3.2 相关工作

入侵检测作为一种积极主动的安全防护技术，提供了防范内部攻击、外部攻击的能力。入侵检测技术是无线传感器网络安全研究的重点与难点之一，已经得到国内外研究人员的积极关注并已有大量文献发表。在中国知网、ACM、IEEE Xplore、Engineering Village、ScienceDirect、Web of Science、SpringerLink等数据库中能查到的有关无线传感器网络入侵检测的文献近500余篇。典型的方法和技术主要有流量预测[55，56]、基于安全协议的入侵检测系统[57]、异常检测[58-60]、相似观测结果分组[61]、检测接收功率异常[62]、移动代理[63]、马尔可夫线性预测[64]、支持向量机[65-67]、误用检测[68]、协同防御[69]、组合粒子群优化和径向基函数[70]、生物免疫[71，72]、判断接收信号强度值[73]、危险理论[74]、散列预测[75]、蚁群优化[76]、核Fisher判别分析[77]、局部联系对比搜索[78]、基于区域的节点欺骗检测[79]、计数器对称加密[80]等。

然而，运行入侵检测系统本身就需要较多的计算资源，面对无线传感器网络节点资源有限的现状，如何真正地将入侵检测系统应用到无线传感器网络是一个很有挑战性的问题。近年来，博弈论为入侵检测的研究提供了新颖的思路。将博弈论应用于入侵检测领域，可以在入侵者和入侵检测系统之间建立利益冲突的数学模型，在考虑有限资源的基础上权衡不同策略带来的开销，对入侵检测系统进行是否启动的决策，从而提高入侵检测系统的效率。

当前，已有多种博弈类型被用于包括无线传感器网络在内的不同网络环境下的入侵检测研究，主要包括非合作完全信息静态博弈[49-52，81-83]、重复博弈[45，53，84，85]、贝叶斯博弈[47，86-91]，但研究何时启动入侵检测系统的文献并不多见。

Liang和Xiao[92]分别从非合作博弈和合作博弈角度综述了博弈论在网络安全中的应用。Manshaei等人[93]分别在物理层安全、自组织网络安全、入侵检测系统、隐私保护、网络安全经济学、密码学6个领域综述了博弈论的应用。作者等人[94]综述了博弈论在无线传感器网络安全方面的应用，其中包括无线传感器网络入侵检测领域。Javidi和Aliahmadipour[95]综述了如何应用博弈论改善Ad Hoc网络中的入侵检测系统。

周四清等人[84]提出的无线传感器网络入侵检测重复博弈模型被用于检测和响应传感器节点的自私行为以加强网络节点的协作性能，利用传感器节点与其邻居节点进行的重复博弈过程，广播传感器节点的效用值，从而即时检测出无线传感器网络节点的自私行为。并引入惩戒机制惩罚无线传感器网络节点的自私行为，从而大大降低了传感器节点背离合作的可能性。李奕男等人[52]将非合作完全信息静态博弈引入到Ad Hoc网络的入侵检测系统中，建立了入侵检测博弈模型并得到了该模型的纳什均衡解。该模型能有效提高入侵检测率，降低误检率且网络开销较小。石进等人[81]利用非合作完全信息静态博弈处理入侵检测系统响应的收益及攻击者策略变化等问题，提出了一种动态入侵响应模型，得到了稳定、可靠的最优解。陈行和陶军[86]应用贝叶斯博弈研究无线网络中入侵检测参数调整问题，根据入侵检测博弈模型中的完美均衡设计了入侵检测时间间隔调整算法和参数修正算法，这些算法有效地帮助无线网络入侵检测系统检测出发生变化的恶意攻击行为。王静等人[90]将基于贝叶斯博弈并结合节点激励机制的入侵检测模型运用于一种改进的安全路由协议，有效地抑制了节点的自私行为。严辉等人[85]利用重复博弈提出了一种适用于Ad Hoc网络的入侵攻击预测模型。通过建立入侵检测系统和入侵攻击者之间的博弈模型，计算阶段博弈的经典纳什均衡，并得到了重复博弈情况下的子博弈精炼纳什均衡，再使用最优反应均衡模型预测入侵攻击者和入侵检测系统在博弈阶段中选择不同策略的概率。赵柳榕等人[96]将博弈论用于建立虚拟专用网（VPN）和入侵检测系统的信息安全技术组合模型，从而为阻止黑客入侵和降低信息安全技术配置成本提供优化策略。Chen和Leneutre[51]利用非合作完全信息静态博弈建立拥塞攻击者和受攻击网络之间的模型，当达到纳什均衡时，实现通过增加拥塞攻击者的能量消耗促使其快速死亡的防范策略。在Huang等人[50]提出的马尔可夫IDS（Markovian IDS）中，将非合作完全信息静态博弈与异常和误用检测相结合用于确定最佳的防护策略。Chen和Leneutre[82]将利用非合作完全信息静态博弈得到的理性攻击者和入侵检测系统的最优策略用于入侵检测系统的设计和部署中。Kantzavelou和Katsikas[53]利用重复博弈建立内部攻击和入侵检测系统之间的博弈模型，将一般的纳什均衡扩展到随机最优反应均衡（Quantal Responsse Equilibrium）来预测内部攻击者的行为。Zhu等人[91]利用动态贝叶斯博弈建立了一个动态入侵检测自动响应系统，为入侵检测系统的配置提供了最优的配置方案。Rafsanjani等人[87]将贝叶斯博弈用于确定何时启动入侵检测系统的阈值，一旦攻击概率超过该阈值，将启动节点上的IDS服务。Bedi等人[97]将博弈论用于分布式拒绝服务攻击领域，为防御者在如何设置防火墙方面提供优化策略，以便有效阻止恶意数据流和保证正常数据流的通过。Shamshirband等人[98]建立了包含Sink节点、基站、攻击者3个参与者的策略博弈模型，当无线传感器网络某节点流量超过限定的阈值时启动该模型，再利用合作博弈和模糊Q-learning算法为Sink节点和基站合作防御拒绝服务攻击提供了优化策略。Moosavi和Bui[99]利用“非零和不完全信息随机博弈”（Nonzero-sum Discounted Stochastic Games with Incomplete Information）分析无线传感器网络中的入侵检测问题，在参与者信息不确定的情况下给出了一种鲁棒的优化防御策略。而Zonouz等人[100]利用模糊逻辑理论（Fuzzy Logic Theory）分析网络级安全事件的基础上，采用“斯塔克尔伯格随机博弈”（Stackelberg Stochastic Game）得到了优化的入侵响应策略。

信号博弈在无线网络领域已有一些应用。刘玉枚等人[101]利用信号博弈解决P2P网络系统资源交易中存在的不完全信息问题，提出了一种资源定价机制。通过建立信号博弈模型模拟信息的不完全性，使得系统资源的需求者能区分所需资源质量，并通过引入一种调价机制实现资源价格调整。陈亚睿等人[102]针对云计算环境下如何确定不可信云终端用户并合理分析云用户的异常行为问题，提出了一种基于信号博弈的用户行为模型，在考虑入侵检测系统存在误报和漏报的情况下，利用“多阶段博弈”分析云终端用户的类型，结合用户的当前行动和历史行动，实现准确地推断云终端用户类型，为主动安全机制提供了理论基础。Patcha和Park[103]在基于主机的Ad Hoc网络入侵检测系统中利用信号博弈建立博弈模型，但未深入研究该模型的特性，如模型是否存在均衡点等。Wang等人[104]研究无线传感器网络中恶意节点和正常节点之间的共存问题。实际上，即使一个恶意传感器节点已被准确检测，但也许它自身并不知道已被列入恶意节点，因此它可能通过伪装自己的方法表现出正常节点的功能。这样，这种恶意节点仍旧可以被保留并使用，从而为恶意节点和正常节点都能带来收益。在这样的背景下，他们提出利用信号博弈建立恶意节点的检测模型，并得到了模型的纯策略和混合策略纳什均衡。随着博弈的持续，他们根据贝叶斯规则进行“推断”值的更新，并证明了这个动态的恶意节点检测博弈模型具有完美贝叶斯均衡。Estiri和Khademzadeh[105]针对无线传感器网络中的丢包攻击，利用信号博弈建立攻击者和节点之间的博弈模型，将攻击者和节点之间的交互关系通过不完全信息动态博弈进行描述，证明了该模型存在完美贝叶斯均衡，同时，说明了达到均衡点即得到了优化的防御策略。Li等人[106]利用不完全信息动态博弈分析Ad Hoc网络正常节点和恶意节点之间的交互关系并建立了相应的博弈模型。其中正常节点根据对手的行为更新自己的“推断”值，给出是否报告恶意节点的理性决策。另一方面，恶意节点通过评估自己被捕获的风险来决定何时逃离以避免被惩罚的策略。Maia等人[107]针对延迟容忍网络中大多数路由协议未考虑能量消耗的情况，利用信号博弈建立了多路数据转发模型，给出了基于目标节点累积能耗的路由优化策略。Paramasivan等人[108]利用信号博弈分析正常和恶意节点的行为，通过使用完美贝叶斯均衡（Perfect Bayesian Equilibrium）策略，最小化了恶意节点的收益，促进了正常节点的相互合作。

与上述相关工作相比，本章采用信号博弈建立“成员传感器节点”与“簇头入侵检测代理”之间的博弈模型，并通过计算得到“阶段入侵检测博弈”的纯策略和混合策略贝叶斯均衡以及“多阶段动态入侵检测博弈”的混合策略完美贝叶斯均衡，这些均衡将为“簇头入侵检测代理”给出何时选择动作Defend的最优策略。本章思想部分来自文献[104]中的恶意传感器节点检测博弈模型，但在构建博弈的支付矩阵时，本章考虑了入侵检测系统的检测率和误报率，而他们[104]考虑的是通道的不可靠性和恶意传感器节点成功攻击的概率。因此，与文献[104]相比较，本章得到了不同的均衡结果。另外，本章内容集中于利用信号博弈决定无线传感器网络入侵检测系统何时启动的策略问题，而上述相关工作大都研究的是Ad Hoc网络环境。最后，本章使用与上述相关工作不同的网络模型，将入侵检测代理驻留在每个传感器节点上，但仅有簇头上的入侵检测代理根据信号博弈结果进行启动，这种网络模型非常有利于无线传感器网络的能量节省。