无线传感器网络中基于ELM的混合入侵检测方案

关亚文,刘 涛,黄 干

(安徽工程大学计算机与信息学院,安徽芜湖241000)

无线传感器网络中基于ELM的混合入侵检测方案

关亚文,刘 涛,黄 干

(安徽工程大学计算机与信息学院,安徽芜湖241000)

在研究机器学习算法的基础上,提出一种基于极限学习机(ELM)的混合入侵检测方案。将无线传感器网络分为感知层、数据汇聚层和核心控制层,在每层分别设置与其相适应的入侵检测方案,并在能量充足的核心控制层布置信任管理模块和ELM模块。信任模块可以及时筛去异常节点,相比于支持向量机算法训练速度更快,可提高入侵检测效率。实验结果表明,该方案在保证较高检测率的基础上,降低了能耗,延长网络运行时间,更适合于资源受限的无线传感器网络。

无线传感器网络;极限学习机;混合;入侵检测;信任管理;分簇

1 概述

随着无线传感器的广泛应用,一些安全问题逐渐显露出来。无线传感器一般是被随机撒放在无人看守的区域,其资源受限［1］,存在来自很多方面的威胁。现阶段常见的网络攻击类型［2］主要有虚假路由信息攻击、选择转发攻击、方向误导攻击、汇聚节点攻击、Sybil攻击、黑洞(black hole)攻击、虫洞(Wormholes)攻击、Hello泛洪攻击和确认欺骗攻击等。

在网络安全防护中一般采用入侵检测技术,目前主要有异常检测、误用检测和基于规范检测3种主要技术［3］。异常检测是先规定用户的正常行为库,然后把当前的用户行为与已建立的正常行为库中的用户行为比对来判断入侵的;误用检测是先建立用户的异常行为库,然后根据当前的数据流是否与已建立的入侵规则库中的入侵规则匹配来检测入侵的。基于规范的入侵检测［4］是对某些特征量设定阈值来描述正确的操作,特征量不在阈值范围内则被认为是攻击行为。

异常检测技术的优点是它可以检测出从未出现过的异常行为,但由于正常节点可能在通信过程中出现延时、丢包等行为,而且这些行为很难界定,这可能就会被异常检测技术认为是遭到攻击,所以它的误报率很高,浪费了大量能量。误用检测技术的优点是入侵检测率高,误报率低。而它的缺点是不能检测出新的攻击,因此当攻击者使用新的攻击手段进行攻击时,入侵检测系统就会失去作用。基于规范的入侵检测的优点是节点误报率低,缺点是需要手动设定规范,不能检测出不违反规范的异常行为［5］。

综合上述入侵检测技术的优缺点,研究人员［6］提出混合入侵检测方案,但多数针对的是传统的Internet网络,没有对资源受限的WSN提出适应性的方案。本文把无线传感器网络分为3层:核心控制层(即基站),数据汇聚层(该层由簇头组成)以及感知层(该层由普通传感器节点构成),并在每层设置与之相适应的入侵检测方案。感知层负责原始数据的收集和预处理,本文采用预制异常检测模块到普通传感器节点来完成,对检测到的异常数据提交给所在簇的簇头,由簇头做进一步的处理。数据汇聚层主要是完成对底层提交的异常数据进行评估,包括误用检测模块和信任管理模块。对簇头不能识别的行为交给核心控制层来处理,核心控制层包括误用检测模块、异常检测模块、信任管理模块以及基于ELM模块。基站完成行为的最后检测,并经过机器学习后反馈到下面两层,及时更新检测规则。3层模型最大限度地减少各层之间的通信,降低能耗,可保证网络更持久的运行。

2 极限学习机算法

传统的入侵检测方案一般都是基于规则库的,不能对未识别的行为进行检测,随着人工智技术发展,以神经网络为代表的智能检测技术,由于具有对未知模式的识别能力被应用到入侵检测中,许多学者提出了基于BP神经网络［7］和SVM算法的入侵检测方案。在之后的研究中,研究者发现,BP神经网络存在一些明显的缺点:(1)收敛速度较慢,耗时较长;(2)可能陷入局部最优,需要多次训练才可能达到全局最优; SVM同样存在误报率高、检测速度慢等问题。而极限学习机(Extreme Learning Machine,ELM)是一种单隐层前馈神经网络SLFNs学习算法,具有很强的学习能力和逼近复杂非线性函数等优点,更适用于解决入侵检测这类问题。经过实际实验比对［8］,ELM的收敛时间比BP算法快10倍以上,比SVM也要快3倍多。

Huang［9］在2004年提出ELM算法。这种算法是针对SLFNs的监督型学习算法,其主要思想［10］是:输入层与隐藏层之间的权值参数,以及隐藏层上的偏置向量参数是一次的,而其他基于梯度的学习算法常常通过迭代反复调整刷新参数。其求解很直接,只需求解一个最小范数最小二乘问题(最终化归成求解一个矩阵的Moore-Penrose广义逆问题)。因此,该算法具有训练参数少、速度非常快等优点。

所以,只要给定的隐含层神经元数足够多, SLFN就能在输入权随机赋值情况下逼近任何连续函数。当输入权以随机赋值的方式确定后,所得隐藏层矩阵H便是一个确定的矩阵,最终,训练SLFN就转化为计算Hβ=T的最小二乘解问题。

其中:

其中:

为了使SLFN具有良好的泛化性能,通常≤N,β无法通过直接求逆解得,因此Huang计算下式的最小范数最小二乘解:

其中,H+是H的Moore-Penrose广义逆,ELM训练过程如下:

ELM算法

(1)随机生成隐藏层神经元参数(αi,bi),i=1, 2,…,;

(2)计算隐藏层输出矩阵H(确保H列满秩)。

输出网络最优权β:

从ELM算法过程可知,在设定合适的隐藏层神经元后,随机为输入权重和偏差赋值,在计算隐藏层矩阵后,通过最小二乘法得到输出权重,这样就一次完成该问题的求解过程,不需迭代,与BP算法、SVM算法比效率明显提高。文献［11］把ELM应用到传统网络的入侵检测系统中,本文针对WSN特点,结合ELM的特性,提出一个基于ELM的混合入侵检测方案。

3 混合入侵检测方案

3.1 网络模型

现在的无线传感器网中,为保证网络的稳定运行,常对WSN进行分簇,方便管理。在本文方案中, WSN由基站、簇头节点和普通传感器节点构成。本文采用的分簇算法是文献［12］提出的FFUCA算法,且认为簇头和普通节点均可能被攻击,所以它们不可信。网络模型如图1所示。

图1 WSN网络模型

3.2 分层的入侵检测方案

本文方案网络由基站、簇头和普通节点3个要素构成,针对每种设备的特点分了3层,分别设计了与之相对应的入侵检测方法。具体的WSN入侵检测框架如图2所示。

图2 WSN入侵检测框架

3.2.1 感知层

一般来说,感知层的数据量较大,且正常数据包的数量大于异常数据包的数量。若让簇头不仅负责簇内的通信控制,还要监听整个簇是否存在异常行为,其能量消耗可想而知会很大,这样不仅会缩短该簇的生命周期,还会影响整个网络的稳定性,所以需要簇内其他节点的支持来减轻簇头节点的负担。在网络环境中,普通传感器节点能量和存储空间均受限,而且根据文献［13］的研究,在无线传感器网络中,传输1 bit的数据相当于执行800～1 000指令的消耗,所以减少节点间的相互通信对延长网络运行时间也有着重要意义。综上,在感知层的普通传感器节点上部署一种高效节能的检测方案尤为重要。本文方案在感知层采用的是基于异常检测方法的入

侵检测技术。

异常检测模块像是一个过滤器,普通节点所侦听的大部分正常数据(可能存在误报)都会通过检测。当监听到的行为与异常检测规则库中的规则不匹配时,也即不是正常行为的时候,节点会上报到所在簇的簇头节点。相对于异常检测,误用检测很少存在误报的情况,但也就是因为存在误报(包括规则库中不存在的行为,也包括异常行为)才会触发最终的ELM模块。

当簇内一些节点监听到某个节点行为异常时,会把该节点的ID和网络通信特性发送给所在簇的簇头节点,由簇头节点做进一步的处理。其中网络特性包括:节点位置,信号强度和丢包率等。

3.2.2 数据汇聚层

无线传感器节点通常被部署在无人看守的区域,普通节点和簇头节点都有可能被敌人俘获或是侦听,进而引发一些攻击行为。在数据汇聚层,本文采用的是异常检测和误用检测并用的检测方法。对簇头来说,提交数据的这些传感器节点并不是可信的,需要簇头做进一步判断。文献［14］提出的方案,在簇头中预置了对簇内节点的信任评价模块。

Bayes估计是统计研究的一种方法,通过推论来更新原来的概率。由于用户信誉分布服从Beta分布,Beta分布有2个参数(α,β),利用伽玛函数Г表示Beta分布f(p|α,β)如下:

Beta分布的概率期望值为:

根据簇内节点的历史行为,簇头保存有对各个节点的评价即信任度。为了防止众谋攻击,提交上来的数据首先会经过簇头中的异常检测模块,无论是否存在异常,簇头都会对事件范围内的节点i根据它们提交的数据进行信任度的更新。用si表示某时刻簇头对节点i上报信任的总次数,fi表示某时刻簇头对节点i上报不信任的总次数。那么经过si+fi次上报后,后验分布仍然服从Beta分布,函数中参数满足:

其中,si,fi≥0。簇头对i的信任值为:

考虑节点信誉动态性问题,引入时间遗忘因子θ(θ∈［0,1］)调整阶段历史信誉对最近信誉的影响:

最终信任计算公式如下:

(1)当不存在异常时:簇头会对上报为异常的节点i进行降低信任度的惩罚,使得fi=fi+1;而对事件范围内不提交异常的节点i根据计算规则,簇头对它们的信任度会上升,使得si=si+1。

(2)当存在异常时:簇头会对事件范围内不作为的节点i根据计算规则,进行降低信任度的处罚,使得fi=fi+1;而对上报为异常的节点i,簇头对它们的信任度会提升,使得si=si+1。当簇头对节点i的信任度Ti低于阈值TS时,即认为该节点不可信,其会被剔除出网络。对于异常行为,簇头会把数据交给误用检测模块做进一步的比对判断。

在误用检测模块中预置了大量的攻击行为规则,这些行为规则是根据无线传感器网络中的历史数据,通过专家研究或是机器学习来生成的,代表了现在已知的攻击行为。当误用检测模块收到异常检测模块传送过来的数据,首先会和规则库中的数据进行比对,有符合的行为则认为存在异常攻击的行为,簇头会把异常行为节点剔除出网络,发出警告并记录日志;否则,说明该行为未知,需要交给核心控制层,即基站来处理。

3.2.3 核心控制层

因为簇头节点中保存有大量簇内节点的信息,而且其权限也较高,很容易成为敌手攻击的目标,所以对于基站来说,簇头节点是不可信的,需要采用信任管理模块来评价基站对各个簇头的信任度。对于异常检测和误用检测审查不出来的行为,需要交给机器学习模块来做进一步的处理,并将结果反馈给整个无线传感器网,以保证异常检测和误用检测模块的规则是最新的。因此,在核心控制层,本文设置了异常检测模块、误用检测模块、信任管理模块和ELM模块。其中信任管理模块与数据汇聚层类似,这里不作进一步描述。具体运行过程如下:

(1)在异常检测和误用检测过程中,结合基站对簇头的信任度,来确定行为数据的真实性。若在已有的规则中检测到匹配的行为,则认为簇头节点存在异常,基站会根据计算规则,对它进行降低信任度的处理,同时对行为节点也进行相应的处理;否则,认为簇头为正常的,并对事件范围内其他未发送行为数据簇头进行降低信任度处理。若基站对簇头的信任度低于阈值TC的时候,会认为该簇头节点为异常节点,会将其剔除出网络,并通知该簇重新运行分簇算法FFUCA。

(2)当在规则库中找不到匹配的行为时,说明该

行为是未知行为,不能简单的判断是否为异常,需要交给ELM模块,进行分类运算。根据结果来判断该行为所属分类,来对行为节点进行相应的处理,并在整个WSN中广播更新异常检测模块或是误用检测模块的规则,以保证检测模块中的规则是最新的,并将该记录写入日志中。

4 仿真与性能分析

4.1 数据处理

由于具有真实攻击行为的WSN数据包很难获取,本文使用KDD99数据集进行仿真实验。该数据集中对每个网络连接收集了41个属性信息,按特征分为4类,其中训练集有22种攻击行为。

由于原始数据包中包含字符串,而神经网络的训练一般使用的是数字,因此需要对字符串进行数字化处理,根据特征类型的个数来设置数值。

由于KDD99数据包是来源于传统网络的,很多特性在WSN中不存在或是不重要,因此在数据预处理的过程中,去除掉一些干扰数据特征［8］。比如: land,wrong_fragment,urgent,root_shell,su_ attempted,num_root,num_file_creation,num_shells, num_access_files,num_outbound_cmds,is_hot_ login等。

数据集中同一特征的部分数据差值较大,不平衡的数据会影响最终结果准确性,所以需要进行归一化处理。归一化针对是进行干扰特征处理后的数据集中所有的特征,而不是某一特征,归一化处理公式如下:

其中,Nev表示归一化之后的特征值;oev表示特征值的原始值;max(ev)表示该特征中最大的特征值; min(ev)表示的特征中最小的特征值。

4.2 性能分析及比较

4.2.1 适用性及复杂度分析

采用传统入侵检测技术的入侵检测方案,其逻辑上相对简单,各节点检测策略一致,可以在节点部署前预置规则到节点中,这样减少了网络建立之后广播检测规则带来的能耗。但其检测规则多是人为确定和添加的,灵活性较小,不适用于动态的无线传感器网络［5］。机器学习算法的引用,减少了人的干扰,提高了规则发现的效率和准确率,但在资源受限的无线传感器节点上都部署机器学习模块显然是不可能,因此,许多学者提出的基于机器学习算法的入侵检测方案［7］都是针对传统网络的。无线传感器网络分层分组思想的提出和异构网络模型的建立,使得在无线传感器网络中运用机器学习算法成为了可能。

普通节点由于资源受限,只预置了基于异常检测技术的规则库,由于网络通信中正常的数据包远大于异常的,因此能耗和占用的存储空间与传统方案［4］相类似。簇头节点能量相对充足,与传统方案［6］相比,多了信任管理模块。由于信任管理模块只有在节点行为异常时才会触发,虽然会带来多余计算量,但会减少对节点的误判,进而保障网络的稳定。基站能量充沛且可信,一般只需要和簇头进行通信,在其上预置ELM模块对网络运行不会带明显的影响。

从整体上来看,本文提出的入侵检测方案结合了分层分组的优势,在每层上分别预置了与之相适应的入侵检测技术。与传统方案相比,对节点的存储和能耗没有过多的影响,但检测效率得到了极大的提升,更适用于动态的无线传感器网络。

4.2.2 性能比较

本文ELM使用的激励函数为RBF,输入层的神经元数目与输入样本的特征向量有关,在本文中是30。隐藏层的神经元数目的取值很难确定,根据Kolmogorov定理中的定义,输入层神经元的数目与隐藏层神经元数目之间有近似关系:k=2m+1,其中,m为输入神经元数目;k为隐藏层神经元数目,所以本文中隐藏层神经元数目取值为61。

在对kddcup.data_10_percent_corrected数据集处理后,从中分别随机抽选了1 000,2 000,…, 10 000个数据,分别用SVN和ELM进行训练,结果如图3所示。随着训练集中数据量的增加,ELM的分类速度远快于SVM［15］。

图3 ELM和SVM的运行时间比较

在实验中分别使用10个数据集的模型来检测1 000的数据集,结果如图4所示:SVM平均会比ELM高1个百分点,由于8 000数据集与1 000数据集的内容差距较大,SVM只有40%得到检测率,而ELM却可以达到96%的检测率。因此ELM对检测未知异常有较大的优势。

图4 ELM和SVM检测率比较

本文对簇头节点的信任管理模块进行仿真,某个簇内有24个普通传感器节点,其中有4个异常节点,该异常不是指普通的遭到攻击,而是指当网络正常时,这些节点上报簇头存在攻击行为,或者其他节点上报存在异常时,它们提交的数据显示不存在异常,进而引起簇头主动获取簇内数据,消耗簇头能量。

从图5可以发现,有信任模块的方案由于需要对节点信任值进行评估,所以会多消耗一些能量。在时间为12 min时,4个异常节点被检测出来,有信任模块的簇头节点能耗开始减缓,所以,信任管理模块的引入可以延长网络的运行时间。

图5 有无信任模块对簇头存活时间的影响

5 结束语

无线传感器网络有多种入侵检测技术,且各有优势,本文在已有入侵检测技术基础上,提出一种基于ELM的混合入侵检测方案,相对于传统的入侵检测方案,本文方案平衡了异常检测方案、误用检测方案以及机器学习方案的优缺点,在收敛速度和检测率上具有较大的优势。本文方案是一种分层分布式的入侵检测方案,其部署比一般方案更加严格。对于同构的无线传感器网络,各节点资源有限,而簇头的能耗相对较高,可根据能耗最优设计分簇方案;对于异构的无线传感器网络,簇头能量相对充足,可以根据最优地理位置来设计分簇方案。

［1]童安玲,黄玉划,曹玲玲.能量受限无线传输的可靠性分析［J］.计算机工程,2013,39(5):106-109.

［2]Wang S S,Yan K Q,Wang S C,et al.An Integrated Intrusion Detection System for Cluster-based Wireless Sensor Networks［J］.Expert Systems with Applications, 2011,38(12):15234-15243.

［3]Abduvaliyev A,Lee S,Lee Y K.Energy Efficient Hybrid Intrusion Detection System for Wireless Sensor Networks［C］//ProceedingsofInternationalConference on Electronics and Information Engineering.Washington D.C.,USA:IEEE Press,2010:25-29.

［4]张 帅,张凤斌.无线传感器网络中基于规范的入侵检测算法研究［J］.计算机应用研究,2012,29(9): 3464-3466.

［5]Daniel J V,Joshna S,Manjula P.A Survey of Various IntrusionDetectionTechniquesinWirelessSensor Networks［J］.Journal of Religion and Health March, 2013,52(1):235-246.

［6]高 峥,陈蜀宇,李国勇.混合入侵检测系统的研究［J］.计算机技术与发展,2010,20(6):148-151.

［7]胡明霞.基于BP神经网络的入侵检测算法［J］.计算机工程,2012,38(6):148-150.

［8]罗晓波.基于快速神经网络的入侵检测技术研究［D］.南京:南京林业大学,2011.

［9]Huang G B,Zhu Q Y,Siew C K.Extreme Learning machine:Theory and Applications［J］.Neurocomputing, 2006,70(1):489-501.

［10]邓万宇,郑庆华,陈 琳,等.神经网络极速学习方法研究［J］.计算机学报,2010,33(2):279-287.

［11]Cheng C,Tay W P,Huang G B.Extreme Learning Machines for Intrusion Detection［C］//Proceedings of 2012 InternationalJointConferenceonNeuralNetworks.Washington D.C.,USA:IEEE Press,2012:1-8.

［12]Fouchal S,Mansouri D,Mokdad L,et al.Recursiveclustering-based Approach for Denial of Service(DoS) Attacks in Wireless Sensors Networks［J］.International Journal of Communication Systems,2013,28(2): 309-324.

［13]Stetsko A,Folkman L,Matyas V.Neighbor-based Intrusion Betection for Wireless Sensor Networks［C］//Proceedings of the 6th International Conference on Wireless and Mobile Communications.Washington D.C.,USA:IEEE Press, 2010:420-425.

［14]刘 涛,熊 焰,黄文超,等.一种基于Bayes估计的WSN节点信任度计算模型［J］.计算机科学,2013, 40(10):61-64.

［15]李恒杰,李恒杰.线性逼近SVM在入侵检测中的应用［J］.计算机工程,2011,37(23):122-124.

编辑 索书志

ELM-based Hybrid Intrusion Detection Scheme in Wireless Sensor Network

GUAN Yawen,LIU Tao,HUANG Gan
(School of Computer and Information,Anhui Polytechic University,Wuhu 241000,China)

Based on the study of machine learning algorithm,this paper proposes a hybrid intrusion detection scheme using the Extreme Learning Machine(ELM)for Wireless Sensor Network(WSN).It divides the WSN into the perception layer,data aggregation layer and the core control layer,corresponding intrusion detection scheme is presented at each layer.Especially,in the core control layer,it sets trust management modules and ELM modules.Using a trust module can timely sieve to abnormal nodes.The ELM is faster than the SVM algorithm,and the efficiency of intrusion detection can be further improved when using ELM.Experimental results show that the scheme that combines the ELM with traditional intrusion detection technology balances the advantages and disadvantages,reduces the energy consumption and prolongs the network uptime,on the basis of guaranteeing a higher detection rate.So it is more suitable for WSN which is resource-constrained.

Wireless Sensor Network(WSN);Extreme Learning Machine(ELM);hybrid;intrusion detection;trust management;clustering

关亚文,刘 涛,黄 干.无线传感器网络中基于ELM的混合入侵检测方案［J］.计算机工程,2015, 41(3):136-141.

英文引用格式:Guan Yawen,Liu Tao,Huang Gan.ELM-based Hybrid Intrusion Detection Scheme in Wireless Sensor Network［J］.Computer Engineering,2015,41(3):136-141.

1000-3428(2015)03-0136-06

:A

:TP309

10.3969/j.issn.1000-3428.2015.03.026

国家自然科学基金资助项目(61300170);安徽省教育厅基金资助重点项目(KJ2013A040);安徽自然科学基金资助项目(1308085MF88);安徽工程大学基金资助项目(2013YQ28,2009YQ041)。

关亚文(1990-),男,硕士研究生,主研方向:网络安全;刘 涛(通讯作者),副教授;黄 干,硕士研究生。

2014-03-24

:2014-05-08E-mail:liutao@ahpu.edu.cn