蔡志偉 ，褚偉銘 ，周 杰 ，杜 飛

（1.中國人民解放軍理工大學通信工程學院 南京 210004；2.重慶通信學院 重慶 400035；3.中國人民解放軍信息工程大學 鄭州 450000）

1 引言

隨著全球信息化水平的不斷提高，網絡與信息安全產業(yè)在整個產業(yè)布局乃至國家戰(zhàn)略格局中越來越具有舉足輕重的地位和作用。盡管如此，當前網絡域信息安全的現狀卻不容樂觀。網絡環(huán)境也變得越來越復雜，各式各樣的復雜設備需要不斷升級，不經意的疏忽便有可能造成安全的重大隱患。網絡行為分析與傳統的入侵檢測比較，網絡行為分析具有許多優(yōu)越性能，如能增強系統的生存能力，提高系統可靠性與可信度等。因此，本文提出了基于能量和信任的網絡行為分析算法，該模型能提高網絡性能及更加有效地將攻擊者拒之門外。

2 傳感器網絡的安全問題

無線傳感器網絡（wireless sensor network,WSN）是一種特殊類型的網絡，其約束條件很多 （相對于計算機網絡），這些約束條件加劇了網絡的安全問題[1]。通常假定攻擊者可能知道網絡采用的安全機制，能夠危及、甚至捕獲某個傳感器節(jié)點。由于布設具有抗篡改能力的節(jié)點成本高，可以認為大多數WSN節(jié)點是沒有抗篡改能力的。一旦某個節(jié)點被攻擊，那么攻擊者可以竊取這個節(jié)點內的密鑰[2]。入侵者可能會發(fā)起各種各樣的攻擊，這些攻擊大體可以分為兩大類：外部攻擊和內部攻擊。

2.1 外部攻擊

外部攻擊是指無法通過正常渠道接入網絡的入侵者發(fā)起的攻擊。被動的信息偵聽就屬于這種攻擊。入侵者無需得到接入網絡的授權，就可以在網絡的無線頻率范圍內輕易地竊聽信道上傳送的數據，從而獲取所需要的信息。對于沒有任何安全措施的網絡而言，入侵者甚至可以篡改網絡中的數據包或者向網絡注入虛假的信息包。

外部攻擊更一般的情況是對WSN節(jié)點進行物理破壞。有的情況下，攻擊者甚至可以破環(huán)很大范圍內的傳感器節(jié)點，從而造成該區(qū)域的傳感數據無法采集，降低網絡的可用性。另外，攻擊者也可以通過發(fā)送持續(xù)的無線電干擾信號，造成網絡無法正常通信。

2.2 內部攻擊

內部攻擊的情況可以分為兩種：一種是節(jié)點被俘獲而成為惡意節(jié)點；另一種情況是攻擊者獲得了合法節(jié)點中的數據、代碼或者網絡的密鑰，然后通過正常的途徑接入網絡。一般來說，發(fā)起內部攻擊的節(jié)點具有如下特征[3]。

· 具有無線通信設備，可以與網絡中的其他節(jié)點自由通信。

· 運行惡意代碼。這些惡意代碼不同于合法節(jié)點運行的正常代碼，它總是試圖竊取網絡中的敏感數據或者破壞網絡的功能。

·是通過合法授權參與到網絡中的。

本文研究融合網絡安全路由機制，因此重點分析網絡層面臨的安全威脅。針對網絡層的攻擊主要有以下幾種[4，5]：偽造、篡改或者重放路由信息，這是對網絡層最直接的攻擊方式；選擇性的轉發(fā)，基于多跳傳輸的路由機制，中間節(jié)點需要忠實的轉發(fā)數據包。黑洞攻擊就是通過一個惡意節(jié)點吸引一個特定區(qū)域的幾乎所有的數據流量，這個節(jié)點使路由算法認為數據經過它能達到最優(yōu)的性能；女巫攻擊，惡意節(jié)點向其鄰居節(jié)點發(fā)送多個“身份”的虛假位置信息（偽造的或者竊取的），以多個不同的身份出現在網絡中，造成網絡鏈路的混亂。Hello泛洪攻擊，惡意節(jié)點可以利用強發(fā)射功率的天線向網絡廣播路由和自身信息，收到的節(jié)點就會誤認為該惡意節(jié)點是其鄰居。

3 基于能量和信任的網絡行為分析

3.1 傳統入侵檢測的分析與比較

Wenke Lee在參考文獻[6]提出了一個著名的ad hoc網絡入侵檢測模型MWNIDS。該模型基于協同工作的分布式代理，每個監(jiān)控節(jié)點負責檢測本地入侵活動，同時協助鄰近監(jiān)控節(jié)點進行聯合檢測。由于檢測器使用分類算法，計算量較大，因此監(jiān)控節(jié)點能耗大，不適應供能較ad hoc網絡更為緊張的傳感器網絡。參考文獻[7]將非合作博弈論用于傳感器網絡入侵檢測，將入侵和檢測作為博弈雙方建模，制定雙方的策略將其歸一化為一個非合作、非零和的博弈模型，通過此模型博弈雙方達到納什均衡，并使檢測方找到最大化收益策略，增加檢測概率，從而更好地保護系統。博弈模型雖然可以發(fā)現入侵，由于缺乏特征分析，它無法確定是何種攻擊和攻擊的來源，因此不能適應傳感器網絡中復雜多變的攻擊和入侵。

3.2 傳感器網絡行為分析模型的設計目標

為了使傳感器網絡行為分析模型在總體上表現出開放、安全、健壯等特性，能夠應對傳感器網絡攻擊和入侵，傳感器網絡行為分析模型應具備以下能力目標。

·在傳感器網絡中使用分布式結構下的協作檢測。監(jiān)控節(jié)點分散在異構網絡各個區(qū)域，不僅負責檢測本地入侵活動，同時協助鄰近監(jiān)控節(jié)點進行聯合檢測。

· 由于傳感器節(jié)點處理器能力弱且存儲器容量小，計算和存儲能力很有限，因此，行為監(jiān)測控制算法首要考慮簡潔有效，兼顧節(jié)能，應是一種能量有效的算法。

· 考慮到傳感器節(jié)點特殊的工作環(huán)境和高誤差，行為分析算法對于偶然的非入侵異常行為可以進行容錯處理，使得節(jié)點通信故障或偶發(fā)性錯誤而造成的異常不會被誤判為入侵，不但提高了檢測系統的檢測率，而且能降低檢測系統的誤檢率。

· 與安全路由和信任模型有結合能力。使網絡行為分析的結果可以用于安全路由的工作和信譽值的計算。而安全路由和信任模型中有用的數據可以為行為監(jiān)控系統所用。

3.3 傳感器網絡行為分析體系結構

根據傳感器網絡行為分析體系結構的能量特性和目標，其行為分析算法應采用分布式的合作行為分析系統和層級式行為分析系統。分布式的合作行為分析系統與獨立的行為分析系統相似，每個節(jié)點獨立運行行為分析系統，節(jié)點之間進行交互合作以檢測一些特征不明確的攻擊，該體系會消耗更多的通信資源和計算資源，并且需要可信傳輸的保障；在層級式的系統中，部分節(jié)點運行檢測系統，并被組織成多層結構，在低層采用分布式的檢測策略進行初步檢測，在高層的節(jié)點就對低層節(jié)點的檢測信息進行檢查。雖然層級式的系統可以減少通信量和對節(jié)點資源的占用，但是它存在一定的處理延遲。傳感器網絡行為分析體系如圖1所示。

3.4 基于能量和信任的傳感器網絡行為分析算法

3.4.1 數據收集和行為分析

圖1 傳感器網絡行為分析體系結構

行為分析監(jiān)控節(jié)點的偵聽模式設置為混雜模式，使節(jié)點能夠接收鄰居節(jié)點發(fā)出的所有消息。消息接收后，按照來源于不同鄰居節(jié)點將其分別進行行為分析規(guī)則匹配，根據信息的內容被轉換為可用于行為分析規(guī)則匹配的格式與檢測規(guī)則逐條進行匹配，一旦某條消息違背了檢測規(guī)則，異常記數器記錄下這個異常，并進行信任值更新。若鄰居節(jié)點的行為在一段時間內屬于正常，則增加其信任值。若其行為在一段時間內一直屬于異常，則降低其信任值。當信任值降低到一定閥值，則在路由表中刪除其路由項。為了節(jié)約資源，被記錄過的消息將被丟棄而不再繼續(xù)用于規(guī)則匹配。

3.4.2 行為分析算法

行為分析的異常既有節(jié)點的入侵行為，同時也包括節(jié)點的偶然錯誤。檢測器執(zhí)行檢測算法，檢測算法的目標是將入侵行為從非入侵異常中區(qū)分出來。

從檢測系統的角度，取一個固定時間長度作為時間片t0。檢測系統的異常計數器是一個初始值為0的遞增函數和一個信任值為r的遞減函數，系統發(fā)現一個異常則異常計數器遞增1、信任值減1。每經過t0時間，如果檢測器未發(fā)現入侵，將異常計數器的值和節(jié)點信任值存儲起來用作下次計算，異常計數器清零，準備重新計數；如果檢測器發(fā)現入侵，則對異常記錄存儲器中的前面各輪結果求均值作為本周期異常值存儲起來。傳感器網絡行為分析模塊如圖2所示。設異常存儲器根據時間先后順序記錄前n個t0時間內產生的異常值：x1,x2,…，xn，n是周期，目前的信任值為dep。對 x1,x2,…，xn，有：

設置異常值的置信區(qū)間[0,aver_anomaly+d×deviation]（d>1）。當新產生的異常值xn不在置信區(qū)間，且dep也不在信任值的置信區(qū)間時，檢測器判定入侵，即網絡中存在入侵跡象，否則檢測器判定為節(jié)點出錯。

4 仿真實驗

4.1 實驗說明

仿真實驗過程中，網絡行為分析節(jié)點始終處于混雜模式監(jiān)聽網絡。行為分析算法基于統計異常，并假設初始的一段時間為訓練階段。訓練階段網絡中不存在入侵，檢測器使用節(jié)點出錯信息進行訓練，通過節(jié)點出錯信息來確定節(jié)點非入侵異常的大致范圍；進入行為檢測階段以后，檢測器計算每一輪時間內包含節(jié)點出錯和入侵行為的混合數據偏離非入侵異常模式的次數，存儲于異常記錄器；通過異常次數的偏差程度來區(qū)分節(jié)點出錯和入侵。

圖2 傳感器網絡行為分析模塊

圖3 DoS攻擊檢測率和漏檢率

圖4 Hello洪泛檢測率和漏檢率

本實驗考慮的入侵模型為拒絕服務攻擊（DoS）和Hello洪泛。參考文獻[8]提供了一個服從泊松過程的傳感器節(jié)點數據生成模型。本文仿真實驗采用這個模型來構造數據源，普通節(jié)點產生訓練數據服從強度λ=1的泊松過程，訓練時間為1 000 s，節(jié)點數目為10個。入侵節(jié)點產生入侵數據服從強度為λ的泊松過程，入侵數據根據以上入侵模型來構造。

4.2 實驗結果及分析

圖3所示是DoS入侵的分析結果。從圖中可以看出，當d取值減小，檢測率變高，漏檢率降低而誤檢率變高。當d取值增大，檢測率降低，漏檢率升高，誤檢率降低。圖4是Hello洪泛檢測結果，洪泛入侵違背了行為分析規(guī)則，由于不存在因節(jié)點出錯而違背行為分析規(guī)則，檢測器甚至不需要進行訓練便可以檢測到其入侵。圖3和圖4表明：隨著DoS入侵頻率的增加，檢測率越高，檢測效果越明顯，同時漏檢率也越低。

5 結束語

無線傳感網絡節(jié)點對網絡行為分析測量優(yōu)化能提高網絡的安全可信能力。針對網絡行為分析測量問題的特點，本文提出一種基于信任的分布式檢測算法，主要對DoS攻擊和Hello洪泛進行檢測，若有更多的行為分析規(guī)則則能夠更有效地檢測入侵節(jié)點。仿真實驗表明，基于信任的網絡行為分析算法能快速有效檢測節(jié)點入侵，同時又大大降低誤檢率，而且算法簡潔，有利于節(jié)能。

1 李善倉，張克旺.無線傳感器網絡原理與應用.北京：機械工業(yè)出版社，2008

2 陳林星.無線傳感器網絡技術與應用.北京：電子工業(yè)出版社，2009

3 Xiong Fei，Xu Qijian.Active trust transmission mechanism for wireless sensor network.In：The Second International Symposium on Intelligent Information Technology Application， Shanghai，China，2008

4 Wood A，Stankovic J.Denial of service in sensor networks.IEEE Computer，2002，35（10）：54～62

5 Yu B，Xiao B.Detecting selective forwarding attacks in wireless sensor networks.In：Proceedings of the 2nd International Workshop on Security in Systems and Networks，Greece，2006

6 Yongguang Zhang,Wenke Lee.Intrusion detection in wireless ad hoc networks.In：6th Conf Mobile Comp and Net，Boston，2000

7 Agah A,Das S K,Basu K,et al.Intrusion detection in sensor networks:anon-cooperative game approach,In:3th IEEE International Symposium on Network Computing and Applications,Cambridge,2004

8 Onat I,Miri A.A real-time node-based traffic anomaly detection algorithm for wireless sensor network.In:Proceedings of Systems Communications,Boston,2005