降 帥（國防科學(xué)技術(shù)大學(xué)，410072）

?

GPSR地理路由協(xié)議中sinkhole攻擊及其入侵檢測方法的研究

降 帥
（國防科學(xué)技術(shù)大學(xué)，410072）

摘要：隨著微電子技術(shù)、計算技術(shù)和無線通信等技術(shù)的飛速發(fā)展和日益成熟，無線傳感器網(wǎng)絡(luò)被廣泛應(yīng)用于軍事、環(huán)境監(jiān)測等多個領(lǐng)域，但是網(wǎng)絡(luò)的不安全性限制了它的應(yīng)用，安全問題受到了越來越多研究者的關(guān)注?；谶@一現(xiàn)狀，提出了一種改進(jìn)的GPSR地理路由協(xié)議。這種簡易的能量改進(jìn)策略，以減少由于GPSR協(xié)議中周圍模式引起的過多的跳躍。無線傳感器網(wǎng)絡(luò)中存在著多種攻擊威脅著網(wǎng)絡(luò)的安全，其中Sinkhole攻擊是一種常見的、基礎(chǔ)型的攻擊，很多攻擊以它為基礎(chǔ)或輔助手段對網(wǎng)絡(luò)實(shí)施攻擊。本文根據(jù)GPSR的Sinkhole攻擊手段，對sinkhole的入侵檢測方法進(jìn)行分析。

關(guān)鍵詞：GPSR地理路由協(xié)議；Sinkhole；檢測

0 引言

無線傳感器網(wǎng)絡(luò)（WSN）綜合了傳感器技術(shù)、嵌入式計算機(jī)技術(shù)、現(xiàn)代網(wǎng)絡(luò)及無線通信技術(shù)、分布式信息處理技術(shù)等， 能夠通過各類集成化的微型傳感器協(xié)作地實(shí)時監(jiān)測、感知和采集各種環(huán)境或監(jiān)測對象的信息， 這些信息通過無線方式被發(fā)送，并以自組多跳的網(wǎng)絡(luò)方式傳送到終端用戶， 讓觀察者知道何時何地發(fā)生何種事情。

1 GPSR路由算法

1.1 基本思想。GPSR（Greedy Perimeter Stateless Routing）是為移動ad-hoc網(wǎng)絡(luò)設(shè)計的一種路由協(xié)議，是使用地理位置信息建立路由的一種算法。即給定目的節(jié)點(diǎn)的位置坐標(biāo)，GPSR就可以僅根據(jù)節(jié)點(diǎn)的位置信息自主尋找最佳路由并將數(shù)據(jù)包發(fā)送至該節(jié)點(diǎn)。

GPSR使用貪婪算法建立路由，在傳輸開始之前，網(wǎng)絡(luò)當(dāng)中每個節(jié)點(diǎn)都知道自身以及其所有鄰居節(jié)點(diǎn)的位置。

1.2 位置信息更新機(jī)制。由于無線傳感器網(wǎng)絡(luò)路由的動態(tài)變化特性，網(wǎng)絡(luò)中各節(jié)點(diǎn)需要周期性地更新自身存儲的位置信息。GPSR 周期性地向所有鄰居節(jié)點(diǎn)發(fā)送信標(biāo)（Beacon）信號， 來得到需要用到的鄰居節(jié)點(diǎn)的信息。該信標(biāo)信號中包含了節(jié)點(diǎn)的標(biāo)識和節(jié)點(diǎn)的地理位置信息，并采用廣播的方式發(fā)送，該節(jié)點(diǎn)的廣播域中所有的鄰居節(jié)點(diǎn)都會收到該信標(biāo)信號，并實(shí)時地將本地的相關(guān)位置信息進(jìn)行更新。

1.3 局部優(yōu)化問題。GPSR采取貪婪算法作為路由建立的主要方式，而這種方式將導(dǎo)致局部優(yōu)化（Local optimum）問題。如圖1.1所示，源節(jié)點(diǎn)為S，目的節(jié)點(diǎn)為D。在前兩跳中采用貪婪算法，數(shù)據(jù)分組到達(dá)中間節(jié)點(diǎn)F，雖然經(jīng)過節(jié)點(diǎn)F存在一條從S到D的路徑，但由于在F的所有鄰居節(jié)點(diǎn)中， F距離目的節(jié)點(diǎn)D最近，此時，可認(rèn)為此數(shù)據(jù)包遇到了一個路由空洞（void）。

2 針對GPSR的Sinkhole攻擊手段

2.1 sinkhole基本原理。sinkhole 攻擊是一類較為常見、且破壞力較大的攻擊手段，它能夠阻止基站或匯聚節(jié)點(diǎn)獲取完整和正確的傳感數(shù)據(jù)、竊取整個網(wǎng)絡(luò)當(dāng)中的信息，因此對于更高層應(yīng)用構(gòu)成了嚴(yán)重威脅。

2.2 偽裝成合法的匯聚節(jié)點(diǎn)。對于GPSR地理路由協(xié)議，路由選擇的依據(jù)是盡可能地選擇離目的節(jié)點(diǎn)更近的節(jié)點(diǎn)作為其下一跳。而在大多數(shù)的無線傳感器網(wǎng)絡(luò)當(dāng)中，一定區(qū)域內(nèi)所有節(jié)點(diǎn)的數(shù)據(jù)一般都會匯聚到唯一的一個匯聚節(jié)點(diǎn)（sink node）上，以實(shí)現(xiàn)數(shù)據(jù)的融合與處理。這一特點(diǎn)也為sinkhole攻擊提供了便利。

2.3 偽裝成距目的節(jié)點(diǎn)最近的節(jié)點(diǎn)。隨著安全加密等技術(shù)的不斷升級，直接將惡意節(jié)點(diǎn)偽裝成匯聚節(jié)點(diǎn)的方法越來越難以實(shí)現(xiàn)，因此，攻擊者有可能采取一些更為簡單易行的方式。

3 針對sinkhole的入侵檢測方法

由于sinkhole攻擊的隱蔽性較強(qiáng)，且在數(shù)據(jù)及網(wǎng)絡(luò)流量方面并無明顯痕跡，因此，通過分析網(wǎng)絡(luò)中各節(jié)點(diǎn)的異常行為來進(jìn)行入侵檢測是比較可行的一種方法。對于GPSR協(xié)議中的sinkhole攻擊，文中列舉了三種典型的攻擊手段，針對上述手段，可以提取其中的異常行為作為沖突檢測的依據(jù)。

3.1 匯聚節(jié)點(diǎn)位置更新頻率異常。對于偽裝成匯聚節(jié)點(diǎn)的攻擊者，其惡意節(jié)點(diǎn)必須在每次合法匯聚節(jié)點(diǎn)發(fā)送信標(biāo)后馬上再以同樣的身份發(fā)送一個偽造的信標(biāo)。而對于網(wǎng)絡(luò)中其他節(jié)點(diǎn)來說，將會連續(xù)收到兩個匯聚節(jié)點(diǎn)發(fā)出的信標(biāo)信息，且兩信標(biāo)中的位置信息不同。若網(wǎng)絡(luò)中頻繁出現(xiàn)連續(xù)收到兩個匯聚節(jié)點(diǎn)信標(biāo)，且兩信標(biāo)中的位置信息總不相同（要排除嚴(yán)重的多徑效應(yīng)造成重復(fù)接收的情況），則可以判斷為網(wǎng)絡(luò)當(dāng)中出現(xiàn)了假冒匯聚節(jié)點(diǎn)的攻擊者。

當(dāng)網(wǎng)絡(luò)中的各節(jié)點(diǎn)檢測到這一入侵行為后，各節(jié)點(diǎn)可采取相應(yīng)的應(yīng)對策略。例如，在位置信息更新的過程當(dāng)中，可以設(shè)置一段保護(hù)時間，即在收到某一節(jié)點(diǎn)的信標(biāo)后，啟動計時，如果在一定長度的保護(hù)時間內(nèi)再一次收到同一節(jié)點(diǎn)發(fā)來的信標(biāo)，則節(jié)點(diǎn)將直接丟棄第二次收到的信標(biāo)。

3.2 出現(xiàn)位置異常節(jié)點(diǎn)。在2.3所介紹的攻擊方法中，攻擊者將通過惡意節(jié)點(diǎn)偽造一條高質(zhì)量的路由，從而吸引數(shù)據(jù)包通過其轉(zhuǎn)發(fā)。在GPSR協(xié)議當(dāng)中，路由質(zhì)量的高低取決于節(jié)點(diǎn)距離目的節(jié)點(diǎn)距離的遠(yuǎn)近，因此，為了確保惡意節(jié)點(diǎn)能夠明顯優(yōu)于其他節(jié)點(diǎn)，攻擊者往往會將此節(jié)點(diǎn)的位置信息設(shè)置為距離目的節(jié)點(diǎn)盡可能近，而入侵檢測就可以從這一特點(diǎn)入手。

3.3 節(jié)點(diǎn)信息大幅度頻繁變更。針對GPSR協(xié)議，攻擊者還可能通過偽造虛假路由信息的方式來使得節(jié)點(diǎn)對現(xiàn)有路由質(zhì)量的評估降低，從而使得合法節(jié)點(diǎn)更加傾向于選擇惡意節(jié)點(diǎn)來傳輸信息。要實(shí)現(xiàn)這一目的，攻擊者需要通過類似于偽造匯聚節(jié)點(diǎn)的手法，通過在合法節(jié)點(diǎn)信標(biāo)之后緊接著發(fā)送偽造信標(biāo)信息的方式，來偽造該合法節(jié)點(diǎn)的位置信息。

4 總結(jié)與展望

Sinkhole攻擊作為一種較為常見，且破壞力較強(qiáng)的攻擊方式，能夠?qū)崿F(xiàn)很多惡意功能，是攻擊者常用的一種入侵手段。本文主要以無線傳感器網(wǎng)絡(luò)中較為常見的GPSR地理信息路由協(xié)議為研究對象，分析了針對這一協(xié)議的sinkhole攻擊方式，并給出了幾種入侵檢測的方法。在實(shí)際的應(yīng)用中，各種的攻擊手段往往會結(jié)合起來使用，互相配合以發(fā)揮更大的作用，同樣，對于入侵檢測而言，也可以將多種入侵檢測方法相結(jié)合，提升網(wǎng)絡(luò)的安全性與可靠性。

參考文獻(xiàn)

［1］文凡，李思敏，唐志靈.無線傳感器網(wǎng)絡(luò)路由協(xié)議的形式化研究方法［J］.國外電子測量技術(shù)，2009，28（4）：20-23 .

［2］張威.施偉斌.無線傳感器網(wǎng)絡(luò)GPSR 路由協(xié)議研究［J］. 電子測量技術(shù)，2010，33（9）：118-121.

［3］孫利民.李建中.陳渝.朱紅松.無線傳感器網(wǎng)絡(luò)［M］.清華大學(xué)出版社，2005：230-231.

［4］滕麗萍.張永平.無線傳感器網(wǎng)絡(luò)中sinkhole 攻擊研究［J］.計算機(jī)安全，2011，1：30-34.

Research on sinkhole attack and intrusion detection method in GPSR geographic routing protocol

Xiang Shuai
（National University of Defense Technology，410072）

Abstract：With the rapid development of microelectronics technology，computer technology and wireless communication technology and the increasing maturity of，wireless sensor network is widely used in military，environmental monitoring and other fields，but the unsafe network limits its application and security issues by more and more researchers attention.Based on the present situation，an improved GPSR geographic routing protocol is proposed.This simple energy improvement strategy to reduce the excessive number of jumps due to the GPSR protocol in the surrounding mode.In wireless sensor networks，there are many kinds of attacks which threaten the security of the network，among which Sinkhole attacks are a common and basic type of attacks. In this paper，based on the Sinkhole GPSR attack method， the sinkhole intrusion detection method is analyzed.

Keywords：GPSR geographic routing protocol；Sinkhole；detection