基于特征節點分析的惡意節點檢測算法研究*

謝晉陽，李 平，謝桂芳

(1.長沙理工大學計算機與通信工程學院，湖南 長沙 410004;2.湘南學院計算機系,湖南 郴州 423000)

基于特征節點分析的惡意節點檢測算法研究*

謝晉陽1，李 平1，謝桂芳2

(1.長沙理工大學計算機與通信工程學院，湖南 長沙 410004;2.湘南學院計算機系,湖南 郴州 423000)

無線傳感器網絡(WSN)通常部署在復雜的環境中，攻擊者很容易通過俘獲節點注入虛假數據，造成嚴重后果。提出基于對事件源能量感知值相近的特征節點的惡意節點檢測機制(DAFNA)，首先對事件源的能量值進行估計，且在此過程中過濾保留良性特征節點；然后以特征節點為參照建立坐標系，通過分析待檢測節點與事件源的距離計算值與距離感知值之間的差異，進行惡意節點的判斷；最后通過仿真實驗，對算法性能進行分析，并與Hur算法對比，得出DAFNA算法所需先驗知識少，惡意節點容納度更好。

無線傳感器網絡；能量感知；虛假數據；特征節點；惡意節點

1 引言

惡意節點檢測是對計算機系統和網絡系統上的信息系統的非法攻擊和惡意使用行為的識別和做出響應處理的過程[1]。當發現被保護的系統可能遭受攻擊和破壞后，通過入侵檢測的響應模塊改善系統的防護能力，動態實現被保護系統的安全模型。入侵檢測系統不僅能檢測來自外部的入侵行為，對內部用戶的一些未授權的非法行為也能進行有效的監控和檢測，它可以通過提取行為特征模式來判斷用戶行為的合法性。

無線傳感器網絡WSN(Wireless Sensor Network)工作在一個開放、合作和高度任意的環境中，具有節點間鏈接脆弱、節點完全暴露在物理環境之下、拓撲結構動態變化、身份認證缺乏、沒有集中監控或管理點等特性，所以存在許多安全漏洞。傳統的基于密碼體系的安全機制主要用于抵抗外部攻擊，無法有效解決由于節點被俘獲而發生的內部攻擊[2～5]。而且由于傳感器節點能力所限，當節點被俘獲時相應的密鑰等重要信息也被俘獲，很容易發生秘密信息的泄露，引發多種類型的攻擊，如女巫、發送虛假數據等，這些攻擊多集中在路由層[6]。可見WSN內部惡意節點更加難以防御，如果WSN內部傳感節點本身存在安全問題，所有的上層安全協議、安全算法的安全性能將大打折扣，甚至無法保證WSN的安全通信，整個網絡將被控制。因此，對于WSN內部惡意節點識別，尤其是傳報虛假數據的惡意節點的研究，對于軍事等安全要求比較高的應用意義重大，直接影響了WSN的可用性。

2 已有工作

da Silva A P R等人提出[5]基于統計的惡意節點識別方法，系統預定義一系列規則，描述節點的正常行為；然后在混雜模式下，監控節點監聽鄰居節點通信，只提取并保存對于上述規則有用的數據；最后進行規則匹配，如果節點行為不符合某條規則，異常計數器自動加1。比較記錄的異常行為次數和偶然故障的期望值，如果前者大于后者，則認定為惡意攻擊。

Buchegger S[7～9]提出一種CONFIDANT協議，基本思想是采用鄰居監測技術對鄰居節點進行監測，同時進行信譽評測，對于信任值低于閾值的，認為是可疑節點，向友好節點(信任值高于某個閾值)發送警報，CONFIDANT中信譽值的改變只依賴于自己的觀察所得，不直接發送信譽值，而是通過發送報警信息來達到共享信息的目的。

文獻[10,11]提出的信任值計算方法是將節點信任初始值設為一常量，其升降變化由攻擊檢測模塊決定，根據節點行為是否正常，線性或指數型增加或降低信任值。該方法計算簡便，但是缺乏理論基礎，其合理性有待進一步研究。

Hur J等人[12,13]通過檢查所采集數據的一致性來實現安全的數據融合(在此稱為Hur算法)，主要目標是過濾掉欺騙性的或者不一致的數據，實現安全的數據融合。節點i根據自己采集的數據、與節點j的距離以及事件源位置與節點i的距離計算得出節點j采集數據的預期結果，然后進行信任值評價，并與節點j能量感知對比來判斷節點的正確性。

上述算法大部分需要知道事件源的位置、節點之間的距離、節點與事件源的距離等先驗知識。其中Hur算法根據節點i與節點j的距離以及事件源位置與節點i的距離計算得出節點j采集數據的預期結果，只考慮了節點在距離上的問題，而未考慮節點與事件源的方向，這樣會對后續的節點判斷帶來一定的誤差。本文提出基于特征節點分析的惡意節點檢測算法(DAFNA)，其中包括事件源能量值估計算法、節點檢測算法。在已知先驗知識“節點之間的距離”的條件下，通過分析各感知節點對事件源的能量感知值，提取出所有能量感知值相近的特征節點，分別以三個特征節點構成一系列集合；然后根據特征節點的幾何性質，分別用各特征集合對事件源能量進行估計，并分析各個特征集合估計出來的事件源能量值的波動情況來濾除可能包含惡意節點的特征集合；最后以特征節點為基礎建立坐標系，分別定位事件源O與待檢測的非特征節點au，得出節點au到事件源O的距離計算值，分析節點au到事件源O的距離計算值與距離感知值的差異來進行惡意節點的檢測。相比于上述算法，DAFNA算法所需的先驗知識少，易于算法的應用；與Hur算法相比，在少量惡意節點的情況下，DAFNA算法惡意節點容納度也比較高，當惡意節點數增多時，DAFNA算法的惡意節點容納度比Hur算法有一定的優越性。

3 網絡模型

針對虛假數據攻擊，本文提出一種基于特征節點的性質來進行惡意節點檢測的機制。該算法是在這樣的場景中提出的：(1)WSN中的節點數足夠多；(2)整個WSN中的惡意節點數目占所有節點數目的比重不是很大；(3)所有的惡意節點都是非共謀性惡意節點；(4)WSN中任意兩點間的真實距離已知。

WSN中的任意兩點間的真實距離daiaj的獲取是在WSN部署階段，節點發送hello包以發現鄰居節點，通過hello包的發送和接收，節點之間可以獲得電磁波信號的衰減程度，由經典的電磁波能量的衰減模型，即可計算出單跳范圍內各感知節點之間的真實距離。

因此，引入下面的能量衰減模型[14]：

Z=Ae-α dθ,θ>0

(1)

其中，A表示事件源的能量；d是空間某節點與事件源的距離；Z是節點半徑為d的節點的能量觀測值。θ的取值取決于能量源的類型，當θ取定后，α是控制能量衰減快慢的參數。

3.1 理想模型分析

DAFNA算法首先根據一些節點對WSN中的某一事件源O的特殊感知值來獲取事件源O的能量估計，然后根據事件源O的能量值提出對惡意節點的檢測機制。在此之前，先來分析一種理想模型。

在理想模型中，WSN中對感知到某一事件源O的所有感知節點a1、a2、…、an都為正確節點，對事件源O的能量感知值分別為Za1、Za2、…、Zan，且各感知節點之間的距離已知。若在該理想模型中，存在ai、aj、ak三個節點的能量感知值滿足Zai=Zaj=Zak，則有下面的性質：

性質1(特征點性質) 在安全的WSN中，發生某一事件源O，節點a1、a2、…、an為感知到事件源O的感知節點，對事件源O的能量感知值分別為Za1、Za2、…、Zan，若存在ai、aj、ak三個節點的能量感知值滿足Zai=Zaj=Zak，則事件源O的能量感知值ZO可求。

證明 如圖1～圖3所示，節點ai、aj、ak構成的三角形可分別為鈍角、銳角、直角三角形三種情況。由于daiaj、daiak、dajak已知，因此可分別計算Δaiajak的三個角度來判斷是哪一種三角形。

(1)Δaiajak為鈍角三角形。

Figure 1 Obtuse Δaiajak

Figure 2 Acute Δaiajak

Figure 3 Right Δaiajak

首先根據計算出的Δaiajak的三個頂角的角度來確定哪個頂角為鈍角，在此設該鈍角所在頂點為aj且daiO=dajO=dakO=x。

然后，通過計算可得：

∠Oaiak=arccos(dajak/(2x))

(2)

而cos∠Oajai=(daiaj/(2x))且∠Oajai=∠aiajak-∠Oajak，因此可得:

(3)

其中，∠aiajak可由余弦定理直接求出，式(3)為一元一次方程，可求出x。

最后，由能量衰減公式(1)即可求出事件源O的能量值ZO。

(2)Δaiajak為非鈍角三角形。

對于銳角Δaiajak，直接執行情形(1)中的計算過程即可；而對于直角Δaiajak，可先確定直角所在的頂點aj，然后執行情形(1)的計算過程同樣可得到事件源O的能量值ZO。得證。

□

3.2 相關定義及術語

在實際應用的WSN中，DAFNA算法將根據性質1來對某一事件源O的能量值進行估計，然后根據估計的事件源O的能量值提出節點檢測機制。在此之前，為了便于描述本文的算法，給出以下定義以及相關術語表。

定義1(特征點、特征點集合) 設WSN感知域S中的三點ai、aj、ak，對于事件源O的能量感知值分別為Zai、Zaj、Zak，設τ=(Zai+Zaj+Zak)/3，若Zai-τ≤ξ且Zaj-τ≤ξ且Zak-τ≤ξ(ξ為一閾值)，則稱Zai、Zaj、Zak為WSN中的特征點；ai、aj、ak所構成的集合稱為特征集合，則S中所有滿足上述性質的三個節點構成的集合稱為系列特征集合，表示為ψ1、ψ2、…、ψm。

Table 1 Related terms

4 DAFNA算法

本文提出的DAFNA算法包含事件源能量值估計算法與節點檢測算法。

4.1 事件源能量值估計算法

在WSN中，當節點數量足夠多時，總能找到一些特殊的節點感知值，根據這些特殊的節點感知值，提出對事件源能量值估計的算法：

(1)獲取所有感知節點a1、a2、…、an對同一事件源O的能量感知值Za1、Za2、…、Zan。

(2)在Za1、Za2、…、Zan中循環選取三個值Zai、Zaj、Zak，驗證是否滿足|Zai-τ|≤ξ且|Zaj-τ|≤ξ且|Zak-τ|≤ξ(其中τ=(Zai+Zaj+Zak)/3，ξ為一閾值)，提取滿足條件的所有特征點，并分別形成特征集合ψ1={b1,b2,b3}，ψ2={b4,b5,b6}，…,ψm={b3m-2,b3m-1,b3m}。

(3)分別對特征集合ψ1、ψ2、…、ψm中的特征點的能量感知值求平均值，并將該平均值作為對應特征集合中的三個特征點的能量感知值，由性質1知，可計算出事件源O的能量值，通過計算所得的事件源O的能量值記為ZO1、ZO2、…、ZOm。

4.2 節點檢測算法

性質2(距離唯一性) 某一平面中存在固定三點a、b、c，同一平面中的另兩點x、y與a、b、c的距離已知，則點x與點y的距離唯一確定。

證明 由于點x、y與a、b、c的距離已知，由定位技術中的三邊定位可知，點x、y的位置唯一確定，因此點x與點y的距離唯一確定。得證。

□

根據性質2，提出特征節點以外的其他節點au的檢測機制：

5 性能分析

在本文實驗中模擬一個高于環境溫度的溫度源，此時對于能量衰減模型中的參數θ取值為θ=2，參數α取值為α=0.1。模擬場景為，在一個半徑為100單位長度的圓中隨機部署60個傳感器節點，并在其中隨機產生10個惡意節點，事件源(溫度源)位于圓心，節點分別處于以事件源為中心的同心圓上。實驗采用MATLAB仿真，分別對參數ξ的取值對事件源能量值估計精度的影響、在合適ξ的取值下惡意節點總數為10時算法的檢測精度以及惡意節點總數從1到50的情況下DAFNA算法惡意節點容納度與Hur算法對比等性能進行分析。

由于參數ξ的選擇影響著事件源能量值的估計，而事件源能量值在后續惡意節點檢測算法將直接運用到各感知節點與事件源的距離以及節點的定位，因此參數ξ的取值通過影響事件源能量值估計精度，從而影響整個算法的精度。實驗中通過MATLAB設置已知的一事件源能量值，分別設置ξ=0,1,2,…,20，運用DAFNA算法中的事件源能量值估計算法對該事件源能量值估計，觀察各個參數ξ的取值下的事件源能量估計值與真實值的逼近程度，如圖4所示。其中，每個參數ξ值進行10次實驗，10次實驗的事件源能量估計值與真實值的比值平均值做為每個參數ξ值的事件源能量估計的精度。由實驗仿真所得曲線圖可得，ξ越小，事件源能量值估計的精度越高，而在實際應用中，由于各感知節點對事件源能量感知存在一定的誤差，因此感知值完全相同(即ξ=0)的情況幾乎不會出現，所以，為了在實際情況中能找到一定數量的特征節點，本次實驗中選擇參數ξ=4。

Figure 4 Effect of parameter ξ on estimation accuracy of event source energy value

在選取合適的參數ξ=4的情況下，考察當整個WSN中存在少量惡意節點數(惡意節點總數=10)時整個算法的檢測精度。實驗分為10組，每組實驗進行10次惡意節點檢測，每組實驗中隨機產生10個惡意節點，每組的10次實驗檢測出的惡意節點平均個數作為該組實驗的算法檢測精度，實驗結果如圖5中實線曲線所示，其中虛線為10組實驗的算法檢測精度平均值。由圖5可知，在整個WSN中存在少量惡意節點的情況下，本文的算法檢測精度可達90%以上。

Figure 5 Detection accuracy analysis when ε=4 with 10 malicious nodes

本實驗同樣選取參數ξ=4，對DAFNA算法惡意節點容納度進行分析且與Hur算法進行對比。網絡中惡意節點總數從1至50變化，分別對兩種算法每次能檢測出的惡意節點百分比進行對比，實驗仿真結果如圖6所示。由圖6可知，當惡意節點總數較少時，兩種算法的檢測能力都很高，且Hur算法相比DAFNA算法檢測能力更高，這是因為Hur算法獲取的先驗知識比較豐富。而隨著惡意節點數的增加，Hur算法比DAFNA算法的檢測能力先衰減，這是由于惡意節點過多，獲取的先驗知識難以確保其有效性所致。從圖6中同時也能看出，DAFNA算法要求網絡中惡意節點總數必須小于節點總數的一半。

Figure 6 Malicious nodes hold degrees comparision between DAFNA algorithm and Hur algorithm

6 結束語

本文介紹了信息安全在WSN中應用的重要性以及目前已有算法存在的問題，提出了DAFNA算法。該算法只需知道先驗知識節點之間的距離，而不用知道事件源的位置、節點與事件源的距離等先驗知識，使用方便，且惡意節點數低于節點總數一半的情況下，識別效果較好。通過仿真實驗將該算法與Hur算法對比表明，該算法具有更好的惡意節點容納度。

[1]DongHui-hui,GuoYa-jun,YuZhong-qiang,etal.Awirelesssensornetworksbasedonmulti-angletrustofnode[C]∥Procof2009InternationalForumonInformationTechnologyandApplications, 2009:28-31.

[2]LindseyS,RaghavendraC,SivalingamKM.Datagatheringalgorithmsinsensornetworkusingenergymetrics[J]．IEEETransactionsonParallelandDistributedSystems, 2002, 13(9):924-935.

[3]GaneriwalS,BalzanoLK,SrivastavaMB.Reputation-basedframeworkforhighintegritysensornetworks[J].ACMTransactionsonSensorNetworks, 2008, 4(3):1-37.

[4]MomaniM,AgbinyaJ,NavarreteGP.Anewalgorithmoftrustformationinwirelesssensornetworks[C]∥Procofthe1stIEEEInternationalConferenceonWirelessBroadbandandUltraWidebandCommunications(AusWireless’06), 2006:1-6.

[5]daSilvaAPR,MartinsMHT,RochaBPS,etal.Decentralizedintrusiondetectioninwirelesssensornetworks[C]∥Procofthe1stACMInternationalWorkshoponQualityofService&SecurityinWirelessandMobileNetworks, 2005:16-23.

[6]TsengChin-Yang,BalasubramanyamP,KoC,etal.Aspecification-basedintrusiondetectionsystemforAODV[C]∥Procofthe1stACMWorkshoponSecurityofAdHocandSensorNetworks, 2003:125-134.

[7]BucheggerS,BoudecJean-YvesL.Theselfishnode:Increasingroutingsecurityformobileadhocnetworks[R].RZ3354(#93400).Switzerland:IBMZurichResearchLaboratory, 2001.

[8]BucheggerS,BoudecJean-YvesL.Nodesbearinggrudges:Towardsroutingsecurity,fairness,androbustnessinmobileadhocnetworks[C]∥Procofthe16thEuromicroConferenceonParallel,DistributedandNetwork-basedProcessing, 2008:403-410.

[9]BucheggerS,BoudecJean-YvesL.PerformanceanalysisoftheCONFIDANTprotocol(Cooperationofnodes:Fairnessindynamicad-hocnetworks)[C]∥Procofthe3rdACMInternationalSymposiumonMobileAdHocNetworking&Computing(MobiHOC), 2002:226-236.

[10]ZhouXing-feng.Astudyonadhocnetworkintrusiondetectionsystemmodelbasedoncredibility[D].Nanjing:NanjingUniversityofScienceandTechnology, 2006.(inChinese)

[11]Po-WahYau,MitchellCJ.Reputationmethodsforrouting

securityformobileadhocnetwork[C]∥Procofthe1stWorkshoponMobileFutureandSymposiumonTrendsinCommunications, 2003:130-137.

[12]HurJ,LeeY,HongSM,etal.Trustmanagementforresilientsensornetworks[C]∥ProcoftheICISC’05, 2006:56-68.

[13]HurJ,LeeY,YoonH,etal.Trustevaluationmodelforwirelesssensornetwork[C]∥ProcoftheICACT’05, 2005:491-496.

[14]LoganJD.Appliedmathematics(acontemporaryapproach) [M].NewYork:Wiley, 1987.

附中文參考文獻：

[10] 周興鋒. 基于信任度ADHOC網絡入侵檢測系統模型研究[D]. 南京:南京理工大學, 2006.

XIE Jin-yang,born in 1989,MS candidate,his research interests include Internet of Things, and information security.

李平(1972-),男，湖南長沙人，博士，教授，CCF會員(E200029900M)，研究方向為網絡與信息安全、無線傳感網和物聯網。E-mail:lping9188@163.com

LI Ping,born in 1972,PhD,professor,CCF member(E200029900M)，his research interests include network and information security, WSN, and Internet of Things.

謝桂芳(1973-),女，湖南邵陽人，碩士，副教授，研究方向為無線網絡。E-mail:guimiss@21cn.com

XIE Gui-fang,born in 1973,MS,associate professor,her research interest includes wireless network.

Study on the malicious nodes detection algorithmbased on feature nodes analysis

XIE Jin-yang1,LI Ping1,XIE Gui-fang2

(1.School of Computer & Communication Engineering,Changsha University of Science & Technology,Changsha 410004;2.Department of Computer Science,Xiangnan University,Chenzhou 423000,China)

Wireless Sensor Network (WSN) is usually deployed in complex environment, and an attacker can easily inject false data by capturing nodes, thus causing serious consequences. A malicious nodes detection algorithm based on feature nodes analysis (DAFNA) is proposed. Firstly, the energy values of the event sources are estimated, and nodes healthy characteristics are maintained in this process. Secondly, we establish coordinates according to the feature nodes, conduct a variance analysis of the calculated and perceived distances between the nodes to be detected and the event source, thus the malicious nodes are identified. Simulation result verifies the effectiveness of the proposed algorithm, and compared with Hur algorithm it has a better accommodation of malicious nodes while requiring less prior knowledge.

wireless sensor network(WSN);energy-aware;false data;feature nodes;malicious nodes

1007-130X(2015)01-0078-06

2013-08-02;

2013-09-13基金項目：國家973計劃資助項目(2011CB302902)；國家自然科學基金資助項目(61073180)

TP212.9

A

10.3969/j.issn.1007-130X.2015.01.012

謝晉陽(1989-),男,湖南邵陽人，碩士生，研究方向為物聯網和信息安全。E-mail:505354246@qq.com

通信地址：410004 湖南省長沙市雨花區長沙理工大學云塘校區計通學院

Address:School of Computer & Communication Engineering,Changsha University of Science & Technology,Changsha 410004,Hunan,P.R.China