無線傳感網(wǎng)絡(luò)中的自適應(yīng)入侵檢測算法

蘇 明

（北京開放大學(xué)，北京 100081）

0 引言

無線傳感網(wǎng)絡(luò)（wireless sensor networks, WSNs）已在多個領(lǐng)域內(nèi)廣泛使用[1-2]，如智能家居、智能電網(wǎng)等。WSNs 中的傳感節(jié)點，能夠感知應(yīng)用環(huán)境中的異常事情，因此可以利用節(jié)點的感知能力，來檢測異常事情，例如在智能家居的安防中，可以用紅外傳感節(jié)點感知異常物體入侵。

現(xiàn)存的多數(shù)入侵檢測算法都依賴數(shù)據(jù)挖掘算法[3-5]。盡管它們在入侵檢測方面有較好的性能，但是基于傳感網(wǎng)絡(luò)的監(jiān)測系統(tǒng)，仍容易遭受網(wǎng)絡(luò)攻擊。因此，有效的入侵檢測系統(tǒng)（intrusion detection system, IDS）非常關(guān)鍵，通過IDS 可以避免數(shù)據(jù)受已知和未知攻擊。

通過檢測異常活動，提高網(wǎng)絡(luò)安全[6]是部署IDS 的根本目的。計算智能，包括機器學(xué)習(xí)、模糊邏輯、人工神經(jīng)網(wǎng)絡(luò)等均是識別網(wǎng)絡(luò)流量中異常活動的有效策略。IDS 就是通過二值分類，區(qū)分正常行為和入侵行為。

文獻(xiàn)[7]通過實時自適應(yīng)模型產(chǎn)生（adaptive model generation, AMG）結(jié)構(gòu)，實施基于數(shù)據(jù)挖掘的IDS 系統(tǒng)。文獻(xiàn)[8]對基于異常的IDS 進(jìn)行分析，提出基于博弈理論的入侵檢測系統(tǒng)。

為此，本文針對基于WSNs 應(yīng)用的環(huán)境監(jiān)測系統(tǒng)，分析了在感測數(shù)據(jù)融合階段的已知和未知的入侵行為，然后提出自適應(yīng)的入侵檢測（adaptive intrusion detection, AID）系統(tǒng)。

在 AID 中，利用2 類機器學(xué)習(xí)子系統(tǒng)對數(shù)據(jù)進(jìn)行處理：①誤用檢測子系統(tǒng)（misuse detection Subsystem, MDS）；②異常檢測子系統(tǒng)（anomaly detection subsystem, ADS）。MDS 能夠有效地檢測已知攻擊，ADS 能夠檢測未知攻擊。所謂已知攻擊是系統(tǒng)已掌握了攻擊特點的攻擊；未知攻擊是指系統(tǒng)對攻擊特點并不了解的攻擊。

MDS 通過隨機森林分類器檢測已知攻擊。它先通過訓(xùn)練數(shù)據(jù)，獲取攻擊模型，然后利用未來感測流量，識別入侵行為。而 ADS 是通過優(yōu)化的DBSCAN 分類器，來檢測未知攻擊：先依據(jù)訓(xùn)練數(shù)據(jù)獲取正常模型（非攻擊模型），再利用模型識別未知攻擊。

實施入侵檢測的關(guān)鍵在于，如何決定子系統(tǒng)的融合數(shù)據(jù)流，例如文獻(xiàn)[9]提出簇結(jié)構(gòu)的混合入侵檢測系統(tǒng)（clustered hierarchical hybrid-intrusion detection system, CHH-IDS），CHH-IDS 就是通過分析數(shù)據(jù)流對入侵檢測準(zhǔn)確率的影響，達(dá)到提高準(zhǔn)確地檢測入侵。本文提出的 AID 系統(tǒng)，可以連續(xù)地跟蹤每個子系統(tǒng)的接收操作特征（receiver operating characteristics, ROC），再結(jié)合ROC 的獎懲機制，自動調(diào)整給每個子系統(tǒng)轉(zhuǎn)發(fā)的融合數(shù)據(jù)比例來完成入侵檢測。

1 預(yù)備知識

1.1 基于權(quán)重函數(shù)的簇結(jié)構(gòu)

引用簇化的網(wǎng)絡(luò)結(jié)構(gòu)。假定網(wǎng)絡(luò)有N個簇，每個簇由c個傳感節(jié)點。在每個簇內(nèi)，簇頭（cluster head,CH）負(fù)責(zé)融合簇內(nèi)傳感節(jié)點所轉(zhuǎn)發(fā)的數(shù)據(jù)。一旦融合完畢，CH 就將數(shù)據(jù)轉(zhuǎn)發(fā)至中心服務(wù)器，如圖1 所示。

圖1 系統(tǒng)模型

AID 系統(tǒng)引用基于權(quán)重的簇頭產(chǎn)生機制[10]，給每個節(jié)點定義 1 個簇頭權(quán)重，具有最低權(quán)重的節(jié)點成為簇頭。具體而言，令iW表示傳感節(jié)點si的權(quán)重，其定義為

1.2 數(shù)據(jù)融合

每個簇頭融合其簇內(nèi)傳感節(jié)點的數(shù)據(jù)，然后將融合的數(shù)據(jù)傳輸至信宿。AID 系統(tǒng)引用文獻(xiàn)[11]的數(shù)據(jù)融合算法。通過計算融合節(jié)點的信任值，其定義為

式中：Tagg為融合節(jié)點的信任值；Ti為si的信任值；為融合節(jié)點與節(jié)點si間的信任值；N為簇內(nèi)的傳感節(jié)點數(shù)。

2 AID 系統(tǒng)

AID 系統(tǒng)旨在跟蹤 MDS 和 ADS 子系統(tǒng)中ROC 的變化，并調(diào)整向它們轉(zhuǎn)發(fā)感測數(shù)據(jù)的比例[12]。引用真假率評估ADS 和MDS 檢測入侵的性能，即：

單一時刻點的真假率并不能準(zhǔn)確地反映 AID和MDS 系統(tǒng)的檢測入侵性能。為此，利用一段時間Δt觀察真假率。AID 和 MDS 系統(tǒng)在Δt時間內(nèi)的的真假率的計算方法為：

用真假率表述系統(tǒng)的 ROC。為了能準(zhǔn)確地跟蹤真假率的變化情況，下1 個時刻的真假率包含當(dāng)前時刻的真假率和時間段Δt內(nèi)的真假率。AID 系統(tǒng)和 MDS 系統(tǒng)在時刻ti+1的真假率的計算方法為：

除了每個子系統(tǒng)的ROC 行為，AID 系統(tǒng)跟蹤2 個子系統(tǒng)（ADS 和 MDS）在任意時刻ti的平均ROC，即

對于任意時刻ti，如果則表明ADS 子系統(tǒng)優(yōu)先MDS 子系統(tǒng)，就增加向ADS 轉(zhuǎn)發(fā)感測數(shù)據(jù)的比例。相反，如果MDS子系統(tǒng)優(yōu)先 ADS 子系統(tǒng)，就增加向 MDS 轉(zhuǎn)發(fā)感測數(shù)據(jù)的比例。

圖2 AID 系統(tǒng)流程

3 實驗與結(jié)果分析

為了更好地分析AID 系統(tǒng)，引用NS3 仿真器建立仿真平臺。在100 m×100 m 區(qū)域部署20 個傳感節(jié)點，將這些傳感節(jié)點分成4 個簇。引用層次-動態(tài)源路由（hierarchical-dynamic source routing,HDSR）協(xié)議完成節(jié)點間通信。

引用數(shù)據(jù)挖掘的知識發(fā)現(xiàn)（ knowledge discovery in data mining, KDD）CUP 1999 數(shù)據(jù)庫，通過KDD CUP 1999 數(shù)據(jù)庫評估AID 系統(tǒng)檢測性能。并考慮4 類攻擊：否認(rèn)服務(wù)（denial of service,DoS）、端口（probe）攻擊、遠(yuǎn)程用戶攻擊（remoteto-login, R2L）、提權(quán)（user-to-root, U2R）攻擊。具體的仿真參數(shù)如表1 所示。

表1 仿真參數(shù)

3.1 準(zhǔn)確率

準(zhǔn)確率AR 表示分類的準(zhǔn)確性，其定義為

式中：NTP表示將非入侵事件正確判斷為非入侵事件的個數(shù)；NTN表示入侵事件正確判斷為入侵事件的個數(shù)；NFP表示將非入侵事件錯誤判斷為入侵事件的個數(shù)；NFN表示將入侵事件錯誤判斷為非入侵事件的個數(shù)。

圖 3 顯示了 AR 隨入侵率的變化情況，且ΔR=0.25。

圖3 準(zhǔn)確率隨入侵率的變化情況

從圖3 可知，AR 隨入侵率的增加而下降。原因在于，入侵率越高，入侵者越多，檢測難度越高，降低了準(zhǔn)確率。相比于 CHH-IDS，AID 系統(tǒng)提高了準(zhǔn)確率，AID 系統(tǒng)的準(zhǔn)確率達(dá)到99 %以上。

3.2 檢測率

AID 系統(tǒng)的檢測率（detection rate, DR），反映了正確地檢測入侵事件的概率，其定義為

圖4 顯示了DR 隨入侵率的變化情況。

圖4 檢測率隨入侵率的變化情況

從圖4 可知，入侵率的增加，降低了DR。但當(dāng)入侵率為50 %，AID 系統(tǒng)的DR 仍達(dá)到95 %，遠(yuǎn)高于CHH-IDS。例如，當(dāng)入侵率為40 %，AID 系統(tǒng)的DR 為 96 %，而 CHH-IDS 系統(tǒng)的 DR 只達(dá)到 88%。

3.3 TP 性能

圖5 顯示了TP 隨FP 的變化曲線，其反映了ROC 特性。從圖 5 可知：當(dāng)ΔR= 0時，TP 最低；而當(dāng)時，TP 最高，即當(dāng)ΔR=0. 25 時，能夠獲取最優(yōu)的ROC 特性。

圖 5 TP 隨 FP 的變化情況

3.4 精確率曲線

精確率曲線反映了查準(zhǔn)率（precision）隨查全率（recall）的變化過程。其中查全率等于而查準(zhǔn)率等于精確率越高（趨于1），性能越好。

圖6 顯示了ΔR值變化時的精確率曲線。

圖6 精確率曲線

4 結(jié)束語

針對重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施的監(jiān)測問題，提出自適應(yīng)檢測AID 系統(tǒng)。AID 系統(tǒng)以簇化的WSNs 結(jié)構(gòu)為基礎(chǔ)，通過跟蹤ROC 特征，調(diào)整轉(zhuǎn)發(fā)至MDS 和ADS 2 個子系統(tǒng)的數(shù)據(jù)的比例，進(jìn)而優(yōu)化系統(tǒng)。仿真數(shù)據(jù)表明，提出的 AID 系統(tǒng)能有效地提高了入侵檢測率，其準(zhǔn)確率可達(dá)到99 %。