3 глава (1219041), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

3.4.2.1 Параметры моделирования

Аналогично, симуляция БСС с древовидной топологией была проведена в симуляторе беспроводных сенсорных сетей Castalia. Оценка эффективности была сосредоточена на анализе PRR и IAT в различных условиях сети. Следующие параметры были выбраны для моделирования:

• Площадь территории БСС: 50х50 м², 200х200 м², 500х500 м²

• Одна базовая станция (в верхнем левом углу области)

• Количество узлов: 100

• Равномерное размещение узлов

• Древовидная топология

• Интенсивность отправки пакетов: 1 пакет в 1.5с (плотная БСС) или 15с (разреженная БСС)

• Пакеты передаются в соответствии с графиком без повторений

• Размер пакета: 10 Б-100 Б

• Скорость передачи данных: 100 Кбит\с, 250 Кбит\с (для графиков)

• Временное окно: 23 с (плотная БСС), 4 мин (разреженная БСС)

• Размер выборки для расчета пороговых значений: 15 значений

• Существует один узел с аномальным поведением

• Аномальное устройство передает на 20%, 50%, 80%, или 100% меньше пакетов от дочерних узлов

• Коэффициент затухания: 1,5-3, стандартное отклонение гауссова шума: 2,5-7 (все графики, приведенные ниже, были получены в условиях, когда коэффициент затухания был равен 2,4, а стандартное отклонение шума было 4)

• Уровень значимости: = 5% на СН.

3.4.2.2 Результаты симуляции

Во время фазы инициализации фиксируются значения параметров трафика для обнаружения аномального устройства. Критические значения для описанных выше интервалов были вычислены в соответствии с выражениями: (1.10) для мониторинга PRR, (1.16-1.17) для анализа IAT. На этапе обнаружения аномального действия, вновь полученные данные сравниваются с пороговыми значениями. Результаты сравнения по выражениям (1.10, 1.14), подаются в нечеткой системе вывода о том, происходит ли аномальное действие или нет.

Рисунок 3.8 показывает доли ложных тревог рассмотренных схем обнаружения в зависимости от размера пакета и сетевых условий. Средние доли ложных тревог возрастают с ростом плотности сети, с увеличением размера пакета или с увеличением фонового шума. Снижение скорости передачи данных значительно не влияет на количество ложных определений аномального поведения, но частота обнаружения возрастает. И в плотных и разреженных сетях схема нечеткой логики, которая учитывает PRR и IAT в комбинации, имеет достаточно низкую долю ложных тревог. Как и ожидалось, метод (1.18) имеет самый высокий уровень ложных срабатываний в обеих средах, так как он более чувствителен к промахам. Количество ложных тревог, индуцированных критерием на основе EWMA (1.19) возрастает с размером пакета, так как он менее надежен, особенно когда узлы страдают от перегрузки.

Рисунок 3.8 - Средние доли ложных тревог критериев IAT и предложенной схемы в зависимости от размера пакета, 100 узлов

Рисунок 3.10 показывает средний уровень обнаружения предлагаемой методики и пороговых значений (1.16-1.19), в зависимости от части управляющей трафиком (отбрасывание пакетов с 20, 50, 80, 100% от нормального значения) в плотной сети (в области 50x50м²) с интенсивностью отправки 1 пакет за 1,5 с и размером пакетов 10 Б и 100 Б на рис 3.9 а и рис. 3.10 b соответственно. Результаты были получены для «наихудшего» сценария, когда устройство с аномальным поведением меняет скорость передачи регулярно, т.е. уровень понижения является постоянным. В целом, частота обнаружения растёт и с увеличением масштаба аномального действия. Тем не менее, частота обнаружения правил (1.16 – 1.18) уменьшается, когда размер пакета больше, так как сеть легко перегружаются. Правило на основе EWMA (1.19) имеет посредственные результаты в обоих случаях, так как этот метод является эффективным, когда пакеты отбрасываются или добавляются нерегулярно. В «худшем случае» сценария, он обнаруживает аномальное устройство на короткий период времени, и затем адаптируется и перестает обнаруживать аномальное поведение.

В случае разреженной сети правила (1.16 – 1.19) не обнаруживают черной дыры, так как они основаны только на мониторинге IAT. Предлагаемый метод, основанный на комбинации трех параметров движения (ещё оценивается параметр FT – время передачи пакета), показал превосходную скорость обнаружения, независимо от размера пакета, при сохранении минимума ложных срабатываний.

Средний уровень обнаружения критериев в редкой сети (200x200 м²) с низкой интенсивностью движения (1 пакет в 15 с), показаны на рис. 3.10. с более регулярным транспортным потоком, правила (1.16 – 19) имеют схожие показатели обнаружения, независимо от размера пакета. Разница только количестве ложных тревог. Предложенная методика продемонстрировала лучший компромисс между числом ложных срабатываний и скоростью обнаружения по сравнению с другими методами. Как и в предыдущем случае, производительность критерия, на основе EWMA (1.19) ухудшается, так как он может обнаружить аномальное поведение в течение короткого периода времени, а затем адаптируется к интенсивности измененного трафика.

Рисунок 3.10 - Средняя доля обнаружения нечеткой схемы и критериев (1.16 - 19) в разреженной сети в зависимости от изменения доли ретранслируемого трафика с размером пакета: (а) 10 Б; (b) 100 Б

Хотя моделирование было сделано с помощью одного аномального устройства, производительность предложенного метода не ухудшается, если количество аномальных узлов возрастает, поскольку все узлы способны анализировать их входящий трафик самостоятельно.

Аналогичные расчеты были выполнены для БСС развернутой на 500x500 м² области с 1000 узлов, которые отправляли 1 пакет каждые 15 секунд. Результаты подтвердили масштабируемость предложенной схемы обнаружения аномального поведения. Они были близки к результатам моделирования, изображенным на рисунке 3.11.

Рисунок 3.11 – Средняя доля обнаружения аномального поведения схемой на основе нечеткой логики и критериями (1.16 - 19) в разреженной сети в зависимости от изменения доли ретранслируемого трафика с размером пакета: (а) 10 Б; (b) 100 Б

3.4.3 Обнаружение ложного добавления пакетов

Этот раздел посвящен моделированию сценария 4, когда аномальный узел посылает ложные пакеты с более высокой интенсивностью, чем нормальные устройства. При добавлении лишних пакетов может наблюдаться исчерпание ресурсов узла-приемника, невозможность отправки пакетов соседними устройствами вследствие занятости канала.

Манипулирование значительной частью потока данных может быть обнаружено с помощью анализа трафика и мониторинга PRR или IAT. Когда аномальное устройство увеличивает интенсивность передачи, по меньшей мере, на 50%, то этот факт надёжно определяется непосредственной пересылкой от узла, используя критерий (1.14) для PRR и (1.16 – 1.17) для IAT. Правила, основанные на сравнении значений параметров с его зарегистрированными минимальным и максимальным пороговыми значениями (1.18) и анализа метода средневзвешенных величин EWMA (1.19) недостаточно надёжны, они имеют высокий уровень ложных тревог, вызванный значениями-промахами. Кроме того, поскольку правило (1.19) адаптируется к изменяющимся условиям достаточно быстро, аномальный узел может предотвратить оповещение базовой станции о глушении канала или провоцировать коллизии с сигнальными пакетами только в течение короткого периода времени.

Как и в предыдущих случаях, метод обнаружения, основанный на анализе трафика, состоит из двух фаз. В фазе инициализации, узлы собирают данные о поведении своих соседей и вычисляют пороговые значения для PRR во временном окне и IAT согласно (1.14) и (1.16) соответственно, создавая тем самым профили нормального поведения. В основной фазе, каждый узел способен сравнить вновь полученные данные от своих дочерних узлов с ранее вычисленными профилями. Результаты сравнения затем обрабатываются нечеткой системой вывода, которая комбинирует выводы по каждому параметру трафика и получает окончательный вывод.

3.4.3.1 Параметры симуляции

Моделирование БСС с древовидной топологией было проведено в Castalia, как и в предыдущих разделах. Оценка эффективности была сосредоточена на анализе PRR и IAT при различных условиях сети. Следующие параметры были выбраны для моделирования:

• Площадь территории БСС: 50х50 м², 200х200 м²

• Одна базовая станция (в верхнем левом углу области БСС)

• Количество узлов: 100

• Равномерное размещение узлов

• Древовидная топология

• Интенсивность отправки: 1 пакет в 1.5 с и в 15 с в плотных и разреженных БСС соответственно

• Пакеты передаются в соответствии с графиком без повторений

• Размер пакета: 10 Б-100 Б

• Скорость передачи данных: 100 Кбит/с, 250 Кбит/с (для изображений)

• Продолжительность временного окна: 23 с (плотная БСС), 4 мин (разреженная БСС)

• Размер выборки для вычисления порогов: 15 значений

• Уровень значимости: = 10%

• Существует одно устройство с аномальным поведением

• Устройство с аномальным поведением увеличивает количество исходящих пакетов на 20%, 50%, или 80% по сравнению с нормальной интенсивностью отправки

• Коэффициент затухания сигнала: 1,5-3, стандартное отклонение гауссова шума: 2,5-7 (все графики, приведенные ниже, были получены в условиях, когда коэффициент затухания сигнала был равен 2,4, а стандартное отклонение шума было 4)

3.4.3.2 Результаты симуляции

Как и в предыдущих случаях, в течение фазы инициализации узлы фиксируют значения параметров трафика для обнаружения аномального устройства. Критические значения для описанных выше интервалов были вычислены в соответствии с выражениями: (1.14) для мониторинга PRR и (1.16 – 1.19) для анализа IAT. Процедура выявление аномально работающего устройства проста и полностью распределена, так как узлы не могут добавлять пакеты от имени других устройств. Ретранслирующие узлы контролируют поведение узлов источников, связанных с ними, и предупреждают, если они обнаруживают модель поведения, несовместимую с профилем, который был создан во время инициализации. Среди возможных вариантов для добавления пакетов наихудшим считается: отправка пакетов в обычном порядке, изменяя скорость отправки.

Рисунок 3.12 показывает средние доли обнаружений и ложных тревог критериев для параметров трафика в зависимости от размера пакета и количества произведенного трафика в плотной БСС, развернутой на площади 50x50 м², когда узлы обычно отправляют 1 пакет каждые 1,5 с , 3S- и 6S-правила (1.16, 1.17) для IAT, основанные на нормальном распределении, понизили производительность с ростом интенсивности трафика, вызванного перегрузками, независимо от количества пакетов, которые добавляет устройство с аномальным поведением. Правило (1.18), на основе сравнения с зарегистрированными в фазе инициализации минимальным и максимальным значениями IAT, имеет лучшую эффективность обнаружения аномального поведения и худшую долю ложных тревог, что близко к 16%, если размер пакета 50 Б и 100 Б. Этот критерий не жёсткий и производит большое количество ложных тревог. Правило на основе метода EWMA (1.19) показывает низкую эффективность обнаружения, поскольку оно приспосабливается к быстро изменяющимся условиям. Там нет разрывов или потерь трафика, которые метод EWMA способен достоверно обнаружить. Предложенная схема, которая сочетает точные пороговые значения для параметров трафика и нечёткую систему вывода, имеет низкую долю ложных тревог и высокую эффективность обнаружения, когда аномальное устройство манипулирует более чем 20% трафика.

Характеристики

Список файлов ВКР