無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)

崔 捷，許 蕾，王曉東，肖 鴻

(1.空軍工程大學(xué)電訊工程學(xué)院，陜西西安 710077;2.中國人民解放軍 94170部隊(duì)，陜西西安 710082)

隨著傳感器技術(shù)、嵌入式計(jì)算技術(shù)、分布式信息處理技術(shù)和通信技術(shù)的迅速發(fā)展，無線傳感器網(wǎng)絡(luò)應(yīng)運(yùn)而生，且發(fā)展迅速。其可應(yīng)用于軍事、環(huán)境監(jiān)測、醫(yī)療保健、家居、商業(yè)、工業(yè)等眾多領(lǐng)域，應(yīng)用前景廣闊。由于無線傳感器網(wǎng)絡(luò)多配置在惡劣環(huán)境中，加之本身固有的脆弱性，使得無線傳感器網(wǎng)絡(luò)的安全問題引起人們的關(guān)注[1]。

1 無線傳感器網(wǎng)絡(luò)的安全威脅

無線傳感器網(wǎng)絡(luò)(WSN)易受各種安全威脅，許多文獻(xiàn)勻有描述。文獻(xiàn)[2]將WSN的攻擊按照不同層次分類，如表1所示。

表1 無線傳感器網(wǎng)絡(luò)攻擊手段表

續(xù)表1

目前許多文獻(xiàn)提出了用于Ad hoc網(wǎng)絡(luò)的入侵檢測技術(shù)，但它們并不適用于無線傳感器網(wǎng)絡(luò)，因?yàn)闊o線傳感器網(wǎng)絡(luò)的節(jié)點(diǎn)資源有限。針對WSN的入侵檢測方法研究如下:

Onat等人[3]提出的分布式異常檢測架構(gòu)入侵檢測方案。Strikos[4]提出本地檢測代理(Local Detection Agent)結(jié)構(gòu)入侵檢測方案。Yu等人[5]提出了一種基于檢測點(diǎn)的多跳確認(rèn)方案，檢測選擇轉(zhuǎn)發(fā)攻擊所導(dǎo)致的異常丟包。Ngai等人[6]提出一種3層的入侵檢測結(jié)構(gòu)方案。Rajasegarar等人[7]提出了一種基于數(shù)據(jù)挖掘的分布式異常檢測方案，該方案采用基站、父節(jié)點(diǎn)、子節(jié)點(diǎn)3層架構(gòu)。Su等人[8]提出了一種分簇式的能量節(jié)省入侵檢測方案。Loo等人[9]提出了一種基于聚類的入侵檢測算法，可用于檢測路由異常。Zeng等人[10]提出了基于免疫機(jī)理的入侵檢測算法。Doumit等人[11]提出了基于自組織臨界程度(Self-organized Criticality，SOC)和隱馬爾可夫模型(Hidden Markov Model，HMM)的入侵檢測算法，屬于異常檢測。Agah等人[12]將博弈論中的非合作模型引入到無線傳感器網(wǎng)絡(luò)的入侵檢測問題中，并提出了一種新的解決方案。V.Bhuse和A.Gupta在文獻(xiàn)[13]中描述了一個基于異常檢測的入侵檢測系統(tǒng)，該系統(tǒng)在多層檢測體系中更健壯。在他們的方法中，都試圖在物理層、鏈路層、網(wǎng)絡(luò)層和應(yīng)用層檢測入侵行為。Da Silva等人[14]提出了一個入侵檢測算法，并將其分割成3個階段。第一階段是數(shù)據(jù)獲取階段，監(jiān)控節(jié)點(diǎn)處于混雜模式進(jìn)行監(jiān)聽，并利用傳感器節(jié)點(diǎn)的內(nèi)存存儲所需信息。該作者定義了一系列的規(guī)則，這些規(guī)則應(yīng)用到第二階段中存儲的數(shù)據(jù)。如果消息不滿足這些規(guī)則，則增加一個失敗的計(jì)數(shù)。最后，在第三階段中，將失敗的計(jì)數(shù)與閾值進(jìn)行對比，如果失敗數(shù)大于閾值，則產(chǎn)生一個告警。Li，He和Fu[15]提出了一個基于組的異常檢測入侵檢測系統(tǒng)。其使用Delta分組算法[16]，將網(wǎng)絡(luò)分割成幾組，然后在每個組上運(yùn)行他們的檢測算法。

但這些方法都有其各自的優(yōu)點(diǎn)與不足。文中重點(diǎn)研究了文獻(xiàn)[13～15]的方法，并加以改進(jìn)，提出了方案。

2 入侵檢測系統(tǒng)

文中提出了一個分等級的入侵檢測系統(tǒng)，體系結(jié)構(gòu)共他4層，運(yùn)用的是基于規(guī)則的檢測技術(shù)。

2.1 網(wǎng)絡(luò)體系結(jié)構(gòu)

該網(wǎng)絡(luò)體系結(jié)構(gòu)有4層。最底層由所有的末端傳感器組成，這些末端傳感器從周圍環(huán)境中收集數(shù)據(jù)。第二層和第三層由監(jiān)控節(jié)點(diǎn)組成，第二層傳感器監(jiān)控末端傳感器的通信模式;第三層傳感器監(jiān)控第二層傳感器的行為。第三層傳感器布置時要求:每個第三層傳感器能夠監(jiān)控2個第二層傳感器間的通信。最后，頂層傳感器就是基站，通常人工操作。

圖1為傳感器節(jié)點(diǎn)在網(wǎng)絡(luò)中的組織結(jié)構(gòu)。該方法需要一個異類網(wǎng)絡(luò):第二層和第三層傳感器節(jié)點(diǎn)，在傳輸范圍和電池壽命方面要比末端傳感器更強(qiáng)。

圖1 無線傳感器網(wǎng)絡(luò)體系結(jié)構(gòu)圖

在網(wǎng)絡(luò)中，所有的末端傳感器被分成若干個組。用Delta分組算法[16]進(jìn)行網(wǎng)絡(luò)分區(qū)。每個組都用一個第二層傳感器監(jiān)控。第二層和第三層傳感器來執(zhí)行IDS解決方案。每個末端傳感器將數(shù)據(jù)發(fā)送到第二層傳感器，其聚集所有的數(shù)據(jù)并發(fā)送給第三層傳感器，第三層傳感器監(jiān)控第二層傳感器的行為。每個第三層傳感器必需被放置在2個第二層傳感器的通信范圍內(nèi)，這樣即可監(jiān)視2個第二層傳感器間的通信。如果第二層傳感器檢測到了異常，它會發(fā)出一個報(bào)警并且發(fā)送給第三層傳感器，第三層傳感器調(diào)查和分析這些報(bào)警并判斷其是否有效，然后一個聚集眾多數(shù)據(jù)的報(bào)警被發(fā)送至基站。

2.2 入侵檢測技術(shù)

修改了Da Silva等人[14]提出的入侵檢測算法，并將它運(yùn)用在第二和第三層傳感器上。由于傳感器資源有限，沒有在任何末端傳感器上運(yùn)用IDS。監(jiān)控節(jié)點(diǎn)的功能被分成三個階段。第一階段:所有的末端傳感器從它們周圍環(huán)境收集數(shù)據(jù)，然后報(bào)告給第二層傳感器。第二階段:用基于分層的攻擊檢測方法來檢測文獻(xiàn)[13]提出的攻擊類型。表2描述了攻擊在各層中如何被發(fā)現(xiàn)的。這種基于分層的攻擊檢測方法使得系統(tǒng)更完善。第三階段:比較每個上報(bào)的結(jié)果來定義閾值，以此來決定是否要發(fā)出一個報(bào)警。第三階段常?？梢詼p少錯報(bào)率。閾值可以人工定義或者根據(jù)特定的WSN需求來調(diào)整。因此，提出的入侵檢測體系結(jié)構(gòu)通過減少錯報(bào)能夠檢測到大多數(shù)的安全威脅。

表2 基于分層的攻擊檢測

3 結(jié)束語

介紹了無線傳感器網(wǎng)絡(luò)當(dāng)前面臨的威脅，以及現(xiàn)有無線傳感器網(wǎng)絡(luò)入侵檢測方案，提出了一種分等級的入侵檢測系統(tǒng)，該體系結(jié)構(gòu)通過減少錯報(bào)，能夠檢測到大多數(shù)的安全威脅。

[1]楊黎斌，慕德俊，蔡曉妍.無線傳感器網(wǎng)絡(luò)入侵檢測研究[J].計(jì)算機(jī)應(yīng)用研究，2008，25(11):3204-3207.

[2]WOOD A D，STANKOVIC J A.Denial of service in sensor networks[J].Computer，2002，35(10):54-62.

[3]ONAT I，MIRI A.An intrusion detection system for wireless sensor networks[C].Procof IEEE International Conferenceon Wireless and Mobile Computing，Networking and Communications(WiMOB 2005)，2005.

[4]STRIKOSA.A full approach for intrusion detection in wireless sensor networks[EB/OL].(2007-08-15)[2011-05-12]http://www.it.kth.se/courses/2G1330.

[5]YU Bo，YANG Min，WANG Zhi，et al.Identify abnormal packet loss in selective forwarding attacks[J].Chinese Journal of Computers，2006，29(9):1542-1552.

[6]NGAI C H.Intrusion detection for wireless sensor networks[D].HongKong:The Chinese University of HongKong，2005.

[7]RAJASEGARAR S，LECKIE C，PALANISWAMI M，et al.Distributed anomaly detectionin wireless sensor networks[C].USA:Proc of the 10th IEEE Singapore International Conferenceon Communication System(ICCS 2006)，2006.

[8]SU C C，CHANG K M，KUO Y H，et al.The new intrusion prevention and detection approaches for clustering-based sensor networks[C].Maco:Proc of IEEE Wireless Communications and Networking Conference，2005:1927-1932.

[9]LOO C E，NG M Y，LECKIE C，et al.Intrusion detection for routing attacks in sensor networks[J].International Journal of Distributed Sensor Networks，2006，21(4):313-332.

[10]ZENG Peng，LIANG Wei，WANG Jun，et al.Research on security system of wireless sensor networks based on biological immunity principle[J].Minimicro System，2005，26(11):1907-1910.

[11]DOUMIT S，GRAWAL D P.Self-organized criticality and stochastic learning based intrusion detection system for wireless sensor networks[C].France:Proc of IEEE Military Communications Conference(MILCOM 2003)，2003.

[12]AGAH A，DAS S K，BASU K，et al.Intrusion detection in sensor networks:a non-coorperative game approach[C].Egept:Proc of the 3rd IEEE International Symposium on Network Computing and Applicaton(NCA 2004)，2004.

[13]BHUSE V，GUPTA A.Anomaly intrusion detection in wireless sensor network[J].Journal of High Speed Networks，2006，15(1):33-51.

[14]SILVA A DA，MARTINS M，ROCHA B，et al.Decentralized intrusion detection in wireless sensor networks[C].Proceedings of the 1st ACM International Workshop on Quality of Service＆Security in Wireless and Mobile Networks，2005.

[15]LI G，HE J，F(xiàn)U Y.Group-based intrusion detection system in wireless sensor networks[C].Computer Communications，2008，31(18):1511-1515.

[16]MEKA A，SINGH A K.Distributed spatial clustering in sensor networks[C].Heidelberg，Germany:Lecture Notes in Computer Science 3896，Springer Verlag，2006:980-1000.