基于物聯網的無線通信網絡節點安全性度量方法

羅 麗

（江西科技師范大學 理工學院 理工學科部，江西 南昌 330013）

0 引 言

網絡節點對信息傳播等機制具有高度影響，對網絡節點的安全性進行度量，能有效控制節點對信息的傳播能力，保障無線通信網絡安全[1]。國外對無線通信網絡節點安全性的度量標準較多，如從管理角度制定BS 7799安全標準，在收集網絡節點配置信息后，提供漏洞、資產及風險威脅等方面的度量方法，明確各個等級網絡節點的管理要求，主要實施內容包括無線通信網絡的安全標準和普通警告，并在防護措施方面，提出一系列保護方法。國內對網絡節點安全性的度量，以《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239—2008）安全等級保護基本要求為依據，根據其給出的度量流程和框架，明確節點各階段的風險程度，并判斷其是否符合安全標準。但傳統網絡節點安全性度量方法未充分考慮無線通信網絡的特點，在對節點安全性進行度量時，沒有結合無線通信網絡特性，導致度量波動較大，與無線通信網絡適應性較差。為解決以上問題，設計基于物聯網的無線通信網絡節點安全性度量方法。物聯網可以根據無線傳感設備的相關協議，實現設備節點分布存儲等步驟，感知無線通信網絡中的節點位置，滿足網絡節點度量定位的技術需求，還可以將各種網絡連接起來，搜索并采集節點相關信息，在無線網絡中完成節點信息互換，實現智能化監控管理[2]。

1 基于物聯網的無線通信網絡節點安全性度量方法設計

1.1 選定網絡節點

計算網絡節點對無線通信網絡的影響范圍，選擇出影響通信網絡安全的重要節點。首先采用傳播動力學，將關注點集中在節點相鄰信息或者節點自身信息上，對無線通信網絡進行度量，考察網絡中該節點被破壞或刪除后，網絡連通性的排序方法是否會被破壞，以及網絡連通性是否變差，通過破壞性評價進行深入分析。由于破壞某一節點時，與該節點相關聯的所有節點都會被刪除，因此，要從網絡局部特征出發，使用網絡節點的度指標，計算節點影響網絡連通性的局部信息量，對節點情況進行刻畫，找出造成直接影響的網絡節點[3]。設網絡節點為u，該節點的相鄰節點集合為Γ(u)，次相鄰節點數之和為N，最近相鄰節點數之和為W，則每層節點的局部集中度Q(u)的計算公式為：

將節點局部集中度作為影響網絡連通性的反饋程度，引入權重衰減因子，度量節點對其他節點施加影響作用的能力，對每個網絡節點的破壞程度賦予權重，并將其相鄰節點也作為一個反饋環節。根據無線網絡存儲的大量數據，將介數中心性作為節點安全重要性的評價指標，當破壞的節點局部集中度越接近中心性數值時，則處于中心地位的網絡節點，其對無線網絡通信網絡節點安全性的影響程度較大。經過上述分析，在考慮安全性的前提下，完成重要網絡節點的選定。

1.2 基于物聯網識別節點整體風險

基于物聯網技術，搜索以上重要節點的網絡和位置信息，對所有節點的整體風險進行識別。分別從網絡層面和拓撲圖角度對節點風險進行評估，結合無線通信網絡的特殊需求及實際情況，將網絡節點風險的關鍵因子抽象出來，結合物聯網搜索的節點脆弱項的配置信息，如網絡節點風險因子，以及與無線通信網絡的權重關系。

設無線通信網絡核心層風險值為x1，匯聚層風險值為x2，接入層風險值為x3，計算網絡風險值的函數為H，網絡節點風險事件發生的概率為P，網絡脆弱性為C，無線通信網絡資產為z，網絡威脅為W，則網絡節點整體風險值NR的計算公式為：

采用基線配置檢測工具對脆弱性進行檢測。網絡脆弱性C共分為高、中、低3個級別。其中，高脆弱級別包括對靜態口令、通信分配權限、明文形式及設置口令的影響程度；中脆弱級別包括對網絡源地址、過濾操作、引起潛在危害、端口延遲時間、無線通信服務協議、任意主機訪問服務器、遠程登錄密鑰的影響程度；低脆弱級別包括對配置文件、目標端口、字符序列、目標地址的影響程度。之后，控制脆弱項浮動范圍為0～1，取所有節點脆弱項的平均值。至此，完成基于物聯網技術的網絡節點整體風險的識別過程。

1.3 度量網絡節點安全性等級

對網絡節點整體風險進行評估，判斷其在無線通信網絡中的安全等級。在常規安全評估流程的基礎上，選出屬性綜合值最大的網絡節點，引入無線通信網絡的整體風險這個參數，將造成風險狀態的轉移概率也納入評估范圍，將節點屬性信息和割邊選擇作為潛在的風險轉移路徑。為使評估結果更加準確，將節點安全等級細化為1～5級。當安全等級為高和很高時，則無線通信網絡節點安全能得到保障。至此完成了基于物聯網技術的無線通信網絡節點安全性度量方法設計。

2 實驗論證分析

為驗證上述設計方法的有效性，與傳統無線通信網絡節點安全性度量方法進行對比分析。

2.1 實驗過程

用OPNET軟件模擬無線通信網絡拓撲，依據安全基線配置檢測工具，在無線傳感器網絡中建立n個仿真節點，模擬無線通信網絡數據交互的場景。選取CISC07609路由器，將網絡節點設置為亞攻擊性惡意節點，存在access綁定設備脆弱項，表現惡意節點相對復雜的真實攻擊行為，對信息網絡進行分層。將特殊字段填充至網絡環境MSDU部分，使所有網絡節點生成節點時間序列集，為使模擬實驗更加真實化，使用協議棧MAC命令幀的報文結構，其節點包括幀控制、命令類型、命令載荷，并對序列集進行賦值。

將網絡節點的時間序列作為輸入數據，將處在核心層的V3識別作為風險值最高的節點，考慮高速轉發和路由能力，以及造成節點安全性度量效果的差異，設置大量外接接口，模擬一個聚類過程輸出最終度量結果，加入無線通信網絡整體風險的參數。另兩種度量方法分析設置的變量參數，對網絡節點整體安全性進行度量，投入來保護V3的安全。

2.2 實驗結果

本文提出的方法與傳統方法的節點權重如表1所示。

表1 節點風險值計算結果

為保證對比實驗的準確性，設置節點序列長度分別為50～300，選擇幾個不同的長度值來進行比較，作為實驗關注范圍。由于長度不同，其分析結果精度也有所不同，因此要不斷增加節點度量的開銷和運算時間。記錄兩種度量方法對惡意節點的召回率，結果如表2所示。

表2 惡意節點的對比結果

由表2可知，兩種度量方法都能識別惡意節點的性能參數，從對比結果數據可以看出，網絡節點的召回率都隨序列長度而增加，對節點的誤判率降低，但本文方法的平均召回率為0.77%，而傳統方法對惡意節點的召回率則為0.86%，相比傳統方法召回率提高了0.09%，在惡意節點的識別度方面取得了較好效果。

保持網絡節點總數不變，改變無線通信網絡中惡意節點與正常節點的比例，記錄兩種度量方法對正常節點的召回率，結果如表3所示。

由表3可知，本文方法的平均召回率為0.17%，比傳統方法對惡意節點的召回率（0.09%）提高了0.06%。綜上所述，本文度量方法對網絡節點的召回率較低，有效提高了對節點判斷的精度。

表3 正常節點的對比結果

3 結 論

此次提出的度量方法充分發揮出了物聯網對網絡節點定位識別的優勢，提高了對網絡節點安全性的度量準確性。但此次提出方法在應用無線通信網絡時，因為不受資源的限制，對網絡節點的信譽管理較為簡單，管理機制不夠完善，在今后的研究中，會對該度量方法進一步優化，降低資源開銷，不改變精確性能的同時，使其更加適用于無線通信網絡。