泛洪攻擊對Epidemic機制下機會網絡生命期的影響

孫踐知，張迎新，陳丹，韓忠明

（北京工商大學 計算機與信息工程學院，北京 100048）

1 引言

機會網絡是一種不需要在源節點和目的節點之間存在完整路徑，利用節點移動帶來相遇機會實現網絡通信的、時延和分裂可容忍的自組織網絡[1]。和傳統多跳無線網絡不同，機會網絡的節點可能不是被統一部署的，節點間不存在確定的路徑，節點通過移動而得相遇機會進行通信，網絡中存在更多的不確定因素，對路由安全以及數據的完整性、機密性帶來更大的挑戰[2]。

在機會網絡安全領域，主要關注如何保證網絡的可用性以及數據的完整性、機密性。目前關于機會網絡安全問題直接的文獻還較少，但對 DTN(delaytolerant networking)及 MANET（mobile ad hoc network）安全的研究已取得一些進展，其相關研究如下。

加密和身份認證是解決安全問題最常用的手段。文獻[3]定義了束層安全機制，通過定義 BAB（bundle authentication block）、PIB（payload integrity block）和PCB（payload confidentiality block）來保證所傳輸束的真實性、完整性和機密性，核心思想與IPSec類似。

理論上講，束層安全機制可以從根本上解決機會網絡多數安全問題。但由于機會網絡獨有的特性，使密鑰管理問題難于解決，以致于在機會網絡中無法有效部署束層安全機制，許多學者在該領域做了大量研究。文獻[4]分析了DTN網絡安全領域的問題，指出目前還未得到很好解決的、最主要的問題是密鑰管理問題。文獻[5]指出在傳統MANET網絡中使用的密鑰管理技術，如 PKI(public key infrastructure)[6]、off-line certificates[7]、a priori key distribution[8]、a reputation system[9]等，均難于部署。IBC(identity-based cryptography)[10]被認為是解決密鑰管理問題最有希望的方案，也是 DTN安全研究的一個熱點。文獻[11]提出用IBC解決端到端安全問題，文獻[12]討論了IBC在DTN網絡中的應用，文獻[4]指出了 IBC方案的局限性，文獻[13]指出IBC不能解決DTN網絡中的密鑰管理問題。

文獻[4]認為由于DTN網絡資源匱乏，DTN網絡安全防護的重點是保證DTN網絡不被非授權使用。

文獻[4, 14, 15]分別描述了DTN網絡面對的威脅，主要有資源消耗、完整性和機密性問題、DoS攻擊、廣播風暴等。文獻[5]描述了具體的攻擊形態，主要有泛洪、Drop攻擊、破壞路由表、偽造ACK、發送畸形數據分組、重放、流量分析、授權用戶偵聽其他用戶等。文獻[5]使用了UMass Dieselnet項目[16]和Cambridge Haggle項目[17]數據集，研究了在缺乏安全機制下，DTN網絡中的攻擊效果，得出了即便在強有力的攻擊下，DTN網絡依然是健壯的結論。

在Epidemic機制下，惡意節點會向網絡中注入偽造的數據分組，但由于機會網絡不存在始終連接的鏈路，惡意泛洪行為難以持續進行，顯然會影響泛洪效果。文獻[18]和文獻[19]分別研究了泛洪攻擊對Epidemic機制下網絡性能的影響，得出了截然不同的結論，文獻[18]認為難以產生影響，而文獻[19]認為會產生顯著影響，但兩者都沒有涉及泛洪攻擊對機會網絡生命期的影響。

本文通過理論分析和仿真實驗方法，從節點能量消耗的角度，研究Epidemic機制下泛洪攻擊對機會網絡生命期的影響。

2 泛洪攻擊和網絡生命期

2.1 攻擊模型

由于密鑰管理的問題未得到很好的解決，在機會網絡中難于部署有效的身份認證和加密機制[4,7]。因此本文假定在束層未部署身份認證和加密機制，但應用層是否進行身份認證和加密不作限制。

本文假定機會網絡中存在正常節點和惡意節點。正常節點是構成機會網絡的基礎，惡意節點具有正常節點的部分特征，如遵循共同的移動模型、路由協議等，但其具有某種攻擊行為，以破壞網絡、阻礙正常數據分組傳輸為目的。

當惡意節點和正常節點相遇時會盡力向正常節點轉發偽造的數據分組，即采用無限制泛洪策略。正常節點接收到惡意節點偽造的數據分組時，由于無法判定數據分組性質，在隨后的轉發中亦會按照既有轉發策略盡力向其他節點轉發，會進一步放大攻擊的效果。

2.2 機會網絡的生命期

在機會網絡應用的某些場景中，存在節點無法補充能量的情況，如災難場景、野生動物監控場景。節點出于維持通信的需要不斷地消耗固有能量，當能量耗盡時，會發生節點死亡事件。節點死亡事件的不斷發生最終導致整個網絡死亡，即機會網絡具有生命期。

機會網絡的生命期始于網絡部署，止于網絡失去功能。何為網絡失去功能可以從不同角度定義，如剩余存活節點數量、剩余的傳輸能力、剩余的網絡覆蓋情況等，也可以是幾種角度的組合。目前尚無法檢索到和機會網絡生命期直接相關的文獻，但無線自組織網絡生命期的研究工作已有一些進展，如文獻[20]對WSN（wireless sensor networks）生命期定義做了很好的分類。

在機會網絡中節點分布是不均勻的，一些節點處于“樞紐”位置，這些節點和其他節點有較高的相遇概率，會承擔較多的轉發工作，消耗的節點能量也較多，這些節點會首先死亡；而一些節點處于“末梢”位置，這些節點消耗的能量較少，會有較長的生命期。當網絡中一定比例的節點死亡后，盡管網絡中還有一些節點存活，但網絡的整體傳輸能力嚴重下降，難以完成原有網絡的工作，此時即認為網絡死亡。

本文從存活節點占總節點數百分比的角度定義機會網絡生命期，當比值超過閾值時，即認為機會網絡死亡。

3 泛洪攻擊的影響

假設在機會網絡中有n個正常節點，k個惡意節點。將機會網絡整個生命期分為M個時間片，m為第m個時間片；ε0m是第m個時間片內正常節點的總能量。EΔ為單位時間傳輸的能量消耗，Es為單位掃描的能量消耗，Ew為無法使用的能量。

在無攻擊時，第m個時間片有

有攻擊時，第m個時間片內，正常節點有

假設惡意節點和正常節點有相同的移動模型，則節點i遇到正常節點的概率約為，遇到惡意節點的概率為，由此可得

由式(3)和式(4)可得

由式(1)和式(5)可得

若以ΔLm表示在m時間片內對網絡生命期的影響，則有

若以LΔ表示對網絡生命期的影響，則有

由式(8)可知，惡意節點的泛洪攻擊對網絡生命期影響有4個因素，分別是：

1) 正常節點和惡意節點數量之比；

2) 單位掃描能量消耗和單位傳輸能量消耗之比；

4 惡意數據分組數量的影響

惡意節點注入網絡數據分組的數量是否會對網絡生命期產生影響也是需要研究的問題，下面分析正常節點和惡意節點的數量確定時，惡意節點產生的數據分組數量對網絡生命期的影響。

若wi是第i個節點生成數據分組的個數；Wn和Wk分別是正常節點和惡意節點產生數據分組的總數，則；gi是第i個節點緩存大小；di是第i個數據分組大小，和分別是i和j節點最大可存儲的數據分組個數，=gi/d、=gj/d；tij是節點i和節點j相遇持續的時間長度；vij是節點i和節點j間數據傳輸的速度；是當i節點和j節點相遇時可傳輸數據分組的最大個數，=tij×vij/d。

當節點i和任意節點j相遇時，在i節點中存在，而在j節點中不存在的數據分組個數小于時，會出現節點間有傳輸能力但無數據分組需要傳輸的情況，出現這種情況的概率在式(1)中由表述。若X是表述i、j 2節點緩存中相同數據分組個數的隨機變量，則

5 仿真實驗設計

本文設計的實驗場景中確定了度量值，通過軟件仿真的方法來定量分析泛洪攻擊對機會網絡生命期的影響，并以此驗證理論分析結果。

5.1 度量值

本文從存活節點數量和單位時間段內傳輸成功率2個方面來評價路泛洪攻擊對機會網絡生命期的影響。

1) 存活節點數量

由于節點需不斷地進行掃描、傳輸工作，隨著節點能量的不斷消耗，網絡中節點會相繼死亡，剩余的存活節點構成了網絡的新形態，而存活節點的數量會對新形態下的網絡性能產生決定性的影響。本文將一段時間后存活節點數量作為評價泛洪攻擊的一個度量值。

2) 單位時間傳輸成功率

傳輸成功率是指在一定的時間內到達目標節點數據分組總數和所有數據分組總數之比，該指標刻畫了網絡的傳輸能力，是機會網絡最重要的指標。為評估節點死亡對網絡性能的影響，本文采用每個時間單位上的傳輸成功率作為度量值。在后面的分析中，僅計算正常節點在各時間單位上傳輸成功率。

5.2 場景設計

文本使用了 ONE（opportunistic networking environment）[23]仿真平臺，模擬了攜帶無線智能設備的行人步行于赫爾辛基的場景，并以此來分析泛洪攻擊對機會網絡生命期的影響。具體設置如表1所示。

表1 仿真場景設置

在仿真中正常節點和惡意節點分屬不同的群組，群組間節點不互為目標節點，但可以相互轉發數據分組。

6 結果分析

本文從惡意節點數量和惡意節點注入網絡數據分組數量2個角度，分析泛洪攻擊對機會網絡生命期的影響。

6.1 惡意節點數量的影響

以表1場景為基礎，正常節點數為200個，惡意節點數為0～200個。惡意節點生成5倍于正常節點的數據分組數量注入網絡中。圖1為惡意節點數量對網絡生命期的影響。

圖1 惡意節點數量對網絡生命期的影響

圖1表明，在不同數量惡意節點攻擊下，正常節點死亡發生的趨勢是一致的。只是由于惡意節點的加入導致正常節點能耗大大增加，使節點死亡的時間提前。圖1表明，有力的泛洪攻擊會大大增加正常節點能量的消耗，加速正常節點的死亡，從而加快整個網絡的死亡。

圖2描述了不同數量惡意節點的攻擊下，各時間單位段上傳輸成功的數據分組個數。圖2表明，惡意節點的攻擊不會改變機會網絡各單位時間傳輸成功個數的總體形態，但會令單位時間傳輸成功個數大幅度地下降，隨著節點大批死亡，單位時間傳輸成功率急劇下降。

圖2 惡意節點數量對網絡傳輸性能的影響

表2描述了惡意節點數量對網絡生命期的影響，以剩余的存活節點減少到節點總數的20%為閾值。表2表明，惡意節點的數量增加網絡生命期會大幅度下降，兩者間有顯著的關系，這與式(8)的結果一致。

表2 惡意節點數量對網絡生命期的影響

6.2 惡意數據分組數量的影響

為分析惡意節點注入網絡數據分組的數量對網絡生命期的影響，以表1場景為基礎，設置200個正常節點，200個惡意節點，令惡意節點分別以正常節點數據分組數量10%、100%和500%向網絡中注入數據分組。由表 1給出的節點和數據分組的參數可計算超幾何分布的4個參數，進而計算出。

i節點和 j節點的接觸時間和節點移動模型有關，目前還是一個尚無定論的問題，一般認為節點間接觸時間符合冪律分布。為簡化起見，以表1中定義的2個在一條直線上相向運動節點的接觸時間作為平均接觸時間來估計，并以此來計算。本文中對估計可能會有較大誤差，但由于超幾何分布的特點，這種誤差并不會對計算產生顯著影響。

表3給出了3種不同攻擊場景下各參數值。仿真結果如圖3所示。

表3 惡意數據分組數量的影響

圖3 惡意數據分組數量的影響

第1和第3種攻擊場景注入網絡數據分組的數量相差50倍，由表2可知，其的值均為1，由式(8)可知不會對網絡生命期產生影響。圖3顯示，3種場景網絡中節點死亡的情況非常接近，影響輕微，此結果與本文第 4節中的理論分析高度吻合。由式(9)可知，惡意節點注入數據分組數量僅在某些特定的情況下對網絡生命期產生影響，在多數情況下影響輕微。

7 結束語

本文給出了泛洪攻擊時，惡意節點個數等因素對機會網絡生命期的影響，理論分析及仿真結果表明，泛洪攻擊會對機會網絡生命期產生顯著影響。

文獻[5]從網絡性能的角度出發，認為泛洪攻擊在 DTN網絡中是難以實現的，而從節點能量消耗的角度分析本文結果不支持該結論。本文結果表明，惡意節點數量和機會網絡生命期基本呈線性關系，即惡意節點數越多，機會網絡的生命期會越短，傳輸成功率同時也會顯著下降。

文獻[18]從網絡性能角度出發，認為在Epidemic機制下對網絡的惡意攻擊難以奏效，但從節點能量消耗角度，本文結果不支持該觀點。本文結果表明，Epidemic機制下的惡意攻擊會導致大量的節點能量消耗，導致節點死亡，使網絡生命期顯著下降，部分節點的死亡也會導致網絡性能的顯著下降。

本文給出了節點緩存大小、傳輸速度、數據分組個數等5個因素和機會網絡生命期的關系，理論分析和仿真實驗表明，一般情況下，網絡生命期與惡意節點注入機會網絡惡意數據分組的數量相關度較小。

[1] 任智, 黃勇, 陳前斌. 機會網絡路由協議[J]. 計算機應用. 2010, (3):723-728.REN Z, HUANG Y, CHEN Q B. Routing protocols for opportunistic networks[J].Journal of Computer Applications, 2010, (3): 723-728.

[2] 熊永平, 孫利民, 牛建偉. 機會網絡[J]. 軟件學報, 2009, 20(1):124-137.XIONG Y P, SUN L M, NIU J W. Opportunistic networks[J]. Journal of Software, 2009, 20(1): 124-137.

[3] SYMINGTON S, FARRELL S, WEISS H, et al. Bundle Security Protocol Specification[R]. IETF Internet Draft, Work Progress, 2007.

[4] FARRELL S, SYMINGTON S, WEISS H, et al. Delay-Tolerant Networking Security Overview[R]. IRTF, DTN Research Group, 2008.

[5] BURGESS J, BISSIAS G D, CORNER M D, et al. Surviving attacks on disruption-tolerant networks without authentication[A]. Proceeding of the 8th ACM Internation Symposium on Mobile Ad Hoc Networking and Computing[C]. Montreal, Quebec, Canada, 2007. 61-70.

[6] PAPADIMITRATOS P, HAAS Z J. Secure routing for mobile ad hoc networks[A]. Proceeding of the SCS Communication Networks and Distributed Systems Modeling and Simulation Conference[C]. San Antonio, TX, 2002. 193-204.

[7] SANZGIRI K, LAFLAMME D, DAHILL B, et al. Authenticated routing for ad hoc networks[J]. Selected Areas in Communications,IEEE Journal, 2005, 23(3): 598-610.

[8] HU Y C, PERRIG A, JOHNSON D B. Ariadne: A secure on-demand routing protocol for ad hoc networks[J]. Wireless Networks, 2005,11(1-2): 21-38.

[9] BUCHEGGER S, LE B J. The effect of rumor spreading in reputation systems for mobile ad-hoc networks[J]. Proceedings of WiOpt '03:Modeling and Optimization in Mobile, Ad Hoc and Wireless Networks[C].Sophia-Antipolis, France, 2003.

[10] BONEH D, FRANKLIN M. Identity-Based Encryption From the Weil Pairing[A]. Cryptology CRYPTO[C]. Springer, 2001. 213-229.

[11] SETH A, KESHAV S. Practical security for disconnected nodes[A].First IEEE ICNP Workshop on Secure Network Protocols (NPSec)[C].2005. 31-36.

[12] ASOKAN N, KOSTIAINEN K, GINZBOORG P, et al. Applicability of identity-based cryptography for disruption-tolerant networking[A].Proceedings of the 1st International MobiSysWorkshop on Mobile Opportunistic Networking[C]. 2007. 52-56.

[13] MCMAHON A, FARRELL S. Delay-and disruption-tolerant networking[J]. Internet Computing, IEEE, 2009, 13(6): 82-87.

[14] KATE A, ZAVERUCHA G M, HENGARTNER U. Anonymity and security in delay tolerant networks[A]. Proceedings of the 3rd International Conference on Security and Privacy in Communication Networks[C]. 2007. 504-513.

[15] ASOKAN N, KOSTIANINEN K, GINZBOORG P, et al. Towards Securing Disruption-Tolerant Networking[R]. Nokia Research Center,Tech Rep NRC-TR-2007-007, 2007.

[16] BURGESS J, GALLAGHER B, JENSEN D, et al. Maxprop: Routing for vehicle-based disruption-tolerant networks[A]. The 25th IEEE International Conference on Computer Communications[C]. Barcelona,Spain, 2006. 1-11.

[17] HUI P, CHAINTREAU A, SCOTT J, et al. Pocket switched networks and human mobility in conference environments[A]. Proceedings of the 2005 ACM SIGCOMM Workshop on Delay-Tolerant Networking[C].2005. 244-251.

[18] FAWAL A, BOUDEC J Y, SALAMATIAN K. Vulnerabilities in epidemic forwarding[A]. World of Wireless, Mobile and Multimedia Networks[C]. 2007. 1-6.

[19] 孫踐知, 贠冰, 韓忠明. 泛洪攻擊下機會網絡典型路由算法健壯性分析[J]. 計算機工程與應用, 2012, 48(5):54-58.SUN J Z, YUN B, HAN Z M. Robustness analysis of opportunistic network routing algorithms under flooding attacks[J]. Computer Engineering and Applications, 2012, 48(5): 54-58.

[20] CHEN Y, ZHAO Q. On the lifetime of wireless sensor networks[J].IEEE Communications Letters, 2005, 9(11): 976-978.

[21] CHAINTREAU A, HUI P, CROWCROFT J, et al. Impact of human mobility on opportunistic forwarding algorithms[J]. IEEE Transactions on Mobile Computing, 2007, 6(6): 606-620.

[22] KARAGIANNIS T, LEBOUDEC J Y, VOJNOVIC M. Power law and exponential decay of intercontact times between mobile devices[J].IEEE Transactions on Mobile Computing, 2010, 9(10): 1377-1390.

[23] KER?NEN A, OTT J, K?RKK?INEN T. The one simulator for DTN protocol evaluation[A]. ICST (Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering)[C]. 2009. 55.