（數(shù)字廣東網(wǎng)絡(luò)建設(shè)有限公司，廣東 廣州 510030）

0 引言

工業(yè)物聯(lián)網(wǎng)作為人工智能、大數(shù)據(jù)、云計算、互聯(lián)網(wǎng)、信息化等各種先進技術(shù)高度融合的產(chǎn)物，以深度分析、精準(zhǔn)估計、靈敏感應(yīng)技術(shù)為特征，將全球的工業(yè)系統(tǒng)進行快速連接，涵蓋工業(yè)控制、供應(yīng)鏈管理、大數(shù)據(jù)存儲分析、人工智能快速決策等功能，是智能制造的核心基礎(chǔ)設(shè)施[1]。工業(yè)物聯(lián)網(wǎng)驅(qū)動全球智能制造發(fā)展的同時，也帶來復(fù)雜多變的網(wǎng)絡(luò)安全問題，從而限制了工業(yè)物聯(lián)網(wǎng)的高效、安全發(fā)展。鑒于此，很多學(xué)者紛紛投入大量的精力來研究工業(yè)互聯(lián)網(wǎng)的安全問題和應(yīng)對策略。比如程月平[2]通過分析工業(yè)物聯(lián)網(wǎng)數(shù)據(jù)交互、轉(zhuǎn)換等核心作用后，分析工業(yè)物聯(lián)網(wǎng)主要面對設(shè)備層面、控制系統(tǒng)層面、網(wǎng)絡(luò)層面、數(shù)據(jù)層面、人員管理層面以及APT攻擊層面的安全威脅后，提出主動排查安全漏洞、保障遠(yuǎn)程訪問的安全性、應(yīng)急響應(yīng)與攻擊檢測、補丁和漏洞管理、態(tài)勢感知以及 PCS 策略等安全管理措施；張宏斌等人[3]提出我國在工業(yè)4.0 時代存在工控網(wǎng)絡(luò)安全防護手段的問題，結(jié)合不同環(huán)境、業(yè)務(wù)對工控網(wǎng)絡(luò)進行實時監(jiān)測和智能化分析，實現(xiàn)工控網(wǎng)絡(luò)安全事件及時發(fā)現(xiàn)、故障快速定位、數(shù)據(jù)存儲回溯等功能；劉廉如[4]等人針對工業(yè)物聯(lián)網(wǎng)存在工業(yè)安全事件高頻化，漏洞增長快速化，攻擊方式多元化，網(wǎng)絡(luò)邊界模糊化等問題，提出防護對象、防護措施和防護管理三個維度的安全框架；吳東方[5]針對工業(yè)網(wǎng)絡(luò)入侵監(jiān)測的不確定性問題，提出一種基于流量特征圖的工業(yè)物聯(lián)網(wǎng)入侵模型，解決工業(yè)網(wǎng)絡(luò)檢測不確定性和泛化能力差的問題；李青[6]針對基于流量特征檢測工業(yè)網(wǎng)絡(luò)入侵行為樣本不足的問題，提出一種基于概率估計的快速決策樹分類算法，提升模型對數(shù)據(jù)流演變的適應(yīng)性問題。

從上述研究可知，工業(yè)物聯(lián)網(wǎng)的安全研究通常是從流量數(shù)據(jù)入手，通過對流量進行降維、特征提取等處理方式實現(xiàn)工業(yè)物聯(lián)網(wǎng)異常行為的檢測。工業(yè)物聯(lián)網(wǎng)作為一個開放的系統(tǒng)，難以構(gòu)建統(tǒng)一的安全防護平臺，因此，本文將利用工業(yè)物聯(lián)網(wǎng)簇頭對工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)節(jié)點進行巡視，結(jié)合節(jié)點數(shù)據(jù)包完整性、數(shù)據(jù)包傳輸率和傳輸延遲等異常行為檢測指標(biāo)和信譽閾值的變化情況，形成一種以數(shù)據(jù)驅(qū)動為主要方式的巡視間隔自適應(yīng)設(shè)置機制，實現(xiàn)工業(yè)物聯(lián)網(wǎng)異常行為檢測的自適應(yīng)巡視。該算法在不增加網(wǎng)絡(luò)負(fù)擔(dān)的情況下實現(xiàn)高精度、自適應(yīng)的巡視，更加符合節(jié)能環(huán)保和工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的需求。

1 工業(yè)物聯(lián)網(wǎng)安全異常行為檢測模型

1.1 異常行為檢測網(wǎng)絡(luò)結(jié)構(gòu)模型

傳統(tǒng)的工業(yè)物聯(lián)網(wǎng)由于過分追求覆蓋范圍的廣域性，存在各節(jié)點能量消耗不平衡、節(jié)點功能劃分不科學(xué)等問題。針對上述問題，本文兼顧效率和能耗兩方面，提出一種自適應(yīng)巡視算法的工業(yè)物聯(lián)網(wǎng)安全異常行為檢測模型。在介紹模型之前，先介紹基于節(jié)點層級劃分的異常行為檢測網(wǎng)絡(luò)模型。節(jié)點層級劃分是將工業(yè)物聯(lián)網(wǎng)所有的節(jié)點分為3 類：普通節(jié)點、簇頭節(jié)點和匯聚節(jié)點。普通節(jié)點負(fù)責(zé)基礎(chǔ)數(shù)據(jù)采集和通信數(shù)據(jù)交互等任務(wù)；簇頭節(jié)點負(fù)責(zé)記錄普通節(jié)點的通信行為，動態(tài)更新普通節(jié)點的信譽值，對接匯聚節(jié)點的通信行為，協(xié)助匯聚節(jié)點對普通節(jié)點行為進行檢測和信譽值更新等任務(wù)；匯聚節(jié)點通常位于網(wǎng)關(guān)的位置，是網(wǎng)絡(luò)結(jié)構(gòu)中最高權(quán)限的節(jié)點，負(fù)責(zé)無線網(wǎng)絡(luò)和路由之間數(shù)據(jù)匯聚，與簇頭節(jié)點進行通信，并對網(wǎng)絡(luò)所有節(jié)點通信行為管理等任務(wù)。異常行為檢測網(wǎng)絡(luò)結(jié)構(gòu)模型如圖1 所示。

圖1 異常行為檢測網(wǎng)絡(luò)結(jié)構(gòu)模型

圖1 展現(xiàn)了基于節(jié)點層級劃分的異常行為檢測網(wǎng)絡(luò)結(jié)構(gòu)。如何選取簇頭節(jié)點是構(gòu)建檢測網(wǎng)絡(luò)結(jié)構(gòu)模型的關(guān)鍵問題。

1.2 簇頭節(jié)點的選取及網(wǎng)絡(luò)分組

在進行網(wǎng)絡(luò)分組前需要選取簇頭節(jié)點，本文采用網(wǎng)絡(luò)節(jié)點重要度方法來選取簇頭節(jié)點。而網(wǎng)絡(luò)節(jié)點重要度往往通過介數(shù)和信譽度來衡量。

節(jié)點的介數(shù)定義為網(wǎng)絡(luò)傳輸過程中所有最短路徑中經(jīng)過該節(jié)點的路徑數(shù)目占最短路徑總數(shù)的比例。

其中，Bi表示節(jié)點i的介數(shù)，njk(i) 表示表示數(shù)據(jù)從節(jié)點j傳到節(jié)點k經(jīng)過節(jié)點i的最短路徑數(shù)量，njk表示網(wǎng)絡(luò)傳輸中所有最短路徑的數(shù)量。

節(jié)點信譽度定義為網(wǎng)絡(luò)傳輸過程中該節(jié)點數(shù)據(jù)包完整性、數(shù)據(jù)包傳輸率和傳輸延遲的綜合評估值。

數(shù)據(jù)包完整性表示檢測節(jié)點是否存在篡改數(shù)據(jù)包的異常行為。

其中，Pi表示節(jié)點i轉(zhuǎn)發(fā)數(shù)據(jù)包的完整性。NiR表示節(jié)點i正確轉(zhuǎn)發(fā)數(shù)據(jù)包的次數(shù)；Ni表示節(jié)點i轉(zhuǎn)發(fā)數(shù)據(jù)包的次數(shù)。通常采用幀頭+數(shù)據(jù)長度+數(shù)據(jù)+校驗值的方式判斷數(shù)據(jù)包轉(zhuǎn)發(fā)數(shù)據(jù)的正確性。

數(shù)據(jù)包傳輸率表示下一路由節(jié)點能夠成功接收到源節(jié)點數(shù)據(jù)包的概率。

其中，Di表示節(jié)點i轉(zhuǎn)發(fā)數(shù)據(jù)包的傳輸率；表示節(jié)點q接收來自節(jié)點i的數(shù)據(jù)包數(shù)量；Diq表示節(jié)點i發(fā)出數(shù)據(jù)包數(shù)量。q∈Γ(i) 表示節(jié)點i的鄰居節(jié)點。

傳輸時延Ti表示節(jié)點i接收或者轉(zhuǎn)發(fā)數(shù)據(jù)包的時間間隔。

Td表示節(jié)點i接收或者轉(zhuǎn)發(fā)數(shù)據(jù)的實際時間；Tc表示通信周期。

那么節(jié)點i的信譽度為：

其中，ω1+ω2+ω3=1。

那么，節(jié)點i的重要度為：

將節(jié)點重要性按照降序排序，選取前k個節(jié)點作為簇頭節(jié)點；然后，采用K-means 的算法實現(xiàn)網(wǎng)絡(luò)分組，以k個簇頭節(jié)點作為聚類中心，計算其他節(jié)點與簇頭節(jié)點的距離；最后，根據(jù)距離遠(yuǎn)近的原則將節(jié)點聚類到不同的簇頭中，實現(xiàn)網(wǎng)絡(luò)分組，構(gòu)建異常行為檢測的網(wǎng)絡(luò)結(jié)構(gòu)。

1.3 工業(yè)物聯(lián)網(wǎng)異常行為檢測模型

檢測節(jié)點是否存在異常是工業(yè)物聯(lián)網(wǎng)異常行為檢測的主要目標(biāo)，基于節(jié)點通信行為評估計算節(jié)點信譽度，結(jié)合信譽度的變化來更新巡視頻率，進而判定節(jié)點是否存在異常?？紤]到工業(yè)物聯(lián)網(wǎng)是一個全天候運行的系統(tǒng)，需要在無人干預(yù)的情況下，在數(shù)據(jù)傳輸過程中引入信譽度評估和自適應(yīng)巡視機制，在不增加網(wǎng)絡(luò)負(fù)荷的情況下實現(xiàn)網(wǎng)絡(luò)異常節(jié)點判定。異常行為檢測模型如圖2 所示。

圖2 安全異常行為檢測模型

2 自適應(yīng)巡視算法機制

自適應(yīng)巡視機制，是基于匯聚節(jié)點檢測到的普通節(jié)點真實信譽值與預(yù)測值之間的誤差，對巡視間隔進行自適應(yīng)更新，采取不同的頻率對普通節(jié)點進行檢測。自適應(yīng)巡視機制如圖3 所示。

圖3 自適應(yīng)巡視機制

基于采樣時刻、前一時刻和后一時刻的節(jié)點異常行為檢測指標(biāo)，計算節(jié)點在當(dāng)前時刻的信譽度，然后結(jié)合前一時刻和后一時刻節(jié)點的信譽度對當(dāng)前時刻節(jié)點的信譽度進行預(yù)測。基于時間序列預(yù)測節(jié)點i的信譽度預(yù)測值為：

進一步，對比真實采樣時刻節(jié)點信譽度和基于時間序列預(yù)測的節(jié)點信譽度之間的誤差，根據(jù)誤差大小調(diào)整巡視間隔：如果誤差大于設(shè)定誤差閾值，縮小巡視間隔，反之亦然。

3 實驗分析

本文實驗區(qū)域是某個區(qū)的LoRa 物聯(lián)網(wǎng)試驗網(wǎng)，覆蓋半徑1.25 公里，在此區(qū)域內(nèi)隨機部署了200 個信息采集節(jié)點（包括10 個簇頭節(jié)點），其中匯聚節(jié)點和簇頭節(jié)點的位置固定，信息采集節(jié)點傳輸數(shù)據(jù)的時間是隨機的。為了驗證本文算法的有效性，實驗區(qū)域設(shè)置40 個惡意節(jié)點，惡意節(jié)點會在任何時候?qū)ζ渌?jié)點進行連續(xù)性攻擊。本實驗所有匯聚節(jié)點可在所有采集節(jié)點之間實現(xiàn)自由通信。匯聚節(jié)點仿真參數(shù)設(shè)置如表1 所示。

為了清晰展示本文算法和LEACH-C[7-10]傳統(tǒng)算法的能耗性能差異，本文將參考相關(guān)學(xué)者[11]的研究，將本文算法的信譽度閾值設(shè)置為0.8，檢測時間是300 s。從信息采集節(jié)點的存活時間和網(wǎng)絡(luò)能量消耗兩方面進行對比。

表1 匯聚節(jié)點的參數(shù)設(shè)置

圖4 是本文模型與LEACH-C 傳統(tǒng)算法在受到惡意節(jié)點攻擊后存活節(jié)點數(shù)量的對比情況。從圖4 可知，本文模型與傳統(tǒng)的路由協(xié)議相比，其存活時間延長了25.8%。出現(xiàn)這種情況的原因是：當(dāng)出現(xiàn)死亡節(jié)點后，匯聚節(jié)點通過巡視機制識別惡意節(jié)點并將其移除到網(wǎng)絡(luò)外。

圖4 顯示，本文模型在10 分鐘之內(nèi)識別并移除了所有惡意節(jié)點到網(wǎng)絡(luò)之外，正常節(jié)點在19 分鐘以后能量逐漸消耗殆盡，節(jié)點最長存活時間為31 分鐘；而LEACH-C 傳統(tǒng)算法則在16 分鐘時出現(xiàn)第一個死亡節(jié)點，并迅速惡化，節(jié)點存活時間僅為23 分鐘。

圖4 網(wǎng)絡(luò)剩余節(jié)點對比

網(wǎng)絡(luò)中每一個采集節(jié)點的初始能耗為2 焦/ 分鐘，惡意節(jié)點對其他信息采集節(jié)點進行攻擊后，信息采集節(jié)點的能耗迅速提升，圖5 展示了采用本文的自適應(yīng)巡視機制和LEACH-C 傳統(tǒng)算法下的能量消耗對比。

圖5 網(wǎng)絡(luò)能量消耗對比

受到惡意節(jié)點攻擊后，LEACH-C 傳統(tǒng)算法的能量消耗平均為17 焦/分鐘；而本文模型的能量消耗平均為12焦/分鐘。這是因為本文模型采用自適應(yīng)巡視機制發(fā)現(xiàn)異常節(jié)點并對異常節(jié)點進行快速清除，從而實現(xiàn)能耗的降低。

4 結(jié)束語

本文針對工業(yè)物聯(lián)網(wǎng)存在高能耗安全防護問題，提出基于自適應(yīng)巡視算法的工業(yè)物聯(lián)網(wǎng)異常行為檢測模型。該模型在構(gòu)建異常行為檢測網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，結(jié)合節(jié)點的網(wǎng)絡(luò)介數(shù)和信譽度選取簇頭節(jié)點；然后，采用自適應(yīng)巡視機制確定匯聚節(jié)點巡視時間間隔；最后，根據(jù)工業(yè)物聯(lián)網(wǎng)實際情況自適應(yīng)調(diào)整節(jié)點巡視頻率。實驗證明，本文所采用的自適應(yīng)巡視機制能夠在一定程度上降低網(wǎng)絡(luò)能耗和延長節(jié)點的生存時間。本文的方法雖然能夠較為全面檢測惡意節(jié)點，但是沒有涉及節(jié)點的抗毀性問題。擬在后續(xù)工作中針對該問題繼續(xù)研究。