基于多輪詢的WSN節點捕獲檢測方法

徐嘉慧

（昆明理工大學 信息工程與自動化學院，云南 昆明 650500）

0 引 言

得益于集成感測、信息處理以及無線通信技術的快速發展和日趨成熟[1]，無線傳感器網絡（Wireless Sensor Network，WSN）漸漸成為信息物理融合系統（Cyber Physical Systems）中的研究熱點。傳感器節點的部署通常具有無人值守的特性，低成本要求使得其部署環境和通信過程缺少安全保護，因此物理節點容易受到攻擊和干擾[2]。隨著人們對WSN功能的需求越來越多樣化，需要在指定區域內部署大量節點以實現需求，因此近年來針對WSN節點的安全檢測方案不斷涌現。

WSN入侵攻擊包括外部和內部兩種方式，其中內部攻擊更加難以檢測和處理。內部攻擊包括節點捕獲、重新部署及發起攻擊3個階段[3]。歷年來，對內部攻擊的研究著重于對第2個階段和第3個階段的檢測。Song提出一種對節點重新部署后物理位置是否發生變化的檢測方法[4]，Ioannis[5]和Ren等人[6]分別提出了一種選擇性轉發攻擊的檢測方法。Song通過丟包率超過閾值時生成的警報消息數量比例來判斷節點狀態；Ioannis和Ren根據數據包丟失與預期的差值來判斷節點狀態，并且推導最優閾值。Dong提出了一種新穎的WSN分布式低存儲克隆檢測協議（LSCD）[7]，規定任何兩條檢測路徑之間的距離必須小于見證者路徑長度，以此確保了檢測路徑必須遇到見證者路徑。

將節點（被捕獲節點或克隆節點）重新部署到WSN中并通過該節點發起攻擊會帶來很大的危害與損失。對第1階段即節點捕獲階段的攻擊檢測能夠盡可能早地發現節點危險狀態，從而降低對后續階段的安全威脅，保證WSN的安全運行。因此，優化WSN內部攻擊第1階段的檢測方案對于WSN的信息和網絡安全至關重要。

如果節點只根據自身信息來判斷是否被捕獲，系統會出現很高的誤報率，因此很多典型的節點捕獲檢測方案都根據鄰居節點的反饋[8]來進行綜合判斷。例如，Lin提出一種CAT（Couple-based node compromise detection）檢測方案[9]，通過鄰居節點之間建立耦合來交互信標（Beacon）消息，從而確認彼此是否處于被捕獲的危險狀態。然而，CAT只能互相監控，當局部區域內大量節點被捕獲時，WSN無法檢測到危險。Ding等人通過一種簡單有效的FSD（First Stage Detection）[10]協議來檢測節點，如果節點未接收到鄰居節點預期數量的連續問候消息則懷疑鄰居節點已被捕獲。在這些方法中，為了保證能夠時刻交互消息，節點需要一直處于工作狀態，因此能耗過高。Ding進一步提出了一種通過節點定期廣播hello消息來證明自己未被捕獲的LDCFSD（Low Duty Cycle FSD）[11]檢測方案，方案加入了休眠機制，但是需要額外的同步機制使全部節點同步休眠。Mohamed提出一種基于重疊組的受損節點檢測方案[12]，通過在局部區域中的鄰居節點之間建立鏈式Group，從而形成重疊的Group以檢測攻擊威脅。

1 整體架構和網絡模型

方案針對WSN內部攻擊中第1個階段中分布式節點被捕獲的問題進行檢測。假設在一個固定區域內均勻部署靜態傳感器節點N={N1,N2,N3,…,Nn}，并且在部署階段，所有節點都處于安全狀態。WSN中每個節點的通信都是雙向的，即在該區域內，任意兩個節點可以相互通信，且節點之間消息通信過程所用時間忽略不計。該方案將WSN中的節點N分為底層節點（Bottom Node，BN）、監控節點（Monitoring Node，MN）及決策節點（Decision Node，DN）3類。1個BN、2個MN及1個DN共同構成三級體系（Three Hierarchy System，THS）。1個通信結構至少包含2個不相鄰的THS，因此一個完整的通信結構至少由7個節點構成。

通過多輪詢機制[13]，BN會周期性地向其任意一個MN發送自身狀態消息，當出現異常現象時，MN向BN發送詢問消息。MN與BN交互信息后判斷BN當前安全是否受到威脅，若MN判斷BN處于危險狀態時向其他MN發送自身狀態消息，各個MN節點根據詢問信息將判斷結果發送給決策節點DN。當DN收到安全信息時保持正常工作，當DN收到非安全信息時，與判斷同一個BN安全狀態的其他DN交互信息，協同決策該BN的狀態是否已被捕獲，并將狀態信息和節點唯一ID上報基站（Base Station，BS），由BS處理該被捕獲節點。

2 多輪詢節點捕獲檢測方案

2.1 方案概述與假設

WSN節點捕獲檢測方案最難以解決的問題是誤報和漏報導致的檢測準確度降低。該方案采用多輪詢的通信方式，以BN、MN及DN組成的多個THS共同構成蛛網結構（Cobweb），在節點安全狀態被威脅時，能夠完成多次協同決策，有效降低了誤報情況的發生。

節點同步休眠時，每個節點都始終處于喚醒狀態，因此節點能夠捕捉到每一個信息交互時間點，但是需要占用并且消耗更多的資源，在應用上會有一定的限制。

異步休眠機制中，節點不需要同步喚醒和休眠，因此不需要同步機制，但BN與MN之間需要通過hello（問候）消息和heart（心跳）消息來確定BN的安全狀態，之后由MN上報DN，由屬于同一個BN的DN交互信息，共同決定是否上報BS。

假設Cobweb的通信周期為C，每個節點的工作周期為T，通信周期由3個T構成。在一個T中，工作時間為Tw，休眠時間為Ts，令Tw取值大于Ts，保證節點工作效率；假設每個節點被捕獲的時間為Tc，令Tc取值小于T，使得如果BN在任意一個T內被捕獲，那么MN都無法接收到BN發送的消息，MN會發送給BN詢問消息并將信息發送給DN，由DN之間協同決策后上報給BS。

2.2 多輪詢機制與Cobweb結構

CAT[9]檢測方案通過節點兩兩結對的方式相互通信，兩個節點互為彼此的BN與MN，且每個節點都能成為DN，通信模型如圖1（a）所示。因為此方案中的DN無法協同決策，所以隨著被捕獲節點數量的增加，相互監控的兩個節點同時被捕獲的概率增大，DN角色缺失，誤報率隨之增加。

圖1 通信模型

Group檢測方案[12]通過節點與鄰居節點建立鏈式Group。Group之間通過一個關鍵節點連接，最終形成鏈式結構的通信模型，如圖1（b）所示。鏈式結構中，兩個Group互為彼此的BN與MN。當Group中任意一個節點被捕獲，該Group通信結構被破壞，此時鏈式結構中與其相鄰的Group充當DN的角色。由于鏈式結構中的關鍵節點被捕獲時，此方案無法判斷被捕獲的節點處于哪一個相鄰Group，因此誤報率將大大提升。

本文提出的方案采用多輪詢的通信方式，其基本通信單元是由1個BN、2個MN和1個DN共同組成的THS，通信模型如圖1（c）所示。由于各個THS的BN可以為同一節點，因此BN、MN及DN之間的通信形成了類似蛛網的結構（即Cobweb）。當Cobweb由6個THS構成時，其通信模型如圖2所示。

1個Cobweb可分解為6個THS，THS={THS1,THS2,THS3,…,THS6}，其 中THS1={BNa,MNb,MNc,…,DNb}。當MNb或MNc在T內沒有收到由BNa發送的hello消息時，該節點會在下一個通信周期向BNa發送heart消息來詢問BNa是否存活，確認后MNb將結果發送給DNm和DNh，MNc將結果發送給DNh與DNi，在該結構中消息傳輸時間忽略不計。若MNb與MNc中有1個或2個認為BNa處于危險狀態，則BNa向其他MN發送hello消息。當在THS1中DNh無法根據MNb和MNc發送的信息來判斷BNa是否處于安全狀態時，DNh將會向其他DN進行問詢。MNb和MNc中有一個向DNh發送BNa危險信息時，DNh則判斷BNa處于待定狀態；MNb和MNc中有兩個向DNh發送BNa危險信息時，DNh則判斷BNa處于危險狀態。當全部DN都處于待定狀態或一半與一半以上DN都判斷BN處于危險狀態時，DNh認為BNa已經被捕獲并報告給BS。

圖2 蛛網結構

在該方案中，BNa不再按照傳統的多輪詢方式向MNb、MNc、MNd、MNe、MNf及MNg以一定周期依次發送消息，而是在第一個T內同時向相鄰的MNb和MNc發送消息。若BNa處于待定或者危險狀態，則BNa在第2個T內向相其他MN發送消息，從而保證了該通信模型的周期在一個C內。此外，該方案提出的Cobweb通信模型通過兩次協同決策來降低通信模型的誤報率，提升了檢測率的準確度。

2.3 異步休眠機制

在異步休眠機制中，當節點處于休眠狀態時，該節點將無法發送、接收到任何消息，使得MN、DN錯過若干hello和heart消息，DN做出錯誤決策，最終導致大量誤報和漏報現象。因此，該方案針對WSN節點捕獲問題對異步休眠機制做出了相應的改進，保證節點在保留異步休眠機制的同時在Tw不會錯過鄰居節點傳達的信息。

在隨機抓取的同一個時間T內，節點間工作時間Tw與休眠時間Ts是異步的，即在同一T內Tw、Ts分配在不同的時間段。該方案將全部異步休眠節點分為N1，N2，N3，…，N6共計6類異步休眠節點，Cobweb中的BN和MN可能不屬于同一類異步休眠節點。

BN在節點由休眠狀態轉為工作狀態后的第一時刻向其全部MN發送第1次hello消息，在Tw進行一半時向其全部MN發送第2次hello消息，在Tw即將結束的最后一刻向其全部MN發送第3次hello消息。無論當前MN屬于哪一類異步休眠節點，保證在其Tw中都能接收到至少1次hello消息。

如果在一個工作周期T中，MN沒有接收到任何BN發送的hello消息，那么當下一個Tw開始時，在與BN向MN發送hello消息相同的時刻，MN向BN發送3次heart消息來確認MN當前的安全狀態。該方案保證在BN的Tw中，BN可以接收到至少1次heart消息。

以BN為N1的情況為例，分析當對應的MN分別為N1，N2，N3，…，N6時，BN與MN之間hello消息的3次通信情況，如圖3所示。

圖3 節點異步休眠

在一個固定區域中，若干靜態傳感器節點共同組成Cobweb。Cobweb可拆分為若干個THS。在1個THS中，有且只有1個BN，若干MN，有且只有1個 DN。其中MN={MN1,MN2,MN3,…,MNn}。

當MN1與BN同屬于異步休眠節點類型N1時，如圖3（a）所示，在此特殊情況下可將MN1與BN看作同步休眠周期節點，BN向MN1發送的3次hello消息皆可在MN1的Tw內，即MN1能夠成功接收到BN全部的hello消息。與此相對應，當MN1在1個工作周期T中沒有接收到任何hello消息時，BN疑似被捕獲，MN1在當前Ts結束后立即向BN發送3次heart消息。如果BN未被捕獲，BN將成功接收3次heart消息并回應，從而證明該BN節點并未被捕獲，仍然處于安全狀態。

當MN2屬于異步休眠節點類型N2時，如圖3（b）所示，BN向MN2發送的3次hello消息中有1次在MN1的Tw內，有2次hello消息在MN2的Ts內，即MN2能夠成功接收到BN1次hello消息。同上，當MN2沒有接收到hello消息時，向BN發送的3次heart消息中有1次在BN的Tw內。

當MN3屬于異步休眠節點類型N3時，如圖3（c）所示，MN3能夠成功接收到BN2次hello消息，MN3沒有接收到hello消息時，BN成功接收2次MN3的heart消息。

當MN4屬于異步休眠節點類型N4時，如圖3（d）所示，MN4能夠成功接收到BN2次hello消息，MN4沒有接收到hello消息時，BN成功接收2次MN4的heart消息。

當MN5屬于異步休眠節點類型N5時，如圖3（e）所示，MN5能夠成功接收到BN一次hello消息，MN5沒有接收到hello消息時，BN成功接收1次MN5的heart消息。

當MN6屬于異步休眠節點類型N6時，如圖3（f）所示，MN6能夠成功接收到BN2次hello消息，MN6沒有接收到hello消息時，BN成功接收1次MN6的heart消息。

2.4 具體方案流程

在固定區域中由一個BS與若干節點N={N1,N2,N3,…,Nn}(n≥7)共同組成WSN，每個N都有且只有一個ID，在部署后記錄自己相對應的BN、MN、DN，并且在初始化時同步給BS。針對WSN中節點捕獲入侵檢測問題，該方案將全部N拆解為若干個Cobweb。為了保證兩次協同決策正常運行，1個Cobweb必須包含至少2個不相鄰的THS，其中至少包含1個BN、4個MN與2個DN。

在檢測過程中，MN對BN進行監控并將監控結果發送給對應DN，每個DN根據對應的2個MN發送的信息來做出決策。當得到的信息不足以判斷該BN是否被捕獲時，DN向其它的DN進行問詢，最終做出本地協同決策。當決策結果為該節點已被捕獲時，DN通過多跳路由向BS發出信息，由BS通告區域內全部節點，給出對策并采取措施。

在該方案中，假設有n(n≥7)個節點，其中，有h(h≥4)個MN、k(k≥2)個DN與1個BN，設立節點捕獲指數Ci代表節點被捕獲的可能性，Ci取值范圍為[0,1]，取值越接近1表示該節點被捕獲可能性越大。

具體流程如下：

（1）初始化Cobweb，底層節點BN被喚醒時全部對應的h個MN處于監控狀態。BN根據3.2節采用多輪詢方式向MNi發送hello消息，此時節點捕獲指數Ci為0。

（2）BN與MNi采用3.3節異步休眠機制相互通信，如果在第一個T內MNi收到hello消息，MNi認為BN未被捕獲并向對應的DNi發送該消息。如果在第一個T內MNi沒有收到hello消息，MNi在第2個周期向BN發送heart消息，若BN回應heart消息，則依舊認為BN未被捕獲，若MNi未收到回應，則認為BN已被捕獲并向對應的DNi發送該消息。

（3）DNi收到對應的2個MNi所發送的消息，并進行第1次協同決策。如果2個MNi發送的皆為未捕獲消息，則重復執行步驟（1），直至DNi收到已捕獲消息后廣播給其他DN。與此同時，DNi接收其他DN廣播的消息并與自身所得到的消息進行驗證，進行第2次協同決策后共接收到j(j≤n)個已捕獲消息，Ci=Ci+j/n。

（4）計算當前Ci，當Ci≤1/2時認為當前BN并未被捕獲，則重復執行步驟（1），直至Ci＞1/2時，DNi向BS發送已被捕獲節點BN的ID，BS接收到該消息后做出相應處理，當前流程結束。該方案的流程如圖4所示。

3 實驗方案仿真

在MATLAB仿真環境下，將該檢測方案與CAT檢測方案和GROUP檢測方案分別在誤報率、漏報率及檢測率3方面進行實驗分析。

在100 m×100 m的實驗場地中隨機均勻部署一個BS與100個靜態傳感器節點，每個節點此時都處于安全狀態且相互正常通信，通信距離為30 m。實驗中設定被捕獲的節點Nc={N1,N2,N3,…,N30}不會超過節點總量的30%，并以每增加5個被捕獲節點時對應的誤報率、漏報率及檢測率變化得出圖像，結果分別如圖5、圖6及圖7所示。

圖4 方案流程圖

為了保證實驗的一般性，設定1 min即60 s為節點被捕獲所需時間Tc，每個節點工作周期T為Tc的1/4即15 s，每個周期中工作時間Tw為10 s，休眠時間Ts為5 s。該方案最長使用3T完成檢測即45 s，且45 s＜Tc，滿足節點捕獲時間大于節點周期的條件。1個節點以自身作為BN，選取6個周邊部署的鄰居節點作為MN，選取6個相鄰MN節點的6個共同鄰居節點為DN。

從圖5可以看出，CAT檢測方案、GROUP檢測方案及本文檢測方案的檢測率皆隨著被捕獲Nc的數量增多而下降。其中，CAT檢測方案的檢測率由100%下降到79.6%，GROUP檢測方案的檢測率由100%下降到86.7%，本文檢測方案的檢測率由100%下降到94.6%。

圖5 不同方案的檢測率

由于本文方案將節點組成THS與Cobweb結構，并采用多輪詢的通信方式來完成協同決策，節點異步休眠機制的引入保證了信息的通信暢通，因此即使Nc的數量逐漸增多，該方案依然能夠保證檢測率平緩下降。GROUP檢測方案在鏈式檢測的體系下，隨著Nc數量的增多，鏈狀結構關鍵節點全部被捕獲的概率增大，且并未考慮休眠機制，消息丟失與誤報的概率增大。CAT檢測方案在結對互相檢測的體系下，當兩個節點同時被捕獲，兩個節點被捕獲的消息將無法傳達給基站，且與GROUP檢測方案一樣并未考慮休眠機制。因此隨著Nc數量的增多，結對的節點同時被捕獲的可能性也更大，檢測率下降的也更加明顯。

從圖6可以看出，CAT檢測方案、GROUP檢測方案及本文檢測方案的誤報率皆隨著被捕獲Nc的數量增多而上升。其中，GROUP檢測方案的檢測率由15.8%上升到36.2%，CAT檢測方案的檢測率由12.5%上升到24.9%，該檢測方案的檢測率由0.8%上升到6.4%。

由于本文方案采用THS與Cobweb結構來保證協同決策的穩定性和準確性，因此該方案誤報率上升趨勢更為平緩。由于沒有考慮休眠機制，盡管CAT檢測方案在結對互相檢測的體系下需要監控的節點比GROUP檢測方案少，但是仍會存在將處在Ts時的節點誤報為Nc的情況，因此CAT檢測方案誤報率上升得比本文方案更加明顯。GROUP檢測方案需要監控的節點更多，也會有更多將Ts時的節點誤報為Nc的情況，因此誤報率上升最為明顯。

圖6 不同方案的誤報率

從圖7可以看出，CAT檢測方案、GROUP檢測方案及本文檢測方案的漏報率皆隨著被捕獲Nc的數量增多而上升。其中，CAT檢測方案的漏報率由0%上升到16.4%，GROUP檢測方案的漏報率由0%上升到8.6%，本文檢測方案的漏報率由0%上升到4.2%。

圖7 不同方案的漏報率

3種方案由于一些邊緣的孤兒節點無法支撐檢測的體系，皆會造成漏報的情況。由于本文方案的檢測體系種各個節點分工明確，包容性更強，孤兒節點出現的更少，因此該方案的漏報率上升得更為平緩。GROUP檢測方案在一組鏈式結構節點間隔被捕獲時，無法判斷處在間隔中的節點是否被捕獲，因此隨著Nc數量的增多，漏報率也會有一些提升。在CAT檢測方案中，若是兩個結對的節點同時被捕獲則會造成漏報情況，同時也會影響檢測率，因此隨著Nc數量的增多，漏報率明顯上升。

4 結 語

為了降低異步休眠框架中WSN節點捕獲檢測方案的誤報率與漏報率，本文提出了一種融合多輪詢機制與節點協同決策的檢測方案。將目標檢測區域節點分為BN、MN及DN共3種，每1個BN、1個DN及2個MN組成一個THS，由節點分布密度決定由n(n≥2)個THS構成一個Cobweb結構，節點之間采用多輪詢機制通信。若一個Cobweb結構里沒有節點被捕獲，則隨機的THS始終在第1個周期里工作，節點之間協同決策來降低誤報率；與此同時，本文改善了異步休眠機制來應對節點異步休眠方式中信息丟失的問題，無論節點的工作時間Tw與休眠時間Ts在一個周期T中如何分布，都能夠保證消息正常地發送與接收，從而降低了方案的誤報率。仿真實驗結果表明，本文所提出的檢測方案通過降低誤報率與漏報率，很好地提升了檢測率的準確度。然而，由于本文檢測方案需要精細的Cobweb結構支持，因此在目標區域節點密度過小時無法完成檢測，下一步的研究方向是如何在低節點密度的情況下優化檢測方案。