基于隨機森林算法的無線傳感網絡攻擊流量阻斷模型構建*

徐禮金，賀艷芳

(1.廣東理工學院信息技術學院，廣東 肇慶 526000；2.河南大學民生學院，河南 開封 475000)

1 引言

高度移動環境下，傳統無線網絡通過最大化帶寬利用率實現資源管理策略的同時優化路由，以此保證用戶的高質量服務體驗[1]。無線傳感網絡內的大部分節點都保持靜止不動狀態，只有少部分需要移動，這部分移動節點主要運行在危險的遠程環境或者無法操控的惡劣網絡環境中，具有無法替代性。目前研究無線傳感網絡的核心問題是探尋一種有效的網絡策略以延長網絡的生命周期[2 -4]。在最初對無線傳感網絡進行研究時，研究者認為Ad-hoc路由機制和成熟的因特網技術能夠充分滿足無線傳感網絡的基本需求[5]，但是隨著學術研究的不斷深入，研究人員發現，與傳統無線網絡相比，無線傳感網絡的核心技術要求差異巨大。傳統的無線網絡的核心目的是實現數據的傳輸，為了滿足各種應用程序數據傳輸的需求，邊緣論思想“端到端”是傳統無線傳感網絡的主要設計思路，具體內容為：在網絡端系統上，對數據進行處理，并主要利用中間節點對數據的分組轉發進行控制[6,7]。從長遠來看，這種方法不利于無線傳感網絡的發展。無線傳感網絡的拓撲結構存在多變性，其中的傳感器節點可以人為控制隨時減少或增加，隨意聚合或分開[8]。無線傳感網絡傳遞信息的方式為無線傳遞，信息在傳感節點中傳遞時由于各網絡節點都暴露在外，導致很容易受到外部攻擊和入侵，以至于無線傳感網絡的損壞和網絡信息的泄露，探尋一種優異的無線傳感網絡攻擊流量阻斷模型是目前研究的主要內容[9]。

目前已有針對無線傳感網絡攻擊流量阻斷的相關研究，包括重定向流量、丟棄數據包和限制流速等多種方法。重定向流量是把無線傳感網絡發出攻擊的流量轉發到其它設備進行處理，但是這種方法并不能降低整個無線傳感網絡遭受攻擊后的負載壓力[10]；丟棄數據包判斷攻擊流量的方式是通過端口號和IP地址實現數據包丟棄，這種方法無法判斷數據的合法性，會把合法數據一起丟棄[11]；限制流速不會丟棄數據，僅限制攻擊流量速率以阻斷攻擊，雖然不會丟棄合法數據，但是依然沒有實現阻斷流量攻擊的目的[12]。

基于此，本文基于字符(單詞)的詞頻矩陣，利用詞頻-逆向文件頻率TF-IDF(Term Frequency-Inverse Document Frequency)算法提取有效載荷的特征，使用隨機森林算法，根據特征結果進行網絡流量分類，基于分類結果實現流量攻擊溯源，完成異常無線傳感網絡檢測，利用流表的報文過濾實現無線傳感攻擊流量的阻斷，為無線傳感網絡的安全運行打下基礎。

2 無線傳感網絡攻擊流量阻斷模型

2.1 無線傳感網絡攻擊流量檢測方法

2.1.1 特征提取

詞頻-逆向文件頻率TF-IDF是20世紀80年代末期提出的用于挖掘文本和檢索信息的一種加權技術[13]。該技術中TF表示某個樣本內某字符或者某單詞出現的頻率，主要由某個字符數量oi與樣本中總字符數量U相除而得，某個樣本內字符di出現的頻率如式(1)所示：

(1)

IDF的中心思想是指在有效載荷特定的樣本中出現某個字符，而這個字符在其他正常流量或者樣本中較少出現，說明該字符具有極強的區分此類樣本的能力，與選擇攻擊特征的樣本相契合，這就要求IDF具有更大的值[14]。樣本中字符IDF值的計算方式如式(2)所示：

(2)

其中，|C|與|{di∈cj}|分別表示樣本總數與包含字符di的樣本數量。為了防止包含字符di的樣本數量失去數學意義，將分母設置為1+|{di∈cj}|。

特征提取的計算方法如式(3)所示：

TFIDF=TFi*IDFi

(3)

在實際測試中發現，TF-IDF技術區分標點和字符時不夠智能，這就需要對復雜的字符與標點實行人工分詞，對無線傳感網絡攻擊流量和正常流量字符進一步分析差別，使用獨熱(One-hot)編碼標記2種流量樣本，進行快速傅里葉變換，獲取具有步長序列的頻譜圖[15]。經對比頻譜圖，正常流量比攻擊流量的字符幅值更高。

本文對相同數據進行2次分析，第1次將字符作為特征提取詞頻矩陣訓練的依據，第2次將單詞作為特征提取詞頻矩陣訓練的依據，得到2個訓練結果。在此基礎上，將隨機森林算法的輸入向量視作特征提取結果的詞頻矩陣對訓練結果進行驗證，至此完成對無線傳感網絡攻擊流量和正常流量的識別，最終得到需要提取的特征。

2.1.2 基于隨機森林算法的流量分類

在得到無線傳感網絡攻擊流量的特征后，本文以此為依據，采用隨機森林算法對流量進行分類。在引導聚集算法的基礎上改進得到隨機森林算法，以下為隨機森林算法的具體過程：

(1)經TF-IDF提取特征得到詞頻矩陣：

CP*Q={C1,C2}

(4)

其中,C1表示將單詞作為依據生成的詞頻矩陣，C2表示將字符作為依據生成的詞頻矩陣，P與Q分別表示訓練樣本總數與TF-IDF算法提取出的無線傳感網絡攻擊流量特征總數。將詞頻矩陣作為輸入得到詞頻矩陣特征集：LC={l1,l2,…,ln}，通過Bootstrap完成取樣。為構成M個樣本集：R={R1,R2,…,RM},M≥1，需要隨機在輸入數據集內抽取M個樣本集，再利用剩余數據構成袋外數據OOB(Out Of Bag)樣本集。無線傳感網絡流量的分類過程如圖1所示。

Figure 1 Process of traffic classification 圖1 流量分類過程

(2)依據隨機森林算法的要求，由步驟(1)中抽取的樣本集R需要在各待分裂節點中選擇p個特征，此處p取值為2，避免出現過度擬合，由基尼系數決定節點分裂標準：

(5)

其中，vi代表全部樣本與訓練集內特征值樣本個數的比值。最優分裂點是通過式(5)計算得到的最低基尼系數。

(3)重復執行步驟(2)，直至達到已設定好的閾值或者不能分裂為止，此時建立第1棵決策樹。

(4)重復執行以上3個步驟，一直到得到所需數量的決策樹，構成隨機森林，最后以投票方式確定無線傳感網絡流量是否為攻擊流量。

完成無線傳感網絡流量分類后需要對攻擊流量實現溯源。溯源攻擊流量實際上就是利用隨機森林算法獲得的流量分類結果，對存在異常的無線傳感網絡加以識別。無線傳感網絡環境下，各主機都有自身的行為特征[16]。為了更詳細地分析主機特征，通常把主機行為分為2種，一種是主機負責接收報文，另一種是主機負責發送報文。對某個IP地址特征進行提取時，需要同時分析此IP地址作為源地址和目的地址的全部數據包，取得對流量進行分類的相關信息。使用隨機森林算法獲得一個訓練完成的分類器，識別出異常主機行為。在流量攻擊IP地址得到確定的基礎上，對連接攻擊流量的交換機和端口進行深入挖掘。在無線傳感網絡的拓撲圖中找到相對應的節點信息，依據這些節點信息查詢鏈路信息，獲得鄰近攻擊終端的交換機節點信息，完成流量分類，并將交換機的ID和端口作為攻擊流量阻斷的阻斷點。

2.2 基于拓撲結構的阻斷攻擊流量

在實現流量分類的基礎上，本文基于拓撲結構阻斷攻擊流量。攻擊阻斷主要是過濾屬于攻擊者IP的報文，把出現異常的網絡恢復到正常運行的狀態，主要采取的技術手段是經軟件定義網絡SDN(Software Defined Network)實現集中控制，下發控制流表至連接攻擊流量IP的交換機，實現攻擊報文的實時過濾。

經過以上攻擊流量溯源，無線傳感網絡流量攻擊的主機IP地址與連接該地址的交換機被控制器發現，此后實時過濾掉攻擊流量報文，完成攻擊流量阻斷。過濾報文的具體過程如圖2所示。

Figure 2 Process of packet filtering 圖2 過濾報文過程

在無線傳感網絡出現攻擊流量時，與攻擊流量連接的交換機接收到OpenFlow網絡通信協議作為基礎控制器下發的控制流表，流表內包含主要針對攻擊流量終端的相關流表項，交換機先接受流表項，然后過濾具有攻擊性的報文。再接入攻擊終端的端口位置，丟棄攻擊流量終端I/O數據報文，完成無線傳感網絡攻擊流量阻斷。

3 實驗與結果分析

為了驗證本文模型的阻斷效果，本節使用某市電力公司的無線傳感網絡作為研究對象。從開放式分類目錄DMOZ(Directory MOZilla)中采集無線傳感網絡正常流量數據集，從CSIC 2010 HTTP Dataset中采集無線傳感網絡攻擊流量，對采集出的數據集進行清洗，分別保存6萬條正常流量數據和攻擊流量數據，攻擊流量分為代碼執行、跨網站腳本XSS(Cross Site Scripting)攻擊、結構化查詢語言SQL(Structured Query Language)注入攻擊和回車換行CRLF(Carriage Return Line Feed)注入攻擊等。構建的模擬實驗場景主要包括目標靶機、實驗機、攻擊機和交換機各一臺。目標靶機模擬Web服務器，系統為Windows 2010；經過交換機端口鏡像實現實驗機對無線傳感網絡的監聽，同時使用本文模型對HTTP數據包進行流量檢測。攻擊機利用BurpSuite向靶機模擬攻擊。通過真陽性TQ、假陽性FQ、真陰性TM和假陰性FM4個參數，計算準確率、精確率、召回率和調和平均數，評判本文模型的應用效果。各參數的具體含義如表1所示。

Table 1 Meaning of each parameter表1 各參數具體含義

評價指標計算方法分別如式(6)～式(9)所示：

(6)

(7)

(8)

(9)

實驗從2個方面檢驗模型的性能，分別為攻擊流量檢測效果和攻擊流量阻斷效果。本文使用基于OpenFlow的攻擊流量阻斷模型(文獻[11]模型)和面向節點影響力的攻擊流量阻斷模型(文獻[12]模型)與本文模型進行對比。3種方法采用相同數據集進行仿真實驗，分別在不同數據比例節點進行對比統計。

3.1 攻擊流量檢測效果

3種模型的攻擊流量檢測的準確率結果如圖3所示。從圖3能夠看出，隨著數據集的增加，2種對比模型的準確率都出現下降趨勢，而本文模型準確率出現平穩上升趨勢，說明本文模型對于無線傳感網絡流量攻擊具有較高的準確率。這主要是因為本文根據特征結果使用隨機森林算法對網絡流量進行分類，提高了檢測范圍和效率，進而提高了檢測準確率。

Figure 3 Comparison of detection accuracy圖3 檢測準確率對比

3種模型檢測攻擊流量的假陽性(FQ)率如圖4所示。從圖4中能夠看出，伴隨數據集的增加，基于OpenFlow的阻斷模型呈現出不穩定的狀態，而面向節點的阻斷模型雖然整體趨勢較平穩，但是假陽性率依舊較高。本文模型的假陽性率較低，證明本文模型具有良好的攻擊流量檢測效果。這主要是因為本文以特征為基礎對攻擊流量進行檢測，提高了檢測準確率，降低了假陽性率。

Figure 4 Comparison of false positive rates圖4 假陽性率對比

3種模型檢測攻擊流量的檢測召回率如圖5所示。從圖5中能夠看出，隨著數據集的逐漸增加，基于OpenFlow的阻斷模型的檢測召回率呈現逐漸升高的狀態，且漲幅較大，而面向節點的阻斷模型整體檢測召回率的漲幅更大。本文模型的檢測召回率則降低，盡管隨著數據集的增加也有升高的趨勢，但漲幅明顯低于其他2種阻斷模型。這主要是因為本文模型通過過濾報文來實現無線傳感網絡攻擊流量的阻斷，有效降低了檢測召回率。

Figure 5 Comparison of detection recall rate圖5 召回率對比

本文模型所使用的隨機森林算法，森林內樹的數量和特征數量都會對整個算法造成影響，不同數量的樹對整個模型檢測結果影響如表2所示。從表2可以看出，隨著森林中樹的數量增加，檢測的準確率和調和平均數等不斷增高，而假陽性率在樹數量為20時最低，證明隨機森林算法中樹的數量為20時，檢測無線傳感網絡流量攻擊的效果最好。

Table 2 Effect of tree numbers in forest on attack flow detection 表2 森林中樹的數量對攻擊流量檢測的影響

通過式(6)～式(9)計算評價3種模型的各項指標性能，對比結果如表3所示。

Table 3 Performance comparison表3 性能對比 %

由表3可知，基于OpenFlow的阻斷模型準確率與精確率較低，其檢測無線傳感網絡攻擊流量的性能較差；而面向節點的阻斷模型雖然準確率與精確率較高，但是召回率較低，說明該模型只能檢測正常流量，對攻擊流量的檢測能力較差；本文模型各項指標均較高，在檢測正常流量和攻擊流量時具有良好的性能。

3.2 攻擊流量阻斷效果

選取2個具有代表性的特征分析網絡受到攻擊前后網絡流量狀態典型特征變化情況，分別為總數據包數和目的地址的熵(H(dstIP))，采用3種模型對遭受到的攻擊進行阻斷，阻斷對比結果如表4和表5所示。從表4和表5中所示的總數據包數和目的地址的熵變化情況可以看出，該無線傳感網絡在40 s后遭受到攻擊，相比于另外2種對比模型，使用本文模型能夠有效阻斷網絡攻擊流量，可在較短時間內將網絡恢復至正常。

Table 4 changes in the total number of packets表4 總數據包數變化情況

Table 5 Changes in entropy of destination address表5 目的地址的熵變化情況

4 結束語

本文針對無線傳感網絡攻擊流量構建阻斷模型，使用TF-IDF和隨機森林算法對無線傳感網絡流量進行分類，識別正常流量和攻擊流量，再使用溯源方法確定交換機的ID和端口作為攻擊流量阻斷的阻斷點，通過過濾報文實現無線傳感網絡攻擊流量的阻斷。實驗結果表明，本文模型在檢測攻擊流量時具有較高的準確率、精確率和召回率，調和平均數均在98.1%以上，檢測率達到了100%，誤檢測準確率在7.56%以內，識別攻擊流量的能力較強；在攻擊流量阻斷方面，本文模型能實現各類攻擊流量的阻斷，與同類型的模型相比具有良好的阻斷效果，提升了無線傳感網絡的性能。

今后的研究可從多個角度展開：探索性能良好的控制器，進一步提高攻擊流量監測的精確率；將無線傳感網絡節點微型化，實際應用于微無線通訊和微機電等領域；尋求節能策略，降低能耗，改進電源技術，提出一種低能耗的無線傳感網絡；節省節點，降低無線傳感網絡的成本，推動無線傳感網絡的發展。