基于分簇的節(jié)點(diǎn)復(fù)制攻擊入侵檢測(cè)方法*

周 暉， 朱立慶， 楊 振， 程亞喬

(南通大學(xué) 電子信息學(xué)院，江蘇 南通 226019)

0 引 言

當(dāng)無(wú)線傳感器網(wǎng)絡(luò)中部署于敵對(duì)環(huán)境時(shí)，極易受到敵方攻擊，如,DoS攻擊、Sinkhole攻擊、選擇性轉(zhuǎn)發(fā)、節(jié)點(diǎn)復(fù)制攻擊、洪泛攻擊、蠕蟲(chóng)攻擊、Sybil攻擊等[1]。通常，敵方先捕獲合法節(jié)點(diǎn)，再?gòu)?fù)制具有合法身份的惡意節(jié)點(diǎn)并布放到網(wǎng)絡(luò)中，然后通過(guò)惡意節(jié)點(diǎn)發(fā)起對(duì)整個(gè)網(wǎng)絡(luò)的攻擊[2]。而出于成本的考慮，網(wǎng)絡(luò)對(duì)節(jié)點(diǎn)通常沒(méi)有物理屏蔽，且處于無(wú)人看管狀態(tài)。若不能檢測(cè)出惡意節(jié)點(diǎn)，網(wǎng)絡(luò)就會(huì)遭受很大的內(nèi)部攻擊。敵方可通過(guò)其復(fù)制節(jié)點(diǎn)獲取重要信息，還可向網(wǎng)絡(luò)注入錯(cuò)誤信息，誹謗甚至廢除合法節(jié)點(diǎn)[3]。

由于惡意節(jié)點(diǎn)擁有合法密鑰，因此,現(xiàn)有認(rèn)證技術(shù)難以完成節(jié)點(diǎn)復(fù)制攻擊入侵檢測(cè)。

Parno B等人最早提出一種簡(jiǎn)單直接的集中控制檢測(cè)方法BS-based scheme[4]，每個(gè)節(jié)點(diǎn)將其鄰居和位置信息發(fā)送給基站，基站可以很容易檢測(cè)出具有相同ID但是擁有不同位置信息的節(jié)點(diǎn)。這種方法檢測(cè)率高，但基站附近的節(jié)點(diǎn)承受更大的通信成本[5]，容易耗盡其能量，造成整個(gè)網(wǎng)絡(luò)生存時(shí)間縮短。之后，Parno B等人又提出2種概率性的檢測(cè)方案：隨機(jī)多播(RM)和路徑選擇多播(LSM)[6]。如果網(wǎng)絡(luò)中存在具有相同ID的節(jié)點(diǎn)，那么在其驗(yàn)證節(jié)點(diǎn)射線的相交處將會(huì)出現(xiàn)碰撞，相交處驗(yàn)證節(jié)點(diǎn)將發(fā)現(xiàn)復(fù)制節(jié)點(diǎn)。該方案要求對(duì)每個(gè)節(jié)點(diǎn)的身份和位置進(jìn)行簽名認(rèn)證，故需要較大的通信成本。

Yu Chia Mu等人提出極高效XED檢測(cè)克隆攻擊的方法[7]。每個(gè)傳感器節(jié)點(diǎn)隨機(jī)生成一個(gè)整數(shù)并且相互交換，然后把接收到的ID和隨機(jī)數(shù)都記錄在一張驗(yàn)證表中。該方法不需收集節(jié)點(diǎn)的位置信息，故節(jié)點(diǎn)存儲(chǔ)空間開(kāi)銷(xiāo)較小,但該方法不適用于大型網(wǎng)絡(luò)。由于節(jié)點(diǎn)須接收網(wǎng)絡(luò)中所有節(jié)點(diǎn)生成的隨機(jī)數(shù)，對(duì)于節(jié)點(diǎn)數(shù)多的大型網(wǎng)絡(luò)而言，每個(gè)節(jié)點(diǎn)需存儲(chǔ)大量的認(rèn)證數(shù)據(jù)。

Zeng Yingpei 等人提出2種非確定性分布式方案：隨機(jī)漫步(RAWL)和列表隨機(jī)漫步(TRAWL)[8]。前者從網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)開(kāi)始幾段隨機(jī)漫步，然后把經(jīng)過(guò)的節(jié)點(diǎn)都選為驗(yàn)證節(jié)點(diǎn);后者則是在前者的基礎(chǔ)上為每個(gè)節(jié)點(diǎn)增加一個(gè)跟蹤表來(lái)降低存儲(chǔ)空間消耗。在這2個(gè)方案中，每個(gè)節(jié)點(diǎn)都需要把位置驗(yàn)證信息發(fā)送給多個(gè)中間節(jié)點(diǎn)，所以,會(huì)產(chǎn)生大量的通信開(kāi)銷(xiāo)。以上方案的通信成本均受網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)N影響，其中,LSM方法受影響最小，最具代表性。

受到LSM方法啟發(fā)，本文提出一種基于分簇的節(jié)點(diǎn)復(fù)制攻擊檢測(cè)方法(cluster-based detection method，CBDM),將網(wǎng)絡(luò)分成若干簇，并選擇簇頭[9]，簇頭作為該簇的驗(yàn)證節(jié)點(diǎn)(witness node)作復(fù)制攻擊檢測(cè)。簇頭還將本簇所有節(jié)點(diǎn)的位置驗(yàn)證信息發(fā)送到基站，供基站作進(jìn)一步檢測(cè)。

1 網(wǎng)絡(luò)環(huán)境

1.1 網(wǎng)絡(luò)模型

假設(shè)有大量的低成本、低功耗的傳感器節(jié)點(diǎn)隨機(jī)分布于某區(qū)域，節(jié)點(diǎn)坐標(biāo)可通過(guò)選定的定位算法得出[10,11]，每個(gè)節(jié)點(diǎn)編號(hào)(ID)唯一，且與其鄰居節(jié)點(diǎn)之間建立基于ID的密鑰對(duì)。

同時(shí)，假設(shè)網(wǎng)絡(luò)基站計(jì)算存儲(chǔ)能力強(qiáng)，能量充足；基站擁有所有節(jié)點(diǎn)的信息，每個(gè)節(jié)點(diǎn)與基站之間有唯一的密鑰對(duì)來(lái)計(jì)算加密認(rèn)證碼和加密數(shù)據(jù)。

1.2 敵方模型

假設(shè)敵方可能俘獲網(wǎng)絡(luò)中的節(jié)點(diǎn)，且可使用被俘節(jié)點(diǎn)來(lái)復(fù)制惡意節(jié)點(diǎn)，并散布于網(wǎng)絡(luò)。被俘節(jié)點(diǎn)和惡意節(jié)點(diǎn)完全受敵方控制，可在任何時(shí)候相互通信，且惡意節(jié)點(diǎn)仍然執(zhí)行網(wǎng)絡(luò)檢測(cè)協(xié)議。

同時(shí)，假設(shè)惡意節(jié)點(diǎn)在執(zhí)行檢測(cè)協(xié)議期間，敵方還將采用其他措施，幫助惡意節(jié)點(diǎn)通過(guò)檢測(cè)。

2 CBDM

2.1 LSM檢測(cè)方法

LSM方法的處理過(guò)程如圖1所示。其中，A為被俘獲節(jié)點(diǎn)，A′為敵方復(fù)制A的惡意節(jié)點(diǎn)，Bi和Bi′分別為A和A′的鄰居節(jié)點(diǎn)，Ci和Ci′分別為A和A′的目的節(jié)點(diǎn)。首先，節(jié)點(diǎn)A發(fā)送其位置驗(yàn)證信息至鄰居節(jié)點(diǎn)；鄰居節(jié)點(diǎn)隨機(jī)選擇目的節(jié)點(diǎn)，通過(guò)中間節(jié)點(diǎn)X將A的位置驗(yàn)證信息轉(zhuǎn)發(fā)到目的節(jié)點(diǎn)B，其中,Bi和Ci均為A的驗(yàn)證節(jié)點(diǎn)。惡意節(jié)點(diǎn)A′在發(fā)送位置驗(yàn)證信息和選擇目的節(jié)點(diǎn)時(shí)，可能與節(jié)點(diǎn)A的驗(yàn)證節(jié)點(diǎn)相交叉重合。如圖1所示，節(jié)點(diǎn)X既為A的驗(yàn)證節(jié)點(diǎn)，又是A′的驗(yàn)證節(jié)點(diǎn)，故可通過(guò)節(jié)點(diǎn)X判別被俘節(jié)點(diǎn)A與它的復(fù)制節(jié)點(diǎn)A′。

圖1 LSM方法處理過(guò)程

LSM方法需將位置驗(yàn)證信息發(fā)送給大量的驗(yàn)證節(jié)點(diǎn)，會(huì)產(chǎn)生大量的通信成本。

2.2 CBDM的基本思想

CBDM將集中控制和分布式方法相結(jié)合。分簇網(wǎng)絡(luò)如圖2所示，簇頭作為該簇的驗(yàn)證節(jié)點(diǎn)，通過(guò)ID檢測(cè)本簇是否存在惡意節(jié)點(diǎn)。簇頭還將所有節(jié)點(diǎn)的地理位置和ID信息發(fā)給基站，由基站來(lái)檢測(cè)整個(gè)網(wǎng)絡(luò)內(nèi)的惡意節(jié)點(diǎn)。

圖2 CBDM處理過(guò)程

2.3 CBDM的流程

在CBDM中，整個(gè)網(wǎng)絡(luò)周期性運(yùn)行，每個(gè)周期的具體流程描述如下：

1)選簇頭：使用概率選擇方法決定每個(gè)運(yùn)行周期的簇頭節(jié)點(diǎn)。

2)分簇：簇頭選定后，周?chē)?jié)點(diǎn)根據(jù)就近原則加入簇。

3)位置信息發(fā)送：各簇節(jié)點(diǎn)把位置信息發(fā)送到簇頭，由簇頭將各簇信息匯總到基站。

4)簇內(nèi)檢測(cè)：簇頭檢查本簇是否具有相同ID的位置信息。

5)整個(gè)網(wǎng)絡(luò)檢測(cè)：基站對(duì)比所有節(jié)點(diǎn)的位置信息，檢測(cè)出具有相同ID的節(jié)點(diǎn)。

說(shuō)明1 步驟(1)中的概率選擇方法是節(jié)點(diǎn)被選為簇頭的概率取決于網(wǎng)絡(luò)中簇頭節(jié)點(diǎn)占所有節(jié)點(diǎn)的百分比和該節(jié)點(diǎn)之前成為簇頭節(jié)點(diǎn)的次數(shù)。若某個(gè)節(jié)點(diǎn)n生成的隨機(jī)數(shù)小于一個(gè)門(mén)限值I(r)，則該節(jié)點(diǎn)就會(huì)被選為本周期的一個(gè)簇頭。

門(mén)限值由下式定義

(1)

其中，I(r)為門(mén)限值，r為當(dāng)前的周期數(shù)，G為前r個(gè)周期中從未充當(dāng)過(guò)簇頭的節(jié)點(diǎn)集合，符號(hào)mod為求模運(yùn)算符號(hào)，p為整個(gè)網(wǎng)絡(luò)中簇頭節(jié)點(diǎn)占所有節(jié)點(diǎn)數(shù)目的百分比。

說(shuō)明2 步驟(2)中簇頭選定以后，向周?chē)?jié)點(diǎn)廣播自己成為簇頭的消息，其他節(jié)點(diǎn)根據(jù)接收到消息的強(qiáng)度來(lái)決定加入哪個(gè)簇。

3 仿真研究

為了評(píng)價(jià)CBDM的性能，采用對(duì)比研究方法。將CBDM與分布式檢測(cè)方法LSM和集中式檢測(cè)方法(BS-based method)作仿真對(duì)比研究。

3.1 仿真場(chǎng)景

假設(shè)在100 m×100 m的部署區(qū)域內(nèi)隨機(jī)均勻布放N個(gè)節(jié)點(diǎn)，其中包括復(fù)制節(jié)點(diǎn);基站隨機(jī)放置在監(jiān)測(cè)區(qū)域內(nèi),每個(gè)節(jié)點(diǎn)的傳輸距離為100 m。仿真場(chǎng)景參數(shù)見(jiàn)表1。

表1 仿真場(chǎng)景參數(shù)

3.2 檢測(cè)率分析

圖3顯示，CBDM和BS-based method在節(jié)點(diǎn)復(fù)制檢測(cè)上有極好的性能。這是因?yàn)镃BDM和BS-based method在基站收集了所有節(jié)點(diǎn)的位置驗(yàn)證信息，而LSM則需要驗(yàn)證節(jié)點(diǎn)相交才能檢測(cè)出具有相同ID的惡意節(jié)點(diǎn)。因此，從圖3可以看出：CBDM和BS-based method的檢測(cè)率都達(dá)到了100 %。

圖3 檢測(cè)率對(duì)比

3.3 能耗分析

圖4顯示CBDM和BS-based method擁有較少的通信成本，原因是這2種方法是不需要把節(jié)點(diǎn)的位置驗(yàn)證信息轉(zhuǎn)發(fā)給大量的中間節(jié)點(diǎn),而是直接發(fā)送到簇頭或基站，而LSM需要把位置驗(yàn)證信息轉(zhuǎn)發(fā)給大量的中間節(jié)點(diǎn)，因此，其通信成本遠(yuǎn)高于前2種方法。

圖4 通信成本對(duì)比

圖5顯示CBDM和BS-based method在單個(gè)節(jié)點(diǎn)中存儲(chǔ)的最大信息量都要比LSM方法大，而CBDM比BS-based method小。BS-based method中，單個(gè)節(jié)點(diǎn)中信息的最大量與網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量呈正比，而CBDM則受網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量的影響很小。這是因?yàn)楫?dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量增加時(shí)，簇頭數(shù)量也會(huì)相應(yīng)增多，各簇中分得的節(jié)點(diǎn)數(shù)量不會(huì)增加太多，所以，簇頭存儲(chǔ)的信息量也不會(huì)顯著增加。

圖5 單個(gè)節(jié)點(diǎn)存儲(chǔ)的最大信息量對(duì)比

圖6顯示:CBDM與BS-based method相比，具有更長(zhǎng)的生命周期。這是因?yàn)樵贑BDM中每個(gè)傳感器節(jié)點(diǎn)的數(shù)據(jù)都匯聚到簇頭，由簇頭把數(shù)據(jù)傳輸?shù)交?，增加了傳輸效率，降低了能量耗費(fèi)，因此其生命周期更長(zhǎng)。

圖6 網(wǎng)絡(luò)生命周期對(duì)比

4 結(jié)束語(yǔ)

在節(jié)點(diǎn)復(fù)制攻擊中，集中檢測(cè)方法的檢測(cè)率高、通信開(kāi)銷(xiāo)較小，但是對(duì)基站的依賴性大，導(dǎo)致基站周?chē)墓?jié)點(diǎn)因能耗大而加速失效，縮短了網(wǎng)絡(luò)生命周期；而分布式檢測(cè)方法均衡了網(wǎng)絡(luò)節(jié)點(diǎn)的通信開(kāi)銷(xiāo)，但該方法總的通信開(kāi)銷(xiāo)較大。

CBDM綜合了集中式檢測(cè)與分布式檢測(cè)的優(yōu)點(diǎn)，其檢測(cè)率、通信成本均優(yōu)于LSM方法，單個(gè)節(jié)點(diǎn)存儲(chǔ)的最大信息量和網(wǎng)絡(luò)生命周期優(yōu)于BS-based method。

參考文獻(xiàn):

[1] Jokhio S H,Jokhio I A,Kemp A H.Node capture attack detection and defence in wireless sensor networks[J].IET Wireless Sensor Systems,2011,2(3):161-169.

[2] Kwantae Cho,Minho Jo,Taekyoung Kwon,et al.Classification and experimental analysis for clone detection approaches in wireless sensor networks[J].IEEE Systems Journal,2013,7(1):26-35.

[3] 任秀麗,楊 威,薛建生,等.基于分區(qū)的無(wú)線傳感網(wǎng)節(jié)點(diǎn)復(fù)制攻擊檢測(cè)方法[J].電子學(xué)報(bào),2010,38(9):2096-2100.

[4] Parno B,Perrig A,Gligor V.Distributed detection of node replication attacks in sensor networks[C]∥2005 IEEE Symposium on Security and Privacy,Oakland,USA,2005:49-63.

[5] Wen H,Luo J,Zhou L.Lightweight and effective detection scheme for node clone attack in wireless sensor networks[J].Wireless Sensor Systems,IET,2011,1(3):137-143.

[6] Parno B,Perrig A,Gligor V.Distributed detection of clone attacks in wireless sensor networks[J].IEEE Transactions on Dependable and Secure Computing,2011,8(5):685-698.

[7] Yu Chia Mu,Lu Chun Shien,Kuo Sy Yen.Mobile sensor network resilient against node replication attacks[C]∥5th Annual IEEE Communications Society Conference on Sensor,Mesh and Ad Hoc Communications and Networks,SECON 2008,San Francisco,CA,United States,2008:597-599.

[8] Zeng Yingpei,Cao Jiannong,Zhang Shigeng,et al.Random-walk based approach to detect clone attacks in wireless sensor network-s[J].IEEE Journal on Selected Areas in Communications,2010,28(5):677-691.

[9] 郭書(shū)城,盧 昱,許定根.基于分簇?zé)o線傳感器網(wǎng)絡(luò)的路由算法研究[J].通信學(xué)報(bào),2010,31(8A):64-69.

[10] 李 逶,劉同佩,周 暉,等.無(wú)線傳感器網(wǎng)絡(luò)中DV-Hop定位算法的改進(jìn)[J].南通大學(xué)學(xué)報(bào):自然科學(xué)版,2010,9(2):30-34.

[11] 曹 磊,袁從明,徐 晨,等.基于距離的無(wú)線傳感器網(wǎng)絡(luò)自定位新算法[J].南通大學(xué)學(xué)報(bào):自然科學(xué)版,2008,7(1):43-45.