无线传感器网络入侵检测系统研究综述

摘要：目前，无线传感器网络在智能环境检测，灾难控制，战场侦察，安全监视方面取得了日益广泛的应用，引起人们日益关注，无线传感器网络的安全问题越来越显得重要。论文首先介绍了入侵及入侵检测，然后分析了无线传感器网络入侵检测系统及其分类，主要研究分析目前的无线传感器网络入侵检测技术及其各自的优缺点。最后提出了无线传感器网络入侵检测技术可能的发展方向。

关键词：无线传感器网络；入侵检测；机器学习；博弈论

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)13-3004-03

Survey on Intrusion Detection System in Wireless Sensor Networks

DUAN Xiao-yang1, MA Hui-fang2, HAN Zhi-jie1, WANG Guan-nan1

(1.School of Computer and Information Engineering Henan University, Kaifeng 475004, China; 2.Kaifeng Institute of Education, Kaifeng 475004, China)

Abstract: Recently, wireless sensor networks has an increasingly wide range of applications in intelligent environmental monitoring, disaster control, battlefield surveillance and security monitoring. It caused growing concern. So the wireless sensor network security appears particularly important. The paper firstly depicted the intrusion and intrusion detection. Then the current intrusion detection techniques in wireless sensor networks as well as their advantages and disadvantages are described and analyzed in detail by classification. Finally the paper stated the possible intrusion detection technology in wireless sensor networks.

Key words: WSN; intrusion detection; machine learning; game theory

无线传感器网络(wireless sensor network,简称WSN )的相关研究已经成为现阶段国内外研究的热点[1-4]。与目前常见的无线网络相比，无线传感器网络具有以下特征：网络的自组织性，动态变化的网络拓扑结构，分布式控制，多条无线网络，节点功能的局限性，无线网络的局限性，安全性差，数量多、规模大，数据冗余与汇聚等。

有关安全的研究和历史表明，不管在网络中采取多么先进的安全措施，攻击者总有可能找到网络系统的弱点，实施攻击。单独使用预防技术（如加密、身份认证等）难以达到预期的安全目标，这些技术可以降低网络被攻击的可能性，但是不能完全杜绝攻击，因此，安全的防御措施也是不可或缺的，入侵检测系统（IDS Instruction Detection System）是近年来出现的新型网络安全技术，它弥补了上述防范措施的不足，可以为网络安全提供实时的入侵检测及采取相应的保护。

本文主要对入侵检测系统和现阶段的入侵检测技术进行分类介绍和分析，并对比各自的优缺点，最后提出自己对无线传感器网络入侵检测技术发展的展望。

1 入侵和入侵检测

入侵行为被定义为任何试图破坏目标资源的完整性、机密性和可访问性的动作。入侵一般可简单分为外部入侵和内部入侵。Denning在1987年发表的论文中，首先对入侵检测系统模式做出定义：一般而言，入侵检测通过网络风暴或信息的收集，检测可能的入侵行为，并且能在入侵行为造成危害前及时发出报警同质系统管理员并进行相关的处理措施。为达成这个目的，入侵检测系统应包含3个必要功能的组件（信息收集、检测引擎和相应组件），如图1所示。

2 入侵检测系统的分类

1) 根据数据信息来源进行分类

基于主机的IDS（HIDS）：在操作系统、应用程序或内核层次上对攻击进行检测。系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机，通过监视和分析主机的审计记录和日志文件来检测入侵。

基于网络的IDS（NIDS）：系统获取数据的来源是网络传输的原始数据包，NIDS放置在网络基础设施的关键区域，通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务，保护的目标是网路的运行。

混合型的IDS：它是基于主机和基于网络的的入侵检测系统的结合，在网络中配置NIDS以检测整个网络的安全情况，同时在那些关键的主机上配置HIDS，这可以提供比采用单一的入侵检测方案更为安全的保护。

2) 根据响应方式的不同进行分类

主动响应IDS：如果检测出入侵后，能够主动重新配置防火墙、关闭适当的服务或反击入侵者，那么就被称为主动响应。

被动响应IDS：若检测到入侵后仅仅给出警报或记录日志，就是被动响应。

3) 根据系统各个模块运行的分布式方式不同进行分类

集中式入侵检测：它有一个中心计算机负责监控、检测和响应等工作，这种适用于网络比较简单的情况下。

分布式入侵检测：他它用一个移动的方式监视和检测，每个分析点都有响应的能力。

4) 根据分析方法的不同进行分类

异常入侵检测：这种方法首先总结出正常操作应该具有的特征，在得出正常操作的模型后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。

误用入侵检测：这种方法首先收集非正常操作也即入侵行为的特征，建立相关的特征库，在后续的检测过程中，将收集到的数据与特征库中的特征代码相比较，得出是否入侵的结论。

混合型入侵检测：即异常检测和误用检测的结合，基于异常的入侵检测可以发现一些未知的的攻击，对具体系统的依赖性相对较小，但误报率很高，配置和实现也相对困难；基于误用的入侵检测能比较准确地检测到已经标识的入侵行为，但是对具体的系统依赖性很大，移植性差，而且不能检测到新的攻击类型。所以，只有把二者有机结合起来，才能达到最佳的系统性能，如图2是一个通用的将二者结合起来的检测方法。

3 入侵检测技术

传感器网络的资源局限性和应用相关性等特点，决定了对其入侵检测机制的研究是一个极具挑战性的课题，一个行之有效的传感器网络入侵检测系统须要具有简单性、实时性和检测准确性三个特性。下面主要介绍一下目前的无线传感器网络检入侵检测技术方法及其各自的优缺点：

1) 基于多Agent的入侵检测。

王培等在文献[5]中针对分簇式无线传感器网络提出了基于多的入侵检测方法，其系统结构如图3所示。

通过让节点和簇头分别执行不同检测任务，结合本地检测和联合检测，并采用多个模块分别实现数据收集、分析检测和入侵响应和管理的任务,以便使系统具有操作简单、易于扩展、能耗降低、安全性提高的特点。但是该方案中每个节点中都需要配备监视Agent、检测Agent、响应Agent和管理Agent，会占用节点的大量存储空间，而且也会增加节点的能源消耗。

这种方法可以减少网络负载，克服网络延迟和良好的可扩展性，高安全性，但是每个节点都有多个功能，较大的能量消耗，在其测试活动过程重叠时，准确率将大大低和较低的自适应性。

2) 基于机器学习和数据挖掘的入侵检测。

基于机器学习的入侵检测整体架构如图4所示。

文献[6]提出基于免疫遗传算法的异常检测，节点从它的邻居节点偷听信标包并提取称为抗原的关键参数，如果匹配的抗原数量比在一个探测器的寿命预先定义的阈值高时，该探测器将失效并产生一个新的探测器。反之，如果匹配的抗原数量比探测器的寿命阈值少时，探测器将触发入侵报警，对于探测器更新机制，使建议的IDS更加健壮；文献[7]针对选择性转发攻击提出了基于支持向量机的异常检测，使用SVM针对入侵数据的健壮分类方法。SVM克服传统机器学习方法大样本的缺陷，根据有限的样本信息在模型的复杂性和学习能力之间寻求最佳折衷，能获得最好的范化能力。

这种方法将异常检测作为分类或者聚类问题，借助机器学习的有效学习能力，构建具有一定精度的异常检测模型，具有较高的准确率，但是，不足之处是需要的样本量较大，训练时间长。

3) 基于网络流量分析的入侵检测

基于流量分析的入侵检测模型的基本结构如图5所示。

文献[8]采用Markov线性预测模型，为无线传感器网络设计了一种基于流量预测的拒绝服务攻击检测方案――MPDD。在该方案中，每个节点基于流量预测判断和检测异常网络流量，无需特殊的硬件支持和节点之间的合作；提出了一种报警评估机制，有效提高方案的检测准确度．减少了预测误差或信道误码所带来的误报。文献[9] 等提出了基于流量分析的入侵检测方案，通过对邻居节点的行为进行统计分析，阀值技术分析，然后应用到选定参数，即一定长度的时间窗下所接收的数据包数和数据包的间隔时间，它不需要任何额外的硬件安装和额外的通讯费用，其计算代价也比较低。

这种方法相对比较简单，直观，实时性高，但要求流量输入要具备一定的统计特性，因此不具有通用性，误报率高。

4) 基于博弈论模型的入侵检测。

基于博弈论的入侵检测系统基本模型如图6所示，分布在网络中的入侵检测器采用某种检测手段审计网络数据，检测入侵，并提交检测结果。然后博弈模型模拟攻防双方的互动行为，并权衡来自入侵检测器的检测结果和其检测效率，得出纳什均衡以辅助IDS做出合理正确的响应策略。

Mohsen Estiri等人在文献[10]中针对无线传感器网络的丢包攻击提出基于博弈论的入侵检测方案，提出了重复博弈理论模型来进行入侵检测，在该模型中，将无线传感器网络中的攻击者与入侵检测系统作为非协作、非零和的博弈双方，并利用平均折扣因子收益来显示节点在博弈当前阶段所达到的比下一阶段所得到的更有价值。而且最终系统将达到纳什均衡，形成无线传感器网络的防御策略。

这种方法方法可以帮助管理者权衡检测效率和网络资源，但是检测的人为干预是必须的，而且具有较差的系统适应能力。

5)基于信任机制的入侵检测。

Min Lin[11]等提出了基于信任模型的动态入侵检测方案，利用具有较高信任度的节点来交替地检测簇内节点，提出了非参数CUSUM的检测改进算法，报警响应也借助信任模型中的信任级划分，有效减少节点的能源消耗，减小节点的计算开销。Long Ju[12]等提出了基于加权信任机制的入侵检测方法，在系统开始就给每个传感器节点分配权重，每个周期当节点发送与其他节点不同的报告时进行更新，这样当节点的权重低于某一阈值时就被检测出是恶意检点。

这种方法具有低功耗，高安全性等优点，但当簇头节点入侵，或遇到Sybil攻击时检测精确度降低，而且其阈值设置会影响算法的精度，而且如何找到一个合适的阈值是一个棘手的问题。

4 结论

由以上分析可以看到，目前的各种异常检测技术还不能实时、准确地对各种入侵进行检测。近年来，分形理论与无线网络数据流分形特性和自相似特性为异常检测提供了新的理论基础。无线传感器网络数据流呈现出一定的分形特性，具有长相关性、具有较宽的类似白噪声的频谱特性、具有混沌吸引子等，基于此，根据网络数据流具有的分形指数（Hurst参数，分形维数、李雅普诺夫指数）可以建立客观检测模型，从而根据网络数据客观内在规律异常检测。此外，由于小波分析在信号处理中具有独特的频谱多分辨率优势，基于频谱、小波分析的异常检测被证实适合实时的异常检测，因此，研究分形理论与小波分析的无线传感器网络异常检测模型与方法将是一个新的发展方向。

参考文献：

[1] 孙利民,李建中,陈渝,朱红松.无线传感器网络[M].北京:清华大学出版社,2005.

[2] 周贤伟,覃伯平,徐福华.无线传感器网络与安全[M].北京:国防工业出版社,2007.

[3] 陈林星.无线传感器网络技术与应用[M].北京:电子工业出版社,2009.

[4] Onat I,Miri A.An intrusion detection system for wireless sensor networks[C]//Montreal,Canada:Proceedings of the IEEE International Conference on Wireless and Mobile Computing,Networking and Communications (WiMOB’05),2005:253-259.

[5] 王培,周贤伟.基于多的无线传感器网络入侵检测系统研究[J].传感技术学报,2007,20(3):677-681.

[6] Liu Yang,Yu Fengqi.Immunity-based intrusion detection for wireless sensor networks[C]//Hong Kong,China:Proc Int Jt Conf Neural Networks,2008:439-444.

[7] Tian Jingwen,Gao Meijuan,Zhou Shiru.Wireless Sensor Network for Community Intrusion Detection System Based on Classify Support Vector Machine[C]//Zhuhai,China:Proceedings of the 2009 IEEE International Conference on Information and Automation,2009:1217-1221.

[8] 韩志杰,张玮玮,陈志国.基于Markov的无线传感器网络入侵检测机制[J].计算机工程与科学,2010,32(9):27-29.

[9] Ponomarchuk Yulia. Seo Dae-Wha.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[C]//Shanghai,China:19th Annual Wireless and Optical Communications Conference,2010.

[10] Estiri M,Khademzadeh A.A Game-theoretical Model For Intrusion Detection In Wireless Sensor Networks[C]//Calgary,AB:Electrical and Computer Engineering (CCECE),2010 23rd Canadian Conference on,2010:1-5.

[11] Min Lin,Shi Nan.An Intrusion Detection Algorithm for Wireless Sensor Network Based on Trust Management Module[C]//Wuhan,China:Internet Technology and Applications,2010 International Conference on,2010:1-4.

[12] Ju Long,Li Hongjuan.An Improved Intrusion Detection Scheme Based on Weighted Trust Evaluation for Wireless Sensor Networks[C]//Sanya:Ubiquitous Information Technologies and Applications (CUTE),2010 Proceedings of the 5th International Conference on,2010:1-6.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文