王雪麗

（宿州學院，安徽　宿州　234000）

無線傳感器網(wǎng)絡中的sinkhole攻擊檢測技術研究

王雪麗

（宿州學院，安徽宿州234000）

在無線傳感器系統(tǒng)中，Sinkhole是一種相對基礎且常見的路由攻擊類型，攻擊者通過聲稱到目的節(jié)點或基站具有高質量的路徑吸引周圍節(jié)點的數(shù)據(jù)流，對網(wǎng)絡的負載平衡造成了嚴重的影響.當前，sinkhole攻擊檢測技術在網(wǎng)絡安全問題中占有重要的地位，其重要性越來越受到人們的重視.基于此，本文對無線傳感器網(wǎng)絡中的sinkhole攻擊檢測技術原理與設計進行了分析，以便于更好利用該技術對計算機網(wǎng)絡進行保護.

sinkhole攻擊；無線傳感器；檢測技術

在互聯(lián)網(wǎng)中，sinkhole攻擊對于傳感數(shù)據(jù)來說是一種很嚴重的攻擊行為，它對于計算機獲取數(shù)據(jù)信息的完整性與正確性起到了一定的阻礙作用，甚至對計算機的核心系統(tǒng)構成嚴重危害.然而隨著計算機與網(wǎng)絡技術的普及與發(fā)展，人們在日常的信息數(shù)據(jù)傳輸過程中對網(wǎng)絡的安全性有著更高的要求，因此對sinkhole攻擊的有效防護是一項亟需解決的問題.本文將通過對sinkhole攻擊的原理進行研究和分析，以期找出相對應的防護措施.

1　sinkhole攻擊概述

Sinkhole中文被譯為“槽洞攻擊”，其具體是由攻擊節(jié)點去引誘一個區(qū)域的流量，使數(shù)據(jù)經(jīng)過該節(jié)點，節(jié)點就可以對正常數(shù)據(jù)進行篡改，導致該區(qū)域的所有信息缺失或被改動.在每次的sinkhole攻擊中，該節(jié)點都會偽裝自己，強調自己的性能可靠且高效，對周圍節(jié)點具有強烈的吸引，據(jù)此對通過該節(jié)點信息進行惡意篡改.這種惡意的信息改動操作，會將用戶的私人信息傳送給攻擊者，這不單單為黑客創(chuàng)造了攻擊計算機的機會，而且還嚴重地影響了網(wǎng)絡的負載平衡，甚至還可能引起更多的其他惡意攻擊.因此，當前企業(yè)或家庭中的無線傳感器網(wǎng)絡對于的sinkhole攻擊行為十分敏感，亟需引起廣大用戶的注意.圖1為帶有sinkhole攻擊的網(wǎng)絡狀態(tài)示意圖.

圖1　sinkhole攻擊示意圖

2　無線傳感器網(wǎng)絡中的sinkhole攻擊產(chǎn)生與原理

在網(wǎng)絡中的Sinkhole攻擊過程中，攻擊者會吸引到入侵的節(jié)點周圍區(qū)域內幾乎所有的數(shù)據(jù)流信息，有時候攻擊者會通過已被俘獲的節(jié)點中心進行槽洞攻擊.一般來說，基站附近區(qū)域的數(shù)據(jù)交換信息量比較大，所以這個特定區(qū)域通常都會在基站附近，加上Sinkhole攻擊與Sybil攻擊類似，會將數(shù)據(jù)流吸引過來，因此在其攻擊過程中也會為其他形式的攻擊提供方便.

一個攻擊節(jié)點按照路由算法可以成為最吸引周圍節(jié)點的特殊節(jié)點，這是Sinkhole的一種典型攻擊方式.例如，攻擊者會通過某種手段偽裝自己，在網(wǎng)絡中發(fā)放一個路由公告，通知別的節(jié)點自己擁有一條質量很高的通往基站的路由.這時候，部分協(xié)議會努力通過端到端的方式來反饋所包含的信息，進而檢測路由的安全狀態(tài).接著，攻擊節(jié)點便會利用自己能力充足的發(fā)射器來提供通往基站的一條路由，以此來給用戶造成一種擁有高質量路由的假象.因此，大量準備將信息數(shù)據(jù)發(fā)往基站的節(jié)點，通常都會攜帶數(shù)據(jù)包通過這個攻擊節(jié)點.并且攻擊節(jié)點還會在路由中起到一定的宣傳引導作用，在這條高質量路由向其他的節(jié)點擴散，不斷拓展了攻擊者的攻擊范圍，進而在更廣闊的路由空間內引導其他的向該基站發(fā)送信息的節(jié)點都需要通過該惡意節(jié)點，最終達到攻擊者的目的.

Sinkhole攻擊的重要目的之一就是對數(shù)據(jù)流進行選擇性轉發(fā)，通常情況下，攻擊者已經(jīng)很清楚地知道攻擊目標區(qū)域被Sinkhole節(jié)點所控制，可以任意地組織或者篡改攻擊區(qū)域的一個節(jié)點所發(fā)出的數(shù)據(jù)包.這種Sinkhole攻擊行為之所以能夠實施，主要是基于無線傳感網(wǎng)絡所構建的特殊通信方式，即在無線傳感網(wǎng)絡的某一區(qū)域內，所有的數(shù)據(jù)包都會有共同的最終傳送目的地，所以如果有一個節(jié)點被攻擊者攻擊，并且造成通向基站的高質量通道的假象，則會造成整個網(wǎng)絡節(jié)點都出現(xiàn)潛在的安全隱患與影響.

3　無線傳感器網(wǎng)絡中的sinkhole攻擊檢測技術設計

Sinkhole攻擊在無線傳感器網(wǎng)絡的眾多惡意攻擊中，是一種相對常見的惡意攻擊行為.目前，國內外諸多專業(yè)人士對此做出了大量的研究，試圖找出一種安全可靠的防范與檢測技術，例如采用附加的硬件設備，或者采用共享密鑰進行用戶身份的確認，但是節(jié)點間的密鑰會占用較大的內存空間，導致傳感器節(jié)點計算能量消耗較大，嚴重地危害了網(wǎng)絡的使用壽命.針對這種不足，當前提出了一種基于多點檢測與回復信息的Sinkhole攻擊檢測技術，可有效地防止Sinkhole攻擊.

3.1系統(tǒng)框架設計

當前業(yè)內人士針對目前網(wǎng)絡中攻擊者發(fā)起Sinkhole攻擊的原理特點，以及Tseng等人在文獻中提出的有限狀態(tài)機的思想，據(jù)此提出了一種相應的攻擊檢測系統(tǒng)，筆者結合自身工作對各模塊的功能及關鍵技術對該系統(tǒng)設計進行了詳細闡述.這種無線傳感器網(wǎng)絡的入侵檢測系統(tǒng)框架是在分布式結構的基礎上建立的，在該檢測系統(tǒng)中，每個節(jié)點都會負責監(jiān)測本地的數(shù)據(jù)，同時還協(xié)同鄰居節(jié)點進行協(xié)作監(jiān)測.具體地說，對于Sinkhole攻擊，該系統(tǒng)狀態(tài)可以分為兩個階段:

第一，路由選擇階段.在這一階段中，由檢測點發(fā)出檢測包傳輸?shù)交?，對沿途路由?jié)點進行檢查，通過分析與比較，判斷在該系統(tǒng)中是否存在惡意的節(jié)點.如果檢測出某點為惡意的攻擊節(jié)點，那么則會向全網(wǎng)公告該節(jié)點，相反則為正常節(jié)點.

第二，數(shù)據(jù)傳輸階段.這一階段同樣對有嫌疑的節(jié)點進行檢測，在固定時間間隔中，計算節(jié)點轉發(fā)數(shù)據(jù)包的情況，得出該節(jié)點丟包率.在一般的網(wǎng)路節(jié)點轉發(fā)數(shù)據(jù)中，會存在正常的丟包率，但如果計算該節(jié)點丟包率遠遠超過平常節(jié)點丟包率，那么就應當發(fā)出警告.系統(tǒng)通過這樣的判斷便可知道該公告節(jié)點是否受到了Sinkhole攻擊.

為了能夠更直觀地方便理解這一設計，筆者在下文舉例說明一種如何檢測Sinkhole攻擊的方案.如圖2所示，節(jié)點C、D、E在節(jié)點B的通信范圍之內，當節(jié)點A發(fā)出路由公告，此時B、C、D、E均能收到路由公告，因此，可將它們作為節(jié)點A的檢測節(jié)點.設節(jié)點B為該系統(tǒng)的統(tǒng)計監(jiān)測節(jié)點，經(jīng)過它可以搜集其他檢測節(jié)點收到的回復信息并進行統(tǒng)計計算，這樣可以粗略地檢測該節(jié)點什么時候會受到Sinkhole攻擊.如果該節(jié)點受到了攻擊，則應該將它隔離；如果判斷出節(jié)點A沒有受到惡意攻擊，則需要進行繼續(xù)的檢測，通過丟包率的比較，進一步判斷A是否為惡意節(jié)點.

圖2　監(jiān)測點示意圖

3.2主要功能模塊設計

3.2.1本地數(shù)據(jù)監(jiān)控模塊

在網(wǎng)絡數(shù)據(jù)監(jiān)控中，審核數(shù)據(jù)的收集和對數(shù)據(jù)進行過濾和預處理是本地數(shù)據(jù)監(jiān)控模塊的主要任務，在進行完初步的分析后，然后將結果發(fā)送給本地檢測模塊.一般情況下，在傳感網(wǎng)絡系統(tǒng)中，需要收集的信息主要包括數(shù)據(jù)包信息、路由請求信息、路由回復信息等內容，得到這些信息后，監(jiān)控模塊會對這些信息進行逐一審核.

在該模塊中，需要對路由行為進行分析，根據(jù)收集的數(shù)據(jù)信息，從而得出有效的信息反饋；接著，網(wǎng)絡中的節(jié)點會根據(jù)收集到的信息進行編輯，記錄好節(jié)點收發(fā)數(shù)據(jù)的情況.根據(jù)記錄到的信息表，模塊會在不間斷的時間內對數(shù)據(jù)進行逐一分析，統(tǒng)計某一節(jié)點在單位時間內處理的相同特征的報文次數(shù)，然后將報文進行總和，最終將報文信息送至檢測模塊進行檢驗.

3.2.2本地檢測模塊

在本地檢測模塊中使用基于多點檢測的方法來檢測攻擊，通過每個鄰居節(jié)點和回復信息，可以監(jiān)測出是否受到攻擊.Mintroute是如今是傳感器網(wǎng)絡中最常使用的方法，它可以將鏈路質量估價作為衡量標準，其所指的節(jié)點路徑特指從源節(jié)點到基站方向的路徑.這種檢測模塊是讓每個節(jié)點將從旁邊節(jié)點接收到數(shù)據(jù)包的丟失情況作為基礎，這樣可以對其它的節(jié)點進行數(shù)據(jù)評估.通過不斷循環(huán)檢測，對每個鄰居節(jié)點都進行評估，最終列出表格，讓系統(tǒng)可周期性地了解鄰居節(jié)點，并對節(jié)點進行監(jiān)測.當系統(tǒng)對數(shù)據(jù)表格的分析后，會選擇最優(yōu)鏈路將成為它們的父節(jié)點.

另外，在選擇父節(jié)點時，對閾值的選取很重要，這樣可以防止噪聲干擾評估結果，避免誤差.如果一個新的節(jié)點鏈路質量高于當前父節(jié)點鏈路質量的75%，或當前父節(jié)點的鏈路質量值低于25，那么這個節(jié)點可以作為新的父節(jié)點，反之原父節(jié)點繼續(xù)有效.

3.2.3協(xié)作檢測模塊

從網(wǎng)絡中找到入侵節(jié)點，是設計檢測模塊需要解決的重要問題.通常來說，節(jié)點的目的信息相一致的屬性往往作為其查詢信息的依據(jù)，并依次傳播擴散，一級傳一級，由局部傳到整個網(wǎng)絡，進而將所有的目標信息進行匹配.當每一個節(jié)點從上一個節(jié)點收到信息后，先查看原來記錄中是否存在該信息，如果沒有記錄，則應該錄入節(jié)點信息.對于基站來說，如果哪個鄰居節(jié)點發(fā)送的信息較快，那么它將會對其進行標識，將其記錄為“梯度”最大的鄰居節(jié)點，并同時對該鄰居節(jié)點發(fā)送一個加強選擇信息.鄰居節(jié)點也會對它的鄰居節(jié)點進行篩選，選擇出它的“梯度”最大的鄰居節(jié)點，以此類推，最終會選擇出一條“梯度”值最大的路徑.以此條路徑發(fā)送的信息的效率較高，而其他較低發(fā)送率的節(jié)點作為備用路徑以保證網(wǎng)絡的可靠性.

4　仿真與實驗效果分析

模擬仿真和現(xiàn)實中真實的測量是通常在技術領域中評價一種新技術是否適用的方法.在無線傳感器網(wǎng)絡中，由于其自身特殊的性質——物理測量無法進行，所以計算機的仿真顯得尤為重要.無線傳感器是不同于無線網(wǎng)絡和有線網(wǎng)絡的，它具有自身的特殊性，主要面向于應用類型的網(wǎng)絡，因此如何選擇仿真工具是首先應當考慮的問題，而目前來說，測試結果相對準確的有SENSE項目、TOSSIM項目、SensorSim項目和EYES項目等.筆者在下文著重對TOSSIM工具的仿真簡要分析.TOSSIM項目是從Tiny0S代碼中產(chǎn)生的模擬器，它可以檢測出每條鏈路的通信質量，通過對每條鏈路的比特出錯率進行設置，可以對鏈路信息進行嚴格把控.

4.1仿真模型的建立

首先，建立一個仿真模型，以此來檢驗仿真檢測方案的功能.

（1）找一個100mX100m的范圍，在該范圍內均勻劃分，選擇50個傳感器節(jié)點.將該區(qū)域內每個點都應固定，節(jié)點位置也應該間距相同.

（2）在設置每個節(jié)點時，各個節(jié)點的能力、通訊條件都應該相同，并且每個數(shù)據(jù)包在網(wǎng)絡中應該以19.2kb/s的速度傳輸.

對編寫的程序進行進一步的調試，使其在TOSSIM模擬器上可以準確地運行.

4.2仿真比較和分析

在仿真模型計算中，分別采用不相交路徑和纏繞路徑來計算，這樣對比考慮不同情況下的路徑，能夠相對準確地比較出本文所提及的檢測技術.另外，網(wǎng)絡中會存在一定的失效節(jié)點，在針對不同的失效節(jié)點進行比較時，要對其安全概率進行研究.

根據(jù)分析結果，將其展示在圖3中，在圖3中可以顯示，本文方法的檢測安全概率大于不相交路徑的方法，證明檢測有效.

圖3　三種方法下安全概率的比較圖

5　結語

在當前網(wǎng)絡技術飛速發(fā)展的今天，傳感器網(wǎng)絡作為我們傳輸信息數(shù)據(jù)的重要途徑，具有極其重要的作用.然而面對威脅網(wǎng)絡安全的Sinkhole攻擊，我們必須要找尋到一種可靠、穩(wěn)定的檢測防護技術.據(jù)此，筆者在文中介紹了一種當前安全防護性能較高的Sinkhole攻擊防范檢測方法，能夠實時地對攻擊進行分析勘察，對信任節(jié)點加以利用，對攻擊節(jié)點加以警告，進而對整個網(wǎng)絡的安全進行控制，對傳感網(wǎng)絡的安全運營具有重要的意義.希望在以后的工作中，能夠更深入的對Sinkhole攻擊的檢測機制展開研究，進而對不同的類型攻擊有更廣泛的了解.

〔1〕滕麗萍，張永平.無線傳感器網(wǎng)絡中sinkhole攻擊研究［J］.計算機安全，2011（13）.

〔2〕滕麗萍.無線傳感器網(wǎng)絡中基于Sinkhole攻擊的入侵檢測系統(tǒng)研究 ［J］.計算機應用與軟件，2013（03）.

〔3〕周玲玲，張建明，王良民.無線傳感器網(wǎng)絡中的sinkhole攻擊檢測［J］.計算機工程與應用，2008 （09）.

〔4〕袁偉.無線傳感器網(wǎng)絡中的Sinkhole攻擊檢測［J］.電腦編程技巧與維護，2011（07）.

TP393.08

A

1673-260X（2016）07-0016-03

2016-03-11

Wsn中多類型inside attack檢測與精確定位方法的研究（2013yyb02）