張磊+蔡永新　陳潮

摘 要： 由于無線傳感器網(wǎng)絡工作環(huán)境的不穩(wěn)定性，其安全問題成為公共安全新一輪的挑戰(zhàn)。為防止無線傳感器網(wǎng)絡被惡意破壞，僅依靠其自身安全機制不足以應對復雜的安全環(huán)境。因此，針對數(shù)據(jù)包的時間序列，開展對無線傳感器網(wǎng)絡入侵檢測方法的研究。通過時間序列算法對入侵數(shù)據(jù)進行檢測，并采用切比雪夫算法對離群時間序列進行驗證，以達到無線傳感器網(wǎng)絡入侵檢測的目的；通過NS2仿真技術對ZigBee傳感器漏洞進行建模分析，驗證通過數(shù)據(jù)包時間序列分析，檢測惡意入侵的有效性，并達到預期成果。

關鍵詞： 無線傳感器網(wǎng)絡； 時間序列； 入侵檢測； 切比雪夫算法

中圖分類號：TP309 文獻標志碼：A 文章編號：1006-8228（2017）12-24-04

Intrusion detection in wireless sensor networks based on time series analysis

Zhang Lei， Cai Yongxin， Chen Chao

（Zhejiang Police College， Hangzhou， Zhejiang 310053， China）

Abstract： With the continuous development of wireless sensor network technology， the logical information world and the objective physical world are fused together. Due to the instability of the working environment of wireless sensor networks， the security problem has become a new round of public security challenges. In order to prevent wireless sensor networks from being maliciously destroyed， relying only on its own security mechanism is not enough to cope with the complex security environment. Therefore， this paper studies the intrusion detection methods for wireless sensor networks according to the time series of packets. The time series algorithm is used to detect the intrusion data， and the Chebyshev algorithm is used to verify the outlier time series， so as to achieve the purpose of intrusion detection in wireless sensor networks； NS2 simulation technology is used to model and analyze the ZigBee sensor vulnerability， and the validity to detect the malicious intrusion is verified through the data packet time series analysis， and the expected results are achieved.

Key words： wireless sensor networks （WSN）； time series； intrusion detection； Chebyshev algorithm

0 引言

無線傳感器網(wǎng)絡[1]（Wireless Sensor Networks， WSN）是一種分布式傳感網(wǎng)絡，它的末梢是可以感知外部世界的無線傳感器。在其監(jiān)測區(qū)域內(nèi)，部署著大量靜止或移動的傳感節(jié)點，形成一個多跳的自組網(wǎng)絡系統(tǒng)。無線傳感器之間通過IEEE802.15.4協(xié)議進行通信，對感知數(shù)據(jù)進行采集、傳輸和處理等工作。在安全性方面，無線傳感器網(wǎng)絡具有規(guī)模大、自組織、動態(tài)性、能量有限，以及以數(shù)據(jù)為中心等特點。因此，其不僅包含了傳統(tǒng)的網(wǎng)絡安全問題，更增加其自帶的許多安全問題，比如：蟲洞攻擊、黑洞攻擊、女巫攻擊、選擇性轉發(fā)攻擊、HELLO泛洪攻擊、欺騙性確認攻擊、虛假路由攻擊等。這些針對無線傳感器網(wǎng)絡的入侵行為不僅對網(wǎng)絡內(nèi)數(shù)據(jù)的真實性造成影響，還會導致整個無線傳感器網(wǎng)絡癱瘓，造成無可挽回的損失。在安全事件的預防技術方面，無線傳感器網(wǎng)絡有健全的數(shù)據(jù)傳輸加密機制[2]和身份認證機制[3]，這些技術能夠降低無線傳感器網(wǎng)絡被入侵的風險，但是不能夠完全阻止入侵事件的發(fā)生，僅依靠網(wǎng)絡的安全機制，還不足以達到預期的安全目標。同時，這些不安全因素已經(jīng)嚴重阻礙無線傳感器網(wǎng)絡的普及和應用。因此，無線傳感器網(wǎng)絡的入侵檢測技術受到領域內(nèi)研究人員的極大關注。通過入侵檢測彌補通過預防技術所不能解決的安全問題，為無線傳感器網(wǎng)絡提供實時的入侵檢測和安全防護。

一個有效的入侵檢測系統(tǒng)需要具有簡單性、實時性和檢測有效性這三個特性。目前無線傳感器網(wǎng)絡的入侵檢測主要方法有：基于多代理的入侵檢測方法、基于機器學習的入侵檢測方法和基于網(wǎng)絡流量的入侵檢測方法等。在文獻[5]中王培等人通過讓節(jié)點和簇頭執(zhí)行不同檢測任務，結合本地檢測和聯(lián)合檢測技術，使用多個代理模塊實現(xiàn)數(shù)據(jù)的收集、入侵響應、分析檢測和代理管理等任務，提出一種基于多代理的入侵檢測方法。文獻[6]中作者通過對鄰居節(jié)點監(jiān)聽信標包，基于免疫遺傳算法提取作為抗原的關鍵參數(shù)，通過抗原數(shù)量與閾值相比較，提出基于免疫遺傳算法的入侵檢測方法。文獻[7]中作者通過SVM（Support Vector Machine）對入侵數(shù)據(jù)進行健壯性分類，提出基于支持向量機的入侵檢測方法。以上檢測方法通過實驗檢測，均能夠對入侵行為進行較為準確的檢測。但是這些檢測方法存在以下兩點缺陷：①能耗問題，使用代理功能造成較大的能量消耗；②基于機器學習、數(shù)據(jù)挖掘等方法的檢測技術存在著樣本需求量大、訓練所需時間長等缺點。

針對上述入侵檢測方法所存在的缺陷，本文提出一種基于時間序列分析的無線傳感器網(wǎng)絡入侵檢測方法。該方法通過sink節(jié)點監(jiān)聽所有子節(jié)點的行為模式，以無線傳感器網(wǎng)絡內(nèi)流量的實時數(shù)據(jù)為對象，分析數(shù)據(jù)包的時間序列。獲取數(shù)據(jù)包的接收率：檢測無線傳感器網(wǎng)絡中一段固定時間窗下數(shù)據(jù)包分組接收率。數(shù)據(jù)包到達時間間隔：從相同的源節(jié)點的兩個連續(xù)的數(shù)據(jù)包到達間隔時間。以正常狀態(tài)下，獲取時間序列參數(shù)值。計算出數(shù)據(jù)包接收率和數(shù)據(jù)包到達時間間隔的閾值，建立檢測模型。將無線傳感器網(wǎng)絡中新數(shù)據(jù)與檢測模型進行分析，如果與模型不一致，則發(fā)出入侵警報。最后，在仿真網(wǎng)絡環(huán)境來驗證該算法的有效性。

1 入侵檢測模型

本文提出的基于時間序列分析的入侵檢測算法是一種高效率的、輕量的、連續(xù)而且實時的入侵檢測算法。通過sink節(jié)點對無線傳感器網(wǎng)絡流量進行實時監(jiān)測，不需要額外的硬件設施和通信費用，避免采用代理功能等方式所需要消耗的大量資源、能量，實現(xiàn)輕量的特性。對數(shù)據(jù)包的時間序列，分析子節(jié)點的行為模式，在一定時間窗下測量數(shù)據(jù)包接收率和數(shù)據(jù)包間的時間間隔，建立檢測模型，判斷是否存在入侵行為。該方式彌補基于機器學習、數(shù)據(jù)挖掘等方法存在的過度依賴訓練庫、訓練時間長等缺陷。所設計的基于時間序列分析的入侵檢測模型，如圖1所示。

該模型結合特征檢測和統(tǒng)計檢測方法。根據(jù)入侵檢測的實時數(shù)據(jù)，建立實時特征庫，通過特征數(shù)據(jù)庫對數(shù)據(jù)進行碰撞，提高檢測的準確性和檢測效率。對未知數(shù)據(jù)采用時間序列分析，時間序列分析算法能夠實時的、準確的對入侵行為進行檢測。并且對入侵行為和非入侵行為分別進行記錄，可發(fā)現(xiàn)后續(xù)的檢測效率會不斷的提高。

2 時間序列分析算法

時間序列是按照時間順序收集到的一組監(jiān)測數(shù)據(jù)。記錄第i時刻的監(jiān)測數(shù)據(jù)為x（i），則x（1），x（2），x（3），x（4），x（5）…x（i）…就是一個時間序列。假設對無線傳感器網(wǎng)絡的某一節(jié)點的時間序列進行K次檢測，每次檢測為一個運行周期，將運行周期劃分為l個時段，用x（i，j）表示第i次檢測時第j和時段內(nèi)事件（數(shù)據(jù)包到達的時間間隔或數(shù)據(jù)包的接收率）。M（j）表示在第j個時段內(nèi)該時間發(fā)生的平均次數(shù)，則有：

當進行K+1次檢測后，將M（j）作為第j時間段內(nèi)事件（數(shù)據(jù)包到達的時間間隔或數(shù)據(jù)包的接收率發(fā)生次數(shù)）的期望值。用x（K+1，j）表示第j時間段內(nèi)事件的實際發(fā)生次數(shù)，可以獲取他們的相對偏差為：

根據(jù)時間段j建立時間模型，設立閾值δ，當?shù)南鄬ζ顉（j）≧δ1，即可判定在j時間段內(nèi)可能發(fā)生入侵事件。

文獻[10]中作者提出一種通過切比雪夫多項式對無線傳感器網(wǎng)絡的時間序列進行分析獲取網(wǎng)絡中的離群時間序列。在為無線傳感器網(wǎng)絡Y中設置參數(shù)，D：部署區(qū)域；A：傳感節(jié)點的集合；m：傳感器節(jié)點采集到數(shù)據(jù)長度，d：傳感器節(jié)點采集到數(shù)據(jù)維度；W：時間窗口；ω：滑動窗口（ω<

時間序列的切比雪夫系數(shù)：

相似序列：對于兩個時間序列S，R，此兩個時間序列的切比雪夫系數(shù)向量分別為C，D。若Discby（C，D）<ε， 則稱時間序列S和R相似。對于一個時間序列S，如果歷史數(shù)據(jù)窗口中，與之相似的時間序列（記為similar（S，R））數(shù)量小于一定的比例，那么時間序列S稱為離群時間序列即

在式⑷中，R為與S相似的時間序列，H為時間窗口W中的歷史數(shù)據(jù)窗口。

3 入侵檢測算法

根據(jù)第1部分基于時間序列分析的無線傳感器網(wǎng)絡入侵檢測模型，通過對無線傳感器網(wǎng)絡進行流量分析，以時間序列中數(shù)據(jù)包到達的時間間隔和數(shù)據(jù)包的接收率的值為數(shù)據(jù)特征，判斷是否存在入侵行為。入侵檢測模塊中采用時間序列分析算法作為檢測算法，采用切比雪夫算法作為行為預測的核心算法。入侵檢測算法描述如下：

抽取時間段j網(wǎng)絡流量進行檢測；z（j）為j時間段內(nèi)的相對偏差；t為在正常行為庫中多個時間序列；δ1為通過時間序列檢測模型建立的閾值；S為在j時間段內(nèi)數(shù)據(jù)包的時間序列；δ2為通過切比雪夫算法運算后，時間序列相似序列閾值；具體流程如圖2所示。

通過監(jiān)測并采集網(wǎng)絡流量，對無線傳感器網(wǎng)絡進行入侵檢測。通過抽取正常行為庫中多個時刻的時間序列，建立檢測模型、設定閾值δ1。時間序列的相對偏差z（j），當z（j）<δ1時表示該測量時間序列在正常范圍內(nèi)發(fā)送至正常行為庫，通過決策模塊對正常數(shù)據(jù)放行。當z（j）≧δ1時，j時間段內(nèi)的時間序列存在偏差數(shù)據(jù)，可能存在入侵行為。再通過切比雪夫算法進行分析，判斷時間段j內(nèi)是否存在離群時間序列S，閾值δ2如果時間序列S≧δ2，則返回再次進行相對偏差分析。如果時間序列S<δ2，即時間序列S為離群時間序列，將數(shù)據(jù)錄入到入侵行為庫，并且將數(shù)據(jù)發(fā)送至決策模塊，對入侵行為進行警報。

4 仿真實驗

4.1 背景介紹

仿真模擬實驗基于模擬CVE-2016-2398，Comcast Xfinity家庭安全系統(tǒng)缺陷，使得攻擊者可以通過干擾ZigBee 2.4GHz傳輸，破壞傳感器正常運行。使用NS2（Network Simulator version 2）仿真，模擬Xfinity智能家庭安全系統(tǒng)的漏洞的無線傳感器網(wǎng)絡通信。通過對無線傳感器網(wǎng)絡進行流量監(jiān)聽，分析網(wǎng)絡內(nèi)IP數(shù)據(jù)包到達各節(jié)點的時間序列，驗證數(shù)據(jù)的真實性和完整性，檢測出該惡意入侵行為。在該仿真實驗中無線傳感器節(jié)點分布如圖3所示；系統(tǒng)參數(shù)配置如表1所示。

4.2 測試參數(shù)配置

本次仿真實驗，通過干擾無線傳感器網(wǎng)絡node6節(jié)點的2.4GHz信道，造成信道擁塞。使node6節(jié)點間不能夠與網(wǎng)絡正常通信，造成錯誤的數(shù)據(jù)包時間序列。

4.3 實驗結果

如圖4所示，為正常狀態(tài)下在某一時間段內(nèi)IP數(shù)據(jù)包時間序列和入侵狀態(tài)下在同一時間段內(nèi)IP數(shù)據(jù)包時間序列。在這種情況下，通過計算無線傳感器網(wǎng)絡中的數(shù)據(jù)包接收率和到達時間間隔，對比在相同時間段內(nèi)兩組數(shù)據(jù)的值。結果顯而易見，入侵行為與正常行為存在明顯偏差。這種情況下，將正常狀態(tài)下的數(shù)據(jù)包接收率和到達時間間隔進行統(tǒng)計建模，得出時間序列閾值，再與入侵狀態(tài)下的時間序列進行相對偏差比較。就能夠準確的檢測出入侵行為，檢測準確率能達到95%以上。從檢測統(tǒng)計結果中可知，使用該算法能夠根據(jù)實時數(shù)據(jù)很好地檢測出入侵行為，有較高的準確率以及較低的錯誤率和漏檢率。

5 結束語

本文提出的基于時間序列分析的實時入侵檢測方法，以無線傳感器網(wǎng)絡中的流量作為對象，測量時間序列。采用時間序列相對偏差計算、切比雪夫算法對網(wǎng)絡中流量進行分析，判斷時間序列中存在的離群數(shù)據(jù)，進而對入侵行為進行準確辨認。在仿真環(huán)境下對該算法進行測試，對入侵行為檢測有較高的準確率，對無線傳感器網(wǎng)絡的入侵檢測具有實際作用。

參考文獻（References）：

[1] 孫利民.無線傳感器網(wǎng)絡[M].清華大學出版社，2005.

[2] 包榮鑫，溫靖程，黎子熠等.無線傳感器網(wǎng)絡傳輸加密機制[J].

中國新通信，2015.18：66-66

[3] 趙玉華，李志剛，李志民等.無線傳感器網(wǎng)絡用戶認證技術綜

述[J].計算機測量與控制，2009.17（12）：2348-2351

[4] 濮青.入侵檢測系統(tǒng)面臨問題與發(fā)展趨勢研究[J].計算機工

程與設計，2004.25（1）：55-57

[5] 王培，周賢偉，覃伯平等.基于多代理的無線傳感器網(wǎng)絡入侵

檢測系統(tǒng)研究[J].傳感技術學報，2007.20（3）：677-681

[6] Liu Y， Yu F. Immunity-based intrusion detection for

wireless sensor networks[C]//IEEE International Joint Conference on Neural Networks. IEEE，2008：439-444

[7] Tian J， Gao M， Zhou S. Wireless sensor network for

community intrusion detection system based on classify support vector machine[C]//International Conference on Information and Automation.IEEE，2009：1217-1221

[8] 鐘敦昊，張冬梅，張玉.一種基于相似度計算的無線傳感器網(wǎng)

絡入侵檢測方法[J].信息網(wǎng)絡安全，2016.2：22-27

[9] 韓志杰，張瑋瑋，陳志國.基于Markov的無線傳感器網(wǎng)絡入侵

檢測機制[J].計算機工程與科學，2010.32（9）：27-29

[10] 唐琪，劉學軍.無線傳感器網(wǎng)絡離群時間序列檢測研究[J].傳

感技術學報，2013.26（1）：95-99