基于改進EDD算法的無線傳感器網絡克隆攻擊檢測方法*

徐小龍，高仲合，韓麗娟

（1.曲阜師范大學 實驗教學中心，山東 日照 276826；2.曲阜師范大學 軟件學院，山東 曲阜 273165）

基于改進EDD算法的無線傳感器網絡克隆攻擊檢測方法*

徐小龍1，高仲合2，韓麗娟1

（1.曲阜師范大學 實驗教學中心，山東 日照 276826；2.曲阜師范大學 軟件學院，山東 曲阜 273165）

無線傳感器網絡中節點的安全性是一個富有挑戰性的課題。節點復制攻擊是眾多攻擊手段中的一種，攻擊者從一個節點捕獲安全證書，可以使用相同的ID來復制節點。當網絡中出現很多復制節點時，就會影響系統的正常運行。為了克服這個問題，提出了改進的高效分布式檢測算法IEDD(Improved Efficient Distributed Detection)。它將EDD算法和人工免疫系統危險理論相結合，以檢測克隆攻擊，從而防止在無線傳感器網絡中出現多個副本。仿真實驗表明，這種方法提高了檢出率，降低了管理費用，且具有更高的數據包投遞率和更低的能耗。

無線傳感器網絡；入侵檢測；IEDD算法；網絡攻擊

0 引 言

近年來，無線傳感器網絡被廣泛應用于醫療、軍事、環境監測、感知移動節點和無線通信等多種領域。相對于Ad Hoc網絡，傳感器網絡以更多的節點數量和更密集的部署來保證覆蓋范圍和連通性。無線傳感器網絡中，數以萬計的節點通過無線信道共享和處理信息。參與通信的微小傳感器節點具有傳感和數據處理能力[1]。因此，通信過程中無線傳感器網絡容易受到各種攻擊。副本節點攻擊具有很大的危險性，攻擊者從被攻擊節點捕獲到密鑰和ID，并在網絡中進行復制[2]。這些副本節點利用軟件和從被攻破節點捕獲的信息在網絡上進行通信。而控制了副本節點的攻擊者在網絡中的行為就像是授權節點一樣。通信協議允許副本節點創建成對共享密鑰，因此副本節點能夠加密、解密、驗證所有通信，就像真實的節點一樣[3]。

許多文獻中提出的各種節點復制攻擊檢測方法只有在穩定的條件下才能有效檢測攻擊。然而，許多應用中的傳感器節點只能在不可靠不穩定的介質上通信[4]。根據應用的需求，它們只能使用受限的資源進行通信。現有的集中式機制不僅在不穩定的環境中會失敗，而且不適合使用限制性資源[5]。

靜態網絡中，也已提出了多種方案來解決節點復制檢測問題。只有很少的方案在無線傳感器網絡中適用[6]。由于移動性，在傳感器網絡中檢測副本的難度增加[7]。這就需要有一種在分布式環境中具有自組織能力的機制。

文獻[8]提出了一種高效的分布式檢測算法EDD（Efficient Distributed Detection）。在EDD算法中，每個節點只與自己的一跳鄰居節點通信。EDD算法的這一特點不僅降低了通信開銷，還能保護網絡免受節點攻擊。然而，隨著副本數目的增加，EDD算法的檢測準確性會降低。

為了在傳感器網絡副本節點檢測中使用最小的開銷提高檢測精度，本文將EDD算法和人工免疫系統危險理論相結合，提出了改進的高效分布式檢測算法IEDD。

文章組織結構：第一章闡述針對這一問題的研究現狀；第二章介紹所提方案所涉及的兩個重要的系統模型；第三章詳細論述提出的IEDD算法；第四章進行實驗設置，總結實驗結果；第五章總結全文。

1 研究現狀

無線傳感器網絡中的克隆攻擊檢測是一項具有挑戰性的任務，而現有的克隆檢測方法分為集中式檢測和分布式檢測兩種。由于集中式檢測方法易發生單點故障，且傳感器節點可以被攻擊者輕易捕獲和復制，因此具有一定的局限性。所以，各種分布式檢測算法被提出。

文獻[3]提出了一種按序貫概率比檢驗的快速有效的移動副本節點檢測模式。這是一種在傳感器網絡中應對副本節點攻擊非常重要的算法。

文獻[9]中的方法遵循預定的區域方式，并實際部署了區域距離測量，以通過固定距離閾值檢測副本。該方法中，如果一個真正的節點被安置在一個超出閾值距離的區域，那么它可能會被誤認為是一個復制節點。

文獻[10]使用了一種二維移動模型中的分布式副本檢測算法。在二維移動模型中，每一輪的開始節點被均勻隨機地布署在網絡中。這種方法的優點在于每個節點的位置獨立于前一輪的位置。在該算法中，每個節點維護著一個記錄著節點ID、時間和上一輪位置信息的列表。節點每次移動的信息被廣播到相鄰節點，有助于節點驗證是否有一個節點同時出現在相距較遠的位置。

文獻[11]提出了一種基于分簇的無線傳感器網絡克隆攻擊檢測方案，給網絡中的消息都標記上源節點的ID。在成簇階段，由簇頭根據節點ID和RSSI值判斷簇內是否存在克隆節點。待全部節點的ID匯聚至基站后，在基站處檢測是否存在同一個ID屬于多個簇的異常情況。

文獻[12]利用EDD方法在分布式環境中檢測節點復制攻擊。這種方法不僅可以平衡開銷，還能夠避免網絡內的時間同步和代碼撤銷。然而，當副本節點的數量增加時，EDD算法的誤檢率上升，檢測精度下降。

因此，本文嘗試提高現有EDD算法的檢測精度，將EDD算法和人工免疫系統危險理論相結合，提出了改進的高效分布式檢測算法IEDD。

2 系統模型

本章介紹移動無線傳感器的網絡模型和攻擊者模型。在所提出的方案中，考慮的兩個重要模型分別是網絡模型和威脅模型。

2.1 網絡模型

無線傳感器網絡中包含的傳感器節點各自有一個唯一的ID，編號從1到n，能夠進行對稱通信。網絡中的每個節點定期發送信標消息，其中包含ID、相鄰節點ID，并保持相等的時間間隔。傳感器節點采用RWP（Random Way Point）移動模型進行移動[13]。每個節點都清楚自己的地理位置，感應區域內的每個節點在預定時間間隔內按照自己的速度隨機向目標節點移動。如果節點到達了目的地，那么該節點在一段隨機時間內保持靜止，然后按照相同的規則進行移動。為了降低復雜度，網絡中每個節點的每次移動平均有k個鄰居。同時，網絡使用基于身份的公鑰密碼體制。

2.2 威脅模型

傳感器網絡中的節點不具有防篡改能力，副本節點可以使用在部署時得到的節點的合法安全證書進行訪問。獲得訪問后，攻擊者部署一個或多個具有相同ID的節點，即副本節點。副本節點可以互相通信，并在通信后的一段特定時間內保持靜默，以避免EDD算法的副本檢測。

基于移動無線傳感器網絡模型和威脅模型，本文提出了IEDD算法。

3 IEDD算法介紹

在EDD算法中，檢測方法由在線步驟和離線步驟組成。離線和在線步驟分別在部署前和部署后使用。在離線步驟中，計算出時間間隔長度和閾值，以確定副本節點。在在線步驟中，通過比較閾值和遭遇次數，確定一個節點是否是副本節點。EDD算法是一種基于節點相遇的檢測方法。它將相遇的次數與閾值相比進行檢測，閾值最初是基于節點的通信設定的。

提出的IEDD算法則將EDD算法和人工免疫系統危險理論相結合，以增強EDD算法的性能。而危險理論免疫算法基于移動節點收到的信號強度。

3.1 IEDD算法中基于危險理論的概念對應

近年來，生物免疫系統成為人工智能領域的一個熱門研究課題。它利用生物免疫系統原理和機制來解決信息安全、模式識別、機器學習等多個領域的問題。

抗原是指能夠刺激和誘導機體的免疫系統使其產生免疫應答，并與免疫應答產物發生特異反應的物質。多為體外的蛋白、病菌等物質，也有機體自身的。在IEDD算法中，副本節點充當抗原角色。

當免疫系統受到抗原的刺激后，免疫細胞產生與抗原發生特異性結合的免疫球蛋白，該免疫球蛋白即為抗體。在IEDD算法中，最終產生的能夠檢測副本節點的規則即為抗體。

樹突狀細胞是機體中功能最強的抗原提呈細胞，可高效攝取抗原，經過加工處理后向免疫機體提呈，處于啟動、調控、維持免疫應答的中心環節。這里，樹突狀細胞的功能在應用中可以被抽象成一種算法。

3.2 離線步驟

數組L用于存放該節點在一個給定的時間間隔T內遭遇另一節點的次數，數組D用于存放網絡中復本節點的ID。μ1和μ2分別表示真實節點和副本節點的期望值。σ12和σ22則用于表示計算真實節點和副本節點的方差。

真實節點遇到最大次數記作Y1，副本節點遇到所有其他節點的最小次數記作Y2，計算方法為[12]：閾值φ的計算方法為：

如果節點遇到的次數大于閾值，則該節點被認為是副本節點。副本節點的ID則存放在數組D中。

建立傳感器節點的位置和范圍r內相應的通信盤，考慮一個移動傳感器節點。一個特定節點駐留在靜態節點通信盤上次數的分布被導出，并將其作為遇到真正節點次數的分布。對σ12和μ1的計算，由導出分布完成。假設在時間間隔T內，第X個節點移動了τ(T)步，第k步的長度記為lk。長度是第X個節點的當前位置Pi-1與隨機選擇的終點位置Pi之間的距離。于是，第k步需要的時間是：

均值μ和方差σ為

式中，v是恒定速度，b是常數時間。

tk的方差為：

因此，τ(T)可以定義為：

A×A是網絡中感應區域的大小。按同樣的方法，可計算出參數μ2和

3.3 在線步驟

傳感器節點在每一個時間間隔開始時使用計數器T來記錄時間。如果時間間隔T超過了閾值，就將T置為0。網絡中的節點X在時間T內遇到另一個節點一次，數組L的值就增加1。如果節點X遇到節點Y的次數超過閾值φ，則節點Y就被添加到數組D中，以作進一步處理。

在傳統的免疫系統中，有機體能夠識別“自己/非己”（SNS）刺激，并對其做出精確應答。在SNS模式之后，免疫界開始流行一種新的危險模式理論。這個理論不區分自己/非己，而只區分是否有危險信號。危險理論對移植、腫瘤等諸多問題能夠做出更好的解釋，已引起業內的廣泛關注。

為了提高現有EDD算法的性能，本文所提算法結合了人工免疫系統的危險理論。為了應對節點復制攻擊，引入基于危險理論的入侵檢測系統以增強EDD算法的性能，從而獲得更高的檢出率。具體地，當抗原出現在體內時，將發出危險信號。樹突狀細胞在檢測和處理不同類型的信號時起著關鍵作用，其中也包括危險信號。使用樹突狀細胞，則可以檢測到網絡中的攻擊。這里，基于危險理論的入侵檢測系統的邏輯結構如圖1所示。

圖1 入侵檢測系統的邏輯結構

它由三個階段組成，分別是收集階段，分析階段和決策階段。收集和分析階段使用樹突狀細胞算法，而決策階段使用淋巴結決策程序。樹突狀細胞算法執行初始化、更新和聚合三種操作。算法的參數被組織和初始化，在初始化期間樹突狀細胞處于不成熟狀態。抗原和相應的信號則在更新期間被更新，樹突狀細胞的狀態變到半成熟或成熟狀態。聚合階段，樹突狀細胞和它們的狀態被作為確定抗原行為的輸入。

圖2是本算法的主要流程，主要根據在一定的時間內與某節點的遭遇次數來進行判斷。如果遭遇次數超過了提前設定的閾值，則這樣的節點屬于可疑節點，需進一步根據接收信號強度指示RSSI對其進行分析檢測。如果具有高信號強度且存在經常性的通信，則認為它是副本節點。

圖2 所采用方案的主流程

3.3.1 收集階段

監控組件是收集階段的主要組件，主要負責從數組D和相應的信號中收集抗原。抗原包含關于可疑成熟節點發送和接收消息總數的信息。這些信號對應于可疑成熟節點的接收信號強度信息。這些參數主要用于確定可能存在的入侵。

3.3.2 分析階段

入侵檢測管理器是一個核心組件。它分析從監控組件收集的信息，以幫助下一階段進行決策，而這些信息包含成熟節點的行為。入侵檢測管理器充當協調任務的角色，它的行為和響應代表子系統中的另一個管理者。一旦從入侵檢測系統收到攻擊信息，入侵檢測管理器便會將其導入觀察到攻擊的上下文管理器，并搜索參數庫以尋找需要被監控組件觀察的參數。監控組件周期性地捕捉來自參數庫的信息，并使用下面的效用函數產生輸出信號[10]。這里，監控組件使用效用函數以確定輸出。

式中，Pi表示PAMP信號，Di表示危險信號，Si表示安全信號。WP、WD和WS是相應的權重。樹突狀細胞的成熟狀態是方程（9）的輸出。當副本節點出現時，樹突狀細胞將處于成熟或半成熟狀態。監控組件將當前的信息傳遞到上下文管理器，然后上下文管理器被入侵檢測管理器發送到決策管理器。

3.3.3 決策階段

決策階段是在淋巴結中使用決策管理器完成的。決策管理器接收來自入侵檢測管理器的信息，以發現傳感器網絡中可能的攻擊。如果節點具有最大的RSSI，那么就檢查該節點以前的通信。如果該節點有早期的通信，則稱之為半成熟節點。具有低RSSI值的節點被稱為副本節點。一旦發現副本攻擊，入侵檢測管理器將會收到警報。

4 實驗和結果

實驗研究中，無線傳感器網絡中節點的行為和性能使用基于危險理論的改進EDD算法——IEDD算法進行分析，并使用NS-2進行仿真實驗。

4.1 實驗設置

本實驗中，網絡由50個移動節點和副本節點組成，且副本節點的數目隨著時間改變；使用的仿真參數見表1，以構建網絡。

表1 仿真參數

4.2 性能評估

性能評估以路由開銷、數據包投遞率、能耗、定位誤差和平均數據包延遲等指標為依據；副本節點檢測的準確性則使用檢出率進行測量。圖3、圖4、圖5和圖6依次是提出的IEDD算法與EDD算法在能耗、數據包投遞率、平均時延和檢出率方面的性能比較情況。

能耗是一個節點消耗的百分比能量，可以按式（10）進行計算，仿真結果如3所示。

圖3 IEDD算法與EDD算法在能耗方面的比較

由圖3可知，提出的IEDD算法具有更低的能耗。消耗的能量用焦耳表示。

數據包投遞率是在接收端成功收到的數據包數與發送端發出的數據包總數的比率，見式（11）。

圖4 IEDD算法與EDD算法在數據包投遞率方面的比較

圖4顯示了數據包投遞率，表明所提出的IEDD算法較EDD算法有更高的數據包投遞率。數據包投遞率用百分比表示。

平均時延是所有接收到的數據包所用時延的平均值，按式（12）進行計算。

圖5 IEDD算法與EDD算法在平均時延方面的比較

圖5是平均包時延圖，可以看出所提出的IEDD算法較EDD算法有更低的包時延。平均時延用秒表示。

檢出率是被成功檢出的副本節點數占副本節點總數的比例，用百分比表示。

圖6 IEDD算法與EDD算法在檢出率方面的比較

圖6是檢出率圖，可以看出IEDD算法較EDD算法有更高的檢出率，檢出率用百分比表示。

5 結 語

在無線傳感器網絡中，安全是最重要的問題。當網絡中有多個副本時，會引起網絡性能的退化。本文主要針對節點復制攻擊的檢測展開，在探討目前已有的應對節點復制攻擊的多種副本檢測方法的前提下，EDD算法和人工免疫系統危險理論相結合，提出了改進的高效分布式檢測算法IEDD。通過實驗對所提出的IEDD算法和已有的EDD算法進行比較，結果表明在平均時延、能耗、系統開銷、丟包率、數據包投遞率和檢出率等方面，提出的IEDD算法性能更優，具有低能耗低誤報率的特點，非常適合部署在無線傳感器網絡中識別副本節點，以保護網絡免受副本節點攻擊。

[1] 徐小龍,高仲合,韓麗娟.一種無線傳感器網絡中惡意行為的檢測和預防技術[J].通信技術,2016,49(03):340-345. XU Xiao-long,GAO Zhong-he,HAN Li-juan.Detection and Prevention of Malicious Behaviors in Wireless Sensor Networks [J].Communications Technology,2016,49(03):340-345.

[2] 戈 軍,周蓮英.無線傳感器網絡副本攻擊的巡邏檢測算法[J].計算機工程,2012,38(14):109-111.GE Jun,ZHOU Lian-ying.Patrol Detection Algorithm for Replica Attacks in Wireless Sensor Network[J].Computer Engineering,2012,38(14):109-111.

[3] Ho J W,Wright M,Das S K.Fast Detection of Mobile Replica Node Attacks in Wireless Sensor Networks Using Sequential Hypothesis Testing[J].IEEE Transactions on Mobile Computing,2011,10(06):767-782.

[4] 胡蓉華,董曉梅,王大玲.無線傳感器網絡節點復制攻擊和女巫攻擊防御機制研究[J].電子學報,2015,43(04):743-752. HU Rong-hua,DONG Xiao-mei,WANG Da-ling.Defense Mechanism Against Node Replication Attacks and Sybil Attacks in Wireless Sensor Networks[J].Acta Electronica Sinica,2015,43(04):743-752.

[5] Mishra A K,Turuk A K.Residual Energy-based Replica Detection Scheme for Mobile Wireless Sensor Networks[J]. Security&Communication Networks,2015,8(04):637-648.

[6] Sindhuja L S,Padmavathi G.Replica Node Detection Using Enhanced Single Hop Detection with Clonal Selection Algorithm in Mobile Wireless Sensor Networks[J].Journal of Computer Networks & Communications,2016(04):1-13.

[7] 廖耀華,王曉明.無線傳感網絡中抵抗節點復制攻擊新方法[J].計算機工程與應用,2011,47(22):64-67. LIAO Yao-hua,WANG Xiao-ming.Novel Approach Against Node Replication Attacks in Wireless Sensor Networks[J].Computer Engineering and Applications,2011,47(22):64-67.

[8] Zhu B,Addada V G K,Setia S,et al.Efficient Distributed Detection of Node Replication Attacks in Sensor Networks[C].Computer Security Applications Conference,2007:257-267.

[9] Ho J W,Liu D, Wright M,et al.Distributed Detection of Replica Node Attacks With Group Deployment Knowledge in Wireless Sensor Networks[J].Ad Hoc Networks,2009,7(08):1476-1488.

[10] Conti M,Pietro R D,Mancini L,et al.Distributed Detection of Clone Attacks in Wireless Sensor Networks[J]. IEEE Transactions on Dependable & Secure Computing, 2010,8(05):685-698.

[11] 羅永健,陳濤,肖福剛等.基于分簇的無線傳感器網絡克隆攻擊檢測方案[J].傳感技術學報,2014,27(02):220-224. LUO Yong-jian,CHEN Tao,XIAO Fu-gang,et al.A Detection Scheme of Clone Attack Based on Clustering in Wireless Sensor Networks[J].Chinese Journal of Sensors and Actuators,2014,27(02):220-224.

[12] Yu C M,Tsou Y T,Lu C S,et al.Localized Algorithms for Detection of Node Replication Attacks in Mobile Sensor Networks[J].IEEE Transactions on Information Forensics & Security,2013,8(05):754-768.

[13] Yi J,Koo J,Cha H.A Localization Technique for Mobile Sensor Networks Using Archived Anchor Information[C].Sensor, Mesh and Ad Hoc Communications and Networks,2008: 64-72.

徐小龍（1977—），男，碩士，實驗師，主要研究方向為計算機網絡與通信；

高仲合（1961—），男，碩士，教授，碩士研究生導師，主要研究方向為計算機網絡和移動通信技術；

韓麗娟（1976—），女，碩士，副教授，主要研究方向為計算機網絡、人工智能。

Detection Method for Clone Attack in Wireless Sensor Networks based on Improved EDD Algorithm

XU Xiao-long1, GAO Zhong-he2, HAN Li-juan1
(1.Experiment Teaching Center, Qufu Normal University, Rizhao Shandong 276826, China; 2.Institute of Software, Qufu Normal University, Qufu Shandong 273165, China)

The security of nodes in wireless sensor networks is a challenging task. Node replication attack is one of the many attacking methods, the attacker captures security certificate from a node and use the same ID to copy the node. Lots of replica nodes appearing in the network, would affect normal operation of the system. In order to overcome these problems, this paper proposes an efficient distributed detection algorithm IEDD (Improved Efficient Distributed Detection). It combines the EDD algorithm with the artificial immune system to detect the clone attack, and thus to prevent multiple copies in wireless sensor networks. Simulation results show that this method can improve detection rate, reduce management costs, and has a fairly high packet delivery ratio and low energy consumption.

wireless sensor network; intrusion detection; IEDD; network attack

TP393

A

1002-0802(2016)-07-0902-07

10.3969/j.issn.1002-0802.2016.07.021

2016-03-17;

2016-06-22 Received date:2016-03-17;Revised date:2016-06-22