針對(duì)WSN的DDoS攻擊的改進(jìn)概率包標(biāo)記算法研究

摘 要:當(dāng)無線傳感器網(wǎng)絡(luò)(WSN)遭受分布式拒絕服務(wù)(DDoS)攻擊時(shí)，攻擊者會(huì)傳送大量攻擊數(shù)據(jù)包到受害主機(jī)，使其迅速消耗資源而無法正常運(yùn)作，最終造成網(wǎng)絡(luò)癱瘓。為了檢測(cè)針對(duì)資源有限的WSN的DDoS攻擊，基于傳統(tǒng)網(wǎng)絡(luò)的概率包標(biāo)記算法提出一個(gè)改進(jìn)概率包標(biāo)記算法，使其適應(yīng)在WSN中檢測(cè)DDoS攻擊。改進(jìn)的算法減少了重建攻擊路徑所需的攻擊數(shù)據(jù)包，從而減少WSN的資源消耗，彌補(bǔ)了WSN資源有限的缺陷。

關(guān)鍵詞:分布式拒絕服務(wù)攻擊; 攻擊路徑; 包概率標(biāo)記; 收斂時(shí)間

中圖分類號(hào):TP309.08文獻(xiàn)標(biāo)志碼:A

文章編號(hào):1001-3695(2010)06-2324-03

doi:10.3969/j.issn.10013695.2010.06.094

Extending probabilistic packet marking algorithm to detect DDoS in WSN

LIU Gang， LIU Junli， YAN Junsong， JIAO Xintao

(Dept. of Computer Engineering， Nanhai College， South China Normal University， Foshan Guangdong 528225， China)

Abstract:Traditional probabilistic packet marking algorithm can not fit to detect DDoS in wireless sensor networks (WSNs)， because WSNs have resource constraints. A DDoS attack may result in network disasters due to the energy exhaustion of the nodes along the attacking path. This paper presented a new extended probabilistic packet marking algorithm to detect DDoS in WSNs which enabled to reconstruct attacking paths with fewer collected packets under multiple attacks. The effectiveness of the proposed algorithm was demonstrated in the simulate studies.

Key words:DDoS; attacking path; packet probabilistic marking; convergence time

0 引言

隨著無線傳感器網(wǎng)絡(luò)[1](WSN)在諸多領(lǐng)域中的應(yīng)用，針對(duì)WSN網(wǎng)絡(luò)的通信帶寬資源非常有限的特點(diǎn)而進(jìn)行的分布式拒絕服務(wù)(DDoS)攻擊將會(huì)使用大量攻擊數(shù)據(jù)包強(qiáng)制占用網(wǎng)絡(luò)帶寬，極易消耗其資源，造成網(wǎng)絡(luò)癱瘓。如何檢測(cè)此類攻擊將是WSN網(wǎng)絡(luò)安全的一大挑戰(zhàn)。

在IP網(wǎng)絡(luò)中，針對(duì)DDoS攻擊最有效的檢測(cè)方法是IP回溯方法[2]，就是將攻擊者直接回溯出來，然后停止此攻擊源。在IP回溯方法中又以基于邊界取樣的概率包標(biāo)記算法的應(yīng)用最為廣泛。但傳統(tǒng)的概率包標(biāo)記算法需要在收集到大量攻擊數(shù)據(jù)包后，方能重建攻擊路徑。如果直接將此算法應(yīng)用到WSN中，就會(huì)導(dǎo)致在找出攻擊者之前，網(wǎng)絡(luò)已因消耗大量資源而癱瘓。因此，本文提出改進(jìn)概率包標(biāo)記方法，使其適合于針對(duì)WSN網(wǎng)絡(luò)的DDoS攻擊檢測(cè)。該方法的主要思想是利用分類節(jié)點(diǎn)標(biāo)記概率的不同，減少重建攻擊路線所需攻擊數(shù)據(jù)包的數(shù)目，即減少算法收斂時(shí)間。

本文介紹了概率包標(biāo)記方法的相關(guān)研究，詳細(xì)闡述如何改進(jìn)概率包標(biāo)記方法以適應(yīng)針對(duì)WSN的DDoS攻擊，通過具體的實(shí)例對(duì)算法進(jìn)行性能測(cè)試。

1 概率包標(biāo)記算法

概率包標(biāo)記算法最早是由Savage等人[2，3]提出，其主要思想是在路由器中以相同的概率對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記，標(biāo)記內(nèi)容包括攻擊路徑上兩個(gè)相鄰標(biāo)記路由器的地址信息，即攻擊路徑圖上的邊以及邊到攻擊目標(biāo)的距離，然后被攻擊者根據(jù)收到的標(biāo)記信息恢復(fù)攻擊路徑。Snoeren等人[4]提出的高級(jí)包標(biāo)記算法和認(rèn)證包標(biāo)記算法是在傳統(tǒng)概率包算法基礎(chǔ)上改進(jìn)的。該算法使用了IP地址的hash函數(shù)值之一來標(biāo)記數(shù)據(jù)包，大大減少了標(biāo)記的信息，提高了處理的速度，縮短了算法的收斂時(shí)間，支持分布式部署。

為了能在資源有限的網(wǎng)絡(luò)中應(yīng)用概率包標(biāo)記算法，許多研究已提出了多種基于傳統(tǒng)概率包算法的改進(jìn)算法。在已有的相關(guān)研究工作中，Jin等人[5]提出一種應(yīng)用于自主網(wǎng)的基于區(qū)域取樣的概率包標(biāo)記算法，此算法將網(wǎng)絡(luò)分割成幾個(gè)區(qū)數(shù)據(jù)報(bào)域，每個(gè)區(qū)數(shù)據(jù)報(bào)域有ID，當(dāng)節(jié)點(diǎn)決定要標(biāo)記攻擊數(shù)據(jù)包時(shí)，不是將自己的地址寫入，而是將自己所在的區(qū)數(shù)據(jù)報(bào)域的ID寫入。因?yàn)樵谧灾骶W(wǎng)中，節(jié)點(diǎn)是會(huì)移動(dòng)的，如果只存儲(chǔ)區(qū)數(shù)據(jù)報(bào)域ID，變更信息會(huì)較少，不過該方法所建構(gòu)出的路徑有可能不正確。Thing等人[6]提出另一個(gè)基于ICMP的概率包標(biāo)記算法，它也需要額外的攻擊數(shù)據(jù)包傳送。Sy等人[7]提出了利用攻擊數(shù)據(jù)包的廣播特性，將攻擊數(shù)據(jù)包記錄在多維度搜尋過濾器(bloom filter)，并利用信息交換將攻擊路徑找出，但由于此算法的過濾器設(shè)計(jì)較為復(fù)雜，并不適合于DDoS的路徑回溯。

2 改進(jìn)概率包標(biāo)記算法

因?yàn)閃SN的資源有限，如果需要在WSN上附加防御DDoS攻擊的方法，要求消耗的資源必須較少。如果能夠減少重建攻擊路線所需的攻擊數(shù)據(jù)包數(shù)目，概率包標(biāo)記算法能夠適用于WSN。

2.1 設(shè)計(jì)思路

為了減少對(duì)WSN網(wǎng)絡(luò)資源的消耗，本文首先將WSN的節(jié)點(diǎn)分為多個(gè)組，并為每一組定義一個(gè)ID，每個(gè)組包括一個(gè)組頭節(jié)點(diǎn)(cluster head)，其他的為一般節(jié)點(diǎn)。在此網(wǎng)絡(luò)中，各傳感器節(jié)點(diǎn)的信息不是直接傳送給匯聚傳感器節(jié)點(diǎn)，而是傳給每個(gè)集群里的組頭節(jié)點(diǎn)，組頭節(jié)點(diǎn)再將信息傳送到匯聚節(jié)點(diǎn)。組頭節(jié)點(diǎn)將信息傳送到匯聚節(jié)點(diǎn)的方法如圖1所示。一般節(jié)點(diǎn)將收集到的攻擊數(shù)據(jù)包傳送到組頭節(jié)點(diǎn)，如果該組頭節(jié)點(diǎn)無法直接把攻擊數(shù)據(jù)包傳給匯聚傳感器節(jié)點(diǎn)，可以經(jīng)由其他組頭節(jié)點(diǎn)將攻擊數(shù)據(jù)包傳給指定的與匯聚傳感器節(jié)點(diǎn)通信的其他組頭節(jié)點(diǎn)，再由它傳給匯聚節(jié)點(diǎn)。這樣的網(wǎng)絡(luò)結(jié)構(gòu)將大大減少重建攻擊路徑所需的數(shù)據(jù)包數(shù)量。

攻擊者由S節(jié)點(diǎn)將攻擊數(shù)據(jù)包傳出，S節(jié)點(diǎn)位于ID為Z1的組中，所以當(dāng)攻擊數(shù)據(jù)包傳到Z1后，就直接傳到下一個(gè)組頭節(jié)點(diǎn) Z2，再經(jīng)由Z3、Z4最后傳到匯聚傳感器節(jié)點(diǎn)。

概率包標(biāo)記算法是利用概率標(biāo)記攻擊數(shù)據(jù)包，當(dāng)攻擊數(shù)據(jù)包到達(dá)受害主機(jī)時(shí)，將這些標(biāo)記過的攻擊數(shù)據(jù)包收集起來，利用標(biāo)記過的信息重建攻擊路線。通常DDoS攻擊會(huì)有許多攻擊者同時(shí)發(fā)動(dòng)，假如每條攻擊路線都不相交，概率包標(biāo)記是可以將攻擊者找出的;但是如果攻擊路徑相交時(shí)，概率包標(biāo)記可能沒辦法發(fā)揮其功能了。因此，在改進(jìn)概率包標(biāo)記方法中，除了已有的start、end和distance三個(gè)數(shù)據(jù)報(bào)域之外，又增加了root、first和next三個(gè)數(shù)據(jù)報(bào)域。三個(gè)數(shù)據(jù)報(bào)域的含義如下:root表示攻擊數(shù)據(jù)包所經(jīng)過的第一個(gè)組頭節(jié)點(diǎn)的地址;first表示攻擊數(shù)據(jù)包被標(biāo)記后，經(jīng)過的第一個(gè)組頭節(jié)點(diǎn)的地址;next表示first的下一個(gè)組頭節(jié)點(diǎn)地址。

通過上述改進(jìn)，改善了概率包標(biāo)記算法的檢測(cè)能力，因?yàn)榻M頭節(jié)點(diǎn)的功能類似于橋，攻擊數(shù)據(jù)包必須經(jīng)過組頭節(jié)點(diǎn)。本算法利用root數(shù)據(jù)報(bào)域，可以很容易地將多個(gè)攻擊路線區(qū)別開來。如圖1中有兩條攻擊路線，分別為path1和path2，如果兩個(gè)攻擊同時(shí)發(fā)動(dòng)，根據(jù)改進(jìn)前的概率包標(biāo)記算法是無法辨別這兩條路徑的，因?yàn)檫@兩條攻擊路徑有相交，在Z2執(zhí)行包標(biāo)記時(shí)就會(huì)清除之前傳感器節(jié)點(diǎn)所標(biāo)記的信息。而改進(jìn)后的算法是可以分辨它們的，因?yàn)閜ath1的root數(shù)據(jù)報(bào)域?yàn)閆1，而path2為Z2，憑借root數(shù)據(jù)報(bào)域就可以將這兩條攻擊路線辨別出來。通過first和next這兩個(gè)數(shù)據(jù)報(bào)域可以快速找出攻擊者所在的組，然后封鎖此組傳出的攻擊數(shù)據(jù)包。舉例說明，如匯聚節(jié)點(diǎn)接收到兩個(gè)攻擊數(shù)據(jù)包，其包含(S，A，7，Z1，Z1，Z2)與(X，Y，5，Z2，Z2，Z3)的標(biāo)記信息，憑root數(shù)據(jù)報(bào)域便可判別攻擊源是來自于兩個(gè)不同ID的組。

2.2 算法實(shí)現(xiàn)

上面討論了在攻擊數(shù)據(jù)包中增加哪六個(gè)數(shù)據(jù)報(bào)域，下面重點(diǎn)討論這六個(gè)數(shù)據(jù)報(bào)域應(yīng)該如何加入攻擊數(shù)據(jù)包中。IEEE 802.15.4(ZigBee)的數(shù)據(jù)包格式包括五個(gè)數(shù)據(jù)報(bào)域，分別為幀控制(frame control)、序列號(hào)(sequence number)、地址域(addressing fields)、數(shù)據(jù)負(fù)載(data payload)和FCS。除了數(shù)據(jù)負(fù)載這個(gè)數(shù)據(jù)報(bào)域外，其余的數(shù)據(jù)報(bào)域均無法更改，所以本文提出的改進(jìn)算法在數(shù)據(jù)負(fù)載字段加入所需的數(shù)據(jù)報(bào)域，如圖2所示。PAN ID用于辨別每個(gè)節(jié)點(diǎn)，在某節(jié)點(diǎn)標(biāo)記的攻擊數(shù)據(jù)包會(huì)將該節(jié)點(diǎn)的 PAN ID寫入相應(yīng)的數(shù)據(jù)報(bào)域，因?yàn)镻AN ID數(shù)據(jù)報(bào)域是使用2 Byte記錄該節(jié)點(diǎn)地址，每個(gè)數(shù)據(jù)報(bào)域同樣需要2 Byte的空間，所以在數(shù)據(jù)負(fù)載這個(gè)數(shù)據(jù)報(bào)域中劃分出12 Byte的空間供改進(jìn)方法使用。

解決了添加的數(shù)據(jù)報(bào)域的存在位置，改進(jìn)算法還要解決如何為每個(gè)節(jié)點(diǎn)配置標(biāo)記概率。本文提出的節(jié)點(diǎn)配置概率的思想是:當(dāng)組頭節(jié)點(diǎn)選出時(shí)，組頭節(jié)點(diǎn)會(huì)存儲(chǔ)有整個(gè)組(cluster)的信息，所以一般節(jié)點(diǎn)的概率由組頭節(jié)點(diǎn)配置，而組頭節(jié)點(diǎn)的概率則由匯聚傳感器節(jié)點(diǎn)配置。

在概率包標(biāo)記中，每個(gè)節(jié)點(diǎn)被標(biāo)記的概率是相同的，而在改進(jìn)方法中，配置給一般節(jié)點(diǎn)和組頭節(jié)點(diǎn)不同的概率，其包標(biāo)記概率分別如下:

a)一般節(jié)點(diǎn)。假設(shè)在組中有i個(gè)節(jié)點(diǎn)，一般節(jié)點(diǎn)的包標(biāo)記概率為PN=1/[i/2]。

b)組頭節(jié)點(diǎn)。假設(shè)網(wǎng)絡(luò)上有C組，則組頭節(jié)點(diǎn)的包標(biāo)記概率為PC=1/[C+K]。其中K為正整數(shù)。

一般節(jié)點(diǎn)和組頭節(jié)點(diǎn)標(biāo)記攻擊數(shù)據(jù)包的算法分別如下:

Marking procedure at normal node N:

for each packet ω

Let x be a random number from [0…1)

if (x< pi)

place 0 into all fields except for Root

write R into ω.start

else

if ω.distance=0

write R into ω.end

if ω.First=0

increment ω.distance

Marking procedure at cluster head C:

for each packet ω

performs modified edge sampling

if ω.Root=0

write R into ω.Root

break

if ω.First=0

write R into ω.First

break

if ω.Next=0

write R into ω.Next

break

現(xiàn)舉例說明如何利用改進(jìn)方法中的六個(gè)數(shù)據(jù)報(bào)域標(biāo)記攻擊數(shù)據(jù)包:在圖1中path1的一個(gè)一般節(jié)點(diǎn)A決定要標(biāo)記經(jīng)過的攻擊數(shù)據(jù)包，數(shù)據(jù)報(bào)域會(huì)被填充為(A，0，0，0，0，0)，當(dāng)此攻擊數(shù)據(jù)包經(jīng)過下一個(gè)節(jié)點(diǎn)B，如果B不標(biāo)記，數(shù)據(jù)報(bào)域變?yōu)?A，B，1，0，0，0)，其后每個(gè)一般節(jié)點(diǎn)都不標(biāo)記;經(jīng)過Z1時(shí)，數(shù)據(jù)報(bào)域被填充為(A，B，3，Z1，Z1，0)，經(jīng)過Z2會(huì)變成(A，B，3，Z1，Z1，Z2);如果B決定標(biāo)記，會(huì)將之前的標(biāo)記覆蓋掉，數(shù)據(jù)報(bào)域則會(huì)填充為(B.0，0，0，0，0)。

經(jīng)過實(shí)例分析，證明了利用改進(jìn)算法，可以找出攻擊數(shù)據(jù)包所經(jīng)過的組，然后，可以通過封鎖發(fā)動(dòng)攻擊的組，達(dá)到阻止DDoS攻擊的目的。本文著重于尋找整條路徑，保證使用該方法找出的路徑是正確的，并且可以分辨出多條攻擊路徑。

3 算法性能測(cè)試

為了測(cè)試改進(jìn)算法的性能，本文將使用改進(jìn)算法與傳統(tǒng)概率包標(biāo)記算法作比較。比較的參數(shù)是網(wǎng)絡(luò)中組的數(shù)目或每個(gè)組中節(jié)點(diǎn)的數(shù)目和重建攻擊路徑所需數(shù)據(jù)報(bào)數(shù)目(數(shù)目少，表示收斂時(shí)間少，算法性能就好)。實(shí)驗(yàn)環(huán)境是選用網(wǎng)絡(luò)模擬工具NS及WSN路由協(xié)議Rumor。因?yàn)镈DoS攻擊均在短時(shí)間內(nèi)完成，所以在實(shí)驗(yàn)過程中，假設(shè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不改變，即假設(shè)短時(shí)間內(nèi)攻擊數(shù)據(jù)包從某一點(diǎn)到匯聚傳感器節(jié)點(diǎn)的路徑?jīng)]有改變，利用同一條路徑，比較兩個(gè)算法的攻擊路徑所需數(shù)據(jù)報(bào)的數(shù)目，即路徑重建過程的收斂時(shí)間。

1)比較組的數(shù)目與重建路徑所需數(shù)據(jù)報(bào)的數(shù)目關(guān)系

假設(shè)網(wǎng)絡(luò)上節(jié)點(diǎn)的數(shù)目是固定的，設(shè)為100，并假設(shè)每個(gè)組中節(jié)點(diǎn)數(shù)目相同。在網(wǎng)絡(luò)中組的數(shù)目分別為1、2、3、4 和5的情況下，比較傳統(tǒng)概率包標(biāo)記算法和改進(jìn)算法。在此假設(shè)一般節(jié)點(diǎn)的包標(biāo)記概率和組頭節(jié)點(diǎn)概率相等。以網(wǎng)絡(luò)中組數(shù)目10為例，那么每個(gè)組中的節(jié)點(diǎn)數(shù)目為10，假設(shè)每個(gè)攻擊者經(jīng)過一半的節(jié)點(diǎn)，即5個(gè)，再經(jīng)由組頭節(jié)點(diǎn)將攻擊數(shù)據(jù)包傳送到匯聚傳感器節(jié)點(diǎn)，則此路徑經(jīng)過14個(gè)節(jié)點(diǎn)，一般節(jié)點(diǎn)的標(biāo)記概率為1/10，組頭節(jié)點(diǎn)的概率為1/(5+k)，k是常數(shù)，在此假設(shè)為10。組的數(shù)目與重建路徑所需的攻擊數(shù)據(jù)包即收斂時(shí)間的關(guān)系如表1所示。

表1 組數(shù)目與路徑重建所需數(shù)據(jù)報(bào)關(guān)系

算法

組數(shù)目

12345

傳統(tǒng)算法620250190170100

改進(jìn)算法40021017514085

2)比較組密度(每個(gè)組中節(jié)點(diǎn)的數(shù)目)與收斂時(shí)間的關(guān)系

假設(shè)組的數(shù)目固定，設(shè)為10，每個(gè)組的節(jié)點(diǎn)數(shù)目相同，當(dāng)在密度分別為10、20、30、40和50的情況下進(jìn)行比較。在此假設(shè)一般節(jié)點(diǎn)的標(biāo)記概率和改進(jìn)算法的包標(biāo)記概率相等。以密度50為例，一般節(jié)點(diǎn)的概率為1/25，組頭節(jié)點(diǎn)的概率為1/(5+k)，k是常數(shù)，亦設(shè)為10，所得的密度數(shù)值與重建路徑所需的攻擊數(shù)據(jù)包即收斂時(shí)間的關(guān)系如表2所示。

表2 密度數(shù)值與路徑重建所需包關(guān)系

算法

組內(nèi)節(jié)點(diǎn)密度

1020304050

傳統(tǒng)算法90160280400430

改進(jìn)算法60100120210250

通過表2，可以得出以下結(jié)論:a)當(dāng)組的數(shù)目越大，所需的攻擊數(shù)據(jù)包數(shù)目就越少;b)當(dāng)組內(nèi)節(jié)點(diǎn)密度越大，所需的攻擊數(shù)據(jù)包數(shù)目越大;c)改進(jìn)算法的路徑重建過程所需數(shù)據(jù)報(bào)的數(shù)量小于傳統(tǒng)算法，即收斂時(shí)間較小。因此，本文提出的改進(jìn)算法比較適合于檢測(cè)WSN網(wǎng)絡(luò)的DDoS攻擊。

4 結(jié)束語

如何回溯DDoS攻擊者，是研究WSN網(wǎng)絡(luò)安全的一大挑戰(zhàn):首先必須克服WSN的資源有限問題。本文基于IP網(wǎng)絡(luò)上原有的概率包標(biāo)記算法，提出一個(gè)改進(jìn)的概率包標(biāo)記算法。實(shí)例表明，此算法可以利用其多增加的三個(gè)數(shù)據(jù)報(bào)域，輕松地辨別出來自不同組的多個(gè)攻擊者，減少了IP回溯的路徑重建時(shí)間。需要說明的是，此算法雖然性能大大優(yōu)于傳統(tǒng)算法，但也會(huì)造成網(wǎng)絡(luò)的負(fù)擔(dān)，因?yàn)楫?dāng)攻擊數(shù)據(jù)包必須要依靠被封鎖組的組頭節(jié)點(diǎn)傳送，此時(shí)，如果需要封鎖此組，必須重新尋找路徑。下一步的工作將集中在保持WSN順利工作的基礎(chǔ)上，進(jìn)一步減少對(duì)WSN網(wǎng)的資源負(fù)擔(dān)。

參考文獻(xiàn):

[1]AKYILDIZ I，SU W，CAYIRCI E. A survey on sensor network[J]. IEEE Communications Magazines， 2002， 40(8):102-114.

[2]SAVAGE S， WETHERALL D， KARLIN A.Practical network support for IP traceback[C]//Procof ACM SIGCOMM. 2000:295-306.

[3]胡長(zhǎng)俊. 概率包標(biāo)記技術(shù)綜述[J]. 通信技術(shù)，2009， 42(2): 267-268.

[4]SNOEREN A C，PARTRIDGE C，SANZEZ L A. Hashbased IP trace back[C]//Proc of ACM SIGCOMM. 2001:3-14.

[5]JIN X， ZHANG Y， PAN Y，et al.ZSBT: a novel algorithm for tracing DoS Attackers in MANETS[J]. EURASIP Journal on Wireless Communications and Networking， 2006(2):82.

[6]THING V， LEE H， SLOMAN M， et al. Enhanced ICMP traceback with cumulative path[C]//Proc of the 61st IEEE Vehicular Technology Conference. 2005:2415-2419.

[7]SY D， BAO Lichun. CAPTRA: coordinated packet trace back [C]//Proc of the 5th International Conference on Information Processing in Sensor Networks. 2006:152-159.