無線傳感器網絡中被捕獲節點的檢測技術綜述

    學術研究

    作者：王騏　蔡子元

    摘要：無線傳感器網絡在許多應用場合都需要采集比較敏感的數據，因此安全問題至關重要。一旦傳感器節點被捕獲，且沒有采取相應的措施，該節點內的所有信息將會泄露。利用被捕獲節點，攻擊者可在網絡內發起內部攻擊，導致網絡的安全性能急劇下降。如何檢測被捕獲節點，目前已有多種技術可以解決這個問題。文章對目前的檢測技術作了總結，並對未來的研究方向做了展望。

    關鍵詞：無線傳感器網絡；被捕獲節點；入侵檢測；SWATT

    中圖分類號：TP393.08 文獻標誌碼：A 文章編號：2095-1302（2013）11-0011-03

    0 引言

    無線傳感器網絡安全問題要實現的目標是保持網內通信的認證性、保密性以及數據的完整性。無線傳感器網絡的各種不同類型的攻擊集中利用有限的網絡資源削弱以上三種參數中的一種[3]，攻擊者通過被動竊聽的手段竊取網絡內的通信，因此，節點感知的任何敏感信息將會被監聽方獲取。惡意節點往往通過向網內注入虛假數據包，使其他節點誤以為是真實的信息。被捕獲節點接收到網內數據包後，往往采取選擇性轉發攻擊（selective forwarding attacks）手段，丟棄該數據包，而不是沿著數據包的實際路徑進行轉發。這種攻擊手段往往也會削弱正常數據包的網絡資源。攻擊者也可能會篡改正常數據包的內容，從而破壞網絡的認證性和數據的完整性。

    大多數安全算法都運用了加密技術，先將數據進行編碼，然後基站以及節點對數據進行解碼[4]。加密技術充分考慮到了網絡內通信的認證性、安全性以及數據完整性。然而，如果攻擊者也擁有正常節點使用的加密密鑰，那當一個或多個節點被捕獲時，安全算法的效率往往會降低[5，6]。因此，如果沒有采取其他的安全措施，惡意節點將不能從正常節點中被鑒別出。各種類型的網絡攻擊利用網絡的漏洞或缺陷對網絡發起攻擊，入侵檢測係統的主要作用就是對網絡攻擊進行檢測，無線傳感器網絡安全引入入侵檢測係統的目的就在於此[7]。

    入侵檢測技術可分為特征檢測（misuse detection）和異常檢測（anomaly detection）兩種。特征檢測通過一個已知的入侵用戶圖來標記入侵，其優點是能準確和有效地檢測出已知的入侵，缺點是不能檢測新出現的攻擊。異常檢測通過監測明顯異於正常行為的活動來預測入侵。其主要優點是不需要入侵檢測的前期知識，而且可以檢測到新的入侵；最主要的缺點是它不能描述入侵的形式並且可能出現很高的差錯率。概念上，一個入侵檢測模型主要包括兩個單元[7，8]：一是特征（屬性），用於描述典型活動的特性，例如“錯誤錄入的嚐試次數”，“命令訪問的平均頻率”；二是模型算法，也就是使用特征進行入檢檢測和抑製入侵的算法。

    1 被捕獲節點的檢測技術

    傳感器節點往往部署在開放的環境中，容易受到物理攻擊。一旦獲取了節點的密鑰信息，攻擊者完全可以偽裝成這些節點，向網絡任意注入錯誤的信息。如果節點被捕獲，那該節點內的所有信息將會泄露。利用被捕獲節點，攻擊者在網絡內發起內部攻擊。基本的加密安全機製，比如認證和完整性保護等，都不能有效防範這些偽裝攻擊[1]。如何解決這個問題，大多數技術對被捕獲節點散布的錯誤信息集中采取的手段是檢測和容忍，但是並不能夠準確查明錯誤信息的源頭和發起者。目前仍然缺乏準確識別被捕獲節點，並將它們永遠排除在傳感器網絡之外的有效技術。針對被捕獲節點的處理技術，集中體現在以下幾種。

    1.1 基於報警的異常檢測

    這種檢測依賴於特定應用的檢測機製，使傳感器節點能夠監視附近節點的行為。一旦檢測到異常行為，節點會向基站或其他節點發出警報，並由它們來對哪些節點被捕獲做進一步判斷。這類方式稱為基於報警型，傳感器網絡的路由選擇[4]和定位[5]中就會用到這類典型的方式。

    節點通過警報能夠查明被捕獲節點，但是如何利用這些警報信息也是一大難題。發出的警報是否可信有時也難以判斷，因為這些警報有可能是被捕獲節點以誤導基站為目的而發出的錯誤警報。被捕獲節點可能會進一步形成一個局部的整體，共同密謀以提升在網絡內的影響力。另外，這種基於報警型的方式針對的是某些特定的應用場合，難以延伸到其他領域。

    識別被捕獲節點與可診斷係統中的故障診斷有著某種相似性[6，7]。實際上，在這些係統中，總是假定故障是永遠存在的，這就意味著一個故障節點在測試中總會失效，因而會被鑒別為無故障節點。有些研究者把故障假定的條件進一步放寬，即故障的存在由永久性變成間斷性[8]，實際上這種改變是假定故障節點以某種概率不能通過測試。這樣的假設在傳感器網絡不能成立，因為被捕獲節點的行為有更大的隨意性。例如，被捕獲節點有可能發布正確的感知數據，同時也發出錯誤的警報，這樣的惡意行為並不能夠被正常節點觀測到。因此，不能把可自診斷係統所采用的技術直接應用到傳感器網絡的被捕獲節點的識別上。

    1.2 基於定位的異常檢測

    許多無線傳感器網絡采用GPS係統來收集傳感器節點的位置信息。在大型傳感器網絡中，如果每個節點都配備GPS係統，那網絡運行成本相當昂貴。因此，在實際應用中隻給時間信標節點配備GPS接收器，以降低網絡運行成本。這些信標節點知道自身的位置，其他傳感器節點根據信標節點的位置信息來獲取在網絡的位置信息。

    文獻[8]中闡述了一種檢測惡意信標節點的方式。如果一個信標節點被捕獲，那它將不可避免地要發送具有錯誤位置信息的信標信號。這是因為，惡意信標節點發送的位置信息和信標信號一定是被篡改的。網絡中的信標節點具有節點ID號以及密鑰，從而能夠與網絡內的其他信標節點（表麵看起來仍然是非信標節點）進行通信。惡意信標節點發送的預估位置信息不是以信標信號為依據，所以這些信息與真實值相比是不同的。一旦有效信標節點從惡意信標節點獲取信標信號，那該被捕獲節點將會被檢測出。由於被捕獲信標節點難以獲取相鄰節點間每次通信的循環時間，因此，如果惡意節點采取基於本地信標信號的重放攻擊（replayed attacks），那它就會比較容易被發現。

    1.3 基於網絡/鄰居節點穩定性的異常檢測

    文獻[9]闡述了一種基於傳感器節點特性（比如固定的相鄰節點信息）的入侵檢測係統。實驗中網絡間的通信采用多對一的方式，也就是說，節點將沿著相對固定的路徑向某個固定節點發送信息。因此，整個網絡運行期間並不需要節點用來識別相鄰節點的HELLO洪泛數據包。網絡部署後，假設：①不會增加新節點，且節點是固定的；②節點的發送功率不會改變；③網絡內的每個節點能夠識別它的相鄰節點；④每個節點使用相同的硬件以及運行相同的算法，節點上運行的時鍾與其他節點不同步。

    根據以上設定的穩定網絡，節點知道能夠從相鄰節點獲得的信息。為了進一步運用這個概念，需要選擇兩個傳感器網絡的運行參數，用來存儲相鄰節點的信息。選取的參數是：①數據包到達率，即單位時間內到達的數據包；②平均接收功率，單位為dBm。算法定義了一個用來存儲預定數量數據包的緩衝區。這些數據包用來計算數據包到達率以及後續數據包的接收功率這兩個指標的可接受值的範圍。如果這兩個參數的值不在持續更新的範圍之內，那就認定網絡發生了入侵。入侵檢測係統依靠這些節點來通知其相鄰節點，網絡可能存在入侵者。如果某節點從其固定數量的相鄰節點處獲取入侵者信息，那該節點將把這個可疑節點標注為被捕獲節點。

    1.4 基於軟件的麵向嵌入式硬件的認證

    檢測被捕獲節點的另一種不同方法是根據代碼認證，來驗證運行於傳感器節點的實際程序代碼。還有一種基於硬件的認證方法，這種硬件內含一個安全的協處理器，用來檢測相關嵌入式設備存儲器的內容。文獻[10]介紹了一種基於軟件的認證技術（SoftWare-based ATTestation technique，SWATT），它是通過軟件方式獨立運行代碼認證算法來實現的。

    這些技術都是通過某種方式，在外部驗證運行於嵌入式設備的代碼的正確性，檢驗器的可信度是實現目標的關鍵因素。惡意節點至少有一行代碼與運行於正常節點的預期代碼不同。檢驗器有未被捕獲傳感器節點存儲器內容的副本。檢驗器向節點發送某種特定信息，作為偽隨機數生成器的輸入，來創建隨機存儲器地址[10]。給設備的每個存儲器地址執行“校驗和”檢驗。校驗器在本地運行相同的校驗步驟，計算預期的校驗和值，再將這個預期值與節點返回的值進行比較。