穆瑞辉

（新乡学院计算机与信息工程学院，河南　新乡453003）

一种基于无线传感器网络的入侵检测技术

穆瑞辉

（新乡学院计算机与信息工程学院，河南新乡453003）

描述了关于WSN（无线传感器网络）入侵检测的基本方法，并依据该方法建立了对应的数学模型。详细分析并归纳了基于WSN运行的网络关键特性，同时设计了一个通用的入侵检测模型，该模型具有耗能小、检测速度快等优点。

WSN；入侵检测；网络特性

WSN（Wireless Sensor Network）是构成物联网的重要部分，是关于信息采集和信息感知的一场革命，它有着广阔的应用前景，可用于工业生产控制、医疗诊断、环境检测、智能家居、商业应用及军事侦察等诸多方面［1］。WSN是一种分布式的网络，常用于对节点部署区内的各种信息进行采集和检测，比如噪声、湿度、有害气体、温度和光强等，其规模较大，节点一般分布在环境条件恶劣并且无人维护的地方。它通常在信息采集完毕并分析处理后，将数据通过无线的方式发送给研究者。由于WSN的网络节点工作环境恶劣，既要面对各种威胁，如数据伪造、拒绝服务、数据泄露和重复攻击等，又要面对攻击者为获取机密信息，比如存储在传感器节点中的数据、共享密钥等对节点的物理捕获，甚至有些攻击者通过重写存储器，把节点变成攻击者的网络“卧底”，因此WSN系统的安全性要求较高，要求它既能准确地对网络中各种非法入侵进行识别、报警并进行主动防御，又能准确地对入侵节点进行身份识别或位置定位，从而隔离入侵节点，保证WSN系统的安全。

1　入侵检测的原理和数学模型

WSN网络节点自身携带的电池能源是有限的，并且节点大都分布在无人区等环境恶劣的地方，因此在构建入侵检测模型时，要关注以下几点：1）节点的检测速度。如果节点检测速度慢，不仅会造成节点能量的浪费，还会造成节点的寿命变短。2）节点的网络分布拓扑结构。这要求入侵检测模型的工作模式也是分布式的。3）入侵检测的准确性。即使在网络出错的情况下也需保持高准确性。

为了满足上述要求，需要在监视区域部署监视节点和普通节点两种类型的节点。监视节点因为具有超强的计算处理能力、大的存储容量及远距离的无线传输能力，且运行模式是混合模式，既可以对信道进行监听，又可以对数据进行传输，所以主要被用来监听大范围的信道，以监控是否产生了非法的节点。普通节点主要负责数据的采集、检测，以及数据的汇集和路由转发［2］。

假设有监视节点M个，这M个节点组成的集合，记为M，运行模式为混合模式，可进行无线传输的最大距离是R；普通节点N个，节点集合记为N，每个节点都可以与邻居节点通过一个安全的数据链路进行通信，可进行无线传输的最大距离是r，且r＜＜R；监视节点和普通节点的网络位置分布服从泊松分布，在面积为A的区域内被混合随机部署，则普通节点的密度函数为

监视节点的密度函数为

假设监视节点m所能监听到的最大范围（半径为R的圆形）内普通节点的集合用SMBm来表示，那么监视节点m能监听到数量为k的普通节点的概率就是普通节点在半径为R的圆上分布的概率。因为各节点的分布服从泊松分布，所以有

同理，假设普通节点s所能监听到的最大范围（半径为r的圆形）内的普通节点的集合用SHBs来表示，则普通节点s有邻居节点k1的概率为

由于普通节点和监视节点都服从泊松分布，并且是随机部署，因此，可以用（3）式计算出每个监视节点至少可监听到数量为k的普通节点的概率为

同样，可以用（4）式计算出每个普通节点s至少与数量为k1的邻居节点保持安全数据通信的概率为

用（4）式计算出每个普通节点最多有k2个邻居节点的概率为

2　WSN网络的关键特征

WSN有自己固有的特性，如数据传输模式、网络拓扑结构和节点特性等，本文中所设计的入侵检测模型就是通过检测这些特性来发现网络中的异常节点，进而判断出入侵节点。

为了把模型中WSN的网络特性描述清楚，现做如下假设：

1）pmean是网络节点每秒产生的数据包的概率。

2）nc是网络节点平均每秒要传输的数据包数量。

3）k2是每个网络节点的最多邻居数目，k1是每个网络节点的最少邻居数目。

4）t是网络节点处理每个数据包的平均时间。

5）s是网络节点产生数据包的平均长度。

6）nu是网络节点传输或者产生数据包的平均耗能。

7）pi是每个网络节点可以与i个邻居节点进行安全通信的概率。

2.1网络节点的流量

设r是WSN中每个网络节点的无线传输距离，则根据假设1）、7）和（4）、（6）、（7）式，可以计算出网络节点传输数据和产生数据的平均流量Ta、最小流量Tmin和最大流量Tmax分别为。其中pi的值可以由（4）式算出。

在实际应用中，可能有些网络节点由于出现硬件故障或者电池能源耗尽而退出网络，故这些节点传输和产生的数据量是零。这种情况会在检测节点数据的最小流量时产生影响，导致检测结果出现偏差。因此，这里以每个网络节点的最大流量和平均流量作为主要的入侵检测特征［3］。

2.2邻居节点的数量

在实际应用中，一般情况下不会增加新的网络节点，而每个网络节点都可能会因能源耗尽而停止工作，导致与之相邻的网络节点的邻居节点数量减少，因此，如果发现某些节点的邻居节点数目增加，就有可能是入侵网络的非法节点。

2.3路由表变化频率

依据2.2的描述，一旦WSN部署完毕，就不会增加新的节点，因此，路由表应该在一定的时间段是保持静态的，不会发生太大、太快的变化。

2.4网络节点数据包处理的最长时间

（（k2-1）nc+Δn）t是每一个网络节点转发数据包和处理自己所产生的数据包的最长时间，其中Δn为固定参数。

2.5数据包存储占用的最大空间

（（k2-1）nc+Δn）s是每一个网络节点进行存储转发数据包所需要的最大空间值。

2.6网络节点的耗能

（（k2-1）nc+Δn）nu是网络节点每秒耗能的最大值。

使用以上定义的WSN网络的特性，就可以检测出网络节点是否被入侵。

3　基于WSN网络特性的入侵检测模型

3.1入侵检测模型的构建

假设场景为某战场，一方使用飞机等飞行器将体积微小的传感器节点抛洒到需要监听的另一方阵地。这些传感器节点会把检测到的敌方信息生成相应的数据报告，并通过安全的数据链路发送到隐蔽基站，由基站把数据报告通过卫星或者大功率的无线电台转发到后方指挥中心。由于战场形势瞬息万变，及时发来的数据信息是战场胜负的关键因素之一，因此WSN网络的快速传输和快速检测能力就显得极为重要。但是，部署在对方阵地的传感器节点容易暴露并被捕获，若对方在其中植入代码，则可更改和窃取更多传感器节点的数据信息，进而通过无线电信号干扰和破坏一定范围内的传感器节点的正常数据通信。此外，常见的传感器节点攻击还有耗尽能量的攻击和不同步的攻击等［5］。

本文构建的入侵检测模型如图1所示。

监视节点先监听其监视范围内的网络节点，再将检测到的数据信息存储、过滤和整理分类，最后对数据信息进行分析并转发，过程如图2所示。

图1　入侵检测模型检测流程图

图2　监视节点进行数据信息分类和收集

窗函数决定了监视节点能收集的数据信息量。在图2中，监视节点的检测时间被分成若干时间片，每个窗函数所能用的时间片是动态的，大小由入侵检测结果来决定。检测过程可以用如下算法描述：

在算法中，监视节点开始只在原始分配的时间片MT内监听其周围的网络节点，若检测收集的数据信息量大，那么监视节点就会调整窗函数来延长收集时间，从而可以监听到更多的数据信息。如果监视节点延长的窗函数处理时间超出原始的监听时间片较多，则监视节点就会减少监听时间［6-7］。

3.2入侵检测模型的仿真实验

通过仿真可检测出该模型与常用模型相比所具有的优势。在发生攻击时，数据信息包传输信道的报文重放率与相关系数之间的关系如图3所示。

图3　报文重放率与入侵检测相关系数的关系

从图3可以看出，在报文重放率较小的情况下，相关系数的值要大于传统模型的检测值，随着报文重放率的增大，本文设计的检测模型的相关系数急剧下降，符合相关系数受报文重放率影响的特征。

与传统检测模型相比，该模型具有明显的入侵检测优势：1）检测速度更快；2）不需要额外的硬件支持，资源消耗少，增强了WSN网络的健壮性；3）在采集数据的同时进行入侵检测，并对数据包进行分析，不仅大大提高了入侵检测的速度，而且大大减轻了通信负担。

4　结束语

通过在WSN网络中部署普通节点和监视节点，并划分相应节点的功能，构建了基于WSN网络的入侵检测模型，该模型具有耗能小、检测速度快等优点，可以应用于大部分WSN网络的入侵检测中。

［1］刘阳.基于免疫原理的无线传感器网络入侵检测系统研究［D］.北京：中国科学院计算技术研究所，2008.

［2］VAQUERO L，RODERO M L，CACERCE J，et al.A Break in the Clouds:Towards a Cloud Definition［J］. SIGCOMM Computer Communication Review，2009，39 （1）:50-55.

［3］张建伟，王玲艳，姚云磊.一种基于OPTICS聚类的流量分类算法［J］.郑州轻工业学院学报（自然科学版），2013 （2）：93-96.

［4］徐志红，刘进军，赵生慧.适应广域网的虚拟机在线迁移模型［J］.计算机应用，2012（7）：1929-1931.

［5］任丰原，黄海宁，林闯.无线传感器网络［J］.软件学报，2013（7）：1282-1291.

［6］王得发，王丽芳，蒋泽军.云计算环境中虚拟机智迁移关键技术研究［J］.计算机测量与控制，2012（5）：1389-1391.

［7］赖昨江，王漫，尹京苑.无线传感器网络安全研究综述［J］.电子测量技术，2010（12）：72-78.

【责任编辑梅欣丽】

An Intrusion Detection Technology Based on Wireless Sensor Networks

MU Ruihui
（College of Computer and Information Engineering，Xinxiang University，Xinxiang 453003，China）

This paper described the basic methods on WSN（Wireless Sensor Networks）intrusion detection technology，and the corresponding mathematical model was established according to the method.The key features of network-based WSN run were detailedly analyzed and summarized；meanwhile a common intrusion detection model was designed，which had advantages of low energy consumption and fast testing speed.

WNS；intrusion detection；network features

TP393

A

2095-7726（2016）03-0033-04

2015-11-15

穆瑞辉（1980-），男，河南辉县人，讲师，硕士，研究方向：网络软件设计与开发。