劉東旭

(滁州職業(yè)技術(shù)學(xué)院 信息工程學(xué)院，安徽 滁州 239001)

隨著國(guó)家在“十四五規(guī)劃”將無線傳感網(wǎng)技術(shù)納入新基建范疇，當(dāng)前無線傳感網(wǎng)技術(shù)正處于工業(yè)化的熱點(diǎn)上[1]。由于無線傳感網(wǎng)技術(shù)可廣泛應(yīng)用于諸如環(huán)境監(jiān)測(cè)、工業(yè)部署、新冠疫情防控等領(lǐng)域并可與政務(wù)云系統(tǒng)進(jìn)行無縫對(duì)接，使得人們對(duì)其安全性能不斷予以更多的考慮[2]。由于無線傳感網(wǎng)節(jié)點(diǎn)具有高密集度部署特性，存在節(jié)點(diǎn)自組織程度較高、抗入侵能力較低、sink節(jié)點(diǎn)控制度不足等難題，使得惡意入侵主體以分布式攻擊模式進(jìn)行多態(tài)攻擊[3]。因此需要針對(duì)惡意入侵行為進(jìn)行精確查證識(shí)別，從而避免無線傳感網(wǎng)的運(yùn)轉(zhuǎn)受到影響[4]。

為提高無線傳感網(wǎng)的安全運(yùn)行能力，強(qiáng)化網(wǎng)絡(luò)反入侵效果，研究者提出了一些基于納什博弈思想的解決方案，在一定程度上起到了較好的網(wǎng)絡(luò)反入侵效果。如Thomas[5]等提出了一種基于名單管理機(jī)制的無線傳感網(wǎng)入侵檢測(cè)算法，通過身份信息查證方式制定網(wǎng)絡(luò)訪問權(quán)限等級(jí)，嚴(yán)格規(guī)定節(jié)點(diǎn)的讀寫操作，使其將網(wǎng)絡(luò)性能置于納什均衡最優(yōu)狀態(tài)。但是，該算法也存在入侵檢測(cè)強(qiáng)度過強(qiáng)的不足，網(wǎng)絡(luò)額外用于入侵檢測(cè)所耗費(fèi)的資源較高，網(wǎng)絡(luò)性能易出現(xiàn)波動(dòng)現(xiàn)象。Xu[6]等提出了一種基于行為匹配映射機(jī)制的無線傳感網(wǎng)入侵檢測(cè)算法，該算法主要是基于入侵行為來構(gòu)建對(duì)抗模型，可采取遍歷方式對(duì)攻擊行為進(jìn)行精確建模，具有針對(duì)性較強(qiáng)的特點(diǎn)。然而，該算法需要對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)控，難以適應(yīng)網(wǎng)絡(luò)流量較高的適用場(chǎng)景，網(wǎng)絡(luò)抗攻擊性能較差。Ghanbar[7]等基于特征庫篩選方式提出了一種新的無線傳感網(wǎng)入侵檢測(cè)算法，通過對(duì)入侵特征進(jìn)行指紋錄入的方式鑒定潛伏節(jié)點(diǎn)，具有較強(qiáng)的入侵檢測(cè)能力。但是，該算法僅能針對(duì)DDos攻擊并予以檢查，無法適應(yīng)多態(tài)化攻擊場(chǎng)景，流量過濾過程中易對(duì)正常節(jié)點(diǎn)造成不利影響，使得網(wǎng)絡(luò)性能無法進(jìn)一步得到提升。

針對(duì)當(dāng)前研究中存在的不足，提出了一種基于指紋識(shí)別機(jī)制的無線傳感網(wǎng)入侵檢測(cè)算法。首先，針對(duì)入侵周期和緩存周期的匹配特性，結(jié)合入侵流量和入侵特征以查證識(shí)別攻擊流量，引入周期性捕獲機(jī)制對(duì)攻擊流量進(jìn)行映射，提高網(wǎng)絡(luò)對(duì)入侵行為的捕獲能力。隨后，采取反向積分指紋映射模型評(píng)估入侵成功率并挖掘入侵行為的指紋特征，針對(duì)入侵流量指紋特性構(gòu)建了基于納什均衡博弈模型，以提高入侵檢測(cè)概率，增強(qiáng)網(wǎng)絡(luò)對(duì)惡意攻擊的抵御能力。最后，通過NS2仿真實(shí)驗(yàn)證明了所提算法的性能。

1 網(wǎng)絡(luò)環(huán)境概述

考慮到當(dāng)前無線傳感網(wǎng)節(jié)點(diǎn)具有多態(tài)特性，鏈路具有非固定特點(diǎn)，由此帶來了較高的數(shù)據(jù)轉(zhuǎn)發(fā)及傳輸鏈路抖動(dòng)現(xiàn)象[8]。因此，本文算法對(duì)網(wǎng)絡(luò)環(huán)境做出如下規(guī)定。

入侵主體在進(jìn)入網(wǎng)絡(luò)區(qū)域時(shí)，其入侵行為可被網(wǎng)絡(luò)所識(shí)別捕獲，網(wǎng)絡(luò)節(jié)點(diǎn)在啟動(dòng)首輪檢測(cè)之前，入侵主體將有一定的概率感知并改變?nèi)肭中袨?，入侵行為帶來的攻擊流量具有萊斯分布特性[9]。

網(wǎng)絡(luò)節(jié)點(diǎn)在檢測(cè)到入侵行為時(shí)將自動(dòng)激活防御策略，但防御策略被激活時(shí)將調(diào)用節(jié)點(diǎn)和流量并對(duì)入侵行為予以對(duì)沖，相應(yīng)的資源將一直處于占用狀態(tài)中[10]。

針對(duì)上述網(wǎng)絡(luò)環(huán)境特點(diǎn)，特別是鏈路和節(jié)點(diǎn)流量均存在萊斯分布特性，節(jié)點(diǎn)將消耗一定的帶寬資源用以對(duì)沖攻擊流量。帶寬消耗Bnode(B)可由如式(1)所示模型確定。

(1)

模型(1)Bnode(B)中表示節(jié)點(diǎn)所消耗的帶寬資源，B為入侵流量，Bnode(t)表示萊斯分布函數(shù)，其特征值為B。

當(dāng)攻擊主體同時(shí)入侵多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)，網(wǎng)絡(luò)所消耗的帶寬資源Dall(B)可由如式(2)所示模型獲取。

(2)

其中Dall(B)為網(wǎng)絡(luò)抵御攻擊行為所消耗的帶寬，其余參數(shù)同模型(1)。

結(jié)合網(wǎng)絡(luò)環(huán)境可知，無線傳感網(wǎng)在防御入侵行為時(shí)，需要調(diào)集全網(wǎng)的帶寬資源并占用節(jié)點(diǎn)予以應(yīng)對(duì)，當(dāng)且僅當(dāng)網(wǎng)絡(luò)及節(jié)點(diǎn)所消耗的資源不影響網(wǎng)絡(luò)數(shù)據(jù)匯聚時(shí)，方可實(shí)時(shí)捕獲入侵行為。

2 基于指紋識(shí)別機(jī)制的無線傳感網(wǎng)入侵檢測(cè)算法

由上文可知，無線傳感網(wǎng)在檢測(cè)入侵行為時(shí)，其制約性因素主要為網(wǎng)絡(luò)中可用帶寬資源，此外尚需針對(duì)節(jié)點(diǎn)多態(tài)特性進(jìn)行匹配性過濾[11]。因此，本文算法結(jié)合節(jié)點(diǎn)資源、多態(tài)特性、網(wǎng)絡(luò)緩存等維度，由多元指紋過濾方法和入侵行為查證識(shí)別方法兩個(gè)部分構(gòu)成。

2.1 基于流量和分布特性評(píng)估機(jī)制的多元指紋過濾

入侵主體實(shí)施攻擊行為時(shí)，其入侵流量B(b)及入侵行為分布特性G(b)可用于構(gòu)建指紋模型，其中B(b)和G(b)均遵循萊斯分布特性，特征值為b。網(wǎng)絡(luò)在t0時(shí)刻啟動(dòng)入侵檢測(cè)流程時(shí)，各節(jié)點(diǎn)的可用帶寬均遵循數(shù)字特征為λ的泊松分布[12]，據(jù)此可確定入侵流量B(b)的中心分布E[B(b)]滿足如式(3)所示條件。

(3)

模型(3)中E|B(b)|和E|B(b)2|分別表示入侵流量B(b)的均值和方差，實(shí)踐中分別為入侵流量的攻擊周期和入侵行為分布特性的緩存周期?？紤]到入侵流量B(b)的攻擊周期E|B(b)|與的入侵行為分布特性G(b)的緩存周期E|B(b)2|呈現(xiàn)反向積分指紋映射關(guān)系[13]，如式(4)所示

(4)

由模型(4)可知，當(dāng)且僅當(dāng)入侵流量B(b)的攻擊周期E[B(b)]與入侵行為分布特性G(b)的緩存周期E[B(b)2]均保持一致性時(shí)，網(wǎng)絡(luò)方可針對(duì)入侵行為進(jìn)行監(jiān)測(cè)。否則將需要針對(duì)網(wǎng)絡(luò)入侵進(jìn)行反向積分指紋映射，以便確定入侵行為的攻擊特征并及時(shí)啟動(dòng)防御行為。

2.2 基于納什均衡模型的入侵行為查證識(shí)別

由上文可知，入侵流量B(b)的攻擊周期E[B(b)]與入侵行為分布特性G(b)的緩存周期E[B(b)2]呈現(xiàn)反向積分指紋映射關(guān)系，若模型(3)和(4)獲取的B(b)的攻擊周期E[B(b)]高于攻擊行為數(shù)學(xué)分布T(x)的統(tǒng)計(jì)頻率E[B(b)4]，則可通過查證入侵概率p′的方式對(duì)入侵行為進(jìn)行建模，從而提高網(wǎng)絡(luò)的安全系數(shù)。因此本文采取查證入侵概率的方式對(duì)的入侵行為B(b)進(jìn)行識(shí)別。

考慮到反向積分指紋映射關(guān)系同時(shí)具有時(shí)移特性[12]，因此B(b)和p′也滿足時(shí)變特性，如式(5)所示。

B(b)?p′

(5)

模型(5)的均值E[B(b)?p′]同時(shí)滿足反向積分指紋映射關(guān)系，如式(6)所示。

(6)

若網(wǎng)絡(luò)針對(duì)入侵主體的查證識(shí)別概率為p′，則入侵行為分布特性G(b)滿足如式(7)所示條件。

(7)

不妨設(shè)入侵主體發(fā)起攻擊的時(shí)刻為Δt，查證識(shí)別概率為p′的指紋系數(shù)ΔG(b)滿足如式(8)所示條件。

(8)

其中d′為入侵主體的攻擊流量，Δt為入侵者發(fā)起攻擊的時(shí)刻。

入侵成功率Δλ滿足納什均衡模型，如式(9)所示。

(9)

并滿足如式(10)所示條件。

(10)

其中，Δλ滿足納什均衡。

綜上所述，所提算法入侵檢測(cè)過程如下。

Step1：網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)攻擊行為并針對(duì)入侵行為分布特性獲取特征函數(shù)G(b)，被監(jiān)測(cè)到處于攻擊狀態(tài)的節(jié)點(diǎn)將通過模型(9)和模型(10)獲取攻擊概率p′。

Step2：當(dāng)僅當(dāng)節(jié)點(diǎn)監(jiān)測(cè)到攻擊行為時(shí)，則轉(zhuǎn)Step3。

Step3：若入侵主體的入侵成功率Δλ滿足模型(10)時(shí)，算法結(jié)束。

Step4：更新分布函數(shù)G(b)，當(dāng)僅當(dāng)模型(10)成立時(shí)轉(zhuǎn)Step2，否則繼續(xù)監(jiān)測(cè)網(wǎng)絡(luò)攻擊行為。

Step5：算法結(jié)束。

算法流程圖如下圖1所示。

圖1 算法流程圖

3 仿真實(shí)驗(yàn)

本文實(shí)驗(yàn)采用NS2仿真實(shí)驗(yàn)環(huán)境，對(duì)照組算法為線性密碼鑒別機(jī)制的無線傳感網(wǎng)入侵檢測(cè)算法[13](A Novel Security Algorithm ECC-L For Wireless Sensor Network，ECC-L算法)和橢圓加密鑒別機(jī)制的無線傳感網(wǎng)入侵檢測(cè)算法[14](Security Protocol Using Elliptic Curve Cryptography Algorithm For Wireless Sensor Networks，SEC算法)。仿真指標(biāo)為安全峰值流量強(qiáng)度和入侵鑒別成功率。仿真參數(shù)表如下表1所示。

表1 仿真參數(shù)表

3.1 安全峰值流量強(qiáng)度

圖2為所提算法與ECC-L算法和SEC算法在兩種信道條件下的安全峰值流量強(qiáng)度測(cè)試結(jié)果。由圖可知，所提算法具有安全峰值流量強(qiáng)度較高的特點(diǎn)，說明所提算法具有較高的流量攻擊抵御能力。這是由于所提算法針對(duì)入侵行為具備的多態(tài)特點(diǎn)，設(shè)計(jì)了多元指紋過濾方法以捕獲入侵行為，并結(jié)合基于概率的查證識(shí)別模型對(duì)攻擊流量予以識(shí)別，因而可精確獲取攻擊流量及被入侵的節(jié)點(diǎn)，使得算法具有較高的安全流量峰值強(qiáng)度。ECC-L算法主要采取曲線加密方式對(duì)節(jié)點(diǎn)進(jìn)行身份鑒權(quán)，鑒權(quán)過程中需要對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行遍歷映射處理，帶寬冗余性能要低于所提算法，因而網(wǎng)絡(luò)難以調(diào)集較高的帶寬用以抵御網(wǎng)絡(luò)攻擊行為，因此該算法具有較低的安全峰值流量。SEC算法針對(duì)遍歷識(shí)別存在的實(shí)時(shí)性較差的特性，采取橢圓曲線加密方式對(duì)網(wǎng)絡(luò)流量進(jìn)行特征值捕獲，雖然可達(dá)到較高水平的鑒別率，不過由于該算法需要根據(jù)流量特征進(jìn)行網(wǎng)絡(luò)資源調(diào)度，導(dǎo)致算法難以匹配性過濾，網(wǎng)絡(luò)資源調(diào)度具有滯后特性，使得該算法的安全峰值流量強(qiáng)度亦要低于所提算法。

(a)拉普拉斯信道

3.2 入侵鑒別成功率

圖3為所提算法與ECC-L算法和SEC算法在兩種信道條件下的入侵鑒別成功率測(cè)試結(jié)果。由圖3可知，所提算法具有入侵鑒別成功率較高的特點(diǎn)，說明所提算法具有較強(qiáng)的網(wǎng)絡(luò)入侵行為查證識(shí)別能力。這是由于所提算法設(shè)計(jì)了多元指紋過濾方法查證識(shí)別多態(tài)攻擊，入侵行為可通過查證識(shí)別模型予以動(dòng)態(tài)識(shí)別，因而入侵行為捕獲能力較強(qiáng)，可達(dá)到較高的入侵鑒別成功率。ECC-L算法采用曲線加密模型實(shí)現(xiàn)節(jié)點(diǎn)身份鑒權(quán)，由于鑒權(quán)過程需要遍歷全部節(jié)點(diǎn)，使得惡意攻擊節(jié)點(diǎn)易進(jìn)入潛伏狀態(tài)。此外，該算法存在網(wǎng)絡(luò)資源調(diào)集較為困難的問題，因而入侵鑒別能力較低，使得該算法的入侵鑒別成功率要低于所提算法。SEC算法雖然基于橢圓加密方式并結(jié)合特征值鑒權(quán)模型對(duì)入侵行為予以查證識(shí)別，不過由于該算法對(duì)攻擊行為存在的多態(tài)性考慮不足，所獲取的流量特征樣本庫需要實(shí)時(shí)更新，使得該算法的入侵鑒別成功率亦要低于所提算法。

(a)拉普拉斯信道

4 結(jié)論與展望

本文基于基于指紋識(shí)別機(jī)制，構(gòu)建了一種新的無線傳感網(wǎng)入侵檢測(cè)算法，主要根據(jù)攻擊概率和流量特征以裁決惡意攻擊行為，因而可實(shí)現(xiàn)較高的安全峰值流量強(qiáng)度及入侵鑒別成功率，改善網(wǎng)絡(luò)對(duì)入侵主體的抵御能力，具有匹配能力較強(qiáng)的特點(diǎn)。最后采用NS2仿真平臺(tái)，證明了所提算法的性能。

下一步將針對(duì)所提算法對(duì)移動(dòng)環(huán)境適應(yīng)性較差的不足，引入高流動(dòng)節(jié)點(diǎn)鑒權(quán)查證機(jī)制，提升所提算法對(duì)移動(dòng)節(jié)點(diǎn)的命中能力，進(jìn)一步提高算法對(duì)復(fù)雜環(huán)境的適應(yīng)能力。