基于規(guī)范的入侵檢測(cè)技術(shù)在無(wú)線傳感網(wǎng)中的研究

 收稿日期：2008-01-05；

修回日期：2008-03-21

基金項(xiàng)目：上海市科委重大科技公關(guān)資助項(xiàng)目（05dz15004）



作者簡(jiǎn)介：熊鵬（1978-），男，江西南昌人，博士研究生，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)安全（52061201014@ecnu.cn）；

張衛(wèi)（1953-），男，上海人，教授，博導(dǎo)，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)、無(wú)線通信與網(wǎng)絡(luò)安全；

沈富可（1963-），男，山東濟(jì)南人，副教授，博士研究生，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò).

(1.華東師范大學(xué) 信息學(xué)院 計(jì)算機(jī)科學(xué)技術(shù)系 上海 200062; 2.南昌航空大學(xué) 計(jì)算機(jī)系 南昌 330063)

摘要：

探討了無(wú)線傳感網(wǎng)中的入侵檢測(cè)技術(shù) 提出了設(shè)計(jì)傳感網(wǎng)入侵檢測(cè)系統(tǒng)時(shí)應(yīng)遵守的一些基本原則，并以此為基礎(chǔ)設(shè)計(jì)了一種簡(jiǎn)單有效的實(shí)施方案。該方案利用同一鄰居關(guān)系節(jié)點(diǎn)間的分工協(xié)作和信息交流可以使網(wǎng)絡(luò)恢復(fù)正常的運(yùn)行狀態(tài)。重點(diǎn)解決如何依據(jù)局部信息，通過(guò)分布式方案來(lái)實(shí)現(xiàn)對(duì)傳感網(wǎng)的入侵行為的檢測(cè);通過(guò)定義簡(jiǎn)單的規(guī)則實(shí)現(xiàn)了對(duì)黑洞攻擊和選擇性轉(zhuǎn)發(fā)攻擊的檢測(cè)。最后通過(guò)實(shí)驗(yàn)對(duì)方案的有效性進(jìn)行了驗(yàn)證。

關(guān)鍵詞：無(wú)線傳感網(wǎng); 入侵檢測(cè); 基于規(guī)范; 監(jiān)測(cè)者

中圖分類號(hào)：TP393.08

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2008)10-3112-04

Specification-based intrusion detection for WSN

XIONG Peng1，2 ZHANG Wei SHEN Fu-ke1

(1.Dept.of Computer Science Technology School of Information Science East China Normal University Shanghai 200062 China;

2.Dept.of Computer Science Technology Nanchang Hangkong University Nanchang 330063 China)

Abstract:

To study the problem of intrusion detection in WSN this paper proposed some basic principles and a good scheme that could be applied to such networks. The collaboration and exchange of nodes in the same neighborhood could make the network back to its normal operational situation. Detection with localized and partial audit data was achieved by a distributed approach. The design was applied for the black-hole and selective forwarding attacks by defining appropriate rules. Finally the effectiveness of this scheme was verity.

Key words：wireless sensor networks(WSN); intrusion detection system(IDS); specification-based; watchdog

0引言

隨著通信技術(shù)、嵌入式計(jì)算技術(shù)、傳感器技術(shù)的飛速發(fā)展和日益成熟，具有感知能力、計(jì)算能力和通信能力的微型傳感器網(wǎng)絡(luò)開(kāi)始在世界范圍內(nèi)出現(xiàn)。這種傳感器網(wǎng)絡(luò)能夠協(xié)作地實(shí)施監(jiān)測(cè)、感知和采集網(wǎng)絡(luò)分布區(qū)域內(nèi)的各種環(huán)境或監(jiān)測(cè)對(duì)象的信息，并對(duì)這些信息進(jìn)行處理后，傳送這些信息到需要的用戶手上[1]。無(wú)線傳感網(wǎng)的絕大多數(shù)應(yīng)用都需要大量節(jié)點(diǎn)的同時(shí)參與，由此產(chǎn)生了利用和管理的問(wèn)題。更糟糕的是，要想到達(dá)傳感網(wǎng)的配置區(qū)域也許是不大可能或很困難的，如敵對(duì)的勢(shì)力區(qū)、危險(xiǎn)的環(huán)境或交戰(zhàn)區(qū)等。因此，在沒(méi)有管理人員或用戶干預(yù)下的高度自治性、對(duì)外部實(shí)時(shí)變化的良好適應(yīng)性和學(xué)習(xí)能力對(duì)傳感網(wǎng)就顯得更為必要了。

由于傳感網(wǎng)工作時(shí)的協(xié)同性和節(jié)點(diǎn)資源的有限性使其在安全預(yù)防領(lǐng)域處于極為不利的地位，任何適用于傳感網(wǎng)的安全防護(hù)機(jī)制都必須建立在傳感網(wǎng)自身能力的范圍內(nèi)。

目前，傳感網(wǎng)的安全解決方案集中在以下三個(gè)方面：密鑰管理;認(rèn)證和安全路由[2];安全的服務(wù)[3，4]。基于這三個(gè)方面的所有安全威脅和解決方案都是建立在對(duì)攻擊者的一個(gè)假設(shè)——攻擊本身是虛弱的這樣的前提下，從而使這些解決方案能夠?qū)崿F(xiàn)對(duì)攻擊免疫的目標(biāo)。這個(gè)假設(shè)有很大的危險(xiǎn)，如果攻擊很強(qiáng)，那么對(duì)手就有能力入侵到整個(gè)網(wǎng)絡(luò)的內(nèi)部。因?yàn)楣?jié)點(diǎn)資源的有限性，傳感網(wǎng)節(jié)點(diǎn)通常很難應(yīng)付具有強(qiáng)大攻擊能力者的攻擊，從而導(dǎo)致對(duì)第二道防線——入侵檢測(cè)系統(tǒng)(IDS)的需要。入侵檢測(cè)系統(tǒng)能夠檢測(cè)到第三方利用安全漏洞發(fā)動(dòng)攻擊的企圖，并將整個(gè)警告信息在整個(gè)網(wǎng)內(nèi)進(jìn)行傳播，即使這些攻擊是首次出現(xiàn)。

1傳感網(wǎng)對(duì)入侵檢測(cè)系統(tǒng)的要求

傳感網(wǎng)中，每個(gè)節(jié)點(diǎn)的通信和計(jì)算資源都十分有限，其有效信號(hào)范圍也很小，這就導(dǎo)致每個(gè)節(jié)點(diǎn)在面對(duì)攻擊的時(shí)候非常脆弱，容易被攻擊者控制，從而在網(wǎng)絡(luò)內(nèi)部發(fā)起對(duì)其他節(jié)點(diǎn)的攻擊。

為了應(yīng)對(duì)傳感網(wǎng)這種特殊的網(wǎng)絡(luò)屬性，要在傳感網(wǎng)中建立起有效的入侵檢測(cè)系統(tǒng)，就必須充分利用傳感網(wǎng)各節(jié)點(diǎn)工作時(shí)的分工協(xié)作。因此，傳感網(wǎng)的入侵檢測(cè)系統(tǒng)只能是分布式的結(jié)構(gòu)。它必須具備如下一些屬性：

a)區(qū)域?qū)徲?jì)。傳感網(wǎng)中沒(méi)有能夠?qū)崿F(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控和采集的基礎(chǔ)設(shè)施，因此要使入侵檢測(cè)技術(shù)有效工作，其檢測(cè)能力就必須建立在對(duì)局部、部分的審計(jì)數(shù)據(jù)源的審計(jì)之上。

b)最少量的資源。傳感網(wǎng)的入侵檢測(cè)只有有限的資源可利用。無(wú)線網(wǎng)沒(méi)有穩(wěn)定的連接，網(wǎng)絡(luò)設(shè)備的物理資源都極其有限，連接隨時(shí)都可能被中斷。此外，入侵檢測(cè)系統(tǒng)本身的通信所占帶寬也不能太多。

c)沒(méi)有可信的節(jié)點(diǎn)。傳感網(wǎng)的入侵檢測(cè)技術(shù)不能預(yù)設(shè)任何節(jié)點(diǎn)是可信這一前提。與有線網(wǎng)不同，傳感網(wǎng)中節(jié)點(diǎn)過(guò)于脆弱。因此，入侵檢測(cè)采用的協(xié)同算法必須在預(yù)設(shè)任何節(jié)點(diǎn)都是不安全的前提下進(jìn)行。

d)分布式的解決方案。入侵檢測(cè)的數(shù)據(jù)采集和分析可能在多個(gè)節(jié)點(diǎn)上實(shí)現(xiàn)，其檢測(cè)算法和相關(guān)的報(bào)警機(jī)制也是由不同位置上的系統(tǒng)代理協(xié)調(diào)執(zhí)行。

e)檢測(cè)系統(tǒng)自身的健壯性。入侵檢測(cè)系統(tǒng)應(yīng)該能夠抵擋住對(duì)自身的惡意侵犯。傳感網(wǎng)的入侵檢測(cè)系統(tǒng)要能保證在節(jié)點(diǎn)被攻陷或檢測(cè)代理自身被控制的情況下，這些節(jié)點(diǎn)無(wú)權(quán)剝奪其他節(jié)點(diǎn)的合法性，也無(wú)權(quán)使任何入侵行為免受來(lái)自系統(tǒng)的檢測(cè)。

2一種新型的適用于傳感網(wǎng)的入侵檢測(cè)技術(shù)

在滿足上述屬性的基礎(chǔ)上，本文提出了一種適用于傳感網(wǎng)的新的入侵檢測(cè)技術(shù)方案。它可以分為三個(gè)部分：a)分布的入侵檢測(cè)的審計(jì)機(jī)制；b)基于丟失率的規(guī)范的檢測(cè)算法；c)決策制定技術(shù)。本文將對(duì)每一部分提出可行的實(shí)現(xiàn)方案，并詳細(xì)地闡述其對(duì)傳感網(wǎng)為什么是可適的。最后，針對(duì)當(dāng)前傳感網(wǎng)的主要威脅來(lái)源——黑洞（blackhole）攻擊和選擇性轉(zhuǎn)發(fā)攻擊[5]，把該方案運(yùn)用到對(duì)它們的實(shí)例檢測(cè)中。

2.1分布的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

傳感網(wǎng)中，多數(shù)攻擊者都會(huì)將攻擊目標(biāo)放在路由協(xié)議上，以便實(shí)現(xiàn)對(duì)傳感網(wǎng)中信息流的控制。此外，傳感網(wǎng)的任務(wù)主要是往基站回傳節(jié)點(diǎn)的傳感數(shù)據(jù)，只要中斷這種數(shù)據(jù)傳送，攻擊就可以說(shuō)獲得了成功。因此，最適合傳感網(wǎng)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)應(yīng)該是基于網(wǎng)絡(luò)的。基于網(wǎng)絡(luò)的入侵檢測(cè)以待傳感的數(shù)據(jù)分組作為自己的數(shù)據(jù)源，實(shí)時(shí)地捕捉并檢測(cè)這些單個(gè)的分組。

無(wú)線通信鏈路裸露于空氣中，無(wú)任何物理屏障，這種鏈路特性使得任何有心的對(duì)手可以方便地實(shí)現(xiàn)對(duì)鏈路上通信內(nèi)容的竊聽(tīng)，相鄰節(jié)點(diǎn)也容易實(shí)現(xiàn)相互間的校驗(yàn)。文獻(xiàn)[6]提出了一個(gè)適合于Ad hoc的入侵檢測(cè)系統(tǒng)，該系統(tǒng)把整個(gè)網(wǎng)絡(luò)劃分為若干個(gè)簇，每個(gè)簇由簇頭負(fù)責(zé)實(shí)現(xiàn)對(duì)本簇內(nèi)所有流量的監(jiān)測(cè)。然而，這種定義無(wú)法滿足“無(wú)線傳感網(wǎng)中不能預(yù)設(shè)任何可信節(jié)點(diǎn)”這一條件，若簇頭節(jié)點(diǎn)本身被攻陷的話，就有可能迫使網(wǎng)絡(luò)排斥某個(gè)合法的節(jié)點(diǎn)。所以針對(duì)無(wú)線傳感網(wǎng)的特殊性，應(yīng)把更適合于傳感網(wǎng)特性的簡(jiǎn)單多數(shù)裁決機(jī)制引入到傳感網(wǎng)中，即在某一特定區(qū)域作出同一決策的節(jié)點(diǎn)數(shù)多于這一區(qū)域有可能被敵手同時(shí)攻陷的節(jié)點(diǎn)數(shù)，那么由這些節(jié)點(diǎn)作出的決策就應(yīng)該被整個(gè)區(qū)域接受。

這種簡(jiǎn)單多數(shù)裁決機(jī)制對(duì)傳感網(wǎng)的入侵檢測(cè)技術(shù)來(lái)說(shuō)是必需的。以用相鄰節(jié)點(diǎn)實(shí)現(xiàn)對(duì)選擇性分組轉(zhuǎn)發(fā)攻擊的檢測(cè)為例，通過(guò)使用監(jiān)測(cè)節(jié)點(diǎn)（watchdog）方法[7]，一個(gè)節(jié)點(diǎn)很容易實(shí)現(xiàn)對(duì)處于自己鄰居關(guān)系范圍內(nèi)的其他節(jié)點(diǎn)的行為進(jìn)行監(jiān)視，從而判斷自己的鄰節(jié)點(diǎn)是否正確轉(zhuǎn)發(fā)了接收到的分組。如圖1所示，假設(shè)節(jié)點(diǎn)A處于節(jié)點(diǎn)B的有效無(wú)線信號(hào)范圍內(nèi)，是B的鄰居節(jié)點(diǎn)；分組遵循路徑S→A→B→C→R進(jìn)行轉(zhuǎn)發(fā)，A在混雜模式下對(duì)B進(jìn)行偵聽(tīng)，以至于有能力知道B是否把這一分組正確地轉(zhuǎn)交給了節(jié)點(diǎn)C。

那么，是否只需要一個(gè)節(jié)點(diǎn)就能完全勝任這種監(jiān)測(cè)任務(wù)呢？仍以圖1為例，假設(shè)節(jié)點(diǎn)B是敵手或惡意節(jié)點(diǎn)，由無(wú)線通信的本質(zhì)可知，至少有三種情況將導(dǎo)致在只有一個(gè)監(jiān)測(cè)節(jié)點(diǎn)A監(jiān)測(cè)的情況下，B仍有可能對(duì)接收到的分組實(shí)現(xiàn)選擇性轉(zhuǎn)發(fā)而難以檢測(cè)到：

a)在節(jié)點(diǎn)B轉(zhuǎn)發(fā)分組時(shí)，節(jié)點(diǎn)S也正好向節(jié)點(diǎn)A發(fā)送一個(gè)分組，導(dǎo)致在節(jié)點(diǎn)A處發(fā)生沖突（隱藏終端問(wèn)題）。這時(shí)A并不能準(zhǔn)確地知道是哪個(gè)分組導(dǎo)致了這次沖突，因此將無(wú)法正確判斷節(jié)點(diǎn)B的行為。

b)在節(jié)點(diǎn)B向節(jié)點(diǎn)C轉(zhuǎn)發(fā)分組時(shí)，節(jié)點(diǎn)D正好也向C發(fā)送一個(gè)分組，導(dǎo)致在節(jié)點(diǎn)C處發(fā)生信號(hào)沖突，這時(shí)節(jié)點(diǎn)A并不知道節(jié)點(diǎn)C處信號(hào)沖突的情況，仍將判定節(jié)點(diǎn)B轉(zhuǎn)發(fā)的正確性。這時(shí)B如果省略對(duì)沖突分組的重發(fā)，節(jié)點(diǎn)A將無(wú)法知道。

c)一旦偵聽(tīng)到節(jié)點(diǎn)C要發(fā)送分組，節(jié)點(diǎn)B立即向C轉(zhuǎn)發(fā)它收到的分組從而導(dǎo)致在節(jié)點(diǎn)C處的沖突。這時(shí)C將無(wú)法正確接收B轉(zhuǎn)發(fā)過(guò)來(lái)的分組，而節(jié)點(diǎn)A也將無(wú)法對(duì)B的行為作出準(zhǔn)確判斷。

看門(mén)狗方案要實(shí)現(xiàn)對(duì)節(jié)點(diǎn)B行為的監(jiān)測(cè)，就必須利用來(lái)自更多節(jié)點(diǎn)的信息。本文的方案是讓所有能夠偵聽(tīng)到節(jié)點(diǎn)B的行為的鄰節(jié)點(diǎn)都參與對(duì)B行為的檢測(cè)活動(dòng)。尤其對(duì)于無(wú)線鏈路：S→R，參與監(jiān)測(cè)的節(jié)點(diǎn)將是節(jié)點(diǎn)S的鄰節(jié)點(diǎn)和節(jié)點(diǎn)R的鄰節(jié)點(diǎn)的交集（包括S在內(nèi)）。因此對(duì)于如圖2中節(jié)點(diǎn)S、A、B和C均可對(duì)S與R之間的通信行為進(jìn)行監(jiān)測(cè)。

在本實(shí)驗(yàn)中，發(fā)現(xiàn)在任何網(wǎng)絡(luò)密度的情況下，對(duì)任意一條通信鏈路，有資格成為監(jiān)測(cè)節(jié)點(diǎn)的平均數(shù)量大概為相鄰節(jié)點(diǎn)中的一半。例如，在同一相鄰關(guān)系中有10個(gè)節(jié)點(diǎn)的通信環(huán)境中，針對(duì)其中的任一通信鏈路，能參與到監(jiān)測(cè)活動(dòng)的節(jié)點(diǎn)大概在5個(gè)。

2.2基于規(guī)范的檢測(cè)技術(shù)

為了及時(shí)發(fā)現(xiàn)節(jié)點(diǎn)的惡意或不當(dāng)行為，入侵檢測(cè)系統(tǒng)必須要能區(qū)分正常和異常行為。目前的入侵檢測(cè)技術(shù)中可用的技術(shù)主要有三種[8]，即濫用檢測(cè)、異常檢測(cè)和基于規(guī)范的檢測(cè)。考慮到濫用檢測(cè)和異常檢測(cè)需龐大的特征庫(kù)和傳感網(wǎng)本身資源的限制，本文的入侵檢測(cè)系統(tǒng)采用基于規(guī)范的檢測(cè)技術(shù)。基于規(guī)范的檢測(cè)雖然也是通過(guò)檢測(cè)正常行為和惡意攻擊或不當(dāng)行為間的差異來(lái)實(shí)現(xiàn)檢測(cè)工作的，但與異常檢測(cè)不同的是，它的正常行為是建立在人為預(yù)先定義的行為規(guī)范基礎(chǔ)上。因?yàn)樵趥鞲芯W(wǎng)中，很難通過(guò)機(jī)器學(xué)習(xí)和訓(xùn)練得到正常的行為特征。

要采用基于規(guī)范的檢測(cè)策略，就需要有用于描述正常行為的規(guī)范。考慮針對(duì)黑洞攻擊和選擇性分組轉(zhuǎn)發(fā)攻擊的規(guī)范可以簡(jiǎn)化為建立一條與一個(gè)節(jié)點(diǎn)丟棄分組數(shù)量的規(guī)則來(lái)體現(xiàn)，每個(gè)參與監(jiān)測(cè)工作的節(jié)點(diǎn)都能使用這條規(guī)則來(lái)判定它監(jiān)測(cè)的對(duì)象行為是否正常。簡(jiǎn)單地說(shuō)，它們可以為監(jiān)測(cè)對(duì)象建立一個(gè)計(jì)數(shù)器，當(dāng)受監(jiān)測(cè)節(jié)點(diǎn)每丟失一個(gè)分組計(jì)數(shù)器就加一；當(dāng)計(jì)數(shù)器的數(shù)值超過(guò)某個(gè)門(mén)限時(shí)，就發(fā)出報(bào)警。這里必須考慮到另一個(gè)問(wèn)題，即客觀原因（如信道物理原因等）而導(dǎo)致的分組丟失該怎么辦？若按上面的辦法處理，將不可避免地會(huì)出現(xiàn)誤報(bào)。問(wèn)題的關(guān)鍵是門(mén)限值取值的大小。客觀原因造成的分組丟失和惡意的分組丟棄，在分組丟失率的大小上是有差別的。因此，本文用丟失率替代簡(jiǎn)單的計(jì)數(shù)器作為評(píng)判節(jié)點(diǎn)行為的標(biāo)準(zhǔn)。要獲得某個(gè)節(jié)點(diǎn)的分組丟失率，監(jiān)測(cè)節(jié)點(diǎn)必須在一段固定的時(shí)間內(nèi)（假設(shè)為w個(gè)單位的時(shí)間）對(duì)被監(jiān)測(cè)節(jié)點(diǎn)進(jìn)行持續(xù)的監(jiān)測(cè)并計(jì)算其丟失的分組數(shù)。

規(guī)則1門(mén)限規(guī)則。節(jié)點(diǎn)A暫時(shí)緩存由發(fā)送給節(jié)點(diǎn)B的所有分組，然后判斷B是否正確轉(zhuǎn)發(fā)這些分組。如果沒(méi)有，則每丟失一個(gè)分組，就使相對(duì)于B的計(jì)數(shù)器增1；如果正確轉(zhuǎn)發(fā)了，就刪除其在A緩存中的備份。在w個(gè)時(shí)間單位過(guò)后，若B丟失分組數(shù)超過(guò)了t，那么就判定B行為異常，同時(shí)A向網(wǎng)絡(luò)中其他節(jié)點(diǎn)發(fā)出警報(bào)。

每個(gè)參與監(jiān)測(cè)活動(dòng)的節(jié)點(diǎn)都建立這樣一個(gè)針對(duì)受監(jiān)測(cè)節(jié)點(diǎn)的具有w個(gè)單位的時(shí)間窗口，當(dāng)窗口時(shí)間耗盡，計(jì)數(shù)器的值超過(guò)門(mén)限值就發(fā)出報(bào)警。然后時(shí)間窗口重新開(kāi)始，如此周期性地反復(fù)進(jìn)行。要強(qiáng)調(diào)的是，每個(gè)參與監(jiān)測(cè)活動(dòng)的節(jié)點(diǎn)的時(shí)間窗口并不要求同步。

2.3協(xié)同的決策制定方案

對(duì)于最終檢測(cè)結(jié)果的判定和需采取的相應(yīng)后續(xù)行為的決策機(jī)制，有兩種方案可以選擇：節(jié)點(diǎn)獨(dú)立作出決策和協(xié)同制定決策。節(jié)點(diǎn)獨(dú)立制定響應(yīng)決策機(jī)制指定了決策制定的節(jié)點(diǎn)，如文獻(xiàn)[6]中的Ad hoc決策制定者是簇頭，但這種決策制定方案中，簇頭一旦被攻陷，就將使整個(gè)網(wǎng)絡(luò)處于無(wú)防狀態(tài)；此外，把整個(gè)網(wǎng)絡(luò)安全狀態(tài)的復(fù)雜計(jì)算和分析工作限制在一個(gè)或幾個(gè)關(guān)鍵節(jié)點(diǎn)上進(jìn)行并不利于檢測(cè)的準(zhǔn)確性，而且它也會(huì)帶來(lái)額外的能量和帶寬消耗。

與節(jié)點(diǎn)獨(dú)立作出決策機(jī)制不同，本文采用協(xié)同制定決策方案，要求當(dāng)一個(gè)節(jié)點(diǎn)檢測(cè)到入侵行為，或得到的入侵行為的數(shù)據(jù)沒(méi)有很強(qiáng)說(shuō)服力時(shí)，就必須與處于相鄰關(guān)系的節(jié)點(diǎn)協(xié)作發(fā)起一個(gè)全局性的檢測(cè)行為。即使有節(jié)點(diǎn)能夠確認(rèn)某個(gè)節(jié)點(diǎn)的惡意或不當(dāng)行為，因作出決策節(jié)點(diǎn)本身的可疑性，仍需得到其他相關(guān)節(jié)點(diǎn)的協(xié)同確認(rèn)。如圖1中，為了判別節(jié)點(diǎn)B是否發(fā)起了選擇性分組轉(zhuǎn)發(fā)攻擊，所有參與對(duì)鏈路A→B進(jìn)行監(jiān)測(cè)的節(jié)點(diǎn)都應(yīng)該協(xié)同工作（前面也闡述過(guò)為什么一個(gè)節(jié)點(diǎn)完成不了那樣的判定工作）。因此，本文要求任何節(jié)點(diǎn)作出最終判定前，必須參考所有參與對(duì)同一條鏈路進(jìn)行監(jiān)測(cè)的節(jié)點(diǎn)的警報(bào)消息。

要建立協(xié)同的決策機(jī)制，就必須利用參與了對(duì)同一條通信鏈路進(jìn)行監(jiān)測(cè)的所有節(jié)點(diǎn)獲得的信息。這就要求所有針對(duì)同一條通信鏈路的監(jiān)測(cè)節(jié)點(diǎn)必須處于同一個(gè)鄰居關(guān)系內(nèi)，它們發(fā)出的警報(bào)信息可以通過(guò)簡(jiǎn)單的廣播信息分組形式，通知其他的監(jiān)測(cè)節(jié)點(diǎn)。

規(guī)則2多數(shù)規(guī)則。針對(duì)同一條通信鏈路，如果有超過(guò)一半的監(jiān)測(cè)節(jié)點(diǎn)發(fā)出了報(bào)警信息，那么目標(biāo)節(jié)點(diǎn)就應(yīng)被判決為問(wèn)題節(jié)點(diǎn)而被整個(gè)網(wǎng)絡(luò)排斥或通知基站。

通過(guò)規(guī)則2，每個(gè)節(jié)點(diǎn)就能作出一個(gè)更加準(zhǔn)確的判定結(jié)論。對(duì)于鏈路A→B，本文把節(jié)點(diǎn)A定義為收集其他監(jiān)測(cè)節(jié)點(diǎn)的報(bào)警信息并應(yīng)用規(guī)則2作出最終判決的主響應(yīng)節(jié)點(diǎn)，稱其為主報(bào)者（reporter）。其余的監(jiān)測(cè)節(jié)點(diǎn)無(wú)須調(diào)用它們各自的協(xié)作檢測(cè)引擎。

對(duì)于多數(shù)規(guī)則，即使有被攻陷的監(jiān)測(cè)節(jié)點(diǎn)企圖通過(guò)發(fā)布虛假的報(bào)警信息來(lái)剝奪一個(gè)正常節(jié)點(diǎn)的合法身份，或?qū)ζ渌?jié)點(diǎn)的異常行為視而不見(jiàn)，因決策制定依賴多數(shù)節(jié)點(diǎn)的協(xié)同工作特性，其行為也不會(huì)對(duì)網(wǎng)絡(luò)的安全構(gòu)成威脅。然而，如果被攻陷的節(jié)點(diǎn)是主報(bào)者自身，那么敵手將控制檢測(cè)的結(jié)果。要避免這種情況的發(fā)生，只要所有的監(jiān)測(cè)節(jié)點(diǎn)也接收其他節(jié)點(diǎn)發(fā)來(lái)的報(bào)警信息并運(yùn)用多數(shù)規(guī)則作出自己的結(jié)論，然后把這一結(jié)論與收集者廣播的結(jié)論作比較就能達(dá)到預(yù)防主報(bào)者虛報(bào)的目的。

3入侵檢測(cè)代理模塊的設(shè)計(jì)

前面已經(jīng)描述了本文的檢測(cè)系統(tǒng)實(shí)現(xiàn)原理及其面對(duì)黑洞攻擊和選擇性轉(zhuǎn)發(fā)攻擊時(shí)的所有操作，本章將詳細(xì)介紹駐扎在每個(gè)傳感器節(jié)點(diǎn)上的入侵檢測(cè)代理的具體結(jié)構(gòu)。代理需具備以下功能：

a)網(wǎng)絡(luò)監(jiān)控。每個(gè)節(jié)點(diǎn)都對(duì)自己鄰居關(guān)系內(nèi)的分組進(jìn)行監(jiān)控并采集相關(guān)的審計(jì)數(shù)據(jù)。

b)決策制定。通過(guò)對(duì)審計(jì)數(shù)據(jù)的審計(jì)，每個(gè)節(jié)點(diǎn)根據(jù)自身的具體情況對(duì)入侵威脅水平作出判定并把判定結(jié)果公告給自己的鄰居節(jié)點(diǎn)以便作出最后的協(xié)同檢測(cè)。

c)響應(yīng)。每個(gè)節(jié)點(diǎn)都有各自針對(duì)入侵情況作出響應(yīng)的機(jī)制。

根據(jù)以上給出的功能，可以把入侵檢測(cè)代理具體劃分為五個(gè)模塊，如圖3所示。每個(gè)模塊都有各自的功能，每個(gè)IDS代理在結(jié)構(gòu)和功能上都是一樣的，相鄰關(guān)系的代理間可以相互廣播消息和進(jìn)行偵聽(tīng)。代理間提供的相互通信機(jī)制為使用分布式算法來(lái)決策最終的入侵檢測(cè)結(jié)果提供了條件。

圖3中，本地分組監(jiān)控模塊負(fù)責(zé)審計(jì)數(shù)據(jù)的采集并提供給本地檢測(cè)引擎供檢測(cè)使用；本地檢測(cè)引擎獲取審計(jì)數(shù)據(jù)并運(yùn)用給定的規(guī)則對(duì)其進(jìn)行分析；協(xié)作檢測(cè)引擎如果發(fā)現(xiàn)與入侵有關(guān)的特征數(shù)據(jù)，協(xié)作檢測(cè)引擎將把本地檢測(cè)引擎得到的相關(guān)狀態(tài)信息通知給所有的鄰節(jié)點(diǎn)；本地響應(yīng)模塊一旦檢測(cè)到了某種入侵或不當(dāng)行為的發(fā)生，就應(yīng)該采取相應(yīng)的響應(yīng)行為；最后安全通信模塊負(fù)責(zé)在所有的檢測(cè)代理間建立起可信的通信信道，為分布式計(jì)算提供安全平臺(tái)。

4方案的可行性評(píng)估

筆者利用工具NS2模擬1 000個(gè)節(jié)點(diǎn)的無(wú)線傳感網(wǎng)，實(shí)現(xiàn)了對(duì)本方案的可行性考察。以10個(gè)節(jié)點(diǎn)組成一個(gè)相鄰關(guān)系。每次隨機(jī)選擇一條通信鏈路A→B，并安排節(jié)點(diǎn)B以一給定的分組丟失率對(duì)接收到的來(lái)自節(jié)點(diǎn)A的分組發(fā)動(dòng)選擇性轉(zhuǎn)發(fā)攻擊。如此就可以安排監(jiān)測(cè)節(jié)點(diǎn)應(yīng)用本文的入侵檢測(cè)技術(shù)對(duì)節(jié)點(diǎn)B的行為進(jìn)行監(jiān)控。設(shè)節(jié)點(diǎn)B以可能性Pd來(lái)丟棄它接收到并需轉(zhuǎn)發(fā)出去的分組；設(shè)置門(mén)限值為周期時(shí)間w內(nèi)的丟包率：t=20%；最后設(shè)主報(bào)者節(jié)點(diǎn)A在時(shí)段W（大于周期時(shí)間w）內(nèi)得到最終的檢測(cè)結(jié)果。首先，考查比率W/w在成功的入侵檢測(cè)中會(huì)起何種作用，因?yàn)橹鲌?bào)者節(jié)點(diǎn)A要在接收所有監(jiān)測(cè)節(jié)點(diǎn)的報(bào)警信息后才能作出最終檢測(cè)。本文只模擬W/w>1的情況，重復(fù)實(shí)驗(yàn)1 000次的結(jié)果如圖4所示。圖中縱坐標(biāo)1-negative rate(消極誤報(bào)率)表示沒(méi)有檢測(cè)到的入侵行為；理想狀態(tài)下，如果節(jié)點(diǎn)B轉(zhuǎn)發(fā)分組的丟失率大于門(mén)限t=20%，主報(bào)者節(jié)點(diǎn)A應(yīng)該在每次時(shí)間段W內(nèi)給出入侵行為發(fā)生的最終檢測(cè)結(jié)果。然而，因?yàn)榉纸M丟失發(fā)現(xiàn)的或然性，有些參與監(jiān)測(cè)的節(jié)點(diǎn)在周期時(shí)間段w內(nèi)可能會(huì)發(fā)現(xiàn)受監(jiān)測(cè)節(jié)點(diǎn)的分組丟失率并沒(méi)有達(dá)到或超過(guò)門(mén)限值t，所以不發(fā)出警報(bào)消息，從而導(dǎo)致發(fā)出警報(bào)的監(jiān)測(cè)節(jié)點(diǎn)的數(shù)量達(dá)不到多數(shù)規(guī)則超過(guò)半數(shù)才能發(fā)出入侵檢測(cè)警報(bào)的要求，主報(bào)者節(jié)點(diǎn)A也就不會(huì)發(fā)出有入侵行為發(fā)生的警報(bào)而造成誤判斷。

相對(duì)門(mén)限值t，隨著分組丟失率Pd的提高，發(fā)生消極誤報(bào)的可能性會(huì)降低。在本實(shí)驗(yàn)中，消極誤報(bào)率處于較低的水平，因此保持了一個(gè)較高的入侵探測(cè)水平。

圖4中顯示，隨著主報(bào)者作出判決的時(shí)間段W的增長(zhǎng)，出現(xiàn)消極誤報(bào)的可能性會(huì)隨之降低。這是因?yàn)殡S著W的延長(zhǎng)，主報(bào)者節(jié)點(diǎn)A獲得的檢測(cè)信息會(huì)增多，從而作出的判斷也就會(huì)更加準(zhǔn)確。然而，為了對(duì)入侵行為做到及時(shí)發(fā)現(xiàn)，并不能無(wú)限制地提高W到一個(gè)很高的水平，筆者的經(jīng)驗(yàn)是W=1.6 w左右是比較合適的。

另外，檢測(cè)時(shí)間周期w的長(zhǎng)度會(huì)對(duì)入侵行為的檢測(cè)產(chǎn)生何種影響。在假設(shè)提供一個(gè)穩(wěn)定分組流量的前提下，以分組的數(shù)量來(lái)表示時(shí)間周期w的長(zhǎng)度。圖5顯示了受監(jiān)測(cè)節(jié)點(diǎn)監(jiān)測(cè)的不同分組數(shù)量的情況。隨著周期w的延長(zhǎng)，意味著監(jiān)測(cè)節(jié)點(diǎn)在運(yùn)用門(mén)限規(guī)則發(fā)出警報(bào)前，所要監(jiān)測(cè)的分組數(shù)量將更多。在一固定的模擬時(shí)間內(nèi)，筆者測(cè)量了由主報(bào)者的協(xié)作引擎產(chǎn)生的最終入侵警報(bào)消息數(shù)。在一給定的時(shí)間W（W=1.6 w）內(nèi)，參與監(jiān)測(cè)的所有節(jié)點(diǎn)都接收其他監(jiān)測(cè)節(jié)點(diǎn)廣播的報(bào)警信息，然后運(yùn)用多數(shù)規(guī)則來(lái)作出最后的檢測(cè)。

圖5中，隨著周期時(shí)間w的變長(zhǎng)，因?yàn)楦鞅O(jiān)測(cè)節(jié)點(diǎn)監(jiān)測(cè)的分組數(shù)量更多、發(fā)出的警報(bào)信息更準(zhǔn)確而導(dǎo)致了消極誤報(bào)率的降低。

圖6顯示了分組丟失率Pd對(duì)主報(bào)者節(jié)點(diǎn)產(chǎn)生的警報(bào)消息數(shù)量的影響。筆者測(cè)試了門(mén)限值分別為t=10%和t=20%的情況，進(jìn)行1 000次重復(fù)實(shí)驗(yàn)，每次時(shí)間設(shè)定為W=1.6 w，w設(shè)定為監(jiān)測(cè)30個(gè)分組。此外，因?yàn)楸灸M實(shí)驗(yàn)時(shí)間和W是一樣的，所以最終產(chǎn)生警報(bào)信息的主報(bào)者數(shù)量最多不會(huì)超過(guò)20個(gè)。同樣由于或然性的原因，即使分組丟失率低于門(mén)限值t時(shí)，仍然會(huì)有少量的報(bào)警信息產(chǎn)生，導(dǎo)致積極誤報(bào)的行為出現(xiàn)。理想

狀態(tài)下，積極誤報(bào)率應(yīng)該為0。

5結(jié)束語(yǔ)

本文設(shè)計(jì)了一種基于規(guī)范的適用于無(wú)線傳感網(wǎng)的入侵檢測(cè)技術(shù)，它把自己的檢測(cè)工作建立在網(wǎng)絡(luò)中每一個(gè)節(jié)點(diǎn)的局部可利用信息的基礎(chǔ)上。為了能夠作出正確的檢測(cè)和減少信道帶寬和資源消耗，同一個(gè)鄰居關(guān)系內(nèi)的節(jié)點(diǎn)需要相互合作和交流關(guān)鍵信息。本文研究重點(diǎn)放在對(duì)傳感網(wǎng)的路由這一基本功能的保護(hù)上，特別闡述了入侵檢測(cè)系統(tǒng)是如何實(shí)現(xiàn)對(duì)黑洞攻擊和選擇性轉(zhuǎn)發(fā)攻擊檢測(cè)的，它具有較低的誤報(bào)率；本文還提供了設(shè)計(jì)傳感網(wǎng)的入侵檢測(cè)技術(shù)時(shí)應(yīng)遵守的通用原則。相信這些原則對(duì)于開(kāi)發(fā)更加高效和健壯的無(wú)線傳感網(wǎng)入侵檢測(cè)技術(shù)會(huì)有實(shí)際的幫助。

參考文獻(xiàn)：

[1]DJENOURI D KHELLADI L BADACHE N et al. A survey of security issues in mobile Ad hoc and sensor networks[J]. IEEE Communications Surveys Tutorials 2005，7(4):2-28.

[2]SHI E PERRIG A. Devising secure sensor networks[J]. IEEE Wireless Communications 2004，11(6):38-43.

[3]LAZOS L POOVENDRAN R. Serloc: vigorous localization for wireless sensor networks[J]. ACM Trans on Sensor Networks 2005，1(1):73-100.

[4]GANERIWAL S CAPKUN S HAN C C et al. Secure time synchronization service for wireless sensor network[C]//Proc of the 4th ACM Workshop on Wireless Security. New York:ACM Press 2005:97-106.

[5]KARLOHAND C WAGNER D. Secure route in sensor networks: attacks and countermeasures[J]. Ad hoc Networks Journal 2003，1(2-3):293-315.

[6]KACHIRSKI O，GUHA R，SCHWARTZ D，et al. Case-based proxies for packet-level intrusion detection in Ad hoc networks[C]//Proc of the 17th International Symposium on Computer and Information-Sciences.Boca Raton FL: CRC Press 2002:315-320.

[7]MART S GIULI T J LAI K et al. Mitigating route misbehavior in mobile Ad hoc networks[C]//Proc of the 6th Annual International Conference on Mobile Computing and Networking. New York:ACM Press 2000:255-265.

[8]AXELSSON S. Intrusion detection system: a survey and taxonomy[R].Gteborg Sweden: Chalmers University of Technology 2000.

[9]DIMITRIOU T，KRONTIRIS I.Security in wireless sensor networks[C]//Proc of Security in Sensor Networks.Boca Raton FL: CRC Press 2006:275-290.