范穎+楊晶

摘 要： 黑洞攻擊和選擇性轉發(fā)攻擊是威脅分簇無線傳感器路由協(xié)議安全的主要攻擊手段。提出一種基于規(guī)則預設的集中式入侵檢測系統(tǒng)，預設兩種攻擊條件下網(wǎng)絡的行為規(guī)則，一旦簇頭通過收發(fā)控制分組檢測到入侵節(jié)點，發(fā)現(xiàn)網(wǎng)絡行為偏離預設規(guī)則，則判定網(wǎng)絡遭受某種網(wǎng)絡攻擊。使用網(wǎng)絡仿真軟件（NS2）評估入侵檢測系統(tǒng)。仿真實驗結果證明，在節(jié)點能量受限的無線傳感器網(wǎng)絡應用場景下，集中式入侵檢測系統(tǒng)具有優(yōu)越的安全性能和節(jié)能特性。

關鍵詞： 無線傳感器網(wǎng)絡； 規(guī)則預設； 入侵檢測； 誤用檢測； 黑洞攻擊； 選擇性轉發(fā)攻擊

中圖分類號： TN926?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2018）06?0125?04

Abstract： Black hole attack and selective forwarding attack are the main attack means of threatening the security of cluster?based wireless sensor routing protocols. Therefore， a centralized intrusion detection system based on rule?predefining （CIDS?RP） is proposed. Network behavior rules under two attack conditions are predefined. Once the cluster head detects the intrusion node via transceiving control packets and discovers that the network behavior deviates from predefined rules， it can be determined that the network has suffered from a certain network attack. The network simulation software NS2 is used for evaluating the CIDS?RP. The simulation experimental results demonstrate that the CIDS?RP has superior performances of security and energy saving in the application scenario of node energy restrained wireless sensor networks （WSNs）.

Keywords： WSN； rule presetting； intrusion detection； misuse detection； black hole attack； selective forwarding attack

無線傳感器網(wǎng)絡（Wireless Sensor Networks，WSN）由很多傳感器節(jié)點構成，以無線連接方式形成網(wǎng)絡拓撲，是一種分布式收集信息并將信息發(fā)送至中心節(jié)點進行處理的信息收集網(wǎng)絡[1]。不同于其他類型網(wǎng)絡，WSN節(jié)點的能量制約著WSN網(wǎng)絡整體傳輸性能。因此，使用分簇拓撲結構的WSN能夠有效延長全網(wǎng)節(jié)點生存時間，目前典型的分簇路由協(xié)議主要有LEACH[2]，TEEN[3]，PEGASIS[4]和HEEP[5]等。由于分簇路由協(xié)議主要通過簇首節(jié)點收集來自子簇成員節(jié)點發(fā)送的信息并將其轉發(fā)給匯聚節(jié)點，簇首節(jié)點的安全性至關重要。

目前，最具有威脅性的惡意攻擊是冒充簇首節(jié)點誘騙普通傳感器節(jié)點，實現(xiàn)將目標信息選擇性轉發(fā)或者破壞的目的，典型路由攻擊方式為選擇性轉發(fā)[6]和黑洞攻擊[7]。針對這種攻擊方式，主要有防護和檢測兩種解決措施，防護技術主要有加密措施，不僅存在加密復雜的問題，而且一旦被破解則全網(wǎng)數(shù)據(jù)安全無法保證。因此，以入侵檢測系統(tǒng)（Intrusion Detection System，IDS）為主的檢測防御技術受到廣泛關注，旨在通過檢測網(wǎng)絡的非正常狀態(tài)特征得知網(wǎng)絡是否遭受非正常的未知惡意攻擊[8]。IDS系統(tǒng)使用的檢測技術分為誤用檢測和異常檢測，均存在一定程度上的漏報和誤報問題，性能上各有優(yōu)劣[9]。針對WSN路由層協(xié)議設計的IDS系統(tǒng)，已有大量研究。文獻[10]設計了檢測WSN網(wǎng)絡Sinkhole攻擊的IDS系統(tǒng)，文獻[11]研究了針對WSN選擇性轉發(fā)攻擊防護的入侵檢測，文獻[12]研究了針對WSN的黑洞攻擊防護的入侵檢測。目前尚未發(fā)現(xiàn)有相關文獻研究同時選擇轉發(fā)攻擊和黑洞攻擊的分簇WSN攻擊入侵檢測系統(tǒng)。本文基于誤用檢測技術，針對最具有威脅性的選擇性轉發(fā)和黑洞攻擊，提出一種基于規(guī)則預設的集中式入侵檢測系統(tǒng)（Centralized Intrusion Detection System based Rule?predefined，CIDS?RP），其使用一種集中式檢測架構，通過簇首節(jié)點發(fā)現(xiàn)網(wǎng)絡行為特征偏離預定義規(guī)則實現(xiàn)攻擊檢測。仿真驗證了CIDS?RP在分簇WSN網(wǎng)絡中，能夠有效檢測選擇性轉發(fā)和黑洞攻擊。

1 相關工作

大規(guī)模無線傳感器網(wǎng)絡應用場景下，WSN主要使用分簇結構，成員節(jié)點通過子簇首節(jié)點實現(xiàn)到匯聚節(jié)點的信息交換過程，能夠有效節(jié)省節(jié)點能量，以下介紹典型分簇WSN路由協(xié)議LEACH，TEEN，PEGASIS和HEEP。

LEACH[2]：該協(xié)議自發(fā)式將節(jié)點劃分到相應的子簇中，并以某種規(guī)則任命子簇首節(jié)點，并且采取子簇節(jié)點輪流擔任簇首節(jié)點的方法實現(xiàn)全網(wǎng)節(jié)點的能量消耗均勻分布，實現(xiàn)全網(wǎng)節(jié)點生存時間的延長。endprint

TEEN[3]：該協(xié)議在子簇建立階段，簇首節(jié)點向簇成員節(jié)點廣播硬閾值和軟閾值，只有同時滿足兩個閾值節(jié)點才發(fā)送數(shù)據(jù)。節(jié)點不時地采集環(huán)境數(shù)據(jù)，當數(shù)據(jù)值達到硬閾值時就將此數(shù)據(jù)發(fā)給簇首。哪個數(shù)據(jù)與前一次發(fā)送的數(shù)據(jù)之差大于等于軟閾值，則會再次發(fā)送新檢測到的數(shù)據(jù)。其能夠及時對網(wǎng)絡突發(fā)事件快速反應，而軟閾值使用則有效降低了節(jié)點發(fā)送數(shù)據(jù)次數(shù)，節(jié)省了能量。

PEGASIS[4]：該協(xié)議是一種鏈式協(xié)議，主要思想是每個傳感器節(jié)點通過貪婪算法尋找最近的鄰居節(jié)點作為鏈節(jié)點，并且僅發(fā)送數(shù)據(jù)給下一跳鏈節(jié)點，最終由鏈首節(jié)點將數(shù)據(jù)發(fā)送給匯聚節(jié)點。

HEEP[5]：該協(xié)議由LEACH和PEGASIS聯(lián)合構成，結合了分簇和鏈式思想，避免了LEACH中的能量浪費并減小了PEGASIS中存在的路由時延問題。

2 CIDS?RP系統(tǒng)構建

2.1 通信模型

本文采用如圖1所示的三層分簇網(wǎng)絡拓撲結構，其分為低層、中層和頂層三級。底層由傳感器節(jié)點構成，負責環(huán)境信息的收集；中間層由子簇首構成，負責周期性向匯聚節(jié)點發(fā)送控制分組；頂層節(jié)點則為匯聚節(jié)點，負責監(jiān)視底層和中間層。

2.2 入侵檢測技術

本文基于攻擊特征提出了集中式的入侵檢測技術CIDS?RP。為了節(jié)省能量，CIDS?RP將入侵檢測的功能委托給匯聚節(jié)點，在每個通信過程開始，簇首節(jié)點在數(shù)據(jù)融合前將控制分組通過單跳通信方式發(fā)送給匯聚節(jié)點。控制分組格式為：

CP=[ID_CH，[ID_Sensors]]

式中：ID_CH表示簇首ID；ID_Sensors表示該簇首的簇成員ID集合?；谑盏降目刂品纸M， CIDS?RP使用一種基于誤用檢測的方法檢測可能的入侵檢測。圖2為CIDS?RP控制分組傳輸示意。

2.3 攻擊特征

CIDS?RP以文獻[13?14]提出的誤用檢測方法為基礎進行適當修改，通過給系統(tǒng)預定義攻擊模式，實現(xiàn)簇首行為和已知攻擊模式的對比。CIDS?RP對誤用檢測方法的修改和規(guī)則定義如下：

1） 接收和延遲規(guī)則：匯聚節(jié)點在接收數(shù)據(jù)分組之前的某預設時間內必須接收到來自所有簇首的控制分組，否則認為檢測到黑洞攻擊。這條規(guī)則可以用來檢測拒絕控制分組和延遲控制分組的惡意節(jié)點。

2） 簇成員節(jié)點子規(guī)則：規(guī)定子列表ID_Sensors中包含所有節(jié)點ID，否則認為將檢測到攻擊行為，這里假設匯聚節(jié)點已知所有節(jié)點和其ID。CIDS?RP在初始化階段通過在普通節(jié)點和匯聚節(jié)點之間交換控制分組實現(xiàn)節(jié)點位置定位。控制分組的交換通過多跳方式實現(xiàn)節(jié)能目的，如果某簇首節(jié)點拒絕發(fā)送某些節(jié)點ID，則被認為是檢測到選擇性轉發(fā)攻擊的入侵節(jié)點。

3） 信息丟失規(guī)則：由于在每個通信過程開始時，簇首發(fā)送控制分組CP給匯聚節(jié)點，如圖2所示，CP分組包含節(jié)點11，12和13的信息。那么，匯聚節(jié)點則必須確?？刂品纸M包含的所有期望信息均已接收到，比如，由于入侵節(jié)點可能假裝簇首節(jié)點，但是會拒絕發(fā)送部分成員節(jié)點的信息，因此這條規(guī)則適用于對選擇性轉發(fā)攻擊的檢測。

2.4 檢測算法

CIDS?RP算法周期性在每個通信周期開始時執(zhí)行，將算法分為數(shù)據(jù)收集、規(guī)則控制和入侵檢測三個階段。數(shù)據(jù)收集階段，所有屬于中間層的傳感器節(jié)點必須發(fā)送控制分組CP給匯聚節(jié)點。規(guī)則控制階段，將對所有接收到的控制數(shù)據(jù)使用特征規(guī)則進行匹配。最后，基于規(guī)則控制階段匹配結果，匯聚節(jié)點檢測出可能的攻擊類型，并將包含入侵節(jié)點ID的警告信息廣播至WSN內其他節(jié)點。當網(wǎng)內節(jié)點收到警告信息后，將和入侵節(jié)點中斷通信，使得入侵節(jié)點不會再干擾網(wǎng)絡正常功能。

3 仿真分析

3.1 仿真環(huán)境

本節(jié)使用網(wǎng)絡仿真軟件（NS2）評估入侵檢測系統(tǒng)。仿真中，100個節(jié)點隨機分布在面積為[100 m×100 m]的正方形區(qū)域內，假設節(jié)點在仿真過程中位置已知不變。主要仿真參數(shù)見表1。假設有10個入侵節(jié)點隨機分布在網(wǎng)絡區(qū)域內，所有入侵節(jié)點必須經(jīng)歷一段時間的被動偵聽過程，然后在決定使用何種攻擊前將試圖競選為簇首節(jié)點。所有仿真結果取20次獨立試驗結果平均值，仿真周期為500 s。

3.2 結果分析

本節(jié)分別對以下兩個評估場景進行CIDS?RP算法性能的仿真。場景一：分析評估CIDS?RP在黑洞攻擊條件下的檢測性能，測量不同仿真時間下算法檢測到的入侵節(jié)點數(shù)目；分析評估全仿真周期條件下匯聚節(jié)點的數(shù)據(jù)接收性能。場景二：分析評估CIDS?RP在選擇性轉發(fā)攻擊條件下的檢測性能，分別測量入侵節(jié)點檢測數(shù)目和匯聚節(jié)點處的丟失數(shù)據(jù)量。

場景一仿真結果如圖3和圖4所示。由圖3可知，在500 s后CIDS?RP能夠檢測到所有黑洞節(jié)點，可以看到隨著仿真時間推進，檢測到黑洞節(jié)點數(shù)目越來越多。此外，在某些時間段內未檢測到黑洞節(jié)點，這是因為網(wǎng)絡此時未遭受到黑洞攻擊。由圖4可知，隨著仿真時間推進，匯聚節(jié)點收到的分組數(shù)目越來越多，但是相比未使用CIDS?RP的網(wǎng)絡而言，CIDS?RP能夠明顯提升匯聚節(jié)點接收到的分組數(shù)目，這是因為當入侵節(jié)點被檢測到后就不能繼續(xù)實施黑洞攻擊，因此簇首節(jié)點能夠成功將分組轉發(fā)給匯聚節(jié)點。

圖5和圖6是CIDS?RP針對選擇性轉發(fā)攻擊的實驗結果。如圖5所示，300 s后CIDS?RP檢測到所有實施選擇轉發(fā)攻擊的入侵節(jié)點。如圖6所示，在未使用CIDS?RP時，匯聚節(jié)點丟失的分組數(shù)目一直隨仿真時間推進而增加。這是由于選擇轉發(fā)攻擊者扮演的是簇首節(jié)點，當入侵節(jié)點收到分組后并不將其發(fā)送給匯聚節(jié)點。當網(wǎng)絡使用CIDS?RP時，盡管仍有選擇轉發(fā)攻擊發(fā)生，即有分組丟失，但當CIDS?RP檢測到攻擊后，將發(fā)送警告信息給其他節(jié)點，網(wǎng)絡內其他節(jié)點將中斷和入侵者之間的通信進而將其隔離。endprint

最后，考察針對不同的攻擊類型使用CIDS?RP與否對網(wǎng)絡能量消耗的影響。如圖7所示，相比未使用入侵檢測系統(tǒng)的網(wǎng)絡，CIDS?RP算法所增加的能量消耗幾乎可以忽略不計，這部分能量是由在每個通信過程開始時簇首節(jié)點發(fā)送控制分組給匯聚節(jié)點所產生的，此外，當網(wǎng)絡節(jié)點收到入侵節(jié)點警告信息時會消耗一部分能量。從圖7可知，CIDS?RP消耗能量為0.04 J，相當于未使用CIDS?RP的全網(wǎng)消耗能量的0.02%。當10個入侵節(jié)點均被網(wǎng)絡檢測到時，全網(wǎng)其他節(jié)點會消耗約0.06 J的能量用于接收警告信息，相當于全網(wǎng)能量的0.03%。

4 結 論

本文針對分簇無線傳感器網(wǎng)絡存在多種攻擊威脅和能耗問題，提出一種基于誤用檢測的規(guī)則預設集中式入侵檢測系統(tǒng)（CIDS?RP），該系統(tǒng)能夠同時檢測典型路由攻擊如黑洞攻擊和選擇性轉發(fā)攻擊，由于其使用的入侵檢測技術具有低能耗優(yōu)點，適合于能量受限的傳感器節(jié)點。仿真分別從檢測性能和能量消耗方面分析驗證了CIDS?RP具有優(yōu)越的檢測性能和低能耗特性。下一步，考慮將系統(tǒng)擴展到更多的路由攻擊類型使用環(huán)境中，研究分簇WSN的任意路由攻擊檢測問題。

圖7 CIDS?RP算法能耗實驗結果

Fig. 7 Experimental results for energy

consumption of CIDS?RP

參考文獻

[1] 范興剛，楊靜靜，王恒.一種無線傳感器網(wǎng)絡的概率覆蓋增強算法[J]. 軟件學報，2016，27（2）：418?431.

FAN Xinggang， YANG Jingjing， WANG Heng. Algorithm for enhancing probabilistic coverage in wireless sensor network [J]. Journal of software， 2016， 27（2）： 418?431.

[2] HEINZELMAN， W R， CHANDRAKASAN A， BALAKRISHNAN H. Energy?efficient communication protocol for wireless microsensor networks [C]// Proceedings of 33rd Annual Hawaii International Conference On System Sciences. [S.l.： s.n.]， 2000： 1?10.

[3] CHAN H F， RUDOLPH H. New energy efficient routing algorithm for wireless sensor network [C]// Proceedings of IEEE Region 10 Conference. Macau： IEEE， 2015： 1?5.

[4] LINDSEY S， RAGHAVENDRA C. PEGASIS： power?efficient gathering in sensor information systems [C]// Proceedings of IEEE Aerospace conference. [S.l.： s.n.]， 2003： 1125?1130.

[5] BOUBICHE D E， BILAMI A. HEEP （hybrid energy efficiency protocol） based on chain clustering [J]. International journal of sensor networks， 2011， 10（1/2）： 25?35.

[6] 付翔燕，李平，吳佳英.無線傳感器網(wǎng)絡選擇性傳遞攻擊的檢測和防御機制[J].計算機應用，2012，32（10）：2711?2715.

FU Xiangyan， LI Ping， WU Jiaying. Detection and defense scheme for selective forwarding attacks in wireless sensor network [J]. Journal of computer applications， 2012， 32（10）： 2711?2715.

[7] 王旭贏，林中華，胡源.Ad Hoc網(wǎng)絡黑洞攻擊仿真研究[J].海軍工程大學學報，2011，23（2）：103?107.

WANG Xuying， LIN Zhonghua， HU Yuan. Simulation of Ad Hoc network under black hole attack [J]. Journal of Naval University of Engineering， 2011， 23（2）： 103?107.

[8] ZHANG Y， LEE W， HUANG Y A. Intrusion detection techniques for mobile wireless networks [J]. Wireless networks， 2003， 9（5）： 545?556.

[9] ALRAJEH N A， KHAN S， SHAMS B. Intrusion detection systems in wireless sensor networks： a review [J]. International journal of distributed sensor networks， 2013： 1?7.

[10] NGAI C H， LIU J， LYU M R. On the intruder detection for sinkhole attack in wireless sensor networks [C]// Proceedings of IEEE International Conference on Communications. [S.l.]： IEEE， 2006： 3383?3389.

[11] KAPLANTZIS S， SHILTON A， MANI N， et al. Detecting selective forwarding attacks in wireless sensor networks using support vector machines [C]// Proceedings of the 3rd International Conference on Intelligent Sensors， Sensor Networks and Information. [S.l.]： IEEE， 2007： 335?340.

[12] 張方嬌.WSN環(huán)境下的黑洞攻擊檢測方法設計與實現(xiàn)[D].北京：北京郵電大學，2014.

ZHANG Fangjiao. Design and implementation of black hole attack detection method in WSN environment [D]. Beijing： Beijing University of Posts and Telecommunications， 2014.

[13] 朱勇.基于誤用檢測的網(wǎng)絡入侵系統(tǒng)實現(xiàn)[J].無線互聯(lián)科技，2014（2）：6?7.

ZHU Yong. The implementation of misusing detection based network intrusion detection system [J]. Wireless Internet technology， 2014（2）： 6?7.

[14] 謝紅，劉人杰，陳純鍇.基于誤用檢測與異常行為檢測的整合模型[J].重慶郵電大學學報（自然科學版），2012，24（1）：73?77.

XIE Hong， LIU Renjie， CHEN Chunkai. An integrated model based on misuse detection and anomaly behavior detection [J]. Journal of Chongqing University of Posts and Telecommunications （Natural science edition）， 2012， 24（1）： 73?77.endprint