彭　军　余　强　何明星

(西华大学数学与计算机学院　四川 成都 610039)



基于流量预测的WSN入侵检测技术

彭军余强何明星

(西华大学数学与计算机学院四川 成都 610039)

摘要在无线传感器网络(WSN)，针对内部攻击严重威胁网络的安全和正常运行，如造成网络拥塞、能量的大量消耗等问题，提出基于流量预测的入侵检测技术。该技术首先利用自回归滑动平均模型ARMA(Autoregressive Moving Average)为节点建立ARMA(2,1)流量预测模型，然后利用预测的流量值来得到通过节点的流量接收率范围，最后通过比较实际流量接收率是否超出预测范围来达到检测的效果。实验结果表明，和单独使用ARMA模型相比，在相同报文重放率条件下，采用该技术有更高的检测率和更低的误报警率，同时减少了网络节点的能量消耗。

关键词无线传感器网络内部攻击入侵检测自回归滑动模型流量接收率

WSN INTRUSION DETECTION TECHNOLOGY BASED ON TRAFFIC PREDICTION

Peng JunYu QiangHe Mingxing

(School of Mathematics and Computer,Xi Hua University,Chengdu 610039,Sichuan,China)

AbstractIn wireless sensor networks, in view of that the internal attacks impose serious threats on network security and normal operation, such as causing the network congestion and huge energy consumption and so on, we proposed a traffic prediction-based intrusion detection technology. First the technology uses autoregressive moving average model (ARMA) to build the ARMA (2,1) traffic forecasting model for nodes, then it uses the predicted traffic value to get the range of packet reception rate passing through the nodes, finally, it achieves the effect of detection by comparing whether the actual packet reception rate exceeds the forecasting range. Experimental results showed that under the same message playback rate condition, compared with single ARMA model, to use this technology had higher detection rate and lower false alarm rate, and meanwhile reduced the energy consumption of network nodes.

KeywordsWireless sensor networks (WSN)Internal attackIntrusion detectionAutoregressive moving average model (ARMA)Packet reception rate

0引言

随着无线传感器网络广泛应用于军事防备、环境监测、交通管制等重要领域，对于无线传感器网络安全防护的研究也具有很高的研究价值[1]。但是无线传感器网络由于其本身的特性，如节点的能量、存储能力和处理能力有限等，提高了对入侵检测系统的设计要求。如何设计出一个能耗低、误报警率低、检测率高、应用广泛的入侵检测系统成为一个重要的研究课题[2,3]。

本文通过对节点的流量进行预测后，计算出接收率的范围来检测攻击。目前国内外对于相关的入侵检测系统的研究，提出了很多种不同的检测方法。马立波等[4]提出了基于粒子滤波算法的入侵检测技术，该方法首先利用LEACH算法对网络节点进行分簇，然后通过粒子群滤波算法检测节点的流量情况来发现异常节点。但是该方法存在簇头节点能量消耗大的问题。

刘帅等[5]提出了一种基于统计异常的入侵检测技术，该系统首先在正常状态下利用某些系统特征为节点建立模型，通过统计观测值与模型的偏差程度来判断是否有入侵发生。但是该方案建立模型所需要的特征参数和特征值会根据应用场景发生变化，从而影响监测效果。韩志杰等[6]提出了基于Markov 的无线传感器网络入侵检测机制。首先通过采用Markov模型，为每个节点建立流量预测模型来检测网络异常流量，同时也提出了一种报警评估机制，该系统可以有效地检测拒绝服务攻击，但是检测结果会受评估机制中参数的设定的影响。

曹晓梅等[7]设计了一种基于ARMA模型的无线传感器网络拒绝服务攻击检测方案TPDD(Traffic Prediction based DOS attack Detection)，首先用ARMA模型对流量进行预测，通过计算实际流量和预测流量的差值是否超出了预定的阈值来看是否有异常，并且还设计了一种异常检测报警评估机制，当报警数目超过一定范围时，则证明有攻击发生。这种方法同样在评估机制中参数需要人为设置，这样就加大了系统的不确定性。本文主要是在TPDD上进行改进。

滕丽萍提出的基于Sinkhole攻击的入侵检测系统利用Sinkhole攻击的特点设计了一个基于规范的分布式入侵检测系统，该系统需要节点之间合作来检测，加大了网络的能量消耗。Ponomarchuk等[9]提出的一种基于流量分析的入侵检测技术，该方法通过计算出网络流量接收率PRR(Packet Reception Rate) 和间隔时间两种流量特性来判断网络中是否有入侵发生。该方案在网络的参数设置中也有一些人为因素的影响，从而会影响检测结果。

肖政宏等[10]运用几种典型的流量预测模型设计了一种异常入侵检测方法。该系统通过网络中节点的预测流量序列和实际的流量序列的差值来检测是否存在入侵。由于其缺少一种合理的评估机制，导致系统的检测结果可能会因为其他的原因而发生变化。

从上面的例子可以看出，目前运用流量特性来设计入侵检测系统，对于特定的应用都可以达到一定的效果。但是普遍存在能量消耗过大、人为参与因素较大，从而会导致检测的不确定性增加。本文在文献[7]中TPDD技术的基础上进行了改进，因为该方法在报警评估机制中，评估有无风险的异常个数m的设置会直接影响到检测结果。m过大，会造成遗漏攻击，太小会增加误报警率。通过实验证明ARMA模型对流量的单步预测效果很好，所以本系统使用ARMA模型预测的流量值来计算得出流量接收率范围，通过比较实际流量接收率范围是否超出范围来判断有无攻击发生，用流量接收率来代替TPDD中的报警评估机制，这样就减少了人为因素的影响。通过实验表明，本系统相比于单独运用ARMA模型，具有更高的检测率和更低的误报警率，并且能量消耗更少。

1ARMA模型的建立

1.1流量模型的选取

由于无线传感器网络入侵检测系统的设计与其应用场景密切相关，对于不同的应用，所要处理的数据类型也不同，所以为节点建立无线传感器网络流量模型必须与应用场景相联系。

之前，王海元等[11]结合基于移动Agent的中间技术，设计出了基于ARMA模型的无线传感器网络可信数据采集方法。此方法表明ARMA模型对于数据的采集具有高度可信度，并且可以减少网络的能量消耗。而本文的研究主要针对数据周期性采集型无线传感器网络。并且，为了使网络达到流量均衡，假设传感器网络已通过负载平衡技术[12]做了相应的处理，从而防止了因为漏斗效应导致的网络拥塞。

因为无线传感器网络节点的能源、存储能力、处理能力都非常有限，所以本文选取计算简单的ARMA(2p，2p-1)模型来对流量进行分析和预测。因为p为阶数太大的话，就会增加计算量，所以我们采用ARMA(2，1)模型。

1.2ARMA(2,1)流量预测模型的建立

得到平稳序列后，就是建立ARMA模型[13]，即：

φ(B)Xi=θ(B)ai

(1)

φ(B)=1-φ1B-φ2B2

(2)

θ(B)=1-θ1B

(3)

(4)

(5)

(6)

如果满足上述条件，则说明此序列为平稳序列，从而得出ARMA拟合模型，如下所示：

(7)

然后利用逆函数法进行单步预测，ARMA的逆函数记为I1，I2，…，Ij，则有：

(8)

则单步预测模型为：

(9)

其中m为Xt之前m次观测，可以根据预算精度的要求取值。

2流量接受率范围的估计

对于周期性传送数据的无线传感器网络，一般在没有攻击发生或者受到其他因素的影响时，包括软硬件的损坏、自然灾害等，它应该是以一定的速率定期在节点之间传送信息，因此，各节点的流量不会发生很大的波动，应该保持在一定的范围内。正因为这个原因，本文利用节点的PRR来作为是否有攻击发生的依据。当有攻击发生时，节点的PRR会超出我们预测的范围。相反，则不会超出。

下面给出一段时间间隔内传输失败的次数K的二项分布式为：

假设网络中的信息传输是定期稳定的传输，利用前面已经预测的流量的样本，在一段时间窗口T内按照每小段时间Tw来分别提取预测样本值为N1，N2，…，Nm，其中m等于T/Tw。从而可以算出接受包的平均值和标准偏差为：

(10)

(11)

其中Ni,i=1,2,…,m为样本值。

然后就可以算出一段时间间隔内接收率的范围。因为3 s和6 s的置信水平分别为99.87%和100%[14]，所以这里计算出间隔时间为3 s和6 s的PRR范围为：

(12)

(13)

根据计算出来的流量的接受率的范围，就可以判断是否有攻击发生。当后面的流量接受率超出范围时,则说明网络中有内部攻击发生。在集中式检测系统中往往会因为“单点失败”造成检测效果不佳，而在本文中，系统没有通过基站来处理检测数据，而是节点单独完成检测，这样提高了系统的鲁棒性。

3仿真实验

这里采用OMNET++仿真软件对本实验进行仿真，因为它具有很好的系统兼容性，可以在Windows和各种UNIX操作系统下利用C++进行编译，对无线传感器网络的仿真可以达到很好的效果。实验仿真分为两个部分，首先对ARMA模型能否精确的对流量进行单步预测进行验证，其次当节点受到不同强度的内部攻击时，对比本系统和单独使用ARMA模型，二者的检测准确度、误报警率。同时，还对系统节点的平均能量开销进行了仿真。

3.1ARMA模型预测精度仿真

图1实线显示的某一个传感器网络中通过某个节点的真实网络流量。利用ARMA(2,1) 模型预测流量，通过最小二乘法估计出模型参数如下：

图1　ARMA单步预测结果

Xt=0.82471Xt-1+0.08537Xt-2+at-0.64843at-1

令 m=3，得到单步预测模型为：

本实验从任意时间起，在250s内每秒采样数据流量一次，然后利用模型预测出流量，图1中虚线部分就是利用ARMA模型预测流量状况。对比图中实线和虚线，可以看出ARMA模型对流量的单步预测效果很好，虚线和实线基本吻合，这说明利用ARMA(2,1) 模型可以很好地对无线传感器网络流量进行单步预测。

3.2入侵检测方案的仿真

实验主要是通过分析入侵检测系统的检测准确度和误报警率以及平均能量开销三个指标来判别本系统的可行性。

检测准确度指系统检测到的恶意报文与全部报文的比值和系统检测到的非恶意报文与全部检测到的报文数量的比值。

误报警率具体指系统将恶意的报文当做正常的报文的数量与全部报文的比值和系统将正常的报文当做恶意报文的数量与全部报文的比值。

同时，为了检测网络节点的平均能量开销，本文分别在有攻击有检测、无攻击无检测和有攻击无检测三种情况下进行仿真实验，对比三种情况下节点的平均能量开销。

一个好的无线传感器网络入侵检测系统必须具备高的检测准确度和低的误报警率，同时还要有较低的能量开销。

下面是本实验的一些仿真参数的设定：

• 实验面积：50×50,200×200 m2

• 一个基站

• 节点数目：100

• 节点均匀网络部署

• 信息发送率：包/1.5 s或者包/15 s

• 包大小：10~100 B

• 传输速率：100 kbps，250 kbps

• 攻击行为分别丢包率为30%、50%、100%

图2显示的是本文设计的入侵检测系统和单独使用ARMA模型以及单独使用PRR对检测准确性的对比，横坐标是报文重放率，纵坐标是检测率。从图中可以看到三种方案的检测率和报文重放率密切相关，当重放率低于10%时，只有本方案的检测率超过了50%，这是因为其他两种方案都可能因为人为设置的阈值不够精确而导致部分报文被忽略。然而当重放率达到40%的时候三种方案的检测率都接近100%，所以当攻击较为明显的时候三种方案都可以用来检测拒绝服务攻击，都可以达到很好的效果。然而攻击不明显时，本方案有更好的检测准确度。

图2　检测准确度

图3中显示的是上述三种方案的误报警率。横坐标是报文重放率，纵坐标是误报警率。从图中可以看出随着重放率的增加，三种方案的误报警率都维持在一个很低的水平，因为信道误码所导致的丢包在客观上降低了重放报文攻击的误报警率。但是当报文重放率低于20%时，本方案相对于单独运用ARMA模型，前者误报警率明显低于后者。

图3　误报警率

图4是评估本系统中节点的平均能量开销，这里分别统计了在800 s时间内，无攻击无检测、有攻击无检测和有攻击有检测三种情况下节点消耗的平均能量。节点初始能量为2 J，其中式(14)表示节点接收一个报文的能量消耗为[15]：

ERx=l×Eelec

(14)

式(15)表示节点发送一个报文的能量消耗为：

ETx=l×Eelec+l×efs×d2

(15)

其中l表示包信息的字节数，Eelec表示射频能耗系数，efs表示功率放大能耗系数，d为节点之间的通信距离。

从图4可以看出当网络没有攻击发生时，网络中的能量消耗维持在一定的水平。当有攻击时，节点的能量被大量消耗，但是有检测和没有检测相比，由于前者及时对攻击作出了反应，使流量的路径改变了，从而保证了网络能量不会因为有攻击发生而大量消耗，所以加入入侵检测可以减少攻击所带来的能量消耗。

图4　节点平均能量消耗

4结语

实验结果表明，ARMA模型对周期性的无线传感器网络流量的单步预测，可以达到很好的效果。对于检测内部攻击，本方案相对于单独利用ARMA模型来说，减少了人为因素对检测的影响，有着更高的检测率和更低的误报警率。同时，在一定程度上本系统减少了网络节点的平均能量开销，从而延长了网络的生命周期。但是对于非周期性网络，该系统还存在一定的缺陷，不能达到较好的效果。后期在不断优化本系统的同时，还要更深入地研究本系统对于非周期性传感器网络的入侵检测技术。

参考文献

[1] Murad A,RassamM A,MaarofAnazida Zainal.A Survey of Intrusion Detection Schemes in Wireless Sensor Networks[J].American Journal of Applied Sciences,2013,9(10):1-9.

[2] Pooja,GuptaDr,Naveen,et al.Security Issues in Wireless Sensor Network:A Review[J].International Journal of Engineering Sciences & Research Technology,2013,2(5):342-350.

[3] Shilpa S,Patil P,Khanagoudar S.Intrusion Detection Based Security Solution for Cluster Based WSN[J].International Journal of Advanced Research in Computer Engineering & Technology (IJARCET),2013,1(4):123-132.

[4] 冯立波,罗桂兰,杨存基,等.WSN中基于粒子滤波的入侵检测算法实现[J].传感技术学报,2013(11):1573-1578.

[5] 刘帅,朱俊杰,马振燕.无线传感器网络中基于统计异常的入侵检测[J].火力与指挥控制,2009,34(7):123-131.

[6] 韩志杰,张玮玮,陈志国.基于Markov的无线传感器网络入侵检测机制[J].计算机工程与科学,2010,32(9):27-35.

[7] 曹雪梅,韩志杰,陈贵海.基于流量预测的传感器网络拒绝服务攻击检测方案[J].计算机学报,2007,30(10):116-120.

[8] 滕丽萍.无线传感器网络中基于Sinkhole攻击的入侵检测系统研究[J].计算机应用与软件,2013,30(6):312-315,328.

[9] Ponomarchuk,Yulia,Seo.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[J].Dae-Wha Dept of Electrical Engineering and Computer Science Kyungpook National University Daegu,Republic of Kores,2010,24(8):64-72.

[10] 肖政宏,谢赞福,陈志刚.无线传感器网络中一种基于流量预测和相关系数的异常检测方法[J].微电子学与计算机,2009,26(7):22-26.

[11] 王海元,王汝传,黄海平,等.基于ARMA模型的无线传感器网络可信数据采集方法[J].南京邮电大学学报:自然科学版,2009,29(4):23-29.

[12] 黄健荣,王新建,于萧榕.无线局域网中一种层次式负载平衡技术[J].计算机与数字工程,2014,42(4):145-152.

[13] 韩志杰,王汝传,凡高娟,等.一种基于ARMA的WSN非均衡分簇路由算法[J].电子学报,2010,38(4):865-869.

[14] NIST/SEMATEC e-Handbook of Statistical Methods[EB/OL].2010.http://www.itl.nist.gov/div898/handbook/index.htm.

[15] Heinzelman W B,Chandrakasan A P,Balakrishnan H.An application specific protocol architecture for wireless microsensor networks[J].IEEE Transaction on Wireless Communication,2002,1(4):660-670.

中图分类号TP393.08

文献标识码A

DOI:10.3969/j.issn.1000-386x.2016.02.072

收稿日期：2014-08-01。四川省国际合作项目(2009HH0009)；国家科技部支撑计划项目(2011BAH26B00)；四川省信息安全创新团队建设项目(13TD0005)；面向物联网的入侵检测关键技术研究项目(szjj 2013-018)。彭军，硕士生，主研领域：无线传感器网络入侵检测系统。余强，副教授。何明星，教授。