郭 爽，王 宁

(1.重庆移通学院公共大数据安全技术重点实验室，重庆 401420；2.公共大数据安全技术重庆市重点实验室，重庆 401420；3.重庆移通学院 信息安全学院，重庆 401420)

无线传感器网络[1]采用分簇策略能够改进其寿命，但选举出的簇首节点不仅需要转发簇内节点数据，还需要转发邻居簇首节点的数据到收集节点Sink 处，因此导致簇首节点能耗比较高，越靠近Sink节点的簇首节点能耗就越高，簇首节点很容易因为能量消耗完而提前失效，从而影响整个WSN 网络寿命。为了保证网络安全运行，提高数据传输效果，可以采用划分优先级队列[2]的方式，对同一队列的查询接收过程和处理转发过程错开适当的时序异步进行，以减小优先级队列的平均排队等待服务时间，缩短系统平均时延。然而队列中的数据一旦遭受攻击，整个队列中的数据将都会受到影响。为此，研究优先级数据转发攻击检测方法具有重要意义。

夏云舒等[3]首先利用GAN 模型获取高质量的数据，然后采用Copula 函数构建关于数据状态的关联矩阵，最后将关联矩阵输入到GAN 模型中，并引入极端随机树分类器实现攻击检测。但是该方法受数据维度的影响，导致其检测效率低。徐彬彬等[4]首先采用Ettercap 平台对数据做出偏差攻击采样，然后结合支持向量机训练出四种不同的数据状态，最后将数据状态输入到LibSVM 分类器中，完成数据攻击检测。但是该方法受冗余数据、网络装置等问题的干扰，导致其能量消耗较高。Priyanga 等[5]针对工业控制系统容易受到网络攻击，从而破坏关键基础设施的安全运行问题，采用增强主成分分析和卷积神经网络提出了一种新的异常检测方法。该方法包括使用增强主成分分析降维、使用卷积神经网络进行异常检测两个阶段。但是该方法受卷积神经网络训练时间过长的影响，造成检测性能较低。

无线传感器网络数据传输队列中，优先级越高的数据，越先被传输和转发。该类数据相较于无线传感器网络中的其他普通数据而言，具有较低的任务占用时长，因此在传输过程中优先级数据会先于普通数据传输。同时，该类数据在转发时受到攻击将会降低整个队列数据的安全性。为此，面向无线传感器网络，在优先级传感数据降维的基础上，构建攻击检测模型。通过设立的攻击检测阈值判定被攻击的数据，并利用正态分布方法实现优先级数据转发攻击检测，优化检测性能。

1 传感数据预处理

1.1 优先级传感数据降维

为了降低数据中的稀疏性与共线差异性，无线传感器网络中的优先级数据转发攻击检测方法采取监督判别投影算法[6]对数据做降维处理，具体步骤如下:

①监督判别投影算法根据数据近邻点的分布状态构建优先级数据的局部近邻图，然后通过局部近邻图成立局部散化矩阵，如式(1)所示:

式中:T表示局部散化矩阵；i、j分别表示优先级数据点；A表示近邻点；l表示离散化程度。

②得到局部散化矩阵后，基于监督判别投影的数据降维算法，推算出优先级数据的全局散化矩阵，表达如式(2)所示:

式中:表示全局散化矩阵。

③引入齐次变换矩阵[7]，保证经过监督判别投影处理后的数据可以具备最大全局散化矩阵与最小局部散化矩阵。然后建立变换矩阵的相关函数，如式(3)所示:

式中:H表示齐次变换矩阵的相关函数；C表示齐次变换矩阵；s表示数据点总数量。

④将特定约束条件[8]投入到H(C)中，然后通过分解正交基向量构建约束目标函数，并通过约束目标获取优先级数据的极小向量值。如式(4)所示:

式中:amin表示优先级数据的极小向量；α表示特定约束条件；β表示约束系数。

⑤在满足约束条件的限制下，采用拟合分解算法获得约束目标函数的解集，实现高维度优先级数据在低维度空间上的投影分布，完成无线传感器网络优先级数据的降维。

1.2 攻击特征提取

采用主成分分析法[9]提取降维后优先级数据中的攻击特征，降维优先级数据可以节约攻击特征提取时间，去除无线传感器网络中的冗余变量，提高攻击特征提取的准确度。具体步骤如下:

①无线传感器网络中的任意优先级数据都具备相应的特征值变量，将特征值变量视为原始变量，则经过主成分分析计算后得到若干个综合变量，如式(5)所示:

式中:Z表示综合变量；D表示原始变量；V表示特征值变量。

②将无线传感器网络中协方差最小的综合变量作为原始变量的主成分分量，然后采用规范化算法[10]处理原始变量的协方差，得到优先级数据的样本均值和标准差，如式(6)所示:

式中:表示样本均值；b表示规范化处理；r表示优先级数据的标准差。

③根据式(6)得到的样本均值与标准差，计算出无线传感器网络中优先级数据的标准化观测矩阵[11]和关联矩阵，如式(7)所示:

式中:P表示标准化观测矩阵；Q表示关联矩阵；v表示主成分分量；χ表示标准化系数。

④在关联矩阵中计算出优先级数据对应的独立元素q，然后特征分解[12]所有元素，并将特征值按照固定顺序排列，如式(8)所示:

式中:b表示元素个数。

⑤保留特征值大于0 的元素，并且要求其累积贡献率达到95%以上，这些特征值对应的特征向量即为提取的无线传感器网络中优先级数据的特征。累积贡献率如式(9)所示:

式中:Y表示累积贡献概率；δ表示特征值；n表示特征值数量。

2 构建攻击检测模型

构建关于优先级数据的转发攻击检测模型，并将提取的第2 部分降维后的优先级数据攻击特征输入到模型中实现检测。以上述降维后优先级数据提取的攻击特征作为输入，可以进一步节约转发攻击检测模型存储空间，降低数据中的稀疏性与共线差异性，提高攻击检测效果。具体步骤如下:

①引入数据观测值，在正常状态下设置无线传感器网络单位时间内各节点的统计量对应着优先级数据的特征向量，则可以得到特征向量的概率密度[13]，如式(10)所示:

式中:I表示数学期望值；ε表示数据观测值；x表示提取的特征；σ表示优先级数据的方差；p表示概率密度。

②为了保证攻击检测模型不受冗余数据、网络装置和传感器性能等外界因素影响，将式(10)转化成标准正态分布函数ϕ，如式(11)所示:

式中:J表示正态分布[14]；e为标准化正态随机分量。

③当无线传感器网络中优先级数据的特征向量均满足正态分布时，在任意时刻抽样待检测的样本，并在这些测量值中取平均数。根据正态分布的性质，样本均值也处于正态分布中，即满足式(12)所示的条件:

式中:γ表示优先级数据的测量值。

④保证无线传感器网络中优先级数据的特征样本均值不发生明显变动，进而得到正常状态下样本均值的定义区间[15]，如式(13)所示:

⑤在定义区间中，假设优先级数据的特征向量在某一时刻内包含任意一组观测数据，其中，受到的攻击概率如式(14)所示:

⑥根据数据受到的攻击概率可以计算出无线传感器网络中优先级数据转发攻击的相应检测概率，如式(15)所示:

式中:p′表示检测概率。

⑦根据攻击概率与检测概率可知，标准化正态随机分量为固定常数，根据式(11)变换可计算出优先级数据转发攻击的连接次数xmax，xmax即为攻击检测模型中的阈值[16]，其取值范围不低于2 跳，本文取值为2≤xmax≤20。当优先级数据的特征向量大于该阈值时，表明此时的数据正受到攻击，完成无线传感器网络中的优先级数据转发攻击检测。阈值公式如式(16)所示:

综合上述分析，将无线传感器网络中的优先级数据转发攻击检测方法流程，绘制为图1。

3 仿真与分析

根据图1 所示的攻击检测流程，实现了无线传感器网络中的优先级数据转发攻击检测。为了验证其检测效果，设计如下测试。

3.1 仿真设置

使用MATLAB 平台构建无线传感器网络模型，如图2 所示。

图2 无线传感器网络模型

设图2 所示传感器网络节点的随机分布范围为50 m×50 m，其余仿真参数如表1 所示。

表1 仿真参数情况

根据上述设置，在恶意节点比例为25%的情况下，分析本文方法应用后无线传感器网络优先级数据转发攻击检测情况，如图3 所示。

图3 检测结果对比

由图3(a)可知，在无线传感器网络覆盖区域内，正常节点和恶意节点都是随机部署的，每个节点都有多个邻居节点，每两个邻居节点都有多个相交的邻居节点。由图3(b)可知，大部分恶意节点均被本文方法检测出，具有较高的检测准确效率。考虑到文献[3]改进生成对抗网络方法和文献[5]增强主成分分析和超图卷积神经网络方法在其相关领域具有较好的研究成果，为此，将其作为对比方法，将检测效率、网络吞吐量、路由开销、能量消耗、攻击检测误报率作为指标，取每组仿真100 次测试得到的结果平均值作为最终测试结果，完成仿真测试与结果分析。

3.2 结果分析

①检测效率

数据包传输率是指在无线传感器网络检测过程中，优先级数据成功检测的数据包数量占原始数据包的比例。数据包传输率越高，表明方法的攻击检测效率越高；数据包传输率越低，表明方法的攻击检测效率越低，其计算公式如式(17)所示:

式中:η为数据包传输率；S表示时间间隔；A为攻击节点数量；B为节点总数。

在图2 所示的无线传感器网络中，设置恶意节点数量为50 个，队列中数据报文大小为256 bytes，每个时隙为10 ms，攻击检测阈值xmax为0.4。分别测试所提方法、文献[3]方法和文献[5]方法应用下，传输优先级队列数据包的传输率，结果如图4 所示。

图4 不同方法的数据包传输率

分析图4 可知，针对无线传感器网络中的优先级数据转发攻击检测，所提方法的数据包传输率在0.95 bit/s 附近波动，文献[3]方法和文献[5]方法的数据包传输率分别在0.65 bit/s 和0.70 bit/s 附近波动。通过对比发现，在不同恶意节点数量下所提方法的数据包传输率均高于文献[3]方法和文献[5]方法的数据包传输率，说明所提方法的攻击检测效率高于文献[3]方法和文献[5]方法的检测效率。所提方法在检测前，采用监督判别投影算法对优先级数据做降维处理，预处理后的数据降低了其中的稀疏性与共线差异性，进而在攻击检测过程中不受恶意节点隐瞒数据包丢弃的影响，提高了数据包传输效率。

②网络吞吐量

网络吞吐量是指各方法在传输范围内，从无线传感器网络全部节点中成功检测到的数据包均值，是评价方法检测效果的重要指标。吞吐量越大，表明方法的检测效果越好；吞吐量越小，表明方法的检测效果越差。其计算公式如式(18)所示:

式中:κ表示网络吞吐量；R表示传输范围。

设置无线传感器网络通信过程中，数据优先级队列为0.6，通信帧长为500 ms，数据包生成间隔为1～10，分别利用所提方法、文献[3]方法和文献[5]方法，测试目标无线传感器网络的吞吐量。结果如图5 所示。

图5 不同方法的网络吞吐量

分析图5 可知，在不同的数据包生成间隔下，所提方法的吞吐量高于90 bit/s，相较于文献[3]方法和文献[5]方法的最高吞吐量78 bit/s 和79 bit/s 更高。因此，随着数据包生成间隔的增大，虽然三种方法的网络吞吐量均有所波动，但总体而言所提方法的网络吞吐量均高于文献[3]方法和文献[5]方法的网络吞吐量，说明所提方法的攻击检测效果更强。其主要原因是所提方法采用标准正态分布方式，保证了检测过程中不受冗余数据、网络装置和传感器性能等外界因素影响，提高了网络吞吐量。

③路由开销

路由开销是指各个方法在一定时间间隔内完成攻击检测所付出的代价。路由开销越大，表明方法的检测性能越低；路由开销越小，表明方法的检测性能越高。其计算公式如式(19)所示:

式中:λ表示路由开销；L表示持续时间内检测所付出的代价。

设置无线传感器网络通信过程中，恶意节点丢包率为20%，该丢包率影响下的恶意节点占比为3%～30%。在该条件下，分析所提方法、文献[3]方法和文献[5]方法三种方法的路由开销，结果如图6所示。

图6 不同方法的路由开销

分析图6 可知，在恶意节点占比为3%～30%时，所提方法的路由开销最高为19 MB，相较于文献[3]方法和文献[5]方法路由开销低值30 MB 和20 MB更低。说明针对无线传感器网络中的优先级数据转发攻击的检测，所提方法可以在不同恶意节点占比下，保持较低的路由开销，维持无线传感器网络的稳定运行。其主要原因是所提方法在检测恶意节点前，对优先级数据进行了降维处理，优化了检测效率，降低了路由开销。

④能量消耗

在无线传感器网络检测过程中由于数据之间的传递、接收、和计算而消耗能量，对比不同方法在攻击检测过程中消耗的能量，能量消耗越大，表明方法的复杂度越高；能量消耗越低，表明方法的复杂度越低。能量消耗公式如式(20)所示:

式中:E表示能量消耗；E0表示初始能量；ν表示随机数。

设置每10s 源节点(无线传感网络基站)发送一事件包，无其他事件发生，且信道误码率设为0，即不考虑信道误码率对此次实验的影响，分别在无线传感网络的覆盖区域中设置1～10 个观察检测点，10 组观测点距离源节点距离以2 跳为间隔，跳数区间为2～20。所提方法、文献[3]方法和文献[4]方法的能量消耗测试结果，如图7 所示。

图7 不同方法的能量消耗

分析图7 可知，针对无线传感器网络中的优先级数据转发攻击检测，所提方法的能量消耗在500 J附近波动；文献[3]方法和文献[5]方法的能量消耗分别在570 J 和590 J 附近波动。通过对比发现，在源节点到观测点距离下所提方法的能量消耗均小于文献[3]方法和文献[5]方法的能量消耗，表明所提方法的检测复杂度低于文献[3]方法和文献[5]方法的检测复杂度。其主要原因是所提方法降低了优先级数据维度，并提取了其特征，将其输入至检测模型后避免了冗余数据等干扰，降低了检测复杂度，减少了能量消耗。

⑤攻击检测效果测试

该测试选择的实验数据集为KDD Cup99 数据集，从中选取拒绝服务攻击Dos 为攻击类型，对图2所示的无线传感器网络进行攻击。以误报率为指标，验证所提方法、文献[3]方法、文献[5]方法的攻击检测效果。误报率表示将正常数据当作异常数据的几率，如式(21)所示:

式中:FP 表示样本为正，被预测为负；TN 表示样本为负被预测成负类。

测试过程中，普通数据为1 026 byte，优先级数据为2 217 byte，恶意攻击数据为1 593 byte。三种方法的攻击检测效果如图8 所示。

图8 不同方法的攻击检测误报率

分析图8 可知，针对无线传感器网络中的优先级数据转发攻击检测，所提方法的攻击检测误报率低于4.76%；文献[3]方法和文献[5]方法的攻击检测误报率分别低于10.11%和9.63%，最小值为3.72%和4.18%。通过对比发现，在不同优先级数据维度下所提方法的攻击检测误报率均低于文献[3]方法和文献[5]方法的攻击检测误报率，表明所提方法的攻击检测效果优于文献[3]方法和文献[5]方法。其主要原因是所提方法预先对优先级数据进行了降维处理，并通过设定攻击检测阈值，优化检测效果，降低了攻击检测误报率。

4 结束语

针对无线传感器网络数据转发攻击检测效率低、网络吞吐量小、路由开销大、能量消耗高、攻击检测误报率较高等问题，提出无线传感器网络中的优先级数据转发攻击检测方法。该方法首先对优先级数据做降维处理，其次提取优先级数据特征，最后将提取的特征输入到攻击检测模型中完成无线传感器网络中的优先级数据转发攻击检测。仿真结果表明，所提方法在提高检测效率和网络吞吐量的同时，一定程度上也降低了路由开销、能量消耗和攻击检测误报率。