基于能量和信任的傳感器網絡行為分析

蔡志偉,杜 飛,徐啟建,褚偉銘

(1.通信工程學院,江蘇南京210004;2.中國電子系統工程公司研究所,北京100141;3.通信指揮學院,湖北武漢430010)

0 引言

隨著全球信息化水平的不斷提高,網絡與信息安全產業在整個產業布局乃至國家戰略格局中越來越具有舉足輕重的地位和作用。盡管如此,當前網絡域信息安全的現狀卻不容樂觀。網絡環境也變得越來越復雜,各式各樣的復雜設備需要不斷升級,不經意的疏忽便有可能造成安全的重大隱患。網絡行為分析與傳統的入侵檢測進行比較,網絡行為分析具有許多優越性能,能增強系統的生存能力,提高系統可靠性與可信度。因此,提出了基于能量和信任的網絡行為分析算法,該模型能提高網絡性能及更加有效地將攻擊者拒之門外。

1 傳感器網絡的安全問題

無線傳感器網絡(Wireless Sensor Network,WSN)是一種特殊類型的網絡,其約束條件很多(相對于計算機網絡),這些約束條件加劇了網絡的安全問題[1]。通常假定攻擊者可能知道網絡采用的安全機制,能夠危及甚至捕獲某個傳感器節點。由于布設具有抗篡改能力的節點成本高,可以認為大多數WSN節點是沒有抗篡改能力的。一旦某個節點被攻擊,那么攻擊者可以竊取這個節點內的密鑰[2]。入侵者可能會發起各種各樣的攻擊,這些攻擊大體可以分為外部攻擊和內部攻擊兩大類。

1.1 外部攻擊

外部攻擊是無法通過正常渠道接入網絡的入侵者發起的攻擊。被動的信息偵聽就屬于這種攻擊。入侵者無需得到接入網絡的授權,就可以在網絡的無線頻率范圍內輕易的竊聽信道上傳送的數據,從而獲取所需要的信息。對于沒有任何安全措施的網絡而言,入侵者甚至可以篡改網絡中的數據包或者向網絡注入虛假的信息包。

外部攻擊更一般的情況是對WSN節點進行物理破壞。某種情況下,攻擊者甚至可以破環很大范圍內的傳感器節點,從而造成該區域的傳感數據無法采集,降低網絡的可用性。另外,攻擊者也可以通過發送持續的無線電干擾信號,造成網絡無法正常通信。

1.2 內部攻擊

內部攻擊的情況可以分為2種:①節點被俘獲而成為惡意節點;②攻擊者獲得了合法節點中的數據、代碼或者網絡的密鑰,通過正常的途徑接入網絡。一般來說,發起內部攻擊的節點具有如下特征[3]:

①具有無線通信設備,可以與網絡中的其他節點自由通信;

②運行惡意代碼。這些惡意代碼不同于合法節點運行的正常代碼,它總是試圖竊取網絡中的敏感數據或者破壞網絡的功能;

③通過合法授權參與到網絡中的。

這里研究融合網絡安全路由機制,因此重點分析網絡層面臨的安全威脅。針對網絡層的攻擊主要有以下幾種[4,5]:偽造、篡改或者重放路由信息,是對網絡層最直接的攻擊方式;選擇性地轉發,基于多跳傳輸的路由機制,中間節點需要忠實的轉發數據包。黑洞攻擊就是通過一個惡意節點吸引一個特定區域的幾乎所有的數據流量。這個節點使路由算法認為數據經過它能達到最優的性能。女巫攻擊,惡意節點向其鄰居節點發送多個“身份”的虛假位置信息(偽造的或者竊取的),以多個不同的身份出現在網絡中,造成網絡鏈路的混亂;HELLO泛洪攻擊,惡意節點可以利用強發射功率的天線向網絡廣播路由和自身信息,收到的節點就會誤認為該惡意節點是其鄰居。

2 基于能量和信任的網絡行為分析

2.1 傳統入侵檢測的分析與比較

Wenke Lee在文獻[6]提出了一個著名的Ad hoc網絡入侵檢測模型MWNIDS。該模型基于協同工作的分布式代理,每個監控節點負責檢測本地入侵活動,同時協助鄰近監控節點進行聯合檢測。由于檢測器使用分類算法,計算量較大,因此監控節點能耗大,不適應供能較Ad hoc網絡更為緊張的傳感器網絡。文獻[7]將非合作博弈論用于傳感器網絡入侵檢測,將入侵和檢測作為博弈雙方建模,制定雙方的策略將其歸一化為一個非合作、非零和的博弈模型,通過此模型博弈雙方達到納什均衡,并使檢測方找到最大化收益策略,從而增加檢測概率更好地保護系統。博弈模型雖然可以發現入侵,由于缺乏特征分析,無法知道確定是何種攻擊和攻擊的來源,因此不能適應傳感器網絡中復雜多變的攻擊和入侵。

2.2 傳感器網絡行為分析模型的設計目標

為了使傳感器網絡行為分析模型在總體上表現出開放、安全和健壯等特性,能夠應對傳感器網絡攻擊和入侵,傳感器網絡行為分析模型應具備以下能力目標:

①在傳感器網絡中使用分布式結構下的協作檢測。監控節點分散在異構網絡各個區域,不僅負責檢測本地入侵活動,同時協助鄰近監控節點進行聯合檢測;

②由于傳感器節點處理器能力弱且存儲器容量小,計算和存儲能力很有限,因此,行為監測控制算法首要考慮簡潔有效,兼顧節能,應是一種能量有效的算法;

③考慮到傳感器節點特殊的工作環境和高誤差,行為分析算法對于偶然的非入侵異常行為可以進行容錯處理,使得節點通信故障或偶發性錯誤而造成異常不會被誤判為入侵,不但提高了檢測系統的檢測率,而且能降低檢測系統的誤檢率;

④與安全路由和信任模型有結合能力,使網絡行為分析的結果可以用于安全路由的工作和信譽值的計算。而安全路由和信任模型中有用的數據可以為行為監控系統所用。

2.3 傳感器網絡行為分析體系結構

根據傳感器網絡行為分析體系結構的能量特性和目標,其行為分析算法應采用分布式的合作行為分析系統和層級式行為分析系統。分布式的合作行為分析系統與獨立的行為分析系統相似,每個節點獨立運行行為分析系統,節點之間進行交互合作以檢測一些特征不明確的攻擊,該體系會消耗更多的通信資源和計算資源,并且需要可信傳輸的保障;在層級式的系統中,部分節點運行檢測系統,并被組織成多層結構,在低層采用分布式的檢測策略進行初步檢測,在高層的節點就對低層節點的檢測信息進行檢查。雖然層級式的系統可以減少通信量和對節點資源的占用,但存在一定的處理延遲。傳感器網絡行為分析體系如圖1所示。

2.4 基于能量和信任的傳感器網絡行為分析算法

2.4.1 數據收集和行為分析

行為分析監控節點的偵聽模式設置為混雜模式,使節點能夠接收鄰居節點發出的所有消息。消息接收后,按照來源于不同鄰居節點將其分別進行行為分析規則匹配,根據信息的內容被轉換為可用于行為分析規則匹配的格式與檢測規則逐條進行匹配,一旦某條消息違背了檢測規則,異常記數器記錄下這個異常,并進行信任值更新。若鄰居節點的行為在一段時間內屬于正常,則增加其信任值。若其行為在一段時間內一直屬于異常,則降低其信任值。當信任值降低到一定閥值,則在路由表中刪除其路由項。為了節約資源,被記錄過的消息將被丟棄而不再繼續用于規則匹配。

2.4.2 行為分析算法

行為分析的異常既有節點的入侵行為同時也包括節點的偶然錯誤。檢測器執行檢測算法,檢測算法的目標是將入侵行為從非入侵異常中區分出來。傳感器網絡行為分析模塊如圖2所示。

圖2 傳感器網絡行為分析模塊

從檢測系統的角度,取一個固定時間長度作為時間片t0。檢測系統的異常計數器是一個初始值為0的遞增函數和一個信任值為r遞減函數,系統發現一個異常則遞增1信任值減1。每經過t0時間,如果檢測器未發現入侵,將異常計數器的值和節點信任值存儲起來用作下次計算,異常計數器清零,準備重新計數;如果檢測器發現入侵,則對異常記錄存儲器中的前面各輪結果求均值作為本周期異常值存儲起來。設異常存儲器根據時間先后順序記錄前n個t0時間內產生的異常值:x1,x2,…,xn,n是周期,目前的信任值為dep。對x1,x2,…,xn,有

設置異常值的置信區間[0,averanomaly+d*deviation],d＞1。當新產生的異常值xn不在置信區間,且dep也不在信任值的置信區間檢測器判定入侵,即網絡中存在入侵跡象,否則檢測器判定為節點出錯。

3 仿真實驗

3.1 實驗說明

仿真實驗過程中,網絡行為分析節點始終處于混雜模式監聽網絡。行為分析算法基于統計異常,并假設:初始的一段時間為訓練階段,訓練階段網絡中不存在入侵,檢測器使用節點出錯信息進行訓練,通過節點出錯信息來確定節點非入侵異常的大致范圍;進入行為檢測階段以后,檢測器計算每一輪時間內包含節點出錯和入侵行為的混合數據偏離非入侵異常模式的次數,存儲于異常記錄器;通過異常次數的偏差程度來區分節點出錯和入侵。

該實驗考慮的入侵模型為拒絕服務攻擊DoS和Hello洪泛。文獻[8]提供了一個服從泊松過程的傳感器節點數據生成模型。這里仿真實驗采用該模型來構造數據源,普通節點產生訓練數據服從強度λ=1的泊松過程,訓練時間為1 000 s,節點數目為10個。入侵節點產生入侵數據服從強度為λ的泊松過程,入侵數據根據以上入侵模型來構造。

3.2 實驗結果及分析

DoS入侵的分析結果如圖3和圖4所示。從圖中可以看出,當d取值減小,檢測率變高,漏檢率降低而誤檢變高。當d取值增大,檢測率降低,漏檢率升高,誤檢率降低。Hello洪泛檢測結果如圖5和圖6所示。洪泛入侵違背了行為分析規則,由于不存在因節點出錯而違背行為分析規則,檢測器甚至不需要進行訓練便可以檢測到其入侵。圖3、圖4、圖5和圖6表明:隨著DoS入侵頻率的增加,檢測率越高,檢測效果越明顯,同時漏檢率也越低。

圖3 DOS攻擊檢測率

圖4 DOS攻擊漏檢率

圖5 HELLO洪泛檢測率

圖6 HELLO洪泛漏檢率

4 結束語

無線傳感網絡節點對網絡行為分析測量優化能提高網絡安全可信能力。針對網絡行為分析測量問題的特點,上述提出的一種基于信任的分布式檢測算法,主要對DOS攻擊和HELLO洪泛進行檢測,若有更多的行為分析規則能夠有效地檢測入侵節點。仿真實驗表明,基于信任的網絡行為分析算法能快速有效地檢測節點入侵,同時又大大降低誤檢率,而且算法簡潔,有利于節能。

[1]李善倉,張克旺.無線傳感器網絡原理與應用[M].北京:機械工業出版社,2008:22-28.

[2]陳林星.無線傳感器網絡技術與應用[M].北京:電子工業出版社,2009:130-145.

[3]XIONG Fei,XU Qi-jian.Active Trust Transmission Mechanism forWirelessSensorNetwork.The Second International Symposium on IntelligentInformation[C].Technology Application,Shanghai China,2008:626-632.

[4]WOOD A,STANKOVIC J.Denial of Service inSensor Networks[J].IEEE Computer,2002,35(10):54-62.

[5]YU B,XIAO B.Detecting Selective Forwarding Attacks in Wireless SensorNetworks[C].Proceedings ofthe2nd International Workshop on Security in Systems and Networks,Greece,2006:286-292.

[6]ZHANG Y,LEE W.Intrusion Detection in Wireless Ad Hoc Networks[C].6th Conf Mobile Comp and Net,Boston,2000:56-62.

[7]AGAH,DAS SK,BASU K.Intrusion Detection in Sensor Networks[C]:A Non-cooperative Game Approach,3th IEEE International Symposium on Network Computing and Applications,Cambridge,2004:154-166.

[8]MIRI A.A Real-time Node-based Traffic Anomaly Detection Algorithm for Wireless Sensor Network[C].Proceedings of Systems Communications Boston,2005:208-218.