蔡志偉 ，褚偉銘 ，周 杰 ，杜 飛

（1.中國人民解放軍理工大學(xué)通信工程學(xué)院 南京 210004；2.重慶通信學(xué)院 重慶 400035；3.中國人民解放軍信息工程大學(xué) 鄭州 450000）

1 引言

隨著全球信息化水平的不斷提高，網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)在整個產(chǎn)業(yè)布局乃至國家戰(zhàn)略格局中越來越具有舉足輕重的地位和作用。盡管如此，當(dāng)前網(wǎng)絡(luò)域信息安全的現(xiàn)狀卻不容樂觀。網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜，各式各樣的復(fù)雜設(shè)備需要不斷升級，不經(jīng)意的疏忽便有可能造成安全的重大隱患。網(wǎng)絡(luò)行為分析與傳統(tǒng)的入侵檢測比較，網(wǎng)絡(luò)行為分析具有許多優(yōu)越性能，如能增強(qiáng)系統(tǒng)的生存能力，提高系統(tǒng)可靠性與可信度等。因此，本文提出了基于能量和信任的網(wǎng)絡(luò)行為分析算法，該模型能提高網(wǎng)絡(luò)性能及更加有效地將攻擊者拒之門外。

2 傳感器網(wǎng)絡(luò)的安全問題

無線傳感器網(wǎng)絡(luò)（wireless sensor network,WSN）是一種特殊類型的網(wǎng)絡(luò)，其約束條件很多 （相對于計(jì)算機(jī)網(wǎng)絡(luò)），這些約束條件加劇了網(wǎng)絡(luò)的安全問題[1]。通常假定攻擊者可能知道網(wǎng)絡(luò)采用的安全機(jī)制，能夠危及、甚至捕獲某個傳感器節(jié)點(diǎn)。由于布設(shè)具有抗篡改能力的節(jié)點(diǎn)成本高，可以認(rèn)為大多數(shù)WSN節(jié)點(diǎn)是沒有抗篡改能力的。一旦某個節(jié)點(diǎn)被攻擊，那么攻擊者可以竊取這個節(jié)點(diǎn)內(nèi)的密鑰[2]。入侵者可能會發(fā)起各種各樣的攻擊，這些攻擊大體可以分為兩大類：外部攻擊和內(nèi)部攻擊。

2.1 外部攻擊

外部攻擊是指無法通過正常渠道接入網(wǎng)絡(luò)的入侵者發(fā)起的攻擊。被動的信息偵聽就屬于這種攻擊。入侵者無需得到接入網(wǎng)絡(luò)的授權(quán)，就可以在網(wǎng)絡(luò)的無線頻率范圍內(nèi)輕易地竊聽信道上傳送的數(shù)據(jù)，從而獲取所需要的信息。對于沒有任何安全措施的網(wǎng)絡(luò)而言，入侵者甚至可以篡改網(wǎng)絡(luò)中的數(shù)據(jù)包或者向網(wǎng)絡(luò)注入虛假的信息包。

外部攻擊更一般的情況是對WSN節(jié)點(diǎn)進(jìn)行物理破壞。有的情況下，攻擊者甚至可以破環(huán)很大范圍內(nèi)的傳感器節(jié)點(diǎn)，從而造成該區(qū)域的傳感數(shù)據(jù)無法采集，降低網(wǎng)絡(luò)的可用性。另外，攻擊者也可以通過發(fā)送持續(xù)的無線電干擾信號，造成網(wǎng)絡(luò)無法正常通信。

2.2 內(nèi)部攻擊

內(nèi)部攻擊的情況可以分為兩種：一種是節(jié)點(diǎn)被俘獲而成為惡意節(jié)點(diǎn)；另一種情況是攻擊者獲得了合法節(jié)點(diǎn)中的數(shù)據(jù)、代碼或者網(wǎng)絡(luò)的密鑰，然后通過正常的途徑接入網(wǎng)絡(luò)。一般來說，發(fā)起內(nèi)部攻擊的節(jié)點(diǎn)具有如下特征[3]。

· 具有無線通信設(shè)備，可以與網(wǎng)絡(luò)中的其他節(jié)點(diǎn)自由通信。

· 運(yùn)行惡意代碼。這些惡意代碼不同于合法節(jié)點(diǎn)運(yùn)行的正常代碼，它總是試圖竊取網(wǎng)絡(luò)中的敏感數(shù)據(jù)或者破壞網(wǎng)絡(luò)的功能。

·是通過合法授權(quán)參與到網(wǎng)絡(luò)中的。

本文研究融合網(wǎng)絡(luò)安全路由機(jī)制，因此重點(diǎn)分析網(wǎng)絡(luò)層面臨的安全威脅。針對網(wǎng)絡(luò)層的攻擊主要有以下幾種[4，5]：偽造、篡改或者重放路由信息，這是對網(wǎng)絡(luò)層最直接的攻擊方式；選擇性的轉(zhuǎn)發(fā)，基于多跳傳輸?shù)穆酚蓹C(jī)制，中間節(jié)點(diǎn)需要忠實(shí)的轉(zhuǎn)發(fā)數(shù)據(jù)包。黑洞攻擊就是通過一個惡意節(jié)點(diǎn)吸引一個特定區(qū)域的幾乎所有的數(shù)據(jù)流量，這個節(jié)點(diǎn)使路由算法認(rèn)為數(shù)據(jù)經(jīng)過它能達(dá)到最優(yōu)的性能；女巫攻擊，惡意節(jié)點(diǎn)向其鄰居節(jié)點(diǎn)發(fā)送多個“身份”的虛假位置信息（偽造的或者竊取的），以多個不同的身份出現(xiàn)在網(wǎng)絡(luò)中，造成網(wǎng)絡(luò)鏈路的混亂。Hello泛洪攻擊，惡意節(jié)點(diǎn)可以利用強(qiáng)發(fā)射功率的天線向網(wǎng)絡(luò)廣播路由和自身信息，收到的節(jié)點(diǎn)就會誤認(rèn)為該惡意節(jié)點(diǎn)是其鄰居。

3 基于能量和信任的網(wǎng)絡(luò)行為分析

3.1 傳統(tǒng)入侵檢測的分析與比較

Wenke Lee在參考文獻(xiàn)[6]提出了一個著名的ad hoc網(wǎng)絡(luò)入侵檢測模型MWNIDS。該模型基于協(xié)同工作的分布式代理，每個監(jiān)控節(jié)點(diǎn)負(fù)責(zé)檢測本地入侵活動，同時協(xié)助鄰近監(jiān)控節(jié)點(diǎn)進(jìn)行聯(lián)合檢測。由于檢測器使用分類算法，計(jì)算量較大，因此監(jiān)控節(jié)點(diǎn)能耗大，不適應(yīng)供能較ad hoc網(wǎng)絡(luò)更為緊張的傳感器網(wǎng)絡(luò)。參考文獻(xiàn)[7]將非合作博弈論用于傳感器網(wǎng)絡(luò)入侵檢測，將入侵和檢測作為博弈雙方建模，制定雙方的策略將其歸一化為一個非合作、非零和的博弈模型，通過此模型博弈雙方達(dá)到納什均衡，并使檢測方找到最大化收益策略，增加檢測概率，從而更好地保護(hù)系統(tǒng)。博弈模型雖然可以發(fā)現(xiàn)入侵，由于缺乏特征分析，它無法確定是何種攻擊和攻擊的來源，因此不能適應(yīng)傳感器網(wǎng)絡(luò)中復(fù)雜多變的攻擊和入侵。

3.2 傳感器網(wǎng)絡(luò)行為分析模型的設(shè)計(jì)目標(biāo)

為了使傳感器網(wǎng)絡(luò)行為分析模型在總體上表現(xiàn)出開放、安全、健壯等特性，能夠應(yīng)對傳感器網(wǎng)絡(luò)攻擊和入侵，傳感器網(wǎng)絡(luò)行為分析模型應(yīng)具備以下能力目標(biāo)。

·在傳感器網(wǎng)絡(luò)中使用分布式結(jié)構(gòu)下的協(xié)作檢測。監(jiān)控節(jié)點(diǎn)分散在異構(gòu)網(wǎng)絡(luò)各個區(qū)域，不僅負(fù)責(zé)檢測本地入侵活動，同時協(xié)助鄰近監(jiān)控節(jié)點(diǎn)進(jìn)行聯(lián)合檢測。

· 由于傳感器節(jié)點(diǎn)處理器能力弱且存儲器容量小，計(jì)算和存儲能力很有限，因此，行為監(jiān)測控制算法首要考慮簡潔有效，兼顧節(jié)能，應(yīng)是一種能量有效的算法。

· 考慮到傳感器節(jié)點(diǎn)特殊的工作環(huán)境和高誤差，行為分析算法對于偶然的非入侵異常行為可以進(jìn)行容錯處理，使得節(jié)點(diǎn)通信故障或偶發(fā)性錯誤而造成的異常不會被誤判為入侵，不但提高了檢測系統(tǒng)的檢測率，而且能降低檢測系統(tǒng)的誤檢率。

· 與安全路由和信任模型有結(jié)合能力。使網(wǎng)絡(luò)行為分析的結(jié)果可以用于安全路由的工作和信譽(yù)值的計(jì)算。而安全路由和信任模型中有用的數(shù)據(jù)可以為行為監(jiān)控系統(tǒng)所用。

3.3 傳感器網(wǎng)絡(luò)行為分析體系結(jié)構(gòu)

根據(jù)傳感器網(wǎng)絡(luò)行為分析體系結(jié)構(gòu)的能量特性和目標(biāo)，其行為分析算法應(yīng)采用分布式的合作行為分析系統(tǒng)和層級式行為分析系統(tǒng)。分布式的合作行為分析系統(tǒng)與獨(dú)立的行為分析系統(tǒng)相似，每個節(jié)點(diǎn)獨(dú)立運(yùn)行行為分析系統(tǒng)，節(jié)點(diǎn)之間進(jìn)行交互合作以檢測一些特征不明確的攻擊，該體系會消耗更多的通信資源和計(jì)算資源，并且需要可信傳輸?shù)谋Ｕ希辉趯蛹壥降南到y(tǒng)中，部分節(jié)點(diǎn)運(yùn)行檢測系統(tǒng)，并被組織成多層結(jié)構(gòu)，在低層采用分布式的檢測策略進(jìn)行初步檢測，在高層的節(jié)點(diǎn)就對低層節(jié)點(diǎn)的檢測信息進(jìn)行檢查。雖然層級式的系統(tǒng)可以減少通信量和對節(jié)點(diǎn)資源的占用，但是它存在一定的處理延遲。傳感器網(wǎng)絡(luò)行為分析體系如圖1所示。

3.4 基于能量和信任的傳感器網(wǎng)絡(luò)行為分析算法

3.4.1 數(shù)據(jù)收集和行為分析

圖1 傳感器網(wǎng)絡(luò)行為分析體系結(jié)構(gòu)

行為分析監(jiān)控節(jié)點(diǎn)的偵聽模式設(shè)置為混雜模式，使節(jié)點(diǎn)能夠接收鄰居節(jié)點(diǎn)發(fā)出的所有消息。消息接收后，按照來源于不同鄰居節(jié)點(diǎn)將其分別進(jìn)行行為分析規(guī)則匹配，根據(jù)信息的內(nèi)容被轉(zhuǎn)換為可用于行為分析規(guī)則匹配的格式與檢測規(guī)則逐條進(jìn)行匹配，一旦某條消息違背了檢測規(guī)則，異常記數(shù)器記錄下這個異常，并進(jìn)行信任值更新。若鄰居節(jié)點(diǎn)的行為在一段時間內(nèi)屬于正常，則增加其信任值。若其行為在一段時間內(nèi)一直屬于異常，則降低其信任值。當(dāng)信任值降低到一定閥值，則在路由表中刪除其路由項(xiàng)。為了節(jié)約資源，被記錄過的消息將被丟棄而不再繼續(xù)用于規(guī)則匹配。

3.4.2 行為分析算法

行為分析的異常既有節(jié)點(diǎn)的入侵行為，同時也包括節(jié)點(diǎn)的偶然錯誤。檢測器執(zhí)行檢測算法，檢測算法的目標(biāo)是將入侵行為從非入侵異常中區(qū)分出來。

從檢測系統(tǒng)的角度，取一個固定時間長度作為時間片t0。檢測系統(tǒng)的異常計(jì)數(shù)器是一個初始值為0的遞增函數(shù)和一個信任值為r的遞減函數(shù)，系統(tǒng)發(fā)現(xiàn)一個異常則異常計(jì)數(shù)器遞增1、信任值減1。每經(jīng)過t0時間，如果檢測器未發(fā)現(xiàn)入侵，將異常計(jì)數(shù)器的值和節(jié)點(diǎn)信任值存儲起來用作下次計(jì)算，異常計(jì)數(shù)器清零，準(zhǔn)備重新計(jì)數(shù)；如果檢測器發(fā)現(xiàn)入侵，則對異常記錄存儲器中的前面各輪結(jié)果求均值作為本周期異常值存儲起來。傳感器網(wǎng)絡(luò)行為分析模塊如圖2所示。設(shè)異常存儲器根據(jù)時間先后順序記錄前n個t0時間內(nèi)產(chǎn)生的異常值：x1,x2,…，xn，n是周期，目前的信任值為dep。對 x1,x2,…，xn，有：

設(shè)置異常值的置信區(qū)間[0,aver_anomaly+d×deviation]（d>1）。當(dāng)新產(chǎn)生的異常值xn不在置信區(qū)間，且dep也不在信任值的置信區(qū)間時，檢測器判定入侵，即網(wǎng)絡(luò)中存在入侵跡象，否則檢測器判定為節(jié)點(diǎn)出錯。

4 仿真實(shí)驗(yàn)

4.1 實(shí)驗(yàn)說明

仿真實(shí)驗(yàn)過程中，網(wǎng)絡(luò)行為分析節(jié)點(diǎn)始終處于混雜模式監(jiān)聽網(wǎng)絡(luò)。行為分析算法基于統(tǒng)計(jì)異常，并假設(shè)初始的一段時間為訓(xùn)練階段。訓(xùn)練階段網(wǎng)絡(luò)中不存在入侵，檢測器使用節(jié)點(diǎn)出錯信息進(jìn)行訓(xùn)練，通過節(jié)點(diǎn)出錯信息來確定節(jié)點(diǎn)非入侵異常的大致范圍；進(jìn)入行為檢測階段以后，檢測器計(jì)算每一輪時間內(nèi)包含節(jié)點(diǎn)出錯和入侵行為的混合數(shù)據(jù)偏離非入侵異常模式的次數(shù)，存儲于異常記錄器；通過異常次數(shù)的偏差程度來區(qū)分節(jié)點(diǎn)出錯和入侵。

圖2 傳感器網(wǎng)絡(luò)行為分析模塊

圖3 DoS攻擊檢測率和漏檢率

圖4 Hello洪泛檢測率和漏檢率

本實(shí)驗(yàn)考慮的入侵模型為拒絕服務(wù)攻擊（DoS）和Hello洪泛。參考文獻(xiàn)[8]提供了一個服從泊松過程的傳感器節(jié)點(diǎn)數(shù)據(jù)生成模型。本文仿真實(shí)驗(yàn)采用這個模型來構(gòu)造數(shù)據(jù)源，普通節(jié)點(diǎn)產(chǎn)生訓(xùn)練數(shù)據(jù)服從強(qiáng)度λ=1的泊松過程，訓(xùn)練時間為1 000 s，節(jié)點(diǎn)數(shù)目為10個。入侵節(jié)點(diǎn)產(chǎn)生入侵?jǐn)?shù)據(jù)服從強(qiáng)度為λ的泊松過程，入侵?jǐn)?shù)據(jù)根據(jù)以上入侵模型來構(gòu)造。

4.2 實(shí)驗(yàn)結(jié)果及分析

圖3所示是DoS入侵的分析結(jié)果。從圖中可以看出，當(dāng)d取值減小，檢測率變高，漏檢率降低而誤檢率變高。當(dāng)d取值增大，檢測率降低，漏檢率升高，誤檢率降低。圖4是Hello洪泛檢測結(jié)果，洪泛入侵違背了行為分析規(guī)則，由于不存在因節(jié)點(diǎn)出錯而違背行為分析規(guī)則，檢測器甚至不需要進(jìn)行訓(xùn)練便可以檢測到其入侵。圖3和圖4表明：隨著DoS入侵頻率的增加，檢測率越高，檢測效果越明顯，同時漏檢率也越低。

5 結(jié)束語

無線傳感網(wǎng)絡(luò)節(jié)點(diǎn)對網(wǎng)絡(luò)行為分析測量優(yōu)化能提高網(wǎng)絡(luò)的安全可信能力。針對網(wǎng)絡(luò)行為分析測量問題的特點(diǎn)，本文提出一種基于信任的分布式檢測算法，主要對DoS攻擊和Hello洪泛進(jìn)行檢測，若有更多的行為分析規(guī)則則能夠更有效地檢測入侵節(jié)點(diǎn)。仿真實(shí)驗(yàn)表明，基于信任的網(wǎng)絡(luò)行為分析算法能快速有效檢測節(jié)點(diǎn)入侵，同時又大大降低誤檢率，而且算法簡潔，有利于節(jié)能。

1 李善倉，張克旺.無線傳感器網(wǎng)絡(luò)原理與應(yīng)用.北京：機(jī)械工業(yè)出版社，2008

2 陳林星.無線傳感器網(wǎng)絡(luò)技術(shù)與應(yīng)用.北京：電子工業(yè)出版社，2009

3 Xiong Fei，Xu Qijian.Active trust transmission mechanism for wireless sensor network.In：The Second International Symposium on Intelligent Information Technology Application， Shanghai，China，2008

4 Wood A，Stankovic J.Denial of service in sensor networks.IEEE Computer，2002，35（10）：54～62

5 Yu B，Xiao B.Detecting selective forwarding attacks in wireless sensor networks.In：Proceedings of the 2nd International Workshop on Security in Systems and Networks，Greece，2006

6 Yongguang Zhang,Wenke Lee.Intrusion detection in wireless ad hoc networks.In：6th Conf Mobile Comp and Net，Boston，2000

7 Agah A,Das S K,Basu K,et al.Intrusion detection in sensor networks:anon-cooperative game approach,In:3th IEEE International Symposium on Network Computing and Applications,Cambridge,2004

8 Onat I,Miri A.A real-time node-based traffic anomaly detection algorithm for wireless sensor network.In:Proceedings of Systems Communications,Boston,2005