基于非线性动态理论的无线传感器网络的数据流安全与入侵检测研究

课题名称：基于非线性动态理论的无线传感器网络的数据流安全与入侵检测研究申请人：何迪依托单位：上海交通大学3.1、课题简介（简要说明课题的目的意义、主要研究内容、预期目标等，字数要求1000字以内）随着无线通信技术、传感器技术和网络技术的飞速发展，无线传感器网络的研究正在国内外如火如荼地展开。而其中的数据流安全与入侵检测（IntrusionDetection）问题显得日益重要。入侵检测系统（IDS，IntrusionDetectionSystem）作为一种重要的安全部件，是网络与信息安全防护体系的重要组成部分，也将是无线传感器网络安全机制的重要补充。自上世纪八十年代被提出以来，入侵检测系统在近20多年间得到了很快的发展。特别是近几年，由于计算机网络非法入侵的不断增多，网络与信息安全问题变得越来越突出。入侵检测系统作为一种主动防御技术，越来越受到人们的关注。入侵检测系统首先通过在无线传感器网络或系统中的若干关键节点收集信息并对收集到的信息进行分析，判断网络或系统中是否有违反安全策略的行为和被攻击的迹象，然后根据分析结果采取决策并作出适当的响应。误用检测（MisuseDetection）和异常检测（AnomalyDetection）是无线传感器网络入侵检测系统最常使用的两种基本分析方法。在该课题中，我们将主要研究以下主要内容：(1)无线传感器网络数据流量的内部非线性结构与非线性特性，特别是网络在遭受异常入侵时其动态变化的原理，以及对原正常网络模型将产生的各种影响。(2)研究与探讨无线传感器网络流量的随机共振与混沌随机共振特性，以及基于该随机共振特性的无线传感器网络数据流安全机制与入侵检测算法。(3)建立一种或多种基于神经网络模型和支持向量机模型的无线传感器网络动态流量预测模型与相应的动态入侵检测分类算法。本课题的预期目标包括以下方面：(1)得到合理的混沌同步无线传感器网络入侵检测模型及算法，在通过实际数据检验的基础上完成计算机模拟分析软件。(2)找到合适的随机共振模型，得到有效的随机共振无线传感器网络入侵检测算法，在通过实际数据检验的基础上完成计算机模拟分析软件。(3)建立可靠的神经网络流量预测模型，以及基于支持向量机的网络入侵分类机制，完成计算机模拟软件。(4)在国内外高水平期刊和会议上发表学术论文6~10篇，申请国内外专利2~3项。(5)依托本课题的研究，培养博士生与硕士生5~8名。3.2、课题主要研究技术的国内外发展现状与趋势，课题主要研究技术国内外专利申请和授权情况目前看来，针对无线传感器网络的入侵检测系统研究还存在许多问题亟待解决，对入侵信号原理与特性的研究也不够深入，各种安全机制和产品的性能有待提高。具体说来，入侵检测系统目前存在的主要问题有：（1）检测效率比较低，误报警和漏报警的情况比较多；（2）对分布式攻击（DistributedAttack）和拒绝服务攻击（DenialofServiceAttack）的检测和防范措施与能力比较弱；（3）缺乏一个统一的检测性能衡量标准；（4）对入侵检测系统的测试评估缺乏统一的标准和平台。总的来说，无线传感器网络的入侵检测技术还不够成熟和完善，面临许多问题与困难，有很大的研究、发展空间，而现存的问题就是今后无线传感器网络安全机制和入侵检测技术的主要研究方向。当无线传感器网络的入侵检测系统首次被作为一种重要的网络安全技术被提出时，人们对它报以很高的期望。从理论上来说，入侵检测系统可以主动地检测到对系统或网络的入侵，并对这些入侵进行记录和响应，这是防火墙、身份识别和认证、加密解密等许多安全策略所不能做到的。因此，引入入侵检测系统可以弥补这些安全策略的不足之处，使得整个无线传感器网络安全体系更加完善。同时，由于无线传感器网络的规模不断扩大，应用范围也越来越广泛，系统遭受的异常入侵和攻击种类和数量越来越多，人们迫切需要一种更有效、可靠的防范和应对策略。目前，许多厂商纷纷开始研发相应的入侵检测产品，而许多科研机构和高校也正在对入侵检测系统进行深入的研究，入侵检测系统成为无线传感器网络与信息安全领域的一个研究重点。传统的网络入侵检测系统与技术虽然得到了较大的发展，但总的情况并不让人满意。最大的问题是现在的入侵检测方法检测准确率比较低，误报和漏报的情况比较多[1]。出现这种情况的主要原因在于对入侵检测系统和入侵信号的研究还不够深入，技术不够成熟。现在所使用的误用检测技术主要是对不正常的无线传感器网络行为进行建模和模式匹配，将每个已知的攻击事件定义为一个独立的特征，这样对入侵行为的检测就成为对特征的匹配搜索，如果和已知的入侵特征匹配，就认为是攻击。但由于新的网络入侵与攻击出现速度越来越快，这种基于模式匹配的检测方法需要不断的及时更新相应的数据库，否则不能动态地跟踪最新出现的网络入侵。异常检测技术则是对正常行为进行建模，而将不符合此模型的事件定义为攻击。现在异常检测的方法主要是统计模型，它通过设置极限阈值等方法，将检测数据与已有的正常行为比较，如果超出极限阈值，即认为是入侵行为。虽然现有的异常检测技术对静态数据具有较好的检测效果，但实时性的要求对其检测效率也构成了极大的挑战。现在无线传感器网络的规模越来越大，结构越来越复杂，网络的速度也在不断提高，特别是由于无线传感器网络自身所具有的自组织等特点，使得它与传统通信网络或计算机网络都有比较明显的区别。因此无线传感器网络入侵检测系统必须要能够适应大规模高速网络的要求，否则就会出现大量的漏报和误报现象。为了能够适应高速网的要求，不得不改进入侵检测系统中一些现有的技术，提出新的、可以应用于大规模高速无线传感器网络的入侵检测方法，对于适应新的应用需要，提高入侵检测系统的准确率非常必要。在本课题中，我们将提出多种基于非线性信号处理方法的无线传感器网络入侵检测技术，以解决当前异常检测技术中遇到的诸多问题与困难。在以往的研究中发现，无线传感器网络流量呈现出某些非线性动态特性，如具有短期可预测而长期不可预测性、具有较宽的类似白噪声的频谱特性、具有混沌吸引子等，这在某种程度上也说明了网络流量与混沌信号存在共性，无线传感器网络系统可被模拟为一种特定的混沌系统。当网络遭受外部入侵袭击时，入侵信号可被视为叠加在正常网络流量上的一个附加信号（类似于一个特殊的叠加噪声信号），其信号的强度（或信噪比）依不同的入侵信号而变化。根据混沌系统以及普适混沌系统的特性，当混沌信号中混有微弱的叠加噪声或干扰信号时，采用混沌同步或普适混沌同步方法可将该噪声信号或干扰信号准确、有效地提取出来[2]。由于网络流量与业务的多样性，对无线传感器网络流量的混沌系统建模至今仍无理想的结果。即便如此，普适混沌同步能够有效地克服这一困难。因为即使在混沌驱动系统结构未知的情况下，普适混沌同步系统仍可在不同的混沌结构之间实现同步，使得入侵信号的检测成为可能。与此同时，无线传感器网络流量还是一个动态的信号，具有某些随机信号的特征。当将其引入一个随机共振系统或混沌随机共振系统中时，会产生特定的共振图案或共振频谱[3~4]。而当网络流量信号中存在异常的入侵信号时，随机共振系统的输出图案或频谱将会与正常情况下有较大的区别。即使当入侵信号的幅度非常微弱（或其信噪比很低）时，随机共振系统的输出仍然具有一定的可辨识性。在某些入侵信号的干扰下，混沌随机共振系统的输出将不再具有混沌特性，而呈现出类似非混沌信号的窄带频谱特性。这就为基于随机共振或混沌随机共振原理的计算机网络入侵检测方法奠定了坚实的理论基础。常误警概率（CFAR，ConstantFalseAlarmRate）检测器是一种近年来在信号检测问题中比较常见的信号处理方法，因其在固定的误警概率条件下所具有的较高检测概率（DetectionProbability）而在许多工程领域得到广泛实际应用[5~6]。作为一种成熟的信号检测技术，常误警概率检测器已经成为雷达信号处理领域的通用标准，但至目前为止尚未出现该技术在无线传感器网络入侵检测领域的应用及相关报导。若将常误警概率检测方法与随机共振系统相结合，相信可在维持较低误警概率和提高网络入侵信号信噪比的基础上有效地改善检测性能，提高检测概率。从混沌动力学的角度来看，事实上许多混沌随机共振系统在其相空间（PhaseSpace）内都存在着双螺旋或多螺旋吸引子的结构。在没有外部加性干扰或噪声的情况下，混沌随机共振系统的状态变量运动轨迹都会在这些吸引子之间有规律地来回跳转。当状态变量本身所储备的势能已足够跳出当前所处的吸引子结构时，它的运动轨迹就会脱离当前的吸引子结构而进入其他的吸引子结构内，并等待下一次势能的积蓄。当系统受到外部噪声或干扰的影响时，将会对状态变量积蓄的势能产生影响。从另一个角度来看，外部噪声或干扰将对状态变量在吸引子之间跳转所需的势能门限值做出调整，从而改变共振系统的输出。因此，这种基于常误警概率和随机共振系统的无线传感器网络异常入侵检测方法具有理论上的可靠性与有效性。神经网络方法作为一种经典的非线性信号处理手段，已经在图像处理、无线通信、电路系统、自动控制等许多方面得到了实际而令人信服的应用[7~8]。特别是近年来，支持向量机（SVM，SupportVectorMachine）作为一类新提出的神经网络结构，在时间信号的建模、估计与预测方面，更体现出比一般线性方法具有更强的优势，例如它可更精确地模拟非线性系统的结构、更有效地降低预测和估计的误差，并且在实时性处理方面的性能也有很大改善[9~11]。无线传感器网络流量信号作为一种未知结构的非线性时间信号，与其它非线性信号具有许多共同的特点。而由于网络入侵信号自身的非法性，将对正常情况下的无线传感器网络流量信号预测和估计带来较大的偏差，这就使得基于神经网络预测模型的检测手段成为可能。同时，鉴于支持向量机模型在模式识别与分类系统中的应用，可建立相应的无线传感器网络误用检测分类方法，将不同的入侵信号归纳为不同的模型结构，以最终实现入侵检测的目的。综上所述，基于混沌同步与普适混沌同步、随机共振与混沌随机共振系统、神经网络和支持向量机结构的非线性信号处理方法可在无线传感器网络入侵检测问题中得到有效而实际的应用。这对于维护无线传感器网络安全，建立网络入侵检测的新机制和新方法，提高对多种类型入侵信号的检测概率等都将起到重要的作用。随着信息技术和无线传感器网络的应用在国民生产生活中所占的比重日益增加，该课题的研究也必将对国民经济和社会发展产生深远的影响。参考文献：[1]Y.B.BaiandH.Kobayashi,“Intrusiondetectionsystems:Technologyanddevelopment,”Proceedingsofthe17thInternationalConferenceonAdvancedInformationNetworkingandApplications2003,Xi’an,China,Mar.2003,pp.27-29.[2]G.Hu,L.PivkaandA.L.Zheleznyak,“Synchronizationofaone-dimensionalarrayofChua'scircuitsbyfeedbackcontrolandnoise,”IEEEtrans.CircuitsSyst.I.,vol.42,no.10,pp.736-740,Oct.1995.[3]S.MitaimandB.Kosko,“Adaptivestochasticresonance,”ProceedingsoftheIEEE,vol.86,no.11,pp.2152-2183,Nov.1998.[4]V.S.Anishchenko,V.V.Astakhov,A.B.Neiman,T.E.VadivasovaandL.Schimansky-Geier,NonlinearDynamicsofChaoticandStochasticSystems:TutorialandModernDevelopments.Spring-VerlagBerlinHeidelberg,2