盧楠 杜清河 任品毅

摘要：提出基于空口負(fù)載特征學(xué)習(xí)的入侵檢測(cè)體系與方法?；就ㄟ^(guò)分析海量機(jī)器類(lèi)通信（mMTC）節(jié)點(diǎn)隨機(jī)接入過(guò)程中的空口信號(hào)，可以智能化學(xué)習(xí)接入負(fù)載特征。在此基礎(chǔ)上，結(jié)合常態(tài)流量負(fù)載統(tǒng)計(jì)信息，設(shè)計(jì)了入侵攻擊檢測(cè)的框架與實(shí)時(shí)檢測(cè)方案。分析與仿真結(jié)果表明所提方法可以較準(zhǔn)確地跟蹤接入負(fù)載變化。與基準(zhǔn)方案相比，可獲得較高的檢測(cè)概率和較短的檢測(cè)時(shí)間。方案不依賴于高層安全協(xié)議，可基于底層信號(hào)實(shí)現(xiàn)快速入侵檢測(cè)，為未來(lái)的物聯(lián)網(wǎng)（IoT）安全防護(hù)提供了新型思路與參考方案。

關(guān)鍵詞： 入侵檢測(cè)；MTC網(wǎng)絡(luò)；隨機(jī)接入；最大似然檢測(cè)

Abstract： In this paper， an air-interface traffic-load based intrusion detection approach is proposed. The base station can intelligently learn the traffic-load features by analyzing the air-interference signal in the massive machine type communications （mMTC） nodes random access procedure. With the help of the statistic information under the normal case， the framework of intrusion and attack detection for massive machine type communications （MTC） networks is established and a real time detection scheme is designed. The performance analysis and simulation results demonstrate that our scheme can well track the arrival process with high accuracy， and outperform the baseline schemes in terms of the detection probability and the detection time. Our low layer signal based approach can make an agile intrusion detection and does not depend on security protocol applied on the high layer， which provides novel thinking and a reference scheme for the security enhancement in future Internet of things （IoT）.

Key words： intrusion detection； MTC networks； random access； maximum likelihood detection

機(jī)器類(lèi)通信（MTC）是指不需要或只需要很少的人工干預(yù)下機(jī)器之間的通信。海量機(jī)器類(lèi)通信（mMTC）面向物聯(lián)網(wǎng)低成本節(jié)點(diǎn)泛在信息交換，成為5G通信系統(tǒng)的主要場(chǎng)景之一。目前，已經(jīng)有50億機(jī)器通信終端連接無(wú)線網(wǎng)絡(luò)，到2020年這個(gè)數(shù)字預(yù)計(jì)會(huì)達(dá)到500億[1]。機(jī)器通信網(wǎng)絡(luò)有眾多應(yīng)用，如：自動(dòng)駕駛、智慧醫(yī)療、智能測(cè)量、家居管理、智慧城市[2]。

安全性保障是大規(guī)模機(jī)器網(wǎng)絡(luò)的重要任務(wù)之一。然而，大規(guī)模機(jī)器通信網(wǎng)絡(luò)往往要求節(jié)點(diǎn)具有低成本特性，這一要求也削弱了節(jié)點(diǎn)的安全防護(hù)能力。安全問(wèn)題有可能阻礙機(jī)器通信的發(fā)展甚至危害機(jī)器通信的各種應(yīng)用。所以，機(jī)器通信中的安全性問(wèn)題目前已經(jīng)吸引了越來(lái)越多的研究[2-3]。大規(guī)模機(jī)器通信網(wǎng)絡(luò)中的安全問(wèn)題可以分為以下幾類(lèi)：物理攻擊、配置攻擊、協(xié)議攻擊。機(jī)器通信網(wǎng)絡(luò)中的安全保障機(jī)制也可以在網(wǎng)絡(luò)協(xié)議棧的各層進(jìn)行配置，例如：鑒權(quán)機(jī)制、加密算法、安全路由協(xié)議等。在mMTC網(wǎng)絡(luò)中，入侵攻擊是一種典型的安全隱患。如圖1所示，在某些情況下，機(jī)器通信網(wǎng)絡(luò)可能被一些惡意終端入侵，這些惡意終端接入后可以像正常的終端一樣傳遞信息。惡意終端不會(huì)以癱瘓網(wǎng)絡(luò)為目的進(jìn)行攻擊，而是在隱藏自己的同時(shí)發(fā)送虛假的感知信息，以達(dá)到其他惡意目的。目前，通信領(lǐng)域已經(jīng)開(kāi)發(fā)了一些手段來(lái)防止惡意終端入侵網(wǎng)絡(luò)。其中，第3代合作伙伴計(jì)劃（3GPP）推進(jìn)了先進(jìn)包交換鑒權(quán)密鑰協(xié)議的標(biāo)準(zhǔn)化[4]。此外，也有大量基于鑒權(quán)和密鑰協(xié)議來(lái)保障網(wǎng)絡(luò)安全性的研究[5-6]。

上述大部分機(jī)制在網(wǎng)絡(luò)上層增強(qiáng)安全性，這需要一定的信號(hào)開(kāi)銷(xiāo)和復(fù)雜的信任管理機(jī)制。所以，它們難以有效適應(yīng)面向5G的大規(guī)模低成本機(jī)器通信網(wǎng)絡(luò)的發(fā)展。作為上層安全機(jī)制的補(bǔ)充，我們通過(guò)研究發(fā)現(xiàn)可通過(guò)觀測(cè)空口流量負(fù)載變化進(jìn)行入侵檢測(cè)。根據(jù)這一思路，我們提出了一種基于空口流量負(fù)載學(xué)習(xí)的入侵檢測(cè)方法。本方法利用入侵攻擊和正常狀態(tài)網(wǎng)絡(luò)流量的差異性來(lái)判斷是否有入侵發(fā)生。已經(jīng)有文獻(xiàn)利用空口流量來(lái)研究小區(qū)網(wǎng)絡(luò)中流量特征分類(lèi)問(wèn)題以提高服務(wù)可見(jiàn)性[7]，或者設(shè)計(jì)自適應(yīng)算法改變隨機(jī)接入的有關(guān)參數(shù)以均衡網(wǎng)絡(luò)負(fù)載[8]；而尚未有利用空口流量進(jìn)行安全入侵攻擊檢測(cè)的手段。

為了提升大規(guī)模機(jī)器通信網(wǎng)絡(luò)的安全性，我們給出了mMTC網(wǎng)絡(luò)的入侵模型并設(shè)計(jì)了入侵檢測(cè)方法。本方法不同于傳統(tǒng)上層安全保障機(jī)制，而是利用了空口流量負(fù)載特征進(jìn)行入侵攻擊發(fā)現(xiàn)。本文方法包含2個(gè)部分：首先，基于機(jī)器類(lèi)型終端隨機(jī)接入過(guò)程中碰撞與成功的狀態(tài)進(jìn)行流量負(fù)載估計(jì)；在此基礎(chǔ)上，結(jié)合流量負(fù)載規(guī)律建立了入侵檢測(cè)框架及實(shí)時(shí)檢測(cè)方法。本方法可以作為現(xiàn)有安全協(xié)議的補(bǔ)充。同時(shí)，該方案利用底層信息，不會(huì)造成新的信令開(kāi)銷(xiāo)，并能有效地減小攻擊發(fā)現(xiàn)時(shí)間，有望為未來(lái)物聯(lián)網(wǎng)（IoT）安全入侵防護(hù)提供理論基礎(chǔ)及參考方案。

1 mMTC系統(tǒng)模型

我們考慮如下的mMTC系統(tǒng)，該系統(tǒng)由一個(gè)基站和在其覆蓋范圍內(nèi)的大量MTC終端組成。正常情況下，所有的MTC終端都是注冊(cè)過(guò)的合法用戶，其數(shù)量用[N]表示；但是在某些時(shí)候，一定數(shù)量的惡意MTC終端會(huì)在未經(jīng)許可的情況下進(jìn)入該網(wǎng)絡(luò)，并且成功通過(guò)了鑒權(quán)機(jī)制。這些惡意終端會(huì)發(fā)送錯(cuò)誤信息來(lái)擾亂IoT系統(tǒng)的常規(guī)運(yùn)轉(zhuǎn)，或者占用系統(tǒng)的時(shí)頻資源，比如物理上行/下行共享信道（PUSCH/PDSCH），從而進(jìn)一步達(dá)到不法的惡意目的。為了更好地隱蔽自己，惡意終端不會(huì)采取強(qiáng)烈或者易被察覺(jué)的攻擊，比如：拒絕服務(wù)（DoS）攻擊。當(dāng)惡意終端的數(shù)量相對(duì)較小時(shí)，mMTC網(wǎng)絡(luò)不會(huì)被明顯影響到；反之，虛假或錯(cuò)誤信息傳播形成規(guī)模，造成極大危害。我們定義可以接受的最大惡意終端的數(shù)量為[N1]，如果惡意終端的數(shù)量超過(guò)[N1]，則認(rèn)為mMTC網(wǎng)絡(luò)發(fā)生了入侵行為。我們用[H0]和[H1]分別代表假設(shè)：入侵未發(fā)生和發(fā)生。mMTC網(wǎng)絡(luò)中的合法MTC終端與惡意MTC終端數(shù)量的和定義為[N0]。那么，我們的檢測(cè)問(wèn)題可以描述為：

目前，5G mMTC網(wǎng)絡(luò)仍然處于標(biāo)準(zhǔn)化的初始階段，具體協(xié)議尚未確定。因此，本文中我們暫時(shí)遵循長(zhǎng)期演進(jìn)（LTE）網(wǎng)絡(luò)規(guī)范[10]。LTE網(wǎng)絡(luò)中的機(jī)器類(lèi)型網(wǎng)絡(luò)規(guī)范的核心特征包括Beta分布到達(dá)模型、訪問(wèn)類(lèi)別限制（ACB）機(jī)制，及4次握手接入?yún)f(xié)議。

1.1 流量模型

在網(wǎng)絡(luò)中有[N]個(gè)注冊(cè)過(guò)的合法MTC終端。文獻(xiàn)[9]給出了兩種流量模型：模型1可以視為MTC終端在一段時(shí)間內(nèi)均勻地接入網(wǎng)絡(luò)，比如非同步模式；模型2可以視為大量MTC終端以高度同步的模式接入網(wǎng)絡(luò)，比如一次斷電后的接入。考慮到網(wǎng)絡(luò)流量的突發(fā)性，我們采用文獻(xiàn)[9]的模型2來(lái)描述本網(wǎng)絡(luò)中的合法MTC終端的到達(dá)過(guò)程。具體說(shuō)來(lái)，MTC終端在[t]時(shí)刻發(fā)送接入請(qǐng)求的數(shù)量滿足概率密度函數(shù)[gt]，其中[gt]服從Beta分布，如下：

其中，[TA]是時(shí)間長(zhǎng)度，[Betaα，β]是Beta函數(shù)[10]，對(duì)[gt]在時(shí)間上積分可以求出在第[i]次接入中的到達(dá)終端數(shù)[Ai]，下標(biāo)“[i]”表示第[i]個(gè)時(shí)隙。在我們的模型中，惡意MTC終端以一種最隱蔽的方式存在于網(wǎng)絡(luò)中。也就是說(shuō)，它們有和合法終端同樣的到達(dá)過(guò)程、時(shí)間起點(diǎn)和接入過(guò)程。

1.2 接入控制

在本系統(tǒng)模型中，時(shí)間劃分為時(shí)隙，每個(gè)時(shí)隙由下標(biāo)“[i]”索引，且MTC終端遵循LTE網(wǎng)絡(luò)中的ACB機(jī)制[11]。在每個(gè)時(shí)隙開(kāi)始前，eNodeB廣播ACB因子[p]。在每一個(gè)時(shí)隙，每個(gè)準(zhǔn)備接入的MTC終端生成一個(gè)0和1之間的隨機(jī)數(shù)[q]。如果[q]小于[p]，該終端則通過(guò)ACB過(guò)程，進(jìn)入基于競(jìng)爭(zhēng)的隨機(jī)接入。否則，該終端退避一段時(shí)間，時(shí)間長(zhǎng)度為隨機(jī)變量[T1]，由公 式（3）給出：

其中，[rand]表示在區(qū)間[0，1]中產(chǎn)生的均勻隨機(jī)數(shù)，[a0]和[b0]是正實(shí)數(shù)，[T0]是退避時(shí)間參數(shù)。在[T1] S后，被退避的終端重新開(kāi)始ACB過(guò)程。我們定義在第[i]次接入機(jī)會(huì)時(shí)的準(zhǔn)備接入終端數(shù)為[Di]，它是在該時(shí)刻新到達(dá)的終端數(shù)、被退避至該時(shí)刻的終端數(shù)和在上一次接入中被碰撞的終端數(shù)之和。另外，在第[i]次接入機(jī)會(huì)時(shí)，通過(guò)ACB過(guò)程的終端數(shù)為[Mi]。

圖2給出了入侵檢測(cè)方案的框圖，圖2的上半部分是接入控制和隨機(jī)接入過(guò)程的示意圖，下半部分是入侵檢測(cè)過(guò)程的示意圖，圖中各符號(hào)省略了下角標(biāo)。

1.3 隨機(jī)接入過(guò)程

所有通過(guò)ACB過(guò)程的終端都需經(jīng)過(guò)隨機(jī)接入過(guò)程來(lái)傳輸它們的數(shù)據(jù)。實(shí)際中有2種接入模式：適用于高優(yōu)先級(jí)終端的非競(jìng)爭(zhēng)模式和適用于普通終端的時(shí)隙化競(jìng)爭(zhēng)模式。在本文中，我們考慮采用競(jìng)爭(zhēng)模式，其適用于存在大量普通終端的一般物聯(lián)網(wǎng)。LTE網(wǎng)絡(luò)下的競(jìng)爭(zhēng)接入模式包含4個(gè)階段[12]：第1階段，每個(gè)終端從所有可選導(dǎo)頻信號(hào)（Preamble）中隨機(jī)選擇一個(gè)，并在當(dāng)前時(shí)隙通過(guò)物理隨機(jī)接入信道發(fā)送該導(dǎo)頻（在網(wǎng)絡(luò)中，假設(shè)一共有[K]個(gè)可用導(dǎo)頻信號(hào)，它們之間兩兩正交，典型的持續(xù)時(shí)間為1 ms）；第2階段，eNodeB對(duì)每個(gè)被選擇導(dǎo)頻進(jìn)行回應(yīng)，發(fā)送隨機(jī)接入響應(yīng)消息（RAR），每個(gè)RAR包含對(duì)應(yīng)于某一導(dǎo)頻的資源塊分配命令；第3階段，每個(gè)終端根據(jù)自己在第1階段中發(fā)送的導(dǎo)頻檢索RAR中信息，并在得到的物理上行共享信道上傳輸連接請(qǐng)求信息；第4階段，eNodeB向數(shù)據(jù)包被成功解碼的終端發(fā)送競(jìng)爭(zhēng)解決方案消息。

對(duì)于在第1階段選擇相同導(dǎo)頻信號(hào)的終端，其傳輸可能發(fā)生碰撞；但由于發(fā)射的信號(hào)相同，基站通常也可能正確接收。然而，即使在第1階段不發(fā)生碰撞，在第3階段用戶發(fā)送連接請(qǐng)求數(shù)據(jù)的時(shí)候，傳輸?shù)臄?shù)據(jù)包在同一資源塊并且不同用戶的信號(hào)不同。此時(shí)碰撞不可避免，不能被eNodeB成功解碼。這些導(dǎo)頻碰撞的終端將在下一次隨機(jī)接入機(jī)會(huì)時(shí)從ACB過(guò)程開(kāi)始它們的接入過(guò)程。對(duì)于每一個(gè)終端，隨機(jī)接入機(jī)會(huì)每[Tm] 秒出現(xiàn)一次，通常[Tm]為0.005。

在本文中，為了便于分析并更好地關(guān)注如何入侵檢測(cè)，我們采用簡(jiǎn)化的握手傳輸模型，即如果用戶選擇同一導(dǎo)頻，那么則假設(shè)會(huì)發(fā)生碰撞。發(fā)生碰撞的用戶在下一個(gè)接入機(jī)會(huì)開(kāi)始時(shí)仍可進(jìn)行接入競(jìng)爭(zhēng)。這里需要指出：惡意終端因?yàn)樾枰M可能偽裝成合法節(jié)點(diǎn)而僅散播虛假或錯(cuò)誤信息，所以它們也會(huì)遵循協(xié)議的隨機(jī)接入與退避策略，從而避免基站很容易發(fā)現(xiàn)它們的非常規(guī)接入行為。

2 基于空口流量的入侵 檢測(cè)方案

我們的目標(biāo)是估計(jì)網(wǎng)絡(luò)中MTC終端的到達(dá)過(guò)程，并由此判斷是否出現(xiàn)了異常流量，也就是MTC網(wǎng)絡(luò)是否被入侵。如圖2所示，本入侵檢測(cè)方案包括兩部分：系統(tǒng)狀態(tài)估計(jì)即到達(dá)過(guò)程的估計(jì)和實(shí)時(shí)的入侵檢測(cè)判決。下面分別描述這兩部分。

2.1 到達(dá)過(guò)程的估計(jì)算法

我們假設(shè)在每次隨機(jī)接入過(guò)程中，eNodeB知道空閑導(dǎo)頻、只被一個(gè)MTC終端占用的導(dǎo)頻和被多個(gè)MTC終端選擇的導(dǎo)頻的數(shù)量。這3類(lèi)導(dǎo)頻的數(shù)量分別定義為A，B，C。假設(shè)基站掌握這3類(lèi)導(dǎo)頻數(shù)量的合理性在于：對(duì)于僅有只被一個(gè)MTC終端占用的導(dǎo)頻，基站可以正確檢測(cè)到并統(tǒng)計(jì)數(shù)量；對(duì)于被多個(gè)MTC終端選擇同一導(dǎo)頻而發(fā)生碰撞的情況，基站可以檢測(cè)到較強(qiáng)的信號(hào)能量但不能正確譯碼請(qǐng)求數(shù)據(jù)包，從而可以區(qū)分這一類(lèi)導(dǎo)頻并統(tǒng)計(jì)數(shù)量；對(duì)于空閑導(dǎo)頻，基站將僅觀測(cè)到很低的能量，進(jìn)而也可區(qū)分這類(lèi)導(dǎo)頻并統(tǒng)計(jì)數(shù)量。我們將導(dǎo)頻狀態(tài)向量[S]定義為[A，?，C]。[M]的最大后驗(yàn)（MAP）估計(jì)可以由公式（4）得到：

我們可以假設(shè)每次接入競(jìng)爭(zhēng)機(jī)會(huì)中用戶的選擇是獨(dú)立的，但是順序發(fā)生。這樣，我們可以采用馬爾科夫鏈模型來(lái)完成最大似然估計(jì)中條件概率的計(jì)算。具體的概率轉(zhuǎn)移矩陣及相關(guān)計(jì)算參見(jiàn)我們的前期工作[13]。為了本文的完整性，我們將過(guò)程做如下簡(jiǎn)述。每次接入機(jī)會(huì)中用戶逐個(gè)選擇導(dǎo)頻的概率轉(zhuǎn)移矩陣定義為[P]。其中，[Pn1，n2]代表[S]從[n1]狀態(tài)轉(zhuǎn)移到[n2]狀態(tài)的概率。對(duì)于當(dāng)前狀態(tài)[n1]（其狀態(tài)矢量描述記為[A，?，C]）在添加一個(gè)導(dǎo)頻后，轉(zhuǎn)移為狀態(tài)[A-1，?+1，C]，[A，?，C]，[A+1，?，C-1]的概率分別為[AK]，[?K]，[CK]。因此有：

其中，下標(biāo)[n]代表向量的第[n]個(gè)元素。由公式（9）可以求出[M]的最大似然估計(jì)。[M]的取值范圍是[0，N]，但在實(shí)際系統(tǒng)中，遍歷所有的可能性會(huì)引入較大的復(fù)雜度。因此，在本文仿真中，我們?cè)O(shè)定一個(gè)[M]的上限[Mmax]，僅在[0，Mmax]范圍內(nèi)考察負(fù)載大小。這里[Mmax]的取值遠(yuǎn)遠(yuǎn)大于每一次競(jìng)爭(zhēng)的節(jié)點(diǎn)平均數(shù)目，因此不會(huì)對(duì)方案性能產(chǎn)生顯著影響。

上述方法完成了對(duì)于通過(guò)ACB的終端數(shù)的估計(jì)，下面我們需要對(duì)網(wǎng)絡(luò)內(nèi)的到達(dá)節(jié)點(diǎn)數(shù)進(jìn)行估計(jì)。如果網(wǎng)絡(luò)中目前有[D]個(gè)準(zhǔn)備接入的MTC終端，它們首先需要進(jìn)行ACB過(guò)程，通過(guò)ACB過(guò)程的MTC終端數(shù)為[M]，[M]服從二項(xiàng)分布，試驗(yàn)次數(shù)為[D]，概率為[p]。那么，已知[M]后，[D]的最大似然估計(jì)值為：

2.2 基于最大似然準(zhǔn)則的實(shí)時(shí)檢測(cè) 算法

我們根據(jù)得到的當(dāng)前時(shí)隙及過(guò)去時(shí)隙的到達(dá)節(jié)點(diǎn)數(shù)的估計(jì)值，基于最大似然準(zhǔn)則估計(jì)網(wǎng)絡(luò)內(nèi)的總節(jié)點(diǎn)數(shù)并做出判決。在我們的實(shí)時(shí)入侵檢測(cè)算法中，我們每[λ]個(gè)時(shí)隙做一次判決，比如當(dāng)[λ=20]，隨機(jī)接入信道（RACH）的周期是5 ms，我們每0.1 s做一次判決。[Ak]表示在第[k-1]次判決和第[k]次判決間的到達(dá)MTC終端的數(shù)量，其中，下標(biāo)“[k]”表示第[k]次判決。對(duì)于第[k]次判決，我們已經(jīng)得到了過(guò)去所有[k×λ]個(gè)時(shí)隙的到達(dá)終端的估計(jì)值。我們的流量模型是一個(gè)概率密度函數(shù)遵循Beta分布的隨機(jī)到達(dá)過(guò)程。在過(guò)去的[k×λ]個(gè)時(shí)隙中，總的到達(dá)MTC終端數(shù)量服從二項(xiàng)分布，二項(xiàng)分布的參數(shù)為[N0]和[gk]，[gk]代表[gt]的累計(jì)分布函數(shù)，如公式（14）：

3 入侵檢測(cè)方案性能分析

3.1估計(jì)算法的跟蹤性能分析

2.1節(jié)所述到達(dá)過(guò)程的估計(jì)算法第1步是依據(jù)最大似然準(zhǔn)則估計(jì)[M]。定義[M]的誤差為：[ΔM=M-M]。在不引起歧義的情況下，我們省略下標(biāo)“[i]”，當(dāng)涉及下標(biāo)“[i-1]”時(shí)，則不會(huì)省略角標(biāo)。對(duì)于[M]個(gè)通過(guò)ACB的終端隨機(jī)選擇導(dǎo)頻，導(dǎo)頻狀態(tài)概率分布向量為：[πM]，若[πM]中第[k]個(gè)元素不為零，則對(duì)應(yīng)的第[k]個(gè)導(dǎo)頻狀態(tài)的概率為[πMk]。對(duì)于第[k]個(gè)導(dǎo)頻狀態(tài)，它的最大似然估計(jì)為：

3.2 實(shí)時(shí)檢測(cè)算法的性能分析

我們引入對(duì)比方案1，利用它可以得出本文方案成功檢測(cè)概率和錯(cuò)誤檢測(cè)概率的下界。對(duì)比方案1，它和本文方案的區(qū)別在于：對(duì)比方案1中eNodeB利用到達(dá)過(guò)程的估計(jì)值只在第10秒進(jìn)行判決。所以，對(duì)比方案1稱為保守的基于空口流量的入侵檢測(cè)方案（簡(jiǎn)稱為保守空口檢測(cè)方案）。對(duì)于對(duì)比方案1，第10秒時(shí)[N0]的估值為：

當(dāng)[σ2]取不同值，可計(jì)算出對(duì)比方案1的成功檢測(cè)概率和錯(cuò)誤檢測(cè)概率作為本方法成功檢測(cè)概率和錯(cuò)誤檢測(cè)概率的下界。例如：當(dāng)[N=30 000]，[N1N=5%]時(shí)，[σ2]分別取[2]，[4]，[6]，則[Pb1D]分別為[72.99%]，[66.75%]，[63.82%]，[Pb1F]分別為[0%]，[0%]，[0.07%]。

4 仿真評(píng)估

本節(jié)我們利用仿真來(lái)評(píng)估我們的入侵檢測(cè)方案的性能。我們采用文獻(xiàn)[10]中的仿真參數(shù)。仿真中假設(shè)在單個(gè)小區(qū)中有30 000個(gè)MTC終端需要進(jìn)行數(shù)據(jù)傳輸，隨機(jī)接入請(qǐng)求符合Beta分布，其中[α=3]，[β=4]，[T=10 s]。ACB過(guò)程的參數(shù)為[a0=0.7]，[b0=0.6]，[T0=4 s]。物理隨機(jī)接入信道的配置索引為6，這意味著隨機(jī)接入信道每隔5 ms出現(xiàn)一次，帶寬則為180 kHz。我們假設(shè)一次隨機(jī)接入中可用的導(dǎo)頻總數(shù)[K]為54，最大似然判決的平滑因子[λ]設(shè)置為20。

4.1 估計(jì)算法的跟蹤性能

本文方案的第1步是基于機(jī)器類(lèi)型終端隨機(jī)接入過(guò)程中碰撞與成功的狀態(tài)進(jìn)行流量負(fù)載估計(jì)，所以估計(jì)算法的性能對(duì)最終的檢測(cè)效果影響很大。為了評(píng)估2.1節(jié)到達(dá)過(guò)程的估計(jì)算法的性能，我們?cè)趫D3和圖4中分別給出了在不同情況下到達(dá)過(guò)程的實(shí)際值和估計(jì)值。如圖3所示，正常情況下估計(jì)值和實(shí)際值之間的誤差很小，可見(jiàn)我們的估計(jì)算法的跟蹤性能是很理想的，這為我們的入侵檢測(cè)方案實(shí)現(xiàn)較低的錯(cuò)誤檢測(cè)概率提供基礎(chǔ)。同樣地，觀察圖4，可以看到我們的估計(jì)算法的跟蹤性能在入侵發(fā)生時(shí)也是很理想的，圖中的估計(jì)值曲線和正常情況下的期望值曲線差異明顯，這為我們的入侵檢測(cè)算法實(shí)現(xiàn)較高的檢測(cè)概率和較短的檢測(cè)時(shí)間提供基礎(chǔ)。

圖5給出了不同的[M]取值下[M]的估計(jì)誤差的期望值[EΔM]的變化情況，可以看出在不同的[M]取值下[EΔM]近似為0，說(shuō)明我們的估計(jì)算法在不同的負(fù)載情況下都有準(zhǔn)確的估計(jì)。注意到，當(dāng)[M]接近200時(shí)估計(jì)誤差的期望值較大。這是因?yàn)闉榱私档退惴ǖ膹?fù)雜度，估計(jì)算法考察的每次競(jìng)爭(zhēng)中的最大節(jié)點(diǎn)數(shù)為[Mmax]（參見(jiàn)2.1節(jié)）。所以，在逼近邊界條件的時(shí)候，估計(jì)的誤差較大。

4.2 入侵檢測(cè)方案的性能

我們比較了本文方案和其他3種對(duì)比方案下的檢測(cè)時(shí)間、成功檢測(cè)概率、錯(cuò)誤檢測(cè)概率。3個(gè)對(duì)比方案中，eNodeB利用到達(dá)過(guò)程的估計(jì)值或者導(dǎo)頻碰撞概率的觀測(cè)值在第10秒進(jìn)行判決，具體方案如下：

（1）保守的基于空口流量的入侵檢測(cè)方案：詳見(jiàn)3.2節(jié)。

其中，[η0]是當(dāng)假設(shè)[H0]為真時(shí)的導(dǎo)頻平均碰撞概率，[ε]是允許的最大導(dǎo)頻碰撞概率偏差因子。

這3個(gè)對(duì)比方案都是在累積了大量的隨機(jī)接入信息后進(jìn)行判決，所以它們的檢測(cè)時(shí)間均為10 s，而本文方案是低于10 s的。對(duì)比方案2和3利用了導(dǎo)頻碰撞概率，所以它們只能用在ACB退避因子[p]是常數(shù)的情況。值得注意的是：在仿真中，我們假設(shè)入侵發(fā)生時(shí)的MTC終端總數(shù)[N0]為[N×1+N1/N+0.5%]，作為所有[N0>N][+N1]的典型值。另外，我們假設(shè)正常情況下的MTC終端總數(shù)[N0]等于[N]，作為所有[N0

圖6給出了檢測(cè)時(shí)間[td]隨系統(tǒng)被入侵的檢測(cè)閾值（簡(jiǎn)稱為入侵檢測(cè)閾值）[N1N]變化的情況，其中退避因子[p]取不同值。如圖6所示，在同一[gk0]（圖中簡(jiǎn)寫(xiě)為[g′]）下對(duì)于所有的[N1N]，本方案下的檢測(cè)時(shí)間是基本相同的。這是因?yàn)閷?duì)于不同的[N1N]，我們?cè)O(shè)置了相應(yīng)的惡意終端數(shù)量[N1]，所以不同[N1N]下檢測(cè)的難度相當(dāng)。另外，也可以看到對(duì)于不同的[p]，本方法具有穩(wěn)定的性能。對(duì)于不同[gk0]，由于啟動(dòng)最大似然判決的時(shí)刻不同，所以平均檢測(cè)時(shí)間不同。如前文所述，3種對(duì)比方案的檢測(cè)時(shí)間為10 s，所以在圖6中省略了。圖7給出了成功檢測(cè)概率[PD]隨系統(tǒng)被入侵的閾值[N1N]變化的情況。本文可以實(shí)現(xiàn)95%以上的成功檢測(cè)概率。對(duì)比方案1的檢測(cè)概率低于本文方案是因?yàn)楸痉桨甘菍?shí)時(shí)檢測(cè)，而對(duì)比方案1只在第10秒檢測(cè)。對(duì)比方案2的檢測(cè)概率較低，是因?yàn)榕鲎哺怕什荒芎芎玫孛枋錾倭咳肭终叽嬖跁r(shí)的空口流量變化。對(duì)比方案3中，隨著橫坐標(biāo)增大檢測(cè)概率上升，這是因?yàn)殡S橫坐標(biāo)增加，入侵者數(shù)量增多，碰撞概率增加。

圖8給出了入侵檢測(cè)閾值[N1N]變化時(shí)錯(cuò)誤檢測(cè)概率[PF]的變化情況。當(dāng)[N1N]增加時(shí)，[PF]迅速下降。這是因?yàn)閷?duì)于固定的[N0]，更大的入侵檢測(cè)閾值意味著更松弛的安全要求。為了衡量本方案的穩(wěn)健性，我們引入?yún)?shù)[δ]作為系統(tǒng)中MTC終端總數(shù)[N0]的誤差系數(shù)，系統(tǒng)中MTC終端總數(shù)[N0]等于[1+δN]。當(dāng)[δ=1%，2%]時(shí)，[PF]在大多數(shù)[N1N]下低于5%，可見(jiàn)本方案在[N0]有一定誤差時(shí)的錯(cuò)誤檢測(cè)概率也是較低的。對(duì)于少數(shù)[PF]大于5%的情況，此時(shí)的[N1N]較小，例如[N1N=5%]，這意味著網(wǎng)絡(luò)的安全性要求是較高的。當(dāng)有一定數(shù)量的惡意MTC終端出現(xiàn)時(shí)，即使未達(dá)到閾值，此時(shí)發(fā)出警報(bào)也是有益的。從圖8中還可以看出：3個(gè)對(duì)比方案在大多數(shù)參數(shù)設(shè)置下，[PF]總是0，這是因?yàn)檫@3個(gè)對(duì)比方案都很保守，只在第10秒判決，相應(yīng)的錯(cuò)誤概率會(huì)很低。但是，對(duì)比方案2在[δ=2%]時(shí)錯(cuò)誤檢測(cè)概率較高，這是因?yàn)樗苯永脤?dǎo)頻碰撞概率進(jìn)行判決，所以對(duì)[N0]的誤差較敏感。

5 結(jié)束語(yǔ)

本文提出了基于空口負(fù)載特征學(xué)習(xí)的入侵檢測(cè)體系與方法?；就ㄟ^(guò)分析mMTC節(jié)點(diǎn)隨機(jī)接入過(guò)程中的空口信號(hào)，可以智能化學(xué)習(xí)接入負(fù)載特征。在此基礎(chǔ)上，結(jié)合常態(tài)流量負(fù)載統(tǒng)計(jì)信息，我們?cè)O(shè)計(jì)了的入侵攻擊檢測(cè)的框架與實(shí)時(shí)檢測(cè)方案。分析與仿真結(jié)果表明本文所提方法可以較準(zhǔn)確地跟蹤接入負(fù)載變化。與基準(zhǔn)方案相比，可獲得較高的檢測(cè)概率和較短的檢測(cè)時(shí)間。本文方案可以作為現(xiàn)有安全協(xié)議的補(bǔ)充，同時(shí)不會(huì)造成新的信號(hào)開(kāi)銷(xiāo)，可以用于低成本mMTC終端的智能管理和未來(lái)IoT安全防護(hù)的參考方案。下一步，我們將關(guān)注如何整合更多、更深入的信息來(lái)服務(wù)于mMTC和物聯(lián)網(wǎng)中的入侵檢測(cè)。

參考文獻(xiàn)

[1] Ericsson. More than 50 Billion Connected Devices[R]. 2011

[2] BARKI A， BOUABDALLAH A， GHAROUT S， et al. M2M Security： Challenges and Solutions [J]. IEEE Communications Surveys & Tutorials， 2016， 18（2）：1241-1254.DOI： 10.1109/COMST.2016.2515516

[3] CHENG Y， NASLUND M， SELANDER G， et al. Privacy in Machine-to-Machine Communications A Sate-of-the-Art Survey[C]//2012 IEEE International Conference on Communication Systems （ICCS）. USA：IEEE， 2012：75-79.DOI： 10.1109/ICCS.2012.6406112

[4] LAI C， LU R， ZHENG D， et al. Toward Secure Large-sScale Machine-to-Machine Communications in 3GPP Networks： Challenges and Solutions[J].IEEE Communications Magazine， 2015， 53（12）： 12-19.DOI： 10.1109/MCOM.2015.7355579

[5] 3rd Generation Partnership Project； Technical Specification Group Service and System Aspects； 3GPP System Architecture Evolution （SAE）； Security architecture （Rel. 12）： 3GPP TS 33.401 V12.13.0[S]. 2014

[6] LI J， WEN M， ZHANG T. Group-Based Authentication and Key Agreement With Dynamic Policy Updating for MTC in LTE-A Networks [J]. IEEE Internet of Things Journal， 2016， 3（3）： 408-417.DOI： 10.1109/JIOT.2015.2495321

[7] CAO J， LI H， MA M. GAHAP： A Group-Based Anonymity Handover Authentication Protocol for MTC in LTE-A Networks[C]//2015 IEEE International Conference on Communications （ICC）. USA：IEEE， 2015：3020-3025.DOI： 10.1109/ICC.2015.7248787

[8] LANER M， SVOBODA P， RUPP M. Detecting M2M Traffic in Mobile Cellular Networks[C]//IWSSIP 2014 Proceedings. Croatia， 2014：159-162

[9] HE H， DU Q， SONG H， et al. Traffic-Aware ACB Scheme for Massive Access in Machine-to-Machine Networks[C]//2015 IEEE International Conference on Communications （ICC）. USA：IEEE， 2015：617-622

[10] 3rd Generation Partnership Project， Study on RAN Improvements for Machine-type Communications； （Rel. 11）[S]： 3GPP TR 37.868， VI 1.0.0. 2011

[11] GUPTA A K， Nadarajah S. Handbook of Beta Distribution and Its Applications[J]. Biometrics， 2004 ， 62 （1）： 309-310

[12] PHUYAL U， KOC A T， FONG M H et al. Controlling Access Overload and Signaling Congestion in M2M Networks[C]//2012 Conference Record of the Forty Sixth Asilomar Conference on Signals， Systems and Computers （ASILOMAR）， Pacific Grove.USA：IEEE， 2012：591-595

[13] 3rd Generation Partnership Project； Evolved Universal Terrestrial Radio Access （E-UTRA）； Medium Access Control （MAC） Protocol Specification，Third-Generation Partnership Project， Sophia AntipolisCedex， France[S]：TS 36.321 V12.7.0. 2015

[14] HE H， DU Q， SONG H， et al. Traffic-Aware ACB Scheme for Massive Access in Machine-to-Machine Networks[C]//2015 IEEE International Conference on Communications （ICC）.USA：IEEE， 2015： 617-622.DOI： 10.1109/ICC.2015.7248390

[15] DAVID T， VISWANATH P. Fundamentals of Wireless Communication[M]. Beijing： Posts & Telecom Press， 2009