基于分組特征捕獲機(jī)制的移動傳感網(wǎng)惡意節(jié)點(diǎn)搜尋算法

楊巧曼

（陜西交通職業(yè)技術(shù)學(xué)院 通識教育學(xué)院，陜西 西安 710018）

隨著第五代通信技術(shù)與移動傳感網(wǎng)技術(shù)呈現(xiàn)日趨融合的發(fā)展態(tài)勢，移動傳感網(wǎng)的網(wǎng)絡(luò)規(guī)模及社會應(yīng)用也日趨廣泛。當(dāng)前，我國數(shù)字經(jīng)濟(jì)呈現(xiàn)蓬勃發(fā)展態(tài)勢，日益成為國民經(jīng)濟(jì)的重要增長極［1］。隨著移動傳感網(wǎng)技術(shù)在諸如外貿(mào)出口管理、新能源產(chǎn)業(yè)鏈制造及新型冠狀病毒肺炎疫情防控等方面的不斷應(yīng)用，該項技術(shù)也面臨諸如節(jié)點(diǎn)篡改、數(shù)據(jù)劫持、網(wǎng)絡(luò)癱瘓式擾動等威脅［2］。因而，采取一定的算法將惡意節(jié)點(diǎn)及相關(guān)特征及時捕獲并登記在冊，成為當(dāng)前移動傳感網(wǎng)技術(shù)研究的熱門領(lǐng)域之一［3］。

為及時對惡意節(jié)點(diǎn)及相關(guān)特征予以查證識別，業(yè)界提出了許多具有前瞻性的解決方案［4］，如Tabassum等［5］提出了一種基于區(qū)域特征查證識別的移動傳感網(wǎng)惡意節(jié)點(diǎn)搜尋算法。該算法基于周期機(jī)制動態(tài)刷新區(qū)域節(jié)點(diǎn)網(wǎng)絡(luò)特征，從而能夠迅速實(shí)現(xiàn)對侵入行為的動態(tài)監(jiān)測，具有部署簡單的特點(diǎn)。不過，由于該算法采取靜態(tài)策略查證攻擊行為，難以適應(yīng)多態(tài)化攻擊監(jiān)測場景。Kalyani 等［6］提出了一種基于分區(qū)隔離機(jī)制的移動傳感網(wǎng)惡意節(jié)點(diǎn)搜尋算法。該算法通過分區(qū)模型動態(tài)隔離嫌疑節(jié)點(diǎn)，能夠以較高的效率對惡意攻擊行為予以隔離，具有危害行為控制能力較強(qiáng)的特點(diǎn)。不過，由于該算法未對密集部署場景予以考慮，若處于隔離狀態(tài)的節(jié)點(diǎn)數(shù)目較多時將會使網(wǎng)絡(luò)出現(xiàn)嚴(yán)重抖動，降低了算法的適用性。Ashaj 等［7］提出了一種冗余報文指針機(jī)制的移動傳感網(wǎng)惡意節(jié)點(diǎn)搜尋算法。該算法通過廣播方式向節(jié)點(diǎn)定期插入冗余報文，使報文具有不可篡改特性，提高了惡意節(jié)點(diǎn)入侵成本，安全性能較強(qiáng)。不過，由于該算法需要對網(wǎng)絡(luò)中全部節(jié)點(diǎn)添加冗余報文，使得網(wǎng)絡(luò)冗余數(shù)據(jù)占比居高不下，降低了該算法對惡意節(jié)點(diǎn)的搜尋能力。

為此，本研究提出了基于分組特征捕獲機(jī)制的移動傳感網(wǎng)惡意節(jié)點(diǎn)搜尋算法。該算法首先基于惡意節(jié)點(diǎn)和正常節(jié)點(diǎn)聚類特征，采取周期采樣方式獲取各節(jié)點(diǎn)特征值，快速獲取聚類特征。隨后，按區(qū)域?qū)蜻x節(jié)點(diǎn)予以整合，設(shè)計惡意節(jié)點(diǎn)搜尋規(guī)則。最后，通過NS2仿真實(shí)驗環(huán)境驗證本研究算法的性能。

1 本研究網(wǎng)絡(luò)模型概述

考慮到移動無線傳感網(wǎng)組成節(jié)點(diǎn)均為無線制式，存在游走性較強(qiáng)的特點(diǎn)［8］，當(dāng)網(wǎng)絡(luò)出現(xiàn)抖動或遭受入侵時，各節(jié)點(diǎn)及Sink 節(jié)點(diǎn)均需要通過無線傳感天線感知相關(guān)信息，見圖1。假定移動無線傳感網(wǎng)節(jié)點(diǎn)分布在N×N的矩形區(qū)域內(nèi)，針對該矩形區(qū)域內(nèi)任意節(jié)點(diǎn)i，其坐標(biāo)為(xi，yi)，當(dāng)該節(jié)點(diǎn)有異常行為時，坐標(biāo)為(x，y)的Sink 節(jié)點(diǎn)（不妨設(shè)標(biāo)號為j）能夠通過如下規(guī)則對惡意節(jié)點(diǎn)i予以感知：

圖1 傳感網(wǎng)節(jié)點(diǎn)覆蓋示意圖Fig.1 Schematic diagram of sensor network node coverage

其中，P(i，j)為Sink節(jié)點(diǎn)的監(jiān)測概率，|i，j|表示節(jié)點(diǎn)i和j之間的拓?fù)?，R表示Sink節(jié)點(diǎn)的最大覆蓋半徑，則有

針對上述惡意節(jié)點(diǎn)及網(wǎng)絡(luò)節(jié)點(diǎn)覆蓋狀況，本研究對節(jié)點(diǎn)特征做出如下規(guī)定：

（1）按節(jié)點(diǎn)行為予以聚類，整個網(wǎng)絡(luò)中節(jié)點(diǎn)被分割為普通節(jié)點(diǎn)和外來節(jié)點(diǎn)2 個部分。前者為網(wǎng)絡(luò)初始狀態(tài)即存在的節(jié)點(diǎn)，后者為網(wǎng)絡(luò)運(yùn)行過程中新加入的節(jié)點(diǎn)。其中，新加入的節(jié)點(diǎn)可分為更新節(jié)點(diǎn)和惡意節(jié)點(diǎn)，更新節(jié)點(diǎn)主要用來替代普通節(jié)點(diǎn)，惡意節(jié)點(diǎn)將會在網(wǎng)絡(luò)運(yùn)行至關(guān)鍵時刻對網(wǎng)絡(luò)予以攻擊。

（2）沉默節(jié)點(diǎn)，見圖2。此類節(jié)點(diǎn)可通過定時攻擊、事件觸發(fā)、數(shù)據(jù)竊取對網(wǎng)絡(luò)進(jìn)行攻擊。當(dāng)前移動傳感網(wǎng)部署實(shí)踐中，沉默節(jié)點(diǎn)可以通過網(wǎng)絡(luò)初始化過程侵入網(wǎng)絡(luò)，當(dāng)觸發(fā)時將啟動對網(wǎng)絡(luò)的攻擊過程。

圖2 節(jié)點(diǎn)聚類分類Fig.2 Node cluster classification

鑒于節(jié)點(diǎn)特征可以按照聚類方式進(jìn)行分割［9］，本研究采用周期抽樣方式獲取其采樣序列：不妨設(shè)節(jié)點(diǎn)i為網(wǎng)絡(luò)中的任意節(jié)點(diǎn)，Sink節(jié)點(diǎn)的抽樣周期為T，節(jié)點(diǎn)i的特征值it滿足如下規(guī)則：

式（3）中，{i1，i2，…，in}分別為節(jié)點(diǎn)的MD5 值、初始坐標(biāo)、數(shù)據(jù)報文頭等參數(shù)。

這些參數(shù)均可以通過分組報文方式予以全網(wǎng)廣播，若不斷增加特征值的維度可提高采樣的精確特性［10］。

由于節(jié)點(diǎn)i需要與Sink 節(jié)點(diǎn)進(jìn)行周期交互，Sink節(jié)點(diǎn)對應(yīng)的采樣序列i′t滿足

據(jù)此可構(gòu)造節(jié)點(diǎn)i和Sink節(jié)的聚類內(nèi)積R(it，i′t)，即

其中，‖ ‖表示對應(yīng)的序列分量的運(yùn)算，當(dāng)且僅當(dāng)it和i′t對應(yīng)的序列分量在允許的偏差之內(nèi)時的結(jié)果取1，反之取0。若積累的誤差較大時，說明節(jié)點(diǎn)i的行為特征也越加可疑，需要采取措施及時甄別。

2 本研究算法設(shè)計

針對上文提及的網(wǎng)絡(luò)模型，本研究算法由2 個部分構(gòu)成：基于聚類內(nèi)積機(jī)制的節(jié)點(diǎn)初始篩查方法和基于聚合機(jī)制的惡意節(jié)點(diǎn)搜尋方法。

2.1 基于聚類內(nèi)積機(jī)制的節(jié)點(diǎn)初始篩查方法

由式（3）、（4）可知，網(wǎng)絡(luò)中任意節(jié)點(diǎn)均可以通過Sink節(jié)點(diǎn)抽樣獲取其采樣序列，相關(guān)采樣序列包含了節(jié)點(diǎn)的MD5值、初始坐標(biāo)、數(shù)據(jù)報文頭等參數(shù)。首先，節(jié)點(diǎn)需要將自身MD5值、初始坐標(biāo)、數(shù)據(jù)報文頭等參數(shù)予以解析，見圖3，隨后與Sink 節(jié)點(diǎn)進(jìn)行交互。交互完畢Sink節(jié)點(diǎn)再次對節(jié)點(diǎn)進(jìn)行抽樣，獲取抽樣序列副本。

圖3 節(jié)點(diǎn)特征值初始化Fig.3 Node feature value initialization

按式（3）獲取節(jié)點(diǎn)i的特征值為it，獲取的Sink 節(jié)點(diǎn)特征值為s′t，Sink 節(jié)點(diǎn)記錄到的抽樣聚類副本對應(yīng)的特征值為s′t(i)。按如下規(guī)則構(gòu)建聚類內(nèi)積：

若節(jié)點(diǎn)i不屬于惡意節(jié)點(diǎn)，則必定滿足如下規(guī)則：

若節(jié)點(diǎn)i屬于惡意節(jié)點(diǎn)，則必定滿足如下規(guī)則：

考慮到抽樣誤差，某個節(jié)點(diǎn)對應(yīng)的聚類內(nèi)積可能不會嚴(yán)格等于0 或者等于1，因此構(gòu)建聯(lián)合映射內(nèi)積Ri，即

其中，a1和a2滿足

不妨設(shè)網(wǎng)絡(luò)中處于活動狀態(tài)的傳感網(wǎng)節(jié)點(diǎn)個數(shù)為m，則整個網(wǎng)絡(luò)的聯(lián)合矢量內(nèi)積Rall滿足

若網(wǎng)絡(luò)聯(lián)合矢量內(nèi)積取值接近于1，說明網(wǎng)絡(luò)中存在惡意節(jié)點(diǎn)，此時需要將對應(yīng)的聯(lián)合映射內(nèi)積Ri進(jìn)行析構(gòu)，取出接近于1 的相關(guān)內(nèi)積，然后將對應(yīng)的節(jié)點(diǎn)i設(shè)置為疑似惡意節(jié)點(diǎn)。

2.2 基于聚合機(jī)制的惡意節(jié)點(diǎn)搜尋方法

通過式（14）可以以較快的速度篩選出疑似節(jié)點(diǎn)，不過當(dāng)網(wǎng)絡(luò)規(guī)模較大時可能會導(dǎo)致較多數(shù)量的節(jié)點(diǎn)被選定為疑似節(jié)點(diǎn)，進(jìn)而使網(wǎng)絡(luò)傳輸性能出現(xiàn)下降現(xiàn)象［11］。為降低網(wǎng)絡(luò)癱瘓概率，本研究構(gòu)建了基于聚合機(jī)制的惡意節(jié)點(diǎn)搜尋方法，考慮到傳感網(wǎng)在實(shí)際部署中往往采取分區(qū)的方式，不同分區(qū)內(nèi)部的節(jié)點(diǎn)特征參數(shù)（MD5 值、初始坐標(biāo)、數(shù)據(jù)報文頭等參數(shù)）區(qū)別很大，如圖4 所示，本研究算法以分區(qū)為單位，按如下步驟對全部節(jié)點(diǎn)進(jìn)行聚類聚合。

圖4 聚類聚合機(jī)制Fig.4 Cluster aggregation mechanism

Step 1 ：按式（14）構(gòu)造疑似惡意節(jié)點(diǎn)集合為o；

Step 2 ：按分區(qū)為單位，遞歸獲取各節(jié)點(diǎn)特征值密度T(α)，即

其中，T為節(jié)點(diǎn)α與Sink 節(jié)點(diǎn)之間的拓?fù)渚嚯x，R為分區(qū)最大半徑。

Step 3：獲取集合o的平均密度ρ，即

Step 4 ：根據(jù)式（16）并結(jié)合式（17）對集合o中各節(jié)點(diǎn)逐項計算密度，當(dāng)某節(jié)點(diǎn)不滿足式（18）時，將被剔除出集合o。

通過聚類聚合機(jī)制能夠迅速計算獲取的節(jié)點(diǎn)特征值密度，結(jié)合平均密度比較，能夠迅速更新疑似節(jié)點(diǎn)集合，從而達(dá)到以較高的效率甄別惡意節(jié)點(diǎn)的目的，提高網(wǎng)絡(luò)對惡意節(jié)點(diǎn)的識別能力。

3 仿真實(shí)驗與分析

采用NS2 仿真實(shí)驗平臺驗證本研究算法相關(guān)性能，設(shè)置文獻(xiàn)［12］所述的雙因子探測算法和文獻(xiàn)［13］所述的塊探測算法作為對照組，進(jìn)行比較。網(wǎng)絡(luò)部署區(qū)域為矩形區(qū)域，規(guī)格為5 120 m×5 120 m；節(jié)點(diǎn)布設(shè)方式采用隨機(jī)布撒模型，其中惡意節(jié)點(diǎn)個數(shù)不低于20個，網(wǎng)絡(luò)分區(qū)數(shù)量不高于128 個；單節(jié)點(diǎn)傳輸速率不低于1 Mbit/s，用以模擬超帶寬傳輸環(huán)境；節(jié)點(diǎn)制式為LTE 節(jié)點(diǎn)，信道制式采用萊斯信道，數(shù)據(jù)監(jiān)測粒度為1 min。相關(guān)仿真參數(shù)如表1所示。

表1 基本仿真參數(shù)表Tab. 1 Basic simulation parameters table

實(shí)驗開始后，節(jié)點(diǎn)部署過程均采用分區(qū)方式：節(jié)點(diǎn)制式為LTE節(jié)點(diǎn)，節(jié)點(diǎn)特征值取MD5值、初始坐標(biāo)、數(shù)據(jù)報文頭、數(shù)據(jù)路由鏈路、鏈路抖動率5 個參數(shù)。這5 個參數(shù)均通過NS2 相關(guān)函數(shù)進(jìn)行周期提取，以模擬Sink節(jié)點(diǎn)采樣和采樣副本的初始化過程。惡意節(jié)點(diǎn)采用NS2 隨機(jī)函數(shù)動態(tài)生成，若Sink 節(jié)點(diǎn)檢測到相關(guān)函數(shù)出現(xiàn)異常，則判斷某節(jié)點(diǎn)為疑似惡意節(jié)點(diǎn)，再進(jìn)一步分析。

3.1 惡意節(jié)點(diǎn)檢出率

圖5 為本研究算法和文獻(xiàn)［12］算法及文獻(xiàn)［13］算法在惡意節(jié)點(diǎn)檢出率方面的仿真測試結(jié)果。由圖5 可知，本研究算法具有惡意節(jié)點(diǎn)檢出率較高的特點(diǎn)，惡意節(jié)點(diǎn)捕獲性能卓越。這是由于本研究算法在精確設(shè)計節(jié)點(diǎn)聚類的基礎(chǔ)上，能夠進(jìn)一步按照多種參數(shù)對惡意節(jié)點(diǎn)予以鑒權(quán)，因而能夠及時捕獲處于潛伏狀態(tài)的惡意節(jié)點(diǎn)，惡意節(jié)點(diǎn)檢出率較高。文獻(xiàn)［12］算法雖然能夠通過網(wǎng)絡(luò)編碼和數(shù)據(jù)編碼2 種因子對網(wǎng)絡(luò)節(jié)點(diǎn)予以簡單化，不過由于該算法未考慮到沉默節(jié)點(diǎn)相關(guān)特征，惡意節(jié)點(diǎn)沉默現(xiàn)象發(fā)生概率要高于本研究算法，因而惡意節(jié)點(diǎn)檢出率較低。文獻(xiàn)［13］主要按照分區(qū)方式對網(wǎng)絡(luò)節(jié)點(diǎn)予以塊挖掘處理，存在特征匹配不夠的情況，降低了惡意節(jié)點(diǎn)檢出概率，因此該算法還需要進(jìn)一步改善以匹配惡意節(jié)點(diǎn)特征。

圖5 惡意節(jié)點(diǎn)檢出率Fig.5 Malicious node detection rate

3.2 惡意節(jié)點(diǎn)檢出頻次

圖6 為本研究算法和文獻(xiàn)［12］算法及文獻(xiàn)［13］算法在惡意節(jié)點(diǎn)檢出頻次方面的仿真測試結(jié)果。顯然，本研究算法具有惡意節(jié)點(diǎn)檢出頻次較高的特點(diǎn)，這是由于本研究算法考慮到沉默節(jié)點(diǎn)具有隱蔽性和流量突發(fā)特性，設(shè)計了基于多參數(shù)的聚類內(nèi)積方式，能夠以較快的速度實(shí)現(xiàn)對惡意節(jié)點(diǎn)精確遞歸聚類，因而惡意節(jié)點(diǎn)檢出效果較好。文獻(xiàn)［12］算法在沉默節(jié)點(diǎn)處理問題上考慮不足，在查證過程中對存量沉默節(jié)點(diǎn)未予以精確識別，因而惡意節(jié)點(diǎn)檢出效果要劣于本研究算法。文獻(xiàn)［13］所采取的塊挖掘方式僅能按區(qū)域監(jiān)測出惡意節(jié)點(diǎn)存在性，進(jìn)一步挖掘惡意節(jié)點(diǎn)亦導(dǎo)致網(wǎng)絡(luò)出現(xiàn)嚴(yán)重抖動，降低了算法性能，進(jìn)而使得惡意節(jié)點(diǎn)檢出效果較差。

圖6 惡意節(jié)點(diǎn)檢出頻次Fig.6 Malicious node detection frequency

4 結(jié) 語

為解決當(dāng)前移動傳感網(wǎng)難以精確捕獲惡意節(jié)點(diǎn)，且對惡意攻擊行為評估能力較為薄弱等不足，本研究提出了一種基于分組特征捕獲機(jī)制的移動傳感網(wǎng)惡意節(jié)點(diǎn)搜尋算法。該算法主要通過基于聚類內(nèi)積機(jī)制的節(jié)點(diǎn)初始篩查方法和基于聚合機(jī)制的惡意節(jié)點(diǎn)搜尋方法提高對惡意節(jié)點(diǎn)的感知能力，從而達(dá)到較好的網(wǎng)絡(luò)安全防御性能。

下一步，本研究算法擬引入?yún)^(qū)塊鏈加密算法，針對存量和增量節(jié)點(diǎn)均進(jìn)行鑒權(quán)處理，以進(jìn)一步提高算法部署效果，促進(jìn)本研究算法在實(shí)踐中得到更為廣泛的部署應(yīng)用。