一種基于RBM-SVM算法的無(wú)線傳感網(wǎng)絡(luò)入侵檢測(cè)算法

程 超 武靜凱 陳 梅

(長(zhǎng)春工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 吉林 長(zhǎng)春 130012)

0 引 言

隨著5G時(shí)代的到來(lái)，以無(wú)線傳感網(wǎng)絡(luò)(Wireless Sensor Networks，WSN)為基礎(chǔ)的萬(wàn)物互聯(lián)所組成物聯(lián)網(wǎng)的基礎(chǔ)設(shè)施，在迅速發(fā)展的同時(shí)也面臨越來(lái)越多信息化風(fēng)險(xiǎn)[1-3]。隨著網(wǎng)絡(luò)設(shè)施不斷完善和發(fā)展，網(wǎng)絡(luò)中的數(shù)據(jù)量和數(shù)據(jù)的維度都在不斷增大，網(wǎng)絡(luò)通信的安全和時(shí)效也越來(lái)越被重視[4-7]。入侵檢測(cè)系統(tǒng)(Intrusion detection system，IDS)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，越來(lái)越多地應(yīng)用到了無(wú)線網(wǎng)絡(luò)安全中[8]。目前無(wú)線傳感網(wǎng)絡(luò)容易受到黑洞攻擊、路由重放攻擊、泛洪攻擊、WSN內(nèi)部攻擊等攻擊行為，這些攻擊行為使WSN無(wú)法按照原有設(shè)定方式正常工作，嚴(yán)重消耗WSN網(wǎng)絡(luò)的節(jié)點(diǎn)能量和內(nèi)存資源，導(dǎo)致網(wǎng)絡(luò)延遲甚至癱瘓，無(wú)法正常運(yùn)行[9]。因此，IDS的檢測(cè)并響應(yīng)對(duì)于WSN網(wǎng)絡(luò)甚至對(duì)于對(duì)整個(gè)物聯(lián)網(wǎng)至關(guān)重要。

近年來(lái)，國(guó)內(nèi)外專家學(xué)者們將人工智能方法應(yīng)用于入侵檢測(cè)系統(tǒng)中，提出了一系列入侵檢測(cè)方法。文獻(xiàn)[10]針對(duì)當(dāng)前網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)數(shù)據(jù)更為龐大、復(fù)雜和多維的特性提出了基于DAN-BP的入侵檢測(cè)模型。文獻(xiàn)[11]針對(duì)攻擊行為Probe(Probing)、U2R(User to root)、R2L(Remote to local)的檢測(cè)率比較低提出一種新的混合多層次入侵檢測(cè)模型,檢測(cè)正常和異常的網(wǎng)絡(luò)行為，模型應(yīng)用KNN離群點(diǎn)檢測(cè)算法來(lái)檢測(cè)并刪除離群數(shù)據(jù)并結(jié)合網(wǎng)絡(luò)流量的相似性，提出一種類別檢測(cè)劃分方法避免了異常行為在檢測(cè)過(guò)程中的相互干擾。文獻(xiàn)[12]針對(duì)WSN中資源受限的IDS策略優(yōu)化問(wèn)題，提出了一種具有博弈的動(dòng)態(tài)多階段入侵檢測(cè)模型,通過(guò)貝葉斯規(guī)則修正下一階段外部節(jié)點(diǎn)為惡意節(jié)點(diǎn)的后驗(yàn)概率模型分析預(yù)測(cè)出最易遭受入侵的節(jié)點(diǎn)。文獻(xiàn)[13]針對(duì)集成學(xué)習(xí)的入侵檢測(cè)算法在對(duì)原問(wèn)題進(jìn)行劃分過(guò)程中會(huì)存在一定的邊緣信息與整體信息的丟失的問(wèn)題，以及模型融合耗時(shí)需要復(fù)雜的調(diào)整參數(shù)過(guò)程，提出了一種改進(jìn)的基于集成學(xué)習(xí)的入侵檢測(cè)算法，將原問(wèn)題轉(zhuǎn)化成多個(gè)二分類問(wèn)題,并把多個(gè)分類器的概率預(yù)測(cè)結(jié)果作為先驗(yàn)知識(shí)加入到原本的特征中，再進(jìn)行多分類模型的學(xué)習(xí)。以上文獻(xiàn)在入侵檢測(cè)系統(tǒng)中均有很好的改進(jìn)效果，但由于WSN網(wǎng)絡(luò)存在簇行結(jié)構(gòu)，且WSN網(wǎng)絡(luò)存在計(jì)算能力不足的問(wèn)題，深層神經(jīng)網(wǎng)絡(luò)以及集成學(xué)習(xí)方法將無(wú)法得到很好的入侵檢測(cè)效果。

基于此，提出了一種基于RBM特征提取和多層SVM分類算法的無(wú)線傳感網(wǎng)絡(luò)入侵檢測(cè)算法，首先采用RBM算法將大流量數(shù)據(jù)中特征進(jìn)行提取，保證在不丟失網(wǎng)絡(luò)流量數(shù)據(jù)特征的基礎(chǔ)上將高維流量數(shù)據(jù)轉(zhuǎn)化為低維數(shù)據(jù)，根據(jù)WSN網(wǎng)絡(luò)簇行結(jié)構(gòu)特點(diǎn)，通過(guò)多層SVM分類方法逐層分類，保證了網(wǎng)絡(luò)的傳輸性能和安全性，將網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)及時(shí)檢測(cè)并刪除，保證WSN網(wǎng)絡(luò)安全。

1 入侵檢測(cè)相關(guān)技術(shù)研究

1.1 受限玻爾茲曼機(jī)特征提取

受限玻爾茲曼機(jī)(Restricted Boltzmann Machine,RBM)是基于能量的概率分布函數(shù)，其能量函數(shù)可表示為：

式中：向量h=(h1,h2,…,hm)T表示隱藏層各神經(jīng)元的值，向量v=(v1,v2,…,vn)T表示可見(jiàn)層各神經(jīng)元的值，ai為可見(jiàn)層神經(jīng)元i的偏置值，bj為隱藏層神經(jīng)元j的偏置值，W=(wij)m×n∈Rm×n為可見(jiàn)層到隱藏層之間連接權(quán)重矩陣[14]。

根據(jù)能量函數(shù)，可以求得v、h的聯(lián)合概率分布為：

(2)

Z為配分函數(shù)(歸一化因子)：

(3)

本文將RBM算法應(yīng)用于WSN網(wǎng)絡(luò)流量數(shù)據(jù)特征提取，采用無(wú)監(jiān)督學(xué)習(xí)方法，對(duì)RBM特征提取模型進(jìn)行訓(xùn)練。訓(xùn)練RBM特征的目的是為了讓可見(jiàn)層節(jié)點(diǎn)v的分布p(v)最大可能地?cái)M合輸入樣本所在的樣本空間的分布q(v)。從信息熵的角度理解，即使得p和q之間的KL距離最小，則兩種分布越接近[15]：

(4)

(5)

式中：T為假設(shè)的訓(xùn)練樣本數(shù)量；vt表示第t個(gè)訓(xùn)練樣本。為了求得模型參數(shù)θ={W,a,b}，采用對(duì)數(shù)損失函數(shù)：

(6)

由于當(dāng)今網(wǎng)絡(luò)中流量較大，p(v)概率分布在實(shí)際應(yīng)用難以求得，對(duì)于大量訓(xùn)練樣本v迭代求解計(jì)算量大且很難求得最優(yōu)解。本文采用對(duì)比散度(Contrastive Divergence,CD)算法求解，通過(guò)k次Gibbs采樣方式近似估計(jì)期望項(xiàng)[16]。為了加快RBM模型學(xué)習(xí)效率以及最優(yōu)參數(shù)θ={W,a,b}，采用基于動(dòng)量的小批量特征梯度下降法去優(yōu)化模型參數(shù)，最小化重構(gòu)誤差，直到模型重構(gòu)誤差達(dá)到理想最小值。

1.2 基于WSN分簇的多層SVM檢測(cè)方法

無(wú)線傳感器網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有多種，本文針對(duì)基于分簇的無(wú)線傳感器網(wǎng)絡(luò)。無(wú)線傳感器根據(jù)分簇協(xié)議分為不同的簇，分簇后的無(wú)線傳感器網(wǎng)絡(luò)結(jié)構(gòu)主要由普通節(jié)點(diǎn)、簇頭節(jié)點(diǎn)、Sink節(jié)點(diǎn)3種節(jié)點(diǎn)組成。大量底層普通節(jié)點(diǎn)匯聚成不同簇，每個(gè)簇從簇內(nèi)節(jié)點(diǎn)中選出合適的簇頭節(jié)點(diǎn)，普通節(jié)點(diǎn)在當(dāng)前簇內(nèi)相互通信，將收集到的信息匯集到簇頭節(jié)點(diǎn)。Sink節(jié)點(diǎn)作為網(wǎng)關(guān)節(jié)點(diǎn)，負(fù)責(zé)傳感器網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接，簇頭節(jié)點(diǎn)將信息匯集處理發(fā)送給Sink節(jié)點(diǎn)，由Sink節(jié)點(diǎn)將信息發(fā)送到其他網(wǎng)絡(luò)中，由外部網(wǎng)絡(luò)將WSN網(wǎng)絡(luò)收集的信息進(jìn)行傳輸[17-19]。

本文通過(guò)基于分簇的無(wú)線傳感器節(jié)點(diǎn)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，將分層SVM分類方法應(yīng)用于無(wú)線傳感器網(wǎng)絡(luò)的各個(gè)分層當(dāng)中。對(duì)于無(wú)線傳感網(wǎng)絡(luò)，影響最大的入侵攻擊即為泛洪攻擊，當(dāng)無(wú)線傳感網(wǎng)絡(luò)中遭受泛洪攻擊時(shí)，無(wú)線節(jié)點(diǎn)間將傳輸大量泛洪信息，導(dǎo)致WSN網(wǎng)絡(luò)出現(xiàn)嚴(yán)重?fù)砣麊?wèn)題，嚴(yán)重影響正常流量數(shù)據(jù)的傳輸，導(dǎo)致整個(gè)網(wǎng)絡(luò)的傳輸延遲，甚至最終導(dǎo)致WSN網(wǎng)絡(luò)中節(jié)點(diǎn)能量消耗殆盡，通信鏈路損壞。

普通節(jié)點(diǎn)作為無(wú)線傳感器網(wǎng)絡(luò)的底層節(jié)點(diǎn)，時(shí)刻監(jiān)控和記錄著當(dāng)前目標(biāo)的狀態(tài)信息，會(huì)收集大量數(shù)據(jù)信息，并將信息傳輸給簇頭節(jié)點(diǎn)。本文采用多層次的WSN二分類方法,最大化入侵?jǐn)?shù)據(jù)間的差異，從而保證更好的檢測(cè)效果。如圖1所示，將第一層普通節(jié)點(diǎn)層進(jìn)行泛洪攻擊數(shù)據(jù)與其他流量數(shù)據(jù)的分類，從而丟棄大量泛洪攻擊流量，保證網(wǎng)絡(luò)質(zhì)量，再次通過(guò)SVM二分類方法，對(duì)Probe攻擊行為與其他攻擊行為進(jìn)行分類。在簇節(jié)點(diǎn)層，通過(guò)SVM二分類方法對(duì)U2R攻擊與other分類并丟棄U2R數(shù)據(jù)，將other數(shù)據(jù)傳輸給Sink節(jié)點(diǎn)，由Sink節(jié)點(diǎn)做下一步處理。Sink節(jié)點(diǎn)通過(guò)SVM二分類方法將R2L攻擊數(shù)據(jù)和Normal正常數(shù)據(jù)分類，最終將正常數(shù)據(jù)發(fā)送到其他網(wǎng)絡(luò)中，將攻擊類型數(shù)據(jù)刪除，達(dá)到節(jié)約節(jié)點(diǎn)資源，同時(shí)將攻擊行為攔截并處理在WSN網(wǎng)絡(luò)中，防止入侵流量數(shù)據(jù)傳輸?shù)狡渌W(wǎng)絡(luò)中影響WSN網(wǎng)絡(luò)上層的其他系統(tǒng)。

圖1 WSN分簇的多層SVM檢測(cè)方法

2 實(shí)驗(yàn)仿真

本節(jié)采用計(jì)算機(jī)實(shí)驗(yàn)仿真方法對(duì)所提出的方法進(jìn)行模擬實(shí)驗(yàn)。實(shí)驗(yàn)環(huán)境為：Window10 PC，Inter Core i7- 9750H CPU @ 2.60 GHz 8 GB RAM。采用Python 3.7.3來(lái)實(shí)現(xiàn)本文算法，并采用公共入侵檢測(cè)數(shù)據(jù)集NSL-KDD數(shù)據(jù)集模擬實(shí)驗(yàn)作為本次仿真實(shí)驗(yàn)數(shù)據(jù)集，仿真實(shí)驗(yàn)訓(xùn)練集選擇KDDTrain+_20Percent.TXT，測(cè)試集為KDDTest+.TXT。數(shù)據(jù)集中每條數(shù)據(jù)由41個(gè)特征和1個(gè)標(biāo)簽組成，41個(gè)特征中包括34個(gè)數(shù)字特征和7個(gè)字符特征。訓(xùn)練集共有25 192條數(shù)據(jù)，包括正常流量數(shù)據(jù)13 449條、Dos攻擊數(shù)據(jù)9 234條、Probe攻擊數(shù)據(jù)2 289條、U2R攻擊數(shù)據(jù)11條、R2L攻擊數(shù)據(jù)209條。測(cè)試集共有11 850條數(shù)據(jù)，包括正常流量數(shù)據(jù)2 152條、Dos攻擊數(shù)據(jù)4 342條、Probe攻擊數(shù)據(jù)2 402條、U2R攻擊數(shù)據(jù)200條、R2L攻擊數(shù)據(jù)2 754條。數(shù)據(jù)集中攻擊類型可分為4大類，訓(xùn)練集攻擊類型可分為21小類，測(cè)試集中新加入17種訓(xùn)練集中沒(méi)有的攻擊類型。

入侵檢測(cè)系統(tǒng)評(píng)價(jià)指標(biāo)由混淆矩陣計(jì)算，其主要評(píng)價(jià)指標(biāo)分為準(zhǔn)確性Acc(accuracy)、檢測(cè)率DR(detection rate)、誤報(bào)率FAR(false alarm rate)和漏報(bào)率MAR(missing alarm rate)，其計(jì)算公式如下：

(7)

(8)

(9)

(10)

式中：TP為將異常流量數(shù)據(jù)樣本分類為異常的數(shù)量；TN為將正常流量數(shù)據(jù)樣本分類為正常的數(shù)量；FP為將正常流量數(shù)據(jù)樣本分類為異常的數(shù)量；FN為將異常流量數(shù)據(jù)樣本分類為正常的數(shù)量。

在WSN網(wǎng)絡(luò)中主要攻擊類型有黑洞攻擊、灰洞攻擊、泛洪攻擊、重放路由攻擊、蟲(chóng)洞攻擊等。NSL-KDD數(shù)據(jù)集中包括四種攻擊類型：拒絕服務(wù)攻擊Dos、嗅探攻擊Probe、來(lái)自遠(yuǎn)程的非法訪問(wèn)R2L和普通用戶對(duì)超級(jí)用戶特權(quán)非法訪問(wèn)攻擊U2R。根據(jù)攻擊行為可將WSN網(wǎng)絡(luò)中的黑洞、蟲(chóng)洞等攻擊歸納為Probe攻擊，將欺騙、重放路由攻擊歸納為R2L攻擊，將內(nèi)部攻擊歸納為U2R攻擊，將泛洪攻擊、資源消耗攻擊等攻擊歸納為Dos攻擊。

2.1 RBM特征提取模型訓(xùn)練

首先構(gòu)造RBM模型，選取CD算法作為訓(xùn)練算法對(duì)RBM模型進(jìn)行無(wú)監(jiān)督學(xué)習(xí)，幫助RBM模型獲得數(shù)據(jù)集內(nèi)部特征。采用基于動(dòng)量的梯度下降法多次迭代訓(xùn)練最優(yōu)θ={W,a,b}。RBM模型訓(xùn)練分為三部分：前向傳播、反向傳播和誤差對(duì)比。通過(guò)比較數(shù)據(jù)的預(yù)測(cè)概率和真實(shí)分布，采用KL散度衡量?jī)蓚€(gè)分布的相似性，通過(guò)迭代最小化KL散度求得最優(yōu)參數(shù)。

本次仿真設(shè)置RBM模型輸入神經(jīng)元個(gè)數(shù)為41，模型輸出神經(jīng)元個(gè)數(shù)分別為36、27、18、9。如圖2所示，通過(guò)Gibbs一次采樣即達(dá)到較小的重構(gòu)誤差，通過(guò)多次基于動(dòng)量梯度下降法迭代尋優(yōu)，最終重構(gòu)誤差降至0.44左右?？梢?jiàn)RBM網(wǎng)絡(luò)在降維的同時(shí)，可以有效提取出數(shù)據(jù)特征，保證RBM網(wǎng)絡(luò)處理的數(shù)據(jù)可以很好地保留特征信息。圖中折線圖從上到下，分別是降到9、18、27、36維度的數(shù)據(jù)重構(gòu)誤差，所降的維度越低，重構(gòu)誤差越大。

圖2 重構(gòu)誤差

2.2 RBM-SVM實(shí)驗(yàn)仿真

為驗(yàn)證多層SVM入侵檢測(cè)方法在WSN網(wǎng)絡(luò)入侵檢測(cè)的可行性，本文通過(guò)訓(xùn)練RBM模型，達(dá)到可接受的重構(gòu)誤差后，輸出模型參數(shù)θ={W,a,b}，并將模型參數(shù)代入RBM模型中，對(duì)NSL-KDD數(shù)據(jù)集進(jìn)行特征提取和降維處理。將降維后的數(shù)據(jù)代入SVM多層分類器中。首先修改數(shù)據(jù)集標(biāo)簽，將Dos攻擊標(biāo)簽改為1，其他數(shù)據(jù)特征標(biāo)簽改為0，然后依次訓(xùn)練第二分分類器，將Probe攻擊標(biāo)簽設(shè)為1，其他標(biāo)簽設(shè)為0，依次訓(xùn)練每層的SVM分類器。

為了驗(yàn)證本文提出入侵檢測(cè)模型分類器，本文首先將NSL-KDD數(shù)據(jù)集訓(xùn)練集與測(cè)試集合并，并通過(guò)python中sklearn函數(shù)包train_test_split按test_size=0.3切分訓(xùn)練集和測(cè)試集，將數(shù)據(jù)集隨機(jī)分為10份，選取7份作為訓(xùn)練集，剩下3份作為測(cè)試集，同時(shí)與其他入侵檢測(cè)方法進(jìn)行對(duì)比仿真。

如表1所示，多層SVM分類方法能有效檢測(cè)出Dos攻擊，準(zhǔn)確率為99.06%，同時(shí)對(duì)于其他攻擊行為也有很好的準(zhǔn)確率。由于U2R攻擊和R2L攻擊數(shù)據(jù)量很小，僅占訓(xùn)練集和測(cè)試集總和的0.5%和12.6%，雖然有很高的準(zhǔn)確率，但是檢測(cè)率不夠高，且有較高的漏報(bào)率，可見(jiàn)機(jī)器學(xué)習(xí)分類算法更偏向于標(biāo)簽量較大的特征。

表1 RBM-SVM模型檢測(cè)性能(%)

與其他入侵檢測(cè)系統(tǒng)模型對(duì)比仿真，對(duì)比結(jié)果如圖3所示，本文提出的模型在準(zhǔn)確率Acc上高于隨機(jī)森林模型，在檢測(cè)率上效果稍低于隨機(jī)森林模型。如圖4所示，本文提出的模型在誤報(bào)率上優(yōu)于隨機(jī)森林模型，在誤報(bào)率上略次于隨機(jī)森林模型。由于數(shù)據(jù)集中U2R攻擊類型數(shù)據(jù)占比較少，導(dǎo)致檢測(cè)U2R攻擊數(shù)據(jù)時(shí)檢測(cè)率較低導(dǎo)致漏報(bào)率較高，影響整體模型評(píng)價(jià)檢測(cè)率和漏報(bào)率。本文提出的模型可以有效檢測(cè)WSN網(wǎng)絡(luò)中網(wǎng)絡(luò)攻擊行為，保證網(wǎng)絡(luò)連通性和安全性。

圖3 模型準(zhǔn)確率和檢測(cè)率仿真結(jié)果對(duì)比圖

圖4 模型誤報(bào)率和漏報(bào)率仿真結(jié)果對(duì)比圖

公共安全入侵檢測(cè)數(shù)據(jù)集NSL-KDD測(cè)試數(shù)據(jù)集中加入了部分訓(xùn)練數(shù)據(jù)集中不存在的攻擊特征目的是檢驗(yàn)入侵檢測(cè)模型的泛化能力。為了驗(yàn)證本文提出的模型對(duì)未知攻擊檢測(cè)能力，選擇NSL-KDD劃分好的訓(xùn)練集KDDTrain+_20Percent.TXT對(duì)模型進(jìn)行訓(xùn)練，將測(cè)試集KDDTest+.TXT帶入訓(xùn)練好的模型當(dāng)中。本次仿真實(shí)驗(yàn)采用SVM徑向基核函數(shù)(RBF)，采用網(wǎng)格尋優(yōu)方法對(duì)參數(shù)C和g進(jìn)行尋優(yōu)。本文提出的無(wú)線傳感器網(wǎng)絡(luò)RBM-SVM入侵檢測(cè)模型仿真結(jié)果準(zhǔn)確率為91.92%，RBM-RandomForest模型準(zhǔn)確率為81.28%，RBM-DecisionTree模型準(zhǔn)確率為80.08%，在泛化能力方面，本文提出的模型對(duì)未知攻擊檢測(cè)效果更好。

3 結(jié) 語(yǔ)

針對(duì)WSN網(wǎng)絡(luò)安全問(wèn)題，本文提出一種基于RBM特征提取和多層SVM檢測(cè)的無(wú)線傳感網(wǎng)絡(luò)入侵檢測(cè)方法，從維度較高的網(wǎng)絡(luò)數(shù)據(jù)中提取有用的特征信息并結(jié)合無(wú)線傳感器網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及各種攻擊流量相似性分層檢測(cè)入侵行為。通過(guò)NSL_KDD入侵檢測(cè)數(shù)據(jù)集進(jìn)行仿真，實(shí)驗(yàn)結(jié)果表明該算法可以有效檢測(cè)WSN網(wǎng)絡(luò)入侵行為，對(duì)于未知攻擊也有一定檢測(cè)能力。但本文提出的方法仍可進(jìn)一步提高，如提高檢測(cè)小流量攻擊行為、SVM參數(shù)尋優(yōu)等問(wèn)題。