彭　军，赵石真，孙庆中，傅　宇

基于ARMA模型的WSN入侵检测技术

彭军，赵石真，孙庆中，傅宇

（西华大学计算机与软件工程学院，成都610039）

在无线传感器网络中，由于网络自身特点易受到内部攻击的影响，如可能导致网络拥塞、系统性能下降等问题，提出基于ARMA模型的WSN入侵检测技术。该技术利用流量接受率这一特性，以自回归滑动平均模型为基石，为WSN节点建立ARMA流量预测模型，通过预测模型所得流量值得到下一步通过节点的预测流量接受率范围，比较实际节点流量接受率和预测流量接受率，通过实际值是否超出预测值来验证是否有攻击发生。实验结果表明，该系统有较高的检测率和较低的误报警率，可以较好地检测出来自网络内部的攻击。

无线传感器网络；入侵检测；自回归滑动模型；流量接收率

四川省国际合作项目（No.2009HH0009）、国家科技部支撑计划项目（No.2011BAH26B00）、四川省信息安全创新团队建设项目（No.13TD0005）、面向物联网的入侵检测关键技术研究（No.szjj2013-018）

0　引言

随着无线传感器网络在重要领域的广泛应用和网络技术及规模的迅猛发展，入侵检测技术作为无线传感器网络安全研究的重要组成具有很高的研究价值[1]。无线传感器网络由于自身特性，如节点能量、网络整体存储能力和计算处理能力有限等，极大地提高了入侵检测系统的设计难度。如何设计出一个单个节点能耗低、误报警率低、检测精度高且应用广泛的入侵检测系统成为一个重要的研究课题[2~3]。

本文利用对节点的流量进行预测后计算出接收率范围的方法来实时检测攻击。目前国内外对于相关的入侵检测系统的研究，提出了很多种不同的检测方法。韩志杰等[4]提出了基于Markov的无线传感器网络入侵检测机制。首次采用Markov模型，为每个节点建立流量预测模型来检测网络异常流量，同时也提出了一种报警评估机制，该系统可以有效地检测拒绝服务攻击。但是检测结果会受评估机制中参数的设定的影响。曹晓梅等[5]设计了一种基于ARMA模型的无线传感器网络拒绝服务攻击检测方案（Traffic Prediction Based DOS Attack Detection,TPDD），首先用ARMA模型对流量进行预测，通过计算实际流量和预测流量的差值是否超出了预定的阈值来看是否有异常，并且还设计了一种异常检测报警评估机制，当报警数目超过一定范围时，则证明有攻击发生。这种方法在评估机制中参数需要人为设置，这样就加大了系统的不确定性。本文主要是在TPDD上进行改进。李捷等[6]也提出了一种基于ARMA的无线传感器网络流量预测模型，采用ARMA模可能会因为其他的原型对网络流量进行多步预测，在这里可以看到用ARMA对流量进行多步预测的结果并不是很理想，但是对于单步预测的效果很好。肖政宏等[7]运用几种典型的流量预测模型设计了一种异常入侵检测方法。该系统通过网络中节点的预测流量序列和实际的流量序列的差值来检测是否存在入侵。由于其缺少一种合理的评估机制，导致系统的检测结果因而发生变化。

以上种种例子指出，目前运用流量特性设计入侵检测系统，对于特定的应用基本可以达到一定的效果，但是普遍在适用范围小、能耗较大且人为参与度大等负面因素致使检测的不确定性增加。本文就文献[5]中TPDD技术的基础进行了改进。由实验证明得ARMA模型对流量的单步预测效果很好，所以本系统使用ARMA模型预测的流量值来计算得出预测流量接收率范围，通过比较实际流量接收率范围有无超出范围判断攻击是否发生，用流量接收率代替了TPDD中的报警评估机制，减少了人为因素的影响。实验结果表明，本系统相比于单独运用ARMA模型，在检测率上有所提高，同时具有更低误报警率。

1　建立ARMA模型

王海元等[8]结合基于移动Agent的中间技术设计了基于ARMA模型的无线传感器网络可信数据采集方法。此方法表明ARMA模型对数据的采集具有高度的可信度，且可以相对减少网络的能量消耗。而本文的研究主要针对数据周期性采集型无线传感器网络。并且，为了使网络达到流量均衡，假设传感器网络已通过负载平衡技术[9]做了相应的处理，防止了因为漏斗效应导致的网络拥塞。由于无线传感器网络节点的存储能力、处理能力、能源都很有限，所以本文选取计算简单的ARMA（2p，2p-1）模型对流量进行分析和预测以减少计算量和能耗。其中p为阶数，p若太大，会增加计算量，所以我们决定采用ARMA（2，1）模型。

本系统利用平稳化的数据序列建立ARMA模型。假设滑动时间窗的大小为n，则节点采集到的数据流序列就为X0'，X1'，…，Xi'，…，Xn'。此序列是周期性的，但不是需要的平稳序列，所以还需要对其进行取对数处理以得到平稳序列，处理后的序列为X0，X1，…，Xi，…，Xn。利用此平稳序列来建立ARMA模型，并通过模型预测出第n+1个流量值。得到平稳序列后，接下来就建立ARMA模型[10]，即：

B为后移算子，ai为白噪声，它是独立同分布的高斯随机变量，它均值为零，方差为σ2a。

若此序列满足上述条件，则为平稳序列，从而得出ARMA拟合模型，如下公式（7）：

接着利用逆函数法进行单步预测，ARMA的逆函数记为I1，I2，…，Ij，则有：

其中m为Xt之前m次观测，可据预算精度的要求取值。

2　流量接受率范围的估计

对于周期性传送数据的无线传感器网络来说，在没有攻击发生或者无其他因素影响时，它应该是以一定的速率定期在节点之间传送信息，因此，各节点的流量不会发生很大的波动，应该一直保持在一定的范围内。基于此，本文利用节点的PRR来作为是否有攻击发生的依据。当有攻击发生时，节点的PRR会超出我们预测的范围。相反，则不会超出。

接下来给出一段时间间隔内关于传输失败次数K的二项分布式：

假设网络中的信息传输保持定期稳定，利用前面已经预测到的流量样本，在一段时间窗口T内按照每小段时间Tw分别提取预测样本值为N1，N2，…，Nm，其中m等于T/Tw。可以算出接受包的平均值和标准偏差为：

其中Ni，i=1，2，…，m为样本值。

然后可以算出一段时间间隔内的接收率的范围。因为3s和6s的置信水平分别为99.87%和100%[11]，这里计算出间隔时间为3s和6s的PRR范围为：

依据计算出来的流量接受率的范围，就可以判断是否有攻击发生。当后面的流量接受率超出范围时,则说明网络中有内部攻击发生。

3　仿真实验

本文采用OMNET++仿真软件对本实验进行仿真，它具有较好的系统兼容性，可以在Windows和各种UNIX操作系统下利用C++进行编译，对无线传感器网络的仿真可以达到很好的效果。实验仿真分为两个部分，一是对ARMA模型能否精确地对流量进行单步预测进行验证，另外当节点受到不同强度的内部攻击时，对比本系统和单独使用ARMA模型的检测准确度、误报警率。

3.1ARMA模型预测精度仿真

图1实线显示的为某一个传感器网络中通过某个节点的真实网络流量。利用ARMA（2，1）模型预测流量，通过最小二乘法估计出模型参数如下：

此时令m=3，得到单步预测模型为：

图1　ARMA单步预测结果

本实验从任意时间起，在250s内每秒采样数据流量一次，然后利用模型预测出流量，图1中虚线部分就是利用ARMA模型预测的流量状况。通过对比图中实线和虚线，可以看出虚线和实线基本吻合，故而ARMA模型对流量的单步预测效果很好，这说明利用ARMA（2，1）模型可以较好地对无线传感器网络流量进行单步预测。

3.2入侵检测方案的仿真

本实验通过分析入侵检测系统的检测准确度、误报警率以及平均能量消耗三个指标来判别本系统的可行性。

检测准确度指系统检测到的恶意报文与全部报文的比值和系统检测到的非恶意报文与全部检测到的报文数量的比值。

误报警率指系统将恶意的报文当做正常的报文的数量与全部报文的比值和系统将正常的报文当做恶意报文的数量与全部报文的比值。

一个好的无线传感器网络入侵检测系统必须具备高的检测准确度，同时还要有低的误报警率。

下面是本实验的一些仿真参数的设定：

●实验面积：50×50,200×200m2

●一个基站

●节点数目：100

●节点均匀网络部署

●信息发送率：包/1.5s或者包/15s

●包大小：10B~100B

●传输速率：100kbps，250kbps

●攻击行为分别丢包率为30%、50%、100%

图2显示的是本文设计的入侵检测系统和单独使用ARMA模型以及单独使用PRR对检测准确性的对比，横坐标为报文重放率，纵坐标为检测率。从图中可以看出三种方案的检测率和报文重放率密切相关，当重放率低于10%时，只有本方案的检测率超过了50%，这是因为其他两种方案都可能因为人为设置的阈值不够精确而导致部分报文被忽略；当重放率达到40%的时候三种方案的检测率都接近100%。综上，当攻击较为明显时，三种方案都可以用来检测拒绝服务攻击，都可以达到很好的效果。当攻击不明显时，本方案显然表现出更好的检测准确度。

图2　检测准确度

图3中显示的是上述三种方案的误报警率。横坐标为报文重放率，纵坐标为误报警率。从图中可以看出随着重放率的增加，三种方案的误报警率都维持在一个很低的水平，因为信道误码所导致的丢包在客观上降低了重放报文攻击的误报警率；但当报文重放率低于20%时，本方案相对于单独运用ARMA模型，其误报警率明显低于后者。

图3　误报警率

4　结语

实验结果表明，对于周期性的无线传感器网络流量的单步预测，ARMA模型可以达到很好的效果。对于检测内部攻击时，本文方案相对于单独使用ARMA模型来说，减少了人为因素的影响，在检测率上有所提高，并拥有更低的误报警率。后期我们在不断优化本系统的同时，还要更深入地研究本系统对于非周期性传感器网络的入侵检测技术。

[1]Murad A,RassamM A,MaarofAnazida Zainal.A Survey of Intrusion Detection Schemes in Wireless Sensor Networks[J].American Journal of Applied Sciences,2013,9（10）:1~9

[2]Pooja,GuptaDr,Naveen,Hemrajani.Security Issues in Wireless Sensor Network:A Review[J].International Journal of Engineering Sciences&Research Technology,2013,2（5）:342~350

[3]Shilpa,S,Patil,P,S,Khanagoudar.Intrusion Detection Based Security Solution for Cluster Based WSN[J].International Journal of Advanced Research in Computer Engineering&Technology（IJARCET）,2013,1（4）:123~132

[4]韩志杰,张玮玮,陈志国.基于Markov的无线传感器网络入侵检测机[J].计算机工程与科学,2010,32（9）:27~35

[5]曹雪梅,韩志杰,陈贵海.基于流量预测的传感器网络拒绝服务攻击检测方案[J].计算机学报,2007,30（10）:116~120

[6]李捷,刘先省,韩志杰.基于ARMA的无线传感器网络流量预测模型的研究.电子与信息学报,2007,29（5）:3~7

[7]肖政宏,谢赞福,陈志刚.无线传感器网络中一种基于流量预测和相关系数的异常检测方法[J].微电子学与计算机,2009,26（7）: 22~26

[8]王海元,王汝传,黄海平等.基于ARMA模型的无线传感器网络可信数据采集方法[J].南京邮电大学学报（自然科学版）,2009, 29（4）:23~29

[9]黄健荣,王新建,于萧榕.无线局域网中一种层次式负载平衡技术[J].计算机与数字工程,2014,42（4）:145~152

[10]韩志杰，王汝传，凡高娟等.一种基于ARMA的WSN非均衡分簇路由算法[J].电子学报，2010，38（4）:865~869

[11]NIST/SEMATEC e-Handbook of Statistical Methods,2010,http://www.itl.nist.gov/div898/handbook/index.htm

Wireless Sensor Networks;Intrusion Detection;Autoregressive Moving Average Model（ARMA）;Packet Reception Rate

Intrusion Detection Technology of WSN Based on ARMA Model

PENG Jun，ZHAO Shi-zhen，SUN Qing-zhong，FU Yu

（School of Computer and Software Engineering,Xihua University,Chengdu 610039）

In wireless sensor networks,in view of internal attacks pose a serious threat to the characteristics of the network,such as causing network congestion,energy consumption and so on,proposes an intrusion detection technology based on ARMA.It's used to establish ARMA(2,1）flow forecasting model for node,and uses the predicted flow values to get the range of the packet reception rate through the nodes,compares the actual packet reception rate and forecasts range to achieve the effect of detection.Experimental results show that the system has a higher detection rate and lower false alarm rate compared with the single ARMA model.

1007-1423（2015）12-0018-05

10.3969/j.issn.1007-1423.2015.12.004

彭军（1989-），男，湖北武汉人，硕士研究生，研究方向为无线传感器网络入侵检测系统

赵石真（1991-），女，河南漯河人，硕士研究生，研究方向为无线传感器网络入侵检测系统

孙庆中（1986-），男，河南驻马店人，硕士研究生，研究方向为嵌入式系统及其应用

傅宇（1989-），男，安徽六安人，硕士研究生，研究方向为认知无线传感器网络

2015-04-14

2015-04-30