熊書明，王良民，詹永照

(江蘇大學(xué) 計算機科學(xué)與通信工程學(xué)院，江蘇 鎮(zhèn)江 212013)

1 引言

布置在惡劣甚至惡意環(huán)境下的無線傳感器網(wǎng)絡(luò)(WSN, wireless sensor networks)，常會因為隨機故障或者入侵威脅等形成節(jié)點失敗，需要發(fā)起新的拓撲生成操作。目前，針對拓撲控制的研究主要集中在容錯[1～4]和容侵[3～5]的拓撲生成和更新方面，容忍入侵機制在WSN的安全保障方面受到越來越多的關(guān)注。然而，容侵拓撲更新和自再生操作會影響到作為支持上層路由操作的拓撲連通服務(wù)，可能導(dǎo)致拓撲割裂；同時，頻繁的拓撲安全更新操作必然增加網(wǎng)絡(luò)不必要的資源開銷，縮短了惡意環(huán)境下傳感器網(wǎng)絡(luò)的生命期。因此，需要研究安全拓撲構(gòu)建模塊的容侵性能定量評估，為發(fā)起新一輪拓撲自再生操作提供決策依據(jù)。

Albert[6]最早針對有線復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)，利用統(tǒng)計分析的方法探討影響拓撲容侵能力的因素。在無線傳感器網(wǎng)絡(luò)容忍入侵能力評估的研究中，Wang[3]較早從拓撲容錯和容侵角度研究WSN拓撲對節(jié)點失敗的容忍能力，對分層拓撲容侵能力給出了定性評估。Ma[4]主要考慮在傳感器網(wǎng)絡(luò)路由層次上，以多版本多路徑思想來確保數(shù)據(jù)傳輸?shù)娜萑棠芰Γ岢隽艘粋€容侵/容錯的3層通用模型MVMP框架進行容忍能力的評估。Wang[5]在面對入侵的環(huán)境下，基于三色思想提出了具有較強容侵能力的傳感器網(wǎng)絡(luò)拓撲生成算法，從理論上對拓撲容侵能力進行了分析推導(dǎo)，并依據(jù)容忍能力適時啟動拓撲自再生。然而，這些工作并沒有給出評估拓撲容侵能力的衡量指標(biāo)；而且，針對傳感器網(wǎng)絡(luò)的拓撲容侵，現(xiàn)有工作多數(shù)僅僅強調(diào)拓撲對失敗容忍能力的保證，一般僅從定性分析的角度來評估拓撲的容忍能力，由此影響到容侵拓撲更新的合理決策。本文提出了基于半馬爾可夫過程(SMP)的無線傳感器網(wǎng)絡(luò)拓撲容侵定量評估模型，結(jié)合Bayes推理網(wǎng)絡(luò)對拓撲可用性、穩(wěn)定性和服務(wù)率指標(biāo)進行了定量分析，能夠準(zhǔn)確評估拓撲容侵能力，便于傳感器網(wǎng)絡(luò)拓撲結(jié)構(gòu)的重新配置。

2 拓撲容侵能力評估的狀態(tài)變遷模型

2.1 基于SMP的拓撲容侵狀態(tài)轉(zhuǎn)移模型

傳感器網(wǎng)絡(luò)會受到諸如 DoS、Hello洪泛、污水池和 Sybil等攻擊[7]，導(dǎo)致拓撲構(gòu)建出現(xiàn)安全失敗。本節(jié)提出了基于 SMP的拓撲容侵狀態(tài)轉(zhuǎn)移模型，描述攻擊導(dǎo)致的拓撲容侵狀態(tài)變化和容侵模塊應(yīng)對攻擊所處的各種狀態(tài)。

定義 1 拓撲容侵狀態(tài)轉(zhuǎn)移模型是一個有序四元組，如式(1)所示:

其中，q0∈Zs是容侵拓撲構(gòu)建模塊的初始狀態(tài)N，T是離散時間集，描述了各狀態(tài)的一個離散時間序列，Zs={N、S、I、F、GD、UD}是容侵模塊的狀態(tài)集，而δ是控制狀態(tài)轉(zhuǎn)移規(guī)律的T×Zs到T×Zs映射。

根據(jù)定義1，容侵拓撲構(gòu)建過程從初始態(tài)q0開始，在離散時間序列上，由δ控制拓撲容侵狀態(tài)的轉(zhuǎn)移，圖1給出基于半馬爾可夫過程的容侵拓撲狀態(tài)轉(zhuǎn)移過程。通常情況下，入侵者對拓撲構(gòu)建過程的攻擊影響和拓撲容侵模塊對惡意攻擊的類型、強度、持續(xù)時間及攻擊頻率等的認識都存在一定的不確定性。模型TIM以一定的概率來描述狀態(tài)間的變遷，從而可以分析系統(tǒng)處于各狀態(tài)的概率。

圖1 容侵拓撲構(gòu)建的狀態(tài)遷移

圖1中，拓撲構(gòu)建初始時處于正常狀態(tài)N，各種典型的安全機制正常工作。安全機制不能抵御入侵時，系統(tǒng)進入敏感狀態(tài)S，入侵者通過多種探測技術(shù)已發(fā)現(xiàn)拓撲構(gòu)建模塊的脆弱性，發(fā)起了針對拓撲生成的攻擊。如果攻擊者成功利用系統(tǒng)漏洞，則進入狀態(tài)I，系統(tǒng)被入侵，此階段容侵機制可以利用資源冗余、大數(shù)表決等來減少入侵帶來的危害。由于容侵機制的安全強度不同，攻擊行為可能造成的危害也不一樣，如果容侵機制未能檢測出針對拓撲的攻擊，則進入 UC狀態(tài)，拓撲控制模塊不能采取任何抵御措施，最終出現(xiàn)拓撲割裂。如果檢測到攻擊行為，則容侵模塊以一種“優(yōu)雅降級”的服務(wù)方式，保證關(guān)鍵服務(wù)的持續(xù)性，進入 GD狀態(tài)，但需人工干預(yù)恢復(fù)到正常狀態(tài)；否則，完全失控進入狀態(tài)F。

分析該狀態(tài)遷移過程需要2個參數(shù)，包括狀態(tài)的逗留時間和狀態(tài)間的轉(zhuǎn)移概率。

定義2 hi是拓撲模塊在狀態(tài)i的平均逗留時間，i∈Zs；pij是狀態(tài) i、j間的轉(zhuǎn)移概率，i、j ∈Zs。

2.2 容侵能力評價指標(biāo)

針對無線傳感器網(wǎng)絡(luò)拓撲容侵能力的分析，考慮拓撲可用性(TA)、拓撲穩(wěn)定性(TS)和拓撲服務(wù)率(TRoS) 3個指標(biāo)。主要從評價拓撲容侵能力的角度直接分析拓撲構(gòu)建過程中各狀態(tài)的變遷，忽略一些入侵者具體的攻擊手段和拓撲容侵機制的響應(yīng)細節(jié)。3個評估指標(biāo)的定義如下。

定義3 拓撲可用性TA。它是指在概率意義下容侵拓撲構(gòu)建到達穩(wěn)定狀態(tài)時，拓撲模塊提供連通服務(wù)的概率PTA。

可用性分為瞬時可用性和穩(wěn)態(tài)可用性[8]，定義3指的是拓撲穩(wěn)定狀態(tài)下的可用性，著重描述容侵拓撲在攻擊影響下的服務(wù)能力。在圖1中，設(shè)拓撲不能提供服務(wù)的狀態(tài)集合為STA#，πi(i∈Zs)是在穩(wěn)態(tài)意義下狀態(tài)i所處的概率，可以給出拓撲可用性如下數(shù)學(xué)描述:

定義4 拓撲穩(wěn)定性TS。在容侵拓撲構(gòu)建到達任一吸收態(tài)SA之前，拓撲構(gòu)建處于未受攻擊狀態(tài)N的時間與處于臨時態(tài)SA#總時間的比值PTS。

吸收態(tài)反映了系統(tǒng)最終會陷入一種自動不可恢復(fù)狀態(tài)，只有等待人工干預(yù)。臨時態(tài)反映了狀態(tài)遷移過程中，系統(tǒng)所處的多個中間狀態(tài)。

TS描述了容侵拓撲構(gòu)建模塊的安全入侵容忍能力，可為拓撲容侵能力的重新配置提供參考依據(jù),形式化描述如下:

其中，Vi和hi分別表示在到達任一吸收態(tài)之前處于狀態(tài)i的次數(shù)和平均逗留時間。

定義5 拓撲服務(wù)率TRoS。它是指平均安全故障時間(MTTSF)在一個拓撲服務(wù)周期內(nèi)所占的比例PTRoS。

MTTSF給出了拓撲構(gòu)建過程在進入某一吸收態(tài)之前所持續(xù)的時間，但是在面對安全入侵時，拓撲構(gòu)建最終會以某種概率進入相應(yīng)的吸收態(tài)，拓撲服務(wù)率TRoS反映了容侵模塊在整個工作期間有效工作時間占的份額，設(shè)在概率意義下，一個拓撲服務(wù)周期是T，拓撲服務(wù)率數(shù)學(xué)定義如下所示:

綜合上述指標(biāo)，利用函數(shù) f 描述拓撲容侵能力值PCoIT隨評估指標(biāo)變化的關(guān)系，如式(5)所示:

3 DTMC的容侵指標(biāo)求解及能力評估

3.1 DTMC的形式化描述

從基于 SMP的狀態(tài)遷移模型可知，容侵拓撲構(gòu)建模塊在各狀態(tài)之間的遷移滿足馬爾可夫性，即將來的狀態(tài)僅取決于當(dāng)前的狀態(tài)，且在離散時間序列上進行狀態(tài)間轉(zhuǎn)變。因此，采用離散時間馬爾可夫鏈(DTMC)對整個的狀態(tài)遷移進程進行分析，圖2描述了 SMP的嵌入馬爾可夫鏈，其形式化描述由定義6給出。

圖2 拓撲容侵評估的DTMC模型

定義 6 離散時間馬爾可夫鏈(DTMC)是一個有序六元組，如式(6)所示:

其中，q0、T和Zs的含義同SMP模型，Ts={hN, hS,hI, hF, hG, hU}是拓撲構(gòu)建模塊處于各狀態(tài)的平均逗留時間，P是各狀態(tài)間的遷移概率矩陣，由圖 2可知，矩陣P可表示為

矩陣 P的行列都以N，S，I，F(xiàn)，GD，UC順序排列。有關(guān)狀態(tài)轉(zhuǎn)移概率和平均逗留時間使用的符號及含義如下所示。

pI:脆弱狀態(tài)下，進入入侵狀態(tài)的概率。

pF:所有容侵策略均失敗的概率。

pU:未檢測到成功入侵的概率。

pG:拓撲服務(wù)優(yōu)雅降級的概率。

hN:容侵拓撲構(gòu)建處于正常狀態(tài)的平均時間。

hS:脆弱狀態(tài)下，構(gòu)建模塊遭受入侵的平均時間。

hI:在入侵狀態(tài)，拓撲容侵模塊決策的平均時間。

hF:容侵策略失敗時，恢復(fù)到正常態(tài)的平均時間。

hG:拓撲在降級狀態(tài)下的平均持續(xù)時間。

hU:攻擊成功時，未能檢測到入侵的平均時間。

3.2 指標(biāo)求解

3.2.1 拓撲可用性

為計算拓撲可用性，需要得到 SMP模型中各狀態(tài)的穩(wěn)態(tài)概率，首先求出DTMC模型中各狀態(tài)的穩(wěn)態(tài)概率。

在圖2的DTMC模型中，根據(jù)文獻[9]可得:

聯(lián)立式(8)和式(9)求解，得 DTMC模型中穩(wěn)態(tài)意義下狀態(tài)的概率向量v:

采用文獻[9]提出的方法，得到SMP各狀態(tài)穩(wěn)態(tài)概率的計算公式如下:

其中，vi是DTMC中各狀態(tài)的穩(wěn)態(tài)概率，hi是狀態(tài)i的平均逗留時間，因此，需要確定每個狀態(tài)的平均逗留時間。hi往往取決于入侵者的攻擊能力、安全模塊的防護強度和容侵拓撲構(gòu)建模塊的容忍能力等諸多因素，具有不確定性和隨機性，故在各狀態(tài)逗留時間的概率分布往往呈現(xiàn)多樣性。本文從漸進意義上考慮容侵狀態(tài)的平均逗留時間，所以，根據(jù)文獻[8]可以假設(shè)在狀態(tài)N、S、I實際服從Weibull(λ, k)分布，而在狀態(tài)F、GD、UC服從gamma(k, θ)分布。在狀態(tài)N和F的期望逗留時間可表示為

聯(lián)立式(10)和式(11)求解，得SMP模型中各狀態(tài)的穩(wěn)定概率向量Π:

如圖1所示的SMP模型中，拓撲構(gòu)建模塊處于 F、UC狀態(tài)時，容侵模塊沒有檢測出對系統(tǒng)的攻擊和雖然已檢測出但不能采取有效容忍措施，不能提供拓撲連通服務(wù)，即在這2個狀態(tài)下拓撲不具可用性，所以集合STA#={F, UC}，由式(2)和式(12)得計算拓撲可用性TA的公式如下:

3.2.2 拓撲穩(wěn)定性

定義4指出，可將DTMC的狀態(tài)分為臨時態(tài)Zt和吸收態(tài)Za。圖2中，拓撲構(gòu)建過程一般在N、S、I 3個狀態(tài)之間來回振蕩，只有在容侵機制不能正常發(fā)揮效用時才進入F、GD、UC中的任一狀態(tài)，等待人工干預(yù)。因此，Zt={N、S、I}，Za={F、GD、UC}，對應(yīng)臨時態(tài)Zt和吸收態(tài)Za的狀態(tài)遷移概率矩陣P'如下:

按照臨時態(tài)和吸收態(tài)兩兩組合的4種情況劃分為4個區(qū)域，右上角子矩陣設(shè)為C。

設(shè)Vi是到達任一吸收狀態(tài)前，在臨時態(tài)i的平均次數(shù)，計算Vi的公式如下:

其中，qi是初始狀態(tài)為i的概率，本文假設(shè)狀態(tài)N是初始狀態(tài)，有[qi]=[1, 0, 0]。

解式(15)得到處于各臨時態(tài)的平均次數(shù)向量V:

聯(lián)合式(3)和式(16)，結(jié)合各臨時態(tài)的平均逗留時間hi，可得拓撲穩(wěn)定性TS的值。

3.2.3 拓撲服務(wù)率

拓撲服務(wù)率TRoS可以很好地刻畫整個拓撲服務(wù)周期內(nèi)的有效工作時間份額，反映了容侵拓撲模塊在一定攻擊下的整體服務(wù)能力，針對拓撲構(gòu)建的不同攻擊威脅將導(dǎo)致進入不同的吸收狀態(tài)，相應(yīng)地，其危害也不一樣。利用文獻[8]提出的方法，計算平均安全故障時間MTTSF和由初始狀態(tài)N進入各吸收態(tài)的概率b1j公式如下:

聯(lián)立式(16)和式(18)求解得:

由式(4)和式(19)求解拓撲服務(wù)率TRoS得:

3.3 基于貝葉斯網(wǎng)絡(luò)的綜合指標(biāo)分析

文獻[10]指出，近年來貝葉斯網(wǎng)絡(luò)(BN, Bayes network)模型在可靠性分析領(lǐng)域中的應(yīng)用逐漸得到關(guān)注，本文提出一個BN模型來預(yù)測、評估無線傳感器網(wǎng)絡(luò)拓撲容侵能力和各項評價指標(biāo)對容侵能力的影響度。

圖1所示的狀態(tài)遷移模型從概率的角度分析、計算拓撲可用性、穩(wěn)定性和服務(wù)率，這其中蘊含著一定的統(tǒng)計特性和內(nèi)在聯(lián)系。為對拓撲容侵能力和其與各屬性的相互關(guān)系進行預(yù)測及統(tǒng)計推斷，設(shè)計的貝葉斯網(wǎng)絡(luò)模型如圖3所示，形式化描述為G=(N, R)，N代表圖G中4個節(jié)點的集合，R代表推理圖中相鄰2個節(jié)點間依賴關(guān)系的集合。

圖3 拓撲容侵能力評估的貝葉斯網(wǎng)絡(luò)模型

拓撲容侵能力CoIT可通過拓撲可用性TA、穩(wěn)定性TS和服務(wù)率TRoS及它們與拓撲容侵能力的關(guān)系來深入度量。根據(jù)先驗知識，假設(shè)TA、TS和TRoS在描述拓撲容侵能力CoIT時可信的概率分別為 P(θTA)、P(θTS)和 P(θTRoS)，這 3 個值可通過評估過程中獲得的信息進行后驗分析加以不斷改進，使它們逼近真實值。根據(jù)定義3、定義4和定義5，這3個指標(biāo)分別從不同角度刻畫拓撲容侵能力，它們在描述容侵能力這一事件的樣本空間上互不相容，構(gòu)成一個劃分；同時，以概率P(CoIT)來描述拓撲容侵能力的強弱(1最強，0最弱)?；谪惾~斯網(wǎng)絡(luò)推理規(guī)則，CoIT與TA、TS和TRoS 3個指標(biāo)的關(guān)系可通過圖3節(jié)點之間的連接關(guān)系來形式化描述。在拓撲可用性以先驗概率 P(θTA)可信的前提下，它導(dǎo)致拓撲容侵能力以條件概率P(CoIT|θTA)發(fā)生(該值反映了從拓撲可用的角度表示容侵能力的強弱，可由前述的DTMC計算得到，即PTA)。由全概率公式得:

式(21)表示在已知 3個拓撲容侵能力衡量指標(biāo)的可信概率下，利用3個指標(biāo)所反映容侵能力的當(dāng)前值，綜合評判得出拓撲容侵能力的強弱，刻畫了3個指標(biāo)與綜合值之間的關(guān)系。

此時，對TA有以下條件概率公式成立:

同理，對穩(wěn)定性和服務(wù)率有類似的分析。

4 拓撲容侵能力分析與評價

4.1 模型工作參數(shù)

不失一般性，選取 pI和 hN參數(shù)分析其對不同指標(biāo)和拓撲容侵能力的影響。

1) 狀態(tài)遷移概率

在圖2描述的DTMC模型中，PG是拓撲構(gòu)建模塊從狀態(tài)I進入優(yōu)雅降級狀態(tài)GD的概率，以實現(xiàn)拓撲功能的核心服務(wù)，不妨設(shè)PG=0.2。在I狀態(tài)下，未能檢測到惡意節(jié)點的入侵概率是PU，其值設(shè)為 0.2，該狀態(tài)下容侵模塊完全不可操控而進入失敗狀態(tài)F的概率較小，設(shè)PF=0.1。

2) 狀態(tài)平均逗留時間

設(shè)時間單位是 1，在脆弱狀態(tài)下，入侵者發(fā)現(xiàn)漏洞、拓撲構(gòu)建模塊遭受入侵的平均時間hS=0.2，容侵模塊在入侵狀態(tài)下進行多種控制決策的平均時間hI=0.4。在容侵策略失敗時，系統(tǒng)恢復(fù)到正常狀態(tài)所需的平均時間hF=0.7，同理，設(shè)在降級狀態(tài)下的平均持續(xù)時間hG=2，入侵成功時，未能檢測到入侵的平均時間hU=3。

4.2 拓撲容侵能力的參數(shù)敏感性

如圖4(a)所示，平均安全故障時間MTTSF隨參數(shù)pI變化明顯，當(dāng)pI超過一定閾值時，MTTSF表示的拓撲安全絕對時間顯著減少，在較低的pI取值時，MTTSF隨hN線性增長。因此，為提高容侵拓撲模塊一次工作的有效時間，應(yīng)確保較低的pI取值，即需要增強拓撲容侵模塊的防護強度。圖4(b)描述了拓撲服務(wù)率隨hN遞增和隨pI遞減的趨勢。當(dāng) pI和hN取值都較大時，盡管有較高的拓撲服務(wù)率，但是絕對服務(wù)時間非常短，所以，在較高的拓撲服務(wù)率下，拓撲構(gòu)建模塊的容侵能力可能呈現(xiàn)出某種振蕩特性，此時需要較多的外部干預(yù)。

圖4 平均安全故障時間和拓撲服務(wù)率隨hN和pI的變化趨勢

圖5(a)給出了拓撲容侵能力PCoIT隨hN遞增，而隨pI遞減的函數(shù)變化趨勢。由圖5(a)可知，為了提高容侵拓撲模塊的容侵能力，在給定工作參數(shù)下，必須增加在狀態(tài)N的hN和減少進入入侵狀態(tài)I的概率pI來保證。圖5(b)給出了拓撲可用性的后驗概率可信度 P(θTA|CoIT)隨 pI遞增和隨 hN遞減的趨勢，說明如果希望增加可用性在衡量拓撲容侵能力中的權(quán)重，可通過提高進入入侵狀態(tài)I的概率pI的值或減少處于正常狀態(tài)N的平均逗留時間hN實現(xiàn)。

圖5 拓撲容侵能力和拓撲可用性的后驗概率隨hN和pI的變化趨勢

4.3 拓撲容侵實例剖析及模型驗證

本節(jié)對LEACH[11]和ASCENT[12]2個實際的拓撲構(gòu)建機制進行容侵能力分析，以評估模型的有效性。

4.3.1 Sybil攻擊的模型評估能力分析

Sybil攻擊時，惡意節(jié)點會偽造多個節(jié)點身份，從而削弱原有的節(jié)點冗余作用和破壞拓撲構(gòu)建進程。在LEACH成簇過程中，Sybil攻擊能在一定范圍內(nèi)影響網(wǎng)絡(luò)的分簇，惡意節(jié)點自身和偽造的虛假節(jié)點都可自選為簇頭，從而控制住整個簇，導(dǎo)致以惡意節(jié)點為中心的一定規(guī)模區(qū)域內(nèi)合法節(jié)點的拓撲割裂。然而，ASCENT算法從概率的角度，以每個節(jié)點維持一定的鄰居節(jié)點個數(shù)(連通度)來保證拓撲連通，通過鏈路質(zhì)量來判斷各節(jié)點的鄰居關(guān)系。ASCENT算法能夠較好地屏蔽Sybil攻擊帶來的不良影響，如果惡意節(jié)點和偽造節(jié)點不斷地丟棄鄰居節(jié)點的數(shù)據(jù)包，鄰居節(jié)點必然在一定時間后識別出這種攻擊，從而發(fā)出HELP包啟動鄰居節(jié)點的加入工作，維持拓撲連通。初步的單簇實驗證實了Sybil攻擊下ASCENT比LEACH有更強的適應(yīng)性，前者的容侵能力優(yōu)于后者。

在評估模型中，由上述分析，ASCENT進入入侵狀態(tài)的概率pI值要小于LEACH中的值，而正常態(tài)的逗留時間 hN前者大于后者。不失一般性，取ASCENT和LEACH狀態(tài)轉(zhuǎn)換模型的pI分別為0.1和 0.4，hN分別為 13和 2，其余參數(shù)仍然利用 4.1節(jié)中的設(shè)置，得到的量化結(jié)果如圖6所示。由圖6可見，針對Sybil攻擊，ASCENT在各個方面的拓撲容侵能力均優(yōu)于 LEACH，特別是拓撲服務(wù)率顯著優(yōu)于LEACH，2個算法的定量比較結(jié)果與上述分析結(jié)果一致，驗證了拓撲容侵能力量化評估模型的有效性。

圖6 Sybil攻擊的ASCENT與LEACH容侵比較

4.3.2 Hello攻擊的模型評估能力分析

針對LEACH發(fā)起Hello攻擊的惡意節(jié)點會使用大功率無線設(shè)備廣播Hello包，使得較大區(qū)域內(nèi)的節(jié)點以較強的功率接收到該信息，都錯誤地加入以惡意節(jié)點為簇頭的簇內(nèi)，導(dǎo)致網(wǎng)絡(luò)拓撲割裂。事實上，此時發(fā)生了鏈路非對稱情況，部分節(jié)點的信號不可能到達惡意簇頭?？梢?，LEACH協(xié)議對Hello攻擊的容忍能力很差，極端情況拓撲完全割裂，整個網(wǎng)絡(luò)不可用。ASCENT算法在Hello洪泛攻擊威脅下，根據(jù)鏈路質(zhì)量，節(jié)點i會錯誤地認為惡意節(jié)點是其一個合法鄰居，降低了合法鄰居個數(shù)，減弱了拓撲連通的服務(wù)能力。然而，這種影響是有限的，節(jié)點i仍然有k?1個合法鄰居(k為從概率角度保持的鄰節(jié)點個數(shù))，仍然可以保持較好的連通性，對Hello攻擊具有較強的容忍能力，初步測試驗證了這一點。

在ASCENT和LEACH的拓撲容侵定量評估模型中參數(shù)pI分別取為0.1和0.4，hN分別為10和6，其余參數(shù)同Sybil分析，得到的定量比較結(jié)果如圖7所示。針對Hello洪泛攻擊，ASCENT在各方面均優(yōu)于LEACH算法，量化比較結(jié)果與上述分析一致，驗證了評估模型的有效性。

圖7 Hello洪泛的ASCENT與LEACH容侵比較

5 相關(guān)工作比較分析

近年來，系統(tǒng)安全的定量評估開始受到研究人員的重視，本節(jié)針對采用不同評估技術(shù)的相關(guān)文獻進行比較分析，表1給出了這些相關(guān)工作異同的對比。

Jonsson等[13]提出了一個基于攻擊者行為的入侵定量分析模型，描述了入侵行為的3個階段。鑒于入侵者之間攻擊能力存在巨大差異，該模型定量評估每個攻擊者的入侵能力十分困難。Albert等[6]針對復(fù)雜有線網(wǎng)絡(luò)結(jié)構(gòu)，用統(tǒng)計的方法分析了什么樣的拓撲結(jié)構(gòu)具有較高的容忍攻擊能力。在基于SMP的安全系統(tǒng)定量評估研究中，較有影響的是Madana[8]提出的安全屬性定量分析模型，該模型是一個通用模型，直接應(yīng)用到拓撲容侵的定量評估中存在較多困難，且中間狀態(tài)顯得過于冗余，求解復(fù)雜。殷麗華等[14]提出了一個優(yōu)化的容忍入侵系統(tǒng)狀態(tài)轉(zhuǎn)移模型，建立 SMP模型并對容侵系統(tǒng)安全屬性進行定量分析。羅安安等[15]提出了一種針對TNC協(xié)議的基于半馬爾可夫過程的評估模型，對可信網(wǎng)絡(luò)連接的安全性進行量化分析。針對容侵系統(tǒng)的安全態(tài)勢，秦華旺等[16]提出了一種基于入侵影響的評估方法，給出了數(shù)據(jù)機密度、完整度和可用度3個指標(biāo)，得出了系統(tǒng)的安全態(tài)勢，然而，該模型過于簡單，不能準(zhǔn)確描述系統(tǒng)的安全狀態(tài)。WANG等[3]建立了傳感器網(wǎng)絡(luò)拓撲容侵能力的數(shù)學(xué)模型，對拓撲容侵能力進行了分析，但并未給出具體的容侵能力衡量指標(biāo)。

本文將Madana[8]中基于SMP的建模方法用于研究WSN的拓撲容侵定量評估，提出了一個容侵拓撲構(gòu)建的狀態(tài)轉(zhuǎn)移描述模型；同時，針對傳感器網(wǎng)絡(luò)節(jié)點資源受限的不足，精簡中間狀態(tài)，降低了節(jié)點資源開銷，利于延長網(wǎng)絡(luò)壽命。從 SMP模型中抽象出3個容侵能力衡量指標(biāo)，再通過Bayes推理網(wǎng)絡(luò)綜合得出拓撲容侵能力，從而提高了模型描述能力。

表1 相關(guān)工作比較

6 結(jié)束語

針對入侵行為影響，本文提出了拓撲容侵定量評估模型，以量化、分析拓撲的容侵能力。該模型采用半馬爾可夫過程將拓撲構(gòu)建過程劃分為 6個狀態(tài)，避免了對不同入侵威脅進行描述建模的復(fù)雜性，在入侵結(jié)果這個統(tǒng)一的層次上建模，簡化了模型設(shè)計。利用內(nèi)嵌DTMC模型求解容侵能力的各項指標(biāo)，得出拓撲可用性、穩(wěn)定性和服務(wù)率3個屬性。通過貝葉斯推理網(wǎng)絡(luò)，以新的樣本值為后驗信息，綜合得出拓撲容侵能力；同時，不斷改進 3個屬性對整個拓撲容侵能力的貢獻權(quán)重，從而提高容侵能力評估的準(zhǔn)確性，便于傳感器網(wǎng)絡(luò)拓撲的重新配置。

仿真實驗分析了評估模型對不同參數(shù)的敏感性，從而獲得拓撲容侵技術(shù)的關(guān)鍵點，為選取合理的容侵拓撲更新機制提供了理論支持。對 LEACH和 ASCNT 2個拓撲構(gòu)建算法進行了容侵能力剖析，驗證了評估模型的有效性。下一步將研究具體的入侵檢測模型，抽象出不同入侵行為對容侵模塊的統(tǒng)一影響，從而準(zhǔn)確提供模型工作參數(shù)。

[1]MOHSEN R, MOHAMMADTAGHI H, VAHAB S M.Fault-tolerant and 3-dimensional distributed topology control algorithms in wireless multi-hop networks[J].Wireless Networks, 2006, 12:179-188.

[2]JORGIC M, GOEL N, KALAICHEVAN K, et al.Localized detection of k-connectivity in wireless ad hoc actuator and sensor networks[A].Proc of the 16th IEEE International Conference on Computer Communications and Networks (ICCCN07)[C].Hawaii, 2007.33-38.

[3]王良民, 馬建峰, 王超.無線傳感器網(wǎng)絡(luò)拓撲的容錯度與容侵度[J].電子學(xué)報, 2006,34(8):1446-1451.WANG L M, MA J F, WANG C.Degree of fault-tolerance and intrusion-tolerance for topologies of wireless sensor networks[J].Acta Electronica Sinica, 2006, 34(8):1446-1451.

[4]MA R, XING L, MICHEL H E.Fault-intrusion tolerant techniques in wireless sensor networks[A].Proceedings of the 2nd IEEE International Symposium on Dependable, Autonomic and Secure Computing(DASC'06) [C].Indianapolis, 2006.85-94.

[5]王良民, 馬建峰.基于再生技術(shù)的無線傳感器網(wǎng)絡(luò)容侵拓撲控制方法[J].計算機研究與發(fā)展, 2009, 46(10):1678-1685.WANG L M, MA J F.Self-regeneration based method for topology control with intrusion tolerance in wireless sensor networks[J].Journal of Computer Research and Development, 2009, 46(10):1678-1685.

[6]ALBERT R, JEONG H, BARABASI A L.Error and attack tolerance of complex networks[J].Nature, 2000, 406(27):378-382.

[7]裴慶祺, 沈玉龍, 馬建峰.無線傳感器網(wǎng)絡(luò)安全技術(shù)綜述[J].通信學(xué)報, 2007, 28(8):113-122.PEI Q Q, SHEN Y L, MA J F.Survey of wireless sensor network security techniques[J].Journal on Communications, 2007, 28(8):113-122.

[8]MADANA B B, POPSTOJANOVA K G, VAIDYANATHAN K, et al.A method for modeling and quantifying the security attributes of intrusion tolerant systems[J].Performance Evaluation, 2004, 56(1～4):167-186.

[9]TRIVEDI K S.Probability and Statistics with Reliability, Queuing,and Computer Science Applications[M].New York:Wiley Press,2001.

[10]劉東, 張春元, 邢維艷等.基于貝葉斯網(wǎng)絡(luò)的多階段系統(tǒng)可靠性分析模型[J].計算機學(xué)報, 2008,31(10):1814-1825.LIU D, ZHANG C Y, XING W Y, et al.Bayes networks based reliability analysis of phased-mission systems[J].Chinese Journal of Computers, 2008,31(10):1814-1825.

[11]HEINZELMAN W, CHANDRAKASAN A, BALAKRISHNAN H.Energy-efficient communication protocol for wireless microsensor networks[A].Proc of the 33rd Annual Hawaii Int’l Conf on System Sciences[C].Hawaii, USA, 2000.3005- 3014.

[12]CERPA A, ESTRIN D.ASCENT:adaptive self-configuring sensor networks topologies[J].IEEE Transactions on Mobile Computing,2004, 3(3):272-285.

[13]JONSSON E, OLOVSSON T.A quantitative model of the security intrusion process based on attacker behavior[J].IEEE Transactions on Software Engineering, 1997, 23 (4) :235-245.

[14]殷麗華,方濱興.入侵容忍系統(tǒng)安全屬性分析[J].計算機學(xué)報,2006,29(8):1505-1512.YIN L H, FANG B X.Security attributes analysis for intrusion tolerant systems[J].Chinese Journal of Computers, 2006, 29(8):1505-1512.

[15]羅安安, 林闖, 王元卓等.可信網(wǎng)絡(luò)連接的安全量化分析與協(xié)議改進[J].計算機學(xué)報, 2009,32(5):887-898.LUO A A, LIN C, WANG Y Z, et al.Security quantifying method and enhanced mechanisms of TNC[J].Chinese Journal of Computers,2009,32(5):887-898.

[16]秦華旺,戴躍偉,王執(zhí)銓.入侵容忍系統(tǒng)的安全態(tài)勢評估[J].北京郵電大學(xué)學(xué)報, 2009,32(2):57-61.QIN H W, DAI Y W, WANG Z Q.Security situation evaluation of intrusion tolerant system[J].Journal of Beijing University of Posts and Telecommunications, 2009, 32(2):57-61.