無線傳感器網(wǎng)絡(luò)中的sinkhole攻擊檢測技術(shù)研究

王雪麗

（宿州學(xué)院，安徽　宿州　234000）

無線傳感器網(wǎng)絡(luò)中的sinkhole攻擊檢測技術(shù)研究

王雪麗

（宿州學(xué)院，安徽宿州234000）

在無線傳感器系統(tǒng)中，Sinkhole是一種相對基礎(chǔ)且常見的路由攻擊類型，攻擊者通過聲稱到目的節(jié)點或基站具有高質(zhì)量的路徑吸引周圍節(jié)點的數(shù)據(jù)流，對網(wǎng)絡(luò)的負(fù)載平衡造成了嚴(yán)重的影響.當(dāng)前，sinkhole攻擊檢測技術(shù)在網(wǎng)絡(luò)安全問題中占有重要的地位，其重要性越來越受到人們的重視.基于此，本文對無線傳感器網(wǎng)絡(luò)中的sinkhole攻擊檢測技術(shù)原理與設(shè)計進行了分析，以便于更好利用該技術(shù)對計算機網(wǎng)絡(luò)進行保護.

sinkhole攻擊；無線傳感器；檢測技術(shù)

在互聯(lián)網(wǎng)中，sinkhole攻擊對于傳感數(shù)據(jù)來說是一種很嚴(yán)重的攻擊行為，它對于計算機獲取數(shù)據(jù)信息的完整性與正確性起到了一定的阻礙作用，甚至對計算機的核心系統(tǒng)構(gòu)成嚴(yán)重危害.然而隨著計算機與網(wǎng)絡(luò)技術(shù)的普及與發(fā)展，人們在日常的信息數(shù)據(jù)傳輸過程中對網(wǎng)絡(luò)的安全性有著更高的要求，因此對sinkhole攻擊的有效防護是一項亟需解決的問題.本文將通過對sinkhole攻擊的原理進行研究和分析，以期找出相對應(yīng)的防護措施.

1　sinkhole攻擊概述

Sinkhole中文被譯為“槽洞攻擊”，其具體是由攻擊節(jié)點去引誘一個區(qū)域的流量，使數(shù)據(jù)經(jīng)過該節(jié)點，節(jié)點就可以對正常數(shù)據(jù)進行篡改，導(dǎo)致該區(qū)域的所有信息缺失或被改動.在每次的sinkhole攻擊中，該節(jié)點都會偽裝自己，強調(diào)自己的性能可靠且高效，對周圍節(jié)點具有強烈的吸引，據(jù)此對通過該節(jié)點信息進行惡意篡改.這種惡意的信息改動操作，會將用戶的私人信息傳送給攻擊者，這不單單為黑客創(chuàng)造了攻擊計算機的機會，而且還嚴(yán)重地影響了網(wǎng)絡(luò)的負(fù)載平衡，甚至還可能引起更多的其他惡意攻擊.因此，當(dāng)前企業(yè)或家庭中的無線傳感器網(wǎng)絡(luò)對于的sinkhole攻擊行為十分敏感，亟需引起廣大用戶的注意.圖1為帶有sinkhole攻擊的網(wǎng)絡(luò)狀態(tài)示意圖.

圖1　sinkhole攻擊示意圖

2　無線傳感器網(wǎng)絡(luò)中的sinkhole攻擊產(chǎn)生與原理

在網(wǎng)絡(luò)中的Sinkhole攻擊過程中，攻擊者會吸引到入侵的節(jié)點周圍區(qū)域內(nèi)幾乎所有的數(shù)據(jù)流信息，有時候攻擊者會通過已被俘獲的節(jié)點中心進行槽洞攻擊.一般來說，基站附近區(qū)域的數(shù)據(jù)交換信息量比較大，所以這個特定區(qū)域通常都會在基站附近，加上Sinkhole攻擊與Sybil攻擊類似，會將數(shù)據(jù)流吸引過來，因此在其攻擊過程中也會為其他形式的攻擊提供方便.

一個攻擊節(jié)點按照路由算法可以成為最吸引周圍節(jié)點的特殊節(jié)點，這是Sinkhole的一種典型攻擊方式.例如，攻擊者會通過某種手段偽裝自己，在網(wǎng)絡(luò)中發(fā)放一個路由公告，通知別的節(jié)點自己擁有一條質(zhì)量很高的通往基站的路由.這時候，部分協(xié)議會努力通過端到端的方式來反饋所包含的信息，進而檢測路由的安全狀態(tài).接著，攻擊節(jié)點便會利用自己能力充足的發(fā)射器來提供通往基站的一條路由，以此來給用戶造成一種擁有高質(zhì)量路由的假象.因此，大量準(zhǔn)備將信息數(shù)據(jù)發(fā)往基站的節(jié)點，通常都會攜帶數(shù)據(jù)包通過這個攻擊節(jié)點.并且攻擊節(jié)點還會在路由中起到一定的宣傳引導(dǎo)作用，在這條高質(zhì)量路由向其他的節(jié)點擴散，不斷拓展了攻擊者的攻擊范圍，進而在更廣闊的路由空間內(nèi)引導(dǎo)其他的向該基站發(fā)送信息的節(jié)點都需要通過該惡意節(jié)點，最終達到攻擊者的目的.

Sinkhole攻擊的重要目的之一就是對數(shù)據(jù)流進行選擇性轉(zhuǎn)發(fā)，通常情況下，攻擊者已經(jīng)很清楚地知道攻擊目標(biāo)區(qū)域被Sinkhole節(jié)點所控制，可以任意地組織或者篡改攻擊區(qū)域的一個節(jié)點所發(fā)出的數(shù)據(jù)包.這種Sinkhole攻擊行為之所以能夠?qū)嵤饕腔跓o線傳感網(wǎng)絡(luò)所構(gòu)建的特殊通信方式，即在無線傳感網(wǎng)絡(luò)的某一區(qū)域內(nèi)，所有的數(shù)據(jù)包都會有共同的最終傳送目的地，所以如果有一個節(jié)點被攻擊者攻擊，并且造成通向基站的高質(zhì)量通道的假象，則會造成整個網(wǎng)絡(luò)節(jié)點都出現(xiàn)潛在的安全隱患與影響.

3　無線傳感器網(wǎng)絡(luò)中的sinkhole攻擊檢測技術(shù)設(shè)計

Sinkhole攻擊在無線傳感器網(wǎng)絡(luò)的眾多惡意攻擊中，是一種相對常見的惡意攻擊行為.目前，國內(nèi)外諸多專業(yè)人士對此做出了大量的研究，試圖找出一種安全可靠的防范與檢測技術(shù)，例如采用附加的硬件設(shè)備，或者采用共享密鑰進行用戶身份的確認(rèn)，但是節(jié)點間的密鑰會占用較大的內(nèi)存空間，導(dǎo)致傳感器節(jié)點計算能量消耗較大，嚴(yán)重地危害了網(wǎng)絡(luò)的使用壽命.針對這種不足，當(dāng)前提出了一種基于多點檢測與回復(fù)信息的Sinkhole攻擊檢測技術(shù)，可有效地防止Sinkhole攻擊.

3.1系統(tǒng)框架設(shè)計

當(dāng)前業(yè)內(nèi)人士針對目前網(wǎng)絡(luò)中攻擊者發(fā)起Sinkhole攻擊的原理特點，以及Tseng等人在文獻中提出的有限狀態(tài)機的思想，據(jù)此提出了一種相應(yīng)的攻擊檢測系統(tǒng)，筆者結(jié)合自身工作對各模塊的功能及關(guān)鍵技術(shù)對該系統(tǒng)設(shè)計進行了詳細闡述.這種無線傳感器網(wǎng)絡(luò)的入侵檢測系統(tǒng)框架是在分布式結(jié)構(gòu)的基礎(chǔ)上建立的，在該檢測系統(tǒng)中，每個節(jié)點都會負(fù)責(zé)監(jiān)測本地的數(shù)據(jù)，同時還協(xié)同鄰居節(jié)點進行協(xié)作監(jiān)測.具體地說，對于Sinkhole攻擊，該系統(tǒng)狀態(tài)可以分為兩個階段:

第一，路由選擇階段.在這一階段中，由檢測點發(fā)出檢測包傳輸?shù)交荆瑢ρ赝韭酚晒?jié)點進行檢查，通過分析與比較，判斷在該系統(tǒng)中是否存在惡意的節(jié)點.如果檢測出某點為惡意的攻擊節(jié)點，那么則會向全網(wǎng)公告該節(jié)點，相反則為正常節(jié)點.

第二，數(shù)據(jù)傳輸階段.這一階段同樣對有嫌疑的節(jié)點進行檢測，在固定時間間隔中，計算節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)包的情況，得出該節(jié)點丟包率.在一般的網(wǎng)路節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)中，會存在正常的丟包率，但如果計算該節(jié)點丟包率遠遠超過平常節(jié)點丟包率，那么就應(yīng)當(dāng)發(fā)出警告.系統(tǒng)通過這樣的判斷便可知道該公告節(jié)點是否受到了Sinkhole攻擊.

為了能夠更直觀地方便理解這一設(shè)計，筆者在下文舉例說明一種如何檢測Sinkhole攻擊的方案.如圖2所示，節(jié)點C、D、E在節(jié)點B的通信范圍之內(nèi)，當(dāng)節(jié)點A發(fā)出路由公告，此時B、C、D、E均能收到路由公告，因此，可將它們作為節(jié)點A的檢測節(jié)點.設(shè)節(jié)點B為該系統(tǒng)的統(tǒng)計監(jiān)測節(jié)點，經(jīng)過它可以搜集其他檢測節(jié)點收到的回復(fù)信息并進行統(tǒng)計計算，這樣可以粗略地檢測該節(jié)點什么時候會受到Sinkhole攻擊.如果該節(jié)點受到了攻擊，則應(yīng)該將它隔離；如果判斷出節(jié)點A沒有受到惡意攻擊，則需要進行繼續(xù)的檢測，通過丟包率的比較，進一步判斷A是否為惡意節(jié)點.

圖2　監(jiān)測點示意圖

3.2主要功能模塊設(shè)計

3.2.1本地數(shù)據(jù)監(jiān)控模塊

在網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控中，審核數(shù)據(jù)的收集和對數(shù)據(jù)進行過濾和預(yù)處理是本地數(shù)據(jù)監(jiān)控模塊的主要任務(wù)，在進行完初步的分析后，然后將結(jié)果發(fā)送給本地檢測模塊.一般情況下，在傳感網(wǎng)絡(luò)系統(tǒng)中，需要收集的信息主要包括數(shù)據(jù)包信息、路由請求信息、路由回復(fù)信息等內(nèi)容，得到這些信息后，監(jiān)控模塊會對這些信息進行逐一審核.

在該模塊中，需要對路由行為進行分析，根據(jù)收集的數(shù)據(jù)信息，從而得出有效的信息反饋；接著，網(wǎng)絡(luò)中的節(jié)點會根據(jù)收集到的信息進行編輯，記錄好節(jié)點收發(fā)數(shù)據(jù)的情況.根據(jù)記錄到的信息表，模塊會在不間斷的時間內(nèi)對數(shù)據(jù)進行逐一分析，統(tǒng)計某一節(jié)點在單位時間內(nèi)處理的相同特征的報文次數(shù)，然后將報文進行總和，最終將報文信息送至檢測模塊進行檢驗.

3.2.2本地檢測模塊

在本地檢測模塊中使用基于多點檢測的方法來檢測攻擊，通過每個鄰居節(jié)點和回復(fù)信息，可以監(jiān)測出是否受到攻擊.Mintroute是如今是傳感器網(wǎng)絡(luò)中最常使用的方法，它可以將鏈路質(zhì)量估價作為衡量標(biāo)準(zhǔn)，其所指的節(jié)點路徑特指從源節(jié)點到基站方向的路徑.這種檢測模塊是讓每個節(jié)點將從旁邊節(jié)點接收到數(shù)據(jù)包的丟失情況作為基礎(chǔ)，這樣可以對其它的節(jié)點進行數(shù)據(jù)評估.通過不斷循環(huán)檢測，對每個鄰居節(jié)點都進行評估，最終列出表格，讓系統(tǒng)可周期性地了解鄰居節(jié)點，并對節(jié)點進行監(jiān)測.當(dāng)系統(tǒng)對數(shù)據(jù)表格的分析后，會選擇最優(yōu)鏈路將成為它們的父節(jié)點.

另外，在選擇父節(jié)點時，對閾值的選取很重要，這樣可以防止噪聲干擾評估結(jié)果，避免誤差.如果一個新的節(jié)點鏈路質(zhì)量高于當(dāng)前父節(jié)點鏈路質(zhì)量的75%，或當(dāng)前父節(jié)點的鏈路質(zhì)量值低于25，那么這個節(jié)點可以作為新的父節(jié)點，反之原父節(jié)點繼續(xù)有效.

3.2.3協(xié)作檢測模塊

從網(wǎng)絡(luò)中找到入侵節(jié)點，是設(shè)計檢測模塊需要解決的重要問題.通常來說，節(jié)點的目的信息相一致的屬性往往作為其查詢信息的依據(jù)，并依次傳播擴散，一級傳一級，由局部傳到整個網(wǎng)絡(luò)，進而將所有的目標(biāo)信息進行匹配.當(dāng)每一個節(jié)點從上一個節(jié)點收到信息后，先查看原來記錄中是否存在該信息，如果沒有記錄，則應(yīng)該錄入節(jié)點信息.對于基站來說，如果哪個鄰居節(jié)點發(fā)送的信息較快，那么它將會對其進行標(biāo)識，將其記錄為“梯度”最大的鄰居節(jié)點，并同時對該鄰居節(jié)點發(fā)送一個加強選擇信息.鄰居節(jié)點也會對它的鄰居節(jié)點進行篩選，選擇出它的“梯度”最大的鄰居節(jié)點，以此類推，最終會選擇出一條“梯度”值最大的路徑.以此條路徑發(fā)送的信息的效率較高，而其他較低發(fā)送率的節(jié)點作為備用路徑以保證網(wǎng)絡(luò)的可靠性.

4　仿真與實驗效果分析

模擬仿真和現(xiàn)實中真實的測量是通常在技術(shù)領(lǐng)域中評價一種新技術(shù)是否適用的方法.在無線傳感器網(wǎng)絡(luò)中，由于其自身特殊的性質(zhì)——物理測量無法進行，所以計算機的仿真顯得尤為重要.無線傳感器是不同于無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的，它具有自身的特殊性，主要面向于應(yīng)用類型的網(wǎng)絡(luò)，因此如何選擇仿真工具是首先應(yīng)當(dāng)考慮的問題，而目前來說，測試結(jié)果相對準(zhǔn)確的有SENSE項目、TOSSIM項目、SensorSim項目和EYES項目等.筆者在下文著重對TOSSIM工具的仿真簡要分析.TOSSIM項目是從Tiny0S代碼中產(chǎn)生的模擬器，它可以檢測出每條鏈路的通信質(zhì)量，通過對每條鏈路的比特出錯率進行設(shè)置，可以對鏈路信息進行嚴(yán)格把控.

4.1仿真模型的建立

首先，建立一個仿真模型，以此來檢驗仿真檢測方案的功能.

（1）找一個100mX100m的范圍，在該范圍內(nèi)均勻劃分，選擇50個傳感器節(jié)點.將該區(qū)域內(nèi)每個點都應(yīng)固定，節(jié)點位置也應(yīng)該間距相同.

（2）在設(shè)置每個節(jié)點時，各個節(jié)點的能力、通訊條件都應(yīng)該相同，并且每個數(shù)據(jù)包在網(wǎng)絡(luò)中應(yīng)該以19.2kb/s的速度傳輸.

對編寫的程序進行進一步的調(diào)試，使其在TOSSIM模擬器上可以準(zhǔn)確地運行.

4.2仿真比較和分析

在仿真模型計算中，分別采用不相交路徑和纏繞路徑來計算，這樣對比考慮不同情況下的路徑，能夠相對準(zhǔn)確地比較出本文所提及的檢測技術(shù).另外，網(wǎng)絡(luò)中會存在一定的失效節(jié)點，在針對不同的失效節(jié)點進行比較時，要對其安全概率進行研究.

根據(jù)分析結(jié)果，將其展示在圖3中，在圖3中可以顯示，本文方法的檢測安全概率大于不相交路徑的方法，證明檢測有效.

圖3　三種方法下安全概率的比較圖

5　結(jié)語

在當(dāng)前網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天，傳感器網(wǎng)絡(luò)作為我們傳輸信息數(shù)據(jù)的重要途徑，具有極其重要的作用.然而面對威脅網(wǎng)絡(luò)安全的Sinkhole攻擊，我們必須要找尋到一種可靠、穩(wěn)定的檢測防護技術(shù).據(jù)此，筆者在文中介紹了一種當(dāng)前安全防護性能較高的Sinkhole攻擊防范檢測方法，能夠?qū)崟r地對攻擊進行分析勘察，對信任節(jié)點加以利用，對攻擊節(jié)點加以警告，進而對整個網(wǎng)絡(luò)的安全進行控制，對傳感網(wǎng)絡(luò)的安全運營具有重要的意義.希望在以后的工作中，能夠更深入的對Sinkhole攻擊的檢測機制展開研究，進而對不同的類型攻擊有更廣泛的了解.

〔1〕滕麗萍，張永平.無線傳感器網(wǎng)絡(luò)中sinkhole攻擊研究［J］.計算機安全，2011（13）.

〔2〕滕麗萍.無線傳感器網(wǎng)絡(luò)中基于Sinkhole攻擊的入侵檢測系統(tǒng)研究 ［J］.計算機應(yīng)用與軟件，2013（03）.

〔3〕周玲玲，張建明，王良民.無線傳感器網(wǎng)絡(luò)中的sinkhole攻擊檢測［J］.計算機工程與應(yīng)用，2008 （09）.

〔4〕袁偉.無線傳感器網(wǎng)絡(luò)中的Sinkhole攻擊檢測［J］.電腦編程技巧與維護，2011（07）.

TP393.08

A

1673-260X（2016）07-0016-03

2016-03-11

Wsn中多類型inside attack檢測與精確定位方法的研究（2013yyb02）