基于时空压缩的无线传感器网络入侵检测*
2018-05-05康亚楠张怀相
康亚楠,张怀相
(杭州电子科技大学 计算机学院,浙江 杭州 310018)
0 引 言
随着无线传感器网络(Wireless Sensor Networks,WSNs)的应用领域愈加广泛,WSNs中的入侵检测问题开始倍受关注[1]。由于WSNs中的大部分能量被消耗在数据通信过程而非节点计算过程,面对WSNs中大面积的节点部署和实时数据感知,“数据灾难”问题无疑会导致传输能耗量大,甚至由于入侵检测复杂度的增加而影响精确度。因此,传感器节点在数据传输前进行处理、压缩显得尤为重要。由于WSNs自身时间、空间数据关联度的特点,张鹏、李力等[2-3]提出了基于空间关联性的检测模型,但只是使用简单的机器学习分类算法在传感器节点进行异常检测,不能解决传感器中“数据灾难”的问题。目前,解决WSNs中“数据灾难”问题的主流方式是通过数据降维来减少数据传输量。传统数据降维法主要以数据关联的统计法[4-5]和近年流行的基于机器学习的主成分分析(Principal Component Analysis,PCA)[6-7]为主。统计法主要根据数据之间概率分布而推算数据关系再进行降维,因此计算复杂度高,而PCA不能解决非线性数据降维的问题。针对以上不足,本文将Hinton提出的非线性降维的自编码神经网络(Autoencoder,AE)[8]应用到WSNs中,提出了基于时空关联的自编码(Temporal-Spatial Autoencoder,TS-AE)神经网络模型进行特征降维,提取出了更能反映数据本质的抽象特征以减小数据冗余,同时减小了节点前数据传输量,节约了能耗,增强了入侵检测的预测能力。
1 入侵检测系统模型
文中采用文献[9]提出的基于簇的层次化无线传感器网络拓扑,如图1所示。
图1 WSNs节点的时间和空间压缩模型
单位时间内,上层传感器节点(簇头节点)从对应的下层邻居节点(簇内子节点)收集发送的感知数据进行压缩,并且相应的下层邻居节点将在传输前独立压缩自己的冗余数据。此外,假设网络拓扑由一组时间同步的传感器组成,拓扑中每个节点功能以及转发下一跳的目标如表1所示。
表1 网络拓扑节点功能描述
无线传感器网络入侵检测模型如图2所示。
图2 无线传感器网络入侵检测模型
它主要包括以下三个步骤。
(1)时间压缩:时间压缩也称为传感器压缩,是对特定位置单个簇内子节点随时间的测量形成的数据的压缩。具体模型步骤中,簇内各个传感器子节点感知信息后,将单位时间内感知的数据分批进行预处理,包括计算丢失值、归一化处理等。之后,对预处理的数据进行数据压缩,即时间压缩。
(2)空间压缩:空间压缩也称为传感器间压缩,是对特定时刻簇头节点收集来自组内多个传感器节点空间数据的压缩。具体模型步骤中,各簇内传感器子节点处理、压缩感知信息并向簇头发送感知内容后,等待簇头收集完簇内节点数据,并将数据融合后进行空间压缩,最终将压缩后的数据传输到基站。
(3)入侵检测:在基站处对各个簇头节点压缩处理后的子数据集使用由Vapnik[10]提出的支持向量机(Support Vector Machine,SVM)进行入侵检测。文献[11-12]曾证明了SVM可有效避免经典学习方法中出现的过学习、易陷入局部极小点等问题。当检测出入侵数据时,它可对网络管理员进行警报,打印相应数据包的时间、位置等传感器节点信息,待管理员做进一步处理。
2 压缩算法原理简介
自动编码器是一个典型的三层神经网络,以无监督模式通过特征提取来实现数据压缩,特别是对大规模数据集有较好的优化性能。
在网络中第一层输入X∈[0,1]L。将其映射到中间的隐藏层表示为Y∈[0,1]K,然后“重建”得到Z∈[0,1]L。如图3所示,向量满足:
其中θ=[Wenc,benc,Wdec,bdec]是必须通过适当训练算法学习的实值参数,参数Wenc和benc是编码的权重和偏置向量,Wdec和bdec是解码的权重和偏置向量,F(·)为每层激活函数。
图3 神经自编码模型
在每个输入数据X*和重构θ之间的误差最小化来优化该模型的参数θ的过程中,将自动编码器的代价函数定义为:
最后,代价函数通过标准优化算法如常见的L-BFGS训练出最优参数θ。
多次组合自编码神经网络,即把网络中当前层的输出作为下一层的输入,构成堆栈自编码神经网络的深度结构,如图4所示。
图4 多层神经自编码模型
训练时,可以利用贪婪逐层训练算法初始化网络参数,并使用反向传播算法微调,优化整体性能。该训练算法首先利用无标签的样本训练网络第一隐层h1得到其参数(W1,b1);然后,将该层的输出作为第二隐层h1的输入,继续训练得到(W2,b2);以此类推,直到完成预训练。最后,通过反向传播算法调整所有层的参数,对隐藏单元抽象的特征做进一步调整。当输出层的输出数据Z和输入层的输入数据X接近到一定程度时,将证明网络保留了原始数据的大部分信息。此时,自动编码神经网络训练完成。
3 仿真实验结果与分析
3.1 实验数据集
KDD Cup 1999是无线传感器网络入侵检测常用数据集[13-14]。本文实验使用NSL-KDD数据集,是一种处理KDD Cup 1999过多冗余重复的数据记录而导致分类结果误差问题的数据集。数据中每个记录包含各种连续、离散和符号类型的41维特征数据(含40个特征值和一个标签)。训练数据集的攻击类别分布如表2所示。
表2 NSL-KDD训练数据分布
针对NSL-KDD公共数据集四种攻击与Normal分别进行入侵检测分类。考虑到数据总样本数和平衡率,将数据集中的攻击数据均标记为Abnormal。表3是分类组合后的样本信息,其中攻击类为正类,正常数据类为负类。
表3 训练数据集描述
3.2 实验与结果分析
实验使用TensorFlow和Sklearn学习框架,在linux操作系统下使用3.40 GHz的Intel Core i7 CPU和8 GB RAM的机器运行。实验设置稀疏自编码神经网络为5层,随机初始化网络参数W1和b1,学习速率设为0.01,采用十折交叉验证法。神经自编码训练时采用L-BFGS优化代价函数,迭代次数设置为512次,且每层使用Sigmoid作为激活函数。在数据预处理后,分类模型SVM的惩罚因子C=1[15],径向基(RBF)核函数 K(gi,gj)=exp(-γ||gi-gj||)2,并设核参数γ=1/k,其中k是输入数据的特征数。
为了验证本文提出的TS-AE特征提取的性能,实验主要与以下3个分类模型进行对比:
(1)直接使用SVM算法对未进行预处理的原始数据进行分类;
(2)先通过PCA进行特征提取,再由SVM算法进行分类;
(3)先使用TS-AE提取特征,再用SVM算法进行分类。
其中,每组实验均分两次压缩,以此模拟基于时间和空间压缩的概念模型。
3.2.1 实验一:不同方法对比
为了验证算法的有效性,表4列出了SVM、PCA+SVM和TS-AE+SVM这3种方法下的检测正确率。实验过程中使用试凑法先确定每个输出层的节点个数,同时设置隐藏层节点数初始值为35,并按照步长5依次递减至10,初步判断某个区域的检测正确率。
表4 不同分类方法的精确度对比 /(%)
由4中的正确率结果可以直观看出,使用PCA或者TS-AE压缩算法相对于直接使用SVM正确率均有明显提高。同时,在相同维度变化下,使用TS-AE+SVM比PCA+SVM能取得更高的正确率,这也说明使用TS-AE压缩算法比PCA算法效果好。
3.2.2 实验二:最佳压缩维度研究
在表3中发现,当压缩至35、30、25、20和10维时,虽然使用TS-AE压缩算法正确率有所提高,但提高幅度并不乐观,且维度在15维附近时正确率最高。为了更好地研究15维度附近的正确率和误报率变化,找出最佳压缩维度,表5主要列出了从20维开始,以步长2依次递减至12维时使用PCA和TS-AE压缩后的F1变化,第二层维度以27作为中间维度变化来做参照值。
表5 PCA与TS-AE压缩后F1对比 /(%)
由表5可以看出,使用TS-AE相对于PCA具有更大的F1值。特别当维度下降到16维时,F1值明显增高,相对于PCA压缩算法增大了15.30%。同时,为进一步比较压缩至16维时的正确率,实验中分别计算压缩到16维时的正确率,得到PCA+SVM下正确率为88.03%,TS-AE+SVM下正确率为93.01%。可见,后者比前者正确率提高了7.84%。
3.2.3 实验三:最佳压缩维度下ROC图和二维可视化图
当降维到16维时,实验得到3种检测模型的ROC曲线[16],如图5所示。
图5 降维至16维时三种分类模型的ROC图
从ROC曲线可知,当压缩至16维时,在同一误报率下,TS-AE相对于PCA降维方法、SVM分类模型有着较高的准确率。实验中,数据压缩前后入侵与正常节点分布的二维可视化效果图如图6所示。
根据所有实验结果对比可以看出,提出的TS-AE模型相对于传统特征提取模型,对网络中的入侵检测结果效果更好。虽然在压缩节点数过高或者过低时,效果提升不明显,但这可能是维度变化不大时对数据处理的效果起不到良好的效果,而当压缩维度过低时,可能会导致数据失真。文中实验最终得到,当压缩至16维时,TS-AE模型有着最好的检测效果。
4 结 语
本文针对无线传感器网络入侵数据检测中“数据灾难”导致的一系列问题,提出了一种基于时空关联的检测模型,并使用神经自编码进行特征降维的入侵检测算法。实验表明,TS-AE算法在某个临界维度可以有效提高入侵检测的正确率,使得网络性能更加稳定。此外,由于数据传输量的减少,也降低了能耗。但是,由于临界维度的限制,实际应用中必须事先对整个网络模型进行训练,以找到降低维度的最佳数目。
参考文献:
[1] 张杰,胡向东.无线传感器网络中的虫洞攻击和防御[J].通信技术,2008,41(08):68-70.ZHANG Jie,HU Xiang-dong.Worm Attack and Defense in Wireless Sensor Networks[J].Communications Technology,2008,41(08):68-70.
[2] 张鹏,冯欣,周建国.无线传感器网络中基于空间关联性的聚类异常检测算法[J].计算机应用研究,2013,30(05):1370-1372.ZHANG Peng,FENG Xin,ZHOU Jian-guo.A Clustering Anomaly Detection Algorithm Based on Spatial Correlation in Wireless Sensor Networks[J].Application Research of Computers,2013,30(05):1370-1372.
[3] 李力.无线传感网中一种基于支持向量机的异常事件检测方案[J].计算机应用与软件,2015(02):272-277.LI Li.An Abnormal Event Detection Scheme Based on Support Vector Machine in Wireless Sensor Network[J].Computer Applications and Software,2015(02):272-277.
[4] Bertier M,Marin O,Sens P.Implementation and Performance Evaluation of an Adaptable Failure Detector[C].Dependable Systems and Networks,2017:354-363.
[5] Yu L,Liu H.Feature Selection for High-Dimensional Data:a Fast Correlation-Based Filter Solution[C].Twentieth International Conference on International Conference on Machine Learning,2003:856-863.
[6] Ahmad I,Abdullah A,Alghamdi A,et al.Optimized Intrusion Detection Mechanism Using Soft Computing Techniques[J].Telecommunication Systems,2013,52(04):2187-2195.
[7] 孙子文,梁广玮,白勇等.无线传感器网络分级入侵检测模型[J].信息与控制,2013,42(06):670-676.SUN Zi-wen,LIANG Guang-wei,BAI Yong,et al.Hierarchical Intrusion Detection Model for Wireless Sensor Networks[J].Information and Control,2013,42(06):670-676.
[8] Hinton G E,Salakhutdinov R R.Reducing the Dimensional of Data with Neural Networks[J].Science,2006,313(28):504-507.
[9] Wang Y C.Data Compression Techniques in Wireless Sensor Networks[J].Pervasive Computi ng,2012,28(04):1914-1923.
[10] Vapnik V N.The Nature of Statistical Learning Theory[J].IEEE Transactions on Neural Networks,1997,8(06):1564.
[11] 尚文利,张盛山,万明等.基于PSO-SVM的Modbus TCP通讯的入侵检测方法[J].电子学报,2014,42(11):2314-2320.SHANG Wen-li,ZHANG Sheng-shan,WAN Ming,et al.Intrusion Detection Method for Modbus TCP Communication Based on PSO-SVM[J].Journal of Electr onics,2014,42(11):2314-2320.
[12] Chitrakar R,Huang C.Selection of Candidate Support Vectors in Incremental SVM for Network Intrusion Detection[M].Elsevier Advanced Technology Publications,2014.
[13] 白润资.无线传感器网络入侵检测模型与算法研究[D].重庆:重庆邮电大学,2011.BAI Run-zi.Research on Wireless Sensor Network Intrusion Detection Model and Algorithm[D].Chongqing:Chongqing University of Posts and Telecommunications,2011.
[14] 傅蓉蓉.无线传感器网络入侵检测关键技术研究[D].北京:北京交通大学,2013.FU Rong-rong.Wireless Sensor Network Intrusion Detection Key Technologies[D].Beijing:Beijing Jiaotong University,2013.
[15] 宋永东.支持向量机参数选择的研究[D].武汉:华中师范大学,2013.SONG Yong-dong.Research on Parameter Selection of Support Vector Machines[D].Wuhan:Central China Normal University,2013.
[16] Spackman,Kent A.Signal Detection Theory:Valuable Tools For Evaluating Inductive Learning[J].Proceedings of the Sixth International Workshop on MachinLearni ng,1989(283):160-163.