基于流量預測的WSN入侵檢測技術

彭　軍　余　強　何明星

(西華大學數學與計算機學院　四川 成都 610039)

?

基于流量預測的WSN入侵檢測技術

彭軍余強何明星

(西華大學數學與計算機學院四川 成都 610039)

摘要在無線傳感器網絡(WSN)，針對內部攻擊嚴重威脅網絡的安全和正常運行，如造成網絡擁塞、能量的大量消耗等問題，提出基于流量預測的入侵檢測技術。該技術首先利用自回歸滑動平均模型ARMA(Autoregressive Moving Average)為節點建立ARMA(2,1)流量預測模型，然后利用預測的流量值來得到通過節點的流量接收率范圍，最后通過比較實際流量接收率是否超出預測范圍來達到檢測的效果。實驗結果表明，和單獨使用ARMA模型相比，在相同報文重放率條件下，采用該技術有更高的檢測率和更低的誤報警率，同時減少了網絡節點的能量消耗。

關鍵詞無線傳感器網絡內部攻擊入侵檢測自回歸滑動模型流量接收率

WSN INTRUSION DETECTION TECHNOLOGY BASED ON TRAFFIC PREDICTION

Peng JunYu QiangHe Mingxing

(School of Mathematics and Computer,Xi Hua University,Chengdu 610039,Sichuan,China)

AbstractIn wireless sensor networks, in view of that the internal attacks impose serious threats on network security and normal operation, such as causing the network congestion and huge energy consumption and so on, we proposed a traffic prediction-based intrusion detection technology. First the technology uses autoregressive moving average model (ARMA) to build the ARMA (2,1) traffic forecasting model for nodes, then it uses the predicted traffic value to get the range of packet reception rate passing through the nodes, finally, it achieves the effect of detection by comparing whether the actual packet reception rate exceeds the forecasting range. Experimental results showed that under the same message playback rate condition, compared with single ARMA model, to use this technology had higher detection rate and lower false alarm rate, and meanwhile reduced the energy consumption of network nodes.

KeywordsWireless sensor networks (WSN)Internal attackIntrusion detectionAutoregressive moving average model (ARMA)Packet reception rate

0引言

隨著無線傳感器網絡廣泛應用于軍事防備、環境監測、交通管制等重要領域，對于無線傳感器網絡安全防護的研究也具有很高的研究價值[1]。但是無線傳感器網絡由于其本身的特性，如節點的能量、存儲能力和處理能力有限等，提高了對入侵檢測系統的設計要求。如何設計出一個能耗低、誤報警率低、檢測率高、應用廣泛的入侵檢測系統成為一個重要的研究課題[2,3]。

本文通過對節點的流量進行預測后，計算出接收率的范圍來檢測攻擊。目前國內外對于相關的入侵檢測系統的研究，提出了很多種不同的檢測方法。馬立波等[4]提出了基于粒子濾波算法的入侵檢測技術，該方法首先利用LEACH算法對網絡節點進行分簇，然后通過粒子群濾波算法檢測節點的流量情況來發現異常節點。但是該方法存在簇頭節點能量消耗大的問題。

劉帥等[5]提出了一種基于統計異常的入侵檢測技術，該系統首先在正常狀態下利用某些系統特征為節點建立模型，通過統計觀測值與模型的偏差程度來判斷是否有入侵發生。但是該方案建立模型所需要的特征參數和特征值會根據應用場景發生變化，從而影響監測效果。韓志杰等[6]提出了基于Markov 的無線傳感器網絡入侵檢測機制。首先通過采用Markov模型，為每個節點建立流量預測模型來檢測網絡異常流量，同時也提出了一種報警評估機制，該系統可以有效地檢測拒絕服務攻擊，但是檢測結果會受評估機制中參數的設定的影響。

曹曉梅等[7]設計了一種基于ARMA模型的無線傳感器網絡拒絕服務攻擊檢測方案TPDD(Traffic Prediction based DOS attack Detection)，首先用ARMA模型對流量進行預測，通過計算實際流量和預測流量的差值是否超出了預定的閾值來看是否有異常，并且還設計了一種異常檢測報警評估機制，當報警數目超過一定范圍時，則證明有攻擊發生。這種方法同樣在評估機制中參數需要人為設置，這樣就加大了系統的不確定性。本文主要是在TPDD上進行改進。

滕麗萍提出的基于Sinkhole攻擊的入侵檢測系統利用Sinkhole攻擊的特點設計了一個基于規范的分布式入侵檢測系統，該系統需要節點之間合作來檢測，加大了網絡的能量消耗。Ponomarchuk等[9]提出的一種基于流量分析的入侵檢測技術，該方法通過計算出網絡流量接收率PRR(Packet Reception Rate) 和間隔時間兩種流量特性來判斷網絡中是否有入侵發生。該方案在網絡的參數設置中也有一些人為因素的影響，從而會影響檢測結果。

肖政宏等[10]運用幾種典型的流量預測模型設計了一種異常入侵檢測方法。該系統通過網絡中節點的預測流量序列和實際的流量序列的差值來檢測是否存在入侵。由于其缺少一種合理的評估機制，導致系統的檢測結果可能會因為其他的原因而發生變化。

從上面的例子可以看出，目前運用流量特性來設計入侵檢測系統，對于特定的應用都可以達到一定的效果。但是普遍存在能量消耗過大、人為參與因素較大，從而會導致檢測的不確定性增加。本文在文獻[7]中TPDD技術的基礎上進行了改進，因為該方法在報警評估機制中，評估有無風險的異常個數m的設置會直接影響到檢測結果。m過大，會造成遺漏攻擊，太小會增加誤報警率。通過實驗證明ARMA模型對流量的單步預測效果很好，所以本系統使用ARMA模型預測的流量值來計算得出流量接收率范圍，通過比較實際流量接收率范圍是否超出范圍來判斷有無攻擊發生，用流量接收率來代替TPDD中的報警評估機制，這樣就減少了人為因素的影響。通過實驗表明，本系統相比于單獨運用ARMA模型，具有更高的檢測率和更低的誤報警率，并且能量消耗更少。

1ARMA模型的建立

1.1流量模型的選取

由于無線傳感器網絡入侵檢測系統的設計與其應用場景密切相關，對于不同的應用，所要處理的數據類型也不同，所以為節點建立無線傳感器網絡流量模型必須與應用場景相聯系。

之前，王海元等[11]結合基于移動Agent的中間技術，設計出了基于ARMA模型的無線傳感器網絡可信數據采集方法。此方法表明ARMA模型對于數據的采集具有高度可信度，并且可以減少網絡的能量消耗。而本文的研究主要針對數據周期性采集型無線傳感器網絡。并且，為了使網絡達到流量均衡，假設傳感器網絡已通過負載平衡技術[12]做了相應的處理，從而防止了因為漏斗效應導致的網絡擁塞。

因為無線傳感器網絡節點的能源、存儲能力、處理能力都非常有限，所以本文選取計算簡單的ARMA(2p，2p-1)模型來對流量進行分析和預測。因為p為階數太大的話，就會增加計算量，所以我們采用ARMA(2，1)模型。

1.2ARMA(2,1)流量預測模型的建立

得到平穩序列后，就是建立ARMA模型[13]，即：

φ(B)Xi=θ(B)ai

(1)

φ(B)=1-φ1B-φ2B2

(2)

θ(B)=1-θ1B

(3)

(4)

(5)

(6)

如果滿足上述條件，則說明此序列為平穩序列，從而得出ARMA擬合模型，如下所示：

(7)

然后利用逆函數法進行單步預測，ARMA的逆函數記為I1，I2，…，Ij，則有：

(8)

則單步預測模型為：

(9)

其中m為Xt之前m次觀測，可以根據預算精度的要求取值。

2流量接受率范圍的估計

對于周期性傳送數據的無線傳感器網絡，一般在沒有攻擊發生或者受到其他因素的影響時，包括軟硬件的損壞、自然災害等，它應該是以一定的速率定期在節點之間傳送信息，因此，各節點的流量不會發生很大的波動，應該保持在一定的范圍內。正因為這個原因，本文利用節點的PRR來作為是否有攻擊發生的依據。當有攻擊發生時，節點的PRR會超出我們預測的范圍。相反，則不會超出。

下面給出一段時間間隔內傳輸失敗的次數K的二項分布式為：

假設網絡中的信息傳輸是定期穩定的傳輸，利用前面已經預測的流量的樣本，在一段時間窗口T內按照每小段時間Tw來分別提取預測樣本值為N1，N2，…，Nm，其中m等于T/Tw。從而可以算出接受包的平均值和標準偏差為：

(10)

(11)

其中Ni,i=1,2,…,m為樣本值。

然后就可以算出一段時間間隔內接收率的范圍。因為3 s和6 s的置信水平分別為99.87%和100%[14]，所以這里計算出間隔時間為3 s和6 s的PRR范圍為：

(12)

(13)

根據計算出來的流量的接受率的范圍，就可以判斷是否有攻擊發生。當后面的流量接受率超出范圍時,則說明網絡中有內部攻擊發生。在集中式檢測系統中往往會因為“單點失敗”造成檢測效果不佳，而在本文中，系統沒有通過基站來處理檢測數據，而是節點單獨完成檢測，這樣提高了系統的魯棒性。

3仿真實驗

這里采用OMNET++仿真軟件對本實驗進行仿真，因為它具有很好的系統兼容性，可以在Windows和各種UNIX操作系統下利用C++進行編譯，對無線傳感器網絡的仿真可以達到很好的效果。實驗仿真分為兩個部分，首先對ARMA模型能否精確的對流量進行單步預測進行驗證，其次當節點受到不同強度的內部攻擊時，對比本系統和單獨使用ARMA模型，二者的檢測準確度、誤報警率。同時，還對系統節點的平均能量開銷進行了仿真。

3.1ARMA模型預測精度仿真

圖1實線顯示的某一個傳感器網絡中通過某個節點的真實網絡流量。利用ARMA(2,1) 模型預測流量，通過最小二乘法估計出模型參數如下：

圖1　ARMA單步預測結果

Xt=0.82471Xt-1+0.08537Xt-2+at-0.64843at-1

令 m=3，得到單步預測模型為：

本實驗從任意時間起，在250s內每秒采樣數據流量一次，然后利用模型預測出流量，圖1中虛線部分就是利用ARMA模型預測流量狀況。對比圖中實線和虛線，可以看出ARMA模型對流量的單步預測效果很好，虛線和實線基本吻合，這說明利用ARMA(2,1) 模型可以很好地對無線傳感器網絡流量進行單步預測。

3.2入侵檢測方案的仿真

實驗主要是通過分析入侵檢測系統的檢測準確度和誤報警率以及平均能量開銷三個指標來判別本系統的可行性。

檢測準確度指系統檢測到的惡意報文與全部報文的比值和系統檢測到的非惡意報文與全部檢測到的報文數量的比值。

誤報警率具體指系統將惡意的報文當做正常的報文的數量與全部報文的比值和系統將正常的報文當做惡意報文的數量與全部報文的比值。

同時，為了檢測網絡節點的平均能量開銷，本文分別在有攻擊有檢測、無攻擊無檢測和有攻擊無檢測三種情況下進行仿真實驗，對比三種情況下節點的平均能量開銷。

一個好的無線傳感器網絡入侵檢測系統必須具備高的檢測準確度和低的誤報警率，同時還要有較低的能量開銷。

下面是本實驗的一些仿真參數的設定：

? 實驗面積：50×50,200×200 m2

? 一個基站

? 節點數目：100

? 節點均勻網絡部署

? 信息發送率：包/1.5 s或者包/15 s

? 包大小：10~100 B

? 傳輸速率：100 kbps，250 kbps

? 攻擊行為分別丟包率為30%、50%、100%

圖2顯示的是本文設計的入侵檢測系統和單獨使用ARMA模型以及單獨使用PRR對檢測準確性的對比，橫坐標是報文重放率，縱坐標是檢測率。從圖中可以看到三種方案的檢測率和報文重放率密切相關，當重放率低于10%時，只有本方案的檢測率超過了50%，這是因為其他兩種方案都可能因為人為設置的閾值不夠精確而導致部分報文被忽略。然而當重放率達到40%的時候三種方案的檢測率都接近100%，所以當攻擊較為明顯的時候三種方案都可以用來檢測拒絕服務攻擊，都可以達到很好的效果。然而攻擊不明顯時，本方案有更好的檢測準確度。

圖2　檢測準確度

圖3中顯示的是上述三種方案的誤報警率。橫坐標是報文重放率，縱坐標是誤報警率。從圖中可以看出隨著重放率的增加，三種方案的誤報警率都維持在一個很低的水平，因為信道誤碼所導致的丟包在客觀上降低了重放報文攻擊的誤報警率。但是當報文重放率低于20%時，本方案相對于單獨運用ARMA模型，前者誤報警率明顯低于后者。

圖3　誤報警率

圖4是評估本系統中節點的平均能量開銷，這里分別統計了在800 s時間內，無攻擊無檢測、有攻擊無檢測和有攻擊有檢測三種情況下節點消耗的平均能量。節點初始能量為2 J，其中式(14)表示節點接收一個報文的能量消耗為[15]：

ERx=l×Eelec

(14)

式(15)表示節點發送一個報文的能量消耗為：

ETx=l×Eelec+l×efs×d2

(15)

其中l表示包信息的字節數，Eelec表示射頻能耗系數，efs表示功率放大能耗系數，d為節點之間的通信距離。

從圖4可以看出當網絡沒有攻擊發生時，網絡中的能量消耗維持在一定的水平。當有攻擊時，節點的能量被大量消耗，但是有檢測和沒有檢測相比，由于前者及時對攻擊作出了反應，使流量的路徑改變了，從而保證了網絡能量不會因為有攻擊發生而大量消耗，所以加入入侵檢測可以減少攻擊所帶來的能量消耗。

圖4　節點平均能量消耗

4結語

實驗結果表明，ARMA模型對周期性的無線傳感器網絡流量的單步預測，可以達到很好的效果。對于檢測內部攻擊，本方案相對于單獨利用ARMA模型來說，減少了人為因素對檢測的影響，有著更高的檢測率和更低的誤報警率。同時，在一定程度上本系統減少了網絡節點的平均能量開銷，從而延長了網絡的生命周期。但是對于非周期性網絡，該系統還存在一定的缺陷，不能達到較好的效果。后期在不斷優化本系統的同時，還要更深入地研究本系統對于非周期性傳感器網絡的入侵檢測技術。

參考文獻

[1] Murad A,RassamM A,MaarofAnazida Zainal.A Survey of Intrusion Detection Schemes in Wireless Sensor Networks[J].American Journal of Applied Sciences,2013,9(10):1-9.

[2] Pooja,GuptaDr,Naveen,et al.Security Issues in Wireless Sensor Network:A Review[J].International Journal of Engineering Sciences & Research Technology,2013,2(5):342-350.

[3] Shilpa S,Patil P,Khanagoudar S.Intrusion Detection Based Security Solution for Cluster Based WSN[J].International Journal of Advanced Research in Computer Engineering & Technology (IJARCET),2013,1(4):123-132.

[4] 馮立波,羅桂蘭,楊存基,等.WSN中基于粒子濾波的入侵檢測算法實現[J].傳感技術學報,2013(11):1573-1578.

[5] 劉帥,朱俊杰,馬振燕.無線傳感器網絡中基于統計異常的入侵檢測[J].火力與指揮控制,2009,34(7):123-131.

[6] 韓志杰,張瑋瑋,陳志國.基于Markov的無線傳感器網絡入侵檢測機制[J].計算機工程與科學,2010,32(9):27-35.

[7] 曹雪梅,韓志杰,陳貴海.基于流量預測的傳感器網絡拒絕服務攻擊檢測方案[J].計算機學報,2007,30(10):116-120.

[8] 滕麗萍.無線傳感器網絡中基于Sinkhole攻擊的入侵檢測系統研究[J].計算機應用與軟件,2013,30(6):312-315,328.

[9] Ponomarchuk,Yulia,Seo.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[J].Dae-Wha Dept of Electrical Engineering and Computer Science Kyungpook National University Daegu,Republic of Kores,2010,24(8):64-72.

[10] 肖政宏,謝贊福,陳志剛.無線傳感器網絡中一種基于流量預測和相關系數的異常檢測方法[J].微電子學與計算機,2009,26(7):22-26.

[11] 王海元,王汝傳,黃海平,等.基于ARMA模型的無線傳感器網絡可信數據采集方法[J].南京郵電大學學報:自然科學版,2009,29(4):23-29.

[12] 黃健榮,王新建,于蕭榕.無線局域網中一種層次式負載平衡技術[J].計算機與數字工程,2014,42(4):145-152.

[13] 韓志杰,王汝傳,凡高娟,等.一種基于ARMA的WSN非均衡分簇路由算法[J].電子學報,2010,38(4):865-869.

[14] NIST/SEMATEC e-Handbook of Statistical Methods[EB/OL].2010.http://www.itl.nist.gov/div898/handbook/index.htm.

[15] Heinzelman W B,Chandrakasan A P,Balakrishnan H.An application specific protocol architecture for wireless microsensor networks[J].IEEE Transaction on Wireless Communication,2002,1(4):660-670.

中圖分類號TP393.08

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.02.072

收稿日期：2014-08-01。四川省國際合作項目(2009HH0009)；國家科技部支撐計劃項目(2011BAH26B00)；四川省信息安全創新團隊建設項目(13TD0005)；面向物聯網的入侵檢測關鍵技術研究項目(szjj 2013-018)。彭軍，碩士生，主研領域：無線傳感器網絡入侵檢測系統。余強，副教授。何明星，教授。