自適應(yīng)監(jiān)督和聚類混合的WSN入侵檢測(cè)系統(tǒng)設(shè)計(jì)

盧明星 陳恩慶

1(河南護(hù)理職業(yè)學(xué)院公共學(xué)科部 河南 安陽 455000)2(鄭州大學(xué)信息工程學(xué)院 河南 鄭州 450000)

0 引 言

隨著無線傳感器的廣泛使用和物聯(lián)網(wǎng)(Internet of things,IOT)技術(shù)[1]的快速發(fā)展，越來越多地使用無線傳感器網(wǎng)絡(luò)(Wireless Sensor Network,WSN)集成物聯(lián)網(wǎng)的概念，以滿足監(jiān)測(cè)智能電網(wǎng)、智能微電網(wǎng)或者生產(chǎn)制造資產(chǎn)等基礎(chǔ)設(shè)施[2]的需求。無線傳感器網(wǎng)絡(luò)由多種類型的傳感器通過無線通信鏈路相互通信所組成，用于監(jiān)測(cè)系統(tǒng)的不同方面，比如壓力和溫度[3]。在長(zhǎng)期持續(xù)監(jiān)測(cè)這些關(guān)鍵的基礎(chǔ)設(shè)施中，WSN面臨多種多樣的安全威脅[4]，而檢測(cè)這些惡意入侵活動(dòng)已變得極為重要。由于WSN的局限性，傳統(tǒng)的入侵檢測(cè)技術(shù)不能直接應(yīng)用于WSN環(huán)境中。因此，在聚合大量的傳感器數(shù)據(jù)時(shí)，必須采用有效的入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)來保護(hù)聚合數(shù)據(jù)不受已知和未知的攻擊。

任何IDS的主要目標(biāo)都是檢測(cè)異?；顒?dòng)并報(bào)警，以保證網(wǎng)絡(luò)的安全。計(jì)算智能，包括機(jī)器學(xué)習(xí)、模糊邏輯和人工神經(jīng)網(wǎng)絡(luò)，都是識(shí)別網(wǎng)絡(luò)中異?；顒?dòng)的有效方法[5-7]。由于機(jī)器學(xué)習(xí)具有的人工智能特性，近年來，更多地將機(jī)器學(xué)習(xí)算法引入到網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，并探索其可行性和有效性，來提高入侵檢測(cè)系統(tǒng)的整體性能。文獻(xiàn)[8]針對(duì)入侵檢測(cè)系統(tǒng)不再為已知的攻擊類型提供簡(jiǎn)單模式識(shí)別功能的問題，提出了一種自適應(yīng)和自動(dòng)化的測(cè)試范例來充分地驗(yàn)證無法通過其他方法進(jìn)行有效測(cè)試的入侵檢測(cè)系統(tǒng)。文獻(xiàn)[9]提出了一種分布式計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的自適應(yīng)模型，檢測(cè)系統(tǒng)的基礎(chǔ)由多種數(shù)據(jù)挖掘方法組成，并使用從網(wǎng)絡(luò)中提取的多種屬性將網(wǎng)絡(luò)交互劃分為正?；蛘弋惓！Ｎ墨I(xiàn)[10]提出了基于異常的入侵檢測(cè)的理論方法，并通過實(shí)現(xiàn)檢測(cè)率、能量消耗和誤報(bào)率之間的平衡，實(shí)現(xiàn)輕量級(jí)的異常檢測(cè)。文獻(xiàn)[11]提出一種多級(jí)半監(jiān)督入侵檢測(cè)模型框架，使用一種類別劃分方法來應(yīng)對(duì)不同類型的攻擊，并引入了“純聚類”的概念，采用基于聚類的方法進(jìn)行網(wǎng)絡(luò)異常的檢測(cè)，提高了總體精度和各種網(wǎng)絡(luò)攻擊行為的檢測(cè)效果。

現(xiàn)有的入侵檢測(cè)方法大都是針對(duì)已知的攻擊類型，檢測(cè)率較高，但面對(duì)未知類型的網(wǎng)絡(luò)威脅，加之復(fù)雜多變的應(yīng)用場(chǎng)景，往往由于環(huán)境惡劣而使得檢測(cè)結(jié)果誤報(bào)率高、精度低。針對(duì)WSN中存在的已知的和未知的入侵行為，提出一種自適應(yīng)監(jiān)督和聚類混合的入侵檢測(cè)系統(tǒng)(Adaptively Supervised and Clustered Hybrid Intrusion Detection System,AC-IDS)。該機(jī)制將傳感器聚合數(shù)據(jù)分類后導(dǎo)入到基于機(jī)器學(xué)習(xí)的誤用檢測(cè)子系統(tǒng)(Misuse Detection Subsystem,MDS)和異常檢測(cè)子系統(tǒng)(Anomaly Detection subsystem,ADS)，其中：MDS使用基于隨機(jī)森林的分類器來檢測(cè)已知攻擊，將感知流量與從訓(xùn)練數(shù)據(jù)中識(shí)別出的入侵行為的模式進(jìn)行比較；ADS采用了基于密度的聚類分類器，通過將訓(xùn)練數(shù)據(jù)集中檢測(cè)到的數(shù)據(jù)與正常數(shù)據(jù)進(jìn)行比較來檢測(cè)未知攻擊。實(shí)驗(yàn)結(jié)果表明，AC-IDS能夠較好地提高準(zhǔn)確率和入侵檢出率。

1 聚類分層混合的IDS

1.1 系統(tǒng)模型

系統(tǒng)模型中的符號(hào)表示意義如表1所示。

表1 系統(tǒng)模型中符號(hào)表示意義

續(xù)表1

分簇WSN由N個(gè)簇組成，每個(gè)簇又由C個(gè)傳感器節(jié)點(diǎn)組成。每個(gè)簇中，簇頭的作用是將傳感器節(jié)點(diǎn)轉(zhuǎn)發(fā)的數(shù)據(jù)進(jìn)行聚合，在此基礎(chǔ)上，簇頭轉(zhuǎn)發(fā)數(shù)據(jù)至中心服務(wù)器，那里部署了網(wǎng)絡(luò)入侵檢測(cè)。系統(tǒng)模型框圖如圖1所示。

圖1 系統(tǒng)模型框圖

1.2 簇頭選擇過程

和聚類分層混合的入侵檢測(cè)系統(tǒng)(Clustered Hierarchical Hybrid-IDS,CHH-IDS)一樣，AC-IDS也采用了加權(quán)簇頭選擇算法，其中簇頭的選擇是基于每個(gè)傳感器節(jié)點(diǎn)與簇內(nèi)其他節(jié)點(diǎn)比較后的權(quán)值。在簇頭選舉過程中，每個(gè)傳感器分配一個(gè)權(quán)值，該權(quán)值是代表它的度數(shù)，接收信號(hào)強(qiáng)度RSS和移動(dòng)性的函數(shù)。選舉方法根據(jù)以下步驟進(jìn)行：

1) 找到每個(gè)傳感器節(jié)點(diǎn)dn的度數(shù)，代表的是鄰居傳感器的數(shù)量。

2) 計(jì)算差值Δn的度數(shù)。

3) 計(jì)算節(jié)點(diǎn)n的RSS和SRSSn。

4) 計(jì)算每個(gè)傳感器節(jié)點(diǎn)的移動(dòng)因子Mn。

5) 計(jì)算累計(jì)時(shí)間τn，代表自n被指派為簇頭以來經(jīng)歷的時(shí)間(累計(jì)時(shí)間)。

6) 計(jì)算綜合傳感器權(quán)重Wn，綜合傳感器節(jié)點(diǎn)權(quán)重公式如下：

(1)

式中：ω1、ω2、ω3、ω4分別是系統(tǒng)參數(shù)的權(quán)重因子，ω1表示節(jié)點(diǎn)n度數(shù)差，ω2表示SRSSn的權(quán)重因子，ω3表示節(jié)點(diǎn)移動(dòng)性，ω4表示節(jié)點(diǎn)累積時(shí)間，Δn=|dn-δ|，dn是節(jié)點(diǎn)n的度數(shù)，δ代表簇頭能夠處理的節(jié)點(diǎn)數(shù)量，Δn是節(jié)點(diǎn)n的度數(shù)差；|1/SRSSn|是歸一化RSS總和。每個(gè)傳感器估計(jì)它自己的權(quán)值，廣播它的ID并和鄰居節(jié)點(diǎn)的權(quán)值比較。具有最小權(quán)值的節(jié)點(diǎn)被選為簇頭。

1.3 數(shù)據(jù)聚合過程

(2)

在CHH-IDS中，聚合的流量經(jīng)過兩個(gè)并行的入侵檢測(cè)子系統(tǒng)，即未知攻擊的ADSs和已知攻擊的MDSs，稱為混合系統(tǒng)。CHH-IDS的ADSs運(yùn)行基于應(yīng)用空間聚類的增強(qiáng)密度的噪聲算法(E-DBSCAN)，DBSCAN是一個(gè)密度分簇算法，它將簇作為數(shù)據(jù)空間中對(duì)象的密集區(qū)域，用低密度對(duì)象的區(qū)域來劃分。該方法采用隨機(jī)森林算法作為控制分類方法，分兩階段進(jìn)行：訓(xùn)練和分類階段。它基本上是一個(gè)由樹結(jié)構(gòu)分類器集合組成的分類算法，其中每棵樹在每次輸入時(shí)都為最常見的類發(fā)送一個(gè)單元投票。

2 自適應(yīng)監(jiān)督和聚類混合的IDS

AC-IDS旨在跟蹤誤用和異常檢測(cè)子系統(tǒng)的受試者工作特征的變化，并自適應(yīng)地調(diào)整轉(zhuǎn)發(fā)給這兩個(gè)子系統(tǒng)之一的感知數(shù)據(jù)的比例。AC-IDS單次決策過程流程如圖2所示。

圖2 ASCH-IDS單次決策過程流程

ADSs和MDSs在時(shí)刻t的真陽性(TP)和假陽性(FP)的比值分別表示為：

(3)

(4)

由于AC-IDS用于實(shí)時(shí)操作，TP/FP比值被跟蹤為一個(gè)運(yùn)行平均值，時(shí)間步長(zhǎng)Δt如式(5)和式(6)所示。值得注意的是Δt=ti+1-ti。

(5)

(6)

當(dāng)?shù)玫絻蓚€(gè)子系統(tǒng)在時(shí)間步長(zhǎng)Δt內(nèi)的受試者工作特征(ROC)，每個(gè)子系統(tǒng)的總體ROC行為可以計(jì)算為當(dāng)前總體ROC行為與時(shí)間步長(zhǎng)的加權(quán)和，如式(7)和式(8)所示。式中:α表示迄今為止計(jì)算的總TP/FP值和前邊描述的在時(shí)間步長(zhǎng)Δt內(nèi)的TP/FP值的權(quán)重；ti+1=ti+Δt。

M1(ti+1)=αM1(ti)+(1-α)M1(Δt)

(7)

M2(ti+1)=αM2(ti)+(1-α)M2(Δt)

(8)

除了各子系統(tǒng)的ROC行為外，AC-IDS也記錄兩個(gè)子系統(tǒng)在任意時(shí)間ti的相對(duì)運(yùn)行平均ROC行為。為此，引入了一個(gè)指標(biāo)I(ti)：

(9)

利用兩個(gè)子系統(tǒng)的相對(duì)ROC行為轉(zhuǎn)發(fā)聚合傳感數(shù)據(jù)的決策如下：在時(shí)間ti，如果I(ti)I(ti)，AC-IDS增加M1的感知數(shù)據(jù)比例，減少M(fèi)2的感知數(shù)據(jù)比例，如式(10)-式(11)所示，ΔR代表每個(gè)子系統(tǒng)的感知數(shù)據(jù)的比例調(diào)整。

Rα(ti+1)=Rα(ti)±ΔR

(10)

Rm(ti+1)=Rm(ti)±ΔR

(11)

值得注意的是，流程中呈現(xiàn)的是連續(xù)的決策過程圖來調(diào)整每個(gè)子系統(tǒng)中的感知數(shù)據(jù)比例。

3 實(shí) 驗(yàn)

為了驗(yàn)證提出的AC-IDS在分簇WSN網(wǎng)絡(luò)中的有效性，實(shí)驗(yàn)仿真了不同網(wǎng)絡(luò)區(qū)域大小、不同節(jié)點(diǎn)數(shù)和不同簇?cái)?shù)等多種不同場(chǎng)景。每個(gè)場(chǎng)景模擬10次，并取十次平均值作為最終的仿真結(jié)果。表2列出了初始場(chǎng)景仿真參數(shù)的詳細(xì)描述。

表2 初始場(chǎng)景仿真參數(shù)

使用知識(shí)發(fā)現(xiàn)和數(shù)據(jù)檢索即KDD CPU99數(shù)據(jù)集來驗(yàn)證提出的AC-IDS系統(tǒng)的有效性。攻擊被分為以下四類：DoS，Probe，U2R，R2L。KDD CPU99數(shù)據(jù)集包含三個(gè)部分，如表3所示。KDD10%數(shù)據(jù)集用作訓(xùn)練數(shù)據(jù)集，涵蓋22種攻擊類型，代表整個(gè)KDD數(shù)據(jù)集的子集版本。校正KDD數(shù)據(jù)集涵蓋14種額外攻擊。

表3 KDD數(shù)據(jù)集描述

本實(shí)驗(yàn)使用準(zhǔn)確率、檢測(cè)率和受試者工作特征曲線三個(gè)度量來比較不同方法的性能。

準(zhǔn)確率(AR)可反映系統(tǒng)的總體檢測(cè)性能，由式(12)計(jì)算得到，其中：TP和TN分別為真陽性和真陰性，F(xiàn)N和FP分別為假陰性和假陽性。

(12)

在不同場(chǎng)景中追蹤AR，呈現(xiàn)不同的數(shù)據(jù)速率下系統(tǒng)的性能。圖3展示了CHH-IDS中異常檢測(cè)子系統(tǒng)和誤用檢測(cè)子系統(tǒng)的Rα和Rm分別固定為0.75和0.25，0.25和0.75和0.5和0.5，AC-IDS的ΔR=0.25時(shí)的AR。如圖，提出的自適應(yīng)方法AR最高可達(dá)99.76%。最佳AR是在增加異常檢測(cè)子系統(tǒng)的數(shù)據(jù)比例同時(shí)減少誤用檢測(cè)子系統(tǒng)中感知數(shù)據(jù)比例情況下得到，此時(shí)ΔR=0.25%。

圖3 系統(tǒng)準(zhǔn)確率

檢測(cè)率(DR)代表真正被識(shí)別為入侵的傳感器行為的比例，即代表真陽性TP的比例。追蹤不同數(shù)據(jù)比例場(chǎng)景的DR來顯示系統(tǒng)性能，如圖4所示。

(13)

圖4 系統(tǒng)檢測(cè)率

圖4展示了CHH-IDS中異常檢測(cè)子系統(tǒng)和誤用檢測(cè)子系統(tǒng)的Rα和Rm分別固定為0.75和0.25，0.25和0.75和0.5和0.5，AC-IDS的ΔR=0.25時(shí)的DR值。提出的AC-IDS作為自適應(yīng)決策的結(jié)果，通過跟蹤各子系統(tǒng)的ROC行為導(dǎo)致在檢測(cè)具有入侵行為的傳感器時(shí)候，與每一個(gè)單獨(dú)的異常檢測(cè)子系統(tǒng)和誤用檢測(cè)子系統(tǒng)相比，能夠獲得最高的DR。從圖4得出，通過增加異常檢測(cè)子系統(tǒng)數(shù)據(jù)比例，同時(shí)降低流向誤用檢測(cè)子系統(tǒng)中數(shù)據(jù)比例，導(dǎo)致DR性能下降。

受試者工作特征曲線(ROC)描述了真陽性TP和假陽性FP之間折中的一種圖形化方法。圖5繪制了不同情景下的ROC曲線。

圖5 不同的ΔR下的ROC曲線

在ROC曲線中x軸為假陽性概率，即被錯(cuò)誤分類為異常的正常樣本，y軸為真陽性概率，即被正確分類的異常樣本比例，取值范圍均為(0,1)，其中(0,0)表示將每個(gè)實(shí)例均預(yù)測(cè)為正常的模型，(1,1)表示將每個(gè)實(shí)例預(yù)測(cè)為異常的模型。通過ROC曲線看出，越靠近圖的左上角，系統(tǒng)的性能越好，即得出結(jié)論在ΔR=0.25時(shí)，能有效改善整體性能。

為了驗(yàn)證所提系統(tǒng)的合理性和適應(yīng)性，分別對(duì)不同場(chǎng)景條件下系統(tǒng)性能進(jìn)行驗(yàn)證，不同場(chǎng)景條件包括：不同區(qū)域大小、不同節(jié)點(diǎn)數(shù)和不同簇?cái)?shù)，系統(tǒng)的準(zhǔn)確率和檢測(cè)率性能如表4和表5所示。

表4 系統(tǒng)準(zhǔn)確率(%)

表5 系統(tǒng)檢測(cè)率(%)

結(jié)果顯示，提出的自適應(yīng)監(jiān)督和聚類混合的入侵檢測(cè)系統(tǒng)AC-IDS在不同場(chǎng)景條件下準(zhǔn)確率和檢測(cè)率較高且較穩(wěn)定，具有較好的普適性。

4 結(jié) 語

針對(duì)在無線傳感器網(wǎng)絡(luò)的關(guān)鍵性基礎(chǔ)設(shè)施中存在的攻擊和威脅，提出了自適應(yīng)監(jiān)督和聚類混合的入侵檢測(cè)系統(tǒng)AC-IDS。該系統(tǒng)由誤用檢測(cè)子系統(tǒng)和異常檢測(cè)子系統(tǒng)組成，并根據(jù)保持跟蹤的各子系統(tǒng)的ROC行為這個(gè)指標(biāo)來動(dòng)態(tài)調(diào)整指向兩個(gè)子系統(tǒng)的感知數(shù)據(jù)的比例。采用自適應(yīng)的方法解決了入侵問題，并分別通過無監(jiān)督和監(jiān)督的機(jī)器學(xué)習(xí)技術(shù)，調(diào)整在ADS和MDS系統(tǒng)中不同的數(shù)據(jù)比例來動(dòng)態(tài)檢測(cè)已知和未知入侵。通過仿真驗(yàn)證了AC-IDS的性能并證明了該方法的有效性，在WSN中已知和未知的惡意攻擊的檢出率高達(dá)99%，準(zhǔn)確性約為99.80%。未來工作在于研究子系統(tǒng)之間在不同的條件下如何建立優(yōu)化模型及異構(gòu)的集群大小對(duì)提出的解決方案性能的影響。