董 峰，張秋霞

(黃河科技學(xué)院 現(xiàn)代教育技術(shù)中心，河南 鄭州 450063)

一種惡意節(jié)點(diǎn)攻擊的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)方法

董 峰，張秋霞

(黃河科技學(xué)院 現(xiàn)代教育技術(shù)中心，河南 鄭州 450063)

無(wú)線傳感器節(jié)點(diǎn)通常被隨機(jī)部署在沒(méi)有基礎(chǔ)網(wǎng)絡(luò)設(shè)施的場(chǎng)所，當(dāng)傳感器節(jié)點(diǎn)位置暴露在惡意攻擊環(huán)境時(shí)，攻擊者會(huì)攻擊網(wǎng)絡(luò)覆蓋漏洞，節(jié)點(diǎn)易受到未知攻擊從而導(dǎo)致定位錯(cuò)誤，無(wú)線傳感器網(wǎng)絡(luò)很難在沒(méi)有人工參與的情況下安全運(yùn)行。針對(duì)此問(wèn)題，設(shè)計(jì)了一種基于無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)的入侵檢測(cè)算法。該算法能解決無(wú)法識(shí)別的未知攻擊問(wèn)題，通過(guò)聚類(lèi)技術(shù)檢測(cè)攻擊產(chǎn)生的異常值，并在理論上證明了該算法的正確性。通過(guò)測(cè)試和實(shí)驗(yàn)手段，驗(yàn)證了該算法在保護(hù)傳感器網(wǎng)絡(luò)的前提下，完成了對(duì)未知攻擊的檢測(cè)、修復(fù)和定位。

無(wú)線傳感器；聚類(lèi)算法；移動(dòng)節(jié)點(diǎn)；檢測(cè)

0 引 言

無(wú)線傳感器網(wǎng)絡(luò)(Wireless Sensor Networks,WSN)應(yīng)用于安全反恐、環(huán)境檢測(cè)、智能交通及目標(biāo)追蹤等領(lǐng)域中，其移動(dòng)節(jié)點(diǎn)安全程度是傳感器網(wǎng)絡(luò)服務(wù)質(zhì)量的重要標(biāo)準(zhǔn)[1]。

移動(dòng)節(jié)點(diǎn)定位技術(shù)是無(wú)線傳感器網(wǎng)絡(luò)服務(wù)的基礎(chǔ)，當(dāng)前異常檢測(cè)解決方法主要通過(guò)尋找測(cè)量值的偏差來(lái)捕捉已知的攻擊屬性參數(shù)[2-3]。無(wú)線傳感器網(wǎng)絡(luò)在入侵檢測(cè)方面的研究已有一些成果。Krontiris等對(duì)有限次攻擊的異常行為進(jìn)行了偵測(cè)研究，通過(guò)節(jié)點(diǎn)在網(wǎng)絡(luò)中的均勻分布減少節(jié)點(diǎn)安全漏洞[4]。為了檢測(cè)未知的異常攻擊，葉苗等提出了一種新的容忍惡意節(jié)點(diǎn)攻擊的無(wú)線傳感器網(wǎng)絡(luò)安全定位方法，通過(guò)變方差特征的傳感器節(jié)點(diǎn)定位概率模型提高傳感器網(wǎng)絡(luò)的靈活性和適應(yīng)性[5]。Kaplantzis基于商業(yè)化角度研究了異常故障中模糊和嘈雜的信息，通過(guò)節(jié)點(diǎn)移動(dòng)來(lái)實(shí)現(xiàn)避開(kāi)障礙物的集中式算法，提高了傳感器網(wǎng)絡(luò)的安全性和完整性[6]。

現(xiàn)有研究實(shí)現(xiàn)的功能主要是依據(jù)已知的攻擊或檢測(cè)到的節(jié)點(diǎn)變化參數(shù)[7-8]。文中采用集群技術(shù)來(lái)檢測(cè)移動(dòng)節(jié)點(diǎn)在時(shí)間和空間上的不同特征，在檢測(cè)到移動(dòng)節(jié)點(diǎn)的異常因素后，能將受隱蔽的攻擊者影響的移動(dòng)節(jié)點(diǎn)孤立于網(wǎng)絡(luò)。

1 基本假設(shè)

為方便無(wú)線傳感器網(wǎng)絡(luò)的描述和討論，做如下攻擊假設(shè)：

(1)移動(dòng)節(jié)點(diǎn)在無(wú)線傳感器網(wǎng)絡(luò)中受到了保護(hù)，無(wú)線傳感器網(wǎng)絡(luò)協(xié)議中聚合、路由與時(shí)間同步，移動(dòng)節(jié)點(diǎn)能夠表現(xiàn)出有偏差的聚合值，包括錯(cuò)誤的檢測(cè)值或遭受損壞的聚合節(jié)點(diǎn)。

(2)攻擊目標(biāo)包括靜態(tài)節(jié)點(diǎn)和移動(dòng)節(jié)點(diǎn)，所體現(xiàn)的攻擊信息主要指信息感知系統(tǒng)提供的錯(cuò)誤圖片。

(3)攻擊者攻擊節(jié)點(diǎn)造成響應(yīng)時(shí)延或失去各個(gè)節(jié)點(diǎn)的同步時(shí)鐘信號(hào)，接收到的關(guān)鍵信息不是最新信息，造成無(wú)線傳感器網(wǎng)絡(luò)不穩(wěn)定。

(4)路由協(xié)議遭到攻擊后路徑發(fā)生改變，數(shù)據(jù)不能準(zhǔn)確到達(dá)接收器或產(chǎn)生一個(gè)較大的延遲，這種攻擊惡意改變了節(jié)點(diǎn)在路由表中存儲(chǔ)的數(shù)據(jù)值。

(5)攻擊者客觀上惡意篡改數(shù)據(jù)，呈現(xiàn)出虛假的數(shù)據(jù)。

2 受損節(jié)點(diǎn)特征提取模型

假定移動(dòng)節(jié)點(diǎn)在不同時(shí)間段內(nèi)的頻率不同，通過(guò)空間上遙感數(shù)據(jù)不一致問(wèn)題來(lái)檢測(cè)操控?cái)?shù)據(jù)和遭到損害的節(jié)點(diǎn)。提取模型如下：

(1)假設(shè)無(wú)線傳感器網(wǎng)絡(luò)的移動(dòng)節(jié)點(diǎn)在數(shù)據(jù)輸出窗口中顯示的n-程序尺寸比例為20∶11110000001111110000，用戶提取所有序列大小為3(固定尺寸為3)，向量每次向前移動(dòng)一個(gè)位置。

(2)在所顯示的時(shí)間段窗口中，111發(fā)生6次，110發(fā)生2次，000發(fā)生6次，001發(fā)生1次，011發(fā)生1次。所提取的矢量對(duì)應(yīng)的時(shí)間窗口顯示：111-0.33，110-0.11，100-0.11，000-0.33，001-0.06，0.11-0.06。

(3)在受損節(jié)點(diǎn)特征提取模型中，序列的特征值和它們的頻率特征值相對(duì)應(yīng)，所有特征值的總和為1，所提出的算法向量在預(yù)定義的時(shí)間段內(nèi)每行提取40個(gè)特征值。

利用上述模型特征，在節(jié)點(diǎn)上形成空間模型，節(jié)點(diǎn)附近搭建控制臺(tái)。在某一時(shí)刻的時(shí)間內(nèi)，n-程序空間表征每隔一個(gè)時(shí)間段從傳感器中輸出數(shù)據(jù)。同一組傳感器S1，S2，S3在1110四個(gè)時(shí)間段內(nèi)輸出，依據(jù)n-程序部署(每個(gè)n-程序按照S1值第一位置，S2值第二位置，S3值第三位置)，傳感器在一個(gè)時(shí)間段內(nèi)發(fā)生的頻率：111三次，000一次。產(chǎn)生n-程序的特征值是：111-0.75，000-0.25。接收器顯示的節(jié)點(diǎn)接收路徑數(shù)據(jù)：A-B-C-S三次，A-D-E-F-S兩次，A-B-E-F-S一次(A指節(jié)點(diǎn)發(fā)送數(shù)據(jù)，B、C指網(wǎng)絡(luò)中其他節(jié)點(diǎn)，S指接收器)，對(duì)應(yīng)的n-程序(n=3):ABC，BCS，ADE，DEF，EFS，ABE和BEF。路由器端口顯示，n-程序中ABC產(chǎn)生3次，BCX產(chǎn)生3次，ADE產(chǎn)生2次，DEF產(chǎn)生2次，EFS產(chǎn)生3次，ABE產(chǎn)生1次，BEF產(chǎn)生1次，n-程序的總數(shù)量為15。

3 修復(fù)未知攻擊節(jié)點(diǎn)策略

3.1 未知攻擊的覆蓋范圍評(píng)價(jià)指標(biāo)

文中修復(fù)集群攻擊技術(shù)采用SOM神經(jīng)網(wǎng)絡(luò)[9]、遺傳算法(GA)[10]和生長(zhǎng)型神經(jīng)氣算法[11]。接收器窗口顯示的數(shù)據(jù)包括被攻擊和未被攻擊的數(shù)據(jù)，通過(guò)算法優(yōu)化減少傳感器網(wǎng)絡(luò)節(jié)點(diǎn)遭受攻擊產(chǎn)生的時(shí)間滯后問(wèn)題。以MD表示集群之間的平均距離，以QE表示計(jì)算量化誤差，檢測(cè)節(jié)點(diǎn)遭受攻擊的路徑公式如下：

(1)

其中，n為n-程序變化的特征值。

(2)

上述公式計(jì)算QE和MD值的變化，用fth表示正常情況下的攻擊，遭受攻擊后的變化如下：

(3)

當(dāng)ΔD的值接近0時(shí)，該值不影響n-程序中描述的變化，得出：

(4)

模擬n-程序從0到Dmax的變化：

F(ρ)=β+(1-β)eκα

(5)

給出一組隨機(jī)變量x1,x2,…,xk,得出如下公式：

(6)

當(dāng)H(xi)隨xi的信息發(fā)生變化，依據(jù)x1,x2,…,xk的值得出H(x1,x2,…,xk)的值。

β的設(shè)置使得F(ρ)=1，當(dāng)κ→0，功能接近相同的漸近函數(shù)，當(dāng)κ→∞，功能達(dá)到漸近線F(ρ)=0。如果ρ<1，F(xiàn)(ρ)=1；ρ=1，得出:

(7)

檢測(cè)到的最小攻擊數(shù)為:

(8)

如果β值增加或者κ值減少，N的值將減少；反之，ρ值減小或者κ值增加，Nsample將趨向于Nerrmin，結(jié)果如下:

(9)

3.2 分布式探測(cè)器設(shè)計(jì)

基于無(wú)線傳感器網(wǎng)絡(luò)的分布式特征，使用探測(cè)器分布式技術(shù)實(shí)現(xiàn)軟件代理和所在的物理節(jié)點(diǎn)。計(jì)算移動(dòng)節(jié)點(diǎn)對(duì)于SOM網(wǎng)絡(luò)的移動(dòng)方格，基于GA的交叉和變異概率，得出最優(yōu)參數(shù)。使用代理冗余的方式實(shí)現(xiàn)物理節(jié)點(diǎn)的分配，對(duì)每個(gè)節(jié)點(diǎn)周?chē)渲眯畔⒔邮沾?，?duì)所有節(jié)點(diǎn)信息計(jì)算加權(quán)和。統(tǒng)計(jì)理論為:

(10)

其中，α表示檢測(cè)器的數(shù)量；β表示錯(cuò)誤的數(shù)量，傳感器系統(tǒng)能反映出正確或錯(cuò)誤的物理節(jié)點(diǎn)。

移動(dòng)節(jié)點(diǎn)在運(yùn)轉(zhuǎn)時(shí)為了減少周邊干預(yù)，在節(jié)點(diǎn)遇到其他節(jié)點(diǎn)信號(hào)干擾時(shí)，分兩種情況判斷：其一是節(jié)點(diǎn)仍在同一區(qū)域，位置沒(méi)有發(fā)生顯著的變化，仍接收集群節(jié)點(diǎn)中的路由數(shù)據(jù)；其二是已經(jīng)改變了位置，接收到的數(shù)據(jù)發(fā)生了明顯的變化，節(jié)點(diǎn)的路徑發(fā)生了改變。

3.3 受損節(jié)點(diǎn)的隔離和修復(fù)

對(duì)測(cè)試的傳感器網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)模擬算法攻擊，遭受攻擊后的節(jié)點(diǎn)檢測(cè)到異常行為后，檢測(cè)丟失的數(shù)據(jù)或請(qǐng)求其他路由器節(jié)點(diǎn)響應(yīng)，及時(shí)將受損節(jié)點(diǎn)從無(wú)線傳感器網(wǎng)絡(luò)隔離后重組，保護(hù)其他節(jié)點(diǎn)的性能，避免影響下一個(gè)路由器的運(yùn)轉(zhuǎn)。

遭受攻擊后的節(jié)點(diǎn)形成新的n-gralm，假設(shè)能夠準(zhǔn)確從攻擊者發(fā)出矢量中提取子集，通過(guò)提取repQE和repMD的值，得出兩個(gè)函數(shù)值。

if(QE<1)

{repQE=1;}

else

{repQE=1-QE/2;}

if(MD<1)

{repMD=1;}

else

{repMD=1-MD/2;}

if(QE>1)

{rep=repQE;}

else

{rep=repMD;}

這兩個(gè)函數(shù)能區(qū)分節(jié)點(diǎn)正?；虍惓Ｐ袨?，如果當(dāng)前的矢量特征值高于節(jié)點(diǎn)的最高值則可能有攻擊現(xiàn)象，如果與節(jié)點(diǎn)正常顯示值相符，節(jié)點(diǎn)將正常運(yùn)行。

if(last_rep[node]>threshold)

{new_rep[node]=last_rep[node]+rep+log(1.2*rep);}

else

{new_rep[node]=last_rep[node]+c_limit+log(1.2*rep);

系數(shù)c低于1時(shí)，last_rep[node]值將位于[0,1]區(qū)間，當(dāng)c大于1時(shí)，last_rep[node]將取中間值。即使在測(cè)試時(shí)間內(nèi)相互干擾，使用聚類(lèi)算法將得到比較高的準(zhǔn)確值。

if(value_rep

{if(space_rep

{result=value_rep;}

else{result=1-value_rep;}}

else

{result=value_rep;}

4 檢測(cè)結(jié)果分析

通過(guò)模擬器驗(yàn)證算法對(duì)抗未知攻擊的準(zhǔn)確性，模擬器能不依賴(lài)于傳感器實(shí)現(xiàn)節(jié)點(diǎn)通信功能，方便傳輸其他傳感器的數(shù)據(jù)。模擬器劃分為多個(gè)集群，其中每個(gè)組都有簇頭，簇頭參與不同集群之間的通信。傳感器節(jié)點(diǎn)隨機(jī)移動(dòng)，節(jié)點(diǎn)移動(dòng)的最長(zhǎng)距離不超過(guò)當(dāng)前位置和目標(biāo)距離的20%。

4.1 模擬未知攻擊

將受到未知攻擊的節(jié)點(diǎn)上配置多個(gè)ID，并發(fā)送隨機(jī)值，把40個(gè)通過(guò)模擬器測(cè)試的節(jié)點(diǎn)隨機(jī)放置在100個(gè)不同的位置，模擬對(duì)傳感器網(wǎng)絡(luò)檢測(cè)節(jié)點(diǎn)惡意攻擊，持續(xù)時(shí)間為1 000個(gè)刻度，接近傳感器的節(jié)點(diǎn)在相同時(shí)間段內(nèi)輸出的結(jié)果放置到同一組，模擬器在一個(gè)時(shí)間刻度內(nèi)的采樣周期如圖1所示。

圖1 頂層視圖—2D

4.2 算法模擬分析

搭建實(shí)驗(yàn)平臺(tái)，在第一個(gè)實(shí)驗(yàn)中檢測(cè)靜態(tài)節(jié)點(diǎn)(在位置26處實(shí)施攻擊)，可以從不同角度觀察到檢測(cè)節(jié)點(diǎn)在第26位移動(dòng)節(jié)點(diǎn)受損程度明顯降低，如圖2所示。在第二個(gè)實(shí)驗(yàn)中采用密閉攻擊動(dòng)態(tài)節(jié)點(diǎn)的方式，通過(guò)頂層視圖劃分受感染的移動(dòng)節(jié)點(diǎn)。結(jié)果表明降低了節(jié)點(diǎn)受攻擊概率。

圖2 惡意節(jié)點(diǎn)的平均檢測(cè)率

根據(jù)圖2顯示的結(jié)果，如果檢測(cè)節(jié)點(diǎn)發(fā)出的攻擊80%是惡意的，文中所提出的算法可以完全檢測(cè)到攻擊，差錯(cuò)率為0%。

圖3驗(yàn)證了如何檢測(cè)和完全隔離的攻擊時(shí)間以及惡意網(wǎng)絡(luò)中節(jié)點(diǎn)的總數(shù)。

圖3 偵查和隔離時(shí)間

5 結(jié)束語(yǔ)

因?yàn)槎喾矫娴脑?，無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)容易受到未知攻擊，及時(shí)發(fā)現(xiàn)并修復(fù)攻擊是提高網(wǎng)絡(luò)可靠性的重要方法[12]。提出了一種檢測(cè)無(wú)線傳感器網(wǎng)絡(luò)未知攻擊的算法，并設(shè)計(jì)了受損節(jié)點(diǎn)的修復(fù)方案，仿真實(shí)驗(yàn)證明了該算法的正確性。在含有移動(dòng)節(jié)點(diǎn)的無(wú)線傳感器網(wǎng)絡(luò)中，算法能夠檢測(cè)到節(jié)點(diǎn)周?chē)奈粗?，并能全部檢測(cè)出惡意攻擊的節(jié)點(diǎn)數(shù)，對(duì)受損節(jié)點(diǎn)進(jìn)行有效隔離，實(shí)現(xiàn)了更合理的節(jié)點(diǎn)部署。

[1] 趙忠華，皇甫偉，孫利民，等.無(wú)線傳感器網(wǎng)絡(luò)管理技術(shù)[J].計(jì)算機(jī)科學(xué)，2011,38(1)：8-14.

[2] Hai T H,Khan F I,Huh E.Hybrid intrusion detection system for wireless sensor networks[C]//Proceedings of international conference on computer science and applications.San Francisco,CA,USA:[s.n.],2007.

[3] Loo C E,Ng M Y,Leckie C,et al.Intrusion detection for routing attacks in sensor networks[J].International Journal of Distributed Sensor Networks,2006,2(4):313-332.

[4] Krontiris I,Giannetsos T,Dimitriou T.LIDeA:a distributed lightweight intrusion detection architecture for sensor networks[C]//Proceedings of the 4th international conference on security and privacy for communication networks.Istanbul,Turkey:[s.n.],2008.

[5] 葉 苗,王宇平.一種新的容忍惡意節(jié)點(diǎn)攻擊的無(wú)線傳感器網(wǎng)絡(luò)安全定位方法[J].計(jì)算機(jī)學(xué)報(bào)，2013,36(3)：532-545.

[6] Kaplantzis S,Shilton A,Mani N,et al.Detecting selective forwarding attacks in WSNS using support vector machines[C]//Proceedings of 3rd international conference on intelligent sensors,sensor networks and information.Melbourne,Australia:[s.n.],2007:335-340.

[7] Adaptive Security Analyzer[EB/OL].2012-02-27.http://www.privacyware.com/index_ASAPro.html.

[10] Wagfer D．Resilient aggregation in sensor networks[C]//Proceedings of the 2nd ACM workshop on security of ad hoc and sensor networks.[s.l.]:ACM,2004:78-87．

[11] 羅永健，史德陽(yáng)，侯銀濤，等．基于相似度的無(wú)線傳感器網(wǎng)絡(luò)數(shù)據(jù)復(fù)原匯聚方法[J]．計(jì)算機(jī)應(yīng)用研究，2012,29(9):3405-3407．

[12] 王 珊，王慶生，樊茂森.基于移動(dòng)節(jié)點(diǎn)的無(wú)線傳感器網(wǎng)絡(luò)覆蓋空洞修復(fù)方法[J].傳感器與微系統(tǒng)，2015,34(4):134-136.

An Intrusion Detection Method for Wireless Sensor Network of Malicious Node Attack

DONG Feng，ZHANG Qiu-xia

(Modern Education Technology Center,Huanghe Science and Technology College, Zhengzhou 450063,China)

Wireless sensor nodes are usually random deployment in the absence of infrastructure network.When the sensor node position exposed to malicious attacks environment,the attacker will attack the network coverage holes,and nodes are vulnerable to unknown attacks leading to positioning error.Wireless sensor networks is difficult to operate safely in no case of human involvement.To solve this problem,an intrusion detection algorithm based on wireless sensor network node is designed,which can solve the problem of unrecognized unknown attacks.The outliers generated by attacks are detected through clustering techniques,and the correctness of the algorithm is proved theoretically.Test and experiment means that the algorithm on the premise of protecting the sensor network completes the unknown attack detection,repair and positioning.

wireless sensor;clustering algorithm;mobile node;detection

2015-11-24

2016-03-17

時(shí)間：2017-01-10

2014年度河南省科技攻關(guān)項(xiàng)目(142102210641)；2015年度河南省高等學(xué)校重點(diǎn)科研項(xiàng)目(15A520085)

董 峰(1972-)，男，副教授，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)。

http://www.cnki.net/kcms/detail/61.1450.TP.20170110.0941.002.html

TP393

A

1673-629X(2017)02-0086-04

10.3969/j.issn.1673-629X.2017.02.020