基于AL-SVM 算法的無線傳感器網(wǎng)絡(luò)入侵檢測研究

陳雪芳

（閩西職業(yè)技術(shù)學(xué)院 實訓(xùn)實驗管理中心，福建 龍巖 364021）

1 基于AL-SVM 算法的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)處理

結(jié)合AL-SVM 算法，按照數(shù)據(jù)格式說明、數(shù)據(jù)項定義、特征提取的遞進操作步驟，對無線傳感器網(wǎng)絡(luò)中的入侵?jǐn)?shù)據(jù)進行處理。

1.1 數(shù)據(jù)格式與說明

AL-SVM 算法主要針對無線傳感器網(wǎng)絡(luò)中信息安全管理中心所提供的數(shù)據(jù)連接文件進行分析與處理，為方便后續(xù)檢測指令的運行，與無線傳感器網(wǎng)絡(luò)相關(guān)的所有原始數(shù)據(jù)均用“data”代替。經(jīng)過處理后的data數(shù)據(jù)主要具有如下屬性：目的端口號、URL 地址、響應(yīng)長度、響應(yīng)碼、源端口號、本地緩存、網(wǎng)站來路等。由于入侵信息所屬的網(wǎng)絡(luò)層次不同，其所具有的影響能力也不同，但都屬于“string”型的連接文件［1］。這些數(shù)據(jù)信息處理除了可以提高原始data數(shù)據(jù)所需的標(biāo)記信息，還可以根據(jù)信息文件的具體供給類型，對其進行記錄，同時也可按照數(shù)據(jù)項定義標(biāo)準(zhǔn)，為其分配必要的IP 檢測地址，這也是完善無線傳感器網(wǎng)絡(luò)檢測環(huán)境的必要處理環(huán)節(jié)。表1 為入侵?jǐn)?shù)據(jù)所屬的格式類型及其示例說明條件。

表1 （續(xù)）

1.2 數(shù)據(jù)項定義

數(shù)據(jù)項定義的處理步驟相對簡單，需要同時知道一組“data”數(shù)據(jù)的初始檢測系數(shù)與實際檢測系數(shù)，并在AL-SVM 算法的作用下，建立二者之間的數(shù)值映射關(guān)系。該項技術(shù)理論的應(yīng)用綜合考慮了主動學(xué)習(xí)與支持向量機算法的執(zhí)行過程，規(guī)定初始檢測系數(shù)作為第一階“int”關(guān)聯(lián)值，實際檢測系數(shù)作為第二階“int”關(guān)聯(lián)值［2］。在不違背無線傳感器網(wǎng)絡(luò)目的端口號與URL 地址的前提下，通過節(jié)點與數(shù)據(jù)對應(yīng)的方式，將所有入侵信息排列成可供網(wǎng)絡(luò)主機直接檢測的形式，一方面避免在加密處理過程中入侵信息對其他網(wǎng)絡(luò)信息文件造成的干擾，另一方面也可減輕蠕蟲信息與免疫節(jié)點間的聯(lián)系強度，并在適當(dāng)時機由網(wǎng)絡(luò)主機完全切斷。設(shè)e代表“data”數(shù)據(jù)的第一階“int”關(guān)聯(lián)值，r代表“data”數(shù)據(jù)的第二階“int”關(guān)聯(lián)值，聯(lián)立上述物理量，可將無線傳感器網(wǎng)絡(luò)中的入侵?jǐn)?shù)據(jù)項定義為

式中，qe表示第一階“int”關(guān)聯(lián)值影響下的URL 地址信息；qr表示第二階“int”關(guān)聯(lián)值影響下的URL地址信息；umin表示AL-SVM 算法作用下入侵?jǐn)?shù)據(jù)信息的最小網(wǎng)絡(luò)目的端口號；umax表示入侵?jǐn)?shù)據(jù)信息的最大網(wǎng)絡(luò)目的端口號。

1.3 特征提取

特征提取可根據(jù)入侵?jǐn)?shù)據(jù)在無限傳感器網(wǎng)絡(luò)中所屬階層的不同，對其進行必要的檢測處理，且由于AL-SVM 算法的存在，在對數(shù)值型數(shù)據(jù)進行特征提取時，必須借助最少兩個階段的“int”關(guān)聯(lián)數(shù)值［3］。無線傳感器網(wǎng)絡(luò)入侵檢測理論來自于數(shù)理統(tǒng)計中常見的變量獨立性統(tǒng)計思想，應(yīng)用入侵?jǐn)?shù)據(jù)的特征值，來判斷源數(shù)據(jù)是否具備獨立性［4］。若兩者之間始終保持相互獨立關(guān)系，則證明該類型入侵?jǐn)?shù)據(jù)的存在，沒有影響無線傳感網(wǎng)絡(luò)所具備的信息判別能力，在后續(xù)的檢測處理過程中，可對此類數(shù)據(jù)進行適當(dāng)?shù)娜コ?；若兩者之間的相互獨立關(guān)系不存在，則證明該類型入侵?jǐn)?shù)據(jù)的存在嚴(yán)重影響了無線傳感網(wǎng)絡(luò)所具備的信息判別能力，在后續(xù)的檢測處理過程中，必須對此類數(shù)據(jù)進行完全去除［5］。設(shè)β代表入侵?jǐn)?shù)據(jù)在無限傳感器網(wǎng)絡(luò)中所屬階層的信息檢測承擔(dān)量，s0代表入侵?jǐn)?shù)據(jù)的特征值，聯(lián)立式（1），可將基于AL-SVM 算法的入侵?jǐn)?shù)據(jù)特征提取結(jié)果表示為

2 無線傳感器網(wǎng)絡(luò)入侵檢測技術(shù)

針對無線傳感器網(wǎng)絡(luò)入侵檢測技術(shù)，從分簇?zé)o線傳感器網(wǎng)絡(luò)、入侵檢測網(wǎng)絡(luò)模型、檢測信息采集與分析等方面展開研究。

2.1 分簇?zé)o線傳感器網(wǎng)絡(luò)

分簇?zé)o線傳感器網(wǎng)絡(luò)是常規(guī)傳感器網(wǎng)絡(luò)的一種特殊表現(xiàn)形式，具有極為廣泛的應(yīng)用空間。這種網(wǎng)絡(luò)模式將一個傳感器節(jié)點分割成多個節(jié)點集合，且每一個集合中的所有節(jié)點統(tǒng)稱為一個簇組織，每個簇組織中都存在一個獨立的簇頭節(jié)點。在ALSVM 算法的作用下，簇頭節(jié)點負(fù)責(zé)管理該簇組織內(nèi)的所有節(jié)點，并可對其中的數(shù)據(jù)信息進行融合處理，同時還要與無線傳感器網(wǎng)絡(luò)內(nèi)的Sink 節(jié)點保持?jǐn)?shù)據(jù)通信關(guān)系（如圖1 所示）［6］。這種分簇形式的網(wǎng)絡(luò)體系結(jié)構(gòu)能夠最大程度上將節(jié)點之間的數(shù)據(jù)通信控制在較小的傳輸范圍內(nèi)（也就是簇內(nèi)傳輸環(huán)境），最重要的是可有效減少平級Sink 節(jié)點間的數(shù)據(jù)通信，從而大大降低無線傳感器網(wǎng)絡(luò)的通信開銷，實現(xiàn)對網(wǎng)絡(luò)生命周期的充分延長，這也是新型無線傳感器網(wǎng)絡(luò)入侵檢測技術(shù)能夠較好彌補原有數(shù)據(jù)加密缺陷的主要原因［7］。

圖1 分簇?zé)o線傳感器網(wǎng)絡(luò)

2.2 入侵檢測網(wǎng)絡(luò)模型

入侵檢測網(wǎng)絡(luò)模型如圖2 所示。由于Sink 節(jié)點在無線傳感器網(wǎng)絡(luò)中不受計算能力、存儲空間、電子數(shù)量等物理條件的限制影響，在實施入侵檢測指令的過程中，可將“分簇”思想理解為一種全新的檢測處置理論，且可在模型化框架的作用下，直接針對Sink 節(jié)點所承載的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)進行檢測與清除處理［8］。此外，Sink 節(jié)點在入侵檢測網(wǎng)絡(luò)模型中所能收集到的數(shù)據(jù)信息量要遠(yuǎn)比其他類型節(jié)點全面的多，這也是該類型節(jié)點能夠更輕易感知到無限傳感器網(wǎng)絡(luò)內(nèi)存在數(shù)據(jù)入侵行為的主要原因。一旦Sink 節(jié)點處檢測到異常入侵?jǐn)?shù)據(jù)存在后，整個入侵檢測網(wǎng)絡(luò)模型就會通過所傳輸指令的具體類型，對簇頭節(jié)點的連接請求進行回復(fù)。此外，由于簇頭節(jié)點所處位置的特殊性，當(dāng)其收到Sink 節(jié)點傳輸消息后，會借助入侵檢測網(wǎng)絡(luò)模型在整個簇內(nèi)結(jié)構(gòu)中進行廣播，進而使所有簇內(nèi)節(jié)點都能得到已有數(shù)據(jù)入侵無限傳感器網(wǎng)絡(luò)的消息指令，之后所有簇內(nèi)節(jié)點會同時進行連接狀態(tài)調(diào)整，直至確定數(shù)據(jù)信息所處的實際檢測位置［9］。

圖2 入侵檢測網(wǎng)絡(luò)模型

2.3 檢測信息采集與分析

Sink 節(jié)點作為無線傳感器網(wǎng)絡(luò)入侵檢測指令的發(fā)起者，其自身感知能力始終優(yōu)于網(wǎng)絡(luò)體系內(nèi)的其他簇內(nèi)節(jié)點，能夠在AL-SVM 算法作用下，準(zhǔn)確檢測出發(fā)生數(shù)據(jù)入侵行為的具體位置，從而對其進行定向的清除與處理［10］。檢測信息采集作為入侵檢測指令執(zhí)行的必要操作環(huán)節(jié)，所采集到的信息可以數(shù)據(jù)文件的形式傳輸至無限傳感器網(wǎng)絡(luò)中的各個位置，以便于借助檢測網(wǎng)絡(luò)模型，通知位于簇頭處的Sink 節(jié)點，從而加強傳感器網(wǎng)絡(luò)所具備的抵抗入侵能力。由于Sink 節(jié)點的接入形式與其他簇內(nèi)節(jié)點不完全相同，針對所檢測到入侵信息所執(zhí)行的反應(yīng)行為也基本不同。針對該類型節(jié)點所采集到的檢測信息進行如下分析：設(shè)mmax代表Sink節(jié)點所能承載的最大入侵信息數(shù)值量，m'max代表簇內(nèi)節(jié)點所能承載的最大入侵信息數(shù)值量，mˉ代表簇內(nèi)節(jié)點所能承載的入侵信息數(shù)值量均值，聯(lián)立式（2），可將無線傳感器網(wǎng)絡(luò)的檢測信息采集與分析結(jié)果表示為

式中，f1、f2分別代表兩個不同的簇內(nèi)節(jié)點檢測系數(shù)權(quán)限量，規(guī)定下角標(biāo)物理系數(shù)值越大，該權(quán)限量的數(shù)量級水平越高。

至此，完成對AL-SVM 算法及Sink 節(jié)點檢測能力的分析，實現(xiàn)基于AL-SVM 算法的無線傳感器網(wǎng)絡(luò)入侵檢測研究。

3 實驗及結(jié)果分析

為檢驗基于AL-SVM 算法無線傳感器網(wǎng)絡(luò)入侵檢測技術(shù)，需要搭建一個仿真實驗平臺，并引入蠕蟲攻擊數(shù)據(jù)作為實驗?zāi)繕?biāo)對象。在實際實驗過程中，在實驗室主機中安裝關(guān)聯(lián)規(guī)則數(shù)據(jù)庫，一方面負(fù)責(zé)對節(jié)點免疫能力進行檢測，另一方面記錄蠕蟲攻擊數(shù)據(jù)在傳感器網(wǎng)絡(luò)中的實際傳輸速率。

3.1 實驗室環(huán)境

在軟件方面，實驗組傳感器主機搭載ALSVM 算法，對照組傳感器主機搭載MATLAB 算法。在面對等量蠕蟲攻擊數(shù)據(jù)時，二者可同時執(zhí)行矩陣運算、用戶界面創(chuàng)建、編程語言開發(fā)等指令。在核心內(nèi)容方面，實驗組傳感器主機和對照組傳感器主機均由開發(fā)環(huán)境和輔助工具箱兩類應(yīng)用元件共同組成，且出于實驗公平性考慮，兩臺主機設(shè)備均搭載相同的無線傳感器網(wǎng)絡(luò)模型。實驗所用傳感器主機設(shè)備如圖3所示。

圖3 實驗用傳感器主機設(shè)備

3.2 仿真實驗參數(shù)

通過仿真實驗驗證AL-SVM 算法在解決無線傳感器網(wǎng)絡(luò)入侵檢測問題方面的應(yīng)用優(yōu)勢，從節(jié)點免疫數(shù)量、蠕蟲攻擊數(shù)據(jù)傳輸速率兩個方面分析檢測模型的性能。為適應(yīng)無線傳感器網(wǎng)絡(luò)的實際應(yīng)用需求，檢測節(jié)點隨機分布在傳感器網(wǎng)絡(luò)環(huán)境中，具體的網(wǎng)絡(luò)參數(shù)如表2所示。

表2 模擬實驗參數(shù)

根據(jù)表2 可知，無線傳感器網(wǎng)絡(luò)簇節(jié)點每隔60 s 向周圍網(wǎng)絡(luò)環(huán)境中廣播一個具有入侵能力的蠕蟲數(shù)據(jù)包，已達(dá)到干擾無線傳感器網(wǎng)絡(luò)環(huán)境的實際應(yīng)用需求。

3.3 節(jié)點免疫數(shù)量檢測

簇節(jié)點免疫數(shù)量能夠反應(yīng)無線傳感器網(wǎng)絡(luò)在數(shù)據(jù)加密方面的執(zhí)行能力，一般情況下，單位時間內(nèi)具有免疫能力的簇節(jié)點數(shù)量越少，無線傳感器網(wǎng)絡(luò)所具有的數(shù)據(jù)加密能力也就越強，反之則越弱。節(jié)點免疫數(shù)據(jù)統(tǒng)計如表3所示。

表3 節(jié)點免疫數(shù)量統(tǒng)計

表3 中，“Nor”代表正常情況下蠕蟲攻擊數(shù)據(jù)所感染的免疫節(jié)點數(shù)量，“Pro”代表單次蠕蟲攻擊可能感染的免疫節(jié)點數(shù)量，“DoS”代表穩(wěn)定蠕蟲攻擊所感染的免疫節(jié)點數(shù)量。

分析表3 可知，在第1 h 的實驗時間內(nèi)，實驗組“DoS”指標(biāo)的數(shù)值量始終保持為60 Mb，而對照組“DoS”指標(biāo)的數(shù)值量卻一直保持不斷上升的變化狀態(tài)，初始值為96 Mb，也遠(yuǎn)高于實驗組穩(wěn)定值60 Mb。實驗組“Nor”指標(biāo)則基本保持先上升、再下降的數(shù)值變化趨勢，均值水平達(dá)到93.7 Mb；對照組“Nor”指標(biāo)則出現(xiàn)了兩次明顯的數(shù)值上升趨勢，整個實驗過程中的最小值也達(dá)到了180 Mb，遠(yuǎn)高于實驗組均值93.7 Mb。實驗組“Pro”指標(biāo)則在連續(xù)下降趨勢后，開始出現(xiàn)上升，均值水平達(dá)到33.5 Mb；對照組“Pro”指標(biāo)則保持先下降、再上升的數(shù)值變化趨勢，整個實驗過程中的最小數(shù)值也達(dá)到了198 Mb，遠(yuǎn)高于實驗組均值33.5 Mb。在第2 h的實驗時間內(nèi)，實驗組“Nor”指標(biāo)保持上升、下降交替出現(xiàn)的數(shù)值變化趨勢，全局平均值達(dá)到90 Mb；對照組“Nor”指標(biāo)則出現(xiàn)了兩次明顯的數(shù)值上升變化趨勢與兩次明顯的數(shù)值下降變化趨勢，全局最小值也達(dá)到了182 Mb，與實驗組均值相比，上升了92 Mb。實驗組“Pro”指標(biāo)始終保持相對混亂的數(shù)值變化趨勢，但整個實驗過程中的均值水平相對較低，僅能達(dá)到34.7 Mb；對照組“Pro”指標(biāo)出現(xiàn)了一次明顯的數(shù)值上升趨勢和一次相對模糊的數(shù)值上升趨勢，整個實驗過程中的最小數(shù)值也達(dá)到了196 Mb，與實驗組均值相比，上升了161.3 Mb。實驗組“DoS”指標(biāo)數(shù)值量始終保持為60 Mb，對照組“DoS”指標(biāo)數(shù)值量始終保持為103 Mb，前者數(shù)值水平明顯低于后者。

綜上可認(rèn)為，在AL-SVM 算法的支持下，蠕蟲攻擊行為在單位時間內(nèi)所能感染的免疫簇節(jié)點數(shù)量明顯下降，可有效增強無線傳感器網(wǎng)絡(luò)的數(shù)據(jù)加密能力。

3.4 蠕蟲攻擊數(shù)據(jù)傳輸速率檢測

蠕蟲攻擊數(shù)據(jù)傳輸速率可反應(yīng)無線傳感器網(wǎng)絡(luò)在數(shù)據(jù)認(rèn)證方面的執(zhí)行能力，通常情況下，蠕蟲攻擊數(shù)據(jù)的傳輸速率越慢，無線傳感器網(wǎng)絡(luò)的數(shù)據(jù)認(rèn)證能力也就越強。實驗詳情如圖4所示。

圖4 蠕蟲攻擊數(shù)據(jù)傳輸速率統(tǒng)計

分析圖4 可知，在第1 h 的實驗時間內(nèi)，實驗組、對照組蠕蟲攻擊數(shù)據(jù)的傳輸速率檢測均值水平相對較高，且對照組曲線基本完全位于實驗組曲線上部。在第2 h的實驗時間內(nèi)，實驗組、對照組蠕蟲攻擊數(shù)據(jù)的傳輸速率檢測均值水平相對較低，對照組曲線基本也始終位于實驗組曲線上部。

從實際數(shù)值的角度來看，在第1 h 的實驗時間內(nèi)，實驗組蠕蟲攻擊數(shù)據(jù)傳輸速率最大值達(dá)到8.9 Mb/s，最小值低至1.1 Mb/s，二者間差值為7.8 Mb/s。對照組蠕蟲攻擊數(shù)據(jù)傳輸速率最大值達(dá)到26.0 Mb/s，最小值達(dá)到6.0 Mb/s，二者間差值為20.0 Mb/s，遠(yuǎn)高于實驗組數(shù)值水平。在第2 h 的實驗時間內(nèi)，實驗組蠕蟲攻擊數(shù)據(jù)傳輸速率最大值達(dá)到8.7 Mb/s，最小值低至1.7 Mb/s，二者間差值為7.0 Mb/s。對照組蠕蟲攻擊數(shù)據(jù)傳輸速率最大值達(dá)到25.4 Mb/s，最小值達(dá)到5.8 Mb/s，二者間差值為19.6 Mb/s，遠(yuǎn)高于實驗組數(shù)值水平。

從極大值角度來看，在第1 h的實驗時間內(nèi)，實驗組蠕蟲攻擊數(shù)據(jù)傳輸速率最大值達(dá)到8.9 Mb/s，與對照組蠕蟲攻擊數(shù)據(jù)傳輸速率最大值26.0 Mb/s相比，下降了17.1 Mb/s。在第2 h 的實驗時間內(nèi)，實驗組蠕蟲攻擊數(shù)據(jù)傳輸速率最大值達(dá)到8.7 Mb/s，與對照組蠕蟲攻擊數(shù)據(jù)傳輸速率最大值25.4 Mb/s相比，下降了16.7 Mb/s。

從極小值角度來看，在第1 h 的實驗時間周期內(nèi)，實驗組蠕蟲攻擊數(shù)據(jù)傳輸速率最小值達(dá)到1.1 Mb/s，與對照組蠕蟲攻擊數(shù)據(jù)傳輸速率最小值6.0 Mb/s 相比，下降了4.9 Mb/s。在第2 h 的實驗時間周期內(nèi)，實驗組蠕蟲攻擊數(shù)據(jù)傳輸速率最小值達(dá)到1.7 Mb/s，與對照組蠕蟲攻擊數(shù)據(jù)傳輸速率最小值5.8 Mb/s相比，下降了4.1 Mb/s。

4 結(jié)語

隨著AL-SVM 算法無線傳感器網(wǎng)絡(luò)入侵檢測技術(shù)的應(yīng)用，無線傳感器網(wǎng)絡(luò)在數(shù)據(jù)加密、數(shù)據(jù)認(rèn)證方面存在的弊端性問題得到有效解決，不僅可為網(wǎng)絡(luò)模型提供更深層次的保護，也可實現(xiàn)對蠕蟲類入侵?jǐn)?shù)據(jù)的有效抵御，具備較強的實際應(yīng)用可行性。