基于投影寻踪的无线传感器网络入侵检测模型*

葛潇艺， 汪烈军， 郭学让

(新疆大学 信息科学与工程学院，新疆 乌鲁木齐 830046)



基于投影寻踪的无线传感器网络入侵检测模型*

葛潇艺， 汪烈军， 郭学让

(新疆大学 信息科学与工程学院，新疆 乌鲁木齐 830046)

提出基于投影寻踪(PP)算法解决无线传感器网络入侵检测问题，利用PP算法将高维数据投影到低维数据空间，使得多特征属性的节点数据准确聚集。通过节点属性投影值的浮动来检测节点是否受到攻击。实验结果表明:基于PP的无线传感器网络入侵检测的方法在减少计算量，降低检测能耗的情况下，可以得到比传统的误差反向传播(BP)模型检测方法得到更好的检测效果。

无线传感器网络； 投影寻踪算法； 遗传算法； 入侵检测

0 引 言

无线传感器网络是一组在不同地点利用通信基础设施进行记录和监测的包含具有微型低功耗传感器探测单元节点的专用传感器组成。无线传感器网络在环境监测、灾情响应、军事侦察、智能建筑和工业质量控制等领域有着广泛的应用前景[1]。

无线传感器网络具有自组织、低成本、易于部署的特点。然而，传感器节点普遍部署在敌对或者是无人值守的环境中进行无线通信。基于这些特点，无线传感器网络容易受到各种攻击。目前常用的入侵检测方法有异常检测和误用检测两种应用技术。异常检测在检测前需要建立用户的正常行为和描述系统，若发现当前行为和建立的系统超出了预定标准的差别，则表明系统受到了攻击，异常检测可以识别新的攻击，但很容易产生误报[2]。误用检测主要是建立相关的特征库，在进行检测的过程中，将收集到的数据与建立特征库的特征数据进行比对，判断网络是否受到攻击，误用检测可以准确检测到已知攻击，但无法检测到未遇到过的攻击[3]。到目前为止，在入侵检测领域有很多不同的方法。如模式匹配、神经网络、统计等方法。投影寻踪(PP)算法最早由Kruskal提出并进行实验。随后Friedman J H和Tukey J W提出了一种将整体上的散布程度和局部凝聚程度结合起来，进行多元统计分析，正式提出了PP概念。近年来，由于PP的原理将高维数据投影到低维空间进行数据特征分析，因此，常常应用到探索性数据分析中[4]。无线传感器网络中的节点数据具有高维多特征特性，这种特性导致一个问题—维数灾难[5]，同时，在无线传感器网络中进行入侵检测具有不相关特征和冗余特征的高维数据可能会带来负面影响[6]。

本文采用PP来解决这个问题。该方法不需要已知或预测模型，可以直接通过线性投影来处理线性和非线性问题。

1 PP理论

作为一种新的方法处理和分析高维数据，PP方法的重要途径是：

1)将高维数据投影到低维空间;

2)用最优化的方法得到最大化指数从而选择最佳的投影方向;

3)通过最佳投影，得到反映节点特征属性数据的投影值。

PP算法详细描述如下：

1.1 归一化

由于每个数据指标量纲是不一样的，如果直接采用原始数据，则必须规范指标数据。规范如下：

(1)

为了能够准确找到受到攻击的节点，至关重要的是选择节点的特征属性指标性能必须具有代表性，然后用这些节点指标构造出指标矩阵X

(2)

式中xij为第n个节点的第m个指标值。

1.2 线性投影

PP算法用线性结合的方法将高维数据投影到低维空间下。Z为投影值

(3)

式中a=(a1,a2,a3,…am),为投影方向。

1.3 构造投影指标

为了能够客观地反映高维数据的特征和得到精确的投影值，局部投影值要满足内部关联性大且外部相关性小的必要条件，所以，构建的收敛条件，即投影指标

Q(a)=Sz×Dz,

(4)

式中Sz为投影值Z的偏差，Dz为局部投影值Z密度，分别表示为

(5)

(6)

式中R=0.1S(a)，R为数据局部特点的宽度参数；rij=abs(Zi-Zj),i,j=1,2,…,n;u(R-rij)为单位阶跃函数，当R≥rij时单位阶跃函数值为1；否则，函数值为0。Dz的值越大，分类时就会更准确明显。

1.4 最优投影方向

如上所述，PP关键问题是寻找反映高维数据特征的最优投影方向，PP算法可以描述为如下的优化问题

(7)

本文采用遗传算法取得最优投影方向。

2 建立实验模型与仿真分析

2.1 实验过程

1)本文利用Matlab进行仿真实验，使用的实验数据是海军研究实验室的无线传感网络数据集。这些数据包含正常数据节点集合和异常数据节点集合，有明确的攻击类型。

2)首先选择了10个传感器节点，每个节点有40个属性值，PP指标矩阵是一个10×40维的矩阵如下

(8)

3)利用式(1)，将矩阵X归一化。

4)将归一化后的节点信息矩阵进行PP运算。这里应用遗传算法来求解最优投影方向，遗传算法的原理是随机形成初始种群集合，然后利用适应度函数计算每个个体的适应度来满足目标函数。遗传算法的最小误差演变如图1所示。

图1 遗传算法的最小误差

5)在获得最优投影方向后，用式(3)得到这些节点属性的投影值。通过这些投影值浮动状态来判定异常节点。如果节点投影值与其他节点投影值差异明显，则认为这些节点受到攻击。

2.2 实验仿真与分析

2.2.1 实验结果

本文将用10个节点进行实验验证，其中三个被入侵的节点，攻击类型为：DOS攻击，缓冲区溢出攻击和周期路由错误攻击。实验结果如图2。

图2 节点检测结果

从图中可以看出:节点2在这个测试中取得最高值，并且与节点10都高于节点1，3，5，6，7，8，9。此外，节点4在这个实验中取得最低值。事实上，节点2，4,10都是在实验中受到不同攻击的节点。节点2是缓冲区溢出，节点4和节点DOC攻击，节点10是路由错误攻击。在图3中，可以看到节点被入侵时，节点的投影值会有明显的浮动，即基于PP入侵检测的实验结果与设定的结果一致。

2.2.2 性能指标实验检测

检测率(DR)和误报率(FR)是测量入侵检测方法性能的重要指标。DR表示被正确检测的攻击记录数占整个攻击记录数的比例,FR表示正常数据被记录为攻击的记录数占整个正常记录数的比例，实验中最多用了2000个实验节点。在表1中模拟检测3大类不同攻击的DR。

表1 PP检测结果

Tab 1 Detection results of PP

类别不同节点数(个)的PP的DR(%)10020050010002000DOS100100100 99.6098.91缓冲区溢出100100100 99.4098.67路由错误10010098.3797.5296.833类攻击10010098.7197.6496.30

表1中得到PP方法有很高的DR。特别是PP对DOS攻击和缓冲区溢出攻击的检测。表2、表3和表4中，用PP算法和误差BP方法对比检测实验节点数据。

表2 PP和BP算法DOS攻击检测对比

Tab 2 Comparison of detection of DOS attack between PP and BP algorithms

算法不同节点数(个)的DOS攻击的DR(%)10020050010002000BP10010098.5097.2393.42pp100100100 99.6098.91

表3 PP和BP缓冲区溢出攻击检测对比

Tab 3 Comparison of detection of overflow attack between PP and BP

算法不同节点数(个)的缓冲区溢出攻击的DR(%)10020050010002000BP10010097.3495.8392.75PP100100100 99.4098.67

表4 PP和BP算法检测性能比较

Tab 4 Comparison of detecting performance between PP and BP algorithms

检测项PP(2000nodes)BP(2000nodes)DR(%)96.3091.06FR(%)1.62 9.22

实验结果表明：由于采用PP的入侵检测算法使得在降低节点特征属性数据的计算量的同时保留了高维数据的非线性特征，这个特点使得PP方法比传统的检测模型有更好的检测效果。这充分表明基于PP算法无线传感器网络入侵检测是一种有效的方法。

3 结 论

本文提出了基于PP算法的节点属性值浮动的入侵检测机制。由于被攻击的节点的属性特征值相较正常节点的属性特征值波动大，所以，可从正常的节点中轻易地将异常节点分辨出来。本文用遗传算法获得充分反映高维数据的结构和特点的最佳投影方向，重点是利用PP算法将高维数据延投影方向投影到低维空间，实现了无线传感器网络入侵检测。该方法不需要假设数据，这就意味着检测结果更加准确，同时，该方法通过数据的降维大大降低了计算量，很好地节约了能耗。

[1] Akyildiz I F,Su W,Sankarasubramaniam Y,et al.Wireless sensor networks:A survey[J].Computer Networks,2002,38(4):393-422.

[2] Ourston D,Matzner S,Stump W,et al.Coordinated Internet attacks:Responding to attack complexity[J].Journal of Computer Security,2004,12(2):165-190.

[3] Jyothsna V,Prasad V R,Prasad K M.A review of anomaly-based intrusion detection systems[J].International Journal of Computer Applications,2011,28(7):26-35.

[4] Friedman J H,Tukey J W.A projection pursuit algorithm for exploratory data analysis[J].IEEE Transactions on Computers,1974,23(9):881-890.

[5] Wang S,Zhang X,Ding J,et al.Projection pursuit cluster model and its application[J].Journal of Yangtze River Scientific Research Institute,2002,19(6):53-55.

[6] Cui Y,Li L,Cao D.The SVM intrusion detection problem based on nonlinear projection and penalty function[J].Information Technology and Informatization,2014(2):57-59,65.

汪烈军，通讯作者,E—mail:wljxju@xju.edu.cn。

Intrusion detection model for WSNs based on projection pursuit*

GE Xiao-yi, WANG Lie-jun, GUO Xue-rang

(College of Information Science and Engineering,Xinjiang University,Urumqi 830046,China)

Propose to use projection pursuit(PP)algorithm to solve the problem of intrusion detection of wireless sensor networks(WSNs),use PP algorithm which turns high-dimensional node properties to low-dimension space and node data of multi-properties attributes will accurately aggregation.Through floating of node attribute projection value to detect whether the node is attacked.The experimental results show that this method reduces amount of calculation and reduce energy consumption of detection can be obtained better detection effect than traditional error back propagation (BP)model detection method.

wireless sensor networks(WSNs); project pursuit(PP)algorithm; genetic algorithm; intrusion detection

2015—07—02

新疆大学博士启动基金资助项目(213—61355)

10.13873/J.1000—9787(2015)09—0024—03

TP 393

A

1000—9787(2015)09—0024—03

葛潇艺(1990-)，女，新疆乌鲁木齐人，硕士研究生，主要研究方向为无线传感器网络安全。