缺陷，本文提出一種基于時(shí)間序列分析的無線傳感器網(wǎng)絡(luò)入侵檢測方法。該方法通過sink節(jié)點(diǎn)監(jiān)聽所有子節(jié)點(diǎn)的行為模式，以無線傳感器網(wǎng)絡(luò)內(nèi)流量的實(shí)時(shí)數(shù)據(jù)為對象，分析數(shù)據(jù)包的時(shí)間序列。獲取數(shù)據(jù)包的接收率：檢測無線傳感器網(wǎng)絡(luò)中一段固定時(shí)間窗下數(shù)據(jù)包分組接收率。數(shù)據(jù)包到達(dá)時(shí)間間隔：從相同的源節(jié)點(diǎn)的兩個(gè)連續(xù)的數(shù)據(jù)包到達(dá)間隔時(shí)間。以正常狀態(tài)下，獲取時(shí)間序列參數(shù)值。計(jì)算出數(shù)據(jù)包接收率和數(shù)據(jù)包到達(dá)時(shí)間間隔的閾值，建立檢測模型。將無線傳感器網(wǎng)絡(luò)中新數(shù)據(jù)與檢測模型進(jìn)行分析，如果與模型不一致，則發(fā)出入侵警報(bào)。最后，在仿真網(wǎng)絡(luò)環(huán)境來驗(yàn)證該算法的有效性。

1 入侵檢測模型

本文提出的基于時(shí)間序列分析的入侵檢測算法是一種高效率的、輕量的、連續(xù)而且實(shí)時(shí)的入侵檢測算法。通過sink節(jié)點(diǎn)對無線傳感器網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測，不需要額外的硬件設(shè)施和通信費(fèi)用，避免采用代理功能等方式所需要消耗的大量資源、能量，實(shí)現(xiàn)輕量的特性。對數(shù)據(jù)包的時(shí)間序列，分析子節(jié)點(diǎn)的行為模式，在一定時(shí)間窗下測量數(shù)據(jù)包接收率和數(shù)據(jù)包間的時(shí)間間隔，建立檢測模型，判斷是否存在入侵行為。該方式彌補(bǔ)基于機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等方法存在的過度依賴訓(xùn)練庫、訓(xùn)練時(shí)間長等缺陷。所設(shè)計(jì)的基于時(shí)間序列分析的入侵檢測模型，如圖1所示。

該模型結(jié)合特征檢測和統(tǒng)計(jì)檢測方法。根據(jù)入侵檢測的實(shí)時(shí)數(shù)據(jù)，建立實(shí)時(shí)特征庫，通過特征數(shù)據(jù)庫對數(shù)據(jù)進(jìn)行碰撞，提高檢測的準(zhǔn)確性和檢測效率。對未知數(shù)據(jù)采用時(shí)間序列分析，時(shí)間序列分析算法能夠?qū)崟r(shí)的、準(zhǔn)確的對入侵行為進(jìn)行檢測。并且對入侵行為和非入侵行為分別進(jìn)行記錄，可發(fā)現(xiàn)后續(xù)的檢測效率會不斷的提高。

2 時(shí)間序列分析算法

時(shí)間序列是按照時(shí)間順序收集到的一組監(jiān)測數(shù)據(jù)。記錄第i時(shí)刻的監(jiān)測數(shù)據(jù)為x（i），則x（1），x（2），x（3），x（4），x（5）…x（i）…就是一個(gè)時(shí)間序列。假設(shè)對無線傳感器網(wǎng)絡(luò)的某一節(jié)點(diǎn)的時(shí)間序列進(jìn)行K次檢測，每次檢測為一個(gè)運(yùn)行周期，將運(yùn)行周期劃分為l個(gè)時(shí)段，用x（i，j）表示第i次檢測時(shí)第j和時(shí)段內(nèi)事件（數(shù)據(jù)包到達(dá)的時(shí)間間隔或數(shù)據(jù)包的接收率）。M（j）表示在第j個(gè)時(shí)段內(nèi)該時(shí)間發(fā)生的平均次數(shù)，則有：

當(dāng)進(jìn)行K+1次檢測后，將M（j）作為第j時(shí)間段內(nèi)事件（數(shù)據(jù)包到達(dá)的時(shí)間間隔或數(shù)據(jù)包的接收率發(fā)生次數(shù)）的期望值。用x（K+1，j）表示第j時(shí)間段內(nèi)事件的實(shí)際發(fā)生次數(shù)，可以獲取他們的相對偏差為：

根據(jù)時(shí)間段j建立時(shí)間模型，設(shè)立閾值δ，當(dāng)?shù)南鄬ζ顉（j）≧δ1，即可判定在j時(shí)間段內(nèi)可能發(fā)生入侵事件。

文獻(xiàn)[10]中作者提出一種通過切比雪夫多項(xiàng)式對無線傳感器網(wǎng)絡(luò)的時(shí)間序列進(jìn)行分析獲取網(wǎng)絡(luò)中的離群時(shí)間序列。在為無線傳感器網(wǎng)絡(luò)Y中設(shè)置參數(shù)，D：部署區(qū)域；A：傳感節(jié)點(diǎn)的集合；m：傳感器節(jié)點(diǎn)采集到數(shù)據(jù)長度，d：傳感器節(jié)點(diǎn)采集到數(shù)據(jù)維度；W：時(shí)間窗口；ω：滑動(dòng)窗口（ω<

時(shí)間序列的切比雪夫系數(shù)：

相似序列：對于兩個(gè)時(shí)間序列S，R，此兩個(gè)時(shí)間序列的切比雪夫系數(shù)向量分別為C，D。若Discby（C，D）<ε， 則稱時(shí)間序列S和R相似。對于一個(gè)時(shí)間序列S，如果歷史數(shù)據(jù)窗口中，與之相似的時(shí)間序列（記為similar（S，R））數(shù)量小于一定的比例，那么時(shí)間序列S稱為離群時(shí)間序列即

在式⑷中，R為與S相似的時(shí)間序列，H為時(shí)間窗口W中的歷史數(shù)據(jù)窗口。

3 入侵檢測算法

根據(jù)第1部分基于時(shí)間序列分析的無線傳感器網(wǎng)絡(luò)入侵檢測模型，通過對無線傳感器網(wǎng)絡(luò)進(jìn)行流量分析，以時(shí)間序列中數(shù)據(jù)包到達(dá)的時(shí)間間隔和數(shù)據(jù)包的接收率的值為數(shù)據(jù)特征，判斷是否存在入侵行為。入侵檢測模塊中采用時(shí)間序列分析算法作為檢測算法，采用切比雪夫算法作為行為預(yù)測的核心算法。入侵檢測算法描述如下：

抽取時(shí)間段j網(wǎng)絡(luò)流量進(jìn)行檢測；z（j）為j時(shí)間段內(nèi)的相對偏差；t為在正常行為庫中多個(gè)時(shí)間序列；δ1為通過時(shí)間序列檢測模型建立的閾值；S為在j時(shí)間段內(nèi)數(shù)據(jù)包的時(shí)間序列；δ2為通過切比雪夫算法運(yùn)算后，時(shí)間序列相似序列閾值；具體流程如圖2所示。

通過監(jiān)測并采集網(wǎng)絡(luò)流量，對無線傳感器網(wǎng)絡(luò)進(jìn)行入侵檢測。通過抽取正常行為庫中多個(gè)時(shí)刻的時(shí)間序列，建立檢測模型、設(shè)定閾值δ1。時(shí)間序列的相對偏差z（j），當(dāng)z（j）<δ1時(shí)表示該測量時(shí)間序列在正常范圍內(nèi)發(fā)送至正常行為庫，通過決策模塊對正常數(shù)據(jù)放行。當(dāng)z（j）≧δ1時(shí)，j時(shí)間段內(nèi)的時(shí)間序列存在偏差數(shù)據(jù)，可能存在入侵行為。再通過切比雪夫算法進(jìn)行分析，判斷時(shí)間段j內(nèi)是否存在離群時(shí)間序列S，閾值δ2如果時(shí)間序列S≧δ2，則返回再次進(jìn)行相對偏差分析。如果時(shí)間序列S<δ2，即時(shí)間序列S為離群時(shí)間序列，將數(shù)據(jù)錄入到入侵行為庫，并且將數(shù)據(jù)發(fā)送至決策模塊，對入侵行為進(jìn)行警報(bào)。

4 仿真實(shí)驗(yàn)

4.1 背景介紹

仿真模擬實(shí)驗(yàn)基于模擬CVE-2016-2398，Comcast Xfinity家庭安全系統(tǒng)缺陷，使得攻擊者可以通過干擾ZigBee 2.4GHz傳輸，破壞傳感器正常運(yùn)行。使用NS2（Network Simulator version 2）仿真，模擬Xfinity智能家庭安全系統(tǒng)的漏洞的無線傳感器網(wǎng)絡(luò)通信。通過對無線傳感器網(wǎng)絡(luò)進(jìn)行流量監(jiān)聽，分析網(wǎng)絡(luò)內(nèi)IP數(shù)據(jù)包到達(dá)各節(jié)點(diǎn)的時(shí)間序列，驗(yàn)證數(shù)據(jù)的真實(shí)性和完整性，檢測出該惡意入侵行為。在該仿真實(shí)驗(yàn)中無線傳感器節(jié)點(diǎn)分布如圖3所示；系統(tǒng)參數(shù)配置如表1所示。

4.2 測試參數(shù)配置

本次仿真實(shí)驗(yàn)，通過干擾無線傳感器網(wǎng)絡(luò)node6節(jié)點(diǎn)的2.4GHz信道，造成信道擁塞。使node6節(jié)點(diǎn)間不能夠與網(wǎng)絡(luò)正常通信，造成錯(cuò)誤的數(shù)據(jù)包時(shí)間序列。

4.3 實(shí)驗(yàn)結(jié)果

如圖4所示，為正常狀態(tài)下在某一時(shí)間段內(nèi)IP數(shù)據(jù)包時(shí)間序列和入侵狀態(tài)下在同一時(shí)間段內(nèi)IP數(shù)據(jù)包時(shí)間序列。在這種情況下，通過計(jì)算無線傳感器網(wǎng)絡(luò)中的數(shù)據(jù)包接收率和到達(dá)時(shí)間間隔，對比在相同時(shí)間段內(nèi)兩組數(shù)據(jù)的值。結(jié)果顯而易見，入侵行為與正常行為存在明顯偏差。這種情況下，將正常狀態(tài)下的數(shù)據(jù)包接收率和到達(dá)時(shí)間間隔進(jìn)行統(tǒng)計(jì)建模，得出時(shí)間序列閾值，再與入侵狀態(tài)下的時(shí)間序列進(jìn)行相對偏差比較。就能夠準(zhǔn)確的檢測出入侵行為，檢測準(zhǔn)確率能達(dá)到95%以上。從檢測統(tǒng)計(jì)結(jié)果中可知，使用該算法能夠根據(jù)實(shí)時(shí)數(shù)據(jù)很好地檢測出入侵行為，有較高的準(zhǔn)確率以及較低的錯(cuò)誤率和漏檢率。

5 結(jié)束語

本文提出的基于時(shí)間序列分析的實(shí)時(shí)入侵檢測方法，以無線傳感器網(wǎng)絡(luò)中的流量作為對象，測量時(shí)間序列。采用時(shí)間序列相對偏差計(jì)算、切比雪夫算法對網(wǎng)絡(luò)中流量進(jìn)行分析，判斷時(shí)間序列中存在的離群數(shù)據(jù)，進(jìn)而對入侵行為進(jìn)行準(zhǔn)確辨認(rèn)。在仿真環(huán)境下對該算法進(jìn)行測試，對入侵行為檢測有較高的準(zhǔn)確率，對無線傳感器網(wǎng)絡(luò)的入侵檢測具有實(shí)際作用。

參考文獻(xiàn)（References）：

[1] 孫利民.無線傳感器網(wǎng)絡(luò)[M].清華大學(xué)出版社，2005.

[2] 包榮鑫，溫靖程，黎子熠等.無線傳感器網(wǎng)絡(luò)傳輸加密機(jī)制[J].

中國新通信，2015.18：66-66

[3] 趙玉華，李志剛，李志民等.無線傳感器網(wǎng)絡(luò)用戶認(rèn)證技術(shù)綜

述[J].計(jì)算機(jī)測量與控制，2009.17（12）：2348-2351

[4] 濮青.入侵檢測系統(tǒng)面臨問題與發(fā)展趨勢研究[J].計(jì)算機(jī)工

程與設(shè)計(jì)，2004.25（1）：55-57

[5] 王培，周賢偉，覃伯平等.基于多代理的無線傳感器網(wǎng)絡(luò)入侵

檢測系統(tǒng)研究[J].傳感技術(shù)學(xué)報(bào)，2007.20（3）：677-681

[6] Liu Y， Yu F. Immunity-based intrusion detection for

wireless sensor networks[C]//IEEE International Joint Conference on Neural Networks. IEEE，2008：439-444

[7] Tian J， Gao M， Zhou S. Wireless sensor network for

community intrusion detection system based on classify support vector machine[C]//International Conference on Information and Automation.IEEE，2009：1217-1221

[8] 鐘敦昊，張冬梅，張玉.一種基于相似度計(jì)算的無線傳感器網(wǎng)

絡(luò)入侵檢測方法[J].信息網(wǎng)絡(luò)安全，2016.2：22-27

[9] 韓志杰，張瑋瑋，陳志國.基于Markov的無線傳感器網(wǎng)絡(luò)入侵

檢測機(jī)制[J].計(jì)算機(jī)工程與科學(xué)，2010.32（9）：27-29

[10] 唐琪，劉學(xué)軍.無線傳感器網(wǎng)絡(luò)離群時(shí)間序列檢測研究[J].傳

感技術(shù)學(xué)報(bào)，2013.26（1）：95-99