一种对抗无线认知传感器网络攻击的

开篇：润墨网以专业的文秘视角，为您筛选了一篇一种对抗无线认知传感器网络攻击的范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

在无限认知传感器网络的节点通信中，如果没有任何防护措施，则会使各种流量注入攻击十分容易，尤其是由内部发起攻击极为容易引起网络的堵塞，从而导致网络性能恶化，网络资源消耗，并极大的缩短无限认知传感器网路的生命周期。下文中笔者就攻击方式进行探讨，并针对分布式防护方案进行了详细论述。

一般情况下，网络中流量注入的攻击方式可以分为两种：1）数据分组注入攻击。攻击者通过注入网络中数量较大的数据分组，经网络中的各个节点转发来增加网络资源的消耗。第2）洪泛查询攻击。由于在无限认知传感器网络中，流量模式和拓扑模式在持续变化，因此，各网络节点必须对其路由进行持续更新，这就需要广播路由的质询信息。在此过程中，攻击者能够通过高频率发送广播质询信息来消耗网络资源。相对于质询信息而言，数据分组信息的长度更大，而且注入数据分组的速率要比注入质询消息的速率更高，所以，流量注入攻击对无限认知传感器网络的破坏相对于洪泛查询攻击更大。

在网络日常运行中，可以通过对每个节点发出的查询消息数量进行限制来抵御洪泛查询的攻击，虽然这种方法会对网络性能造成一定程度的降低，但其能够有效的限制洪泛查询攻击。而且，在WCSN网络中，如果某节点不能检测到其他节点的数据分组注入速率，基本就不能检测到数据分组注入攻击。所以，在无限认知传感器网络的节点集中，任何节点的流量注入模型都可以视为一个节点子集。

在我国信息化进程日益加速的今天，电磁频谱有着极其重要的作用。针对信息化装备的电磁频谱实施有效的管理能够在极大程度上提高我国电磁空间的安全性，有着十分重要的现实意义，而通过对无线认知传感网络技术的分析与研究，有效利用电磁频谱发挥的重要作用即稳定性与安全性，进一步促进我国电磁空间安全运行的发展壮大。

按照现行的我国信息安全管理相关法规规定，无限认知传感器的安全保护等级应该达到四级，也就是说，当信息系统遭受攻击而产生破坏时，不会影响到社会公共利益，也不会威胁到国家安全。本文中笔者通过研究，提出了一种完全分布式防护方案，可以很好的检测数据分组注入攻击（IDPA），即使攻击者采用了如定向天线这样的高级传输技术来抵御检测，也能够对攻击者发起攻击未能检测到的理论概率上限进行推导。通过分析得出，以攻击者的角度来看，注入合法数据分组进行攻击的方式是最有效的攻击策略。

1 流量注入攻击方式

在WCSN网络中，节点可以大致分为两类，即诚实节点和恶意节点。在网络中，诚实节点与其他同类节点共同进行网络的通信，通过协同传输来达成网络通信目标，而恶意节点则会对网络性能造成恶化。通常情况下，诚实节点采用全向传输技术进行通信，而考虑到攻击能力的提高，攻击者可能采用高级传输技术。

在共同的系统目标下，每个节点都自主生成一系列分组并传输给特定目标。如，在WCSN网络中，任何节点都需要向汇聚节点有频率或无频率的发送感知消息。如果源-目标数对的生成符合系统需求，则属于合法数对，对于任何一个合法数对（S，D）而言，如果在假设时间T内，需要传输NS，D数量的数对。一般来讲，其他节点对NS，D（T）准确值获取的可能性很小。基于此问题，本文笔者的研究是以FS，D（T）是NS，D（T）的上限为基础进行的，并可以被其他节点通过估算获悉。然后由fS，D（T）主要用来表示与源，也就是指目标数对（S，D）流量注入速率上限为假设。

本研究中，笔者对内部攻击进行了重点考虑。假设在WCSN网络中，每个节点都具有公钥私钥。并假定任何一个节点都可以轻松获取其他节点的公钥，同时亦可对节点的合法性进行验证分析，但不允许节点将本身的私钥对其他节点公布。为了确保数据分组的整体性、系统性和保密性，必须加密数据分组，并采取数字签名的方式从发送方开始控制。

1）简单攻击。假设S为源节点，D为目标节点。简单攻击就是从S到D选择一条路由R，然后在其中注入大量的数据分组，数据分组的注入速率要远远超过合法上限fS，D（T）。在长路径攻击中，源节点S是通过一条较长的路由来进行数据分组的注入。如下图1中，可能选择的路由为“SABCEFGHID”，从S发送数据分组到D，同时确保其速率低于合法上限fS，D（T）。采取这种方式，节点S和节点D都能够达到与提高数据分组流量注入速率一致的效果。

2）多路由攻击。这种攻击是最高级的攻击方式。S选择多个路由通向D，并同时将数据分组流量注入每一个路由中。如下图2所示，S选择多条路由“SA1…M1D”，“SA2…M2D”，……，“SAn…MnD”进行数据分组的注入。在这种攻击方式中，流量是分布于多条路由中，在这种情况下，虽然注入的数据分组总数远远高于合法上限fS，D（T），但每条路由中的数据分组注入速率都低于合法上限fS，D（T）。而且，攻击者能够充分利用如定向天线、波束形成等高级传输技术，以抵御网络的检测。

2 分布式防护方案

一般情况来讲，对节点注入流量攻击的检测方式主要是通过认为作用分析实现的，也就是通过网络检测人员对获悉的网络数据进行分析评估来检测的。若在WCSN网络中，某节点检测到其他节点向网络中注入大量数据分组，分组注入速率远远超过合法上限，或其他节点将此类数据分组传送于该节点时，一般视为该节点存在搔首流量注入攻击的可能。因此，无论采用任何一种防护系统，都必须具备以下几种机制对攻击行为进行抵御的措施：一是鲁棒的分组传送机制，该机制能够准确确认网络注入数据的发送节点，并通过对节点数据的分析判断描述该节点与其他节点数据分组传送的关联状况；二是鲁棒的流量监控机制，该机制的主要作用是对于WCSN网络中存在节点数据分组情况的计算；三是鲁棒的检测机制，该机制通过对网络中流量注入攻击状况的适时监测，来检测系统中存在的攻击风险。

2.1 路由的发现以及分组传送机制

在移动无线认知电传感器网络中，源路由有着极其广泛的应用，而且可以容易的检测网络中存在的攻击情况，因此，本文主要一次为研究对象。逼问的研究是以DSR（动态源路由）为基本，同时依照该协议的规定来实现路由的各种功能，如发现和维护等。此外，为了抵御与路由相关的未来攻击，充分将本文安全方案与动态源路由协议结合起来。

当节点S选择一条通向节点D的路由，并发起流量注入攻击时，除源-目标对数外，在路由请求分组中应该包括：与源节点S对应的发送到D的最后数据分组序列号以及与该请求相关的唯一标识符。通常情况下，每个路由存在下述的分组形式。

其中，IDS用来表示节点S的标识符，IDD用来表示节点D的标识符，那么NS（S，D）则可以表示该路由请求的与源节点S对应切发送到D的最后数据分组序列号，其初始值为1，当每个路由对（S，D）的请求之后，NS（S，D）+1。PS（S，D）表示数对（S，D）注入到网络的最后一个数据分组。KS表示节点S的私钥，由此可得：

从而可以获得节点S生成的数字签名。

当诚信节点A接收了由源节点S象目标节点D发送的路由请求分组时，诚信节点A需要对其进行必要的检测，主要的流程如下：

1）源-目标数对（S，D）的合法性；

2）所有数字签名的有效性；

3）NA（S，D）是A观测到的较早的分组，与源-目标数对（S，D）相对应，表示最大的路由请求序列号；

4）在路由请求分组的发送中，诚信节点A对发送节点的检测是否认定为恶意节点；

5）若添加于查询分组的中继节点数小于系统参数于Rmax个，通常可视为在每个路由中所包含的最大中继节点数量；

6）在TA（S，D）的时间间隔范围内，节点A并未向源-目标数对（S，D）提出路由请求，TA（S，D）表示A规定的路由请求转发最小间隔，这说明在TA（S，D）时间间隔范围内，节点A向源-目标数对（S，D）发送的消息不通过该路由。

在上诉假定都成立的情况下，该路由的请求可视为合法请求。而A节点的设置应符合以下方案：在路由分组请求中分别添加节点A的地址，并对分组进行重新签名，对更新之后的路由请求进行重新广播。假设路由请求是由A转发的，那么A就需在路由请求采用下述格式添加其他地址，当源节点选则规定路由向特定的目标节点发送数据分组时，就会产生数据分组之间的交互传送。这种传送方式的原理为：假定S节点向D节点发送数据分组时经由路由R进行的，视荷载为M，序号列可表示为NS（S，D）。由此，S节点会自动生成两个数字签名，同时将发送的数据分组采用如下格式：

当A节点检测到B将传输特定的数据分组时，首先进行分组报头的解码，然后采取一定方法进行合法性验证。

2.2 流量监控机制

在检测方案中，流量监控是极其重要的组成部分，通过流量监控能够对网络中流量注入情况进行适时检测。本文的节点分析都是以报头检测机制为基础节点的传输行为进行监控。尤其是当节点A检测到某个邻居节点在传送数据分组时，无论A节点是否为目标节点，都将接收该节点发送的数据分组报头，并进行解码服务。在实际的状况中，这种机制在无线认知传感器网络的应用是很常见的，节点就不能获知数据分组是否以其为目标节点。在这种检测机制中，每个节点都必须检测数据分组报头的数字签名及其合法性，这也是此检测机制的特别之处。如果经过检测发现数据分组的数字签名合法，A就会将其加入列表集（S，D，A）中，之后的节点A通过对网络流量注入攻击的列表及分析，来检测网络发生的异常变化。

对看门狗机制而言，其需要节点对其已经发送的数据分组进行缓存，并对邻居节点的传送行为进行检查，以确定这些数据分组是否经其他节点转发。相对于这种机制的运行来看，报头检测机制对节点的任务仅限于其对该区域内数据传输与分组情况的一般监控。由于要接收多个数据分组报头并进行解码工作，而且数据分组的报头相对于分组主体更短，所以需要接收整个分组，并对其进行解码，相对于看门狗机制而言，报头检测机制能够在极大程度上节约网络资源。

一般来看，如果A节点对接收的数据分组报头进行记录之后，随着网络节点工作过程的延长，对存储空间也会有着更高的要求。事实上，在本文的方案中，对于任何源-目标数对（S，D）而言，A节点只需对属地最后合法路由请求之后接收的数据分组报头进行记录。换言之，就是A节点只需要记录相对于S广播的最后一次合法路由请求的分组序列号和分组报头。通过多次修正，节点并不需要更大的存储空间，而且其存储空间还会随A的网络工作时间增加而增大。

3 性能分析

首先，对上述机制的开销进行分析。综上所述，由于网络中的每个诚信节点仅采用自身检测到的攻击或自身接收的分组进行检测，所以，不存在额外的通信开销。由于本身性能存在的差异，计算开销往往是由分组报头的生成与验证两环节的内容组成。与数据分组主体相比，主要表现为分组报头长度较小，其额外计算开销也不大。而且，当按照规则4和5对攻击者进行检测时，网络中的各个节点需要检测现有的报头存储记录，会产生一定的额外计算开销。但通常情况下，节点的记录列表都较小，所以没有较大的额外计算开销。其次，对上述机制的存储开销进行分析。上述的防护机制存在着一定的缺点，

主要表现为，对存储空间有一定的额外需求，而对于一些移动节点的储蓄空间是非难以达到的。而任何一个诚信节点都是通过对合法源，也就是目标流量的有序整合及网络中的流量注入速率上限等进行存储记录，如果合法源-目标数对的数量较大，就需要较大的存储开销。但在实际无线认知传感器网络的应用过程中，合法的源-目标数对数量有效。而且，在移动WCSN网络中，对路由请求的频率比较看重，有较高的行业要求，因此，对网络节点的存储记录的数据分组报头极其有限，其额外存储开销有限。

参考文献：

[1]K.J.Ray Liu,Beibei Wang.Cognitive RaDio Networking andSecurity:A Game-Theoretic View[M].New York:CambriDgeUniverSity PreSS,2010.

[2]Chung-HSien Kuo,Ting-Shuo Chen.PN-WSNA: an approachfor reconfigurable cognitive SenSor network implementationS[J].IEEESenSorS Journal,2011,11(2):319-334.

[3]Liang Zhongliang,Feng Shan,Zhao Dongmei,et al.Delay performanceanalySiS for Supporting real-time traffic in a cognitive raDio SenSornetwork[C].IEEE TranSactionS on WireleSS CommunicationS,2011,1

0(1):325-335.

[4]KaligineeDi Praveen, Bhargava Vijay K.SenSor allocation anDquantization SchemeS for multi-banD cognitive raDio cooperativeSenSing SyStem[C].IEEE TranSactionS on WireleSS CommunicationS,2011,10(1):284-293.

[5]ChowDhury K R,AkylDiz I F.OFDM-baSeD common controlchannel DeSign for cognitive raDio aD hoc networkS[C].IEEETranSa

CtionS on Mobile Computing,2011,10(2):228-238.

[6]郎为民，大话物联网[M].北京：人民邮电出版社，2011.

[7]Amiya Kayak、Ivan Stojmenovic，无线传感器及执行器网络：可扩展协同和数据通信的算法与协议[M].郎为民译，北京：机械工业出版社，2011.

作者简介：

吴俭（1975-），男，四川崇州人，学士，四川水利职业技术学院信息工程系讲师，研究方向：计算机网络应用。