CN101478756A - 一种检测女巫攻击的方法 - Google Patents

Abstract

针对无线传感器网络路由协议面临的Sybil攻击，提出一种检测Sybil攻击的方法，该方法采用在协议执行阶段在数据包尾部捎带检测参数信息的方法，通过节点能量和接收信号强度值，综合判断无线传感器网络中的Sybil攻击，并通过簇头节点和成员节点的相互监督提高了检测精度。为网络、特别是传感器网络提供了一个实用可行的检测Sybil攻击的方法，可以有效提高无线传感器网络的安全，如路由、资源分配、异常行为检测等。该方案具有实现简单，检测率高，抗攻击能力强等优点。

Description

一种检测女巫攻击的方法

技术领域

本发明是一种用于信息网络、特别是无线传感器网络路由协议中检测Sybil(女巫)攻击的新方法，属于计算机与信息安全技术领域。

背景技术

无线传感器网络是一种能在事先没有构建网络基础设施的环境下，由移动节点临时组成的对等式网络，是一种自组织、自管理的网络。网络中每个节点可随时加入和退出，拓扑结构频繁变化，并且由于每个节点的通信覆盖面小，节点间通信常常要经过其它节点的多跳转发。这些特点使得传感器网络除了具有一般无线网络所面临的信息泄露、信息篡改、重放攻击、拒绝服务等多种威胁外，传感器网络还面临传感节点容易被攻击者物理操纵，并获取和修改存储在传感节点中的所有信息，从而控制部分网络的威胁，Sybil攻击也是其中非常有害的攻击方式的一种。Sybil攻击的目标是破坏依赖多节点合作和多路径路由的分布式解决方案。在Sybil攻击中，恶意节点通过扮演其它节点或者通过声明虚假身份，从而对网络中其它节点表现出多重身份。在其它节点看来存在Sybil节点伪造出来的一系列节点，但事实上那些节点都不存在，所有发往那些节点的数据，将被Sybil节点获得。

Sybil攻击中的三种典型特征是：直接通信和间接通信、伪造和盗用的身份、同时攻击与非同时攻击。

(1)直接和间接通信

直接通信：实施Sybil攻击的一种方法是Sybil节点和其它合法节点直接进行通信，当合法节点向Sybil节点发送信息时，恶意节点可以监听这些信息。同样，从Sybil节点发出的信息实际上是由恶意节点发出的。

间接通信：这种攻击方式中，没有合法节点可以直接和Sybil节点进行通信，然而一个或多个恶意节点声称可以到达Sybil节点。因此发往Sybil节点的信息被路由到这些恶意节点。

(2)伪造和偷窃的身份

伪造身份：在一些情况下，攻击者可以构造多个任意的Sybil身份标识ID。比如，如果节点身份标识ID是由32位整数组成，那么攻击者只需通过简单的生成32位随机数就可以获得节点身份标识ID。

盗用身份：如果传感器网络中有安全机制对节点ID的合法性进行识别，那么攻击者就很难伪造新的ID。比如，身份ID的名字空间本身就具有防止插入新的ID的安全机制。在这种情况下，攻击者必须盗用其它节点的合法身份。

(3)同时攻击和非同时攻击

同时攻击：攻击者可能试图利用其所拥有的所有身份ID同时参与网络通信，然而对于一个特定的物理设备来说，在某一时刻，只能具有一个身份，攻击者可以通过循环使用不同的身份，而形成同时使用多个ID的假象。

非同时攻击：虽然攻击者可能具有多个身份，但在一特定时期，攻击者只使用其中一个身份。攻击者可以通过使一个身份退出网络，并利用另外一个身份重新加入到网络来实现这种攻击方式。一个身份可以离开和加入网络多次，也可能只使用一次。

发明内容

技术问题：本发明的目的是提供一种解决无线传感器网络检测Sybil攻击的方法，该方法采用在协议执行阶段在数据包尾部捎带检测参数信息的方法，根据节点接收信号强度和节点中存贮的成员节点状态信息，综合判断传感器网络中的Sybil攻击；并通过簇头节点和成员节点的相互监督提高检测精度。

技术方案：在无线传感器网络的信道空间中，接收天线接收到的信号强度RSSI_r是发射——接收距离d的函数，可以得到节点的接收信号强度。

根据接收节点的信号强度计算节点的位置，可以判断传感器网络是否发生Sybil攻击。假设有以下网络环境：一个二维平面簇头网络；所有的节点都相同；一旦节点部署完成，其位置不再变化；在节点初始化完成之前网络是安全的。下面介绍Sybil攻击的检测方法。

在网络初始化的时候，传感器节点初始的能量值是相同的，而且无线传感器网络是一个静止的网络，节点间的相对的位置不发生变化，那么根据节点i与j的接收信号强度的比值可以认为只和距离有关系。簇头中的发送信息在能量相同的情况下，信号的接收强度的比值仅仅与距离的比值正比于1/d^α。

节点位置是固定不变的，那么它应有唯一的位置信息。Sybil攻击发生时一个节点伪造多个有效的ID号，发送有害的信息。所以只需要证明多个ID号只对应于同一个节点，那么就可以认为是Sybil攻击。四个节点便可以确定与其相联系的节点的地理位置，检测Sybil攻击方法如图1所示。其中S₁和S₂是一个节点拥有的两个身份，D₁、D₂、D₃、D₄是四个检测节点。

S₁和S₂是一个节点的两个不同身份，在Sybil攻击网络时，S₁和S₂都会发送信息。如果检测出到S₁和S₂的距离都相等，由于位置信息是唯一的节点，却具有两个ID号，说明发生了Sybil攻击。

本发明的检测Sybil攻击的具体方法为：

对簇头节点u_i发生Sybil攻击的检测：

(1)簇头节点u_i向成员节点v_i发出控制信息，成员节点v_i对簇头节点u_i发来的信息检测到能量值和接收信号强度值RSSI(Received Signal StrengthIndicator)，根据簇头节点发送的RSSI值、能量值和下式：

$d^{\mathrm{\α}}=\frac{{\mathrm{RSSI}}_t\×{\left|\right|H\left|\right|}^2}{\mathrm{RSSI}}$

其中，RSSI_t为发射信号强度(RSSI_t＝101gP_rec)，此时假定发射接收天线增益均为1，H是信道模型的冲激响应，α为能量的衰减梯度，P_rec节点的接收功率。成员节点v_i计算出新接收到的节点距离d_i，将d_i与前一次记录的节点距离值相比较，如果

$|d_i^{\′}-d_i|>X_d$

则v_i认为簇头节点异常，

(2)成员节点v_i节点发出异常信息给相邻的成员节点v_i+1，由相邻的成员节点v_i+1节点再次用相同的方法检测簇头节点u_i，若大于检测阈值X_d，则相邻的成员节点v_i+1认为簇头节点异常，

(3)相邻的成员节点成员节点v_i+1节点发出异常信息给再相邻的成员节点v_i+2，此时表示有2个成员节点，即成员节点v_i和相邻的成员节点v_i+1，认为簇头节点异常，如此下去，如果有4个成员节点都认为簇头节点异常，此时即可表明簇头节点发生Sybil攻击；

对成员节点v_i发生Sybil攻击的检测：

(1)成员节点v_i向簇头节点u_i发送探测信息，簇头v_i计算v_i发来的能量值Power(v_i)和RSSI值RSSI(v_i)，

(2)将新计算的能量值Power(v_i)和RSSI值RSSI(v_i)于前一次的相应值进行比较，如果大于检测阈值X_p和X_d，即如果

$|\stackrel{...............}{\mathrm{Power}\left(v_i\right)}-\mathrm{Power}\left(v_i\right)|>X_p$

$|\stackrel{...............}{\mathrm{RSSI}\left(v_i\right)}-\mathrm{RSSI}\left(v_i\right)|>X_R$

则成员v_i发生了Sybil攻击。

有益效果：本发明的意义在于为无线通信网、特别是无线传感器网络提供了一个实用可行的检测Sybil攻击的方法，为信息安全领域中的攻击检测提供新的方法，以更灵活、更符合实际现实情况的思路设计和实现对Sybil攻击的检测，具体优点如下：

●根据节点能量值和接收信号强度，重在检测针对传感器网络路由危害大的Sybil攻击，综合提高路由协议安全性能。

●针对传感器网络簇头节点和成员节点的Sybil攻击，通过簇头节点和成员节点的相互监督以提高检测精度。

●采用在协议执行阶段在数据包尾部捎带检测参数信息的方法检测Sybil攻击，有效的减少了能量消耗。

●Sybil攻击是传感器网络中危害最大的一种攻击，其它攻击方法大多与此攻击方法结合使用，达到攻击的目的，所以解决好Sybil攻击对保证全网的安全有重大的意义。

附图说明

图1是四个节点检测Sybil攻击示意图。其中有节点：检测节点D₁、检测节点D₂、检测节点D₃、检测节点D₄、簇头节点节S₁和S₂，S₁和S₂是一个节点拥有的两个身份，用以进行Sybil攻击的检测。

具体实施方式

新方案分为簇头选举、簇建立，时隙分配和数据传输四个阶段。为了便于用公式表示检测算法，表1给出算法实现时使用的一些参数。

表1 检测算法使用的参数

(1)簇头选举阶段

候选簇头节点向全网广播自己的信息，宣布自己为簇头节点。同一时刻只能有一个簇头节点广播自己的信息。候选簇头节点H用明文广播报文{sequence|ID_H}给自己周围的节点，告诉当前轮数sequence和簇头ID_H。

1)此时进行簇头节点检测算法。假设一个簇头节点与四个以上成员节点直接通信：簇头节点u_i向成员节点v_i发出控制信息，成员节点v_i对发来的能量值和RSSI值进行比较判定簇头u_i是否是异常的节点，如果是异常节点则成员节点不再向该簇头节点发送数据。

2)根据簇头节点发送的RSSI值和能量值，成员节点v_i计算出新接收到的节点距离d_i，将d_i与前一次记录的节点距离值

相比较，如果大于检测阈值，则v_i认为簇头节点异常。

3)v_i节点发出异常信息给相邻的成员节点，由v_i+1节点再次检测簇头节点，若大于检测阈值则v_i+1认为簇头节点异常。

4)v_i+1节点发出异常信息给相邻的成员节点v_i+2，此时表示有2个成员节点(v_i和v_i+1)认为簇头节点异常。

5)若有4个成员节点认为簇头节点异常，此时即可表明簇头节点发生Sybil攻击。

6)一轮过后传感器网络重新选举簇头，新簇头把发生Sybil攻击的节点通知给周围节点，并将发生Sybil攻击的节点排除出网络。

(2)簇建立阶段

每个非簇头节点决定自己属于哪个簇。每个节点可能会收到几个来自不同簇头节点的广播报文{sequence|ID_H}，节点就根据收到消息的信号强弱，选取信号最强的广播报文的发送源作为自己的簇头节点。然后登记这个簇头节点的密钥标志ID_H，并发送{sequence}给簇头节点通知加入该簇。

(3)时分复用的时隙分配阶段

每个簇头节点根据已经注册到它的簇的节点个数，创建一个时分复用的时隙分配。簇头节点向簇成员节点发送调度信息，从而保证每个簇成员有自己发送数据的时间段。

(4)数据传输阶段

簇建立完成后，簇成员节点开始在自己的时分复用时间段内采集数据并发送到簇头。在一帧结束后簇头运行数据融合算法，把融合后的数据发送给基站。每个簇都被分配一个不同的码分复用码字，因此每个簇的数据传输不会影响其它簇的数据传输。在此阶段可以进行成员节点检测算法。

1)成员节点v_i向簇头节点v_i发送探测信息，簇头u_i对v_i发来的能量值和RSSI值进行比较判定成员v_i是否发生了Sybil攻击。

2)若发生了Sybil攻击，则由簇头节点u_i发布洪范信息通知其相邻的簇头节点u_i+1 i＝1，2...，告知v_i节点发生了Sybil攻击。相邻节点切断与v_i节点的通信联系。

该方法具体如下

一.对簇头节点u_i发生女巫攻击的检测：

a.簇头节点u_i向成员节点v_i发出控制信息，成员节点v_i对簇头节点u_i发来的信息检测到能量值和接收信号强度值RSSI，成员节点v_i计算出新接收到的节点距离d_i，

$d_i^{\mathrm{\α}}=\frac{{\mathrm{RSSI}}_t\×{\left|\right|H\left|\right|}^2}{\mathrm{RSSI}}$

其中，RSSI_t为发射信号强度，H是信道模型的冲激响应，α为能量的衰减梯度。将d_i与前一次记录的节点距离值d_i相比较，如果 $|d_i^{\′}-d_i|>X_d$ 则v_i认为簇头节点异常，

b.成员节点v_i节点发出异常信息给相邻的成员节点v_i+1，由相邻的成员节点v_i+1节点再次用相同的方法检测簇头节点u_i，若大于检测阈值X_d，则相邻的成员节点v_i+1认为簇头节点异常，

c.相邻的成员节点成员节点v_i+1节点发出异常信息给再相邻的成员节点v_i+2，此时表示有2个成员节点，即成员节点v_i和相邻的成员节点v_i+1，认为簇头节点异常，如此下去，如果有4个成员节点都认为簇头节点异常，此时即可表明簇头节点发生女巫攻击；

二.对成员节点v_i发生女巫攻击的检测：

a.成员节点v_i向簇头节点u_i发送探测信息，簇头u_i计算v_i发来的能量值Power(v_i)和接收信号强度值RSSI(v_i)，

b.将新计算的能量值Power(v_i)和接收信号强度值RSSI(v_i)于前一次的相应值进行比较，如果大于检测阈值X_p和X_d，即如果

$|\stackrel{...............}{\mathrm{Power}\left(v_i\right)}-\mathrm{Power}\left(v_i\right)|>X_p$

$|\stackrel{...............}{\mathrm{RSSI}\left(v_i\right)}-\mathrm{RSSI}\left(v_i\right)|>X_R$    则成员v_i发生了女巫攻击。

Claims (1)

1.一种检测女巫攻击的方法，其特征在于该方法具体为以下步骤：

一.对簇头节点u_i发生女巫攻击的检测：

a.簇头节点u_i向成员节点v_i发出控制信息，成员节点v_i对簇头节点u_i发来的信息检测到能量值和接收信号强度值RSSI，成员节点v_i计算出新接收到的节点距离d_i，

$d_i^{\mathrm{\α}}=\frac{{\mathrm{RSSI}}_t\×{\left|\right|H\left|\right|}^2}{\mathrm{RSSI}}$

其中，RSSI_t为发射信号强度，H是信道模型的冲激响应，α为能量的衰减梯度。将d_i与前一次记录的节点距离值

相比较，如果 $|d_i^{\′}-d_i|>X_d$ 则v_i认为簇头节点异常，

b.成员节点v_i节点发出异常信息给相邻的成员节点v_i+1，由相邻的成员节点v_i+1节点再次用相同的方法检测簇头节点u_i，若大于检测阈值X_d，则相邻的成员节点v_i+1认为簇头节点异常，

c.相邻的成员节点成员节点v_i+1节点发出异常信息给再相邻的成员节点v_i+2，此时表示有2个成员节点，即成员节点v_i和相邻的成员节点v_i+1，认为簇头节点异常，如此下去，如果有4个成员节点都认为簇头节点异常，此时即可表明簇头节点发生女巫攻击；

二.对成员节点v_i发生女巫攻击的检测：

a.成员节点v_i向簇头节点u_i发送探测信息，簇头u_i计算v_i发来的能量值Power(v_i)和接收信号强度值RSSI(v_i)，

b.将新计算的能量值Power(v_i)和接收信号强度值RSSI(v_i)于前一次的相应值进行比较，如果大于检测阈值X_p和X_d，即如果

则成员v_i发生了女巫攻击。

Images