APP下载

一种高效的无线传感器网络混合入侵检测模型

2016-03-08徐小龙高仲合韩丽娟

软件 2016年1期
关键词:入侵检测无线传感器网络支持向量机

徐小龙++高仲合++韩丽娟

摘要:无线传感器网络的安全问题日益引起人们的关注。这种网络有一些使它容易受到攻击的特点,如露天传输和无固定基础设施的自组织性。文章为无线传感器网络提出了一种混合轻量级入侵检测模型。该模型利用基于簇的体系结构来降低能耗,采用基于支持向量机的异常检测算法和一组签名规则来检测恶意行为,并进行整体的轻量级入侵检测。仿真结果表明,该模型可以有效地检测异常事件,具有较高的检出率和较低的误报率。

关键词:无线传感器网络;入侵检测;支持向量机;签名攻击

中图分类号:TP393

文献标识码:A

DOI: 10.3969/j.issn.1003-6970.2016.01.004

本文著录格式:徐小龙,高仲合,韩丽娟.一种高效的无线传感器网络混合入侵检测模型[J].软件,2016,37(01):14-17

0 引言

无线传感器网络(Wireless Sensor Networks,WSNs)是近年来的热门研究领域之一。无线传感器网络自身的一些特点如能量有限、低功耗计算、无线通信等使它们面临许多安全威胁。当攻击者位于网络的内部时,作为第一道防线的防火墙是无效的。入侵检测系统(lntrusion Detection System,IDS)是第二道网络安全防线,可以对来自内部和外部的攻击进行检测和预防。为有线网络和ad hoc网络设计的入侵检测系统不能直接用于无线传感器网络,因此有必要为无线传感器网络设计一种特定的入侵检测系统,并且要充分考虑到无线传感器网络自身的特点。文章的组织如下:第一章介绍了相关研究工作。第二章提出了无线传感器网络的安全架构。第三章介绍了该IDS应对攻击的算法。第四章对该方案的性能进行分析。最后得出结论并对未来的工作进行展望。

1 相关研究

在相关文献中,有一部分将异常检测技术和基于签名的检测技术结合起来以获得这两种检测技术的优点。文献[3]提出了一种基于簇的分层入侵检测系统,在每个簇头(Cluster-Head,CH)中安装一个入侵检测代理。代理有三个模块:一个监督学习模块,一个基于规则的异常检测模块和一个决策模块。仿真结果表明这种模型有较高的检出率和较低的误报率。然而这种方案的主要缺点是:入侵检测系统只运行在静态的簇头节点中,如果入侵者集中力量攻破这个节点,网络就会随之受到破坏。并且这种检测机制的实现需要在簇头节点进行大量的计算,从而会减少网络的生存期。文献基于Roman等人的模型为无线传感器网络提出了一种混合轻量级入侵检测系统。这种入侵检测方案利用基于簇的协议构建了一个分层网络,并提出了一种基于异常模型和误用检测技术的入侵检测框架。在他们的方案中,入侵检测代理由本地代理和全局代理两个检测模块组成。同一节点中的两个代理互相合作以达到更高的检测精度。然而这种方案的缺点是签名特征急剧增加,可能导致节点内存过载。文献提出了一种混合轻量级的分布式无线传感器网络入侵检测系统。该入侵检测系统采用了误用检测和异常检测相结合的方法。它由一个中央代理和若干本地代理组成,中央代理利用数据挖掘技术进行高精度的入侵检测,本地代理在远端进行轻量级异常检测。

基于以上这些混合模型,文章提出了一种高效的轻量级无线传感器网络入侵检测系统。目标是实现一种结合了基于异常和基于签名模型优点的新型入侵检测模型,该模型能够超越前面提到的几种混合模型。

混合入侵检测系统(Hybrid Intrusion DetectionSystem,HIDS)能够达到高检出率和低误报率这一目标。该模型使用基于支持向量机(Support VectorMachine,SVM)的异常检测技术和一组由固定规则签名表示的攻击,以验证该异常检测技术识别恶意行为的能力。该检测方法被集成到一个基于簇的拓扑中以延长网络生存期。这是通过选择一个已知节点作为族首,由它将节点数据汇聚后传给基站(Base Station,BS)来实现的。簇头就像一个本地基站传感器,在任何给定的时间,每个节点都以一定的概率当选为簇头。我们提出了一种基于簇的架构,将传感器阵列分成多个组,每个组包含一个簇头。在这种体系结构中,每个节点只属于一个簇,簇在整个网络中按地理位置分布。簇头的使用可以减少网络能量消耗,提高网络生存期。图1显示了该混合型入侵检测系统的体系结构。

2.1 簇头选举与布局策略

簇头是根据节点的能量动态选出的。由基站宣布簇头的选举过程,簇头通过公式Vi(t) =[lnitial-Ei(t)]/r来计算剩余能量,其中Initial表示初始能量,E;(t)表示剩余能量,r是簇头选择的当前轮次。基站根据得到的值计算平均值和平均偏差,簇头向节点宣布选举的程序。老的簇头广播一条消息宣布权力的撤销,新簇头向传感器节点发送警报消息。簇头负责对簇中的其他成员进行身份认证,而基站负责对簇头进行认证。由于电池寿命和资源有限,每个代理都仅在被需要时激活。代理分为本地代理和全局代理。

本地代理:本地代理模块负责监控传感器节点发送和接收的信息。节点将特定的恶意节点攻击行为存放在它的内部数据库中。当网络刚开始组织时,传感器节点没有任何关于恶意节点的信息。无线传感器网络部署后,签名数据库逐渐构建起来。恶意节点数据库中的条目被创建并被簇头传播到每个节点。

全局代理:全局代理监听它的邻居节点的通信。由于无线网络的广播特性,每个节点可以接收到所有通过其无线电范围内的数据包。全局代理必须有它的邻居节点的信息来监视数据包。我们使用本地监测机制和预定义规则来监视数据包。如果监视节点发现其邻居节点中可能出现的安全漏洞,它们就创建一个警报并发送到簇头。簇头收到警报后通过阈值判定其是否可疑节点。两种代理都建立在应用层。图2描述了该入侵检测系统在网络中的部署情况。

2.2 基于支持向量机的异常检测

支持向量机是一种由Vapnik等人提出的机器学习算法,它是一种基于小样本学习的分类器设计方法,适用于小样本数据的分类。因此支持向量机算法适合对IDS中的高维数据进行分类,数据是从物理层、MAC层和网络层收集的。收集到的训练数据使用一个数据简化过程进行预处理,目的是减少它们的数据量以便于被SVM处理。接下来将训练数据矢量映射到高维空间并将问题转化为空间中的线性分类问题。映射过后,SVM找出一个具有最大间隔的线性分类超平面。

假设线性可分样本集为(xiw,Yi),给定训练数据集:

i=1,…,n,x∈Rd,y∈{+i,-1),在这里{1)表示正常,{-1)表示不正常。分类超平面方程是:

w'x+b=0

(1)

其中w是标准矢量,参数b是偏移量。超平面上的训练样本被称为支持向量,因为他们支持最优分类超平面。所以我们的问题用公式表述为:

服从于

分类函数可以如下描述:

最优分类函数可如下描述:

这是核心函数并且ai是拉格朗日乘子。根据Kuhn-Tucker条件,与ai>0相对应的xi称作支持向量(Support Vectors,SVs)。在我们的上下文中,每个节点与它的单跳邻居节点交流向量。这个过程完成后,最终的超平面被计算出来,所有节点使用相同的判别方法来将数据分为正常和异常两类。因此SVM方法适合将入侵检测系统中的高维数据进行分类。与神经网络方法相比,SVM方法用更少的训练时间得到了更好的结果。SVM的另一个优点是更低的泛化误差概率。

2.3 基于签名的模型

该模块使用一个基于签名的发现协议来检测恶意节点,以防止网络被这些节点破坏。该协议的目的是在一组规则的基础上将目标的行为分成正常和异常两类。在这里对每种攻击有四条检测规则。检测选择性转发攻击的规则是通过丢弃的数据包的数量和存在超过阈值的节点来定义的。检测Hello泛洪攻击的规则是IDS代理接收到的信号的强度超过规定的阈值。检测黑洞攻击的规则是根据丢包的数量和信号强度过高。检测虫洞攻击的规则是信号强度超过阈值和没有任何相邻节点重传来自对方的数据包。

2.4 决策模型

在协同作业过程中,簇头应用了一个简单规则机制。如果被异常检测技术检测到的攻击和预定义的攻击者签名之间没有对应关系,入侵检测代理便向簇头发送一个报告,然后采用一条快速规则来对可疑节点做出最后的判定。簇头向管理员汇报该结果以帮助他们管理网络并做出进一步的修正。最后簇首发送一条消息给所有的入侵检测系统,于是它们便更新自己的签名库。图3说明了决策模型中使用的规则。

3 混合检测模型的性能

在这一部分,我们使用KDD99数据集来评估该入侵检测模型的性能。我们研究当网络中IDS的数量增加时检出率和误报率的变化。最后将我们的模型与其它混合模型的性能进行比较。为了评价所提出模型的有效性,采用了一组度量标准来进行判定。

检出率:表示检测出的攻击数占总攻击数的比率。

误报率:将正常连接误判为异常行为的比率。

基于SVM的异常检测与基于攻击签名的检测相结合的模型能够达到较高的检出率(约98%)和较低的误报率(约3%),表1显示了该模型对四种攻击行为的检出和误报情况。他四位作者Bin,Khanum,Yuan和Hai提出的混合模型进行比较,着重分析检出率和误报率。图4显示了几种无线传感器网络入侵检测模型的性能比较。

通过图4看出,我们提出的混合模型在检出率和误报率方面比其它模型更有优势。

4 结论

在文章中我们为无线传感器网络提出了一种混合入侵检测模型。我们的入侵检测系统使用了一种基于SVM的学习算法和一种基于攻击签名的检测技术。这两种技术的结合提供了一种具有高检出率和低误报率的入侵检测系统。我们的检测方法被整合在一个基于簇的拓扑中,以减少通信开销,延长网络生存期。在未来的研究工作中,我们将对更多的的攻击方式进行仿真以测试所提出模型的性能。

猜你喜欢

入侵检测无线传感器网络支持向量机
基于支持向量机的金融数据分析研究
无线传感器网络技术综述