袁夢鑫

摘 要 無線傳感器網(wǎng)絡(luò)部署區(qū)域的開放性和無線通信的廣播特性給傳感器網(wǎng)絡(luò)帶來了巨大的安全隱患，成為無線傳感器網(wǎng)絡(luò)發(fā)展的瓶頸。入侵檢測作為一種積極主動的深度防護(hù)技術(shù)，可以通過檢測網(wǎng)絡(luò)流量或主機(jī)運(yùn)行狀態(tài)來發(fā)現(xiàn)各種惡意入侵并做出響應(yīng)，能夠積極有效地保護(hù)網(wǎng)絡(luò)安全。

關(guān)鍵詞 無線傳感器網(wǎng)絡(luò) 入侵檢測 系統(tǒng)研究

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

1研究意義

無線傳感器網(wǎng)絡(luò)作為物聯(lián)網(wǎng)技術(shù)的前身，其用途極為廣泛，目前大多應(yīng)用在軍事、應(yīng)急場合、防盜監(jiān)控等領(lǐng)域。無線傳感器網(wǎng)絡(luò)技術(shù)不斷產(chǎn)生新的應(yīng)用模式，必將為人們的生活帶來深遠(yuǎn)的影響。

隨著無線傳感器網(wǎng)絡(luò)的廣泛應(yīng)用，各種安全問題也相繼出現(xiàn)。如果說無線傳感器網(wǎng)絡(luò)安全是一個木桶，它所能盛水的高度取決于最低的那塊木板，那么針對無線傳感器網(wǎng)絡(luò)而設(shè)計的入侵檢測系統(tǒng)無疑就是那塊最低的木板。

研究者針對無線傳感器網(wǎng)絡(luò)入侵檢測做了大量研究，但效果不盡人意，其主要原因有以下兩點(diǎn)：

（1）由于傳感器節(jié)點(diǎn)資源（如電源能量、通信能力和計算能力等）嚴(yán)重受限。

（2）由于缺少無線傳感器網(wǎng)絡(luò)入侵檢測算法性能的評價標(biāo)準(zhǔn)，導(dǎo)致很多檢測算法一味的追求高檢測率而忽視了能耗、計算時間等多方面的因素。

2研究現(xiàn)狀

針對無線傳感器網(wǎng)絡(luò)設(shè)計的入侵檢測算法大多不夠完善，理論研究與實際應(yīng)用還有較大的差距。

2.1基于聚類的檢測算法

Loo采用聚類算法檢測路由是否正常。

該算法包括了分類器訓(xùn)練階段和數(shù)據(jù)檢測階段。分類器訓(xùn)練階段：檢測系統(tǒng)每間隔△t就采集一次網(wǎng)絡(luò)信息，直到集齊訓(xùn)練分類器所需的數(shù)據(jù)集C1。這些數(shù)據(jù)樣本包括了：節(jié)點(diǎn)的路由、流量狀況、丟包率、發(fā)送能量等17個網(wǎng)絡(luò)特征屬性。使用固定寬度聚類算法對樣本集合C1進(jìn)行聚類，得到聚類集合 ={1，2，…，s}（1≤s≤N1）；而后對聚類集合中的每個簇v1（1≤i≤s），計算|v|與N1之比，即|v|/N1。當(dāng)小于閾值 時，v異常。數(shù)據(jù)檢測階段：用待測樣本 和聚類集合作比較，當(dāng)| v|小于門檻值 時，就認(rèn)為測試樣本 異常，入侵檢測系統(tǒng)對其做出相應(yīng)的入侵響應(yīng)。

2.2 基于隱馬爾可夫模型的檢測算法

Doumit采用隱性馬爾可夫模型和自組織臨界程度的方法進(jìn)行入侵檢測。該算法首先將無線傳感器網(wǎng)絡(luò)的單位劃分為簇，每個簇中有簇頭節(jié)點(diǎn)和普通節(jié)點(diǎn)兩類。普通節(jié)點(diǎn)主要是用來收集網(wǎng)絡(luò)數(shù)據(jù)，傳輸節(jié)點(diǎn)間的數(shù)據(jù)，簇頭節(jié)點(diǎn)可以用來檢測普通節(jié)點(diǎn)數(shù)據(jù)的變化情況，來判斷某節(jié)點(diǎn)是否存在入侵行為。

Doumit假設(shè)事件每間隔時間△t就會改變其狀態(tài)，而狀態(tài)是一個已知集合，并且知道從一種狀態(tài)改變?yōu)榱硪环N狀態(tài)時的概率矩陣，當(dāng)網(wǎng)絡(luò)狀態(tài)發(fā)生改變時，入侵檢測系統(tǒng)計算前一狀態(tài)改變?yōu)楝F(xiàn)在狀態(tài)發(fā)生的概率p，如果出現(xiàn)p小于系統(tǒng)門檻值 ，說明該事件發(fā)生的概率極小，就可以認(rèn)定該事件為異常行為。從上面描述中可以看出：閾值 的選取直接影響著誤報率和檢測精度的高低。

2.3 基于免疫方法的檢測算法

1996年12月，日本·東京首次舉行了基于免疫性系統(tǒng)的國際專題研討會，并首次提出了“人工免疫系統(tǒng)（AIS）”的概念，隨后人工免疫系統(tǒng)進(jìn)入了興盛發(fā)展時期?！叭斯っ庖呦到y(tǒng)”參照了生物學(xué)原理：免疫系統(tǒng)能夠識別未知入侵的抗原特性。Zeng等人受到免疫系統(tǒng)的啟發(fā)，突破性地將“人工免疫系統(tǒng)（AIS）”應(yīng)用到無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)中去。

該算法對于已知的入侵行為，檢測算法通過判斷網(wǎng)絡(luò)行為是否與已知的入侵模式匹配，來檢測是否存在入侵行為，并啟動相應(yīng)的入侵響應(yīng)。對于未知的入侵行為，將其直接認(rèn)定為入侵行為，通過尋求多節(jié)點(diǎn)協(xié)作將異常節(jié)點(diǎn)定位并隔離，同時將這些入侵特征加入到檢測知識庫。

2.4 基于博弈論的檢測算法

1928年馮·諾依曼證明了博弈論的基本原理，宣告了博弈論的正式誕生。博弈論屬于應(yīng)用數(shù)學(xué)的一個分支，目前在生物學(xué)、經(jīng)濟(jì)學(xué)、計算機(jī)科學(xué)、政治學(xué)、軍事戰(zhàn)略等學(xué)科中有廣泛的應(yīng)用。Agah等人將博弈論中的非合作模型引入網(wǎng)絡(luò)的入侵檢測問題中，利用兩個非零合作動態(tài)博弈理論評估入侵者最可能攻擊的位置，這樣檢測系統(tǒng)就可以將最好的防御策略部署在那些最有可能被入侵的位置，用最小的代價得到最高的防范效果。基于博弈論的檢測算法可以權(quán)衡檢測效率和網(wǎng)絡(luò)資源，做出最合理的決策。

2.5 經(jīng)典檢測算法的比較

根據(jù)上面的介紹，對幾種經(jīng)典入侵檢測算法進(jìn)行比較（如表1）。從表中可以看出經(jīng)典檢測方案大多存在缺陷，還存在著許多亟待研究和解決的問題?，F(xiàn)有的算法大多要么檢測算法過于復(fù)雜，導(dǎo)致計算時間過長；要么沒有深入地考慮能量消耗，以至于能量耗損嚴(yán)重，導(dǎo)致生存周期縮短。這些問題使得檢測算法難以應(yīng)用到資源受限的無線傳感器網(wǎng)絡(luò)中。因此，尋找適用于無線傳感器網(wǎng)絡(luò)入侵檢測算法性能的評價標(biāo)準(zhǔn)，在節(jié)點(diǎn)資源受限的條件下設(shè)計出適合節(jié)點(diǎn)的入侵檢測算法是目前的研究熱點(diǎn)。

3結(jié)論

敘述了傳感器網(wǎng)絡(luò)的發(fā)展歷程，介紹了無線傳感器網(wǎng)絡(luò)的具體應(yīng)用領(lǐng)域，研究了無線傳感器網(wǎng)絡(luò)的體系結(jié)構(gòu)及其安全需求，分析總結(jié)了各種經(jīng)典的無線傳感器網(wǎng)絡(luò)入侵檢測算法及其優(yōu)劣。

參考文獻(xiàn)

[1] LOO C E，NG M Y，LECKIE C，et al.Intrusion detection for routing attacks in sensor networks [J].International Journal of Distributed Sensor Networks，2006，2（4）：313-332.