移动无线传感网络通信异常行为识别方法研究*

李红映张天荣

(浙江农林大学信息与教育技术中心，浙江 杭州 311300)

现阶段，在网络技术深入发展的背景下，移动无线传感网络愈加规范化，无线传感器通信技术也已成为学术界研究的热点内容之一[1]。 移动无线传感网络通信技术能够实现信息感知、数据收集并向基础设施节点转发数据[2]，其在为社会生产和人民生活带来便利的同时，网络入侵问题成为影响用户安全的重大因素之一。 网络入侵检测是相关管理人员检测网络内存在的安全漏洞的有效手段。 因此，针对移动无线传感网络在通信时出现的网络入侵问题，需尽早提出高效准确的网络通信异常行为识别方法，有效识别剔除网络通信时可能存在的安全问题，从而保证通信安全。

在上述背景下，文献[3]基于逆向习得推理过程对网络异常行为检测实施检测。 该方法首先提出了数据集中的特征项，再通过归一化处理提高收敛速度与精度，然后利用改进ALI 模型处理检测数据集，再根据异常检测函数判断数据是否异常，从而判别网络异常行为。 但由于改进ALI 模型需对正样本数据实施训练，增加了整体的检测时间。 文献[4]针对通信网络设计了一种感知层异常行为集成识别方法。 该方法在综合分析短时过零率与短时能量的基础上，采集通信网络感知层中异常入侵行为的特征，然后将采集到的特征与异常入侵行为集成过程相拟合，从而完成对异常入侵行为的集成识别。 但由于该方法未对通信行为进行空间和时间角度的分析，导致该方法在识别时间长的弊端。 文献[5]等人主要研究了“入侵”这一异常行为，提出了基于改进MajorClust 聚类的网络入侵行为检测方法。 该方法首先对网络中入侵行为数据的内在关系进行检测，再基于MajorClust聚类算法提取网络中节点的距离分布特征，最后根据最小二乘原理拟合网络空间分布曲线，对曲线上的抽象节点进行聚类迭代，从而实现网络异常通信行为的识别。 然而该方法未能对网络地址的平均相异度展开分析，导致识别后的网络节点质量低。 文献[6]等人同样以“入侵”这一异常通信行为为研究对象，提出了基于自编码器和极限学习机的网络入侵检测方法。 该方法融合了稀疏自编码器与编码层重构误差，从而采集网络中高维数据的特征信息，然后利用极限学习机精准划分高维数据特征，从而识别出网络中的入侵数据。 该方法由于未能对网络通信行为进行量化分析，所以该方法在识别网络通信异常行为时的识别效果差。 而在文献[7]中，外国学者以异常通信报文为对象，设计了一种异常通信报文自动检测识别方法。 该方法在数据行为采集过程中应用了WinPcap技术，并将解码后的数据输入到SVM 检测识别单元中，从而划分为异常数据包和正常数据包，并根据划分结果完成异常检测识别。 然而，由于该方法未分析数据包通信过程的信息相异度，导致其存在、识别效果差的问题。

为解决上述网络通信异常行为识别方法存在的不足，本研究提出了一种新的移动无线传感网络通信异常行为识别方法研究。

1 控制网络数据采集量

目前，在通信传输领域，一般采用GNSS 授时的方式。 其验证系统具有高精度载波相位授时功能[8]。 因此，本研究针对这一情况，利用重叠时间分配机制对移动无线传感网络中的数据采集量展开控制。 由于移动无线传感网络通常安装在载体上，因此不需要对网络的能耗限制多加考虑，该网络同时具备较高的计算能力以及存储能力。

1.1 重叠时间分组

首先设定无线传感网络中传感器的数据采集频率为ds，移动点为M，与移动点直接产生通信关联的Sink 点数目为ns，Sink 点与移动点M之间的通信速率为dt，第i个进入移动点通信范围的Sink 点为si，通信范围内的全部Sink 点数目为nsi。 节点si进入通信移动点范围的最早时刻与最晚时刻分别为与。

在通信过程中，信息发送节点选择其下一节点时，会同时考虑位置和链路相关性两项特征，以此来减少通信传输次数[9]，从而缩短通信时间。 当＜时，表示移动点M同时接收了si与si+1的通信请求，至此，时间发生重叠。 由于移动无线传感网络中的节点较多、分布较广，所以可能会出现2 个或2 个以上节点重叠现象。 因此，依据重叠时间分组算法将Sink 点si与其周边的Sink 点之间重叠的点进行整合分组，从而对指定节点进行信息采集。

设定重叠点sub-Sink 有G个分组，且1≤G≤si。分组后，组与组之间不会发生重合现象。 假定G中的第j个重叠分组为gj，其中的sub-Sink 数量为s(gj)，那么s(gj)＝ns。 这时s(gj)＝1，那么就表示gj只有一个sub-Sink 点，重叠时间问题不会发生。 若s(gj)＞1，则sub-Sink 的通信时间出现重叠现象，需要利用重叠时间分配算法对其进行优化分配，从而削弱节点间信息量的不均衡程度。

1.2 重叠时间分配

基于上述问题，利用数据量的最小方差对重叠时间进行优化分配，从而均衡移动无线传感网络中节点数量之间的差异。

本研究在考虑影响接入时间分配策略因素(网络可用信道、通信节点缓存状态、通信网络可达性等)[10]的基础上，首先将gj组别中的第一个节点v1与最后一个节点vn分别设定为通信链路的起点和终点，然后通过移动点M与gj中的sub-Sink 点判定通信时间:

式中:获取的通信总时间为Tgi，通信开始时间为通信结束时间为。 然后设定在单一运行周期内的M在gj中采集的数据总数量的上限值为qgi，且qgi＝2Tgi×dt；sub-Sink 点在vi时的成员数量为hi，gj内单个节点对M传送的单轮数据量的平均值如下式所示:

式中:获取的单轮数据量平均值为pgi，分组gj中的sub-Sink 点数量为n，且n＝s(gj)，sub-Sink 点在vi时的成员数量为hi，Sink 点与移动点M之间的通信速率为dt。 由此可以获取的数据总数量qvi如下式所示:

式中:重叠时间为si，vi在si中的占比xi，在Sink 点的通信范围内时间为ti，vi与vi-1在通信范围内的重叠时间为ki，总通信用时为tn。

在sub-Sink 向移动点发送数据时，基于近邻轮转层次分簇方法[11]，每个群组成员的数据信息被均匀地传输到移动点。 此时，移动点接收来自vi中各个节点的单轮数据量为pvi＝qvi/hi。 对单轮数据量展开分析，获取节点目标函数以及约束条件如下式所示:

式中:每轮任务vi中各个节点向移动点发送的数据信息量为pvi，总共的数据量为pgi，目标方差用Var(pvi)进行表示；目标函数为通信时间的组合函数，本质上是寻找最佳的网络通信时间。 最后基于上述目标函数，寻找最佳的网络通信时间，从而实现重叠时间的分配优化，控制网络数据的采集量。

2 异常行为识别

基于上述对移动无线传感网络数据采集量的控制，本研究利用相异度分析法对移动无线传感网络中的通信异常行为展开识别。

2.1 网络通信行为空间分析

2.1.1 地址相异度分析

由于移动无线传感网络是由大量移动传感器组成的无线网络，其中的每个传感器都能改变自身位置并将数据转发到基站或邻近节点[12]，因此网络本身就具备一整套完整的流量统计协议。 路由设备通常会通过源IP、源端口以及目的IP，最后经由目的端口进入路由器的输入界面，从而利用控制信息区分网络中的网管数据流。 路由器在接收数据包后，根据数据分析结果判断是否保存数据，并将保存后的数据信息全部整合进相对应的网络数据流中。

基于上述过程，通过相异性分析方法对通信地址进行解析。 由于IPv6 解决了IPv4 协议地址匮乏的问题[13]，因此，本研究首先将地址划分为IPv6 结构。 然后根据地址自身属性值比较两个位置地址的实际差异。 根据IP 地址的格式特征可知，地址中的隔点代表不同的类别差异。 这时如果地址有较大的数值差，则说明该网址中的差异特征明显。 因此，对于差异跨度较大的地址，应进行差异程度的抽象表达，进而量化分析表述结果。

通常情况下，在一个IP 地址相差较大的情况下，可以将固定时间内连接的通信地址数量作为该地址的活动特征。 因此，在分析通信地址相异值的大小时，需要充分考虑地址空间维度离散程度的影响。 如果移动无线传感器网络的IP 地址和目的地址之间的对数值比较大，则通信过程中产生的单位时间片可以直接反映地址的差异性。

基于上述假定，可通过相应的计算方式获取网络特征数据。 在分析移动无线传感网络通信地址相异度时，可依据IPv4 结构将其直接写作{a，b，c，d}模式的四元组，设定移动无线传感网络在进行通信时每一个地址A均有{a，b，c，d}4 个属性，且A的属性集合为mi∈{υa，υb，υc，υd}。 然后根据相邻地址的分类属性特征划分地址类别。 在给定地址x和y中，利用闵可夫斯基距离计算对两个地址之间的属性mi差异程度，地址对象x和y之间的距离可用下式进行表示:

式中:移动无线传感网络在通信时两个通信地址对象x和y之间的距离为dif(x，y)，距离范数为p，且为正整数。 当p为1 时， 地址之间的距离为Manhattan Distance；当p为2，地址之间的距离为Euclidean Distance。

由此可知，两个地址之间不仅数值属性mi不同，差异程度也不相同。m1的差异影响显然要大于其他三种数值属性。 由此可知，每一个对应的mi影响值，都需对其进行赋权处理，过程如下式所示:

式中:被赋予的数值权重为ω。 在赋予权重时，要根据IP 地址格式结构和分配定义，对每一个变量进行赋予权重。 将权重看作(28)4-i，且i∈N，1≤i≤4。在此基础上，引入参数k对数值规模进行控制，可将式(6)改写为下式:

现有的网管数据的数据集中蕴含的信息，可充分涵盖移动无线传感网络中网络节点以及节点关系之间的属性数据。 因此，通过构建异常行为分析模型，可以直接发现网络在通信时出现的异常。

2.1.2 地址的平均相异度分析

基于上述分析结果，对地址的平均相异度进行分析。 设定移动无线传感网络中的网络节点为a，在固定的时间片Δt中，与m个目的地址进行通信，m个地址的集合为B，通过对式(7)的计算，获取网络中节点a与集合B之间的m个地址相异度。 若dif(a，bi)，(i≤M)∈N，可以依据dif(a，bi)重新定义新集合C，使C＝{dif(a，b1)，dif(a，b2)，…，dif(a，bk)}，这时就可以计算节点a至所有目的地地址的平均相异度，过程如下式所示:

这时，将移动无线传感网络在通信时的网络节点a作为通信原点，那么该原点到其他地址过程中的平均相异度为dif(a，C)avg。

2.2 通信行为的时间分析

根据以上分析结果，再次分析固定时间片Δti的地址差异。 考虑到连续时间对网络通信行为的影响，通信的时间维度需要适当扩大。

一般来说，无线传感器网络利用多个空间分布的测量信号，分析信号内部的时间相关性，因此其在频域上是稀疏的[14]。 设定无线传感网络中存在的连续时间序列为T，且T＝{t1，t2，…，ti，…，tn}，序列中当前时间ti与前一时间ti-1之间间隔为Δti。 这时若移动无线传感网络中的网络节点a与ni之间存在通信行为，则可对固定间隔内地址之间的平均相异度dif(a，C)avg进行计算。 从而确定dif(a，C)avg在网络序列中的时间间隔及其平均相异度，过程如下式所示:

然后在网络中引入偏移方差机制，计算特征之间的平均相异度。 在固定的时间间隔内，计算网络通信时节点与其目的地址的平均差值以及节点与其时间序列的平均差值的差值，计算结果即为网络的偏移方差σi。 在距离中增加加权平均算法，获取网络节点的偏移方差值，过程如下式所示:

式中，获取的网络节点的偏移方差值为σ。 将获取的网络节点方差值映射到地址的差异度区间[dif(a，Ci)avg-dif(a，Ci)T-avg]内。 如果得到的平均地址相异度dif(a，C)avg在差异度区间内，则可以认为当前的通信行为是正常的；如果得到的平均地址相异度dif(a，C)avg在差异度区间外，则说明节点a的通信行为存在异常。

基于上述空间与时间的两个角度对网络中的数据进行分析，从而实现对无线传感网络通信异常行为的识别。

3 仿真分析

为了验证移动无线传感网络通信异常行为识别方法的整体有效性，设计如下仿真检验过程。

为避免仿真结果的单一性，在实验中，从识别时间、网络节点质量、识别效果3 个角度，将本文设计的移动无线传感网络通信异常行为识别方法研究(本文方法)与传统的感知层异常入侵行为集成识别方法(文献[4]方法)、异常通信报文自动检测识别方法(文献[7]方法)展开对比。

①在移动无线传感网络中，随机选取500 个固定的通信行为，利用本文方法、文献[4]方法以及文献[7]方法对其中的异常行为进行识别，对不同方法识别过程所需时间展开测试，测试结果如图1 所示。

图1 不同方法的识别时间仿真结果

依据图1 可知，在通信行为数量为100 时，本文方法只需0.30 s 就可以有效识别出其中的异常通信行为，而文献[4]方法和文献[7]方法却需要1 s 以上的时间对其进行识别。 当通信行为数量增加到500 个时，本文方法只需不到0.75 s 就可完成对通信异常行为的检测识别，而文献[4]方法则需要1.59 s，文献[7]方法需要1.82 s 才可完成对异常行为的识别。 综上所述，本文方法在完成通信异常行为识别时所需的时间更短，说明其效率更高。 这是因为本文方法基于重叠时间分配机制对网络中的重叠时间进行分组处理，从而有效控制了网络节点的数据采集量，从根本上节约了识别过程所需的时间。

②对经过本文方法识别并剔除异常节点后的剩余节点进行排序，对剩余节点质量进行测试，测试结果如表1 所示。

表1 识别后的网络节点质量检测结果

依据表1 可知，在将移动无线传感网络中的通信异常节点剔除后，网络节点质量要优于剔除前。这主要是因为本文方法利用了相异度分析法对移动无线传感网络中的通信行为进行空间和时间上的分析，然后通过相异度判断节点的异常与否，从而提高了网络节点的质量。

③将网络中的异常节点比率设定为＜15%，选定DOS 攻击、蠕虫攻击以及路由更改攻击三种攻击方式，以识别正确率为指标，对本文方法、文献[4]方法以及文献[7]方法的移动无线传感网络通信异常行为识别效果进行测试，测试结果如图2 所示。

分析图2 可知，对比DOS 攻击以及蠕虫攻击下的识别效果来看，三种方法在路由更改攻击下的识别效果均呈现出不稳定状态。 整体来看，本文方法的识别效果要优于文献[4]方法以及文献[7]方法，并且可将检测的正确率始终稳定在90%，而文献[4]方法的识别效果整体优于文献[7]方法。 综上所述，本文方法的识别效果要优于两种对比识别方法。 这是因为本文方法引入了相异度分析机制，从空间、时间两个角度，更为全面地分析采集到的数据，从而能够更为准确地识别通信异常行为。

图2 不同网络攻击下三种方法的识别效果对比

4 结论与讨论

近年来，随着无线传感网络被广泛应用于社会的各行各业，网络的异常行为入侵次数每天都呈指数化增长。 避免网络被入侵的有效手段之一就是检测识别其中的通信异常行为。 然而，当传统的网络通信异常行为识别方法难以满足人们的使用需求后，提出更加高效的网络异常行为识别方法成为人们亟待解决的问题之一。

针对传统网络通信异常行为识别方法中存在的问题，本文提出了移动无线传感网络通信异常行为识别方法。 该方法首先基于重叠时间分配机制对移动无线传感网络中的数据采集量进行控制。 再利用相异度分析法对网络的地址进行分析，最后基于分析结果完成对移动无线传感网络的通信异常行为识别。

尽管该方法取得了一定的应用效果，但其在控制网络数据采集量过程中还存在一定的缺陷，今后会针对这一问题继续对该方法展开优化处理。