基于核Fisher判别分析的无线传感器网络入侵检测算法

　　无线传感器网络( WSN) 是由部署在检测区域内大量的廉价微型传感器节点组成，通过无线通信方式形成的一个多跳的自组织网络系统，其目的是协作地感知、采集和处理网络覆盖区域中感知对象的信息，并以无线通信的方式发送给观察者。无线传感器网络应用极其广泛，可用于军事侦查、环境监测和医疗卫生等众多领域[1]。

　　无线传感器网络一般部署在无人值守的环境中，网络部署区域的开放特性和无线通信的广播特性给网络带来了极大的安全隐患[2-3]。尽管对传统网络入侵检测技术的研究已较为成熟，但是由于无线传感器节点资源( 如电源能量、通信能力和计算能力等) 严重受限，使得传统网络中各种入侵检测技术无法运用在无线传感器网络中。

　　目前针对无线传感器网络入侵检测提出了不少方法，常见的方法包括以下几种。Denning[4]提出了五种统计分析方法，其中常用的有操作模型和基于马尔科夫模型。操作模型主要针对系统中事件计数进行度量，当需要进行分析的某个参数超过阈值的时候，就认为发生了异常。基于马尔科夫模型将不同类型的事件定义为状态变量，并用状态转移矩阵描述状态之间的转移概率。该模型可以发现异常的用户命令和事件序列，而不仅仅局限于单个事件，它研究的对象往往是一些离散的事件流。Wenke Lee研究组和Stephanie Forrest 研究组[5]主要是使用数据挖掘的分析方法，采用人工智能、机器学习等技术高度自动化的分析原有的数据，做出归纳性的推理，并从中挖掘出潜在的模式，预测出行为。除了以上检测方法外，还有利用神经网络、优先状态自动机、计算机免疫系统和基于代理等技术进行无线传感器网络的入侵检测[6]。

　　本文提出了一种基于核Fisher 判别分析的无线传感器网络入侵检测算法，利用核Fisher 判别分析对比传感器节点数据和已建立的入侵行为特征来判断是否存在入侵行为。实验表明: 本算法具有较低的误报率和较高的检测精度，同时也能降低检测节点的能量消耗。

　　1 无线传感器网络入侵检测模型

　　本文中的无线传感器网络模型是一个被均匀的部署在某区域的无线传感器网络。这个网络可以划分为若干个簇。每个簇内的节点又可以划分为簇头节点和普通节点，簇头节点负责协调和控制簇内节点及其数据的融合，同时还要负责和Sink 节点的通信。该网络模型如图1 所示。

　　其中Sink 节点不受电量、存储空间和计算能力等的限制，可以单独运行一套复杂的入侵检测算法。由于该节点收集的信息比其它节点收集的信息要完整和全面的多，所以它能够更容易的检测出网络中存在的入侵行为。一旦Sink 节点检测出网络的异常行为，就会通过消息通知相应的簇头节点，簇头节点在收到来自Sink 节点的消息后，会将此消息在簇内进行广播，这样簇内所有的节点就都会收到参数调整的消息，之后簇内入侵检测算法的参数就会得到相应的调整，检测节点就会用新的参数进行检测。