穆瑞輝

（新鄉(xiāng)學(xué)院計(jì)算機(jī)與信息工程學(xué)院，河南　新鄉(xiāng)453003）

一種基于無(wú)線傳感器網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)

穆瑞輝

（新鄉(xiāng)學(xué)院計(jì)算機(jī)與信息工程學(xué)院，河南新鄉(xiāng)453003）

描述了關(guān)于WSN（無(wú)線傳感器網(wǎng)絡(luò)）入侵檢測(cè)的基本方法，并依據(jù)該方法建立了對(duì)應(yīng)的數(shù)學(xué)模型。詳細(xì)分析并歸納了基于WSN運(yùn)行的網(wǎng)絡(luò)關(guān)鍵特性，同時(shí)設(shè)計(jì)了一個(gè)通用的入侵檢測(cè)模型，該模型具有耗能小、檢測(cè)速度快等優(yōu)點(diǎn)。

WSN；入侵檢測(cè)；網(wǎng)絡(luò)特性

WSN（Wireless Sensor Network）是構(gòu)成物聯(lián)網(wǎng)的重要部分，是關(guān)于信息采集和信息感知的一場(chǎng)革命，它有著廣闊的應(yīng)用前景，可用于工業(yè)生產(chǎn)控制、醫(yī)療診斷、環(huán)境檢測(cè)、智能家居、商業(yè)應(yīng)用及軍事偵察等諸多方面［1］。WSN是一種分布式的網(wǎng)絡(luò)，常用于對(duì)節(jié)點(diǎn)部署區(qū)內(nèi)的各種信息進(jìn)行采集和檢測(cè)，比如噪聲、濕度、有害氣體、溫度和光強(qiáng)等，其規(guī)模較大，節(jié)點(diǎn)一般分布在環(huán)境條件惡劣并且無(wú)人維護(hù)的地方。它通常在信息采集完畢并分析處理后，將數(shù)據(jù)通過(guò)無(wú)線的方式發(fā)送給研究者。由于WSN的網(wǎng)絡(luò)節(jié)點(diǎn)工作環(huán)境惡劣，既要面對(duì)各種威脅，如數(shù)據(jù)偽造、拒絕服務(wù)、數(shù)據(jù)泄露和重復(fù)攻擊等，又要面對(duì)攻擊者為獲取機(jī)密信息，比如存儲(chǔ)在傳感器節(jié)點(diǎn)中的數(shù)據(jù)、共享密鑰等對(duì)節(jié)點(diǎn)的物理捕獲，甚至有些攻擊者通過(guò)重寫(xiě)存儲(chǔ)器，把節(jié)點(diǎn)變成攻擊者的網(wǎng)絡(luò)“臥底”，因此WSN系統(tǒng)的安全性要求較高，要求它既能準(zhǔn)確地對(duì)網(wǎng)絡(luò)中各種非法入侵進(jìn)行識(shí)別、報(bào)警并進(jìn)行主動(dòng)防御，又能準(zhǔn)確地對(duì)入侵節(jié)點(diǎn)進(jìn)行身份識(shí)別或位置定位，從而隔離入侵節(jié)點(diǎn)，保證WSN系統(tǒng)的安全。

1　入侵檢測(cè)的原理和數(shù)學(xué)模型

WSN網(wǎng)絡(luò)節(jié)點(diǎn)自身攜帶的電池能源是有限的，并且節(jié)點(diǎn)大都分布在無(wú)人區(qū)等環(huán)境惡劣的地方，因此在構(gòu)建入侵檢測(cè)模型時(shí)，要關(guān)注以下幾點(diǎn)：1）節(jié)點(diǎn)的檢測(cè)速度。如果節(jié)點(diǎn)檢測(cè)速度慢，不僅會(huì)造成節(jié)點(diǎn)能量的浪費(fèi)，還會(huì)造成節(jié)點(diǎn)的壽命變短。2）節(jié)點(diǎn)的網(wǎng)絡(luò)分布拓?fù)浣Y(jié)構(gòu)。這要求入侵檢測(cè)模型的工作模式也是分布式的。3）入侵檢測(cè)的準(zhǔn)確性。即使在網(wǎng)絡(luò)出錯(cuò)的情況下也需保持高準(zhǔn)確性。

為了滿(mǎn)足上述要求，需要在監(jiān)視區(qū)域部署監(jiān)視節(jié)點(diǎn)和普通節(jié)點(diǎn)兩種類(lèi)型的節(jié)點(diǎn)。監(jiān)視節(jié)點(diǎn)因?yàn)榫哂谐瑥?qiáng)的計(jì)算處理能力、大的存儲(chǔ)容量及遠(yuǎn)距離的無(wú)線傳輸能力，且運(yùn)行模式是混合模式，既可以對(duì)信道進(jìn)行監(jiān)聽(tīng)，又可以對(duì)數(shù)據(jù)進(jìn)行傳輸，所以主要被用來(lái)監(jiān)聽(tīng)大范圍的信道，以監(jiān)控是否產(chǎn)生了非法的節(jié)點(diǎn)。普通節(jié)點(diǎn)主要負(fù)責(zé)數(shù)據(jù)的采集、檢測(cè)，以及數(shù)據(jù)的匯集和路由轉(zhuǎn)發(fā)［2］。

假設(shè)有監(jiān)視節(jié)點(diǎn)M個(gè)，這M個(gè)節(jié)點(diǎn)組成的集合，記為M，運(yùn)行模式為混合模式，可進(jìn)行無(wú)線傳輸?shù)淖畲缶嚯x是R；普通節(jié)點(diǎn)N個(gè)，節(jié)點(diǎn)集合記為N，每個(gè)節(jié)點(diǎn)都可以與鄰居節(jié)點(diǎn)通過(guò)一個(gè)安全的數(shù)據(jù)鏈路進(jìn)行通信，可進(jìn)行無(wú)線傳輸?shù)淖畲缶嚯x是r，且r＜＜R；監(jiān)視節(jié)點(diǎn)和普通節(jié)點(diǎn)的網(wǎng)絡(luò)位置分布服從泊松分布，在面積為A的區(qū)域內(nèi)被混合隨機(jī)部署，則普通節(jié)點(diǎn)的密度函數(shù)為

監(jiān)視節(jié)點(diǎn)的密度函數(shù)為

假設(shè)監(jiān)視節(jié)點(diǎn)m所能監(jiān)聽(tīng)到的最大范圍（半徑為R的圓形）內(nèi)普通節(jié)點(diǎn)的集合用SMBm來(lái)表示，那么監(jiān)視節(jié)點(diǎn)m能監(jiān)聽(tīng)到數(shù)量為k的普通節(jié)點(diǎn)的概率就是普通節(jié)點(diǎn)在半徑為R的圓上分布的概率。因?yàn)楦鞴?jié)點(diǎn)的分布服從泊松分布，所以有

同理，假設(shè)普通節(jié)點(diǎn)s所能監(jiān)聽(tīng)到的最大范圍（半徑為r的圓形）內(nèi)的普通節(jié)點(diǎn)的集合用SHBs來(lái)表示，則普通節(jié)點(diǎn)s有鄰居節(jié)點(diǎn)k1的概率為

由于普通節(jié)點(diǎn)和監(jiān)視節(jié)點(diǎn)都服從泊松分布，并且是隨機(jī)部署，因此，可以用（3）式計(jì)算出每個(gè)監(jiān)視節(jié)點(diǎn)至少可監(jiān)聽(tīng)到數(shù)量為k的普通節(jié)點(diǎn)的概率為

同樣，可以用（4）式計(jì)算出每個(gè)普通節(jié)點(diǎn)s至少與數(shù)量為k1的鄰居節(jié)點(diǎn)保持安全數(shù)據(jù)通信的概率為

用（4）式計(jì)算出每個(gè)普通節(jié)點(diǎn)最多有k2個(gè)鄰居節(jié)點(diǎn)的概率為

2　WSN網(wǎng)絡(luò)的關(guān)鍵特征

WSN有自己固有的特性，如數(shù)據(jù)傳輸模式、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和節(jié)點(diǎn)特性等，本文中所設(shè)計(jì)的入侵檢測(cè)模型就是通過(guò)檢測(cè)這些特性來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常節(jié)點(diǎn)，進(jìn)而判斷出入侵節(jié)點(diǎn)。

為了把模型中WSN的網(wǎng)絡(luò)特性描述清楚，現(xiàn)做如下假設(shè)：

1）pmean是網(wǎng)絡(luò)節(jié)點(diǎn)每秒產(chǎn)生的數(shù)據(jù)包的概率。

2）nc是網(wǎng)絡(luò)節(jié)點(diǎn)平均每秒要傳輸?shù)臄?shù)據(jù)包數(shù)量。

3）k2是每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的最多鄰居數(shù)目，k1是每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的最少鄰居數(shù)目。

4）t是網(wǎng)絡(luò)節(jié)點(diǎn)處理每個(gè)數(shù)據(jù)包的平均時(shí)間。

5）s是網(wǎng)絡(luò)節(jié)點(diǎn)產(chǎn)生數(shù)據(jù)包的平均長(zhǎng)度。

6）nu是網(wǎng)絡(luò)節(jié)點(diǎn)傳輸或者產(chǎn)生數(shù)據(jù)包的平均耗能。

7）pi是每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)可以與i個(gè)鄰居節(jié)點(diǎn)進(jìn)行安全通信的概率。

2.1網(wǎng)絡(luò)節(jié)點(diǎn)的流量

設(shè)r是WSN中每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的無(wú)線傳輸距離，則根據(jù)假設(shè)1）、7）和（4）、（6）、（7）式，可以計(jì)算出網(wǎng)絡(luò)節(jié)點(diǎn)傳輸數(shù)據(jù)和產(chǎn)生數(shù)據(jù)的平均流量Ta、最小流量Tmin和最大流量Tmax分別為。其中pi的值可以由（4）式算出。

在實(shí)際應(yīng)用中，可能有些網(wǎng)絡(luò)節(jié)點(diǎn)由于出現(xiàn)硬件故障或者電池能源耗盡而退出網(wǎng)絡(luò)，故這些節(jié)點(diǎn)傳輸和產(chǎn)生的數(shù)據(jù)量是零。這種情況會(huì)在檢測(cè)節(jié)點(diǎn)數(shù)據(jù)的最小流量時(shí)產(chǎn)生影響，導(dǎo)致檢測(cè)結(jié)果出現(xiàn)偏差。因此，這里以每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的最大流量和平均流量作為主要的入侵檢測(cè)特征［3］。

2.2鄰居節(jié)點(diǎn)的數(shù)量

在實(shí)際應(yīng)用中，一般情況下不會(huì)增加新的網(wǎng)絡(luò)節(jié)點(diǎn)，而每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都可能會(huì)因能源耗盡而停止工作，導(dǎo)致與之相鄰的網(wǎng)絡(luò)節(jié)點(diǎn)的鄰居節(jié)點(diǎn)數(shù)量減少，因此，如果發(fā)現(xiàn)某些節(jié)點(diǎn)的鄰居節(jié)點(diǎn)數(shù)目增加，就有可能是入侵網(wǎng)絡(luò)的非法節(jié)點(diǎn)。

2.3路由表變化頻率

依據(jù)2.2的描述，一旦WSN部署完畢，就不會(huì)增加新的節(jié)點(diǎn)，因此，路由表應(yīng)該在一定的時(shí)間段是保持靜態(tài)的，不會(huì)發(fā)生太大、太快的變化。

2.4網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)包處理的最長(zhǎng)時(shí)間

（（k2-1）nc+Δn）t是每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)包和處理自己所產(chǎn)生的數(shù)據(jù)包的最長(zhǎng)時(shí)間，其中Δn為固定參數(shù)。

2.5數(shù)據(jù)包存儲(chǔ)占用的最大空間

（（k2-1）nc+Δn）s是每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行存儲(chǔ)轉(zhuǎn)發(fā)數(shù)據(jù)包所需要的最大空間值。

2.6網(wǎng)絡(luò)節(jié)點(diǎn)的耗能

（（k2-1）nc+Δn）nu是網(wǎng)絡(luò)節(jié)點(diǎn)每秒耗能的最大值。

使用以上定義的WSN網(wǎng)絡(luò)的特性，就可以檢測(cè)出網(wǎng)絡(luò)節(jié)點(diǎn)是否被入侵。

3　基于WSN網(wǎng)絡(luò)特性的入侵檢測(cè)模型

3.1入侵檢測(cè)模型的構(gòu)建

假設(shè)場(chǎng)景為某戰(zhàn)場(chǎng)，一方使用飛機(jī)等飛行器將體積微小的傳感器節(jié)點(diǎn)拋灑到需要監(jiān)聽(tīng)的另一方陣地。這些傳感器節(jié)點(diǎn)會(huì)把檢測(cè)到的敵方信息生成相應(yīng)的數(shù)據(jù)報(bào)告，并通過(guò)安全的數(shù)據(jù)鏈路發(fā)送到隱蔽基站，由基站把數(shù)據(jù)報(bào)告通過(guò)衛(wèi)星或者大功率的無(wú)線電臺(tái)轉(zhuǎn)發(fā)到后方指揮中心。由于戰(zhàn)場(chǎng)形勢(shì)瞬息萬(wàn)變，及時(shí)發(fā)來(lái)的數(shù)據(jù)信息是戰(zhàn)場(chǎng)勝負(fù)的關(guān)鍵因素之一，因此WSN網(wǎng)絡(luò)的快速傳輸和快速檢測(cè)能力就顯得極為重要。但是，部署在對(duì)方陣地的傳感器節(jié)點(diǎn)容易暴露并被捕獲，若對(duì)方在其中植入代碼，則可更改和竊取更多傳感器節(jié)點(diǎn)的數(shù)據(jù)信息，進(jìn)而通過(guò)無(wú)線電信號(hào)干擾和破壞一定范圍內(nèi)的傳感器節(jié)點(diǎn)的正常數(shù)據(jù)通信。此外，常見(jiàn)的傳感器節(jié)點(diǎn)攻擊還有耗盡能量的攻擊和不同步的攻擊等［5］。

本文構(gòu)建的入侵檢測(cè)模型如圖1所示。

監(jiān)視節(jié)點(diǎn)先監(jiān)聽(tīng)其監(jiān)視范圍內(nèi)的網(wǎng)絡(luò)節(jié)點(diǎn)，再將檢測(cè)到的數(shù)據(jù)信息存儲(chǔ)、過(guò)濾和整理分類(lèi)，最后對(duì)數(shù)據(jù)信息進(jìn)行分析并轉(zhuǎn)發(fā)，過(guò)程如圖2所示。

圖1　入侵檢測(cè)模型檢測(cè)流程圖

圖2　監(jiān)視節(jié)點(diǎn)進(jìn)行數(shù)據(jù)信息分類(lèi)和收集

窗函數(shù)決定了監(jiān)視節(jié)點(diǎn)能收集的數(shù)據(jù)信息量。在圖2中，監(jiān)視節(jié)點(diǎn)的檢測(cè)時(shí)間被分成若干時(shí)間片，每個(gè)窗函數(shù)所能用的時(shí)間片是動(dòng)態(tài)的，大小由入侵檢測(cè)結(jié)果來(lái)決定。檢測(cè)過(guò)程可以用如下算法描述：

在算法中，監(jiān)視節(jié)點(diǎn)開(kāi)始只在原始分配的時(shí)間片MT內(nèi)監(jiān)聽(tīng)其周?chē)木W(wǎng)絡(luò)節(jié)點(diǎn)，若檢測(cè)收集的數(shù)據(jù)信息量大，那么監(jiān)視節(jié)點(diǎn)就會(huì)調(diào)整窗函數(shù)來(lái)延長(zhǎng)收集時(shí)間，從而可以監(jiān)聽(tīng)到更多的數(shù)據(jù)信息。如果監(jiān)視節(jié)點(diǎn)延長(zhǎng)的窗函數(shù)處理時(shí)間超出原始的監(jiān)聽(tīng)時(shí)間片較多，則監(jiān)視節(jié)點(diǎn)就會(huì)減少監(jiān)聽(tīng)時(shí)間［6-7］。

3.2入侵檢測(cè)模型的仿真實(shí)驗(yàn)

通過(guò)仿真可檢測(cè)出該模型與常用模型相比所具有的優(yōu)勢(shì)。在發(fā)生攻擊時(shí)，數(shù)據(jù)信息包傳輸信道的報(bào)文重放率與相關(guān)系數(shù)之間的關(guān)系如圖3所示。

圖3　報(bào)文重放率與入侵檢測(cè)相關(guān)系數(shù)的關(guān)系

從圖3可以看出，在報(bào)文重放率較小的情況下，相關(guān)系數(shù)的值要大于傳統(tǒng)模型的檢測(cè)值，隨著報(bào)文重放率的增大，本文設(shè)計(jì)的檢測(cè)模型的相關(guān)系數(shù)急劇下降，符合相關(guān)系數(shù)受報(bào)文重放率影響的特征。

與傳統(tǒng)檢測(cè)模型相比，該模型具有明顯的入侵檢測(cè)優(yōu)勢(shì)：1）檢測(cè)速度更快；2）不需要額外的硬件支持，資源消耗少，增強(qiáng)了WSN網(wǎng)絡(luò)的健壯性；3）在采集數(shù)據(jù)的同時(shí)進(jìn)行入侵檢測(cè)，并對(duì)數(shù)據(jù)包進(jìn)行分析，不僅大大提高了入侵檢測(cè)的速度，而且大大減輕了通信負(fù)擔(dān)。

4　結(jié)束語(yǔ)

通過(guò)在WSN網(wǎng)絡(luò)中部署普通節(jié)點(diǎn)和監(jiān)視節(jié)點(diǎn)，并劃分相應(yīng)節(jié)點(diǎn)的功能，構(gòu)建了基于WSN網(wǎng)絡(luò)的入侵檢測(cè)模型，該模型具有耗能小、檢測(cè)速度快等優(yōu)點(diǎn)，可以應(yīng)用于大部分WSN網(wǎng)絡(luò)的入侵檢測(cè)中。

［1］劉陽(yáng).基于免疫原理的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究［D］.北京：中國(guó)科學(xué)院計(jì)算技術(shù)研究所，2008.

［2］VAQUERO L，RODERO M L，CACERCE J，et al.A Break in the Clouds:Towards a Cloud Definition［J］. SIGCOMM Computer Communication Review，2009，39 （1）:50-55.

［3］張建偉，王玲艷，姚云磊.一種基于OPTICS聚類(lèi)的流量分類(lèi)算法［J］.鄭州輕工業(yè)學(xué)院學(xué)報(bào)（自然科學(xué)版），2013 （2）：93-96.

［4］徐志紅，劉進(jìn)軍，趙生慧.適應(yīng)廣域網(wǎng)的虛擬機(jī)在線遷移模型［J］.計(jì)算機(jī)應(yīng)用，2012（7）：1929-1931.

［5］任豐原，黃海寧，林闖.無(wú)線傳感器網(wǎng)絡(luò)［J］.軟件學(xué)報(bào)，2013（7）：1282-1291.

［6］王得發(fā)，王麗芳，蔣澤軍.云計(jì)算環(huán)境中虛擬機(jī)智遷移關(guān)鍵技術(shù)研究［J］.計(jì)算機(jī)測(cè)量與控制，2012（5）：1389-1391.

［7］賴(lài)昨江，王漫，尹京苑.無(wú)線傳感器網(wǎng)絡(luò)安全研究綜述［J］.電子測(cè)量技術(shù)，2010（12）：72-78.

【責(zé)任編輯梅欣麗】

An Intrusion Detection Technology Based on Wireless Sensor Networks

MU Ruihui
（College of Computer and Information Engineering，Xinxiang University，Xinxiang 453003，China）

This paper described the basic methods on WSN（Wireless Sensor Networks）intrusion detection technology，and the corresponding mathematical model was established according to the method.The key features of network-based WSN run were detailedly analyzed and summarized；meanwhile a common intrusion detection model was designed，which had advantages of low energy consumption and fast testing speed.

WNS；intrusion detection；network features

TP393

A

2095-7726（2016）03-0033-04

2015-11-15

穆瑞輝（1980-），男，河南輝縣人，講師，碩士，研究方向：網(wǎng)絡(luò)軟件設(shè)計(jì)與開(kāi)發(fā)。