陳深龍，張玉清

（1. 中國科學院研究生院 國家計算機網絡入侵防范中心，北京 100049；2. 中國科學院研究生院 信息安全國家重點實驗室，北京 100049）

1 引言

Ad hoc網絡使用無線通信信道，擁有動態(tài)的拓撲結構，沒有全局可見性且無法進行中央控制，網絡中節(jié)點的計算、存儲和通信資源有限，這些特性使得 ad hoc網絡容易受到多種類型的攻擊，如Rushing[1]、Worm hole[2]、Black hole[3]、Spoof[4]、數(shù)據(jù)修改[4]和不合作[4]等。

當前已涌現(xiàn)諸多研究成果以應對上述安全問題。信任模型可以通過分布式方式對已知的和未知的節(jié)點進行評價并輔助系統(tǒng)進行決策，已經成為解決ad hoc網絡中安全問題的重要研究分支，典型研究成果包括 Watchdog and Pathrater[5]、CONFIDANT[6]、CORE[7]、AODV-REX[8]、TME[9]、TEAM[10]、PureTrust[11]和 TEBSS[12]等。但是這些安全方案都只關注一種或少數(shù)幾種攻擊，如Watchdog and Pathrater[5]、CONFIDANT[6]和 CORE[7]是為了解決不合作[4]；AODV-REX[8]是為了防御 Black hole[3]；TME[9]是為了防御數(shù)據(jù)修改[4]和不合作[4]。

可見，傳統(tǒng)防御體系下的各種安全方案分別防御各自關注的攻擊，各自為營。利用此弱點，一種有效的攻擊策略是：攻擊者先后發(fā)起多種類型的攻擊，當發(fā)起第一種攻擊時，第二種攻擊的安全方案無法收集到第一種攻擊證據(jù)，它可能把惡意節(jié)點當成正常節(jié)點對待，此攻擊稱為“復合攻擊”，例如，攻擊者每個階段發(fā)起一種攻擊，以5個階段為一個周期。傳統(tǒng)防御體系各安全方案彼此獨立實施檢測與決策，均認為只有1/5的時間有攻擊行為，而實際上攻擊者所有時間都在攻擊。

因此，當存在多種攻擊時，傳統(tǒng)防御體系具有片面性，無法滿足ad hoc網絡的可生存性需求[13]。Ad hoc網絡可生存性是指ad hoc網絡在面臨攻擊、故障和意外時節(jié)點可及時完成其任務的能力[13]。本文主要增強ad hoc網絡在面臨復合攻擊時的可生存性。為了對可生存性進行量化，采用抵抗攻擊的成功率作為衡量可生存性的指標。

本文基于 Dempster-Shafer（D-S）證據(jù)理論[14]提出一種健壯的多維信任模型（RMTM, robust multi-dimensional trust model）解決上述問題?；贒-S證據(jù)理論對系統(tǒng)建模，利用直接證據(jù)信息和其他節(jié)點的推薦信息分別計算直接信任和間接信任，設計基本信度分配函數(shù)計算多維度信任，并根據(jù)D-S證據(jù)合成規(guī)則融合多維信任從而實現(xiàn)綜合評價，最終得到網絡信任?；诖耍湃文Ｐ涂梢跃_地區(qū)分出網絡中的惡意節(jié)點。

由于本文采用信任模型解決ad hoc網絡的復合攻擊問題，而信任模型本身面臨多種安全威脅，如惡意推薦、合謀攻擊和叛徒攻擊等，RMTM提取相應攻擊特征參與多維信任的融合，同時設計相應改進算法實現(xiàn)信任模型的入侵容忍，從而提高了信任模型的健壯性。

2 攻擊模型

RMTM面臨的攻擊模型同時包括ad hoc網絡攻擊和信任模型攻擊。

如前所述ad hoc網絡存在多種攻擊，攻擊者采用復合攻擊可以先后發(fā)起多種攻擊以突破當前每種安全方案各自為營的傳統(tǒng)防御體系。這些攻擊主要包括5類[3,4,11]（見表1）。

表1 ad hoc網絡惡意節(jié)點可用于復合攻擊的攻擊方法

另一方面，為了提高信任模型的健壯性，RMTM 在設計時需要容忍信任模型本身面臨的攻擊?；谇叭说墓ぷ鱗15～17]，信任模型面臨的攻擊主要包括5種（見表2）。此外，攻擊者還可能偽造推薦信息和篡改推薦信息，它們分別屬于ad hoc網絡中的身份扮演和數(shù)據(jù)修改攻擊。

表2 ad hoc網絡信任模型面臨的攻擊

Ad hoc網絡的傳統(tǒng)防御體系中各種安全方案僅關注一種或少數(shù)幾種攻擊，難以防御復合攻擊。本文分析了傳統(tǒng)防御體系下5種ad hoc網絡信任模型（E-Hermes[18]、TME[9]、TEAM[10]、PureTrust[11]和 TEBSS[12]）的特點（見表 3）?？梢妭鹘y(tǒng)防御體系對本文攻擊模型不能進行有效的防御。

表3 傳統(tǒng)防御體系下的典型信任模型特點

3 基于D-S證據(jù)理論的多維信任模型

3.1 模型描述

Ad hoc網絡復合攻擊結合了多種攻擊方式，使用單個特征很難將攻擊節(jié)點和正常節(jié)點區(qū)分開。由于正常節(jié)點很難將幾個特征同時呈現(xiàn)異常，而攻擊節(jié)點通常會造成多個特征出現(xiàn)異常，因此 RMTM把不同攻擊證據(jù)分成不合作、數(shù)據(jù)修改、數(shù)據(jù)偽造、身份扮演和資源濫用等5個維度。基于D-S證據(jù)理論[14]，RMTM對每個維度的信任進行評價，并對多維信任融合實現(xiàn)對節(jié)點的綜合評價。

D-S證據(jù)理論[14]是建立在非空有限域Θ上的數(shù)學推理理論，Θ稱為辨識框架，表示有限個狀態(tài){θ1,θ2, …, θn}，而系統(tǒng)狀態(tài)為Θ的一個子集，即Θ的冪集2Θ的一個元素。D-S證據(jù)理論首先需要定義對某個證據(jù)支持一個系統(tǒng)狀態(tài)的概率，稱為基本信度分配 (BPA, basic probability assignment)函數(shù)。

定義 1 基本信度分配函數(shù)：是從Θ的冪集到[0,1]區(qū)間的映射，定義為

RMTM從多個維度評價節(jié)點的信任，因此存在多個基本信度分配函數(shù)mk，其中1≤k≤5。對于每個基本信度分配函數(shù)，Θ={N, A}，其中N表示正常，A表示異常。2Θ={?, {N}, {A}, {N, A}}，其中{N}表示節(jié)點處于正常狀態(tài)，{A}表示節(jié)點處于異常狀態(tài)，{N, A}表示節(jié)點處于哪個狀態(tài)具有不確定性。RMTM 將確定這 3種狀態(tài)下的基本信度分配函數(shù)m({N})、m({A})和 m({N, A})。

在ad hoc網絡中，一個節(jié)點對其他節(jié)點的評價可基于2類信息[6,7,18]：直接證據(jù)信息和接收到的推薦信息，它們可以分別用于計算直接信任和間接信任。直接信任和間接信任體現(xiàn)了不同含義，前者僅體現(xiàn)了自身與被評價節(jié)點的交互記錄，而后者體現(xiàn)了其他節(jié)點與被評價節(jié)點的交互記錄。將兩者進行合成可以提高信任評價的精確度和收斂速度。因此，得到評價第k維信任的基本信度分配函數(shù)。

其中，fstk表示直接信任，sndk表示間接信任。

定義 2 直接信任：表示節(jié)點基于直接證據(jù)信息對其他節(jié)點的評價。在第k維度的直接信任由三元組表示：fstk=(fbk, fdk, fuk)∈[0,1]3: fbk+fdk+fuk=1，其中，fb、fd和fu分別代表直接相信(firsthand belief)、直接不相信(firsthand disbelief)和不確定(firsthand uncertainty)。

定義 3 間接信任：表示節(jié)點基于推薦信息形成的對其他節(jié)點的評價。在第k維的間接信任由一個與直接信任相似的三元組表示：sndk=(sbk, sdk,suk)。

一個節(jié)點根據(jù)基本信度分配函數(shù) mk對其他節(jié)點不同維度的信任進行評價，從而形成信任矩陣。

定義 4 信任矩陣：表示一個節(jié)點對其他節(jié)點從不同維度進行評價。定義為

其中，行表示對哪個節(jié)點進行評價，列表示從哪個維度進行評價，元素是一個三元組，，表示節(jié)點i對節(jié)點j關于第k維信任。

定義 5 網絡信任：表示對節(jié)點品質的綜合評價。定義為多維信任融合結果的三元組(m({N}),m({A}), m({N, A}))。

圖1 基于D-S證據(jù)理論的多維信任模型

基于上述分析，RMTM架構如圖1所示。通過證據(jù)獲取接口獲得直接證據(jù)信息，并利用推薦機制收集推薦信息，根據(jù)攻擊模型這2類信息都被分成不同維度，通過基本信度分配函數(shù)實現(xiàn)每個維度信任的評價。一個節(jié)點對其他節(jié)點的多個維度的信任評價形成信任矩陣，利用D-S證據(jù)合成規(guī)則對多維信任進行融合實現(xiàn)綜合評價，從而得出節(jié)點的網絡信任。根據(jù)網絡信任，節(jié)點采取相應的可生存決策。

3.2 證據(jù)獲取

RMTM首先需要獲取攻擊模型中ad hoc網絡攻擊的直接證據(jù)信息，證據(jù)的獲取可通過檢測系統(tǒng)實現(xiàn)。目前檢測ad hoc網絡面臨的不合作、數(shù)據(jù)修改、數(shù)據(jù)偽造、身份扮演和資源濫用5種攻擊已經有相當多研究成果[9～12,18]。本文繼承這些研究成果，假設這些不同維度的直接證據(jù)信息可以通過相應接口從當前安全方案[9～12,18]獲取。

3.3 信任矩陣計算

根據(jù)獲得的直接證據(jù)信息，可以計算出直接信任。直接信任確定算法基于Bayesian推理，Bayesian推理是一種基于證據(jù)或觀察對一種假設為真的可能性進行推斷的統(tǒng)計學方法。在Bayesian推理過程中，使用Beta分布，即Beta(α, β)，因為它只需要維護2個不斷更新的參數(shù)，而無須存儲歷史證據(jù)信息，其空間復雜度為O(1)，這對資源有限的ad hoc網絡是非常適用的。參數(shù)α和β分別表示正面證據(jù)和負面證據(jù)的數(shù)量，RMTM將它們作為某一維度的攻擊特征。初始情況下，一個節(jié)點對網絡中的其他節(jié)點有先驗 Beta(α, β)=Beta(1,1)。當收集到 r個正面證據(jù)和s個負面證據(jù)，則得到后驗Beta(1+r,1+s)。不同的α、β對概率密度函數(shù)（PDF, probability density function）的影響如圖2(a)～圖2(c)所示。

由于ad hoc網絡中各個節(jié)點得到的證據(jù)信息不完整，因此，不確定性在評價節(jié)點占有一定比重。不確定性有2個重要屬性。①當α+β很大，這意味著收集到足夠證據(jù)，不確定性下降。②當正面或者負面其中一類證據(jù)占絕大多數(shù)時，不確定性相比于2類證據(jù)一樣多時也會下降。因此，模型將不確定性定義為Beta(α, β)的歸一化標準差。

其中，分母和分子分別體現(xiàn)了第1個和第2個屬性。

因此，總的確定性為 1-fuk?；?Beta(α, β)，一個節(jié)點對另一節(jié)點的直接信任評價的數(shù)學期望為，因此可以得出

不同α、β對直接信任(fb, fd, fu)的影響如圖2(d)～圖 2(f)所示，雖然 Beta(1,1)和 Beta(10,10)正面證據(jù)的數(shù)量都占 50%，但是明顯前者的不確定性大，當收集到的證據(jù)數(shù)量達到Beta(90,10)時，可以認為評價對象是相對比較可信的。

1.3 觀察指標 中老年組其它治療措施基本一致，包括均給予戒除煙酒嗜好和不良飲食習慣，清淡飲食、抬高床頭15度等一般治療。2組共治療8周，分別于治療第8周時隨診及填寫RDQ評分、胃食管反流病肝郁脾虛證癥狀分級量化問卷并行胃鏡檢查，通過前后積分對照，組間療效對照評價療效；并于停藥后第2、4周時隨訪，觀察停藥后癥狀復發(fā)情況。

RMTM 對每個維度的特征進行推薦以提高信任收斂速度和評價精確度。當A收到推薦信息時，對推薦信息進行合成得到間接信任。A根據(jù)Bi關于C的推薦信息計算出?？赡芘c不同，因為 Bi可能推薦虛假信息，則A對多個推薦信息合成得到對C的間接信任如下：

圖2 不同參數(shù)下Beta函數(shù)的概率密度和對應的信任度量

其中，wABi是Bi的權重，表示Bi推薦信息的可信度，它的取值由4.2節(jié)中的推薦信任確定。

當確定了直接信任 fstk和間接信任 sndk，設計一個基本信度分配函數(shù)m對兩者進行綜合，綜合算法基于兩者的不確定性所占的比重如下：

其中，當X={N}，fx=fb，sx=sb；當X={A}，fx=fd，sx=sd；當 X={N, A}，fx=fu，sx=su。

根據(jù)上述基本信度分配函數(shù)，節(jié)點可以計算各自的信任矩陣，實現(xiàn)對其他節(jié)點的多維度評價。

3.4 多維信任融合

基于基本信度分配函數(shù)，D-S證據(jù)理論提供了Dempster合并規(guī)則[14]以合并多維信任。該合并規(guī)則在沖突證據(jù)合并時存在一些不足，因而也發(fā)展了一些改進的合并規(guī)則[14]，但由于其簡單易用，本文仍采用該規(guī)則對多維信任進行融合。應用此合并規(guī)則的前提是被合并的證據(jù)必須是獨立的，由于本文從不同維度提取相應的攻擊特征來計算基本信度分配函數(shù)，它們之間滿足彼此獨立。

定義6 多維信任融合：設mk為第k維信任的基本信度分配函數(shù)，則當A≠?時，對2個維度信任的融合得出網絡信任的基本信度分配函數(shù)為

對n個維度信任進行融合的一般化規(guī)則為

Dempster合并規(guī)則已被證明為P完全難解問題[19]，但在本文的應用場景中，識別框架只有2個互斥元素，可證明Dempster規(guī)則的計算代價是O(n)。

定理 1 Dempster合并規(guī)則在Θ={N, A},N∩A=?的情況下的時間復雜度是O(n)。

證明

合并規(guī)則滿足結合律，由數(shù)學歸納法容易證得：m1,…,n(A)=m1( A)⊕m2(A)⊕…⊕mn(A)。而2個維度信任的融合可以在常數(shù)時間完成，因此，對n個維度信任的融合m1,…,n(A)可以在n-1步完成，時間復雜度為O(n)。證畢。

可見，Dempster合并規(guī)則適用于資源有限的ad hoc網絡。利用此規(guī)則對多維信任融合便得到網絡信任，如1≤k≤5分別表示節(jié)點A對節(jié)點B在不合作、數(shù)據(jù)修改、數(shù)據(jù)偽造、身份扮演和資源濫用5個維度的信任評價，則利用上述規(guī)則對5個維度信任進行融合后，便可得到A對B的網絡信任的綜合評價

3.5 可生存決策

可生存決策的意義如下：①通過剝奪惡意節(jié)點參與網絡的機會減少其對網絡的影響；②提供激勵機制促使節(jié)點在網絡中表現(xiàn)正常?；谛湃蔚臎Q策研究成果較多[9～12,18]，總體可分為基于激勵[20]和基于懲罰[20]2種。本文節(jié)點決策時基于節(jié)點的網絡信任，每個節(jié)點自治地進行決策，不要求一致性。當網絡中大多數(shù)節(jié)點隔離了某個節(jié)點時，此節(jié)點便無法在網絡中立足。

4 信任模型的入侵容忍

4.1 拒絕推薦的容忍

提取拒絕推薦的攻擊特征如下：節(jié)點A記錄向節(jié)點B請求推薦的數(shù)量和節(jié)點B返回的推薦信息數(shù)量，兩者相減可得到節(jié)點B未返回的推薦信息數(shù)量。用返回的數(shù)量和未返回的數(shù)量分別更新Beta分布的參數(shù)α和β，并將它與其他維度的特征一起推薦給其他節(jié)點。根據(jù)式(3)～式(5)得出A對B的第6維直接信任(fb6, fd6, fu6)，然后根據(jù)式(6)～式(8)得到第6維間接信任(sb6, sd6, su6)。再利用式(9)對直接信任和間接信任合成得到基本信度分配函數(shù)m6({N})、m6({A})和m6({N, A})。這樣節(jié)點就可以評價其他節(jié)點是否會拒絕推薦。

為了防御拒絕推薦攻擊，采用激勵機制讓此維信任也參與網絡信任的融合，這樣節(jié)點推薦誠實信息后將從中獲益，從而抑制惡意節(jié)點。

4.2 惡意推薦的容忍

提取惡意推薦的攻擊特征的方法是：基于自身信任矩陣對推薦信息進行偏離測試。

其中，threshold是偏離閾值，各節(jié)點自由選擇以容忍攻擊者猜測。如果推薦信息不能通過偏離測試，則丟棄，并當成負面證據(jù)更新Beta(α, β)的β參數(shù)，否則當成正面證據(jù)更新α參數(shù)。于是構造出第7維特征，然后類似于容忍拒絕推薦的方法，讓其參與推薦，進而得到第7維基本信度分配函數(shù)m7({N})、m7({A})和m7({N, A})。本文將其定義為推薦信任。

定義7 推薦信任：表示對一個節(jié)點推薦信息可信度的評價，定義為惡意推薦的基本信度分配函數(shù)結果的三元組(m7({N}), m7({A}), m7({N, A}))。

式(6)和式(7)在計算間接信任時使用的比重w正是m7({N})，它表示推薦來源的可信度越高，則在計算間接信任時權重越大。

惡意推薦容忍算法的創(chuàng)新是：將惡意推薦的特征跟其他維度的特征一起推薦給其他節(jié)點，從而加快了推薦信任的收斂。推薦機制可以加快網絡信任的收斂已得到C. Zouridaki等人[18]的證明，其對推薦信任收斂產生的影響將在仿真實驗中驗證。

4.3 變換身份的容忍

對于變換身份攻擊，前述的基于不確定性的信任計算是很有效的懲罰機制。當攻擊者變換成全新身份加入網絡時為初始狀態(tài)Beta(1, 1)，其他節(jié)點對其的直接信任評價是(fb, fd, fu)=(0,0,1)，攻擊者需要花費大量精力來積累信任，如圖2(d)～圖2(f)所示，因此攻擊者使用變換身份攻擊已經沒有任何意義。

4.4 叛徒攻擊的容忍

當前容忍叛徒攻擊的方法是引入衰退因子[21]以體現(xiàn)新證據(jù)在計算信任時擁有更大貢獻。即在每個周期對Beta參數(shù)衰退：α=λα+r，β=λβ+s，其中λ是一個固定的衰退因子。此方法可以在一定程度上緩解叛徒攻擊，但它對叛徒攻擊策略的反應并不敏感，因此Sun Y L等人[17]提出動態(tài)衰退因子的思想。RMTM借鑒此思想，使用具有懲罰意義的自適應衰退因子：λk=1-mk({N})。其含義是：節(jié)點需要花費大量精力提升信任，但少量的攻擊行為可導致信任急劇下降。此外，當前防御叛徒攻擊的方案[17]僅作用于網絡信任計算，但攻擊者還可以周期地進行正常推薦和惡意推薦。為了容忍此類叛徒攻擊，RMTM將自適應衰退因子作用于推薦信任的計算。

4.5 合謀攻擊的容忍

RMTM從2個角度防御合謀攻擊。①合謀攻擊產生的根源是節(jié)點采納了間接信任，因此 RMTM在一個節(jié)點對另一個節(jié)點直接評價的不確定很小時，則主要考慮直接信任，而間接信任所占的權重很小，這通過式(9)保證，其可以自適應地調節(jié)兩者所占的比重。②合謀攻擊產生的條件是多個攻擊節(jié)點可以串通在一起同時給正常節(jié)點推薦信息，在基于主動推薦[20]的信任模型（如R-Reputation[21]）中很容易實現(xiàn)此攻擊，本文提出一種隨機被動推薦算法，從而擊破攻擊者聯(lián)盟。被動推薦[20]是指節(jié)點只有在收到推薦請求消息時才發(fā)送推薦信息，而沒有收到請求消息就主動推薦的信息不會被接收者采納。RMTM使用自適應隨機選擇確保多個合謀節(jié)點同時被選中的概率極低，從而破壞合謀攻擊的條件。綜上，RMTM的入侵容忍算法如下。

算法1 ComputeTrust(A, C)

5 仿真實驗

本文選用NS2作為仿真器，網絡中節(jié)點總數(shù)為100，惡意節(jié)點的比例為10%～90%。RMTM模型中式(12)的參數(shù)偏離閾值threshold的取值方法是各個節(jié)點從區(qū)間[0.1,0.2]中隨機選擇。為了與傳統(tǒng)防御體系比較，實現(xiàn)了E-Hermes[18]、TME[9]、TEAM[10]、PureTrust[11]和TEBSS[12]5個信任模型分別防御不合作、數(shù)據(jù)修改、數(shù)據(jù)偽造、身份扮演和資源濫用，通過這種方式模擬了傳統(tǒng)防御體系，并將這些方案檢測到的攻擊證據(jù)提供給RMTM。仿真中通過發(fā)送各類型攻擊數(shù)據(jù)包模擬發(fā)起相應類型攻擊，并通過節(jié)點抵抗攻擊數(shù)據(jù)包的成功率衡量網絡可生存性。

5.1 防御ad hoc網絡復合攻擊的效果

惡意節(jié)點采用復合攻擊策略，其中每個階段為30s，一個周期為 5個階段，每個階段只發(fā)動 5種ad hoc網絡攻擊中的一種。

首先比較基于 RMTM 的防御體系與傳統(tǒng)防御體系抵抗復合攻擊的平均成功率。統(tǒng)計在不同惡意節(jié)點比例下2種防御體系抵抗攻擊的平均成功率，如圖3所示，隨著網惡意節(jié)點數(shù)量增多，2個體系抵抗攻擊的成功率都逐漸下降，但是基于 RMTM的防御體系的下降速度明顯慢于傳統(tǒng)防御體系，如在20%惡意節(jié)點時基于RMTM的防御體系的成功率為 90.7%，而傳統(tǒng)防御體系只有 57.5%?？梢奟MTM對增強ad hoc網絡可生存性效果明顯。

圖3 抵抗攻擊的平均成功率

為了分析上述現(xiàn)象的原因，將惡意節(jié)點比例固定為20%，分析在不同時間成功率的實時變化。結果如圖4所示，在傳統(tǒng)防御體系下實時的抵抗攻擊成功率存在明顯周期性，其周期與節(jié)點攻擊的周期相同(150s)。每個周期分為 5個階段，等同于攻擊者的5個攻擊階段，在每個階段內，抵抗成功率逐漸上升，但是下一個階段，因為所有攻擊者變換攻擊方式，傳統(tǒng)防御體系中的信任模型又得重新對節(jié)點進行評價。從第2個周期開始，成功率較第1周期有所上升，這是因為每個信任模型在第1周期內的某一個階段對惡意節(jié)點積累了一定攻擊證據(jù)。而基于 RMTM 的防御體系呈現(xiàn)上升趨勢，雖然開始時抵抗攻擊的成功率低于傳統(tǒng)防御體系，但經歷 2個階段后，RMTM已經可以綜合評價每個節(jié)點從而使抵抗攻擊的成功率穩(wěn)定在較高水平(97.8%)。

圖4 抵抗攻擊的實時成功率

5.2 防御信任模型自身面臨攻擊的效果

為了最大程度操縱信任模型，惡意節(jié)點采用“拒絕推薦+惡意推薦+變換身份+叛徒攻擊+合謀攻擊”的混合攻擊方法。惡意節(jié)點隨機選用上述攻擊方法，合謀攻擊節(jié)點互相知道對方的信息。為了將RMTM與健壯信任模型E-Hermes[18]進行比較，讓攻擊者只進行一種ad hoc網絡攻擊“不合作”。

首先分析 2種模型中正常節(jié)點接收到的推薦信息來自惡意節(jié)點的比例，如圖5所示。使用E-Hermes時正常節(jié)點收到的推薦信息被惡意推薦信息占據(jù)，如在惡意節(jié)點比例為 20%時，正常節(jié)點收到的推薦信息有42.7%來自惡意節(jié)點，從而誤導正常節(jié)點對其他節(jié)點的評價。而使用RMTM時只有13.5%來自惡意節(jié)點。這是因為RMTM保證了節(jié)點從推薦信任較好的節(jié)點處獲取推薦信息，并使用隨機被動推薦算法破壞了攻擊者合謀條件，使攻擊者難以合謀。

圖5 正常節(jié)點接收到的推薦信息來自惡意節(jié)點的比例

接下來，比較2個信任模型對推薦信任評價的精確度與收斂情況。選定一個惡意節(jié)點和一個階段，選取的標準是此節(jié)點在上一個階段推薦誠實的信息，而在此階段推薦虛假的信息，然后分析所有正常節(jié)點在這個階段對此節(jié)點推薦信任的評價情況。結果如圖6所示，橫軸表示此階段的時間，縱軸表示正常結點對惡意節(jié)點推薦信任的評價值m7({N})，使用 RMTM，惡意節(jié)點推薦信任下降較快，大約在312s就已經收斂，而E-Hermes在322s收斂。可見，RMTM對推薦信任的特征（即第7維特征）進行推薦的機制加快了推薦信任的收斂過程，同時動態(tài)衰退因子提高了評價的精確度。

圖6 推薦信任收斂情況分析

5.3 通信開銷分析

此前已對RMTM所采用的Beta算法和D-S證據(jù)融合算法的空間復雜度和時間復雜度進行理論證明，這里對RMTM的通信開銷進行分析。惡意節(jié)點進行5種ad hoc網絡攻擊，傳統(tǒng)防御體系中部署了上述5種信任模型，與基于RMTM的防御體系的通信量進行比較，其中通信量，n表示所有跟推薦相關的數(shù)據(jù)包的數(shù)量，length(pi)表示第i個數(shù)據(jù)包的長度，單位為byte。比較結果如圖7所示，其中橫軸表示惡意節(jié)點的比例，縱軸C1/C2表示基于 RMTM 的防御體系的通信量與傳統(tǒng)防御體系的通信量的比值。

圖7 基于RMTM的防御體系與傳統(tǒng)防御體系通信量比值變化

可見基于 RMTM 的防御體系的通信量小于傳統(tǒng)防御體系，且隨著惡意節(jié)點增多 C1/C2減小。原因是：RMTM對多維證據(jù)統(tǒng)一進行推薦，比傳統(tǒng)防御體系中每種信任模型各自進行推薦節(jié)約通信量。

6 結束語

本文介紹了一種增強ad hoc網絡可生存性的健壯多維信任模型。RMTM主要解決2個問題：綜合考慮ad hoc網絡的各類攻擊，使用D-S證據(jù)理論建立多維信任模型實現(xiàn)對節(jié)點的綜合評價；設計信任模型的入侵容忍算法，使 RMTM 在面臨信任模型自身攻擊時具有良好的健壯性?？紤]到ad hoc網絡中資源的稀缺性，RMTM使用輕量級算法，與傳統(tǒng)防御體系相比，更小的通信開銷可獲得更大安全收益。仿真實驗驗證了 RMTM 可以在較少的通信開銷內有效提升抵抗ad hoc網絡復合攻擊的成功率和容忍信任模型自身面臨的攻擊，從而增強了ad hoc網絡的可生存性。

[1] HU Y C, PERRIG A, JOHNSON D B. Rushing attacks and defense in wireless ad hoc network routing protocols[A]. Proceedings of the 2003 ACM workshop on Wireless Security[C]. 2003. 30-40.

[2] HU Y C, PERRIG A, JOHNSON D B. Ariadne: a secure on-demand routing protocol for ad hoc networks[J]. Wireless Networks, 2005,11(1): 21-38.

[3] CARVALHO M. Security in mobile ad hoc networks[J]. IEEE Security & Privacy, 2008, 6(2): 72-75.

[4] DJENOURI D, KHELLADI L, BADACHE A N. A survey of security issues in mobile ad hoc and sensor networks[J]. IEEE Communications Surveys & Tutorials, 2005, 7(4): 2-28.

[5] MARTI S, GIULI T J, LAI K, et al. Mitigating routing misbehavior in mobile ad hoc networks[A]. Proceedings of the 6th Annual International Conference on Mobile Computing and Networking[C].2000. 255-265.

[6] BUCHEGGER S, BOUDEC J Y L. Performance analysis of the confidant protocol[A]. Proceedings of the 3rd ACM International Symposium on Mobile Ad Hoc Networking & Computing[C]. 2002.226-236.

[7] MICHIARDI P, MOLVA R. CORE: a collaborative reputation mechanism to enforce node cooperation in mobile ad hoc networks[A].Proceedings of the IFIP TC6/TC11 Sixth Joint Working Conference on Communications and Multimedia Security[C]. 2002. 107-121.

[8] OLIVIERO F, ROMANO S P. A reputation-based metric for secure routing in wireless mesh networks[A]. IEEE Global Telecommunications Conference[C]. 2008. 1-5.

[9] BALAKRISHNAN V, VARADHARAJAN V, TUPAKULA U.Subjective logic based trust model for mobile ad hoc networks[A].Proceedings of the 4th International Conference on Security and Privacy in Communication Netowrks[C]. 2008. 1-11.

[10] BALAKRISHNAN V, VARADHARAJAN V, TUPAKULA U, et al.Team: trust enhanced security architecture for mobile ad hoc networks[A]. Proceedings of the 15th IEEE International Conference on Networks[C]. 2007. 182-187.

[11] PIRZADA A A, MCDONALD C. Establishing trust in pure ad hoc networks[A]. Proceedings of the 27th Conference on Australasian Computer Science[C]. 2004. 47-54.

[12] YAN Z, ZHANG P. Virtanen T. Trust evaluation based security solution in ad hoc networks[A]. Proceedings of the Seventh Nordic Workshop on Secure IT Systems[C]. 2003. 1-14.

[13] LIMA M N, SANTOS A L, PUJOLLE G. A survey of survivability in mobile ad hoc networks[J]. IEEE Communications Surveys &Tutorials, 2009, 11(1): 66-77.

[14] SENTZ K, FERSON S. Combination of Evidence in Dempster-Shafer Theory[R]. Sandia National Labs: Technical Report SAND2002-0835,2002.

[15] MARMOL F G, PEREZ G M. Security threats scenarios in trust and reputation models for distributed systems[J]. Computers & Security,2009, 28(7): 545-556.

[16] HOFFMAN K, ZAGE D, NITA-ROTARU C. A survey of attack and defense techniques for reputation systems[J]. ACM Computing Surveys, 2009, 42(4): 1-31.

[17] SUN Y L, HAN Z, LIU K J R. Defense of trust management vulnerabilities in distributed networks[J]. IEEE Communications Magazine, 2008, 46(2): 112-119.

[18] ZOURIDAKI C, MARK B L, HEJMO M, et al. E-Hermes: a robust cooperative trust establishment scheme for mobile ad hoc networks[J].Ad Hoc Networks, 2009, 7(6): 1156-1168.

[19] ORPONEN P. Dempster's rule of combination is # P-complete[J].Artificial Intelligence, 1990, 44(1): 245-253.

[20] MARTI S, GARCIA-MOLINA H. Taxonomy of trust: categorizing P2P reputation systems[J]. Computer Networks, 2006, 50(4): 472-484.

[21] BUCHEGGER S, BOUDEC J Y L. A robust reputation system for P2P and mobile ad-hoc networks[A]. Proceedings of the 2nd Workshop on Economics of Peer-to-Peer Systems[C]. 2004. 1-6.