基于独立监督网络的选择性转发攻击检测*

马 吉杜永文夏金棕

(兰州交通大学电子与信息工程学院，甘肃 兰州 730070)

随着5G 时代到来，物联网技术飞速发展，无线传感器网络(Wireless Senor Networks，WSNs)作为物联网的重要组成部分，其安全问题受到了研究者的广泛关注。 分簇WSNs 可以节省节点能量消耗，提高传输效率，具有更好的表现。 但是，恶劣的环境和开放的通信，使分簇WSNs 很容易受到攻击[1]。 选择性转发攻击是一种常见的网络攻击方式，当恶意节点在接收到其他正常节点传递来消息时，故意对消息进行部分或全部丢弃，以此来破坏节点正常的数据传输。 此外，恶意节点随机丢弃接收到的数据包，但在未接收到其他节点传输的数据包时，其表现得与正常节点一致，具有很强的隐蔽性和破坏性[2]。

目前，对恶意节点选择性转发攻击的检测方法主要有:

①采用多路径路由的方法:Karlof 等人[3]使用多路径路由来应对选择性转发攻击，避免数据包被单路径上的恶意节点丢弃，使数据包安全到达基站。 Patil等人[4]提出了一种多数据流拓扑(Multidataflow Topologies，MDT)方法来对抗选择性转发攻击。 利用MDT 将传感器节点划分为双数据流拓扑，如果一个拓扑中存在恶意节点，基站仍然可以从其他拓扑获取数据包。

②采用分布式的检测方法:Xiao 等人[5]和Yu等人[6]研究了一种利用中间节点的多跳确认发出警报的分布式检测方案。 基站和源节点可以使用更复杂的入侵检测系统算法来做出决策和响应。Kolias 等人[7]研究了一种基于簇头节点的分布式入侵检测系统，其中监测功能由簇头节点实现。 Zhang等人[8]提出了一种名为E-watchdog 的方案，使用多个检测代理的报告来检测不良行为，使攻击者的虚假报告通过选举算法被过滤掉。

③采用设置监督节点方法:Hai 等人[9]研究了将综合声誉价值作为簇头和监督节点的选择条件，能够选出相对较安全的节点作为簇头和监督节点。Derhab 等人[10]研究对抗上游节点攻击，提出了一种一维单类分类器，称为松弛流守恒约束，提高了监控函数在判断被监控节点合法或恶意时的准确性。Singh 等人[11]提出一种基于学习的检测方法，使用特定规则和预定义的参数训练监督节点，来分析簇头是否是恶意的。

分析以上述方法，可以发现主要有以下特点:

①多路径路由的方法，可以确保数据包被基站成功接收，但在传输过程中会产生大量的数据包转发，对节点造成较大的能量损耗。

②分布式的检测方法，能够对网络中各节点进行监听，但需要选取安全的节点，并且选取的节点在网络中进行多项任务，增加节点的能量消耗，造成网络中关键节点的提前死亡。

③设置监督节点方法，能够提高攻击的检测效率，但监督节点与其他节点处于同一网络时，会使监督节点监听信息不能发送到基站。 并且恶意节点担任监督节点时，会与其他恶意节点发起勾结攻击，隐瞒数据包丢弃的状况，向检测节点提供错误的监听信息，从而对网络造成更大的破坏[12]。

根据上述内容，本文提出基于独立监督网络的选择性转发攻击检测方案(Independent Monitoring Network for Selective Forwarding Attack Detection，IMN-SF)。 该方法有效地提高了对恶意节点的检测率，降低了误检率，提高网络生存时间。

1 监督网络

1.1 监督网络设计

为使监督节点能有效地工作，需要保证监督节点所处环境的安全和确保监督信息能够被检测节点成功接收。 独立监督节点的网络设计的主要特点有:

①监督节点在基站的监督下进行工作，并且定期在网络中进行安全确认检查。

②监督节点的相关信息由基站管理，网络中其他节点不与监督节点进行数据交换。 对监督节点的选取，是由基站根据簇头节点位置做出选择和激活，簇头节点不参与监督节点的选取。

③监督节点网络中采用多路径路由。 监督节点数量远远少于普通节点数量，在能量消耗和通信开销上，低于传感器网络多路径路由的能耗。 保证监督节点信息能被正常接收，不会因信道质量差而导致数据包丢弃。

④基站通过接收并读取监督节点日志来了解传输信道中各簇头节点的数据转发情况，以及当前信道状态。 通过基站自身强大的计算能力，能够对信道中存在的异常情况做出及时的响应，并做出较好的策略调整。

1.2 监督节点的设置

无线传感器网络通过分簇来均分能耗到每个节点，延长了网络生存时间。 簇头(Cluster Head，CH)选取主要根据协议产生，簇头节点的位置和数量存在随机性。

图1 独立监督网络图

根据以上考虑，采用将多个监督节点固定在确定位置，监督节点通过调节接收信号强度，有效监听不同范围内簇头的传输情况。 基站根据簇头节点地理位置信息，激活离簇头最近的监督节点来负责监听区域内的簇头节点。 监督节点之间建立独立的网络路由来传输监听信息，防止在无线传感器网络中，监听信息被恶意节点丢弃。

1.3 监督节点的选择

普通节点根据簇头选择协议进行簇头的选取，被选取成为簇头的节点广播位置信息，基站根据CHi位置信息(xi，yi)和监督节点INk的位置信息(xk，yk)，采用欧几里得度量来计算节点之间的距离。 CHi到INk的欧几里得度量如式(1)所示:

基站计算所有监督节点(IN1到INk)与簇头CHi的距离，如式(2)所示:

通过计算min{Di}，激活离CHi最近的监督节点来监听簇头，并对簇头接收转发信息进行记录。随着分簇的完成，监督节点IN1到INk生成与簇头的距离信息，选取可监听到的最远簇头节点的距离来调整功率，动态调节监听区域范围。

在监督节点选择过程中，基站通过计算节点之间的距离来激活最近的监督节点。 簇头节点不参与监督节点的选取，对监听自身转发情况的监督节点信息并不清楚。 因此保护了监督节点信息，提高了监督节点的安全性和可靠性。

2 监督网络的运行

2.1 监督节点间信息采集

本文将监督节点分为两类:1.源监督节点(Source Inspector Node，SIN)2.路径监督节点(Path Inspector Node，PIN)。 SIN 监听转发簇内成员数据的簇头，PIN监听转发其他簇头数据的簇头。

如图2 所示，当CH1转发簇内成员信息时，IN1为CH1的SIN 和CH2的PIN，IN2为CH3和CH4的PIN。 当CH5转发簇内成员信息时，IN2为CH5的SIN 和CH4的PIN。

图2 监督簇头

由于传感器网络中节点数据是以广播的形式发送，监督节点在主动监听簇头时，能够监听簇头接收数据长度和发送数据长度，有效地记录簇头对数据的收发情况。

2.2 簇头收发数据计算

若CHi的簇内有k个成员，分别为CMi＝[M1，M2，…，Mk]。 在周期T内成员k发送数据长度为，因此簇头接收数据总长度RLi如式(3)所示:

当接收到长度为RLi的数据后，对接收数据进行融合，转发数据的长度SLi如式(4)所示:

式中:Lselfi为CHi自身收集到的数据长度，当簇头仅转发其他簇头信息时Lselfi＝0，δ为数据融合率(0<δ≤1)，δ值越小表示簇头节点对数据转发效率越高。α表示恶意节点转发率，其中0≤α≤1，当α＝0 时表示恶意节点将接收到的数据包全部丢弃，此阶段表示为选择性转发攻击中的黑洞攻击，当0<α≤1 表示恶意节点将接收到的数据包随机丢弃，此阶段表示为选择性转发攻击中的灰洞攻击和开/关攻击。

数据从CHi发送到基站的传输路线way(i，Sink)，如式(5)所示。

式中:Sink 表示基站或检测节点，数据由CHi发送到CHN，PIN 在路径中会监听到上游簇头发送的消息，并将这些信息通过监督网络发送回SIN。

由于信道中存在信道质量问题，发送的数据包可能会被丢弃，当信道丢包率为ls(0≤ls<1)时，ls的取值越小，表示信道状态越好，下一节点接收到的数据长度RLi＋1i表示为:

若SIN 接收到基站发送的日志请求，表示数据包被成功接收，若在规定时间内未收到PIN 发送的确认包和基站日志请求，表示数据包在传输过程中被信道或恶意节点丢弃，SIN 将记录的日志发送给基站。 基站计算数据包传输路径中簇头的转发率，对簇头进行分析和做出相应的决策。

2.3 监督节点与基站协调工作

基站接收到CHi簇内成员采集的数据时，会根据数据包来源，向CHi的监督节点请求日志。 当CHi发送的数据包被其他下游簇头丢弃时，SIN 会主动发送日志到基站。 基站根据日志来对数据包传输路径中的转发簇头进行分析。

其中数据包传输路径为way(i，Sink)，日志内容如式(7)所示:

式中:i≤M≤N，式(8)中logn表示监督CHn的监督节点生成的监听信息。 其中当M＝N时表示基站成功接收CHi所发送的消息，当M

转发率作为判断选择性转发攻击的重要依据，会受到环境等众多因素的影响[13]。 基站通过读取LOG 中的信息来计算信道中各节点转发率，分别计算生成簇头节点转发率NR 和信道状态LR 如式(9)和式(11)所示:

其中式(10)表示传输信道中CHn转发率。 式(12)中LRn＋1n表示数据从CHn发送到CHn＋1时信道丢包率，0≤≤1，越大表示CHn到CHn＋1信道传输质量越差，＝0 时，表示数据包在传输信道中未出现数据包丢弃。

基站通过计算NR 和LR，可以得到数据从CHi到基站的数据传输情况。 ∂1表示节点正常转发率阈值，当∂1≤NRn则表示CHn为正常簇头节点，否则认为节点为恶意簇头节点。 ∂2表示信道正常丢包阈值，当LRn＋1n<∂2则表示信道状态良好，反之CHn到CHn＋1的传输信道质量较差，CHn需要更换传输信道。 通过以上判断，基站将恶意节点信息和信道状态信息发送给各传感器节点，各节点通过接收基站传递的信息进行路由修改、恶意节点剔除和簇头重新选择，并进行新的一轮数据包发送。

3 独立监督网络检测方法流程

根据上述内容给出独立监督网络选择性转发攻击检测方法的流程图如图3 所示。

图3 独立监督网络检测方法流程

4 实验结果与分析

4.1 实验环境

本小节对前文提出的检测方案进行性能评估。采用Python3.0 实验仿真环境对所提出算法进行验证。 实验模拟设置300个同构传感器节点，随机分布在300 m×300 m 的区域内。 使用LEACH 协议进行分簇，同时生成一定比例恶意节点，恶意节点根据自身情况随机发起选择性转发攻击，仿真参数如表1 所示。

表1 仿真参数表

4.2 实验结果分析

将IMN-SF 与Two-hops[10]方案(分布式的检测方法)、PHACK[14]方案(多路径路由的方法)、和DCA-SF[15]方案(设置监督节点的方法)进行仿真实验。 在恶意节点丢包率为10%和20%的情况下进行对比，随着恶意节点比例和信道丢包率的变化，对四种方案的检测率和误检率进行仿真。

4.2.1 检测率

检测率即检测概率，它是检测到的恶意节点数与全部恶意节点数的比值。 在信道10%丢包率的情况下，考察恶意节点丢包率和恶意节点比例对4种方案检测率的影响，结果如图4(a)和图4(b)所示。 在恶意节点比例(占网络节点总数的20%)一定时，考察恶意节点丢包率和信道丢包率对恶意节点检测率的影响，结果如图5(a)和图5(b)所示。

图5 不同信道丢包率的检测率对比图

由图4(a)和图4(b)可知。

图4 不同比例恶意节点的检测率对比图

①Two-hops 方案和PHACK 方案采用传输确认包的方法，在确认包发送的过程中，当传输链路中出现较少恶意节点时，可以有效地检测出恶意节点。但当链路中出现多个恶意节点时，发送的确认包被其他恶意节点所丢弃，这样会导致大量的恶意节点不能被及时地检测出来。

②DCA-SF 方案采用的是簇内选取监督节点，这使得当监督节点为恶意节点时，恶意监督节点会隐瞒数据包丢弃，导致无法检测出部分恶意节点。IMN-SF 方案通过设置独立的监督网络，有效保证了监督节点的安全，使检测节点可以接收到准确的信息，因此在检测率上高于其他3 种方法。

由图5(a)和图5(b)可知。

①Two-hops 方案和PHACK 方案主要采用传输确认包的方法，因此信道丢包率增加会造成确认报文的丢弃，信道丢包率对检测率的影响较大。

②DCA-SF 方案的监督节点在数据包传输信道内发送统计数据，因此在链路质量较差时，会导致统计数据包的丢弃。 IMN-SF 采用独立监督网络，LOG由监督网络进行多路径路由发送，受到链路丢包率的影响较少，检测节点能够接收到监督节点的监听信息。

设立独立的监督节点网络，能够有效降低传输信道丢包所导致的监督信息数据包被丢弃的现象，保证检测节点能够正常接收到监督信息，对网络内节点进行正确判断，从而提高检测率。

4.2.2 误检率

当信道丢包率为10%时，考察恶意节点丢包率和恶意节点比例对4 种方案误警率的影响，如图6(a)和图6(b)所示。 然后，在恶意节点比例(占网络节点总数的20%)一定时，考察恶意节点丢包率和信道丢包率对误警率的影响，结果如图7(a)和图7(b)所示。

图6 不同比例恶意节点的误检率对比图

图7 不同信道丢包率的误检率对比图

由图6(a)和图6(b)对比可知道，4 种方法都是针对簇头节点的数据转发率进行监督，恶意节点数量的增多，对检测方法误检率的影响并不明显。

通过对图7(a)和图7(b)对比可知。

①Two-hops 方案和PHACK 方案分别采用多跳确认和每跳确认的方法。 主要是利用发送确认包来向检测节点通知节点数据包的转发率，在确认包传输过程中，受到信道通信质量的影响，当产生的确认数据包被丢弃时，会导致检测节点将正常节点误判为恶意节点，所以随着信道丢包率的升高，两种方法的误检率显著升高。

②DCA-SF 方案主要采用聚类算法，在信道丢包率较低时，对节点的判断较为准确。 随着信道丢包率的升高，当簇头长期处于通信质量较差的传输路径时，会将正常簇头误判为恶意节点，导致误检率升高。 DCA-SF 方案随着信道丢包率的升高，开始逐渐出现对正常节点的误判。

③IMN-SF 方案采用独立监督节点网络，可以有效地避免监督信息由于信道质量问题而导致的数据包丢弃，随着监督信息的汇总，可以有效判断出传输质量较差的信道并改变簇头节点的传输路由，从而减少由于信道质量所导致的数据包丢弃。

通过实验对比，证明IMN-SF 方案在误检率上低于其他3 种方法，减少正常节点被误判为恶意节点的概率，提高网络的生存周期。

4.3.3 网络能耗

本文通过设置100个传感器节点，将IMN-SF与其他3 种方案进行能耗对比，随着周期的增加，能耗情况如图8 所示。

图8 网络消耗节点能量变化趋势

随着运行周期的增加，4 种方案下节点剩余能量也逐渐减少。 DCA-SF 方案主要采用簇内选取监督节点的方法，运行周期越久，被选取为监督节点的节点所剩余能量越少。 Two-hops 方案采用多跳节点，但节点需要持续发送确认包，会增加节点的能量消耗。 PHACK 采用每跳确认方案，确认数据包持续发送，并且数据包经过多路径发送，造成大量的节点转发能量消耗。 IMN-SF 方案将监督节点独立设置，并由基站进行统一管理，节点只需进行数据采集和数据转发工作，网络内节点的能量消耗较少。

通过与其他几种方案对比，证明IMN-SF 方案在相同运行周期内节点剩余能量多于其他3 种方案的剩余能量，其运行周期和网络生存时间更长。

5 结束语

针对无线传感器网络中的选择性转发攻击，提出了一种独立监督网络日志的选择性转发攻击检测方法。 文章主要工作为:①提出了独立监督节点网络，可以保证监督节点信息传输到基站；②提出监控日志信息，基站通过读取监控日志，掌握无线传感器网络的节点转发和信道状态信息，相比传统方法，能通过基站来改变传输路径，使数据传输避开通信质量较差的信道；③提出了监督节点动态改变监听功率的方法。 基站激活监督节点，通过改变监听功率来保证监督节点的安全，避免监督节点与簇头节点的勾结和增加监督节点监督的灵活性。 与其他几种方法相比，IMN-SF 能够有效地检测出信道中的恶意节点，并节省网络的开销。 下一步工作将研究针对合谋的选择性转发攻击的检测方法，进一步增强系统的总体防御能力。