謝晉陽，李 平，謝桂芳

(1.長沙理工大學計算機與通信工程學院，湖南 長沙 410004;2.湘南學院計算機系,湖南 郴州 423000)

基于特征節(jié)點分析的惡意節(jié)點檢測算法研究*

謝晉陽1，李 平1，謝桂芳2

(1.長沙理工大學計算機與通信工程學院，湖南 長沙 410004;2.湘南學院計算機系,湖南 郴州 423000)

無線傳感器網(wǎng)絡(luò)(WSN)通常部署在復雜的環(huán)境中，攻擊者很容易通過俘獲節(jié)點注入虛假數(shù)據(jù)，造成嚴重后果。提出基于對事件源能量感知值相近的特征節(jié)點的惡意節(jié)點檢測機制(DAFNA)，首先對事件源的能量值進行估計，且在此過程中過濾保留良性特征節(jié)點；然后以特征節(jié)點為參照建立坐標系，通過分析待檢測節(jié)點與事件源的距離計算值與距離感知值之間的差異，進行惡意節(jié)點的判斷；最后通過仿真實驗，對算法性能進行分析，并與Hur算法對比，得出DAFNA算法所需先驗知識少，惡意節(jié)點容納度更好。

無線傳感器網(wǎng)絡(luò)；能量感知；虛假數(shù)據(jù)；特征節(jié)點；惡意節(jié)點

1 引言

惡意節(jié)點檢測是對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)上的信息系統(tǒng)的非法攻擊和惡意使用行為的識別和做出響應(yīng)處理的過程[1]。當發(fā)現(xiàn)被保護的系統(tǒng)可能遭受攻擊和破壞后，通過入侵檢測的響應(yīng)模塊改善系統(tǒng)的防護能力，動態(tài)實現(xiàn)被保護系統(tǒng)的安全模型。入侵檢測系統(tǒng)不僅能檢測來自外部的入侵行為，對內(nèi)部用戶的一些未授權(quán)的非法行為也能進行有效的監(jiān)控和檢測，它可以通過提取行為特征模式來判斷用戶行為的合法性。

無線傳感器網(wǎng)絡(luò)WSN(Wireless Sensor Network)工作在一個開放、合作和高度任意的環(huán)境中，具有節(jié)點間鏈接脆弱、節(jié)點完全暴露在物理環(huán)境之下、拓撲結(jié)構(gòu)動態(tài)變化、身份認證缺乏、沒有集中監(jiān)控或管理點等特性，所以存在許多安全漏洞。傳統(tǒng)的基于密碼體系的安全機制主要用于抵抗外部攻擊，無法有效解決由于節(jié)點被俘獲而發(fā)生的內(nèi)部攻擊[2～5]。而且由于傳感器節(jié)點能力所限，當節(jié)點被俘獲時相應(yīng)的密鑰等重要信息也被俘獲，很容易發(fā)生秘密信息的泄露，引發(fā)多種類型的攻擊，如女巫、發(fā)送虛假數(shù)據(jù)等，這些攻擊多集中在路由層[6]?？梢奧SN內(nèi)部惡意節(jié)點更加難以防御，如果WSN內(nèi)部傳感節(jié)點本身存在安全問題，所有的上層安全協(xié)議、安全算法的安全性能將大打折扣，甚至無法保證WSN的安全通信，整個網(wǎng)絡(luò)將被控制。因此，對于WSN內(nèi)部惡意節(jié)點識別，尤其是傳報虛假數(shù)據(jù)的惡意節(jié)點的研究，對于軍事等安全要求比較高的應(yīng)用意義重大，直接影響了WSN的可用性。

2 已有工作

da Silva A P R等人提出[5]基于統(tǒng)計的惡意節(jié)點識別方法，系統(tǒng)預定義一系列規(guī)則，描述節(jié)點的正常行為；然后在混雜模式下，監(jiān)控節(jié)點監(jiān)聽鄰居節(jié)點通信，只提取并保存對于上述規(guī)則有用的數(shù)據(jù)；最后進行規(guī)則匹配，如果節(jié)點行為不符合某條規(guī)則，異常計數(shù)器自動加1。比較記錄的異常行為次數(shù)和偶然故障的期望值，如果前者大于后者，則認定為惡意攻擊。

Buchegger S[7～9]提出一種CONFIDANT協(xié)議，基本思想是采用鄰居監(jiān)測技術(shù)對鄰居節(jié)點進行監(jiān)測，同時進行信譽評測，對于信任值低于閾值的，認為是可疑節(jié)點，向友好節(jié)點(信任值高于某個閾值)發(fā)送警報，CONFIDANT中信譽值的改變只依賴于自己的觀察所得，不直接發(fā)送信譽值，而是通過發(fā)送報警信息來達到共享信息的目的。

文獻[10,11]提出的信任值計算方法是將節(jié)點信任初始值設(shè)為一常量，其升降變化由攻擊檢測模塊決定，根據(jù)節(jié)點行為是否正常，線性或指數(shù)型增加或降低信任值。該方法計算簡便，但是缺乏理論基礎(chǔ)，其合理性有待進一步研究。

Hur J等人[12,13]通過檢查所采集數(shù)據(jù)的一致性來實現(xiàn)安全的數(shù)據(jù)融合(在此稱為Hur算法)，主要目標是過濾掉欺騙性的或者不一致的數(shù)據(jù)，實現(xiàn)安全的數(shù)據(jù)融合。節(jié)點i根據(jù)自己采集的數(shù)據(jù)、與節(jié)點j的距離以及事件源位置與節(jié)點i的距離計算得出節(jié)點j采集數(shù)據(jù)的預期結(jié)果，然后進行信任值評價，并與節(jié)點j能量感知對比來判斷節(jié)點的正確性。

上述算法大部分需要知道事件源的位置、節(jié)點之間的距離、節(jié)點與事件源的距離等先驗知識。其中Hur算法根據(jù)節(jié)點i與節(jié)點j的距離以及事件源位置與節(jié)點i的距離計算得出節(jié)點j采集數(shù)據(jù)的預期結(jié)果，只考慮了節(jié)點在距離上的問題，而未考慮節(jié)點與事件源的方向，這樣會對后續(xù)的節(jié)點判斷帶來一定的誤差。本文提出基于特征節(jié)點分析的惡意節(jié)點檢測算法(DAFNA)，其中包括事件源能量值估計算法、節(jié)點檢測算法。在已知先驗知識“節(jié)點之間的距離”的條件下，通過分析各感知節(jié)點對事件源的能量感知值，提取出所有能量感知值相近的特征節(jié)點，分別以三個特征節(jié)點構(gòu)成一系列集合；然后根據(jù)特征節(jié)點的幾何性質(zhì)，分別用各特征集合對事件源能量進行估計，并分析各個特征集合估計出來的事件源能量值的波動情況來濾除可能包含惡意節(jié)點的特征集合；最后以特征節(jié)點為基礎(chǔ)建立坐標系，分別定位事件源O與待檢測的非特征節(jié)點au，得出節(jié)點au到事件源O的距離計算值，分析節(jié)點au到事件源O的距離計算值與距離感知值的差異來進行惡意節(jié)點的檢測。相比于上述算法，DAFNA算法所需的先驗知識少，易于算法的應(yīng)用；與Hur算法相比，在少量惡意節(jié)點的情況下，DAFNA算法惡意節(jié)點容納度也比較高，當惡意節(jié)點數(shù)增多時，DAFNA算法的惡意節(jié)點容納度比Hur算法有一定的優(yōu)越性。

3 網(wǎng)絡(luò)模型

針對虛假數(shù)據(jù)攻擊，本文提出一種基于特征節(jié)點的性質(zhì)來進行惡意節(jié)點檢測的機制。該算法是在這樣的場景中提出的：(1)WSN中的節(jié)點數(shù)足夠多；(2)整個WSN中的惡意節(jié)點數(shù)目占所有節(jié)點數(shù)目的比重不是很大；(3)所有的惡意節(jié)點都是非共謀性惡意節(jié)點；(4)WSN中任意兩點間的真實距離已知。

WSN中的任意兩點間的真實距離daiaj的獲取是在WSN部署階段，節(jié)點發(fā)送hello包以發(fā)現(xiàn)鄰居節(jié)點，通過hello包的發(fā)送和接收，節(jié)點之間可以獲得電磁波信號的衰減程度，由經(jīng)典的電磁波能量的衰減模型，即可計算出單跳范圍內(nèi)各感知節(jié)點之間的真實距離。

因此，引入下面的能量衰減模型[14]：

Z=Ae-α dθ,θ>0

(1)

其中，A表示事件源的能量；d是空間某節(jié)點與事件源的距離；Z是節(jié)點半徑為d的節(jié)點的能量觀測值。θ的取值取決于能量源的類型，當θ取定后，α是控制能量衰減快慢的參數(shù)。

3.1 理想模型分析

DAFNA算法首先根據(jù)一些節(jié)點對WSN中的某一事件源O的特殊感知值來獲取事件源O的能量估計，然后根據(jù)事件源O的能量值提出對惡意節(jié)點的檢測機制。在此之前，先來分析一種理想模型。

在理想模型中，WSN中對感知到某一事件源O的所有感知節(jié)點a1、a2、…、an都為正確節(jié)點，對事件源O的能量感知值分別為Za1、Za2、…、Zan，且各感知節(jié)點之間的距離已知。若在該理想模型中，存在ai、aj、ak三個節(jié)點的能量感知值滿足Zai=Zaj=Zak，則有下面的性質(zhì)：

性質(zhì)1(特征點性質(zhì)) 在安全的WSN中，發(fā)生某一事件源O，節(jié)點a1、a2、…、an為感知到事件源O的感知節(jié)點，對事件源O的能量感知值分別為Za1、Za2、…、Zan，若存在ai、aj、ak三個節(jié)點的能量感知值滿足Zai=Zaj=Zak，則事件源O的能量感知值ZO可求。

證明 如圖1～圖3所示，節(jié)點ai、aj、ak構(gòu)成的三角形可分別為鈍角、銳角、直角三角形三種情況。由于daiaj、daiak、dajak已知，因此可分別計算Δaiajak的三個角度來判斷是哪一種三角形。

(1)Δaiajak為鈍角三角形。

Figure 1 Obtuse Δaiajak

Figure 2 Acute Δaiajak

Figure 3 Right Δaiajak

首先根據(jù)計算出的Δaiajak的三個頂角的角度來確定哪個頂角為鈍角，在此設(shè)該鈍角所在頂點為aj且daiO=dajO=dakO=x。

然后，通過計算可得：

∠Oaiak=arccos(dajak/(2x))

(2)

而cos∠Oajai=(daiaj/(2x))且∠Oajai=∠aiajak-∠Oajak，因此可得:

(3)

其中，∠aiajak可由余弦定理直接求出，式(3)為一元一次方程，可求出x。

最后，由能量衰減公式(1)即可求出事件源O的能量值ZO。

(2)Δaiajak為非鈍角三角形。

對于銳角Δaiajak，直接執(zhí)行情形(1)中的計算過程即可；而對于直角Δaiajak，可先確定直角所在的頂點aj，然后執(zhí)行情形(1)的計算過程同樣可得到事件源O的能量值ZO。得證。

□

3.2 相關(guān)定義及術(shù)語

在實際應(yīng)用的WSN中，DAFNA算法將根據(jù)性質(zhì)1來對某一事件源O的能量值進行估計，然后根據(jù)估計的事件源O的能量值提出節(jié)點檢測機制。在此之前，為了便于描述本文的算法，給出以下定義以及相關(guān)術(shù)語表。

定義1(特征點、特征點集合) 設(shè)WSN感知域S中的三點ai、aj、ak，對于事件源O的能量感知值分別為Zai、Zaj、Zak，設(shè)τ=(Zai+Zaj+Zak)/3，若Zai-τ≤ξ且Zaj-τ≤ξ且Zak-τ≤ξ(ξ為一閾值)，則稱Zai、Zaj、Zak為WSN中的特征點；ai、aj、ak所構(gòu)成的集合稱為特征集合，則S中所有滿足上述性質(zhì)的三個節(jié)點構(gòu)成的集合稱為系列特征集合，表示為ψ1、ψ2、…、ψm。

Table 1 Related terms

4 DAFNA算法

本文提出的DAFNA算法包含事件源能量值估計算法與節(jié)點檢測算法。

4.1 事件源能量值估計算法

在WSN中，當節(jié)點數(shù)量足夠多時，總能找到一些特殊的節(jié)點感知值，根據(jù)這些特殊的節(jié)點感知值，提出對事件源能量值估計的算法：

(1)獲取所有感知節(jié)點a1、a2、…、an對同一事件源O的能量感知值Za1、Za2、…、Zan。

(2)在Za1、Za2、…、Zan中循環(huán)選取三個值Zai、Zaj、Zak，驗證是否滿足|Zai-τ|≤ξ且|Zaj-τ|≤ξ且|Zak-τ|≤ξ(其中τ=(Zai+Zaj+Zak)/3，ξ為一閾值)，提取滿足條件的所有特征點，并分別形成特征集合ψ1={b1,b2,b3}，ψ2={b4,b5,b6}，…,ψm={b3m-2,b3m-1,b3m}。

(3)分別對特征集合ψ1、ψ2、…、ψm中的特征點的能量感知值求平均值，并將該平均值作為對應(yīng)特征集合中的三個特征點的能量感知值，由性質(zhì)1知，可計算出事件源O的能量值，通過計算所得的事件源O的能量值記為ZO1、ZO2、…、ZOm。

4.2 節(jié)點檢測算法

性質(zhì)2(距離唯一性) 某一平面中存在固定三點a、b、c，同一平面中的另兩點x、y與a、b、c的距離已知，則點x與點y的距離唯一確定。

證明 由于點x、y與a、b、c的距離已知，由定位技術(shù)中的三邊定位可知，點x、y的位置唯一確定，因此點x與點y的距離唯一確定。得證。

□

根據(jù)性質(zhì)2，提出特征節(jié)點以外的其他節(jié)點au的檢測機制：

5 性能分析

在本文實驗中模擬一個高于環(huán)境溫度的溫度源，此時對于能量衰減模型中的參數(shù)θ取值為θ=2，參數(shù)α取值為α=0.1。模擬場景為，在一個半徑為100單位長度的圓中隨機部署60個傳感器節(jié)點，并在其中隨機產(chǎn)生10個惡意節(jié)點，事件源(溫度源)位于圓心，節(jié)點分別處于以事件源為中心的同心圓上。實驗采用MATLAB仿真，分別對參數(shù)ξ的取值對事件源能量值估計精度的影響、在合適ξ的取值下惡意節(jié)點總數(shù)為10時算法的檢測精度以及惡意節(jié)點總數(shù)從1到50的情況下DAFNA算法惡意節(jié)點容納度與Hur算法對比等性能進行分析。

由于參數(shù)ξ的選擇影響著事件源能量值的估計，而事件源能量值在后續(xù)惡意節(jié)點檢測算法將直接運用到各感知節(jié)點與事件源的距離以及節(jié)點的定位，因此參數(shù)ξ的取值通過影響事件源能量值估計精度，從而影響整個算法的精度。實驗中通過MATLAB設(shè)置已知的一事件源能量值，分別設(shè)置ξ=0,1,2,…,20，運用DAFNA算法中的事件源能量值估計算法對該事件源能量值估計，觀察各個參數(shù)ξ的取值下的事件源能量估計值與真實值的逼近程度，如圖4所示。其中，每個參數(shù)ξ值進行10次實驗，10次實驗的事件源能量估計值與真實值的比值平均值做為每個參數(shù)ξ值的事件源能量估計的精度。由實驗仿真所得曲線圖可得，ξ越小，事件源能量值估計的精度越高，而在實際應(yīng)用中，由于各感知節(jié)點對事件源能量感知存在一定的誤差，因此感知值完全相同(即ξ=0)的情況幾乎不會出現(xiàn)，所以，為了在實際情況中能找到一定數(shù)量的特征節(jié)點，本次實驗中選擇參數(shù)ξ=4。

Figure 4 Effect of parameter ξ on estimation accuracy of event source energy value

在選取合適的參數(shù)ξ=4的情況下，考察當整個WSN中存在少量惡意節(jié)點數(shù)(惡意節(jié)點總數(shù)=10)時整個算法的檢測精度。實驗分為10組，每組實驗進行10次惡意節(jié)點檢測，每組實驗中隨機產(chǎn)生10個惡意節(jié)點，每組的10次實驗檢測出的惡意節(jié)點平均個數(shù)作為該組實驗的算法檢測精度，實驗結(jié)果如圖5中實線曲線所示，其中虛線為10組實驗的算法檢測精度平均值。由圖5可知，在整個WSN中存在少量惡意節(jié)點的情況下，本文的算法檢測精度可達90%以上。

Figure 5 Detection accuracy analysis when ε=4 with 10 malicious nodes

本實驗同樣選取參數(shù)ξ=4，對DAFNA算法惡意節(jié)點容納度進行分析且與Hur算法進行對比。網(wǎng)絡(luò)中惡意節(jié)點總數(shù)從1至50變化，分別對兩種算法每次能檢測出的惡意節(jié)點百分比進行對比，實驗仿真結(jié)果如圖6所示。由圖6可知，當惡意節(jié)點總數(shù)較少時，兩種算法的檢測能力都很高，且Hur算法相比DAFNA算法檢測能力更高，這是因為Hur算法獲取的先驗知識比較豐富。而隨著惡意節(jié)點數(shù)的增加，Hur算法比DAFNA算法的檢測能力先衰減，這是由于惡意節(jié)點過多，獲取的先驗知識難以確保其有效性所致。從圖6中同時也能看出，DAFNA算法要求網(wǎng)絡(luò)中惡意節(jié)點總數(shù)必須小于節(jié)點總數(shù)的一半。

Figure 6 Malicious nodes hold degrees comparision between DAFNA algorithm and Hur algorithm

6 結(jié)束語

本文介紹了信息安全在WSN中應(yīng)用的重要性以及目前已有算法存在的問題，提出了DAFNA算法。該算法只需知道先驗知識節(jié)點之間的距離，而不用知道事件源的位置、節(jié)點與事件源的距離等先驗知識，使用方便，且惡意節(jié)點數(shù)低于節(jié)點總數(shù)一半的情況下，識別效果較好。通過仿真實驗將該算法與Hur算法對比表明，該算法具有更好的惡意節(jié)點容納度。

[1]DongHui-hui,GuoYa-jun,YuZhong-qiang,etal.Awirelesssensornetworksbasedonmulti-angletrustofnode[C]∥Procof2009InternationalForumonInformationTechnologyandApplications, 2009:28-31.

[2]LindseyS,RaghavendraC,SivalingamKM.Datagatheringalgorithmsinsensornetworkusingenergymetrics[J]．IEEETransactionsonParallelandDistributedSystems, 2002, 13(9):924-935.

[3]GaneriwalS,BalzanoLK,SrivastavaMB.Reputation-basedframeworkforhighintegritysensornetworks[J].ACMTransactionsonSensorNetworks, 2008, 4(3):1-37.

[4]MomaniM,AgbinyaJ,NavarreteGP.Anewalgorithmoftrustformationinwirelesssensornetworks[C]∥Procofthe1stIEEEInternationalConferenceonWirelessBroadbandandUltraWidebandCommunications(AusWireless’06), 2006:1-6.

[5]daSilvaAPR,MartinsMHT,RochaBPS,etal.Decentralizedintrusiondetectioninwirelesssensornetworks[C]∥Procofthe1stACMInternationalWorkshoponQualityofService&SecurityinWirelessandMobileNetworks, 2005:16-23.

[6]TsengChin-Yang,BalasubramanyamP,KoC,etal.Aspecification-basedintrusiondetectionsystemforAODV[C]∥Procofthe1stACMWorkshoponSecurityofAdHocandSensorNetworks, 2003:125-134.

[7]BucheggerS,BoudecJean-YvesL.Theselfishnode:Increasingroutingsecurityformobileadhocnetworks[R].RZ3354(#93400).Switzerland:IBMZurichResearchLaboratory, 2001.

[8]BucheggerS,BoudecJean-YvesL.Nodesbearinggrudges:Towardsroutingsecurity,fairness,androbustnessinmobileadhocnetworks[C]∥Procofthe16thEuromicroConferenceonParallel,DistributedandNetwork-basedProcessing, 2008:403-410.

[9]BucheggerS,BoudecJean-YvesL.PerformanceanalysisoftheCONFIDANTprotocol(Cooperationofnodes:Fairnessindynamicad-hocnetworks)[C]∥Procofthe3rdACMInternationalSymposiumonMobileAdHocNetworking&Computing(MobiHOC), 2002:226-236.

[10]ZhouXing-feng.Astudyonadhocnetworkintrusiondetectionsystemmodelbasedoncredibility[D].Nanjing:NanjingUniversityofScienceandTechnology, 2006.(inChinese)

[11]Po-WahYau,MitchellCJ.Reputationmethodsforrouting

securityformobileadhocnetwork[C]∥Procofthe1stWorkshoponMobileFutureandSymposiumonTrendsinCommunications, 2003:130-137.

[12]HurJ,LeeY,HongSM,etal.Trustmanagementforresilientsensornetworks[C]∥ProcoftheICISC’05, 2006:56-68.

[13]HurJ,LeeY,YoonH,etal.Trustevaluationmodelforwirelesssensornetwork[C]∥ProcoftheICACT’05, 2005:491-496.

[14]LoganJD.Appliedmathematics(acontemporaryapproach) [M].NewYork:Wiley, 1987.

附中文參考文獻：

[10] 周興鋒. 基于信任度ADHOC網(wǎng)絡(luò)入侵檢測系統(tǒng)模型研究[D]. 南京:南京理工大學, 2006.

XIE Jin-yang,born in 1989,MS candidate,his research interests include Internet of Things, and information security.

李平(1972-),男，湖南長沙人，博士，教授，CCF會員(E200029900M)，研究方向為網(wǎng)絡(luò)與信息安全、無線傳感網(wǎng)和物聯(lián)網(wǎng)。E-mail:lping9188@163.com

LI Ping,born in 1972,PhD,professor,CCF member(E200029900M)，his research interests include network and information security, WSN, and Internet of Things.

謝桂芳(1973-),女，湖南邵陽人，碩士，副教授，研究方向為無線網(wǎng)絡(luò)。E-mail:guimiss@21cn.com

XIE Gui-fang,born in 1973,MS,associate professor,her research interest includes wireless network.

Study on the malicious nodes detection algorithmbased on feature nodes analysis

XIE Jin-yang1,LI Ping1,XIE Gui-fang2

(1.School of Computer & Communication Engineering,Changsha University of Science & Technology,Changsha 410004;2.Department of Computer Science,Xiangnan University,Chenzhou 423000,China)

Wireless Sensor Network (WSN) is usually deployed in complex environment, and an attacker can easily inject false data by capturing nodes, thus causing serious consequences. A malicious nodes detection algorithm based on feature nodes analysis (DAFNA) is proposed. Firstly, the energy values of the event sources are estimated, and nodes healthy characteristics are maintained in this process. Secondly, we establish coordinates according to the feature nodes, conduct a variance analysis of the calculated and perceived distances between the nodes to be detected and the event source, thus the malicious nodes are identified. Simulation result verifies the effectiveness of the proposed algorithm, and compared with Hur algorithm it has a better accommodation of malicious nodes while requiring less prior knowledge.

wireless sensor network(WSN);energy-aware;false data;feature nodes;malicious nodes

1007-130X(2015)01-0078-06

2013-08-02;

2013-09-13基金項目：國家973計劃資助項目(2011CB302902)；國家自然科學基金資助項目(61073180)

TP212.9

A

10.3969/j.issn.1007-130X.2015.01.012

謝晉陽(1989-),男,湖南邵陽人，碩士生，研究方向為物聯(lián)網(wǎng)和信息安全。E-mail:505354246@qq.com

通信地址：410004 湖南省長沙市雨花區(qū)長沙理工大學云塘校區(qū)計通學院

Address:School of Computer & Communication Engineering,Changsha University of Science & Technology,Changsha 410004,Hunan,P.R.China