基于ARMA模型的WSN入侵檢測技術

彭　軍，趙石真，孫慶中，傅　宇

基于ARMA模型的WSN入侵檢測技術

彭軍，趙石真，孫慶中，傅宇

（西華大學計算機與軟件工程學院，成都610039）

在無線傳感器網絡中，由于網絡自身特點易受到內部攻擊的影響，如可能導致網絡擁塞、系統性能下降等問題，提出基于ARMA模型的WSN入侵檢測技術。該技術利用流量接受率這一特性，以自回歸滑動平均模型為基石，為WSN節點建立ARMA流量預測模型，通過預測模型所得流量值得到下一步通過節點的預測流量接受率范圍，比較實際節點流量接受率和預測流量接受率，通過實際值是否超出預測值來驗證是否有攻擊發生。實驗結果表明，該系統有較高的檢測率和較低的誤報警率，可以較好地檢測出來自網絡內部的攻擊。

無線傳感器網絡；入侵檢測；自回歸滑動模型；流量接收率

四川省國際合作項目（No.2009HH0009）、國家科技部支撐計劃項目（No.2011BAH26B00）、四川省信息安全創新團隊建設項目（No.13TD0005）、面向物聯網的入侵檢測關鍵技術研究（No.szjj2013-018）

0　引言

隨著無線傳感器網絡在重要領域的廣泛應用和網絡技術及規模的迅猛發展，入侵檢測技術作為無線傳感器網絡安全研究的重要組成具有很高的研究價值[1]。無線傳感器網絡由于自身特性，如節點能量、網絡整體存儲能力和計算處理能力有限等，極大地提高了入侵檢測系統的設計難度。如何設計出一個單個節點能耗低、誤報警率低、檢測精度高且應用廣泛的入侵檢測系統成為一個重要的研究課題[2~3]。

本文利用對節點的流量進行預測后計算出接收率范圍的方法來實時檢測攻擊。目前國內外對于相關的入侵檢測系統的研究，提出了很多種不同的檢測方法。韓志杰等[4]提出了基于Markov的無線傳感器網絡入侵檢測機制。首次采用Markov模型，為每個節點建立流量預測模型來檢測網絡異常流量，同時也提出了一種報警評估機制，該系統可以有效地檢測拒絕服務攻擊。但是檢測結果會受評估機制中參數的設定的影響。曹曉梅等[5]設計了一種基于ARMA模型的無線傳感器網絡拒絕服務攻擊檢測方案（Traffic Prediction Based DOS Attack Detection,TPDD），首先用ARMA模型對流量進行預測，通過計算實際流量和預測流量的差值是否超出了預定的閾值來看是否有異常，并且還設計了一種異常檢測報警評估機制，當報警數目超過一定范圍時，則證明有攻擊發生。這種方法在評估機制中參數需要人為設置，這樣就加大了系統的不確定性。本文主要是在TPDD上進行改進。李捷等[6]也提出了一種基于ARMA的無線傳感器網絡流量預測模型，采用ARMA模可能會因為其他的原型對網絡流量進行多步預測，在這里可以看到用ARMA對流量進行多步預測的結果并不是很理想，但是對于單步預測的效果很好。肖政宏等[7]運用幾種典型的流量預測模型設計了一種異常入侵檢測方法。該系統通過網絡中節點的預測流量序列和實際的流量序列的差值來檢測是否存在入侵。由于其缺少一種合理的評估機制，導致系統的檢測結果因而發生變化。

以上種種例子指出，目前運用流量特性設計入侵檢測系統，對于特定的應用基本可以達到一定的效果，但是普遍在適用范圍小、能耗較大且人為參與度大等負面因素致使檢測的不確定性增加。本文就文獻[5]中TPDD技術的基礎進行了改進。由實驗證明得ARMA模型對流量的單步預測效果很好，所以本系統使用ARMA模型預測的流量值來計算得出預測流量接收率范圍，通過比較實際流量接收率范圍有無超出范圍判斷攻擊是否發生，用流量接收率代替了TPDD中的報警評估機制，減少了人為因素的影響。實驗結果表明，本系統相比于單獨運用ARMA模型，在檢測率上有所提高，同時具有更低誤報警率。

1　建立ARMA模型

王海元等[8]結合基于移動Agent的中間技術設計了基于ARMA模型的無線傳感器網絡可信數據采集方法。此方法表明ARMA模型對數據的采集具有高度的可信度，且可以相對減少網絡的能量消耗。而本文的研究主要針對數據周期性采集型無線傳感器網絡。并且，為了使網絡達到流量均衡，假設傳感器網絡已通過負載平衡技術[9]做了相應的處理，防止了因為漏斗效應導致的網絡擁塞。由于無線傳感器網絡節點的存儲能力、處理能力、能源都很有限，所以本文選取計算簡單的ARMA（2p，2p-1）模型對流量進行分析和預測以減少計算量和能耗。其中p為階數，p若太大，會增加計算量，所以我們決定采用ARMA（2，1）模型。

本系統利用平穩化的數據序列建立ARMA模型。假設滑動時間窗的大小為n，則節點采集到的數據流序列就為X0'，X1'，…，Xi'，…，Xn'。此序列是周期性的，但不是需要的平穩序列，所以還需要對其進行取對數處理以得到平穩序列，處理后的序列為X0，X1，…，Xi，…，Xn。利用此平穩序列來建立ARMA模型，并通過模型預測出第n+1個流量值。得到平穩序列后，接下來就建立ARMA模型[10]，即：

B為后移算子，ai為白噪聲，它是獨立同分布的高斯隨機變量，它均值為零，方差為σ2a。

若此序列滿足上述條件，則為平穩序列，從而得出ARMA擬合模型，如下公式（7）：

接著利用逆函數法進行單步預測，ARMA的逆函數記為I1，I2，…，Ij，則有：

其中m為Xt之前m次觀測，可據預算精度的要求取值。

2　流量接受率范圍的估計

對于周期性傳送數據的無線傳感器網絡來說，在沒有攻擊發生或者無其他因素影響時，它應該是以一定的速率定期在節點之間傳送信息，因此，各節點的流量不會發生很大的波動，應該一直保持在一定的范圍內。基于此，本文利用節點的PRR來作為是否有攻擊發生的依據。當有攻擊發生時，節點的PRR會超出我們預測的范圍。相反，則不會超出。

接下來給出一段時間間隔內關于傳輸失敗次數K的二項分布式：

假設網絡中的信息傳輸保持定期穩定，利用前面已經預測到的流量樣本，在一段時間窗口T內按照每小段時間Tw分別提取預測樣本值為N1，N2，…，Nm，其中m等于T/Tw。可以算出接受包的平均值和標準偏差為：

其中Ni，i=1，2，…，m為樣本值。

然后可以算出一段時間間隔內的接收率的范圍。因為3s和6s的置信水平分別為99.87%和100%[11]，這里計算出間隔時間為3s和6s的PRR范圍為：

依據計算出來的流量接受率的范圍，就可以判斷是否有攻擊發生。當后面的流量接受率超出范圍時,則說明網絡中有內部攻擊發生。

3　仿真實驗

本文采用OMNET++仿真軟件對本實驗進行仿真，它具有較好的系統兼容性，可以在Windows和各種UNIX操作系統下利用C++進行編譯，對無線傳感器網絡的仿真可以達到很好的效果。實驗仿真分為兩個部分，一是對ARMA模型能否精確地對流量進行單步預測進行驗證，另外當節點受到不同強度的內部攻擊時，對比本系統和單獨使用ARMA模型的檢測準確度、誤報警率。

3.1ARMA模型預測精度仿真

圖1實線顯示的為某一個傳感器網絡中通過某個節點的真實網絡流量。利用ARMA（2，1）模型預測流量，通過最小二乘法估計出模型參數如下：

此時令m=3，得到單步預測模型為：

圖1　ARMA單步預測結果

本實驗從任意時間起，在250s內每秒采樣數據流量一次，然后利用模型預測出流量，圖1中虛線部分就是利用ARMA模型預測的流量狀況。通過對比圖中實線和虛線，可以看出虛線和實線基本吻合，故而ARMA模型對流量的單步預測效果很好，這說明利用ARMA（2，1）模型可以較好地對無線傳感器網絡流量進行單步預測。

3.2入侵檢測方案的仿真

本實驗通過分析入侵檢測系統的檢測準確度、誤報警率以及平均能量消耗三個指標來判別本系統的可行性。

檢測準確度指系統檢測到的惡意報文與全部報文的比值和系統檢測到的非惡意報文與全部檢測到的報文數量的比值。

誤報警率指系統將惡意的報文當做正常的報文的數量與全部報文的比值和系統將正常的報文當做惡意報文的數量與全部報文的比值。

一個好的無線傳感器網絡入侵檢測系統必須具備高的檢測準確度，同時還要有低的誤報警率。

下面是本實驗的一些仿真參數的設定：

●實驗面積：50×50,200×200m2

●一個基站

●節點數目：100

●節點均勻網絡部署

●信息發送率：包/1.5s或者包/15s

●包大小：10B~100B

●傳輸速率：100kbps，250kbps

●攻擊行為分別丟包率為30%、50%、100%

圖2顯示的是本文設計的入侵檢測系統和單獨使用ARMA模型以及單獨使用PRR對檢測準確性的對比，橫坐標為報文重放率，縱坐標為檢測率。從圖中可以看出三種方案的檢測率和報文重放率密切相關，當重放率低于10%時，只有本方案的檢測率超過了50%，這是因為其他兩種方案都可能因為人為設置的閾值不夠精確而導致部分報文被忽略；當重放率達到40%的時候三種方案的檢測率都接近100%。綜上，當攻擊較為明顯時，三種方案都可以用來檢測拒絕服務攻擊，都可以達到很好的效果。當攻擊不明顯時，本方案顯然表現出更好的檢測準確度。

圖2　檢測準確度

圖3中顯示的是上述三種方案的誤報警率。橫坐標為報文重放率，縱坐標為誤報警率。從圖中可以看出隨著重放率的增加，三種方案的誤報警率都維持在一個很低的水平，因為信道誤碼所導致的丟包在客觀上降低了重放報文攻擊的誤報警率；但當報文重放率低于20%時，本方案相對于單獨運用ARMA模型，其誤報警率明顯低于后者。

圖3　誤報警率

4　結語

實驗結果表明，對于周期性的無線傳感器網絡流量的單步預測，ARMA模型可以達到很好的效果。對于檢測內部攻擊時，本文方案相對于單獨使用ARMA模型來說，減少了人為因素的影響，在檢測率上有所提高，并擁有更低的誤報警率。后期我們在不斷優化本系統的同時，還要更深入地研究本系統對于非周期性傳感器網絡的入侵檢測技術。

[1]Murad A,RassamM A,MaarofAnazida Zainal.A Survey of Intrusion Detection Schemes in Wireless Sensor Networks[J].American Journal of Applied Sciences,2013,9（10）:1~9

[2]Pooja,GuptaDr,Naveen,Hemrajani.Security Issues in Wireless Sensor Network:A Review[J].International Journal of Engineering Sciences&Research Technology,2013,2（5）:342~350

[3]Shilpa,S,Patil,P,S,Khanagoudar.Intrusion Detection Based Security Solution for Cluster Based WSN[J].International Journal of Advanced Research in Computer Engineering&Technology（IJARCET）,2013,1（4）:123~132

[4]韓志杰,張瑋瑋,陳志國.基于Markov的無線傳感器網絡入侵檢測機[J].計算機工程與科學,2010,32（9）:27~35

[5]曹雪梅,韓志杰,陳貴海.基于流量預測的傳感器網絡拒絕服務攻擊檢測方案[J].計算機學報,2007,30（10）:116~120

[6]李捷,劉先省,韓志杰.基于ARMA的無線傳感器網絡流量預測模型的研究.電子與信息學報,2007,29（5）:3~7

[7]肖政宏,謝贊福,陳志剛.無線傳感器網絡中一種基于流量預測和相關系數的異常檢測方法[J].微電子學與計算機,2009,26（7）: 22~26

[8]王海元,王汝傳,黃海平等.基于ARMA模型的無線傳感器網絡可信數據采集方法[J].南京郵電大學學報（自然科學版）,2009, 29（4）:23~29

[9]黃健榮,王新建,于蕭榕.無線局域網中一種層次式負載平衡技術[J].計算機與數字工程,2014,42（4）:145~152

[10]韓志杰，王汝傳，凡高娟等.一種基于ARMA的WSN非均衡分簇路由算法[J].電子學報，2010，38（4）:865~869

[11]NIST/SEMATEC e-Handbook of Statistical Methods,2010,http://www.itl.nist.gov/div898/handbook/index.htm

Wireless Sensor Networks;Intrusion Detection;Autoregressive Moving Average Model（ARMA）;Packet Reception Rate

Intrusion Detection Technology of WSN Based on ARMA Model

PENG Jun，ZHAO Shi-zhen，SUN Qing-zhong，FU Yu

（School of Computer and Software Engineering,Xihua University,Chengdu 610039）

In wireless sensor networks,in view of internal attacks pose a serious threat to the characteristics of the network,such as causing network congestion,energy consumption and so on,proposes an intrusion detection technology based on ARMA.It's used to establish ARMA(2,1）flow forecasting model for node,and uses the predicted flow values to get the range of the packet reception rate through the nodes,compares the actual packet reception rate and forecasts range to achieve the effect of detection.Experimental results show that the system has a higher detection rate and lower false alarm rate compared with the single ARMA model.

1007-1423（2015）12-0018-05

10.3969/j.issn.1007-1423.2015.12.004

彭軍（1989-），男，湖北武漢人，碩士研究生，研究方向為無線傳感器網絡入侵檢測系統

趙石真（1991-），女，河南漯河人，碩士研究生，研究方向為無線傳感器網絡入侵檢測系統

孫慶中（1986-），男，河南駐馬店人，碩士研究生，研究方向為嵌入式系統及其應用

傅宇（1989-），男，安徽六安人，碩士研究生，研究方向為認知無線傳感器網絡

2015-04-14

2015-04-30