無線傳感器網絡中基于安全數據融合的惡意節點檢測

崔慧，潘巨龍，閆丹丹(中國計量學院信息工程學院，杭州310018)

無線傳感器網絡中基于安全數據融合的惡意節點檢測

崔慧，潘巨龍*，閆丹丹
(中國計量學院信息工程學院，杭州310018)

無線傳感器網絡的一些固有特點，如節點能量、存儲空間和計算處理能力均有限，網絡節點布署在野外而無人值守，節點易被敵方捕獲，因而網絡內部易存在惡意節點。本文在分析Atakli等人提出的WTE方案基礎上，提出了一種新的基于安全數據融合的惡意節點檢測算法(MNDSDF)。針對節點數目較多層次型的無線傳感器網絡，MNDSDF算法首先在WTE權值融合的思想上添加了高信譽值過濾機制，來檢測惡意采集節點;其次針對WTE和WCF只允許簇內單跳和融合結果受惡意節點影響較大等不足，提出了數據包計數的策略，來檢測惡意轉發節點。與WTE相比，MNDSDF算法能抵制更多種攻擊行為，適應更寬泛的路由協議。通過仿真實驗，MNDSDF算法可以有效檢測出部分惡意行為，并經過與WTE和WCF比較，具有更高檢測率和更低誤檢率。

無線傳感器網絡;安全數據融合;惡意節點;檢測率;誤檢率

隨著無線傳感器網絡的廣泛應用，它的安全問題也隨之受到關注。又因其節點能量、存儲、處理和通信能力等資源有限的特點，使得網絡面臨著多種信息安全威脅［1］。在大多數非商業應用中，如環境監測、森林防火、候鳥遷徙跟蹤等應用領域，安全問題并不是一個非常緊迫的問題;而在軍事應用、衛生健康監控以及安防網絡等應用中，這些重要的數據采樣、傳輸以及存儲，都不能讓無關人員或敵方人員了解［2］。節點一旦被敵手威脅或破壞，就容易被敵方發起攻擊、捕獲和控制，另一方面，敵方可能新增偽裝節點申請加入網絡，破壞正常節點的數據采集和傳輸，威脅網絡安全性，此類偽裝節點容易實施一些惡意行為(如偽造假消息，發送無用數據，引起DOS攻擊等)。綜上所述，針對無線傳感器網絡必須采取一些特殊有效方法來檢測惡意節點并將它們隔離。

1 惡意節點檢測算法

目前無線傳感器網絡領域已有多種算法來檢測惡意節點，Tomasin針對選擇性轉發攻擊提出了一種自適應快速檢測算法［3］，并詳細討論了兩種情形(被檢測節點n作為目的節點以及轉發節點)，比較這兩種情形的轉發率來進行惡意節點檢測;Ribeiro等人利用節點的地理位置和通信距離估計節點發送信號的強度，再與其真實強度比較來檢測惡意節點［4］，他還提出了有目標攻擊和無目標攻擊的兩種情形，并針對這兩種情形分別提出了相應的解決辦法;Curiac等人利用神經網絡和自回歸模型，計算鄰居節點和過去時段的輸出值，以這些輸出值和實際輸出的差距與閾值比較選擇進行惡意節點判斷［5-6］;其后又在文獻［7］中提出惡意節點“自我摧毀”算法，解決了前兩篇文章未提出的惡意節點處理問題;Hai等人提出了一種基于兩跳鄰居信息的算法T-HNK(Two-Hops Neighbor Knowledge)來檢測選擇性轉發攻擊［8］，首先讓節點發送“HELLO”消息和中間節點信息建立兩跳鄰居表，其次將兩跳節點之間的中間節點作為檢測節點，監視節點有沒有轉發消息，或者轉發了消息有沒有發送給正確的目的節點，如果不是，則向源節點發送一個惡意報警信息，當報警信息大于某個閾值時，將它視為惡意節點，算法對檢測轉發攻擊有一定的檢測率，但當檢測節點數目較多時，成本較高;Atakli等人提出了WTE方案，利用權值作為節點信譽值，進行數據融合，再將實際值與融合值作比較，結果不同則節點可疑，并用懲罰系數降低信譽值［9］，將信譽值和融合結果不斷迭代，最后篩選出惡意節點。WTE對檢測惡意節點有較好的檢測率，算法復雜度也低，但是仍然存在一些不足:①沒考慮實際物理測量數據;②籠統將所有節點輸出值考慮在內，易受惡意節點數目的影響;③在路由方面，該算法限制簇內是單跳通信，適用性不廣;胡向東等人隨后提出WCF算法［10］，在WTE算法的基礎上，過濾掉信譽值平均值以下的節點后將剩余節點參與數據融合。此方案較WTE而言使得融合值更接近實際值，但是依然未解決實際測量數據以及單跳問題。上述幾篇文獻提到的惡意節點檢測方法，在一定程度上解決了惡意節點檢測問題，但每個節點都要存儲待檢測節點過去時段的輸出值，需要節點的額外內存，算法復雜度與時間和網絡密度呈正相關，有其局限性。

本文在Atakli I提出的WTE算法以及Hai的THNK算法的基礎上，引用Josang信任和信譽系統［11］(此系統提出通過信任度或信譽值對某個對象形成評價，來判斷對方是否可疑)，同時結合我們前期的研究工作［12-13］，提出了一種基于安全數據融合的惡意節點檢測算法MNDSDF(a Malicious Nodes Detection Algorithm based on Secure Data Fusion)，該算法主要針對兩類節點(傳感節點和轉發節點)，考慮了節點輸出為布爾值和實際物理環境測量值，同時考慮了轉發節點的安全性。本文首先介紹MNDSDF算法，并逐個分析上述兩類節點可能面臨的安全威脅;其次，利用仿真實驗來證明本文所提MNDSDF算法的可行性和高效性。最后，對文章進行了總結，并提出算法尚存在的問題及未來要進行的工作。

2 惡意行為和網絡模型假設

2.1 拜占庭將軍問題

拜占庭將軍問題是一個協議問題，拜占庭帝國軍隊的將軍們必須全體一致的決定是否攻擊某一支敵軍。問題是這些將軍在地理上是分隔開來的，并且將軍中可能存在叛徒。叛徒可以任意行動以達到以下目標:欺騙某些將軍采取進攻行動;促成一個不是所有將軍都同意的決定，如當將軍們不希望進攻時促成進攻行動;或者迷惑某些將軍，使他們無法做出決定。如果叛徒達到了這些目的之一，則任何攻擊行動的結果都是注定要失敗的，只有完全達成一致的努力才能獲得勝利。因此這些忠誠將軍需要一些方法來減少叛徒對他們的影響。要么就是所有的忠誠將軍達成一致，完全不受叛徒的影響，要么就是少數服從多數，因為叛徒的數目是相對少的。已有研究表明，如果有K個叛逆將軍，那么對應至少要有3K+1個忠誠將軍存在，才可以正確解決這個問題，并且如果忠誠的將軍足夠多，就能做出正確的決定。

一個系統中，有問題的部件影響其他部件完成整個系統的作用時，這類的問題就類似與拜占庭問題。無線傳感器網絡里惡意節點就相當于上述問題中的叛徒，我們要做的是網絡不受這些惡意節點的影響，并能夠找出這些惡意節點。

2.2 惡意行為模型

類似于拜占庭將軍問題，無線傳感器網絡中節點通常分布在野外無人看守或者敵方環境中，部分節點一旦被捕獲而做出惡意行為，可能會誤導網絡輸出不正確信息。本文通過針對兩種節點類型假設惡意行為模型。

2.2.1 惡意的傳感節點

數據采集區域，惡意節點(被捕獲的節點)可能會偽造或篡改采集的數據給高層節點。高層節點接收惡意節點發來的錯誤數據進行融合，得出錯誤的信息，最終影響整個網絡的輸出。

2.2.2 惡意的轉發節點

惡意節點的出現將會導致在數據傳輸過程中一定概率的丟包行為，雖然實際復雜情況中，轉發節點也許會破解密鑰，篡改數據的行為，但本文只考慮有丟包行為的轉發節點。

2.3 網絡模型及假設

為了更好演示算法，將MNDSDF算法用于層次型網絡中，網絡由各個簇劃分為多個相鄰的區域，同一個簇由一個簇頭和若干普通節點構成，簇頭負責將普通節點發來的數據進行去冗余和融合，最后通過多跳發送給基站。相比平面型網絡，層次型結構網絡適合大規模節點部署，只發送融合結果可以減少網絡傳輸數據能耗，并減少了簇內普通節點的能量消耗。結構如圖1所示，BS是基站，FN代表簇頭節點，SN代表普通節點。另外這里還對網絡做了如下假設:①簇頭是安全的，不會被捕獲;②網絡剛開始部署初期，簇內所有節點是安全的，并且能量相同，處理能力相同，存儲能力相同，每個節點有獨立的ID標識;③單個惡意節點不能存在一種以上的惡意行為;④每個節點有一個計時器，時限為源節點和目的節點間跳數乘以兩個相鄰節點間最大傳輸延遲時間值;采集數據的源節點裝置一個計數器，統計發送數據包的數量，同樣轉發節點存儲一個計數表，統計收到數據包的數量;⑤惡意傳感節點通過篡改與事實不符的數據來實施攻擊，惡意轉發節點通過丟棄數據包來實施攻擊，且網絡總的節點數n與惡意節點數k的對應關系是:n＞3k+1。攻擊模型如圖2所示。

圖1 層次型結構圖

圖2 攻擊模型

3 基于安全數據融合的惡意行為檢測(MNDSDF)

3.1 發現惡意節點

根據2.2節中假設的惡意行為模型，針對兩類節點分析它們各自的行為(如針對傳感節點進行的篡改數據行為，以及針對轉發節點的丟包行為)，最終找出惡意節點。假設網絡部署初期，所有無線傳感器節點具有相同的信譽值Ti，它代表節點的可信度。

3.1.1 惡意傳感節點的發現

在事件區域，節點將網絡需要的數據先傳送給簇頭，最后到達基站。此時如果惡意節點篡改數據或者直接偽造數據，就會影響簇頭的融合結果。MNDSDF算法在WTE的權值模型的基礎上，利用高信譽值節點輸出值參與數據融合。為簡便討論，此時假設簇內普通傳感節點到簇頭是單跳。融合示意圖如圖3所示。

圖3 融合示意圖

簇頭根據各個節點目前的信譽值，計算融合結果:

O為簇頭融合結果，Thigh是預先設置的一個高信譽值，只有信譽值高于這個值的節點輸出值才能參與融合。Ii是第i個節點的采集的數據結果。r代表簇內所有節點個數。這里信譽值Ti代表節點的可信度，采取高信譽值組的節點數據進行融合，降低了惡意節點對融合結果的影響度。

將Ii與融合結果O比較，如果不一致，那么節點可能是惡意節點。而針對具體應用，這種不一致性有差別。如果輸出是布爾值或者二進制狀態0或1時，只要輸出不一致就有可能是惡意節點。而對于一些測量數據，比如酸堿度和溫度等，則可以通過閾值的設定找出可能的惡意節點。

3.1.2 惡意轉發節點的發現

轉發節點將采集節點傳來的值進行轉發，當出現可疑節點時，同時產生一個報警包(假設產生報警包的節點不會發送虛假警報)，將嫌疑者的ID以加密方式發送給簇頭。

(1)表1是信息包格式。

表1 信息包格式

SID，DID分別表示產生報警包的源節點和目的節點的ID，SPakNO代表數據包的編號，源節點將當前計數器的值加1作為下一個消息SPakNO。轉發節點收到上一跳發來的數據包時，自動將SPakNO加1，并在計數表中加1，Message是采集數據。MACk{s-f}是源節點到簇頭的密鑰生成的MAC碼，防止數據在傳輸過程中被其他節點更改。

(2)當節點收到的SPakNO與計數表中存儲值相差不為1時，先將SPakNO代替計數表中存儲數，然后發送一個F報警包。舉報上一跳節點為可疑節點，包的格式如表2所示。

表2 報警包格式

Fnode-ID代表可疑的轉發節點，L-SPakNO代表丟失的S信息包編號，MACk{j-f}是發送報警包節點到簇頭的密鑰生成的MAC碼。當節點收到F報警包時，將包中L-SPakID代替計數表中的值，進行轉發。收到報警包的節點只轉發不產生重復報警。圖4是局部數據發送圖。其中檢測節點為簇頭。

圖4 局部數據發送示意圖

3.2 節點信譽值的計算和更新

這里參考Josang的信任模型［11］，利用正態分布來計算信譽值。無線傳感器網絡中包含成千上萬個的傳感器節點，各個節點獨立感測外界環境，所感知的數據幾乎遵循正態分布，正常節點被捕獲后偽造的數據將會歪曲正態分布，簇頭節點將通過量化節點的信譽度來暴露這些偏差。正態隨機變量的取值落在距離中心值一倍標準差范圍內的概率0.68稱為伯努利分布。實際情況中，頻率分布可能不完全和此概率一致，特別是存在捕獲節點經常報告偽造數據時。把節點數據落在上述范圍內的實際頻率稱為實際節點頻率分布。以理想節點頻率為標準，理想節點頻率分布和實際節點頻率分布的差異用距離來表示，這個距離表示節點信譽值。距離越小，節點信譽值越高，反之亦然。

令某節點輸出數據頻率在此范圍內的概率是pi，則在此范圍外的概率是1-pi，它的偏離程度可表示為:

該定義前半部分使得接近理想頻率的節點能得到比遠離理想頻率的節點高得多的信譽值，也能反映一個節點的累積行為，后半部分+0.1(或-0.2)是一個獎懲措施，具體的數值我們采用WTE的實驗結果，當節點的數值在一倍標準差范圍內時，節點的信譽值自動更新外還要增加0.1，文獻［10］中表明，偽造數據通常在3倍標準差附近，當節點的數值落在3倍標準差附近時，節點除了自動更新信譽值外，還要減掉0.2，這樣做是為了讓節點有慢增快減的效果，便于快速揪出惡意節點。當達到一定的累積次數，節點的信譽值經過多次迭代不停更新，當低于一個提前預置的閾值T0時，系統將其判為惡意節點。

對于融合結果O，簇頭形成的評價是WO={h，l，Tlow(adv)}，其中h表示信譽值高于Thigh的節點百分比;l代表信譽值小于等于Thigh的節點百分比; Tlow(adv)代表信譽值小于等于Thigh的節點平均信譽值，則簇頭節點對于融合結果的評價期望是:

假設，一個簇內有30個成員節點，對于融合結果O，有25個節點的數據落在信譽值大于Thigh范圍之內，所占比例為83%，而在范圍之外節點的平均信譽值為Tlow(adv)，因此簇頭對融合結果的評價為WO= {0.83，0.17，Tlow(adv)}，而E(Wo)=0.83+ 0.17Tlow(adv)。

一般而言，信譽值高于Thigh的百分比越大或者Tlow(adv)越高，簇頭越信任融合結果。簇頭將融合結果發送給基站，基站根據預先設定的閾值，評價高于這個值，基站將采用這個融合結果，否則將其丟棄。

類似的設置惡意節點的丟包率也遵循正態分布，假設節點轉發的概率設為Pi，而丟包率為1-pi。當節點的信譽值低于T0時，此時節點可判為惡意節點。簇頭將此節點的ID發送給基站，基站做以下處理:①廣播惡意節點的ID，各節點將其驅除出自己的鄰居列表;②用各種方法耗盡其電池的能量，破壞其無線裝置使得它無法發揮作用。

對應節點的信譽值表示為:

4 實驗仿真

采用NS2仿真平臺對MNDSDF進行算法性能分析。假設平均每個簇有30個節點，一個簇頭，參考文獻［10］中的實驗結果，選擇THIGH=0.8。圖5是在一個簇中演示MNDSDF算法在進行迭代10次，20次，…，100次的融合值和理想值以及WTE算法的融合值比較，圖中output為融合值，round是進行融合的次數。假設惡意節點的占比率是10%，實驗開始階段，融合結果和理想值存在較大的誤差，隨著迭代次數的增加，本算法的融合越來越逼近理想值，同時也比較清晰地看到，本算法在融合結果的精確度上比WTE算法更接近理想值，由圖也可得知，迭代次數越多時，MNDSDF算法的融合結果就越逼近理想值。

圖5 兩種算法節點融合值和理想值比較圖

圖6 和圖7描述了全網中惡意節點比率和節點總數對檢測率和誤檢率的影響，圖中dr是檢測率，fdr是誤檢率，n是節點數。實驗還列出WCF算法相應的檢測率和誤檢率。隨著惡意節點的比率增加，與WCF算法相比，MNDSDF算法能更好地發現惡意節點，還大大降低了誤檢率。尤其當惡意節點比例大于10%時，MNDSDF算法在檢測率和誤檢率上都比WCF算法有顯著的改善。在惡意節點比例達到30%時，MNDSDF檢測率能達到80%以上，誤檢率能不超過2%。另外，MNDSDF也解決了WCF方案未提出的實際物理感測值和躍變值的問題。

圖6 惡意節點比例和節點總數對檢測率的影響

本方案同時考慮了信道丟包率對惡意節點檢測率和誤檢率的影響，假設丟包率為30%，惡意節點的比率是20%。通過多次試驗，發現惡意節點檢測率隨信道丟包率的增加而減小，這是因為信道丟包將導致節點收到報警數據包的數量可能減少，在信道丟包率為0.08時，對惡意節點的檢測率影響稍小，隨著信道丟包率的增加，本算法也能保持檢測率在85%左右。同時可看出惡意節點的誤檢率隨信道丟包率的增加而增加。由于整體丟包率會隨著信道丟包率增加而增加，這使得區分是否是惡意節點產生的丟包變得困難，因此誤檢率變高，但即使信道丟包率達到14%，誤檢率也不超過12%。

圖8是惡意節點的檢測率和誤檢率隨攻擊概率和閾值變化的動態圖，圖中橫坐標T0表示預先設定的信譽值閾值，縱坐標r表示檢測率和誤檢率;實線表示惡意節點的檢測率，虛線表示惡意節點的誤檢率;攻擊概率表示惡意節點所占正常節點的比率。從圖中可看出，惡意節點比率越低，MNDSDF算法的檢測率越高，誤檢率越低。另外，隨著閾值的增加，MNDSDF的檢測率也會隨之提高，誤檢率隨之降低，最后趨于平穩。尤其當攻擊概率維持在30% (類似拜占庭將軍問題)內時，隨著閾值增加到0.8時，本算法有著較高的檢測率，達到82%以上，以及較低的誤檢率(3%以下)。

圖7 惡意節點比例和節點總數對誤檢率的影響

圖8 攻擊率和閾值對檢測率和誤檢率的影響

5 總結

隨著無線傳感器網絡的快速發展，無線傳感器網絡的安全問題變得尤其重要。MNDSDF算法在WTE權值思想基礎上，采用高信譽值過濾法，減少了惡意節點對融合結果的影響，與之相比，MNDSDF算法的融合結果更接近實際值。另外，改變了其信譽值計算方法，與同樣存在過濾思想的WCF算法相比，本算法的檢測率更高，誤檢率更低。最后，MNDSDF取消了WTE和WCF算法對分簇結構中單跳模式的限制，加入了對轉發節點的檢測，使得解決范圍更寬泛。然而，本算法依然有些不足，未來的工作就是解決單個節點同時存在多種惡意行為的問題，讓方案更完善。

［1］孫利民，李建中，陳渝，等.無線傳感器網絡［M］.北京:清華大學出版社，2005:179-185.

［2］Singh M，Mehta G.Detection of Malicious Node in Wireless Sensor Network Based on Data Mining［C］//International Conference on Computing Sciences.Phagwara:IEEE，2012:291-294.

［3］Tomasin S.Consensus-Based Detection of Malicious Nodes in Cooperative Wireless Networks［J］.IEEE Communications Letters，2011，15(4):404-406.

［4］Ribeiro W，Thiago H，Wong Haochi.Malicious Node Detection in Wireless Sensor Networks［C］//Proceedings of the 18th International Parallel and Distributed Processing Sumposium.Brazil: IEEE，2004:212-216.

［5］Curiac D I，Volosencu C.Discovery of Malicious Nodes in Wireless Sensor Networks Using Neural Predictor［J］.WSEAS Transactions on Computer Research，2007，2(1):38-43.

［6］Curiac D I，Banias O，Dranga O.Malicious Node Detection in Wireless Sensor Networks Using an Autoregression Technique［C］//The third International Conference on Networking and Services(ICNS’07).Athens:2007:83-88.

［7］Curiac D I，Plastoi M，Doboli A.Combined Malicious Node Discovery and Self-Destruction Technique for Wireless Sensor Networks［C］//The Third International Conference on Sensor Technologies and Application.Athens，Glyfada:IEEE，2009:436-441.

［8］Hai T H，Huh E N.Detecting Selective Forwarding Attacks in Wireless Sensor Networks Using Two-Hops Neighbor Knowledge［C］//Proceedings of the Seventh IEEE International Symposium on Network Computing and Applications，2008:325-331.

［9］Atakli I M，Hu Hongbin，Chen Yu.Malicious Node Detection in Wireless Sensor Networks Using Weighted Trust Evaluation［C］// The International Symposium on Simulation of Systems Security. San Diego，CA，USA:Spring Sim，2008:836-843.

［10］胡向東，魏琴芳，向敏，等.物聯網安全［M］.科學出版社，2012:115-120.

［11］Josang A，Ismail R，Boyd C.A Survey of Trust and Reputation Systems for Online Service Provision［J］.Decision Support Systems，2006:100-112.

［12］胡玲龍，潘巨龍，崔慧.無線傳感器網絡中基于信譽的惡意節點檢測［J］.中國計量學報，2012，23(1):41-47.

［13］崔慧，潘巨龍，閆丹丹.無線傳感器網絡中基于信譽-投票機制的惡意節點檢測［J］.中國計量學報，2013，24(4):353 -359.

崔慧(1989-)，女，江蘇鹽城人，碩士研究生，主要研究方向為無線傳感器網絡安全，cuihui0823@sina.com;

潘巨龍(1965-)，男，博士，中國計量學院信息工程學院教授，主要研究方向為無線傳感器網絡安全、嵌入式系統與應用、移動計算和短距離無線接入技術，pjl@cjlu.edu.cn。

Malicious Nodes Detection Algorithm Based on Secure Data Fusion in Wireless Sensor Networks

CUI Hui，PAN Julong*，YAN Dandan

(Information College，China JiLiang University，Hangzhou 310018，China)

Having the inherent characteristics of wireless sensor networks，such as limitation of node energy，storage space and computing capacity and unattended in the open air，network nodes are easily captured by the enemy，malicious nodes exist within the network easily.Based on the analysis of the WTE algorithm proposed by Atakli，this paper proposes a Malicious Nodes Detection algorithm based on Secure Data Fusion(MNDSDF).Being large number of nodes and hierarchicalwireless sensor network structure，the WTE and WCF algorithms limit1-hop communication in one cluster，and fusion accuracy is affected deeply by malicious nodes.In order to break the limits of above two algorithms，firstly，a high reputation value filtering mechanism is added in fusion algorithm to detect malicious sensor nodes in MNDSDF.Secondly，a data package counting method is proposed to inspectthe malicious forwarding nodes.Compared with the WTE，MNDSDF algorithm can resist various attacks，and be adapt to more routing protocols.Simulation experiment shows that MNDSDF can effectively detect the malicious behavior，and it has a higher detection rate and lower false detection rate compared with WTE and WCF.

wireless sensor networks;secure data fusion;malicious nodes;detection rate;false detection rate

TP212

A

1004－1699(2014)05－0664－06

10.3969/j.issn.1004－1699.2014.05.018

2014-02-27

2014-04-21