3.1 引言

近年来，大量无线传感器网络基础理论和关键技术的研究为其大范围的应用奠定了基础，这些应用可包括人们日常生活的诸多方面。Akyildiz等人[2]将无线传感器网络的应用领域分为军事、环境、健康、家庭以及其他商业领域。可以说，在不久的将来，由大量低成本传感器节点组成的无线传感器网络将成为人们生活中必不可少的一部分。

类似于其他计算机网络环境，无线传感器网络安全虽然不是必需的功能，但提供这种安全机制是保证无线传感器网络可用和可靠的必然需求。当前，保证网络安全的机制主要包括预防（Prevention）和检测（Detection）两大机制。预防机制主要通过加解密、密钥管理、安全路由、安全数据融合等技术提供数据的机密性（Confidentiality）、完整性（Integrity）和真实性（Authentication）；而检测机制通常使用入侵检测系统（Intrusion Detection System）实现，典型的有DTRAB[41]。由于一个无线传感器网络可能包含大量恶意传感器节点，仅使用作为第一防线的预防机制不足以保证无线传感器网络的安全。这些恶意传感器节点的目的是在最小化被捕获概率的前提下最大化地破坏无线传感器网络的通信数据等，通过干扰无线传感器网络的正常工作和浪费正常传感器节点的珍贵资源获得利益。为了减少这些恶意节点造成的影响，无线传感器网络需要入侵检测系统检测那些已突破第一道防线的恶意传感器节点。通过使用入侵检测系统，使得无线传感器网络具备响应和隔离入侵者的能力，从而保证无线传感器网络的正常工作。

然而，要在无线传感器网络中资源有限的传感器节点上有效使用入侵检测系统，一个首先要解决的问题是如何选择合适的检测策略，因为这决定了无线传感器网络资源被消耗的程度。无线传感器网络中的传感器节点在计算能力、存储容量和通信带宽等方面与现存网络相比有很大的不足。尤其是目前大多数传感器节点采用电池供电，因此能量较少。另外，应用入侵检测系统本身就需要耗费较多的计算和能量资源，这对于传感器节点而言是一个很大的负担。虽然伴随着微电子技术、计算机网络通信的发展，无线传感器网络的计算等能力将逐步提升，但如何节省传感器节点资源的消耗始终是一个需要考虑的问题。

博弈论作为一种研究参与者之间竞争和合作关系的数学理论工具[21]，已广泛应用于网络安全领域，如P2P安全[42]、防御DOS攻击[43-47]和入侵检测[48-53]等。博弈论包含适合于不同状况的博弈类型，如果要研究的问题中参与者具有不完全信息且博弈过程具有多个阶段时，那么信号博弈是一种非常合适的博弈类型，因为这种博弈模型具有“推断”（先验概率或后验概率）值动态更新的能力。

无线传感器网络入侵检测问题中的恶意传感器节点和入侵检测系统之间的交互可以方便地应用信号博弈进行描述。一个无线传感器网络入侵检测系统通常包含监测和决策模块。监测模块主要用于检查无线传感器网络中的被监控数据信息，而决策模块用于判断这些被监控的数据信息是否合法。其中，被监控数据信息包含了正常和恶意传感器节点所有的行为信息。因此，从检查到决策的整个动态过程实际上就是恶意传感器节点和入侵检测系统进行交互的过程。通过信号博弈这种数学工具，能很好地描述出这种交互过程的本质，实现入侵检测系统优化防御策略的要求，达到改进入侵检测系统正收益和有效节约传感器节点能量消耗的目的。

本章将应用信号博弈描述并分析恶意传感器节点和无线传感器网络入侵检测系统之间的交互过程。其中，无线传感器网络使用分布—集中混合式（Distributed-centralized）网络结构模型且每个传感器节点上已安装入侵检测代理（Intrusion Detection Agent），这些入侵检测代理构成了整个无线传感器网络入侵检测系统。为了节省能量消耗和减少数据包碰撞，不是所有的入侵检测代理而是仅位于簇头上的入侵检测代理才可能被启动实现对恶意传感器节点的入侵检测。在每个独立的阶段，建立“阶段入侵检测博弈”（Stage Intrusion Detection Game）模型，探索该博弈模型纳什均衡存在的条件并将分别得到纯策略贝叶斯均衡和混合策略贝叶斯均衡。随着博弈的进行，通过构建“多阶段动态入侵检测博弈”（Multi-stage Dynamic Intrusion Detection Game）来反映恶意传感器节点和入侵检测代理之间的交互活动。在这个过程中，入侵检测代理将依据恶意传感器节点的行为动态地更新针对恶意传感器节点的“推断”值，从而相应地调整它的防御策略。另外，在得到“多阶段动态入侵检测博弈”的完美贝叶斯均衡的基础上，设计入侵检测运行机制和相应的算法。

在扩展作者前期工作[54]的基础上，本章工作主要包括以下内容：

（1）基于信号博弈构建一种“无线传感器网络入侵检测博弈”模型用于研究恶意传感器节点和入侵检测代理之间的策略选择，这个模型满足了入侵检测代理对传感器节点的类型（正常或恶意）未知的实际场景。

（2）建立并证明了“无线传感器网络入侵检测博弈”模型存在均衡的定理，这些定理为入侵检测代理在决定是否采取保卫（Defend）或空闲（Idle）策略时提供最优的策略，也就是说，使用这些最优策略将使入侵检测代理不必始终采取动作Defend，这样可以节省因采取动作Defend导致的能量消耗。

（3）基于完美贝叶斯均衡设计无线传感器网络入侵检测系统运行机制和相应的算法。

（4）构建模拟实验验证“多阶段动态入侵检测博弈”模型的有效性。

本章其余章节安排如下：3.2节综述相关工作并突出说明本章工作与其他相关工作的区别；3.3节描述分布—集中混合式无线传感器网络入侵检测博弈模型，包括“阶段入侵检测博弈”模型及其纯策略贝叶斯均衡及混合策略贝叶斯均衡、“多阶段动态入侵检测博弈”模型及其混合策略完美贝叶斯均衡以及提出基于混合策略完美贝叶斯均衡的入侵检测机制并给出入侵检测算法；3.4节通过实验分析“多阶段动态入侵检测模型”的特性；3.5节给出本章小结。

本章用到的符号含义如下：

θS表示“成员传感器节点”（Member Sensor Node）S，如果S是“正常成员传感器节点”，则θS＝0；否则θS＝1。

θR表示无线传感器网络“簇头入侵检测代理”R。

aS（θS＝0）表示“正常成员传感器节点”的动作。

aS（θS＝1）表示“恶意成员传感器节点”的动作。

AS（θS）表示“成员传感器节点”的动作空间。

aR（θR）表示“簇头入侵检测代理”R的动作。

AR（θR）表示“簇头入侵检测代理”R的动作空间。

gA表示“恶意成员传感器节点”的攻击收益。

gC表示“正常/恶意成员传感器节点”的合作收益。

gD表示“簇头入侵检测代理”R采取动作Defend的收益。

cA表示“恶意成员传感器节点”的攻击成本。

cC表示“正常/恶意成员传感器节点”的合作成本。

cD表示“簇头入侵检测代理”R采取动作Defend的成本。

lF表示“簇头入侵检测代理”R的误报损失。

α表示“簇头入侵检测代理”R的检测率。

β表示“簇头入侵检测代理”R的误报率。

p表示“成员传感器节点”是恶意节点的概率。

ρ表示“恶意成员传感器节点”采取动作Attack的概率。

δ表示“簇头入侵检测代理”R采取动作Defend的概率。

ρ*表示“恶意成员传感器节点”采取动作Attack的均衡概率。

δ*表示“簇头入侵检测代理”R采取动作Defend的均衡概率。

σS表示“恶意成员传感器节点”的策略。

表示“恶意成员传感器节点”的均衡策略。

σR表示“簇头入侵检测代理”R的策略。

表示“簇头入侵检测代理”R的均衡策略。

ρk表示“恶意成员传感器节点”在“阶段博弈”tk采取动作Attack的概率。

表示“恶意成员传感器节点”在“阶段博弈”tk采取动作Attack的均衡概率。

δk表示“簇头入侵检测代理”R在“阶段博弈”tk采取动作Defend的概率。

表示“簇头入侵检测代理”R在“阶段博弈”tk采取动作Defend的均衡概率。

表示“恶意成员传感器节点”在“阶段博弈”tk的策略。

表示“恶意成员传感器节点”在“阶段博弈”tk的均衡策略。

表示“簇头入侵检测代理”R在“阶段博弈”tk的策略。

表示“簇头入侵检测代理”R在“阶段博弈”tk的均衡策略。