مقاله تشخیص نفوذ ترکیبی با خوشه بندی و تصمیم گیری چند معیاره در شبکه حسگر بی سیم

بخشی از مقاله

چکیده

با رشد روز افزون تکنولوژي و شبکههاي حسگر بیسیم، انواع حملات نیز بیشتر شده است. چالشهاي امنیتی موجود در شبکههاي حسگر بیسیم منجر به طراحی انواع سیستمهاي تشخیص نفوذ شده است و در روش پیشنهادي ما از الگوریتم لیچ براي خوشهبندي و از تکنیک تصمیمگیري چند معیاره براي تشخیص نفوذ استفاده شده است. براي کارایی بهتر الگوریتم لیچ، انرژي اولیه گرهها را همگن در نظر میگیریم و براي تصمیمگیري بهتر از چند پارامتر جهت تشخیص استفاده میکنیم و براي بالا بردن میزان تحمل پذیري شبکه نیز تشخیص نفوذ را بصورت توزیع شده اعمال میکنیم. در روش پیشنهادي نرخ انتقال بسته، میانگین انرژيباقی مانده گرهها و تعداد بستههاي گم شده بهبود یافته است .

-1 مقدمه

تاریخچه شبکههاي حسگر را به دوران جنگ سرد و ایده اولیه آن را به طراحان نظامی صنایع دفاع آمریکا نسبت میدهند. این نوع شبکهها کاربردهاي مختلفی دارند از جمله کنترل محیط، کاربردهاي نظامی، مراقبتهاي بهداشتی و سلامت، کاربردهاي نظارتی. یک شبکه حسگر متشکل از تعداد زیادي گرههاي حسگر است که در یک محیط به طور گسترده پخش شده و به جمعآوري اطلاعات از محیط میپردازند[1]لزوماً. مکان قرار گرفتن گرههاي حسگر از قبل مشخص و تعیین شده نیست.

چنین خصوصیتی این امکان را فراهم میآورد که بتوانیم آنها را در مکان هاي خطرناك یا غیر قابل دسترس رها کنیم. هر گره حسگر شامل اجزاي مختلفی مانند واحد پردازش، حافظه، باتري و .... است. قدرت واحد پردازش آن محدود بوده و قادر به تحلیل دادهها نمیباشد پس نیاز دارد براي تحلیل و آنالیز دادهها، مواردي را که سنس کرده را به ایستگاه پایه ارسال کند.[2] از طرفی واحد انرژي گرهها نیز محدود بوده و به علت قرار گرفتن در مناطق خطرناك و یا دور دست امکان شارژ آنها نیز وجود ندارد .در نتیجه، با در نظر گرفتن موارد فوق باید راهحلی براي بهینه کردن مصرف انرژي در گرهها پیدا کرد .[3]

بهترین راهحل ارائه شده در این زمینه ساختار سلسله مراتبی1 براي شبکه است یعنی شبکه را خوشهبندي کنیم و گرههاي هر خوشه، دادههاي خود را به سرخوشه خود منتقل کنند و سرخوشهها، دادهها را به همدیگر و یا به سینک2 ارسال کنند.[4] براي متعادل کردن مصرف انرژي در سرخوشهها، نیز انتخاب سرخوشهها بصورت دورهاي صورت گیرد. یکی از الگوریتمهاي بهینه براي این منظور الگوریتم خوشهبندي لیچ است .

از طرفی یکی از چالشهاي مهم دیگر در شبکههاي حسگر بیسیم، مسئله امنیت در آنها میباشد از آنجایی که از این نوع شبکهها در زمینههایی استفاده میشود که اطلاعات آنها، با ارزش هستند مانند کاربردهاي نظامی پس نیاز است روي انتقال دادهها نیز نظارت صورت گیرد تا در محیطی امن منتقل شوند از این رو بحث سیستمهاي تشخیص نفوذ مطرح شد. سیستم-هاي تشخیص نفوذ دستهبنديهاي مختلفی دارند.

یکی از انواع آنها تشخیص نفوذ مبتنی بر دادهکاوي است. در این مقاله سعی شده است روشی ارائه شود که هم از نظر مصرف انرژي بهینه باشد و هم نرخ تشخیص نفوذ بالایی داشته باشد به همین جهت از الگوریتم لیچ براي خوشهبندي شبکه و از روش تصمیمگیري چند معیاره براي تشخیص دقیقتر با در نظر گرفتن چند پارامتر  خوشهها را براي اندازهگیري میزان انحراف از یک خوشه در نظر میگیرد.

مهم بطور همزمان در تصمیمگیري استفاده شده است. روش جدید، حد آستانه شعاع خوشه را محاسبه میکند. دستهبندي دادهها در قسمت 2، کارهاي انجام شده، در قسمت 3، الگوریتم پیشنهادي، در  نیز با الگوریتم بهبود یافته روش نزدیکترین همسایگی صورت میگیرد. قسمت 4 آزمایشات انجام یافته و در قسمت آخر، نتیجهگیري شرح داده  پیچیدگی زمانی الگوریتم ارائه شده براي تشخیص نفوذ بصورت خطی میشود. است.[10]

2 کارهاي پیشین

نفوذ به مجموعه اقدامات غیر قانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر میاندازد، اطلاق میگردد. نفوذها به دو دسته داخلی و خارجی تقسیم میشوند. نفوذهاي خارجی از خارج شبکه به درون شبکه صورت میگیرد و و نفوذهاي داخلی از درون خود شبکه صورت میگیرد. روشهاي تشخیص نفوذ دو نوع هستند: روش تشخیص رفتار غیر عادي روش تشخیص مبتنی بر امضا.[5] ژائو و همکارانش، یک سیستم تشخیص نفوذ ارائه دادند که با استفاده از خوشهبندي، رفتارهاي غیر عادي در شبکه را تشخیص میدهد. در ابتدا شبکه را با الگوریتم خوشهبندي مبتنی بر تراکم و K–means خوشهبندي میکنند به این صورت نقاط ضعف الگوریتم K–means مثل یافتن k پوشش داده میشود.

سپس براي بررسی رفتارهاي هر خوشه، الگوریتم پیشنهادي خود را اعمال میکنند.[6] استتسکو و همکارانش، یک سیستم تشخیص نفوذ مبتنی بر همسایگی پیشنهاد کردهاند و دقت روش پیشنهادي را در تشخیص حملات انتخابی رو به جلو، جمینگ و سیل سلام ارزیابی کردهاند. نتایج حاصله نشان میدهد که این روش، از دقت بالایی برخوردار بوده و مخصوصاً هنگام سازش نودهاي همسایه با هم گره نفوذي بسیار کارا میباشد. در روش تشخیص نفوذ پیشنهادي، هر نود به عنوان یک عامل1 عمل میکند بطوریکه بر جریان اطلاعات در همسایگیاش نظارت میکند.[7] ژانگ و همکارانش، روشی ارائه دادهاند که روي تشخیص نفوذ و رفتارهاي آنومال در شبکههاي حسگر بیسیم تمرکز کرده است.

در واقع در روش ارائه شده الگوریتم خوشهبندي K–means بهبود داده شده است براي خوشهبندي گرهها، از الگوریتم K–means آنلاین استفاده شده است. آن ها به این نتیجه رسیده اند که پارامتر "فاصله" بهترین معیار براي تشخیص نفوذ در شبکه است چون تعداد کلاسترها در هر ناحیه میتواند تغییر کند.[8] ژانگ و همکارانش یک روش تشخیص نفوذ مبتنی بر خوشهبندي ترکیبی پیشنهاد دادند. در این روش ابتدا ماژول تشخیص بدرفتاري، داده را بررسی میکند سپس ماژول تشخیص آنومالی، آن را بررسی میکند. در مدل ارائه شده، ماژول تشخیص آنومالی با استفاده از روش خوشهبندي بدون نظارت2 ساخته میشود و الگوریتم خوشهبندي بدون نظارت نیز الگوریتم خوشهبندي K–means بهبود یافته است.

-3 روش پیشنهادي

به علت محدودیت در برد رادیویی گره هاي حسگر، همه آنها نمیتوانند بصورت مستقیم با ایستگاه پایه ارتباط داشته باشند بنابراین داده بصورت گام به گام ارسال میشود تا زمانیکه به ایستگاه پایه برسد. در مسیر ارسال غیر مستقیم ممکن است نفوذ صورت بگیرد. امروزه امنیت تبدیل به یک مسئله مهم در این نوع شبکهها شده است. از طرفی گرههاي حسگر داراي محدودیت منابع هستند که مهمترین آنها محدودیت در منبع انرژي می باشد. از این رو همواره یافتن راهکاري براي مصرف بهینه انرژي در این گرهها اهمیت داشته است.

روش پیشنهادي ما، دو فاز دارد:

- 1فاز خوشهبندي

- 2فاز تشخیص نفوذ

-1-3 فاز خوشهبندي

در بین پروتکلهاي ارتباطی ارائه شده براي خوشهبندي پروتکل لیچ به دلایل زیر از اهمیت ویژهاي در نزد محققان برخوردار است. اول اینکه خوشههاي شبکه به صورت تصادفی، تطبیقی و خودپیکربندي شده تشکیل میشوند. براي خوشهبندي از الگوریتم لیچ به علت متعادل کردن مصرف انرژي گرهها استفاده شده است.[11][12] همانطورکهقبلاً گفته شد، لیچ از روش ترکیب دادههاي هر خوشه و ارسال دادهي فشرده شده به ایستگاه پایه استفاده میکند. بدین ترتیب هم تعداد ارسال و دریافتها در شبکه کاهش مییابد و هم دادههاي زاید که به علت نزدیکی سنسورهاي یک خوشه به یکدیگر ایجاد میشوند، پیش از ارسال به چاهک حذف میگردند.

نوع ترکیب دادهها در لیچ ثابت نیست و بستگی به کاربرد شبکه سنسور بیسیم دارد. هدف این پروتکل ایجاد توازن در مصرف انرژي در گرهها است. راهحل استفاده از پروتکل لیچ است که مصرف انرژي را با خوشهبندي و انتخاب پویاي خوشهها توزیع میکند، بدین ترتیب که سنسورها به ناحیه هایی تقسیم می-شوند که هر ناحیه داراي یک سرخوشه است و پس از اتفاق یک رویداد سنسورهاي هر ناحیه، اطلاعات خود را به سرخوشه ارسال میکنند و سرخوشه این اطلاعات را مستقیم به چاهک میرساند.

الگوریتم لیچ به انتخاب شدن سرخوشهها به صورت تصادفی و با یک احتمال ثابت تاکید دارد. - تمام گرهها از احتمالی یکسان براي سرخوشه شدن برخوردارند. - گرهها همگن فرض میشوند - گرهها داراي انرژي اولیه یکسانی هستند - . در این الگوریتم سنسورها به صورت تصادفی در یک ناحیه توزیع میشوند. سنسورها ثابت در نظر گرفته میشوند. آنها در گروهها یا خوشههایی دستهبندي میشوند و هر گروه یک سردسته دارد، که هر ناحیه از طریق سرخوشهاش با چاهک که در مرکز شبکه قرار دارد به صورت مستقیم ارتباط برقرار میکند. به این ترتیب هم تعداد ارسال و دریافتها در شبکه کاهش مییابد و هم دادههاي زاید که به علت نزدیکی سنسورهاي یک خوشه به یکدیگر تولید میشوند حذف می-شوند.

گره براي سرخوشه شدن یک عدد تصادفی در بازه [0,1] انتخاب و عدد تصادفی مورد نظر را با حد آستانه T - s - مقایسه میکند. درصورتیکه عدد انتخابی کوچکتر از حد آستانه باشد گره در دور فعلی سرخوشه میشود. اگر سنسور در این دور سرخوشه نشود احتمال سرخوشه شدن خود را افزایش میدهد و این کار را تا زمانی ادامه میدهد که در دور آخر این احتمال به 1 برسد. گرههایی که هنوز در دوره فعلی سرخوشه نشدهاند متعلق به مجموعه G هستند ودر هر دور احتمال سرخوشه شدن آنها افزایش مییابد. در این رابطه r مشخص کننده دور فعلی است و مقدار اولیه آن صفر است. در رابطه - 1- 3 - فرمول این الگوریتم بیان شده است.

-2-3 فاز تشخیص نفوذ

موقعیت قرارگیري مهاجم هنگام خوشهبندي دو حالت دارد اینکه مهاجم سرخوشه باشد یا گره معمولی. به همین جهت در روش پیشنهادي، تشخیص در دو مرحله انجام میشود:

-1-2-3 تشخیص نفوذ در سرخوشه

در تصمیمگیري چند معیاره [13] به جاي استفاده از یک معیار براي سنجش بهینگی، از چندین معیار ممکن براي سنجش استفاده می گردد. در این روش نیز هر گره مجهز به یک کنترلر تصمیمگیري چند معیاره است که به ازاي ارسال هر بسته از بافر، احتمال جاسوسی فرستنده آن را با استفاده از پارامترهاي »زمان[14][15] « و »اختلاف مقدار[16] « و »انرژي باقیمانده گره[14][17][15] « تعیین مینماید. اختلاف مقدار در واقع اختلاف بین بیشترین مقدار قابل تولید در شبکه و بیشترین مقدار قابل تغییر توسط گرههاي مهاجم میباشدضمناً. در صورتی که احتمال جاسوسی در بسته دریافتی در حد متوسط یا بالا باشد، گره همسایهاي که ارسال کننده بسته میباشد، به عنوان گره مهاجم تشخیص داده میشود. هیچ بستهاي از طرف گره فعلی به آن گره ارسال نخواهد شد.

پس از تعریف پارامترها، قواعد لازم براي محاسبه احتمال جاسوسی نیز تعریف میشود. سپس گرهها را طبق آنها برچسب گذاري میکنیم. در راهکار تصمیمگیري چند معیاره پیشنهاد داده شده، از پارامتر "زمان" به عنوان یکی از پارامترهاي مهم جهت تشخیص میزان مخرب بودن یک گره حسگر استفاده شده است. جاسوسی در شبکههاي حسگر بیسیم از جنبههاي مختلف میتواند قابل توجه باشد. در آن جنبهاي از جاسوسی که در این مقاله مورد توجه واقع شده است، گرههاي حسگر داده هاي غیر واقعی را در شبکه تولید مینمایند و باعث اختلال در کار شبکه میگردند. در این حالت، یک گره حسگر مقدار خود از قبیل مقدار دما را بیشتر از حد معمول نشان میدهد تا اعلام نماید که حادثهاي از قبیل آتشسوزي یا انفجار در شبکه رخ داده است. به دلیل اینکه این گره با مرور زمان میزان حاد بودن شبکه را بیشتر از زمانهاي قبلی نشان میدهد، زمان میتواند یکی از مشخصههاي مهم در تشخیص میزان مخرب بودن آن گره در زمآنهاي مختلف شبیهسازي شبکه باشد.