沈士根，黃龍軍，范　恩，胡珂立，劉建華，曹奇英

（1.紹興文理學(xué)院計(jì)算機(jī)科學(xué)與工程系，浙江紹興312000；2.嘉興學(xué)院數(shù)理與信息工程學(xué)院，浙江嘉興314001；3.浙江工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，杭州310023；4.東華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，上海201620）

受惡意程序傳染的WSNs可生存性評(píng)估*

沈士根1，2*，黃龍軍1，3，范恩1，胡珂立1，劉建華2，曹奇英4

（1.紹興文理學(xué)院計(jì)算機(jī)科學(xué)與工程系，浙江紹興312000；2.嘉興學(xué)院數(shù)理與信息工程學(xué)院，浙江嘉興314001；3.浙江工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，杭州310023；4.東華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，上海201620）

為實(shí)現(xiàn)傳感節(jié)點(diǎn)數(shù)據(jù)高可靠傳輸?shù)臒o(wú)線(xiàn)傳感器網(wǎng)絡(luò)WSNs（Wireless Sensor Networks），提出一種針對(duì)受惡意程序傳染的聚簇WSNs可生存性評(píng)估方法。通過(guò)使用能預(yù)測(cè)惡意程序傳染行為的博弈模型，將惡意程序傳染的故意性與馬爾可夫鏈的隨機(jī)性關(guān)聯(lián)，實(shí)現(xiàn)利用馬爾可夫鏈中的狀態(tài)轉(zhuǎn)換描述惡意程序傳染行為的目的。使用提出的易感節(jié)點(diǎn)可靠度評(píng)估指標(biāo)，根據(jù)可靠性理論將聚簇WSNs看作一個(gè)“并-串-并”系統(tǒng)，推理得到了一個(gè)簇、一條路由直至整個(gè)WSNs的可靠度評(píng)估指標(biāo)，最終得到WSNs生存期評(píng)估指標(biāo)。實(shí)驗(yàn)分析了影響WSNs可生存性的因素，結(jié)果表明提出的方法能有效評(píng)估WSNs的可生存性，為設(shè)計(jì)高可生存的WSNs提供理論基礎(chǔ)。

無(wú)線(xiàn)傳感器網(wǎng)絡(luò)；可生存性評(píng)估；博弈論；惡意程序傳染；可靠性理論

EEACC:7230doi:10.3969/j.issn.1004-1699.2016.07.022

無(wú)線(xiàn)傳感器網(wǎng)絡(luò) WSNs（Wireless Sensor Networks）安全是實(shí)現(xiàn)環(huán)境監(jiān)測(cè)、目標(biāo)跟蹤、健康檢測(cè)等眾多應(yīng)用的保障，因此備受學(xué)術(shù)和工業(yè)界的關(guān)注［1-5］。其中，網(wǎng)絡(luò)可生存性作為WSNs安全的重要組成部分，表示W(wǎng)SNs即使在面臨惡意程序攻擊或自然災(zāi)害的情況下，都要求WSNs具有可靠和可用的能力。而要能利用各種可生存技術(shù)提高WSNs的可生存性，可生存性評(píng)估是前提，同時(shí)，得到的評(píng)估結(jié)果能為高可生存的WSNs設(shè)計(jì)提供最優(yōu)解決方案。

近期研究［6］表明，在WSNs中容易傳染惡意程序。一方面，組成同一個(gè)WSNs的傳感節(jié)點(diǎn)的軟硬件具有同構(gòu)性，一旦有一個(gè)傳感節(jié)點(diǎn)被惡意程序感染，就容易擴(kuò)散惡意程序到整個(gè)網(wǎng)絡(luò)。另一方面，對(duì)那些部署后不能再人工操作的傳感節(jié)點(diǎn)，目前主要使用如Trickle、Firecracker等協(xié)議對(duì)其進(jìn)行重配置或重編程，實(shí)現(xiàn)傳感節(jié)點(diǎn)系統(tǒng)軟件分發(fā)和更新功能，但惡意攻擊者也可使用這些協(xié)議傳染惡意程序。因此，對(duì)受惡意程序傳染的WSNs進(jìn)行可生存性評(píng)估已逐漸成為當(dāng)前WSNs安全性研究的熱點(diǎn)。

目前，國(guó)內(nèi)外研究者已提出了一些與WSNs相關(guān)的可生存性評(píng)估方法。徐恪等人［7］對(duì)互聯(lián)網(wǎng)體系結(jié)構(gòu)的評(píng)估模型及方法的綜述為WSNs可生存性評(píng)估提供了很好的借鑒作用。王海濤等人［8］通過(guò)篩選應(yīng)急通信中WSNs的可生存性評(píng)估指標(biāo)，提出了基于網(wǎng)絡(luò)分析法的評(píng)估模型。朱世才等人［9］利用半馬爾可夫過(guò)程針對(duì)聚簇WSNs建立了可生存性評(píng)估模型，而熊書(shū)明等人［10］利用半馬爾可夫過(guò)程對(duì)WSNs的拓?fù)淙萸诌M(jìn)行了定量評(píng)估，這種方法還被用于混合余度傳感器系統(tǒng)的可靠性建模與分析［11］。劉文芬等人［12］基于馬爾可夫博弈模型提出了一種優(yōu)化的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法。Parvin等人［13］利用連續(xù)時(shí)間馬爾可夫鏈分別建立了受攻擊和密鑰泄露環(huán)境下的WSNs可生存性評(píng)估模型。Petridou等人［14］采用概率模型檢測(cè)（Probabilistic Model Checking）技術(shù)從錯(cuò)誤發(fā)生率、數(shù)據(jù)丟失率、數(shù)據(jù)延遲率、數(shù)據(jù)泄露率4個(gè)方面評(píng)估WSNs的可生存性。Zhang等人［15］提出了基于隨機(jī)Petri網(wǎng)的WSNs可生存性評(píng)估方法。與WSNs可生存性評(píng)估密切相關(guān)的還有WSNs可靠度評(píng)估。Cai等人［16］針對(duì)事件驅(qū)動(dòng)WSNs，分別從無(wú)線(xiàn)鏈接可靠度和節(jié)點(diǎn)能量可用度兩方面評(píng)估網(wǎng)絡(luò)的可靠度。其他的典型方法還包括結(jié)合可靠性框圖和Petri網(wǎng)的方法［17］、基于隨機(jī)活動(dòng)網(wǎng)絡(luò)的方法［18］等。

由于惡意程序的傳染與流行病傳染有相似的特性，因此流行病模型是一種常用的WSNs惡意程序傳染建模方法。通常，在使用流行病模型時(shí)，會(huì)定義傳感節(jié)點(diǎn)所處的不同狀態(tài)，如易感（Susceptible，S）、已感染（Infected，I）、恢復(fù)（Recovered，R）等。再根據(jù)這些不同的狀態(tài)，得到相應(yīng)的流行病模型，如經(jīng)典的SI［19］、SIS［20］、SIR［21］等模型以及擴(kuò)展的SEIRS（Susceptible-Exposed-Infected-Recovered-Susceptible）［22］模型和SIRD（Susceptible-Infected-Recovered-Dead）［23］模型。

馬爾可夫鏈作為一種隨機(jī)過(guò)程，在描述狀態(tài)轉(zhuǎn)換方面具有卓越的能力。然而，僅使用馬爾可夫鏈很難表達(dá)受惡意程序傳染時(shí)的傳感節(jié)點(diǎn)狀態(tài)，這是由于惡意程序在向易感節(jié)點(diǎn)傳染惡意程序時(shí)常常是故意的，使得這種傳染行為導(dǎo)致的傳感節(jié)點(diǎn)狀態(tài)變換不能用隨機(jī)過(guò)程進(jìn)行描述。這個(gè)問(wèn)題通過(guò)引入能預(yù)測(cè)惡意程序期望傳染概率的策略博弈可以得到解決。

本文利用流行病理論、可靠性理論、博弈論、馬爾可夫鏈等理論，提出一種針對(duì)受惡意程序傳染的WSNs可生存性評(píng)估方法。首先，根據(jù)聚簇WSNs中傳感節(jié)點(diǎn)的通信特性，將整個(gè)WSNs映射到一個(gè)“并-串-并”系統(tǒng)，從而可以利用可靠性理論評(píng)估整個(gè)WSNs的可靠度。其次，通過(guò)建立“惡意程序傳染博弈”模型預(yù)測(cè)惡意程序的傳染行為，得到惡意程序的最優(yōu)傳染策略，并將其應(yīng)用于惡意程序傳染模型向馬爾可夫鏈的轉(zhuǎn)化過(guò)程。最后，受經(jīng)典可靠性評(píng)估指標(biāo)的啟發(fā)，提出一種能反映易感節(jié)點(diǎn)的可靠度評(píng)估指標(biāo)，并依次建立了一個(gè)簇、一條路由和整個(gè)WSNs的可靠度以及整個(gè)WSNs生存期等評(píng)估指標(biāo)，實(shí)現(xiàn)WSNs可生存性評(píng)估機(jī)制。

1　網(wǎng)絡(luò)模型

由于聚簇WSNs應(yīng)用的普遍性，本文選擇聚簇WSNs研究其可生存性。在這種聚簇WSNs中，不同區(qū)域的傳感節(jié)點(diǎn)被分配到不同的簇中。每個(gè)簇包含一個(gè)簇頭和若干普通傳感節(jié)點(diǎn)。一個(gè)普通傳感節(jié)點(diǎn)獲得感知數(shù)據(jù)后，將向所在簇的簇頭發(fā)送數(shù)據(jù)，簇頭融合數(shù)據(jù)后通過(guò)其他一個(gè)個(gè)相鄰的簇頭將數(shù)據(jù)傳輸?shù)交?，為了平衡簇頭節(jié)點(diǎn)數(shù)據(jù)融合和信號(hào)發(fā)送產(chǎn)生的能量消耗，擔(dān)任簇頭責(zé)任的節(jié)點(diǎn)會(huì)定期更新。

聚簇WSNs和經(jīng)典可靠性理論中的“串-并”系統(tǒng)存在天然的映射關(guān)系。聚簇WSNs中的傳感節(jié)點(diǎn)相互獨(dú)立，也就是說(shuō)，一個(gè)傳感節(jié)點(diǎn)有故障不會(huì)影響其他傳感節(jié)點(diǎn)。這樣，可以借助經(jīng)典可靠性理論研究傳感節(jié)點(diǎn)的可靠度，進(jìn)而給出一個(gè)簇、一條路由乃到整個(gè)WSNs的可靠度。而且，一個(gè)簇中有多個(gè)可選的簇頭節(jié)點(diǎn)，若當(dāng)前簇頭節(jié)點(diǎn)因惡意程序傳染導(dǎo)致故障時(shí)，系統(tǒng)會(huì)從候選簇頭節(jié)點(diǎn)中選舉出新的簇頭，所以一個(gè)簇中只要有一個(gè)候選簇頭節(jié)點(diǎn)還能發(fā)送數(shù)據(jù)，那么該簇即能發(fā)送數(shù)據(jù)。因此，由候選簇頭和普通傳感節(jié)點(diǎn)組成的簇就能映射到經(jīng)典可靠性理論中的一個(gè)并行系統(tǒng)。對(duì)于從源傳感節(jié)點(diǎn)經(jīng)其他簇頭轉(zhuǎn)發(fā)數(shù)據(jù)到基站的一條路由，只有經(jīng)過(guò)的所有簇頭能正常工作，數(shù)據(jù)才能被正常傳輸?shù)交?。因此，由多個(gè)簇頭組成的路由就能與經(jīng)典可靠性理論中的一個(gè)串行系統(tǒng)相對(duì)應(yīng)。對(duì)于整個(gè)WSNs而言，從源傳感節(jié)點(diǎn)傳輸數(shù)據(jù)到基站的路由數(shù)有多條，顯然，整個(gè)WSNs可以與一個(gè)并行系統(tǒng)相對(duì)應(yīng)。綜合上述分析，整個(gè)WSNs實(shí)質(zhì)是一個(gè)“并-串-并”系統(tǒng)，如圖1所示。

圖1　基于“并-串-并”系統(tǒng)的聚簇WSNS結(jié)構(gòu)

2　惡意程序傳染模型及傳染行為預(yù)測(cè)

2.1基于流行病理論的惡意程序傳染模型

利用流行病理論建立的惡意程序傳染模型實(shí)質(zhì)是一種狀態(tài)轉(zhuǎn)換模型。對(duì)一個(gè)傳感節(jié)點(diǎn)而言，在某個(gè)時(shí)間點(diǎn)的狀態(tài)是確定的，并且在傳感節(jié)點(diǎn)的整個(gè)生命期內(nèi)，傳感節(jié)點(diǎn)的狀態(tài)會(huì)不斷變化，形成狀態(tài)空間。例如，系統(tǒng)通過(guò)安裝安全補(bǔ)丁來(lái)修復(fù)易感節(jié)點(diǎn)上的漏洞使它免受已知惡意程序的感染是一種通用的安全技術(shù)，這種技術(shù)實(shí)質(zhì)是將傳感節(jié)點(diǎn)的易感狀態(tài)S轉(zhuǎn)換到被感染狀態(tài)I。因此，系統(tǒng)或惡意程序采取的不同行為將導(dǎo)致傳感節(jié)點(diǎn)的狀態(tài)轉(zhuǎn)化。

圖2給出了從易感狀態(tài)S轉(zhuǎn)換到被感染狀態(tài)I的部分馬爾可夫鏈，其中ρI表示惡意程序選擇“傳染”動(dòng)作的概率，λ表示成功感染一個(gè)易感節(jié)點(diǎn)的概率。這樣，惡意程序感染一個(gè)易感節(jié)點(diǎn)的行為轉(zhuǎn)變成了馬爾可夫鏈中的一個(gè)狀態(tài)轉(zhuǎn)換。接下來(lái)，我們通過(guò)建立一個(gè)策略博弈來(lái)預(yù)測(cè)惡意程序期望的傳染行為，即得到ρI。

圖2　傳感節(jié)點(diǎn)從狀態(tài)S轉(zhuǎn)換到I的部分馬爾可夫鏈

2.2基于博弈論的惡意程序傳染行為預(yù)測(cè)

定義1“惡意程序傳染博弈”模型是一個(gè)四元組G=（N，AM，AS，U），其中：N=｛惡意程序，WSNs系統(tǒng)｝表示參與者集合；AM=｛Infect，Non-infect｝表示參與者“惡意程序”可選擇的動(dòng)作集合；AS=｛Defend，Non-defend｝表示參與者“WSNs系統(tǒng)”可選擇的動(dòng)作集合；U:AM×AS??表示兩個(gè)參與者選擇不同動(dòng)作產(chǎn)生的支付矩陣。

在定義1中，參與者“惡意程序”代表了WSNs中眾多的惡意程序，通過(guò)感染易感節(jié)點(diǎn)能竊聽(tīng)私密的傳感節(jié)點(diǎn)數(shù)據(jù)、影響傳感節(jié)點(diǎn)間的通信等。“WSNs系統(tǒng)”實(shí)質(zhì)是駐留在WSNs中的入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection System）。圖3給出了參與者“惡意程序”和“WSNs系統(tǒng)”之間的博弈過(guò)程。

圖3　參與者“惡意程序”和“WSNs系統(tǒng)”之間的博弈過(guò)程

記ρI和ρ?是參與者“惡意程序”分別選擇動(dòng)作Infect和Non-infect的概率，δD和δ?是參與者“WSNs系統(tǒng)”分別選擇動(dòng)作Defend和Non-defend的概率。在圖3中，“惡意程序”采取的感染策略ρ實(shí)際上是一個(gè)混和策略（ρI，ρ?），表示在動(dòng)作集合AM上的概率分布，即ρ=（ρI，ρ?）且滿(mǎn)足ρI+ρ?=1。其中，感染概率ρI代表了惡意程序?qū)嵤﹦?dòng)作Infect的程度，其值越大，一個(gè)易感節(jié)點(diǎn)被感染的概率越大。同理，“WSNs系統(tǒng)”采取的防御策略δ表示在其動(dòng)作集合AS上的混合策略，即δ=（δD，δ?）且滿(mǎn)足δD+δ?=1。

為描述“惡意程序傳染博弈”的支付矩陣，記ω（ω＞0）為一個(gè)傳感節(jié)點(diǎn)感知數(shù)據(jù)的價(jià)值，cI為惡意程序感染易感節(jié)點(diǎn)的成本，cD為WSNs系統(tǒng)防御惡意程序感染節(jié)點(diǎn)的成本，α、β、γ分別為IDS的檢測(cè)率、誤報(bào)率、漏報(bào)率。當(dāng)惡意程序成功感染易感節(jié)點(diǎn)時(shí)，惡意程序?qū)@得收益ω，而WSNs系統(tǒng)損失ω；當(dāng)WSNs系統(tǒng)成功防御惡意程序的感染行為時(shí)，由于它保護(hù)了價(jià)值為ω的易感節(jié)點(diǎn)，因此獲得收益ω而惡意程序損失ω。

考慮IDS的檢測(cè)率、誤報(bào)率、漏報(bào)率，若惡意程序和WSNs系統(tǒng)采取“純策略對(duì)”（Infect，Defend），對(duì)惡意程序而言，不能被IDS成功檢測(cè)和IDS漏報(bào)分別得到收益（1-α）ω和γω，被IDS成功檢測(cè)產(chǎn)生損失αω。因此，其支付

對(duì)WSNs系統(tǒng)而言，成功檢測(cè)惡意程序得到收益αω，不能成功檢測(cè)惡意程序和漏報(bào)惡意程序分別產(chǎn)生損失（1-α）ω和γω。因此，其支付

若惡意程序和WSNs系統(tǒng)采取“純策略對(duì)”（Infect，Non-defend），惡意程序的支付

而WSNs系統(tǒng)的支付

若惡意程序和WSNs系統(tǒng)采取“純策略對(duì)”（Noninfect，Defend），惡意程序的支付

而WSNs系統(tǒng)的支付

其中，βω表示IDS誤報(bào)惡意程序產(chǎn)生的損失。若惡意程序和 WSNs系統(tǒng)采取“純策略對(duì)”（Noninfect，Non-defend），顯然，惡意程序和WSNs系統(tǒng)的支付都為0。綜上分析，可得“惡意程序傳染博弈”的支付矩陣如表1所示。

表1　“惡意程序傳染博弈”的支付矩陣

在“惡意程序傳染博弈”模型中，惡意程序的目標(biāo)是最大化其感染易感節(jié)點(diǎn)的期望效用，而WSNs系統(tǒng)的目標(biāo)是最大化防御惡意程序的期望效用。由于任何一個(gè)有限的策略博弈都存在混合策略納什均衡點(diǎn)，因此，上述目標(biāo)可以通過(guò)求解博弈模型的納什均衡點(diǎn)實(shí)現(xiàn)。

實(shí)際計(jì)算時(shí)，首先根據(jù)支付矩陣分別表示出惡意程序選擇動(dòng)作Infect和Non-infect的期望支付，再由達(dá)到納什均衡時(shí)惡意程序選擇動(dòng)作Infect和Non-infect的無(wú)差異性（Indifference），可得到惡意程序最優(yōu)傳染策略。此時(shí)，惡意程序?qū)@得最大期望收益，因此，惡意程序沒(méi)有理由不選擇最優(yōu)傳染策略 ρ?進(jìn)行傳染。這樣，將代替圖2中的ρI，從而使惡意程序傳染的故意性能通過(guò)馬爾可夫鏈進(jìn)行描述。

3　可生存性評(píng)估機(jī)制

通常，評(píng)估一個(gè)系統(tǒng)的可生存性，從評(píng)估該系統(tǒng)的可靠度入手。平均故障時(shí)間MTTF（Mean Time to Failure）和平均故障間隔時(shí)間MTBF（Mean Time between Failure）是評(píng)價(jià)一個(gè)系統(tǒng)可靠度的典型指標(biāo)。其中，MTTF反映一個(gè)系統(tǒng)能可靠運(yùn)行的時(shí)間，而MTBF反映一個(gè)系統(tǒng)相鄰的兩次故障的平均時(shí)間。因此，MTTF和MTBF分別用于評(píng)估不可修復(fù)和可修復(fù)組件的可靠度評(píng)估。由于傳感節(jié)點(diǎn)一旦被破壞就很難修復(fù)，因此，文獻(xiàn)［24-25］都用MTTF評(píng)估一個(gè)傳感節(jié)點(diǎn)的可靠度。

本文受MTTF啟發(fā)，為反映WSNs中一個(gè)易感節(jié)點(diǎn)的可靠度，提出一種新的可靠度評(píng)估指標(biāo)MTTI（Mean Time to Infection，平均感染時(shí)間）。圖2中的ρIλ反映了一個(gè)易感節(jié)點(diǎn)被惡意程序感染的概率，其值越大，一個(gè)易感節(jié)點(diǎn)越容易被感染。因此可以關(guān)聯(lián)ρIλ到一個(gè)易感節(jié)點(diǎn)的MTTI中來(lái)得到相應(yīng)的定義。

定義2受惡意程序傳染的WSNs中，一個(gè)易感節(jié)點(diǎn)的MTTI為

定義3受惡意程序傳染的WSNs中，一個(gè)易感節(jié)點(diǎn)i的可靠度Ri（t）為

由聚簇WSNs和經(jīng)典可靠性理論中“串-并”系統(tǒng)的映射關(guān)系，一個(gè)簇對(duì)應(yīng)一個(gè)并行系統(tǒng)，一條路由對(duì)應(yīng)一個(gè)“串-并”系統(tǒng)，整個(gè)WSNs對(duì)應(yīng)一個(gè)“并-串-并”系統(tǒng)。所以，一個(gè)簇j的可靠度Rj（t）為

其中，m表示一個(gè)簇中的可選簇頭數(shù)。一條路由k的可靠度Rk（t）為

其中，n表示一條路由包含的簇?cái)?shù)。整個(gè)聚簇WSNs的可靠度R（t）為

其中，l表示整個(gè)WSNs中可選的路由數(shù)。從而，整個(gè)WSNs的生存期T為

4　實(shí)驗(yàn)

使用實(shí)驗(yàn)工具M(jìn)atlab R2010b，首先說(shuō)明IDS的檢測(cè)率、誤報(bào)率、漏報(bào)率對(duì)一個(gè)易感節(jié)點(diǎn)MTTI的影響，再?gòu)恼麄€(gè)WSNs的生存期說(shuō)明本文提出的可生存性評(píng)估方法的有效性。實(shí)驗(yàn)參數(shù)設(shè)定λ=0.1，ω=12，cD=2，cI=4。值得說(shuō)明的是，這些參數(shù)值的改變會(huì)影響一個(gè)易感節(jié)點(diǎn)的MTTI值和整個(gè)WSNs的生存期，但整個(gè)數(shù)據(jù)曲線(xiàn)變化趨勢(shì)不變。

4.1易感節(jié)點(diǎn)MTTI的影響因素

IDS較高的檢測(cè)率、較低的誤報(bào)率和漏報(bào)率能使IDS更容易地檢測(cè)到惡意程序，從而可使WSNs系統(tǒng)采取措施抑制惡意程序的傳染。因此，隨著檢測(cè)率的提高、誤報(bào)率和漏報(bào)率的降低，惡意程序的最優(yōu)傳染策略是減小選擇動(dòng)作Infect的概率，以降低被IDS捕獲的概率，這樣就使得一個(gè)易感節(jié)點(diǎn)MTTI值逐漸升高。

圖4給出了當(dāng)IDS漏報(bào)率γ=10%時(shí)IDS檢測(cè)率α和誤報(bào)率β對(duì)一個(gè)易感節(jié)點(diǎn)MTTI的影響。從中可看出，當(dāng)IDS漏報(bào)率保持不變的情況下，提高檢測(cè)率和降低誤報(bào)率都能增加一個(gè)易感節(jié)點(diǎn)的MTTI值。但相比較而言，降低誤報(bào)率比提高檢測(cè)率更能增加一個(gè)易感節(jié)點(diǎn)的MTTI值。例如，當(dāng)α=90%且β值從20%降低到2%時(shí)，一個(gè)傳感節(jié)點(diǎn)的MTTI值從約54.2 h增加到約102 h，增加了約88.2%；而當(dāng)β=10%且α值從80%增加到98%時(shí)，一個(gè)傳感節(jié)點(diǎn)的MTTI值從約60 h增加到約73.5 h，增加了約22.5%。由此可見(jiàn)，在IDS漏報(bào)率保持不變的情況下，為更有效地提升一個(gè)易感節(jié)點(diǎn)的可生存性，應(yīng)采取更多的技術(shù)降低IDS的誤報(bào)率。

圖4　當(dāng)γ=10%時(shí)α和β對(duì)易感節(jié)點(diǎn)MTTI的影響

圖5給出了當(dāng)α=90%時(shí)β和γ對(duì)一個(gè)易感節(jié)點(diǎn)MTTI的影響。從中可看出，當(dāng)IDS檢測(cè)率保持不變的情況下，降低IDS誤報(bào)率和漏報(bào)率都能增加一個(gè)易感節(jié)點(diǎn)的MTTI值，但降低IDS誤報(bào)率更有效。例如，當(dāng)β=10%且γ值從20%降低到2%時(shí)，一個(gè)傳感節(jié)點(diǎn)的MTTI值從約64.5 h增加到約71.25 h，增加了約10.5%；而當(dāng)γ=10%且 β值從20%降低到2%時(shí)，一個(gè)傳感節(jié)點(diǎn)的MTTI值從約54.2 h增加到約102 h，增加了約88.2%。因此，在保持IDS檢測(cè)率不變的情況下，應(yīng)盡可能地降低IDS的誤報(bào)率，從而更有效地提升易感節(jié)點(diǎn)的可生存性。

圖5　當(dāng)α=90%時(shí)β和γ對(duì)易感節(jié)點(diǎn)MTTI的影響

圖6給出了當(dāng)β=10%時(shí)α和γ對(duì)一個(gè)易感節(jié)點(diǎn)MTTI的影響。從中可以看出，當(dāng)IDS誤報(bào)率保持不變的情況下，增加IDS檢測(cè)率和降低漏報(bào)率都能增加一個(gè)易感節(jié)點(diǎn)的MTTI值，但增加IDS檢測(cè)率更有效。例如，當(dāng)α=90%時(shí)且γ值從20%降低到2%時(shí)，一個(gè)傳感節(jié)點(diǎn)的MTTI值從約64.5 h增加到約71.25 h，增加了約10.5%；而當(dāng)γ=10%且α值從80%增加到98%時(shí)，一個(gè)傳感節(jié)點(diǎn)的MTTI值從約60 h增加到約73.5 h，增加了約22.5%。因此，在保持IDS誤報(bào)率不變的情況下，應(yīng)盡可能地增加IDS檢測(cè)率來(lái)提升易感節(jié)點(diǎn)的可生存性。

圖6　當(dāng)β=10%時(shí)α和γ對(duì)易感節(jié)點(diǎn)MTTI的影響

4.2整個(gè)WSNs的可生存性評(píng)估

由式（12），整個(gè)WSNs的生存期與惡意程序選擇動(dòng)作Infect的概率 ρI、惡意程序傳染成功率λ、一個(gè)簇內(nèi)可選簇頭數(shù)m、一條路由經(jīng)過(guò)的簇?cái)?shù)n、整個(gè)WSNs的可選路由數(shù)l有關(guān)。根據(jù)IDS經(jīng)驗(yàn)參數(shù)值，設(shè)α=90%，β=10%，γ=10%，通過(guò)計(jì)算“惡意程序傳染博弈”模型的納什均衡點(diǎn)，可得ρI≈0.148 1，代入式（12），就可討論WSNs生存期與參數(shù)m、n、l值的關(guān)系。

圖7～圖9分別給出了l=3、m=4、n=3時(shí)整個(gè)WSNs生存期的變化曲線(xiàn)。

圖7　當(dāng)l=3時(shí)m和n值對(duì)整個(gè)WSNs生存期的影響

由圖7可以看出，增加一個(gè)簇內(nèi)可選簇頭數(shù)和減少一條路由經(jīng)過(guò)的簇?cái)?shù)都能延長(zhǎng)整個(gè)WSNs的生存期，但變化趨勢(shì)不同。例如，當(dāng)m=4時(shí)，隨著n值從6減小到5，整個(gè)WSNs的生存期從約82.2 h增加到約89.1 h，而隨著n值從2減小到1，整個(gè)WSNs的生存期從約139.6 h增加到約209.5 h。當(dāng)n=3時(shí)，隨著m值從1增加到2，整個(gè)WSNs的生存期從約41.3 h增加到約74.1 h，而隨著m值從7增加到8，整個(gè)WSNs的生存期從約147.6 h增加到約156.1 h。

圖8　當(dāng)m=4時(shí)n和l值對(duì)整個(gè)WSNs生存期的影響

由圖8可以看出，減少一條路由經(jīng)過(guò)的簇?cái)?shù)和增加整個(gè)WSNs的可選路由數(shù)能延長(zhǎng)整個(gè)WSNs的生存期。

圖9　當(dāng)n=3時(shí)m和l值對(duì)整個(gè)WSNs生存期的影響

由圖9可以看出，增加一個(gè)簇內(nèi)可選簇頭數(shù)和整個(gè)WSNs的可選路由數(shù)都能延長(zhǎng)WSNs的生存期。由此可見(jiàn)，根據(jù)實(shí)際的WSNs生存期需求，利用本文提出的WSNs可生存性方法對(duì)設(shè)計(jì)一個(gè)簇應(yīng)包含的可選簇頭數(shù)、一條路由應(yīng)包含的簇?cái)?shù)、整個(gè)WSNs的可選路由數(shù)具有理論指導(dǎo)作用。

5　結(jié)論

滿(mǎn)足高可生存性是WSNs設(shè)計(jì)的終極目標(biāo)。本文為建立高可生存的WSNs提出了一種針對(duì)受惡意程序傳染的聚簇WSNs可生存性評(píng)估方法。建立的“惡意程序傳染博弈”模型能預(yù)測(cè)惡意程序的傳染行為，將得到的惡意程序最優(yōu)傳染策略應(yīng)用于馬爾可夫鏈中的狀態(tài)轉(zhuǎn)換，從而解決了惡意程序傳染的故意性與馬爾可夫鏈的隨機(jī)性之間的矛盾。提出的評(píng)估指標(biāo)MTTI能反映一個(gè)易感節(jié)點(diǎn)的可靠度，再根據(jù)可靠性理論，得到了能反映一個(gè)簇、一條路由、整個(gè)WSNs的可靠度和整個(gè)WSNs生存期的評(píng)估指標(biāo)。實(shí)驗(yàn)結(jié)果給出了IDS檢測(cè)率、誤報(bào)率和漏報(bào)率對(duì)提升一個(gè)易感節(jié)點(diǎn)可生存性的影響，也給出了一個(gè)簇中的可選簇頭數(shù)、一條路由經(jīng)過(guò)的簇?cái)?shù)、整個(gè)WSNs的可選路由數(shù)對(duì)整個(gè)WSNs生存期的影響，驗(yàn)證了本文方法的有效性，為高可生存的WSNs設(shè)計(jì)提供了理論基礎(chǔ)。

但是，本文提出的可生存性評(píng)估方法未考慮WSNs系統(tǒng)的生存恢復(fù)能力，而該能力對(duì)整個(gè)WSNs的可生存性具有重要影響。因此，下一步工作將在考慮WSNs系統(tǒng)生存恢復(fù)能力的基礎(chǔ)上提出新的WSNs可生存性評(píng)估機(jī)制。

［1］ 王潮，胡廣躍，張煥國(guó).無(wú)線(xiàn)傳感器網(wǎng)絡(luò)的輕量級(jí)安全體系研究［J］.通信學(xué)報(bào)，2012，33（2）：30-35.

［2］ Granjal J，Monteiro E，Silva J S.Security in the Integration of Low-Power Wireless Sensor Networks with the Internet：A Survey［J］.Ad Hoc Networks，2015，24（A）：264-287.

［3］ Winkler T，Rinner B.Security and Privacy Protection in Visual Sensor Networks：A Survey［J］.ACM Computing Surveys，2014，47（1）：2，42.

［4］ 周豫蘋(píng)，黃振杰，王娟，等.一類(lèi)新的分布式隨機(jī)驗(yàn)證無(wú)線(xiàn)傳感網(wǎng)絡(luò)節(jié)點(diǎn)克隆攻擊檢測(cè)［J］.傳感技術(shù)學(xué)報(bào)，2014，27（4）：544-550.

［5］ 張惠根，周治平.一種強(qiáng)安全的WSN用戶(hù)認(rèn)證及密鑰協(xié)商方案［J］.傳感技術(shù)學(xué)報(bào)，2015，28（8）：1207-1214.

［6］ Wang Y，Wen S，Xiang Y，et al.Modeling the Propagation of Worms in Networks：A Survey［J］.IEEE Communications Surveys and Tutorials，2014，16（2）：942-960.

［7］ 徐恪，朱敏，林闖.互聯(lián)網(wǎng)體系結(jié)構(gòu)評(píng)估模型、機(jī)制及方法研究綜述［J］.計(jì)算機(jī)學(xué)報(bào)，2012，35（10）：1985-2006.

［8］ 王海濤，朱世才，陳暉，等.應(yīng)急通信中基于A(yíng)NP的WSN可生存性評(píng)價(jià)指標(biāo)體系研究［J］.傳感技術(shù)學(xué)報(bào)，2014，27（4）：557-563.

［9］ 朱世才，王海濤，吳連才，等.基于SMP的分簇WSN生存性評(píng)估模型［J］.傳感技術(shù)學(xué)報(bào)，2014，27（3）：383-387.

［10］熊書(shū)明，王良民，詹永照.基于SMP的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)拓?fù)淙萸侄吭u(píng)估［J］.通信學(xué)報(bào)，2010，31（7）：24-32.

［11］袁燎原，章衛(wèi)國(guó)，劉洋，等.混合余度傳感器系統(tǒng)的可靠性建模與分析［J］.西北工業(yè)大學(xué)學(xué)報(bào)，2015，33（1）：57-62.

［12］劉文芬，張樹(shù)偉，龔心.一種優(yōu)化的基于Markov博弈理論的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法［J］.電信科學(xué)，2014，30（7）：13-18.

［13］Parvin S，Hussain F K，Park J S，et al.A Survivability Model in Wireless Sensor Networks［J］.Computers&Mathematics with Applications，2012，64（12）：3666-3682.

［14］Petridou S，Basagiannis S，Roumeliotis M.Survivability Analysis Using Probabilistic Model Checking：A Study on Wireless Sensor Networks［J］.IEEE Systems Journal，2013，7（1）：4-12.

［15］Zhang L，Liu T，Guo L，et al.The Survivability Analysis Method of Wireless Sensor Network Based on SPN［J］.Journal of Information and Computational Science，2014，11（6）：1983-1994.

［16］Cai J，Song X，Wang J，et al.Reliability Analysis for a Data Flow in Event-Driven Wireless Sensor Networks［J］.Wireless Personal Communications，2014，78（1）：151-169.

［17］Distefano S.Evaluating Reliability of WSN with Sleep/Wake-Up Interfering Nodes［J］.International Journal of Systems Science，2013，44（10）：1793-1806.

［18］Di Martino C，Cinque M，Cotroneo D.Automated Generation of Performance and Dependability Models for the Assessment of Wireless Sensor Networks［J］.IEEE Transactions on Computers，2012，61（6）：870-884.

［19］Wang Y Q，Yang X Y.Virus Spreading in Wireless Sensor Networks with a Medium Access Control Mechanism［J］.Chinese Physics B，2013，22（4）：040206，5.

［20］李軍，劉君華.多傳感器融合系統(tǒng)的可靠性模型研究［J］.西安交通大學(xué)學(xué)報(bào)，2004，38（8）：775-778.

［21］Wang X，He Z，Zhang L.A Pulse Immunization Model for Inhibiting Malware Propagation in Mobile Wireless Sensor Networks［J］. Chinese Journal of Electronics，2014，23（4）：810-815.

［22］Mishra B K，Keshri N.Mathematical Model on the Transmission of Worms in Wireless Sensor Network［J］.Applied Mathematical Modelling，2013，37（6）：4103-4111.

［23］Shen S，Li H，Han R，et al.Differential Game-Based Strategies for Preventing Malware Propagation in Wireless Sensor Networks［J］. IEEE Transactions on Information Forensics and Security，2014，9（11）：1962-1973.

［24］Shen S，Han R，Guo L，et al.Survivability Evaluation Towards Attacked WSNs Based on Stochastic Game and Continuous-Time Markov Chain［J］.Applied Soft Computing，2012，12（5）：1467-1476.

［25］Munir A，Antoon J，Gordon-Ross A.Modeling and Analysis of fault Detection and Fault Tolerance in Wireless Sensor Networks［J］.ACM Transactions on Embedded Computing Systems，2015，14（1）：3，43.

沈士根（1974-），男，漢族，紹興文理學(xué)院計(jì)算機(jī)科學(xué)與工程系教授，博士，主要研究方向?yàn)闊o(wú)線(xiàn)傳感器網(wǎng)絡(luò)、移動(dòng)互聯(lián)網(wǎng)、博弈論，shigens@126.com；

黃龍軍（1976-），男，漢族，紹興文理學(xué)院計(jì)算機(jī)科學(xué)與工程系講師，浙江工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院博士生，主要研究方向?yàn)殡姶偶{米網(wǎng)絡(luò)、無(wú)線(xiàn)傳感器網(wǎng)絡(luò)、博弈論，hlj_jlh@163.com；

曹奇英（1960-），男，漢族，東華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院教授，博士生導(dǎo)師，博士，主要研究方向?yàn)槠者m計(jì)算、智能信息處理，caoqiying@dhu.edu.cn。

Survivability Evaluation for WSNs under Malware Infection*

SHEN Shigen1，2*，HUANG Longjun1，3，F(xiàn)AN En1，HU Keli1，LIU Jianhua2，CAO Qiying4
（1.Department of Computer Science and Engineering，Shaoxing University，Shaoxing Zhejiang 312000，China；2.College of Mathematics，Physics and Information Engineering，Jiaxing University，Jiaxing Zhejiang 314001，China；3.College of Computer Science and Technology，Zhejiang University of Technology，Hangzhou 310023，China；4.College of Computer Science and Technology，Donghua University，Shanghai 201620，China）

To ensure dependable transmission of sensed data from sensor nodes in Wireless Sensor Networks（WSNs），we propose a measurement of survivability evaluation for WSNs under malware infection.By introducing a game model that can predict malware behavior，we relate the intent of malware infection to a Markov chain（MC）for describing a successful infection as a MC state transition.We then set up a novel measurement representing the reliability of a susceptible sensor node.After considering clustered WSNs as a parallel-serial-parallel system，we deduce reliability measurements for a cluster，a route，and the entire WSNs.Finally，we attain the measurement to calculate the survival time of the entire WSNs.Experiments show the influence of parameters on the survivability of the entire WSNs，and validate the effectiveness of the proposed method that can build up a theoretical foundation for highly survival WSNs.

wireless sensor networks；survivability evaluation；game theory；malware infection；reliable theory

TP393

A

1004-1699（2016）07-1083-07

項(xiàng)目來(lái)源：國(guó)家自然科學(xué)基金項(xiàng)目（61272034，61572014）

2015-12-30修改日期：2016-02-03