91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

 鐘敦昊，張冬梅，張玉

 (北京郵電大學(xué)計算機學(xué)院，北京100876)

 摘要：由于無線傳感器網(wǎng)絡(luò)的工作環(huán)境存在不可靠性，其安全問題越來越被研究者重視。

 雖然數(shù)據(jù)加密和身份認(rèn)證技術(shù)的應(yīng)用提高了無線傳感器網(wǎng)絡(luò)的安全性，但仍然無法及時有效地檢測出已對無線傳感器網(wǎng)絡(luò)造成威脅的惡意入侵行為。為了解決這一問題，文章針對Zigbee無線傳感器網(wǎng)絡(luò)的應(yīng)用層的感知數(shù)據(jù)篡改、網(wǎng)絡(luò)層的RREQ泛洪攻擊、鏈路層碰撞攻擊和物理層的信道干擾4種入侵行為，提出了一種基于相似度計算的無線傳感器網(wǎng)絡(luò)實時入侵檢測算法。該算法通過馬氏距離計算入侵行為和正常行為之間的相似程度，并采用線性擬合算法對可疑行為進行趨勢評估，以檢測異常入侵行為。最后通過搭建真實的Zigbee網(wǎng)絡(luò)入侵檢測環(huán)境驗證了該算法的可用性，并能達到預(yù)期的效果。

0引言

 隨著無線傳感器網(wǎng)絡(luò)( Wireless Sensor Network，WSN)的蓬勃發(fā)展，這種具有易于部署、低復(fù)雜度、高性價比、低功耗等優(yōu)勢的網(wǎng)絡(luò)技術(shù)已在軍事、醫(yī)療、生活等各個領(lǐng)域中得到了普及和應(yīng)用，但也暴露出許多安全問題。針對無線傳感器網(wǎng)絡(luò)的入侵行為能夠造成網(wǎng)絡(luò)癱瘓、數(shù)據(jù)欺騙等安全問題，并能給網(wǎng)絡(luò)帶來巨大破壞。這成為無線傳感器網(wǎng)絡(luò)普及應(yīng)用的重要障礙，所以無線傳感器網(wǎng)絡(luò)入侵檢測問題受到國內(nèi)外越來越多的研究人員的重視。

 在無線傳感器網(wǎng)絡(luò)入侵檢測的研究中，基于相似度計算的入侵檢測方法已成為近年來研究工作的重點。中BORAH等人對檢測數(shù)據(jù)進行哈希計算，然后應(yīng)用基于歐式距離的K均值( K-Means)聚類算法進行惡意行為檢測。MA等人使用基于歐式距離的K鄰近( K-nearest neighbor)聚類算法，通過投票系統(tǒng)來檢測惡意行為。YI等人使用核算法(Kernel Function)對支持向量機進行改進，通過每個特征與超平面之間的歐式距離來計算惡意行為的可能性。TAN等人對正常特征和入侵特征進行了比較和分析，利用分析結(jié)果對數(shù)據(jù)進行特征提取，最后基于歐式距離檢測入侵行為。SINGH等人采用基于歐式距離的K鄰近算法作為分類器，對正常行為和惡意行為進行分類，從而能夠檢測出入侵行為，該文章提出可以使用其他相似算法代替歐式距離，如馬氏距離。CHOU等人使用基于歐式距離的模糊C均值聚類算法對入侵行為進行聚類來判別入侵行為。以上檢測方法均采用基于相似度的算法并使用訓(xùn)練數(shù)據(jù)對檢測系統(tǒng)進行訓(xùn)練，通過聚類或分類等算法來分析入侵行為，能夠較為準(zhǔn)確地檢測出入侵行為。但是這些檢測方法只通過仿真數(shù)據(jù)進行了驗證，未通過真實環(huán)境來驗證其可用性，而且檢測方法存在兩點缺陷：1）檢測系統(tǒng)的準(zhǔn)確性過于依賴訓(xùn)練數(shù)據(jù)，且無法適應(yīng)新數(shù)據(jù)的變化，容易產(chǎn)生誤檢；2）采用歐式距離作為相似度的計算方法忽略了不同特征對計算結(jié)果的影響程度，將屬性不同的特征同等對待，導(dǎo)致數(shù)值較大的特征對計算結(jié)果的影響較大，無法完全體現(xiàn)整個特征向量的真實屬性。

 本文針對現(xiàn)有入侵檢測系統(tǒng)存在的缺陷，提出了一種基于馬氏相似度計算的實時入侵檢測方法。該方法使用馬氏距離作為衡量特征向量間相似程度的標(biāo)準(zhǔn)，以實時數(shù)據(jù)作為測量樣本，通過協(xié)方差矩陣對特征值進行歸一化處理，消除不同特征的尺度對計算結(jié)果的影響，有效地防止了測量尺度較大的特征對計算結(jié)果產(chǎn)生過大影響。此外，提出等級判別標(biāo)準(zhǔn)，將網(wǎng)絡(luò)行為進行等級區(qū)分，并對可疑行為與實時數(shù)據(jù)進行趨勢判別，通過分析可疑行為與實時數(shù)據(jù)之間的趨勢關(guān)系來減小檢測的誤檢率和漏檢率。最后，通過真實網(wǎng)絡(luò)環(huán)境來驗證該算法的可用性。

1入侵檢測模型描述

 基于相似度計算的入侵檢測算法是一種連續(xù)、實時的檢測算法。該算法通過分析網(wǎng)絡(luò)環(huán)境中的實時行為特征來區(qū)分入侵行為和正常行為，彌補了監(jiān)督學(xué)習(xí)模式下過于依賴訓(xùn)練庫的缺陷，通過對原有的相似度判別模型進行改進，提出一種新型的基于相似度算法的檢測方法，使得該檢測方法能夠更好地適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。該入侵檢測模型示意圖如圖1所示。該入侵檢測模型根據(jù)現(xiàn)有的實時數(shù)據(jù)建立實時特征庫，通過比較最新數(shù)據(jù)與實時特征庫之間的相似關(guān)系判別入侵行為。此外，該模型加入了行為趨勢的判別方法，即考慮整體網(wǎng)絡(luò)環(huán)境的變化趨勢，使得算法能夠根據(jù)真實的網(wǎng)絡(luò)環(huán)境變化智能地動態(tài)地調(diào)整檢測方法，從而提高模型的適應(yīng)性。其中，實時特征庫代表網(wǎng)絡(luò)在最近時期的正常行為特征和行為趨勢，并隨著正常行為數(shù)據(jù)的加入而不斷更新，排除了舊數(shù)據(jù)對檢測結(jié)果的干擾，從而提高算法的準(zhǔn)確性并降低算法的誤檢率。

 該模型共分為數(shù)值感知中心和數(shù)據(jù)檢測中心兩個部分，其中數(shù)值感知中心包括感知層特征提取模塊，數(shù)據(jù)檢測中心包括特征庫模塊，入侵檢測模塊和入侵行為庫模塊，體系結(jié)構(gòu)如圖2所示。數(shù)值感知中心的特征提取模塊用于感知層節(jié)點對網(wǎng)絡(luò)環(huán)境數(shù)值的實時采集并提取特征回傳于數(shù)據(jù)檢測中心。數(shù)據(jù)檢測中心的特征庫模塊負(fù)責(zé)存儲網(wǎng)絡(luò)正常行為特征，并抽取實時特征庫代表網(wǎng)絡(luò)環(huán)境的正常行為基準(zhǔn)，用于判別待檢測的行為特征是否異常。入侵檢測模塊包括相似度檢測單元和行為趨勢檢測單元，通過判別待檢測特征和實時特征庫之間的相似程度和行為趨勢來檢測入侵行為。入侵行為庫用于存放入侵行為特征，避免入侵行為特征對特征庫的影響，從而降低入侵檢測的誤檢率。

 在入侵檢測模塊中，對待檢測的特征行為進行分級判別，將特征行為的標(biāo)識分為三個等級，即紅色警告行為、黃色警告行為和綠色行為。若待檢測特征與實時特征庫在相似度檢測單元中的檢測結(jié)果超過紅色警告行為閾值，則將該特征值存人人侵行為庫中；若待檢測特征與實時特征庫在相似度檢測單元中的檢測結(jié)果超過黃色警告行為閾值，則待檢測特征進入行為趨勢檢測單元，判別該特征是否符合正常網(wǎng)絡(luò)的行為趨勢變化，若符合趨勢變化，則將該特征存入特征庫中，即為綠色行為，否則存人入侵行為庫中。

2相似度算法

2.1特征的選取

  入侵行為特征是無線傳感器網(wǎng)絡(luò)入侵行為的重要標(biāo)識。為了提高入侵檢測的準(zhǔn)確度，本文描述的各種攻擊特征參數(shù)，根據(jù)不同協(xié)議層的入侵行為，選擇盡可能少且最具有代表性的入侵行為特征作為網(wǎng)絡(luò)不同入侵行為的標(biāo)識。具體入侵行為特征參見表1。

 根據(jù)表1可知，應(yīng)用層的感知數(shù)據(jù)篡改入侵主要是通過入侵節(jié)點偵聽感知網(wǎng)絡(luò)的感知數(shù)據(jù)包，并對感知數(shù)據(jù)進行修改后重組虛假數(shù)據(jù)包發(fā)送給入侵檢測中心，導(dǎo)致入侵檢測中心的感知數(shù)據(jù)中存在虛假數(shù)據(jù)。所以該入侵行為的主要行為特征就是感知數(shù)據(jù)值。本文以環(huán)境溫度值作為應(yīng)用層感知數(shù)據(jù)的主要特征。此外，該數(shù)據(jù)包由入侵節(jié)點冒充感知網(wǎng)絡(luò)節(jié)點發(fā)送給入侵檢測中心，可知入侵節(jié)點和正常網(wǎng)絡(luò)節(jié)點的能量值存在一定的差異和變化，不符合節(jié)點能量電壓遞減的曲線變化趨勢，所以節(jié)點能量電壓也是一個重要的特征值。

 網(wǎng)絡(luò)層的RREQ泛洪入侵主要是通過入侵節(jié)點持續(xù)地向感知網(wǎng)絡(luò)節(jié)點廣播路由請求，消耗感知網(wǎng)絡(luò)節(jié)點的能量，造成感知網(wǎng)絡(luò)持續(xù)消耗不必要的能源，導(dǎo)致其工作時長變短，甚至無法提供正常服務(wù)。所以當(dāng)網(wǎng)絡(luò)存在RREQ泛洪入侵時，感知網(wǎng)絡(luò)節(jié)點的RREQ接收比例、RREQ發(fā)送比例（包括轉(zhuǎn)發(fā)次數(shù)）和RREQ錯誤比例將會高于正常比例。所以本文選擇RREQ接收比例、RREQ發(fā)送比例和RREQ錯誤比例作為網(wǎng)絡(luò)層RREQ泛洪入侵的主要特征標(biāo)識。

 鏈路層的數(shù)據(jù)包碰撞入侵主要是通過入侵節(jié)點實時偵聽感知網(wǎng)絡(luò)的數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)感知網(wǎng)絡(luò)在傳輸數(shù)據(jù)時，立即發(fā)送無效數(shù)據(jù)包破壞其傳輸過程，造成感知網(wǎng)絡(luò)節(jié)點發(fā)包失敗。當(dāng)感知網(wǎng)絡(luò)存在鏈路層碰撞入侵時，節(jié)點發(fā)包的失敗率將會不斷升高，導(dǎo)致數(shù)據(jù)無法按時反饋給入侵檢測中心。所以本文選擇數(shù)據(jù)包的延遲時間作為鏈路層的數(shù)據(jù)包碰撞入侵的主要特征標(biāo)識。

 物理層的信道干擾主要分為持續(xù)性干擾、間歇性干擾和反應(yīng)式干擾，三者都是發(fā)送大量的無效數(shù)據(jù)包阻塞目標(biāo)網(wǎng)絡(luò)工作信道，導(dǎo)致目標(biāo)網(wǎng)絡(luò)節(jié)點無法正常發(fā)包，使得入侵檢測中心長時間無法收到感知網(wǎng)絡(luò)反饋的數(shù)據(jù)。所以本文選擇數(shù)據(jù)包的延遲時間作為物理層的信道干擾的主要特征標(biāo)識。

 綜上所述，本文設(shè)定六維特征向量（溫度值、延遲時間、能量電壓、RREQ發(fā)送比例、RREQ接收比例、RREQ錯誤比例）作為網(wǎng)絡(luò)行為的特征標(biāo)識。

2.2馬氏距離

 令t時刻的特征向量為Xt，n為特征向量的維度，在f至t-ι時刻之間的特征向量構(gòu)成特征向量矩陣Mι+ιxn=[Xt-ι，Xt-I+1，…，Xt]T，C為矩陣M∈Rι+1xn的協(xié)方差矩陣，C-1為矩陣C的逆矩陣，則f時刻的特征向量X與Xi(i∈[t-ι，t-l]）之間的馬氏距離Dis可以表示為公式(1)。

其中特征向量矩陣Mι+1xn的協(xié)方差矩陣為公式(2)。

 由于協(xié)方差矩陣C存在不可逆的情況，所以采用廣義逆矩陣（偽逆）C+代替C1。令C滿軼，分解為C-AB，其中A∈Rι+1xr，B∈Rrxn，則C+求解如公式(3)。

2.3行為趨勢判別算法

 設(shè)Dj.g(Xr，Xi)為t時刻的特征向量Xt與Xi∈[t-ι，t-l]）之間的相似度。若Dis(Xt，Xi)超出黃色警告行為閾值，需要計算Dis(Xt，Xi)趨勢變化；若Dis(Xt，Xi)和時間f成反比，特征Xi符合趨勢變化，則將特征Xt標(biāo)記為綠色行為，即正常行為，否則標(biāo)記為紅色警告行為，即入侵行為。對于趨勢的計算方法，本文采用常用的最小二乘法對

Dis(Xt，Xi)，Xi(i∈[t，t-1])進行線性擬合。

 令擬合后的直線方程為y：kx+6，其中k代表斜率，6代表截距，x代表時間點，y代表Xx與Xx的馬氏距離。該擬合算法要求在[t-ι，t-1]時間段中，數(shù)據(jù)Dis(Xt，Xi)Xi（i∈[t-ι，t-1]）與y的差值的加權(quán)平方和最小，如公式(4)所示。

對公式(4)中的k和6求偏導(dǎo)，得到方程組(1)。

根據(jù)方程組(1)得出k的最佳估計值為公式(5)。

根據(jù)擬合后的最佳斜率k來判別Xt是否符合Xi（i∈[t-ι，t-1]）的變化趨勢，若k>0，則說明Dis(Xt，X/)，X（i∈[t-ι，t-1]）隨著時間的變化在不斷增大，Xf違背了Xi（i∈[t-ι，t-l]）的變化趨勢；相反，若k≤0，則符合Xi(∈[t-ι，t-1]）的變化趨勢。

3入侵檢測算法

 基于本文第1部分提出的無線傳感器網(wǎng)絡(luò)入侵檢測模型，根據(jù)無線傳感器網(wǎng)絡(luò)不同協(xié)議層的攻擊行為特征，選擇合適的網(wǎng)絡(luò)數(shù)據(jù)特征和檢測方法來檢測網(wǎng)絡(luò)中的入侵行為�；�于本文第2部分描述的算法，在特征選擇方面，根據(jù)攻擊特征描述，提出了最具有代表性的六維特征向量X；在入侵檢測模塊中，采用馬氏距離作為相似度檢測單元的核心檢測算法，采用線性擬合方法作為行為趨勢檢測單元的核心算法。算法的具體描述如下：

 令f為數(shù)值感知中心特征反饋的時間點，n為特征向量的維度，即X代表f時刻的特征向量，，代表f時刻臨時特征庫G的特征數(shù)量，則Xt與G之問的馬氏距離如公式(6)所示。

δ1，和δ2分別為黃色警告行為閾值和紅色警告行為閾值( 0<δ1<δ2)，k為dt,j線性擬合后的線性方程的斜率，即代表網(wǎng)絡(luò)環(huán)境的行為趨勢，則該入侵檢測算法的檢測流程如圖3所示。

 如圖3所示，算法在初始化閾值δ1和δ2后，針對待檢測的特征向量Xt提取實時特征庫G，并計算二者的馬氏距離，判別其相似程度。該算法將相似程度分為3個等級，分別為紅色警告行為、黃色警告行為和綠色行為，每個等級通過閾值δ1和δ2進行劃分。在[t-ι，t-1]時刻若存在時刻i，使得Xt與Xi，(i∈[t-ι，t-1]）的相似度大于閾值δ2，說明特征向量Xt與Xi，(i∈[t-ι，t-1]）的行為特征差異較大，網(wǎng)絡(luò)中存在入侵行為，這時將特征向量X,判別為紅色警告行為，并存人人侵行為庫中。在[t-ι，t-1]時刻內(nèi)若存在時刻f，使得Xt與Xi,(i∈[t-ι，t-1]）的相似度存在一定差異，則有可能存在入侵行為或者代表著網(wǎng)絡(luò)環(huán)境狀態(tài)的變化趨勢，這時需要計算[t-ι，t-1]時刻內(nèi)實時特征庫G的行為趨勢，若Xt不符合Xi，（i∈[t-ι，t-1]）的趨勢變化，需將Xi標(biāo)記為紅色警告行為，存人入侵行為庫中；反之標(biāo)記為綠色行為，即正常行為特征，存入特征庫中。在[t-ι，t-1]時刻內(nèi)，若特征向量X與Xi，Xi,(i∈[t-ι，t-1]）的相似度小于閾值δ1，說明X與Xi,（i∈[t-ι，t-1]）的行為特征差異較小，屬于正常行為特征，存入特征庫中。

4算法測試與實驗結(jié)果

4.1測試環(huán)境的搭建

 本文實驗采用Zigbee通信協(xié)議搭建兩個網(wǎng)狀結(jié)構(gòu)的通信網(wǎng)絡(luò)，分別為感知網(wǎng)絡(luò)和入侵網(wǎng)絡(luò)，其中感知網(wǎng)絡(luò)包括1個協(xié)調(diào)器、3個路由節(jié)點和2個終端節(jié)點，負(fù)責(zé)感知環(huán)境的溫度參數(shù)；入侵網(wǎng)絡(luò)包括1個協(xié)調(diào)器和1個路由節(jié)點，負(fù)責(zé)入侵感知并實行攻擊行為。實驗環(huán)境如圖4所示，其圖中方框中的節(jié)點表示感知網(wǎng)絡(luò)節(jié)點，圓圈中的節(jié)點表示攻擊網(wǎng)絡(luò)節(jié)點。感知網(wǎng)絡(luò)和攻擊網(wǎng)絡(luò)的系統(tǒng)配置如表2所示。

4.2測試參數(shù)的配置

 在入侵檢測系統(tǒng)中，令檢測閾值δ1為5.0和δ2為6.0，ι=30，感知網(wǎng)絡(luò)每個節(jié)點上報周期T為Ss，上報次數(shù)為100次。入侵網(wǎng)絡(luò)針對Zigbee每一層協(xié)議執(zhí)行一種入侵行為，其分布如表3所示。

 在感知網(wǎng)絡(luò)中，每個節(jié)點需要提取數(shù)據(jù)特征并定期上報給數(shù)據(jù)檢測中心。特征提取核心代碼如代碼1所示。

代碼l

//溫度特征提取

temp= Read_SHTIX(3);

temp= Shilx_dataTOTemp(temp);

TxBuf[39]= temp＆OxFF;

TxBuf[40]= temp>>8；

∥電壓特征提取

adcvalue= (signed short)ADCL;

adcvalue= (signed short)(ADCH＜＜8);

voltagevalue=《(adcvalue》4)*1.15)/2047);

∥數(shù)據(jù)包接收比例

RxRate= RxValidPachets/RxValidTotal;

//RREQ發(fā)送比率

RREQ_TxRate= RREQ_Send/RxValidTotal;

∥RREQ接收比率

RREQ_RxRate= RREQ_Rx/RxValidTotal;

//RREQ錯誤比率

RREQ_ErrorRate= RREQ_Error/RxValidTotal;

∥延遲時間特征以數(shù)據(jù)檢測中心收到特征的時間為準(zhǔn)。

4.3實驗結(jié)果

 圖5所示為檢測閾值δ1=5.0和δ2=6.0時，感知網(wǎng)絡(luò)通信20次的相似度計算記錄。從圖5中可以發(fā)現(xiàn)在Timestep為14時，存在與前20次特征行為的相似度值超出閾值δ2的情況；Time step為5、7和8時，存在與前20次特征行為的相似度值超出閾值δ1的情況。我們選取其中Time step為7時的相似度計算記錄進行趨勢判別，如圖6所示。對Time step為7時的相似度值進行線性擬合，得擬合方程y=-0.0063x+3.9994，可知斜率k=-0.0063x<0，說明Time step為7時的特征行為符合前20次特征行為的趨勢，將該特征行為標(biāo)記為綠色行為。

 經(jīng)過實驗統(tǒng)計，使用馬氏距離進行相似度計算的實時入侵行為檢測結(jié)果如表4所示。從檢測統(tǒng)計結(jié)果中可知，該算法能夠根據(jù)實時數(shù)據(jù)很好地檢測出入侵行為，有較高的準(zhǔn)確率以及較低的錯誤率和漏檢率。

5結(jié)束語

 本文提出了基于相似度計算的實時入侵檢測算法，該算法采用經(jīng)典的馬氏距離計算入侵行為與正常行為之間的相似度，使用線性擬合判別可疑行為以減小錯誤率和漏檢率。該算法在實際環(huán)境測試中得到了有效驗證，對入侵行為檢測有較高的準(zhǔn)確率和較低的錯誤率及漏檢率，達到了實際環(huán)境的預(yù)期要求。