蔡志偉,杜 飛,徐啟建,褚偉銘

(1.通信工程學(xué)院,江蘇南京210004;2.中國電子系統(tǒng)工程公司研究所,北京100141;3.通信指揮學(xué)院,湖北武漢430010)

0 引言

隨著全球信息化水平的不斷提高,網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)在整個(gè)產(chǎn)業(yè)布局乃至國家戰(zhàn)略格局中越來越具有舉足輕重的地位和作用。盡管如此,當(dāng)前網(wǎng)絡(luò)域信息安全的現(xiàn)狀卻不容樂觀。網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜,各式各樣的復(fù)雜設(shè)備需要不斷升級,不經(jīng)意的疏忽便有可能造成安全的重大隱患。網(wǎng)絡(luò)行為分析與傳統(tǒng)的入侵檢測進(jìn)行比較,網(wǎng)絡(luò)行為分析具有許多優(yōu)越性能,能增強(qiáng)系統(tǒng)的生存能力,提高系統(tǒng)可靠性與可信度。因此,提出了基于能量和信任的網(wǎng)絡(luò)行為分析算法,該模型能提高網(wǎng)絡(luò)性能及更加有效地將攻擊者拒之門外。

1 傳感器網(wǎng)絡(luò)的安全問題

無線傳感器網(wǎng)絡(luò)(Wireless Sensor Network,WSN)是一種特殊類型的網(wǎng)絡(luò),其約束條件很多(相對于計(jì)算機(jī)網(wǎng)絡(luò)),這些約束條件加劇了網(wǎng)絡(luò)的安全問題[1]。通常假定攻擊者可能知道網(wǎng)絡(luò)采用的安全機(jī)制,能夠危及甚至捕獲某個(gè)傳感器節(jié)點(diǎn)。由于布設(shè)具有抗篡改能力的節(jié)點(diǎn)成本高,可以認(rèn)為大多數(shù)WSN節(jié)點(diǎn)是沒有抗篡改能力的。一旦某個(gè)節(jié)點(diǎn)被攻擊,那么攻擊者可以竊取這個(gè)節(jié)點(diǎn)內(nèi)的密鑰[2]。入侵者可能會發(fā)起各種各樣的攻擊,這些攻擊大體可以分為外部攻擊和內(nèi)部攻擊兩大類。

1.1 外部攻擊

外部攻擊是無法通過正常渠道接入網(wǎng)絡(luò)的入侵者發(fā)起的攻擊。被動的信息偵聽就屬于這種攻擊。入侵者無需得到接入網(wǎng)絡(luò)的授權(quán),就可以在網(wǎng)絡(luò)的無線頻率范圍內(nèi)輕易的竊聽信道上傳送的數(shù)據(jù),從而獲取所需要的信息。對于沒有任何安全措施的網(wǎng)絡(luò)而言,入侵者甚至可以篡改網(wǎng)絡(luò)中的數(shù)據(jù)包或者向網(wǎng)絡(luò)注入虛假的信息包。

外部攻擊更一般的情況是對WSN節(jié)點(diǎn)進(jìn)行物理破壞。某種情況下,攻擊者甚至可以破環(huán)很大范圍內(nèi)的傳感器節(jié)點(diǎn),從而造成該區(qū)域的傳感數(shù)據(jù)無法采集,降低網(wǎng)絡(luò)的可用性。另外,攻擊者也可以通過發(fā)送持續(xù)的無線電干擾信號,造成網(wǎng)絡(luò)無法正常通信。

1.2 內(nèi)部攻擊

內(nèi)部攻擊的情況可以分為2種:①節(jié)點(diǎn)被俘獲而成為惡意節(jié)點(diǎn);②攻擊者獲得了合法節(jié)點(diǎn)中的數(shù)據(jù)、代碼或者網(wǎng)絡(luò)的密鑰,通過正常的途徑接入網(wǎng)絡(luò)。一般來說,發(fā)起內(nèi)部攻擊的節(jié)點(diǎn)具有如下特征[3]:

①具有無線通信設(shè)備,可以與網(wǎng)絡(luò)中的其他節(jié)點(diǎn)自由通信;

②運(yùn)行惡意代碼。這些惡意代碼不同于合法節(jié)點(diǎn)運(yùn)行的正常代碼,它總是試圖竊取網(wǎng)絡(luò)中的敏感數(shù)據(jù)或者破壞網(wǎng)絡(luò)的功能;

③通過合法授權(quán)參與到網(wǎng)絡(luò)中的。

這里研究融合網(wǎng)絡(luò)安全路由機(jī)制,因此重點(diǎn)分析網(wǎng)絡(luò)層面臨的安全威脅。針對網(wǎng)絡(luò)層的攻擊主要有以下幾種[4,5]:偽造、篡改或者重放路由信息,是對網(wǎng)絡(luò)層最直接的攻擊方式;選擇性地轉(zhuǎn)發(fā),基于多跳傳輸?shù)穆酚蓹C(jī)制,中間節(jié)點(diǎn)需要忠實(shí)的轉(zhuǎn)發(fā)數(shù)據(jù)包。黑洞攻擊就是通過一個(gè)惡意節(jié)點(diǎn)吸引一個(gè)特定區(qū)域的幾乎所有的數(shù)據(jù)流量。這個(gè)節(jié)點(diǎn)使路由算法認(rèn)為數(shù)據(jù)經(jīng)過它能達(dá)到最優(yōu)的性能。女巫攻擊,惡意節(jié)點(diǎn)向其鄰居節(jié)點(diǎn)發(fā)送多個(gè)“身份”的虛假位置信息(偽造的或者竊取的),以多個(gè)不同的身份出現(xiàn)在網(wǎng)絡(luò)中,造成網(wǎng)絡(luò)鏈路的混亂;HELLO泛洪攻擊,惡意節(jié)點(diǎn)可以利用強(qiáng)發(fā)射功率的天線向網(wǎng)絡(luò)廣播路由和自身信息,收到的節(jié)點(diǎn)就會誤認(rèn)為該惡意節(jié)點(diǎn)是其鄰居。

2 基于能量和信任的網(wǎng)絡(luò)行為分析

2.1 傳統(tǒng)入侵檢測的分析與比較

Wenke Lee在文獻(xiàn)[6]提出了一個(gè)著名的Ad hoc網(wǎng)絡(luò)入侵檢測模型MWNIDS。該模型基于協(xié)同工作的分布式代理,每個(gè)監(jiān)控節(jié)點(diǎn)負(fù)責(zé)檢測本地入侵活動,同時(shí)協(xié)助鄰近監(jiān)控節(jié)點(diǎn)進(jìn)行聯(lián)合檢測。由于檢測器使用分類算法,計(jì)算量較大,因此監(jiān)控節(jié)點(diǎn)能耗大,不適應(yīng)供能較Ad hoc網(wǎng)絡(luò)更為緊張的傳感器網(wǎng)絡(luò)。文獻(xiàn)[7]將非合作博弈論用于傳感器網(wǎng)絡(luò)入侵檢測,將入侵和檢測作為博弈雙方建模,制定雙方的策略將其歸一化為一個(gè)非合作、非零和的博弈模型,通過此模型博弈雙方達(dá)到納什均衡,并使檢測方找到最大化收益策略,從而增加檢測概率更好地保護(hù)系統(tǒng)。博弈模型雖然可以發(fā)現(xiàn)入侵,由于缺乏特征分析,無法知道確定是何種攻擊和攻擊的來源,因此不能適應(yīng)傳感器網(wǎng)絡(luò)中復(fù)雜多變的攻擊和入侵。

2.2 傳感器網(wǎng)絡(luò)行為分析模型的設(shè)計(jì)目標(biāo)

為了使傳感器網(wǎng)絡(luò)行為分析模型在總體上表現(xiàn)出開放、安全和健壯等特性,能夠應(yīng)對傳感器網(wǎng)絡(luò)攻擊和入侵,傳感器網(wǎng)絡(luò)行為分析模型應(yīng)具備以下能力目標(biāo):

①在傳感器網(wǎng)絡(luò)中使用分布式結(jié)構(gòu)下的協(xié)作檢測。監(jiān)控節(jié)點(diǎn)分散在異構(gòu)網(wǎng)絡(luò)各個(gè)區(qū)域,不僅負(fù)責(zé)檢測本地入侵活動,同時(shí)協(xié)助鄰近監(jiān)控節(jié)點(diǎn)進(jìn)行聯(lián)合檢測;

②由于傳感器節(jié)點(diǎn)處理器能力弱且存儲器容量小,計(jì)算和存儲能力很有限,因此,行為監(jiān)測控制算法首要考慮簡潔有效,兼顧節(jié)能,應(yīng)是一種能量有效的算法;

③考慮到傳感器節(jié)點(diǎn)特殊的工作環(huán)境和高誤差,行為分析算法對于偶然的非入侵異常行為可以進(jìn)行容錯(cuò)處理,使得節(jié)點(diǎn)通信故障或偶發(fā)性錯(cuò)誤而造成異常不會被誤判為入侵,不但提高了檢測系統(tǒng)的檢測率,而且能降低檢測系統(tǒng)的誤檢率;

④與安全路由和信任模型有結(jié)合能力,使網(wǎng)絡(luò)行為分析的結(jié)果可以用于安全路由的工作和信譽(yù)值的計(jì)算。而安全路由和信任模型中有用的數(shù)據(jù)可以為行為監(jiān)控系統(tǒng)所用。

2.3 傳感器網(wǎng)絡(luò)行為分析體系結(jié)構(gòu)

根據(jù)傳感器網(wǎng)絡(luò)行為分析體系結(jié)構(gòu)的能量特性和目標(biāo),其行為分析算法應(yīng)采用分布式的合作行為分析系統(tǒng)和層級式行為分析系統(tǒng)。分布式的合作行為分析系統(tǒng)與獨(dú)立的行為分析系統(tǒng)相似,每個(gè)節(jié)點(diǎn)獨(dú)立運(yùn)行行為分析系統(tǒng),節(jié)點(diǎn)之間進(jìn)行交互合作以檢測一些特征不明確的攻擊,該體系會消耗更多的通信資源和計(jì)算資源,并且需要可信傳輸?shù)谋Ｕ?在層級式的系統(tǒng)中,部分節(jié)點(diǎn)運(yùn)行檢測系統(tǒng),并被組織成多層結(jié)構(gòu),在低層采用分布式的檢測策略進(jìn)行初步檢測,在高層的節(jié)點(diǎn)就對低層節(jié)點(diǎn)的檢測信息進(jìn)行檢查。雖然層級式的系統(tǒng)可以減少通信量和對節(jié)點(diǎn)資源的占用,但存在一定的處理延遲。傳感器網(wǎng)絡(luò)行為分析體系如圖1所示。

2.4 基于能量和信任的傳感器網(wǎng)絡(luò)行為分析算法

2.4.1 數(shù)據(jù)收集和行為分析

行為分析監(jiān)控節(jié)點(diǎn)的偵聽模式設(shè)置為混雜模式,使節(jié)點(diǎn)能夠接收鄰居節(jié)點(diǎn)發(fā)出的所有消息。消息接收后,按照來源于不同鄰居節(jié)點(diǎn)將其分別進(jìn)行行為分析規(guī)則匹配,根據(jù)信息的內(nèi)容被轉(zhuǎn)換為可用于行為分析規(guī)則匹配的格式與檢測規(guī)則逐條進(jìn)行匹配,一旦某條消息違背了檢測規(guī)則,異常記數(shù)器記錄下這個(gè)異常,并進(jìn)行信任值更新。若鄰居節(jié)點(diǎn)的行為在一段時(shí)間內(nèi)屬于正常,則增加其信任值。若其行為在一段時(shí)間內(nèi)一直屬于異常,則降低其信任值。當(dāng)信任值降低到一定閥值,則在路由表中刪除其路由項(xiàng)。為了節(jié)約資源,被記錄過的消息將被丟棄而不再繼續(xù)用于規(guī)則匹配。

2.4.2 行為分析算法

行為分析的異常既有節(jié)點(diǎn)的入侵行為同時(shí)也包括節(jié)點(diǎn)的偶然錯(cuò)誤。檢測器執(zhí)行檢測算法,檢測算法的目標(biāo)是將入侵行為從非入侵異常中區(qū)分出來。傳感器網(wǎng)絡(luò)行為分析模塊如圖2所示。

圖2 傳感器網(wǎng)絡(luò)行為分析模塊

從檢測系統(tǒng)的角度,取一個(gè)固定時(shí)間長度作為時(shí)間片t0。檢測系統(tǒng)的異常計(jì)數(shù)器是一個(gè)初始值為0的遞增函數(shù)和一個(gè)信任值為r遞減函數(shù),系統(tǒng)發(fā)現(xiàn)一個(gè)異常則遞增1信任值減1。每經(jīng)過t0時(shí)間,如果檢測器未發(fā)現(xiàn)入侵,將異常計(jì)數(shù)器的值和節(jié)點(diǎn)信任值存儲起來用作下次計(jì)算,異常計(jì)數(shù)器清零,準(zhǔn)備重新計(jì)數(shù);如果檢測器發(fā)現(xiàn)入侵,則對異常記錄存儲器中的前面各輪結(jié)果求均值作為本周期異常值存儲起來。設(shè)異常存儲器根據(jù)時(shí)間先后順序記錄前n個(gè)t0時(shí)間內(nèi)產(chǎn)生的異常值:x1,x2,…,xn,n是周期,目前的信任值為dep。對x1,x2,…,xn,有

設(shè)置異常值的置信區(qū)間[0,averanomaly+d*deviation],d＞1。當(dāng)新產(chǎn)生的異常值xn不在置信區(qū)間,且dep也不在信任值的置信區(qū)間檢測器判定入侵,即網(wǎng)絡(luò)中存在入侵跡象,否則檢測器判定為節(jié)點(diǎn)出錯(cuò)。

3 仿真實(shí)驗(yàn)

3.1 實(shí)驗(yàn)說明

仿真實(shí)驗(yàn)過程中,網(wǎng)絡(luò)行為分析節(jié)點(diǎn)始終處于混雜模式監(jiān)聽網(wǎng)絡(luò)。行為分析算法基于統(tǒng)計(jì)異常,并假設(shè):初始的一段時(shí)間為訓(xùn)練階段,訓(xùn)練階段網(wǎng)絡(luò)中不存在入侵,檢測器使用節(jié)點(diǎn)出錯(cuò)信息進(jìn)行訓(xùn)練,通過節(jié)點(diǎn)出錯(cuò)信息來確定節(jié)點(diǎn)非入侵異常的大致范圍;進(jìn)入行為檢測階段以后,檢測器計(jì)算每一輪時(shí)間內(nèi)包含節(jié)點(diǎn)出錯(cuò)和入侵行為的混合數(shù)據(jù)偏離非入侵異常模式的次數(shù),存儲于異常記錄器;通過異常次數(shù)的偏差程度來區(qū)分節(jié)點(diǎn)出錯(cuò)和入侵。

該實(shí)驗(yàn)考慮的入侵模型為拒絕服務(wù)攻擊DoS和Hello洪泛。文獻(xiàn)[8]提供了一個(gè)服從泊松過程的傳感器節(jié)點(diǎn)數(shù)據(jù)生成模型。這里仿真實(shí)驗(yàn)采用該模型來構(gòu)造數(shù)據(jù)源,普通節(jié)點(diǎn)產(chǎn)生訓(xùn)練數(shù)據(jù)服從強(qiáng)度λ=1的泊松過程,訓(xùn)練時(shí)間為1 000 s,節(jié)點(diǎn)數(shù)目為10個(gè)。入侵節(jié)點(diǎn)產(chǎn)生入侵?jǐn)?shù)據(jù)服從強(qiáng)度為λ的泊松過程,入侵?jǐn)?shù)據(jù)根據(jù)以上入侵模型來構(gòu)造。

3.2 實(shí)驗(yàn)結(jié)果及分析

DoS入侵的分析結(jié)果如圖3和圖4所示。從圖中可以看出,當(dāng)d取值減小,檢測率變高,漏檢率降低而誤檢變高。當(dāng)d取值增大,檢測率降低,漏檢率升高,誤檢率降低。Hello洪泛檢測結(jié)果如圖5和圖6所示。洪泛入侵違背了行為分析規(guī)則,由于不存在因節(jié)點(diǎn)出錯(cuò)而違背行為分析規(guī)則,檢測器甚至不需要進(jìn)行訓(xùn)練便可以檢測到其入侵。圖3、圖4、圖5和圖6表明:隨著DoS入侵頻率的增加,檢測率越高,檢測效果越明顯,同時(shí)漏檢率也越低。

圖3 DOS攻擊檢測率

圖4 DOS攻擊漏檢率

圖5 HELLO洪泛檢測率

圖6 HELLO洪泛漏檢率

4 結(jié)束語

無線傳感網(wǎng)絡(luò)節(jié)點(diǎn)對網(wǎng)絡(luò)行為分析測量優(yōu)化能提高網(wǎng)絡(luò)安全可信能力。針對網(wǎng)絡(luò)行為分析測量問題的特點(diǎn),上述提出的一種基于信任的分布式檢測算法,主要對DOS攻擊和HELLO洪泛進(jìn)行檢測,若有更多的行為分析規(guī)則能夠有效地檢測入侵節(jié)點(diǎn)。仿真實(shí)驗(yàn)表明,基于信任的網(wǎng)絡(luò)行為分析算法能快速有效地檢測節(jié)點(diǎn)入侵,同時(shí)又大大降低誤檢率,而且算法簡潔,有利于節(jié)能。

[1]李善倉,張克旺.無線傳感器網(wǎng)絡(luò)原理與應(yīng)用[M].北京:機(jī)械工業(yè)出版社,2008:22-28.

[2]陳林星.無線傳感器網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京:電子工業(yè)出版社,2009:130-145.

[3]XIONG Fei,XU Qi-jian.Active Trust Transmission Mechanism forWirelessSensorNetwork.The Second International Symposium on IntelligentInformation[C].Technology Application,Shanghai China,2008:626-632.

[4]WOOD A,STANKOVIC J.Denial of Service inSensor Networks[J].IEEE Computer,2002,35(10):54-62.

[5]YU B,XIAO B.Detecting Selective Forwarding Attacks in Wireless SensorNetworks[C].Proceedings ofthe2nd International Workshop on Security in Systems and Networks,Greece,2006:286-292.

[6]ZHANG Y,LEE W.Intrusion Detection in Wireless Ad Hoc Networks[C].6th Conf Mobile Comp and Net,Boston,2000:56-62.

[7]AGAH,DAS SK,BASU K.Intrusion Detection in Sensor Networks[C]:A Non-cooperative Game Approach,3th IEEE International Symposium on Network Computing and Applications,Cambridge,2004:154-166.

[8]MIRI A.A Real-time Node-based Traffic Anomaly Detection Algorithm for Wireless Sensor Network[C].Proceedings of Systems Communications Boston,2005:208-218.