CN103686737B

CN103686737B - 基于树形拓扑的无线传感网入侵容忍方法和系统

Info

Publication number: CN103686737B
Application number: CN201310683680.7A
Authority: CN
Inventors: 魏旻; 王平; 常亚; 王维; 柳乐; 周勇; 洪承镐
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2013-12-16
Filing date: 2013-12-16
Publication date: 2017-05-24
Anticipated expiration: 2033-12-16
Also published as: CN103686737A

Abstract

本发明提出一种基于树形拓扑的无线传感网容忍系统，包括入侵检测子系统、安全管理中心、攻击特征匹配库。入侵检测子系统可通过对节点流量及其能量分析，判断网络异常情况，并通过设置阈值报警，同时上传结果至安全管理中心。对于无线传感网网络异常情况，可通过攻击匹配库进行攻击匹配，同时根据攻击类型给出相应的处理，延长网络生存期。对于网络中受攻击骨干节点，采取冗余节点唤醒策略，唤醒冗余节点接管当前被攻击节点，保持网络正常运行；对于网络中受攻击的成员节点则采取隔离掩埋策略，并且记录节点ID，防止被攻击节点利用。

Description

基于树形拓扑的无线传感网入侵容忍方法和系统

技术领域

本发明涉及无线传感器网络技术领域，特别涉及一种无线传感网入侵容忍技术。

背景技术

无线传感器网络是由大量的、廉价的微型传感器节点组成，并且被部署在一定检测区域内，通过无线通信方式形成的一个自组织的多跳的网络；能够完成协作地感知、采集和处理网络覆盖区域中对象的信息，并发送给观察者等。但由于无线传感器网络的开放性，一般部署在无人监测的开放式环境下，使其面临着各种各样威胁和攻击，其安全问题显得尤为重要。

在无线传感网的安全技术中，入网认证、密钥管理、访问控制、入侵检测等安全技术已经大量广泛使用，能够在一定程度上提高网络的安全性，其中入侵检测作为一种主动式的保护机制，可以有效预防和发现网络异常行为，它主要是侧重于网络的防御保护和入侵检测。然而入侵检测系统在性能上存在着高误报率、漏报率以及攻击和检测之间的时间延迟等问题，而且即使恶意攻击能够被检测出来，系统仍无法阻止入侵所引起的破坏。

入侵容忍技术主要考虑在入侵存在的情况下网络的可生存性。与传统网络安全方法的思路不同，入侵容忍的概念承认系统中脆弱点的存在，并假定随着时间的发展，其中某些脆弱点可能会被入侵者利用。其设计目标就是使得系统在受到攻击时，即使系统的某些部分或部件已经受到破坏，或者被恶意攻击者操控，系统仍能够触发一些防止这些入侵或破坏造成系统安全失效的机制，从而仍然能够对外继续维护正常运行(可能是以降级的模式)，提供核心或系统的基本服务，以保证系统的基本功能。

发明内容

有鉴于此，本发明所要解决的技术问题是基于树形拓扑的无线传感网的入侵容忍技术.骨干节点遭受攻击会导致网络部分瘫痪，本技术方案能在网络能量不足或骨干节点受到威胁时，接管骨干节点，延长网络的生存期。对于成员节点则采用隔离掩埋机制，记录被掩埋节点的信息，防止被攻击者利用，同时利用攻击匹配库，对于不同的攻击采取不同的策略来保证网络的正常运行。

本发明解决上述技术问题的技术方案为，提出一种基于树形拓扑的无线传感网入侵容忍系统，包括入侵检测子系统、攻击特征匹配库、全信道分析仪、安全管理中心，全信道分析仪监测获取网络的数据流量及其能量信息，发送至入侵检测子系统，入侵检测子系统根据数据流量或能量信息判断网络是否受到入侵攻击，并将判断结果报告安全管理中心；安全管理中心根据受攻击节点类型分配网络通信资源，管理及监视网络运行；在攻击特征匹配库中将异常信息与攻击特征进行匹配，如果没有匹配成功，则记录当前攻击特征，作为新的攻击类型。当被攻击节点为骨干节点，安全管理中心发送报文唤醒冗余节点接管受攻击骨干节点，当受攻击节点为成员节点，安全管理中心剔除当前受攻击节点，同时记录受攻击节点ID，通知骨干节点及其他邻居节点不与其进行通信。如全信道分析仪获取能量信息，入侵检测子系统确定一个周期所有节点的能量消耗预测值，在一个周期结束时计算节点在本周期所消耗的总能量；根据节点本周期消耗总能量E_use及能量消耗预测值确定能量评价因子计算节点接受K位数据消耗的能量，骨干节点融合数据的能量消耗为：E_DA=5nJ/bit/msg，本周期所消耗的总能量为E_use=E_tx+E_rx+m.E_DA，其中，k为接收字节，d为发送点和接收点之间的距离，E_amp(k,d)为放大电路功耗系数，m为骨干节点融合位数。

如果能量评价因子β高于阈值θ，则数据异常，安全管理中心触发报警。在数据传输阶段，采用无线通信中的根据发送距离的远近的能量消耗模型，根据公式E_tx(k₁,d)=E_elec(k₁)+E_amp(k₁,d)计算节点距离为d时，节点发送k₁比特长度数据包所消耗的能量，根据公式：E_rx(k₂)=k₂×E_elec计算节点接收k₂比特数据消耗的能量，骨干节点在融合一比特数据损耗的能量为:E_DA=5×10^-9J=5nJ，本周期所消耗的总能量为，

E_use=E_tx(k₁,d)+E_rx(k₂)+E_DA(k₃)，E_DA(k₃)=k₃×E_DA，其中，E_tx(k₁,d)为距离为d时,节点发送k₁比特长度数据包所消耗的能量；E_elec(k₁)为发送或者接收k₁比特所消耗的能量，E_elec为发送或接收一个比特数据消耗的能量，E_amp(k₁,d)为放大电路功耗，ε_fs和ε_mp与系统的输入放大模型有关，d₀为距离门限，影响E_amp(k₁,d)的取值，k₁为节点发送比特数，k₂为节点接收比特数，k₃为骨干节点融合比特数，E_tx(k₁,d)为节点发送k₁数据消耗的能量，E_rx(k₂)为节点接收k₂数据消耗的能量,E_DA(k₃)为骨干节点融合k₃比特数据消耗的能量。通常

ε_fs=10×10^-12J/bit/m²=10pJ/bit/m²

ε_mp=0.0013×10^-12J/bit/m²=0.0013pJ/bit/m⁴。其中，根据公式

E_t=E-E_use计算节点i剩余能量的实际值E_t，根据公式：计算节点i剩余能量预测值根据公式：计算阈值θ，根据公式：计算能量评价因子，其中，E为初始化时节点总能量，E'_use为一个周期所有节点的能量消耗预测值，为所有节点剩余能量的实际平均值，n为网络中的节点个数。所述流量信息的测试包括：源地址发送测试包至目的地址；协议分析仪侦听到时间段T内的N个测试包，根据公式RF_i=L*8*N/T得到节点i上一种包类型的流量值RF_i；根据公式：计算所有节点上的流量RF_i，其中，F为包类型、L为包长度、N测试包数量，n为网络中的节点个数。

本发明还提出一种基于树形拓扑的无线传感网入侵容忍方法，包括步骤，全信道分析仪监测获取网络的数据流量及其能量信息，发送至入侵检测子系统，入侵检测子系统根据数据流量或能量信息判断网络是否受到入侵攻击，并将判断结果报告安全管理中心；安全管理中心根据受攻击节点类型分配网络通信资源，管理及监视网络运行；在攻击特征匹配库中将异常信息与攻击特征进行匹配，如果没有匹配，则记录当前攻击特征，作为新的攻击类型。

一旦网络发生异常报警之后，分析数据异常原因，将攻击特征信息发送至攻击特征匹配库进行特征匹配，得出攻击类型，实施相应的措施，将攻击伤害降低到最小，延长网络的生存期，并根据不同的攻击类型采取不同的处理。例如对非法AP攻击就阻止其恶意节点入网，重放攻击则剔除重复信息。如果攻击匹配库无法匹配出当前攻击类型，则记录当前攻击行为，更新攻击匹配库。

当被攻击节点为骨干节点，采取冗余节点唤醒策略，安全管理中心发送报文唤醒冗余节点接管受攻击骨干节点，当受攻击节点为成员节点，采取隔离掩埋策略，剔除当前异常节点，同时记录节点ID，安全管理中心通知骨干节点及其他邻居节点不与其进行通信，使恶意节点无法伪装成掩埋节点进行网络攻击。

本发明有效的保护骨干节点，延长网络的生存期，冗余节点在唤醒之前，处于轻度休眠状态，占用网络资源比较小；冗余节点周期性查询骨干节点状态，并对攻击进行快速响应；对于攻击的产生，采用相应的处理方法来防范攻击的继续蔓延，对于不能有效阻止的攻击则采用掩埋攻击源的方法。

附图说明

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步的详细描述：

图1为基于树形拓扑的无线传感器网络容忍系统结构图；

图2冗余节点测试流程图；

图3节点休眠唤醒策略图。

具体实施方式

以下将结合附图及实施例对本发明进行详细的描述。

如图1所示，本发明涉及的入侵容忍系统包括：全信道分析仪、入侵检测子系统、攻击特征匹配库、安全管理中心、网关、骨干节点、冗余节点和成员节点。

全信道分析仪监测整个无线传感器网络的数据流量及其能量信息，并将监测到的信息发送至入侵检测子系统；

入侵检测子系统根据来至全信道分析仪的信息，实时数据分析，提取数据特征，判断是否受到入侵攻击，并将判断结果报告给安全管理中心；

安全管理中心负责分配整个网络通信所需的资源，管理及监视整个网络的运行。

攻击特征匹配库将异常信息匹配攻击特征库进行攻击匹配，如没有匹配到当前异常情况，则记录当前攻击特征，作为新的攻击类型，升级匹配库，然后根据节点类型的不同以及遭受攻击的不同进行相应的处理；

骨干节点：负责将网络中成员节点的采集信息进行汇聚融合，然后发送至入侵检测子系统。此时骨干节点处于正常状态，一旦检测出节点发生异常，冗余节点将接管当前骨干节点继续工作；

冗余节点：布置于骨干节点附近，在骨干节点正常工作时处于半休眠状态，该状态下，该节点周期性的休眠-运行，并在“运行”状态时发送冗余切换报文；当骨干节点出现异常时，接管骨干节点，处于工作状态，维持网络的正常进行；

网关：负责网内节点与网络管理者之间的数据转发；

成员节点：又称现场节点，负责数据信息的采集，并将采集信息上传至骨干节点进行汇聚融合，成员节点发生异常时，将采取隔离掩埋策略。

由于无线传感器节点主要是微处理器及射频前端消耗能量，存储器占据一小部分，因此在能量有限的情况下，尽可能的降低工作能耗。微处理器主要有“运行”、“空闲”、“休眠”三种状态。射频前端可调节发射机的状态。对于休眠状态，同样分为多级，通常来说，休眠状态越深，则需要更多的时间和能耗来唤醒进入工作状态，因此在本系统中将冗余节点设置为半休眠状态，并且在下一个冗余测试周期唤醒前，关闭射频前端收发器且使微处理器处于休眠状态。

如图1所示，冗余节点布置于骨干节点附近，并与骨干节点定期进行热备份。本发明利用故障监督值标识和反映骨干节点的运行状态。正常情况下，冗余节点处于半休眠状态。

如图2所示，冗余节点周期性的发送冗余状态测试报文，如果冗余节点不能正常接收骨干节点的确认帧ACK，则将该节点的故障监督值加1，等到故障监督值达到一定阈值之后，认为该骨干节点出现异常，冗余节点将主动接管该节点进行工作，并向安全管理中心发送接管确认帧。如果冗余节点接收到骨干节点的确认帧ACK,则将之前的故障监督值清零，继续周期性检测。

全信道分析仪监测整个无线传感器网络的数据流量信息，并将监测到的信息发送至入侵检测子系统进行异常检测；

入侵检测子系统负责将采集到的数据进行特征提取，去除多余的属性特征，只留下对能量和流量相关的特征，判断网络是否遭受攻击，并将结果报告给安全管理中心。

入网后，全信道分析仪监测整个无线传感器网络的数据流量信息，并将监测到的信息发送至入侵检测子系统；入侵检测子系统提取数据特征，包括当前网络流量、能量及数据包特征。

入侵检测子系统包括有数据分析模块、结果分析模块和报警模块。数据分析模块负责将采集的数据进行特征提取，去除多余的属性特征，只留下对能量及其流量相关的特征，并将提取出的结果上传至结果分析模块；结果分析模块根据数据分析模块所提取的数据进行测量和统计；报警模块是在结果分析模块计算之后，一旦发生数据异常，且超过预设阈值后进行报警；入侵检测子系统主要是根据流量以及能量信息的异常来判断是否发生异常。

对于能量信息，检测的主要方法是对比预测能量值与实际剩余能量值之间的差值，差值的幅度反映了当前网络节点是否遭受到了外界的能耗攻击，得出能量评价因子，如果该评价因子高于一定的阈值，则认为在本周期该节点发生异常，即受到了外界的恶意攻击，导致节点能量显著增加或者减少。检测方法如下：

(1)入侵检测子系统根据节点的属性信息，计算一个周期所有节点的能量消耗预测值(可运用神经网络算法计算），并且在一个周期结束时统计所有节点的能量剩余，然后根据上个周期统计的结果计算每个节点在本周期的能量消耗；

(2)根据节点本周期能量消耗和开始时的能量预测值确定能量评价因子和阈值，如果能量评价因子β高于一定的阈值θ，则判定数据异常触发报警，并将结果发送至安全管理中心。

在数据传输阶段，骨干节点收集成员节点信息，然后发送到安全管理中心，在这一过程中，采用无线通信中的根据发送距离的远近的能量消耗模型，节点距离为d时，节点发送k₁比特长度数据包所消耗的能量为：

E_tx(k₁,d)=E_elec(k₁)+E_amp(k₁,d) (1)

E_tx(k₁)=k₁×E_elec （2）

其中，E_tx(k₁,d)为距离为d时,节点发送k₁比特长度数据包所消耗的能量；E_elec为发送或接收一个比特数据消耗的能量；E_elec(k₁)为发送或者接收k₁比特所消耗的能量。

其中，E_amp(k₁,d)为放大电路功耗，ε_fs和ε_mp与系统的输入放大模型有关，d₀d0为距离门限，影响E_amp(k₁,d)的取值。通常

ε_mp=0.0013×10^-12J/bit/m²=0.0013pJ/bit/m⁴。

ε_fs=10×10^-12J/bit/m²=10pJ/bit/m²

ε_mp=0.0013×10^-12J/bit/m²=0.0013pJ/bit/m⁴。

节点接收k₂比特数据消耗的能量为：

E_rx(k₂)=k₂×E_elec (4)

骨干节点在融合一个比特数据损耗的能量为：

E_DA=5×10^-9J=5nJ (5)

在这一过程中，本周期节点所消耗的总能量为：

E_use=E_tx(k₁,d)+E_rx(k₂)+E_DA(k₃) （6）

E_DA(k₃)=k₃×E_DA， (7)

其中k₁为节点发送比特数，k₂为节点接收比特数，k₃为骨干节点融合比特数，E_tx(k₁,d)为节点发送k₁数据消耗的能量，E_rx(k₂)为节点接收k₂数据消耗的能量,E_DA(k₃)为骨干节点融合k₃比特数据消耗的能量。

(3)将节点本周期能量消耗E_use和开始时的能量预测进行对比，如果能量评价因子β高于阈值θ，则判定数据异常触发报警，并将结果发送至安全管理中心。

阈值θ的计算公式为：

E_t=E-E_use，

其中，E为初始化时节点总能量，E_t为节点i剩余能量的实际值，为节点i剩余能量预测值，E'_use为利用神经网络算法得出的预测能量消耗，为所有节点剩余能量的实际平均值，n为网络中的节点个数。

能量评价因子为：β=E_t ^r-E_t

根据能量评价因子β是否大于设定的阈值θ，可以判断节点受到外界的恶意攻击，具体为:

(1)如果该能量评价因子高于阈值，即β>θ,则认为该节点在本周期内工作发生异常，认定为受到了外界的恶意攻击导致节点没有按规律工作，因此使消耗的能量显著增加或者减少。

(2)如果该能量评价因子小于等于阈值，即β≤θ,则认为该节点在本周期内工作正常。

对于流量信息，主要是通过网络流量幅度的大小来判断是否异常。

流量的测试主要包括网络中节点的数据帧、命令帧、信标帧以及全网流量的测试。测试方法如下：

(1)源地址发送配置有包类型F、包长度L(byte)以及测试包数N的测试包，将其发送至目的地址。

(2)协议分析仪侦听到T时间内的测试包，将接收到的包个数N加1，同时记录下测试包长L，单位为byte;

(3)对不同的包类型进行分类，根据以上数据通过公式RF_i=L*8*N/T，可以得到各个节点不同类型的流量。通过该数据的突变情况可以推测网络中哪个节点遭受到流量攻击，同时根据包的类型，便于攻击匹配库分析当前攻击类型，及时的更新攻击匹配库。式中，RF_i表示节点i上一种包类型的流量值。

(4)通过全网流量可以提现整个网络的数据量以及链路负载情况，此处引入加权平均算法，通过所有节点上的流量RF_i，求平均值得到整个网络流量RF_i。

式中，n表示全网节点总数。通过以上结果可以看出，若流量值保持较高说明网络设备发送数据量大，链路负载重；如果流量值正常说明网络中设备发送数据流量正常；如果流量值连续多次出现突然变化情况，即RF值连续几次突然变大则说明网络可能遭受网络攻击。

如图3所示，当被攻击节点为骨干节点，采取冗余节点唤醒策略，安全管理中心发送报文唤醒冗余节点接管受攻击骨干节点，当受攻击节点为成员节点，采取隔离掩埋策略，剔除当前异常节点，同时记录节点ID，安全管理中心通知骨干节点及其他邻居节点不与其进行通信，使恶意节点无法伪装成掩埋节点进行网络攻击。

Claims

1.基于树形拓扑的无线传感网入侵容忍系统，其特征在于，包括入侵检测子系统、攻击特征匹配库、全信道分析仪、安全管理中心，全信道分析仪监测获取网络的数据流量及其能量信息，发送至入侵检测子系统，入侵检测子系统根据数据流量或能量信息判断网络是否受到入侵攻击，并将判断结果报告安全管理中心，如全信道分析仪获取能量信息，入侵检测子系统确定一个周期所有节点的能量消耗预测值，在数据传输阶段，根据公式E_tx(k₁,d)＝E_elec(k₁)+E_amp(k₁,d)计算节点距离为d时节点发送k₁比特长度数据所消耗的能量，根据公式：E_rx(k₂)＝k₂×E_elec计算节点接收k₂比特数据消耗的能量，骨干节点在融合过程中一比特数据损耗的能量为：E_DA＝5×10^-9J＝5nJ，根据公式：E_use＝E_tx(k₁,d)+E_rx(k₂)+E_DA(k₃)计算本周期所消耗的总能量，其中，E_elec(k₁)为发送或者接收k₁比特长度数据所消耗的能量，E_elec为发送或接收一个比特数据消耗的能量，E_amp(k₁,d)为放大电路功耗，k₁为节点发送比特数，k₂为节点接收比特数，k₃为骨干节点融合比特数，E_DA(k₃)为骨干节点融合k₃比特数据消耗的能量，在一个周期结束时计算节点在本周期所消耗的总能量；根据公式E_t＝E-E_use计算节点i剩余能量的实际值E_t，根据公式：计算节点i剩余能量预测值根据公式：计算阈值θ，根据公式：计算能量评价因子，其中，E为初始化时节点总能量，E’_use为一个周期所有节点的能量消耗预测值，为所有节点剩余能量的实际平均值，n为网络中的节点个数；根据节点本周期消耗总能量E_use及能量消耗预测值确定能量评价因子β和阈值θ，如果能量评价因子β高于阈值θ，认定为节点受到了攻击；所述流量信息的测试包括：源地址发送测试包至目的地址；协议分析仪侦听到时间段T内的N个测试包，根据公式RF_i＝L*8*N/T得到节点i上一种包类型的流量值RF_i；根据公式：计算所有节点上的流量，如果流量值即RF值连续几次突然变大说明网络遭受攻击，其中，F为测试包类型、L为测试包长度、N为测试包数量，n为网络中的节点个数；将攻击特征信息发送至攻击特征匹配库进行特征匹配，得出攻击类型，根据不同的攻击类型采取不同的处理；安全管理中心根据受攻击节点类型分配网络通信资源，管理及监视网络运行，当被攻击节点为骨干节点，安全管理中心发送报文唤醒冗余节点接管受攻击骨干节点，当受攻击节点为成员节点，安全管理中心剔除当前受攻击节点，同时记录受攻击节点ID，通知骨干节点及其他邻居节点不与其进行通信；在攻击特征匹配库中将异常信息与攻击特征进行匹配，如果没有匹配，则记录当前攻击特征，作为新的攻击类型。

2.根据权利要求1所述的系统，其特征在于，根据不同的攻击类型采取不同的处理具体包括：对非法AP攻击阻止恶意节点入网，重放攻击则剔除重复信息。

3.基于树形拓扑的无线传感网入侵容忍方法，其特征在于，包括步骤，全信道分析仪监测获取网络的数据流量及其能量信息，发送至入侵检测子系统，入侵检测子系统根据数据流量或能量信息判断网络是否受到入侵攻击，并将判断结果报告安全管理中心，如全信道分析仪获取能量信息，入侵检测子系统确定一个周期所有节点的能量消耗预测值，在数据传输阶段，建立能量消耗模型，在一个周期结束时计算节点在本周期所消耗的总能量；所述建立能量消耗模型具体为，根据公式：E_tx(k₁,d)＝E_elec(k₁)+E_amp(k₁,d)计算节点距离为d时,节点发送k₁比特长度数据包所消耗的能量，根据公式：E_rx(k₂)＝k₂×E_elec计算节点接收k₂比特数据消耗的能量，骨干节点在融合过程中一比特数据损耗的能量为：E_DA＝5×10^-9J＝5nJ，本周期所消耗的总能量为E_use＝E_tx(k₁,d)+E_rx(k₂)+E_DA(k₃)，E_DA(k₃)＝k₃×E_DA，其中，E_elec(k₁)为发送或者接收k₁比特长度数据包所消耗的能量，E_elec为发送或接收一个比特数据消耗的能量，E_amp(k₁,d)为放大电路功耗，k₁为节点发送比特数，k₂为节点接收比特数，k₃为骨干节点融合比特数，E_DA(k₃)为骨干节点融合k₃比特数据消耗的能量，根据公式E_t＝E-E_use计算节点i剩余能量的实际值E_t，根据公式：计算节点i剩余能量预测值根据公式：计算阈值θ，根据公式：计算能量评价因子，其中，E为初始化时节点总能量，E’_use为一个周期所有节点的能量消耗预测值，为所有节点剩余能量的实际平均值，n为网络中的节点个数；根据节点本周期消耗总能量E_use及能量消耗预测值确定能量评价因子β和阈值θ，如果能量评价因子β高于阈值θ，则数据异常，认定为节点受到了攻击；所述流量信息的测试包括：源地址发送测试包至目的地址；协议分析仪侦听到时间段T内的N个测试包，根据公式RF_i＝L*8*N/T得到节点i上一种包类型的流量值RF_i；根据公式：计算所有节点上的流量，如果流量值即RF值连续几次突然变大说明网络遭受攻击，其中，F为测试包类型、L为测试包长度、N为测试包数量，n为网络中的节点个数；将攻击特征信息发送至攻击特征匹配库进行特征匹配，得出攻击类型，根据不同的攻击类型采取不同的处理；安全管理中心根据受攻击节点类型分配网络通信资源，管理及监视网络运行，当被攻击节点为骨干节点，安全管理中心发送报文唤醒冗余节点接管受攻击骨干节点，当受攻击节点为成员节点，安全管理中心剔除当前受攻击节点，同时记录受攻击节点ID，通知骨干节点及其他邻居节点不与其进行通信；在攻击特征匹配库中将异常信息与攻击特征进行匹配，如果没有匹配，则记录当前攻击特征，作为新的攻击类型。

4.根据权利要求3所述的方法，其特征在于，根据不同的攻击类型采取不同的处理具体包括：对非法AP攻击阻止恶意节点入网，重放攻击则剔除重复信息。