无线传感器网络入侵检测研究

科技信息．　计算机与网络　无线传感器网络兀侵楂测研究　西安邮电学院计算机系　李刚　［摘要］当今，安全正逐渐取代性能成为网络应用中首要关注的问题。而无线传感器网络在环境、后勤、工程、卫生和军事上的应用　变得越来越普遍，使得无线传感器网络的安全问题成为一个重要的研究课题。本文研讨了无线传感器网络和其他类似网络（如Ａｄ　Ｈｏｃ）的主要差别，并讨论如何根据这些差异进行有效的入侵检测。此外，还对本领域的研究状况进行了调查，并概述了未来研究的　主要方向。　［关键词］入侵检测　无线传感器网络安全　０．引言　虽然无线传感器网络是家庭无线网络或移动Ａｄ　Ｈｏｃ网络　２．无线传感器网络的入侵检测解决方案　对于目前无线传感器网络中采用的入侵检测方法和算法方案可以　（ＭＡＮＥＴ）中的一部分，但是它有其自身的特点。尽管已对ＭＡＮＥＴ做了　很多安全和入侵检测方面的研究，但是在无线传感器网络（ＷＳＮ）上的　研究工作却很少。从安全的角度来看，ＭＡＮＥＴ和传感器网络之间的主　要区别可归纳如下：　（１）设备简单：传感器节点是个体很小，成本低廉的设备，具有有限　的发射功率（短距离）和能源。由于其较低的计算和通信能力，因此以鉴　权和加密技术为基础的安全解决方案难以在大规模的传感器网络中实　施。而且与典型的移动设备不同，传感器节点在发送和接收数据的同　时，还要进行监听网络。所以，传感器网络更容易受到资源消耗一类的　攻击。　（２）缺乏移动性：在大多数应用中，传感器节点是固定不动的。由于　其固定不动，所以减少了路由开销。而更重要的是，在传感器网络中，不　发生或很少发生路由请求广播和定期路由更新。　（３）网络规模巨大：无线传感器网络可能包含大量的节点。　这些差异使得针对ＭＡＮＥＴ的入侵检测系统和其解决方案不再适　用于无线传感器网络。而无线传感器网络中入侵检测系统的难题在于　资源的匮乏。此外，因为需求的资源在无线传感器网络中并不具备，所　以用于传统网络的方法并不能直接适用于无线传感器网络。　无线传感器网络是典型的面向应用的网络，因此根据特定目标设　计的网络是有其自身特点的。一般来说，当系统受到攻击时，系统具有　与正常系统不同的行为，这时入侵检测系统就认定发生了入侵。而无线　传感器网络的配置使得定义正常的或预期的系统行为非常困难。同时，　公共节点通常都被设计为成本低和体积小，只拥有有限的硬件资源。因　此，其可用内存可能不足以建立一份检测日志文件。并且，在设计运行　于节点中的软件时，通常都要求其软件设计可以尽最大程度的节省能　源，以尽量延长其在网络中的使用寿命。　最后，无线传感器网络中入侵检测系统的另一项挑战是：与有线网　络相比，传感器节点经常会失效。鉴于以上这些特点，实时地检测网络　入侵就显得十分重要，只有这样，才能及时地检测到入侵者，并尽量减　少可能的损失。　１．无线传感器网络的入侵检测体系结构　对于无线传感器网络，其最佳的入侵检测体系结构要求是：在具有　分布式特性的同时，还应具有其特定的层次性。分布式的体系结构允许　检测分布式攻击，并在不同的方面为网络提供扩展性和鲁棒性。利用这　架构，可以将检测入侵的过程分布到网络中的多个节点。由于这种架　构依赖于节点的协同工作能力，因此其架构具有容错性，也就是说，如　果以任何理由从网络中移除一个节点，入侵检测仍然可以正常工作。　基础层　协调层　传感器　节点　图１无线传感器网络入侵检测的层次结构　图１展示了无线传感器网络入侵检测的层次结构。其层次结构参　考了无线传感器网络的硬件体系架构，从三个层面开展了入侵检测工　作。第一个层面包括无线传感器节点，负责进行收集数据，监测邻居节　点的活动以及在本地应对入侵活动（例如通过孤立相关节点）。第二个　层面是协调层，负责从附近的传感器节点汇总数据和监测网络或个别　节点的活动。通过分析汇总数据判定是否发生入侵活动，入侵检测引擎　会采用与第一个层面类似的方式，对入侵活动进行相应的处理。第三个　层面基础层通过分析协调层的数据，来检测是否发生了入侵。类似于协　调层，基础层也存在监测和识别引擎，会对入侵做出响应。　如上所述，传感功能，计算和数据传输被分布在各个层次当中。在　最低层次实现传感能力，在中间层实现所有计算，在顶层实现数据传　输。此外，每一个层次还可以在计算中扮演特定的角色。　分为以下三类：　（１）普通方案；　ｆ２１基于马尔可夫模型的方案；　（３１基于移动代理的方案。　２．１普通方案　Ｄｕ等提出了一个基于ＬＡＤ（ＬｏｃａｌｉｚａｔｉｏｎＡｎｏｍａｌｙＤｅｔｅｃｔｉｏｎ）的方案　】，　该方案检测在定位过程中异常的信标节点。在许多传感器网络应用中，　借助可以事先获知的节点分布信息以及邻居节点间的组关系，检测节　点的估计位置与它的观测位置是否一致。如果不一致的几率超过阈值，　则ＬＡＤ报告异常。　Ｓａｌｖａ等【２怩出了非集中式的入侵检测方案。在这种方案中，通过在　些节点加人入侵检测系统的功能来实现入侵检测，这些节点被称为　监测节点。由于无线传感器网络跟随具体应用而进行改变，因此入侵检　测系统必须有相应的规范。在部署传感器网络时，监测节点会分布于整　个网络之中，使得每个节点都在监测节点的监视范围内。该方案的算法　包括三个步骤，第一步是数据采集阶段。消息采用混杂模式接收，并对　其中的重要信息进行过滤，存储后以便后期处理。第二步是处理阶段，　存储的数据按照入侵检测的规律进行处理。第三步是判定阶段，确定入　侵是否发生。　Ｍｉｔｔｌａ和Ｖｉｇｎ　提出了基于签名的入侵检测技术方案，该方案用于　检测基于路由的攻击。由于只能在特定的网络位置检测出恶意的路由　行为，因此检测这种类型的攻击非常困难。该方案利用了ＲＩＰ协议的特　点，根据网络结构，由传感器的签名配置和传感器之间交换的信息来决　定网络拓扑和检测入侵的传感器的位置。该方案使用了一系列的传感　器分析同一网络中不同地点的路由流量，并采用类似于ＲＩＰ协议的算　法，产生检测签名和用于传感器之问校验路由结构状态的内部消息。　另一方面，入侵检测功能被分布到网络中所有节点。Ｏｎａｔ和Ｍｉ　介绍一种新的异常入侵检测方案，该方案用于简单和资源有限的无线　传感器网络。它采用基于安全策略的检测方法，利用网络周边节点的稳　定性来检测入侵。在很多传感器网络的入侵场景中，入侵者的第一步，　通常是让其自身作为一种合法的网络节点。如果每个节点都可以建立　个邻居行为的简单统计模型，那么这些统计数据就可以被用来检测　周围邻居行为的变化。采用上述方案，只需要分析相对较少收到数据包　的特点，一个节点就可以有效地识别那些冒充合法邻居的入侵者。　２．２基于马尔可夫模型的方案　Ａ列　等　将博弈论弓ｆ入到无线传感器网络的入侵检测。通过博弈　论构造攻防问题和使用马尔可夫决策过程预测最易受入侵的传感器节　点。该方案在攻击者和传感器网络之间构造攻防问题的两种参与者、非　零和博弈模型和非合作博弈模型。其中的参与者（攻击者和传感器网路）　总是试图最大化自己的收益，而增加任何一个参与者就意味着减少了　其它参与者的收益，该模型被证明可以达到纳什均衡，利用马尔可夫决　策过程，就可以预测出最脆弱的传感器节点。　Ｄｏｕｍｉｔ和Ａｇｒａｗａｌｔ￣提出了一种基于自组织临界性（ＳＯＣ）的异常检　测方案，通过隐式马尔可夫模型来探测数据不一致。在隐含马尔可夫模　型中，系统处于某一状态的概率只和前一状态有关，因此，该方案具有　良好的无记忆性特征。该方案首先让传感器网络适应周围环境正常的　动态变化，那么当环境发生异常变化时，任何异常的活动都可以被指出　来。该方案基于这样一个事实，在无线传感器网络中的传感器节点的资　源是有限的，并且总是尽力尽量减少资源消耗。　·　２－３基于移动代理的方案　Ｋｒｕｅｇｅｌ提出可用使用移动代理技术进行分布式入侵检测ｍ。其中　代理相当于警卫，在网络中移动并进行随机抽样来保护网络。与在任何　时候监测每台主机相反，代理只是定期地访问主机进行检查。当发现异　常时，再进行更全面的搜索。虽然这种想法很具有吸引力，但是当代理　不在主机时，主机就显得很脆弱。另～方面，随机抽样降低了每台机器　平均计算量。　Ｋａｃｈｉｒｓｋｉ和Ｇｕｈａ［Ｓｌ基于移动代理技术提出了一个分布式入侵检测　方案。通过对来自多个网络传感器的数据进行有效的审计，可以在多层　次上分析网络的入侵行为。该方案有三种代理分　（下转第１８０页）　１７９．－———　（上接第１７９页）　类：监测，决策和执行代理。一部分代理存在于所有　的移动主机，而另一部分仅仅分布在选定的群集节点。通过监测代理查　找可疑的活动节点，如果检测到了一些异常活动，该节点会报告给同一　个群集中的决策节点。决策代理会根据这些报告，判断该节点是否已被　入侵。当问题节点的威胁超过了一定程度，代理节点会分发控制命令，　该命令必须由节点的本地代理执行。　移动代理技术引进一些新的优点，如降低网络负载，克服网络延迟　和可扩展性。而在另一方面，它也可能导致代理人本身的安全问题和代　码大小的问题。　３　结论　　Ｉ２　Ａ．Ｐ．Ｒ．ｄａ　Ｓｉｌｖａ，Ｍ．Ｈ．Ｔ．Ｍａｒｔｉｎｓ　Ｄｅｃｅｎｔｒａｌｉｚｅｄ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｉｎ　ｗｉｒｅｌｅｓｓ　ｓｅｎｓｏｒ　ｎｅｔｗｏｒｋｓｌ　Ｃ　１．Ｉｎ　Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ出ｅ　１　ｓｔ　ＡＣＭ　Ｉｎｔｅｍａｔｉｏｎａｌ　Ｗｏｒｋｓｈｏｐ　ｏｎ　Ｑｕａｌｉｔｙ　ｏｆ　Ｓｅｒｖｉｃｅ　ａｎｄ　Ｓｅｃｕｒｉｔｙ　ｉｎ　Ｗｉｒｅｌｅｓｓ　ａｎｄ　Ｍｏｂｉｌｅ　Ｎｅｔ－　ｗｏｒｋｓ，２００５：１６－２３　Ｊ　３　ｆＶ：Ｍｉｔｔａｌ　ａｎｄ　Ｇ．Ｖｉｇｎａ．Ｓｅｎｓｏｒ－ｂａｓｅｄ　ｉｎｔｍｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｆｏｒ　ｉｎ－　ｔｒａ－ｄｏｍａｉｎ　ｄｉｓｔａｎｃｅ—ｖｅｃｔｏｒ　ｒｏｕｔｉｎｇＩ　Ｃ　ｆ．Ｉｎ　ＡＣＭ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ　Ｓｅｃｕｒｉｔｙ．２００２：１２７－１３７　　ｌ４　ＪＩ．Ｏｎａｔ，Ａ．Ｍｉｉｒ．Ａｎ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｓ３，ｓｔｅｍ　ｆｏｒ　ｗｉｒｅｌｅｓｓ　ｓｅｎｓｏｒ　ｎｅｔｗｏｒｋｓ『Ｃ】Ｉｎ　ＩＥＥＥ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｗｉｒｅｌｅｓｓ　ａｎｄ　Ｍｏｂｉｌｅ　Ｃｏｍｐｕｔｉｎｇ．Ｎｅｔｗｏｒｋｉｎｇ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ．２ＯＯ５：２５３—２５９．　任何安全的网络都有其弱点，在无线传感器网络方面表现的尤为　明显。而入侵检测技术作为人侵预防技术的补充，可以大大提高网络的　安全性。有关入侵检测的研究已进行了２０多年，但是在最近才被用于　无线传感器网络方面。目前，已有大量的研究工作集中于研究无线传感　器网络入侵检测的解决方案，以满足这类特殊网络的安全需求。这些方　案主要从分布和协作两方面来减少入侵的负面影响。有关无线传感器　网络上入侵检测的新方法还需要进一步进行研究。　参考文献　［１］Ｗ．Ｄｕ，Ｌ．Ｆａｎｇ，ｐ．Ｎｉｎｇ．Ｌａｄ：Ｌｏｃｌａｉｚａｉｔｏｎ　ａｎｏｍａｌｙ　ｄｅｔｅｃｔｉｏｎ　ｆｏｒ　ｗｉｒｅｌｅｓｓ　ｓｅｎｓｏｒ　ｎｅｔｗｏｒｋｓ［Ｃ］．１９ｔｈ　ＩＥＥＥ　Ｉｎｔｅｎａｒｔｉｏｎａｌ　Ｐａｒａｌｌｅｌ　ａｎｄ　Ｄｉｓｔｒｉｂｕｔ—　ｅｄ　Ｐｒｏｃｅｓｓｉｎｇ　Ｓｙｍｐｏｓｉｕｍ，２００５．　１　５　ＪＡ．Ａｇａｈ，Ｓ．Ｋ．Ｄａｓ，Ｋ　Ｂａｓｕ，Ａ　ｎ０ｎ—ｃｏｏｐｅｒａｔｉＶｅ　ｇａｍｅ　ａｐｐｒｏａｃｈ　ｆｏｒ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｉｎ　ｓｅｎｓｏｒ　ｎｅｔｗｏｒｋｓ『Ｃ　１．Ｉｎ　Ｔｈｉｒｄ　ＩＥＥＥ　Ｉｎｔｅｍａｔｉｏｎａｌ　Ｓｙｍｐｏｓｉｕｍ　ｏｎ　Ｎｅｔｗｏｒｋ　Ｃｏｍｐｕｔｉｎｇ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ，２００４：３４３—３４６　Ｊ　６『Ｓ．Ｓ．Ｄｏｕｍｉｔ，Ｄ．Ｐ．Ａｇｒａｗａ１．Ｓｅｌｆ－ｏｒｇａｎｉｚｅｄ　ｃｒｉｔｉｃａｌｉｙ　ａｎｄ　ｓｔｔｏｃｈａｓｔｉｃ　ｌｅａｒｎｉｎｇ　ｂａｓｅｄ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｓｙｓｔｅｍ　ｏｒ　ｆｗｉｒｅｌｅｓｓ　ｓｅｎｓｏｒ　ｎｅｔｗｏｒｋｓｌ　Ｃ　Ｉ　Ｉｎ　ＭＩＬＣｏＭ：ＩＥＥＥ　Ｍｉｌｉｔａｒｙ　ＣｏｎＭｎｕｎｉｃａｔｉｏｎｓ　Ｃｏｎｆｅｒｅｎｃｅ．２００３：６０９－６１４．　１７ｊＣ　Ｋｍｅｇｅ１．Ａｐｐｌｙｉｎｇ　ｍｏｂｉｌｅ　ａｇｅｎｔ　ｔｅｃｈｎｏｌｏｇｙ　ｔｏ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　Ｉ　Ｃ　Ｊ　Ｉｎ　Ｄｉｓｔｒｉｂｕｔｅｄ　Ｓｙｓｔｅｍｓ　Ｇｒｏｕｐ，Ｔｅｃｈｎｉｃａｌ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆＶｉｅｎｎａ，２００２．　ｆ　８　ｌＯ　Ｋａｃｈｉｒｓｋｉ，Ｒ．Ｋ．Ｇｕｈａ．Ｅｆｉｅｃｔｉｖｅ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｕｓｉｎｇ　ｍｕｌｉｔｐｌｅ　ｓｅｎｓｏｒｓ　ｉｎ　ｗｉｒｅｌｅｓｓ　ａｄ　ｈｏｃ　ｎｅｔｗｏｒｋｓｌ　Ｃ　Ｊ．Ｉｎ　Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　ｔｈｅ　３６ｔｈ　Ａｎｎｕａｌ　Ｈａｗａｉｉ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｓｙｓｔｅｍ　Ｓｃｉｅｎｃｅｓ．２００３：５７－６５．　１８０一