基于機器學(xué)習(xí)的無線傳感網(wǎng)絡(luò)通信異常入侵檢測技術(shù)*

肖 衡龍草芳

(1.三亞學(xué)院信息與智能工程學(xué)院，海南 三亞572022；2.三亞學(xué)院陳國良院士工作站，海南 三亞572022)

無線傳感網(wǎng)絡(luò)中包含嵌入式計算、分布式信息處理等技術(shù)，一般被安置于無人區(qū)域及惡劣環(huán)境中，實時監(jiān)測并感知被監(jiān)測目標(biāo)的信息，運用自組多跳形式[1]傳遞至用戶終端，這一通信傳輸過程對安全性要求很高。 但傳感網(wǎng)絡(luò)存在節(jié)點能量受限[2]、節(jié)點數(shù)量較大、缺少明確的網(wǎng)絡(luò)防御邊界等實際問題，與其他類型網(wǎng)絡(luò)相比，更易遭受攻擊者惡意入侵，如何有效抵制異常入侵行為、保障通信數(shù)據(jù)的完整性[3]成為無線傳感網(wǎng)絡(luò)通信研究的核心內(nèi)容。 無線傳感網(wǎng)絡(luò)通信的攻擊方式主要有消耗能量與偽造數(shù)據(jù)，不同的攻擊方式對網(wǎng)絡(luò)的影響與威脅各不相等，通常來說，被動攻擊，例如黑洞攻擊、重發(fā)攻擊等對網(wǎng)絡(luò)通信的威脅較小，但主動攻擊譬如洪泛攻擊、女巫攻擊等不會將網(wǎng)絡(luò)數(shù)據(jù)作為攻擊目標(biāo)，而是把網(wǎng)絡(luò)路由看作攻擊對象，引發(fā)網(wǎng)絡(luò)局部混亂，更有甚者令網(wǎng)絡(luò)整體癱瘓。以常見的黑洞攻擊、灰洞攻擊、洪泛攻擊與調(diào)度攻擊為例，詳細(xì)闡明攻擊的具體形態(tài)。

第一，黑洞攻擊[4]。 無線傳感網(wǎng)絡(luò)中的部分節(jié)點會錯誤地匯聚在偽簇頭節(jié)點，出現(xiàn)數(shù)據(jù)包傳輸失誤的情況。 發(fā)起黑洞攻擊的偽簇頭節(jié)點會舍棄數(shù)據(jù)包，導(dǎo)致無線傳感網(wǎng)絡(luò)無法完成通信數(shù)據(jù)的傳輸。

第二，灰洞攻擊。 與黑洞攻擊類似，攻擊節(jié)點在各工作周期初始時段，把自身簇頭節(jié)點的信息廣播傳送至其余節(jié)點，導(dǎo)致部分節(jié)點加入到偽簇頭節(jié)點中。 與黑洞攻擊的區(qū)別在于，發(fā)起灰洞攻擊的偽虛頭節(jié)點會在任意舍棄數(shù)據(jù)包的同時，阻礙數(shù)據(jù)包與基站之間的數(shù)據(jù)傳輸。

第三，洪泛攻擊[5]。 該攻擊模式會傳輸較多簇頭廣播信息侵占帶寬資源，損耗感知層節(jié)點的能源供應(yīng)，攻擊節(jié)點會偽裝自己并損耗感知節(jié)點能源。

第四，調(diào)度攻擊。 調(diào)度攻擊產(chǎn)生于傳輸協(xié)議的前期，惡意攻擊會偽裝成簇頭節(jié)點，給予全部感知節(jié)點相等的數(shù)據(jù)時間戳，調(diào)整廣播調(diào)度致使數(shù)據(jù)傳輸發(fā)生沖突。

面對異常入侵檢測問題，文獻(xiàn)[6]提出基于自步學(xué)習(xí)的入侵檢測方法，該方法通過自主學(xué)習(xí)模型優(yōu)化損失函數(shù)，調(diào)整權(quán)值更新方法并計算弱分類器參數(shù)，創(chuàng)建弱分類器實現(xiàn)入侵檢測。 該方法能夠很好地解決異常入侵檢測問題，但自主學(xué)習(xí)模型優(yōu)化損失函數(shù)耗時過長，導(dǎo)致入侵檢測的效率過低。 文獻(xiàn)[7]提出基于序列模型的入侵檢測方法，將網(wǎng)絡(luò)與主機相結(jié)合，創(chuàng)建入侵檢測系統(tǒng)，利用深度學(xué)習(xí)方法識別入侵行為。 該方法有效地保證了無線傳感網(wǎng)絡(luò)的安全，但此方法在構(gòu)建入侵檢測系統(tǒng)時沒有剔除冗余數(shù)據(jù)，導(dǎo)致入侵檢測精度不足。 文獻(xiàn)[8]提出基于神經(jīng)模糊的入侵檢測方法，該方法采用模糊神經(jīng)網(wǎng)絡(luò)構(gòu)建入侵檢測輔助工具，并在每個輕量級節(jié)點中進(jìn)行檢測。 該方法的優(yōu)點是能耗較低，輔助工具可以獨立地監(jiān)視節(jié)點的行為，判斷節(jié)點的可信程度，從而降低虛警概率。 但是該方法的時間開銷較大。 文獻(xiàn)[9]針對無線傳感網(wǎng)絡(luò)中的入侵檢測問題，以入侵路徑跟蹤為出發(fā)點進(jìn)行研究。 首先計算出惡意入侵的興趣區(qū)，并檢測出興趣區(qū)中的入侵痕跡，沿著入侵痕跡明確入侵路徑，從而完成入侵檢測。 該方法具有可操作性，但是由于興趣區(qū)中的入侵路徑十分不規(guī)則，導(dǎo)致入侵檢測精度較低。

因此，設(shè)計了一種基于機器學(xué)習(xí)的無線傳感網(wǎng)絡(luò)通信異常入侵檢測技術(shù)。 全方面分析無線傳感網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與遭受的攻擊類型，通過支持向量機方法實現(xiàn)無線傳感網(wǎng)絡(luò)通信節(jié)點定位，獲悉網(wǎng)絡(luò)節(jié)點分布情況，通過重要性指標(biāo)衡量節(jié)點是否被入侵，從而實現(xiàn)異常入侵檢測。

1 無線傳感網(wǎng)絡(luò)通信節(jié)點定位

當(dāng)前已有的通信異常入侵檢測方法，忽略了對網(wǎng)絡(luò)通信狀態(tài)的獲取，無法對通信異常局域?qū)崿F(xiàn)精準(zhǔn)定位[10]。 因此，在本研究進(jìn)行通信異常入侵檢測前，利用機器學(xué)習(xí)中的支持向量機方法定位通信節(jié)點，明確無線傳感網(wǎng)絡(luò)的通信狀態(tài)，判斷通信過程是否存在潛在威脅。

支持向量機將向量非線性映射投影至高維特征空間內(nèi)[11]，完成向量結(jié)構(gòu)的最優(yōu)化處理，其結(jié)構(gòu)如圖1 所示。

圖1 支持向量機結(jié)構(gòu)

圖1 中，y表示輸出值，x表示輸入值。 從函數(shù)層面來看，支持向量機的分類函數(shù)和神經(jīng)網(wǎng)絡(luò)分類函數(shù)較為接近，在輸出的節(jié)點內(nèi)不但擁有線性組合特性，且各節(jié)點內(nèi)的支持向量機極度相似。

支持向量機利用線性可分原則分類信息，可明確最優(yōu)分類面之間每個維度空間節(jié)點的內(nèi)涵。 最優(yōu)分類面必須符合如下兩個特點:第一，準(zhǔn)確評估兩種不同節(jié)點的類別，第二，判斷分類的特征值要足夠大，也就是向量的分類間隔必須是最高值，實現(xiàn)精準(zhǔn)分類，符合訓(xùn)練誤差為0 的計算要求。

假設(shè)X1，…，Xm是一組包含m個傳感器的數(shù)據(jù)集，xi是傳感器處于網(wǎng)絡(luò)中的方位。 若第一個傳感器n的方位是已知的，按照傳感器接收或輸送信號s(xi，xj)的具體狀況，能夠獲得節(jié)點的大概位置。 把(xi，yi)n

i=1看作訓(xùn)練樣本，創(chuàng)建分類核函數(shù)K(x，x′)，該函數(shù)代表兩個數(shù)據(jù)點x、x′之間的相關(guān)度。 在函數(shù)中必須具備一個特征空間H。

設(shè)定din是第i個未知節(jié)點至第n個錨節(jié)點的測量距離，是第i個未知節(jié)點的大概位置，將測量獲得的一組數(shù)據(jù)向量記作:

將支持向量機節(jié)點定位的待訓(xùn)練數(shù)據(jù)集合記作:

式中:di表示輸入數(shù)據(jù)，zi表示輸出數(shù)據(jù)。

在初始權(quán)重空間構(gòu)建支持向量機節(jié)點定位模型:

式中:φ(·)為一種將初始輸入空間映射至高維或無限維的特征空間非線性函數(shù)，ω為初始權(quán)重空間內(nèi)的權(quán)值。

在支持向量機節(jié)點定位時，將最優(yōu)定位問題及其約束條件分別定義為:

式中:c表示常數(shù)均為松弛因子，b是偏差項。

組建拉格朗日方程，提升訓(xùn)練過程中支持向量機的收斂性能，記作:

式中:α、α*、η、η*均表示拉格朗日乘子[12]，并且均為正數(shù)。 最終將支持向量機無線傳感網(wǎng)絡(luò)節(jié)點定位模型描述為:

2 無線傳感網(wǎng)絡(luò)通信異常入侵檢測

以入侵損失為研究基礎(chǔ)，無線傳感網(wǎng)絡(luò)通信異常入侵檢測為根本目標(biāo)，探尋無線傳感網(wǎng)絡(luò)內(nèi)的惡意節(jié)點[13]并作出相對反應(yīng)，評估該節(jié)點的入侵損失是否屬于惡意行為。

潛在損失包含多個層面，主要考慮入侵目標(biāo)與行為兩個指標(biāo)，也就是通信目標(biāo)節(jié)點的重要性與入侵威脅性。 將目標(biāo)節(jié)點重要性記作A，表示被攻擊或入侵目標(biāo)的關(guān)鍵程度。 入侵威脅性表示入侵活動自身具備的危害水平，記作B。 由此將入侵潛在損失P描述成:

按照節(jié)點在無線傳感網(wǎng)絡(luò)通信中的不同功能，量化節(jié)點重要性，將重要性較強的節(jié)點看作容易被攻擊的目標(biāo)，要預(yù)先尋找此類節(jié)點并進(jìn)行保護。 節(jié)點會因物理損壞或能量損耗影響網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，更改其余節(jié)點的路由路徑。 此外，鏈路狀態(tài)的變更也會形成路徑變化。 長期進(jìn)行鏈路調(diào)節(jié)，會減少路由緩存的有效時間，造成資源浪費。 路由樹內(nèi)，路由節(jié)點的子樹節(jié)點數(shù)量可以展現(xiàn)路由節(jié)點的重要性，也就是路由節(jié)點被攻擊引發(fā)的網(wǎng)絡(luò)威脅，重要性與子樹節(jié)點數(shù)量成正比。 由此得到節(jié)點的子節(jié)點個數(shù)為:

式中:C是節(jié)點i的子節(jié)點集合，gi是運算獲得的節(jié)點i的子節(jié)點數(shù)量。

通過式(9)得到節(jié)點i的重要度:

式中:G是網(wǎng)絡(luò)節(jié)點數(shù)量總和，ei是節(jié)點i的重要度，重要度大小表示節(jié)點i在無線傳感網(wǎng)絡(luò)通信中的重要性，也就是對通信性能影響的大小。

量化攻擊行為，對于分析異常入侵檢測技術(shù)性能優(yōu)劣十分關(guān)鍵。 主動攻擊，特別是將破壞網(wǎng)絡(luò)性能的攻擊模式，亟需更為實用穩(wěn)定的防護策略。 監(jiān)測節(jié)點挖掘到網(wǎng)絡(luò)異常信息后，會快速把信息傳輸至基站，利用基站研究異常信息并評估是否產(chǎn)生入侵行為，隔離惡意節(jié)點。 由于基站的能量與運算性能遠(yuǎn)優(yōu)于傳感器節(jié)點，因此，此次研究借助基站完成異常入侵檢測。

推算異常行為對無線傳感網(wǎng)絡(luò)通信造成的潛在損失，如果此異常行為是入侵攻擊，則潛在損失的判定標(biāo)準(zhǔn)主要取決于三點:一是單位時間內(nèi)異常行為的數(shù)量，二是受到異常行為影響節(jié)點的重要性，三是異常行為造成的后果。 將攻擊特征下對節(jié)點的威脅性記作:

式中:ai表示節(jié)點i因異常入侵行為影響所受到的威脅程度，wsk表示監(jiān)測節(jié)點s傳輸給基站報告入侵行為t的個數(shù)，τk表示入侵行為k的權(quán)重，代表其危險性水準(zhǔn)，Mi表示節(jié)點i的監(jiān)測節(jié)點數(shù)據(jù)集。 節(jié)點i的潛在入侵損失通過式(12)獲得:

若基站推算得到節(jié)點i某個時段的入侵潛在損失高于事先設(shè)定的臨界值P，則將該節(jié)點視為惡意節(jié)點，對其進(jìn)行網(wǎng)絡(luò)隔離，實現(xiàn)無線傳感網(wǎng)絡(luò)通信異常入侵檢測目標(biāo)。

3 仿真分析

在MATLAB 2020b 仿真平臺上運行了不同的方法，比較了不同方法的檢測誤報率、漏報率、能耗和時間等指標(biāo)性能。 誤報率是指將正常行為判斷為異常行為的概率；漏報率是指將異常行為判斷為正常行為的概率。 設(shè)定了無線傳感器網(wǎng)絡(luò)通信受到惡意入侵的三種模式:黑洞攻擊、灰洞攻擊和洪流攻擊。入侵次數(shù)隨著網(wǎng)絡(luò)防護狀態(tài)的好壞而不斷變化。 為了驗證本文提出的模型的實際效果，在UNSW-NB15最新的網(wǎng)絡(luò)異常檢測數(shù)據(jù)集上進(jìn)行了實驗。

2005年，澳大利亞網(wǎng)絡(luò)安全部門發(fā)布了UNSWNB15 數(shù)據(jù)集。 該數(shù)據(jù)集主要針對網(wǎng)絡(luò)異常檢測。同時彌補了傳統(tǒng)數(shù)據(jù)集冗余度高、信息不全等缺陷。UNSW-NB15 數(shù)據(jù)集不僅覆蓋正常網(wǎng)絡(luò)流量，還覆蓋多種網(wǎng)絡(luò)攻擊類型，可以實現(xiàn)每個流量數(shù)據(jù)的49維特征。 本文在覆蓋所有攻擊類型的基礎(chǔ)上，隨機抽取部分?jǐn)?shù)據(jù)，實現(xiàn)樣本數(shù)據(jù)的均衡。 數(shù)據(jù)集的統(tǒng)計信息如表1 所示，在訓(xùn)練中，將某些類型的攻擊作為已知的流量類型進(jìn)行訓(xùn)練，并得到模型。 剩下的攻擊類型將作為未知攻擊來評估該模型對未知攻擊的檢測效果。 通過對數(shù)據(jù)集的劃分，保證用于模型訓(xùn)練的“已知類型”數(shù)據(jù)和用于模型評估的“未知攻擊”數(shù)據(jù)享有相同的數(shù)據(jù)采集和處理方法，減少不同采集方法造成的數(shù)據(jù)差異，從流量特征的本質(zhì)上評估模型對未知攻擊的檢測效果。

表1 UNSW-NB15 數(shù)據(jù)集統(tǒng)計信息

對比方法為基于序列模型的入侵檢測方法和基于神經(jīng)模糊的入侵檢測方法。 對于兩個隱含層，輸入層和輸出層的神經(jīng)元個數(shù)分別與數(shù)據(jù)特征個數(shù)和已知類別個數(shù)相同，隱含層神經(jīng)元個數(shù)分別設(shè)置為128 個和64 個。 選擇RELU 功能作為激活功能。反向傳播階段采用的優(yōu)化算法是基于動量的隨機梯度下降算法，學(xué)習(xí)率為0.01，動量參數(shù)為0.9。 訓(xùn)練過程經(jīng)過10 次迭代，每次使用32 個話務(wù)數(shù)據(jù)進(jìn)行訓(xùn)練，權(quán)值衰減參數(shù)設(shè)置為10-4。 為了防止網(wǎng)絡(luò)過擬合，采用了插入丟包層的方法，并將丟棄參數(shù)設(shè)置為0.1。

仿真參數(shù)如表2 所示。

表2 仿真分析參數(shù)

為提高仿真分析結(jié)果的可靠性，以文獻(xiàn)[7]提出的基于序列模型的入侵檢測方法和文獻(xiàn)[8]提出的基于神經(jīng)模糊的入侵檢測方法作為對比分析方法，與所提方法的分析結(jié)果相比較，對比不同方法的應(yīng)用性能。

圖2 給出了三種異常入侵檢測方法的誤報率與漏報率對比結(jié)果。

從圖2 中可以看出，伴隨攻擊節(jié)點數(shù)量的不斷遞增，三種方法的誤報率與漏報率均呈現(xiàn)出上升趨勢，但是與文獻(xiàn)[7]方法以及文獻(xiàn)[8]方法相比，所提方法的誤報率和漏報率都是最低的，表現(xiàn)出良好的檢測效果。 這是因為在無線傳感網(wǎng)絡(luò)中，正常數(shù)據(jù)與入侵?jǐn)?shù)據(jù)的比例不均，屬于不平衡數(shù)據(jù)集，而所提方法使用節(jié)點重要性的評估策略，將惡意節(jié)點采取網(wǎng)絡(luò)隔離，高精度地實現(xiàn)異常入侵檢測任務(wù)。

圖2 三種入侵檢測方法誤報率和漏報率對比

由于無線傳感網(wǎng)絡(luò)通信無人看管且能量有限，采用能耗較大的入侵檢測技術(shù)會很快耗盡檢測節(jié)點的電能令其失效，所以能效性是衡量入侵檢測技術(shù)的核心要點。 下面對三種異常入侵檢測方法運算過程中的能耗進(jìn)行仿真驗證，如圖3 所示。

圖3 三種檢測方法的網(wǎng)絡(luò)能量消耗對比

從圖3 看出，在攻擊節(jié)點數(shù)量較少的狀態(tài)下，所提方法能量消耗最少，占據(jù)顯著優(yōu)勢。 文獻(xiàn)[8]提出的基于神經(jīng)模糊的入侵檢測方法在攻擊節(jié)點數(shù)量為6 時就達(dá)到了能量消耗的最高值，表明該方法的能量損耗較高，而文獻(xiàn)[7]提出的基于序列模型的入侵檢測方法在攻擊節(jié)點數(shù)量為12 時達(dá)到能量消耗最大值，說明攻擊節(jié)點逐漸增加，網(wǎng)絡(luò)內(nèi)感知危險節(jié)點的數(shù)量也會增多，但所提方法依舊保持較低的能量消耗，說明所提方法的能量消耗較少。

為了解三種方法入侵檢測的及時性，對其檢測時間進(jìn)行仿真驗證，如圖4 所示。

從圖4 可知，在相同仿真分析環(huán)境下，所提方法的檢測時間最短。 原因在于所提方法利用機器學(xué)習(xí)中支持向量機完成無線傳感網(wǎng)絡(luò)節(jié)點定位，呈現(xiàn)出當(dāng)前網(wǎng)絡(luò)真實的運行狀態(tài)，極大地提高了異常入侵檢測效率。

圖4 網(wǎng)絡(luò)異常入侵檢測時間

4 結(jié)論

為維護無線傳感網(wǎng)絡(luò)的通信安全，保證數(shù)據(jù)可靠傳輸，提出了基于機器學(xué)習(xí)的無線傳感網(wǎng)絡(luò)通信異常入侵檢測技術(shù)。 使用機器學(xué)習(xí)實現(xiàn)節(jié)點定位，利用節(jié)點重要性指標(biāo)衡量無線傳感網(wǎng)絡(luò)通信是否發(fā)生入侵行為，增強節(jié)點能量利用率，在維護網(wǎng)絡(luò)正常應(yīng)用狀態(tài)下，進(jìn)一步提升異常入侵檢測結(jié)果的準(zhǔn)確性。 但在分類召回率和區(qū)分未知和已知流量類型的檢測錯誤率方面仍有提升空間，需要在今后的工作中進(jìn)一步解決。 此外，現(xiàn)有的異常檢測數(shù)據(jù)集還存在樣本分布不均勻的問題，一些攻擊樣本數(shù)量較少。利用生成的模型手動生成攻擊樣本進(jìn)行模型訓(xùn)練也是今后工作中非常重要的研究內(nèi)容。