蘇 明

（北京開放大學(xué)，北京 100081）

0 引言

無線傳感網(wǎng)絡(luò)（wireless sensor networks, WSNs）已在多個(gè)領(lǐng)域內(nèi)廣泛使用[1-2]，如智能家居、智能電網(wǎng)等。WSNs 中的傳感節(jié)點(diǎn)，能夠感知應(yīng)用環(huán)境中的異常事情，因此可以利用節(jié)點(diǎn)的感知能力，來檢測(cè)異常事情，例如在智能家居的安防中，可以用紅外傳感節(jié)點(diǎn)感知異常物體入侵。

現(xiàn)存的多數(shù)入侵檢測(cè)算法都依賴數(shù)據(jù)挖掘算法[3-5]。盡管它們?cè)谌肭謾z測(cè)方面有較好的性能，但是基于傳感網(wǎng)絡(luò)的監(jiān)測(cè)系統(tǒng)，仍容易遭受網(wǎng)絡(luò)攻擊。因此，有效的入侵檢測(cè)系統(tǒng)（intrusion detection system, IDS）非常關(guān)鍵，通過IDS 可以避免數(shù)據(jù)受已知和未知攻擊。

通過檢測(cè)異?；顒?dòng)，提高網(wǎng)絡(luò)安全[6]是部署IDS 的根本目的。計(jì)算智能，包括機(jī)器學(xué)習(xí)、模糊邏輯、人工神經(jīng)網(wǎng)絡(luò)等均是識(shí)別網(wǎng)絡(luò)流量中異?；顒?dòng)的有效策略。IDS 就是通過二值分類，區(qū)分正常行為和入侵行為。

文獻(xiàn)[7]通過實(shí)時(shí)自適應(yīng)模型產(chǎn)生（adaptive model generation, AMG）結(jié)構(gòu)，實(shí)施基于數(shù)據(jù)挖掘的IDS 系統(tǒng)。文獻(xiàn)[8]對(duì)基于異常的IDS 進(jìn)行分析，提出基于博弈理論的入侵檢測(cè)系統(tǒng)。

為此，本文針對(duì)基于WSNs 應(yīng)用的環(huán)境監(jiān)測(cè)系統(tǒng)，分析了在感測(cè)數(shù)據(jù)融合階段的已知和未知的入侵行為，然后提出自適應(yīng)的入侵檢測(cè)（adaptive intrusion detection, AID）系統(tǒng)。

在 AID 中，利用2 類機(jī)器學(xué)習(xí)子系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行處理：①誤用檢測(cè)子系統(tǒng)（misuse detection Subsystem, MDS）；②異常檢測(cè)子系統(tǒng)（anomaly detection subsystem, ADS）。MDS 能夠有效地檢測(cè)已知攻擊，ADS 能夠檢測(cè)未知攻擊。所謂已知攻擊是系統(tǒng)已掌握了攻擊特點(diǎn)的攻擊；未知攻擊是指系統(tǒng)對(duì)攻擊特點(diǎn)并不了解的攻擊。

MDS 通過隨機(jī)森林分類器檢測(cè)已知攻擊。它先通過訓(xùn)練數(shù)據(jù)，獲取攻擊模型，然后利用未來感測(cè)流量，識(shí)別入侵行為。而 ADS 是通過優(yōu)化的DBSCAN 分類器，來檢測(cè)未知攻擊：先依據(jù)訓(xùn)練數(shù)據(jù)獲取正常模型（非攻擊模型），再利用模型識(shí)別未知攻擊。

實(shí)施入侵檢測(cè)的關(guān)鍵在于，如何決定子系統(tǒng)的融合數(shù)據(jù)流，例如文獻(xiàn)[9]提出簇結(jié)構(gòu)的混合入侵檢測(cè)系統(tǒng)（clustered hierarchical hybrid-intrusion detection system, CHH-IDS），CHH-IDS 就是通過分析數(shù)據(jù)流對(duì)入侵檢測(cè)準(zhǔn)確率的影響，達(dá)到提高準(zhǔn)確地檢測(cè)入侵。本文提出的 AID 系統(tǒng)，可以連續(xù)地跟蹤每個(gè)子系統(tǒng)的接收操作特征（receiver operating characteristics, ROC），再結(jié)合ROC 的獎(jiǎng)懲機(jī)制，自動(dòng)調(diào)整給每個(gè)子系統(tǒng)轉(zhuǎn)發(fā)的融合數(shù)據(jù)比例來完成入侵檢測(cè)。

1 預(yù)備知識(shí)

1.1 基于權(quán)重函數(shù)的簇結(jié)構(gòu)

引用簇化的網(wǎng)絡(luò)結(jié)構(gòu)。假定網(wǎng)絡(luò)有N個(gè)簇，每個(gè)簇由c個(gè)傳感節(jié)點(diǎn)。在每個(gè)簇內(nèi)，簇頭（cluster head,CH）負(fù)責(zé)融合簇內(nèi)傳感節(jié)點(diǎn)所轉(zhuǎn)發(fā)的數(shù)據(jù)。一旦融合完畢，CH 就將數(shù)據(jù)轉(zhuǎn)發(fā)至中心服務(wù)器，如圖1 所示。

圖1 系統(tǒng)模型

AID 系統(tǒng)引用基于權(quán)重的簇頭產(chǎn)生機(jī)制[10]，給每個(gè)節(jié)點(diǎn)定義 1 個(gè)簇頭權(quán)重，具有最低權(quán)重的節(jié)點(diǎn)成為簇頭。具體而言，令iW表示傳感節(jié)點(diǎn)si的權(quán)重，其定義為

1.2 數(shù)據(jù)融合

每個(gè)簇頭融合其簇內(nèi)傳感節(jié)點(diǎn)的數(shù)據(jù)，然后將融合的數(shù)據(jù)傳輸至信宿。AID 系統(tǒng)引用文獻(xiàn)[11]的數(shù)據(jù)融合算法。通過計(jì)算融合節(jié)點(diǎn)的信任值，其定義為

式中：Tagg為融合節(jié)點(diǎn)的信任值；Ti為si的信任值；為融合節(jié)點(diǎn)與節(jié)點(diǎn)si間的信任值；N為簇內(nèi)的傳感節(jié)點(diǎn)數(shù)。

2 AID 系統(tǒng)

AID 系統(tǒng)旨在跟蹤 MDS 和 ADS 子系統(tǒng)中ROC 的變化，并調(diào)整向它們轉(zhuǎn)發(fā)感測(cè)數(shù)據(jù)的比例[12]。引用真假率評(píng)估ADS 和MDS 檢測(cè)入侵的性能，即：

單一時(shí)刻點(diǎn)的真假率并不能準(zhǔn)確地反映 AID和MDS 系統(tǒng)的檢測(cè)入侵性能。為此，利用一段時(shí)間Δt觀察真假率。AID 和 MDS 系統(tǒng)在Δt時(shí)間內(nèi)的的真假率的計(jì)算方法為：

用真假率表述系統(tǒng)的 ROC。為了能準(zhǔn)確地跟蹤真假率的變化情況，下1 個(gè)時(shí)刻的真假率包含當(dāng)前時(shí)刻的真假率和時(shí)間段Δt內(nèi)的真假率。AID 系統(tǒng)和 MDS 系統(tǒng)在時(shí)刻ti+1的真假率的計(jì)算方法為：

除了每個(gè)子系統(tǒng)的ROC 行為，AID 系統(tǒng)跟蹤2 個(gè)子系統(tǒng)（ADS 和 MDS）在任意時(shí)刻ti的平均ROC，即

對(duì)于任意時(shí)刻ti，如果則表明ADS 子系統(tǒng)優(yōu)先MDS 子系統(tǒng)，就增加向ADS 轉(zhuǎn)發(fā)感測(cè)數(shù)據(jù)的比例。相反，如果MDS子系統(tǒng)優(yōu)先 ADS 子系統(tǒng)，就增加向 MDS 轉(zhuǎn)發(fā)感測(cè)數(shù)據(jù)的比例。

圖2 AID 系統(tǒng)流程

3 實(shí)驗(yàn)與結(jié)果分析

為了更好地分析AID 系統(tǒng)，引用NS3 仿真器建立仿真平臺(tái)。在100 m×100 m 區(qū)域部署20 個(gè)傳感節(jié)點(diǎn)，將這些傳感節(jié)點(diǎn)分成4 個(gè)簇。引用層次-動(dòng)態(tài)源路由（hierarchical-dynamic source routing,HDSR）協(xié)議完成節(jié)點(diǎn)間通信。

引用數(shù)據(jù)挖掘的知識(shí)發(fā)現(xiàn)（ knowledge discovery in data mining, KDD）CUP 1999 數(shù)據(jù)庫，通過KDD CUP 1999 數(shù)據(jù)庫評(píng)估AID 系統(tǒng)檢測(cè)性能。并考慮4 類攻擊：否認(rèn)服務(wù)（denial of service,DoS）、端口（probe）攻擊、遠(yuǎn)程用戶攻擊（remoteto-login, R2L）、提權(quán)（user-to-root, U2R）攻擊。具體的仿真參數(shù)如表1 所示。

表1 仿真參數(shù)

3.1 準(zhǔn)確率

準(zhǔn)確率AR 表示分類的準(zhǔn)確性，其定義為

式中：NTP表示將非入侵事件正確判斷為非入侵事件的個(gè)數(shù)；NTN表示入侵事件正確判斷為入侵事件的個(gè)數(shù)；NFP表示將非入侵事件錯(cuò)誤判斷為入侵事件的個(gè)數(shù)；NFN表示將入侵事件錯(cuò)誤判斷為非入侵事件的個(gè)數(shù)。

圖 3 顯示了 AR 隨入侵率的變化情況，且ΔR=0.25。

圖3 準(zhǔn)確率隨入侵率的變化情況

從圖3 可知，AR 隨入侵率的增加而下降。原因在于，入侵率越高，入侵者越多，檢測(cè)難度越高，降低了準(zhǔn)確率。相比于 CHH-IDS，AID 系統(tǒng)提高了準(zhǔn)確率，AID 系統(tǒng)的準(zhǔn)確率達(dá)到99 %以上。

3.2 檢測(cè)率

AID 系統(tǒng)的檢測(cè)率（detection rate, DR），反映了正確地檢測(cè)入侵事件的概率，其定義為

圖4 顯示了DR 隨入侵率的變化情況。

圖4 檢測(cè)率隨入侵率的變化情況

從圖4 可知，入侵率的增加，降低了DR。但當(dāng)入侵率為50 %，AID 系統(tǒng)的DR 仍達(dá)到95 %，遠(yuǎn)高于CHH-IDS。例如，當(dāng)入侵率為40 %，AID 系統(tǒng)的DR 為 96 %，而 CHH-IDS 系統(tǒng)的 DR 只達(dá)到 88%。

3.3 TP 性能

圖5 顯示了TP 隨FP 的變化曲線，其反映了ROC 特性。從圖 5 可知：當(dāng)ΔR= 0時(shí)，TP 最低；而當(dāng)時(shí)，TP 最高，即當(dāng)ΔR=0. 25 時(shí)，能夠獲取最優(yōu)的ROC 特性。

圖 5 TP 隨 FP 的變化情況

3.4 精確率曲線

精確率曲線反映了查準(zhǔn)率（precision）隨查全率（recall）的變化過程。其中查全率等于而查準(zhǔn)率等于精確率越高（趨于1），性能越好。

圖6 顯示了ΔR值變化時(shí)的精確率曲線。

圖6 精確率曲線

4 結(jié)束語

針對(duì)重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施的監(jiān)測(cè)問題，提出自適應(yīng)檢測(cè)AID 系統(tǒng)。AID 系統(tǒng)以簇化的WSNs 結(jié)構(gòu)為基礎(chǔ)，通過跟蹤ROC 特征，調(diào)整轉(zhuǎn)發(fā)至MDS 和ADS 2 個(gè)子系統(tǒng)的數(shù)據(jù)的比例，進(jìn)而優(yōu)化系統(tǒng)。仿真數(shù)據(jù)表明，提出的 AID 系統(tǒng)能有效地提高了入侵檢測(cè)率，其準(zhǔn)確率可達(dá)到99 %。