基于流量參數-區域清除機制的移動物聯網入侵監測算法

張飛雁

（陜西交通職業技術學院陜西西安 710018）

物聯網技術作為“中國制造2025”核心應用領域，在新經濟結構轉型過程中起到日益重要的基礎性作用，促進了諸如“工業化4.0”、“智慧制造”等產業蓬勃發展［1］。隨著移動通信技術與物聯網技術在產業分工中不斷融合，諸如節點劫持、流量入侵等安全攻擊風險也在物聯網領域逐步產生不利影響，特別是攻擊者采取一些黑產手段侵入物聯網絡進行數據偽造、身份搜集，以及致流量癱瘓等，對物聯網及相關產業的正常運轉造成嚴重后果［2］。因此，采取必要的入侵監測機制，對入侵行為及節點進行阻斷，成為當前物聯網研究領域的主要關注點之一［3］。

當前，研究者主要通過一些特征匹配模式，試圖從海量監測數據中獲取入侵指紋特征，以便能夠較好地針對入侵行為進行及時檢測［4］。如Tabassum［5］等嘗試引入區塊鏈校驗方案，提出了一種基于多點識別機制的物聯網入侵監測算法，首先采取網絡編碼技術對新加入節點進行全網唯一編碼并引入廣播機制進行點校驗，任意節點在接收數據前均需要同時與鄰域節點及sink 節點實現匹配鑒權，若未能通過鑒權則將被直接判定為入侵節點，有效提高了鑒定過程的有效性，惡意節點入侵難度較高，監測性能卓越。然而，該算法對網絡性能要求較高，需要頻繁進行雙向點對點通信，使得擁塞控制性能較差，極易出現傳輸癱瘓現象。Kalyani［6］等考慮到DDos 等流量攻擊造成的峰值特征更迭，提出了一種基于異常峰值分布列鑒權機制的物聯網入侵監測算法，針對物聯網數據傳輸具有的周期特性，實時根據時移性對峰值分布進行動態識別，可顯著增強對惡意節點的捕捉效率，部署較為便捷。但是，該算法僅從峰值特點對惡意攻擊行為進行識別，存在誤判嚴重的情況，鑒權過程對網絡傳輸性能的影響較大，可用性不強。Ashaj［7］等基于物聯網簇節點層次分割機制，提出了一種新的物聯網入侵監測算法，通過利用物聯網分區數據具有的唯一性特點，采取預設監測節點并將ID 通過廣播方式注入物聯網分區數據報文，數據接收過程將根據預設ID 進行區域鑒權，提高對激發狀態的惡意節點監測強度，捕捉效率較高。但是，該算法也存在一定的不足，特別是該算法需要針對網絡分區進行節點預部署，對網絡資源的占用幅度較高，難以適應高密度物聯節點的部署場景。

針對當前研究中存在的不足，本文提出了一種基于流量參數-區域清除機制的移動物聯網入侵監測算法。結合惡意攻擊所對應的數據流量特征，采取帶寬峰值等參數構建流量參數鑒權機制，可實現大范圍內的惡意節點清除效果。此外，考慮到惡意節點存在的潛伏現象，采取區域分割方式設計了基于區域行為清除機制的流量二次查證方法，可對潛伏節點進行二次識別查證。

1 物聯網入侵監測算法

本文的算法主要由流量參數鑒權機制和區域行為清除機制兩部分構成。首先，依托周期機制對網絡節點及相關流量進行查證識別，見圖1。通過帶寬等特征參數構建多維度流量參數查證序列，定向捕獲網絡參數并進行惡意行為識別，達到定向捕獲入侵行為的目的。隨后，算法考慮到非激活狀態的惡意節點同時具有的潛伏特性，采取區域行為清除方法進行二次查證，從而增強了本文算法對惡意行為的監測能力。

圖1 物聯網入侵監測算法Fig.1 Intrusion detection algorithm of internet of things proposed

1.1 基于流量參數鑒權機制的入侵查證識別

由于傳感網部署過程中具有區域分布特性，各區域內簇頭節點具有顯著參數區分度［8］，因此可針對網絡節點的區域特征進行鑒權識別，一旦發現某行為特征或節點特征與該區域內多數節點存在較大差異，即判定該節點為源入侵節點，應予以清除。不妨設節點m為第m個部署區域內的簇頭節點，定位坐標為μm，令該部署區域鄰域第n個簇頭節點定位坐標為ωn，區域間傳輸帶寬為B，因此根據離散萊斯特征鑒權抽樣積分可得［9］

其中，B(t)表示區域傳輸帶寬B對應的時間峰值。相應鑒權識別序列μ滿足

其中，e表示自然常數。

采取模型（2）所示的鑒權識別序列雖然能通過查證區域帶寬更迭并按時間進行點排序，具有較高的安全系數，然而由于該方案不僅需要針對網絡分區進行一一鑒權，而且對數據捕獲的實時性要求較為苛刻，無法適應高密度的節點部署場景，因此本文在上述鑒權識別序列的基礎上，采取積分方案對序列進行二次鑒權，以便降低算法對數據捕獲的實時性要求并提高運行過程中的收斂速率。詳細設計如下：

首先，通過模型（1）獲取全部區域中萊斯分布離散均值最低的節點并基于流量進行積分映射［10］，相應的鑒權序列μ′m獲取如下：

其中，ds表示區域覆蓋范圍內的節點線積分。

考慮到惡意行為捕獲過程中，一般采取特征激發模式進行行為誘導［11］，故模型（3）可進一步改寫為如下模式：

模型（4）中，若惡意行為滿足時移特性，則有如下模型成立：

因此，同時滿足模型（4）和模型（5）的節點均被判定為惡意節點。判定完成后將對該節點進行捕獲并按模型（3）構架下一時刻的鑒權序列μ′m(T)，即

其中，T表示節點傳輸周期。

對模型（6）進行歸一化處理即可完成下一周期鑒權序列μ′m(S，T)的構建，即

方法結束。

1.2 基于區域行為清除機制的流量二次查證

完成基于流量參數鑒權機制的入侵查證識別方法后，雖然能夠針對某一區域內的惡意節點進行查證，然而若區域間數據具有相似特性時，惡意節點可以通過跨區方式進行跳域攻擊，此時單一區域內簇頭節點將很難對這種處于潛伏狀態的惡意節點進行查證識別。

不妨令k為第k個區域內的簇頭節點，與節點k具有相似流量特征的區域節點為Ψ，則Ψ 所對應的流量特征Ψ(B)可被分割為如下模型：

其中，Bm表示與第k個區域具有相鄰關系簇頭節點當前的傳輸帶寬。

采用模型（9）對鄰域區域內節點進行查證識別時，若區域內某節點流量達到分割均值，則將直接被裁定為惡意節點。然而由于實時精確統計物聯網流量的難度較高，因此本文在基于流量參數鑒權機制入侵查證識別方法的基礎上，進一步提出基于區域行為清除機制的流量二次查證方法，以便能夠進一步增強查證識別的精度。

首先，按模型（8）、（9）對各分區內網絡流量進行排序，當且僅當滿足如下查證閾值(Bc)時進行清洗：

模型（10）中，r表示節點最大通信距離，Bc表示當前區域內最大流量，ΔB表示網絡數據平均傳輸帶寬，其余參數同模型（8）。

簇頭節點完成最大通信距離覆蓋范圍內的節點掃描后，下一時刻查證閾值進行積分處理，即

其中，模型（11）相關參數同模型（10），∮表示簇頭監測軌跡，當且僅當下一時刻滿足模型（11）時，繼續進行惡意行為查證。

2 仿真實驗與分析

本文采用NS2 仿真實驗環境（Network Simulator Version 2）［11］，對照組算法為當前物聯網入侵檢測領域內 常 用 的 雙 因 子 自 動 探 測 算 法［12］（A Two-Level Authentication Scheme For Clone Node Detection In Smart Cities Using Internet Of Things，TLAS 算法）及基于塊機制的安全探測算法［13］（Information Security And Storage Of Internet Of Things Based On Block Chains，BS算法），對照指標為惡意節點檢出率、網絡攻擊抵御次數兩項，詳細仿真參數見表1。

表1 仿真參數表Tab.1 Simulation Parameters

2.1 惡意節點檢出率

圖2為本文算法、TLAS算法和BS算法的惡意節點檢出率測試結果。由圖2 可知，本文算法具有惡意節點檢出率較高的特性，這是由于本文算法根據惡意節點與區域內節點在帶寬特征等方面的差異，設計了基于流量參數鑒權機制的入侵查證識別方法，能夠采取周期鑒權的方式對節點進行查證識別。特別是本文算法針對惡意節點可能存在的跨域攻擊現象，結合物聯網節點具有周期運行特性構建了基于區域行為清除機制的流量二次查證方法，查證精度較高，因此檢出惡意節點的能力較強，具有較高的惡意節點檢出率。TLAS算法主要采取鄰域矩陣機制，通過逐次構建編碼指紋的方式對節點進行一一識別，由于物聯網節點具有高密集度特性，該算法為降低監測成本均采取抽樣方式進行惡意節點監測，因此漏檢率較高，降低了惡意節點檢出率。BS 算法主要采取橢圓曲線方式進行精準監測，雖然能部分增加惡意節點檢出精度，不過由于橢圓曲線檢測方案亦需要采取周期抽檢方式構建加密矩陣，未對處于潛伏狀態節點進行校驗，因此惡意節點檢出效果亦要低于本文方案，體現出較低水平的惡意節點檢出率。

圖2 惡意節點檢出率的測試結果Fig.2 Test results of detection rate of malicious nodes

2.2 網絡攻擊抵御次數

圖3為本文算法、TLAS算法和BS算法的網絡攻擊抵御次數測試結果。由圖3 可知，本文算法具有網絡攻擊抵御次數較高的特性，體現了良好的網絡攻擊抵御性能。這是由于本文算法可通過監測攻擊節點具有的流量特征，設計了基于區域行為清除機制的流量二次查證方法對網絡攻擊進行高強度抵御。此外，本文算法基于流量參數鑒權機制的入侵查證識別方法，可通過多參數查證匹配方式對網絡攻擊進行精確抵御，因此網絡攻擊抵御能力較強，體現了較高的網絡攻擊抵御次數。TLAS 算法雖然可通過編碼方式對節點進行鑒權，然而由于該算法未對可能潛伏的節點進行二次識別，易受到潛伏節點發動的二次攻擊。BS 算法雖然采取橢圓編碼方式對網絡節點進行加密，然而該算法與本文算法相比，存在對潛伏節點檢出率不夠的問題，因而抵御網絡攻擊的能力亦要低于本文算法，使得網絡攻擊抵御次數較低。

圖3 網絡攻擊抵御次數的測試結果Fig.3 Test results of network attack resistance times

3 結語

為解決當前物聯網部署過程中存在的惡意行為查證識別困難、節點檢出能力較弱等不足，提出了一種基于流量參數-區域清除機制的移動物聯網入侵監測算法。算法主要由基于流量參數鑒權機制的入侵查證識別方法和基于區域行為清除機制的流量二次查證方法兩部分構成，主要采用多參數識別查證方式構建流量參數鑒權機制，并針對潛伏節點進行二次識別，具有較好的惡意行為檢出效果。

下一步，將針對本文算法在移動環境下性能較差的不足，擬引入移動傳感網定位算法增強網絡對惡意節點定位追蹤能力，進一步提升本文算法對各種復雜環境的適應能力。