基于分簇的節點復制攻擊入侵檢測方法*

周 暉， 朱立慶， 楊 振， 程亞喬

(南通大學 電子信息學院，江蘇 南通 226019)

0 引 言

當無線傳感器網絡中部署于敵對環境時，極易受到敵方攻擊，如,DoS攻擊、Sinkhole攻擊、選擇性轉發、節點復制攻擊、洪泛攻擊、蠕蟲攻擊、Sybil攻擊等[1]。通常，敵方先捕獲合法節點，再復制具有合法身份的惡意節點并布放到網絡中，然后通過惡意節點發起對整個網絡的攻擊[2]。而出于成本的考慮，網絡對節點通常沒有物理屏蔽，且處于無人看管狀態。若不能檢測出惡意節點，網絡就會遭受很大的內部攻擊。敵方可通過其復制節點獲取重要信息，還可向網絡注入錯誤信息，誹謗甚至廢除合法節點[3]。

由于惡意節點擁有合法密鑰，因此,現有認證技術難以完成節點復制攻擊入侵檢測。

Parno B等人最早提出一種簡單直接的集中控制檢測方法BS-based scheme[4]，每個節點將其鄰居和位置信息發送給基站，基站可以很容易檢測出具有相同ID但是擁有不同位置信息的節點。這種方法檢測率高，但基站附近的節點承受更大的通信成本[5]，容易耗盡其能量，造成整個網絡生存時間縮短。之后，Parno B等人又提出2種概率性的檢測方案：隨機多播(RM)和路徑選擇多播(LSM)[6]。如果網絡中存在具有相同ID的節點，那么在其驗證節點射線的相交處將會出現碰撞，相交處驗證節點將發現復制節點。該方案要求對每個節點的身份和位置進行簽名認證，故需要較大的通信成本。

Yu Chia Mu等人提出極高效XED檢測克隆攻擊的方法[7]。每個傳感器節點隨機生成一個整數并且相互交換，然后把接收到的ID和隨機數都記錄在一張驗證表中。該方法不需收集節點的位置信息，故節點存儲空間開銷較小,但該方法不適用于大型網絡。由于節點須接收網絡中所有節點生成的隨機數，對于節點數多的大型網絡而言，每個節點需存儲大量的認證數據。

Zeng Yingpei 等人提出2種非確定性分布式方案：隨機漫步(RAWL)和列表隨機漫步(TRAWL)[8]。前者從網絡中每個節點開始幾段隨機漫步，然后把經過的節點都選為驗證節點;后者則是在前者的基礎上為每個節點增加一個跟蹤表來降低存儲空間消耗。在這2個方案中，每個節點都需要把位置驗證信息發送給多個中間節點，所以,會產生大量的通信開銷。以上方案的通信成本均受網絡中節點數N影響，其中,LSM方法受影響最小，最具代表性。

受到LSM方法啟發，本文提出一種基于分簇的節點復制攻擊檢測方法(cluster-based detection method，CBDM),將網絡分成若干簇，并選擇簇頭[9]，簇頭作為該簇的驗證節點(witness node)作復制攻擊檢測。簇頭還將本簇所有節點的位置驗證信息發送到基站，供基站作進一步檢測。

1 網絡環境

1.1 網絡模型

假設有大量的低成本、低功耗的傳感器節點隨機分布于某區域，節點坐標可通過選定的定位算法得出[10,11]，每個節點編號(ID)唯一，且與其鄰居節點之間建立基于ID的密鑰對。

同時，假設網絡基站計算存儲能力強，能量充足；基站擁有所有節點的信息，每個節點與基站之間有唯一的密鑰對來計算加密認證碼和加密數據。

1.2 敵方模型

假設敵方可能俘獲網絡中的節點，且可使用被俘節點來復制惡意節點，并散布于網絡。被俘節點和惡意節點完全受敵方控制，可在任何時候相互通信，且惡意節點仍然執行網絡檢測協議。

同時，假設惡意節點在執行檢測協議期間，敵方還將采用其他措施，幫助惡意節點通過檢測。

2 CBDM

2.1 LSM檢測方法

LSM方法的處理過程如圖1所示。其中，A為被俘獲節點，A′為敵方復制A的惡意節點，Bi和Bi′分別為A和A′的鄰居節點，Ci和Ci′分別為A和A′的目的節點。首先，節點A發送其位置驗證信息至鄰居節點；鄰居節點隨機選擇目的節點，通過中間節點X將A的位置驗證信息轉發到目的節點B，其中,Bi和Ci均為A的驗證節點。惡意節點A′在發送位置驗證信息和選擇目的節點時，可能與節點A的驗證節點相交叉重合。如圖1所示，節點X既為A的驗證節點，又是A′的驗證節點，故可通過節點X判別被俘節點A與它的復制節點A′。

圖1 LSM方法處理過程

LSM方法需將位置驗證信息發送給大量的驗證節點，會產生大量的通信成本。

2.2 CBDM的基本思想

CBDM將集中控制和分布式方法相結合。分簇網絡如圖2所示，簇頭作為該簇的驗證節點，通過ID檢測本簇是否存在惡意節點。簇頭還將所有節點的地理位置和ID信息發給基站，由基站來檢測整個網絡內的惡意節點。

圖2 CBDM處理過程

2.3 CBDM的流程

在CBDM中，整個網絡周期性運行，每個周期的具體流程描述如下：

1)選簇頭：使用概率選擇方法決定每個運行周期的簇頭節點。

2)分簇：簇頭選定后，周圍節點根據就近原則加入簇。

3)位置信息發送：各簇節點把位置信息發送到簇頭，由簇頭將各簇信息匯總到基站。

4)簇內檢測：簇頭檢查本簇是否具有相同ID的位置信息。

5)整個網絡檢測：基站對比所有節點的位置信息，檢測出具有相同ID的節點。

說明1 步驟(1)中的概率選擇方法是節點被選為簇頭的概率取決于網絡中簇頭節點占所有節點的百分比和該節點之前成為簇頭節點的次數。若某個節點n生成的隨機數小于一個門限值I(r)，則該節點就會被選為本周期的一個簇頭。

門限值由下式定義

(1)

其中，I(r)為門限值，r為當前的周期數，G為前r個周期中從未充當過簇頭的節點集合，符號mod為求模運算符號，p為整個網絡中簇頭節點占所有節點數目的百分比。

說明2 步驟(2)中簇頭選定以后，向周圍節點廣播自己成為簇頭的消息，其他節點根據接收到消息的強度來決定加入哪個簇。

3 仿真研究

為了評價CBDM的性能，采用對比研究方法。將CBDM與分布式檢測方法LSM和集中式檢測方法(BS-based method)作仿真對比研究。

3.1 仿真場景

假設在100 m×100 m的部署區域內隨機均勻布放N個節點，其中包括復制節點;基站隨機放置在監測區域內,每個節點的傳輸距離為100 m。仿真場景參數見表1。

表1 仿真場景參數

3.2 檢測率分析

圖3顯示，CBDM和BS-based method在節點復制檢測上有極好的性能。這是因為CBDM和BS-based method在基站收集了所有節點的位置驗證信息，而LSM則需要驗證節點相交才能檢測出具有相同ID的惡意節點。因此，從圖3可以看出：CBDM和BS-based method的檢測率都達到了100 %。

圖3 檢測率對比

3.3 能耗分析

圖4顯示CBDM和BS-based method擁有較少的通信成本，原因是這2種方法是不需要把節點的位置驗證信息轉發給大量的中間節點,而是直接發送到簇頭或基站，而LSM需要把位置驗證信息轉發給大量的中間節點，因此，其通信成本遠高于前2種方法。

圖4 通信成本對比

圖5顯示CBDM和BS-based method在單個節點中存儲的最大信息量都要比LSM方法大，而CBDM比BS-based method小。BS-based method中，單個節點中信息的最大量與網絡中節點數量呈正比，而CBDM則受網絡中節點數量的影響很小。這是因為當網絡中節點數量增加時，簇頭數量也會相應增多，各簇中分得的節點數量不會增加太多，所以，簇頭存儲的信息量也不會顯著增加。

圖5 單個節點存儲的最大信息量對比

圖6顯示:CBDM與BS-based method相比，具有更長的生命周期。這是因為在CBDM中每個傳感器節點的數據都匯聚到簇頭，由簇頭把數據傳輸到基站，增加了傳輸效率，降低了能量耗費，因此其生命周期更長。

圖6 網絡生命周期對比

4 結束語

在節點復制攻擊中，集中檢測方法的檢測率高、通信開銷較小，但是對基站的依賴性大，導致基站周圍的節點因能耗大而加速失效，縮短了網絡生命周期；而分布式檢測方法均衡了網絡節點的通信開銷，但該方法總的通信開銷較大。

CBDM綜合了集中式檢測與分布式檢測的優點，其檢測率、通信成本均優于LSM方法，單個節點存儲的最大信息量和網絡生命周期優于BS-based method。

參考文獻:

[1] Jokhio S H,Jokhio I A,Kemp A H.Node capture attack detection and defence in wireless sensor networks[J].IET Wireless Sensor Systems,2011,2(3):161-169.

[2] Kwantae Cho,Minho Jo,Taekyoung Kwon,et al.Classification and experimental analysis for clone detection approaches in wireless sensor networks[J].IEEE Systems Journal,2013,7(1):26-35.

[3] 任秀麗,楊 威,薛建生,等.基于分區的無線傳感網節點復制攻擊檢測方法[J].電子學報,2010,38(9):2096-2100.

[4] Parno B,Perrig A,Gligor V.Distributed detection of node replication attacks in sensor networks[C]∥2005 IEEE Symposium on Security and Privacy,Oakland,USA,2005:49-63.

[5] Wen H,Luo J,Zhou L.Lightweight and effective detection scheme for node clone attack in wireless sensor networks[J].Wireless Sensor Systems,IET,2011,1(3):137-143.

[6] Parno B,Perrig A,Gligor V.Distributed detection of clone attacks in wireless sensor networks[J].IEEE Transactions on Dependable and Secure Computing,2011,8(5):685-698.

[7] Yu Chia Mu,Lu Chun Shien,Kuo Sy Yen.Mobile sensor network resilient against node replication attacks[C]∥5th Annual IEEE Communications Society Conference on Sensor,Mesh and Ad Hoc Communications and Networks,SECON 2008,San Francisco,CA,United States,2008:597-599.

[8] Zeng Yingpei,Cao Jiannong,Zhang Shigeng,et al.Random-walk based approach to detect clone attacks in wireless sensor network-s[J].IEEE Journal on Selected Areas in Communications,2010,28(5):677-691.

[9] 郭書城,盧 昱,許定根.基于分簇無線傳感器網絡的路由算法研究[J].通信學報,2010,31(8A):64-69.

[10] 李 逶,劉同佩,周 暉,等.無線傳感器網絡中DV-Hop定位算法的改進[J].南通大學學報:自然科學版,2010,9(2):30-34.

[11] 曹 磊,袁從明,徐 晨,等.基于距離的無線傳感器網絡自定位新算法[J].南通大學學報:自然科學版,2008,7(1):43-45.