文摘

入侵检测系统(IDS)是一个二线安全机制的无线传感器网络(WSN),它有一个很大的影响在机密性、完整性和可用性。然而,许多现有的id只检测单个攻击或多个已知的攻击。本文基于变化的一种新的入侵检测算法的多个属性(CRMA),提出了可同时检测多个攻击包括已知和未知类型。多个属性的改变率传感器节点通常反映了WSN在一段时间内的运行状态。首先,观察到的属性在不同时间的变化率是通过观察获得的多个属性不同的传感器节点。然后,凸优化交替用于获得正常的变化率和相应的权重通过最小化之间的距离观察改变率和正常的每个属性。最后,网络被认为是攻击时观察到变化的加权偏差率和正常的变化率超过相应的阈值。实验结果表明,该CRMA可以同时检测多个攻击包括已知和未知类型,收敛速度快。的平均真阳性利率(TPR) CRMA很高,和假阳性的平均利率(玻璃钢)CRMA很低。CRMA的检测性能优越的ARMA和NeTMids算法。

1。介绍

由于灵活性的特点,成本低、无线通信,和自组织能力,无线传感器网络(WSN)中扮演一个重要的角色在医疗保健1,2),军事(3)、工业(4),和许多其他领域,例如,交通监控、智能家居系统、医疗设施等(5,6]。然而,网络容易受到攻击,因为传感器节点通常部署在无人环境。因此,安全问题是主要的挑战,构建一个健壮和可靠的WSN (7]。

研究人员注意到加密、解密、识别、认证、密钥管理和安全路由的基础上。但这种安全措施不能提供范围广泛的防止各种网络攻击和威胁。入侵检测系统(IDS)是一个可能的解决方案来解决各种安全攻击的WSN (8]。一个ID的主要任务是检测入侵者试图扰乱WSN网络的(9,10)和监控和识别系统的安全漏洞,保证准确的网络性能(11- - - - - -13]。

关键的网络入侵检测技术近年来吸引了大量的关注。误用检测在检测已知攻击确实很好,但在检测未知攻击,或未定义的14]。Mehmood等人提出了一个以知识为基础的环境敏感方法处理恶意节点生成的入侵(15]。Ghosal和哈尔德提出一项调查在无线传感器网络节能入侵检测(16]。混合的异常检测方法误导和黑洞攻击采用K-medoid定制的集群技术提出了(17]。

很多现有的入侵检测方案的WSN检测一些已知的攻击。胡锦涛等人发现选择转发攻击在WSN通过监测信息包的损失率和构建信任机制(18]。Motamedi Yazdani使用无人机探测黑洞攻击WSN (19]。加拉等人提出了一个基于IPv6的移动传感器网络入侵检测系统,它专门检测网络中选择转发攻击(20.]。许多论文目前IDS WSN只检测一种攻击,如DoS攻击(21,22),选择转发攻击(23],天坑攻击(24]。

一些入侵检测算法检测的攻击预测网络流的属性,如使用自回归移动平均(ARMA)或马尔可夫模型预测交通。它表明攻击发生在网络正常流量值明显不同于预测流量值(25]。虽然ARMA入侵检测算法具有较高的检测精度,它只检测到攻击与选定的流值有关,它不能同时检测多种攻击类型。

一些入侵检测算法可以同时检测多个攻击。萨贾德IDS等人提出了基于邻居节点的可信度。入侵检测系统中的每个节点分析其邻居节点的信任级别通过分析网络和计算统计数据的可信度值,从而确定邻居节点的可信度。它可以检测你好洪水攻击,阻止攻击,和选择转发攻击。入侵检测系统使用一个轻量级入侵检测算法NeTMids [26]。NeTMids算法各种属性适用于入侵检测和分析网络中的节点和可以同时检测多个攻击类型。然而,NeTMids检测的准确性不是很高。

根据上面的情况下,有许多问题在IDS方案如下:(一)一些入侵检测系统的检测精度很低(b)许多IDS检测已知攻击类型,无法检测未知攻击类型(c)许多IDS只检测一个或两个同时攻击类型,不能同时检测多个攻击

因此,我们应该设计或改善入侵检测算法的基础上改善当前的入侵检测技术。

针对检测各种内部攻击,系统的小说改变的多个属性(CRMA)入侵检测算法,可以同时检测多个入侵攻击包括已知和未知类型。在CRMA,我们通过观察获得属性的观察变化率不同属性的值不同的节点在一段时间内。属性的正常变化利率计算通过最小化加权偏差之间的观察和正常改变利率通过凸优化。IDS认为是攻击时观察到的改变率偏离正常的速率超过相应的阈值。

本文组织如下。部分2给出了IDS模型和多个属性的基础上。节3,我们描述CRMA入侵检测算法在算法和讨论一些问题。节4,我们提供实验分析和性能评价的id。在最后的部分中,给出结论。

2。IDS模型和多个属性的基础

在本节中,我们介绍了IDS模型,属性的基础上,CRMA的符号表示。

2.1。IDS模型

入侵检测系统的模型设计本文图所示1。IDS代理执行入侵检测和数据传输。我们假设IDS代理可信节点和有足够的能量。IDS代理与传感器节点和基站(BS)。IDS代理将执行深度数据包检测的ID和属性节点。我们假设默认加密流量和IDS代理提前知道检测节点的键。IDS代理可以解密接收的数据并执行深度数据包检测。

IDS代理的部署原则是使IDS代理覆盖尽可能多的节点,减少重叠的面积。IDS代理应该部署在监测区域,尽可能覆盖整个网络。

2.2。属性的基础

传感器网络的传感器节点具有某些独特的属性,可以利用入侵检测算法。在[27),传感器网络的属性分为两种类型。一是审计数据在当地检测包括数据包碰撞率,传输的等待时间,邻居的数量,能源消耗速率,和传感器的速度阅读报告。其次,根据数据包在网络审计数据包括包类型,RSSI,传感器数据的到达率,丢包率。

WSN属性的可能会影响到不同类型的攻击。我们发现你选择更多的属性,他们反映了WSN的情况。然而,由于有限的资源,系统需要选择几种不同的属性参与入侵检测的计算根据情况。

2.3。符号表示

CRMA中使用一些符号,将入侵检测和他们代表的解释如表所示1。

3所示。入侵检测算法基于变化的多个属性(CRMA)

CRMA入侵检测算法的基本思想如下:(一)的观察到的变化速率 通过观察获得的多个属性不同的节点(b)获取凸优化交替使用正常的变化率的属性 和相应的权重(c)当观察到的变化速率 偏离的正常的变化率 超过相应的阈值,IDS将确定传感器网络受到攻击

3.1。CRMA框架

属性的改变利率稳定或变化缓慢时,传感器网络正常运行。例如,减少能源将遵循一个规律当传感器节点传输数据包以一定的速度。如果更改的属性是不正常,网络被认为是受到了攻击。在CRMA,凸优化用于获得正常的利率变化的属性和相应的权重通过最小化之间的距离观察到的变化速率和正常的变化率每个属性。

3.1.1。观察到的变化速率

的 之间的区别吗th的属性th节点之间的时间和之前的时间 。每个属性的范围和大小可能会有所不同。我们定义的相对变化率观测变化率在CRMA。

3.1.2。偏差函数

的是正常的变化率的th的属性节点在一段时间间隔 它可以反映在稳定运行规律。在CRMA,偏差函数 之间的距离的平方和 。偏差函数的值很小,当观察到的改变率接近正常的变化率。

3.1.3。约束函数

相应的时间体重代表观察到的变化率的可靠性在一定的时间内。的参数的重量是th节点在时间 。一个更高的表明,观察到的变化速率的th节点在时间更接近的正常的变化率。的被设置的 , ,的重量是什么节点的周期时间 。的约束函数 指定时间范围内的权重反映权重的分布在不同的时间。约束函数统一时间权重映射到一个特定的范围,可以提高收敛速度和精度的id。我们定义了一个约束函数和一个域为了使定位在某一数值范围。不同的约束函数可能有不同的影响结果。我们设置的值1为了简单起见。我们选择一个指数函数为约束函数,和权重的领域扩展 。

3.1.4。优化问题的CRMA

入侵检测算法的基础上,本文提出了多属性改变利率。的一个已知的价值,是一个未知值。我们构建一个凸优化问题来计算的正常的变化率 观察之间的属性通过最小化加权偏差变化率和正常的变化速率。目标函数如下所示: 在哪里是一组 。包含固定数量的属性向量正常的变化率的所有属性 。每个节点构造的一些属性向量反映了网络的运行状态在间隔时间 。的和未知向量对应的集合分别和时间权重。一个与两个未知向量优化问题,最小化目标函数,一个向量可以固定和另一个未知向量可以通过多次迭代,直到找到向量收敛。这种迭代的方法,称为块坐标下降法(28),将逐步减少目标函数的值更新,直到达到最小值。的和可以通过以下两个迭代收敛过程。

(1)重量更新。我们确定通过修复 。最初的评估的价值 ,我们可以获得通过最小化目标函数,如下所示:

(2)正常的变化速率更新

我们确定 通过修复 。我们获得正常的变化率之间的加权偏差最小化观察到的变化速率和正常的变化率基于在上面的步骤中计算。

的- - - - - -价值的区别是在两个相邻的值迭代。当价值小于阈值,迭代过程停止。在多次迭代中,逐渐收敛于一个固定的值,它是正常的变化率在时间内 。

还有另一个CRMA入侵检测框架。目标函数是显示为(7)。的的重量吗维度的属性th节点在时刻 。的解决过程(7)类似于(4)。但这种形式的CRMA入侵检测为每个节点分配权重的每次观察阶段。分别计算每个节点的状态可以提高IDS的准确性。然而,这大大增加了算法的复杂性,需要和更大的空间来存储权重,为资源受限的传感器节点是一个巨大的负担。

属性的选择,取决于你想要什么类型的攻击检测。例如,当WSN受到洪水袭击,数据包类型的分布将异常立即和RSSI将异常高。为了成功地检测到洪水袭击,id应该涉及到属性检测过程中会受到影响。另一方面,如果我们正确选择多个属性,我们可以同时检测多种类型的攻击。

3.2。CRMA的参数设置和性能分析

3.2.1之上。初始值的变化率

的正常的变化率 通过求解凸优化问题获得通过最小化之间的加权距离观察到的变化速率和解决每个属性的正常的变化率。然而,我们需要设置的初始值首先,有效地解决凸优化问题是至关重要的。从理论上讲,如果是凸优化问题,初始值不会影响最终的最优解。但是好的初始值使算法收敛快和节省计算资源。的初始值的选取原则正常的变化率是选择价值接近现实。在CRMA,我们利用平均法的初始值设置正常的变化率。

3.2.2。阈值设置

阈值设定与入侵检测的准确性。有两种方法可以用来设置阈值根据实际情况以提高检测的准确性。(1)在训练阶段的入侵检测算法,每个属性的平均和标准偏差计算每个节点的通过收集和分析数据 。平均属性的值是所示(8)。所示的计算标准偏差

的在实验参数决定。对于任何 ,如果 ,它可以判断,没有在网络入侵攻击。否则,它可以判断,网络攻击。相应的参数在不同的环境下传感器网络可能会有所不同(2)如果多个属性是独立,联合判断会增加假阴性率。如果多个属性是相互关联的,联合判断真阳性率就会高。的平均属性的值(所示10)。标准差(所示11)。正常的平均变化率的计算节点的多个属性所示(12)。

类似地,如果 ,它可以判断,没有在网络入侵攻击。否则,它可以判断,有网络入侵攻击。的在实验参数确定吗

的计算复杂度11)远远大于(9)。我们可以根据实际情况决定选择哪一个判断。

基于上述描述,CRMA入侵检测算法的流程图如图2。(一)观察到的变化速率通过观察获得的属性在不同的时间不同的属性的值的传感器节点在一段时间内。我们设置的初始值正常的变化速率(b)凸优化用于获得正常属性改变率通过最小化之间的加权距离观测到的速度变化率和每个属性的正常变化。当 - - - - - -值小于阈值,凸优化的迭代过程停止(c)IDS将打开报警时观察到的改变率偏离正常的变化率超过相应的阈值。如果 (或 ),它可以判断,没有在网络入侵攻击。否则,它可以判断,有网络入侵攻击

3.2.3。凸性的证明

基于上述CRMA入侵检测算法,给出下面的定理。

定理1。约束函数(3)和优化问题(4)是一个凸优化问题是固定的。

证明。根据约束条件(3),域的变化是 这是一个凸集。因此,目标函数的域(4)是一个凸集。当是固定的,目标函数是一个线性仿射函数 。
对于任何 , 它满足凸函数的定义 。因此,目标函数是凸函数。约束函数(3)和优化问题(4)构成凸等式和不等式约束优化问题,涉及,这可以通过凸优化解决方案的方法。我们使用拉格朗日乘数来解决 。
让 ,然后, 。
转化为优化问题 我们的偏导数是0, 通过约束 , 结合 并获得

很明显,重量成反比观察和现状之间的偏差这意味着重量更大时观察到的变化率接近正常的变化率。

定理2。改变率(1)偏差函数(2),(3)约束功能,优化问题(4)构成一个凸优化问题是固定的。

证明。变化率(1)限制了范围的属性值变化率的实数域 ,所以的定义领域的独立变量偏差函数的 是一个凸集。
对于任何 , 也就是说, 我们得到 由于 ,上面的公式显然是错误的。所以,我们得到

根据凸函数的定义,偏差函数是凸函数。(3)结合的约束函数是负的,目标函数(6)是一个非负凸函数的线性组合。根据凸函数的性质,优化问题的目标函数是凸函数。(1),(2),(3),(4)构成一个无约束凸优化问题。当地只有一个最优解,最优解也是全局最优解的优化问题是一个凸优化问题28]。

根据(2)和(6),我们得到

我们的偏导数等于0,然后,我们推导出正常变化率的解决方案 。

因此,CRMA入侵检测算法在迭代过程收敛于固定值。

3.2.4。时间复杂度

CRMA入侵检测算法的时间复杂度的不同使用不同的偏差函数时,约束函数和目标函数。如果(2),(3)和(4),时间复杂度CRMA显示如下: 在哪里时间范围和吗 , 传感器节点的数量,是属性的节点的数量。

如果平方偏差函数(2),(3)和(7),CRMA的时间复杂度是(25)。

在(7),CRMA入侵检测为每个节点分配权重的每次观察阶段。分别计算每个节点的状态可以提高IDS的准确性。但是,它大大增加了算法的复杂性。

4所示。实验和讨论

来自内部网络的攻击的WSN的最大威胁。从外部网络的攻击只会让攻击者成为一个合法的节点获取网络信息。然而,内部攻击经常破坏或修改网络数据。在本文中,我们希望找到一种有效的方法来检测内部攻击。

参数测量的性能设置为入侵检测系统(26)- (29日)。有四个概念:真阳性(TP),假阳性(FP),真正的负面(TN),假阴性(FN)。TP发生在正常模式是正确分类为正常。FP时发生异常错误地分类为正常模式。TN时发生异常模式正确归类为不正常。FN发生在正常模式不正确归类为不正常。真正的积极率(TPR)的概率是成功地检测入侵攻击。真阴性率(TNR)的概率是异常的模式是错误地分类为正常。假阳性率(玻璃钢)攻击的概率是不会发出攻击。假阴性率(FNR)的概率是nonattacks错误地将分为攻击(29日,30.]。IDS的高性能应该实现高TPR和低玻璃钢确保IDS的效率和可靠性,保证网络的安全。

我们基于MATLAB模拟几种典型攻击;仿真参数表2。

我们验证算法等几种典型的内部攻击的WSN你好洪水袭击,选择转发攻击,DoS攻击,排水口的攻击,他们的混合攻击(多个攻击)。表3显示了模拟攻击的特点和影响。多个攻击是上述四种攻击同时存在。

CRMA,我们检测到更改的属性特征和影响的基础上模拟攻击。我们假设基站(BS)和IDS代理信任的节点。CRMA可以同时检测多个攻击。每一个点在以下数据是数以百计的测试结果的平均值,和每一行已经积累了成千上万的测试。

图3表明CRMA具有较高的真阳性比率(TPR)四个模拟攻击及其混合攻击(多个攻击)。天坑的TPR攻击相对较低。这是因为属性的变化率引起的天坑攻击很小。所以,CRMA并不擅长发现这种攻击。TPR的DoS攻击可以达到100%的节点数量大的时候。这是因为一旦启动DoS攻击的节点,该节点停止所有功能,会立即导致节点改变属性,如阻止数据包的发送和接收,停止传感器数据的收集,等。因此,CRMA将更容易地探测到这些属性的变化。

图4表明CRMA降低假阳性利率(玻璃钢)袭击的四种类型及其混合攻击。当节点的数量相对较少,玻璃钢是相对较高的。但是随着节点数的增加,假阳性率会降低。在(29日),《外交政策》时发生异常的模式是错误地分类为正常和TN时发生异常模式是正确归类为不正常。随着节点的增加,属性的数量也增加了。系统的能力来判断是什么变得异常强大。

网络的性能显著受到恶意节点(31日]。本文分为三个级别根据恶意节点的百分比。有一个低比例的恶意节点的攻击节点数量时的节点总数的5% ~ 10%,有一个中等的恶意节点的攻击节点的数量比例是节点总数的10% ~ 30%。当攻击节点的数目是节点总数的30% ~ 50%,有很高比例的恶意节点。

图5显示真正的阳性率(TPR) CRMA入侵检测系统在不同比例下的恶意节点。系统的TPR减少随着恶意节点的比例增加。

图6显示了假阳性率(玻璃钢)CRMA入侵检测系统在不同比例下的恶意节点。系统的玻璃钢减少随着恶意节点的比例增加。

实验结果表明,CRMA快的收敛速度。表4显示了一个示例的价值每一轮的目标函数迭代的过程。可以看出,目标函数的值逐渐减小,不同的目标函数的值约等于0。

在本文中,ARMA (25]和NeTMids [26相比CRMA)。的ARMA预测交通属性基础上,只有检测到一种类型的属性。包转发率是选为ARMA的属性。在上述四个入侵攻击,只有坑袭击会影响包转发率。因此,ARMA和CRMA算法比较检测结果在天坑的攻击。

图7显示了真阳性ARMA和CRMA天坑下攻击和上述混合攻击(多个攻击)。可以看出ARMA算法具有很高的TPR当节点的数量很小,较低的TPR当节点的数量很大。的TPR CRMA远远高于下的ARMA多个攻击。因此,CRMA将是一个更好的选择,当有更多的节点或网络中的多个攻击。

图8显示了假阳性ARMA和CRMA天坑攻击和多个攻击之下。的节点数量大时,CRMA入侵检测算法检测的假阳性的比例非常低,天坑攻击和多个攻击。在实际应用程序中,攻击类型是未知的,节点的数量可能很大。这时,ARMA不是一个好的选择。

图9显示了假阴性率(FNR)下的ARMA和CRMA天坑攻击和多个攻击可以通过结合图7与公式(27)。图10显示了真阴性率(TNR)下的ARMA和CRMA天坑攻击和多个攻击可以通过结合图8与公式(28)。的ARMA远远高于FNR CRMA在多个攻击。

CRMA是比NeTMids [26入侵检测算法,它使用不同属性的WSN检测的不同攻击。图11显示了真阳性NeTMids和CRMA下上述四个混合攻击(多个攻击)。可以看出,真正的积极NeTMids的发病率明显低于CRMA。

图12显示了假阳性NeTMids和CRMA下多个攻击。NeTMids算法假阳性较高利率。虽然NeTMids算法相对简单,消耗更少的资源,入侵检测结果不如CRMA,和CRMA可以检测到未知攻击的检测率变化属性。

包交货率(PDR)被定义为收发的数据包总数的比值,发送的数据包数量(31日]。传感器网络的性能也研究分析PDR。图13说明了PDR CRMA和没有id。PDR没有任何恶意节点的性能也提出了比较。PDR大大减少从92%到43%在网络攻击者的存在。CRMA的使用提高了交付系统包的性能从43%降至85%。

网络的性能分析方法研究了平均端到端延迟(EED)。图14说明了平均速度与CRMA没有id。速度急剧增加的攻击。使用CRMA降低传感器网络的速度。

5。结论

入侵检测算法基于多属性的改变率(CRMA)可以同时检测多个攻击包括已知和未知类型。CRMA,正常的变化率计算通过最小化加权偏差之间观察到的变化速率和正常通过凸优化。我们也给证明CRMA会在迭代过程收敛到一个固定的值。特别是在情况同时存在多个攻击,真正的积极CRMA率是88% ~ 95%。与ARMA和NeTMids相比,CRMA健壮的检测性能在多次攻击。

进一步完善CRMA入侵检测算法来降低其计算复杂度和存储需求。如何在CRMA设置阈值和其他参数根据实际情况也是一个研究方向。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

的利益冲突

作者宣称没有利益冲突。

确认

这项研究部分是由中国国家自然科学基金(61971031)和鄂尔多斯理工学院的科学研究项目(KYYB2018006)。