基于時間序列分析的無線傳感器網絡入侵檢測研究

張磊+蔡永新　陳潮

摘 要： 由于無線傳感器網絡工作環境的不穩定性，其安全問題成為公共安全新一輪的挑戰。為防止無線傳感器網絡被惡意破壞，僅依靠其自身安全機制不足以應對復雜的安全環境。因此，針對數據包的時間序列，開展對無線傳感器網絡入侵檢測方法的研究。通過時間序列算法對入侵數據進行檢測，并采用切比雪夫算法對離群時間序列進行驗證，以達到無線傳感器網絡入侵檢測的目的；通過NS2仿真技術對ZigBee傳感器漏洞進行建模分析，驗證通過數據包時間序列分析，檢測惡意入侵的有效性，并達到預期成果。

關鍵詞： 無線傳感器網絡； 時間序列； 入侵檢測； 切比雪夫算法

中圖分類號：TP309 文獻標志碼：A 文章編號：1006-8228（2017）12-24-04

Intrusion detection in wireless sensor networks based on time series analysis

Zhang Lei， Cai Yongxin， Chen Chao

（Zhejiang Police College， Hangzhou， Zhejiang 310053， China）

Abstract： With the continuous development of wireless sensor network technology， the logical information world and the objective physical world are fused together. Due to the instability of the working environment of wireless sensor networks， the security problem has become a new round of public security challenges. In order to prevent wireless sensor networks from being maliciously destroyed， relying only on its own security mechanism is not enough to cope with the complex security environment. Therefore， this paper studies the intrusion detection methods for wireless sensor networks according to the time series of packets. The time series algorithm is used to detect the intrusion data， and the Chebyshev algorithm is used to verify the outlier time series， so as to achieve the purpose of intrusion detection in wireless sensor networks； NS2 simulation technology is used to model and analyze the ZigBee sensor vulnerability， and the validity to detect the malicious intrusion is verified through the data packet time series analysis， and the expected results are achieved.

Key words： wireless sensor networks （WSN）； time series； intrusion detection； Chebyshev algorithm

0 引言

無線傳感器網絡[1]（Wireless Sensor Networks， WSN）是一種分布式傳感網絡，它的末梢是可以感知外部世界的無線傳感器。在其監測區域內，部署著大量靜止或移動的傳感節點，形成一個多跳的自組網絡系統。無線傳感器之間通過IEEE802.15.4協議進行通信，對感知數據進行采集、傳輸和處理等工作。在安全性方面，無線傳感器網絡具有規模大、自組織、動態性、能量有限，以及以數據為中心等特點。因此，其不僅包含了傳統的網絡安全問題，更增加其自帶的許多安全問題，比如：蟲洞攻擊、黑洞攻擊、女巫攻擊、選擇性轉發攻擊、HELLO泛洪攻擊、欺騙性確認攻擊、虛假路由攻擊等。這些針對無線傳感器網絡的入侵行為不僅對網絡內數據的真實性造成影響，還會導致整個無線傳感器網絡癱瘓，造成無可挽回的損失。在安全事件的預防技術方面，無線傳感器網絡有健全的數據傳輸加密機制[2]和身份認證機制[3]，這些技術能夠降低無線傳感器網絡被入侵的風險，但是不能夠完全阻止入侵事件的發生，僅依靠網絡的安全機制，還不足以達到預期的安全目標。同時，這些不安全因素已經嚴重阻礙無線傳感器網絡的普及和應用。因此，無線傳感器網絡的入侵檢測技術受到領域內研究人員的極大關注。通過入侵檢測彌補通過預防技術所不能解決的安全問題，為無線傳感器網絡提供實時的入侵檢測和安全防護。

一個有效的入侵檢測系統需要具有簡單性、實時性和檢測有效性這三個特性。目前無線傳感器網絡的入侵檢測主要方法有：基于多代理的入侵檢測方法、基于機器學習的入侵檢測方法和基于網絡流量的入侵檢測方法等。在文獻[5]中王培等人通過讓節點和簇頭執行不同檢測任務，結合本地檢測和聯合檢測技術，使用多個代理模塊實現數據的收集、入侵響應、分析檢測和代理管理等任務，提出一種基于多代理的入侵檢測方法。文獻[6]中作者通過對鄰居節點監聽信標包，基于免疫遺傳算法提取作為抗原的關鍵參數，通過抗原數量與閾值相比較，提出基于免疫遺傳算法的入侵檢測方法。文獻[7]中作者通過SVM（Support Vector Machine）對入侵數據進行健壯性分類，提出基于支持向量機的入侵檢測方法。以上檢測方法通過實驗檢測，均能夠對入侵行為進行較為準確的檢測。但是這些檢測方法存在以下兩點缺陷：①能耗問題，使用代理功能造成較大的能量消耗；②基于機器學習、數據挖掘等方法的檢測技術存在著樣本需求量大、訓練所需時間長等缺點。

針對上述入侵檢測方法所存在的缺陷，本文提出一種基于時間序列分析的無線傳感器網絡入侵檢測方法。該方法通過sink節點監聽所有子節點的行為模式，以無線傳感器網絡內流量的實時數據為對象，分析數據包的時間序列。獲取數據包的接收率：檢測無線傳感器網絡中一段固定時間窗下數據包分組接收率。數據包到達時間間隔：從相同的源節點的兩個連續的數據包到達間隔時間。以正常狀態下，獲取時間序列參數值。計算出數據包接收率和數據包到達時間間隔的閾值，建立檢測模型。將無線傳感器網絡中新數據與檢測模型進行分析，如果與模型不一致，則發出入侵警報。最后，在仿真網絡環境來驗證該算法的有效性。

1 入侵檢測模型

本文提出的基于時間序列分析的入侵檢測算法是一種高效率的、輕量的、連續而且實時的入侵檢測算法。通過sink節點對無線傳感器網絡流量進行實時監測，不需要額外的硬件設施和通信費用，避免采用代理功能等方式所需要消耗的大量資源、能量，實現輕量的特性。對數據包的時間序列，分析子節點的行為模式，在一定時間窗下測量數據包接收率和數據包間的時間間隔，建立檢測模型，判斷是否存在入侵行為。該方式彌補基于機器學習、數據挖掘等方法存在的過度依賴訓練庫、訓練時間長等缺陷。所設計的基于時間序列分析的入侵檢測模型，如圖1所示。

該模型結合特征檢測和統計檢測方法。根據入侵檢測的實時數據，建立實時特征庫，通過特征數據庫對數據進行碰撞，提高檢測的準確性和檢測效率。對未知數據采用時間序列分析，時間序列分析算法能夠實時的、準確的對入侵行為進行檢測。并且對入侵行為和非入侵行為分別進行記錄，可發現后續的檢測效率會不斷的提高。

2 時間序列分析算法

時間序列是按照時間順序收集到的一組監測數據。記錄第i時刻的監測數據為x（i），則x（1），x（2），x（3），x（4），x（5）…x（i）…就是一個時間序列。假設對無線傳感器網絡的某一節點的時間序列進行K次檢測，每次檢測為一個運行周期，將運行周期劃分為l個時段，用x（i，j）表示第i次檢測時第j和時段內事件（數據包到達的時間間隔或數據包的接收率）。M（j）表示在第j個時段內該時間發生的平均次數，則有：

當進行K+1次檢測后，將M（j）作為第j時間段內事件（數據包到達的時間間隔或數據包的接收率發生次數）的期望值。用x（K+1，j）表示第j時間段內事件的實際發生次數，可以獲取他們的相對偏差為：

根據時間段j建立時間模型，設立閾值δ，當的相對偏差z（j）≧δ1，即可判定在j時間段內可能發生入侵事件。

文獻[10]中作者提出一種通過切比雪夫多項式對無線傳感器網絡的時間序列進行分析獲取網絡中的離群時間序列。在為無線傳感器網絡Y中設置參數，D：部署區域；A：傳感節點的集合；m：傳感器節點采集到數據長度，d：傳感器節點采集到數據維度；W：時間窗口；ω：滑動窗口（ω<

時間序列的切比雪夫系數：

相似序列：對于兩個時間序列S，R，此兩個時間序列的切比雪夫系數向量分別為C，D。若Discby（C，D）<ε， 則稱時間序列S和R相似。對于一個時間序列S，如果歷史數據窗口中，與之相似的時間序列（記為similar（S，R））數量小于一定的比例，那么時間序列S稱為離群時間序列即

在式⑷中，R為與S相似的時間序列，H為時間窗口W中的歷史數據窗口。

3 入侵檢測算法

根據第1部分基于時間序列分析的無線傳感器網絡入侵檢測模型，通過對無線傳感器網絡進行流量分析，以時間序列中數據包到達的時間間隔和數據包的接收率的值為數據特征，判斷是否存在入侵行為。入侵檢測模塊中采用時間序列分析算法作為檢測算法，采用切比雪夫算法作為行為預測的核心算法。入侵檢測算法描述如下：

抽取時間段j網絡流量進行檢測；z（j）為j時間段內的相對偏差；t為在正常行為庫中多個時間序列；δ1為通過時間序列檢測模型建立的閾值；S為在j時間段內數據包的時間序列；δ2為通過切比雪夫算法運算后，時間序列相似序列閾值；具體流程如圖2所示。

通過監測并采集網絡流量，對無線傳感器網絡進行入侵檢測。通過抽取正常行為庫中多個時刻的時間序列，建立檢測模型、設定閾值δ1。時間序列的相對偏差z（j），當z（j）<δ1時表示該測量時間序列在正常范圍內發送至正常行為庫，通過決策模塊對正常數據放行。當z（j）≧δ1時，j時間段內的時間序列存在偏差數據，可能存在入侵行為。再通過切比雪夫算法進行分析，判斷時間段j內是否存在離群時間序列S，閾值δ2如果時間序列S≧δ2，則返回再次進行相對偏差分析。如果時間序列S<δ2，即時間序列S為離群時間序列，將數據錄入到入侵行為庫，并且將數據發送至決策模塊，對入侵行為進行警報。

4 仿真實驗

4.1 背景介紹

仿真模擬實驗基于模擬CVE-2016-2398，Comcast Xfinity家庭安全系統缺陷，使得攻擊者可以通過干擾ZigBee 2.4GHz傳輸，破壞傳感器正常運行。使用NS2（Network Simulator version 2）仿真，模擬Xfinity智能家庭安全系統的漏洞的無線傳感器網絡通信。通過對無線傳感器網絡進行流量監聽，分析網絡內IP數據包到達各節點的時間序列，驗證數據的真實性和完整性，檢測出該惡意入侵行為。在該仿真實驗中無線傳感器節點分布如圖3所示；系統參數配置如表1所示。

4.2 測試參數配置

本次仿真實驗，通過干擾無線傳感器網絡node6節點的2.4GHz信道，造成信道擁塞。使node6節點間不能夠與網絡正常通信，造成錯誤的數據包時間序列。

4.3 實驗結果

如圖4所示，為正常狀態下在某一時間段內IP數據包時間序列和入侵狀態下在同一時間段內IP數據包時間序列。在這種情況下，通過計算無線傳感器網絡中的數據包接收率和到達時間間隔，對比在相同時間段內兩組數據的值。結果顯而易見，入侵行為與正常行為存在明顯偏差。這種情況下，將正常狀態下的數據包接收率和到達時間間隔進行統計建模，得出時間序列閾值，再與入侵狀態下的時間序列進行相對偏差比較。就能夠準確的檢測出入侵行為，檢測準確率能達到95%以上。從檢測統計結果中可知，使用該算法能夠根據實時數據很好地檢測出入侵行為，有較高的準確率以及較低的錯誤率和漏檢率。

5 結束語

本文提出的基于時間序列分析的實時入侵檢測方法，以無線傳感器網絡中的流量作為對象，測量時間序列。采用時間序列相對偏差計算、切比雪夫算法對網絡中流量進行分析，判斷時間序列中存在的離群數據，進而對入侵行為進行準確辨認。在仿真環境下對該算法進行測試，對入侵行為檢測有較高的準確率，對無線傳感器網絡的入侵檢測具有實際作用。

參考文獻（References）：

[1] 孫利民.無線傳感器網絡[M].清華大學出版社，2005.

[2] 包榮鑫，溫靖程，黎子熠等.無線傳感器網絡傳輸加密機制[J].

中國新通信，2015.18：66-66

[3] 趙玉華，李志剛，李志民等.無線傳感器網絡用戶認證技術綜

述[J].計算機測量與控制，2009.17（12）：2348-2351

[4] 濮青.入侵檢測系統面臨問題與發展趨勢研究[J].計算機工

程與設計，2004.25（1）：55-57

[5] 王培，周賢偉，覃伯平等.基于多代理的無線傳感器網絡入侵

檢測系統研究[J].傳感技術學報，2007.20（3）：677-681

[6] Liu Y， Yu F. Immunity-based intrusion detection for

wireless sensor networks[C]//IEEE International Joint Conference on Neural Networks. IEEE，2008：439-444

[7] Tian J， Gao M， Zhou S. Wireless sensor network for

community intrusion detection system based on classify support vector machine[C]//International Conference on Information and Automation.IEEE，2009：1217-1221

[8] 鐘敦昊，張冬梅，張玉.一種基于相似度計算的無線傳感器網

絡入侵檢測方法[J].信息網絡安全，2016.2：22-27

[9] 韓志杰，張瑋瑋，陳志國.基于Markov的無線傳感器網絡入侵

檢測機制[J].計算機工程與科學，2010.32（9）：27-29

[10] 唐琪，劉學軍.無線傳感器網絡離群時間序列檢測研究[J].傳

感技術學報，2013.26（1）：95-99