基于投影尋蹤的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)模型*

葛瀟藝， 汪烈軍， 郭學(xué)讓

(新疆大學(xué) 信息科學(xué)與工程學(xué)院，新疆 烏魯木齊 830046)

?

基于投影尋蹤的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)模型*

葛瀟藝， 汪烈軍， 郭學(xué)讓

(新疆大學(xué) 信息科學(xué)與工程學(xué)院，新疆 烏魯木齊 830046)

提出基于投影尋蹤(PP)算法解決無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)問(wèn)題，利用PP算法將高維數(shù)據(jù)投影到低維數(shù)據(jù)空間，使得多特征屬性的節(jié)點(diǎn)數(shù)據(jù)準(zhǔn)確聚集。通過(guò)節(jié)點(diǎn)屬性投影值的浮動(dòng)來(lái)檢測(cè)節(jié)點(diǎn)是否受到攻擊。實(shí)驗(yàn)結(jié)果表明:基于PP的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)的方法在減少計(jì)算量，降低檢測(cè)能耗的情況下，可以得到比傳統(tǒng)的誤差反向傳播(BP)模型檢測(cè)方法得到更好的檢測(cè)效果。

無(wú)線傳感器網(wǎng)絡(luò)； 投影尋蹤算法； 遺傳算法； 入侵檢測(cè)

0 引 言

無(wú)線傳感器網(wǎng)絡(luò)是一組在不同地點(diǎn)利用通信基礎(chǔ)設(shè)施進(jìn)行記錄和監(jiān)測(cè)的包含具有微型低功耗傳感器探測(cè)單元節(jié)點(diǎn)的專用傳感器組成。無(wú)線傳感器網(wǎng)絡(luò)在環(huán)境監(jiān)測(cè)、災(zāi)情響應(yīng)、軍事偵察、智能建筑和工業(yè)質(zhì)量控制等領(lǐng)域有著廣泛的應(yīng)用前景[1]。

無(wú)線傳感器網(wǎng)絡(luò)具有自組織、低成本、易于部署的特點(diǎn)。然而，傳感器節(jié)點(diǎn)普遍部署在敵對(duì)或者是無(wú)人值守的環(huán)境中進(jìn)行無(wú)線通信?；谶@些特點(diǎn)，無(wú)線傳感器網(wǎng)絡(luò)容易受到各種攻擊。目前常用的入侵檢測(cè)方法有異常檢測(cè)和誤用檢測(cè)兩種應(yīng)用技術(shù)。異常檢測(cè)在檢測(cè)前需要建立用戶的正常行為和描述系統(tǒng)，若發(fā)現(xiàn)當(dāng)前行為和建立的系統(tǒng)超出了預(yù)定標(biāo)準(zhǔn)的差別，則表明系統(tǒng)受到了攻擊，異常檢測(cè)可以識(shí)別新的攻擊，但很容易產(chǎn)生誤報(bào)[2]。誤用檢測(cè)主要是建立相關(guān)的特征庫(kù)，在進(jìn)行檢測(cè)的過(guò)程中，將收集到的數(shù)據(jù)與建立特征庫(kù)的特征數(shù)據(jù)進(jìn)行比對(duì)，判斷網(wǎng)絡(luò)是否受到攻擊，誤用檢測(cè)可以準(zhǔn)確檢測(cè)到已知攻擊，但無(wú)法檢測(cè)到未遇到過(guò)的攻擊[3]。到目前為止，在入侵檢測(cè)領(lǐng)域有很多不同的方法。如模式匹配、神經(jīng)網(wǎng)絡(luò)、統(tǒng)計(jì)等方法。投影尋蹤(PP)算法最早由Kruskal提出并進(jìn)行實(shí)驗(yàn)。隨后Friedman J H和Tukey J W提出了一種將整體上的散布程度和局部凝聚程度結(jié)合起來(lái)，進(jìn)行多元統(tǒng)計(jì)分析，正式提出了PP概念。近年來(lái)，由于PP的原理將高維數(shù)據(jù)投影到低維空間進(jìn)行數(shù)據(jù)特征分析，因此，常常應(yīng)用到探索性數(shù)據(jù)分析中[4]。無(wú)線傳感器網(wǎng)絡(luò)中的節(jié)點(diǎn)數(shù)據(jù)具有高維多特征特性，這種特性導(dǎo)致一個(gè)問(wèn)題—維數(shù)災(zāi)難[5]，同時(shí)，在無(wú)線傳感器網(wǎng)絡(luò)中進(jìn)行入侵檢測(cè)具有不相關(guān)特征和冗余特征的高維數(shù)據(jù)可能會(huì)帶來(lái)負(fù)面影響[6]。

本文采用PP來(lái)解決這個(gè)問(wèn)題。該方法不需要已知或預(yù)測(cè)模型，可以直接通過(guò)線性投影來(lái)處理線性和非線性問(wèn)題。

1 PP理論

作為一種新的方法處理和分析高維數(shù)據(jù)，PP方法的重要途徑是：

1)將高維數(shù)據(jù)投影到低維空間;

2)用最優(yōu)化的方法得到最大化指數(shù)從而選擇最佳的投影方向;

3)通過(guò)最佳投影，得到反映節(jié)點(diǎn)特征屬性數(shù)據(jù)的投影值。

PP算法詳細(xì)描述如下：

1.1 歸一化

由于每個(gè)數(shù)據(jù)指標(biāo)量綱是不一樣的，如果直接采用原始數(shù)據(jù)，則必須規(guī)范指標(biāo)數(shù)據(jù)。規(guī)范如下：

(1)

為了能夠準(zhǔn)確找到受到攻擊的節(jié)點(diǎn)，至關(guān)重要的是選擇節(jié)點(diǎn)的特征屬性指標(biāo)性能必須具有代表性，然后用這些節(jié)點(diǎn)指標(biāo)構(gòu)造出指標(biāo)矩陣X

(2)

式中xij為第n個(gè)節(jié)點(diǎn)的第m個(gè)指標(biāo)值。

1.2 線性投影

PP算法用線性結(jié)合的方法將高維數(shù)據(jù)投影到低維空間下。Z為投影值

(3)

式中a=(a1,a2,a3,…am),為投影方向。

1.3 構(gòu)造投影指標(biāo)

為了能夠客觀地反映高維數(shù)據(jù)的特征和得到精確的投影值，局部投影值要滿足內(nèi)部關(guān)聯(lián)性大且外部相關(guān)性小的必要條件，所以，構(gòu)建的收斂條件，即投影指標(biāo)

Q(a)=Sz×Dz,

(4)

式中Sz為投影值Z的偏差，Dz為局部投影值Z密度，分別表示為

(5)

(6)

式中R=0.1S(a)，R為數(shù)據(jù)局部特點(diǎn)的寬度參數(shù)；rij=abs(Zi-Zj),i,j=1,2,…,n;u(R-rij)為單位階躍函數(shù)，當(dāng)R≥rij時(shí)單位階躍函數(shù)值為1；否則，函數(shù)值為0。Dz的值越大，分類時(shí)就會(huì)更準(zhǔn)確明顯。

1.4 最優(yōu)投影方向

如上所述，PP關(guān)鍵問(wèn)題是尋找反映高維數(shù)據(jù)特征的最優(yōu)投影方向，PP算法可以描述為如下的優(yōu)化問(wèn)題

(7)

本文采用遺傳算法取得最優(yōu)投影方向。

2 建立實(shí)驗(yàn)?zāi)Ｐ团c仿真分析

2.1 實(shí)驗(yàn)過(guò)程

1)本文利用Matlab進(jìn)行仿真實(shí)驗(yàn)，使用的實(shí)驗(yàn)數(shù)據(jù)是海軍研究實(shí)驗(yàn)室的無(wú)線傳感網(wǎng)絡(luò)數(shù)據(jù)集。這些數(shù)據(jù)包含正常數(shù)據(jù)節(jié)點(diǎn)集合和異常數(shù)據(jù)節(jié)點(diǎn)集合，有明確的攻擊類型。

2)首先選擇了10個(gè)傳感器節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)有40個(gè)屬性值，PP指標(biāo)矩陣是一個(gè)10×40維的矩陣如下

(8)

3)利用式(1)，將矩陣X歸一化。

4)將歸一化后的節(jié)點(diǎn)信息矩陣進(jìn)行PP運(yùn)算。這里應(yīng)用遺傳算法來(lái)求解最優(yōu)投影方向，遺傳算法的原理是隨機(jī)形成初始種群集合，然后利用適應(yīng)度函數(shù)計(jì)算每個(gè)個(gè)體的適應(yīng)度來(lái)滿足目標(biāo)函數(shù)。遺傳算法的最小誤差演變?nèi)鐖D1所示。

圖1 遺傳算法的最小誤差

5)在獲得最優(yōu)投影方向后，用式(3)得到這些節(jié)點(diǎn)屬性的投影值。通過(guò)這些投影值浮動(dòng)狀態(tài)來(lái)判定異常節(jié)點(diǎn)。如果節(jié)點(diǎn)投影值與其他節(jié)點(diǎn)投影值差異明顯，則認(rèn)為這些節(jié)點(diǎn)受到攻擊。

2.2 實(shí)驗(yàn)仿真與分析

2.2.1 實(shí)驗(yàn)結(jié)果

本文將用10個(gè)節(jié)點(diǎn)進(jìn)行實(shí)驗(yàn)驗(yàn)證，其中三個(gè)被入侵的節(jié)點(diǎn)，攻擊類型為：DOS攻擊，緩沖區(qū)溢出攻擊和周期路由錯(cuò)誤攻擊。實(shí)驗(yàn)結(jié)果如圖2。

圖2 節(jié)點(diǎn)檢測(cè)結(jié)果

從圖中可以看出:節(jié)點(diǎn)2在這個(gè)測(cè)試中取得最高值，并且與節(jié)點(diǎn)10都高于節(jié)點(diǎn)1，3，5，6，7，8，9。此外，節(jié)點(diǎn)4在這個(gè)實(shí)驗(yàn)中取得最低值。事實(shí)上，節(jié)點(diǎn)2，4,10都是在實(shí)驗(yàn)中受到不同攻擊的節(jié)點(diǎn)。節(jié)點(diǎn)2是緩沖區(qū)溢出，節(jié)點(diǎn)4和節(jié)點(diǎn)DOC攻擊，節(jié)點(diǎn)10是路由錯(cuò)誤攻擊。在圖3中，可以看到節(jié)點(diǎn)被入侵時(shí)，節(jié)點(diǎn)的投影值會(huì)有明顯的浮動(dòng)，即基于PP入侵檢測(cè)的實(shí)驗(yàn)結(jié)果與設(shè)定的結(jié)果一致。

2.2.2 性能指標(biāo)實(shí)驗(yàn)檢測(cè)

檢測(cè)率(DR)和誤報(bào)率(FR)是測(cè)量入侵檢測(cè)方法性能的重要指標(biāo)。DR表示被正確檢測(cè)的攻擊記錄數(shù)占整個(gè)攻擊記錄數(shù)的比例,FR表示正常數(shù)據(jù)被記錄為攻擊的記錄數(shù)占整個(gè)正常記錄數(shù)的比例，實(shí)驗(yàn)中最多用了2000個(gè)實(shí)驗(yàn)節(jié)點(diǎn)。在表1中模擬檢測(cè)3大類不同攻擊的DR。

表1 PP檢測(cè)結(jié)果

Tab 1 Detection results of PP

類別不同節(jié)點(diǎn)數(shù)(個(gè))的PP的DR(%)10020050010002000DOS100100100 99.6098.91緩沖區(qū)溢出100100100 99.4098.67路由錯(cuò)誤10010098.3797.5296.833類攻擊10010098.7197.6496.30

表1中得到PP方法有很高的DR。特別是PP對(duì)DOS攻擊和緩沖區(qū)溢出攻擊的檢測(cè)。表2、表3和表4中，用PP算法和誤差BP方法對(duì)比檢測(cè)實(shí)驗(yàn)節(jié)點(diǎn)數(shù)據(jù)。

表2 PP和BP算法DOS攻擊檢測(cè)對(duì)比

Tab 2 Comparison of detection of DOS attack between PP and BP algorithms

算法不同節(jié)點(diǎn)數(shù)(個(gè))的DOS攻擊的DR(%)10020050010002000BP10010098.5097.2393.42pp100100100 99.6098.91

表3 PP和BP緩沖區(qū)溢出攻擊檢測(cè)對(duì)比

Tab 3 Comparison of detection of overflow attack between PP and BP

算法不同節(jié)點(diǎn)數(shù)(個(gè))的緩沖區(qū)溢出攻擊的DR(%)10020050010002000BP10010097.3495.8392.75PP100100100 99.4098.67

表4 PP和BP算法檢測(cè)性能比較

Tab 4 Comparison of detecting performance between PP and BP algorithms

檢測(cè)項(xiàng)PP(2000nodes)BP(2000nodes)DR(%)96.3091.06FR(%)1.62 9.22

實(shí)驗(yàn)結(jié)果表明：由于采用PP的入侵檢測(cè)算法使得在降低節(jié)點(diǎn)特征屬性數(shù)據(jù)的計(jì)算量的同時(shí)保留了高維數(shù)據(jù)的非線性特征，這個(gè)特點(diǎn)使得PP方法比傳統(tǒng)的檢測(cè)模型有更好的檢測(cè)效果。這充分表明基于PP算法無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)是一種有效的方法。

3 結(jié) 論

本文提出了基于PP算法的節(jié)點(diǎn)屬性值浮動(dòng)的入侵檢測(cè)機(jī)制。由于被攻擊的節(jié)點(diǎn)的屬性特征值相較正常節(jié)點(diǎn)的屬性特征值波動(dòng)大，所以，可從正常的節(jié)點(diǎn)中輕易地將異常節(jié)點(diǎn)分辨出來(lái)。本文用遺傳算法獲得充分反映高維數(shù)據(jù)的結(jié)構(gòu)和特點(diǎn)的最佳投影方向，重點(diǎn)是利用PP算法將高維數(shù)據(jù)延投影方向投影到低維空間，實(shí)現(xiàn)了無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)。該方法不需要假設(shè)數(shù)據(jù)，這就意味著檢測(cè)結(jié)果更加準(zhǔn)確，同時(shí)，該方法通過(guò)數(shù)據(jù)的降維大大降低了計(jì)算量，很好地節(jié)約了能耗。

[1] Akyildiz I F,Su W,Sankarasubramaniam Y,et al.Wireless sensor networks:A survey[J].Computer Networks,2002,38(4):393-422.

[2] Ourston D,Matzner S,Stump W,et al.Coordinated Internet attacks:Responding to attack complexity[J].Journal of Computer Security,2004,12(2):165-190.

[3] Jyothsna V,Prasad V R,Prasad K M.A review of anomaly-based intrusion detection systems[J].International Journal of Computer Applications,2011,28(7):26-35.

[4] Friedman J H,Tukey J W.A projection pursuit algorithm for exploratory data analysis[J].IEEE Transactions on Computers,1974,23(9):881-890.

[5] Wang S,Zhang X,Ding J,et al.Projection pursuit cluster model and its application[J].Journal of Yangtze River Scientific Research Institute,2002,19(6):53-55.

[6] Cui Y,Li L,Cao D.The SVM intrusion detection problem based on nonlinear projection and penalty function[J].Information Technology and Informatization,2014(2):57-59,65.

汪烈軍，通訊作者,E—mail:wljxju@xju.edu.cn。

Intrusion detection model for WSNs based on projection pursuit*

GE Xiao-yi, WANG Lie-jun, GUO Xue-rang

(College of Information Science and Engineering,Xinjiang University,Urumqi 830046,China)

Propose to use projection pursuit(PP)algorithm to solve the problem of intrusion detection of wireless sensor networks(WSNs),use PP algorithm which turns high-dimensional node properties to low-dimension space and node data of multi-properties attributes will accurately aggregation.Through floating of node attribute projection value to detect whether the node is attacked.The experimental results show that this method reduces amount of calculation and reduce energy consumption of detection can be obtained better detection effect than traditional error back propagation (BP)model detection method.

wireless sensor networks(WSNs); project pursuit(PP)algorithm; genetic algorithm; intrusion detection

2015—07—02

新疆大學(xué)博士啟動(dòng)基金資助項(xiàng)目(213—61355)

10.13873/J.1000—9787(2015)09—0024—03

TP 393

A

1000—9787(2015)09—0024—03

葛瀟藝(1990-)，女，新疆烏魯木齊人，碩士研究生，主要研究方向?yàn)闊o(wú)線傳感器網(wǎng)絡(luò)安全。