基于隐马尔科夫模型的无线传感网络入侵检测系统设计与性能分析

摘要：本文基于Zigbee无线协议，搭建了7个节点的树形无线传感网络拓扑，通过隐马尔科夫HMM模型的Baum-Welch算法迭代训练正常网络的模型。选取“节点通信频度”、“节点通信拥挤度”、“数据传输方式”序列组合作为入侵特征识别点，实验表明，在仿真环境下，以10个连续数据帧作为一个单元，特征识别点选择阈值为4，系统能很好的区分正常网络和入侵网络，具有较好的检测效果。

关键词：无线传感网；隐马尔科夫HMM模型；入侵检测系统

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2018）06-0193-03

随着传感技术、无线网络技术的快速发展，无线传感器网络被广泛应用于军事、环境检测、工业、医疗和智能家居，安全性是网络发展的关键性问题之一，无线传感网络安全领域主要解决可用性问题、机密性问题、完整性问题、新鲜性问题和节点的认证问题[1]。由于无线传感网络固有的特性，如资源有限、节点容易捕获、信号的开放传输等容易遭受攻击，无线Ad Hoc中的安全技术无法移植到无线传感器网络中，现有的安全技术仍然存在较大局限，因此需要深入而系统的进行研究。

1 无线传感网络面临的威胁

无线传感器网络的诸多特点也导致了保证无线传感器网络的安全性成为一个困难的问题。目前传感器网络在网络协议栈的四个层次中可能受到的攻击方法和防御手段[2]如表1所示。

2 无线传感网络安全技术综述

对于目前绝大部分的安全策略，都没有从本质上考虑网络的攻击与防御关系，造成网络的防御总是落后于攻击，或者在防御的效果和响应的时间上达不到理想的效果。为了实现WSN的网络通信和数据信息安全，需要针对WSN面临的安全威胁及攻击手段，采取对应的安全防护技术，目前针对无线传感网络的主流安全技术如下：

2.1 安全协议

安全协议的目的在于能够在协议的框架下，實现数据机密性、完整性和数据新鲜性，并尽可能的提高通信的安全性并降低通信过程中传输的开销。彭磊、毕亚雷、曾家智[3]在“面向服务的无线传感器网络协议架构”中提出了基于任务，网络，区域，传感器节点，节点相关能力的无线传感器网络架构；鲁琛[4]等在“桃园中无线传感网络通信协议改进设计”中提出改进泛洪时间同步协议，达到降低同步时间误差；范秋生[5]在“基于相邻节点协作的无线传感器网络安全协议”文中对密钥分发的网络安全协议进行了探讨。这些安全协议的研究对网络安全协议的框架进行了总体分析和探讨，也取得了较好的安全效果。但总体而言，安全协议的实现难度较大。

2.2 信息加密，密钥管理和访问控制及身份认证

信息加密，密钥管理和访问控制及身份认证的技术针对节点与节点之间通信链路上的通信数据进行加密，对用户的合法身份和访问权限进行认证。秘钥体系中，主要有对称秘钥密码体系和非对称秘钥密码体系两种。梅园[6]在“无线传感网络加密通信优化算法的研究与仿真”中提出了一种提出了一种小区域共享密钥的无线传感网络安全通信策略；苏兵、王徐[7]等在“基于混淆的无线传感网络密钥管理机制”文中应用了混淆的多重加密方法，信息加密技术、秘钥分发机制研究和访问控制这些手段都能够有效的防范常见的网络攻击。但加密中涉及额外的算法和程序会更多的消耗节点的能源和增大网络中的数据量。

2.3 扩频和跳频

在无线传感网络中，任意两个节点间都使用不同的频率信号进行通信，可以增加通信的信道数量，可以有效避免传输过程中发生碰撞的概率。付亚飞[8]在“基于SX1276的扩频无线联网信息采集系统”文中无线组网采用Rime协议栈使用扩频和跳频技术进行了设计和实现。扩频和跳频在防御方式上属于被动防御技术，增加的信道使整个网络在实现上复杂度增加。

2.4 安全路由

无线传感网络中，节点、基站和网关相互之间进行通信的过程中，都必须使用路由协议，安全路由技术的使用主要是为了防止在节点、基站和网关的数据在传输的过程中发生泄露，吴银锋[9]等在“基于节点信任值的无线传感器网络安全路由”提出了一种基于节点信任值的层次型路由算法以提高无线传感器网络数据传输过程中的路由安全；段俊奇[10]在“无线传感器网络信任管理关键技术研究”中对提出的具有高扩展性和灵活性的信任管理系统架构进行了设计和实现。安全路由的使用必然使用一定复杂度的加密算法，加密算法的使用会造成控制信息过多，为了保证数据的完整性还要考虑数据重传，增加了额外的计算量，对能源消耗和数据量增加都有一定影响。

2.5 入侵检测

入侵检测技术的使用，可以有效的预防单个或者部分节点被恶意捕获，并被植入恶意程序，变成攻击潜伏节点，导致网络发生信息泄露或者导致网络中断等危险情况，张勇[11]等在“基于SDN架构的WSN入侵检测技术”中提出将自防御网络技术与入侵检测技术相结合，提出了一种有效入侵检测方案。入侵检测技术在防御策略上属于主动防御，且在部署方式上较为灵活。

3 无线传感网络入侵检测系统设计

3.1 框架设计

WSN入侵检测系统分为五个部分。由无线传感网络模块、网络嗅探器模块、检测服务器和警报器模块和恶意入侵的节点模块组成，入侵检测系统的结构框图见图1所示。

在WSN入侵检测系统框架中，设置一个协调器、多个路由器和终端节点，网络拓扑结构为树状，HMM入侵检测系统工作流程如下：

（1）网络中的嗅探器通过捕获流经无线传感网中的所有的数据包，并将数据包送入入侵检测服务器。

（2）检测服务器通过提取检测特征点，组成特征序列，通过HMM算法建立正常网络数据概率模型。

（3）设定入侵检测阈值。

（4）进行入侵检测并对入侵检测行为进行记录和后续处理。

3.2 检测特征点设计

在WSN网络入侵检测系统中，特征点的选取关系到入侵检测效果的好坏，通过分析无线传感网络数据帧的特点，这里选取“节点通信频度”、“节点通信拥挤度”和“传输方式”三种反应无线传感网络的特征组合起来作为入侵特征识别点：

（1）节点通信频度。节点通信频度反应了各节点数据通信频度分布程度。通过提取网络层数据帧首部的目的地址和源地址进行统计计算（以5个节点为例），设定N[i]用来存储5个节点收数据和发数据的次数，其中1≤i≤5，节点通信频度公式为：

其中ó表示节点通信频度。如果ó的计算数值较大，则表示在通信过程中，数据传输分散，只有极少数的节点参与了通信；如果ó比较小，则表示各节点在网络中各节点的通信的频度比较平均。

（2）节点通信拥挤度。节点通信拥挤度表示通信节点间是否存在干路。节点通信拥挤度较高，说明存在干路，节点通信拥挤度低，说明传输比较平均。由于数据帧在路由过程中，MAC层的目的地址和源地址在传输中需要更换地址，信息将反映传输的路径（以5个节点为例），统计数据在无线网络节点经过的次数，节点拥挤度公式为：

其中ó的大小表示节点通信拥挤度，ó较大，说明存在干路，ó较小，则没有干路存在。

（3）数据传输方式。无线传感网络的数据传输方式在一定程度上反应了节点间数据通信的状态，如节点间出现大量的广播数据包，导致网络延迟或通信中断，广播传输就成为了典型特征。网络层控制域帧类型子域中，00表示数据帧，01表示命令帧。而在交付模式中，00表示单播，01表示间接寻址，10表示广播。

3.3 检测序列表设计

对三种类型的入侵特征识别点进行组合，组合后的网络状态和特征序列值呈现一一对应。网络状态的特征序列值表如表2所示。

4 实验及数据分析

4.1 硬件环境

实验的无线传感网络硬件采用7个节点，节点硬件体系结构支持Zigbee协议，网络拓扑结构为树形，7个节点中包含1个协调器，2个路由器和2个终端节点，另外部署1个嗅探节点和1个攻击节点，节点预先写入自组网通信程序及攻击代码。

4.2 软件环境

（1）Matlab 2016a中嵌入HMM中的Baum-Welch算法，嗅探节点捕获数据包产生观测序列，并作为观测序列的第一部分数据。

（2）按照“节点通信频度”、“节点通信拥挤度”、“数据传输方式”提取相应位构造序列表，以10个连续数据帧作为一个单元。

（3）节点通信频度和节点通信拥挤度极限区间中选择阈值为4。

（4）攻击节点发出攻击数据，嗅探节点捕获数据包产生观测序列，并作为观测序列的第二部分数据。

（5）分两个部分导入到Matlab软件中进行概率计算。第一部分数据是训练模型用过的观测序列，第二部分数据是模型中攻击发生后产生的观测序列，在HMM的Forward-Backward算法中进行计算，得出匹配概率值。

4.3 实验结果及分析

第一部分正常观测序列时正常网络输出时序概率匹配图和入侵发生后输出时序概率匹配图见图2、3所示（匹配概率用自然对数进行处理）。

从图2可以看出，正常网络时序在0-6秒出现波动，主要是因为自组网在进行网络初始化期间的通信数据量波动较大，在网络建立后，节点通信频度、节点通信拥挤度较低，网络通信的曲线波动在较小范围内。图3中，在第31秒左右，网络通信量突增，与正常网络相比，匹配概率值急剧下降，网络曲线发现较大波动，表示网络受到攻击。

5 结语

本文通过建立树形拓扑，在基于Zigbee协议的无线传感网中，通过选取“节点通信频度、节点通信拥挤度、数据传输方式作为特征点，以10个连续网络通信的曲线波动在较小范围内。数据帧作为单元，在阈值为4的情况下，系统能够很好的对正常网络和入侵行为进行判定，具有较好的检测效果。

参考文献

[1]谭志刚.无线传感器网络密钥管理与安全认证技术研究[D].南京邮电大学，2013.

[2]Wood A D，Stankovic J A.Denial of service in sensor networks[J].IEEE Computer，2002，35（10）：54-62.

[3]彭磊，毕亚雷，曾家智.面向服务的无线传感器网络协议架构[J].计算机工程与应用，2009，45（5）：104-107.

[4]鲁琛，屈稳太，杨祥龙，王春龙，曹泓，贾生尧.桃园中无线传感网络通信协议改进设计[J].农业机械学报，2014，（7）：260-265.

[5]范秋生.基于相邻节点协作的无线传感器网络安全协议[J].大学物理，2017，（9）：57-61.

[6]梅园.无线传感网络加密通信优化算法的研究与仿真[J].计算机仿真，2012，（7）：195-198.

[7]苏兵，王徐，吴冲.基于混淆的无线传感网络密钥管理机制[J].化工自动化及仪表，2014，4（41）：402-433.

[8]付亚飞.基于SX1276的擴频无线联网信息采集系统[D].石家庄铁道大学，2016.

[9]吴银锋，周翔，冯仁剑，万江文，许小丰.基于节点信任值的无线传感器网络安全路由[J].仪器仪表学报，2012，33（1）：221-228.

[10]段俊奇.无线传感器网络信任管理关键技术研究[D].北京交通大学，2014.

[11]张勇，姬生生，王闳毅.基于SDN架构的WSN入侵检测技术[J].河南大学学报（自然科学版），2015，45（2）：211-216.

Abstract：The intrusion-detection systems of Wireless senser network construct senven nodes based on Zigbee protocol，Through train the normal network model by Baum-Welch iteration of Hidden Markov chain. Select the " Node communication frequency "， "Route congestion level"， "data transmission mode" as the point of Features， Experiments show that， In the simulation environment， Using 10 consecutive data frames as a unit， Select 4 as threshold value， The system can distinguish better in normal network and intrusion network， The results show that the new detection is effective in wireless sensor network in Intrusion-detection System.

Key words：wireless senser network；hidden markov model；the intrusion-detection systems