董 峰，張秋霞

(黃河科技學院 現代教育技術中心，河南 鄭州 450063)

一種惡意節點攻擊的無線傳感器網絡入侵檢測方法

董 峰，張秋霞

(黃河科技學院 現代教育技術中心，河南 鄭州 450063)

無線傳感器節點通常被隨機部署在沒有基礎網絡設施的場所，當傳感器節點位置暴露在惡意攻擊環境時，攻擊者會攻擊網絡覆蓋漏洞，節點易受到未知攻擊從而導致定位錯誤，無線傳感器網絡很難在沒有人工參與的情況下安全運行。針對此問題，設計了一種基于無線傳感器網絡節點的入侵檢測算法。該算法能解決無法識別的未知攻擊問題，通過聚類技術檢測攻擊產生的異常值，并在理論上證明了該算法的正確性。通過測試和實驗手段，驗證了該算法在保護傳感器網絡的前提下，完成了對未知攻擊的檢測、修復和定位。

無線傳感器；聚類算法；移動節點；檢測

0 引 言

無線傳感器網絡(Wireless Sensor Networks,WSN)應用于安全反恐、環境檢測、智能交通及目標追蹤等領域中，其移動節點安全程度是傳感器網絡服務質量的重要標準[1]。

移動節點定位技術是無線傳感器網絡服務的基礎，當前異常檢測解決方法主要通過尋找測量值的偏差來捕捉已知的攻擊屬性參數[2-3]。無線傳感器網絡在入侵檢測方面的研究已有一些成果。Krontiris等對有限次攻擊的異常行為進行了偵測研究，通過節點在網絡中的均勻分布減少節點安全漏洞[4]。為了檢測未知的異常攻擊，葉苗等提出了一種新的容忍惡意節點攻擊的無線傳感器網絡安全定位方法，通過變方差特征的傳感器節點定位概率模型提高傳感器網絡的靈活性和適應性[5]。Kaplantzis基于商業化角度研究了異常故障中模糊和嘈雜的信息，通過節點移動來實現避開障礙物的集中式算法，提高了傳感器網絡的安全性和完整性[6]。

現有研究實現的功能主要是依據已知的攻擊或檢測到的節點變化參數[7-8]。文中采用集群技術來檢測移動節點在時間和空間上的不同特征，在檢測到移動節點的異常因素后，能將受隱蔽的攻擊者影響的移動節點孤立于網絡。

1 基本假設

為方便無線傳感器網絡的描述和討論，做如下攻擊假設：

(1)移動節點在無線傳感器網絡中受到了保護，無線傳感器網絡協議中聚合、路由與時間同步，移動節點能夠表現出有偏差的聚合值，包括錯誤的檢測值或遭受損壞的聚合節點。

(2)攻擊目標包括靜態節點和移動節點，所體現的攻擊信息主要指信息感知系統提供的錯誤圖片。

(3)攻擊者攻擊節點造成響應時延或失去各個節點的同步時鐘信號，接收到的關鍵信息不是最新信息，造成無線傳感器網絡不穩定。

(4)路由協議遭到攻擊后路徑發生改變，數據不能準確到達接收器或產生一個較大的延遲，這種攻擊惡意改變了節點在路由表中存儲的數據值。

(5)攻擊者客觀上惡意篡改數據，呈現出虛假的數據。

2 受損節點特征提取模型

假定移動節點在不同時間段內的頻率不同，通過空間上遙感數據不一致問題來檢測操控數據和遭到損害的節點。提取模型如下：

(1)假設無線傳感器網絡的移動節點在數據輸出窗口中顯示的n-程序尺寸比例為20∶11110000001111110000，用戶提取所有序列大小為3(固定尺寸為3)，向量每次向前移動一個位置。

(2)在所顯示的時間段窗口中，111發生6次，110發生2次，000發生6次，001發生1次，011發生1次。所提取的矢量對應的時間窗口顯示：111-0.33，110-0.11，100-0.11，000-0.33，001-0.06，0.11-0.06。

(3)在受損節點特征提取模型中，序列的特征值和它們的頻率特征值相對應，所有特征值的總和為1，所提出的算法向量在預定義的時間段內每行提取40個特征值。

利用上述模型特征，在節點上形成空間模型，節點附近搭建控制臺。在某一時刻的時間內，n-程序空間表征每隔一個時間段從傳感器中輸出數據。同一組傳感器S1，S2，S3在1110四個時間段內輸出，依據n-程序部署(每個n-程序按照S1值第一位置，S2值第二位置，S3值第三位置)，傳感器在一個時間段內發生的頻率：111三次，000一次。產生n-程序的特征值是：111-0.75，000-0.25。接收器顯示的節點接收路徑數據：A-B-C-S三次，A-D-E-F-S兩次，A-B-E-F-S一次(A指節點發送數據，B、C指網絡中其他節點，S指接收器)，對應的n-程序(n=3):ABC，BCS，ADE，DEF，EFS，ABE和BEF。路由器端口顯示，n-程序中ABC產生3次，BCX產生3次，ADE產生2次，DEF產生2次，EFS產生3次，ABE產生1次，BEF產生1次，n-程序的總數量為15。

3 修復未知攻擊節點策略

3.1 未知攻擊的覆蓋范圍評價指標

文中修復集群攻擊技術采用SOM神經網絡[9]、遺傳算法(GA)[10]和生長型神經氣算法[11]。接收器窗口顯示的數據包括被攻擊和未被攻擊的數據，通過算法優化減少傳感器網絡節點遭受攻擊產生的時間滯后問題。以MD表示集群之間的平均距離，以QE表示計算量化誤差，檢測節點遭受攻擊的路徑公式如下：

(1)

其中，n為n-程序變化的特征值。

(2)

上述公式計算QE和MD值的變化，用fth表示正常情況下的攻擊，遭受攻擊后的變化如下：

(3)

當ΔD的值接近0時，該值不影響n-程序中描述的變化，得出：

(4)

模擬n-程序從0到Dmax的變化：

F(ρ)=β+(1-β)eκα

(5)

給出一組隨機變量x1,x2,…,xk,得出如下公式：

(6)

當H(xi)隨xi的信息發生變化，依據x1,x2,…,xk的值得出H(x1,x2,…,xk)的值。

β的設置使得F(ρ)=1，當κ→0，功能接近相同的漸近函數，當κ→∞，功能達到漸近線F(ρ)=0。如果ρ<1，F(ρ)=1；ρ=1，得出:

(7)

檢測到的最小攻擊數為:

(8)

如果β值增加或者κ值減少，N的值將減少；反之，ρ值減小或者κ值增加，Nsample將趨向于Nerrmin，結果如下:

(9)

3.2 分布式探測器設計

基于無線傳感器網絡的分布式特征，使用探測器分布式技術實現軟件代理和所在的物理節點。計算移動節點對于SOM網絡的移動方格，基于GA的交叉和變異概率，得出最優參數。使用代理冗余的方式實現物理節點的分配，對每個節點周圍配置信息接收代理，對所有節點信息計算加權和。統計理論為:

(10)

其中，α表示檢測器的數量；β表示錯誤的數量，傳感器系統能反映出正確或錯誤的物理節點。

移動節點在運轉時為了減少周邊干預，在節點遇到其他節點信號干擾時，分兩種情況判斷：其一是節點仍在同一區域，位置沒有發生顯著的變化，仍接收集群節點中的路由數據；其二是已經改變了位置，接收到的數據發生了明顯的變化，節點的路徑發生了改變。

3.3 受損節點的隔離和修復

對測試的傳感器網絡中每個節點模擬算法攻擊，遭受攻擊后的節點檢測到異常行為后，檢測丟失的數據或請求其他路由器節點響應，及時將受損節點從無線傳感器網絡隔離后重組，保護其他節點的性能，避免影響下一個路由器的運轉。

遭受攻擊后的節點形成新的n-gralm，假設能夠準確從攻擊者發出矢量中提取子集，通過提取repQE和repMD的值，得出兩個函數值。

if(QE<1)

{repQE=1;}

else

{repQE=1-QE/2;}

if(MD<1)

{repMD=1;}

else

{repMD=1-MD/2;}

if(QE>1)

{rep=repQE;}

else

{rep=repMD;}

這兩個函數能區分節點正常或異常行為，如果當前的矢量特征值高于節點的最高值則可能有攻擊現象，如果與節點正常顯示值相符，節點將正常運行。

if(last_rep[node]>threshold)

{new_rep[node]=last_rep[node]+rep+log(1.2*rep);}

else

{new_rep[node]=last_rep[node]+c_limit+log(1.2*rep);

系數c低于1時，last_rep[node]值將位于[0,1]區間，當c大于1時，last_rep[node]將取中間值。即使在測試時間內相互干擾，使用聚類算法將得到比較高的準確值。

if(value_rep

{if(space_rep

{result=value_rep;}

else{result=1-value_rep;}}

else

{result=value_rep;}

4 檢測結果分析

通過模擬器驗證算法對抗未知攻擊的準確性，模擬器能不依賴于傳感器實現節點通信功能，方便傳輸其他傳感器的數據。模擬器劃分為多個集群，其中每個組都有簇頭，簇頭參與不同集群之間的通信。傳感器節點隨機移動，節點移動的最長距離不超過當前位置和目標距離的20%。

4.1 模擬未知攻擊

將受到未知攻擊的節點上配置多個ID，并發送隨機值，把40個通過模擬器測試的節點隨機放置在100個不同的位置，模擬對傳感器網絡檢測節點惡意攻擊，持續時間為1 000個刻度，接近傳感器的節點在相同時間段內輸出的結果放置到同一組，模擬器在一個時間刻度內的采樣周期如圖1所示。

圖1 頂層視圖—2D

4.2 算法模擬分析

搭建實驗平臺，在第一個實驗中檢測靜態節點(在位置26處實施攻擊)，可以從不同角度觀察到檢測節點在第26位移動節點受損程度明顯降低，如圖2所示。在第二個實驗中采用密閉攻擊動態節點的方式，通過頂層視圖劃分受感染的移動節點。結果表明降低了節點受攻擊概率。

圖2 惡意節點的平均檢測率

根據圖2顯示的結果，如果檢測節點發出的攻擊80%是惡意的，文中所提出的算法可以完全檢測到攻擊，差錯率為0%。

圖3驗證了如何檢測和完全隔離的攻擊時間以及惡意網絡中節點的總數。

圖3 偵查和隔離時間

5 結束語

因為多方面的原因，無線傳感器網絡節點容易受到未知攻擊，及時發現并修復攻擊是提高網絡可靠性的重要方法[12]。提出了一種檢測無線傳感器網絡未知攻擊的算法，并設計了受損節點的修復方案，仿真實驗證明了該算法的正確性。在含有移動節點的無線傳感器網絡中，算法能夠檢測到節點周圍的未知攻擊，并能全部檢測出惡意攻擊的節點數，對受損節點進行有效隔離，實現了更合理的節點部署。

[1] 趙忠華，皇甫偉，孫利民，等.無線傳感器網絡管理技術[J].計算機科學，2011,38(1)：8-14.

[2] Hai T H,Khan F I,Huh E.Hybrid intrusion detection system for wireless sensor networks[C]//Proceedings of international conference on computer science and applications.San Francisco,CA,USA:[s.n.],2007.

[3] Loo C E,Ng M Y,Leckie C,et al.Intrusion detection for routing attacks in sensor networks[J].International Journal of Distributed Sensor Networks,2006,2(4):313-332.

[4] Krontiris I,Giannetsos T,Dimitriou T.LIDeA:a distributed lightweight intrusion detection architecture for sensor networks[C]//Proceedings of the 4th international conference on security and privacy for communication networks.Istanbul,Turkey:[s.n.],2008.

[5] 葉 苗,王宇平.一種新的容忍惡意節點攻擊的無線傳感器網絡安全定位方法[J].計算機學報，2013,36(3)：532-545.

[6] Kaplantzis S,Shilton A,Mani N,et al.Detecting selective forwarding attacks in WSNS using support vector machines[C]//Proceedings of 3rd international conference on intelligent sensors,sensor networks and information.Melbourne,Australia:[s.n.],2007:335-340.

[7] Adaptive Security Analyzer[EB/OL].2012-02-27.http://www.privacyware.com/index_ASAPro.html.

[10] Wagfer D．Resilient aggregation in sensor networks[C]//Proceedings of the 2nd ACM workshop on security of ad hoc and sensor networks.[s.l.]:ACM,2004:78-87．

[11] 羅永健，史德陽，侯銀濤，等．基于相似度的無線傳感器網絡數據復原匯聚方法[J]．計算機應用研究，2012,29(9):3405-3407．

[12] 王 珊，王慶生，樊茂森.基于移動節點的無線傳感器網絡覆蓋空洞修復方法[J].傳感器與微系統，2015,34(4):134-136.

An Intrusion Detection Method for Wireless Sensor Network of Malicious Node Attack

DONG Feng，ZHANG Qiu-xia

(Modern Education Technology Center,Huanghe Science and Technology College, Zhengzhou 450063,China)

Wireless sensor nodes are usually random deployment in the absence of infrastructure network.When the sensor node position exposed to malicious attacks environment,the attacker will attack the network coverage holes,and nodes are vulnerable to unknown attacks leading to positioning error.Wireless sensor networks is difficult to operate safely in no case of human involvement.To solve this problem,an intrusion detection algorithm based on wireless sensor network node is designed,which can solve the problem of unrecognized unknown attacks.The outliers generated by attacks are detected through clustering techniques,and the correctness of the algorithm is proved theoretically.Test and experiment means that the algorithm on the premise of protecting the sensor network completes the unknown attack detection,repair and positioning.

wireless sensor;clustering algorithm;mobile node;detection

2015-11-24

2016-03-17

時間：2017-01-10

2014年度河南省科技攻關項目(142102210641)；2015年度河南省高等學校重點科研項目(15A520085)

董 峰(1972-)，男，副教授，研究方向為計算機網絡。

http://www.cnki.net/kcms/detail/61.1450.TP.20170110.0941.002.html

TP393

A

1673-629X(2017)02-0086-04

10.3969/j.issn.1673-629X.2017.02.020