CN107872460A

CN107872460A - 一种基于随机森林的无线传感网dos攻击轻量级检测方法

Info

Publication number: CN107872460A
Application number: CN201711106893.8A
Authority: CN
Inventors: 屈洪春; 雷李彪; 贺林声; 邹凯迪; 唐晓铭; 王平
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2017-11-10
Filing date: 2017-11-10
Publication date: 2018-04-03
Anticipated expiration: 2037-11-10
Also published as: CN107872460B

Abstract

本发明提出了一种基于随机森林的无线传感网DOS攻击轻量级检测方法，涉及无线传感器网络信息安全领域。该方法为无线传感器网络监测节点每隔一个固定时间收集一组监测数据并将其发送至基站，在基站利用DOS攻击对感知数据的攻击特性生成检测特征(A)和(B)，并将其标准化为(A*)和(B*)。将训练集运用k‑means++算法结合检测特征(A*)得到正常数据和噪声数据，将此阶段得到的正常数据加入一定量的攻击数据对随机森林进行训练。对每一个待检测样本结合检测特征(A*)先判定是否为噪声，若不是再运用随机森林模型结合检测特征(B*)检测是否发生DOS攻击。该方法在基站实现，监测节点无需为DOS攻击检测做额外贡献，节约了节点的计算，存储和能量。

Description

一种基于随机森林的无线传感网DOS攻击轻量级检测方法

技术领域

本发明属于无线传感器网络信息安全领域，涉及一种基于随机森林的无线传感网DOS攻击轻量级检测方法。

背景技术

无线传感器网络是一种特殊的移动自组织网络，可应用于电源供给困难，人员不能到达的区域(如受到污染、环境不能被破坏或敌对区域)和一些临时场合(如发生自然灾害时，固定通信网络被破坏)，该系统能够实时采集监测区域内的环境信息，如温度、湿度、亮度和压强等，并将监测数据以无线多跳的方式传输给基站。但是，无线传感器网络具有其许多独特性，具体包括：(1)网络资源受限，包括普通节点的能量、计算能力、通信能力以及通信带宽等；(2)不存在独立的路由设备，即每个节点都需要转发其所收到的数据、并没有受到特殊安全保护的路由设备。由于无线传感器网络的如上独特性,其所面临的安全威胁也不同于传统的互联网，因此传统的应用于互联网的安全措施并不能直接应用于无线传感器网络。

入侵检测作为一种积极主动地安全技术，属于无线传感器网络安全的第二道防线。目前，入侵检测系统主要分为基于异常，基于规则的误用检测和基于规范的入侵检测系统。其中，异常入侵检测是利用基于统计分析的原理，以入侵行为是异常活动的子集为前提，总结正常的行为特征，建立正常活动“用户轮廓”。当系统检测到行为严重偏离用户轮廓时，则认为该活动为入侵，常用方法包括概率统计、数据挖掘、神经网络等技术。基于规则的误用检测是利用基于模式匹配的原理，以所有入侵行为的特征都可被检测到为前提，通过收集网络或系统中已知的不正常操作行为特征建立攻击特征库来检测攻击或威胁。在检测过程中，当行为与特征库中的特征记录匹配时，系统则认为该行为是入侵。基于规范的入侵检测技术相结合基于误用和基于异常的检测的优点技术，通过使用手动开发的规范和约束来表征合法系统的行为。

常见的入侵检测方案如下：S.Marti等人提出了一种基于看门狗的思想，通过把IDS(入侵检测系统)放到每个传感器节点上，监视邻居节点的活动，如果邻居节点更改、延迟、复制，或者只保留应该传输的消息，则监视节点统计对应邻居节点的错误数，最后根据规则判定有无网络攻击发生。该方法会消耗节点大量的能量和计算能力，并且判定规则的设计也比较复杂。Doumit等人提出了基于自组织临界程度(self-organizedcriticality,简称SOC)和隐马尔可夫模型(hidden Markovmodel,简称HMM)的入侵检测算法，属于基于异常检测的领域。他们将无线传感器网络节点分为簇头节点和普通成员节点，并以簇形式组织在一起。普通成员节点负责收集网络数据，而簇头节点配置有检测引擎，用于审计其管辖簇中普通节点的流量以及数据的变化情况。SOC在此被用于训练HMM建模所需的变换矩阵。异常检测时，首先需建立一个网络行为完全正常情况下的HMM。当检测系统检测到无线传感器网络发生状态变化事件时，检测引擎计算该状态变化事件在正常行为HMM条件下发生的概率P，并与系统预定义的HMM阈值Θ进行对比。如果小于Θ，说明此事件在正常网络情况下发生概率极小，可判定该网络事件为异常，IDS产生报警信息。Riecker等人提出一种轻量级的入侵检测系统，其中移动代理节点仅通过单一特征即节点能量消耗而不需要多种特征来检测DoS(拒绝服务)攻击，普通节点可以避免复杂计算并保持通信消耗在一个合理的范围。该方法可以减少网络负载和网络时延，但是运行IDS的移动代理节点会有较高的能量消耗。此外，代理节点之间的通信开销易于导致网络拥塞，同时普通节点仍需要定时与代理节点通信来更新节点能量消耗信息。Onat等为传感器网络提出一种分布合作式异常检测方案，该方案假定攻击报文具有明显不同于正常报文的能量及速率，每个节点嵌入一个检测引擎，该引擎统计每个邻居节点报文的能量和分组到达速率两种特征值，当发现异常时广播报警信息，如果节点A收集的针对节点B的报警达到预定阈值,则A确定B为入侵节点。该方案的局限性有以下两点:首先检测率与攻击者发送报文的能量和速率密切相关，当攻击者采用接近正常值的能量和速率发送报文规避检测时，检测率将大大降低；其次节点合作判断异常引入大量的通信开销，会迅速消耗节点有限的能量和网络有限的带宽，从而缩短网络寿命。

从上面可以看出，以网络流量为特征的入侵检测，需要传感器节点传输除监测数据固定任务外的检测特征或者需要节点之间相互通信用于入侵检测的输入，而传感器的数据传输占节点能量消耗的大部分。此外，基于分簇的检测方法还会消耗节点的计算存储能力。因此，对于计算能力有限，存储能力有限和能量受限的传感器节点而言，以网络流量为特征的入侵检测这类检测方法均会大大降低网络使用寿命。

综上分析，无线传感网络入侵检测需要解决的问题是：如何实现一种轻量级的DOS攻击检测，即降低传感器节点的计算能力，存储能力和能量消耗。

发明内容

有鉴于此，本发明的目的在于提供一种基于随机森林的无线传感网DOS攻击轻量级检测方法，该方法是在基站利用DOS攻击数据的检测特征与正常数据的检测特征A*相似，运用k-means++算法成功从数据集中分离出噪声数据，然后再运用随机森林检测是否发生了DOS攻击。

为达到上述目的，本发明提供如下技术方案：

一种基于随机森林的无线传感网DOS攻击轻量级检测方法，包括以下步骤：

S1：无线传感器网络监测节点每隔一个固定时间间隔Δt收集一组监测数据，包括温度、湿度和电压，并以无线多跳的方式将其发送给基站，假定非网络攻击造成的监测数据包丢失在合理范围内，基站将收到监测数据集V；

S2：将监测数据集V计算生成检测特征A和B，并对检测特征A和B进行Z-score标准化为检测特征A*和B*；

S3：采用K-Means++聚类算法结合检测特征A*，从数据集中取出五分之二作为训练集聚类划分为正常簇和噪声簇；

S4：将正常簇所对应的检测特征B*和10％攻击数据集组成随机森林的训练集，并对随机森林模型进行训练；

S5：检测阶段：待检测样本X结合检测特征A*，计算到正常簇和噪声簇的平均距离当此距离大于预设的阈值(Threshold)时，此数据为其他如环境突变异常数据；否则，先判断是否距离噪声簇较近，若是则为噪声，否则直接使用该值所对应的检测特征B*输入随机森林模型进行检测，根据检测结果直接判定是否发生DOS攻击。

进一步，在步骤S1中，所述基站收到的n组监测数据集V＝{v₁,v₂,…,v_n}，每组监测数据集有w维属性。

进一步，在步骤S2中，定义每个时间间隔内监测数据集的均值为g＝{g₁,g₂,...,g_w}，w为每组监测数据集的维属性，其中定义每个时间间隔内监测数据集的标准差为σ＝{σ₁,σ₁,...,σ_w}，其中定义检测特征A为向量(g,σ)；定义每个时间间隔内监测数据集的特征为e＝{e₁,e₂,...,e_w},其中m为网络监测节点个数，定义每个时间间隔内监测数据集的特征为r＝{r₁,r₂,...,r_w},其中定义检测特征B为向量(e,r)；本方法的验证取的是整个数据集的五分之二作为训练集，其余作为测试集。

进一步，在步骤S2中，所述每组监测数据中每一维数据的Z-score标准化为：

进一步，在述步骤S3中，所述k-means++算法包括以下步骤：

S31：从输入的数据点集合中随机选择一个点作为第一个聚类中心；

S32：对于数据集中的每一个点x，计算它与最近聚类中心(指已选择的聚类中心)的距离D(x)；

S33：选择一个新的数据点作为新的聚类中心，选择的原则是：D(x)较大的点，被选取作为聚类中心的概率较大；

S34：重复S32和S33直到k个聚类中心被选出来；

S35：利用这k个初始的聚类中心来运行标准的k-means算法。

进一步，在步骤S4中，所述随机森林是一个组合的分类器，其基本组成单元是K个决策树{h(X,θ_k),k＝1,2,...,k}，K个决策树进行集成学习后得到随机森林；当使用者输入待分类样本时，每个决策树会对其进行分类，随机森林对每个决策树的分类结果进行统计，以多者决定样本属性；决策树中的{θ_k,k＝1,2,...,k}是一个随机变量，它是由随机森林算法的两个主要随机化思想所决定的：

(1)Bagging思想：每棵决策树有放回的从原数据集X中随机选取K个与原数据集同等维度的训练数据集，每个训练数据集构造一棵对应的决策树。

(2)特征子空间思想：决策树中的每个节点在进行分裂时，等概率从待测样本的全部属性中随机的选择一个属性子集，随后再从这个属性子集中抽取一个最优的子属性来分裂决策树节点；在这个过程中，属性子集的抽取和最优子属性的选择过程都是独立进行的，且总体都是一样的，是一个独立同分布的随机变量序列；随机森林算法的训练过程即所属各个决策树的训练过程，且各个决策树之间的训练是一个相互独立，互不影响的过程；为了提高随机森林模型的生成效率，训练过程可采取并行化处理方式。

同理，随机森林中的其他决策树将以同样的方式训练，最后将训练好的K个决策树组合在一起构成随机森林模型。

进一步，所述步骤S5中，

(1)平均距离的计算公式是：其中i表示第i个待检测数据，j表示正常簇或者噪声簇(j＝1,2)，k表示正常簇或者噪声簇中的第k个元素，c表示正常簇或噪声簇中元素的总个数；

(2)阈值Threshold的计算公式是：其中D1表示正常簇中元素之间距离矩阵的下标，D2表示噪声簇中元素之间距离矩阵的下标，本公式将其他因环境变化产生的异常值不纳入DOS攻击检测中，为DOS攻击检测提供一个相对纯净的数据集。

与现有的技术相比，本发明的有益效果在于：

(1)现有的传感器网络入侵检测算法很多都采用聚类，贝叶斯等算法，这类算法往往需要控制输入数据的维数，因此选择哪些属性作为算法输入是一件很困难的事情，常常需要额外的PCA分析步骤。但对于随机森林算法而言，它能够处理检测特征维数很多的数据，并且不需要做特征选择。同时，随机森林具有模型泛化能力强，还能得出对分类结果比较重要的检测特征属性等诸多优点。因此，使用随机森林来检测DOS攻击可以省去很多工作。

(2)传感器检测节点除完成自己监测环境，上传感知数据外不需要参与入侵检测模块的活动，所有的入侵检测模块均在基站完成，这使DOS攻击检测方法不消耗节点额外的计算能力，存储能力和能量消耗，实现了轻量级的检测目的。

(3)利用正常数据和DOS攻击数据的检测特征A*表征相似，能成功的聚类在一起，为下一步的DOS攻击检测提供相对纯净的数据。同时，随机森林算法相较于其他机器学习算法有预测精度相对较高的优势。

附图说明

为了使本发明的目的、技术方案和有益效果更加清楚，本发明提供如下附图进行说明：

图1为无线传感器网络结构图；

图2为一种基于随机森林的无线传感网DOS攻击轻量级检测方法流程图。

具体实施方式

下面将结合附图，对本发明的优选实施例进行详细的描述。

图1为无线传感器网络结构图。以感知数据为中心的传感器节点不断采集周围的环境信息，并每隔一个时间间隙△t以无线多跳的方式发送监测数据给基站，基站将收到的监测数据生成上述的检测特征A和B。在刚开始的一段时间内假定只有正常数据和噪声数据，并将此作为训练集(整个数据集的五分之二)。本方法的检测过程仅部署在基站，该方法的流程图如图2所示。其步骤如下：

步骤一：对所有检测特征A和B进行z-score标准化，重命名为A*和B*，以消除不同量纲数据对聚类的影响。

步骤二：设定训练阶段初期只包含正常数据和噪声数据，从检测特征A*中取出训练集(整个数据集的五分之二)，采用K-Means++聚类算法划分正常数据集(即正常簇)和噪声数据集(即噪声簇)。

步骤三：取出上一步得到的正常数据所对应的检测特征B*加入10％攻击数据集组成随机森林的训练集，对随机森林模型进行训练。

步骤四：该步骤为检测阶段，待检测样本结合检测特征A*计算到正常簇和噪声簇的平均距离，当此距离大于预设的阈值(Threshold)时，说明这个异常数据可能是因为当地气候环境造成的异常数据，直接丢弃。否则，先判断是否距离噪声簇较近，若是则为噪声，否则使用该值对应的检测特征B*输入随机森林模型进行检测，直接根据检测结果判定是否发生DOS攻击。

最后说明的是，以上优选实施例仅用以说明本发明的技术方案而非限制，尽管通过上述优选实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其作出各种各样的改变，而不偏离本发明权利要求书所限定的范围。

Claims

1.一种基于随机森林的无线传感网DOS攻击轻量级检测方法，其特征在于：该方法包括以下步骤：

S1：无线传感器网络监测节点每隔一个固定时间间隔Δt收集一组监测数据，包括温度、湿度和电压，并以无线多跳的方式将其发送给基站，假定非网络攻击造成的监测数据包丢失在合理范围内，基站将收到监测数据集(V)；

S2：将监测数据(V)计算生成检测特征(A)和(B)，并对检测特征(A)和(B)进行Z-score标准化为检测特征(A*)和(B*)；

S3：采用K-Means++聚类算法结合检测特征(A*)，从数据集中取出五分之二作为训练集，聚类划分为正常簇和噪声簇；

S4：将正常簇所对应的检测特征(B*)和10％攻击数据集组成随机森林的训练集，并对随机森林模型进行训练；

S5：检测阶段：待检测样本(X)结合检测特征(A*)，计算到正常簇和噪声簇的平均距离当此距离大于预设的阈值(Threshold)时，此数据为其他如环境突变异常数据；否则，先判断是否距离噪声簇较近，若是则为噪声，否则直接使用该值所对应的检测特征(B*)输入随机森林模型进行检测，根据检测结果直接判定是否发生DOS攻击。

2.如权利要求1所述的一种基于随机森林的无线传感网DOS攻击轻量级检测方法，其特征在于：所述步骤S1中，基站收到的n组监测数据集V＝{v₁,v₂,…,v_n}，每组监测数据集有w维属性。

3.如权利要求2所述的一种基于随机森林的无线传感网DOS攻击轻量级检测方法，其特征在于：所述步骤S2中，定义每个时间间隔内监测数据集的均值为g＝{g₁,g₂,...,g_w}，w为每组监测数据集的维属性，其中定义每个时间间隔内监测数据集的标准差为σ＝{σ₁,σ₁,...,σ_w}，其中定义检测特征A为向量(g,σ)；定义每个时间间隔内监测数据集的特征为e＝{e₁,e₂,...,e_w},其中m为网络监测节点个数，定义每个时间间隔内监测数据集的特征为r＝{r₁,r₂,...,r_w},其中定义检测特征B为向量(e,r)。

4.如权利要求3所述的一种基于随机森林的无线传感网DOS攻击轻量级检测方法，其特征在于：所述步骤S2中，每组监测数据中每一维数据的Z-score标准化为：

5.如权利要求1所述的一种基于随机森林的无线传感网DOS攻击轻量级检测方法，其特征在于：所述步骤S3中，k-means++算法包括以下步骤：

S32：对于数据集中的每一个点x，计算它与最近聚类中心的距离D(x)；

S34：重复S32和S33直到k个聚类中心被选出来；

S35：利用这k个初始的聚类中心来运行标准的k-means算法。

6.如权利要求1所述的一种基于随机森林的无线传感网DOS攻击轻量级检测方法，其特征在于：所述步骤S4中，随机森林是一个组合的分类器，其基本组成单元是K个决策树{h(X,θ_k),k＝1,2,...,k}，K个决策树进行集成学习后得到随机森林；当使用者输入待分类样本时，每个决策树会对其进行分类，随机森林对每个决策树的分类结果进行统计，以多者决定样本属性；决策树中的{θ_k,k＝1,2,...,k}是一个随机变量，它是由随机森林算法的两个主要随机化思想所决定的：

(1)Bagging思想：每棵决策树有放回的从原数据集X中随机选取K个与原数据集同等维度的训练数据集，每个训练数据集构造一棵对应的决策树；

(2)特征子空间思想：决策树中的每个节点在进行分裂时，等概率从待测样本的全部属性中随机的选择一个属性子集，随后再从这个属性子集中抽取一个最优的子属性来分裂决策树节点；在这个过程中，属性子集的抽取和最优子属性的选择过程都是独立进行的，且总体都是一样的，是一个独立同分布的随机变量序列；随机森林算法的训练过程即所属各个决策树的训练过程，且各个决策树之间的训练是一个相互独立，互不影响的过程；为了提高随机森林模型的生成效率，训练过程可采取并行化处理方式；

7.如权利要求1所述的一种基于随机森林的无线传感网DOS攻击轻量级检测方法，其特征在于：所述步骤S5中，