胡志鵬
摘 要:無(wú)線傳感器網(wǎng)絡(luò)部署區(qū)域的開(kāi)放性和無(wú)線通信的廣播特性給傳感器網(wǎng)絡(luò)帶來(lái)了巨大的安全隱患,成為無(wú)線傳感器網(wǎng)絡(luò)發(fā)展的瓶頸。入侵檢測(cè)作為一種積極主動(dòng)的深度防護(hù)技術(shù),可以通過(guò)檢測(cè)網(wǎng)絡(luò)流量或主機(jī)運(yùn)行狀態(tài)來(lái)發(fā)現(xiàn)各種惡意入侵并做出響應(yīng),能夠積極有效地保護(hù)網(wǎng)絡(luò)安全。
1.無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)算法
無(wú)線傳感器網(wǎng)絡(luò)作為物聯(lián)網(wǎng)技術(shù)的前身,其用途極為廣泛,目前大多應(yīng)用在軍事、應(yīng)急場(chǎng)合、防盜監(jiān)控等領(lǐng)域。本文將詳細(xì)介紹無(wú)線傳感器網(wǎng)絡(luò)設(shè)計(jì)的入侵檢測(cè)算法。
1.1? 基于聚類的檢測(cè)算法
Loo采用聚類算法檢測(cè)路由是否正常 。
該算法包括了分類器訓(xùn)練階段和數(shù)據(jù)檢測(cè)階段。分類器訓(xùn)練階段:檢測(cè)系統(tǒng)每間隔就采集一次網(wǎng)絡(luò)信息,直到集齊訓(xùn)練分類器所需的數(shù)據(jù)集C1。這些數(shù)據(jù)樣本包括了:節(jié)點(diǎn)的路由、流量狀況、丟包率、發(fā)送能量等17個(gè)網(wǎng)絡(luò)特征屬性。使用固定寬度聚類算法對(duì)樣本集合C1進(jìn)行聚類,得到聚類集合;而后對(duì)聚類集合中的每個(gè)簇,計(jì)算與之比,即當(dāng)小于閾值時(shí),異常。數(shù)據(jù)檢測(cè)階段:用待測(cè)樣本和聚類集合作比較,當(dāng)小于門(mén)檻值時(shí),就認(rèn)為測(cè)試樣本異常,入侵檢測(cè)系統(tǒng)對(duì)其做出相應(yīng)的入侵響應(yīng)。
1.2? 基于隱馬爾可夫模型的檢測(cè)算法
Doumit采用隱性馬爾可夫模型和自組織臨界程度的方法進(jìn)行入侵檢測(cè)[16]。該算法首先將無(wú)線傳感器網(wǎng)絡(luò)的單位劃分為簇,每個(gè)簇中有簇頭節(jié)點(diǎn)和普通節(jié)點(diǎn)兩類。普通節(jié)點(diǎn)主要是用來(lái)收集網(wǎng)絡(luò)數(shù)據(jù),傳輸節(jié)點(diǎn)間的數(shù)據(jù),簇頭節(jié)點(diǎn)可以用來(lái)檢測(cè)普通節(jié)點(diǎn)數(shù)據(jù)的變化情況,來(lái)判斷某節(jié)點(diǎn)是否存在入侵行為。
Doumit假設(shè)事件每間隔時(shí)間就會(huì)改變其狀態(tài),而狀態(tài)是一個(gè)已知集合,并且知道從一種狀態(tài)改變?yōu)榱硪环N狀態(tài)時(shí)的概率矩陣,當(dāng)網(wǎng)絡(luò)狀態(tài)發(fā)生改變時(shí),入侵檢測(cè)系統(tǒng)計(jì)算前一狀態(tài)改變?yōu)楝F(xiàn)在狀態(tài)發(fā)生的概率p,如果出現(xiàn)p小于系統(tǒng)門(mén)檻值,說(shuō)明該事件發(fā)生的概率極小,那么認(rèn)定該事件為異常行為。從上面描述中可以看出:閾值的選取直接影響著誤報(bào)率和檢測(cè)精度的高低。
1.3? 基于免疫方法的檢測(cè)算法
1996年12月,日本·東京首次舉行了基于免疫性系統(tǒng)的國(guó)際專題研討會(huì),并首次提出了“人工免疫系統(tǒng)(AIS)”的概念,隨后人工免疫系統(tǒng)進(jìn)入了興盛發(fā)展時(shí)期。“人工免疫系統(tǒng)”參照了生物學(xué)原理:免疫系統(tǒng)能夠識(shí)別未知入侵的抗原特性。Zeng等人受到免疫系統(tǒng)的啟發(fā),突破性的將“人工免疫系統(tǒng)(AIS)”應(yīng)用到無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中去。他們首先將人工免疫系統(tǒng)映射到入侵檢測(cè)系統(tǒng),其中自身細(xì)胞映射到正常節(jié)點(diǎn),抗原映射到網(wǎng)絡(luò)上一系列觀察到的事件。
該算法具有雙層入侵防御措施:1)對(duì)于己知的入侵方式,檢測(cè)算法分布在網(wǎng)絡(luò)中各節(jié)點(diǎn)中,由檢測(cè)知識(shí)庫(kù)及檢測(cè)器組成,檢測(cè)器通過(guò)分析提取入侵特征,通過(guò)判斷網(wǎng)絡(luò)行為是否與檢測(cè)知識(shí)庫(kù)中已知的入侵模式匹配,來(lái)檢測(cè)是否存在入侵行為,并啟動(dòng)相應(yīng)的入侵響應(yīng)策略。2)對(duì)于未知的入侵方式,由非特異性免疫層負(fù)責(zé)響應(yīng)。非特異性免疫層摸擬生物體適應(yīng)性免疫系統(tǒng),具有識(shí)別和學(xué)習(xí)未知入侵方式的能力。由正常集及檢測(cè)器組成。當(dāng)網(wǎng)絡(luò)中發(fā)現(xiàn)未知異常,通過(guò)尋求多節(jié)點(diǎn)協(xié)作將異常節(jié)點(diǎn)定位并隔離,同時(shí)將這些入侵特征加入到檢測(cè)知識(shí)庫(kù)。
1.4? 基于博弈論的檢測(cè)算法
1928年馮·諾依曼證明了博弈論的基本原理,宣告了博弈論的正式誕生。博弈論屬于應(yīng)用數(shù)學(xué)的一個(gè)分支,目前在生物學(xué)、經(jīng)濟(jì)學(xué)、計(jì)算機(jī)科學(xué)、政治學(xué)、軍事戰(zhàn)略等學(xué)科中有廣泛的應(yīng)用。Agah等人將博弈論中的非合作模型引入網(wǎng)絡(luò)的入侵檢測(cè)問(wèn)題中,利用兩個(gè)非零合作動(dòng)態(tài)博弈理論對(duì)入侵者與防護(hù)系統(tǒng)之間的對(duì)抗進(jìn)行分析,建立入侵檢測(cè)和響應(yīng)模型,根據(jù)模型制定防御策略,以提高檢測(cè)率。
首先根據(jù)博弈論建立無(wú)線傳感器網(wǎng)絡(luò)攻防雙方的模型,對(duì)于一個(gè)簇,使用二元組表示攻擊者和檢測(cè)系統(tǒng)的策略空間。攻擊者有三個(gè)策略:攻擊簇、不攻擊簇、攻擊簇其它某個(gè)簇;防御系統(tǒng)有兩個(gè)策略,保護(hù)簇和保護(hù)其它某個(gè)簇。用矩陣表示攻擊者的收益值,用矩陣B表示檢測(cè)系統(tǒng)的收益值:
矩陣中各個(gè)元素表示攻防雙方采用不同策略時(shí)相應(yīng)的收益值。
根據(jù)此博弈模型分析攻防博弈的過(guò)程:攻擊者根據(jù)經(jīng)驗(yàn)和對(duì)網(wǎng)絡(luò)狀態(tài)信息的判斷,選擇攻擊某個(gè)簇或不做任何攻擊;檢測(cè)節(jié)點(diǎn)監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù),向檢測(cè)系統(tǒng)提供檢測(cè)結(jié)果,檢測(cè)系統(tǒng)權(quán)衡其收益后,制定防御決策。當(dāng)網(wǎng)絡(luò)攻防雙方采用策略為時(shí),該博弈模型就達(dá)到了納什均衡,檢測(cè)系統(tǒng)最好的防御策略就是找到最有可能被入侵的簇進(jìn)行防范?;诓┺恼摰臋z測(cè)算法可以權(quán)衡檢測(cè)效率和網(wǎng)絡(luò)資源,做出最合理的決策。
2? 經(jīng)典檢測(cè)算法的比較
根據(jù)上面的介紹,對(duì)幾種經(jīng)典入侵檢測(cè)算法進(jìn)行比較(如表1-1)。從表中可以看出經(jīng)典檢測(cè)方案大多存在缺陷,還存在著許多亟待研究和解決的問(wèn)題。已有算法大多要么檢測(cè)算法過(guò)于復(fù)雜,導(dǎo)致計(jì)算時(shí)間過(guò)長(zhǎng);要么沒(méi)有深入的考慮能量消耗,以至于能量耗損嚴(yán)重,導(dǎo)致生存周期縮短。這些問(wèn)題使得檢測(cè)算法難以應(yīng)用到資源受限的無(wú)線傳感器網(wǎng)絡(luò)中。因此,尋找適用于無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)算法性能的評(píng)價(jià)標(biāo)準(zhǔn),在節(jié)點(diǎn)資源受限的條件下設(shè)計(jì)出合適入侵檢測(cè)算法是目前迫切需要解決的問(wèn)題。
參考文獻(xiàn)
[1]繆強(qiáng). 無(wú)線傳感器網(wǎng)絡(luò)研究與實(shí)現(xiàn)[D]: [碩士學(xué)位論文]. 杭州: 浙江大學(xué). 2004
[2]PERR/G A, et a1.Security in wireless sensor networks[J]. Communications of the ACM, 2004.47(6): 53-57
[3]FEIH, NEERAJ K. Security considerations in Ad-hoc sensor net-works [J]. Ad-hoc Networks, 2005, 1 (3): 69-89