基于隱馬爾科夫模型的無線傳感網絡入侵檢測系統設計與性能分析

鄧小明

摘要：本文基于Zigbee無線協議，搭建了7個節點的樹形無線傳感網絡拓撲，通過隱馬爾科夫HMM模型的Baum-Welch算法迭代訓練正常網絡的模型。選取“節點通信頻度”、“節點通信擁擠度”、“數據傳輸方式”序列組合作為入侵特征識別點，實驗表明，在仿真環境下，以10個連續數據幀作為一個單元，特征識別點選擇閾值為4，系統能很好的區分正常網絡和入侵網絡，具有較好的檢測效果。

關鍵詞：無線傳感網；隱馬爾科夫HMM模型；入侵檢測系統

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2018）06-0193-03

隨著傳感技術、無線網絡技術的快速發展，無線傳感器網絡被廣泛應用于軍事、環境檢測、工業、醫療和智能家居，安全性是網絡發展的關鍵性問題之一，無線傳感網絡安全領域主要解決可用性問題、機密性問題、完整性問題、新鮮性問題和節點的認證問題[1]。由于無線傳感網絡固有的特性，如資源有限、節點容易捕獲、信號的開放傳輸等容易遭受攻擊，無線Ad Hoc中的安全技術無法移植到無線傳感器網絡中，現有的安全技術仍然存在較大局限，因此需要深入而系統的進行研究。

1 無線傳感網絡面臨的威脅

無線傳感器網絡的諸多特點也導致了保證無線傳感器網絡的安全性成為一個困難的問題。目前傳感器網絡在網絡協議棧的四個層次中可能受到的攻擊方法和防御手段[2]如表1所示。

2 無線傳感網絡安全技術綜述

對于目前絕大部分的安全策略，都沒有從本質上考慮網絡的攻擊與防御關系，造成網絡的防御總是落后于攻擊，或者在防御的效果和響應的時間上達不到理想的效果。為了實現WSN的網絡通信和數據信息安全，需要針對WSN面臨的安全威脅及攻擊手段，采取對應的安全防護技術，目前針對無線傳感網絡的主流安全技術如下：

2.1 安全協議

安全協議的目的在于能夠在協議的框架下，實現數據機密性、完整性和數據新鮮性，并盡可能的提高通信的安全性并降低通信過程中傳輸的開銷。彭磊、畢亞雷、曾家智[3]在“面向服務的無線傳感器網絡協議架構”中提出了基于任務，網絡，區域，傳感器節點，節點相關能力的無線傳感器網絡架構；魯琛[4]等在“桃園中無線傳感網絡通信協議改進設計”中提出改進泛洪時間同步協議，達到降低同步時間誤差；范秋生[5]在“基于相鄰節點協作的無線傳感器網絡安全協議”文中對密鑰分發的網絡安全協議進行了探討。這些安全協議的研究對網絡安全協議的框架進行了總體分析和探討，也取得了較好的安全效果。但總體而言，安全協議的實現難度較大。

2.2 信息加密，密鑰管理和訪問控制及身份認證

信息加密，密鑰管理和訪問控制及身份認證的技術針對節點與節點之間通信鏈路上的通信數據進行加密，對用戶的合法身份和訪問權限進行認證。秘鑰體系中，主要有對稱秘鑰密碼體系和非對稱秘鑰密碼體系兩種。梅園[6]在“無線傳感網絡加密通信優化算法的研究與仿真”中提出了一種提出了一種小區域共享密鑰的無線傳感網絡安全通信策略；蘇兵、王徐[7]等在“基于混淆的無線傳感網絡密鑰管理機制”文中應用了混淆的多重加密方法，信息加密技術、秘鑰分發機制研究和訪問控制這些手段都能夠有效的防范常見的網絡攻擊。但加密中涉及額外的算法和程序會更多的消耗節點的能源和增大網絡中的數據量。

2.3 擴頻和跳頻

在無線傳感網絡中，任意兩個節點間都使用不同的頻率信號進行通信，可以增加通信的信道數量，可以有效避免傳輸過程中發生碰撞的概率。付亞飛[8]在“基于SX1276的擴頻無線聯網信息采集系統”文中無線組網采用Rime協議棧使用擴頻和跳頻技術進行了設計和實現。擴頻和跳頻在防御方式上屬于被動防御技術，增加的信道使整個網絡在實現上復雜度增加。

2.4 安全路由

無線傳感網絡中，節點、基站和網關相互之間進行通信的過程中，都必須使用路由協議，安全路由技術的使用主要是為了防止在節點、基站和網關的數據在傳輸的過程中發生泄露，吳銀鋒[9]等在“基于節點信任值的無線傳感器網絡安全路由”提出了一種基于節點信任值的層次型路由算法以提高無線傳感器網絡數據傳輸過程中的路由安全；段俊奇[10]在“無線傳感器網絡信任管理關鍵技術研究”中對提出的具有高擴展性和靈活性的信任管理系統架構進行了設計和實現。安全路由的使用必然使用一定復雜度的加密算法，加密算法的使用會造成控制信息過多，為了保證數據的完整性還要考慮數據重傳，增加了額外的計算量，對能源消耗和數據量增加都有一定影響。

2.5 入侵檢測

入侵檢測技術的使用，可以有效的預防單個或者部分節點被惡意捕獲，并被植入惡意程序，變成攻擊潛伏節點，導致網絡發生信息泄露或者導致網絡中斷等危險情況，張勇[11]等在“基于SDN架構的WSN入侵檢測技術”中提出將自防御網絡技術與入侵檢測技術相結合，提出了一種有效入侵檢測方案。入侵檢測技術在防御策略上屬于主動防御，且在部署方式上較為靈活。

3 無線傳感網絡入侵檢測系統設計

3.1 框架設計

WSN入侵檢測系統分為五個部分。由無線傳感網絡模塊、網絡嗅探器模塊、檢測服務器和警報器模塊和惡意入侵的節點模塊組成，入侵檢測系統的結構框圖見圖1所示。

在WSN入侵檢測系統框架中，設置一個協調器、多個路由器和終端節點，網絡拓撲結構為樹狀，HMM入侵檢測系統工作流程如下：

（1）網絡中的嗅探器通過捕獲流經無線傳感網中的所有的數據包，并將數據包送入入侵檢測服務器。

（2）檢測服務器通過提取檢測特征點，組成特征序列，通過HMM算法建立正常網絡數據概率模型。

（3）設定入侵檢測閾值。

（4）進行入侵檢測并對入侵檢測行為進行記錄和后續處理。

3.2 檢測特征點設計

在WSN網絡入侵檢測系統中，特征點的選取關系到入侵檢測效果的好壞，通過分析無線傳感網絡數據幀的特點，這里選取“節點通信頻度”、“節點通信擁擠度”和“傳輸方式”三種反應無線傳感網絡的特征組合起來作為入侵特征識別點：

（1）節點通信頻度。節點通信頻度反應了各節點數據通信頻度分布程度。通過提取網絡層數據幀首部的目的地址和源地址進行統計計算（以5個節點為例），設定N[i]用來存儲5個節點收數據和發數據的次數，其中1≤i≤5，節點通信頻度公式為：

其中ó表示節點通信頻度。如果ó的計算數值較大，則表示在通信過程中，數據傳輸分散，只有極少數的節點參與了通信；如果ó比較小，則表示各節點在網絡中各節點的通信的頻度比較平均。

（2）節點通信擁擠度。節點通信擁擠度表示通信節點間是否存在干路。節點通信擁擠度較高，說明存在干路，節點通信擁擠度低，說明傳輸比較平均。由于數據幀在路由過程中，MAC層的目的地址和源地址在傳輸中需要更換地址，信息將反映傳輸的路徑（以5個節點為例），統計數據在無線網絡節點經過的次數，節點擁擠度公式為：

其中ó的大小表示節點通信擁擠度，ó較大，說明存在干路，ó較小，則沒有干路存在。

（3）數據傳輸方式。無線傳感網絡的數據傳輸方式在一定程度上反應了節點間數據通信的狀態，如節點間出現大量的廣播數據包，導致網絡延遲或通信中斷，廣播傳輸就成為了典型特征。網絡層控制域幀類型子域中，00表示數據幀，01表示命令幀。而在交付模式中，00表示單播，01表示間接尋址，10表示廣播。

3.3 檢測序列表設計

對三種類型的入侵特征識別點進行組合，組合后的網絡狀態和特征序列值呈現一一對應。網絡狀態的特征序列值表如表2所示。

4 實驗及數據分析

4.1 硬件環境

實驗的無線傳感網絡硬件采用7個節點，節點硬件體系結構支持Zigbee協議，網絡拓撲結構為樹形，7個節點中包含1個協調器，2個路由器和2個終端節點，另外部署1個嗅探節點和1個攻擊節點，節點預先寫入自組網通信程序及攻擊代碼。

4.2 軟件環境

（1）Matlab 2016a中嵌入HMM中的Baum-Welch算法，嗅探節點捕獲數據包產生觀測序列，并作為觀測序列的第一部分數據。

（2）按照“節點通信頻度”、“節點通信擁擠度”、“數據傳輸方式”提取相應位構造序列表，以10個連續數據幀作為一個單元。

（3）節點通信頻度和節點通信擁擠度極限區間中選擇閾值為4。

（4）攻擊節點發出攻擊數據，嗅探節點捕獲數據包產生觀測序列，并作為觀測序列的第二部分數據。

（5）分兩個部分導入到Matlab軟件中進行概率計算。第一部分數據是訓練模型用過的觀測序列，第二部分數據是模型中攻擊發生后產生的觀測序列，在HMM的Forward-Backward算法中進行計算，得出匹配概率值。

4.3 實驗結果及分析

第一部分正常觀測序列時正常網絡輸出時序概率匹配圖和入侵發生后輸出時序概率匹配圖見圖2、3所示（匹配概率用自然對數進行處理）。

從圖2可以看出，正常網絡時序在0-6秒出現波動，主要是因為自組網在進行網絡初始化期間的通信數據量波動較大，在網絡建立后，節點通信頻度、節點通信擁擠度較低，網絡通信的曲線波動在較小范圍內。圖3中，在第31秒左右，網絡通信量突增，與正常網絡相比，匹配概率值急劇下降，網絡曲線發現較大波動，表示網絡受到攻擊。

5 結語

本文通過建立樹形拓撲，在基于Zigbee協議的無線傳感網中，通過選取“節點通信頻度、節點通信擁擠度、數據傳輸方式作為特征點，以10個連續網絡通信的曲線波動在較小范圍內。數據幀作為單元，在閾值為4的情況下，系統能夠很好的對正常網絡和入侵行為進行判定，具有較好的檢測效果。

參考文獻

[1]譚志剛.無線傳感器網絡密鑰管理與安全認證技術研究[D].南京郵電大學，2013.

[2]Wood A D，Stankovic J A.Denial of service in sensor networks[J].IEEE Computer，2002，35（10）：54-62.

[3]彭磊，畢亞雷，曾家智.面向服務的無線傳感器網絡協議架構[J].計算機工程與應用，2009，45（5）：104-107.

[4]魯琛，屈穩太，楊祥龍，王春龍，曹泓，賈生堯.桃園中無線傳感網絡通信協議改進設計[J].農業機械學報，2014，（7）：260-265.

[5]范秋生.基于相鄰節點協作的無線傳感器網絡安全協議[J].大學物理，2017，（9）：57-61.

[6]梅園.無線傳感網絡加密通信優化算法的研究與仿真[J].計算機仿真，2012，（7）：195-198.

[7]蘇兵，王徐，吳沖.基于混淆的無線傳感網絡密鑰管理機制[J].化工自動化及儀表，2014，4（41）：402-433.

[8]付亞飛.基于SX1276的擴頻無線聯網信息采集系統[D].石家莊鐵道大學，2016.

[9]吳銀鋒，周翔，馮仁劍，萬江文，許小豐.基于節點信任值的無線傳感器網絡安全路由[J].儀器儀表學報，2012，33（1）：221-228.

[10]段俊奇.無線傳感器網絡信任管理關鍵技術研究[D].北京交通大學，2014.

[11]張勇，姬生生，王閎毅.基于SDN架構的WSN入侵檢測技術[J].河南大學學報（自然科學版），2015，45（2）：211-216.

Abstract：The intrusion-detection systems of Wireless senser network construct senven nodes based on Zigbee protocol，Through train the normal network model by Baum-Welch iteration of Hidden Markov chain. Select the " Node communication frequency "， "Route congestion level"， "data transmission mode" as the point of Features， Experiments show that， In the simulation environment， Using 10 consecutive data frames as a unit， Select 4 as threshold value， The system can distinguish better in normal network and intrusion network， The results show that the new detection is effective in wireless sensor network in Intrusion-detection System.

Key words：wireless senser network；hidden markov model；the intrusion-detection systems