徐禮金，賀艷芳

(1.廣東理工學院信息技術學院，廣東 肇慶 526000；2.河南大學民生學院，河南 開封 475000)

1 引言

高度移動環(huán)境下，傳統(tǒng)無線網(wǎng)絡通過最大化帶寬利用率實現(xiàn)資源管理策略的同時優(yōu)化路由，以此保證用戶的高質(zhì)量服務體驗[1]。無線傳感網(wǎng)絡內(nèi)的大部分節(jié)點都保持靜止不動狀態(tài)，只有少部分需要移動，這部分移動節(jié)點主要運行在危險的遠程環(huán)境或者無法操控的惡劣網(wǎng)絡環(huán)境中，具有無法替代性。目前研究無線傳感網(wǎng)絡的核心問題是探尋一種有效的網(wǎng)絡策略以延長網(wǎng)絡的生命周期[2 -4]。在最初對無線傳感網(wǎng)絡進行研究時，研究者認為Ad-hoc路由機制和成熟的因特網(wǎng)技術能夠充分滿足無線傳感網(wǎng)絡的基本需求[5]，但是隨著學術研究的不斷深入，研究人員發(fā)現(xiàn)，與傳統(tǒng)無線網(wǎng)絡相比，無線傳感網(wǎng)絡的核心技術要求差異巨大。傳統(tǒng)的無線網(wǎng)絡的核心目的是實現(xiàn)數(shù)據(jù)的傳輸，為了滿足各種應用程序數(shù)據(jù)傳輸?shù)男枨?，邊緣論思想“端到端”是傳統(tǒng)無線傳感網(wǎng)絡的主要設計思路，具體內(nèi)容為：在網(wǎng)絡端系統(tǒng)上，對數(shù)據(jù)進行處理，并主要利用中間節(jié)點對數(shù)據(jù)的分組轉(zhuǎn)發(fā)進行控制[6,7]。從長遠來看，這種方法不利于無線傳感網(wǎng)絡的發(fā)展。無線傳感網(wǎng)絡的拓撲結(jié)構(gòu)存在多變性，其中的傳感器節(jié)點可以人為控制隨時減少或增加，隨意聚合或分開[8]。無線傳感網(wǎng)絡傳遞信息的方式為無線傳遞，信息在傳感節(jié)點中傳遞時由于各網(wǎng)絡節(jié)點都暴露在外，導致很容易受到外部攻擊和入侵，以至于無線傳感網(wǎng)絡的損壞和網(wǎng)絡信息的泄露，探尋一種優(yōu)異的無線傳感網(wǎng)絡攻擊流量阻斷模型是目前研究的主要內(nèi)容[9]。

目前已有針對無線傳感網(wǎng)絡攻擊流量阻斷的相關研究，包括重定向流量、丟棄數(shù)據(jù)包和限制流速等多種方法。重定向流量是把無線傳感網(wǎng)絡發(fā)出攻擊的流量轉(zhuǎn)發(fā)到其它設備進行處理，但是這種方法并不能降低整個無線傳感網(wǎng)絡遭受攻擊后的負載壓力[10]；丟棄數(shù)據(jù)包判斷攻擊流量的方式是通過端口號和IP地址實現(xiàn)數(shù)據(jù)包丟棄，這種方法無法判斷數(shù)據(jù)的合法性，會把合法數(shù)據(jù)一起丟棄[11]；限制流速不會丟棄數(shù)據(jù)，僅限制攻擊流量速率以阻斷攻擊，雖然不會丟棄合法數(shù)據(jù)，但是依然沒有實現(xiàn)阻斷流量攻擊的目的[12]。

基于此，本文基于字符(單詞)的詞頻矩陣，利用詞頻-逆向文件頻率TF-IDF(Term Frequency-Inverse Document Frequency)算法提取有效載荷的特征，使用隨機森林算法，根據(jù)特征結(jié)果進行網(wǎng)絡流量分類，基于分類結(jié)果實現(xiàn)流量攻擊溯源，完成異常無線傳感網(wǎng)絡檢測，利用流表的報文過濾實現(xiàn)無線傳感攻擊流量的阻斷，為無線傳感網(wǎng)絡的安全運行打下基礎。

2 無線傳感網(wǎng)絡攻擊流量阻斷模型

2.1 無線傳感網(wǎng)絡攻擊流量檢測方法

2.1.1 特征提取

詞頻-逆向文件頻率TF-IDF是20世紀80年代末期提出的用于挖掘文本和檢索信息的一種加權技術[13]。該技術中TF表示某個樣本內(nèi)某字符或者某單詞出現(xiàn)的頻率，主要由某個字符數(shù)量oi與樣本中總字符數(shù)量U相除而得，某個樣本內(nèi)字符di出現(xiàn)的頻率如式(1)所示：

(1)

IDF的中心思想是指在有效載荷特定的樣本中出現(xiàn)某個字符，而這個字符在其他正常流量或者樣本中較少出現(xiàn)，說明該字符具有極強的區(qū)分此類樣本的能力，與選擇攻擊特征的樣本相契合，這就要求IDF具有更大的值[14]。樣本中字符IDF值的計算方式如式(2)所示：

(2)

其中，|C|與|{di∈cj}|分別表示樣本總數(shù)與包含字符di的樣本數(shù)量。為了防止包含字符di的樣本數(shù)量失去數(shù)學意義，將分母設置為1+|{di∈cj}|。

特征提取的計算方法如式(3)所示：

TFIDF=TFi*IDFi

(3)

在實際測試中發(fā)現(xiàn)，TF-IDF技術區(qū)分標點和字符時不夠智能，這就需要對復雜的字符與標點實行人工分詞，對無線傳感網(wǎng)絡攻擊流量和正常流量字符進一步分析差別，使用獨熱(One-hot)編碼標記2種流量樣本，進行快速傅里葉變換，獲取具有步長序列的頻譜圖[15]。經(jīng)對比頻譜圖，正常流量比攻擊流量的字符幅值更高。

本文對相同數(shù)據(jù)進行2次分析，第1次將字符作為特征提取詞頻矩陣訓練的依據(jù)，第2次將單詞作為特征提取詞頻矩陣訓練的依據(jù)，得到2個訓練結(jié)果。在此基礎上，將隨機森林算法的輸入向量視作特征提取結(jié)果的詞頻矩陣對訓練結(jié)果進行驗證，至此完成對無線傳感網(wǎng)絡攻擊流量和正常流量的識別，最終得到需要提取的特征。

2.1.2 基于隨機森林算法的流量分類

在得到無線傳感網(wǎng)絡攻擊流量的特征后，本文以此為依據(jù)，采用隨機森林算法對流量進行分類。在引導聚集算法的基礎上改進得到隨機森林算法，以下為隨機森林算法的具體過程：

(1)經(jīng)TF-IDF提取特征得到詞頻矩陣：

CP*Q={C1,C2}

(4)

其中,C1表示將單詞作為依據(jù)生成的詞頻矩陣，C2表示將字符作為依據(jù)生成的詞頻矩陣，P與Q分別表示訓練樣本總數(shù)與TF-IDF算法提取出的無線傳感網(wǎng)絡攻擊流量特征總數(shù)。將詞頻矩陣作為輸入得到詞頻矩陣特征集：LC={l1,l2,…,ln}，通過Bootstrap完成取樣。為構(gòu)成M個樣本集：R={R1,R2,…,RM},M≥1，需要隨機在輸入數(shù)據(jù)集內(nèi)抽取M個樣本集，再利用剩余數(shù)據(jù)構(gòu)成袋外數(shù)據(jù)OOB(Out Of Bag)樣本集。無線傳感網(wǎng)絡流量的分類過程如圖1所示。

Figure 1 Process of traffic classification 圖1 流量分類過程

(2)依據(jù)隨機森林算法的要求，由步驟(1)中抽取的樣本集R需要在各待分裂節(jié)點中選擇p個特征，此處p取值為2，避免出現(xiàn)過度擬合，由基尼系數(shù)決定節(jié)點分裂標準：

(5)

其中，vi代表全部樣本與訓練集內(nèi)特征值樣本個數(shù)的比值。最優(yōu)分裂點是通過式(5)計算得到的最低基尼系數(shù)。

(3)重復執(zhí)行步驟(2)，直至達到已設定好的閾值或者不能分裂為止，此時建立第1棵決策樹。

(4)重復執(zhí)行以上3個步驟，一直到得到所需數(shù)量的決策樹，構(gòu)成隨機森林，最后以投票方式確定無線傳感網(wǎng)絡流量是否為攻擊流量。

完成無線傳感網(wǎng)絡流量分類后需要對攻擊流量實現(xiàn)溯源。溯源攻擊流量實際上就是利用隨機森林算法獲得的流量分類結(jié)果，對存在異常的無線傳感網(wǎng)絡加以識別。無線傳感網(wǎng)絡環(huán)境下，各主機都有自身的行為特征[16]。為了更詳細地分析主機特征，通常把主機行為分為2種，一種是主機負責接收報文，另一種是主機負責發(fā)送報文。對某個IP地址特征進行提取時，需要同時分析此IP地址作為源地址和目的地址的全部數(shù)據(jù)包，取得對流量進行分類的相關信息。使用隨機森林算法獲得一個訓練完成的分類器，識別出異常主機行為。在流量攻擊IP地址得到確定的基礎上，對連接攻擊流量的交換機和端口進行深入挖掘。在無線傳感網(wǎng)絡的拓撲圖中找到相對應的節(jié)點信息，依據(jù)這些節(jié)點信息查詢鏈路信息，獲得鄰近攻擊終端的交換機節(jié)點信息，完成流量分類，并將交換機的ID和端口作為攻擊流量阻斷的阻斷點。

2.2 基于拓撲結(jié)構(gòu)的阻斷攻擊流量

在實現(xiàn)流量分類的基礎上，本文基于拓撲結(jié)構(gòu)阻斷攻擊流量。攻擊阻斷主要是過濾屬于攻擊者IP的報文，把出現(xiàn)異常的網(wǎng)絡恢復到正常運行的狀態(tài)，主要采取的技術手段是經(jīng)軟件定義網(wǎng)絡SDN(Software Defined Network)實現(xiàn)集中控制，下發(fā)控制流表至連接攻擊流量IP的交換機，實現(xiàn)攻擊報文的實時過濾。

經(jīng)過以上攻擊流量溯源，無線傳感網(wǎng)絡流量攻擊的主機IP地址與連接該地址的交換機被控制器發(fā)現(xiàn)，此后實時過濾掉攻擊流量報文，完成攻擊流量阻斷。過濾報文的具體過程如圖2所示。

Figure 2 Process of packet filtering 圖2 過濾報文過程

在無線傳感網(wǎng)絡出現(xiàn)攻擊流量時，與攻擊流量連接的交換機接收到OpenFlow網(wǎng)絡通信協(xié)議作為基礎控制器下發(fā)的控制流表，流表內(nèi)包含主要針對攻擊流量終端的相關流表項，交換機先接受流表項，然后過濾具有攻擊性的報文。再接入攻擊終端的端口位置，丟棄攻擊流量終端I/O數(shù)據(jù)報文，完成無線傳感網(wǎng)絡攻擊流量阻斷。

3 實驗與結(jié)果分析

為了驗證本文模型的阻斷效果，本節(jié)使用某市電力公司的無線傳感網(wǎng)絡作為研究對象。從開放式分類目錄DMOZ(Directory MOZilla)中采集無線傳感網(wǎng)絡正常流量數(shù)據(jù)集，從CSIC 2010 HTTP Dataset中采集無線傳感網(wǎng)絡攻擊流量，對采集出的數(shù)據(jù)集進行清洗，分別保存6萬條正常流量數(shù)據(jù)和攻擊流量數(shù)據(jù)，攻擊流量分為代碼執(zhí)行、跨網(wǎng)站腳本XSS(Cross Site Scripting)攻擊、結(jié)構(gòu)化查詢語言SQL(Structured Query Language)注入攻擊和回車換行CRLF(Carriage Return Line Feed)注入攻擊等。構(gòu)建的模擬實驗場景主要包括目標靶機、實驗機、攻擊機和交換機各一臺。目標靶機模擬Web服務器，系統(tǒng)為Windows 2010；經(jīng)過交換機端口鏡像實現(xiàn)實驗機對無線傳感網(wǎng)絡的監(jiān)聽，同時使用本文模型對HTTP數(shù)據(jù)包進行流量檢測。攻擊機利用BurpSuite向靶機模擬攻擊。通過真陽性TQ、假陽性FQ、真陰性TM和假陰性FM4個參數(shù)，計算準確率、精確率、召回率和調(diào)和平均數(shù)，評判本文模型的應用效果。各參數(shù)的具體含義如表1所示。

Table 1 Meaning of each parameter表1 各參數(shù)具體含義

評價指標計算方法分別如式(6)～式(9)所示：

(6)

(7)

(8)

(9)

實驗從2個方面檢驗模型的性能，分別為攻擊流量檢測效果和攻擊流量阻斷效果。本文使用基于OpenFlow的攻擊流量阻斷模型(文獻[11]模型)和面向節(jié)點影響力的攻擊流量阻斷模型(文獻[12]模型)與本文模型進行對比。3種方法采用相同數(shù)據(jù)集進行仿真實驗，分別在不同數(shù)據(jù)比例節(jié)點進行對比統(tǒng)計。

3.1 攻擊流量檢測效果

3種模型的攻擊流量檢測的準確率結(jié)果如圖3所示。從圖3能夠看出，隨著數(shù)據(jù)集的增加，2種對比模型的準確率都出現(xiàn)下降趨勢，而本文模型準確率出現(xiàn)平穩(wěn)上升趨勢，說明本文模型對于無線傳感網(wǎng)絡流量攻擊具有較高的準確率。這主要是因為本文根據(jù)特征結(jié)果使用隨機森林算法對網(wǎng)絡流量進行分類，提高了檢測范圍和效率，進而提高了檢測準確率。

Figure 3 Comparison of detection accuracy圖3 檢測準確率對比

3種模型檢測攻擊流量的假陽性(FQ)率如圖4所示。從圖4中能夠看出，伴隨數(shù)據(jù)集的增加，基于OpenFlow的阻斷模型呈現(xiàn)出不穩(wěn)定的狀態(tài)，而面向節(jié)點的阻斷模型雖然整體趨勢較平穩(wěn)，但是假陽性率依舊較高。本文模型的假陽性率較低，證明本文模型具有良好的攻擊流量檢測效果。這主要是因為本文以特征為基礎對攻擊流量進行檢測，提高了檢測準確率，降低了假陽性率。

Figure 4 Comparison of false positive rates圖4 假陽性率對比

3種模型檢測攻擊流量的檢測召回率如圖5所示。從圖5中能夠看出，隨著數(shù)據(jù)集的逐漸增加，基于OpenFlow的阻斷模型的檢測召回率呈現(xiàn)逐漸升高的狀態(tài)，且漲幅較大，而面向節(jié)點的阻斷模型整體檢測召回率的漲幅更大。本文模型的檢測召回率則降低，盡管隨著數(shù)據(jù)集的增加也有升高的趨勢，但漲幅明顯低于其他2種阻斷模型。這主要是因為本文模型通過過濾報文來實現(xiàn)無線傳感網(wǎng)絡攻擊流量的阻斷，有效降低了檢測召回率。

Figure 5 Comparison of detection recall rate圖5 召回率對比

本文模型所使用的隨機森林算法，森林內(nèi)樹的數(shù)量和特征數(shù)量都會對整個算法造成影響，不同數(shù)量的樹對整個模型檢測結(jié)果影響如表2所示。從表2可以看出，隨著森林中樹的數(shù)量增加，檢測的準確率和調(diào)和平均數(shù)等不斷增高，而假陽性率在樹數(shù)量為20時最低，證明隨機森林算法中樹的數(shù)量為20時，檢測無線傳感網(wǎng)絡流量攻擊的效果最好。

Table 2 Effect of tree numbers in forest on attack flow detection 表2 森林中樹的數(shù)量對攻擊流量檢測的影響

通過式(6)～式(9)計算評價3種模型的各項指標性能，對比結(jié)果如表3所示。

Table 3 Performance comparison表3 性能對比 %

由表3可知，基于OpenFlow的阻斷模型準確率與精確率較低，其檢測無線傳感網(wǎng)絡攻擊流量的性能較差；而面向節(jié)點的阻斷模型雖然準確率與精確率較高，但是召回率較低，說明該模型只能檢測正常流量，對攻擊流量的檢測能力較差；本文模型各項指標均較高，在檢測正常流量和攻擊流量時具有良好的性能。

3.2 攻擊流量阻斷效果

選取2個具有代表性的特征分析網(wǎng)絡受到攻擊前后網(wǎng)絡流量狀態(tài)典型特征變化情況，分別為總數(shù)據(jù)包數(shù)和目的地址的熵(H(dstIP))，采用3種模型對遭受到的攻擊進行阻斷，阻斷對比結(jié)果如表4和表5所示。從表4和表5中所示的總數(shù)據(jù)包數(shù)和目的地址的熵變化情況可以看出，該無線傳感網(wǎng)絡在40 s后遭受到攻擊，相比于另外2種對比模型，使用本文模型能夠有效阻斷網(wǎng)絡攻擊流量，可在較短時間內(nèi)將網(wǎng)絡恢復至正常。

Table 4 changes in the total number of packets表4 總數(shù)據(jù)包數(shù)變化情況

Table 5 Changes in entropy of destination address表5 目的地址的熵變化情況

4 結(jié)束語

本文針對無線傳感網(wǎng)絡攻擊流量構(gòu)建阻斷模型，使用TF-IDF和隨機森林算法對無線傳感網(wǎng)絡流量進行分類，識別正常流量和攻擊流量，再使用溯源方法確定交換機的ID和端口作為攻擊流量阻斷的阻斷點，通過過濾報文實現(xiàn)無線傳感網(wǎng)絡攻擊流量的阻斷。實驗結(jié)果表明，本文模型在檢測攻擊流量時具有較高的準確率、精確率和召回率，調(diào)和平均數(shù)均在98.1%以上，檢測率達到了100%，誤檢測準確率在7.56%以內(nèi)，識別攻擊流量的能力較強；在攻擊流量阻斷方面，本文模型能實現(xiàn)各類攻擊流量的阻斷，與同類型的模型相比具有良好的阻斷效果，提升了無線傳感網(wǎng)絡的性能。

今后的研究可從多個角度展開：探索性能良好的控制器，進一步提高攻擊流量監(jiān)測的精確率；將無線傳感網(wǎng)絡節(jié)點微型化，實際應用于微無線通訊和微機電等領域；尋求節(jié)能策略，降低能耗，改進電源技術，提出一種低能耗的無線傳感網(wǎng)絡；節(jié)省節(jié)點，降低無線傳感網(wǎng)絡的成本，推動無線傳感網(wǎng)絡的發(fā)展。