一種無線傳感器網絡中惡意行為的檢測和預防技術

徐小龍,高仲合,韓麗娟

(1.曲阜師范大學 實驗教學中心，山東 日照 276826;2.曲阜師范大學 軟件學院，山東 日照 276826)

?

一種無線傳感器網絡中惡意行為的檢測和預防技術

徐小龍1,高仲合2,韓麗娟1

(1.曲阜師范大學 實驗教學中心，山東 日照 276826;2.曲阜師范大學 軟件學院，山東 日照 276826)

入侵檢測系統是應對網絡攻擊的一種常見手段。為了彌補入侵檢測系統的弱點，提高檢測效率，人們提出了多種方案。這里的主要目標是通過提供身份認證來阻止惡意行為，提出了動態隨機口令產生與驗證方法DRPGAV(Dynamic Random Password Generation and Verification)，在網絡運行的每個階段檢測和預防惡意行為。一系列動態隨機口令被自動產生并分配給網絡用戶，當用戶要進行數據傳輸時，他們的口令將會被驗證以檢查是正常用戶還是惡意用戶。這種方法尤其適合無線傳感器網絡。仿真實驗結果表明DRPGAV方法與現有的其它方法相比具有更好的性能。

入侵檢測；無線傳感器網絡；動態隨機口令；網絡攻擊

0　引　言

入侵檢測系統是應對各種網絡攻擊行為的主要手段之一，是一個信息系統完整安全策略的重要組成部分，但它們會產生大量過時和虛假的警報[1]。近年來與移動設備相關的新興技術得到了快速發展，筆記本電腦、智能手機、平板電腦等移動設備都具有收發電子郵件、文件共享、聊天、播放音頻視頻等功能。這些設備涉及很多個人信息，由于攻擊者頻繁出現在基于互聯網的應用中，因此非常有必要對這些設備及其通信進行保護。現在有各種類型的入侵檢測技術，如濫用檢測、異常檢測。

無線傳感器網絡通過一組空間分布的傳感器節點來對環境進行感知和監測，能夠測量環境條件，如污染水平、溫度、濕度、聲音、壓力、風速等。早期的無線傳感器網絡主要應用于軍事領域，但現在它的應用已擴展到交通、健康和許多其它工業和消費領域[2]。一個無線傳感器網絡由幾百到數千個節點組成。傳感器節點由接口電路、微控制器、信號收發器和電池組成。傳感器節點的價格取決于帶寬、能耗、內存和計算速度等功能參數。安全是一個廣泛使用的術語，包括認證、保密性、魯棒性、完整性和殘存性等特征[3]。因為這個原因，有多種不同的網絡安全方法被提出。

保密性和認證安全機制是許多傳感器應用的關鍵，因此有許多提供認證和保密的協議被開發出來[4]。無線傳感器網絡具有大量的節點和計算、存儲、安全模塊，為了使無線傳感器網絡達到更高的安全性，我們引入了隨機口令算法。通過隨機產生密碼，提高了系統的安全級別，阻止了攻擊行為。密碼是數字、大小寫字母和特殊字符的組合，具有很高的安全性，難以破解。

1　文獻綜述

這一部分將討論各種攻擊和挑戰及相應的應對策略以回顧早期文獻。文獻[5]提出一種基于得分的多循環入侵檢測算法，根據節點的屬性來快速檢測節點的變化，這種方法也叫做Shiryaev-Roberts方法，較其它檢測方法有更好的性能。文獻[6]中的方法通過感知場景來分類檢測概率，分析分布式無線傳感器網絡中的入侵檢測問題，通過檢查和比較各種網絡參數以驗證用戶行為的一致性。文獻[7]提出了一種基于極限學習機的混合入侵檢測框架，將無線傳感器網絡分層，在每層分別設置與其相適應的入侵檢測方法。

文獻[8]從網絡的抗毀性角度討論了無線傳感器網絡的安全，從路由控制、網絡重構、拓撲演化等方面著手增強網絡的安全性。文獻[9]引入了一種有多重IDS傳感器指示系統的后處理解決方案，每套指示系統被聚合成一個單一的指示以提高質量。每當一個關鍵事件發生時，這個指示系統為網絡中所有其他節點創建一個相關的警報。為了防止數據在無線傳感器網絡中傳輸時遭到竊聽，文獻[10]提供了一種分布式決策融合方法FRSM，在傳感節點發送數據到融合中心時利用隨機函數對數據進行翻轉以阻止竊聽。

1.1現有系統

一種基于leader的入侵檢測系統被提出以檢測和預防無線傳感器網絡中的惡意行為[11]。為網絡中的一組節點選擇一個leader并讓它監控這些節點，當一個節點被激活時，它將自己的狀態通知leader，于是leader節點知道所有的節點信息。也要將leader信息通知到新的節點，這需要一定的時間。為解決這類問題，文章提出了DRPGAV方法。

2　問題描述

無線網絡中使用的設備大多使用基于互聯網的應用，如預訂、查詢、結算、在線支付、在線交易等。由于多數漏洞會通過因特網出現，因此為通信單元提供安全機制是非常有必要的。文章的主要目標是設計一種根據身份信息檢測惡意行為的機制。

2.1系統結構

DRPGAV有3個模塊，它們是節點識別、相互認證和密鑰更新。DRPGAV的全部功能在圖1中有清晰的描述。可以通過一些假設來模擬DRPGAV方案，其中網絡G是無線網絡。節點可以是任何類型的能使用無線通信的設備，如筆記本電腦、手機、PC等。基站是整個網絡的管理者，它能夠分配ID、密鑰，進行密鑰驗證等。

圖1　整體系統模型

2.2節點ID準備

基站根據節點的特性、通信類型和儀器類型為其準備節點ID。例如，如果創建的第一個節點是筆記本電腦，那么ID就是“TALTA0001”，見表1。其中“TA”表示公司“ToshibA”，“LT”表示設備是“LapTop”。A是根據產品的特征添加到設備上的序列號。0001是自動生成的唯一數字。一個9位的偽隨機數IMEI被產生，逐位與2進行mod運算后存儲在BS數據庫中。同理，如果創建的第二個節點是移動電話，那么ID就是“SAMEA0002”。

表1　筆記本電腦作為節點時的ID

2.3動態密鑰生成

使用KeyGEN方法產生一個動態數字以產生IMEI號，IMEI號產生后與節點ID組合在一起產生密鑰。

KeyGEN()

{

for (i=1;i<=N;i++)

{

Vi=substr(Node-ID, 4);

keyi= append(Vi, Node-ID+Vi);

for (j=1;j<=length(Keyi); j++)

IMEIj= IMEIj⊕2

}

}

舉例說明某節點Node1密鑰的求法：

IMEI=278373612⊕2=010111010

Key(Node1)=010111010TALTA010111010

該密鑰存放在BS數據庫中以用作進一步的驗證和節點確認。密鑰的長度是32位，如果長度增加意味著設備的系列升級。由于密鑰是唯一的并且長度很小，因此密鑰的提交和驗證需要很少的時間。基站沒有必要在密鑰校驗上花費很多時間。

2.4算法安全性分析

在生成節點ID時，充分考慮到了節點自身的硬件特性，將節點的生產公司、設備類型以及系列等都進行了適當的編碼，并結合自動產生的一串數字生成了一個包含大量節點個性信息的ID，這給攻擊者偽造ID帶來了很大困難，增強了系統的安全性。

密鑰是動態產生的隨機數字IMEI與節點ID的組合，并且能夠進行不斷的更新，因此能夠有效地發現并阻止惡意行為。考慮到無線傳感器網絡中節點能量的有限性，為了減少計算和傳輸的數據量，節約能耗，我們對密鑰的長度進行了限制，只有32位，并且密鑰產生算法、校驗算法也比較簡單，達到了節能快速的目的。

重放攻擊是一種通過惡意或欺詐性地重復發送主機已接收過的數據包來欺騙系統的攻擊方式，它的主要目的是破壞身份認證的正確性。加密技術防止不了這種形式的攻擊，為了抵御重放攻擊，我們的系統采用了時間戳技術。在發送數據時，將時間戳信息添加到數據包上，當數據包到達接收端時對時間戳進行認證：如果檢測到時間戳超時，則系統認為這是一個重放攻擊的數據包，予以丟棄。如果環境中存在重放攻擊的可能性大，我們可以將接收端的時間窗適當縮小，以增強對重放攻擊的檢測力度。

2.5安全通信

網絡G由N個節點構成，任何節點都可與網絡中的其它節點通信。如圖2所示，假設S是源節點，D是目標節點，node-1到node-3是源節點和目的節點之間的中間節點。如果中間節點信息在BS數據庫中存在那么就可以傳輸數據，否則該節點就被認為是惡意節點。仿真參數見表2。

圖2　成對節點驗證

參數值面積1000m×1000m速度1～15m/s無線電傳播模型雙射線地面反射無線電范圍250m節點數20～100MAC層協議802.11應用CBR,100～500包大小50仿真時間100s布局方法隨機惡意節點數5%每個惡意節點的SybilID數2

上面討論了DRPGAV方法的整體功能，可以寫成如下的算法：

DRPGAV()

{

for (i=1;i<=N;i++)

{

Node-ID=concat(CompanyName, DeviceType, Series, AutoNumber);

}

for (i=1;i<=N;i++)

{

Vi= substr(Node-ID, 4);

keyi= append(Vi, Node-ID+Vi);

for (j=1;j<=length(keyi); j++)

{

IMEIj=IMEIj⊕ 2;

}

}

for (i=S;i<=D;i++)

{

if (Nodei==D)

stop;

elseif (Nodei.ID, Nodei.Key.exists(BS-DB.record))

nodei+1.data = nodei.data;

}

}

2.6仿真設置

我們使用NS-2對系統進行驗證，使用的是表1中的參數。

為了研究DRPGAV方法的效率，我們用NS2進行仿真。網絡的大小是1500×1500，仿真中部署的節點數是10、20、30、40、50共五輪。該模擬的前端使用TCL語言開發，協議配置用C++代碼實現。

3　研究結果及討論

仿真結果包括在部署DRPGAV方案前后惡意活動的次數。最初展示出網絡拓撲的可視化界面。在這個界面中，DRPGAV算法根據節點的行為確認和檢測惡意節點。

DRPGAV算法為了檢測惡意節點，當發送或收到數據包時對每個節點的ID、key都要進行驗證。當一個節點被檢測出具有惡意時它將會被阻止。文獻[12]提出了一種基于投影尋蹤算法的無線傳感器網絡入侵檢測方案，其中所提出的算法稱為PP算法。圖3顯示了DRPGAV算法與PP算法在檢出率方面的比較。通過比較可以看出，DRPGAV算法較BP算法有更高的檢出率。

圖3　DRPGAV算法與PP算法在檢出率方面的比較

圖4顯示了每一輪的剩余能量，每輪部署的節點數分別為10、20、30、40、50。說明使用DRPGAV的系統與現有系統相比具有更長的生存期。這是因為通過密鑰對比避免了多余的節點通信和數據傳輸。如果節點不能提交有效的ID和密鑰，它就不能發送數據，從而節省了有限的能量。現有系統在5輪過后的剩余能量是94.51%，而DRPGAV系統在5輪過后的剩余能量則是96.92%，這表明DRPGAV系統更節省能量。

圖4　DRPGAV系統與現有系統在能耗方面的比較

DRPGAV系統的吞吐量要優于現有系統。現有系統中很多的惡意活動破壞了數據的成功傳輸。圖5顯示了每一輪的吞吐量。現有系統第5輪的吞吐量是6021KB/S而DRPGAV系統第5輪的吞吐量是6296KB/S，因此DRPGAV系統能獲得更高的吞吐量。

將一個數據包從源節點傳輸到目的節點所用的時間如圖6所示。通過對使用DRPGAV方法前后的比較看出，使用DRPGAV后系統有更低的時延。圖6顯示了每一輪傳輸的時延。現有方案每輪傳輸花費的時間依次是18、27、31、39、47 ms，而采用DRPGAV后每輪花費的時間是12、15、18、23、26 ms。五輪分別部署的節點數是10，20，30，40，50。

在數據包投遞率(PDR, packet delivery ratio)方面，DRPGAV與常見路由協議的比較如圖7所示。五輪的節點數分別是10、20、30、40、50個，DRPGAV這五輪的PDR分別是29%、37%、49%、56%和65%。SER協議這五輪的PDR分別是27%、32%、44%、51%和61%。LBIDS協議這五輪的PDR分別是28%、35%、47%、53%和63%。EESRP協議這五輪的PDR分別是27%、35%、46%、50%和62%。通過與這幾種協議的比較可以看出，DRPGAV可以獲得更高的PDR。

圖7　DRPGAV方法的數據包通過率評估

4　結　語

DRPGAV技術來源于一個現有的LBIDS方案，可以實現要進行數據傳輸的節點間的相互認證。由于DRPGAV使用由結合節點類型和節點序列號的獨特方法生成的唯一ID，因此它能夠對節點進行正確的認證，并且不能被惡意節點復制。為了增加該系統對重放攻擊的抵御能力，我們將時間戳技術應用到系統中，使系統的安全性有了大幅度提高。

DRPGAV技術的輸出對基于無線傳感器網絡的應用程序尤其有用，這種方法提高了網絡的質量。ID、密鑰的比較是網絡中的預處理方法，能夠對網絡提供保護，使網絡更可信。仿真實驗表明，它是一種能夠防止數據被攻擊者獲取的通用解決方案。這種方法在大型網絡中也有很好的效果。DRPGAV技術能夠在不影響網絡性能的情況下使網絡達到更高的安全性。

目前這種技術還存在一定的局限性，如設備類型的可擴展性較差，還需進一步研究數據級別的安全，維護級安全性還有待進一步的研究。

[1]李云婷, 夏仲平, 熊婧. 入侵檢測系統的多層次混合評價方法研究[J]. 計算機科學, 2015, 42(6A):425-428.

LI Yun-ting, XIA Zhong-ping, XIONG Jing. Study on Evaluation Method of Multi-Layer Hybrid Intrusion Detection System[J]. Computer Science, 2015, 42(6A):425-428.

[2]沈佳輝, 駱懿, 陸家明. 基于WSN的環境質量監測系統設計與實現[J]. 通信技術, 2015，48(09):1087-1091.

SHEN Jia-hui, LUO Yi, LU Jia-ming. Design and Realization of Environmental Quality Monitoring System based on WSN[J]. Communications Technology,2015，48(09):1087-1091.

[3]王曙光, 王慶升, 劉美麗等. 無線傳感器網絡安全測評關鍵技術研究[J]. 電子測量技術, 2015, 38(05):93-96.

WANG Shu-guang, WANG Qing-sheng, LIU Mei-li, et al. Research on the Key Techniques in Security Evaluation of Wireless Sensor Networks[J]. Electronic Measurement Technology, 2015, 38 (05): 93-96.

[4]莊學波, 周治平. 無線傳感器網絡節點身份的分布式認證研究[J]. 計算機工程與應用, 2015, 51(06):89-92.

ZHUANG Xue-bo, ZHOU Zhi-ping. Research of Distributed Authentication for Wireless Sensor Networks Node Identity[J]. Computer Engineering and Applications, 2015, 51(06):89-92.

[5]Tartakovsky A G, Polunchenko A S, Sokolov G. Efficient Computer Network Anomaly Detection by Changepoint Detection Methods[J]. IEEE Journal of Selected Topics in Signal Processing,2013,7(1):4-11.

[6]WANG Y, FU W, Agrawal D P. Gaussian Versus Uniform Distribution for Intrusion Detection in Wireless Sensor Networks[J]. IEEE Transactions on Parallel & Distributed Systems,2013,24(2):342-355.

[7]關亞文, 劉濤, 黃干. 無線傳感器網絡中基于ELM的混合入侵檢測方案[J]. 計算機工程, 2015, 41(03):136-141.GUAN Ya-wen, LIU Tao, HUANG Gan. ELM-based Hybrid Intrusion Detection Scheme in Wireless Sensor Networks[J]. Computer Engineering,2015,41(03):136-141.

[8]李文鋒, 符修文. 無線傳感器網絡抗毀性[J]. 計算機學報, 2015, 38(03):625-647.

LI Wen-feng, FU Xiu-wen. Survey on Invulnerability of Wireless Sensor Networks[J]. Chinese Journal of Computers, 2015, 38(03):625-647.

[9]Spathoulas G P, Katsikas S K. Enhancing IDS Performance Through Comprehensive Alert Post-Processing[J]. Computers & Security, 2013, 37(9):176-196.

[10]羅婭, 陳文. 一種安全的無線傳感器網絡分布式決策融合方法[J]. 四川大學學報：自然科學版, 2015, 52(03):499-504.

LUO Ya, CHEN Wen. A Security Distributed Decision Fusion Method for the Wireless Sensor Network[J].Journal of Sichuan University(Natural Science Edition),2015,52(03):499-504.

[11]Rajkumar D U S, Rajamani Vayanaperumal. A Leader based Monitoring Approach for Sinkhole Attack in Wireless Sensor Network [J]. Journal of Computer Science, 2013, 9(9):1106-1116.

[12]葛瀟藝, 汪烈軍, 郭學讓. 基于投影尋蹤的無線傳感器網絡入侵檢測模型[J]. 傳感器與微系統, 2015, 34(09):24-26.

GE Xiao-yi, WANG Lie-jun, GUO Xue-rang. Intrusion Detection Model for WSNs based on Projection Pursuit[J]. Transducer and Microsystem Technologies, 2015, 34(09):24-26.

徐小龍(1977—)，男，碩士，實驗師，主要研究方向為計算機網絡與通信；

高仲合(1961—)，男，教授，碩士研究生導師，主要研究方向為計算機網絡和移動通信技術；

韓麗娟(1976—)，女，碩士，副教授，主要研究方向為計算機網絡、人工智能。

Detection and Prevention of Malicious Behaviors in Wireless Sensor Networks

XU Xiao-long1, GAO Zhong-he2, HAN Li-juan1

(1.Experiment Teaching Center,Qufu Normal University,Rizhao Shandong 276826,China;2.Institute of Software, Qufu Normal University, Rizhao Shandong 276826,China)

Intrusion detection system is a common method to deal with network attacks. In order to remedy the deficiency of intrusion detection system and improve detection efficiency, multiple solutions are suggested. This paper focuses its attention on the prevention of malicious behavior via providing identity authentication.DRPGAV (Dynamic Random Password Generation and Verification) method is proposed to detect and prevent malicious behavior at each stage of network operation. A series of dynamic random password is automatically generated and assigned to the network users,and when the users want to carry out their data transmission, their passwords would be verified to check whether these users are normal or malicious. This method is particularly suitable for wireless sensor networks. Simulation results show that the DRPGAV method enjoys much better performance as compared with other existing methods.

intrusion detection; wireless sensor network; dynamic random password; network attack

10.3969/j.issn.1002-0802.2016.03.017

2015-10-30；

2016-02-04Received date:2015-10-30；Revised date：2016-02-04

TP393

A

1002-0802(2016)03-0340-06