基于机器学习的无线传感网络通信异常入侵检测技术*

肖 衡龙草芳

(1.三亚学院信息与智能工程学院，海南 三亚572022；2.三亚学院陈国良院士工作站，海南 三亚572022)

无线传感网络中包含嵌入式计算、分布式信息处理等技术，一般被安置于无人区域及恶劣环境中，实时监测并感知被监测目标的信息，运用自组多跳形式[1]传递至用户终端，这一通信传输过程对安全性要求很高。 但传感网络存在节点能量受限[2]、节点数量较大、缺少明确的网络防御边界等实际问题，与其他类型网络相比，更易遭受攻击者恶意入侵，如何有效抵制异常入侵行为、保障通信数据的完整性[3]成为无线传感网络通信研究的核心内容。 无线传感网络通信的攻击方式主要有消耗能量与伪造数据，不同的攻击方式对网络的影响与威胁各不相等，通常来说，被动攻击，例如黑洞攻击、重发攻击等对网络通信的威胁较小，但主动攻击譬如洪泛攻击、女巫攻击等不会将网络数据作为攻击目标，而是把网络路由看作攻击对象，引发网络局部混乱，更有甚者令网络整体瘫痪。以常见的黑洞攻击、灰洞攻击、洪泛攻击与调度攻击为例，详细阐明攻击的具体形态。

第一，黑洞攻击[4]。 无线传感网络中的部分节点会错误地汇聚在伪簇头节点，出现数据包传输失误的情况。 发起黑洞攻击的伪簇头节点会舍弃数据包，导致无线传感网络无法完成通信数据的传输。

第二，灰洞攻击。 与黑洞攻击类似，攻击节点在各工作周期初始时段，把自身簇头节点的信息广播传送至其余节点，导致部分节点加入到伪簇头节点中。 与黑洞攻击的区别在于，发起灰洞攻击的伪虚头节点会在任意舍弃数据包的同时，阻碍数据包与基站之间的数据传输。

第三，洪泛攻击[5]。 该攻击模式会传输较多簇头广播信息侵占带宽资源，损耗感知层节点的能源供应，攻击节点会伪装自己并损耗感知节点能源。

第四，调度攻击。 调度攻击产生于传输协议的前期，恶意攻击会伪装成簇头节点，给予全部感知节点相等的数据时间戳，调整广播调度致使数据传输发生冲突。

面对异常入侵检测问题，文献[6]提出基于自步学习的入侵检测方法，该方法通过自主学习模型优化损失函数，调整权值更新方法并计算弱分类器参数，创建弱分类器实现入侵检测。 该方法能够很好地解决异常入侵检测问题，但自主学习模型优化损失函数耗时过长，导致入侵检测的效率过低。 文献[7]提出基于序列模型的入侵检测方法，将网络与主机相结合，创建入侵检测系统，利用深度学习方法识别入侵行为。 该方法有效地保证了无线传感网络的安全，但此方法在构建入侵检测系统时没有剔除冗余数据，导致入侵检测精度不足。 文献[8]提出基于神经模糊的入侵检测方法，该方法采用模糊神经网络构建入侵检测辅助工具，并在每个轻量级节点中进行检测。 该方法的优点是能耗较低，辅助工具可以独立地监视节点的行为，判断节点的可信程度，从而降低虚警概率。 但是该方法的时间开销较大。 文献[9]针对无线传感网络中的入侵检测问题，以入侵路径跟踪为出发点进行研究。 首先计算出恶意入侵的兴趣区，并检测出兴趣区中的入侵痕迹，沿着入侵痕迹明确入侵路径，从而完成入侵检测。 该方法具有可操作性，但是由于兴趣区中的入侵路径十分不规则，导致入侵检测精度较低。

因此，设计了一种基于机器学习的无线传感网络通信异常入侵检测技术。 全方面分析无线传感网络拓扑结构与遭受的攻击类型，通过支持向量机方法实现无线传感网络通信节点定位，获悉网络节点分布情况，通过重要性指标衡量节点是否被入侵，从而实现异常入侵检测。

1 无线传感网络通信节点定位

当前已有的通信异常入侵检测方法，忽略了对网络通信状态的获取，无法对通信异常局域实现精准定位[10]。 因此，在本研究进行通信异常入侵检测前，利用机器学习中的支持向量机方法定位通信节点，明确无线传感网络的通信状态，判断通信过程是否存在潜在威胁。

支持向量机将向量非线性映射投影至高维特征空间内[11]，完成向量结构的最优化处理，其结构如图1 所示。

图1 支持向量机结构

图1 中，y表示输出值，x表示输入值。 从函数层面来看，支持向量机的分类函数和神经网络分类函数较为接近，在输出的节点内不但拥有线性组合特性，且各节点内的支持向量机极度相似。

支持向量机利用线性可分原则分类信息，可明确最优分类面之间每个维度空间节点的内涵。 最优分类面必须符合如下两个特点:第一，准确评估两种不同节点的类别，第二，判断分类的特征值要足够大，也就是向量的分类间隔必须是最高值，实现精准分类，符合训练误差为0 的计算要求。

假设X1，…，Xm是一组包含m个传感器的数据集，xi是传感器处于网络中的方位。 若第一个传感器n的方位是已知的，按照传感器接收或输送信号s(xi，xj)的具体状况，能够获得节点的大概位置。 把(xi，yi)n

i=1看作训练样本，创建分类核函数K(x，x′)，该函数代表两个数据点x、x′之间的相关度。 在函数中必须具备一个特征空间H。

设定din是第i个未知节点至第n个锚节点的测量距离，是第i个未知节点的大概位置，将测量获得的一组数据向量记作:

将支持向量机节点定位的待训练数据集合记作:

式中:di表示输入数据，zi表示输出数据。

在初始权重空间构建支持向量机节点定位模型:

式中:φ(·)为一种将初始输入空间映射至高维或无限维的特征空间非线性函数，ω为初始权重空间内的权值。

在支持向量机节点定位时，将最优定位问题及其约束条件分别定义为:

式中:c表示常数均为松弛因子，b是偏差项。

组建拉格朗日方程，提升训练过程中支持向量机的收敛性能，记作:

式中:α、α*、η、η*均表示拉格朗日乘子[12]，并且均为正数。 最终将支持向量机无线传感网络节点定位模型描述为:

2 无线传感网络通信异常入侵检测

以入侵损失为研究基础，无线传感网络通信异常入侵检测为根本目标，探寻无线传感网络内的恶意节点[13]并作出相对反应，评估该节点的入侵损失是否属于恶意行为。

潜在损失包含多个层面，主要考虑入侵目标与行为两个指标，也就是通信目标节点的重要性与入侵威胁性。 将目标节点重要性记作A，表示被攻击或入侵目标的关键程度。 入侵威胁性表示入侵活动自身具备的危害水平，记作B。 由此将入侵潜在损失P描述成:

按照节点在无线传感网络通信中的不同功能，量化节点重要性，将重要性较强的节点看作容易被攻击的目标，要预先寻找此类节点并进行保护。 节点会因物理损坏或能量损耗影响网络拓扑结构，更改其余节点的路由路径。 此外，链路状态的变更也会形成路径变化。 长期进行链路调节，会减少路由缓存的有效时间，造成资源浪费。 路由树内，路由节点的子树节点数量可以展现路由节点的重要性，也就是路由节点被攻击引发的网络威胁，重要性与子树节点数量成正比。 由此得到节点的子节点个数为:

式中:C是节点i的子节点集合，gi是运算获得的节点i的子节点数量。

通过式(9)得到节点i的重要度:

式中:G是网络节点数量总和，ei是节点i的重要度，重要度大小表示节点i在无线传感网络通信中的重要性，也就是对通信性能影响的大小。

量化攻击行为，对于分析异常入侵检测技术性能优劣十分关键。 主动攻击，特别是将破坏网络性能的攻击模式，亟需更为实用稳定的防护策略。 监测节点挖掘到网络异常信息后，会快速把信息传输至基站，利用基站研究异常信息并评估是否产生入侵行为，隔离恶意节点。 由于基站的能量与运算性能远优于传感器节点，因此，此次研究借助基站完成异常入侵检测。

推算异常行为对无线传感网络通信造成的潜在损失，如果此异常行为是入侵攻击，则潜在损失的判定标准主要取决于三点:一是单位时间内异常行为的数量，二是受到异常行为影响节点的重要性，三是异常行为造成的后果。 将攻击特征下对节点的威胁性记作:

式中:ai表示节点i因异常入侵行为影响所受到的威胁程度，wsk表示监测节点s传输给基站报告入侵行为t的个数，τk表示入侵行为k的权重，代表其危险性水准，Mi表示节点i的监测节点数据集。 节点i的潜在入侵损失通过式(12)获得:

若基站推算得到节点i某个时段的入侵潜在损失高于事先设定的临界值P，则将该节点视为恶意节点，对其进行网络隔离，实现无线传感网络通信异常入侵检测目标。

3 仿真分析

在MATLAB 2020b 仿真平台上运行了不同的方法，比较了不同方法的检测误报率、漏报率、能耗和时间等指标性能。 误报率是指将正常行为判断为异常行为的概率；漏报率是指将异常行为判断为正常行为的概率。 设定了无线传感器网络通信受到恶意入侵的三种模式:黑洞攻击、灰洞攻击和洪流攻击。入侵次数随着网络防护状态的好坏而不断变化。 为了验证本文提出的模型的实际效果，在UNSW-NB15最新的网络异常检测数据集上进行了实验。

2005年，澳大利亚网络安全部门发布了UNSWNB15 数据集。 该数据集主要针对网络异常检测。同时弥补了传统数据集冗余度高、信息不全等缺陷。UNSW-NB15 数据集不仅覆盖正常网络流量，还覆盖多种网络攻击类型，可以实现每个流量数据的49维特征。 本文在覆盖所有攻击类型的基础上，随机抽取部分数据，实现样本数据的均衡。 数据集的统计信息如表1 所示，在训练中，将某些类型的攻击作为已知的流量类型进行训练，并得到模型。 剩下的攻击类型将作为未知攻击来评估该模型对未知攻击的检测效果。 通过对数据集的划分，保证用于模型训练的“已知类型”数据和用于模型评估的“未知攻击”数据享有相同的数据采集和处理方法，减少不同采集方法造成的数据差异，从流量特征的本质上评估模型对未知攻击的检测效果。

表1 UNSW-NB15 数据集统计信息

对比方法为基于序列模型的入侵检测方法和基于神经模糊的入侵检测方法。 对于两个隐含层，输入层和输出层的神经元个数分别与数据特征个数和已知类别个数相同，隐含层神经元个数分别设置为128 个和64 个。 选择RELU 功能作为激活功能。反向传播阶段采用的优化算法是基于动量的随机梯度下降算法，学习率为0.01，动量参数为0.9。 训练过程经过10 次迭代，每次使用32 个话务数据进行训练，权值衰减参数设置为10-4。 为了防止网络过拟合，采用了插入丢包层的方法，并将丢弃参数设置为0.1。

仿真参数如表2 所示。

表2 仿真分析参数

为提高仿真分析结果的可靠性，以文献[7]提出的基于序列模型的入侵检测方法和文献[8]提出的基于神经模糊的入侵检测方法作为对比分析方法，与所提方法的分析结果相比较，对比不同方法的应用性能。

图2 给出了三种异常入侵检测方法的误报率与漏报率对比结果。

从图2 中可以看出，伴随攻击节点数量的不断递增，三种方法的误报率与漏报率均呈现出上升趋势，但是与文献[7]方法以及文献[8]方法相比，所提方法的误报率和漏报率都是最低的，表现出良好的检测效果。 这是因为在无线传感网络中，正常数据与入侵数据的比例不均，属于不平衡数据集，而所提方法使用节点重要性的评估策略，将恶意节点采取网络隔离，高精度地实现异常入侵检测任务。

图2 三种入侵检测方法误报率和漏报率对比

由于无线传感网络通信无人看管且能量有限，采用能耗较大的入侵检测技术会很快耗尽检测节点的电能令其失效，所以能效性是衡量入侵检测技术的核心要点。 下面对三种异常入侵检测方法运算过程中的能耗进行仿真验证，如图3 所示。

图3 三种检测方法的网络能量消耗对比

从图3 看出，在攻击节点数量较少的状态下，所提方法能量消耗最少，占据显著优势。 文献[8]提出的基于神经模糊的入侵检测方法在攻击节点数量为6 时就达到了能量消耗的最高值，表明该方法的能量损耗较高，而文献[7]提出的基于序列模型的入侵检测方法在攻击节点数量为12 时达到能量消耗最大值，说明攻击节点逐渐增加，网络内感知危险节点的数量也会增多，但所提方法依旧保持较低的能量消耗，说明所提方法的能量消耗较少。

为了解三种方法入侵检测的及时性，对其检测时间进行仿真验证，如图4 所示。

从图4 可知，在相同仿真分析环境下，所提方法的检测时间最短。 原因在于所提方法利用机器学习中支持向量机完成无线传感网络节点定位，呈现出当前网络真实的运行状态，极大地提高了异常入侵检测效率。

图4 网络异常入侵检测时间

4 结论

为维护无线传感网络的通信安全，保证数据可靠传输，提出了基于机器学习的无线传感网络通信异常入侵检测技术。 使用机器学习实现节点定位，利用节点重要性指标衡量无线传感网络通信是否发生入侵行为，增强节点能量利用率，在维护网络正常应用状态下，进一步提升异常入侵检测结果的准确性。 但在分类召回率和区分未知和已知流量类型的检测错误率方面仍有提升空间，需要在今后的工作中进一步解决。 此外，现有的异常检测数据集还存在样本分布不均匀的问题，一些攻击样本数量较少。利用生成的模型手动生成攻击样本进行模型训练也是今后工作中非常重要的研究内容。