陳深龍，張玉清

（1. 中國(guó)科學(xué)院研究生院 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心，北京 100049；2. 中國(guó)科學(xué)院研究生院 信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100049）

1 引言

Ad hoc網(wǎng)絡(luò)使用無(wú)線通信信道，擁有動(dòng)態(tài)的拓?fù)浣Y(jié)構(gòu)，沒(méi)有全局可見(jiàn)性且無(wú)法進(jìn)行中央控制，網(wǎng)絡(luò)中節(jié)點(diǎn)的計(jì)算、存儲(chǔ)和通信資源有限，這些特性使得 ad hoc網(wǎng)絡(luò)容易受到多種類(lèi)型的攻擊，如Rushing[1]、Worm hole[2]、Black hole[3]、Spoof[4]、數(shù)據(jù)修改[4]和不合作[4]等。

當(dāng)前已涌現(xiàn)諸多研究成果以應(yīng)對(duì)上述安全問(wèn)題。信任模型可以通過(guò)分布式方式對(duì)已知的和未知的節(jié)點(diǎn)進(jìn)行評(píng)價(jià)并輔助系統(tǒng)進(jìn)行決策，已經(jīng)成為解決ad hoc網(wǎng)絡(luò)中安全問(wèn)題的重要研究分支，典型研究成果包括 Watchdog and Pathrater[5]、CONFIDANT[6]、CORE[7]、AODV-REX[8]、TME[9]、TEAM[10]、PureTrust[11]和 TEBSS[12]等。但是這些安全方案都只關(guān)注一種或少數(shù)幾種攻擊，如Watchdog and Pathrater[5]、CONFIDANT[6]和 CORE[7]是為了解決不合作[4]；AODV-REX[8]是為了防御 Black hole[3]；TME[9]是為了防御數(shù)據(jù)修改[4]和不合作[4]。

可見(jiàn)，傳統(tǒng)防御體系下的各種安全方案分別防御各自關(guān)注的攻擊，各自為營(yíng)。利用此弱點(diǎn)，一種有效的攻擊策略是：攻擊者先后發(fā)起多種類(lèi)型的攻擊，當(dāng)發(fā)起第一種攻擊時(shí)，第二種攻擊的安全方案無(wú)法收集到第一種攻擊證據(jù)，它可能把惡意節(jié)點(diǎn)當(dāng)成正常節(jié)點(diǎn)對(duì)待，此攻擊稱(chēng)為“復(fù)合攻擊”，例如，攻擊者每個(gè)階段發(fā)起一種攻擊，以5個(gè)階段為一個(gè)周期。傳統(tǒng)防御體系各安全方案彼此獨(dú)立實(shí)施檢測(cè)與決策，均認(rèn)為只有1/5的時(shí)間有攻擊行為，而實(shí)際上攻擊者所有時(shí)間都在攻擊。

因此，當(dāng)存在多種攻擊時(shí)，傳統(tǒng)防御體系具有片面性，無(wú)法滿(mǎn)足ad hoc網(wǎng)絡(luò)的可生存性需求[13]。Ad hoc網(wǎng)絡(luò)可生存性是指ad hoc網(wǎng)絡(luò)在面臨攻擊、故障和意外時(shí)節(jié)點(diǎn)可及時(shí)完成其任務(wù)的能力[13]。本文主要增強(qiáng)ad hoc網(wǎng)絡(luò)在面臨復(fù)合攻擊時(shí)的可生存性。為了對(duì)可生存性進(jìn)行量化，采用抵抗攻擊的成功率作為衡量可生存性的指標(biāo)。

本文基于 Dempster-Shafer（D-S）證據(jù)理論[14]提出一種健壯的多維信任模型（RMTM, robust multi-dimensional trust model）解決上述問(wèn)題?；贒-S證據(jù)理論對(duì)系統(tǒng)建模，利用直接證據(jù)信息和其他節(jié)點(diǎn)的推薦信息分別計(jì)算直接信任和間接信任，設(shè)計(jì)基本信度分配函數(shù)計(jì)算多維度信任，并根據(jù)D-S證據(jù)合成規(guī)則融合多維信任從而實(shí)現(xiàn)綜合評(píng)價(jià)，最終得到網(wǎng)絡(luò)信任?；诖耍湃文Ｐ涂梢跃_地區(qū)分出網(wǎng)絡(luò)中的惡意節(jié)點(diǎn)。

由于本文采用信任模型解決ad hoc網(wǎng)絡(luò)的復(fù)合攻擊問(wèn)題，而信任模型本身面臨多種安全威脅，如惡意推薦、合謀攻擊和叛徒攻擊等，RMTM提取相應(yīng)攻擊特征參與多維信任的融合，同時(shí)設(shè)計(jì)相應(yīng)改進(jìn)算法實(shí)現(xiàn)信任模型的入侵容忍，從而提高了信任模型的健壯性。

2 攻擊模型

RMTM面臨的攻擊模型同時(shí)包括ad hoc網(wǎng)絡(luò)攻擊和信任模型攻擊。

如前所述ad hoc網(wǎng)絡(luò)存在多種攻擊，攻擊者采用復(fù)合攻擊可以先后發(fā)起多種攻擊以突破當(dāng)前每種安全方案各自為營(yíng)的傳統(tǒng)防御體系。這些攻擊主要包括5類(lèi)[3,4,11]（見(jiàn)表1）。

表1 ad hoc網(wǎng)絡(luò)惡意節(jié)點(diǎn)可用于復(fù)合攻擊的攻擊方法

另一方面，為了提高信任模型的健壯性，RMTM 在設(shè)計(jì)時(shí)需要容忍信任模型本身面臨的攻擊。基于前人的工作[15～17]，信任模型面臨的攻擊主要包括5種（見(jiàn)表2）。此外，攻擊者還可能偽造推薦信息和篡改推薦信息，它們分別屬于ad hoc網(wǎng)絡(luò)中的身份扮演和數(shù)據(jù)修改攻擊。

表2 ad hoc網(wǎng)絡(luò)信任模型面臨的攻擊

Ad hoc網(wǎng)絡(luò)的傳統(tǒng)防御體系中各種安全方案僅關(guān)注一種或少數(shù)幾種攻擊，難以防御復(fù)合攻擊。本文分析了傳統(tǒng)防御體系下5種ad hoc網(wǎng)絡(luò)信任模型（E-Hermes[18]、TME[9]、TEAM[10]、PureTrust[11]和 TEBSS[12]）的特點(diǎn)（見(jiàn)表 3）?？梢?jiàn)傳統(tǒng)防御體系對(duì)本文攻擊模型不能進(jìn)行有效的防御。

表3 傳統(tǒng)防御體系下的典型信任模型特點(diǎn)

3 基于D-S證據(jù)理論的多維信任模型

3.1 模型描述

Ad hoc網(wǎng)絡(luò)復(fù)合攻擊結(jié)合了多種攻擊方式，使用單個(gè)特征很難將攻擊節(jié)點(diǎn)和正常節(jié)點(diǎn)區(qū)分開(kāi)。由于正常節(jié)點(diǎn)很難將幾個(gè)特征同時(shí)呈現(xiàn)異常，而攻擊節(jié)點(diǎn)通常會(huì)造成多個(gè)特征出現(xiàn)異常，因此 RMTM把不同攻擊證據(jù)分成不合作、數(shù)據(jù)修改、數(shù)據(jù)偽造、身份扮演和資源濫用等5個(gè)維度。基于D-S證據(jù)理論[14]，RMTM對(duì)每個(gè)維度的信任進(jìn)行評(píng)價(jià)，并對(duì)多維信任融合實(shí)現(xiàn)對(duì)節(jié)點(diǎn)的綜合評(píng)價(jià)。

D-S證據(jù)理論[14]是建立在非空有限域Θ上的數(shù)學(xué)推理理論，Θ稱(chēng)為辨識(shí)框架，表示有限個(gè)狀態(tài){θ1,θ2, …, θn}，而系統(tǒng)狀態(tài)為Θ的一個(gè)子集，即Θ的冪集2Θ的一個(gè)元素。D-S證據(jù)理論首先需要定義對(duì)某個(gè)證據(jù)支持一個(gè)系統(tǒng)狀態(tài)的概率，稱(chēng)為基本信度分配 (BPA, basic probability assignment)函數(shù)。

定義 1 基本信度分配函數(shù)：是從Θ的冪集到[0,1]區(qū)間的映射，定義為

RMTM從多個(gè)維度評(píng)價(jià)節(jié)點(diǎn)的信任，因此存在多個(gè)基本信度分配函數(shù)mk，其中1≤k≤5。對(duì)于每個(gè)基本信度分配函數(shù)，Θ={N, A}，其中N表示正常，A表示異常。2Θ={?, {N}, {A}, {N, A}}，其中{N}表示節(jié)點(diǎn)處于正常狀態(tài)，{A}表示節(jié)點(diǎn)處于異常狀態(tài)，{N, A}表示節(jié)點(diǎn)處于哪個(gè)狀態(tài)具有不確定性。RMTM 將確定這 3種狀態(tài)下的基本信度分配函數(shù)m({N})、m({A})和 m({N, A})。

在ad hoc網(wǎng)絡(luò)中，一個(gè)節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)的評(píng)價(jià)可基于2類(lèi)信息[6,7,18]：直接證據(jù)信息和接收到的推薦信息，它們可以分別用于計(jì)算直接信任和間接信任。直接信任和間接信任體現(xiàn)了不同含義，前者僅體現(xiàn)了自身與被評(píng)價(jià)節(jié)點(diǎn)的交互記錄，而后者體現(xiàn)了其他節(jié)點(diǎn)與被評(píng)價(jià)節(jié)點(diǎn)的交互記錄。將兩者進(jìn)行合成可以提高信任評(píng)價(jià)的精確度和收斂速度。因此，得到評(píng)價(jià)第k維信任的基本信度分配函數(shù)。

其中，fstk表示直接信任，sndk表示間接信任。

定義 2 直接信任：表示節(jié)點(diǎn)基于直接證據(jù)信息對(duì)其他節(jié)點(diǎn)的評(píng)價(jià)。在第k維度的直接信任由三元組表示：fstk=(fbk, fdk, fuk)∈[0,1]3: fbk+fdk+fuk=1，其中，fb、fd和fu分別代表直接相信(firsthand belief)、直接不相信(firsthand disbelief)和不確定(firsthand uncertainty)。

定義 3 間接信任：表示節(jié)點(diǎn)基于推薦信息形成的對(duì)其他節(jié)點(diǎn)的評(píng)價(jià)。在第k維的間接信任由一個(gè)與直接信任相似的三元組表示：sndk=(sbk, sdk,suk)。

一個(gè)節(jié)點(diǎn)根據(jù)基本信度分配函數(shù) mk對(duì)其他節(jié)點(diǎn)不同維度的信任進(jìn)行評(píng)價(jià)，從而形成信任矩陣。

定義 4 信任矩陣：表示一個(gè)節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)從不同維度進(jìn)行評(píng)價(jià)。定義為

其中，行表示對(duì)哪個(gè)節(jié)點(diǎn)進(jìn)行評(píng)價(jià)，列表示從哪個(gè)維度進(jìn)行評(píng)價(jià)，元素是一個(gè)三元組，，表示節(jié)點(diǎn)i對(duì)節(jié)點(diǎn)j關(guān)于第k維信任。

定義 5 網(wǎng)絡(luò)信任：表示對(duì)節(jié)點(diǎn)品質(zhì)的綜合評(píng)價(jià)。定義為多維信任融合結(jié)果的三元組(m({N}),m({A}), m({N, A}))。

圖1 基于D-S證據(jù)理論的多維信任模型

基于上述分析，RMTM架構(gòu)如圖1所示。通過(guò)證據(jù)獲取接口獲得直接證據(jù)信息，并利用推薦機(jī)制收集推薦信息，根據(jù)攻擊模型這2類(lèi)信息都被分成不同維度，通過(guò)基本信度分配函數(shù)實(shí)現(xiàn)每個(gè)維度信任的評(píng)價(jià)。一個(gè)節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)的多個(gè)維度的信任評(píng)價(jià)形成信任矩陣，利用D-S證據(jù)合成規(guī)則對(duì)多維信任進(jìn)行融合實(shí)現(xiàn)綜合評(píng)價(jià)，從而得出節(jié)點(diǎn)的網(wǎng)絡(luò)信任。根據(jù)網(wǎng)絡(luò)信任，節(jié)點(diǎn)采取相應(yīng)的可生存決策。

3.2 證據(jù)獲取

RMTM首先需要獲取攻擊模型中ad hoc網(wǎng)絡(luò)攻擊的直接證據(jù)信息，證據(jù)的獲取可通過(guò)檢測(cè)系統(tǒng)實(shí)現(xiàn)。目前檢測(cè)ad hoc網(wǎng)絡(luò)面臨的不合作、數(shù)據(jù)修改、數(shù)據(jù)偽造、身份扮演和資源濫用5種攻擊已經(jīng)有相當(dāng)多研究成果[9～12,18]。本文繼承這些研究成果，假設(shè)這些不同維度的直接證據(jù)信息可以通過(guò)相應(yīng)接口從當(dāng)前安全方案[9～12,18]獲取。

3.3 信任矩陣計(jì)算

根據(jù)獲得的直接證據(jù)信息，可以計(jì)算出直接信任。直接信任確定算法基于Bayesian推理，Bayesian推理是一種基于證據(jù)或觀察對(duì)一種假設(shè)為真的可能性進(jìn)行推斷的統(tǒng)計(jì)學(xué)方法。在Bayesian推理過(guò)程中，使用Beta分布，即Beta(α, β)，因?yàn)樗恍枰S護(hù)2個(gè)不斷更新的參數(shù)，而無(wú)須存儲(chǔ)歷史證據(jù)信息，其空間復(fù)雜度為O(1)，這對(duì)資源有限的ad hoc網(wǎng)絡(luò)是非常適用的。參數(shù)α和β分別表示正面證據(jù)和負(fù)面證據(jù)的數(shù)量，RMTM將它們作為某一維度的攻擊特征。初始情況下，一個(gè)節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)中的其他節(jié)點(diǎn)有先驗(yàn) Beta(α, β)=Beta(1,1)。當(dāng)收集到 r個(gè)正面證據(jù)和s個(gè)負(fù)面證據(jù)，則得到后驗(yàn)Beta(1+r,1+s)。不同的α、β對(duì)概率密度函數(shù)（PDF, probability density function）的影響如圖2(a)～圖2(c)所示。

由于ad hoc網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)得到的證據(jù)信息不完整，因此，不確定性在評(píng)價(jià)節(jié)點(diǎn)占有一定比重。不確定性有2個(gè)重要屬性。①當(dāng)α+β很大，這意味著收集到足夠證據(jù)，不確定性下降。②當(dāng)正面或者負(fù)面其中一類(lèi)證據(jù)占絕大多數(shù)時(shí)，不確定性相比于2類(lèi)證據(jù)一樣多時(shí)也會(huì)下降。因此，模型將不確定性定義為Beta(α, β)的歸一化標(biāo)準(zhǔn)差。

其中，分母和分子分別體現(xiàn)了第1個(gè)和第2個(gè)屬性。

因此，總的確定性為 1-fuk?；?Beta(α, β)，一個(gè)節(jié)點(diǎn)對(duì)另一節(jié)點(diǎn)的直接信任評(píng)價(jià)的數(shù)學(xué)期望為，因此可以得出

不同α、β對(duì)直接信任(fb, fd, fu)的影響如圖2(d)～圖 2(f)所示，雖然 Beta(1,1)和 Beta(10,10)正面證據(jù)的數(shù)量都占 50%，但是明顯前者的不確定性大，當(dāng)收集到的證據(jù)數(shù)量達(dá)到Beta(90,10)時(shí)，可以認(rèn)為評(píng)價(jià)對(duì)象是相對(duì)比較可信的。

1.3 觀察指標(biāo) 中老年組其它治療措施基本一致，包括均給予戒除煙酒嗜好和不良飲食習(xí)慣，清淡飲食、抬高床頭15度等一般治療。2組共治療8周，分別于治療第8周時(shí)隨診及填寫(xiě)RDQ評(píng)分、胃食管反流病肝郁脾虛證癥狀分級(jí)量化問(wèn)卷并行胃鏡檢查，通過(guò)前后積分對(duì)照，組間療效對(duì)照評(píng)價(jià)療效；并于停藥后第2、4周時(shí)隨訪，觀察停藥后癥狀復(fù)發(fā)情況。

RMTM 對(duì)每個(gè)維度的特征進(jìn)行推薦以提高信任收斂速度和評(píng)價(jià)精確度。當(dāng)A收到推薦信息時(shí)，對(duì)推薦信息進(jìn)行合成得到間接信任。A根據(jù)Bi關(guān)于C的推薦信息計(jì)算出?？赡芘c不同，因?yàn)?Bi可能推薦虛假信息，則A對(duì)多個(gè)推薦信息合成得到對(duì)C的間接信任如下：

圖2 不同參數(shù)下Beta函數(shù)的概率密度和對(duì)應(yīng)的信任度量

其中，wABi是Bi的權(quán)重，表示Bi推薦信息的可信度，它的取值由4.2節(jié)中的推薦信任確定。

當(dāng)確定了直接信任 fstk和間接信任 sndk，設(shè)計(jì)一個(gè)基本信度分配函數(shù)m對(duì)兩者進(jìn)行綜合，綜合算法基于兩者的不確定性所占的比重如下：

其中，當(dāng)X={N}，fx=fb，sx=sb；當(dāng)X={A}，fx=fd，sx=sd；當(dāng) X={N, A}，fx=fu，sx=su。

根據(jù)上述基本信度分配函數(shù)，節(jié)點(diǎn)可以計(jì)算各自的信任矩陣，實(shí)現(xiàn)對(duì)其他節(jié)點(diǎn)的多維度評(píng)價(jià)。

3.4 多維信任融合

基于基本信度分配函數(shù)，D-S證據(jù)理論提供了Dempster合并規(guī)則[14]以合并多維信任。該合并規(guī)則在沖突證據(jù)合并時(shí)存在一些不足，因而也發(fā)展了一些改進(jìn)的合并規(guī)則[14]，但由于其簡(jiǎn)單易用，本文仍采用該規(guī)則對(duì)多維信任進(jìn)行融合。應(yīng)用此合并規(guī)則的前提是被合并的證據(jù)必須是獨(dú)立的，由于本文從不同維度提取相應(yīng)的攻擊特征來(lái)計(jì)算基本信度分配函數(shù)，它們之間滿(mǎn)足彼此獨(dú)立。

定義6 多維信任融合：設(shè)mk為第k維信任的基本信度分配函數(shù)，則當(dāng)A≠?時(shí)，對(duì)2個(gè)維度信任的融合得出網(wǎng)絡(luò)信任的基本信度分配函數(shù)為

對(duì)n個(gè)維度信任進(jìn)行融合的一般化規(guī)則為

Dempster合并規(guī)則已被證明為P完全難解問(wèn)題[19]，但在本文的應(yīng)用場(chǎng)景中，識(shí)別框架只有2個(gè)互斥元素，可證明Dempster規(guī)則的計(jì)算代價(jià)是O(n)。

定理 1 Dempster合并規(guī)則在Θ={N, A},N∩A=?的情況下的時(shí)間復(fù)雜度是O(n)。

證明

合并規(guī)則滿(mǎn)足結(jié)合律，由數(shù)學(xué)歸納法容易證得：m1,…,n(A)=m1( A)⊕m2(A)⊕…⊕mn(A)。而2個(gè)維度信任的融合可以在常數(shù)時(shí)間完成，因此，對(duì)n個(gè)維度信任的融合m1,…,n(A)可以在n-1步完成，時(shí)間復(fù)雜度為O(n)。證畢。

可見(jiàn)，Dempster合并規(guī)則適用于資源有限的ad hoc網(wǎng)絡(luò)。利用此規(guī)則對(duì)多維信任融合便得到網(wǎng)絡(luò)信任，如1≤k≤5分別表示節(jié)點(diǎn)A對(duì)節(jié)點(diǎn)B在不合作、數(shù)據(jù)修改、數(shù)據(jù)偽造、身份扮演和資源濫用5個(gè)維度的信任評(píng)價(jià)，則利用上述規(guī)則對(duì)5個(gè)維度信任進(jìn)行融合后，便可得到A對(duì)B的網(wǎng)絡(luò)信任的綜合評(píng)價(jià)

3.5 可生存決策

可生存決策的意義如下：①通過(guò)剝奪惡意節(jié)點(diǎn)參與網(wǎng)絡(luò)的機(jī)會(huì)減少其對(duì)網(wǎng)絡(luò)的影響；②提供激勵(lì)機(jī)制促使節(jié)點(diǎn)在網(wǎng)絡(luò)中表現(xiàn)正常。基于信任的決策研究成果較多[9～12,18]，總體可分為基于激勵(lì)[20]和基于懲罰[20]2種。本文節(jié)點(diǎn)決策時(shí)基于節(jié)點(diǎn)的網(wǎng)絡(luò)信任，每個(gè)節(jié)點(diǎn)自治地進(jìn)行決策，不要求一致性。當(dāng)網(wǎng)絡(luò)中大多數(shù)節(jié)點(diǎn)隔離了某個(gè)節(jié)點(diǎn)時(shí)，此節(jié)點(diǎn)便無(wú)法在網(wǎng)絡(luò)中立足。

4 信任模型的入侵容忍

4.1 拒絕推薦的容忍

提取拒絕推薦的攻擊特征如下：節(jié)點(diǎn)A記錄向節(jié)點(diǎn)B請(qǐng)求推薦的數(shù)量和節(jié)點(diǎn)B返回的推薦信息數(shù)量，兩者相減可得到節(jié)點(diǎn)B未返回的推薦信息數(shù)量。用返回的數(shù)量和未返回的數(shù)量分別更新Beta分布的參數(shù)α和β，并將它與其他維度的特征一起推薦給其他節(jié)點(diǎn)。根據(jù)式(3)～式(5)得出A對(duì)B的第6維直接信任(fb6, fd6, fu6)，然后根據(jù)式(6)～式(8)得到第6維間接信任(sb6, sd6, su6)。再利用式(9)對(duì)直接信任和間接信任合成得到基本信度分配函數(shù)m6({N})、m6({A})和m6({N, A})。這樣節(jié)點(diǎn)就可以評(píng)價(jià)其他節(jié)點(diǎn)是否會(huì)拒絕推薦。

為了防御拒絕推薦攻擊，采用激勵(lì)機(jī)制讓此維信任也參與網(wǎng)絡(luò)信任的融合，這樣節(jié)點(diǎn)推薦誠(chéng)實(shí)信息后將從中獲益，從而抑制惡意節(jié)點(diǎn)。

4.2 惡意推薦的容忍

提取惡意推薦的攻擊特征的方法是：基于自身信任矩陣對(duì)推薦信息進(jìn)行偏離測(cè)試。

其中，threshold是偏離閾值，各節(jié)點(diǎn)自由選擇以容忍攻擊者猜測(cè)。如果推薦信息不能通過(guò)偏離測(cè)試，則丟棄，并當(dāng)成負(fù)面證據(jù)更新Beta(α, β)的β參數(shù)，否則當(dāng)成正面證據(jù)更新α參數(shù)。于是構(gòu)造出第7維特征，然后類(lèi)似于容忍拒絕推薦的方法，讓其參與推薦，進(jìn)而得到第7維基本信度分配函數(shù)m7({N})、m7({A})和m7({N, A})。本文將其定義為推薦信任。

定義7 推薦信任：表示對(duì)一個(gè)節(jié)點(diǎn)推薦信息可信度的評(píng)價(jià)，定義為惡意推薦的基本信度分配函數(shù)結(jié)果的三元組(m7({N}), m7({A}), m7({N, A}))。

式(6)和式(7)在計(jì)算間接信任時(shí)使用的比重w正是m7({N})，它表示推薦來(lái)源的可信度越高，則在計(jì)算間接信任時(shí)權(quán)重越大。

惡意推薦容忍算法的創(chuàng)新是：將惡意推薦的特征跟其他維度的特征一起推薦給其他節(jié)點(diǎn)，從而加快了推薦信任的收斂。推薦機(jī)制可以加快網(wǎng)絡(luò)信任的收斂已得到C. Zouridaki等人[18]的證明，其對(duì)推薦信任收斂產(chǎn)生的影響將在仿真實(shí)驗(yàn)中驗(yàn)證。

4.3 變換身份的容忍

對(duì)于變換身份攻擊，前述的基于不確定性的信任計(jì)算是很有效的懲罰機(jī)制。當(dāng)攻擊者變換成全新身份加入網(wǎng)絡(luò)時(shí)為初始狀態(tài)Beta(1, 1)，其他節(jié)點(diǎn)對(duì)其的直接信任評(píng)價(jià)是(fb, fd, fu)=(0,0,1)，攻擊者需要花費(fèi)大量精力來(lái)積累信任，如圖2(d)～圖2(f)所示，因此攻擊者使用變換身份攻擊已經(jīng)沒(méi)有任何意義。

4.4 叛徒攻擊的容忍

當(dāng)前容忍叛徒攻擊的方法是引入衰退因子[21]以體現(xiàn)新證據(jù)在計(jì)算信任時(shí)擁有更大貢獻(xiàn)。即在每個(gè)周期對(duì)Beta參數(shù)衰退：α=λα+r，β=λβ+s，其中λ是一個(gè)固定的衰退因子。此方法可以在一定程度上緩解叛徒攻擊，但它對(duì)叛徒攻擊策略的反應(yīng)并不敏感，因此Sun Y L等人[17]提出動(dòng)態(tài)衰退因子的思想。RMTM借鑒此思想，使用具有懲罰意義的自適應(yīng)衰退因子：λk=1-mk({N})。其含義是：節(jié)點(diǎn)需要花費(fèi)大量精力提升信任，但少量的攻擊行為可導(dǎo)致信任急劇下降。此外，當(dāng)前防御叛徒攻擊的方案[17]僅作用于網(wǎng)絡(luò)信任計(jì)算，但攻擊者還可以周期地進(jìn)行正常推薦和惡意推薦。為了容忍此類(lèi)叛徒攻擊，RMTM將自適應(yīng)衰退因子作用于推薦信任的計(jì)算。

4.5 合謀攻擊的容忍

RMTM從2個(gè)角度防御合謀攻擊。①合謀攻擊產(chǎn)生的根源是節(jié)點(diǎn)采納了間接信任，因此 RMTM在一個(gè)節(jié)點(diǎn)對(duì)另一個(gè)節(jié)點(diǎn)直接評(píng)價(jià)的不確定很小時(shí)，則主要考慮直接信任，而間接信任所占的權(quán)重很小，這通過(guò)式(9)保證，其可以自適應(yīng)地調(diào)節(jié)兩者所占的比重。②合謀攻擊產(chǎn)生的條件是多個(gè)攻擊節(jié)點(diǎn)可以串通在一起同時(shí)給正常節(jié)點(diǎn)推薦信息，在基于主動(dòng)推薦[20]的信任模型（如R-Reputation[21]）中很容易實(shí)現(xiàn)此攻擊，本文提出一種隨機(jī)被動(dòng)推薦算法，從而擊破攻擊者聯(lián)盟。被動(dòng)推薦[20]是指節(jié)點(diǎn)只有在收到推薦請(qǐng)求消息時(shí)才發(fā)送推薦信息，而沒(méi)有收到請(qǐng)求消息就主動(dòng)推薦的信息不會(huì)被接收者采納。RMTM使用自適應(yīng)隨機(jī)選擇確保多個(gè)合謀節(jié)點(diǎn)同時(shí)被選中的概率極低，從而破壞合謀攻擊的條件。綜上，RMTM的入侵容忍算法如下。

算法1 ComputeTrust(A, C)

5 仿真實(shí)驗(yàn)

本文選用NS2作為仿真器，網(wǎng)絡(luò)中節(jié)點(diǎn)總數(shù)為100，惡意節(jié)點(diǎn)的比例為10%～90%。RMTM模型中式(12)的參數(shù)偏離閾值threshold的取值方法是各個(gè)節(jié)點(diǎn)從區(qū)間[0.1,0.2]中隨機(jī)選擇。為了與傳統(tǒng)防御體系比較，實(shí)現(xiàn)了E-Hermes[18]、TME[9]、TEAM[10]、PureTrust[11]和TEBSS[12]5個(gè)信任模型分別防御不合作、數(shù)據(jù)修改、數(shù)據(jù)偽造、身份扮演和資源濫用，通過(guò)這種方式模擬了傳統(tǒng)防御體系，并將這些方案檢測(cè)到的攻擊證據(jù)提供給RMTM。仿真中通過(guò)發(fā)送各類(lèi)型攻擊數(shù)據(jù)包模擬發(fā)起相應(yīng)類(lèi)型攻擊，并通過(guò)節(jié)點(diǎn)抵抗攻擊數(shù)據(jù)包的成功率衡量網(wǎng)絡(luò)可生存性。

5.1 防御ad hoc網(wǎng)絡(luò)復(fù)合攻擊的效果

惡意節(jié)點(diǎn)采用復(fù)合攻擊策略，其中每個(gè)階段為30s，一個(gè)周期為 5個(gè)階段，每個(gè)階段只發(fā)動(dòng) 5種ad hoc網(wǎng)絡(luò)攻擊中的一種。

首先比較基于 RMTM 的防御體系與傳統(tǒng)防御體系抵抗復(fù)合攻擊的平均成功率。統(tǒng)計(jì)在不同惡意節(jié)點(diǎn)比例下2種防御體系抵抗攻擊的平均成功率，如圖3所示，隨著網(wǎng)惡意節(jié)點(diǎn)數(shù)量增多，2個(gè)體系抵抗攻擊的成功率都逐漸下降，但是基于 RMTM的防御體系的下降速度明顯慢于傳統(tǒng)防御體系，如在20%惡意節(jié)點(diǎn)時(shí)基于RMTM的防御體系的成功率為 90.7%，而傳統(tǒng)防御體系只有 57.5%?？梢?jiàn)RMTM對(duì)增強(qiáng)ad hoc網(wǎng)絡(luò)可生存性效果明顯。

圖3 抵抗攻擊的平均成功率

為了分析上述現(xiàn)象的原因，將惡意節(jié)點(diǎn)比例固定為20%，分析在不同時(shí)間成功率的實(shí)時(shí)變化。結(jié)果如圖4所示，在傳統(tǒng)防御體系下實(shí)時(shí)的抵抗攻擊成功率存在明顯周期性，其周期與節(jié)點(diǎn)攻擊的周期相同(150s)。每個(gè)周期分為 5個(gè)階段，等同于攻擊者的5個(gè)攻擊階段，在每個(gè)階段內(nèi)，抵抗成功率逐漸上升，但是下一個(gè)階段，因?yàn)樗泄粽咦儞Q攻擊方式，傳統(tǒng)防御體系中的信任模型又得重新對(duì)節(jié)點(diǎn)進(jìn)行評(píng)價(jià)。從第2個(gè)周期開(kāi)始，成功率較第1周期有所上升，這是因?yàn)槊總€(gè)信任模型在第1周期內(nèi)的某一個(gè)階段對(duì)惡意節(jié)點(diǎn)積累了一定攻擊證據(jù)。而基于 RMTM 的防御體系呈現(xiàn)上升趨勢(shì)，雖然開(kāi)始時(shí)抵抗攻擊的成功率低于傳統(tǒng)防御體系，但經(jīng)歷 2個(gè)階段后，RMTM已經(jīng)可以綜合評(píng)價(jià)每個(gè)節(jié)點(diǎn)從而使抵抗攻擊的成功率穩(wěn)定在較高水平(97.8%)。

圖4 抵抗攻擊的實(shí)時(shí)成功率

5.2 防御信任模型自身面臨攻擊的效果

為了最大程度操縱信任模型，惡意節(jié)點(diǎn)采用“拒絕推薦+惡意推薦+變換身份+叛徒攻擊+合謀攻擊”的混合攻擊方法。惡意節(jié)點(diǎn)隨機(jī)選用上述攻擊方法，合謀攻擊節(jié)點(diǎn)互相知道對(duì)方的信息。為了將RMTM與健壯信任模型E-Hermes[18]進(jìn)行比較，讓攻擊者只進(jìn)行一種ad hoc網(wǎng)絡(luò)攻擊“不合作”。

首先分析 2種模型中正常節(jié)點(diǎn)接收到的推薦信息來(lái)自惡意節(jié)點(diǎn)的比例，如圖5所示。使用E-Hermes時(shí)正常節(jié)點(diǎn)收到的推薦信息被惡意推薦信息占據(jù)，如在惡意節(jié)點(diǎn)比例為 20%時(shí)，正常節(jié)點(diǎn)收到的推薦信息有42.7%來(lái)自惡意節(jié)點(diǎn)，從而誤導(dǎo)正常節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)的評(píng)價(jià)。而使用RMTM時(shí)只有13.5%來(lái)自惡意節(jié)點(diǎn)。這是因?yàn)镽MTM保證了節(jié)點(diǎn)從推薦信任較好的節(jié)點(diǎn)處獲取推薦信息，并使用隨機(jī)被動(dòng)推薦算法破壞了攻擊者合謀條件，使攻擊者難以合謀。

圖5 正常節(jié)點(diǎn)接收到的推薦信息來(lái)自惡意節(jié)點(diǎn)的比例

接下來(lái)，比較2個(gè)信任模型對(duì)推薦信任評(píng)價(jià)的精確度與收斂情況。選定一個(gè)惡意節(jié)點(diǎn)和一個(gè)階段，選取的標(biāo)準(zhǔn)是此節(jié)點(diǎn)在上一個(gè)階段推薦誠(chéng)實(shí)的信息，而在此階段推薦虛假的信息，然后分析所有正常節(jié)點(diǎn)在這個(gè)階段對(duì)此節(jié)點(diǎn)推薦信任的評(píng)價(jià)情況。結(jié)果如圖6所示，橫軸表示此階段的時(shí)間，縱軸表示正常結(jié)點(diǎn)對(duì)惡意節(jié)點(diǎn)推薦信任的評(píng)價(jià)值m7({N})，使用 RMTM，惡意節(jié)點(diǎn)推薦信任下降較快，大約在312s就已經(jīng)收斂，而E-Hermes在322s收斂?？梢?jiàn)，RMTM對(duì)推薦信任的特征（即第7維特征）進(jìn)行推薦的機(jī)制加快了推薦信任的收斂過(guò)程，同時(shí)動(dòng)態(tài)衰退因子提高了評(píng)價(jià)的精確度。

圖6 推薦信任收斂情況分析

5.3 通信開(kāi)銷(xiāo)分析

此前已對(duì)RMTM所采用的Beta算法和D-S證據(jù)融合算法的空間復(fù)雜度和時(shí)間復(fù)雜度進(jìn)行理論證明，這里對(duì)RMTM的通信開(kāi)銷(xiāo)進(jìn)行分析。惡意節(jié)點(diǎn)進(jìn)行5種ad hoc網(wǎng)絡(luò)攻擊，傳統(tǒng)防御體系中部署了上述5種信任模型，與基于RMTM的防御體系的通信量進(jìn)行比較，其中通信量，n表示所有跟推薦相關(guān)的數(shù)據(jù)包的數(shù)量，length(pi)表示第i個(gè)數(shù)據(jù)包的長(zhǎng)度，單位為byte。比較結(jié)果如圖7所示，其中橫軸表示惡意節(jié)點(diǎn)的比例，縱軸C1/C2表示基于 RMTM 的防御體系的通信量與傳統(tǒng)防御體系的通信量的比值。

圖7 基于RMTM的防御體系與傳統(tǒng)防御體系通信量比值變化

可見(jiàn)基于 RMTM 的防御體系的通信量小于傳統(tǒng)防御體系，且隨著惡意節(jié)點(diǎn)增多 C1/C2減小。原因是：RMTM對(duì)多維證據(jù)統(tǒng)一進(jìn)行推薦，比傳統(tǒng)防御體系中每種信任模型各自進(jìn)行推薦節(jié)約通信量。

6 結(jié)束語(yǔ)

本文介紹了一種增強(qiáng)ad hoc網(wǎng)絡(luò)可生存性的健壯多維信任模型。RMTM主要解決2個(gè)問(wèn)題：綜合考慮ad hoc網(wǎng)絡(luò)的各類(lèi)攻擊，使用D-S證據(jù)理論建立多維信任模型實(shí)現(xiàn)對(duì)節(jié)點(diǎn)的綜合評(píng)價(jià)；設(shè)計(jì)信任模型的入侵容忍算法，使 RMTM 在面臨信任模型自身攻擊時(shí)具有良好的健壯性?？紤]到ad hoc網(wǎng)絡(luò)中資源的稀缺性，RMTM使用輕量級(jí)算法，與傳統(tǒng)防御體系相比，更小的通信開(kāi)銷(xiāo)可獲得更大安全收益。仿真實(shí)驗(yàn)驗(yàn)證了 RMTM 可以在較少的通信開(kāi)銷(xiāo)內(nèi)有效提升抵抗ad hoc網(wǎng)絡(luò)復(fù)合攻擊的成功率和容忍信任模型自身面臨的攻擊，從而增強(qiáng)了ad hoc網(wǎng)絡(luò)的可生存性。

[1] HU Y C, PERRIG A, JOHNSON D B. Rushing attacks and defense in wireless ad hoc network routing protocols[A]. Proceedings of the 2003 ACM workshop on Wireless Security[C]. 2003. 30-40.

[2] HU Y C, PERRIG A, JOHNSON D B. Ariadne: a secure on-demand routing protocol for ad hoc networks[J]. Wireless Networks, 2005,11(1): 21-38.

[3] CARVALHO M. Security in mobile ad hoc networks[J]. IEEE Security & Privacy, 2008, 6(2): 72-75.

[4] DJENOURI D, KHELLADI L, BADACHE A N. A survey of security issues in mobile ad hoc and sensor networks[J]. IEEE Communications Surveys & Tutorials, 2005, 7(4): 2-28.

[5] MARTI S, GIULI T J, LAI K, et al. Mitigating routing misbehavior in mobile ad hoc networks[A]. Proceedings of the 6th Annual International Conference on Mobile Computing and Networking[C].2000. 255-265.

[6] BUCHEGGER S, BOUDEC J Y L. Performance analysis of the confidant protocol[A]. Proceedings of the 3rd ACM International Symposium on Mobile Ad Hoc Networking & Computing[C]. 2002.226-236.

[7] MICHIARDI P, MOLVA R. CORE: a collaborative reputation mechanism to enforce node cooperation in mobile ad hoc networks[A].Proceedings of the IFIP TC6/TC11 Sixth Joint Working Conference on Communications and Multimedia Security[C]. 2002. 107-121.

[8] OLIVIERO F, ROMANO S P. A reputation-based metric for secure routing in wireless mesh networks[A]. IEEE Global Telecommunications Conference[C]. 2008. 1-5.

[9] BALAKRISHNAN V, VARADHARAJAN V, TUPAKULA U.Subjective logic based trust model for mobile ad hoc networks[A].Proceedings of the 4th International Conference on Security and Privacy in Communication Netowrks[C]. 2008. 1-11.

[10] BALAKRISHNAN V, VARADHARAJAN V, TUPAKULA U, et al.Team: trust enhanced security architecture for mobile ad hoc networks[A]. Proceedings of the 15th IEEE International Conference on Networks[C]. 2007. 182-187.

[11] PIRZADA A A, MCDONALD C. Establishing trust in pure ad hoc networks[A]. Proceedings of the 27th Conference on Australasian Computer Science[C]. 2004. 47-54.

[12] YAN Z, ZHANG P. Virtanen T. Trust evaluation based security solution in ad hoc networks[A]. Proceedings of the Seventh Nordic Workshop on Secure IT Systems[C]. 2003. 1-14.

[13] LIMA M N, SANTOS A L, PUJOLLE G. A survey of survivability in mobile ad hoc networks[J]. IEEE Communications Surveys &Tutorials, 2009, 11(1): 66-77.

[14] SENTZ K, FERSON S. Combination of Evidence in Dempster-Shafer Theory[R]. Sandia National Labs: Technical Report SAND2002-0835,2002.

[15] MARMOL F G, PEREZ G M. Security threats scenarios in trust and reputation models for distributed systems[J]. Computers & Security,2009, 28(7): 545-556.

[16] HOFFMAN K, ZAGE D, NITA-ROTARU C. A survey of attack and defense techniques for reputation systems[J]. ACM Computing Surveys, 2009, 42(4): 1-31.

[17] SUN Y L, HAN Z, LIU K J R. Defense of trust management vulnerabilities in distributed networks[J]. IEEE Communications Magazine, 2008, 46(2): 112-119.

[18] ZOURIDAKI C, MARK B L, HEJMO M, et al. E-Hermes: a robust cooperative trust establishment scheme for mobile ad hoc networks[J].Ad Hoc Networks, 2009, 7(6): 1156-1168.

[19] ORPONEN P. Dempster's rule of combination is # P-complete[J].Artificial Intelligence, 1990, 44(1): 245-253.

[20] MARTI S, GARCIA-MOLINA H. Taxonomy of trust: categorizing P2P reputation systems[J]. Computer Networks, 2006, 50(4): 472-484.

[21] BUCHEGGER S, BOUDEC J Y L. A robust reputation system for P2P and mobile ad-hoc networks[A]. Proceedings of the 2nd Workshop on Economics of Peer-to-Peer Systems[C]. 2004. 1-6.