彭　軍　余　強(qiáng)　何明星

(西華大學(xué)數(shù)學(xué)與計(jì)算機(jī)學(xué)院　四川 成都 610039)

?

基于流量預(yù)測(cè)的WSN入侵檢測(cè)技術(shù)

彭軍余強(qiáng)何明星

(西華大學(xué)數(shù)學(xué)與計(jì)算機(jī)學(xué)院四川 成都 610039)

摘要在無(wú)線傳感器網(wǎng)絡(luò)(WSN)，針對(duì)內(nèi)部攻擊嚴(yán)重威脅網(wǎng)絡(luò)的安全和正常運(yùn)行，如造成網(wǎng)絡(luò)擁塞、能量的大量消耗等問(wèn)題，提出基于流量預(yù)測(cè)的入侵檢測(cè)技術(shù)。該技術(shù)首先利用自回歸滑動(dòng)平均模型ARMA(Autoregressive Moving Average)為節(jié)點(diǎn)建立ARMA(2,1)流量預(yù)測(cè)模型，然后利用預(yù)測(cè)的流量值來(lái)得到通過(guò)節(jié)點(diǎn)的流量接收率范圍，最后通過(guò)比較實(shí)際流量接收率是否超出預(yù)測(cè)范圍來(lái)達(dá)到檢測(cè)的效果。實(shí)驗(yàn)結(jié)果表明，和單獨(dú)使用ARMA模型相比，在相同報(bào)文重放率條件下，采用該技術(shù)有更高的檢測(cè)率和更低的誤報(bào)警率，同時(shí)減少了網(wǎng)絡(luò)節(jié)點(diǎn)的能量消耗。

關(guān)鍵詞無(wú)線傳感器網(wǎng)絡(luò)內(nèi)部攻擊入侵檢測(cè)自回歸滑動(dòng)模型流量接收率

WSN INTRUSION DETECTION TECHNOLOGY BASED ON TRAFFIC PREDICTION

Peng JunYu QiangHe Mingxing

(School of Mathematics and Computer,Xi Hua University,Chengdu 610039,Sichuan,China)

AbstractIn wireless sensor networks, in view of that the internal attacks impose serious threats on network security and normal operation, such as causing the network congestion and huge energy consumption and so on, we proposed a traffic prediction-based intrusion detection technology. First the technology uses autoregressive moving average model (ARMA) to build the ARMA (2,1) traffic forecasting model for nodes, then it uses the predicted traffic value to get the range of packet reception rate passing through the nodes, finally, it achieves the effect of detection by comparing whether the actual packet reception rate exceeds the forecasting range. Experimental results showed that under the same message playback rate condition, compared with single ARMA model, to use this technology had higher detection rate and lower false alarm rate, and meanwhile reduced the energy consumption of network nodes.

KeywordsWireless sensor networks (WSN)Internal attackIntrusion detectionAutoregressive moving average model (ARMA)Packet reception rate

0引言

隨著無(wú)線傳感器網(wǎng)絡(luò)廣泛應(yīng)用于軍事防備、環(huán)境監(jiān)測(cè)、交通管制等重要領(lǐng)域，對(duì)于無(wú)線傳感器網(wǎng)絡(luò)安全防護(hù)的研究也具有很高的研究?jī)r(jià)值[1]。但是無(wú)線傳感器網(wǎng)絡(luò)由于其本身的特性，如節(jié)點(diǎn)的能量、存儲(chǔ)能力和處理能力有限等，提高了對(duì)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)要求。如何設(shè)計(jì)出一個(gè)能耗低、誤報(bào)警率低、檢測(cè)率高、應(yīng)用廣泛的入侵檢測(cè)系統(tǒng)成為一個(gè)重要的研究課題[2,3]。

本文通過(guò)對(duì)節(jié)點(diǎn)的流量進(jìn)行預(yù)測(cè)后，計(jì)算出接收率的范圍來(lái)檢測(cè)攻擊。目前國(guó)內(nèi)外對(duì)于相關(guān)的入侵檢測(cè)系統(tǒng)的研究，提出了很多種不同的檢測(cè)方法。馬立波等[4]提出了基于粒子濾波算法的入侵檢測(cè)技術(shù)，該方法首先利用LEACH算法對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行分簇，然后通過(guò)粒子群濾波算法檢測(cè)節(jié)點(diǎn)的流量情況來(lái)發(fā)現(xiàn)異常節(jié)點(diǎn)。但是該方法存在簇頭節(jié)點(diǎn)能量消耗大的問(wèn)題。

劉帥等[5]提出了一種基于統(tǒng)計(jì)異常的入侵檢測(cè)技術(shù)，該系統(tǒng)首先在正常狀態(tài)下利用某些系統(tǒng)特征為節(jié)點(diǎn)建立模型，通過(guò)統(tǒng)計(jì)觀測(cè)值與模型的偏差程度來(lái)判斷是否有入侵發(fā)生。但是該方案建立模型所需要的特征參數(shù)和特征值會(huì)根據(jù)應(yīng)用場(chǎng)景發(fā)生變化，從而影響監(jiān)測(cè)效果。韓志杰等[6]提出了基于Markov 的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)機(jī)制。首先通過(guò)采用Markov模型，為每個(gè)節(jié)點(diǎn)建立流量預(yù)測(cè)模型來(lái)檢測(cè)網(wǎng)絡(luò)異常流量，同時(shí)也提出了一種報(bào)警評(píng)估機(jī)制，該系統(tǒng)可以有效地檢測(cè)拒絕服務(wù)攻擊，但是檢測(cè)結(jié)果會(huì)受評(píng)估機(jī)制中參數(shù)的設(shè)定的影響。

曹曉梅等[7]設(shè)計(jì)了一種基于ARMA模型的無(wú)線傳感器網(wǎng)絡(luò)拒絕服務(wù)攻擊檢測(cè)方案TPDD(Traffic Prediction based DOS attack Detection)，首先用ARMA模型對(duì)流量進(jìn)行預(yù)測(cè)，通過(guò)計(jì)算實(shí)際流量和預(yù)測(cè)流量的差值是否超出了預(yù)定的閾值來(lái)看是否有異常，并且還設(shè)計(jì)了一種異常檢測(cè)報(bào)警評(píng)估機(jī)制，當(dāng)報(bào)警數(shù)目超過(guò)一定范圍時(shí)，則證明有攻擊發(fā)生。這種方法同樣在評(píng)估機(jī)制中參數(shù)需要人為設(shè)置，這樣就加大了系統(tǒng)的不確定性。本文主要是在TPDD上進(jìn)行改進(jìn)。

滕麗萍提出的基于Sinkhole攻擊的入侵檢測(cè)系統(tǒng)利用Sinkhole攻擊的特點(diǎn)設(shè)計(jì)了一個(gè)基于規(guī)范的分布式入侵檢測(cè)系統(tǒng)，該系統(tǒng)需要節(jié)點(diǎn)之間合作來(lái)檢測(cè)，加大了網(wǎng)絡(luò)的能量消耗。Ponomarchuk等[9]提出的一種基于流量分析的入侵檢測(cè)技術(shù)，該方法通過(guò)計(jì)算出網(wǎng)絡(luò)流量接收率PRR(Packet Reception Rate) 和間隔時(shí)間兩種流量特性來(lái)判斷網(wǎng)絡(luò)中是否有入侵發(fā)生。該方案在網(wǎng)絡(luò)的參數(shù)設(shè)置中也有一些人為因素的影響，從而會(huì)影響檢測(cè)結(jié)果。

肖政宏等[10]運(yùn)用幾種典型的流量預(yù)測(cè)模型設(shè)計(jì)了一種異常入侵檢測(cè)方法。該系統(tǒng)通過(guò)網(wǎng)絡(luò)中節(jié)點(diǎn)的預(yù)測(cè)流量序列和實(shí)際的流量序列的差值來(lái)檢測(cè)是否存在入侵。由于其缺少一種合理的評(píng)估機(jī)制，導(dǎo)致系統(tǒng)的檢測(cè)結(jié)果可能會(huì)因?yàn)槠渌脑蚨l(fā)生變化。

從上面的例子可以看出，目前運(yùn)用流量特性來(lái)設(shè)計(jì)入侵檢測(cè)系統(tǒng)，對(duì)于特定的應(yīng)用都可以達(dá)到一定的效果。但是普遍存在能量消耗過(guò)大、人為參與因素較大，從而會(huì)導(dǎo)致檢測(cè)的不確定性增加。本文在文獻(xiàn)[7]中TPDD技術(shù)的基礎(chǔ)上進(jìn)行了改進(jìn)，因?yàn)樵摲椒ㄔ趫?bào)警評(píng)估機(jī)制中，評(píng)估有無(wú)風(fēng)險(xiǎn)的異常個(gè)數(shù)m的設(shè)置會(huì)直接影響到檢測(cè)結(jié)果。m過(guò)大，會(huì)造成遺漏攻擊，太小會(huì)增加誤報(bào)警率。通過(guò)實(shí)驗(yàn)證明ARMA模型對(duì)流量的單步預(yù)測(cè)效果很好，所以本系統(tǒng)使用ARMA模型預(yù)測(cè)的流量值來(lái)計(jì)算得出流量接收率范圍，通過(guò)比較實(shí)際流量接收率范圍是否超出范圍來(lái)判斷有無(wú)攻擊發(fā)生，用流量接收率來(lái)代替TPDD中的報(bào)警評(píng)估機(jī)制，這樣就減少了人為因素的影響。通過(guò)實(shí)驗(yàn)表明，本系統(tǒng)相比于單獨(dú)運(yùn)用ARMA模型，具有更高的檢測(cè)率和更低的誤報(bào)警率，并且能量消耗更少。

1ARMA模型的建立

1.1流量模型的選取

由于無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與其應(yīng)用場(chǎng)景密切相關(guān)，對(duì)于不同的應(yīng)用，所要處理的數(shù)據(jù)類(lèi)型也不同，所以為節(jié)點(diǎn)建立無(wú)線傳感器網(wǎng)絡(luò)流量模型必須與應(yīng)用場(chǎng)景相聯(lián)系。

之前，王海元等[11]結(jié)合基于移動(dòng)Agent的中間技術(shù)，設(shè)計(jì)出了基于ARMA模型的無(wú)線傳感器網(wǎng)絡(luò)可信數(shù)據(jù)采集方法。此方法表明ARMA模型對(duì)于數(shù)據(jù)的采集具有高度可信度，并且可以減少網(wǎng)絡(luò)的能量消耗。而本文的研究主要針對(duì)數(shù)據(jù)周期性采集型無(wú)線傳感器網(wǎng)絡(luò)。并且，為了使網(wǎng)絡(luò)達(dá)到流量均衡，假設(shè)傳感器網(wǎng)絡(luò)已通過(guò)負(fù)載平衡技術(shù)[12]做了相應(yīng)的處理，從而防止了因?yàn)槁┒沸?yīng)導(dǎo)致的網(wǎng)絡(luò)擁塞。

因?yàn)闊o(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)的能源、存儲(chǔ)能力、處理能力都非常有限，所以本文選取計(jì)算簡(jiǎn)單的ARMA(2p，2p-1)模型來(lái)對(duì)流量進(jìn)行分析和預(yù)測(cè)。因?yàn)閜為階數(shù)太大的話，就會(huì)增加計(jì)算量，所以我們采用ARMA(2，1)模型。

1.2ARMA(2,1)流量預(yù)測(cè)模型的建立

得到平穩(wěn)序列后，就是建立ARMA模型[13]，即：

φ(B)Xi=θ(B)ai

(1)

φ(B)=1-φ1B-φ2B2

(2)

θ(B)=1-θ1B

(3)

(4)

(5)

(6)

如果滿足上述條件，則說(shuō)明此序列為平穩(wěn)序列，從而得出ARMA擬合模型，如下所示：

(7)

然后利用逆函數(shù)法進(jìn)行單步預(yù)測(cè)，ARMA的逆函數(shù)記為I1，I2，…，Ij，則有：

(8)

則單步預(yù)測(cè)模型為：

(9)

其中m為Xt之前m次觀測(cè)，可以根據(jù)預(yù)算精度的要求取值。

2流量接受率范圍的估計(jì)

對(duì)于周期性傳送數(shù)據(jù)的無(wú)線傳感器網(wǎng)絡(luò)，一般在沒(méi)有攻擊發(fā)生或者受到其他因素的影響時(shí)，包括軟硬件的損壞、自然災(zāi)害等，它應(yīng)該是以一定的速率定期在節(jié)點(diǎn)之間傳送信息，因此，各節(jié)點(diǎn)的流量不會(huì)發(fā)生很大的波動(dòng)，應(yīng)該保持在一定的范圍內(nèi)。正因?yàn)檫@個(gè)原因，本文利用節(jié)點(diǎn)的PRR來(lái)作為是否有攻擊發(fā)生的依據(jù)。當(dāng)有攻擊發(fā)生時(shí)，節(jié)點(diǎn)的PRR會(huì)超出我們預(yù)測(cè)的范圍。相反，則不會(huì)超出。

下面給出一段時(shí)間間隔內(nèi)傳輸失敗的次數(shù)K的二項(xiàng)分布式為：

假設(shè)網(wǎng)絡(luò)中的信息傳輸是定期穩(wěn)定的傳輸，利用前面已經(jīng)預(yù)測(cè)的流量的樣本，在一段時(shí)間窗口T內(nèi)按照每小段時(shí)間Tw來(lái)分別提取預(yù)測(cè)樣本值為N1，N2，…，Nm，其中m等于T/Tw。從而可以算出接受包的平均值和標(biāo)準(zhǔn)偏差為：

(10)

(11)

其中Ni,i=1,2,…,m為樣本值。

然后就可以算出一段時(shí)間間隔內(nèi)接收率的范圍。因?yàn)? s和6 s的置信水平分別為99.87%和100%[14]，所以這里計(jì)算出間隔時(shí)間為3 s和6 s的PRR范圍為：

(12)

(13)

根據(jù)計(jì)算出來(lái)的流量的接受率的范圍，就可以判斷是否有攻擊發(fā)生。當(dāng)后面的流量接受率超出范圍時(shí),則說(shuō)明網(wǎng)絡(luò)中有內(nèi)部攻擊發(fā)生。在集中式檢測(cè)系統(tǒng)中往往會(huì)因?yàn)椤皢吸c(diǎn)失敗”造成檢測(cè)效果不佳，而在本文中，系統(tǒng)沒(méi)有通過(guò)基站來(lái)處理檢測(cè)數(shù)據(jù)，而是節(jié)點(diǎn)單獨(dú)完成檢測(cè)，這樣提高了系統(tǒng)的魯棒性。

3仿真實(shí)驗(yàn)

這里采用OMNET++仿真軟件對(duì)本實(shí)驗(yàn)進(jìn)行仿真，因?yàn)樗哂泻芎玫南到y(tǒng)兼容性，可以在Windows和各種UNIX操作系統(tǒng)下利用C++進(jìn)行編譯，對(duì)無(wú)線傳感器網(wǎng)絡(luò)的仿真可以達(dá)到很好的效果。實(shí)驗(yàn)仿真分為兩個(gè)部分，首先對(duì)ARMA模型能否精確的對(duì)流量進(jìn)行單步預(yù)測(cè)進(jìn)行驗(yàn)證，其次當(dāng)節(jié)點(diǎn)受到不同強(qiáng)度的內(nèi)部攻擊時(shí)，對(duì)比本系統(tǒng)和單獨(dú)使用ARMA模型，二者的檢測(cè)準(zhǔn)確度、誤報(bào)警率。同時(shí)，還對(duì)系統(tǒng)節(jié)點(diǎn)的平均能量開(kāi)銷(xiāo)進(jìn)行了仿真。

3.1ARMA模型預(yù)測(cè)精度仿真

圖1實(shí)線顯示的某一個(gè)傳感器網(wǎng)絡(luò)中通過(guò)某個(gè)節(jié)點(diǎn)的真實(shí)網(wǎng)絡(luò)流量。利用ARMA(2,1) 模型預(yù)測(cè)流量，通過(guò)最小二乘法估計(jì)出模型參數(shù)如下：

圖1　ARMA單步預(yù)測(cè)結(jié)果

Xt=0.82471Xt-1+0.08537Xt-2+at-0.64843at-1

令 m=3，得到單步預(yù)測(cè)模型為：

本實(shí)驗(yàn)從任意時(shí)間起，在250s內(nèi)每秒采樣數(shù)據(jù)流量一次，然后利用模型預(yù)測(cè)出流量，圖1中虛線部分就是利用ARMA模型預(yù)測(cè)流量狀況。對(duì)比圖中實(shí)線和虛線，可以看出ARMA模型對(duì)流量的單步預(yù)測(cè)效果很好，虛線和實(shí)線基本吻合，這說(shuō)明利用ARMA(2,1) 模型可以很好地對(duì)無(wú)線傳感器網(wǎng)絡(luò)流量進(jìn)行單步預(yù)測(cè)。

3.2入侵檢測(cè)方案的仿真

實(shí)驗(yàn)主要是通過(guò)分析入侵檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確度和誤報(bào)警率以及平均能量開(kāi)銷(xiāo)三個(gè)指標(biāo)來(lái)判別本系統(tǒng)的可行性。

檢測(cè)準(zhǔn)確度指系統(tǒng)檢測(cè)到的惡意報(bào)文與全部報(bào)文的比值和系統(tǒng)檢測(cè)到的非惡意報(bào)文與全部檢測(cè)到的報(bào)文數(shù)量的比值。

誤報(bào)警率具體指系統(tǒng)將惡意的報(bào)文當(dāng)做正常的報(bào)文的數(shù)量與全部報(bào)文的比值和系統(tǒng)將正常的報(bào)文當(dāng)做惡意報(bào)文的數(shù)量與全部報(bào)文的比值。

同時(shí)，為了檢測(cè)網(wǎng)絡(luò)節(jié)點(diǎn)的平均能量開(kāi)銷(xiāo)，本文分別在有攻擊有檢測(cè)、無(wú)攻擊無(wú)檢測(cè)和有攻擊無(wú)檢測(cè)三種情況下進(jìn)行仿真實(shí)驗(yàn)，對(duì)比三種情況下節(jié)點(diǎn)的平均能量開(kāi)銷(xiāo)。

一個(gè)好的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)必須具備高的檢測(cè)準(zhǔn)確度和低的誤報(bào)警率，同時(shí)還要有較低的能量開(kāi)銷(xiāo)。

下面是本實(shí)驗(yàn)的一些仿真參數(shù)的設(shè)定：

? 實(shí)驗(yàn)面積：50×50,200×200 m2

? 一個(gè)基站

? 節(jié)點(diǎn)數(shù)目：100

? 節(jié)點(diǎn)均勻網(wǎng)絡(luò)部署

? 信息發(fā)送率：包/1.5 s或者包/15 s

? 包大小：10~100 B

? 傳輸速率：100 kbps，250 kbps

? 攻擊行為分別丟包率為30%、50%、100%

圖2顯示的是本文設(shè)計(jì)的入侵檢測(cè)系統(tǒng)和單獨(dú)使用ARMA模型以及單獨(dú)使用PRR對(duì)檢測(cè)準(zhǔn)確性的對(duì)比，橫坐標(biāo)是報(bào)文重放率，縱坐標(biāo)是檢測(cè)率。從圖中可以看到三種方案的檢測(cè)率和報(bào)文重放率密切相關(guān)，當(dāng)重放率低于10%時(shí)，只有本方案的檢測(cè)率超過(guò)了50%，這是因?yàn)槠渌麅煞N方案都可能因?yàn)槿藶樵O(shè)置的閾值不夠精確而導(dǎo)致部分報(bào)文被忽略。然而當(dāng)重放率達(dá)到40%的時(shí)候三種方案的檢測(cè)率都接近100%，所以當(dāng)攻擊較為明顯的時(shí)候三種方案都可以用來(lái)檢測(cè)拒絕服務(wù)攻擊，都可以達(dá)到很好的效果。然而攻擊不明顯時(shí)，本方案有更好的檢測(cè)準(zhǔn)確度。

圖2　檢測(cè)準(zhǔn)確度

圖3中顯示的是上述三種方案的誤報(bào)警率。橫坐標(biāo)是報(bào)文重放率，縱坐標(biāo)是誤報(bào)警率。從圖中可以看出隨著重放率的增加，三種方案的誤報(bào)警率都維持在一個(gè)很低的水平，因?yàn)樾诺勒`碼所導(dǎo)致的丟包在客觀上降低了重放報(bào)文攻擊的誤報(bào)警率。但是當(dāng)報(bào)文重放率低于20%時(shí)，本方案相對(duì)于單獨(dú)運(yùn)用ARMA模型，前者誤報(bào)警率明顯低于后者。

圖3　誤報(bào)警率

圖4是評(píng)估本系統(tǒng)中節(jié)點(diǎn)的平均能量開(kāi)銷(xiāo)，這里分別統(tǒng)計(jì)了在800 s時(shí)間內(nèi)，無(wú)攻擊無(wú)檢測(cè)、有攻擊無(wú)檢測(cè)和有攻擊有檢測(cè)三種情況下節(jié)點(diǎn)消耗的平均能量。節(jié)點(diǎn)初始能量為2 J，其中式(14)表示節(jié)點(diǎn)接收一個(gè)報(bào)文的能量消耗為[15]：

ERx=l×Eelec

(14)

式(15)表示節(jié)點(diǎn)發(fā)送一個(gè)報(bào)文的能量消耗為：

ETx=l×Eelec+l×efs×d2

(15)

其中l(wèi)表示包信息的字節(jié)數(shù)，Eelec表示射頻能耗系數(shù)，efs表示功率放大能耗系數(shù)，d為節(jié)點(diǎn)之間的通信距離。

從圖4可以看出當(dāng)網(wǎng)絡(luò)沒(méi)有攻擊發(fā)生時(shí)，網(wǎng)絡(luò)中的能量消耗維持在一定的水平。當(dāng)有攻擊時(shí)，節(jié)點(diǎn)的能量被大量消耗，但是有檢測(cè)和沒(méi)有檢測(cè)相比，由于前者及時(shí)對(duì)攻擊作出了反應(yīng)，使流量的路徑改變了，從而保證了網(wǎng)絡(luò)能量不會(huì)因?yàn)橛泄舭l(fā)生而大量消耗，所以加入入侵檢測(cè)可以減少攻擊所帶來(lái)的能量消耗。

圖4　節(jié)點(diǎn)平均能量消耗

4結(jié)語(yǔ)

實(shí)驗(yàn)結(jié)果表明，ARMA模型對(duì)周期性的無(wú)線傳感器網(wǎng)絡(luò)流量的單步預(yù)測(cè)，可以達(dá)到很好的效果。對(duì)于檢測(cè)內(nèi)部攻擊，本方案相對(duì)于單獨(dú)利用ARMA模型來(lái)說(shuō)，減少了人為因素對(duì)檢測(cè)的影響，有著更高的檢測(cè)率和更低的誤報(bào)警率。同時(shí)，在一定程度上本系統(tǒng)減少了網(wǎng)絡(luò)節(jié)點(diǎn)的平均能量開(kāi)銷(xiāo)，從而延長(zhǎng)了網(wǎng)絡(luò)的生命周期。但是對(duì)于非周期性網(wǎng)絡(luò)，該系統(tǒng)還存在一定的缺陷，不能達(dá)到較好的效果。后期在不斷優(yōu)化本系統(tǒng)的同時(shí)，還要更深入地研究本系統(tǒng)對(duì)于非周期性傳感器網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)。

參考文獻(xiàn)

[1] Murad A,RassamM A,MaarofAnazida Zainal.A Survey of Intrusion Detection Schemes in Wireless Sensor Networks[J].American Journal of Applied Sciences,2013,9(10):1-9.

[2] Pooja,GuptaDr,Naveen,et al.Security Issues in Wireless Sensor Network:A Review[J].International Journal of Engineering Sciences & Research Technology,2013,2(5):342-350.

[3] Shilpa S,Patil P,Khanagoudar S.Intrusion Detection Based Security Solution for Cluster Based WSN[J].International Journal of Advanced Research in Computer Engineering & Technology (IJARCET),2013,1(4):123-132.

[4] 馮立波,羅桂蘭,楊存基,等.WSN中基于粒子濾波的入侵檢測(cè)算法實(shí)現(xiàn)[J].傳感技術(shù)學(xué)報(bào),2013(11):1573-1578.

[5] 劉帥,朱俊杰,馬振燕.無(wú)線傳感器網(wǎng)絡(luò)中基于統(tǒng)計(jì)異常的入侵檢測(cè)[J].火力與指揮控制,2009,34(7):123-131.

[6] 韓志杰,張瑋瑋,陳志國(guó).基于Markov的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)機(jī)制[J].計(jì)算機(jī)工程與科學(xué),2010,32(9):27-35.

[7] 曹雪梅,韓志杰,陳貴海.基于流量預(yù)測(cè)的傳感器網(wǎng)絡(luò)拒絕服務(wù)攻擊檢測(cè)方案[J].計(jì)算機(jī)學(xué)報(bào),2007,30(10):116-120.

[8] 滕麗萍.無(wú)線傳感器網(wǎng)絡(luò)中基于Sinkhole攻擊的入侵檢測(cè)系統(tǒng)研究[J].計(jì)算機(jī)應(yīng)用與軟件,2013,30(6):312-315,328.

[9] Ponomarchuk,Yulia,Seo.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[J].Dae-Wha Dept of Electrical Engineering and Computer Science Kyungpook National University Daegu,Republic of Kores,2010,24(8):64-72.

[10] 肖政宏,謝贊福,陳志剛.無(wú)線傳感器網(wǎng)絡(luò)中一種基于流量預(yù)測(cè)和相關(guān)系數(shù)的異常檢測(cè)方法[J].微電子學(xué)與計(jì)算機(jī),2009,26(7):22-26.

[11] 王海元,王汝傳,黃海平,等.基于ARMA模型的無(wú)線傳感器網(wǎng)絡(luò)可信數(shù)據(jù)采集方法[J].南京郵電大學(xué)學(xué)報(bào):自然科學(xué)版,2009,29(4):23-29.

[12] 黃健榮,王新建,于蕭榕.無(wú)線局域網(wǎng)中一種層次式負(fù)載平衡技術(shù)[J].計(jì)算機(jī)與數(shù)字工程,2014,42(4):145-152.

[13] 韓志杰,王汝傳,凡高娟,等.一種基于ARMA的WSN非均衡分簇路由算法[J].電子學(xué)報(bào),2010,38(4):865-869.

[14] NIST/SEMATEC e-Handbook of Statistical Methods[EB/OL].2010.http://www.itl.nist.gov/div898/handbook/index.htm.

[15] Heinzelman W B,Chandrakasan A P,Balakrishnan H.An application specific protocol architecture for wireless microsensor networks[J].IEEE Transaction on Wireless Communication,2002,1(4):660-670.

中圖分類(lèi)號(hào)TP393.08

文獻(xiàn)標(biāo)識(shí)碼A

DOI:10.3969/j.issn.1000-386x.2016.02.072

收稿日期：2014-08-01。四川省國(guó)際合作項(xiàng)目(2009HH0009)；國(guó)家科技部支撐計(jì)劃項(xiàng)目(2011BAH26B00)；四川省信息安全創(chuàng)新團(tuán)隊(duì)建設(shè)項(xiàng)目(13TD0005)；面向物聯(lián)網(wǎng)的入侵檢測(cè)關(guān)鍵技術(shù)研究項(xiàng)目(szjj 2013-018)。彭軍，碩士生，主研領(lǐng)域：無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。余強(qiáng)，副教授。何明星，教授。