基于模糊數學的MANET惡意節(jié)點識別

王 亞，熊 焰，龔旭東，陸琦瑋

(1. 中國科學技術大學計算機科學與技術學院，合肥 230027；2. 阜陽師范學院計算機與信息學院，安徽 阜陽 236037)

基于模糊數學的MANET惡意節(jié)點識別

王 亞1,2，熊 焰1，龔旭東1，陸琦瑋1

(1. 中國科學技術大學計算機科學與技術學院，合肥 230027；2. 阜陽師范學院計算機與信息學院，安徽 阜陽 236037)

移動Ad hoc網絡(MANET)是一種無線自組織網絡，易受內部惡意節(jié)點攻擊。針對由于網絡內部攻擊行為復雜而導致內部惡意節(jié)點不易識別的問題，提出一種基于模糊數學理論的MANET內部惡意節(jié)點識別方法。通過分析節(jié)點通信行為，建立由節(jié)點平均包轉發(fā)延遲、轉發(fā)率和丟包率組成的屬性向量，利用最大隸屬度原則進行分類識別。設置不同的仿真場景和惡意節(jié)點密度，采用NS2軟件進行仿真實驗，結果表明，該方法能識別多數內部惡意節(jié)點，雖然惡意節(jié)點密度對識別結果影響較大，但在惡意節(jié)點密度為30%的情況下，仍能保持96%以上的識別率和5%以下的誤檢率。

移動Ad hoc網絡；惡意節(jié)點；模式識別；模糊數學；隸屬度

1 概述

隨著移動通信技術和設備的迅速發(fā)展，移動Ad hoc網絡(Mobile Ad hoc Network, MANET)已經在安全通信領域[1]得到了廣泛應用。MANET是由相互合作的移動節(jié)點組成的自組織無線網絡，無需基礎網絡設施即可通信。網絡節(jié)點不僅具有主機功能，同時還兼具報文轉發(fā)的路由功能。但MANET采取合作的路由機制，缺乏中心管理節(jié)點，很難確保在網絡中合作節(jié)點是正常的。另外節(jié)點在移動過程中致使網絡拓撲結構動態(tài)變化，使得檢測和識別惡意節(jié)點比較困難。同時節(jié)點能量有限，使得設計安全方案時，需要注意方案的復雜性。

網絡攻擊可以從協議各層發(fā)起，若由路由層發(fā)起的攻擊，則具有攻擊性強的特點，是目前網絡攻擊研究的熱點[2]，該層攻擊可以分為外部攻擊和內部攻擊。外部攻擊主要針對無正確授權的控制包和數據包，因此，可采用密碼和認證機制很容易地阻止該類攻擊。而內部攻擊是由內部被俘節(jié)點發(fā)起的[3]，并且節(jié)點已經獲取認證和密碼信息，即通過了身份認證，所以，其發(fā)起的攻擊行為更具有破壞性。由于惡意節(jié)點總是通過與其他節(jié)點進行通信來發(fā)起網絡攻擊行為。比如，貪婪攻擊(Greedy)——節(jié)點對收到的數據包不繼續(xù)轉發(fā)，而優(yōu)先發(fā)送自己的數據包，和拒絕服務攻擊中的消息延遲轉發(fā)攻擊類似；選擇性轉發(fā)(Selective Forwarding)——選擇性丟棄一些數據包；黑洞攻擊(Blackhole)——通過謊稱到目的地的新鮮路徑，吸引所有的數據包，但并沒有轉發(fā)到目標，即丟掉需要轉發(fā)的所有數據包，也是拒絕服務攻擊的一種。這些內部網絡攻擊形式，直接干擾了MANET正常通信，造成嚴重的網絡通信安全問題。因此，研究如何識別內部惡意節(jié)點具有重要意義。

在日趨復雜的網絡環(huán)境下，處理信息具有不確定性，也即由于信息差異的中間過渡性所引起劃分上的不確定性，使其具有“亦此亦彼”的模糊性，因此信息完全歸屬的分類是很難獲得的，并且由于MANET的計算和存儲能力有限，使得傳統(tǒng)的識別分類算法已經不能滿足MANET的需求[4]。如：K最近鄰(K-Nearest Neighbor, KNN)算法需要的計算量和存儲量太大；最大似然方法處理缺乏先驗知識的多維復雜問題效果不佳；SVM雖然對小樣本的二分類問題有很好的分類性能和泛化能力，但對于復雜問題，提取的支持向量很多，對計算和存儲要求很高；BP算法對復雜問題具有良好的擬合能力，但泛化能力較差，且訓練方法十分復雜。

針對上述模糊不確定性問題，研究者通常采用模糊數學理論來解決[5]。模糊數學是處理模糊信息的工具，用數學的方法去描述模糊現象，揭示模糊現象的本質和規(guī)律。在科學分析和決策中，經常需要對某一事物進行判斷、識別和歸類。在處理一些模式識別的問題，如圖像、文字的識別，疾病、故障的診斷，礦藏情況的判別，指紋、臉形的識別[6]等，以及傳感器信息融合目標識別[7]中，都取得了較成功的應用。此外，文獻[8-9]將模糊數學理論應用在網絡安全領域進行攻擊識別，從而對入侵檢測系統(tǒng)性能進行綜合評判。

本文主要針對MANET中從路由層發(fā)起攻擊的內部惡意節(jié)點，分析節(jié)點通信行為，確定內部惡意節(jié)點的屬性，并建立由多個屬性組成的屬性向量，采用模糊數學理論進行惡意節(jié)點識別。

2 節(jié)點屬性建模

內部惡意節(jié)點破壞網絡通信狀態(tài)和路由信息的完整性及正確性[10]，阻礙節(jié)點間正常通信，并且消耗有限的網絡資源，對網絡通信的危害較大。上文介紹的幾種攻擊形式，雖然攻擊方式各有不同，但總體上都可以看成是拒絕服務攻擊中的連通性攻擊。所以，需要分析節(jié)點的通信行為，確定識別內部惡意節(jié)點幾個屬性，并建立由多個屬性值組成的屬性向量[11]。

在MANET數據包傳輸過程中，若某節(jié)點是目標節(jié)點，則成功接收數據處理；若是中間節(jié)點，則根據路由協議進行轉發(fā)數據包，正常轉發(fā)時包轉發(fā)率、包平均轉發(fā)延遲時間以及丟包率都在一定的范圍內浮動[12]。若有破壞正常網絡通信行為的內部網絡攻擊行為出現，則這些值會出現大幅度的變化。所以，在考慮節(jié)點是否積極參與數據傳輸，也即通信行為是否正常，同時參考文獻[3,11]，選取和內部惡意節(jié)點通信行為密切相關的3個屬性：節(jié)點的平均包轉發(fā)延遲，轉發(fā)率和丟包率。

定義1 平均包轉發(fā)延遲：

3 基于模糊數學理論的惡意節(jié)點識別算法

3.1 最大隸屬度原則

3.2 閾值原則

3.3 正態(tài)分布

3.4 識別算法流程

一般模式識別過程可分為信息(數據)獲取、特征提取和選擇、建立隸屬函數和匹配分類4個步驟，在最后步驟運用模糊數學理論，即為模糊模式識別。

步驟1信息(數據)獲取。在仿真實驗中利用腳本文件收集正常數據集作為樣本進行分析，收集惡意節(jié)點攻擊數據集作為識別對象，該步是整個實驗的前提工作。

步驟2特征提取和選擇。從識別對象中提取和識別相關特征，并度量這些特征。即對記錄仿真過程trace文件，利用第2節(jié)中節(jié)點屬性建模中定義的公式，提取出所需各節(jié)點屬性值，其特征提取過程如下：(1)對無線trace舊格式文件進行分析；(2)記錄事件動作(發(fā)送、轉發(fā)和丟棄)；(3)記錄事件發(fā)生的節(jié)點號、時間；(4)根據公式得到節(jié)點的轉發(fā)延遲、轉發(fā)率和丟包率。

步驟3建立隸屬函數。模糊模式識別中，如何構建隸屬函數是個難點。在提取屬性參數時，由于節(jié)點屬性值具有隨機性，符合正態(tài)分布，因此可以使用正態(tài)形隸屬函數。

步驟4匹配分類。選擇最大隸屬原則作為識別判決準則，并用之待識別對象，其匹配分類過程如下：(1)統(tǒng)計各屬性的均值與方差；(2)利用式(4)對各屬性標準化，使其服從標準正態(tài)分布；(3)利用式(6)得到各屬性的隸屬度；(4)根據最大隸屬度原則，利用式(1)對各屬性的隸屬度進行比較；(5)將得到的識別對象最大隸屬度與設定閾值進行比較；(6)獲得識別分類結果。

4 實驗仿真

4.1 實驗場景設置

本文實驗采用NS2軟件[15]進行仿真，版本為2.35，仿真測試參數的設置如表1所示。

表1 仿真測試參數設置

設置多種場景：場景1：網絡覆蓋范圍：670 m×670 m，節(jié)點數：20個；場景2：網絡覆蓋范圍：1 000 m×1 000 m，節(jié)點數：50個，其他參數如表1所示。其中，場景2節(jié)點密度要高于場景1節(jié)點密度。根據表1中測試參數，使用cbrgen工具來產生CBR流量，生成流量文件。同時使用setdest來隨機產生無線網絡仿真所需場景，生成隨機移動場景文件，并且節(jié)點分別以3種速度在網絡覆蓋范圍內移動，移動暫停時間都設為30 s。

4.2 仿真過程

針對設置的多個隨機移動場景，運行tcl腳本文件，仿真結束后生成記錄仿真過程的trace文件[16]。然后利用awk工具對trace文件進行分析，生成awk文件，以獲取各節(jié)點相應屬性。將設置的仿真場景運行10次，即可收集10組樣本集，以便分析得出相應屬性均值、方差及分布情況。仿真過程如圖1所示。

圖1 仿真過程

5 實驗數據分析

5.1 正常樣本集處理

對收集的10組正常數據樣本進行處理，根據場景特征即節(jié)點個數和移動速度，得到該場景下所有節(jié)點相應屬性的均值和標準差，處理結果如圖2和圖3所示。圖3中所示場景節(jié)點密度要高于圖2節(jié)點密度。可以看出，圖3中各節(jié)點的屬性值趨于平穩(wěn)，而圖2中會出現一些小的波動。分析發(fā)現在相對稀疏的節(jié)點密度場景中，可能會出現離群節(jié)點，其屬性值和其他節(jié)點差別較大。因此，可以得出結論：不同節(jié)點密度的場景對節(jié)點檢測結果會有一定影響。

圖2 不同速度下3個屬性的平均值(20個節(jié)點)

圖3 不同速度下3個屬性的平均值(50個節(jié)點)

可以看出，當存在離群節(jié)點時，節(jié)點屬性值波動范圍較大，但從總體分析來看，各節(jié)點屬性值均在一個范圍內進行較小的波動。在不同的節(jié)點移動速度下，以上多個屬性圖中3條曲線都基本吻合，這說明節(jié)點的移動速度對3個屬性值的統(tǒng)計影響并不大。因此，下文實驗選擇了中間速度5 m/s為節(jié)點的移動速度。

5.2 惡意節(jié)點添加

仿真實驗采用AODV路由協議，修改源碼aodv.cc和aodv.h，設置3類惡意標簽greedy、selectfowd和blackhole，分別實現貪婪攻擊、選擇性轉發(fā)和黑洞攻擊，并在相應的tcl腳本文件中添加惡意節(jié)點。由于惡意節(jié)點密度會對識別結果造成影響，因此在場景布置中又分別設置了不同惡意節(jié)點密度，以觀察惡意節(jié)點密度對識別惡意節(jié)點的影響程度，具體如表2所示。

表2 不同場景中惡意節(jié)點布置情況

5.3 識別過程及結果

圖4 不同惡意節(jié)點密度下3個屬性值的隸屬度(20個節(jié)點)

圖5 不同惡意節(jié)點密度下3個屬性值的隸屬度(50個節(jié)點)

若僅以最大隸屬度值進行判斷，會出現較高的誤判率，由于每個屬性的評判標準存在一些差異，不能用統(tǒng)一標準去衡量。因此，為提高識別率、降低誤判率，本文分別對每類隸屬度值設置相應閾值，進而將最大隸屬度原則與閾值原則結合進行識別。通過對不同惡意節(jié)點密度場景進行多次實驗，取10次實驗數據最終確定相應閾值為

對惡意節(jié)點識別結果，主要從正確識別率和錯誤判斷率2個指標進行比較，其中：節(jié)點識別率=正確識別為惡意節(jié)點數/總的惡意節(jié)點數×100%；節(jié)點誤判率=錯誤識別為惡意節(jié)點數/總的正常節(jié)點數×100%。分析圖4可知，在惡意節(jié)點密度為10%的20個節(jié)點場景中，節(jié)點的識別率很高，基本保持在100%；誤判率較低，基本保持在1%左右。但在多次實驗中，偶爾會出現設置的惡意節(jié)點在場景中成為離群節(jié)點，會導致識別率急劇下降，所以，對節(jié)點識別率及誤判率的統(tǒng)計取10次實驗均值。在場景2中，沒有出現類似情況。而隨著惡意節(jié)點密度增加，誤判率會有所上升，上升至3%～4%；識別率會降至98%左右。在惡意節(jié)點密度為10%的50個節(jié)點場景2中，節(jié)點識別率和誤判率都有所下降，識別率在98%，誤判率在2%～3%。而隨著惡意節(jié)點密度增加，誤判率會有所上升，上升至3%～5%；識別率會降至96%左右。對實驗數據分析可以看出，當惡意節(jié)點密度過大時，節(jié)點間相互影響程度會逐漸提高，識別率和誤判率都會受到很大影響。當節(jié)點密度過大，網絡通信會變得繁忙，節(jié)點間的通信沖突也會增加有限的網絡帶寬。

6 結束語

針對網絡內部攻擊行為復雜性使內部惡意節(jié)點不易識別的問題，本文提出基于模糊數學理論識別內部惡意節(jié)點的方法。分析節(jié)點通信行為，提取節(jié)點的包轉發(fā)延遲、轉發(fā)率和丟包率3個屬性，在對屬性建模的基礎上，通過最大隸屬度原則識別惡意節(jié)點。采用NS2進行仿真驗證，結果表明，本文方法能識別多數的內部惡意節(jié)點。從實驗結果看，節(jié)點移動速度對節(jié)點識別率和誤判率影響不大，但節(jié)點數量和惡意節(jié)點密度產生的影響較大。隨著節(jié)點惡意密度增加，誤檢率會有所提升，但本文方法在50個節(jié)點惡意節(jié)點密度為30%時，誤檢率能到達5%以下，識別率能達到96%以上。為更好地提高識別率和降低誤檢率，可繼續(xù)在此基礎上進行優(yōu)化學習。

[1] 易 平, 蔣嶷川, 張世永, 等. 移動Ad hoc 網絡安全綜述[J].電子學報, 2005, 33(5): 893-899.

[2] Ehsan H, Khan F A. Malicious AODV: Implementation and Analysis of Routing Attacks in MANETs[C]//Proc. of TrustCom’12. Liverpool, UK: IEEE Press, 2012: 1181-1187.

[3] Liu Fang, Cheng Xiuzhen, Chen Dechang. Insider Attacker Detection in Wireless Sensor Networks[C]//Proc. of INFOCOM’07. Anchorage AK, USA: IEEE Press, 2007: 1937-1945.

[4] Sun Bo, Lawrence O, Xiao Yang, et al. Intrusion Detection Techniques in Mobile Ad Hoc and Wireless Sensor Networks[J]. Wireless Communications, 2007, 14(5): 56-63.

[5] Gong Xudong, Xiong Yan, Lu Qiwei. A Trusted Ad Hoc Routing Protocol Based on Fuzzy Mathematics[J]. Chinese Journal of Electronics, 2013, 22(1): 155-159.

[6] 張曾科. 模糊數學在自動化技術中的應用[M]. 北京: 清華大學出版社, 1997.

[7] 劉 兵, 李 輝, 邢 剛. 基于加權證據理論的模糊信息融合目標識別[J]. 計算機工程, 2012, 38(15): 172-174.

[8] Cao Yan, Zhang Lijuan, Wu Hao. An Evaluation System for Network Attack Effect Based on Fuzzy[C]//Proc. of EBISS’09. [S. l.]: IEEE Press, 2009: 1-5.

[9] 穆成坡, 黃厚寬, 田盛豐. 基于多層模糊綜合評判的入侵檢測系統(tǒng)報警驗證[J]. 計算機應用, 2006, 26(3): 553-557.

[10] Nadeem A, Howarth M. A Survey of MANET Intrusion Detection & Prevention Approaches for Network Layer Attacks[J]. Communications Surveys & Tutorials, 2013, 15(4): 2027-2045.

[11] 劉華博, 崔建明, 戴鴻君. 基于多元分類的無線傳感器網絡惡意節(jié)點檢測算法[J]. 傳感技術學報, 2011, 24(5): 771-777.

[12] Yu Zhenwei, Tsai J J. A Framework of Machine Learning Based Intrusion Detection for Wireless Sensor Networks[C]// Proc. of SUTC’08. [S. l.]: IEEE Press, 2008: 272-279.

[13] 梁保松, 曹殿立. 模糊數學及其應用[M]. 北京: 科學出版社, 2007.

[14] Srinivasan R A, Spiegel M R, Schiller J J. 全美經典學習指導系列·概率與統(tǒng)計[M]. 孫山澤, 戴中維, 譯. 北京: 科學出版社, 2002.

[15] 于 斌. NS2與網絡模擬[M]. 北京: 人民郵電出版社, 2007.

[16] 柯志亨, 程榮祥, 鄧德雋. NS2仿真實驗: 多媒體和無線網絡通信[M]. 北京: 電子工業(yè)出版社, 2009.

編輯 金胡考

Malicious Node Identification in MANET Based on Fuzzy Mathematics

WANG Ya1,2, XIONG Yan1, GONG Xu-dong1, LU Qi-wei1

(1. College of Computer Science and Technology, University of Science and Technology of China, Hefei 230027, China; 2. School of Computer and Information, Fuyang Teachers College, Fuyang 236037, China)

Mobile Ad hoc Network(MANET) is a wireless Ad hoc network, and it is vulnerable to be attacked by inside malicious nodes. For the complexity of inside attack behavior, the malicious nodes are difficult to be identified. In order to solve this problem, this paper presents a method of identifying inside malicious nodes based on fuzzy mathematics. By analyzing the node’s communication behavior, it finds an attribute vector which consists of node’s average packet forwarding delay, forwarding ratio and packet loss ratio, then classifies it using the principle of maximum membership grade. Experiment simulates on the NS2 software, and sets different simulation scenarios and malicious node density. The simulation results show that the moving speed of nodes has little impact on the recognition results, while the malicious density has larger impact. Even the malicious nodes are rather dense, reaching 30%, a high recognition ratio still maintains more 96%, and the false recognition ratio is less 5%.

Mobile Ad hoc Network(MANET); malicious node; pattern recognition; fuzzy mathematics; membership grade

10.3969/j.issn.1000-3428.2014.05.028

國家自然科學基金資助項目(61170233, 61232018, 61300170)；全國統(tǒng)計科研計劃基金資助項目(2012LY009)。

王 亞(1980－)，女，講師、碩士，主研方向：網絡安全，模式識別；熊 焰，教授、博士生導師；龔旭東、陸琦瑋，博士研究生。

2013-05-28

2013-07-01E-mail：wangya@fync.edu.cn

1000-3428(2014)05-0134-05

A

TP393.08