基于規范的入侵檢測技術在無線傳感網中的研究

 收稿日期：2008-01-05；

修回日期：2008-03-21

基金項目：上海市科委重大科技公關資助項目（05dz15004）



作者簡介：熊鵬（1978-），男，江西南昌人，博士研究生，主要研究方向為計算機網絡協議、網絡安全（52061201014@ecnu.cn）；

張衛（1953-），男，上海人，教授，博導，主要研究方向為計算機網絡、無線通信與網絡安全；

沈富可（1963-），男，山東濟南人，副教授，博士研究生，主要研究方向為計算機網絡.

(1.華東師范大學 信息學院 計算機科學技術系 上海 200062; 2.南昌航空大學 計算機系 南昌 330063)

摘要：

探討了無線傳感網中的入侵檢測技術 提出了設計傳感網入侵檢測系統時應遵守的一些基本原則，并以此為基礎設計了一種簡單有效的實施方案。該方案利用同一鄰居關系節點間的分工協作和信息交流可以使網絡恢復正常的運行狀態。重點解決如何依據局部信息，通過分布式方案來實現對傳感網的入侵行為的檢測;通過定義簡單的規則實現了對黑洞攻擊和選擇性轉發攻擊的檢測。最后通過實驗對方案的有效性進行了驗證。

關鍵詞：無線傳感網; 入侵檢測; 基于規范; 監測者

中圖分類號：TP393.08

文獻標志碼：A

文章編號：1001-3695(2008)10-3112-04

Specification-based intrusion detection for WSN

XIONG Peng1，2 ZHANG Wei SHEN Fu-ke1

(1.Dept.of Computer Science Technology School of Information Science East China Normal University Shanghai 200062 China;

2.Dept.of Computer Science Technology Nanchang Hangkong University Nanchang 330063 China)

Abstract:

To study the problem of intrusion detection in WSN this paper proposed some basic principles and a good scheme that could be applied to such networks. The collaboration and exchange of nodes in the same neighborhood could make the network back to its normal operational situation. Detection with localized and partial audit data was achieved by a distributed approach. The design was applied for the black-hole and selective forwarding attacks by defining appropriate rules. Finally the effectiveness of this scheme was verity.

Key words：wireless sensor networks(WSN); intrusion detection system(IDS); specification-based; watchdog

0引言

隨著通信技術、嵌入式計算技術、傳感器技術的飛速發展和日益成熟，具有感知能力、計算能力和通信能力的微型傳感器網絡開始在世界范圍內出現。這種傳感器網絡能夠協作地實施監測、感知和采集網絡分布區域內的各種環境或監測對象的信息，并對這些信息進行處理后，傳送這些信息到需要的用戶手上[1]。無線傳感網的絕大多數應用都需要大量節點的同時參與，由此產生了利用和管理的問題。更糟糕的是，要想到達傳感網的配置區域也許是不大可能或很困難的，如敵對的勢力區、危險的環境或交戰區等。因此，在沒有管理人員或用戶干預下的高度自治性、對外部實時變化的良好適應性和學習能力對傳感網就顯得更為必要了。

由于傳感網工作時的協同性和節點資源的有限性使其在安全預防領域處于極為不利的地位，任何適用于傳感網的安全防護機制都必須建立在傳感網自身能力的范圍內。

目前，傳感網的安全解決方案集中在以下三個方面：密鑰管理;認證和安全路由[2];安全的服務[3，4]。基于這三個方面的所有安全威脅和解決方案都是建立在對攻擊者的一個假設——攻擊本身是虛弱的這樣的前提下，從而使這些解決方案能夠實現對攻擊免疫的目標。這個假設有很大的危險，如果攻擊很強，那么對手就有能力入侵到整個網絡的內部。因為節點資源的有限性，傳感網節點通常很難應付具有強大攻擊能力者的攻擊，從而導致對第二道防線——入侵檢測系統(IDS)的需要。入侵檢測系統能夠檢測到第三方利用安全漏洞發動攻擊的企圖，并將整個警告信息在整個網內進行傳播，即使這些攻擊是首次出現。

1傳感網對入侵檢測系統的要求

傳感網中，每個節點的通信和計算資源都十分有限，其有效信號范圍也很小，這就導致每個節點在面對攻擊的時候非常脆弱，容易被攻擊者控制，從而在網絡內部發起對其他節點的攻擊。

為了應對傳感網這種特殊的網絡屬性，要在傳感網中建立起有效的入侵檢測系統，就必須充分利用傳感網各節點工作時的分工協作。因此，傳感網的入侵檢測系統只能是分布式的結構。它必須具備如下一些屬性：

a)區域審計。傳感網中沒有能夠實現對整個網絡數據進行監控和采集的基礎設施，因此要使入侵檢測技術有效工作，其檢測能力就必須建立在對局部、部分的審計數據源的審計之上。

b)最少量的資源。傳感網的入侵檢測只有有限的資源可利用。無線網沒有穩定的連接，網絡設備的物理資源都極其有限，連接隨時都可能被中斷。此外，入侵檢測系統本身的通信所占帶寬也不能太多。

c)沒有可信的節點。傳感網的入侵檢測技術不能預設任何節點是可信這一前提。與有線網不同，傳感網中節點過于脆弱。因此，入侵檢測采用的協同算法必須在預設任何節點都是不安全的前提下進行。

d)分布式的解決方案。入侵檢測的數據采集和分析可能在多個節點上實現，其檢測算法和相關的報警機制也是由不同位置上的系統代理協調執行。

e)檢測系統自身的健壯性。入侵檢測系統應該能夠抵擋住對自身的惡意侵犯。傳感網的入侵檢測系統要能保證在節點被攻陷或檢測代理自身被控制的情況下，這些節點無權剝奪其他節點的合法性，也無權使任何入侵行為免受來自系統的檢測。

2一種新型的適用于傳感網的入侵檢測技術

在滿足上述屬性的基礎上，本文提出了一種適用于傳感網的新的入侵檢測技術方案。它可以分為三個部分：a)分布的入侵檢測的審計機制；b)基于丟失率的規范的檢測算法；c)決策制定技術。本文將對每一部分提出可行的實現方案，并詳細地闡述其對傳感網為什么是可適的。最后，針對當前傳感網的主要威脅來源——黑洞（blackhole）攻擊和選擇性轉發攻擊[5]，把該方案運用到對它們的實例檢測中。

2.1分布的入侵檢測系統結構

傳感網中，多數攻擊者都會將攻擊目標放在路由協議上，以便實現對傳感網中信息流的控制。此外，傳感網的任務主要是往基站回傳節點的傳感數據，只要中斷這種數據傳送，攻擊就可以說獲得了成功。因此，最適合傳感網的入侵檢測系統結構應該是基于網絡的。基于網絡的入侵檢測以待傳感的數據分組作為自己的數據源，實時地捕捉并檢測這些單個的分組。

無線通信鏈路裸露于空氣中，無任何物理屏障，這種鏈路特性使得任何有心的對手可以方便地實現對鏈路上通信內容的竊聽，相鄰節點也容易實現相互間的校驗。文獻[6]提出了一個適合于Ad hoc的入侵檢測系統，該系統把整個網絡劃分為若干個簇，每個簇由簇頭負責實現對本簇內所有流量的監測。然而，這種定義無法滿足“無線傳感網中不能預設任何可信節點”這一條件，若簇頭節點本身被攻陷的話，就有可能迫使網絡排斥某個合法的節點。所以針對無線傳感網的特殊性，應把更適合于傳感網特性的簡單多數裁決機制引入到傳感網中，即在某一特定區域作出同一決策的節點數多于這一區域有可能被敵手同時攻陷的節點數，那么由這些節點作出的決策就應該被整個區域接受。

這種簡單多數裁決機制對傳感網的入侵檢測技術來說是必需的。以用相鄰節點實現對選擇性分組轉發攻擊的檢測為例，通過使用監測節點（watchdog）方法[7]，一個節點很容易實現對處于自己鄰居關系范圍內的其他節點的行為進行監視，從而判斷自己的鄰節點是否正確轉發了接收到的分組。如圖1所示，假設節點A處于節點B的有效無線信號范圍內，是B的鄰居節點；分組遵循路徑S→A→B→C→R進行轉發，A在混雜模式下對B進行偵聽，以至于有能力知道B是否把這一分組正確地轉交給了節點C。

那么，是否只需要一個節點就能完全勝任這種監測任務呢？仍以圖1為例，假設節點B是敵手或惡意節點，由無線通信的本質可知，至少有三種情況將導致在只有一個監測節點A監測的情況下，B仍有可能對接收到的分組實現選擇性轉發而難以檢測到：

a)在節點B轉發分組時，節點S也正好向節點A發送一個分組，導致在節點A處發生沖突（隱藏終端問題）。這時A并不能準確地知道是哪個分組導致了這次沖突，因此將無法正確判斷節點B的行為。

b)在節點B向節點C轉發分組時，節點D正好也向C發送一個分組，導致在節點C處發生信號沖突，這時節點A并不知道節點C處信號沖突的情況，仍將判定節點B轉發的正確性。這時B如果省略對沖突分組的重發，節點A將無法知道。

c)一旦偵聽到節點C要發送分組，節點B立即向C轉發它收到的分組從而導致在節點C處的沖突。這時C將無法正確接收B轉發過來的分組，而節點A也將無法對B的行為作出準確判斷。

看門狗方案要實現對節點B行為的監測，就必須利用來自更多節點的信息。本文的方案是讓所有能夠偵聽到節點B的行為的鄰節點都參與對B行為的檢測活動。尤其對于無線鏈路：S→R，參與監測的節點將是節點S的鄰節點和節點R的鄰節點的交集（包括S在內）。因此對于如圖2中節點S、A、B和C均可對S與R之間的通信行為進行監測。

在本實驗中，發現在任何網絡密度的情況下，對任意一條通信鏈路，有資格成為監測節點的平均數量大概為相鄰節點中的一半。例如，在同一相鄰關系中有10個節點的通信環境中，針對其中的任一通信鏈路，能參與到監測活動的節點大概在5個。

2.2基于規范的檢測技術

為了及時發現節點的惡意或不當行為，入侵檢測系統必須要能區分正常和異常行為。目前的入侵檢測技術中可用的技術主要有三種[8]，即濫用檢測、異常檢測和基于規范的檢測。考慮到濫用檢測和異常檢測需龐大的特征庫和傳感網本身資源的限制，本文的入侵檢測系統采用基于規范的檢測技術。基于規范的檢測雖然也是通過檢測正常行為和惡意攻擊或不當行為間的差異來實現檢測工作的，但與異常檢測不同的是，它的正常行為是建立在人為預先定義的行為規范基礎上。因為在傳感網中，很難通過機器學習和訓練得到正常的行為特征。

要采用基于規范的檢測策略，就需要有用于描述正常行為的規范。考慮針對黑洞攻擊和選擇性分組轉發攻擊的規范可以簡化為建立一條與一個節點丟棄分組數量的規則來體現，每個參與監測工作的節點都能使用這條規則來判定它監測的對象行為是否正常。簡單地說，它們可以為監測對象建立一個計數器，當受監測節點每丟失一個分組計數器就加一；當計數器的數值超過某個門限時，就發出報警。這里必須考慮到另一個問題，即客觀原因（如信道物理原因等）而導致的分組丟失該怎么辦？若按上面的辦法處理，將不可避免地會出現誤報。問題的關鍵是門限值取值的大小。客觀原因造成的分組丟失和惡意的分組丟棄，在分組丟失率的大小上是有差別的。因此，本文用丟失率替代簡單的計數器作為評判節點行為的標準。要獲得某個節點的分組丟失率，監測節點必須在一段固定的時間內（假設為w個單位的時間）對被監測節點進行持續的監測并計算其丟失的分組數。

規則1門限規則。節點A暫時緩存由發送給節點B的所有分組，然后判斷B是否正確轉發這些分組。如果沒有，則每丟失一個分組，就使相對于B的計數器增1；如果正確轉發了，就刪除其在A緩存中的備份。在w個時間單位過后，若B丟失分組數超過了t，那么就判定B行為異常，同時A向網絡中其他節點發出警報。

每個參與監測活動的節點都建立這樣一個針對受監測節點的具有w個單位的時間窗口，當窗口時間耗盡，計數器的值超過門限值就發出報警。然后時間窗口重新開始，如此周期性地反復進行。要強調的是，每個參與監測活動的節點的時間窗口并不要求同步。

2.3協同的決策制定方案

對于最終檢測結果的判定和需采取的相應后續行為的決策機制，有兩種方案可以選擇：節點獨立作出決策和協同制定決策。節點獨立制定響應決策機制指定了決策制定的節點，如文獻[6]中的Ad hoc決策制定者是簇頭，但這種決策制定方案中，簇頭一旦被攻陷，就將使整個網絡處于無防狀態；此外，把整個網絡安全狀態的復雜計算和分析工作限制在一個或幾個關鍵節點上進行并不利于檢測的準確性，而且它也會帶來額外的能量和帶寬消耗。

與節點獨立作出決策機制不同，本文采用協同制定決策方案，要求當一個節點檢測到入侵行為，或得到的入侵行為的數據沒有很強說服力時，就必須與處于相鄰關系的節點協作發起一個全局性的檢測行為。即使有節點能夠確認某個節點的惡意或不當行為，因作出決策節點本身的可疑性，仍需得到其他相關節點的協同確認。如圖1中，為了判別節點B是否發起了選擇性分組轉發攻擊，所有參與對鏈路A→B進行監測的節點都應該協同工作（前面也闡述過為什么一個節點完成不了那樣的判定工作）。因此，本文要求任何節點作出最終判定前，必須參考所有參與對同一條鏈路進行監測的節點的警報消息。

要建立協同的決策機制，就必須利用參與了對同一條通信鏈路進行監測的所有節點獲得的信息。這就要求所有針對同一條通信鏈路的監測節點必須處于同一個鄰居關系內，它們發出的警報信息可以通過簡單的廣播信息分組形式，通知其他的監測節點。

規則2多數規則。針對同一條通信鏈路，如果有超過一半的監測節點發出了報警信息，那么目標節點就應被判決為問題節點而被整個網絡排斥或通知基站。

通過規則2，每個節點就能作出一個更加準確的判定結論。對于鏈路A→B，本文把節點A定義為收集其他監測節點的報警信息并應用規則2作出最終判決的主響應節點，稱其為主報者（reporter）。其余的監測節點無須調用它們各自的協作檢測引擎。

對于多數規則，即使有被攻陷的監測節點企圖通過發布虛假的報警信息來剝奪一個正常節點的合法身份，或對其他節點的異常行為視而不見，因決策制定依賴多數節點的協同工作特性，其行為也不會對網絡的安全構成威脅。然而，如果被攻陷的節點是主報者自身，那么敵手將控制檢測的結果。要避免這種情況的發生，只要所有的監測節點也接收其他節點發來的報警信息并運用多數規則作出自己的結論，然后把這一結論與收集者廣播的結論作比較就能達到預防主報者虛報的目的。

3入侵檢測代理模塊的設計

前面已經描述了本文的檢測系統實現原理及其面對黑洞攻擊和選擇性轉發攻擊時的所有操作，本章將詳細介紹駐扎在每個傳感器節點上的入侵檢測代理的具體結構。代理需具備以下功能：

a)網絡監控。每個節點都對自己鄰居關系內的分組進行監控并采集相關的審計數據。

b)決策制定。通過對審計數據的審計，每個節點根據自身的具體情況對入侵威脅水平作出判定并把判定結果公告給自己的鄰居節點以便作出最后的協同檢測。

c)響應。每個節點都有各自針對入侵情況作出響應的機制。

根據以上給出的功能，可以把入侵檢測代理具體劃分為五個模塊，如圖3所示。每個模塊都有各自的功能，每個IDS代理在結構和功能上都是一樣的，相鄰關系的代理間可以相互廣播消息和進行偵聽。代理間提供的相互通信機制為使用分布式算法來決策最終的入侵檢測結果提供了條件。

圖3中，本地分組監控模塊負責審計數據的采集并提供給本地檢測引擎供檢測使用；本地檢測引擎獲取審計數據并運用給定的規則對其進行分析；協作檢測引擎如果發現與入侵有關的特征數據，協作檢測引擎將把本地檢測引擎得到的相關狀態信息通知給所有的鄰節點；本地響應模塊一旦檢測到了某種入侵或不當行為的發生，就應該采取相應的響應行為；最后安全通信模塊負責在所有的檢測代理間建立起可信的通信信道，為分布式計算提供安全平臺。

4方案的可行性評估

筆者利用工具NS2模擬1 000個節點的無線傳感網，實現了對本方案的可行性考察。以10個節點組成一個相鄰關系。每次隨機選擇一條通信鏈路A→B，并安排節點B以一給定的分組丟失率對接收到的來自節點A的分組發動選擇性轉發攻擊。如此就可以安排監測節點應用本文的入侵檢測技術對節點B的行為進行監控。設節點B以可能性Pd來丟棄它接收到并需轉發出去的分組；設置門限值為周期時間w內的丟包率：t=20%；最后設主報者節點A在時段W（大于周期時間w）內得到最終的檢測結果。首先，考查比率W/w在成功的入侵檢測中會起何種作用，因為主報者節點A要在接收所有監測節點的報警信息后才能作出最終檢測。本文只模擬W/w>1的情況，重復實驗1 000次的結果如圖4所示。圖中縱坐標1-negative rate(消極誤報率)表示沒有檢測到的入侵行為；理想狀態下，如果節點B轉發分組的丟失率大于門限t=20%，主報者節點A應該在每次時間段W內給出入侵行為發生的最終檢測結果。然而，因為分組丟失發現的或然性，有些參與監測的節點在周期時間段w內可能會發現受監測節點的分組丟失率并沒有達到或超過門限值t，所以不發出警報消息，從而導致發出警報的監測節點的數量達不到多數規則超過半數才能發出入侵檢測警報的要求，主報者節點A也就不會發出有入侵行為發生的警報而造成誤判斷。

相對門限值t，隨著分組丟失率Pd的提高，發生消極誤報的可能性會降低。在本實驗中，消極誤報率處于較低的水平，因此保持了一個較高的入侵探測水平。

圖4中顯示，隨著主報者作出判決的時間段W的增長，出現消極誤報的可能性會隨之降低。這是因為隨著W的延長，主報者節點A獲得的檢測信息會增多，從而作出的判斷也就會更加準確。然而，為了對入侵行為做到及時發現，并不能無限制地提高W到一個很高的水平，筆者的經驗是W=1.6 w左右是比較合適的。

另外，檢測時間周期w的長度會對入侵行為的檢測產生何種影響。在假設提供一個穩定分組流量的前提下，以分組的數量來表示時間周期w的長度。圖5顯示了受監測節點監測的不同分組數量的情況。隨著周期w的延長，意味著監測節點在運用門限規則發出警報前，所要監測的分組數量將更多。在一固定的模擬時間內，筆者測量了由主報者的協作引擎產生的最終入侵警報消息數。在一給定的時間W（W=1.6 w）內，參與監測的所有節點都接收其他監測節點廣播的報警信息，然后運用多數規則來作出最后的檢測。

圖5中，隨著周期時間w的變長，因為各監測節點監測的分組數量更多、發出的警報信息更準確而導致了消極誤報率的降低。

圖6顯示了分組丟失率Pd對主報者節點產生的警報消息數量的影響。筆者測試了門限值分別為t=10%和t=20%的情況，進行1 000次重復實驗，每次時間設定為W=1.6 w，w設定為監測30個分組。此外，因為本模擬實驗時間和W是一樣的，所以最終產生警報信息的主報者數量最多不會超過20個。同樣由于或然性的原因，即使分組丟失率低于門限值t時，仍然會有少量的報警信息產生，導致積極誤報的行為出現。理想

狀態下，積極誤報率應該為0。

5結束語

本文設計了一種基于規范的適用于無線傳感網的入侵檢測技術，它把自己的檢測工作建立在網絡中每一個節點的局部可利用信息的基礎上。為了能夠作出正確的檢測和減少信道帶寬和資源消耗，同一個鄰居關系內的節點需要相互合作和交流關鍵信息。本文研究重點放在對傳感網的路由這一基本功能的保護上，特別闡述了入侵檢測系統是如何實現對黑洞攻擊和選擇性轉發攻擊檢測的，它具有較低的誤報率；本文還提供了設計傳感網的入侵檢測技術時應遵守的通用原則。相信這些原則對于開發更加高效和健壯的無線傳感網入侵檢測技術會有實際的幫助。

參考文獻：

[1]DJENOURI D KHELLADI L BADACHE N et al. A survey of security issues in mobile Ad hoc and sensor networks[J]. IEEE Communications Surveys Tutorials 2005，7(4):2-28.

[2]SHI E PERRIG A. Devising secure sensor networks[J]. IEEE Wireless Communications 2004，11(6):38-43.

[3]LAZOS L POOVENDRAN R. Serloc: vigorous localization for wireless sensor networks[J]. ACM Trans on Sensor Networks 2005，1(1):73-100.

[4]GANERIWAL S CAPKUN S HAN C C et al. Secure time synchronization service for wireless sensor network[C]//Proc of the 4th ACM Workshop on Wireless Security. New York:ACM Press 2005:97-106.

[5]KARLOHAND C WAGNER D. Secure route in sensor networks: attacks and countermeasures[J]. Ad hoc Networks Journal 2003，1(2-3):293-315.

[6]KACHIRSKI O，GUHA R，SCHWARTZ D，et al. Case-based proxies for packet-level intrusion detection in Ad hoc networks[C]//Proc of the 17th International Symposium on Computer and Information-Sciences.Boca Raton FL: CRC Press 2002:315-320.

[7]MART S GIULI T J LAI K et al. Mitigating route misbehavior in mobile Ad hoc networks[C]//Proc of the 6th Annual International Conference on Mobile Computing and Networking. New York:ACM Press 2000:255-265.

[8]AXELSSON S. Intrusion detection system: a survey and taxonomy[R].Gteborg Sweden: Chalmers University of Technology 2000.

[9]DIMITRIOU T，KRONTIRIS I.Security in wireless sensor networks[C]//Proc of Security in Sensor Networks.Boca Raton FL: CRC Press 2006:275-290.