1、    基于隱馬爾科夫模型的無線傳感網(wǎng)絡入侵檢測系統(tǒng)設計與性能分析    鄧小明摘要：本文基于zigbee無線協(xié)議，搭建了7個節(jié)點的樹形無線傳感網(wǎng)絡拓撲，通過隱馬爾科夫hmm模型的baum-welch算法迭代訓練正常網(wǎng)絡的模型。選取“節(jié)點通信頻度”、“節(jié)點通信擁擠度”、“數(shù)據(jù)傳輸方式”序列組合作為入侵特征識別點，實驗表明，在仿真環(huán)境下，以10個連續(xù)數(shù)據(jù)幀作為一個單元，特征識別點選擇閾值為4，系統(tǒng)能很好的區(qū)分正常網(wǎng)絡和入侵網(wǎng)絡，具有較好的檢測效果。關鍵詞：無線傳感網(wǎng)；隱馬爾科夫hmm模型；入侵檢測系統(tǒng)：tp393 ：a ：1007-9416（2018）06

2、-0193-03隨著傳感技術、無線網(wǎng)絡技術的快速發(fā)展，無線傳感器網(wǎng)絡被廣泛應用于軍事、環(huán)境檢測、工業(yè)、醫(yī)療和智能家居，安全性是網(wǎng)絡發(fā)展的關鍵性問題之一，無線傳感網(wǎng)絡安全領域主要解決可用性問題、機密性問題、完整性問題、新鮮性問題和節(jié)點的認證問題1。由于無線傳感網(wǎng)絡固有的特性，如資源有限、節(jié)點容易捕獲、信號的開放傳輸?shù)热菀自馐芄簦瑹o線ad hoc中的安全技術無法移植到無線傳感器網(wǎng)絡中，現(xiàn)有的安全技術仍然存在較大局限，因此需要深入而系統(tǒng)的進行研究。1 無線傳感網(wǎng)絡面臨的威脅無線傳感器網(wǎng)絡的諸多特點也導致了保證無線傳感器網(wǎng)絡的安全性成為一個困難的問題。目前傳感器網(wǎng)絡在網(wǎng)絡協(xié)議棧的四個層次中可能受到的

3、攻擊方法和防御手段2如表1所示。2 無線傳感網(wǎng)絡安全技術綜述對于目前絕大部分的安全策略，都沒有從本質上考慮網(wǎng)絡的攻擊與防御關系，造成網(wǎng)絡的防御總是落后于攻擊，或者在防御的效果和響應的時間上達不到理想的效果。為了實現(xiàn)wsn的網(wǎng)絡通信和數(shù)據(jù)信息安全，需要針對wsn面臨的安全威脅及攻擊手段，采取對應的安全防護技術，目前針對無線傳感網(wǎng)絡的主流安全技術如下：2.1 安全協(xié)議安全協(xié)議的目的在于能夠在協(xié)議的框架下，實現(xiàn)數(shù)據(jù)機密性、完整性和數(shù)據(jù)新鮮性，并盡可能的提高通信的安全性并降低通信過程中傳輸?shù)拈_銷。彭磊、畢亞雷、曾家智3在“面向服務的無線傳感器網(wǎng)絡協(xié)議架構”中提出了基于任務，網(wǎng)絡，區(qū)域，傳感器節(jié)點，節(jié)點

4、相關能力的無線傳感器網(wǎng)絡架構；魯琛4等在“桃園中無線傳感網(wǎng)絡通信協(xié)議改進設計”中提出改進泛洪時間同步協(xié)議，達到降低同步時間誤差；范秋生5在“基于相鄰節(jié)點協(xié)作的無線傳感器網(wǎng)絡安全協(xié)議”文中對密鑰分發(fā)的網(wǎng)絡安全協(xié)議進行了探討。這些安全協(xié)議的研究對網(wǎng)絡安全協(xié)議的框架進行了總體分析和探討，也取得了較好的安全效果。但總體而言，安全協(xié)議的實現(xiàn)難度較大。2.2 信息加密，密鑰管理和訪問控制及身份認證信息加密，密鑰管理和訪問控制及身份認證的技術針對節(jié)點與節(jié)點之間通信鏈路上的通信數(shù)據(jù)進行加密，對用戶的合法身份和訪問權限進行認證。秘鑰體系中，主要有對稱秘鑰密碼體系和非對稱秘鑰密碼體系兩種。梅園6在“無線傳感網(wǎng)絡加

5、密通信優(yōu)化算法的研究與仿真”中提出了一種提出了一種小區(qū)域共享密鑰的無線傳感網(wǎng)絡安全通信策略；蘇兵、王徐7等在“基于混淆的無線傳感網(wǎng)絡密鑰管理機制”文中應用了混淆的多重加密方法，信息加密技術、秘鑰分發(fā)機制研究和訪問控制這些手段都能夠有效的防范常見的網(wǎng)絡攻擊。但加密中涉及額外的算法和程序會更多的消耗節(jié)點的能源和增大網(wǎng)絡中的數(shù)據(jù)量。2.3 擴頻和跳頻在無線傳感網(wǎng)絡中，任意兩個節(jié)點間都使用不同的頻率信號進行通信，可以增加通信的信道數(shù)量，可以有效避免傳輸過程中發(fā)生碰撞的概率。付亞飛8在“基于sx1276的擴頻無線聯(lián)網(wǎng)信息采集系統(tǒng)”文中無線組網(wǎng)采用rime協(xié)議棧使用擴頻和跳頻技術進行了設計和實現(xiàn)。擴頻和跳

6、頻在防御方式上屬于被動防御技術，增加的信道使整個網(wǎng)絡在實現(xiàn)上復雜度增加。2.4 安全路由無線傳感網(wǎng)絡中，節(jié)點、基站和網(wǎng)關相互之間進行通信的過程中，都必須使用路由協(xié)議，安全路由技術的使用主要是為了防止在節(jié)點、基站和網(wǎng)關的數(shù)據(jù)在傳輸?shù)倪^程中發(fā)生泄露，吳銀鋒9等在“基于節(jié)點信任值的無線傳感器網(wǎng)絡安全路由”提出了一種基于節(jié)點信任值的層次型路由算法以提高無線傳感器網(wǎng)絡數(shù)據(jù)傳輸過程中的路由安全；段俊奇10在“無線傳感器網(wǎng)絡信任管理關鍵技術研究”中對提出的具有高擴展性和靈活性的信任管理系統(tǒng)架構進行了設計和實現(xiàn)。安全路由的使用必然使用一定復雜度的加密算法，加密算法的使用會造成控制信息過多，為了保證數(shù)據(jù)的完整性

7、還要考慮數(shù)據(jù)重傳，增加了額外的計算量，對能源消耗和數(shù)據(jù)量增加都有一定影響。2.5 入侵檢測入侵檢測技術的使用，可以有效的預防單個或者部分節(jié)點被惡意捕獲，并被植入惡意程序，變成攻擊潛伏節(jié)點，導致網(wǎng)絡發(fā)生信息泄露或者導致網(wǎng)絡中斷等危險情況，張勇11等在“基于sdn架構的wsn入侵檢測技術”中提出將自防御網(wǎng)絡技術與入侵檢測技術相結合，提出了一種有效入侵檢測方案。入侵檢測技術在防御策略上屬于主動防御，且在部署方式上較為靈活。3 無線傳感網(wǎng)絡入侵檢測系統(tǒng)設計3.1 框架設計wsn入侵檢測系統(tǒng)分為五個部分。由無線傳感網(wǎng)絡模塊、網(wǎng)絡嗅探器模塊、檢測服務器和警報器模塊和惡意入侵的節(jié)點模塊組成，入侵檢測系統(tǒng)的結

8、構框圖見圖1所示。在wsn入侵檢測系統(tǒng)框架中，設置一個協(xié)調(diào)器、多個路由器和終端節(jié)點，網(wǎng)絡拓撲結構為樹狀，hmm入侵檢測系統(tǒng)工作流程如下：（1）網(wǎng)絡中的嗅探器通過捕獲流經(jīng)無線傳感網(wǎng)中的所有的數(shù)據(jù)包，并將數(shù)據(jù)包送入入侵檢測服務器。（2）檢測服務器通過提取檢測特征點，組成特征序列，通過hmm算法建立正常網(wǎng)絡數(shù)據(jù)概率模型。（3）設定入侵檢測閾值。（4）進行入侵檢測并對入侵檢測行為進行記錄和后續(xù)處理。3.2 檢測特征點設計在wsn網(wǎng)絡入侵檢測系統(tǒng)中，特征點的選取關系到入侵檢測效果的好壞，通過分析無線傳感網(wǎng)絡數(shù)據(jù)幀的特點，這里選取“節(jié)點通信頻度”、“節(jié)點通信擁擠度”和“傳輸方式”三種反應無線傳感網(wǎng)絡的特征

9、組合起來作為入侵特征識別點：（1）節(jié)點通信頻度。節(jié)點通信頻度反應了各節(jié)點數(shù)據(jù)通信頻度分布程度。通過提取網(wǎng)絡層數(shù)據(jù)幀首部的目的地址和源地址進行統(tǒng)計計算（以5個節(jié)點為例），設定ni用來存儲5個節(jié)點收數(shù)據(jù)和發(fā)數(shù)據(jù)的次數(shù)，其中1i5，節(jié)點通信頻度公式為：其中ó表示節(jié)點通信頻度。如果ó的計算數(shù)值較大，則表示在通信過程中，數(shù)據(jù)傳輸分散，只有極少數(shù)的節(jié)點參與了通信；如果ó比較小，則表示各節(jié)點在網(wǎng)絡中各節(jié)點的通信的頻度比較平均。（2）節(jié)點通信擁擠度。節(jié)點通信擁擠度表示通信節(jié)點間是否存在干路。節(jié)點通信擁擠度較高，說明存在干路，節(jié)點通信擁擠度低，說明傳輸比較平均。由于數(shù)據(jù)幀在路由過程

10、中，mac層的目的地址和源地址在傳輸中需要更換地址，信息將反映傳輸?shù)穆窂剑ㄒ?個節(jié)點為例），統(tǒng)計數(shù)據(jù)在無線網(wǎng)絡節(jié)點經(jīng)過的次數(shù)，節(jié)點擁擠度公式為：其中ó的大小表示節(jié)點通信擁擠度，ó較大，說明存在干路，ó較小，則沒有干路存在。（3）數(shù)據(jù)傳輸方式。無線傳感網(wǎng)絡的數(shù)據(jù)傳輸方式在一定程度上反應了節(jié)點間數(shù)據(jù)通信的狀態(tài)，如節(jié)點間出現(xiàn)大量的廣播數(shù)據(jù)包，導致網(wǎng)絡延遲或通信中斷，廣播傳輸就成為了典型特征。網(wǎng)絡層控制域幀類型子域中，00表示數(shù)據(jù)幀，01表示命令幀。而在交付模式中，00表示單播，01表示間接尋址，10表示廣播。3.3 檢測序列表設計對三種類型的入侵特征識別點進行組合，組合

11、后的網(wǎng)絡狀態(tài)和特征序列值呈現(xiàn)一一對應。網(wǎng)絡狀態(tài)的特征序列值表如表2所示。4 實驗及數(shù)據(jù)分析4.1 硬件環(huán)境實驗的無線傳感網(wǎng)絡硬件采用7個節(jié)點，節(jié)點硬件體系結構支持zigbee協(xié)議，網(wǎng)絡拓撲結構為樹形，7個節(jié)點中包含1個協(xié)調(diào)器，2個路由器和2個終端節(jié)點，另外部署1個嗅探節(jié)點和1個攻擊節(jié)點，節(jié)點預先寫入自組網(wǎng)通信程序及攻擊代碼。4.2 軟件環(huán)境（1）matlab 2016a中嵌入hmm中的baum-welch算法，嗅探節(jié)點捕獲數(shù)據(jù)包產(chǎn)生觀測序列，并作為觀測序列的第一部分數(shù)據(jù)。（2）按照“節(jié)點通信頻度”、“節(jié)點通信擁擠度”、“數(shù)據(jù)傳輸方式”提取相應位構造序列表，以10個連續(xù)數(shù)據(jù)幀作為一個單元。（3）

12、節(jié)點通信頻度和節(jié)點通信擁擠度極限區(qū)間中選擇閾值為4。（4）攻擊節(jié)點發(fā)出攻擊數(shù)據(jù)，嗅探節(jié)點捕獲數(shù)據(jù)包產(chǎn)生觀測序列，并作為觀測序列的第二部分數(shù)據(jù)。（5）分兩個部分導入到matlab軟件中進行概率計算。第一部分數(shù)據(jù)是訓練模型用過的觀測序列，第二部分數(shù)據(jù)是模型中攻擊發(fā)生后產(chǎn)生的觀測序列，在hmm的forward-backward算法中進行計算，得出匹配概率值。4.3 實驗結果及分析第一部分正常觀測序列時正常網(wǎng)絡輸出時序概率匹配圖和入侵發(fā)生后輸出時序概率匹配圖見圖2、3所示（匹配概率用自然對數(shù)進行處理）。從圖2可以看出，正常網(wǎng)絡時序在0-6秒出現(xiàn)波動，主要是因為自組網(wǎng)在進行網(wǎng)絡初始化期間的通信數(shù)據(jù)量波動

13、較大，在網(wǎng)絡建立后，節(jié)點通信頻度、節(jié)點通信擁擠度較低，網(wǎng)絡通信的曲線波動在較小范圍內(nèi)。圖3中，在第31秒左右，網(wǎng)絡通信量突增，與正常網(wǎng)絡相比，匹配概率值急劇下降，網(wǎng)絡曲線發(fā)現(xiàn)較大波動，表示網(wǎng)絡受到攻擊。5 結語本文通過建立樹形拓撲，在基于zigbee協(xié)議的無線傳感網(wǎng)中，通過選取“節(jié)點通信頻度、節(jié)點通信擁擠度、數(shù)據(jù)傳輸方式作為特征點，以10個連續(xù)網(wǎng)絡通信的曲線波動在較小范圍內(nèi)。數(shù)據(jù)幀作為單元，在閾值為4的情況下，系統(tǒng)能夠很好的對正常網(wǎng)絡和入侵行為進行判定，具有較好的檢測效果。參考文獻1譚志剛.無線傳感器網(wǎng)絡密鑰管理與安全認證技術研究d.南京郵電大學，2013.2wood a d，stankovi

14、c j a.denial of service in sensor networksj.ieee computer，2002，35（10）：54-62.3彭磊，畢亞雷，曾家智.面向服務的無線傳感器網(wǎng)絡協(xié)議架構j.計算機工程與應用，2009，45（5）：104-107.4魯琛，屈穩(wěn)太，楊祥龍，王春龍，曹泓，賈生堯.桃園中無線傳感網(wǎng)絡通信協(xié)議改進設計j.農(nóng)業(yè)機械學報，2014，（7）：260-265.5范秋生.基于相鄰節(jié)點協(xié)作的無線傳感器網(wǎng)絡安全協(xié)議j.大學物理，2017，（9）：57-61.6梅園.無線傳感網(wǎng)絡加密通信優(yōu)化算法的研究與仿真j.計算機仿真，2012，（7）：195-198.7蘇兵，

15、王徐，吳沖.基于混淆的無線傳感網(wǎng)絡密鑰管理機制j.化工自動化及儀表，2014，4（41）：402-433.8付亞飛.基于sx1276的擴頻無線聯(lián)網(wǎng)信息采集系統(tǒng)d.石家莊鐵道大學，2016.9吳銀鋒，周翔，馮仁劍，萬江文，許小豐.基于節(jié)點信任值的無線傳感器網(wǎng)絡安全路由j.儀器儀表學報，2012，33（1）：221-228.10段俊奇.無線傳感器網(wǎng)絡信任管理關鍵技術研究d.北京交通大學，2014.11張勇，姬生生，王閎毅.基于sdn架構的wsn入侵檢測技術j.河南大學學報（自然科學版），2015，45（2）：211-216.abstract：the intrusion-detection syst

16、ems of wireless senser network construct senven nodes based on zigbee protocol，through train the normal network model by baum-welch iteration of hidden markov chain. select the " node communication frequency "， "route congestion level"， "data transmission mode" as the point of features， experiments show that， in the simulation environment， using 10 consecutive data frames as a unit， select 4 as threshold value， the system can distinguish better in normal network and intrusion network， the results show that the new detection is effective in wireless