基于时间序列分析的无线传感器网络入侵检测研究

张磊+蔡永新　陈潮

摘 要： 由于无线传感器网络工作环境的不稳定性，其安全问题成为公共安全新一轮的挑战。为防止无线传感器网络被恶意破坏，仅依靠其自身安全机制不足以应对复杂的安全环境。因此，针对数据包的时间序列，开展对无线传感器网络入侵检测方法的研究。通过时间序列算法对入侵数据进行检测，并采用切比雪夫算法对离群时间序列进行验证，以达到无线传感器网络入侵检测的目的；通过NS2仿真技术对ZigBee传感器漏洞进行建模分析，验证通过数据包时间序列分析，检测恶意入侵的有效性，并达到预期成果。

关键词： 无线传感器网络； 时间序列； 入侵检测； 切比雪夫算法

中图分类号：TP309 文献标志码：A 文章编号：1006-8228（2017）12-24-04

Intrusion detection in wireless sensor networks based on time series analysis

Zhang Lei， Cai Yongxin， Chen Chao

（Zhejiang Police College， Hangzhou， Zhejiang 310053， China）

Abstract： With the continuous development of wireless sensor network technology， the logical information world and the objective physical world are fused together. Due to the instability of the working environment of wireless sensor networks， the security problem has become a new round of public security challenges. In order to prevent wireless sensor networks from being maliciously destroyed， relying only on its own security mechanism is not enough to cope with the complex security environment. Therefore， this paper studies the intrusion detection methods for wireless sensor networks according to the time series of packets. The time series algorithm is used to detect the intrusion data， and the Chebyshev algorithm is used to verify the outlier time series， so as to achieve the purpose of intrusion detection in wireless sensor networks； NS2 simulation technology is used to model and analyze the ZigBee sensor vulnerability， and the validity to detect the malicious intrusion is verified through the data packet time series analysis， and the expected results are achieved.

Key words： wireless sensor networks （WSN）； time series； intrusion detection； Chebyshev algorithm

0 引言

无线传感器网络[1]（Wireless Sensor Networks， WSN）是一种分布式传感网络，它的末梢是可以感知外部世界的无线传感器。在其监测区域内，部署着大量静止或移动的传感节点，形成一个多跳的自组网络系统。无线传感器之间通过IEEE802.15.4协议进行通信，对感知数据进行采集、传输和处理等工作。在安全性方面，无线传感器网络具有规模大、自组织、动态性、能量有限，以及以数据为中心等特点。因此，其不仅包含了传统的网络安全问题，更增加其自带的许多安全问题，比如：虫洞攻击、黑洞攻击、女巫攻击、选择性转发攻击、HELLO泛洪攻击、欺骗性确认攻击、虚假路由攻击等。这些针对无线传感器网络的入侵行为不仅对网络内数据的真实性造成影响，还会导致整个无线传感器网络瘫痪，造成无可挽回的损失。在安全事件的预防技术方面，无线传感器网络有健全的数据传输加密机制[2]和身份认证机制[3]，这些技术能够降低无线传感器网络被入侵的风险，但是不能够完全阻止入侵事件的发生，仅依靠网络的安全机制，还不足以达到预期的安全目标。同时，这些不安全因素已经严重阻碍无线传感器网络的普及和应用。因此，无线传感器网络的入侵检测技术受到领域内研究人员的极大关注。通过入侵检测弥补通过预防技术所不能解决的安全问题，为无线传感器网络提供实时的入侵检测和安全防护。

一个有效的入侵检测系统需要具有简单性、实时性和检测有效性这三个特性。目前无线传感器网络的入侵检测主要方法有：基于多代理的入侵检测方法、基于机器学习的入侵检测方法和基于网络流量的入侵检测方法等。在文献[5]中王培等人通过让节点和簇头执行不同检测任务，结合本地检测和联合检测技术，使用多个代理模块实现数据的收集、入侵响应、分析检测和代理管理等任务，提出一种基于多代理的入侵检测方法。文献[6]中作者通过对邻居节点监听信标包，基于免疫遗传算法提取作为抗原的关键参数，通过抗原数量与阈值相比较，提出基于免疫遗传算法的入侵检测方法。文献[7]中作者通过SVM（Support Vector Machine）对入侵数据进行健壮性分类，提出基于支持向量机的入侵检测方法。以上检测方法通过实验检测，均能够对入侵行为进行较为准确的检测。但是这些检测方法存在以下两点缺陷：①能耗问题，使用代理功能造成较大的能量消耗；②基于機器学习、数据挖掘等方法的检测技术存在着样本需求量大、训练所需时间长等缺点。

针对上述入侵检测方法所存在的缺陷，本文提出一种基于时间序列分析的无线传感器网络入侵检测方法。该方法通过sink节点监听所有子节点的行为模式，以无线传感器网络内流量的实时数据为对象，分析数据包的时间序列。获取数据包的接收率：检测无线传感器网络中一段固定时间窗下数据包分组接收率。数据包到达时间间隔：从相同的源节点的两个连续的数据包到达间隔时间。以正常状态下，获取时间序列参数值。计算出数据包接收率和数据包到达时间间隔的阈值，建立检测模型。将无线传感器网络中新数据与检测模型进行分析，如果与模型不一致，则发出入侵警报。最后，在仿真网络环境来验证该算法的有效性。

1 入侵检测模型

本文提出的基于时间序列分析的入侵检测算法是一种高效率的、轻量的、连续而且实时的入侵检测算法。通过sink节点对无线传感器网络流量进行实时监测，不需要额外的硬件设施和通信费用，避免采用代理功能等方式所需要消耗的大量资源、能量，实现轻量的特性。对数据包的时间序列，分析子节点的行为模式，在一定时间窗下测量数据包接收率和数据包间的时间间隔，建立检测模型，判断是否存在入侵行为。该方式弥补基于机器学习、数据挖掘等方法存在的过度依赖训练库、训练时间长等缺陷。所设计的基于时间序列分析的入侵检测模型，如图1所示。

该模型结合特征检测和统计检测方法。根据入侵检测的实时数据，建立实时特征库，通过特征数据库对数据进行碰撞，提高检测的准确性和检测效率。对未知数据采用时间序列分析，时间序列分析算法能够实时的、准确的对入侵行为进行检测。并且对入侵行为和非入侵行为分别进行记录，可发现后续的检测效率会不断的提高。

2 时间序列分析算法

时间序列是按照时间顺序收集到的一组监测数据。记录第i时刻的监测数据为x（i），则x（1），x（2），x（3），x（4），x（5）…x（i）…就是一个时间序列。假设对无线传感器网络的某一节点的时间序列进行K次检测，每次检测为一个运行周期，将运行周期划分为l个时段，用x（i，j）表示第i次检测时第j和时段内事件（数据包到达的时间间隔或数据包的接收率）。M（j）表示在第j个时段内该时间发生的平均次数，则有：

当进行K+1次检测后，将M（j）作为第j时间段内事件（数据包到达的时间间隔或数据包的接收率发生次数）的期望值。用x（K+1，j）表示第j时间段内事件的实际发生次数，可以获取他们的相对偏差为：

根据时间段j建立时间模型，设立阈值δ，当的相对偏差z（j）≧δ1，即可判定在j时间段内可能发生入侵事件。

文献[10]中作者提出一种通过切比雪夫多项式对无线传感器网络的时间序列进行分析获取网络中的离群时间序列。在为无线传感器网络Y中设置参数，D：部署区域；A：传感节点的集合；m：传感器节点采集到数据长度，d：传感器节点采集到数据维度；W：时间窗口；ω：滑动窗口（ω<

时间序列的切比雪夫系数：

相似序列：对于两个时间序列S，R，此两个时间序列的切比雪夫系数向量分别为C，D。若Discby（C，D）<ε， 则称时间序列S和R相似。对于一个时间序列S，如果历史数据窗口中，与之相似的时间序列（记为similar（S，R））数量小于一定的比例，那么时间序列S称为离群时间序列即

在式⑷中，R为与S相似的时间序列，H为时间窗口W中的历史数据窗口。

3 入侵检测算法

根据第1部分基于时间序列分析的无线传感器网络入侵检测模型，通过对无线传感器网络进行流量分析，以时间序列中数据包到达的时间间隔和数据包的接收率的值为数据特征，判断是否存在入侵行为。入侵检测模块中采用时间序列分析算法作为检测算法，采用切比雪夫算法作为行为预测的核心算法。入侵检测算法描述如下：

抽取时间段j网络流量进行检测；z（j）为j时间段内的相对偏差；t为在正常行为库中多个时间序列；δ1为通过时间序列检测模型建立的阈值；S為在j时间段内数据包的时间序列；δ2为通过切比雪夫算法运算后，时间序列相似序列阈值；具体流程如图2所示。

通过监测并采集网络流量，对无线传感器网络进行入侵检测。通过抽取正常行为库中多个时刻的时间序列，建立检测模型、设定阈值δ1。时间序列的相对偏差z（j），当z（j）<δ1时表示该测量时间序列在正常范围内发送至正常行为库，通过决策模块对正常数据放行。当z（j）≧δ1时，j时间段内的时间序列存在偏差数据，可能存在入侵行为。再通过切比雪夫算法进行分析，判断时间段j内是否存在离群时间序列S，阈值δ2如果时间序列S≧δ2，则返回再次进行相对偏差分析。如果时间序列S<δ2，即时间序列S为离群时间序列，将数据录入到入侵行为库，并且将数据发送至决策模块，对入侵行为进行警报。

4 仿真实验

4.1 背景介绍

仿真模拟实验基于模拟CVE-2016-2398，Comcast Xfinity家庭安全系统缺陷，使得攻击者可以通过干扰ZigBee 2.4GHz传输，破坏传感器正常运行。使用NS2（Network Simulator version 2）仿真，模拟Xfinity智能家庭安全系统的漏洞的无线传感器网络通信。通过对无线传感器网络进行流量监听，分析网络内IP数据包到达各节点的时间序列，验证数据的真实性和完整性，检测出该恶意入侵行为。在该仿真实验中无线传感器节点分布如图3所示；系统参数配置如表1所示。

4.2 测试参数配置

本次仿真实验，通过干扰无线传感器网络node6节点的2.4GHz信道，造成信道拥塞。使node6节点间不能够与网络正常通信，造成错误的数据包时间序列。

4.3 实验结果

如图4所示，为正常状态下在某一时间段内IP数据包时间序列和入侵状态下在同一时间段内IP数据包时间序列。在这种情况下，通过计算无线传感器网络中的数据包接收率和到达时间间隔，对比在相同时间段内两组数据的值。结果显而易见，入侵行为与正常行为存在明显偏差。这种情况下，将正常状态下的数据包接收率和到达时间间隔进行统计建模，得出时间序列阈值，再与入侵状态下的时间序列进行相对偏差比较。就能够准确的检测出入侵行为，检测准确率能达到95%以上。从检测统计结果中可知，使用该算法能够根据实时数据很好地检测出入侵行为，有较高的准确率以及较低的错误率和漏检率。

5 结束语

本文提出的基于时间序列分析的实时入侵检测方法，以无线传感器网络中的流量作为对象，测量时间序列。采用时间序列相对偏差计算、切比雪夫算法对网络中流量进行分析，判断时间序列中存在的离群数据，进而对入侵行为进行准确辨认。在仿真环境下对该算法进行测试，对入侵行为检测有较高的准确率，对无线传感器网络的入侵检测具有实际作用。

参考文献（References）：

[1] 孙利民.无线传感器网络[M].清华大学出版社，2005.

[2] 包荣鑫，温靖程，黎子熠等.无线传感器网络传输加密机制[J].

中国新通信，2015.18：66-66

[3] 赵玉华，李志刚，李志民等.无线传感器网络用户认证技术综

述[J].计算机测量与控制，2009.17（12）：2348-2351

[4] 濮青.入侵检测系统面临问题与发展趋势研究[J].计算机工

程与设计，2004.25（1）：55-57

[5] 王培，周贤伟，覃伯平等.基于多代理的无线传感器网络入侵

检测系统研究[J].传感技术学报，2007.20（3）：677-681

[6] Liu Y， Yu F. Immunity-based intrusion detection for

wireless sensor networks[C]//IEEE International Joint Conference on Neural Networks. IEEE，2008：439-444

[7] Tian J， Gao M， Zhou S. Wireless sensor network for

community intrusion detection system based on classify support vector machine[C]//International Conference on Information and Automation.IEEE，2009：1217-1221

[8] 鐘敦昊，张冬梅，张玉.一种基于相似度计算的无线传感器网

络入侵检测方法[J].信息网络安全，2016.2：22-27

[9] 韩志杰，张玮玮，陈志国.基于Markov的无线传感器网络入侵

检测机制[J].计算机工程与科学，2010.32（9）：27-29

[10] 唐琪，刘学军.无线传感器网络离群时间序列检测研究[J].传

感技术学报，2013.26（1）：95-99