基于SMP的無(wú)線傳感器網(wǎng)絡(luò)拓?fù)淙萸侄吭u(píng)估

熊書(shū)明，王良民，詹永照

(江蘇大學(xué) 計(jì)算機(jī)科學(xué)與通信工程學(xué)院，江蘇 鎮(zhèn)江 212013)

1 引言

布置在惡劣甚至惡意環(huán)境下的無(wú)線傳感器網(wǎng)絡(luò)(WSN, wireless sensor networks)，常會(huì)因?yàn)殡S機(jī)故障或者入侵威脅等形成節(jié)點(diǎn)失敗，需要發(fā)起新的拓?fù)渖刹僮?。目前，針?duì)拓?fù)淇刂频难芯恐饕性谌蒎e(cuò)[1～4]和容侵[3～5]的拓?fù)渖珊透路矫?，容忍入侵機(jī)制在WSN的安全保障方面受到越來(lái)越多的關(guān)注。然而，容侵拓?fù)涓潞妥栽偕僮鲿?huì)影響到作為支持上層路由操作的拓?fù)溥B通服務(wù)，可能導(dǎo)致拓?fù)涓盍眩煌瑫r(shí)，頻繁的拓?fù)浒踩虏僮鞅厝辉黾泳W(wǎng)絡(luò)不必要的資源開(kāi)銷(xiāo)，縮短了惡意環(huán)境下傳感器網(wǎng)絡(luò)的生命期。因此，需要研究安全拓?fù)錁?gòu)建模塊的容侵性能定量評(píng)估，為發(fā)起新一輪拓?fù)渥栽偕僮魈峁Q策依據(jù)。

Albert[6]最早針對(duì)有線復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)，利用統(tǒng)計(jì)分析的方法探討影響拓?fù)淙萸帜芰Φ囊蛩?。在無(wú)線傳感器網(wǎng)絡(luò)容忍入侵能力評(píng)估的研究中，Wang[3]較早從拓?fù)淙蒎e(cuò)和容侵角度研究WSN拓?fù)鋵?duì)節(jié)點(diǎn)失敗的容忍能力，對(duì)分層拓?fù)淙萸帜芰o出了定性評(píng)估。Ma[4]主要考慮在傳感器網(wǎng)絡(luò)路由層次上，以多版本多路徑思想來(lái)確保數(shù)據(jù)傳輸?shù)娜萑棠芰Γ岢隽艘粋€(gè)容侵/容錯(cuò)的3層通用模型MVMP框架進(jìn)行容忍能力的評(píng)估。Wang[5]在面對(duì)入侵的環(huán)境下，基于三色思想提出了具有較強(qiáng)容侵能力的傳感器網(wǎng)絡(luò)拓?fù)渖伤惴ǎ瑥睦碚撋蠈?duì)拓?fù)淙萸帜芰M(jìn)行了分析推導(dǎo)，并依據(jù)容忍能力適時(shí)啟動(dòng)拓?fù)渥栽偕Ｈ欢?，這些工作并沒(méi)有給出評(píng)估拓?fù)淙萸帜芰Φ暮饬恐笜?biāo)；而且，針對(duì)傳感器網(wǎng)絡(luò)的拓?fù)淙萸?，現(xiàn)有工作多數(shù)僅僅強(qiáng)調(diào)拓?fù)鋵?duì)失敗容忍能力的保證，一般僅從定性分析的角度來(lái)評(píng)估拓?fù)涞娜萑棠芰?，由此影響到容侵拓?fù)涓碌暮侠頉Q策。本文提出了基于半馬爾可夫過(guò)程(SMP)的無(wú)線傳感器網(wǎng)絡(luò)拓?fù)淙萸侄吭u(píng)估模型，結(jié)合Bayes推理網(wǎng)絡(luò)對(duì)拓?fù)淇捎眯?、穩(wěn)定性和服務(wù)率指標(biāo)進(jìn)行了定量分析，能夠準(zhǔn)確評(píng)估拓?fù)淙萸帜芰?，便于傳感器網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的重新配置。

2 拓?fù)淙萸帜芰υu(píng)估的狀態(tài)變遷模型

2.1 基于SMP的拓?fù)淙萸譅顟B(tài)轉(zhuǎn)移模型

傳感器網(wǎng)絡(luò)會(huì)受到諸如 DoS、Hello洪泛、污水池和 Sybil等攻擊[7]，導(dǎo)致拓?fù)錁?gòu)建出現(xiàn)安全失敗。本節(jié)提出了基于 SMP的拓?fù)淙萸譅顟B(tài)轉(zhuǎn)移模型，描述攻擊導(dǎo)致的拓?fù)淙萸譅顟B(tài)變化和容侵模塊應(yīng)對(duì)攻擊所處的各種狀態(tài)。

定義 1 拓?fù)淙萸譅顟B(tài)轉(zhuǎn)移模型是一個(gè)有序四元組，如式(1)所示:

其中，q0∈Zs是容侵拓?fù)錁?gòu)建模塊的初始狀態(tài)N，T是離散時(shí)間集，描述了各狀態(tài)的一個(gè)離散時(shí)間序列，Zs={N、S、I、F、GD、UD}是容侵模塊的狀態(tài)集，而δ是控制狀態(tài)轉(zhuǎn)移規(guī)律的T×Zs到T×Zs映射。

根據(jù)定義1，容侵拓?fù)錁?gòu)建過(guò)程從初始態(tài)q0開(kāi)始，在離散時(shí)間序列上，由δ控制拓?fù)淙萸譅顟B(tài)的轉(zhuǎn)移，圖1給出基于半馬爾可夫過(guò)程的容侵拓?fù)錉顟B(tài)轉(zhuǎn)移過(guò)程。通常情況下，入侵者對(duì)拓?fù)錁?gòu)建過(guò)程的攻擊影響和拓?fù)淙萸帜K對(duì)惡意攻擊的類(lèi)型、強(qiáng)度、持續(xù)時(shí)間及攻擊頻率等的認(rèn)識(shí)都存在一定的不確定性。模型TIM以一定的概率來(lái)描述狀態(tài)間的變遷，從而可以分析系統(tǒng)處于各狀態(tài)的概率。

圖1 容侵拓?fù)錁?gòu)建的狀態(tài)遷移

圖1中，拓?fù)錁?gòu)建初始時(shí)處于正常狀態(tài)N，各種典型的安全機(jī)制正常工作。安全機(jī)制不能抵御入侵時(shí)，系統(tǒng)進(jìn)入敏感狀態(tài)S，入侵者通過(guò)多種探測(cè)技術(shù)已發(fā)現(xiàn)拓?fù)錁?gòu)建模塊的脆弱性，發(fā)起了針對(duì)拓?fù)渖傻墓?。如果攻擊者成功利用系統(tǒng)漏洞，則進(jìn)入狀態(tài)I，系統(tǒng)被入侵，此階段容侵機(jī)制可以利用資源冗余、大數(shù)表決等來(lái)減少入侵帶來(lái)的危害。由于容侵機(jī)制的安全強(qiáng)度不同，攻擊行為可能造成的危害也不一樣，如果容侵機(jī)制未能檢測(cè)出針對(duì)拓?fù)涞墓?，則進(jìn)入 UC狀態(tài)，拓?fù)淇刂颇K不能采取任何抵御措施，最終出現(xiàn)拓?fù)涓盍?。如果檢測(cè)到攻擊行為，則容侵模塊以一種“優(yōu)雅降級(jí)”的服務(wù)方式，保證關(guān)鍵服務(wù)的持續(xù)性，進(jìn)入 GD狀態(tài)，但需人工干預(yù)恢復(fù)到正常狀態(tài)；否則，完全失控進(jìn)入狀態(tài)F。

分析該狀態(tài)遷移過(guò)程需要2個(gè)參數(shù)，包括狀態(tài)的逗留時(shí)間和狀態(tài)間的轉(zhuǎn)移概率。

定義2 hi是拓?fù)淠K在狀態(tài)i的平均逗留時(shí)間，i∈Zs；pij是狀態(tài) i、j間的轉(zhuǎn)移概率，i、j ∈Zs。

2.2 容侵能力評(píng)價(jià)指標(biāo)

針對(duì)無(wú)線傳感器網(wǎng)絡(luò)拓?fù)淙萸帜芰Φ姆治?，考慮拓?fù)淇捎眯?TA)、拓?fù)浞€(wěn)定性(TS)和拓?fù)浞?wù)率(TRoS) 3個(gè)指標(biāo)。主要從評(píng)價(jià)拓?fù)淙萸帜芰Φ慕嵌戎苯臃治鐾負(fù)錁?gòu)建過(guò)程中各狀態(tài)的變遷，忽略一些入侵者具體的攻擊手段和拓?fù)淙萸謾C(jī)制的響應(yīng)細(xì)節(jié)。3個(gè)評(píng)估指標(biāo)的定義如下。

定義3 拓?fù)淇捎眯訲A。它是指在概率意義下容侵拓?fù)錁?gòu)建到達(dá)穩(wěn)定狀態(tài)時(shí)，拓?fù)淠K提供連通服務(wù)的概率PTA。

可用性分為瞬時(shí)可用性和穩(wěn)態(tài)可用性[8]，定義3指的是拓?fù)浞€(wěn)定狀態(tài)下的可用性，著重描述容侵拓?fù)湓诠粲绊懴碌姆?wù)能力。在圖1中，設(shè)拓?fù)洳荒芴峁┓?wù)的狀態(tài)集合為STA#，πi(i∈Zs)是在穩(wěn)態(tài)意義下?tīng)顟B(tài)i所處的概率，可以給出拓?fù)淇捎眯匀缦聰?shù)學(xué)描述:

定義4 拓?fù)浞€(wěn)定性TS。在容侵拓?fù)錁?gòu)建到達(dá)任一吸收態(tài)SA之前，拓?fù)錁?gòu)建處于未受攻擊狀態(tài)N的時(shí)間與處于臨時(shí)態(tài)SA#總時(shí)間的比值PTS。

吸收態(tài)反映了系統(tǒng)最終會(huì)陷入一種自動(dòng)不可恢復(fù)狀態(tài)，只有等待人工干預(yù)。臨時(shí)態(tài)反映了狀態(tài)遷移過(guò)程中，系統(tǒng)所處的多個(gè)中間狀態(tài)。

TS描述了容侵拓?fù)錁?gòu)建模塊的安全入侵容忍能力，可為拓?fù)淙萸帜芰Φ闹匦屡渲锰峁﹨⒖家罁?jù),形式化描述如下:

其中，Vi和hi分別表示在到達(dá)任一吸收態(tài)之前處于狀態(tài)i的次數(shù)和平均逗留時(shí)間。

定義5 拓?fù)浞?wù)率TRoS。它是指平均安全故障時(shí)間(MTTSF)在一個(gè)拓?fù)浞?wù)周期內(nèi)所占的比例PTRoS。

MTTSF給出了拓?fù)錁?gòu)建過(guò)程在進(jìn)入某一吸收態(tài)之前所持續(xù)的時(shí)間，但是在面對(duì)安全入侵時(shí)，拓?fù)錁?gòu)建最終會(huì)以某種概率進(jìn)入相應(yīng)的吸收態(tài)，拓?fù)浞?wù)率TRoS反映了容侵模塊在整個(gè)工作期間有效工作時(shí)間占的份額，設(shè)在概率意義下，一個(gè)拓?fù)浞?wù)周期是T，拓?fù)浞?wù)率數(shù)學(xué)定義如下所示:

綜合上述指標(biāo)，利用函數(shù) f 描述拓?fù)淙萸帜芰χ礟CoIT隨評(píng)估指標(biāo)變化的關(guān)系，如式(5)所示:

3 DTMC的容侵指標(biāo)求解及能力評(píng)估

3.1 DTMC的形式化描述

從基于 SMP的狀態(tài)遷移模型可知，容侵拓?fù)錁?gòu)建模塊在各狀態(tài)之間的遷移滿(mǎn)足馬爾可夫性，即將來(lái)的狀態(tài)僅取決于當(dāng)前的狀態(tài)，且在離散時(shí)間序列上進(jìn)行狀態(tài)間轉(zhuǎn)變。因此，采用離散時(shí)間馬爾可夫鏈(DTMC)對(duì)整個(gè)的狀態(tài)遷移進(jìn)程進(jìn)行分析，圖2描述了 SMP的嵌入馬爾可夫鏈，其形式化描述由定義6給出。

圖2 拓?fù)淙萸衷u(píng)估的DTMC模型

定義 6 離散時(shí)間馬爾可夫鏈(DTMC)是一個(gè)有序六元組，如式(6)所示:

其中，q0、T和Zs的含義同SMP模型，Ts={hN, hS,hI, hF, hG, hU}是拓?fù)錁?gòu)建模塊處于各狀態(tài)的平均逗留時(shí)間，P是各狀態(tài)間的遷移概率矩陣，由圖 2可知，矩陣P可表示為

矩陣 P的行列都以N，S，I，F(xiàn)，GD，UC順序排列。有關(guān)狀態(tài)轉(zhuǎn)移概率和平均逗留時(shí)間使用的符號(hào)及含義如下所示。

pI:脆弱狀態(tài)下，進(jìn)入入侵狀態(tài)的概率。

pF:所有容侵策略均失敗的概率。

pU:未檢測(cè)到成功入侵的概率。

pG:拓?fù)浞?wù)優(yōu)雅降級(jí)的概率。

hN:容侵拓?fù)錁?gòu)建處于正常狀態(tài)的平均時(shí)間。

hS:脆弱狀態(tài)下，構(gòu)建模塊遭受入侵的平均時(shí)間。

hI:在入侵狀態(tài)，拓?fù)淙萸帜K決策的平均時(shí)間。

hF:容侵策略失敗時(shí)，恢復(fù)到正常態(tài)的平均時(shí)間。

hG:拓?fù)湓诮导?jí)狀態(tài)下的平均持續(xù)時(shí)間。

hU:攻擊成功時(shí)，未能檢測(cè)到入侵的平均時(shí)間。

3.2 指標(biāo)求解

3.2.1 拓?fù)淇捎眯?/p>

為計(jì)算拓?fù)淇捎眯?，需要得?SMP模型中各狀態(tài)的穩(wěn)態(tài)概率，首先求出DTMC模型中各狀態(tài)的穩(wěn)態(tài)概率。

在圖2的DTMC模型中，根據(jù)文獻(xiàn)[9]可得:

聯(lián)立式(8)和式(9)求解，得 DTMC模型中穩(wěn)態(tài)意義下?tīng)顟B(tài)的概率向量v:

采用文獻(xiàn)[9]提出的方法，得到SMP各狀態(tài)穩(wěn)態(tài)概率的計(jì)算公式如下:

其中，vi是DTMC中各狀態(tài)的穩(wěn)態(tài)概率，hi是狀態(tài)i的平均逗留時(shí)間，因此，需要確定每個(gè)狀態(tài)的平均逗留時(shí)間。hi往往取決于入侵者的攻擊能力、安全模塊的防護(hù)強(qiáng)度和容侵拓?fù)錁?gòu)建模塊的容忍能力等諸多因素，具有不確定性和隨機(jī)性，故在各狀態(tài)逗留時(shí)間的概率分布往往呈現(xiàn)多樣性。本文從漸進(jìn)意義上考慮容侵狀態(tài)的平均逗留時(shí)間，所以，根據(jù)文獻(xiàn)[8]可以假設(shè)在狀態(tài)N、S、I實(shí)際服從Weibull(λ, k)分布，而在狀態(tài)F、GD、UC服從gamma(k, θ)分布。在狀態(tài)N和F的期望逗留時(shí)間可表示為

聯(lián)立式(10)和式(11)求解，得SMP模型中各狀態(tài)的穩(wěn)定概率向量Π:

如圖1所示的SMP模型中，拓?fù)錁?gòu)建模塊處于 F、UC狀態(tài)時(shí)，容侵模塊沒(méi)有檢測(cè)出對(duì)系統(tǒng)的攻擊和雖然已檢測(cè)出但不能采取有效容忍措施，不能提供拓?fù)溥B通服務(wù)，即在這2個(gè)狀態(tài)下拓?fù)洳痪呖捎眯?，所以集合STA#={F, UC}，由式(2)和式(12)得計(jì)算拓?fù)淇捎眯訲A的公式如下:

3.2.2 拓?fù)浞€(wěn)定性

定義4指出，可將DTMC的狀態(tài)分為臨時(shí)態(tài)Zt和吸收態(tài)Za。圖2中，拓?fù)錁?gòu)建過(guò)程一般在N、S、I 3個(gè)狀態(tài)之間來(lái)回振蕩，只有在容侵機(jī)制不能正常發(fā)揮效用時(shí)才進(jìn)入F、GD、UC中的任一狀態(tài)，等待人工干預(yù)。因此，Zt={N、S、I}，Za={F、GD、UC}，對(duì)應(yīng)臨時(shí)態(tài)Zt和吸收態(tài)Za的狀態(tài)遷移概率矩陣P'如下:

按照臨時(shí)態(tài)和吸收態(tài)兩兩組合的4種情況劃分為4個(gè)區(qū)域，右上角子矩陣設(shè)為C。

設(shè)Vi是到達(dá)任一吸收狀態(tài)前，在臨時(shí)態(tài)i的平均次數(shù)，計(jì)算Vi的公式如下:

其中，qi是初始狀態(tài)為i的概率，本文假設(shè)狀態(tài)N是初始狀態(tài)，有[qi]=[1, 0, 0]。

解式(15)得到處于各臨時(shí)態(tài)的平均次數(shù)向量V:

聯(lián)合式(3)和式(16)，結(jié)合各臨時(shí)態(tài)的平均逗留時(shí)間hi，可得拓?fù)浞€(wěn)定性TS的值。

3.2.3 拓?fù)浞?wù)率

拓?fù)浞?wù)率TRoS可以很好地刻畫(huà)整個(gè)拓?fù)浞?wù)周期內(nèi)的有效工作時(shí)間份額，反映了容侵拓?fù)淠K在一定攻擊下的整體服務(wù)能力，針對(duì)拓?fù)錁?gòu)建的不同攻擊威脅將導(dǎo)致進(jìn)入不同的吸收狀態(tài)，相應(yīng)地，其危害也不一樣。利用文獻(xiàn)[8]提出的方法，計(jì)算平均安全故障時(shí)間MTTSF和由初始狀態(tài)N進(jìn)入各吸收態(tài)的概率b1j公式如下:

聯(lián)立式(16)和式(18)求解得:

由式(4)和式(19)求解拓?fù)浞?wù)率TRoS得:

3.3 基于貝葉斯網(wǎng)絡(luò)的綜合指標(biāo)分析

文獻(xiàn)[10]指出，近年來(lái)貝葉斯網(wǎng)絡(luò)(BN, Bayes network)模型在可靠性分析領(lǐng)域中的應(yīng)用逐漸得到關(guān)注，本文提出一個(gè)BN模型來(lái)預(yù)測(cè)、評(píng)估無(wú)線傳感器網(wǎng)絡(luò)拓?fù)淙萸帜芰透黜?xiàng)評(píng)價(jià)指標(biāo)對(duì)容侵能力的影響度。

圖1所示的狀態(tài)遷移模型從概率的角度分析、計(jì)算拓?fù)淇捎眯?、穩(wěn)定性和服務(wù)率，這其中蘊(yùn)含著一定的統(tǒng)計(jì)特性和內(nèi)在聯(lián)系。為對(duì)拓?fù)淙萸帜芰推渑c各屬性的相互關(guān)系進(jìn)行預(yù)測(cè)及統(tǒng)計(jì)推斷，設(shè)計(jì)的貝葉斯網(wǎng)絡(luò)模型如圖3所示，形式化描述為G=(N, R)，N代表圖G中4個(gè)節(jié)點(diǎn)的集合，R代表推理圖中相鄰2個(gè)節(jié)點(diǎn)間依賴(lài)關(guān)系的集合。

圖3 拓?fù)淙萸帜芰υu(píng)估的貝葉斯網(wǎng)絡(luò)模型

拓?fù)淙萸帜芰oIT可通過(guò)拓?fù)淇捎眯訲A、穩(wěn)定性TS和服務(wù)率TRoS及它們與拓?fù)淙萸帜芰Φ年P(guān)系來(lái)深入度量。根據(jù)先驗(yàn)知識(shí)，假設(shè)TA、TS和TRoS在描述拓?fù)淙萸帜芰oIT時(shí)可信的概率分別為 P(θTA)、P(θTS)和 P(θTRoS)，這 3 個(gè)值可通過(guò)評(píng)估過(guò)程中獲得的信息進(jìn)行后驗(yàn)分析加以不斷改進(jìn)，使它們逼近真實(shí)值。根據(jù)定義3、定義4和定義5，這3個(gè)指標(biāo)分別從不同角度刻畫(huà)拓?fù)淙萸帜芰Γ鼈冊(cè)诿枋鋈萸帜芰@一事件的樣本空間上互不相容，構(gòu)成一個(gè)劃分；同時(shí)，以概率P(CoIT)來(lái)描述拓?fù)淙萸帜芰Φ膹?qiáng)弱(1最強(qiáng)，0最弱)?；谪惾~斯網(wǎng)絡(luò)推理規(guī)則，CoIT與TA、TS和TRoS 3個(gè)指標(biāo)的關(guān)系可通過(guò)圖3節(jié)點(diǎn)之間的連接關(guān)系來(lái)形式化描述。在拓?fù)淇捎眯砸韵闰?yàn)概率 P(θTA)可信的前提下，它導(dǎo)致拓?fù)淙萸帜芰σ詶l件概率P(CoIT|θTA)發(fā)生(該值反映了從拓?fù)淇捎玫慕嵌缺硎救萸帜芰Φ膹?qiáng)弱，可由前述的DTMC計(jì)算得到，即PTA)。由全概率公式得:

式(21)表示在已知 3個(gè)拓?fù)淙萸帜芰饬恐笜?biāo)的可信概率下，利用3個(gè)指標(biāo)所反映容侵能力的當(dāng)前值，綜合評(píng)判得出拓?fù)淙萸帜芰Φ膹?qiáng)弱，刻畫(huà)了3個(gè)指標(biāo)與綜合值之間的關(guān)系。

此時(shí)，對(duì)TA有以下條件概率公式成立:

同理，對(duì)穩(wěn)定性和服務(wù)率有類(lèi)似的分析。

4 拓?fù)淙萸帜芰Ψ治雠c評(píng)價(jià)

4.1 模型工作參數(shù)

不失一般性，選取 pI和 hN參數(shù)分析其對(duì)不同指標(biāo)和拓?fù)淙萸帜芰Φ挠绊憽?/p>

1) 狀態(tài)遷移概率

在圖2描述的DTMC模型中，PG是拓?fù)錁?gòu)建模塊從狀態(tài)I進(jìn)入優(yōu)雅降級(jí)狀態(tài)GD的概率，以實(shí)現(xiàn)拓?fù)涔δ艿暮诵姆?wù)，不妨設(shè)PG=0.2。在I狀態(tài)下，未能檢測(cè)到惡意節(jié)點(diǎn)的入侵概率是PU，其值設(shè)為 0.2，該狀態(tài)下容侵模塊完全不可操控而進(jìn)入失敗狀態(tài)F的概率較小，設(shè)PF=0.1。

2) 狀態(tài)平均逗留時(shí)間

設(shè)時(shí)間單位是 1，在脆弱狀態(tài)下，入侵者發(fā)現(xiàn)漏洞、拓?fù)錁?gòu)建模塊遭受入侵的平均時(shí)間hS=0.2，容侵模塊在入侵狀態(tài)下進(jìn)行多種控制決策的平均時(shí)間hI=0.4。在容侵策略失敗時(shí)，系統(tǒng)恢復(fù)到正常狀態(tài)所需的平均時(shí)間hF=0.7，同理，設(shè)在降級(jí)狀態(tài)下的平均持續(xù)時(shí)間hG=2，入侵成功時(shí)，未能檢測(cè)到入侵的平均時(shí)間hU=3。

4.2 拓?fù)淙萸帜芰Φ膮?shù)敏感性

如圖4(a)所示，平均安全故障時(shí)間MTTSF隨參數(shù)pI變化明顯，當(dāng)pI超過(guò)一定閾值時(shí)，MTTSF表示的拓?fù)浒踩^對(duì)時(shí)間顯著減少，在較低的pI取值時(shí)，MTTSF隨hN線性增長(zhǎng)。因此，為提高容侵拓?fù)淠K一次工作的有效時(shí)間，應(yīng)確保較低的pI取值，即需要增強(qiáng)拓?fù)淙萸帜K的防護(hù)強(qiáng)度。圖4(b)描述了拓?fù)浞?wù)率隨hN遞增和隨pI遞減的趨勢(shì)。當(dāng) pI和hN取值都較大時(shí)，盡管有較高的拓?fù)浞?wù)率，但是絕對(duì)服務(wù)時(shí)間非常短，所以，在較高的拓?fù)浞?wù)率下，拓?fù)錁?gòu)建模塊的容侵能力可能呈現(xiàn)出某種振蕩特性，此時(shí)需要較多的外部干預(yù)。

圖4 平均安全故障時(shí)間和拓?fù)浞?wù)率隨hN和pI的變化趨勢(shì)

圖5(a)給出了拓?fù)淙萸帜芰CoIT隨hN遞增，而隨pI遞減的函數(shù)變化趨勢(shì)。由圖5(a)可知，為了提高容侵拓?fù)淠K的容侵能力，在給定工作參數(shù)下，必須增加在狀態(tài)N的hN和減少進(jìn)入入侵狀態(tài)I的概率pI來(lái)保證。圖5(b)給出了拓?fù)淇捎眯缘暮篁?yàn)概率可信度 P(θTA|CoIT)隨 pI遞增和隨 hN遞減的趨勢(shì)，說(shuō)明如果希望增加可用性在衡量拓?fù)淙萸帜芰χ械臋?quán)重，可通過(guò)提高進(jìn)入入侵狀態(tài)I的概率pI的值或減少處于正常狀態(tài)N的平均逗留時(shí)間hN實(shí)現(xiàn)。

圖5 拓?fù)淙萸帜芰屯負(fù)淇捎眯缘暮篁?yàn)概率隨hN和pI的變化趨勢(shì)

4.3 拓?fù)淙萸謱?shí)例剖析及模型驗(yàn)證

本節(jié)對(duì)LEACH[11]和ASCENT[12]2個(gè)實(shí)際的拓?fù)錁?gòu)建機(jī)制進(jìn)行容侵能力分析，以評(píng)估模型的有效性。

4.3.1 Sybil攻擊的模型評(píng)估能力分析

Sybil攻擊時(shí)，惡意節(jié)點(diǎn)會(huì)偽造多個(gè)節(jié)點(diǎn)身份，從而削弱原有的節(jié)點(diǎn)冗余作用和破壞拓?fù)錁?gòu)建進(jìn)程。在LEACH成簇過(guò)程中，Sybil攻擊能在一定范圍內(nèi)影響網(wǎng)絡(luò)的分簇，惡意節(jié)點(diǎn)自身和偽造的虛假節(jié)點(diǎn)都可自選為簇頭，從而控制住整個(gè)簇，導(dǎo)致以惡意節(jié)點(diǎn)為中心的一定規(guī)模區(qū)域內(nèi)合法節(jié)點(diǎn)的拓?fù)涓盍选Ｈ欢?，ASCENT算法從概率的角度，以每個(gè)節(jié)點(diǎn)維持一定的鄰居節(jié)點(diǎn)個(gè)數(shù)(連通度)來(lái)保證拓?fù)溥B通，通過(guò)鏈路質(zhì)量來(lái)判斷各節(jié)點(diǎn)的鄰居關(guān)系。ASCENT算法能夠較好地屏蔽Sybil攻擊帶來(lái)的不良影響，如果惡意節(jié)點(diǎn)和偽造節(jié)點(diǎn)不斷地丟棄鄰居節(jié)點(diǎn)的數(shù)據(jù)包，鄰居節(jié)點(diǎn)必然在一定時(shí)間后識(shí)別出這種攻擊，從而發(fā)出HELP包啟動(dòng)鄰居節(jié)點(diǎn)的加入工作，維持拓?fù)溥B通。初步的單簇實(shí)驗(yàn)證實(shí)了Sybil攻擊下ASCENT比LEACH有更強(qiáng)的適應(yīng)性，前者的容侵能力優(yōu)于后者。

在評(píng)估模型中，由上述分析，ASCENT進(jìn)入入侵狀態(tài)的概率pI值要小于LEACH中的值，而正常態(tài)的逗留時(shí)間 hN前者大于后者。不失一般性，取ASCENT和LEACH狀態(tài)轉(zhuǎn)換模型的pI分別為0.1和 0.4，hN分別為 13和 2，其余參數(shù)仍然利用 4.1節(jié)中的設(shè)置，得到的量化結(jié)果如圖6所示。由圖6可見(jiàn)，針對(duì)Sybil攻擊，ASCENT在各個(gè)方面的拓?fù)淙萸帜芰鶅?yōu)于 LEACH，特別是拓?fù)浞?wù)率顯著優(yōu)于LEACH，2個(gè)算法的定量比較結(jié)果與上述分析結(jié)果一致，驗(yàn)證了拓?fù)淙萸帜芰α炕u(píng)估模型的有效性。

圖6 Sybil攻擊的ASCENT與LEACH容侵比較

4.3.2 Hello攻擊的模型評(píng)估能力分析

針對(duì)LEACH發(fā)起Hello攻擊的惡意節(jié)點(diǎn)會(huì)使用大功率無(wú)線設(shè)備廣播Hello包，使得較大區(qū)域內(nèi)的節(jié)點(diǎn)以較強(qiáng)的功率接收到該信息，都錯(cuò)誤地加入以惡意節(jié)點(diǎn)為簇頭的簇內(nèi)，導(dǎo)致網(wǎng)絡(luò)拓?fù)涓盍?。事?shí)上，此時(shí)發(fā)生了鏈路非對(duì)稱(chēng)情況，部分節(jié)點(diǎn)的信號(hào)不可能到達(dá)惡意簇頭?？梢?jiàn)，LEACH協(xié)議對(duì)Hello攻擊的容忍能力很差，極端情況拓?fù)渫耆盍眩麄€(gè)網(wǎng)絡(luò)不可用。ASCENT算法在Hello洪泛攻擊威脅下，根據(jù)鏈路質(zhì)量，節(jié)點(diǎn)i會(huì)錯(cuò)誤地認(rèn)為惡意節(jié)點(diǎn)是其一個(gè)合法鄰居，降低了合法鄰居個(gè)數(shù)，減弱了拓?fù)溥B通的服務(wù)能力。然而，這種影響是有限的，節(jié)點(diǎn)i仍然有k?1個(gè)合法鄰居(k為從概率角度保持的鄰節(jié)點(diǎn)個(gè)數(shù))，仍然可以保持較好的連通性，對(duì)Hello攻擊具有較強(qiáng)的容忍能力，初步測(cè)試驗(yàn)證了這一點(diǎn)。

在ASCENT和LEACH的拓?fù)淙萸侄吭u(píng)估模型中參數(shù)pI分別取為0.1和0.4，hN分別為10和6，其余參數(shù)同Sybil分析，得到的定量比較結(jié)果如圖7所示。針對(duì)Hello洪泛攻擊，ASCENT在各方面均優(yōu)于LEACH算法，量化比較結(jié)果與上述分析一致，驗(yàn)證了評(píng)估模型的有效性。

圖7 Hello洪泛的ASCENT與LEACH容侵比較

5 相關(guān)工作比較分析

近年來(lái)，系統(tǒng)安全的定量評(píng)估開(kāi)始受到研究人員的重視，本節(jié)針對(duì)采用不同評(píng)估技術(shù)的相關(guān)文獻(xiàn)進(jìn)行比較分析，表1給出了這些相關(guān)工作異同的對(duì)比。

Jonsson等[13]提出了一個(gè)基于攻擊者行為的入侵定量分析模型，描述了入侵行為的3個(gè)階段。鑒于入侵者之間攻擊能力存在巨大差異，該模型定量評(píng)估每個(gè)攻擊者的入侵能力十分困難。Albert等[6]針對(duì)復(fù)雜有線網(wǎng)絡(luò)結(jié)構(gòu)，用統(tǒng)計(jì)的方法分析了什么樣的拓?fù)浣Y(jié)構(gòu)具有較高的容忍攻擊能力。在基于SMP的安全系統(tǒng)定量評(píng)估研究中，較有影響的是Madana[8]提出的安全屬性定量分析模型，該模型是一個(gè)通用模型，直接應(yīng)用到拓?fù)淙萸值亩吭u(píng)估中存在較多困難，且中間狀態(tài)顯得過(guò)于冗余，求解復(fù)雜。殷麗華等[14]提出了一個(gè)優(yōu)化的容忍入侵系統(tǒng)狀態(tài)轉(zhuǎn)移模型，建立 SMP模型并對(duì)容侵系統(tǒng)安全屬性進(jìn)行定量分析。羅安安等[15]提出了一種針對(duì)TNC協(xié)議的基于半馬爾可夫過(guò)程的評(píng)估模型，對(duì)可信網(wǎng)絡(luò)連接的安全性進(jìn)行量化分析。針對(duì)容侵系統(tǒng)的安全態(tài)勢(shì)，秦華旺等[16]提出了一種基于入侵影響的評(píng)估方法，給出了數(shù)據(jù)機(jī)密度、完整度和可用度3個(gè)指標(biāo)，得出了系統(tǒng)的安全態(tài)勢(shì)，然而，該模型過(guò)于簡(jiǎn)單，不能準(zhǔn)確描述系統(tǒng)的安全狀態(tài)。WANG等[3]建立了傳感器網(wǎng)絡(luò)拓?fù)淙萸帜芰Φ臄?shù)學(xué)模型，對(duì)拓?fù)淙萸帜芰M(jìn)行了分析，但并未給出具體的容侵能力衡量指標(biāo)。

本文將Madana[8]中基于SMP的建模方法用于研究WSN的拓?fù)淙萸侄吭u(píng)估，提出了一個(gè)容侵拓?fù)錁?gòu)建的狀態(tài)轉(zhuǎn)移描述模型；同時(shí)，針對(duì)傳感器網(wǎng)絡(luò)節(jié)點(diǎn)資源受限的不足，精簡(jiǎn)中間狀態(tài)，降低了節(jié)點(diǎn)資源開(kāi)銷(xiāo)，利于延長(zhǎng)網(wǎng)絡(luò)壽命。從 SMP模型中抽象出3個(gè)容侵能力衡量指標(biāo)，再通過(guò)Bayes推理網(wǎng)絡(luò)綜合得出拓?fù)淙萸帜芰Γ瑥亩岣吡四Ｐ兔枋瞿芰Α?/p>

表1 相關(guān)工作比較

6 結(jié)束語(yǔ)

針對(duì)入侵行為影響，本文提出了拓?fù)淙萸侄吭u(píng)估模型，以量化、分析拓?fù)涞娜萸帜芰?。該模型采用半馬爾可夫過(guò)程將拓?fù)錁?gòu)建過(guò)程劃分為 6個(gè)狀態(tài)，避免了對(duì)不同入侵威脅進(jìn)行描述建模的復(fù)雜性，在入侵結(jié)果這個(gè)統(tǒng)一的層次上建模，簡(jiǎn)化了模型設(shè)計(jì)。利用內(nèi)嵌DTMC模型求解容侵能力的各項(xiàng)指標(biāo)，得出拓?fù)淇捎眯?、穩(wěn)定性和服務(wù)率3個(gè)屬性。通過(guò)貝葉斯推理網(wǎng)絡(luò)，以新的樣本值為后驗(yàn)信息，綜合得出拓?fù)淙萸帜芰?；同時(shí)，不斷改進(jìn) 3個(gè)屬性對(duì)整個(gè)拓?fù)淙萸帜芰Φ呢暙I(xiàn)權(quán)重，從而提高容侵能力評(píng)估的準(zhǔn)確性，便于傳感器網(wǎng)絡(luò)拓?fù)涞闹匦屡渲谩?/p>

仿真實(shí)驗(yàn)分析了評(píng)估模型對(duì)不同參數(shù)的敏感性，從而獲得拓?fù)淙萸旨夹g(shù)的關(guān)鍵點(diǎn)，為選取合理的容侵拓?fù)涓聶C(jī)制提供了理論支持。對(duì) LEACH和 ASCNT 2個(gè)拓?fù)錁?gòu)建算法進(jìn)行了容侵能力剖析，驗(yàn)證了評(píng)估模型的有效性。下一步將研究具體的入侵檢測(cè)模型，抽象出不同入侵行為對(duì)容侵模塊的統(tǒng)一影響，從而準(zhǔn)確提供模型工作參數(shù)。

[1]MOHSEN R, MOHAMMADTAGHI H, VAHAB S M.Fault-tolerant and 3-dimensional distributed topology control algorithms in wireless multi-hop networks[J].Wireless Networks, 2006, 12:179-188.

[2]JORGIC M, GOEL N, KALAICHEVAN K, et al.Localized detection of k-connectivity in wireless ad hoc actuator and sensor networks[A].Proc of the 16th IEEE International Conference on Computer Communications and Networks (ICCCN07)[C].Hawaii, 2007.33-38.

[3]王良民, 馬建峰, 王超.無(wú)線傳感器網(wǎng)絡(luò)拓?fù)涞娜蒎e(cuò)度與容侵度[J].電子學(xué)報(bào), 2006,34(8):1446-1451.WANG L M, MA J F, WANG C.Degree of fault-tolerance and intrusion-tolerance for topologies of wireless sensor networks[J].Acta Electronica Sinica, 2006, 34(8):1446-1451.

[4]MA R, XING L, MICHEL H E.Fault-intrusion tolerant techniques in wireless sensor networks[A].Proceedings of the 2nd IEEE International Symposium on Dependable, Autonomic and Secure Computing(DASC'06) [C].Indianapolis, 2006.85-94.

[5]王良民, 馬建峰.基于再生技術(shù)的無(wú)線傳感器網(wǎng)絡(luò)容侵拓?fù)淇刂品椒╗J].計(jì)算機(jī)研究與發(fā)展, 2009, 46(10):1678-1685.WANG L M, MA J F.Self-regeneration based method for topology control with intrusion tolerance in wireless sensor networks[J].Journal of Computer Research and Development, 2009, 46(10):1678-1685.

[6]ALBERT R, JEONG H, BARABASI A L.Error and attack tolerance of complex networks[J].Nature, 2000, 406(27):378-382.

[7]裴慶祺, 沈玉龍, 馬建峰.無(wú)線傳感器網(wǎng)絡(luò)安全技術(shù)綜述[J].通信學(xué)報(bào), 2007, 28(8):113-122.PEI Q Q, SHEN Y L, MA J F.Survey of wireless sensor network security techniques[J].Journal on Communications, 2007, 28(8):113-122.

[8]MADANA B B, POPSTOJANOVA K G, VAIDYANATHAN K, et al.A method for modeling and quantifying the security attributes of intrusion tolerant systems[J].Performance Evaluation, 2004, 56(1～4):167-186.

[9]TRIVEDI K S.Probability and Statistics with Reliability, Queuing,and Computer Science Applications[M].New York:Wiley Press,2001.

[10]劉東, 張春元, 邢維艷等.基于貝葉斯網(wǎng)絡(luò)的多階段系統(tǒng)可靠性分析模型[J].計(jì)算機(jī)學(xué)報(bào), 2008,31(10):1814-1825.LIU D, ZHANG C Y, XING W Y, et al.Bayes networks based reliability analysis of phased-mission systems[J].Chinese Journal of Computers, 2008,31(10):1814-1825.

[11]HEINZELMAN W, CHANDRAKASAN A, BALAKRISHNAN H.Energy-efficient communication protocol for wireless microsensor networks[A].Proc of the 33rd Annual Hawaii Int’l Conf on System Sciences[C].Hawaii, USA, 2000.3005- 3014.

[12]CERPA A, ESTRIN D.ASCENT:adaptive self-configuring sensor networks topologies[J].IEEE Transactions on Mobile Computing,2004, 3(3):272-285.

[13]JONSSON E, OLOVSSON T.A quantitative model of the security intrusion process based on attacker behavior[J].IEEE Transactions on Software Engineering, 1997, 23 (4) :235-245.

[14]殷麗華,方濱興.入侵容忍系統(tǒng)安全屬性分析[J].計(jì)算機(jī)學(xué)報(bào),2006,29(8):1505-1512.YIN L H, FANG B X.Security attributes analysis for intrusion tolerant systems[J].Chinese Journal of Computers, 2006, 29(8):1505-1512.

[15]羅安安, 林闖, 王元卓等.可信網(wǎng)絡(luò)連接的安全量化分析與協(xié)議改進(jìn)[J].計(jì)算機(jī)學(xué)報(bào), 2009,32(5):887-898.LUO A A, LIN C, WANG Y Z, et al.Security quantifying method and enhanced mechanisms of TNC[J].Chinese Journal of Computers,2009,32(5):887-898.

[16]秦華旺,戴躍偉,王執(zhí)銓.入侵容忍系統(tǒng)的安全態(tài)勢(shì)評(píng)估[J].北京郵電大學(xué)學(xué)報(bào), 2009,32(2):57-61.QIN H W, DAI Y W, WANG Z Q.Security situation evaluation of intrusion tolerant system[J].Journal of Beijing University of Posts and Telecommunications, 2009, 32(2):57-61.