引文格式:苏明. 无线传感网络中的自适应入侵检测算法[J]. 导航定位学报, 2020, 8(4): 106-110.(SU Ming.Adaptive intrusiondetection in wireless sensor networks[J]. Journal of Navigation andPositioning, 2020, 8(4): 106-110.)无线传感网络中的自适应入侵检测算法
苏 明
(北京开放大学,北京 100081)
摘要:针对无线传感网络的入侵检测算法因大多基于数据挖掘算法,所建立的监测系统易遭受未知攻击的问题,提出1种自适应的入侵检测算法:跟踪每个子系统的接收操作特征(ROC),再依据ROC行为特征,自适应地调整转发至每个子系统的融合数据的比例,达到在数据融合阶段运行入侵检测系统,实现有效监测的目的。仿真结果表明,基于该算法的监测系统具有99 %的准确率。
0 引言
无线传感网络(wireless sensor networks, WSNs)已在多个领域内广泛使用[1-2],如智能家居、智能电网等。WSNs中的传感节点,能够感知应用环境中的异常事情,因此可以利用节点的感知能力,来检测异常事情,例如在智能家居的安防中,可以用红外传感节点感知异常物体入侵。现存的多数入侵检测算法都依赖数据挖掘算法[3-5]。尽管它们在入侵检测方面有较好的性能,但是基于传感网络的监测系统,仍容易遭受网络攻击。因此,有效的入侵检测系统(intrusion detection system, IDS)非常关键,通过IDS可以避免数据受已知和未知攻击。通过检测异常活动,提高网络安全[6]是部署IDS的根本目的。计算智能,包括机器学习、模糊逻辑、人工神经网络等均是识别网络流量中异常活动的有效策略。IDS就是通过二值分类,区分正常行为和入侵行为。文献[7]通过实时自适应模型产生(adaptive model generation, AMG)结构,实施基于数据挖掘的IDS系统。文献[8]对基于异常的IDS进行分析,提出基于博弈理论的入侵检测系统。为此,本文针对基于WSNs应用的环境监测系统,分析了在感测数据融合阶段的已知和未知的入侵行为,然后提出自适应的入侵检测(adaptive intrusion detection,AID)系统。在AID中,利用2类机器学习子系统对数据进行处理:①误用检测子系统(misuse detection Subsystem, MDS);②异常检测子系统(anomaly detection subsystem,ADS)。MDS能够有效地检测已知攻击,ADS能够检测未知攻击。所谓已知攻击是系统已掌握了攻击特点的攻击;未知攻击是指系统对攻击特点并不了解的攻击。MDS通过随机森林分类器检测已知攻击。它先通过训练数据,获取攻击模型,然后利用未来感测流量,识别入侵行为。而ADS是通过优化的DBSCAN分类器,来检测未知攻击:先依据训练数据获取正常模型(非攻击模型),再利用模型识别未知攻击。实施入侵检测的关键在于,如何决定子系统的融合数据流,例如文献[9]提出簇结构的混合入侵检测系统(clustered hierarchicalhybrid-intrusion detection system, CHH-IDS),CHH-IDS就是通过分析数据流对入侵检测准确率的影响,达到提高准确地检测入侵。本文提出的AID系统,可以连续地跟踪每个子系统的接收操作特征(receiver operatingcharacteristics, ROC),再结合ROC的奖惩机制,自动调整给每个子系统转发的融合数据比例来完成入侵检测。1 预备知识
1.1 基于权重函数的簇结构
引用簇化的网络结构。假定网络有个簇,每个簇由个传感节点。在每个簇内,簇头(cluster head, CH)负责融合簇内传感节点所转发的数据。一旦融合完毕,CH就将数据转发至中心服务器,如图1所示。
图1 系统模型
1.2 数据融合
每个簇头融合其簇内传感节点的数据,然后将融合的数据传输至信宿。AID系统引用文献[11]的数据融合算法。
2 AID系统
AID系统旨在跟踪MDS和ADS子系统中ROC的变化,并调整向它们转发感测数据的比例。
图2 AID系统流程
3 实验与结果分析
为了更好地分析AID系统,引用NS3仿真器建立仿真平台。在100 m×100 m区域部署20个传感节点,将这些传感节点分成4个簇。引用层次-动态源路由(hierarchical-dynamic source routing, HDSR)协议完成节点间通信。引用数据挖掘的知识发现(knowledge discovery in datamining, KDD)CUP 1999数据库,通过KDD CUP 1999数据库评估AID系统检测性能。并考虑4类攻击:否认服务(denial of service, DoS)、端口(probe)攻击、远程用户攻击(remote-to-login, R2L)、提权(user-to-root, U2R)攻击。具体的仿真参数如表1所示。表1 仿真参数
3.1 准确率
图3显示了AR随入侵率的变化情况,且ΔR=0.25。
图3 准确率随入侵率的变化情况
从图3可知,AR随入侵率的增加而下降。原因在于,入侵率越高,入侵者越多,检测难度越高,降低了准确率。相比于CHH-IDS,AID系统提高了准确率,AID系统的准确率达到99 %以上。3.2 检测率
AID系统的检测率(detection rate, DR),反映了正确地检测入侵事件的概率。图4显示了DR随入侵率的变化情况。
图4 检测率随入侵率的变化情况
从图4可知,入侵率的增加,降低了DR。但当入侵率为50 %,AID系统的DR仍达到95 %,远高于CHH-IDS。例如,当入侵率为40 %,AID系统的DR为96 %,而CHH-IDS系统的DR只达到88%。3.3 TP性能
图5显示了TP随FP的变化曲线,其反映了ROC特性。从图5可知:当时,TP最低;而当时,TP最高,即当时,能够获取最优的ROC特性。
图5 TP随FP的变化情况
3.4 精确率曲线
精确率曲线反映了查准率(precision)随查全率(recall)的变化过程。其中查全率等于,而查准率等于。精确率越高(趋于1),性能越好。图6显示了值变化时的精确率曲线。
图6 精确率曲线
从图6可知,当时,能够获取最高的精确率。具体而言,将设置为0.25,查全率为99.8 %、查准率为90.1 %时,系统性能达到最优。4 结束语
针对重要网络基础设施的监测问题,提出自适应检测AID系统。AID系统以簇化的WSNs结构为基础,通过跟踪ROC特征,调整转发至MDS和ADS 2个子系统的数据的比例,进而优化系统。仿真数据表明,提出的AID系统能有效地提高了入侵检测率,其准确率可达到99 %。
参考文献(见原文)
客服微信