關(guān)亞文,劉 濤,黃 干

(安徽工程大學計算機與信息學院,安徽蕪湖241000)

無線傳感器網(wǎng)絡中基于ELM的混合入侵檢測方案

關(guān)亞文,劉 濤,黃 干

(安徽工程大學計算機與信息學院,安徽蕪湖241000)

在研究機器學習算法的基礎(chǔ)上,提出一種基于極限學習機(ELM)的混合入侵檢測方案。將無線傳感器網(wǎng)絡分為感知層、數(shù)據(jù)匯聚層和核心控制層,在每層分別設置與其相適應的入侵檢測方案,并在能量充足的核心控制層布置信任管理模塊和ELM模塊。信任模塊可以及時篩去異常節(jié)點,相比于支持向量機算法訓練速度更快,可提高入侵檢測效率。實驗結(jié)果表明,該方案在保證較高檢測率的基礎(chǔ)上,降低了能耗,延長網(wǎng)絡運行時間,更適合于資源受限的無線傳感器網(wǎng)絡。

無線傳感器網(wǎng)絡;極限學習機;混合;入侵檢測;信任管理;分簇

1 概述

隨著無線傳感器的廣泛應用,一些安全問題逐漸顯露出來。無線傳感器一般是被隨機撒放在無人看守的區(qū)域,其資源受限［1］,存在來自很多方面的威脅?，F(xiàn)階段常見的網(wǎng)絡攻擊類型［2］主要有虛假路由信息攻擊、選擇轉(zhuǎn)發(fā)攻擊、方向誤導攻擊、匯聚節(jié)點攻擊、Sybil攻擊、黑洞(black hole)攻擊、蟲洞(Wormholes)攻擊、Hello泛洪攻擊和確認欺騙攻擊等。

在網(wǎng)絡安全防護中一般采用入侵檢測技術(shù),目前主要有異常檢測、誤用檢測和基于規(guī)范檢測3種主要技術(shù)［3］。異常檢測是先規(guī)定用戶的正常行為庫,然后把當前的用戶行為與已建立的正常行為庫中的用戶行為比對來判斷入侵的;誤用檢測是先建立用戶的異常行為庫,然后根據(jù)當前的數(shù)據(jù)流是否與已建立的入侵規(guī)則庫中的入侵規(guī)則匹配來檢測入侵的?；谝?guī)范的入侵檢測［4］是對某些特征量設定閾值來描述正確的操作,特征量不在閾值范圍內(nèi)則被認為是攻擊行為。

異常檢測技術(shù)的優(yōu)點是它可以檢測出從未出現(xiàn)過的異常行為,但由于正常節(jié)點可能在通信過程中出現(xiàn)延時、丟包等行為,而且這些行為很難界定,這可能就會被異常檢測技術(shù)認為是遭到攻擊,所以它的誤報率很高,浪費了大量能量。誤用檢測技術(shù)的優(yōu)點是入侵檢測率高,誤報率低。而它的缺點是不能檢測出新的攻擊,因此當攻擊者使用新的攻擊手段進行攻擊時,入侵檢測系統(tǒng)就會失去作用。基于規(guī)范的入侵檢測的優(yōu)點是節(jié)點誤報率低,缺點是需要手動設定規(guī)范,不能檢測出不違反規(guī)范的異常行為［5］。

綜合上述入侵檢測技術(shù)的優(yōu)缺點,研究人員［6］提出混合入侵檢測方案,但多數(shù)針對的是傳統(tǒng)的Internet網(wǎng)絡,沒有對資源受限的WSN提出適應性的方案。本文把無線傳感器網(wǎng)絡分為3層:核心控制層(即基站),數(shù)據(jù)匯聚層(該層由簇頭組成)以及感知層(該層由普通傳感器節(jié)點構(gòu)成),并在每層設置與之相適應的入侵檢測方案。感知層負責原始數(shù)據(jù)的收集和預處理,本文采用預制異常檢測模塊到普通傳感器節(jié)點來完成,對檢測到的異常數(shù)據(jù)提交給所在簇的簇頭,由簇頭做進一步的處理。數(shù)據(jù)匯聚層主要是完成對底層提交的異常數(shù)據(jù)進行評估,包括誤用檢測模塊和信任管理模塊。對簇頭不能識別的行為交給核心控制層來處理,核心控制層包括誤用檢測模塊、異常檢測模塊、信任管理模塊以及基于ELM模塊。基站完成行為的最后檢測,并經(jīng)過機器學習后反饋到下面兩層,及時更新檢測規(guī)則。3層模型最大限度地減少各層之間的通信,降低能耗,可保證網(wǎng)絡更持久的運行。

2 極限學習機算法

傳統(tǒng)的入侵檢測方案一般都是基于規(guī)則庫的,不能對未識別的行為進行檢測,隨著人工智技術(shù)發(fā)展,以神經(jīng)網(wǎng)絡為代表的智能檢測技術(shù),由于具有對未知模式的識別能力被應用到入侵檢測中,許多學者提出了基于BP神經(jīng)網(wǎng)絡［7］和SVM算法的入侵檢測方案。在之后的研究中,研究者發(fā)現(xiàn),BP神經(jīng)網(wǎng)絡存在一些明顯的缺點:(1)收斂速度較慢,耗時較長;(2)可能陷入局部最優(yōu),需要多次訓練才可能達到全局最優(yōu); SVM同樣存在誤報率高、檢測速度慢等問題。而極限學習機(Extreme Learning Machine,ELM)是一種單隱層前饋神經(jīng)網(wǎng)絡SLFNs學習算法,具有很強的學習能力和逼近復雜非線性函數(shù)等優(yōu)點,更適用于解決入侵檢測這類問題。經(jīng)過實際實驗比對［8］,ELM的收斂時間比BP算法快10倍以上,比SVM也要快3倍多。

Huang［9］在2004年提出ELM算法。這種算法是針對SLFNs的監(jiān)督型學習算法,其主要思想［10］是:輸入層與隱藏層之間的權(quán)值參數(shù),以及隱藏層上的偏置向量參數(shù)是一次的,而其他基于梯度的學習算法常常通過迭代反復調(diào)整刷新參數(shù)。其求解很直接,只需求解一個最小范數(shù)最小二乘問題(最終化歸成求解一個矩陣的Moore-Penrose廣義逆問題)。因此,該算法具有訓練參數(shù)少、速度非?？斓葍?yōu)點。

所以,只要給定的隱含層神經(jīng)元數(shù)足夠多, SLFN就能在輸入權(quán)隨機賦值情況下逼近任何連續(xù)函數(shù)。當輸入權(quán)以隨機賦值的方式確定后,所得隱藏層矩陣H便是一個確定的矩陣,最終,訓練SLFN就轉(zhuǎn)化為計算Hβ=T的最小二乘解問題。

其中:

其中:

為了使SLFN具有良好的泛化性能,通?！躈,β無法通過直接求逆解得,因此Huang計算下式的最小范數(shù)最小二乘解:

其中,H+是H的Moore-Penrose廣義逆,ELM訓練過程如下:

ELM算法

(1)隨機生成隱藏層神經(jīng)元參數(shù)(αi,bi),i=1, 2,…,;

(2)計算隱藏層輸出矩陣H(確保H列滿秩)。

輸出網(wǎng)絡最優(yōu)權(quán)β:

從ELM算法過程可知,在設定合適的隱藏層神經(jīng)元后,隨機為輸入權(quán)重和偏差賦值,在計算隱藏層矩陣后,通過最小二乘法得到輸出權(quán)重,這樣就一次完成該問題的求解過程,不需迭代,與BP算法、SVM算法比效率明顯提高。文獻［11］把ELM應用到傳統(tǒng)網(wǎng)絡的入侵檢測系統(tǒng)中,本文針對WSN特點,結(jié)合ELM的特性,提出一個基于ELM的混合入侵檢測方案。

3 混合入侵檢測方案

3.1 網(wǎng)絡模型

現(xiàn)在的無線傳感器網(wǎng)中,為保證網(wǎng)絡的穩(wěn)定運行,常對WSN進行分簇,方便管理。在本文方案中, WSN由基站、簇頭節(jié)點和普通傳感器節(jié)點構(gòu)成。本文采用的分簇算法是文獻［12］提出的FFUCA算法,且認為簇頭和普通節(jié)點均可能被攻擊,所以它們不可信。網(wǎng)絡模型如圖1所示。

圖1 WSN網(wǎng)絡模型

3.2 分層的入侵檢測方案

本文方案網(wǎng)絡由基站、簇頭和普通節(jié)點3個要素構(gòu)成,針對每種設備的特點分了3層,分別設計了與之相對應的入侵檢測方法。具體的WSN入侵檢測框架如圖2所示。

圖2 WSN入侵檢測框架

3.2.1 感知層

一般來說,感知層的數(shù)據(jù)量較大,且正常數(shù)據(jù)包的數(shù)量大于異常數(shù)據(jù)包的數(shù)量。若讓簇頭不僅負責簇內(nèi)的通信控制,還要監(jiān)聽整個簇是否存在異常行為,其能量消耗可想而知會很大,這樣不僅會縮短該簇的生命周期,還會影響整個網(wǎng)絡的穩(wěn)定性,所以需要簇內(nèi)其他節(jié)點的支持來減輕簇頭節(jié)點的負擔。在網(wǎng)絡環(huán)境中,普通傳感器節(jié)點能量和存儲空間均受限,而且根據(jù)文獻［13］的研究,在無線傳感器網(wǎng)絡中,傳輸1 bit的數(shù)據(jù)相當于執(zhí)行800～1 000指令的消耗,所以減少節(jié)點間的相互通信對延長網(wǎng)絡運行時間也有著重要意義。綜上,在感知層的普通傳感器節(jié)點上部署一種高效節(jié)能的檢測方案尤為重要。本文方案在感知層采用的是基于異常檢測方法的入

侵檢測技術(shù)。

異常檢測模塊像是一個過濾器,普通節(jié)點所偵聽的大部分正常數(shù)據(jù)(可能存在誤報)都會通過檢測。當監(jiān)聽到的行為與異常檢測規(guī)則庫中的規(guī)則不匹配時,也即不是正常行為的時候,節(jié)點會上報到所在簇的簇頭節(jié)點。相對于異常檢測,誤用檢測很少存在誤報的情況,但也就是因為存在誤報(包括規(guī)則庫中不存在的行為,也包括異常行為)才會觸發(fā)最終的ELM模塊。

當簇內(nèi)一些節(jié)點監(jiān)聽到某個節(jié)點行為異常時,會把該節(jié)點的ID和網(wǎng)絡通信特性發(fā)送給所在簇的簇頭節(jié)點,由簇頭節(jié)點做進一步的處理。其中網(wǎng)絡特性包括:節(jié)點位置,信號強度和丟包率等。

3.2.2 數(shù)據(jù)匯聚層

無線傳感器節(jié)點通常被部署在無人看守的區(qū)域,普通節(jié)點和簇頭節(jié)點都有可能被敵人俘獲或是偵聽,進而引發(fā)一些攻擊行為。在數(shù)據(jù)匯聚層,本文采用的是異常檢測和誤用檢測并用的檢測方法。對簇頭來說,提交數(shù)據(jù)的這些傳感器節(jié)點并不是可信的,需要簇頭做進一步判斷。文獻［14］提出的方案,在簇頭中預置了對簇內(nèi)節(jié)點的信任評價模塊。

Bayes估計是統(tǒng)計研究的一種方法,通過推論來更新原來的概率。由于用戶信譽分布服從Beta分布,Beta分布有2個參數(shù)(α,β),利用伽瑪函數(shù)Г表示Beta分布f(p|α,β)如下:

Beta分布的概率期望值為:

根據(jù)簇內(nèi)節(jié)點的歷史行為,簇頭保存有對各個節(jié)點的評價即信任度。為了防止眾謀攻擊,提交上來的數(shù)據(jù)首先會經(jīng)過簇頭中的異常檢測模塊,無論是否存在異常,簇頭都會對事件范圍內(nèi)的節(jié)點i根據(jù)它們提交的數(shù)據(jù)進行信任度的更新。用si表示某時刻簇頭對節(jié)點i上報信任的總次數(shù),fi表示某時刻簇頭對節(jié)點i上報不信任的總次數(shù)。那么經(jīng)過si+fi次上報后,后驗分布仍然服從Beta分布,函數(shù)中參數(shù)滿足:

其中,si,fi≥0。簇頭對i的信任值為:

考慮節(jié)點信譽動態(tài)性問題,引入時間遺忘因子θ(θ∈［0,1］)調(diào)整階段歷史信譽對最近信譽的影響:

最終信任計算公式如下:

(1)當不存在異常時:簇頭會對上報為異常的節(jié)點i進行降低信任度的懲罰,使得fi=fi+1;而對事件范圍內(nèi)不提交異常的節(jié)點i根據(jù)計算規(guī)則,簇頭對它們的信任度會上升,使得si=si+1。

(2)當存在異常時:簇頭會對事件范圍內(nèi)不作為的節(jié)點i根據(jù)計算規(guī)則,進行降低信任度的處罰,使得fi=fi+1;而對上報為異常的節(jié)點i,簇頭對它們的信任度會提升,使得si=si+1。當簇頭對節(jié)點i的信任度Ti低于閾值TS時,即認為該節(jié)點不可信,其會被剔除出網(wǎng)絡。對于異常行為,簇頭會把數(shù)據(jù)交給誤用檢測模塊做進一步的比對判斷。

在誤用檢測模塊中預置了大量的攻擊行為規(guī)則,這些行為規(guī)則是根據(jù)無線傳感器網(wǎng)絡中的歷史數(shù)據(jù),通過專家研究或是機器學習來生成的,代表了現(xiàn)在已知的攻擊行為。當誤用檢測模塊收到異常檢測模塊傳送過來的數(shù)據(jù),首先會和規(guī)則庫中的數(shù)據(jù)進行比對,有符合的行為則認為存在異常攻擊的行為,簇頭會把異常行為節(jié)點剔除出網(wǎng)絡,發(fā)出警告并記錄日志;否則,說明該行為未知,需要交給核心控制層,即基站來處理。

3.2.3 核心控制層

因為簇頭節(jié)點中保存有大量簇內(nèi)節(jié)點的信息,而且其權(quán)限也較高,很容易成為敵手攻擊的目標,所以對于基站來說,簇頭節(jié)點是不可信的,需要采用信任管理模塊來評價基站對各個簇頭的信任度。對于異常檢測和誤用檢測審查不出來的行為,需要交給機器學習模塊來做進一步的處理,并將結(jié)果反饋給整個無線傳感器網(wǎng),以保證異常檢測和誤用檢測模塊的規(guī)則是最新的。因此,在核心控制層,本文設置了異常檢測模塊、誤用檢測模塊、信任管理模塊和ELM模塊。其中信任管理模塊與數(shù)據(jù)匯聚層類似,這里不作進一步描述。具體運行過程如下:

(1)在異常檢測和誤用檢測過程中,結(jié)合基站對簇頭的信任度,來確定行為數(shù)據(jù)的真實性。若在已有的規(guī)則中檢測到匹配的行為,則認為簇頭節(jié)點存在異常,基站會根據(jù)計算規(guī)則,對它進行降低信任度的處理,同時對行為節(jié)點也進行相應的處理;否則,認為簇頭為正常的,并對事件范圍內(nèi)其他未發(fā)送行為數(shù)據(jù)簇頭進行降低信任度處理。若基站對簇頭的信任度低于閾值TC的時候,會認為該簇頭節(jié)點為異常節(jié)點,會將其剔除出網(wǎng)絡,并通知該簇重新運行分簇算法FFUCA。

(2)當在規(guī)則庫中找不到匹配的行為時,說明該

行為是未知行為,不能簡單的判斷是否為異常,需要交給ELM模塊,進行分類運算。根據(jù)結(jié)果來判斷該行為所屬分類,來對行為節(jié)點進行相應的處理,并在整個WSN中廣播更新異常檢測模塊或是誤用檢測模塊的規(guī)則,以保證檢測模塊中的規(guī)則是最新的,并將該記錄寫入日志中。

4 仿真與性能分析

4.1 數(shù)據(jù)處理

由于具有真實攻擊行為的WSN數(shù)據(jù)包很難獲取,本文使用KDD99數(shù)據(jù)集進行仿真實驗。該數(shù)據(jù)集中對每個網(wǎng)絡連接收集了41個屬性信息,按特征分為4類,其中訓練集有22種攻擊行為。

由于原始數(shù)據(jù)包中包含字符串,而神經(jīng)網(wǎng)絡的訓練一般使用的是數(shù)字,因此需要對字符串進行數(shù)字化處理,根據(jù)特征類型的個數(shù)來設置數(shù)值。

由于KDD99數(shù)據(jù)包是來源于傳統(tǒng)網(wǎng)絡的,很多特性在WSN中不存在或是不重要,因此在數(shù)據(jù)預處理的過程中,去除掉一些干擾數(shù)據(jù)特征［8］。比如: land,wrong_fragment,urgent,root_shell,su_ attempted,num_root,num_file_creation,num_shells, num_access_files,num_outbound_cmds,is_hot_ login等。

數(shù)據(jù)集中同一特征的部分數(shù)據(jù)差值較大,不平衡的數(shù)據(jù)會影響最終結(jié)果準確性,所以需要進行歸一化處理。歸一化針對是進行干擾特征處理后的數(shù)據(jù)集中所有的特征,而不是某一特征,歸一化處理公式如下:

其中,Nev表示歸一化之后的特征值;oev表示特征值的原始值;max(ev)表示該特征中最大的特征值; min(ev)表示的特征中最小的特征值。

4.2 性能分析及比較

4.2.1 適用性及復雜度分析

采用傳統(tǒng)入侵檢測技術(shù)的入侵檢測方案,其邏輯上相對簡單,各節(jié)點檢測策略一致,可以在節(jié)點部署前預置規(guī)則到節(jié)點中,這樣減少了網(wǎng)絡建立之后廣播檢測規(guī)則帶來的能耗。但其檢測規(guī)則多是人為確定和添加的,靈活性較小,不適用于動態(tài)的無線傳感器網(wǎng)絡［5］。機器學習算法的引用,減少了人的干擾,提高了規(guī)則發(fā)現(xiàn)的效率和準確率,但在資源受限的無線傳感器節(jié)點上都部署機器學習模塊顯然是不可能,因此,許多學者提出的基于機器學習算法的入侵檢測方案［7］都是針對傳統(tǒng)網(wǎng)絡的。無線傳感器網(wǎng)絡分層分組思想的提出和異構(gòu)網(wǎng)絡模型的建立,使得在無線傳感器網(wǎng)絡中運用機器學習算法成為了可能。

普通節(jié)點由于資源受限,只預置了基于異常檢測技術(shù)的規(guī)則庫,由于網(wǎng)絡通信中正常的數(shù)據(jù)包遠大于異常的,因此能耗和占用的存儲空間與傳統(tǒng)方案［4］相類似。簇頭節(jié)點能量相對充足,與傳統(tǒng)方案［6］相比,多了信任管理模塊。由于信任管理模塊只有在節(jié)點行為異常時才會觸發(fā),雖然會帶來多余計算量,但會減少對節(jié)點的誤判,進而保障網(wǎng)絡的穩(wěn)定?；灸芰砍渑媲铱尚?一般只需要和簇頭進行通信,在其上預置ELM模塊對網(wǎng)絡運行不會帶明顯的影響。

從整體上來看,本文提出的入侵檢測方案結(jié)合了分層分組的優(yōu)勢,在每層上分別預置了與之相適應的入侵檢測技術(shù)。與傳統(tǒng)方案相比,對節(jié)點的存儲和能耗沒有過多的影響,但檢測效率得到了極大的提升,更適用于動態(tài)的無線傳感器網(wǎng)絡。

4.2.2 性能比較

本文ELM使用的激勵函數(shù)為RBF,輸入層的神經(jīng)元數(shù)目與輸入樣本的特征向量有關(guān),在本文中是30。隱藏層的神經(jīng)元數(shù)目的取值很難確定,根據(jù)Kolmogorov定理中的定義,輸入層神經(jīng)元的數(shù)目與隱藏層神經(jīng)元數(shù)目之間有近似關(guān)系:k=2m+1,其中,m為輸入神經(jīng)元數(shù)目;k為隱藏層神經(jīng)元數(shù)目,所以本文中隱藏層神經(jīng)元數(shù)目取值為61。

在對kddcup.data_10_percent_corrected數(shù)據(jù)集處理后,從中分別隨機抽選了1 000,2 000,…, 10 000個數(shù)據(jù),分別用SVN和ELM進行訓練,結(jié)果如圖3所示。隨著訓練集中數(shù)據(jù)量的增加,ELM的分類速度遠快于SVM［15］。

圖3 ELM和SVM的運行時間比較

在實驗中分別使用10個數(shù)據(jù)集的模型來檢測1 000的數(shù)據(jù)集,結(jié)果如圖4所示:SVM平均會比ELM高1個百分點,由于8 000數(shù)據(jù)集與1 000數(shù)據(jù)集的內(nèi)容差距較大,SVM只有40%得到檢測率,而ELM卻可以達到96%的檢測率。因此ELM對檢測未知異常有較大的優(yōu)勢。

圖4 ELM和SVM檢測率比較

本文對簇頭節(jié)點的信任管理模塊進行仿真,某個簇內(nèi)有24個普通傳感器節(jié)點,其中有4個異常節(jié)點,該異常不是指普通的遭到攻擊,而是指當網(wǎng)絡正常時,這些節(jié)點上報簇頭存在攻擊行為,或者其他節(jié)點上報存在異常時,它們提交的數(shù)據(jù)顯示不存在異常,進而引起簇頭主動獲取簇內(nèi)數(shù)據(jù),消耗簇頭能量。

從圖5可以發(fā)現(xiàn),有信任模塊的方案由于需要對節(jié)點信任值進行評估,所以會多消耗一些能量。在時間為12 min時,4個異常節(jié)點被檢測出來,有信任模塊的簇頭節(jié)點能耗開始減緩,所以,信任管理模塊的引入可以延長網(wǎng)絡的運行時間。

圖5 有無信任模塊對簇頭存活時間的影響

5 結(jié)束語

無線傳感器網(wǎng)絡有多種入侵檢測技術(shù),且各有優(yōu)勢,本文在已有入侵檢測技術(shù)基礎(chǔ)上,提出一種基于ELM的混合入侵檢測方案,相對于傳統(tǒng)的入侵檢測方案,本文方案平衡了異常檢測方案、誤用檢測方案以及機器學習方案的優(yōu)缺點,在收斂速度和檢測率上具有較大的優(yōu)勢。本文方案是一種分層分布式的入侵檢測方案,其部署比一般方案更加嚴格。對于同構(gòu)的無線傳感器網(wǎng)絡,各節(jié)點資源有限,而簇頭的能耗相對較高,可根據(jù)能耗最優(yōu)設計分簇方案;對于異構(gòu)的無線傳感器網(wǎng)絡,簇頭能量相對充足,可以根據(jù)最優(yōu)地理位置來設計分簇方案。

［1]童安玲,黃玉劃,曹玲玲.能量受限無線傳輸?shù)目煽啃苑治觯跩］.計算機工程,2013,39(5):106-109.

［2]Wang S S,Yan K Q,Wang S C,et al.An Integrated Intrusion Detection System for Cluster-based Wireless Sensor Networks［J］.Expert Systems with Applications, 2011,38(12):15234-15243.

［3]Abduvaliyev A,Lee S,Lee Y K.Energy Efficient Hybrid Intrusion Detection System for Wireless Sensor Networks［C］//ProceedingsofInternationalConference on Electronics and Information Engineering.Washington D.C.,USA:IEEE Press,2010:25-29.

［4]張 帥,張鳳斌.無線傳感器網(wǎng)絡中基于規(guī)范的入侵檢測算法研究［J］.計算機應用研究,2012,29(9): 3464-3466.

［5]Daniel J V,Joshna S,Manjula P.A Survey of Various IntrusionDetectionTechniquesinWirelessSensor Networks［J］.Journal of Religion and Health March, 2013,52(1):235-246.

［6]高 崢,陳蜀宇,李國勇.混合入侵檢測系統(tǒng)的研究［J］.計算機技術(shù)與發(fā)展,2010,20(6):148-151.

［7]胡明霞.基于BP神經(jīng)網(wǎng)絡的入侵檢測算法［J］.計算機工程,2012,38(6):148-150.

［8]羅曉波.基于快速神經(jīng)網(wǎng)絡的入侵檢測技術(shù)研究［D］.南京:南京林業(yè)大學,2011.

［9]Huang G B,Zhu Q Y,Siew C K.Extreme Learning machine:Theory and Applications［J］.Neurocomputing, 2006,70(1):489-501.

［10]鄧萬宇,鄭慶華,陳 琳,等.神經(jīng)網(wǎng)絡極速學習方法研究［J］.計算機學報,2010,33(2):279-287.

［11]Cheng C,Tay W P,Huang G B.Extreme Learning Machines for Intrusion Detection［C］//Proceedings of 2012 InternationalJointConferenceonNeuralNetworks.Washington D.C.,USA:IEEE Press,2012:1-8.

［12]Fouchal S,Mansouri D,Mokdad L,et al.Recursiveclustering-based Approach for Denial of Service(DoS) Attacks in Wireless Sensors Networks［J］.International Journal of Communication Systems,2013,28(2): 309-324.

［13]Stetsko A,Folkman L,Matyas V.Neighbor-based Intrusion Betection for Wireless Sensor Networks［C］//Proceedings of the 6th International Conference on Wireless and Mobile Communications.Washington D.C.,USA:IEEE Press, 2010:420-425.

［14]劉 濤,熊 焰,黃文超,等.一種基于Bayes估計的WSN節(jié)點信任度計算模型［J］.計算機科學,2013, 40(10):61-64.

［15]李恒杰,李恒杰.線性逼近SVM在入侵檢測中的應用［J］.計算機工程,2011,37(23):122-124.

編輯 索書志

ELM-based Hybrid Intrusion Detection Scheme in Wireless Sensor Network

GUAN Yawen,LIU Tao,HUANG Gan
(School of Computer and Information,Anhui Polytechic University,Wuhu 241000,China)

Based on the study of machine learning algorithm,this paper proposes a hybrid intrusion detection scheme using the Extreme Learning Machine(ELM)for Wireless Sensor Network(WSN).It divides the WSN into the perception layer,data aggregation layer and the core control layer,corresponding intrusion detection scheme is presented at each layer.Especially,in the core control layer,it sets trust management modules and ELM modules.Using a trust module can timely sieve to abnormal nodes.The ELM is faster than the SVM algorithm,and the efficiency of intrusion detection can be further improved when using ELM.Experimental results show that the scheme that combines the ELM with traditional intrusion detection technology balances the advantages and disadvantages,reduces the energy consumption and prolongs the network uptime,on the basis of guaranteeing a higher detection rate.So it is more suitable for WSN which is resource-constrained.

Wireless Sensor Network(WSN);Extreme Learning Machine(ELM);hybrid;intrusion detection;trust management;clustering

關(guān)亞文,劉 濤,黃 干.無線傳感器網(wǎng)絡中基于ELM的混合入侵檢測方案［J］.計算機工程,2015, 41(3):136-141.

英文引用格式:Guan Yawen,Liu Tao,Huang Gan.ELM-based Hybrid Intrusion Detection Scheme in Wireless Sensor Network［J］.Computer Engineering,2015,41(3):136-141.

1000-3428(2015)03-0136-06

:A

:TP309

10.3969/j.issn.1000-3428.2015.03.026

國家自然科學基金資助項目(61300170);安徽省教育廳基金資助重點項目(KJ2013A040);安徽自然科學基金資助項目(1308085MF88);安徽工程大學基金資助項目(2013YQ28,2009YQ041)。

關(guān)亞文(1990-),男,碩士研究生,主研方向:網(wǎng)絡安全;劉 濤(通訊作者),副教授;黃 干,碩士研究生。

2014-03-24

:2014-05-08E-mail:liutao@ahpu.edu.cn