金　鑫，胡　平

(南京工業(yè)大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211816)

無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)模型

金鑫，胡平

(南京工業(yè)大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211816)

摘要:為了提高無線傳感器網(wǎng)絡(luò)的安全性，針對無線傳感器網(wǎng)絡(luò)的自身特性，設(shè)計了一種入侵檢測系統(tǒng)模型。該模型按照聚類的方法，將區(qū)域劃分成簇；在每個簇中選舉簇頭，簇頭需定期輪換；采用基于相關(guān)向量機(jī)(RVM)的入侵檢測方案。實(shí)驗(yàn)表明：所提出的模型與其它檢測模型相比具有更高的平均檢測率和更低的平均誤檢率，且具有低能耗的特點(diǎn)。

關(guān)鍵詞:無線傳感器網(wǎng)絡(luò)；入侵檢測；相關(guān)向量機(jī)

0引言

無線傳感器網(wǎng)絡(luò)(WSNs)已成功應(yīng)用到了工業(yè)、軍事、環(huán)境保護(hù)以及交通運(yùn)輸?shù)榷鄠€領(lǐng)域,同時也是物聯(lián)網(wǎng)[1]中獲取信息的主要方式。無線傳感器網(wǎng)絡(luò)通常部署在無人看管的區(qū)域，由于傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)能量受限、通信介質(zhì)開放、網(wǎng)絡(luò)邊界模糊等特性[2]，使得無線傳感器網(wǎng)絡(luò)比其它網(wǎng)絡(luò)更易遭到入侵，因此,其安全問題也愈發(fā)重要[3]。

目前,針對無線傳感器網(wǎng)絡(luò)入侵檢測模型的研究已提出了不少方法。Tang Jiayu等人[4]提出了基于RSSI合作的入侵檢測系統(tǒng)；Yan K等人[5]提出了一個基于分簇的結(jié)構(gòu)混合入侵檢測系統(tǒng)，用異常檢測?？靵磉^濾數(shù)據(jù)包，用誤用檢測模塊來決定當(dāng)前行為是否屬于入侵，用BP神經(jīng)網(wǎng)絡(luò)來劃分入侵；Li Lei等人[6]提出了一個層次結(jié)構(gòu)的入侵檢測模型，將無線傳感器網(wǎng)絡(luò)的體系結(jié)構(gòu)劃分為入侵層、合作層以及基站層。

1無線傳感器入侵檢測模型

本文采用的無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)模型屬于分布集中混合式。在本文的入侵檢測模型中，所有傳感器節(jié)點(diǎn)都有入侵檢測代理。此外，模型采用聚簇技術(shù)將所有的無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)分配到不同的簇中，在每一個簇中都有稱之為簇頭的組織者和其它的傳感器節(jié)點(diǎn)成員。所有的簇頭形成上層節(jié)點(diǎn)，而其它傳感器節(jié)點(diǎn)則形成下層節(jié)點(diǎn)，簇頭對簇內(nèi)傳感器節(jié)點(diǎn)進(jìn)行信息融合，并通過其它的簇頭將數(shù)據(jù)傳送給基站。為了均衡節(jié)點(diǎn)的能量消耗，簇頭需要定期輪換。當(dāng)一個傳感器節(jié)點(diǎn)被選中為簇頭時，其上的入侵檢測代理被同時啟動，而其它傳感器節(jié)點(diǎn)上的入侵檢測代理將處于睡眠轉(zhuǎn)態(tài)。圖1為網(wǎng)絡(luò)模型。

圖1　無線傳感器網(wǎng)絡(luò)入侵檢測模型Fig 1　Wireless sensor networks intrusion detection model

2入侵檢測系統(tǒng)的設(shè)計與實(shí)現(xiàn)

2.1簇的劃分

考慮到相鄰傳感器節(jié)點(diǎn)采集到的數(shù)據(jù)差異性較小，被劃分到同一類別的可能性較大。本文采用一種基于區(qū)域劃分的思想，將整個網(wǎng)絡(luò)隨機(jī)分為k個區(qū)域，k值的取值參照LEACH分簇協(xié)議[7]

(1)

式中N為傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)的數(shù)目，εfs為自由空間中衰減信道模式下的放大指數(shù)，εmp為多路徑衰減模式下的放大指數(shù)，d為簇頭節(jié)點(diǎn)與基站的距離，L為傳感器網(wǎng)絡(luò)正方形的邊長。

Zhong Shi等人[8，9]將均值聚類算法(k-means)算法應(yīng)用到無線傳感器網(wǎng)絡(luò)入侵檢測中，考慮到初始類中心的選擇對結(jié)果有很大影響，如果初始值選擇不當(dāng)，就有可能無法得到想要的結(jié)果，這也是均值聚類算法面臨的主要問題。受最大最小準(zhǔn)則[10]的啟發(fā)，根據(jù)已知條件，找出傳感器網(wǎng)絡(luò)中相距最遠(yuǎn)的兩個點(diǎn)C(xmin,ymin)，C(xmax,ymax)，k值按式(1)取值。其中

xs=(xmax-xmin)×2/k

(2)

ys=(ymax-ymin)×2/k

(3)

C(xi,yi)=C(xmin+i·xs,ymin+i·ys)i=1,2,…,k/2

(4)

改進(jìn)后的k-means算法如下述：

輸入：n個對象，簇的數(shù)目k。

輸出：k個簇，使平方誤差準(zhǔn)則最小。

1)for i=1 to k/2

2)for j=1 to k/2

3)C(xi,yi)=C(xmin+i·xs,ymin+i·ys)

4)end for

5)end for

6)為k個聚類來確定初始聚類中心，依次為C1,C2,…,CK。

7)將每一個樣本集中的樣本Xi按最小距離分配的原則依次分配到最鄰近的聚類Cc。

8)重新計算聚類中心Cc。

10)If D≤ε then

11)輸出簇C1,C2,…,CK，結(jié)束算法

12)else

13)回到步驟(7)

14)end if

改進(jìn)后的k-means算法聚類效率高，計算復(fù)雜度低，這些滿足傳感器節(jié)點(diǎn)開銷小的特點(diǎn)。

2.2簇頭選擇

簇頭的選擇參照LEACH分簇算法，它的基本思想是隨機(jī)的循環(huán)等概率的選擇簇頭。在簇的初始階段，每一個節(jié)點(diǎn)在0～1內(nèi)隨機(jī)選擇一個數(shù)，如果該值小于規(guī)定的閾值T(n),則被選為簇頭。T(n)計算公式如下

(5)

式中N為總的傳感器節(jié)點(diǎn)數(shù)，k為一個周期內(nèi)網(wǎng)絡(luò)的簇頭節(jié)點(diǎn)數(shù)，r為已經(jīng)完成的周期輪數(shù)，G為未成為簇頭的傳感器節(jié)點(diǎn)結(jié)合。

但是在實(shí)際的應(yīng)用中LEACH算法存在一些不足。首先簇頭的選擇具有隨機(jī)性，可能導(dǎo)致有的區(qū)域簇頭會比較多，造成網(wǎng)絡(luò)的負(fù)載不均衡；其次動態(tài)地更換簇頭沒有考慮節(jié)點(diǎn)的剩余能量，可能會導(dǎo)致節(jié)點(diǎn)過早地死亡，減少了網(wǎng)絡(luò)的生存周期。因此,考慮節(jié)點(diǎn)的剩余能量選舉簇頭，簇頭閾值f(i)如下

(6)

式中K為簇頭數(shù)目與全部節(jié)點(diǎn)的比率，r為已經(jīng)完成的周期輪數(shù)，Ecount為節(jié)點(diǎn)i當(dāng)前能量，E為節(jié)點(diǎn)i初始能量。

2.3入侵檢測

在支持向量機(jī)(SVM)的基礎(chǔ)上,Micnacl E.Tipping提出了相關(guān)向量機(jī)(RVM)[11]的模型，它克服了SVM在學(xué)習(xí)的過程中存在的一些問題。本文采用基于RVM的入侵檢測，它是在貝葉斯框架下進(jìn)行訓(xùn)練的，RVM算法如下：

記得在《新潮》引言中，書中有這樣的一句話：這本書里要講的是一個人、一個民族、一個時代的經(jīng)驗(yàn)。經(jīng)驗(yàn)是寶貴的；可是寶貴的經(jīng)驗(yàn)是付重大的代價買來的。個人的經(jīng)驗(yàn)如此，一個民族、一個國家、一個時代的經(jīng)驗(yàn)，也是如此。

(7)

式中wi為權(quán)值；N為樣本數(shù)；K(x,xi)為核函數(shù)。

設(shè)目標(biāo)函數(shù)是獨(dú)立的，且含有噪聲

yn=f(xn,w)+εn

(8)

式中εn為噪聲。

訓(xùn)練樣本集似然函數(shù)為

(9)

y=[y1,y2,…,yN]T;w=[w1,w2,…,wN]T;φ=[φ(x1),φ(x2),…,φ(xN)]T,φ(xN)=[1,K(xn,x1),K(xn,x2),…,K(xn,xN)T。權(quán)值w先驗(yàn)條件概率分布

(10)

根據(jù)Bayesian公式，未知參數(shù)的后驗(yàn)公式如下

(11)

則權(quán)值w的后驗(yàn)概率為

∑-1(w-μ)}

(12)

式中

∑=(δ-2φTφ+A)-1,A=diag(α0,α1,…,αN)

μ=δ-2∑φTy。

(13)

(14)

式中γi=1-∑ij,∑ij為第i個對角元素；N為樣本中數(shù)據(jù)的個數(shù)；μi為第i個后驗(yàn)平均權(quán)。

相關(guān)向量機(jī)學(xué)習(xí)的過程就是不斷地重復(fù)式(13)和式(14)進(jìn)行迭代更新，并不斷地更新∑和μ，直到滿足收斂要求。

本文選擇RBF核函數(shù)構(gòu)造RVM，徑向基核函數(shù)為

(15)

3仿真實(shí)驗(yàn)

3.1實(shí)驗(yàn)環(huán)境設(shè)置

通過仿真實(shí)驗(yàn)將該模型應(yīng)用到無線傳感器網(wǎng)絡(luò)中，從平均檢測率、平均誤檢率、能耗等方面分析系統(tǒng)性能。本文采用NS2仿真器進(jìn)行仿真，傳感器網(wǎng)絡(luò)節(jié)點(diǎn)隨機(jī)分布在1 000 m×1 000 m的網(wǎng)絡(luò)中，數(shù)據(jù)包長度為56 byte，通信速率為20 kB/s。

實(shí)驗(yàn)數(shù)據(jù)采用Intel Berkeley實(shí)驗(yàn)室中54個Mica2Dot傳感器節(jié)點(diǎn)在2004年2月28日到4月5日采集到的真實(shí)數(shù)據(jù)，包括溫度、濕度、電壓值和光照。這些數(shù)據(jù)是正常情況下采集到的數(shù)據(jù)，沒有傳感器節(jié)點(diǎn)在異常情況下的數(shù)據(jù)，本文采用文獻(xiàn)[12]的方法，通過對數(shù)據(jù)加上滿足正態(tài)分布的噪聲值來模擬異常情況下傳感器節(jié)點(diǎn)的數(shù)據(jù)。

實(shí)驗(yàn)中,選取δ=2，N=54，εfs=50 nJ/bit,εmp=10 pJ/bit/m2，L=40,按式(1)求得k=6，傳感器節(jié)點(diǎn)被分為6個簇。圖2為改進(jìn)的k-means算法分簇結(jié)果，表1表示簇與對應(yīng)傳感器節(jié)點(diǎn)。

3.2入侵檢測性能分析

在進(jìn)行訓(xùn)練和測試時，實(shí)驗(yàn)中選取由電壓值、溫度和濕度所組成的向量。RVM最大迭代次數(shù)為500，核函數(shù)為RBF。在訓(xùn)練時選用200～500條記錄的平均值來作為樣本中的記錄，進(jìn)行測試時選用隨機(jī)的樣本進(jìn)行測試。

圖2　簇的分類Fig 2　Classification of cluster

簇傳感器節(jié)點(diǎn)113,14,15,16,17,18,19,2024,5,6,7,8,9,10,11,12,53,54347,48,49,50,51,52438,39,40,41,42,43,44,45,4651,2,3,32,33,34,35,36,37621,22,23,24,25,26,27,28,29,30,31

對入侵檢測的性能評價指標(biāo)采用平均檢測率和平均誤檢率。在仿真實(shí)驗(yàn)中比較本文基于RVM方法和文獻(xiàn)[13]提出的基于SVM的方法。圖3表示傳感器節(jié)點(diǎn)平均檢測率，圖4表示傳感器節(jié)點(diǎn)平均誤檢率。

圖3　平均檢測率Fig 3　Average detection rate

圖4　平均誤檢率Fig 4　Average error detection rate

從圖3和圖4中可以看出，隨著訓(xùn)練記錄數(shù)的增多，與文獻(xiàn)[13]提出的基于SVM的入侵檢測方法相比，本文提出基于RVM的入侵檢測方法具有較高的平均檢測率和較低的平均誤檢率。這是因?yàn)楸疚牡哪Ｐ蛯⑾嗨频膫鞲衅鞴?jié)點(diǎn)劃分到同一個簇，使簇中的數(shù)據(jù)對象具有較高的相似度，

再經(jīng)過RVM算法訓(xùn)練后，泛化能力得到提高。

3.3能耗分析

為了評估節(jié)點(diǎn)平均能量開銷，統(tǒng)計了節(jié)點(diǎn)在無入侵無檢測、無入侵有檢測和有入侵有檢測3種情況下的能量開銷。入侵檢測能量消耗如圖5所示。

圖5　能量消耗Fig 5　Energy consumption

從圖5可以看出，在無入侵無檢測和無入侵有檢測情況下，節(jié)點(diǎn)能量的消耗比較平均；在有入侵有檢測情況下，系統(tǒng)初期能耗比較大，經(jīng)過一段時間后，能耗開始降低。

4結(jié)束語

針對無線傳感器網(wǎng)絡(luò)計算能力低、能量有限等特點(diǎn)，本文提出了一種通過劃分簇、簇頭輪換以及基于RVM的入侵檢測模型。實(shí)驗(yàn)表明:該模型具有較高的平均檢測率和較低的平均誤檢率，并且具有低能耗的特點(diǎn)，對解決無線傳感器網(wǎng)絡(luò)入侵檢測的問題有一定的參考價值。

參考文獻(xiàn):

[1]王素蘋.物聯(lián)網(wǎng)感知層安全性研究綜述[J].傳感器與微系統(tǒng),2015,34(16):6-9,16.

[2]Mutschlechner M,Li B,Kapitza R,et al.Using Erasure codes to overcome reliability issues in energy-constrained sensor network-s[C]∥Proceedings of the 11th Annual Conference on Wireless On-demand Network Systems and Services(WONS),Obergurgl,Austria,2014:41-48.

[3]李建中,高宏.無線傳感器網(wǎng)絡(luò)研究進(jìn)展[J].計算機(jī)研究與發(fā)展,2008,45(1):1-15.

[4]Tang Jiayu,Fan Pingzhi.A RSSI-based cooperative anomaly detection scheme for wireless sensor networks[C]∥Proceedings of the International Conference on Wireless Communications,Networking and Mobile Computing,2007:2783-2786.

[5]Yan K,Wang S C,Wang S S,et al.Hybrid intrusion detection system for enhancing the security of a cluster-based wireless sensor networks[C]∥Proceedings of 2010 the 3rd IEEE Internatio-nal Conference on Computer Science and Information Technology(ICCSIT),2010:114-118.

[6]Li Lei,Li Yanhui,Fu Dongyang,et al.Intrusion detection model based on hierarchical structure in wireless sensor networks[C]∥Proceedings of 2010 International Conference on Electrical and Control Engineering(ICECE),2010:2816-2819.

[7]王進(jìn),邵玉斌,龍華,等.基于能量和距離加權(quán)的WSNs簇頭選擇算法[J].傳感器與微系統(tǒng),2014,33(5):132-134.

[8]孫吉貴,劉杰,趙連宇.聚類算法研究[J].軟件學(xué)報,2008,19(1):48-61.

[9]Zhong Shi,Khoshgoftaar T M,Nath S V.A clustering approach to wireless network intrusion detection[C]∥Proceedings of the17th IEEE International Conference on Tools with Artificial Intelligence,ICTAI’05,Washington:IEEE Computer Society,2005:190-196.

[10] Liu Yuanchao,Wang Xiaolong,Liu Bingquan.An adapted algorithm of choosing initial values for K-means document cluste-ring[J].Chinese High Technology Letters,2006,16(1):11-15.

[11] John Flake,Todd K Moon,Mac McKee,et al.Application of the relevance vector machine to canal flow prediction in the Sevier River Basin[J].Agricultural Water Management,2010,97(2):208-214.

[12] Li Guorui,He Jingsha,Fu Yingfang.Group-based intrusion detection system in wireless sensor networks[J].Computer Communications,2008,31:4324-4332.

[13] Yassine Maleh,Abdellah Ezzati,Youssef Qasmaoui,et al.A glo-bal hybrid intrusion detection system for wireless sensor network-s[C]∥Proceedings of the 5th International Symposium on Frontiers in Ambient and Mobile Systems,FAMS 2015,Procedia Computer Science,2015:1047 - 1052.

Intrusion detection system model for wireless sensor networks

JIN Xin,HU Ping

(College of Computer Science and Technology,Nanjing Technology University,Nanjing 211816，China)

Abstract:To improve safety of wireless sensor networks(WSNs),in view of characteristics of WSNs,an intrusion detection system model is designed.According to clustering method,the model divides area into clusters;elect cluster heads in each cluster,cluster heads should be rotated regularly;adopt intrusion detection scheme based on relevance vector machine(RVM).Experimental results show that the proposed model has a higher average detection rate and lower average false rate compared with other intrusion detection models,and has characteristics of low energy consumption.

Key words:wireless senser networks(WSNs);intrusion detection;relevance vector machine(RVM)

DOI:10.13873/J.1000—9787(2016)05—0046—03

收稿日期：2015—08—19

中圖分類號:TP 393

文獻(xiàn)標(biāo)識碼:A

文章編號:1000—9787(2016)05—0046—03

作者簡介:

金鑫(1990-)，男，江蘇南通人，碩士研究生,主要研究方向?yàn)闊o線傳感器網(wǎng)絡(luò)、信號處理。