基于流量參數(shù)-區(qū)域清除機制的移動物聯(lián)網(wǎng)入侵監(jiān)測算法

張飛雁

（陜西交通職業(yè)技術(shù)學院陜西西安 710018）

物聯(lián)網(wǎng)技術(shù)作為“中國制造2025”核心應(yīng)用領(lǐng)域，在新經(jīng)濟結(jié)構(gòu)轉(zhuǎn)型過程中起到日益重要的基礎(chǔ)性作用，促進了諸如“工業(yè)化4.0”、“智慧制造”等產(chǎn)業(yè)蓬勃發(fā)展［1］。隨著移動通信技術(shù)與物聯(lián)網(wǎng)技術(shù)在產(chǎn)業(yè)分工中不斷融合，諸如節(jié)點劫持、流量入侵等安全攻擊風險也在物聯(lián)網(wǎng)領(lǐng)域逐步產(chǎn)生不利影響，特別是攻擊者采取一些黑產(chǎn)手段侵入物聯(lián)網(wǎng)絡(luò)進行數(shù)據(jù)偽造、身份搜集，以及致流量癱瘓等，對物聯(lián)網(wǎng)及相關(guān)產(chǎn)業(yè)的正常運轉(zhuǎn)造成嚴重后果［2］。因此，采取必要的入侵監(jiān)測機制，對入侵行為及節(jié)點進行阻斷，成為當前物聯(lián)網(wǎng)研究領(lǐng)域的主要關(guān)注點之一［3］。

當前，研究者主要通過一些特征匹配模式，試圖從海量監(jiān)測數(shù)據(jù)中獲取入侵指紋特征，以便能夠較好地針對入侵行為進行及時檢測［4］。如Tabassum［5］等嘗試引入?yún)^(qū)塊鏈校驗方案，提出了一種基于多點識別機制的物聯(lián)網(wǎng)入侵監(jiān)測算法，首先采取網(wǎng)絡(luò)編碼技術(shù)對新加入節(jié)點進行全網(wǎng)唯一編碼并引入廣播機制進行點校驗，任意節(jié)點在接收數(shù)據(jù)前均需要同時與鄰域節(jié)點及sink 節(jié)點實現(xiàn)匹配鑒權(quán)，若未能通過鑒權(quán)則將被直接判定為入侵節(jié)點，有效提高了鑒定過程的有效性，惡意節(jié)點入侵難度較高，監(jiān)測性能卓越。然而，該算法對網(wǎng)絡(luò)性能要求較高，需要頻繁進行雙向點對點通信，使得擁塞控制性能較差，極易出現(xiàn)傳輸癱瘓現(xiàn)象。Kalyani［6］等考慮到DDos 等流量攻擊造成的峰值特征更迭，提出了一種基于異常峰值分布列鑒權(quán)機制的物聯(lián)網(wǎng)入侵監(jiān)測算法，針對物聯(lián)網(wǎng)數(shù)據(jù)傳輸具有的周期特性，實時根據(jù)時移性對峰值分布進行動態(tài)識別，可顯著增強對惡意節(jié)點的捕捉效率，部署較為便捷。但是，該算法僅從峰值特點對惡意攻擊行為進行識別，存在誤判嚴重的情況，鑒權(quán)過程對網(wǎng)絡(luò)傳輸性能的影響較大，可用性不強。Ashaj［7］等基于物聯(lián)網(wǎng)簇節(jié)點層次分割機制，提出了一種新的物聯(lián)網(wǎng)入侵監(jiān)測算法，通過利用物聯(lián)網(wǎng)分區(qū)數(shù)據(jù)具有的唯一性特點，采取預(yù)設(shè)監(jiān)測節(jié)點并將ID 通過廣播方式注入物聯(lián)網(wǎng)分區(qū)數(shù)據(jù)報文，數(shù)據(jù)接收過程將根據(jù)預(yù)設(shè)ID 進行區(qū)域鑒權(quán)，提高對激發(fā)狀態(tài)的惡意節(jié)點監(jiān)測強度，捕捉效率較高。但是，該算法也存在一定的不足，特別是該算法需要針對網(wǎng)絡(luò)分區(qū)進行節(jié)點預(yù)部署，對網(wǎng)絡(luò)資源的占用幅度較高，難以適應(yīng)高密度物聯(lián)節(jié)點的部署場景。

針對當前研究中存在的不足，本文提出了一種基于流量參數(shù)-區(qū)域清除機制的移動物聯(lián)網(wǎng)入侵監(jiān)測算法。結(jié)合惡意攻擊所對應(yīng)的數(shù)據(jù)流量特征，采取帶寬峰值等參數(shù)構(gòu)建流量參數(shù)鑒權(quán)機制，可實現(xiàn)大范圍內(nèi)的惡意節(jié)點清除效果。此外，考慮到惡意節(jié)點存在的潛伏現(xiàn)象，采取區(qū)域分割方式設(shè)計了基于區(qū)域行為清除機制的流量二次查證方法，可對潛伏節(jié)點進行二次識別查證。

1 物聯(lián)網(wǎng)入侵監(jiān)測算法

本文的算法主要由流量參數(shù)鑒權(quán)機制和區(qū)域行為清除機制兩部分構(gòu)成。首先，依托周期機制對網(wǎng)絡(luò)節(jié)點及相關(guān)流量進行查證識別，見圖1。通過帶寬等特征參數(shù)構(gòu)建多維度流量參數(shù)查證序列，定向捕獲網(wǎng)絡(luò)參數(shù)并進行惡意行為識別，達到定向捕獲入侵行為的目的。隨后，算法考慮到非激活狀態(tài)的惡意節(jié)點同時具有的潛伏特性，采取區(qū)域行為清除方法進行二次查證，從而增強了本文算法對惡意行為的監(jiān)測能力。

圖1 物聯(lián)網(wǎng)入侵監(jiān)測算法Fig.1 Intrusion detection algorithm of internet of things proposed

1.1 基于流量參數(shù)鑒權(quán)機制的入侵查證識別

由于傳感網(wǎng)部署過程中具有區(qū)域分布特性，各區(qū)域內(nèi)簇頭節(jié)點具有顯著參數(shù)區(qū)分度［8］，因此可針對網(wǎng)絡(luò)節(jié)點的區(qū)域特征進行鑒權(quán)識別，一旦發(fā)現(xiàn)某行為特征或節(jié)點特征與該區(qū)域內(nèi)多數(shù)節(jié)點存在較大差異，即判定該節(jié)點為源入侵節(jié)點，應(yīng)予以清除。不妨設(shè)節(jié)點m為第m個部署區(qū)域內(nèi)的簇頭節(jié)點，定位坐標為μm，令該部署區(qū)域鄰域第n個簇頭節(jié)點定位坐標為ωn，區(qū)域間傳輸帶寬為B，因此根據(jù)離散萊斯特征鑒權(quán)抽樣積分可得［9］

其中，B(t)表示區(qū)域傳輸帶寬B對應(yīng)的時間峰值。相應(yīng)鑒權(quán)識別序列μ滿足

其中，e表示自然常數(shù)。

采取模型（2）所示的鑒權(quán)識別序列雖然能通過查證區(qū)域帶寬更迭并按時間進行點排序，具有較高的安全系數(shù)，然而由于該方案不僅需要針對網(wǎng)絡(luò)分區(qū)進行一一鑒權(quán)，而且對數(shù)據(jù)捕獲的實時性要求較為苛刻，無法適應(yīng)高密度的節(jié)點部署場景，因此本文在上述鑒權(quán)識別序列的基礎(chǔ)上，采取積分方案對序列進行二次鑒權(quán)，以便降低算法對數(shù)據(jù)捕獲的實時性要求并提高運行過程中的收斂速率。詳細設(shè)計如下：

首先，通過模型（1）獲取全部區(qū)域中萊斯分布離散均值最低的節(jié)點并基于流量進行積分映射［10］，相應(yīng)的鑒權(quán)序列μ′m獲取如下：

其中，ds表示區(qū)域覆蓋范圍內(nèi)的節(jié)點線積分。

考慮到惡意行為捕獲過程中，一般采取特征激發(fā)模式進行行為誘導［11］，故模型（3）可進一步改寫為如下模式：

模型（4）中，若惡意行為滿足時移特性，則有如下模型成立：

因此，同時滿足模型（4）和模型（5）的節(jié)點均被判定為惡意節(jié)點。判定完成后將對該節(jié)點進行捕獲并按模型（3）構(gòu)架下一時刻的鑒權(quán)序列μ′m(T)，即

其中，T表示節(jié)點傳輸周期。

對模型（6）進行歸一化處理即可完成下一周期鑒權(quán)序列μ′m(S，T)的構(gòu)建，即

方法結(jié)束。

1.2 基于區(qū)域行為清除機制的流量二次查證

完成基于流量參數(shù)鑒權(quán)機制的入侵查證識別方法后，雖然能夠針對某一區(qū)域內(nèi)的惡意節(jié)點進行查證，然而若區(qū)域間數(shù)據(jù)具有相似特性時，惡意節(jié)點可以通過跨區(qū)方式進行跳域攻擊，此時單一區(qū)域內(nèi)簇頭節(jié)點將很難對這種處于潛伏狀態(tài)的惡意節(jié)點進行查證識別。

不妨令k為第k個區(qū)域內(nèi)的簇頭節(jié)點，與節(jié)點k具有相似流量特征的區(qū)域節(jié)點為Ψ，則Ψ 所對應(yīng)的流量特征Ψ(B)可被分割為如下模型：

其中，Bm表示與第k個區(qū)域具有相鄰關(guān)系簇頭節(jié)點當前的傳輸帶寬。

采用模型（9）對鄰域區(qū)域內(nèi)節(jié)點進行查證識別時，若區(qū)域內(nèi)某節(jié)點流量達到分割均值，則將直接被裁定為惡意節(jié)點。然而由于實時精確統(tǒng)計物聯(lián)網(wǎng)流量的難度較高，因此本文在基于流量參數(shù)鑒權(quán)機制入侵查證識別方法的基礎(chǔ)上，進一步提出基于區(qū)域行為清除機制的流量二次查證方法，以便能夠進一步增強查證識別的精度。

首先，按模型（8）、（9）對各分區(qū)內(nèi)網(wǎng)絡(luò)流量進行排序，當且僅當滿足如下查證閾值(Bc)時進行清洗：

模型（10）中，r表示節(jié)點最大通信距離，Bc表示當前區(qū)域內(nèi)最大流量，ΔB表示網(wǎng)絡(luò)數(shù)據(jù)平均傳輸帶寬，其余參數(shù)同模型（8）。

簇頭節(jié)點完成最大通信距離覆蓋范圍內(nèi)的節(jié)點掃描后，下一時刻查證閾值進行積分處理，即

其中，模型（11）相關(guān)參數(shù)同模型（10），∮表示簇頭監(jiān)測軌跡，當且僅當下一時刻滿足模型（11）時，繼續(xù)進行惡意行為查證。

2 仿真實驗與分析

本文采用NS2 仿真實驗環(huán)境（Network Simulator Version 2）［11］，對照組算法為當前物聯(lián)網(wǎng)入侵檢測領(lǐng)域內(nèi) 常 用 的 雙 因 子 自 動 探 測 算 法［12］（A Two-Level Authentication Scheme For Clone Node Detection In Smart Cities Using Internet Of Things，TLAS 算法）及基于塊機制的安全探測算法［13］（Information Security And Storage Of Internet Of Things Based On Block Chains，BS算法），對照指標為惡意節(jié)點檢出率、網(wǎng)絡(luò)攻擊抵御次數(shù)兩項，詳細仿真參數(shù)見表1。

表1 仿真參數(shù)表Tab.1 Simulation Parameters

2.1 惡意節(jié)點檢出率

圖2為本文算法、TLAS算法和BS算法的惡意節(jié)點檢出率測試結(jié)果。由圖2 可知，本文算法具有惡意節(jié)點檢出率較高的特性，這是由于本文算法根據(jù)惡意節(jié)點與區(qū)域內(nèi)節(jié)點在帶寬特征等方面的差異，設(shè)計了基于流量參數(shù)鑒權(quán)機制的入侵查證識別方法，能夠采取周期鑒權(quán)的方式對節(jié)點進行查證識別。特別是本文算法針對惡意節(jié)點可能存在的跨域攻擊現(xiàn)象，結(jié)合物聯(lián)網(wǎng)節(jié)點具有周期運行特性構(gòu)建了基于區(qū)域行為清除機制的流量二次查證方法，查證精度較高，因此檢出惡意節(jié)點的能力較強，具有較高的惡意節(jié)點檢出率。TLAS算法主要采取鄰域矩陣機制，通過逐次構(gòu)建編碼指紋的方式對節(jié)點進行一一識別，由于物聯(lián)網(wǎng)節(jié)點具有高密集度特性，該算法為降低監(jiān)測成本均采取抽樣方式進行惡意節(jié)點監(jiān)測，因此漏檢率較高，降低了惡意節(jié)點檢出率。BS 算法主要采取橢圓曲線方式進行精準監(jiān)測，雖然能部分增加惡意節(jié)點檢出精度，不過由于橢圓曲線檢測方案亦需要采取周期抽檢方式構(gòu)建加密矩陣，未對處于潛伏狀態(tài)節(jié)點進行校驗，因此惡意節(jié)點檢出效果亦要低于本文方案，體現(xiàn)出較低水平的惡意節(jié)點檢出率。

圖2 惡意節(jié)點檢出率的測試結(jié)果Fig.2 Test results of detection rate of malicious nodes

2.2 網(wǎng)絡(luò)攻擊抵御次數(shù)

圖3為本文算法、TLAS算法和BS算法的網(wǎng)絡(luò)攻擊抵御次數(shù)測試結(jié)果。由圖3 可知，本文算法具有網(wǎng)絡(luò)攻擊抵御次數(shù)較高的特性，體現(xiàn)了良好的網(wǎng)絡(luò)攻擊抵御性能。這是由于本文算法可通過監(jiān)測攻擊節(jié)點具有的流量特征，設(shè)計了基于區(qū)域行為清除機制的流量二次查證方法對網(wǎng)絡(luò)攻擊進行高強度抵御。此外，本文算法基于流量參數(shù)鑒權(quán)機制的入侵查證識別方法，可通過多參數(shù)查證匹配方式對網(wǎng)絡(luò)攻擊進行精確抵御，因此網(wǎng)絡(luò)攻擊抵御能力較強，體現(xiàn)了較高的網(wǎng)絡(luò)攻擊抵御次數(shù)。TLAS 算法雖然可通過編碼方式對節(jié)點進行鑒權(quán)，然而由于該算法未對可能潛伏的節(jié)點進行二次識別，易受到潛伏節(jié)點發(fā)動的二次攻擊。BS 算法雖然采取橢圓編碼方式對網(wǎng)絡(luò)節(jié)點進行加密，然而該算法與本文算法相比，存在對潛伏節(jié)點檢出率不夠的問題，因而抵御網(wǎng)絡(luò)攻擊的能力亦要低于本文算法，使得網(wǎng)絡(luò)攻擊抵御次數(shù)較低。

圖3 網(wǎng)絡(luò)攻擊抵御次數(shù)的測試結(jié)果Fig.3 Test results of network attack resistance times

3 結(jié)語

為解決當前物聯(lián)網(wǎng)部署過程中存在的惡意行為查證識別困難、節(jié)點檢出能力較弱等不足，提出了一種基于流量參數(shù)-區(qū)域清除機制的移動物聯(lián)網(wǎng)入侵監(jiān)測算法。算法主要由基于流量參數(shù)鑒權(quán)機制的入侵查證識別方法和基于區(qū)域行為清除機制的流量二次查證方法兩部分構(gòu)成，主要采用多參數(shù)識別查證方式構(gòu)建流量參數(shù)鑒權(quán)機制，并針對潛伏節(jié)點進行二次識別，具有較好的惡意行為檢出效果。

下一步，將針對本文算法在移動環(huán)境下性能較差的不足，擬引入移動傳感網(wǎng)定位算法增強網(wǎng)絡(luò)對惡意節(jié)點定位追蹤能力，進一步提升本文算法對各種復(fù)雜環(huán)境的適應(yīng)能力。