无线传感器网络中基于安全数据融合的恶意节点检测

崔慧，潘巨龙，闫丹丹(中国计量学院信息工程学院，杭州310018)

无线传感器网络中基于安全数据融合的恶意节点检测

崔慧，潘巨龙*，闫丹丹
(中国计量学院信息工程学院，杭州310018)

无线传感器网络的一些固有特点，如节点能量、存储空间和计算处理能力均有限，网络节点布署在野外而无人值守，节点易被敌方捕获，因而网络内部易存在恶意节点。本文在分析Atakli等人提出的WTE方案基础上，提出了一种新的基于安全数据融合的恶意节点检测算法(MNDSDF)。针对节点数目较多层次型的无线传感器网络，MNDSDF算法首先在WTE权值融合的思想上添加了高信誉值过滤机制，来检测恶意采集节点;其次针对WTE和WCF只允许簇内单跳和融合结果受恶意节点影响较大等不足，提出了数据包计数的策略，来检测恶意转发节点。与WTE相比，MNDSDF算法能抵制更多种攻击行为，适应更宽泛的路由协议。通过仿真实验，MNDSDF算法可以有效检测出部分恶意行为，并经过与WTE和WCF比较，具有更高检测率和更低误检率。

无线传感器网络;安全数据融合;恶意节点;检测率;误检率

随着无线传感器网络的广泛应用，它的安全问题也随之受到关注。又因其节点能量、存储、处理和通信能力等资源有限的特点，使得网络面临着多种信息安全威胁［1］。在大多数非商业应用中，如环境监测、森林防火、候鸟迁徙跟踪等应用领域，安全问题并不是一个非常紧迫的问题;而在军事应用、卫生健康监控以及安防网络等应用中，这些重要的数据采样、传输以及存储，都不能让无关人员或敌方人员了解［2］。节点一旦被敌手威胁或破坏，就容易被敌方发起攻击、捕获和控制，另一方面，敌方可能新增伪装节点申请加入网络，破坏正常节点的数据采集和传输，威胁网络安全性，此类伪装节点容易实施一些恶意行为(如伪造假消息，发送无用数据，引起DOS攻击等)。综上所述，针对无线传感器网络必须采取一些特殊有效方法来检测恶意节点并将它们隔离。

1 恶意节点检测算法

目前无线传感器网络领域已有多种算法来检测恶意节点，Tomasin针对选择性转发攻击提出了一种自适应快速检测算法［3］，并详细讨论了两种情形(被检测节点n作为目的节点以及转发节点)，比较这两种情形的转发率来进行恶意节点检测;Ribeiro等人利用节点的地理位置和通信距离估计节点发送信号的强度，再与其真实强度比较来检测恶意节点［4］，他还提出了有目标攻击和无目标攻击的两种情形，并针对这两种情形分别提出了相应的解决办法;Curiac等人利用神经网络和自回归模型，计算邻居节点和过去时段的输出值，以这些输出值和实际输出的差距与阈值比较选择进行恶意节点判断［5-6］;其后又在文献［7］中提出恶意节点“自我摧毁”算法，解决了前两篇文章未提出的恶意节点处理问题;Hai等人提出了一种基于两跳邻居信息的算法T-HNK(Two-Hops Neighbor Knowledge)来检测选择性转发攻击［8］，首先让节点发送“HELLO”消息和中间节点信息建立两跳邻居表，其次将两跳节点之间的中间节点作为检测节点，监视节点有没有转发消息，或者转发了消息有没有发送给正确的目的节点，如果不是，则向源节点发送一个恶意报警信息，当报警信息大于某个阈值时，将它视为恶意节点，算法对检测转发攻击有一定的检测率，但当检测节点数目较多时，成本较高;Atakli等人提出了WTE方案，利用权值作为节点信誉值，进行数据融合，再将实际值与融合值作比较，结果不同则节点可疑，并用惩罚系数降低信誉值［9］，将信誉值和融合结果不断迭代，最后筛选出恶意节点。WTE对检测恶意节点有较好的检测率，算法复杂度也低，但是仍然存在一些不足:①没考虑实际物理测量数据;②笼统将所有节点输出值考虑在内，易受恶意节点数目的影响;③在路由方面，该算法限制簇内是单跳通信，适用性不广;胡向东等人随后提出WCF算法［10］，在WTE算法的基础上，过滤掉信誉值平均值以下的节点后将剩余节点参与数据融合。此方案较WTE而言使得融合值更接近实际值，但是依然未解决实际测量数据以及单跳问题。上述几篇文献提到的恶意节点检测方法，在一定程度上解决了恶意节点检测问题，但每个节点都要存储待检测节点过去时段的输出值，需要节点的额外内存，算法复杂度与时间和网络密度呈正相关，有其局限性。

本文在Atakli I提出的WTE算法以及Hai的THNK算法的基础上，引用Josang信任和信誉系统［11］(此系统提出通过信任度或信誉值对某个对象形成评价，来判断对方是否可疑)，同时结合我们前期的研究工作［12-13］，提出了一种基于安全数据融合的恶意节点检测算法MNDSDF(a Malicious Nodes Detection Algorithm based on Secure Data Fusion)，该算法主要针对两类节点(传感节点和转发节点)，考虑了节点输出为布尔值和实际物理环境测量值，同时考虑了转发节点的安全性。本文首先介绍MNDSDF算法，并逐个分析上述两类节点可能面临的安全威胁;其次，利用仿真实验来证明本文所提MNDSDF算法的可行性和高效性。最后，对文章进行了总结，并提出算法尚存在的问题及未来要进行的工作。

2 恶意行为和网络模型假设

2.1 拜占庭将军问题

拜占庭将军问题是一个协议问题，拜占庭帝国军队的将军们必须全体一致的决定是否攻击某一支敌军。问题是这些将军在地理上是分隔开来的，并且将军中可能存在叛徒。叛徒可以任意行动以达到以下目标:欺骗某些将军采取进攻行动;促成一个不是所有将军都同意的决定，如当将军们不希望进攻时促成进攻行动;或者迷惑某些将军，使他们无法做出决定。如果叛徒达到了这些目的之一，则任何攻击行动的结果都是注定要失败的，只有完全达成一致的努力才能获得胜利。因此这些忠诚将军需要一些方法来减少叛徒对他们的影响。要么就是所有的忠诚将军达成一致，完全不受叛徒的影响，要么就是少数服从多数，因为叛徒的数目是相对少的。已有研究表明，如果有K个叛逆将军，那么对应至少要有3K+1个忠诚将军存在，才可以正确解决这个问题，并且如果忠诚的将军足够多，就能做出正确的决定。

一个系统中，有问题的部件影响其他部件完成整个系统的作用时，这类的问题就类似与拜占庭问题。无线传感器网络里恶意节点就相当于上述问题中的叛徒，我们要做的是网络不受这些恶意节点的影响，并能够找出这些恶意节点。

2.2 恶意行为模型

类似于拜占庭将军问题，无线传感器网络中节点通常分布在野外无人看守或者敌方环境中，部分节点一旦被捕获而做出恶意行为，可能会误导网络输出不正确信息。本文通过针对两种节点类型假设恶意行为模型。

2.2.1 恶意的传感节点

数据采集区域，恶意节点(被捕获的节点)可能会伪造或篡改采集的数据给高层节点。高层节点接收恶意节点发来的错误数据进行融合，得出错误的信息，最终影响整个网络的输出。

2.2.2 恶意的转发节点

恶意节点的出现将会导致在数据传输过程中一定概率的丢包行为，虽然实际复杂情况中，转发节点也许会破解密钥，篡改数据的行为，但本文只考虑有丢包行为的转发节点。

2.3 网络模型及假设

为了更好演示算法，将MNDSDF算法用于层次型网络中，网络由各个簇划分为多个相邻的区域，同一个簇由一个簇头和若干普通节点构成，簇头负责将普通节点发来的数据进行去冗余和融合，最后通过多跳发送给基站。相比平面型网络，层次型结构网络适合大规模节点部署，只发送融合结果可以减少网络传输数据能耗，并减少了簇内普通节点的能量消耗。结构如图1所示，BS是基站，FN代表簇头节点，SN代表普通节点。另外这里还对网络做了如下假设:①簇头是安全的，不会被捕获;②网络刚开始部署初期，簇内所有节点是安全的，并且能量相同，处理能力相同，存储能力相同，每个节点有独立的ID标识;③单个恶意节点不能存在一种以上的恶意行为;④每个节点有一个计时器，时限为源节点和目的节点间跳数乘以两个相邻节点间最大传输延迟时间值;采集数据的源节点装置一个计数器，统计发送数据包的数量，同样转发节点存储一个计数表，统计收到数据包的数量;⑤恶意传感节点通过篡改与事实不符的数据来实施攻击，恶意转发节点通过丢弃数据包来实施攻击，且网络总的节点数n与恶意节点数k的对应关系是:n＞3k+1。攻击模型如图2所示。

图1 层次型结构图

图2 攻击模型

3 基于安全数据融合的恶意行为检测(MNDSDF)

3.1 发现恶意节点

根据2.2节中假设的恶意行为模型，针对两类节点分析它们各自的行为(如针对传感节点进行的篡改数据行为，以及针对转发节点的丢包行为)，最终找出恶意节点。假设网络部署初期，所有无线传感器节点具有相同的信誉值Ti，它代表节点的可信度。

3.1.1 恶意传感节点的发现

在事件区域，节点将网络需要的数据先传送给簇头，最后到达基站。此时如果恶意节点篡改数据或者直接伪造数据，就会影响簇头的融合结果。MNDSDF算法在WTE的权值模型的基础上，利用高信誉值节点输出值参与数据融合。为简便讨论，此时假设簇内普通传感节点到簇头是单跳。融合示意图如图3所示。

图3 融合示意图

簇头根据各个节点目前的信誉值，计算融合结果:

O为簇头融合结果，Thigh是预先设置的一个高信誉值，只有信誉值高于这个值的节点输出值才能参与融合。Ii是第i个节点的采集的数据结果。r代表簇内所有节点个数。这里信誉值Ti代表节点的可信度，采取高信誉值组的节点数据进行融合，降低了恶意节点对融合结果的影响度。

将Ii与融合结果O比较，如果不一致，那么节点可能是恶意节点。而针对具体应用，这种不一致性有差别。如果输出是布尔值或者二进制状态0或1时，只要输出不一致就有可能是恶意节点。而对于一些测量数据，比如酸碱度和温度等，则可以通过阈值的设定找出可能的恶意节点。

3.1.2 恶意转发节点的发现

转发节点将采集节点传来的值进行转发，当出现可疑节点时，同时产生一个报警包(假设产生报警包的节点不会发送虚假警报)，将嫌疑者的ID以加密方式发送给簇头。

(1)表1是信息包格式。

表1 信息包格式

SID，DID分别表示产生报警包的源节点和目的节点的ID，SPakNO代表数据包的编号，源节点将当前计数器的值加1作为下一个消息SPakNO。转发节点收到上一跳发来的数据包时，自动将SPakNO加1，并在计数表中加1，Message是采集数据。MACk{s-f}是源节点到簇头的密钥生成的MAC码，防止数据在传输过程中被其他节点更改。

(2)当节点收到的SPakNO与计数表中存储值相差不为1时，先将SPakNO代替计数表中存储数，然后发送一个F报警包。举报上一跳节点为可疑节点，包的格式如表2所示。

表2 报警包格式

Fnode-ID代表可疑的转发节点，L-SPakNO代表丢失的S信息包编号，MACk{j-f}是发送报警包节点到簇头的密钥生成的MAC码。当节点收到F报警包时，将包中L-SPakID代替计数表中的值，进行转发。收到报警包的节点只转发不产生重复报警。图4是局部数据发送图。其中检测节点为簇头。

图4 局部数据发送示意图

3.2 节点信誉值的计算和更新

这里参考Josang的信任模型［11］，利用正态分布来计算信誉值。无线传感器网络中包含成千上万个的传感器节点，各个节点独立感测外界环境，所感知的数据几乎遵循正态分布，正常节点被捕获后伪造的数据将会歪曲正态分布，簇头节点将通过量化节点的信誉度来暴露这些偏差。正态随机变量的取值落在距离中心值一倍标准差范围内的概率0.68称为伯努利分布。实际情况中，频率分布可能不完全和此概率一致，特别是存在捕获节点经常报告伪造数据时。把节点数据落在上述范围内的实际频率称为实际节点频率分布。以理想节点频率为标准，理想节点频率分布和实际节点频率分布的差异用距离来表示，这个距离表示节点信誉值。距离越小，节点信誉值越高，反之亦然。

令某节点输出数据频率在此范围内的概率是pi，则在此范围外的概率是1-pi，它的偏离程度可表示为:

该定义前半部分使得接近理想频率的节点能得到比远离理想频率的节点高得多的信誉值，也能反映一个节点的累积行为，后半部分+0.1(或-0.2)是一个奖惩措施，具体的数值我们采用WTE的实验结果，当节点的数值在一倍标准差范围内时，节点的信誉值自动更新外还要增加0.1，文献［10］中表明，伪造数据通常在3倍标准差附近，当节点的数值落在3倍标准差附近时，节点除了自动更新信誉值外，还要减掉0.2，这样做是为了让节点有慢增快减的效果，便于快速揪出恶意节点。当达到一定的累积次数，节点的信誉值经过多次迭代不停更新，当低于一个提前预置的阈值T0时，系统将其判为恶意节点。

对于融合结果O，簇头形成的评价是WO={h，l，Tlow(adv)}，其中h表示信誉值高于Thigh的节点百分比;l代表信誉值小于等于Thigh的节点百分比; Tlow(adv)代表信誉值小于等于Thigh的节点平均信誉值，则簇头节点对于融合结果的评价期望是:

假设，一个簇内有30个成员节点，对于融合结果O，有25个节点的数据落在信誉值大于Thigh范围之内，所占比例为83%，而在范围之外节点的平均信誉值为Tlow(adv)，因此簇头对融合结果的评价为WO= {0.83，0.17，Tlow(adv)}，而E(Wo)=0.83+ 0.17Tlow(adv)。

一般而言，信誉值高于Thigh的百分比越大或者Tlow(adv)越高，簇头越信任融合结果。簇头将融合结果发送给基站，基站根据预先设定的阈值，评价高于这个值，基站将采用这个融合结果，否则将其丢弃。

类似的设置恶意节点的丢包率也遵循正态分布，假设节点转发的概率设为Pi，而丢包率为1-pi。当节点的信誉值低于T0时，此时节点可判为恶意节点。簇头将此节点的ID发送给基站，基站做以下处理:①广播恶意节点的ID，各节点将其驱除出自己的邻居列表;②用各种方法耗尽其电池的能量，破坏其无线装置使得它无法发挥作用。

对应节点的信誉值表示为:

4 实验仿真

采用NS2仿真平台对MNDSDF进行算法性能分析。假设平均每个簇有30个节点，一个簇头，参考文献［10］中的实验结果，选择THIGH=0.8。图5是在一个簇中演示MNDSDF算法在进行迭代10次，20次，…，100次的融合值和理想值以及WTE算法的融合值比较，图中output为融合值，round是进行融合的次数。假设恶意节点的占比率是10%，实验开始阶段，融合结果和理想值存在较大的误差，随着迭代次数的增加，本算法的融合越来越逼近理想值，同时也比较清晰地看到，本算法在融合结果的精确度上比WTE算法更接近理想值，由图也可得知，迭代次数越多时，MNDSDF算法的融合结果就越逼近理想值。

图5 两种算法节点融合值和理想值比较图

图6 和图7描述了全网中恶意节点比率和节点总数对检测率和误检率的影响，图中dr是检测率，fdr是误检率，n是节点数。实验还列出WCF算法相应的检测率和误检率。随着恶意节点的比率增加，与WCF算法相比，MNDSDF算法能更好地发现恶意节点，还大大降低了误检率。尤其当恶意节点比例大于10%时，MNDSDF算法在检测率和误检率上都比WCF算法有显著的改善。在恶意节点比例达到30%时，MNDSDF检测率能达到80%以上，误检率能不超过2%。另外，MNDSDF也解决了WCF方案未提出的实际物理感测值和跃变值的问题。

图6 恶意节点比例和节点总数对检测率的影响

本方案同时考虑了信道丢包率对恶意节点检测率和误检率的影响，假设丢包率为30%，恶意节点的比率是20%。通过多次试验，发现恶意节点检测率随信道丢包率的增加而减小，这是因为信道丢包将导致节点收到报警数据包的数量可能减少，在信道丢包率为0.08时，对恶意节点的检测率影响稍小，随着信道丢包率的增加，本算法也能保持检测率在85%左右。同时可看出恶意节点的误检率随信道丢包率的增加而增加。由于整体丢包率会随着信道丢包率增加而增加，这使得区分是否是恶意节点产生的丢包变得困难，因此误检率变高，但即使信道丢包率达到14%，误检率也不超过12%。

图8是恶意节点的检测率和误检率随攻击概率和阈值变化的动态图，图中横坐标T0表示预先设定的信誉值阈值，纵坐标r表示检测率和误检率;实线表示恶意节点的检测率，虚线表示恶意节点的误检率;攻击概率表示恶意节点所占正常节点的比率。从图中可看出，恶意节点比率越低，MNDSDF算法的检测率越高，误检率越低。另外，随着阈值的增加，MNDSDF的检测率也会随之提高，误检率随之降低，最后趋于平稳。尤其当攻击概率维持在30% (类似拜占庭将军问题)内时，随着阈值增加到0.8时，本算法有着较高的检测率，达到82%以上，以及较低的误检率(3%以下)。

图7 恶意节点比例和节点总数对误检率的影响

图8 攻击率和阈值对检测率和误检率的影响

5 总结

随着无线传感器网络的快速发展，无线传感器网络的安全问题变得尤其重要。MNDSDF算法在WTE权值思想基础上，采用高信誉值过滤法，减少了恶意节点对融合结果的影响，与之相比，MNDSDF算法的融合结果更接近实际值。另外，改变了其信誉值计算方法，与同样存在过滤思想的WCF算法相比，本算法的检测率更高，误检率更低。最后，MNDSDF取消了WTE和WCF算法对分簇结构中单跳模式的限制，加入了对转发节点的检测，使得解决范围更宽泛。然而，本算法依然有些不足，未来的工作就是解决单个节点同时存在多种恶意行为的问题，让方案更完善。

［1］孙利民，李建中，陈渝，等.无线传感器网络［M］.北京:清华大学出版社，2005:179-185.

［2］Singh M，Mehta G.Detection of Malicious Node in Wireless Sensor Network Based on Data Mining［C］//International Conference on Computing Sciences.Phagwara:IEEE，2012:291-294.

［3］Tomasin S.Consensus-Based Detection of Malicious Nodes in Cooperative Wireless Networks［J］.IEEE Communications Letters，2011，15(4):404-406.

［4］Ribeiro W，Thiago H，Wong Haochi.Malicious Node Detection in Wireless Sensor Networks［C］//Proceedings of the 18th International Parallel and Distributed Processing Sumposium.Brazil: IEEE，2004:212-216.

［5］Curiac D I，Volosencu C.Discovery of Malicious Nodes in Wireless Sensor Networks Using Neural Predictor［J］.WSEAS Transactions on Computer Research，2007，2(1):38-43.

［6］Curiac D I，Banias O，Dranga O.Malicious Node Detection in Wireless Sensor Networks Using an Autoregression Technique［C］//The third International Conference on Networking and Services(ICNS’07).Athens:2007:83-88.

［7］Curiac D I，Plastoi M，Doboli A.Combined Malicious Node Discovery and Self-Destruction Technique for Wireless Sensor Networks［C］//The Third International Conference on Sensor Technologies and Application.Athens，Glyfada:IEEE，2009:436-441.

［8］Hai T H，Huh E N.Detecting Selective Forwarding Attacks in Wireless Sensor Networks Using Two-Hops Neighbor Knowledge［C］//Proceedings of the Seventh IEEE International Symposium on Network Computing and Applications，2008:325-331.

［9］Atakli I M，Hu Hongbin，Chen Yu.Malicious Node Detection in Wireless Sensor Networks Using Weighted Trust Evaluation［C］// The International Symposium on Simulation of Systems Security. San Diego，CA，USA:Spring Sim，2008:836-843.

［10］胡向东，魏琴芳，向敏，等.物联网安全［M］.科学出版社，2012:115-120.

［11］Josang A，Ismail R，Boyd C.A Survey of Trust and Reputation Systems for Online Service Provision［J］.Decision Support Systems，2006:100-112.

［12］胡玲龙，潘巨龙，崔慧.无线传感器网络中基于信誉的恶意节点检测［J］.中国计量学报，2012，23(1):41-47.

［13］崔慧，潘巨龙，闫丹丹.无线传感器网络中基于信誉-投票机制的恶意节点检测［J］.中国计量学报，2013，24(4):353 -359.

崔慧(1989-)，女，江苏盐城人，硕士研究生，主要研究方向为无线传感器网络安全，cuihui0823@sina.com;

潘巨龙(1965-)，男，博士，中国计量学院信息工程学院教授，主要研究方向为无线传感器网络安全、嵌入式系统与应用、移动计算和短距离无线接入技术，pjl@cjlu.edu.cn。

Malicious Nodes Detection Algorithm Based on Secure Data Fusion in Wireless Sensor Networks

CUI Hui，PAN Julong*，YAN Dandan

(Information College，China JiLiang University，Hangzhou 310018，China)

Having the inherent characteristics of wireless sensor networks，such as limitation of node energy，storage space and computing capacity and unattended in the open air，network nodes are easily captured by the enemy，malicious nodes exist within the network easily.Based on the analysis of the WTE algorithm proposed by Atakli，this paper proposes a Malicious Nodes Detection algorithm based on Secure Data Fusion(MNDSDF).Being large number of nodes and hierarchicalwireless sensor network structure，the WTE and WCF algorithms limit1-hop communication in one cluster，and fusion accuracy is affected deeply by malicious nodes.In order to break the limits of above two algorithms，firstly，a high reputation value filtering mechanism is added in fusion algorithm to detect malicious sensor nodes in MNDSDF.Secondly，a data package counting method is proposed to inspectthe malicious forwarding nodes.Compared with the WTE，MNDSDF algorithm can resist various attacks，and be adapt to more routing protocols.Simulation experiment shows that MNDSDF can effectively detect the malicious behavior，and it has a higher detection rate and lower false detection rate compared with WTE and WCF.

wireless sensor networks;secure data fusion;malicious nodes;detection rate;false detection rate

TP212

A

1004－1699(2014)05－0664－06

10.3969/j.issn.1004－1699.2014.05.018

2014-02-27

2014-04-21