一种基于免疫机制的无线传感器网络攻击协同检测方法
【技术领域】
[0001] 本发明属于设及无线传感器网络(WSN)的入侵检测方法,针对目前WSN网络安全 存在隐患,尤其是对于未知的网络攻击存在检测效率低、检测系统硬件要求高等问题,设计 了一种基于免疫机制的无线传感器网络攻击协同检测方法,实现了面向WSN的轻量级高效 入侵检测。
【背景技术】
[0002] 无线传感器网络(WSN)是由大量体积小、价格便宜、电池供电、具有无线通信和检 测能力的传感器节点组成。运些节点被稠密部署在检测区域,W达到检测物理世界的目的。 由于传感节点大多被部署在无人照看或者敌方区域,WSN的安全问题尤为突出。事实上、缺 乏有效的安全机制已经成为传感器网络应用的主要障碍。尽管在WSN安全技术研究方面已 经取得了较大的成绩,许多传感器网络安全技术已经被提议,但是由于在传感器网络协议 设计阶段,没有考虑安全问题,因此没有形成完善的安全体系,传感器网络存在着巨大的安 全隐患。WSN网络安全技术研究和传统网络有着较大区别,但是他们的出发点都是相同的, 均需要解决信息的机密性、完整性、消息认证、组播/广播认证、信息新鲜度、攻击检测W及 访问控制等问题。WSN的自身特点(受限的计算、通信、存储能力,缺乏节点部署的先验知 识,部署区域的物理安全无法保证W及网络拓扑结构动态变化等)使得非对称密码体制难 W直接应用,实现WSN安全存在着巨大的挑战。从技术研究现状来看,面向WSN的攻击检测 技术还存在如下=个方面的问题:
[000引 (1)无线传感器网络能量有限,每个节点的计算能力和存储能力受限,导致复杂的 攻击检测算法和机制无法直接应用,因此研究高效的轻量级的攻击检测算法至关重要。基 于人工免疫计算的网络攻击检测技术已经被验证为有效检测方法,但是由于传统的人工免 疫计算方法对节点的计算能力和存储能力要求较高,因此如何设计轻量级的基于免疫机制 的攻击检测机制具有研究意义。
[0004] (2)针对无线传感器网络安全,虽然安全防御如加密,认证等方法在一定程度上能 预防攻击,但是还不能完全阻止各类攻击。如果网络中传感器节点被捕获,那么拥有合法身 份的攻击者能肆意发起对整个网络的攻击。此时,通常被认为是第二层攻击防御的攻击检 测机制往往能有效地防止运类攻击。因此,设计和研究面向WSN的攻击检测模型和相应的 算法,使得WSN能够检测Dos攻击、拥塞攻击、泛洪攻击、异步攻击和捕获攻击等,采取隔离、 切断等有效措施,才能保障其真正安全。 阳〇化](3)无线传感器网络动态网络拓扑结构,前期针对WSN拓扑研究主要是节能,尽量 均衡全网范围内的能量损耗;目前由于攻击行为与节点故障及电池耗竭对网络拓扑的不同 影响,对容错和容侵的要求提高,面对攻击情况如何生成一个具有较高容侵能力的拓扑,在 节点能源都会耗尽时维持一个可生成的网络是个关键问题。
[0006] 综上所述,设计和实现一套适应无线传感器网络的低能耗、计算能力受限和动态 拓扑结构特征的攻击检测模型和轻量级异常检测算法是满足无线传感器网络安全需求的 关键。
[0007] 由于资源限制等特性,WSN的安全问题比传统网络面临更多挑战。适用于WSN的 低能耗攻击检测机制需考虑通信和计算的负载、动态拓扑结构、无线多跳传输的传输方式, 使得传感器网络与传统有限网络、adhoc网络都不尽相同,需要达到几个设计目标:(1)分 布式协作检测的结构,降低单个节点的检测处理复杂度;(2)提出一种能量有效的攻击检 测算法和模型;(3)兼顾监控节点的检测攻击和定位攻击;(4)攻击检测机制适应WSN的动 态拓扑结构,快速同步异常检测机制在各个节点的更新,保证系统的检测率和误测率。
[0008] 按照攻击者的类型,传感器网络的攻击可W分为内部(insider)攻击和外部 (outsider)攻击。外部攻击中,攻击者不知道传感器网络内部信息,如传感器节点的密钥信 息、各种参数等,不能直接攻击网络中的节点。内部攻击,是指敌方伪装成网络中的合法节 点进行的攻击。攻击者既可W是网络中被敌方攻陷的合法传感器节点,也可W是敌方在获 得合法节点信息(包括密钥,代码等)后注入网络中的伪节点。显而易见,内部攻击比外部 攻击更难检测和预防,其破坏性也更大。针对面向WSN的内部攻击检测方案一直是传感器 网络安全的研究重点。
[0009] 针对内部攻击的分布式检测机制。W.Lee在文献提出了面向Adhoc网络攻击的检 测模型MWNIDSdntrusionDetectionSystemforMobileWirelessNetwork)。该模型基 于协同工作的分布式代理,每个监控节点负责检测本地攻击活动,同时协助邻近监控节点 进行联合检测。MWNIDS设计分布式网络结构,利用部分节点收集信息、检测攻击,最后利用 收集的信息统一更新路由表,是传统的网络攻击检测方法在WSN中的应用。MWNIDS检测器 使用支持向量机分类算法,构造移动Adhoc网络攻击路由信息模型来检测针对AODV路由 协议的攻击。由于支持向量机数据规模庞大,只适合部分信息量较小的传感器网络,因此无 法大规模推广应用。Yao等提出了就监控狗的内部攻击防御措施,通过设置信任机制的级别 完成对内部节点篡改和恶意攻击的检测。
[0010] 携带攻击检测系统的监控节点随同普通节点一起抛洒在待侦查的区域,实施分布 式检测。系统自带特征分析模块,可W检测出网络中比较明显的攻击和攻击,除此之外还能 对攻击数据进行分析,检测器采用事件驱动的模式,针对网络中事件计数进行度量,当需要 进行分析的某个参数X超过一个阔值的时候,检测器判断为攻击。阔值通常是通过分析W 往正常数据得到的经验值。该模型是传感器网络中第一个真正意义上的攻击检测系统,它 主要应对网络层的攻击,能检测出当前常见的网络层攻击,有较强的实用性。检测器比较依 赖阔值的选定,早期的时候,如果阔值选的不准确会给系统带来不利影响,造成大量误检或 漏检。
[0011] 非合作博弈论(Non-cooperativeGameTheory)用于传感器网络攻击检测, 将攻击和检测作为博弈双方建模,制定双方的策略将其归一化为一个非合作、非零和 (nonzero-sum)的博弈模型,通过此模型博弈双方达到纳什均衡(化shEquilibrium),并使 检测方找到最大化收益(maximizepayoff)策略,从而增加检测概率更好地保护系统。博 弈模型虽然可W发现攻击,由于缺乏特征分析,它无法知道确定是何种攻击和攻击的来源, 因此不能适应传感器网络中复杂多变的攻击和攻击。
[0012] 基于自组织原理和统计学习的IDS,Doumit等提出的基于事件的攻击检测方法, 根据环境变量利用局部位置的自组织能力,通过比较新旧数据来检测未知的攻击。使用隐 式马尔科夫模型下一个状态出现的概率与前一状态相关,因此模型是无记忆的。
[0013] 而在WSN的应用中,传感器节点常常布置在人们易于接近的环境中。因此,WSN也 容易受到各种恶意的攻击,例如干扰服务、节点捕获等。对干扰服务攻击进行了研究,识别 出几种攻击的简单形式:敌方通过向整个WSN广播高能信号来干扰整个网络的运行;在更 复杂的攻击中,敌方可通过违反802. 11的MC层协议来抑制网络中的数据传输。
[0014] 对抗阻塞攻击的方法自动发现拥塞的区域并通过路由绕开拥塞区域。采用被干扰 区内节点切换通信频率的方式抵御干扰,并解决了干扰区节点和干扰区外节点通信频率协 调问题。分别从攻击者和防御者的角度考虑W多大的概率实施干扰攻击和检测才能取得最 优的效果。当传感器被敌方获取、解密甚至篡改程序后将对WSN的运行和数据的正确性带 来很大的威胁。
[0015] 面向WSN的攻击检测主要包括误用检测和异常检巧U。由于异常检测能检测未知的 坏死节点、恶意攻击节点和簇,因此WSN的异常检测研究更有必要性。不同于传统网络的攻 击检测,单一的安全体制无法为WSN提供可行的攻击检测方案。针对各类攻击模型的检测 方案和模型面临的最大挑战是节点能量有效、网络结构动态变化、检测器算法效率低等,研 究高效低耗的检测机制具有研究价值。综合分析面向WSN的IDS研究现状,总结已有研究 成果依然未能很好解决的问题是:
[0016] (1)单个传感器节点的计算、存储和通信能力有限,导致适用于传统网络的攻击检 测技术和方法不能直接应用于WSN,例如博弈论方法、基于数据挖掘的规则模型、基于高斯 分布或者5 -分布的WSN攻击检测等方法必须通过简化改进才能应用,带来的问题是参数 依赖性大、检测攻击种类单一、检测实时性差和检测效率低等问题。
[0017] (2)无线通信环境本身存在传输稳定性和可靠性的缺陷,即便没有内部或者外部 的恶意攻击,依然可能存在异常节点和异常数据,设计的攻击检测机制必须充分考虑节点 的通信能力和存储能力,并且满足一定的容错性,不能过分依赖单个节点。
[0018] (3)WSN的动态拓扑结构也是区别于传统网络的特征,在部署攻击检测系统和设计 检测算法时考虑老节点的死亡和新节点加入,检测机制对结构的变化有自适应的能力,继 续实现该网络的攻击检测。