rat组合无线传感器网络中的sinkhole攻击检测技术研究 王雪丽
絮凝沉淀池【摘 要】在无线传感器系统中,Sinkhole是一种相对基础且常见的路由攻击类型,攻击者通过声称到目的节点或具有高质量的路径吸引周围节点的数据流,对网络的负载平衡造成了严重的影响。当前, sinkhole攻击检测技术在网络安全问题中占有重要的地位,其重要性越来越受到人们的重视。基于此,本文对无线传感器网络中的sinkhole攻击检测技术原理与设计进行了分析,以便于更好利用该技术对计算机网络进行保护。 【期刊名称】《赤峰学院学报(自然科学版)》
【年(卷),期】2016(032)013
【总页数】3页(P16-18)
【关键词】sinkhole攻击;无线传感器;检测技术
【作 者】王雪丽
【作者单位】宿州学院,安徽 宿州 234000
【正文语种】中 文
【中图分类】TP393.08拼装式冷库
在互联网中,sinkhole攻击对于传感数据来说是一种很严重的攻击行为,它对于计算机获取数据信息的完整性与正确性起到了一定的阻碍作用,甚至对计算机的核心系统构成严重危害.然而随着计算机与网络技术的普及与发展,人们在日常的信息数据传输过程中对网络的安全性有着更高的要求,因此对sinkhole攻击的有效防护是一项亟需解决的问题.本文将通过对sinkhole攻击的原理进行研究和分析,以期出相对应的防护措施. Sinkhole中文被译为“槽洞攻击”,其具体是由攻击节点去引诱一个区域的流量,使数据经过该节点,节点就可以对正常数据进行篡改,导致该区域的所有信息缺失或被改动.在每次的sinkhole攻击中,该节点都会伪装自己,强调自己的性能可靠且高效,对周围节点具有强烈的吸引,据此对通过该节点信息进行恶意篡改.这种恶意的信息改动操作,会将用户的私人信息传送给攻击者,这不单单为黑客创造了攻击计算机的机会,而且还严重地影响了网
络的负载平衡,甚至还可能引起更多的其他恶意攻击.因此,当前企业或家庭中的无线传感器网络对于的sinkhole攻击行为十分敏感,亟需引起广大用户的注意.图1为带有sinkhole攻击的网络状态示意图.
在网络中的Sinkhole攻击过程中,攻击者会吸引到入侵的节点周围区域内几乎所有的数据流信息,有时候攻击者会通过已被俘获的节点中心进行槽洞攻击.一般来说,附近区域的数据交换信息量比较大,所以这个特定区域通常都会在附近,加上Sinkhole攻击与Sybil攻击类似,会将数据流吸引过来,因此在其攻击过程中也会为其他形式的攻击提供方便.
一个攻击节点按照路由算法可以成为最吸引周围节点的特殊节点,这是Sinkhole的一种典型攻击方式.例如,攻击者会通过某种手段伪装自己,在网络中发放一个路由公告,通知别的节点自己拥有一条质量很高的通往的路由.这时候,部分协议会努力通过端到端的方式来反馈所包含的信息,进而检测路由的安全状态.接着,攻击节点便会利用自己能力充足的发射器来提供通往的一条路由,以此来给用户造成一种拥有高质量路由的假象.因此,大量准备将信息数据发往的节点,通常都会携带数据包通过这个攻击节点.并且攻
击节点还会在路由中起到一定的宣传引导作用,在这条高质量路由向其他的节点扩散,不断拓展了攻击者的攻击范围,进而在更广阔的路由空间内引导其他的向该发送信息的节点都需要通过该恶意节点,最终达到攻击者的目的.
Sinkhole攻击的重要目的之一就是对数据流进行选择性转发,通常情况下,攻击者已经很清楚地知道攻击目标区域被Sinkhole节点所控制,可以任意地组织或者篡改攻击区域的一个节点所发出的数据包.这种Sinkhole攻击行为之所以能够实施,主要是基于无线传感网络所构建的特殊通信方式,即在无线传感网络的某一区域内,所有的数据包都会有共同的最终传送目的地,所以如果有一个节点被攻击者攻击,并且造成通向的高质量通道的假象,则会造成整个网络节点都出现潜在的安全隐患与影响.
Sinkhole攻击在无线传感器网络的众多恶意攻击中,是一种相对常见的恶意攻击行为.目前,国内外诸多专业人士对此做出了大量的研究,试图出一种安全可靠的防范与检测技术,例如采用附加的硬件设备,或者采用共享密钥进行用户身份的确认,但是节点间的密钥会占用较大的内存空间,导致传感器节点计算能量消耗较大,严重地危害了网络的使用寿命.针对这种不足,当前提出了一种基于多点检测与回复信息的Sinkhole攻击检测技术,可有效地防止Sinkhole攻击.
3.1 系统框架设计
当前业内人士针对目前网络中攻击者发起Sinkhole攻击的原理特点,以及Tseng等人在文献中提出的有限状态机的思想,据此提出了一种相应的攻击检测系统,笔者结合自身工作对各模块的功能及关键技术对该系统设计进行了详细阐述.这种无线传感器网络的入侵检测系统框架是在分布式结构的基础上建立的,在该检测系统中,每个节点都会负责监测本地的数据,同时还协同邻居节点进行协作监测.具体地说,对于Sinkhole攻击,该系统状态可以分为两个阶段:
第一,路由选择阶段.在这一阶段中,由检测点发出检测包传输到,对沿途路由节点进行检查,通过分析与比较,判断在该系统中是否存在恶意的节点.如果检测出某点为恶意的攻击节点,那么则会向全网公告该节点,相反则为正常节点.
第二,数据传输阶段.这一阶段同样对有嫌疑的节点进行检测,在固定时间间隔中,计算节点转发数据包的情况,得出该节点丢包率.在一般的网路节点转发数据中,会存在正常的丢包率,但如果计算该节点丢包率远远超过平常节点丢包率,那么就应当发出警告.系统通过这样的判断便可知道该公告节点是否受到了Sinkhole攻击.
为了能够更直观地方便理解这一设计,笔者在下文举例说明一种如何检测Sinkhole攻击的方案.如图2所示,节点C、D、E在节点B的通信范围之内,当节点A发出路由公告,此时B、C、D、E均能收到路由公告,因此,可将它们作为节点A的检测节点.设节点B为该系统的统计监测节点,经过它可以搜集其他检测节点收到的回复信息并进行统计计算,这样可以粗略地检测该节点什么时候会受到Sinkhole攻击.如果该节点受到了攻击,则应该将它隔离;如果判断出节点A没有受到恶意攻击,则需要进行继续的检测,通过丢包率的比较,进一步判断A是否为恶意节点.
3.2 主要功能模块设计
3.2.1 本地数据监控模块
在网络数据监控中,审核数据的收集和对数据进行过滤和预处理是本地数据监控模块的主要任务,在进行完初步的分析后,然后将结果发送给本地检测模块.一般情况下,在传感网络系统中,需要收集的信息主要包括数据包信息、路由请求信息、路由回复信息等内容,得到这些信息后,监控模块会对这些信息进行逐一审核.
自动奶茶机
氮气压力表
在该模块中,需要对路由行为进行分析,根据收集的数据信息,从而得出有效的信息反馈;接着,网络中的节点会根据收集到的信息进行编辑,记录好节点收发数据的情况.根据记录到的信息表,模块会在不间断的时间内对数据进行逐一分析,统计某一节点在单位时间内处理的相同特征的报文次数,然后将报文进行总和,最终将报文信息送至检测模块进行检验.
3.2.2 本地检测模块五行果蔬
在本地检测模块中使用基于多点检测的方法来检测攻击,通过每个邻居节点和回复信息,可以监测出是否受到攻击.Mintroute是如今是传感器网络中最常使用的方法,它可以将链路质量估价作为衡量标准,其所指的节点路径特指从源节点到方向的路径.这种检测模块是让每个节点将从旁边节点接收到数据包的丢失情况作为基础,这样可以对其它的节点进行数据评估.通过不断循环检测,对每个邻居节点都进行评估,最终列出表格,让系统可周期性地了解邻居节点,并对节点进行监测.当系统对数据表格的分析后,会选择最优链路将成为它们的父节点.
另外,在选择父节点时,对阈值的选取很重要,这样可以防止噪声干扰评估结果,避免误
差.如果一个新的节点链路质量高于当前父节点链路质量的75%,或当前父节点的链路质量值低于25,那么这个节点可以作为新的父节点,反之原父节点继续有效.
3.2.3 协作检测模块
从网络中到入侵节点,是设计检测模块需要解决的重要问题.通常来说,节点的目的信息相一致的属性往往作为其查询信息的依据,并依次传播扩散,一级传一级,由局部传到整个网络,进而将所有的目标信息进行匹配.当每一个节点从上一个节点收到信息后,先查看原来记录中是否存在该信息,如果没有记录,则应该录入节点信息.对于来说,如果哪个邻居节点发送的信息较快,那么它将会对其进行标识,将其记录为“梯度”最大的邻居节点,并同时对该邻居节点发送一个加强选择信息.邻居节点也会对它的邻居节点进行筛选,选择出它的“梯度”最大的邻居节点,以此类推,最终会选择出一条“梯度”值最大的路径.以此条路径发送的信息的效率较高,而其他较低发送率的节点作为备用路径以保证网络的可靠性.
