基于群体的WSN异常检测入侵检测系统应用方案

作者：崔杰，徐磊，王晓东，萧红。

随着传感器技术、嵌入式计算技术、分布式信息处理技术和通信技术的快速发展，无线传感器网络应运而生并迅速发展。它可以应用于军事、环境监测、医疗保健、家庭、商业、工业等许多领域。具有广阔的应用前景。由于无线传感器网络大多部署在恶劣的环境中，具有固有的脆弱性，因此无线传感器网络的安全性引起了人们的关注。

1无线传感器网络的安全威胁

无线传感器网络(WSN)容易受到各种安全威胁，这在许多文献中都有描述。文献根据不同级别对WSN攻击进行分类，如表1所示。

表1无线传感器网络攻击手段表

目前，许多文献都提出了针对自组织网络的入侵检测技术，但由于无线传感器网络的节点资源有限，这些技术并不适合无线传感器网络。针对WSN的入侵检测方法研究如下：

Onat等人提出的分布式异常检测架构的入侵检测方案Strikos提出了一种基于本地检测代理的入侵检测方案。于等人提出了一种基于检测点的多跳确认方案来检测选择性转发攻击引起的异常丢包。Ngai等人提出了一个三层入侵检测架构。Raiasegarar等人提出了一种基于数据挖掘的分布式异常检测方案，该方案采用基站、父节点和子节点三层架构。苏等人提出了一种基于簇的节能入侵检测方案。Loo等人提出了一种基于聚类的入侵检测算法，可用于检测路由异常。曾等提出了一种基于免疫机制的入侵检测算法。Doumit等人提出了一种基于自组织临界性和隐马尔可夫模型的入侵检测算法，属于异常检测。Agah等人将博弈论的非合作模型引入到无线传感器网络的入侵检测问题中，并提出了一种新的解决方案。布塞和古普塔在文献中描述了一种基于异常检测的入侵检测系统，该系统在多层检测系统中更加鲁棒。在他们的方法中，他们都试图在物理层、链路层、网络层和应用层检测入侵。达席尔瓦等人提出了一种入侵检测算法，并将其分为三个阶段。第一阶段是数据采集阶段，监控节点处于混杂模式进行监控，传感器节点的内存用于存储所需的信息。作者定义了一系列应用于第二阶段存储的数据的规则。如果消息不满足这些规则，则失败计数会增加。最后，在第三阶段，将故障计数与阈值进行比较，如果故障数量大于阈值，则产生警报。李、何和傅提出了一种基于群体的异常检测入侵检测系统。它使用Deha分组算法将网络分成几个组，然后在每个组上运行它们的检测算法。

但是这些方法各有利弊。本文着重对文献法进行了改进，并提出了方案。

2入侵检测系统

本文提出了一种分层入侵检测系统，该系统采用基于规则的检测技术，具有四层体系结构。

2.1网络架构

网络架构有四层。底层由所有末端传感器组成，从周围环境收集数据。第二层和第三层由监控节点组成，第二层传感器监控末端传感器的通信方式；第三层传感器监控第二层传感器的行为。第3层传感器的布置要求每个第3层传感器能够监控两个第2层传感器之间的通信。最后，最上面的传感器是基站，通常是手动操作的。

图1显示了网络中传感器节点的组织结构。这种方法需要一个异构的网络：第二层和第三层传感器节点，这两个节点在传输范围和电池寿命方面都比末端传感器强。

图1网络中传感器节点的组织结构

在网络中，所有末端传感器被分成几个组。网络分区采用Delta分组算法。每组由第二层传感器监控。实施入侵检测系统解决方案的第2层和第3层传感器。每个末端传感器向第二层传感器发送数据，第二层传感器汇总所有数据并发送给第三层传感器，第三层传感器监控第二层传感器的行为。每个第3层传感器必须放置在两个第2层传感器的通信范围内，以便可以监控两个第2层传感器之间的通信。如果第二层传感器检测到异常，它将发送警报并将其发送给第三层传感器，第三层传感器将调查和分析这些警报并判断它们是否有效，然后将向基站发送数据众多的警报。

2.2入侵检测技术

对达席尔瓦等人提出的入侵检测算法进行了改进，并将其应用于第二层和第三层传感器。由于传感器资源有限，IDS不适用于任何终端传感器。监控节点的功能分为三个阶段。第一阶段：所有末端传感器从其周围收集数据，然后向第二层传感器报告。第二阶段：利用基于层次的攻击检测方法检测文献中提出的攻击类型。表2描述了如何在每一层发现攻击。这种分层的攻击检测方法使得系统更加完善。

第三阶段：比较每个上报的结果来定义阈值，以此来决定是否要发出一个报警。第三阶段常常可以减少错报率。阈值可以人工定义或者根据特定的WSN需求来调整。因此，提出的入侵检测体系结构通过减少错报能够检测到大多数的安全威胁。

表2 基于分层的攻击检测

3 结束语

介绍了无线传感器网络当前面临的威胁，以及现有无线传感器网络入侵检测方案，提出了一种分等级的入侵检测系统，该体系结构通过减少错报，能够检测到大多数的安全威胁。

责任编辑：gt