蔡志偉,杜 飛,徐啟建,褚偉銘

(1.通信工程學院,江蘇南京210004;2.中國電子系統(tǒng)工程公司研究所,北京100141;3.通信指揮學院,湖北武漢430010)

0 引言

隨著全球信息化水平的不斷提高,網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)在整個產(chǎn)業(yè)布局乃至國家戰(zhàn)略格局中越來越具有舉足輕重的地位和作用。盡管如此,當前網(wǎng)絡(luò)域信息安全的現(xiàn)狀卻不容樂觀。網(wǎng)絡(luò)環(huán)境也變得越來越復雜,各式各樣的復雜設(shè)備需要不斷升級,不經(jīng)意的疏忽便有可能造成安全的重大隱患。網(wǎng)絡(luò)行為分析與傳統(tǒng)的入侵檢測進行比較,網(wǎng)絡(luò)行為分析具有許多優(yōu)越性能,能增強系統(tǒng)的生存能力,提高系統(tǒng)可靠性與可信度。因此,提出了基于能量和信任的網(wǎng)絡(luò)行為分析算法,該模型能提高網(wǎng)絡(luò)性能及更加有效地將攻擊者拒之門外。

1 傳感器網(wǎng)絡(luò)的安全問題

無線傳感器網(wǎng)絡(luò)(Wireless Sensor Network,WSN)是一種特殊類型的網(wǎng)絡(luò),其約束條件很多(相對于計算機網(wǎng)絡(luò)),這些約束條件加劇了網(wǎng)絡(luò)的安全問題[1]。通常假定攻擊者可能知道網(wǎng)絡(luò)采用的安全機制,能夠危及甚至捕獲某個傳感器節(jié)點。由于布設(shè)具有抗篡改能力的節(jié)點成本高,可以認為大多數(shù)WSN節(jié)點是沒有抗篡改能力的。一旦某個節(jié)點被攻擊,那么攻擊者可以竊取這個節(jié)點內(nèi)的密鑰[2]。入侵者可能會發(fā)起各種各樣的攻擊,這些攻擊大體可以分為外部攻擊和內(nèi)部攻擊兩大類。

1.1 外部攻擊

外部攻擊是無法通過正常渠道接入網(wǎng)絡(luò)的入侵者發(fā)起的攻擊。被動的信息偵聽就屬于這種攻擊。入侵者無需得到接入網(wǎng)絡(luò)的授權(quán),就可以在網(wǎng)絡(luò)的無線頻率范圍內(nèi)輕易的竊聽信道上傳送的數(shù)據(jù),從而獲取所需要的信息。對于沒有任何安全措施的網(wǎng)絡(luò)而言,入侵者甚至可以篡改網(wǎng)絡(luò)中的數(shù)據(jù)包或者向網(wǎng)絡(luò)注入虛假的信息包。

外部攻擊更一般的情況是對WSN節(jié)點進行物理破壞。某種情況下,攻擊者甚至可以破環(huán)很大范圍內(nèi)的傳感器節(jié)點,從而造成該區(qū)域的傳感數(shù)據(jù)無法采集,降低網(wǎng)絡(luò)的可用性。另外,攻擊者也可以通過發(fā)送持續(xù)的無線電干擾信號,造成網(wǎng)絡(luò)無法正常通信。

1.2 內(nèi)部攻擊

內(nèi)部攻擊的情況可以分為2種:①節(jié)點被俘獲而成為惡意節(jié)點;②攻擊者獲得了合法節(jié)點中的數(shù)據(jù)、代碼或者網(wǎng)絡(luò)的密鑰,通過正常的途徑接入網(wǎng)絡(luò)。一般來說,發(fā)起內(nèi)部攻擊的節(jié)點具有如下特征[3]:

①具有無線通信設(shè)備,可以與網(wǎng)絡(luò)中的其他節(jié)點自由通信;

②運行惡意代碼。這些惡意代碼不同于合法節(jié)點運行的正常代碼,它總是試圖竊取網(wǎng)絡(luò)中的敏感數(shù)據(jù)或者破壞網(wǎng)絡(luò)的功能;

③通過合法授權(quán)參與到網(wǎng)絡(luò)中的。

這里研究融合網(wǎng)絡(luò)安全路由機制,因此重點分析網(wǎng)絡(luò)層面臨的安全威脅。針對網(wǎng)絡(luò)層的攻擊主要有以下幾種[4,5]:偽造、篡改或者重放路由信息,是對網(wǎng)絡(luò)層最直接的攻擊方式;選擇性地轉(zhuǎn)發(fā),基于多跳傳輸?shù)穆酚蓹C制,中間節(jié)點需要忠實的轉(zhuǎn)發(fā)數(shù)據(jù)包。黑洞攻擊就是通過一個惡意節(jié)點吸引一個特定區(qū)域的幾乎所有的數(shù)據(jù)流量。這個節(jié)點使路由算法認為數(shù)據(jù)經(jīng)過它能達到最優(yōu)的性能。女巫攻擊,惡意節(jié)點向其鄰居節(jié)點發(fā)送多個“身份”的虛假位置信息(偽造的或者竊取的),以多個不同的身份出現(xiàn)在網(wǎng)絡(luò)中,造成網(wǎng)絡(luò)鏈路的混亂;HELLO泛洪攻擊,惡意節(jié)點可以利用強發(fā)射功率的天線向網(wǎng)絡(luò)廣播路由和自身信息,收到的節(jié)點就會誤認為該惡意節(jié)點是其鄰居。

2 基于能量和信任的網(wǎng)絡(luò)行為分析

2.1 傳統(tǒng)入侵檢測的分析與比較

Wenke Lee在文獻[6]提出了一個著名的Ad hoc網(wǎng)絡(luò)入侵檢測模型MWNIDS。該模型基于協(xié)同工作的分布式代理,每個監(jiān)控節(jié)點負責檢測本地入侵活動,同時協(xié)助鄰近監(jiān)控節(jié)點進行聯(lián)合檢測。由于檢測器使用分類算法,計算量較大,因此監(jiān)控節(jié)點能耗大,不適應(yīng)供能較Ad hoc網(wǎng)絡(luò)更為緊張的傳感器網(wǎng)絡(luò)。文獻[7]將非合作博弈論用于傳感器網(wǎng)絡(luò)入侵檢測,將入侵和檢測作為博弈雙方建模,制定雙方的策略將其歸一化為一個非合作、非零和的博弈模型,通過此模型博弈雙方達到納什均衡,并使檢測方找到最大化收益策略,從而增加檢測概率更好地保護系統(tǒng)。博弈模型雖然可以發(fā)現(xiàn)入侵,由于缺乏特征分析,無法知道確定是何種攻擊和攻擊的來源,因此不能適應(yīng)傳感器網(wǎng)絡(luò)中復雜多變的攻擊和入侵。

2.2 傳感器網(wǎng)絡(luò)行為分析模型的設(shè)計目標

為了使傳感器網(wǎng)絡(luò)行為分析模型在總體上表現(xiàn)出開放、安全和健壯等特性,能夠應(yīng)對傳感器網(wǎng)絡(luò)攻擊和入侵,傳感器網(wǎng)絡(luò)行為分析模型應(yīng)具備以下能力目標:

①在傳感器網(wǎng)絡(luò)中使用分布式結(jié)構(gòu)下的協(xié)作檢測。監(jiān)控節(jié)點分散在異構(gòu)網(wǎng)絡(luò)各個區(qū)域,不僅負責檢測本地入侵活動,同時協(xié)助鄰近監(jiān)控節(jié)點進行聯(lián)合檢測;

②由于傳感器節(jié)點處理器能力弱且存儲器容量小,計算和存儲能力很有限,因此,行為監(jiān)測控制算法首要考慮簡潔有效,兼顧節(jié)能,應(yīng)是一種能量有效的算法;

③考慮到傳感器節(jié)點特殊的工作環(huán)境和高誤差,行為分析算法對于偶然的非入侵異常行為可以進行容錯處理,使得節(jié)點通信故障或偶發(fā)性錯誤而造成異常不會被誤判為入侵,不但提高了檢測系統(tǒng)的檢測率,而且能降低檢測系統(tǒng)的誤檢率;

④與安全路由和信任模型有結(jié)合能力,使網(wǎng)絡(luò)行為分析的結(jié)果可以用于安全路由的工作和信譽值的計算。而安全路由和信任模型中有用的數(shù)據(jù)可以為行為監(jiān)控系統(tǒng)所用。

2.3 傳感器網(wǎng)絡(luò)行為分析體系結(jié)構(gòu)

根據(jù)傳感器網(wǎng)絡(luò)行為分析體系結(jié)構(gòu)的能量特性和目標,其行為分析算法應(yīng)采用分布式的合作行為分析系統(tǒng)和層級式行為分析系統(tǒng)。分布式的合作行為分析系統(tǒng)與獨立的行為分析系統(tǒng)相似,每個節(jié)點獨立運行行為分析系統(tǒng),節(jié)點之間進行交互合作以檢測一些特征不明確的攻擊,該體系會消耗更多的通信資源和計算資源,并且需要可信傳輸?shù)谋Ｕ?在層級式的系統(tǒng)中,部分節(jié)點運行檢測系統(tǒng),并被組織成多層結(jié)構(gòu),在低層采用分布式的檢測策略進行初步檢測,在高層的節(jié)點就對低層節(jié)點的檢測信息進行檢查。雖然層級式的系統(tǒng)可以減少通信量和對節(jié)點資源的占用,但存在一定的處理延遲。傳感器網(wǎng)絡(luò)行為分析體系如圖1所示。

2.4 基于能量和信任的傳感器網(wǎng)絡(luò)行為分析算法

2.4.1 數(shù)據(jù)收集和行為分析

行為分析監(jiān)控節(jié)點的偵聽模式設(shè)置為混雜模式,使節(jié)點能夠接收鄰居節(jié)點發(fā)出的所有消息。消息接收后,按照來源于不同鄰居節(jié)點將其分別進行行為分析規(guī)則匹配,根據(jù)信息的內(nèi)容被轉(zhuǎn)換為可用于行為分析規(guī)則匹配的格式與檢測規(guī)則逐條進行匹配,一旦某條消息違背了檢測規(guī)則,異常記數(shù)器記錄下這個異常,并進行信任值更新。若鄰居節(jié)點的行為在一段時間內(nèi)屬于正常,則增加其信任值。若其行為在一段時間內(nèi)一直屬于異常,則降低其信任值。當信任值降低到一定閥值,則在路由表中刪除其路由項。為了節(jié)約資源,被記錄過的消息將被丟棄而不再繼續(xù)用于規(guī)則匹配。

2.4.2 行為分析算法

行為分析的異常既有節(jié)點的入侵行為同時也包括節(jié)點的偶然錯誤。檢測器執(zhí)行檢測算法,檢測算法的目標是將入侵行為從非入侵異常中區(qū)分出來。傳感器網(wǎng)絡(luò)行為分析模塊如圖2所示。

圖2 傳感器網(wǎng)絡(luò)行為分析模塊

從檢測系統(tǒng)的角度,取一個固定時間長度作為時間片t0。檢測系統(tǒng)的異常計數(shù)器是一個初始值為0的遞增函數(shù)和一個信任值為r遞減函數(shù),系統(tǒng)發(fā)現(xiàn)一個異常則遞增1信任值減1。每經(jīng)過t0時間,如果檢測器未發(fā)現(xiàn)入侵,將異常計數(shù)器的值和節(jié)點信任值存儲起來用作下次計算,異常計數(shù)器清零,準備重新計數(shù);如果檢測器發(fā)現(xiàn)入侵,則對異常記錄存儲器中的前面各輪結(jié)果求均值作為本周期異常值存儲起來。設(shè)異常存儲器根據(jù)時間先后順序記錄前n個t0時間內(nèi)產(chǎn)生的異常值:x1,x2,…,xn,n是周期,目前的信任值為dep。對x1,x2,…,xn,有

設(shè)置異常值的置信區(qū)間[0,averanomaly+d*deviation],d＞1。當新產(chǎn)生的異常值xn不在置信區(qū)間,且dep也不在信任值的置信區(qū)間檢測器判定入侵,即網(wǎng)絡(luò)中存在入侵跡象,否則檢測器判定為節(jié)點出錯。

3 仿真實驗

3.1 實驗說明

仿真實驗過程中,網(wǎng)絡(luò)行為分析節(jié)點始終處于混雜模式監(jiān)聽網(wǎng)絡(luò)。行為分析算法基于統(tǒng)計異常,并假設(shè):初始的一段時間為訓練階段,訓練階段網(wǎng)絡(luò)中不存在入侵,檢測器使用節(jié)點出錯信息進行訓練,通過節(jié)點出錯信息來確定節(jié)點非入侵異常的大致范圍;進入行為檢測階段以后,檢測器計算每一輪時間內(nèi)包含節(jié)點出錯和入侵行為的混合數(shù)據(jù)偏離非入侵異常模式的次數(shù),存儲于異常記錄器;通過異常次數(shù)的偏差程度來區(qū)分節(jié)點出錯和入侵。

該實驗考慮的入侵模型為拒絕服務(wù)攻擊DoS和Hello洪泛。文獻[8]提供了一個服從泊松過程的傳感器節(jié)點數(shù)據(jù)生成模型。這里仿真實驗采用該模型來構(gòu)造數(shù)據(jù)源,普通節(jié)點產(chǎn)生訓練數(shù)據(jù)服從強度λ=1的泊松過程,訓練時間為1 000 s,節(jié)點數(shù)目為10個。入侵節(jié)點產(chǎn)生入侵數(shù)據(jù)服從強度為λ的泊松過程,入侵數(shù)據(jù)根據(jù)以上入侵模型來構(gòu)造。

3.2 實驗結(jié)果及分析

DoS入侵的分析結(jié)果如圖3和圖4所示。從圖中可以看出,當d取值減小,檢測率變高,漏檢率降低而誤檢變高。當d取值增大,檢測率降低,漏檢率升高,誤檢率降低。Hello洪泛檢測結(jié)果如圖5和圖6所示。洪泛入侵違背了行為分析規(guī)則,由于不存在因節(jié)點出錯而違背行為分析規(guī)則,檢測器甚至不需要進行訓練便可以檢測到其入侵。圖3、圖4、圖5和圖6表明:隨著DoS入侵頻率的增加,檢測率越高,檢測效果越明顯,同時漏檢率也越低。

圖3 DOS攻擊檢測率

圖4 DOS攻擊漏檢率

圖5 HELLO洪泛檢測率

圖6 HELLO洪泛漏檢率

4 結(jié)束語

無線傳感網(wǎng)絡(luò)節(jié)點對網(wǎng)絡(luò)行為分析測量優(yōu)化能提高網(wǎng)絡(luò)安全可信能力。針對網(wǎng)絡(luò)行為分析測量問題的特點,上述提出的一種基于信任的分布式檢測算法,主要對DOS攻擊和HELLO洪泛進行檢測,若有更多的行為分析規(guī)則能夠有效地檢測入侵節(jié)點。仿真實驗表明,基于信任的網(wǎng)絡(luò)行為分析算法能快速有效地檢測節(jié)點入侵,同時又大大降低誤檢率,而且算法簡潔,有利于節(jié)能。

[1]李善倉,張克旺.無線傳感器網(wǎng)絡(luò)原理與應(yīng)用[M].北京:機械工業(yè)出版社,2008:22-28.

[2]陳林星.無線傳感器網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京:電子工業(yè)出版社,2009:130-145.

[3]XIONG Fei,XU Qi-jian.Active Trust Transmission Mechanism forWirelessSensorNetwork.The Second International Symposium on IntelligentInformation[C].Technology Application,Shanghai China,2008:626-632.

[4]WOOD A,STANKOVIC J.Denial of Service inSensor Networks[J].IEEE Computer,2002,35(10):54-62.

[5]YU B,XIAO B.Detecting Selective Forwarding Attacks in Wireless SensorNetworks[C].Proceedings ofthe2nd International Workshop on Security in Systems and Networks,Greece,2006:286-292.

[6]ZHANG Y,LEE W.Intrusion Detection in Wireless Ad Hoc Networks[C].6th Conf Mobile Comp and Net,Boston,2000:56-62.

[7]AGAH,DAS SK,BASU K.Intrusion Detection in Sensor Networks[C]:A Non-cooperative Game Approach,3th IEEE International Symposium on Network Computing and Applications,Cambridge,2004:154-166.

[8]MIRI A.A Real-time Node-based Traffic Anomaly Detection Algorithm for Wireless Sensor Network[C].Proceedings of Systems Communications Boston,2005:208-218.