基于攻擊特征的DTN黑洞節點檢測機制

王 群,趙廣松,許 博

(1.浙江樹人大學現代教育技術中心,杭州310015;2.解放軍理工大學指揮信息系統學院,南京210007)

基于攻擊特征的DTN黑洞節點檢測機制

王 群1,趙廣松2,許 博2

(1.浙江樹人大學現代教育技術中心,杭州310015;2.解放軍理工大學指揮信息系統學院,南京210007)

物聯網中的時延容忍網絡(DTN)采用存儲-搬運-轉發的路由方式,節點之間的合作程度直接影響DTN網絡的性能,而DTN節點的惡意行為嚴重影響了節點間的配合,其中黑洞攻擊是典型的一種惡意行為。為有效檢測和遏制節點的黑洞攻擊,提出一種基于黑洞攻擊特征的黑洞節點檢測機制AFD-Prophet。該檢測機制可提取出黑洞攻擊的3個本質性特征:虛假的高轉發能力,消息數目的不平衡性和高丟包率。在上述特征的基礎上,采用本地投票和節點間聯合檢測方式確定某個節點為黑洞節點的概率。仿真實驗結果表明,與基于信譽的檢測機制T-Prophet相比,該檢測機制在保證不增加遞交時延的前提下,能有效提高消息的遞交率。

時延容忍網絡;黑洞節點;攻擊特征;丟包率;遞交率;遞交時延

1 概述

隨著物聯網技術的發展,無線節點的數目和類型越來越多。由于這些節點具有一定的移動性(車載節點或手持終端等)和它們的無線通信范圍有限,這些無線節點之間的連接經常會發生中斷,甚至在某個時刻缺乏完整的端到端連接。而時延容忍網絡(DelAy tolerAnt network,DTN)[1-2]作為一種新型的網絡架構,可以有效地支持這種環境下的通信。為了有效地克服端到端連接頻繁中斷的問題,DTN采用了存儲-搬運-轉發的路由方式來實現消息的遞交,即DTN節點充當消息的搬運者,將消息存儲在自身緩存中,當遇到與目的節點相遇概率更高的節點時,它便將消息轉交給該節點來提高該消息被遞交的概率。然后,不斷重復以上過程,直到該消息被成功遞交給目的節點。近幾年來,DTN的路由算法一直是研究的熱點,涌現了大量的路由算法,如Epidemic[3],PROPHET[4], Spray and Wait[5]和RAPID[6]等。

自從DTN概念被提出之后,很多基于DTN的物聯網應用也不斷出現,例如PeoplesNet[7]和Pocket Switched Network[8]等。特別是隨著各種智能終端(蜂窩手機、PDA或者便攜機)的出現,這些智能終端之間可以利用各自的藍牙或WIFI等短距離通信接口實現消息的轉發,因此它們構成了典型的時延容忍網絡。但是在實際當中,由于這些智能終端(DTN節點)通常是由人控制的,并且這些節點的資源有限(電量、存儲空間等十分有限),它們很可能會表現出一定的自私性[9]或者惡意性。當某個DTN節點接收到其他節點轉發過來的消息時,它可能不會誠實地幫助其他節點存儲和轉發消息而是簡單地丟棄了該消息,從而大大降低了消息的遞交率。這種惡意的攻擊行為就被稱作黑洞攻擊;而這種惡意節點被稱為黑洞節點。

能否有效地檢測和隔離這些惡意節點直接影響著DTN網絡的性能。雖然在傳統MANET當中,針對黑洞攻擊的檢測方法很多。但是由于DTN節點之間的連接頻繁中斷和節點的高度移動性,源節點無法及時接收到目的節點的反饋。因此,即使消息被中繼節點惡意丟棄,源節點也不清楚消息是否已經送達以及消息被哪個中繼節點丟棄。這也使得適用于傳統MANET的攻擊檢測方法無法應用到DTN中。因此,如何有效地檢測和隔離這些惡意DTN節點變得更加復雜。

為了有效檢測黑洞節點,本文提出的一種基于攻擊特征的黑洞節點檢測機制。該機制從黑洞攻擊的本質特征出發,提煉出了該攻擊存在3個本質性特征:虛假的高轉發能力,消息數目的不平衡性,高丟包率。基于這些攻擊特征的統計信息,節點采用本地投票和節點間合作檢測相結合的方式來有效地識別和隔離黑洞節點。

2 相關工作

在DTN中,黑洞攻擊就是指某些惡意DTN節點向其他節點通告虛假的轉發能力,從而吸引其他節點將消息轉發給它們。但在接收到消息之后,這些惡意節點卻直接將這些消息丟棄或部分進行丟棄。DTN黑洞攻擊的過程如圖1所示。

圖1 DTN節點的黑洞攻擊過程

有效加強DTN節點間的安全性合作是DTN研究領域的一個挑戰,并且出現了許多相關工作。對于DTN來說,最主要的一個威脅就是節點的黑洞攻擊。為了有效地檢測和遏制DTN中黑洞節點,當前的主要方法可以分為3類:(1)基于信譽機制; (2)基于推薦機制;(3)基于多副本機制。

2.1 基于信譽的機制

在基于信譽的機制中,每個節點通過觀察其他節點的行為,然后給每個節點賦予一個信譽值來表示這些節點各自行為的好壞程度。在消息的分發過程中,依據節點信譽值的高低來選擇轉發節點:信譽值越低,該節點被選為轉發節點的概率也就越低,從而降低將消息轉發給惡意節點的概率。

文獻[10]提出了基于安全信譽的動態窗口機制SRed。它的基本思想就是當節點A想要計算節點B的信譽值時,它會詢問自己的鄰居節點(節點B除外)對B的評價,然后節點A將自身對B的評價和其他節點的評價進行求和。節點的信譽值在所有節點之間進行共享。但是SRed協議的缺點在于它需要依賴于這樣的假設:每個節點由一個可信硬件。如果缺乏這種硬件,節點可以向其他節點發出虛假的信譽,從而導致該檢測機制出現失敗。

文獻[11]提出了基于信譽的轉發機制 TProPHET。每個節點將消息轉發給具有更高信譽的節點。一旦接收到某個消息后,目的節點就構造一個反饋消息(包含了所有中繼節點信息),然后通過epidemic機制將反饋消息傳播給發送節點。當發送節點接收到該反饋消息后,發送節點更新所有中繼節點的信譽。與該思想類似,GiAnlucA[12]使用了目的節點確認、節點列表和信譽值老化這3個基本機制來消除黑洞攻擊,并將該機制應用到CAR路由協議中,取得了比T-ProPHET更好的性能。這2個檢測機制的缺點就是需要依賴于接收端的反饋信息。而這對于傳輸時延很大的DTN來說,反饋消息很難及時被源節點接收到,使得這些檢測機制難以及時對黑洞攻擊做出反應。

2.2 基于推薦的機制

在基于推薦的機制中,當節點A想要為B轉發消息時,A會發送給B一個關于自己的推薦,用來表明節點A曾合作進行過報文轉發。根據對節點A的推薦信息,節點B決定是否轉發消息給該節點,避免了將消息轉發給黑洞節點。

文獻[13]使用接觸票(encounter ticket)的概念來證實節點間的接觸。當2個節點相接觸時,它們產生一個帶有時間戳的接觸票。基于一個共同信任的PKI,這2個節點用它們各自的私鑰對該接觸票進行簽名。當某個節點向其他節點通告它的歷史接觸信息時,它需要提供相應的接觸票信息,從而保證該節點提供的歷史接觸信息是真實的,而不是偽造的。文獻[14]提出了基于消息交換記錄的概念來檢測黑洞節點。當2個節點相接觸時,它們交換各自的歷史記錄(包含了所有的它們曾接觸過的節點)。通過比較自身的記錄與其他節點的記錄,從而確定其他節點是否轉發了所有消息。但是缺點在于這個機制需要節點間交互大量信息,當節點間接觸時間太短時,該機制難以有效工作。

隨后,研究者又提出了一種改進的機制,他們使用一個特殊的擺渡節點來進行歷史記錄的核對。通過讓擺渡節點周期性地訪問所有普通節點來獲取它們的歷史記錄。如果某個節點的歷史記錄包含了其他節點的歷史記錄并未包含的消息,那么就說明了該節點并未將該消息遞交給其他節點,擺渡節點就會將該節點識別為黑洞節點。雖然該機制非常有效,但是該機制引進了擺渡節點,存在單點失效問題。一旦攻擊者控制了擺渡節點,那么整個檢測機制就失效了。

2.3 基于多副本的機制

為了盡量降低惡意節點的黑洞攻擊效果,DTN源節點通過復制機制發送多個報文副本來降低黑洞攻擊的效果。即使某幾個消息副本被惡意節點丟棄,但仍然會有某些消息副本會通過其他路徑被遞交給目的節點,從而改善網絡的遞交率。基于這個思想,文獻[15]提出了一種基于當前遞交率的動態復制機制,即目的節點測量數據流的遞交率,然后將測量結果回饋給源節點。基于當前的遞交率,源節點動態調整報文的副本數目。該機制的主要缺點在于它引進了大量的消息副本,對于資源受限的DTN網絡,很大程度上浪費了節點資源(即節點的電量和存儲空間)。

基于上述相關工作的缺陷,本文提出的基于攻擊特征的黑洞節點檢測機制采用節點之間合作性檢測手段,因此不存在上述機制的單點失效問題;在基于攻擊特征的黑洞節點檢測機制中,節點主要通過與鄰居節點之間的接觸來獲取統計信息,因此并不依賴源和目的節點之間的回路反饋信息來進行惡意節點的檢測,提高了檢測的及時性。基于攻擊特征的黑洞節點檢測機制的最重要的優點在與,它是從黑洞攻擊的本質特征出發來設計檢測機制,可以有效地降低檢測的錯誤率。下面詳細講解基于攻擊特征的黑洞節點檢測機制的設計。

3 基于攻擊特征的檢測機制

3.1 基本檢測原理

本文考慮在PROPHET路由算法下黑洞攻擊行為的檢測。對于其他路由算法來說,檢測原理是類似的。通常來說,一個黑洞節點A在與其他節點B交互時,會表現出下面的攻擊特征:

(1)通告虛假的轉發能力

(2)消息數目的不平衡性

由于節點A是BlAckhole節點,它會故意丟棄掉其他節點轉發給它的消息。因此,這個行為就表現為,在A與B交互的過程中,普通節點B會更多地向A轉發消息,而A卻很少轉發消息給B。這就造成了消息數目的對稱性,即nB→A/nA→B比值較大,其中nA→B表示A轉發給B的消息數目(不包含目的地址為B的消息),nB→A表示B轉發給A的消息數目(不包含目的地址為A的消息)。

但是對于一個轉發能力很強的普通節點來說,由于自身的轉發能力很強,也會出現上面2個現象。即該節點的轉發能力遠遠大于其他節點,而其他節點更愿意將消息轉發給轉發能力較強的節點。因此,僅僅依賴上面2個特征來檢測黑洞節點,會出現很高的假陽性,即容易將轉發能力很強的普通節點誤判為黑洞節點。因此,本文在上面的2個檢測特征基礎之上,增加一個丟包率的特征。即對于一個正常的普通節點來說,它作為轉發節點接收到的所有消息數目應該與它轉發給其他節點的所有消息數目幾乎相等,不會出現大量丟包的情況,它的丟包率應該與網絡中其他節點的丟包率接近。但對于黑洞節點來說,由于它會惡意丟棄數據包,這使得它的丟包率遠遠高于其他節點的丟包率。因此,從丟包率出發,黑洞節點具有第3個攻擊特征:較高的丟包率。

(3)高丟包率

節點A的丟包率可表示為:

本文設計的黑洞節點檢測機制可以分為以下4個步驟,如圖2所示。

圖2 黑洞節點檢測步驟

(2)本地檢測:然后節點B將節點A的描述信息與它的其他鄰居節點進行對比,采用投票機制給出節點A為黑洞節點的本地懷疑概率;

(3)合作性檢測:通過節點之間相互共享節點A為黑洞節點的懷疑概率,節點B確定節點A為黑洞節點的全局懷疑概率;

(4)節點響應:基于這個全局懷疑概率,節點B做出相應的動作,即隔離惡意節點或解除隔離。當懷疑概率低于某個閾值時,節點B以一定的概率將消息轉發給節點A;一旦懷疑概率大于某個閾值時,則節點B不再與節點A進行交互,從而完全隔離惡意節點A。

3.2 節點的本地數據維護

為了有效地收集和統計鄰居節點的相關信息,每個節點i需要維護一張轉發能力表和一張消息轉發數目表。

在節點i所維護的轉發能力表中,每個表項記錄著它的每個鄰居節點所通告的轉發能力,即該鄰居節點與其他節點相遇的概率。每當節點i與它的鄰居節點j相接觸時,節點i都要更新轉發能力表中對應的表項pjk(k∈N,其中,N為節點集合)。轉發能力表的格式如表1所示。

表1 轉發能力表

在節點i所維護的消息轉發數目表中,每個表項為一個3元組:＜j,ni→j,nj→i＞,記錄著節點i與它的某個鄰居節點j之間相互轉發消息的總數目。同樣,每當節點i與它的每個鄰居節點j相接觸時,節點i應該對消息轉發數目表對應的表項進行更新。

3.3 節點的交互過程

在本文所設計的黑洞節點檢測機制中,每個節點i需要被分配一個公私鑰對＜Si,Gi＞,其中,Si為節點i的私鑰;Gi為節點i的公鑰;并且每個節點都可以獲取到其他所有節點的公鑰。

當2個節點A和B相接觸時,這里僅僅描述節點B的行為,而節點A具有與B相同的行為。

(1)當節點A和B相接觸時,節點A向B宣稱自己與其他節點的接觸概率。然后節點B根據PROPHET路由算法,將自身緩存中對應的數據包轉發給A(即滿足A與目的節點i相遇概率pAi大于B與i相遇概率pBi的數據包)。

(2)然后節點B將A所宣稱的它與目的節點i的接觸概率pAi記錄在它所維護的轉發能力表中;同時節點B也對它所維護的消息轉發數目表中對應的表項進行更新,即:＜A,nA→B,nB→A＞→＜A,nA→B+cA→B,nB→A+cB→A＞,其中,cB→A為此次接觸過程中B向A轉發的消息數目;cA→B為此次接觸過程中A向B轉發的消息數目。

3.4 惡意節點的檢測過程

本地檢測:當節點A與B相接觸時,節點B需要本地檢測鄰居節點A是否為黑洞節點。首先節點B從節點A那里獲取到A的所有鄰居節點對A的行為描述(節點A保存著它所有鄰居節點對它的行為描述,見第3.3節);然后節點B將A的行為描述與B的其他鄰居節點的行為描述進行對比,從而形成投票結果,最終得出節點A為黑洞節點的懷疑程度。

(2)節點B根據自己維護的消息轉發數目表,可以計算出它與節點A之間互換消息的對稱性:nB→A/nA→B。

合作性檢測:通過節點之間的相互接觸和通告,節點B可以進一步獲取到節點A的鄰居節點i對節點A的本地懷疑概率,然后B可以計算出對A的全局懷疑概率:

其中,RBi為節點B對i的信任度;hAi為節點i對A的本地懷疑概率;Neig(A)為節點A的鄰居節點集合。由于本文不考慮惡意節點的合謀攻擊,節點B對節點i的信任度為1。

節點響應:節點B在獲取到A的全局懷疑概率后,將其與預定的閾值Threshold進行比較。若HAB≥Threshold,那么節點B不再轉發任何消息給節點A,從而達到隔離黑洞節點的目的;若HAB＜Threshold,節點B將以HAB的概率轉發消息給節點A,從而降低轉發消息給惡意節點的概率。

4 性能評估

本文將基于攻擊特征的黑洞節點檢測機制與Prophet協議進行結合,形成了基于攻擊特征檢測的PROHPET路由協議AFD-Prophet(Prophet protocol BAsed on AttAck FeAtures Detection)。為了驗證AFD-Prophet機制對黑洞節點檢測和隔離的有效性,本節將AFD-Prophet協議與原始的Prophet協議以及基于信譽的檢測機制T-Prophet進行性能對比。

本文分別采用了基于仿真平臺的仿真和基于真實trAce數據集仿真這2種方式對AFD-Prophet機制的性能進行對比和驗證。仿真實驗主要考察了在Prophet、T-Prophet和AFD-Prophet協議下DTN網絡的消息遞交率和平均遞交時延。

4.1 基于ONE的仿真

本文采用赫爾辛基科技大學開發的離散事件模擬器ONE(Opportunistic Network Environment simulator)[16]作為仿真平臺。在仿真實驗中,將正常節點的數目設置為20個,然后做2組實驗:(1)黑洞節點的數目固定為6個,而節點的活動范圍為1 km×1 km,2 km× 2 km和3 km×3 km;(2)保持節點的活動范圍為1 km×1 km不變,而黑洞節點的數目分別取2,6,10和14個。每個節點的通信接口的覆蓋范圍為25 m,移動速度為[0,5 m/s]。每個節點每秒產生一個消息,并且每個節點的緩存可以容納1 000個消息。檢測閾值Threshold默認值為0.7。仿真場景如圖3所示。

圖3 黑洞節點檢測的仿真場景

(1)遞交率

從圖4(a)可以看到,在存在黑洞攻擊情況下,原始的Prophet協議的遞交率僅為10%～30%,其性能受到了很大影響,說明了黑洞攻擊對DTN網絡性能的危害很大。

如圖4(a)所示,隨著網絡覆蓋范圍的增大,消息的遞交率不斷降低。原因在于網絡范圍的增大使得節點相互接觸的概率很小。這使得消息難以有效地被遞交給目的節點,因此節點的緩存很容易溢出。這造成了在各種路由協議下,消息的遞交率很低。但可以看到,在本文提出的AFD-Prophet下消息的遞交率明顯高于普通的Prophet協議和T-Prophet協議,即比普通的Prophet協議與T-Prophet協議分別高40%和20%左右。

如圖4(b)所示,隨著黑洞節點數目的增加,每個路由協議下的消息遞交率都不斷下降,這說明了黑洞節點對網絡性能的影響是巨大的。但同樣可以看到,本文提出的AFD-Prophet可以取得最高的遞交率。也表明了本文設計的AFD-Prophet可以更好地降低黑洞攻擊的效果。

圖4 黑洞節點數和覆蓋范圍對遞交率的影響

(2)遞交時延

如圖5(a)所示,隨著網絡覆蓋范圍的增大,節點相互接觸的概率很小。這使得消息的遞交時延也不斷增大。雖然AFD-Prophet和T-Prophet協議的消息遞交率比原始的Prophet提高很多,但是它們的平均時延增加了。原因在于,在AFD-Prophet和TProphet協議下,節點不再把消息轉發給惡意節點,而只能依靠正常節點進行轉發,這在很大程度上增大了消息的遞交時延。同樣隨著黑洞節點數目的增加,每個路由協議下的平均遞交時延都不斷增大。惡意節點數目的增大,使得正常節點的密度急劇下降。因此,節點在轉發消息時,很難找到正常的中繼節點,增大了消息的遞交時延,如圖5(b)所示。

圖5 黑洞節點數和覆蓋范圍對遞交時延的影響

可見,本文提出的AFD-Prophet協議的遞交時延與T-Prophet協議差別不大。原因在于它們都是通過降低給惡意節點轉發消息的概率來遏制惡意攻擊。這使得很多消息需要經過非最優路徑進行轉發,增加了消息的遞交時延。

(3)檢測閾值對遞交率的影響

當節點B在獲取到A的全局懷疑概率HAB后,將其與預定的閾值Threshold進行比較。若HAB≥Threshold,那么節點B不再轉發任何消息給節點A,從而達到隔離節點A的目的;若HAB＜Threshold,節點B將以HAB的概率轉發消息給節點A,從而降低轉發消息給B的概率。因此檢測閾值Threshold的大小直接影響著檢測準確率和網絡性能。

將黑洞節點的數目固定為6個。Threshold分別取0.5,0.6,0.7和0.8。從圖6(a)和圖6(b)可以看到Threshold越大,消息的遞交率就越小,但遞交時延卻也變得越大。原因在于閾值過大,檢測機制不容易檢測出部分惡意節點,而普通節點會繼續將消息轉發給惡意節點,使得這些消息被丟棄而造成了遞交率的下降;但是閾值太小,又容易將很多普通節點判斷為惡意節點,使得很多普通節點無法承擔消息轉發者的任務,這大大降低了消息被快速遞交的概率,造成了消息的遞交時延明顯加大。因此,如何確定懷疑閾值是遞交率和遞交時延之間的權衡。

圖6 檢測閾值對遞交率的影響

4.2 基于真實TrAce的仿真

采用MIT ReAlity TrAce數據集[17],在Matlab平臺上進行基于事件驅動的仿真。在MIT數據集中,97個NokiA 6600手機終端被分發給MIT的學生和教員,數據采集時間長達9個月。每當2個手機終端發生接觸時,就會產生一條接觸記錄。該記錄包含了發生接觸的2個節點標識符、接觸發生時間。整個TrAce包含了40萬條記錄,包含了95個節點的接觸記錄(去除記錄不完整的節點)。

在仿真過程中,每個結點向網絡中注入隨機目的地址的報文。每個結點每隔1天時間就向網絡中注入一個報文,報文的長度均勻分布在區間[100 KB,200 KB],每個報文還附有 TTL值(20天)。每個結點的緩存在[2,5]MB區間均勻分布。隨意指定8個節點為黑洞節點。

(1)遞交率

圖7顯示了不同路由協議下遞交率的大小。可以看到AFD-Prophet協議的遞交率都明顯高于原始的Prophet和T-Prophet。但隨著閾值Threshold的提高,AFD-Prophet的遞交率逐漸下降。因為對惡意節點檢測標準的放寬,會導致某些惡意節點難以被檢測出來。這與ONE仿真結果類似。

圖7 不同路由協議的遞交率比較

(2)遞交時延

圖8顯示了不同路由協議下遞交時延的大小。可以看到AFD-Prophet協議的遞交時延明顯高于原始的 Prophet和 T-Prophet。這是由于在原始的Prophet和T-Prophet下,由于惡意節點的丟包行為,導致很多數據包被丟棄。與到AFD-Prophet協議相比,它們僅有少量數據包被遞交,這造成了被遞交的數據包平均遞交時延不大。但在AFD-Prophet協議下,它可以避免數據包被遞交給惡意節點,更多的數據包會通過多跳的正常節點轉發,最終到達目的節點。通過多跳正常節點轉發,這使得被遞交的數據包平均遞交時延普遍較大。

同樣,隨著閾值Threshold的提高,AFD-Prophet的遞交時延也逐漸下降。這是因為檢測閾值的提高相當于對惡意節點檢測標準逐漸放寬,這會導致某些惡意節點難以被檢測出來,從而使得大量數據包被惡意節點丟棄。最終導致AFD-Prophet的遞交時延逐漸下降,與T-Prophet的遞交時延逐漸靠攏。

圖8 不同路由協議下的時延

(3)黑洞節點的全局懷疑概率隨時間的變化

本文統計了4個黑洞節點(節點12,18,24和35)的全局懷疑概率隨著時間推進的變化趨勢。這里的檢測閾值為0.6。發現基本上當仿真時間到達14天左右時,它們的全局懷疑概率就達到了0.6,這時它們就被正常節點進行識別和隔離。這表明AFD-Prophet機制檢測速度足夠快,可以及時遏制黑洞節點的惡意行為。全局懷疑概率隨著時間推進的變化趨勢如圖9所示。

圖9 全局懷疑概率隨著時間推進的變化趨勢

5 結束語

如何有效加強DTN節點間的安全性合作是DTN研究領域的一個挑戰,特別是識別和隔離惡意節點變得非常麻煩。本文提出了一種在DTN網絡中基于攻擊特征的黑洞節點的檢測和遏制機制。該機制從黑洞攻擊的本質特征出發,提出該攻擊存在3個本質性特征。并基于這些本質特征,對節點的相關信息進行統計分析。節點采用本地投票和節點間合作性檢測相結合的方式,有效地識別和隔離黑洞節點,克服了以前檢測機制的單點失效問題以及需要依賴回路反饋信息的檢測不及時等問題。通過仿真實驗表明,本文提出的AFD-Prophet機制在保證不增加遞交時延的前提下,提高了消息的遞交率以及檢測的實時性。

[1] Fall K.A Delay-tolerant Network Architecture for Challenged Internets[C]//Proc.of SIGCOMM'03.[S.1.]: IEEE Press,2003:27-34.

[2] 蘇金樹,胡喬林,趙寶康,等.容延容斷網絡路由技術[J].軟件學報,2010,21(1):119-122.

[3] Vahdat A,Becker D.Epidemic Routing for Partially Connected Ad Hoc Networks[R].Durham,USA:Duke University,Technical Report:CS-2000-06,2000.

[4] Lindgren A,Schelen D O.Probabilistic Routing in Intermittently Connected Networks[J].Mobile Computing Communications,2003,7(3):19-20.

[5] Spyropoulos T,Psounis K,Raghavendra C S.Efficient Routing in Intermittently Connected Mobile Networks: the Multiple-copy Case[J].IEEE/ACM Trans.on Network,2008,16(1):77-90.

[6] Balasubramanian A,Levine B N,Venkataramani A.DTN Routing As A Resource Allocation Problem[C]//Proc.of ACM SIGCOMM'07.Kyoto,Japan:ACM Press,2007: 373-384.

[7] Motani M,Srinivasan V,Nuggehalli P.PeopleNet:Engineering A Wireless Virtual Social Network[C]//Proc.of MobiCom'05.[S.1.]:IEEE Press,2005:243-257.

[8] Hui P,Chaintreau A,Scott J,et al.Pocket Switched Networks and Human Mobility in Conference Environments [C]//Proc.of SIGCOMM'05.[S.1.]:IEEE Press,2005: 212-219.

[9] 趙廣松,陳 鳴.自私性機會網絡中激勵感知的內容分發的研究[J].通信學報,2013,34(2):73-84.

[10] Xu Z,Jin Y,Shu W,et al.Sred:A Secure Reputation-based Dynamic Window Scheme for Disruption-tolerant Networks [C]//Proc.of MILCOM'09.Boston,USA:[s.n.],2009: 1-7.

[11] Li N,Das S K.A Trust-based Framework for Data Forwarding in Opportunistic Networks[J].Ad Hoc Networks,2013,11(4):1497-1509.

[12] Dini G,Duca a l.Towards Reputation-based Routing Protocol to Contrast Blackholes in A Delay Tolerant Network[EB/OL]//(2012-10-10).http://dx.doi. org/10.1016/j.adhoc.2012.03.003.

[13] Li F,Wu J,Avinash S.Thwarting Blackhole Attacks in Disruption Tolerant Networks Using Encounter Tickets [C]//Proc.of INFOCOM'09.Riode Janeiro,Brazil: [s.n.],2009:2428-2436.

[14] Ren Y,Chuah M C,Yang J,et al.Detecting Blackhole Attacks in Disruption-tolerant Networks Through Packet Exchange Recording[C]//Proc.of WoWMoM'10. Montreal,Canada:[s.n.],2010:1-6.

[15] Chuah M,Yang P.Impact of Selective Dropping Attacks on Network Coding Performance in DTNS and A Potential Mitigation Scheme[C]//Proc.of ICCCN'09. San Francisco,USA:[s.n.],2009:1-6.

[16] Keranen A.Opportunistic Network Environment Simulator[D].Helsinki,Finland:Helsinki University of Technology,2008.

[17] Eagle A,Pentland A,Lazer D.Inferring Social Network Structure Using Mobile Phone Data[C]//Proc.of PNAS'09.[S.1.]:IEEE Press,2009:15274-15278.

編輯 索書志

Detection Mechanism of Blackhole Nodes Based on Attack Features in DTN

WANG Qun1,ZHAO Guang-song2,XU Bo2
(1.Modern Education Technological Center,Zhejiang Shuren University,Hangzhou 310015,China;
2.College of Command Information Systems,PLA University of Science&Technology,Nanjing 210007,China)

The nodes in the delay tolerant networks rely on the cooperation among nodes to forward the messages to destinations.How to effectively enhance the cooperation among nodes in Delay Tolerant Network(DTN)is a challenge,

and the Blackhole attack is a typical incorporation behavior.In order to detect and restrain the Blackhole attack,a Blackhole nodes detection mechanism based on attack features is proposed,which extracts three essential features of the Blackhole attack:the forged high relay capacity,the imbalance of the number of messages forwarded between nodes and high message loss rate.The mechanism exploits the local vote and the cooperative detection among nodes to determine the probability that a node is a blackhole node.Simulations results show that the blackhole nodes detection mechanism based on attack features named AFD-Prophet can improve the delivery rate while not increasing the delivery delay in comparison with the reputation-based detection protocol T-Prophet.

Delay Tolerant Network(DTN);blackhole node;attack feature;loss rate;delivery rate;delivery delay

1000-3428(2014)09-0159-08

A

TP309

10.3969/j.issn.1000-3428.2014.09.032

國家自然科學基金資助項目(61070173,61103225)。

王 群(1981-),男,講師、碩士,主研方向:網絡測量與管理,時延容忍網絡;趙廣松,博士研究生;許 博,講師、博士。

2014-01-03

2014-02-24E-mail:wangqun1981year@126.com