1、第 14 期2023 年 7 月无线互联科技Wireless Internet TechnologyNo.14July,2023基金项目:湖南省教育厅科学研究项目;项目编号:21C1149,22C0949。湖南省大学生创新创业训练计划项目;项目编号:S194139240299,194139240328。作者简介:周慧芝(1983),女,湖南衡阳人,讲师,学士;研究方向:网络安全及数据处理。通信作者:余员琴(1983),女,江西九江人,硕士,副教授;研究方向:无线传感器网络定位与信息安全技术。基于深度学习的 WSN 入侵检测系统研究与设计周慧芝,余员琴,欧洲洋(湖南交通工程学院 电气与信息工程学
2、院,湖南 衡阳 421009)摘要:传统浅层机器学习难以提取现今随时间变化的高维且非线性的海量数据的本质特征,入侵检测准确率低,算法复杂且训练时间过长。对此,采用分簇式网络拓扑,改进 NCRP 算法的路由协议降低网络能耗,在簇头节点使用 SAESM 进行压缩且异常检测提高簇头节点传送给基站节点的有效信息量及快速有效响应,在基站使用 SLSTM 的高级检测算法进行精准识别攻击行为与类型。分析仿真实验结果此算法入侵检测准确率较高,泛化能力较强,实时性好。关键词:WSN;WSN 路由协议;深度学习;数据压缩;入侵检测中图分类号:TP212.9;TN915.08 文献标志码:A0 引言 无线传感器网络
3、应用快速增长,其安全问题越来越突显。保护系统中数据机密、可用、完整以及网络免受入侵攻击是现今学术界与商界共同关注的问题。入侵检测系统(Intrusion Detection System,IDS)收集网络中各种数据,通过收集到的数据可以检测恶意攻击或违反规则等造成的异常情况1。目前入侵检测技术融合智能算法,基于机器学习是主流方法。传统浅层机器学习难以提取现今随时间变化的高维且非线性的海量数据的本质特征,入侵检测准确率低,算法复杂且训练时间过长,传统网络入侵检查系统已不适用于 WSN。针对 WSN 特点设计融合深度学习技术与侵检测技术,考虑全网络能量消耗、内存大小、通信带宽、计算能力及检测准确率
4、等要求的入侵检测系统是当前所趋。1 入侵检测模型 网络安全形势日益复杂,其攻击手段多样化,危害程度不可控,依据检测方法将其分为普通攻击和新型攻击两类2。针对未知特征的新型攻击和入侵检测系统的实用性,本文设计分级式入侵检测模型。考虑无线传感器网络(Wireless Sensor Network,WSN)的特点和入侵检测需求,采用改进的动态竞争的非均匀分簇 路 由 算 法(Non-Uniform Clustering Routing Protocol Based on Energy Consumption,NCRP)路由协议;考虑簇头与基站间传输信息量,网络入侵检测的效率,多种新型攻击和精准率,基
5、于深度学习算法在簇头节点融合数据压缩和异常检测算法,在基站节点进行高级检测,即二级入侵检测响应。在分级式入侵检测模型上,基于深度学习算法的无线传感器网络入侵检测模型分为传感器节点(包括数据采集和数据预处理)、簇头节点(包括路由协议和异常检测)、基站节点(包括高级检测和入侵响应)3 个架构 6 个模块。入侵检测过程主要分为以下 3 个步骤:(1)布置在目标感知区域的传感器节点实现数据采集和预处理模块功能,将采集的敏感数据进行One-hot 编码且标准化后发送给其簇头。(2)首先嵌入在传感器节点的改进 NCRP 的路由协议负责 WSN 中簇的划分,簇头和簇个数的选取;然后启用神经网络 SAE(Sp
6、arse Atuo Encoder)和分类器(Support Vector Machine,SVM)整合成 SAESM 的异常检测,检测无异常,则压缩数据并发送给基站,由基站启用整合成 SAE 和 LSTM(Long Short Term Memory Network),即 SLSTM 算法进行二级检测以防簇头的一级检测出错,反之,簇头进行一级本地响应,再发送给基站,由基站进行二级检测攻击类型。(3)基站的高级检测模块处理簇头发送来正常或异常数据,若检测正常数据仍为正常,则结束;若检测正常数据为异常,则全网响应新型攻击,并更新至网络特征库;若检测的是异常数据,则进行攻击类型识别,若无法识别,则
7、更新至网络特征库。2 改进 NCRP 的路由协议设计2.1 假定条件 设计以人工或机械方式随机部署传感器节点,其WSN 具有以下特征:(1)网络中的全部传感器节点有唯一 ID,随机部署后,不可改动传感器节点 ID 信息。(2)全网络中的每个节点同构其初始能量和计算能力,基站固定布控在监测区外,存储和计算能力无限。(3)网络中的全部节点以接收的信号强度值估计近似距离,以此选取自身的发射功率。(4)网络中的全部节点可进行数据融合,提高有效传输信息量。141第 14 期2023 年 7 月无线互联科技网络互联No.14July,2023(5)网络中的全部节点可获知自身当前剩余能量信息。2.2 NCR
8、P 算法 NCRP 路由协议是基于 LEACH 协议的“轮”循环机制,每轮由非均匀分簇(选取簇首和簇群)、簇间多跳路由构建和数据转发(簇内单跳传输和簇间多跳传输)3 个阶段3。针对靠近基站的簇首具有收发数据等多项任务,导致能量得到大量消耗,本文提出改进LEACH 算法,动态选取簇首使靠近基站形成更多的簇,均衡网络能耗,延长 WSN 的生存期。第一轮非均匀分簇。基于 LEACH 算法提出概率求自算公式(1),以节点与基站间的距离 d 为调节选取簇首因素,d 值越小,候选簇首概率 T 越大,从而控制簇规模,实现簇群多,达到非均匀分簇,式(1)字符信息如表 1 所示。Tn(i)=p1-p(rbmod
9、1/p),dmax-d(Ni,BS)dmax-dmin,Er(i)Et(i)n G0otherwise(1)表 1 式(1)字符信息名称含义r当前的轮数G是 r 前 1/p 轮没有选中簇首的节点集合P表示候选簇首密度(候选簇首数与节点总数之比)dmax全网中节点与基站间最大距离dmin全网中节点与基站间最小距离d(Ni,BS)节点与基站的距离Et(i)节点 Ni初始总能量Er(i)节点当前所剩能量基站以定值功率向全网广播信号数据包,以此计算节点与基站间的近似距离,搜索 dmin的节点,再使用式(3)计算当选候选簇首的概率,在0,1随机选取一个数与 Tn(i)比较,基小于 Tn(i),则该节点进
10、入候选簇首队列,否则进入睡眠状态,日后再被唤醒。后续轮次非均匀分簇。设定临界时间,在时间内簇首若未收到当选消息,以簇内 r 前 1/p 轮未当选簇首且能量最高的节点成为下一轮簇首,并广播选取簇首信息并捎带采集数据传输给簇内节点;若簇内不存在 r 前 1/p 轮未当选簇首节点,参照第一轮分均匀分簇,以此实现均衡节点能量,延长 WSN生存期。簇间多跳路由。NCRP 协议中簇内单跳转发数据简单快捷,簇间多跳转发数据,选取其邻居簇首为中继节点,转发至基站。考虑簇间数据的差异性和算法的复杂性不做数据融合,直接转发完整数据包。黄廷辉等4通过贪婪算法的最小代价函数来建立簇间多跳路由,其代价函数如公式(2)所
11、示,式(2)字符信息如表 2 所示。cost(i,j)=Eneighor(si)Ecurrent(sj)+Nnon-CH(sj)Nnon-CH(si)+d2si-sj+d2sj-BSd2sj-BS i jEneighor(si)Ecurrent(sj)+Nnon-CH(sj)Nnon-CH(si)+i=j&dsj-BS d0+i=j&dsj-BS d0(2)表 2 式(2)字符信息名称含义Eneighor(Si)簇首 Si的邻居簇首剩余能量均值Ecurrent(sj)簇首 Sj的剩余能量Nnon-CH(Sj)簇首 Sj的成员节点数Nnon-CH(si)簇首 Si的邻居簇首成员节点数量的均值ds
12、i-sj簇首 Si到簇首 Sj的距离dsj-BS簇首 Sj到基站的距离d0簇首到基站的临界值,为加权系数,且满足+=1因此 cost(RNi)=min cost(i,j),簇首 Si的中继节点是本身,则直接发送数据到基站;否则,簇首 Si发送数据到中继节点 RNi,当每个簇首都找到中继节点,簇间多跳路由建立。数据转发阶段。数据转发主要指簇内成员节点将采集的数据单跳转发给簇首,簇首再将收到的数据进行融合后转发至其中继节点。直至中继节点接到所有簇首转发的数据,即完成数据采集一周期。(1)产生候选簇首;(2)产生最终簇首;(3)簇间多跳路由;(4)转发数据;(5)每簇 r 前 1/p 轮未当选簇首节
13、点数2,满足则选取每簇能量最高的 2 个节点当选簇首,不满足则至(1)重新一轮。3 基于深度学习设计 WSN 入侵检测系统3.1 数据压缩算法 自动编码器(Auto Encoder,AE)是典型三层神经网络5,针对海量非线性高维数据时,改进 AE 成栈式自动编码器,把前一个 AE 的隐藏层的输出作为后一个 AE 的输入,即级联起。栈式自动编码器通过每一层的神经元自动地学习到数据中潜在的规律,用来表征高维的输入数据。而海量高维非线性数据在栈式自动编码器隐藏层节点数小于输入/输出层的节点数,其学习效果才好,否则失去学习能力,导致原始数据输出。本文引入稀疏,设置隐藏层节点数大于输入输出层的节点数,在
14、同一时刻设置隐藏层节点部分神经元处“兴奋”状态,其他神经元保持“抑制”状态,即稀疏自动编码器(Sparse Auto Encoder,SAE)实现了整个神经网络稀疏。241第 14 期2023 年 7 月无线互联科技网络互联No.14July,20233.2 数据异常算法 支持向量机(Support Vector Machine,SVM)是一类按监督学习方式对数据进行二元分类的广义线性分类器,其基本原理是在空间寻找最优决策面,使不同类别的数据能分布在决策面的两侧,从而实现分类。SVM 按其构建模型由简至繁可分为线性可分支持向量机、线性支持向量机和非线性支持向量机6。输入向量x1,x2,.,xm
15、 通过 SVM 映射到中间节点,后线性组合,并加偏置 b,得到结果 y。3.3 SAESM 算法 整合 SAE 和 SVM,设计基于深度学习的 SAESM的簇头节点数据压缩及异常检测算法,即实现数据降维后进行异常检测,只对数据处理,与路由协议无关。其网络假定条件同 2.1 一样。4 基于 SLSTM 的基站节点高级检测4.1 LSTM 递归神经网络(Recurrent Neural Network,RNN)是深度学习中一种非常重要的神经网络7,通过在浅层的人工神经网络(Artificial Neural Network,ANN)中引入自反馈神经元,让整个网络记忆所处理过的数据及关联时间序列数据
16、信息,便于充分挖掘输入样本间存在的关联性,主要有输入层、隐藏层和输出层。针对 RNN 处理长距离依赖数据产生梯度爆炸,梯度消失及记忆不足等问题,Hochreiter 等8提出一种长短时 记 忆 网 络(Long Short Term Memory Network,LSTM),引入可控自循环,使梯度长时间可持续流动且跟踪信息。4.2 SLSTM 整合 SAE 压缩算法编码输出的数据发送到基站后使用 LSTM 多分类检测算法进行入侵检测,二者深度融合成 SLSTM。5 结语 本文采用分簇式网络拓扑,改进 NCRP 算法与传统 LEACH 对比分析,充分考虑了传感器节点间的距离和能量问题,有效延长网
17、络工作时间;设计 NCRP+SAESM 算法基站节点接收数据量最多,比 NCRP 或LEACH 单独使用分别高出 1.16 倍和 1.33 倍,异常检测的准确率高达 94.42%,有效提高数据传输量和异常效率;SLSTM 算法的准确率高达 97.82%,相对RNN 的记忆能力不足和存在梯度消失等,改进后算法提高了 4.9%,检测时间减少到 33.50 s。与其他算法相比,本文算法实时性较强。参考文献1陈海文,余员琴,王叶,等.基于概念漂移的集成增量学习 WSN 入侵检测方法研究J.网络安全技术与应用,2022(8):29-32.2HAN L,ZHOU M,JIA W,et al.Intrusi
18、on detection model of wireless sensor networks based on game theory and an autoregressive modelJ.Information Sciences,2019(476):491-504.3魏晶晶.基于深度学习的 WSNs 入侵检测技术研究D.哈尔滨:哈尔滨工业大学,2019.4黄廷辉,伊凯,崔更申,等.基于非均匀分簇的无线传感器网络分层路由协议J.计算机应用,2016(1):66-71.5卫佳乐,丁正生.新型稀疏自动编码器组合的深度学习方法J.计算机仿真,2020(4):280-284.6徐玲玲,迟冬祥.面向
19、不平衡数据集的机器学习分类策略J.计算机工程与应用,2020(24):12-27.7乔若羽.基于神经网络的股票预测模型J.运筹与管理,2019(10):132-140.8SCHMIDHUBER J.Deep learning in neural networks:an overviewJ.Neural Networks,2015(61):5-117.(编辑 王雪芬)Research and design of WSN intrusion detection system based on deep learningZhou Huizhi Yu Yuanqin Ou Zhouyang Schoo
20、l of Electrical and Information Engineering Hunan Institute of Traffic Engineering Hengyang 421009 China Abstract Traditional shallow machine learning is difficult to extract the essential features of high-dimensional and non-linear mass data with time and the intrusion detection accuracy is low the
21、 algorithm is complex and the training time is too long.In order to reduce the network energy consumption we adopt the cluster network topology and improve the routing protocol of NCRP algorithm using SAESM to compress and detect anomalies in the cluster head node to improve the effective informatio
22、n and fast and effective response of the cluster head node to the base station node the advanced detection algorithm of SLSTM is used to accurately identify the attack behavior and type at the base station.Simulation results show that this algorithm has high accuracy strong generalization ability and good real-time performance.Key words WSN WSN routing protocol deep learning data compression intrusion detection341