西安电子科技大学学报 ›› 2024, Vol. 51 ›› Issue (4): 206-225.doi: 10.19665/j.issn1001-2400.20231202
随着计算机、通信技术的不断发展,网络经常面临各种各样的攻击。无线传感器网络(Wireless Sensor Network,WSN)的分布式和无线传输等特性使其易于遭受网络攻击,为WSN安全防护方案设计带来了严峻考验。入侵检测是一种积极主动的安全防护技术,是网络攻击检测的重要手段,是保障WSN网络环境安全的关键技术。近年来,机器学习方法在许多领域都取得了巨大的发展,在WSN入侵检测领域取得了一定的应用研究成果。为了便于对WSN入侵检测技术进行深入研究,从WSN的特点和WSN入侵检测研究的独特性出发,对近些年该领域的相关研究进行分类综述。首先,简要介绍了WSN所面临的挑战和发展现状。然后,根据WSN的特点分析了入侵检测在WSN中设计时面临的挑战。随后对WSN入侵检测相关研究进行文献综述与分类,重点对基于机器学习的应用研究方法进行分类论述与探讨。最后,讨论该研究方向未来发展前景与方向,为推动WSN入侵检测领域深入研究与实际应用提供参考。
JIANG Laiwei, GU Haiyang, XIE Lixia, YANG Hongyu. Research on the application of machine learning to intrusion detection in WSN[J]. Journal of Xidian University, 2024, 51(4): 206-225.
攻击类型 | 所属层 | 攻击特点 |
干扰攻击 | 物理层 | 通过产生干扰信号来干扰、破坏或阻止设备的正常通信。 |
耗尽攻击 | 链路层 | 通过消耗目标资源或节点能量使其无法正常运行,主要手段为在报文传输过程中创建路由环路或延长传输路径。 |
碰撞攻击 | 链路层 | 在通信过程中通过干扰导致数据包碰撞或通信失败。这种攻击不会消耗攻击者太多的能量,但是会导致网络中断,且难以被检测。 |
漏洞攻击 | 网络层 | 攻击发生在消息路由过程中,簇头是其攻击的主要目标。该攻击可能导致数据泄露、系统瘫痪、节点被劫持等后果。 |
Sybil攻击 | 网络层 | 通过从单个当前节点创建多个节点id模拟传感器节点的存在,从而获取非法访问和控制权。 |
黑洞攻击 | 网络层 | 攻击者扮演簇头的角色,在BS之前接收传递的数据包并将所有数据包丢弃,从而使数据包无法传输到正确的目的地。 |
灰洞攻击 | 网络层 | 攻击者将对其他节点发出自己作为簇头节点的消息,从而在接收到其他节点的数据包后选择性丢弃一些数据包。 |
调度攻击 | 网络层 | 通过干扰、修改调度的方式或顺序使数据包发生冲突,从而导致数据丢失。 |
洪泛攻击 | 传输层 | 通过向传感器发送大量错误或无效的数据包从而消耗节点能量和网络资源。 |
文献 | 改进/使用传统 机器学习技术 | 数据预 处理/处理 | 特征选择 /提取 | 公开数据集 | 性能指标 |
[ | MSVM | IMOPSO | KDD CUP’99、 CIDD、 NSL-KDD 19 | Acc,FP、Number of Features | |
[ | FSVM | 归一化,PCA | DKFCM | WSN-DS | TP、FP、TN、FN、Precision、FPR、FNR |
[ | SVM | TP、FP、TN、FN、Acc、Recall、Precision | |||
[ | SVM | 归一化 | GWO | NSL-KDD’99 | Acc、Number of Features、Execution time、DR、FAR |
[ | SVM | RBM | NSL-KDD | Acc、DR、FAR、MAR | |
[ | SVM | KDD CUP’99 | Acc、TPR、FNR、DR | ||
[ | KNN | UNSW-NB15 | Acc、FPR、ROC、CPU running time | ||
[ | KNN | 数值化、归一化 | WSN-DS | TP、FP、TN、FN、Acc、FPR、DR、fitness | |
[ | KNN | 数值化、归一化 | NSL-KDD、 UNSW-NB15 | TP、FP、TN、FN、Acc、FAR、DR、fitness | |
[ | C4.5 | Acc、classification accuracy | |||
[ | C5.0 | 信息增益、 BiLSTM | KDD CUP’100 | TP、FP、TN、FN、FPR、DR、Acc、FNR | |
[ | XGBoost | CICIDS 2017、 WSN-DS | TP、FP、TN、FN、Acc、FAR | ||
[ | XGBoost | CICIDS 2017、 NSL-KDD | TP、FP、TN、FN、Acc、Precision | ||
[ | LightGBM | SMOTE-Tomek、 Min-Max | 递归特征消除、 SHAP | WSN-DS | Acc、TP、FP、TN、FN、Precision、Recall、F-measure |
[ | LightGBM | DATA MAPPING、 Min-Max | SBS | WSN-DS | TP、FP、TN、FN、F-measure、Acc、Recall、F-measure |
[ | LightGBM | 互信息 | WSN-DS | Acc、DR、FPR、Precision、PT、TT | |
[ | LightGBM | 独热编码、归一化、 Smote、Tomek-Link | Pearson相关系数、 信息增益比 | WSN-DS | Precision、Recall、F-measure、Acc、ROC |
[ | RF | 归一化 | NSL-KDD | TP、FP、TN、FN、TPR、FPR、Precision、Acc | |
[ | RF | SMOTE | KDD CUP’99 | TP、FP、TN、FN、Acc、Precision、training time、testing time | |
[ | KSOM | 归一化 | PSO | DR、FPR、detection time | |
[ | SOM | 归一化 | |||
[ | c-means | Min-Max | NSL-KDD | TP、FP、TN、FN、Recall、Acc、Precision、F-measure、Specificity | |
[ | k-means | 归一化 | 改进的深度 稀疏自编码器 | KDD CUP’99 | DR、FPR、ROC |
文献 | 改进/使用 深度学习技术 | 数据预处理/处理 | 特征选择/提取 | 公开数据集 | 性能指标 |
[ | BiLSTM | BiLSTM、 信息增益 | KDD CUP’100 | TP、FP、TN、FN、FPR、DR、Acc、FNR | |
[ | CGAN | CICIDS 2017、 NSL-KDD | TP、FP、TN、FN、Acc、Precision | ||
[ | CNN | WOA-ABC | NSL-KDD | Acc、Execution time、DR、FAR、TP、FP、TN、FN | |
[ | CNN、GRU | 数值化、Min-Max | CNN | WSN-DS | TP、FP、TN、FN、Acc、FPR、TPR |
[ | LSTM | 归一化 | EECA | CICIDS 2017、 NSL-KDD、 UNSW NB2015 | TP、FP、TN、FN、Precision、Acc、FAR、FPR、TPR、Recall、F-measure |
[ | BiLSTM | 独热编码 | BiLSTM | WSN-DS | TP、FP、TN、FN、Acc、DR、FDR |
[ | LSTM | 数值化、Min-Max | WSN-DS | Acc、Precision、Recall、specificity、F-measure | |
[ | GRU | 数值化、Min-Max | WSN-DS | TP、FP、TN、FN、Acc、Precision、Recall、Specificity、F-measure | |
[ | EESNN | 核相关方法 | BCOMA | WSN-DS | TP、TN、FP、FN、F-measure、Acc、Precision、Specificity、Recall、error rate |
[ | GAN | 数值化、 Min-Max、 独热编码 | WSN-DS、 KDD99、 UNSW-NB15 | Precision、Recall、F-measure、FPR | |
[ | ANN | Min-Max | TP、FP | ||
[ | ANN | PSO | WSN-DS | Acc | |
[ | ELM | 数字化、归一化 | NSL-KDD、 UNSW-NB15 | TP、FP、TN、FN、Acc、TPR、FPR、FNR | |
[ | ELM | CICIDS 2017 | TP、FP、TN、FN、Precision、Recall、F-measure、ROC | ||
[ | CCR-ELM | Min-Max | BCOA | WSN-DS | Acc、Specificity、F-measrue、AUC、Sensitivity、computational time |
[ | MLP | 独热编码 | WSN-DS | TP、FP、TN、FN、Recall、Precision、FPR、F-measure | |
[ | DNN | 互相关方法 | NSL-KDD | TP、FP、TN、FN、Recall、Precision、Recall、FPR、F-measure | |
[ | BPNN | NSL-KDD、 UNSW-NB15 | TP、FP、TN、FN、TPR、Recall、Precision、Acc、FPR |
数据集 | 获取途径 | 特点 | 缺点 |
WSN-DS[ | | 包含18个特征属性和1个标签字段,通过仿真模拟WSN环境收集数据,包含正常数据和4种DoS攻击(Blackhole攻击、Grayhole攻击、Flooding攻击、Scheduling攻击),是WSN的专用数据集。 | 包含的攻击类型较为局限。 |
KDD CUP’99[ | | 包含41个特征属性和1个标签字段,将所有观察结果标记为正常或4种攻击之一(DoS攻击、R2L攻击、U2R攻击、Probe攻击)。 | 攻击数据是通过仿真和人工数据生成,不是网络真实数据;缺少详细的注释和对攻击类型描述;数据过时,且存在冗余、缺失值。 |
NSL-KDD[ | | 特征属性和标签字段的数量与KDD CUP’99相同,删除了KDD CUP’99中多余的数据。 | 虽然是KDD CUP’99的改进版本,但是仍然不能完全代表真实的网络数据。 |
UNSW-NB15[ | | 共有49个特征,其中包含2个标签字段。包含真实的网络数据和合成的异常流量数据。攻击类型包括Analysus、Backdoor、DoS、Exploits、Fuzzers、Generic、Reconnaissance、Shellcode、Worms。 | 虽然包含网络真实数据,但是仍然存在合成数据,不能完全反映真实网络环境。 |
CICIDS 2017[ | | 包含80个特征和一个标签字段,是基于真实网络环境收集的,包含了多种类型的网络流量数据,也包含多种攻击类型,同时包含详细的特征定义,规模较大。 | 规模大且分散,包含大量冗余数据。 |
