（运筹学与控制论专业论文）无线传感器网络中基于svm的合作型入侵检测系统.pdf

摘要 摘要 无线传感器网络有着广泛的应用前景，但安全性是影响其发展的一个重要问 题。本文对无线传感器网络的特点、体系结构、协议栈进行分析，研究了已有的 无线传感器网络中的入侵检测技术和检测算法。 由于许多重要的无线传感器网络需要一个高效的、轻量级的、灵活的入侵检 测算法来检测恶意节点，本文提出了一种基于二叉树的s v m 多类分类方法的合作 型入侵检测方案。为了提高性能，必须选择尽可能少的合适的流量特征。本文针 对攻击和网络流量的关系，选取了合适的流量指标代表各种攻击。由于无线传感 器网络的分布性需要邻居节点间的合作而且由于传感器的能量有限，所以本文采 用了合作型的入侵检测系统。该方法不仅大大提高了效率，而且实现了较高的分 类精度。 该方案可扩展性较好，有效地节省了传感器节点的能量。通过o p n e t 软件仿 真试验表明，与已经提出的入侵检测系统相比，该方案具有较低的误报率和较高 检测率。 关键词：无线传感器网络，入侵检测，支持向量机，二叉树多类分类方法，误 报率，检测率 a b s t r a c t ab s t r a c t w i r e l e s ss e n s o rn e t w o r k sh a saw i d ea p p l i c a t i o n ，b u tt h es e c u r i t yi ss t i l la n i m p o r t a n ti s s u e i nt h i sp a p e r ，t h ec h a r a c t e r i s t i c s ，s y s t e ma r c h i t e c t u r ea n dp r o t o c o l s t a c ko fw i r e l e s ss e n s o rn e t w o r k sh a v eb e e na n a l y z e d t h e nw es t u d yt h ee x i s t i n g w i r e l e s ss e n s o rn e t w o r ki n t r u s i o nd e t e c t i o nt e c h n o l o g ya n dd e t e c t i o na l g o r i t h m d u et om a n yc r i t i c a lw i r e l e s ss e n s o rn e t w o r k sr e q u i r ea ne f f i c i e n t ，l i g h t w e i g h t a n df l e x i b l ei n t r u s i o nd e t e c t i o na l g o r i t h mt oi d e n t i f ym a l i c i o u sa t t a c k e r s ，s v m - b a s e d c o o p e r a t i o n i n t r u s i o nd e t e c t i o ns c h e m ei s p r o p o s e d i n o r d e rt o i m p r o v e p e r f o r m a n c e ，w es h o u l ds e l e c tt h ep r o p e rf l o wc h a r a c t e r i s t i c sa sl i t t l e a sp o s s i b l e a c c o r d i n gt ot h er e l a t i o n s h i pb e t w e e nt h ea t t a c k sa n dn e t w o r kt r a f f i c ，w es e l e c tt h e a p p r o p r i a t ef l o wi n d i c a t o r st or e p r e s e n tt h ed i f f e r e n tt y p e so fa t t a c k b e c a u s et h e d i s t r i b u t i o no fw i r e l e s ss e n s o rn e t w o r k sr e q u i r e st h ec o o p e r a t i o no fn e i g h b o rn o d e s a n ds e n s o r sh a v eli m i t e dp o w e r , w ed e s i g nac o o p e r a t i v ei n t r u s i o nd e t e c t i o ns y s t e m t h i sm e t h o dn o to n l yg r e a t l yi m p r o v e se f f i c i e n c ya n da c h i e v e sh i g h e rc l a s s i f i c a t i o n a c c u r a c y t h es c h e m eh a sag o o de x p a n s i b i l i t ya n de f f e c t i v e l ys a v e st h ee n e r g yo fs e n s o rn o d e s s i m u l a t i o nr e s u l t ss h o wt h a tt h es c h e m eh a sal o wf a l s ea l a r mr a t ea n dah i g h e r d e t e c t i o nr a t ec o m p a r e dw i t he x i s t i n gi n t r u s i o nd e t e c t i o ns c h e m e s k e yw o r d s ：w i r e l e s ss e n s o rn e t w o r k s ，i n t r u s i o nd e t e c t i o n ，s u p p o r tv e c t o rm a c h i n e ， b i n a r yt r e em u l t i - c l a s sc l a s s i f i c a t i o nm e t h o d ，f a l s ea l a r m ，d e t e c t i o na c c u r a c y i i 第一章绪论 第一章绪论 1 1 研究背景及意义 近年来，随着无线通信、集成电路、嵌入式计算及微机系统等技术的飞速发 展和日益成熟，具有感知能力、计算能力和通信能力的微型无线传感器开始在世 界范同内出现，并被用于组建智能化无线传感器网络。无线传感器网络作为新一 代的传感器网络，其应用已经由军事领域扩展到反恐、防爆、环境监测、医疗保 健、家居、商业、工业等其他众多领域，具有广泛的发展前景。 由于无线传感器网络一般配置在恶劣环境、无人区域或敌方阵地中，加之无 线网络本身同有的脆弱性，使得无线传感器网络的安全问题引起了人们的极大关 注。如何在节点计算速度、电源能量、通信能力和存储空间非常有限的情况下， 通过设计安全机制，防止各种恶意攻击，为无线传感器网络创造一个相对安全的 工作环境，是关系到无线传感器网络能否真正走向实用的关键性问题。 传感器网络安全技术研究和传统网络有着较大区别，但是他们的出发点都是 相同的，均需要解决信息的机密性、完整性、消息认证、组播广播认证、入侵 检测以及访问控制等问题。无线传感器网络的自身特点( 受限的计算、通信、存 储能力，缺乏节点部署的先验知识，部署区域的物理安全无法保证以及网络拓扑 结构动态变化等) 使得非对称密码体制难以直接应用，实现传感器网络安全存在 着巨大的挑战。 无线传感器网络技术作为一门新兴的网络技术，其安全问题得到了普遍重 视。入侵检测作为保障网络安全的一个重要手段，已成为当前无线传感器网络安 全的研究热点。目前，无线传感器网络中的入侵检测技术研究主要集中在两个方 面：入侵检测体系结构和入侵检测算法。 1 2 无线传感器网络安全研究现状与展望 1 2 1 技术现状 无线传感器网络作为一种新型的通信网络，具有动态变化拓扑结构、节点的 资源受限等特点，这些独特的网络特征使得其安全问题成为这一领域研究的重要 内容之一。目前解决无线传感器安全问题的技术主要有以下几种： ( 1 ) 密钥管理与身份认证 密钥管理和身份认证在无线自组网中，特别在无线传感器网络中是一个十分 重要的问题。由于传感器节点的资源限制( c p u 计算能力、存储能力、通信能力、 能源等) ，传统的p k i 公钥加密体系由于计算量大、需要存储的内容多等特点不 第一章绪论 适合于传感器网络节点。许多研究者针对不同的场景设计了一些密钥管理协议。 y z h a n g 等提出的随机密钥对模型“刖，w d u 等以b i o m 的密钥预分配模型为基础， 提出多密钥空间的密钥对预分配模型n 。身份认证在传感器网络中的主要目的是 判断节点是否属于该网络，而不一定需要节点之间互相确认明确的身份。并且， 身份认证的工作一般可以与密钥管理结合完成。 ( 2 ) 安全路由与安全数据传播 无线传感器网络的自组织特点决定了其路由和数据传播容易受到安全威胁。 多种类型的攻击都可能破坏无线传感器网络路由协议，包括：虚假路由信息、选 择传递攻击、污水池攻击( s i n k h o l e s ) 、女巫( s y b i l ) 攻击、虫洞攻击、h e l l of l o o d s 攻击等。这些攻击使用不同的方式，使得无线传感器网络的路由陷入混乱，敌方 从而也可以进一步实现其险恶的最终目的。安全数据传播是指如何保障在数据的 传播过程中不会被撰改、丢弃、或者插入虚假数据。这对于无线传感器网络来说 都是一个重要的问题，因为在传感器网络牵涉到大量的数据采集和传播。目前许 多传感器网络路由协议被提出n 2 1 3 1 ，但是这些路由协议都非常简单，主要是以能 量高效为目的设计的，没有考虑安全问题。传感器网络安全路由协议的进一步研 究方向为：根据传感器网络的自身特点，在分析路由安全威胁的基础上，从密码 技术、定位技术和路由协议安全性等方面进行研究。 ( 3 ) 入侵检测 入侵检测是从另一个角度来考虑无线传感器网络的安全问题。在密钥管理安 全体系中，主要考虑到的是身份认证和密钥分布。但是由于无线传感器网络中的 内部节点可能被捕获，这些节点的密钥可能被其他方获取。因此对这种类型的攻 击密钥和身份认证都不能解决。入侵检测则可通过检测节点行为来隔离恶意的节 点，从而保护无线传感器网络的正常运行。因此，入侵检测也是无线传感器网络 安全技术的一个研究热点之一n 刮。 ( 4 ) 信任管理 基于声誉和信任的安全机制是最近几年应用到无线传感器网络的安全技术。 由于无线传感器网络的节点都是以个体节点为中心，这些个体往往处于无人看守 或者敌方的环境中，节点可能会受到各种类型的攻击或者自身的硬件出现故障。 因此，传统的加密和入侵检测技术不能满足安全的要求。从而使基于声誉和信任 的安全机制的研究应运而生。 1 2 2 技术展望 传感器网络安全技术研究面临着巨大挑战。安全问题的设计应该根据实际的 应用场景，需求的安全级别，从设计的开始就充分考虑其安全问题。事实上缺乏 有效的安全机制已经成为分布式传感器网络实用化进程不断推进的主要障碍。未 2 第一章绪论 来无线传感器网络安全技术研究主要朝以下几个方而发展： 1 ) 传感器网络安全体系结构的建立：目前传感器网络安全协议都是针对某 一特定场景设计的，没有形成体系。各个协议和算法之间无法协调工作。必须建 立统一、合理、和有效的安全体系结构。 2 ) 传感器网络安全平台的建立：传感器网络是以数据为中心的数据收集和 处理平台。建立安全传感器网络平台是实现数据的安全融合、存储与访问控制的 基础。通过传感器网络安全平台整合各种安全协议，使得传感器网络认证、入侵 检测、访问控制等安全机制能够合理的融合在一起形成安全协议簇。 3 ) 传感器网络的许多应用场景要求多个基站协同工作，并且基站是移动的。 而目前传感器网络的研究均是基于单基站的，并且基站是静止的。这些研究不能 够使用多基站应用场景。研究多个移动基站的传感器网络的路由和安全问题是非 常必要的。 1 3 本文的主要工作 本文对当前无线传感器网络中的入侵检测技术作了分析比较，提出了一种基 于二叉树的s v m 分类方法的入侵检测方案，仿真结果表明该方案具有较低的误报 率和较高的检测率，与此同时还能有效地减少监测节点的能量消耗。本文主要围 绕以下几个方面进行分析研究： ( 1 ) 对无线传感器网络特点进行分析，研究其体系结构和协议栈，并深入分 析其主要安全问题。 ( 2 ) 对已经提出的无线传感器网络中的入侵检测算法分析比较。 ( 3 ) 提出了一种基于二叉树的s 分类方法的入侵检测方案。 ( 4 ) 通过仿真，与其他的方案在检测率、误报率、平均包传输比、能量消耗 等方面进行了比较和分析。 1 4 论文的结构安排 本论文内容安排如下： 第一章绪论。主要介绍课题背景和意义、无线传感器网络安全研究现状与 展望，提出了本文的主要研究内容。 第二章无线传感器网络中入侵检测技术分析与研究。首先研究无线传感器 体系结构，然后介绍入侵检测技术在无线传感器中的应用并对各种检测算法进行 比较和分析。 第三章s v m 多类分类技术。分析几种s v m 多类分类方法，主要介绍基于二 叉树的支持向量机多类分类方法。 第四章基于s v m 的合作型入侵检测系统设计。提出了基于s v m 的合作型入 第一章绪论 侵检测系统，主要包含3 个模块：构造节点的入侵检测模块，激活特定节点的入 侵检测模块和入侵响应模块。 第五章仿真结果比较和分析。通过o p n e t 软件仿真并与其他文献提出的检 测方案比较，该方案具有较低的误报率和较高的检测率，与此同时还能有效地减 少监测节点的能量消耗。 第六章、结束语，对本文进行了总结并展望今后进一步研究的方向。 4 第二章无线传感器网络中入侵检测技术分析与研究 第二章无线传感器网络中入侵检测技术分析与研究 2 1 无线传感器网络系统概述和特点 2 1 1 无线传感器网络系统概述 无线传感器网络的构想最初是由美国军方提出的。早在1 9 7 8 年，美国国防 部高级研究所计划署( d a r p a ) 开始资助卡耐基一梅隆大学进行分布式传感器网 络的研究，这被看成是无线传感器网络的雏形。从那以后，类似的项目在全美多 所高校间广泛展开，如著名的有u cb e r k e l e y 的s m a r td u s t 项目，u c l a 的w i n s 项目，以及多所机构联合攻关的s e n s l t 计划等等。在这些项目取得进展的同时， 其应用也从军用转向民用。在森林火灾、洪水监测之类的环境应用中，在人体生 理数据监测、药品管理之类的医疗应用中，在家庭环境的智能化应用以及商务应 用中都己出现了它的身影。目前，无线传感器网络的商业化应用也已逐步兴起。 美国c r o s s b o w 公司就利用s m a r td u s t 项目的成果开发出了名为m o t e 的智能传 感器节点，还有用于研究机构二次开发的m o t e w o r k t m 开发平台。这些产品都 很受使用者的欢迎。无线传感器网络一般是由大量部署在监控区域的成千上万个 智能无线传感器节点构成的网络系统，这些节点一般通过飞机或者其他方式大量 随机投放到被感知对象的内部或者周围，并以自组织方式构成无线网络。在任意 时刻，节点间通过无线信道连接，以相互协作的方式通过局部的数据采集、预处 理以及节点间的数据交换来完成监视任务。 无线传感器网络一般是由大量部署在监控区域的成千上万个智能无线传感 器节点构成的网络系统，这些节点一般通过飞机或者其他方式大量随机投放到被 感知对象的内部或者周围，并以自组织方式构成无线网络。在任意时刻，节点间 通过无线信道连接，以相互协作的方式通过局部的数据采集、预处理以及节点间 的数据交换来完成监视任务。 图2 1 是一个典型的无线传感器网络结构，这个网络由传感器节点、汇聚节 点( s i n k ) 、任务管理器节点组成。传感器节点散布在需要监视或者控制的区域内， 每个节点都具有采集数据、计算处理、存储和路由等功能，并通过自组织多跳 ( m u l t i h o p ) 无线通信方式把数据传送到汇聚点。同时汇聚节点也可以将信息发送 给各节点，汇聚节点直接与i n t e m e t 或者卫星等相连，通过互联网或无线方式实 现任务管理器节点( 远程用户) 与传感器网络之间的相互通信。在节点损坏失效等 问题出现的情况下，系统能够自动调整，从而确保整个系统的通信正常一1 。 第二章无线传感器网络中入侵检测技术分析与研究 图2 1 无线传感器网络结构 2 1 2 无线传感器网络体系结构 无线传感器网络节点和传统的有线网络的节点相比，其差别较大，如计算能 力、内存、储存空间等资源都很有限。因此所选用的具体技术与协议也有较大的 差异。图2 2 给出了无线传感器网络协议栈“制。 图2 2 无线传感器网络协议栈 无线传感器网络协议栈包括两个平面：通信平面和管理平面。通信平面由物 理层、数据链路层、网络层、传输层和应用层等构成。 ( 1 ) 物理层 无线传感器网络中的物理层主要利用无线电作为通信的传输介质，为上层协 第二章无线传感器网络中入侵检测技术分析与研究 议的通信访问控制提供一个物理连接，并完成对无线电信号的编码、译码，执行 信号的发送和接收等工作。 无线传感器网络也是无线自组网的一个研究热点n 5 1 ，在国外已经建立的演示 传感器网络中，多数传感器节点的硬件设计多基于射频电路。在很多国家由于使 用9 0 0 m h z 、2 4 g h z 以及5 8 g h z 的i s m 频段都不需要向无线电管理部门申请， 所以很多无线传感器网络系统采用i s m 频段作为载波频率。 ( 2 ) 数据链路层 与其他通信网络相比，无线传感器网络具有带宽有限、链路容易改变、节点 的动态性以及由此带来的网络拓扑的变化、物理安全有限性、受设备资源限制等 特点。正是由于这些区别，无线自组织网络协议栈产生了比传统网络协议栈更高 的要求，以适应分布式节点随机收发行为的数据链路层。数据链路层又分为m a c 层( 媒介接入控制层) 和l l c ( 逻辑链路控制层) 。文献i 1 6 】中提出了一种基于动态 拓扑结构的m a c 层高效、稳健的路由算法，该算法具有便利的异构网络互联技 术，有效的功率控制，合理的跨层信息交互、多层协同设计，可靠的安全机制等 特点。 在设计无线传感器网络的数据链路层时，除了考虑传统的无线自组网中的问 题外，还需要考虑能耗。因此需要为传感器网络设计新的低功耗m a c 协议。 s m a c s ( s e l f - o r g a n i z i n gm e d i u ma c c e s sc o n t r o lf o rs e n s o rn e t w o r k s ) n 刀是无线传 感器网络中分布式的m a c 协议，该机制无须任何局部或全局主节点的调度便就 能发现邻居节点并建立传输接收的调度表，并合理安排信道占用时间。 t d m f d m n 剐是一个时分多路复用t d m a 和频分多路复用f d m a 相结合的 m a c 协议方案。该方案中节点维护着一个特殊的结构帧，类似于t d m a 中的时 隙分配表，节点根据此调度它与邻居节点进行通信。 w e iy e 等人提出的s - m a c ( s e n s o r - m a c ) n 鲫应用了三种新技术来减少能耗并 支持自组织无线传感器网络：节点以定期睡眠的方式来减少对空闲信道监听造 成的能耗。邻近的节点组成虚拟簇，使睡眠调度时间自动同步。用消息传递 的方法来减少时延。 t - m a c ( t i m e o u t m a c ) 乜们在s m a c 的基础上引入适应性占空比的概念，来 处理不同时间和位置上负载的变化。该协议能动态地终止节点活动，通过设定细 微的超时间隔( f i n e g r a i n e dt i m e o u t s ) 来动态地选择占空比。减少了节点闲时监听 浪费的能量，但仍保持合理的吞吐量。 ( 3 ) 网络层 在无线传感器网络中节点资源严重受限，因此路由设计的首要原则是节省能 量，延长网络系统的生存期限，并且协议不能太复杂。另外节点的有限内存使得 7 第二章无线传感器网络中入侵检测技术分析与研究 节点不适宜保存太多信息，尽量避免发送冗余信息。从网络拓扑结构的角度来看， 无线传感器网络层协议大体分为两类：平面路由协议和层次路由协议。这些路由 协议大多采用多跳形式在节点和汇集节点之间建立路由，可靠地传数据。a d h o e 网络中已有的多跳路由协议，如a o d v ( a d h o ed e m a n dd i s t a n c ev e c t o r ) 和 t o r a ( t e m p o r a l l yo r d e r e dr o u t i n ga l g o r i t h m ) 等，一般都不适合传感器网络的特点 和传输要求。在无线传感器中的大部分节点不像a d h o c 网络中的节点一样快速 移动，因此没有必要花费很大的代价频繁地更新路由表信息。 在层次路由协议中，网络中的节点在逻辑上有着层次关系。无线传感器节点 被划分为簇头( c l u s t e rh e a d ) 节点和成员( c l u s t e rm e m b e r ) 节点两类。在每个簇内， 根据一定的机制算法选取一个簇头，用于管理或控制整个簇内成员网络节点同时 协调成员节点之间的任务，而且负责簇内信息的收集和数据的融合处理以及簇间 转发等。在这类路l i j 协议中，典型的代表l e a c h ( 1 0 we n e r g ya d a p t i v ec l u s t e r i n g h i e r a r c h y ) 。t e e n ( t h r e s h o l ds e n s i t i v ee n e r g ye f f i c i e n ts e n s o rn e t w o r kp r o t o c 0 1 ) 和p e g a g i s ( p o w e r - e 币c i e n tg a t h e r i n gi ns e n s o ri n f o r m a t i o ns y s t e m ) 。 l e a c h 比是建立在群上的路由协议，簇头节点从它所在簇中的所有传感器 成员节点收集数据，将这些数据进行初步的处理，然后向网关发送。 t e e n 晗副协议是由l e a c h 改进的协议，但是传感器节点的数据不是以固定 的速度发送的。该协议通过设方软、硬门限值，只有在同时满足两个门限值时才 发送数据。 p e g a s i s 乜朝由l e a c h 发展而来，它假定组成无线传感器网络中的节点是同 构而且是静止的。节点发送能量递减的测试信号，通过检测应答来确定离自己最 近的相邻节点的距离。通过这种测试方式，网络中的所有节点能够了解彼此的位 置距离关系，进而每个节点依据自己的位置选择所属的聚类。 ( 4 ) 传输层 无线传感器网络中的传输层，主要解决无线链路不稳定的问题以及根据具体 应用场景对突发事件产生的大量数据的流量控制。到目前为止，无线传感器网的 传输层协议往往是借鉴有线网络中传输层的控制方法，把t c p u d p 协议基于无 线环境中进行修改，以适应无线自组网的特殊应用环境，完成传输层的功能。目 前在这方面的研究趋势是开发高带宽的无线网络资源，以及设计新的传输层协 议，用以加强与m a c 协议和路由协议的结合瞳引。 ( 5 ) 应用层 无线传感器网络的应用支撑服务包括：时间同步、节点定位、以及协同应用 服务接口、时间同步为协同工作的节点同步本地时钟、节点定位依靠有限的位置， 确定传感器中每个节点的相对位置和绝对位置；分布式协同应用接口是为各种应 8 第二章无线传感器网络中入侵检测技术分析与研究 用层协议服务：分布式网络管理接口主要是传感器管理协议( s m p ) ，把数据传输到 应用层，为各种服务提供数据。 而管理平面包括能量管理、移动管理和协同管理等。通信平面主要处理网络 节点之间的信息传递，如数据的路由、网络拥塞控制、同步控制等；管理平面负 责检测和控制节点，节点把接收到的数据传递给管理平面，管理平面对节点进行 检测和控制，使其能正常工作。 2 2 无线传感器网络入侵检测技术分析 2 2 1 无线传感器网络入侵检测技术 入侵检测系统( i d s s ：i n t r u s i o nd e t e c t i o ns y s t e m s ) 根据收集数据的方式 不同可以分为基于主机( h o s t - b a s e d ) 的和基于网络( n e t w o r k b a s e d ) 的入侵检测 系统。其中基于主机的入侵检测系统分析的数据是计算机操作系统的事件曰志、 应用程序的事件日志、系统调用、端口调用和安全审计记录，该系统保护的一般 是所在的主机系统。基于网络的入侵检测系统分析的数据是网络上的数据包，其 担负着保护整个网段的任务。 传统有线网络的入侵检测机制一般不能直接使用到无线传感器网络中，因为 在无线传感器网络中由于其“无线性 和“自组织性”的特点使得它容易收到敌 对方的恶意攻击。 首先，由于其“无线性”的特性，无线传感器网络容易受到不同类型的攻击， 如：被动的窃听和主动的攻击。在传统的有线网络中，攻击者必须在物理上连接 到网络才可能对系统发动攻击，而且一般可以采用防火墙技术对攻击或者破坏进 行检测和限制。但是在无线网络中，攻击者只要在无线电信号范围内的任何地方 可以对任何节点发动攻击，这一点使得任何一个无线移动节点都必须要准备好迎 接直接或者间接的攻击。 其次，无线传感器网络节点通常是被部署在恶劣的环境下或者无人看守的环 境中，甚至是敌人区域，因此容易受到物理捕获和破环，这使得节点容易受到物 理上的侵犯，例如：物理捕获、被破解秘密信息、被植入恶意代码等等。对于一 个大规模的无线传感器网络，我们不可能跟踪每个节点的位置，或者保证监视它 不被俘获。因此，无线传感器网络中的任何节点都不能完全依赖其他节点，应该 以自我为中心。 最后，无线传感器网络的自组织分布式的特性，针对攻击的检测、决策、响 应必须是分布式的、自治的并由多个节点共同协作来完成，一般不采用中心节点 的管理方式。 z h a n g 和l e e 乜叫提出了一个在a d - h o c 网络中使用的入侵检测和响应的系统 架构。在该系统中，每个节点都参与入侵的检测和响应。每个节点负责收集本地 第二章无线传感器网络中入侵检测技术分析与研究 的信息来检测入侵信号，同时相邻的节点之间可以互相交流信息，在更大的范围 内对异常信息进行检测。在系统构架方面，入侵检测代理部署在每一个节点上。 每一个代理都是独立运行的，并监视着本地的节点运行情况，如节点和系统的活 动、监听无线电通信内容等。如果在本地局部访问区域范围内检测到了异常，则 做出响应：或者在证据还不是十分确定的情况下，则将开始一个更广范围的查询。 相邻的入侵检测代理会互相合作，进行全局范围内的检测。这些独立的入侵检测 代理协同工作，构成了整个网络的入侵防范系统。 目前常用在无线传感器网络的入侵检测大多数是借鉴a d h o c 网络中的经验 来设计的，但无线传感器网络通常有其特殊的应用场所，这些节点一般被部署在 无人看守或者恶劣的环境下，甚至是敌人区域，因此容易受到敌人捕获和侵害。 传感器网络入侵检测技术主要在集中监测网络节点的异常以及辨别恶意节点上。 另一方面由于资源受限以及传感器网络容易受到更多的侵害，传统的入侵检测技 术不能够应用于无线传感器网络瞳引。因此必须经过改进使其适应于传感器网络的 特殊需求。此外，设计无线传感器网络的任何协议和安全机制都要首先考虑其能 耗的问题，入侵检测机制的引入所面临的最大问题就是解决其能耗的问题，系统 应尽可能避免复杂的设计和过多的通信、计算等开销，并采用简单高效检测技术 来检测出一些常见的攻击和一些未知的攻击。 日前应用到无线传感器网络的入侵检测技术也有很多。 d o u m i ta n da g r a w a l 鹏3 等人提出了基于自然发生事件的异常检测技术，这种 检测利用某个环境变量的变化，通过新收集到的数据和原来的数据进行比较来检 测异常。这样模型使用了隐式的马尔可夫模型( h i d d e nm a r k o vm o d e l ) ，这种隐 式的马尔可夫模型在一定程度上依赖以前的状态。 s u 1 等人提出了两种方法来提高基于簇的无线传感器网络的安全。第一种方 法是使用基于认证模型，该模型可以抵制外界的攻击者，通过在每个节点发送数 据时附加一个m a c 码来实现。第二种方法称为能量节省( e n e r g y - s a v i n g ) 方式， 同样可以抵制外界的攻击者，该机制监视成员节点和簇头节点来发现异常的行 为。当发现一个异常的行为，簇头节点发出广播报警信息。簇头节点通过发出查 询成员节点能量状态，根据能量的情况，然后成员节点组成活动组的方式来监视 簇头，当报告簇头的异常节点大于某一数值时，则簇头节点排出网络。l i 【3 1 等也 提出了一个基于簇的入侵检测系统，通过将传感器网络划分为若干个组，然后在 每个组内运行基于组的入侵检测算法。 s i l v a 瞄1 等人提出了一种分布式的入侵检测机制来满足资源有限的无线传感 器网络节点，该机制通过事先选取一些运行规则，然后将监视取得数据和事先选 取的规则进行比较，最后检测判断是否有入侵行为。 1 0 第_ 章无线传感器网络中入侵检测技术分析与研究 a g a h 口1 等人在中提出了一种博弈( g a m e ) 理论框架，应用这种框架来保护无线 传感器网络中的节点。文中提出了三种不同的方案来保护网络节点。这三种方案 都将传感器网络划分为簇，每个节点都有簇头。第一种方法采用的是在普通节点 和攻击者之间非合作方式来判断入侵。第二种方法是使用了马尔可夫决策过程 ( m a r k o vd e c i s i o np r o c e s s ) 来决定簇头节点的入侵检测机制。第三种方法通过 在每个时间槽保护最大通信量的节点机制来保护簇头。 t e c h a t e e r a w a t 和j e n n i n g s 盥7 3 认为传统的入侵检测技术对这些能源、内存和处理 能力有限的无线传感器网络节点不适合。通过比较几种准确入侵的检测和能耗 的关系，提出了一种入侵检测方法来适用于能耗有限的分布式防御体系结构。 l i u h l 等提出了一种内部攻击者检测方案，这种方案在节点行为评价时同时 考虑多属性并且不要求事先了解正常或恶意传感器节点的活动。 s o p h i ak a p l a n t z i s 口5 3 等人提出了一种基于s v m 和滑动窗口的集中式入侵检 测系统，在检测黑洞攻击和选择性转发攻击具有较高的精确度。本文主要依据二 叉树的s v m 多类分类算法构造的合作型入侵检测系统。 t i r a n c ha 3 6 等人对a dh o c 网络的i d s 进行了研究，他们把i d s 分为两利一类型： 单机型的和合作型的。单机型的i d s 中，每个节点的局部i d s 代理独立的枪测入侵 活动。合作型的i d s 中，存在监测代理来监测它的半径范围内的所有节点的行为。 无线传感器网络的分布性需要邻居节点间的合作而且由于传感器的能量有限，所 以合作的i d s 方案是满足无线传感器网络的最好的方案。 2 2 2 无线传感器网络中典型的检测算法分析 ( 1 ) 基于聚类的检测算法 l o o 等人乜8 1 提出了一种基于聚类的入侵检测算法，可用于检测路由异常。算 法分为训练和测试两个阶段。( 1 ) 训练阶段：i d s 每隔a k 时间采集一次数据，共 采集n t r 次，并生成样本集合c t r _ c m ，m = l ，2 ， n t r ) 。每个数据样本由1 2 个特征 属性组成，主要描述节点的路由和流量状况。使用固定宽度聚类算法对样本集合 c t r 进行聚类，得到聚类集合= l ，2 ，s ) ( 1 s n t r ) ；然后对聚类集合中的 每个簇。( 1 v s ) ，计算其内部包含的样本点个数fo 。i 与总样本点n t ，的比值， 若i ，i n t r 小于给定的阈值t ，则。标记为异常类。( 2 ) 测试阶段：将待测试的 网络流量样本c 。置于聚类集合中进行比较，如果c 。与异常类。的距离i c 。一m 。i d , 于报警门槛值w ，则说明测试点c 。属于此异常类，i d s 将标记c 。为异常点， 并产生报警信息。 采用这种基于聚类的异常流量检测算法不依赖于有标记的训练集，能够检测 出未知攻击，可以应用在多数路由攻击检测中。 第二章无线传感器网络中入侵检测技术分析与研究 ( 2 ) 基于免疫方法的检测算法 由于免疫系统具有能够识别未知入侵的抗原特性，z e n g 心町等人提出了基于免 疫机理的入侵检测算法。参考生物学机理，作者将人体免疫系统( h u m a ni m m u n e s y s t e m ) 至u x 侵检测系统间进行映射。其中自我细胞映射到正常节点，抗原映射 到一系列网络上观察到的事件。 该算法具有双层入侵防御措施：对于先天已知的入侵，通过判断网络行为 是否与已知入侵模式匹配来激活特异性免疫层。该层分布在网络各节点中，由检 测知识库及其对应的检测器组成。检测器通过分析提取入侵特征，查询检测知识 库，以界定网络入侵并采取针对性响应策略。对于先天未知的入侵，则由非特 异性免疫层负责响应。非特异性免疫层模拟生物体适应性免疫系统，具有识别和 学习未知入侵方式的能力，由正常集及其对应的检测器组成。一旦检测出网络状 况存在未知异常，则启动该层。通过寻求多节点协作将异常节点定位并隔离，同 时将这些入侵特征加入到检测知识库。为增强系统的检测能力，减少误报率，还 加入了多检测器协同信息处理机制。 ( 3 ) 基于隐马尔可夫模型的检测算法 d o u m i t 哺1 等人提出了基于自组织临界程度( s e l f - o r g a n i z e dc r i t i c a l i t y ，s o c ) 和 隐马尔可夫模型( h i d d e nm a r k o vm o d e l ，h m m ) 的入侵检测算法，同样属于异常 检测。他们将无线传感器网络节点分为簇头节点和普通成员节点，并以簇形式组 织在一起。普通成员节点负责收集网络数据，而簇头节点配置有检测引擎，用于 审计其管辖簇中普通节点的流量以及数据的变化情况。 d o u m i t 1 认为，如果把审计事件发生的时间间隔t 作为h m m 的离散时间 点，各种审计事件视为主机的可能状态，那么整个无线传感器网络行为就可以用 h m m 来描述，并依此构造网络的长期行为特征。s o c 在此被用于训练h m m 建 模所需的变换矩阵。异常检测时，首先需建立一个网络行为完全正常情况下的 h m m 。当检测系统检测到无线传感器网络发生状态变化事件时，检测引擎计算 该状态变化事件在正常行为h m m 条件下发生的概率p ，并与系统预定义的h m m 阈值 进行对比。如果小于 ，说明此事件在正常网络情况下发生概率极小，可 判定该网络事件为异常，i d s 产生报警信息。可以看出，阈值 的大小决定着误 报率的高低。 ( 4 ) 基于博弈论的检测算法 a g a h 口1 等人将博弈论中的非合作模型引入到无线传感器网络的入侵检测问 题中，并提出了一种新的解决方案，即利用两人非零合作和动态博弈理论对入侵 者与防护系统之间的对抗行为进行分析，建立入侵检测和响应模型，据此制定出 一个防御策略，以帮助提高入侵检测成功率。按照博弈论建立无线传感器网络攻 1 2 第二章无线传感器网络中入侵检测技术分析与研究 防双方的模型，对于一个给定的簇j ，使用二元组 a s ，s s 分别表示攻击者和检 测系统的策略空间。其中，攻击者有三个策略，l i p ( a s 0 攻击簇、( a s 2 ) 不对任何 簇进行攻击和( a s 3 ) 攻击其他某个簇；检测系统有两个策略，b o ( s s l ) 保护簇；f n ( s s 2 ) 保护其他某个簇。可以用矩阵 彳- fa 1 1 1 呸la 2 za 2 3 表示检测系统的收益值，矩阵 b = 眨 b 1 2 2 j 1 3 、 2 j 2 2吃3j 表示攻击者的收益值：矩阵中各元素表示攻防双方采用不同策略对时对应的收益 值。例如，a l l 表示在( a s l ，s s l ) 策略对( 即攻击者和检测系统都选择了簇j 进行攻 击和保护) 检测系统的收益值。 可以根据此博弈模型分析攻防博弈的动态过程：网络攻击者根据自己的经验 和对网络状态信息的判断，选择攻击或放弃；网络探测器监测网络数据，向检测 系统报告自己的检测结果，检测系统权衡其可能的收益作出决策。可以证明，当 网络攻防双方采用策略对( a s l ，s s l ) 时，该博弈模型达到纳什均衡。因此，对于检 测系统来说，最好的策略就是找到最合适的簇进行防范。基于博弈论的检测算法 可以帮助管理人员深入分析入侵检测结果，权衡检测效率和网络资源，得出最终 合理的响应决策。 2 3 本章小结 本章首先介绍无线传感器网络的特点，并分析了无线传感器网络的体系结构 和协议栈，研究了入侵检测技术在无线传感器网络中的应用，最后比较分析了几 种典型的检测算法。 第三章s v m 多类分类技术 第三章s v m 多类分类技术 3 1s v m 多类分类方法 3 1 1s v m 多类分类方法概述 支持向量机( s u p p o r tv e c t o rm a c h i n e ，s v m ) 最初由v a p n i k 等人于2 0 世纪 9 0 年代提出，它建立在统计学习理论基础上，应用v c 维理论和结构风险最小 化原理，借助于最优化方法等，在很大程度上克服了传统机器学习面临的维数灾 难，局部最小点以及过学习等难以克服的困难，并具有良好的泛化能力，是一种 新型的机器学习方法。 s v m 的基本思想是对于非线性可分样本，将其输入向量经非线性变换映 射到另一个高维空间，使其线性可分，在变换后的空间中寻找一个最优分界面( 超 平面) ，使其推广能力最好，然后进行线性分类。在高维空间中实际上只需进行 内积运算，而这种内积运算可以通过原空间的函数实现，甚至没有必要知道变换 的形式( 只要所选核函数满足m e r c e r 条件) ，这样就避免了“维数灾难”。 然而，s v m 本身是一个两类问题的判别方法，实际应用中经常需要对多类 问题进行分类，这就涉及到多类问题n - 类问题的转换。目前s v m 多类分类方 法主要有一类对余类法( o n ev e r s u sr e s t ，o v r ) 1 ，一对一分类法( o n ev e r s u so n e ， o v o ) b “3 2 ，二叉树法( b i n a r y t r e e ，b t ) 曲h 船3 制，纠错输出编码法( e r r o rc o r r e c t i n g o u t p u tc o d e ，e c o c ) 。，d a g s v m 法b 妇等。s v m 多类分类在实际应用中比较广 泛，文献【1 】介绍了一种基于树的s v m 多类分类方法在数字图书馆图书分类中的 应用，该方法不仅大大提高了效率，而且实现了类似的分类精度。 t h a m r o n g 凡盯p o m p o n 心1 应用基于一种新的投票算法的s v m 多类分类算法 来研究网页分类问题，该方法将网页的特征输入到多类分类的s v m 中，将s v m 的输出结果通过一个投票算法决定网页的类型。下面介绍支持向量机多类分类算 法。 3 1 2 一类对余类法 一类对余类法( o n ev e s d sr e s t ，0 v k ) 1 是最早出现也是目前应用最为广 泛的方法之一，其步骤是构造k 个两类分类机( 设共有k 个类别) ，其中第i 个分 类机把第i 类同余下的各类划分开，训练时第i 个分类机取训练集中第i 类为正 类，其余类别点为负类进行训练。判别时，输入信号分别经过k 个分类机共得到 k 个输出值 f a x ) = s g n ( g , ( x ) ) ( f - 1 , 2 ，七) 1 4 第三章s v m 多类分类技术 若只有一个+ l 出现，则其对应类别为输入信号类别：若输出不只一个+ 1 ( 不 只一类声称它属于自己) ，或者没有个输出为+ 1 ( 即没有一个类声称它属于自 己) ，则比较g ( x ) 输出值，最大者对应类别为输入的类别。 3 1 3 一对一分类法 一对一分类法( o n ev e r s u so n e ，o v o ) 口1 3 2 1 也称为成对分类法。在训练集 t ( 共有k 个不同类别) 中找出所有不同类别的两两组合，共有p = k ( k - 1 ) 2 个，分 别用这两个类别样本点组成两类问题训练集t ( i ，j ) ，然后用求解两类问题的s v m 分别求得p 个判别函数： f 忆j ) ( x ) = s g n ( g ( i ，j ) ( x ) ) ( i = l ，2 ，p ) 判别时将输入信号x 分别送到p 个判别函数： f ( i j ) ( x ) ( i = l ，2 ，p ) 若f ( i ，( x ) = + 1 ，判x 为i 类，i 类获得一票，否则判为j 类，j 类获得一票。 分别统计k 个类别在p 个判别函数结果中的得票数，得票数最多的类别就