基于F分布的無(wú)線傳感器網(wǎng)絡(luò)攻擊檢測(cè)方法

史德陽(yáng)，羅永健，侯銀濤，張衛(wèi)東

（西安通信學(xué)院電子工程系，陜西西安 710106）

為了減少冗余數(shù)據(jù)的傳輸，無(wú)線傳感器網(wǎng)絡(luò)（wireless sensor networks，WSN）通常采用聚合函數(shù)對(duì)節(jié)點(diǎn)感知數(shù)據(jù)進(jìn)行匯聚處理，但匯聚安全問(wèn)題嚴(yán)重限制了數(shù)據(jù)匯聚技術(shù)的推廣應(yīng)用［1］。目前，針對(duì)數(shù)據(jù)匯聚的攻擊行為主要有2種［2］：第1種是在數(shù)據(jù)從源節(jié)點(diǎn)到匯聚節(jié)點(diǎn)的傳輸過(guò)程中進(jìn)行，應(yīng)對(duì)這類攻擊的安全措施是采用常規(guī)的加密認(rèn)證技術(shù)［3］，目前這方面技術(shù)的發(fā)展比較成熟；第2種是控制節(jié)點(diǎn)感知環(huán)境或者俘獲匯聚所使用的部分節(jié)點(diǎn)，對(duì)其重新進(jìn)行編程，篡改其讀數(shù)。針對(duì)此類攻擊，通常采取的方法是先采用攻擊檢測(cè)算法對(duì)所要匯聚的數(shù)據(jù)進(jìn)行檢測(cè)，判斷是否有攻擊行為，如果沒(méi)有就直接匯聚，如果有就采取相應(yīng)的數(shù)據(jù)復(fù)原匯聚算法進(jìn)行匯聚處理［2］。

目前第2類安全威脅已引起高度關(guān)注［4］，但針對(duì)此類攻擊的檢測(cè)算法的研究在國(guó)內(nèi)外開(kāi)展還較少。BUTTYAN等最早提出二分比較法（split and check，SC）［5］，該算法建立在集中式數(shù)據(jù)匯聚模型的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)的能量消耗較大，且攻擊檢測(cè)率較低。為了降低能耗，根據(jù)WSN均勻分簇和非均勻分簇2種情況，文獻(xiàn)［6］提出了2種基于分簇模型的卡方檢驗(yàn)攻擊檢測(cè)算法，在能耗和檢測(cè)性能方面較二分比較法有明顯改善，但攻擊檢測(cè)率仍然較低。SHU等提出一種基于密集數(shù)據(jù)挖掘的數(shù)據(jù)復(fù)原匯聚算法［7］，該算法采用信息挖掘技術(shù)，對(duì)節(jié)點(diǎn)感知數(shù)據(jù)進(jìn)行過(guò)濾，可以實(shí)現(xiàn)相對(duì)精確的平均值匯聚，但在WSN中不存在攻擊時(shí)該算法仍會(huì)剔除邊緣數(shù)據(jù)。為了克服上述不足，文獻(xiàn)［8］提出一種基于t分布的WSN攻擊檢測(cè)算法，該算法對(duì)感知數(shù)據(jù)先驗(yàn)信息的要求較少，但該算法的攻擊檢測(cè)率與參考簇的選取有關(guān)，當(dāng)參考簇選為不受攻擊或受攻擊較弱的簇時(shí)，其檢測(cè)效果不太理想?；诖?，提出一種基于F分布的WSN攻擊檢測(cè)方法。

1 攻擊檢測(cè)模型

文中算法建立在分布式數(shù)據(jù)匯聚模型的基礎(chǔ)之上，其具體模型如圖1所示。首先利用分簇算法將無(wú)線傳感器網(wǎng)絡(luò)劃分為若干個(gè)簇，每個(gè)簇含有若干個(gè)傳感器節(jié)點(diǎn)并選擇其中一個(gè)節(jié)點(diǎn)充當(dāng)簇頭。簇頭收集所在簇節(jié)點(diǎn)的感知數(shù)據(jù)并進(jìn)行匯聚處理，然后將匯聚結(jié)果通過(guò)單跳或多跳路由傳送至基站?；臼且粋€(gè)特殊的節(jié)點(diǎn)，對(duì)從簇頭傳送過(guò)來(lái)的數(shù)據(jù)利用攻擊檢測(cè)算法進(jìn)行檢測(cè)。當(dāng)檢測(cè)不存在攻擊時(shí)利用聚合函數(shù)直接進(jìn)行匯聚，否則，采用相應(yīng)的數(shù)據(jù)復(fù)原匯聚算法進(jìn)行匯聚處理。最后，基站將最終的匯聚結(jié)果通過(guò)Internet、移動(dòng)通信網(wǎng)絡(luò)、衛(wèi)星等與監(jiān)控中心進(jìn)行通信。

在上述分布式數(shù)據(jù)匯聚模型的基礎(chǔ)上，文中算法作如下假設(shè)。

1）基站是足夠安全的，攻擊者只能對(duì)普通傳感器節(jié)點(diǎn)進(jìn)行攻擊。由于基站通常采用較強(qiáng)的防護(hù)措施，故不易受到攻擊。而傳感器節(jié)點(diǎn)是一種價(jià)格低廉、結(jié)構(gòu)松散、開(kāi)放的網(wǎng)絡(luò)設(shè)備，極易受到惡意攻擊［9］。

2）節(jié)點(diǎn)攻擊方式為加性攻擊［5］。加性攻擊有增量攻擊和常量攻擊2種，對(duì)每個(gè)被俘獲節(jié)點(diǎn)讀數(shù)都增加一個(gè)相同值即為增量攻擊，修改被俘獲節(jié)點(diǎn)讀數(shù)使其達(dá)到同一個(gè)值即為常量攻擊。

3）被俘獲節(jié)點(diǎn)的分布相對(duì)集中。攻擊者往往是根據(jù)條件在操作方便的范圍內(nèi)選擇節(jié)點(diǎn)進(jìn)行攻擊，而不能隨意在網(wǎng)絡(luò)中選擇，故假設(shè)被俘獲節(jié)點(diǎn)相對(duì)集中于網(wǎng)絡(luò)中的某些簇是合理的。

4）被俘獲節(jié)點(diǎn)的數(shù)量有限。若攻擊者有足夠的能力可以在網(wǎng)絡(luò)中任意選擇節(jié)點(diǎn)進(jìn)行攻擊，則所有的攻擊檢測(cè)算法都將失去作用。

圖1 分布式數(shù)據(jù)匯聚模型Fig.1 Distributed model of data aggregation

2 基于F分布的WSN攻擊檢測(cè)方法

為了表述方便，特定義以下符號(hào)。

n：WSN中節(jié)點(diǎn)的總數(shù)目；r：WSN中分簇的數(shù)目；Ci：WSN的第i個(gè)簇；mi：簇Ci中所含節(jié)點(diǎn)的數(shù)目；：簇Ci中第j個(gè)節(jié)點(diǎn)的讀數(shù)；ˉXi：簇Ci中節(jié)點(diǎn)讀數(shù)的平均值；α：顯著性水平，在文中的含義為虛警率；K：受攻擊節(jié)點(diǎn)數(shù)目。

令簇Ci中節(jié)點(diǎn)感知數(shù)據(jù)服從期望值為μi（i=1，2，…，r）、方差為σ2的正態(tài)獨(dú)立同分布。檢驗(yàn)H0：μ1=μ2=…=μr；H1：μ1，μ2，…，μr不全相等。當(dāng)無(wú)線傳感器網(wǎng)絡(luò)沒(méi)有遭受攻擊時(shí)H0成立，否則H1成立。

由于未遭受攻擊的傳感器節(jié)點(diǎn)讀數(shù)服從獨(dú)立同分布，根據(jù)中心極限定律，簇Ci中各傳感器讀數(shù)之和Yi服從高斯分布，即

則簇Ci中樣本數(shù)據(jù)的平均值ˉXi服從分布

上海誠(chéng)達(dá)物流作為第三方運(yùn)輸公司，提供專業(yè)的第三方運(yùn)輸服務(wù)。但與運(yùn)輸相關(guān)的其他第三方物流服務(wù)并有涉及，導(dǎo)致了上海誠(chéng)達(dá)物流公司服務(wù)產(chǎn)品的單一性。

基站對(duì)接收到的各簇均值進(jìn)行比較，選擇均值最大的簇作為Cz。當(dāng)i≠z時(shí)，ˉXi與ˉXz相互獨(dú)立，由高斯分布的性質(zhì)可知：

由于V1，V2，…，Vr（i=1，2，…，r，i≠z）獨(dú)立同分布于標(biāo)準(zhǔn)正態(tài)分布，有

其中，SE為組內(nèi)偏差平方和。

在簇Ci中，感知數(shù)據(jù)的樣本方差為

又因Xij獨(dú)立同分布，所以式（6）中各平方和項(xiàng)均相互獨(dú)立。由χ2分布的相加性可得：

由于FX和FY分別服從自由度為（r-1）和（n-r）的χ2分布，且FX和FY相互獨(dú)立，由F分布的定義知［10］：

將式（5）、式（9）代入式（10）得：

將μ1=μ2=…=μr代入式（11）并化簡(jiǎn)得假設(shè)檢驗(yàn)H0的統(tǒng)計(jì)量為

故虛警率恒為α?xí)r的拒絕域?yàn)?/p>

式中，F(xiàn)α（r-1，n-r）為F（r-1，n-r）上的α分位點(diǎn)。

將WSN各簇感知數(shù)據(jù)代入式（12），若求得的結(jié)果滿足式（13），則認(rèn)為假設(shè)H0不成立，即傳感器網(wǎng)絡(luò)中存在攻擊，反之，則認(rèn)為網(wǎng)絡(luò)中不存在攻擊。

與二分比較法［5］、卡方檢驗(yàn)法［6］和t檢驗(yàn)法［8］相比，新算法有以下優(yōu)點(diǎn)。

1）由式（12）可以看出，新算法不僅考慮了簇間均值的差異，還考慮了組內(nèi)偏差平方和，而二分比較法僅通過(guò)判斷殘差的期望是否為零來(lái)檢測(cè)攻擊，卡方檢驗(yàn)法也只考慮了組內(nèi)偏差平方和，所以新算法的檢測(cè)率更高。雖然新算法與t檢驗(yàn)法考慮的因素相同，但與t檢驗(yàn)法的攻擊檢測(cè)公式相比，新算法放大了簇間均值差異的影響，而弱化了組內(nèi)偏差平方和的影響。

2）新算法采用了分簇模型，較二分比較法能獲得較低能耗。對(duì)于均勻分簇和非均勻分簇，式（12）均適用，而卡方檢驗(yàn)法在均勻分簇和非均勻分簇情況下的檢測(cè)公式不同，計(jì)算復(fù)雜度較高。

3）新算法要求的先驗(yàn)信息較少，不需要感知數(shù)據(jù)的期望和方差信息，而二分比較法和卡方檢驗(yàn)法都要求方差已知。

3 性能仿真

將100個(gè)傳感器節(jié)點(diǎn)隨機(jī)部署在100m×100m的區(qū)域內(nèi)，為方便考慮，假定在WSN中不存在攻擊時(shí)，節(jié)點(diǎn)感知數(shù)據(jù)服從標(biāo)準(zhǔn)正態(tài)分布，且虛警率α=0.05。由于二分比較法和t檢驗(yàn)法都只對(duì)增量攻擊進(jìn)行了討論，文中在增量攻擊下將新算法與二分比較法和t檢驗(yàn)法進(jìn)行Matlab仿真實(shí)驗(yàn)對(duì)比。計(jì)算機(jī)仿真中均進(jìn)行2 000次的蒙特卡洛實(shí)驗(yàn)。

考慮聚合函數(shù)為求均值的情況，當(dāng)有K個(gè)節(jié)點(diǎn)遭到攻擊時(shí)，攻擊者對(duì)數(shù)據(jù)匯聚結(jié)果所造成的偏差為

式中：d為攻擊所造成的偏差；ΔA為攻擊增量。

3.1 新算法與二分比較法的性能比較

在WSN中，非均勻分簇的應(yīng)用較為廣泛，所以文中對(duì)非均勻分簇下的新算法和集中式數(shù)據(jù)匯聚模型下的二分比較法進(jìn)行了仿真對(duì)比。將網(wǎng)絡(luò)劃分為節(jié)點(diǎn)數(shù)分別為10，15，20，25，30的5個(gè)簇，此時(shí)門限值Fα=2.467 5。

圖2為K=2和K=19時(shí)新算法與二分比較法的仿真結(jié)果對(duì)比。當(dāng)K=2和K=19時(shí)，新算法的攻擊檢測(cè)率較二分比較法有明顯提高，這是因?yàn)樾滤惴ňC合考慮了簇間均值差異及組內(nèi)偏差平方和的影響，而二分比較法僅考慮了兩部分?jǐn)?shù)據(jù)的殘差。在K=2時(shí)二分比較法的檢測(cè)率收斂于0.5，而無(wú)法收斂于1。仿真實(shí)驗(yàn)表明，當(dāng)受攻擊節(jié)點(diǎn)數(shù)為偶數(shù)時(shí)二分比較法的攻擊檢測(cè)率都無(wú)法收斂于1，因?yàn)槿舻确值膬刹糠謹(jǐn)?shù)據(jù)所包含的受攻擊節(jié)點(diǎn)數(shù)相等時(shí)，兩部分?jǐn)?shù)據(jù)的殘差的期望將為零。而新算法則不存在這種問(wèn)題，能夠彌補(bǔ)二分比較法的這一缺陷。

圖2 新算法與二分比較法的性能對(duì)比Fig.2 Comparison between the new algorithm and SC

3.2 新算法與t檢驗(yàn)法的性能比較

筆者針對(duì)無(wú)線傳感器網(wǎng)絡(luò)非均勻分簇和均勻分簇2種情形對(duì)新算法進(jìn)行仿真實(shí)驗(yàn)，并在相同實(shí)驗(yàn)條件下與t檢驗(yàn)法進(jìn)行了對(duì)比分析。由于t檢驗(yàn)法的檢測(cè)率與參考簇的選取有關(guān)，且在參考簇選為受攻擊簇時(shí)的檢測(cè)率較高，本文只對(duì)t檢驗(yàn)法的參考簇選為受攻擊簇時(shí)與新算法進(jìn)行了仿真對(duì)比。

3.2.1 非均勻分簇時(shí)的仿真比較

將無(wú)線傳感器網(wǎng)絡(luò)劃分為節(jié)點(diǎn)數(shù)分別為10，15，20，25，30的5個(gè)簇，此時(shí)門限值Fα=2.467 5。

圖3為K=9和K=35時(shí)攻擊檢測(cè)率隨偏差變化的仿真結(jié)果。當(dāng)K=9時(shí)，新算法的檢測(cè)效果略好于t檢驗(yàn)法；當(dāng)K=35時(shí)，新算法的攻擊檢測(cè)率明顯高于t檢驗(yàn)法。與t檢驗(yàn)法相比，新算法放大了簇間均值差異的影響，并弱化了組內(nèi)偏差平方和的影響。當(dāng)網(wǎng)絡(luò)中對(duì)某些簇的攻擊達(dá)到飽和（即該簇有半數(shù)以上的節(jié)點(diǎn)遭到攻擊）時(shí)，組內(nèi)偏差平方和會(huì)使算法的攻擊檢測(cè)率降低［8］，所以新算法的攻擊檢測(cè)率較高。

圖4為攻擊增量為2時(shí)攻擊檢測(cè)率隨受攻擊節(jié)點(diǎn)數(shù)K變化的仿真結(jié)果。當(dāng)攻擊增量為2時(shí)，K＜10時(shí)新算法的檢測(cè)率稍高，10≤K＜30時(shí)兩者的檢測(cè)率相當(dāng)。當(dāng)K≥30時(shí)，受組內(nèi)偏差平方和的影響，t檢驗(yàn)法的檢測(cè)率下降，而新算法的檢測(cè)率則穩(wěn)定于1。

圖3 非均勻分簇ΔA變化時(shí)新算法與t檢驗(yàn)法的性能Fig.3 Comparison between the new algorithm and t-test algorithm（ΔAis variable and the network is un-uniform）

圖4 非均勻分簇K變化時(shí)新算法與t檢驗(yàn)法的性能對(duì)比Fig.4 Comparison between the new algorithm and t-test algorithm（Kis variable and the network is un-uniform）

在非均勻分簇時(shí)，當(dāng)攻擊節(jié)點(diǎn)數(shù)K=16時(shí)新算法與t檢驗(yàn)法的抗噪聲性能對(duì)比如圖5所示，新算法在信噪比為0dB和-5dB時(shí)的攻擊檢測(cè)率都要高于t檢驗(yàn)法，故新算法對(duì)網(wǎng)絡(luò)噪聲干擾的穩(wěn)健性要強(qiáng)于t檢驗(yàn)法。

3.2.2 均勻分簇時(shí)的仿真比較

將WSN均勻劃分為10個(gè)簇，各簇節(jié)點(diǎn)數(shù)均為10，求出門限值Fα=1.985 6。

圖6為K=2和K=45時(shí)攻擊檢測(cè)率隨偏差變化的仿真結(jié)果。由圖6可知，當(dāng)WSN均勻分簇時(shí)，K較小時(shí)新算法的檢測(cè)效果略好于t檢驗(yàn)法，K較大時(shí)新算法的攻擊檢測(cè)率明顯高于t檢驗(yàn)法。在同一偏差下，如偏差為0.2時(shí)，新算法在K=2時(shí)的檢測(cè)率為1，K=45時(shí)的檢測(cè)率則為0.2，K越大檢測(cè)率反而越低。這是因?yàn)橐_(dá)到同一偏差，新算法在K較小時(shí)，對(duì)受攻擊節(jié)點(diǎn)施加的攻擊增量越大；且K值越小越易把受攻擊的節(jié)點(diǎn)集中在較少的簇中，而值越大受攻擊節(jié)點(diǎn)的分布則可能越分散。

圖5 非均勻分簇時(shí)新算法與t檢驗(yàn)法的抗噪聲性能Fig.5 Comparison of performance against noise jamming between the new algorithm and t-test algorithm when the network is un-uniform

圖6 均勻分簇ΔA變化時(shí)新算法與t檢驗(yàn)法的比較Fig.6 Comparison between the new algorithm and t-test algorithm（ΔAis variable and the network is uniform）

在均勻分簇的情況下，K=16時(shí)新算法與t檢驗(yàn)法的抗噪聲性能對(duì)比如圖7所示，新算法在信噪比為0dB和-5dB時(shí)的攻擊檢測(cè)率都要高于t檢驗(yàn)法，這是因?yàn)樾滤惴ㄍㄟ^(guò)增大簇間均值在攻擊檢測(cè)時(shí)所占的比例來(lái)降低噪聲影響，新算法對(duì)網(wǎng)絡(luò)噪聲的穩(wěn)健性要優(yōu)于t檢驗(yàn)法。

圖7 均勻分簇時(shí)新算法與t檢驗(yàn)法的抗噪聲性能Fig.7 Comparison of performance against noise jamming between the new algorithm and t-test algorithm when the network is uniform

4 結(jié) 語(yǔ)

針對(duì)現(xiàn)有WSN攻擊檢測(cè)算法存在的不足，提出了一種基于F分布的無(wú)線傳感器網(wǎng)絡(luò)攻擊檢測(cè)方法。該方法對(duì)傳感器節(jié)點(diǎn)感知數(shù)據(jù)的先驗(yàn)信息要求較少，攻擊檢測(cè)率較高，且對(duì)網(wǎng)絡(luò)噪聲干擾的穩(wěn)健性較強(qiáng)。理論分析和實(shí)驗(yàn)仿真結(jié)果表明，文中算法的攻擊檢測(cè)性能要優(yōu)于現(xiàn)有的攻擊檢測(cè)算法。下一步的研究重點(diǎn)是搭建無(wú)線傳感器網(wǎng)絡(luò)實(shí)驗(yàn)平臺(tái)，對(duì)新方法在實(shí)際無(wú)線傳感器網(wǎng)絡(luò)中的應(yīng)用效果進(jìn)行驗(yàn)證。

［1］ 羅永健，丁小勇，羅相根，等.一種有效的無(wú)線傳感器網(wǎng)絡(luò)數(shù)據(jù)復(fù)原匯聚方法［J］.數(shù)據(jù)采集與處理（Journal of Data Acquisition and Processing），2011，29（1）：90-94.

［2］ WAGNER D.Resilient aggregation in sensor networks［A］.Proceedings of the 2nd ACM Workshop on Security of Ad Hoc and Sensor Networks［C］.Washington D C：ACM New York Press，2004.78-87.

［3］ ZIA T，ZOMAYA A.A security framework for wireless sensor networks［A］.Proceedings of the 2006IEEE Sensors Applications Symposium［C］.Houston：IEEE，2006.49-53.

［4］ HAOWEN C，ADRIAN P，DAWN S.Secure hierarchical in-network aggregation in sensor networks［A］.Proceedings of CCS’06［C］.Virginia：ACM New York Press，2006.278-287.

［5］ BUTTYAN L，SCHAFFER P，VAJDA I.Resilient aggregation with attack detection in sensor networks［A］.Proceedings of the Fourth Annual IEEE International Conference on Pervasive Computing and Communications［C］.Washington D C：IEEE Computer Society Press，2006.332-336.

［6］ LUO Yong-jian，YANG Xin，ZHANG Xu.An effective resilient data aggregation algorithm in wireless sensor networks［A］.2007International Conference on Wireless Communication，Networking and Mobile Computing［C］.NJ：IEEE Press Piscataway，2007.2 642-2 645.

［7］ SHU Qin-ren，JONG S P.Density mining based resilient data aggregation for wireless sensor networks［A］.Fourth International Conference on Networked Computing and Advanced Information Management［C］.Washington D C：IEEE Computer Society Press，2008.261-266.

［8］ LUO Yong-jian，DING Xiao-yong，WU Gang，et al.A novel attack detection algorithm based ont-distribution in wireless sensor networks［A］.2009International Conference on Wireless Communications［C］.NJ：IEEE Press Piscataway，2009.1-4.

［9］ ROBERTO D P，PIETRO M，REFIK M.Confidentiality and integrity for data aggregation in WSN using peer monitoring［J］.Security and Communication Networks，2009，2（2）：181-194.

［10］ 費(fèi) 宇.應(yīng)用數(shù)理統(tǒng)計(jì)［M］.北京：科學(xué)出版社，2007.