彭　軍，趙石真，孫慶中，傅　宇

基于ARMA模型的WSN入侵檢測(cè)技術(shù)

彭軍，趙石真，孫慶中，傅宇

（西華大學(xué)計(jì)算機(jī)與軟件工程學(xué)院，成都610039）

在無(wú)線(xiàn)傳感器網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)自身特點(diǎn)易受到內(nèi)部攻擊的影響，如可能導(dǎo)致網(wǎng)絡(luò)擁塞、系統(tǒng)性能下降等問(wèn)題，提出基于ARMA模型的WSN入侵檢測(cè)技術(shù)。該技術(shù)利用流量接受率這一特性，以自回歸滑動(dòng)平均模型為基石，為WSN節(jié)點(diǎn)建立ARMA流量預(yù)測(cè)模型，通過(guò)預(yù)測(cè)模型所得流量值得到下一步通過(guò)節(jié)點(diǎn)的預(yù)測(cè)流量接受率范圍，比較實(shí)際節(jié)點(diǎn)流量接受率和預(yù)測(cè)流量接受率，通過(guò)實(shí)際值是否超出預(yù)測(cè)值來(lái)驗(yàn)證是否有攻擊發(fā)生。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)有較高的檢測(cè)率和較低的誤報(bào)警率，可以較好地檢測(cè)出來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊。

無(wú)線(xiàn)傳感器網(wǎng)絡(luò)；入侵檢測(cè)；自回歸滑動(dòng)模型；流量接收率

四川省國(guó)際合作項(xiàng)目（No.2009HH0009）、國(guó)家科技部支撐計(jì)劃項(xiàng)目（No.2011BAH26B00）、四川省信息安全創(chuàng)新團(tuán)隊(duì)建設(shè)項(xiàng)目（No.13TD0005）、面向物聯(lián)網(wǎng)的入侵檢測(cè)關(guān)鍵技術(shù)研究（No.szjj2013-018）

0　引言

隨著無(wú)線(xiàn)傳感器網(wǎng)絡(luò)在重要領(lǐng)域的廣泛應(yīng)用和網(wǎng)絡(luò)技術(shù)及規(guī)模的迅猛發(fā)展，入侵檢測(cè)技術(shù)作為無(wú)線(xiàn)傳感器網(wǎng)絡(luò)安全研究的重要組成具有很高的研究?jī)r(jià)值[1]。無(wú)線(xiàn)傳感器網(wǎng)絡(luò)由于自身特性，如節(jié)點(diǎn)能量、網(wǎng)絡(luò)整體存儲(chǔ)能力和計(jì)算處理能力有限等，極大地提高了入侵檢測(cè)系統(tǒng)的設(shè)計(jì)難度。如何設(shè)計(jì)出一個(gè)單個(gè)節(jié)點(diǎn)能耗低、誤報(bào)警率低、檢測(cè)精度高且應(yīng)用廣泛的入侵檢測(cè)系統(tǒng)成為一個(gè)重要的研究課題[2~3]。

本文利用對(duì)節(jié)點(diǎn)的流量進(jìn)行預(yù)測(cè)后計(jì)算出接收率范圍的方法來(lái)實(shí)時(shí)檢測(cè)攻擊。目前國(guó)內(nèi)外對(duì)于相關(guān)的入侵檢測(cè)系統(tǒng)的研究，提出了很多種不同的檢測(cè)方法。韓志杰等[4]提出了基于Markov的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)機(jī)制。首次采用Markov模型，為每個(gè)節(jié)點(diǎn)建立流量預(yù)測(cè)模型來(lái)檢測(cè)網(wǎng)絡(luò)異常流量，同時(shí)也提出了一種報(bào)警評(píng)估機(jī)制，該系統(tǒng)可以有效地檢測(cè)拒絕服務(wù)攻擊。但是檢測(cè)結(jié)果會(huì)受評(píng)估機(jī)制中參數(shù)的設(shè)定的影響。曹曉梅等[5]設(shè)計(jì)了一種基于ARMA模型的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)拒絕服務(wù)攻擊檢測(cè)方案（Traffic Prediction Based DOS Attack Detection,TPDD），首先用ARMA模型對(duì)流量進(jìn)行預(yù)測(cè)，通過(guò)計(jì)算實(shí)際流量和預(yù)測(cè)流量的差值是否超出了預(yù)定的閾值來(lái)看是否有異常，并且還設(shè)計(jì)了一種異常檢測(cè)報(bào)警評(píng)估機(jī)制，當(dāng)報(bào)警數(shù)目超過(guò)一定范圍時(shí)，則證明有攻擊發(fā)生。這種方法在評(píng)估機(jī)制中參數(shù)需要人為設(shè)置，這樣就加大了系統(tǒng)的不確定性。本文主要是在TPDD上進(jìn)行改進(jìn)。李捷等[6]也提出了一種基于ARMA的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)流量預(yù)測(cè)模型，采用ARMA模可能會(huì)因?yàn)槠渌脑蛯?duì)網(wǎng)絡(luò)流量進(jìn)行多步預(yù)測(cè)，在這里可以看到用ARMA對(duì)流量進(jìn)行多步預(yù)測(cè)的結(jié)果并不是很理想，但是對(duì)于單步預(yù)測(cè)的效果很好。肖政宏等[7]運(yùn)用幾種典型的流量預(yù)測(cè)模型設(shè)計(jì)了一種異常入侵檢測(cè)方法。該系統(tǒng)通過(guò)網(wǎng)絡(luò)中節(jié)點(diǎn)的預(yù)測(cè)流量序列和實(shí)際的流量序列的差值來(lái)檢測(cè)是否存在入侵。由于其缺少一種合理的評(píng)估機(jī)制，導(dǎo)致系統(tǒng)的檢測(cè)結(jié)果因而發(fā)生變化。

以上種種例子指出，目前運(yùn)用流量特性設(shè)計(jì)入侵檢測(cè)系統(tǒng)，對(duì)于特定的應(yīng)用基本可以達(dá)到一定的效果，但是普遍在適用范圍小、能耗較大且人為參與度大等負(fù)面因素致使檢測(cè)的不確定性增加。本文就文獻(xiàn)[5]中TPDD技術(shù)的基礎(chǔ)進(jìn)行了改進(jìn)。由實(shí)驗(yàn)證明得ARMA模型對(duì)流量的單步預(yù)測(cè)效果很好，所以本系統(tǒng)使用ARMA模型預(yù)測(cè)的流量值來(lái)計(jì)算得出預(yù)測(cè)流量接收率范圍，通過(guò)比較實(shí)際流量接收率范圍有無(wú)超出范圍判斷攻擊是否發(fā)生，用流量接收率代替了TPDD中的報(bào)警評(píng)估機(jī)制，減少了人為因素的影響。實(shí)驗(yàn)結(jié)果表明，本系統(tǒng)相比于單獨(dú)運(yùn)用ARMA模型，在檢測(cè)率上有所提高，同時(shí)具有更低誤報(bào)警率。

1　建立ARMA模型

王海元等[8]結(jié)合基于移動(dòng)Agent的中間技術(shù)設(shè)計(jì)了基于ARMA模型的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)可信數(shù)據(jù)采集方法。此方法表明ARMA模型對(duì)數(shù)據(jù)的采集具有高度的可信度，且可以相對(duì)減少網(wǎng)絡(luò)的能量消耗。而本文的研究主要針對(duì)數(shù)據(jù)周期性采集型無(wú)線(xiàn)傳感器網(wǎng)絡(luò)。并且，為了使網(wǎng)絡(luò)達(dá)到流量均衡，假設(shè)傳感器網(wǎng)絡(luò)已通過(guò)負(fù)載平衡技術(shù)[9]做了相應(yīng)的處理，防止了因?yàn)槁┒沸?yīng)導(dǎo)致的網(wǎng)絡(luò)擁塞。由于無(wú)線(xiàn)傳感器網(wǎng)絡(luò)節(jié)點(diǎn)的存儲(chǔ)能力、處理能力、能源都很有限，所以本文選取計(jì)算簡(jiǎn)單的ARMA（2p，2p-1）模型對(duì)流量進(jìn)行分析和預(yù)測(cè)以減少計(jì)算量和能耗。其中p為階數(shù)，p若太大，會(huì)增加計(jì)算量，所以我們決定采用ARMA（2，1）模型。

本系統(tǒng)利用平穩(wěn)化的數(shù)據(jù)序列建立ARMA模型。假設(shè)滑動(dòng)時(shí)間窗的大小為n，則節(jié)點(diǎn)采集到的數(shù)據(jù)流序列就為X0'，X1'，…，Xi'，…，Xn'。此序列是周期性的，但不是需要的平穩(wěn)序列，所以還需要對(duì)其進(jìn)行取對(duì)數(shù)處理以得到平穩(wěn)序列，處理后的序列為X0，X1，…，Xi，…，Xn。利用此平穩(wěn)序列來(lái)建立ARMA模型，并通過(guò)模型預(yù)測(cè)出第n+1個(gè)流量值。得到平穩(wěn)序列后，接下來(lái)就建立ARMA模型[10]，即：

B為后移算子，ai為白噪聲，它是獨(dú)立同分布的高斯隨機(jī)變量，它均值為零，方差為σ2a。

若此序列滿(mǎn)足上述條件，則為平穩(wěn)序列，從而得出ARMA擬合模型，如下公式（7）：

接著利用逆函數(shù)法進(jìn)行單步預(yù)測(cè)，ARMA的逆函數(shù)記為I1，I2，…，Ij，則有：

其中m為Xt之前m次觀測(cè)，可據(jù)預(yù)算精度的要求取值。

2　流量接受率范圍的估計(jì)

對(duì)于周期性傳送數(shù)據(jù)的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)來(lái)說(shuō)，在沒(méi)有攻擊發(fā)生或者無(wú)其他因素影響時(shí)，它應(yīng)該是以一定的速率定期在節(jié)點(diǎn)之間傳送信息，因此，各節(jié)點(diǎn)的流量不會(huì)發(fā)生很大的波動(dòng)，應(yīng)該一直保持在一定的范圍內(nèi)?；诖?，本文利用節(jié)點(diǎn)的PRR來(lái)作為是否有攻擊發(fā)生的依據(jù)。當(dāng)有攻擊發(fā)生時(shí)，節(jié)點(diǎn)的PRR會(huì)超出我們預(yù)測(cè)的范圍。相反，則不會(huì)超出。

接下來(lái)給出一段時(shí)間間隔內(nèi)關(guān)于傳輸失敗次數(shù)K的二項(xiàng)分布式：

假設(shè)網(wǎng)絡(luò)中的信息傳輸保持定期穩(wěn)定，利用前面已經(jīng)預(yù)測(cè)到的流量樣本，在一段時(shí)間窗口T內(nèi)按照每小段時(shí)間Tw分別提取預(yù)測(cè)樣本值為N1，N2，…，Nm，其中m等于T/Tw?？梢运愠鼋邮馨钠骄岛蜆?biāo)準(zhǔn)偏差為：

其中Ni，i=1，2，…，m為樣本值。

然后可以算出一段時(shí)間間隔內(nèi)的接收率的范圍。因?yàn)?s和6s的置信水平分別為99.87%和100%[11]，這里計(jì)算出間隔時(shí)間為3s和6s的PRR范圍為：

依據(jù)計(jì)算出來(lái)的流量接受率的范圍，就可以判斷是否有攻擊發(fā)生。當(dāng)后面的流量接受率超出范圍時(shí),則說(shuō)明網(wǎng)絡(luò)中有內(nèi)部攻擊發(fā)生。

3　仿真實(shí)驗(yàn)

本文采用OMNET++仿真軟件對(duì)本實(shí)驗(yàn)進(jìn)行仿真，它具有較好的系統(tǒng)兼容性，可以在Windows和各種UNIX操作系統(tǒng)下利用C++進(jìn)行編譯，對(duì)無(wú)線(xiàn)傳感器網(wǎng)絡(luò)的仿真可以達(dá)到很好的效果。實(shí)驗(yàn)仿真分為兩個(gè)部分，一是對(duì)ARMA模型能否精確地對(duì)流量進(jìn)行單步預(yù)測(cè)進(jìn)行驗(yàn)證，另外當(dāng)節(jié)點(diǎn)受到不同強(qiáng)度的內(nèi)部攻擊時(shí)，對(duì)比本系統(tǒng)和單獨(dú)使用ARMA模型的檢測(cè)準(zhǔn)確度、誤報(bào)警率。

3.1ARMA模型預(yù)測(cè)精度仿真

圖1實(shí)線(xiàn)顯示的為某一個(gè)傳感器網(wǎng)絡(luò)中通過(guò)某個(gè)節(jié)點(diǎn)的真實(shí)網(wǎng)絡(luò)流量。利用ARMA（2，1）模型預(yù)測(cè)流量，通過(guò)最小二乘法估計(jì)出模型參數(shù)如下：

此時(shí)令m=3，得到單步預(yù)測(cè)模型為：

圖1　ARMA單步預(yù)測(cè)結(jié)果

本實(shí)驗(yàn)從任意時(shí)間起，在250s內(nèi)每秒采樣數(shù)據(jù)流量一次，然后利用模型預(yù)測(cè)出流量，圖1中虛線(xiàn)部分就是利用ARMA模型預(yù)測(cè)的流量狀況。通過(guò)對(duì)比圖中實(shí)線(xiàn)和虛線(xiàn)，可以看出虛線(xiàn)和實(shí)線(xiàn)基本吻合，故而ARMA模型對(duì)流量的單步預(yù)測(cè)效果很好，這說(shuō)明利用ARMA（2，1）模型可以較好地對(duì)無(wú)線(xiàn)傳感器網(wǎng)絡(luò)流量進(jìn)行單步預(yù)測(cè)。

3.2入侵檢測(cè)方案的仿真

本實(shí)驗(yàn)通過(guò)分析入侵檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確度、誤報(bào)警率以及平均能量消耗三個(gè)指標(biāo)來(lái)判別本系統(tǒng)的可行性。

檢測(cè)準(zhǔn)確度指系統(tǒng)檢測(cè)到的惡意報(bào)文與全部報(bào)文的比值和系統(tǒng)檢測(cè)到的非惡意報(bào)文與全部檢測(cè)到的報(bào)文數(shù)量的比值。

誤報(bào)警率指系統(tǒng)將惡意的報(bào)文當(dāng)做正常的報(bào)文的數(shù)量與全部報(bào)文的比值和系統(tǒng)將正常的報(bào)文當(dāng)做惡意報(bào)文的數(shù)量與全部報(bào)文的比值。

一個(gè)好的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)必須具備高的檢測(cè)準(zhǔn)確度，同時(shí)還要有低的誤報(bào)警率。

下面是本實(shí)驗(yàn)的一些仿真參數(shù)的設(shè)定：

●實(shí)驗(yàn)面積：50×50,200×200m2

●一個(gè)基站

●節(jié)點(diǎn)數(shù)目：100

●節(jié)點(diǎn)均勻網(wǎng)絡(luò)部署

●信息發(fā)送率：包/1.5s或者包/15s

●包大小：10B~100B

●傳輸速率：100kbps，250kbps

●攻擊行為分別丟包率為30%、50%、100%

圖2顯示的是本文設(shè)計(jì)的入侵檢測(cè)系統(tǒng)和單獨(dú)使用ARMA模型以及單獨(dú)使用PRR對(duì)檢測(cè)準(zhǔn)確性的對(duì)比，橫坐標(biāo)為報(bào)文重放率，縱坐標(biāo)為檢測(cè)率。從圖中可以看出三種方案的檢測(cè)率和報(bào)文重放率密切相關(guān)，當(dāng)重放率低于10%時(shí)，只有本方案的檢測(cè)率超過(guò)了50%，這是因?yàn)槠渌麅煞N方案都可能因?yàn)槿藶樵O(shè)置的閾值不夠精確而導(dǎo)致部分報(bào)文被忽略；當(dāng)重放率達(dá)到40%的時(shí)候三種方案的檢測(cè)率都接近100%。綜上，當(dāng)攻擊較為明顯時(shí)，三種方案都可以用來(lái)檢測(cè)拒絕服務(wù)攻擊，都可以達(dá)到很好的效果。當(dāng)攻擊不明顯時(shí)，本方案顯然表現(xiàn)出更好的檢測(cè)準(zhǔn)確度。

圖2　檢測(cè)準(zhǔn)確度

圖3中顯示的是上述三種方案的誤報(bào)警率。橫坐標(biāo)為報(bào)文重放率，縱坐標(biāo)為誤報(bào)警率。從圖中可以看出隨著重放率的增加，三種方案的誤報(bào)警率都維持在一個(gè)很低的水平，因?yàn)樾诺勒`碼所導(dǎo)致的丟包在客觀上降低了重放報(bào)文攻擊的誤報(bào)警率；但當(dāng)報(bào)文重放率低于20%時(shí)，本方案相對(duì)于單獨(dú)運(yùn)用ARMA模型，其誤報(bào)警率明顯低于后者。

圖3　誤報(bào)警率

4　結(jié)語(yǔ)

實(shí)驗(yàn)結(jié)果表明，對(duì)于周期性的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)流量的單步預(yù)測(cè)，ARMA模型可以達(dá)到很好的效果。對(duì)于檢測(cè)內(nèi)部攻擊時(shí)，本文方案相對(duì)于單獨(dú)使用ARMA模型來(lái)說(shuō)，減少了人為因素的影響，在檢測(cè)率上有所提高，并擁有更低的誤報(bào)警率。后期我們?cè)诓粩鄡?yōu)化本系統(tǒng)的同時(shí)，還要更深入地研究本系統(tǒng)對(duì)于非周期性傳感器網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)。

[1]Murad A,RassamM A,MaarofAnazida Zainal.A Survey of Intrusion Detection Schemes in Wireless Sensor Networks[J].American Journal of Applied Sciences,2013,9（10）:1~9

[2]Pooja,GuptaDr,Naveen,Hemrajani.Security Issues in Wireless Sensor Network:A Review[J].International Journal of Engineering Sciences&Research Technology,2013,2（5）:342~350

[3]Shilpa,S,Patil,P,S,Khanagoudar.Intrusion Detection Based Security Solution for Cluster Based WSN[J].International Journal of Advanced Research in Computer Engineering&Technology（IJARCET）,2013,1（4）:123~132

[4]韓志杰,張瑋瑋,陳志國(guó).基于Markov的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)機(jī)[J].計(jì)算機(jī)工程與科學(xué),2010,32（9）:27~35

[5]曹雪梅,韓志杰,陳貴海.基于流量預(yù)測(cè)的傳感器網(wǎng)絡(luò)拒絕服務(wù)攻擊檢測(cè)方案[J].計(jì)算機(jī)學(xué)報(bào),2007,30（10）:116~120

[6]李捷,劉先省,韓志杰.基于ARMA的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)流量預(yù)測(cè)模型的研究.電子與信息學(xué)報(bào),2007,29（5）:3~7

[7]肖政宏,謝贊福,陳志剛.無(wú)線(xiàn)傳感器網(wǎng)絡(luò)中一種基于流量預(yù)測(cè)和相關(guān)系數(shù)的異常檢測(cè)方法[J].微電子學(xué)與計(jì)算機(jī),2009,26（7）: 22~26

[8]王海元,王汝傳,黃海平等.基于ARMA模型的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)可信數(shù)據(jù)采集方法[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版）,2009, 29（4）:23~29

[9]黃健榮,王新建,于蕭榕.無(wú)線(xiàn)局域網(wǎng)中一種層次式負(fù)載平衡技術(shù)[J].計(jì)算機(jī)與數(shù)字工程,2014,42（4）:145~152

[10]韓志杰，王汝傳，凡高娟等.一種基于ARMA的WSN非均衡分簇路由算法[J].電子學(xué)報(bào)，2010，38（4）:865~869

[11]NIST/SEMATEC e-Handbook of Statistical Methods,2010,http://www.itl.nist.gov/div898/handbook/index.htm

Wireless Sensor Networks;Intrusion Detection;Autoregressive Moving Average Model（ARMA）;Packet Reception Rate

Intrusion Detection Technology of WSN Based on ARMA Model

PENG Jun，ZHAO Shi-zhen，SUN Qing-zhong，F(xiàn)U Yu

（School of Computer and Software Engineering,Xihua University,Chengdu 610039）

In wireless sensor networks,in view of internal attacks pose a serious threat to the characteristics of the network,such as causing network congestion,energy consumption and so on,proposes an intrusion detection technology based on ARMA.It's used to establish ARMA(2,1）flow forecasting model for node,and uses the predicted flow values to get the range of the packet reception rate through the nodes,compares the actual packet reception rate and forecasts range to achieve the effect of detection.Experimental results show that the system has a higher detection rate and lower false alarm rate compared with the single ARMA model.

1007-1423（2015）12-0018-05

10.3969/j.issn.1007-1423.2015.12.004

彭軍（1989-），男，湖北武漢人，碩士研究生，研究方向?yàn)闊o(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

趙石真（1991-），女，河南漯河人，碩士研究生，研究方向?yàn)闊o(wú)線(xiàn)傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

孫慶中（1986-），男，河南駐馬店人，碩士研究生，研究方向?yàn)榍度胧较到y(tǒng)及其應(yīng)用

傅宇（1989-），男，安徽六安人，碩士研究生，研究方向?yàn)檎J(rèn)知無(wú)線(xiàn)傳感器網(wǎng)絡(luò)

2015-04-14

2015-04-30