70无线自组织网络下抵抗内部节点丢弃报文攻击的安全通信模型

发布时间：2016-09-29 21:09

本文关键词：无线自组织网络下抵抗内部节点丢弃报文攻击的安全通信模型，由笔耕文化传播整理发布。

第33卷第10期2010年10月；计算机学报；Vol.33No.10；Oct.2010；无线自组织网络下抵抗内部节点丢弃报文攻击的；安全通信模型；张中科汪芸；(东南大学计算机科学与工程学院教育部计算机网络和；摘要无线自组织网络的报文传输是依靠网络中的节点彼；ASecureCommunicationMode；PacketDroppingAttacks；ZHAN

第33卷第10期2010年10月

计算机学报

Vol.33No.10

Oct.2010

无线自组织网络下抵抗内部节点丢弃报文攻击的

安全通信模型

张中科汪芸

(东南大学计算机科学与工程学院教育部计算机网络和信息集成重点实验室南京 210096)

摘要无线自组织网络的报文传输是依靠网络中的节点彼此多跳接力传输,当网络中有节点被俘获以后,就会成为内部攻击者,并在报文的传输过程中发起丢弃报文攻击,严重降低网络性能.现有网络协议栈中传输层和网络层协议难以检测和防范在网络层发起丢弃报文攻击的节点.文中提出一种在网络层抵抗内部节点丢弃报文攻击的通信模型,它包括通信链路状态实时分析协议和分布式的节点类型判定算法两个部分.通信链路状态实时分析协议利用节点对间逐段生成的路径环路,通过引入报文成组应答机制使得节点能实时地获取其邻居节点的报文转发状态;在通信链路状态实时分析协议基础之上,节点根据相关数学模型能有效地分析邻居节点行为是否异常,并对网络中的节点进行分类,最终将恶意节点从网络中隔离出去.仿真实验结果表明,文中算法在恶意节点的检测率和误检率方面性能表现良好,能有效地抵抗来自网络内部节点的丢弃报文攻击.关键词内部攻击;报文丢弃攻击;恶意节点检测;安全通信模型;无线自组织网络中图法分类号TP393 DOI号:10.3724/SP.J.1016.2010.02003

ASecureCommunicationModelforDefendingAgainstInsider

PacketDroppingAttacks

ZHANGZhong-Ke WANGYun

(KeyLaboratoryofCNIIofMinistryofEducation,SchoolofComputerScience&Engineering,SoutheastUniversity,Nanjing 210096)

Abstract Inwirelessadhocnetworks,packetsaredeliveredbymult-ihoprelayamongnodes.

Whensomenodesarecaptured,theyturnouttobeinsideattackers,thendropdatapacketsarb-i

trarily.Suchkindofattack,calledpacketdroppingattack,willdramaticallydegradenetworkperformance.However,neithertransportlayernornetworklayerprotocolsofexistingnetworkprotocolstacksareabletodefendagainstitefficiently.Hence,thispaperpresentsanewsecurecommunicationmodeldefendingagainstpacketdroppingattackfrominsideattackerinthenet-worklayer,includingRea-ltimeLinkStatusAnalysisprotocol(RLSA)andDistributedNode

Classificationalgorithm(DNC).RLSAtookadvantageofsegment-basedmultiplepathsbetweenapairofsourceanddestination,aswellasgroupacknowledgementmechanismforpackets,toobtainpacketforwardingstatusofneighborsinrealtime.BasedonRLSAandrelatedanalyticalmodel,DNCidentifiesabnormalbehaviorofnodes,andthenclassifiesnodesintonormalandma-licioustypes.Simulationresultsshowthesecurecommunicationmodelperformswellregardingmaliciousnodedetectionrateandfalsealarmrate.

Keywords insiderattack;packetdroppingattack;maliciousnodedetection;securecommunica-tionmodel;wirelessadhocnetworks

收稿日期:2010-08-22.本课题得到国家自然科学基金(60973122)和国家/九七三0重点基础研究发展规划项目基金(2009CB320705)资助.张中科,1980年生,男,博士研究生,主要研究方向为无线自组织网络安全.E-mail:zhangzhongke@seu.edu.cn.汪芸(通信作者),,,,,.E-mail:yunwedu.cn.

2004计算机学报2010年

存在冗余路径的特点,在分段多路径中主路径和备

1 引言

无线自组织网络适合在没有基础设施的情况下构建网络环境,网络中的节点可以通过自组织方式临时自主组网,在环境监测、救灾以及人们的日常生活等方面具有广泛的应用前景.但是由于无线自组织网络中缺少中心管理者,网络通常部署在开放的环境中,无线信号暴露在空间,使得无线网络中的节点易于被俘获,节点间的通信容易被窃听、伪造和重放,从而导致无线自组织网络的应用受困于各种类型的网络攻击.

在无线自组织网络中,数据报文通过网络中的节点彼此接力多跳传输,当网络中的合法节点被攻击者俘获以后将成为恶意节点.在数据报文传输过程中,恶意节点可以故意随机丢弃部分经过的数据报文来对网络通信实施破坏,这就是内部节点丢弃报文攻击,它导致网络吞吐率下降、报文重传率增高,严重时造成网络报文传输无法进行.然而现有的TCP/IP协议栈无法应对这种在网络层发起的攻击,加上无线自组织网络中节点性质的不确定性,使得其难以检测和防范,严重影响到了无线自组织网络的通信性能和实际应用.文献[1]描述了一种无线自组织网络中针对流媒体的丢弃报文攻击方法,并通过仿真实验发现该攻击最终导致流媒体无法正常播放.

解决内部节点在网络层发起的丢弃报文攻击的关键在于找出丢弃报文的恶意节点,同时需要兼顾到如下几个方面:(1)检测算法必须遵从无线自组织网络的自治性,仅依靠网络中节点间的彼此协作检测出恶意节点;(2)算法必须能够及时准确地检测出网络中的恶意节点,同时保持较低的误判率;(3)必须保证算法的效率,算法的计算和存储负荷不应过大;(4)算法必须具有通用性,能够与不同的路由协议有机地结合,且能够应对较强的攻击模型.但是现有的研究成果有的检测效率和通用性不够理想,有的难以应对强的攻击模型,有的存在片面性,不能将节点的行为监测和节点状态分析有机地结合起来.

为了克服现有研究成果的不足,本文提出了一种无线自组织网络下分布自治式抵抗内部节点丢弃报文攻击的通信模型,它包括通信链路状态实时分析协议和分布式节点类型判定算法两个部分.通信份路径形成的环路基础之上,通过网络层的报文成组转发和ACK机制来监测邻居节点的报文转发行为.分布式节点类型判定算法根据已获取的邻居节点的行为记录,依据相关数学模型,通过统计分析和局部选举的方法来及时准确地分类网络中的节点,最终将丢弃报文的恶意节点从网络中隔离出去,从而构建安全健壮的网络通信环境.与已有方法相比,本文提出的解决方案,可架构在任何路由协议基础之上,遵循了无线自组织网络节点分布自治的原则,具有实时性和简单有效等特点,且能够应对强攻击模型.

本文的主要贡献有:

(1)设计了基于报文成组转发机制的通信链路状态检测算法,该算法利用分段多路径路由协议生成的主路径和备份路径,通过发送链路控制报文,收集邻居节点的报文转发状态,分析邻居节点在报文转发过程中是否存在恶意行为.

(2)基于通信链路检测协议的检测结果,建立了适合于自组织网络特性的简单有效的评判节点行为的数学模型,设计了选举可信节点和识别隔离恶意节点的算法.

(3)实验仿真分析了算法在检测率和误检率两方面的性能表现,实验结果表明本文算法具有高恶意节点检测率和低误检率.

本文第2节介绍研究现状和相关技术;第3节给出网络模型和攻击模型;第4节设计通信链路状态实时分析协议,描述当网络中出现组报文丢弃后,不同场景下节点对其邻居节点报文转发行为的分析检测过程;第5节建立相关数学模型,设计分布式节点类型判定算法;第6节通过仿真实验分析本文算法的性能指标;最后在第7节总结全文并给出下一步工作的思路.

2 相关工作

(1)基于局部管理(localmonitoring)的报文转发监测方法

文献[2]提出了Watchdog算法,节点在混杂模式下工作,当节点把报文转发给下一跳节点后,利用无线信号的暴露在空中的特性来监听下一跳节点有没有继续转发该报文.文献[3]采用了类似Watchdog的邻居检测系统(NWS)来获取邻居节点的报文状,,

10期张中科等:无线自组织网络下抵抗内部节点丢弃报文攻击的安全通信模型2005

了网络带宽使用效率.文献[4]指出恶意攻击者可以通过控制通信范围,将报文传送给不存在的下一跳节点,或者故意造成无线通信信号冲突等方式来降低局部管理监测的准确率.因此局部管理方法在效率和准确性上均存在问题.

(2)基于报文应答的丢包检测方法

文献[5]提出了一种基于ACK应答机制的可靠报文传输模型,当节点发送报文时将设置计时器,等待下两跳邻居节点发送过来确认报文.若收不到下两跳邻居节发送的ACK报文,就认为下一跳邻居节点和下两跳邻居节点之间的链路存在问题.该算法仅适用于防范较弱攻击.REAct算法[6]中源节点通过BloomFilter和随机二分查找算法来定位恶意丢包节点.ODSBR协议[7]则通过ACK报文和折半查找式审计报文来判定路径上的恶意节点.该两种协议都需要源路由的支持,且难以应对合谋攻击.AAI协议有两种形式,PAAI-1和PAAI-2.在PAAI-1中,中间节点只按概率应答部分数据包,在PAAI-2中,对于源节点发送出来的所有报文,只有部分中间节点向发送源节点应答报文.但是该方法检测实时性差,且资源消耗难以适应无线网络设备能力有限的特点.

(3)基于信任模型的节点评估方法

文献[9-10]通过发送ACK和NACK报文的方法来使源节点和沿途节点获得自己下游邻居节点的报文转发情况.文中提出了一种定量的信任模型,基于节点的报文转发历史情况计算节点的/可信任0值,再根据该值选择一条最可信的路径.该方法需要源路由的支持,每个报文都需要ACK确认,且难以应对恶意节点合谋攻击.文献[11-12]认为信任是对不确定性的一种度量,根据节点以往转发报文的成功率来估计未来报文转发成功率,定量测度信任值,但是没有提出有效获取链路上节点转发报文情况的方法.

(4)基于统计分析的节点评估方法

文献[13]提出了一种基于统计分析检测恶意节点内部节点的模型,该方法用节点丢包率、报文的发送率和延迟等数据来建立节点的属性向量,估计出属性向量总体的均值和方差.通过计算各个节点样本到均值向量的马氏距离来检测异常节点即恶意攻击者.但是没有给出如何有效地获得节点的行为属性参数的方法.文献[14]提出一种异质网络下的丢弃报文节点检测方法,该方法中设备能力更强的簇[8]

发情况,通过SPRT来判定簇内的恶意节点,但是该方法需要异质网络结构的支持,且数据报文加密传输增加了节点运算处理负荷.文献[15]通过对数据报文进行加密填充处理来使恶意节点无法识别发送报文的源节点和中间节点,然后依据相关模型来检测出链路上的恶意丢弃和修改报文的节点.文献[16]认为网络中的链路往往出现在不同路径上,而这些路径上的报文传递率有好有坏,借助于/序贯概率比检测0,可以确定出传感器实际出错链路所在的位置.上述两种方法计算量都较大,且只适用于以汇聚(sink)节点为通信中心的网络模式.

3 系统模型

311 问题描述

在无线网络中数据链路层维护着节点同其邻居节点间的通信链路,并利用差错检测、流量控制、报文确认和重传机制来保证数据帧的可靠传输.虽然数据链路层可以提供报文在节点和其邻居节点间的可靠传输,但是并不能保证报文端到端的正确可靠传输,因为即使报文可靠地传输到下一跳节点,也可能因为种种原因报文在下一跳节点上丢失,比如内存拷贝错误、缓冲区溢出甚至恶意节点的故意丢弃等.

传输层协议维护着源节点和目的节点间的通信连接服务功能,TCP/IP协议栈中传输层协议有TCP和UDP两种类型.TCP是一种面向连接的、可靠的传输层通信协议,但是当TCP发现报文传输出现异常时,并不能确定报文在何处出现故障,即使重新启动路由发现过程,恶意节点仍可能再次出现在报文传输路径上.UDP提供一种简单的不可靠信息传送服务,它无法应对丢弃报文攻击,虽然基于UDP的应用通常并不要求正确传输所有数据报文,但是当丢包率达到一定程度后,上层应用仍会受到极大破坏.

TCP/IP协议栈在网络层采用无连接的数据报文存储转发机制,虽然可以有效提高报文转发的效率,但是没有提供可靠的报文转发机制.而传输层和数据链路层提供的报文转发可靠机制并不能解决攻击者在网络层实施的丢弃报文攻击.相对于有线网络在网络层有专用的设备来负责报文转发,易于管理和维护,无线自组织网络则依靠节点之间多跳接力传输报文,因此恶意节点的丢包攻击产生的危害.

2006计算机学报2010年

本文着力解决的问题是针对无线自组织网络中的按需路由机制,设计一种新的通信模型,可以有效地防止由内部节点发起的丢弃报文攻击.312 攻击模型

本文旨在分析和抵抗较强的攻击模型,即网络中可能存在一个或者多个合谋的恶意节点,这些恶意节点参与路由发现过程,但是在数据传输过程中,有选择地丢弃部分接收到的数据报文.而且,恶意节点能识别分析网络中的控制报文,能根据有利于自己的原则选择传递、丢弃或者伪造.

此外,本文将节点的恶意行为分为以下类型:

(1)当节点发现邻居节点声称转发的报文个数与实际转发的报文个数不一致时,它认为该邻居节

点实施了I类恶意行为;

(2)当节点发现邻居节点声称转发的报文个数与其下游节点声称转发的报文个数不一致时,它认为该邻居节点实施了II类恶意行为.

(3)当节点发现邻居节点发送了两个完全不同的控制报文时,它认为该邻居节点的行为是绝对恶意行为,并认定该节点为恶意节点.313 系统假设

假设任意节点对之间生成了分段多路径(如图1分段多路径路由示意图所示),各分段的段首尾节点为可靠节点,称为关键节点.关键节点知道所连接段内所有节点的ID.假设除了主路径之外,总是存在一条安全的备份路径

图1 分段多路径路由示意图

网络中的节点分为普通节点、恶意节点和关键节点.所有非恶意节点预置了用于签名和认证的密钥对和密钥证书.如果节点的平均丢包率为Pd,平均路径长度为l,则路径的丢包率为Pd

path

协议的进一步执行.通过在路径上各节点间发送、接收和分析链路状态检测报文,即ACK和NACK报文,检测链路状态,每个节点形成相应的邻居节点状态表.根据所收集到的节点状态信息,检测邻居节点在报文转发过程中的恶意行为.412 网络层报文组织

网络层将传输报文编成组有很多优点:(1)相对于每个报文确认,成组报文确认可以有效地减少网络中确认报文的数量,提高网络传输效率;(2)通过对每个报文附上组编号和组内序号,可以使路径上的每个节点动态感知已收发了组中报文数量和缺少的报文数量.发送的报文组的头部包含(GID,GVOL,PID)信息,其中GID是顺序递增的组编号,GVOL标示该组内的报文数量,PID是该报文顺序递增的组内编号.

在网络通信中,下游节点收到的组报文的报文个数小于或等于上游节点收到的报文个数.如果下游节点收到的报文个数小于上游节点收到的报文数,意味着在它的上游存在一个或者多个节点丢弃了报文.413 链路检测控制报文

1-(1-Pd)l,若l=10,Pd=011,Pd=0165,因此

本文假设正常运行的网络中非恶意节点的丢包率小于011.

4 通信链路状态实时分析协议

411 概述

通信链路状态实时分析协议采用报文组控制方式,当源节点发送的数据报文经过网络层协议栈时,相应的报文组信息会填入报文头部.如果路径上不存在恶意节点时,路径上任一节点转发完成一个组内的所有报文后,等待并接收目标节点的组确认报文;当目标节点收到该组的所有报文后,将会向源节点发送组确认报文.但是如果路径上有恶意节点故意丢弃报文时,目标节点将无法收到该组内的所有报文,也就无法向源节点发送确认报文.路径上的任一节点都配有报文计时器,这些计时器超时将报告,

10期张中科等:无线自组织网络下抵抗内部节点丢弃报文攻击的安全通信模型2007

NACK报文.ACK报文格式为ACK(GID,No-deID,HopToSrc),其中NodeID为发送ACK报文的节点编号,HopToSrc为NodeID节点到源节点的跳数,ACK报文用来表示NodeID节点已转发了编号为GID报文组中的所有报文.NACK报文格式为NACK(GID,NodeID,HopToSrc,DropNum),用来反馈NodeID节点尚未收到GID报文组中DropNum个报文.

为了防止恶意节点伪造和篡改,需要采用数据签名来保证数据的完整性和数据起源的可认证性.当节点生成链路检测控制报文向上下游的关键节点传送时,处于同一段内的普通节点依次附上各自签名,以防止段内多个恶意节点合谋伪造链路控制报文,格式为(Ni,Ni-1,,,r,(N)ACK,SignatrueNi,SignatrueNi-1,,),其中Ni,Ni-1,,分别为沿途节点ID,r为随机数可用来防止重放攻击,SignatrueNi,SignatrueNi-1,,分别为沿途节点对(Ni,r,(N)ACK)的签名.当该报文传送到段首或段尾的关键节点时,关键节点验证报文的传输路径及链路上各节点的签名是否正确,若不正确则通告传输该

报文的沿途节点/报文有误0,否则用自己的签名替代上述所有的签名继续传递,格式为(r,(N)ACK,SignatrueKi).

此后,所有接收到该链路检测控制报文的节点只需验证关键节点对该报文的签名是否正确即可判定报文的完整性和数据起源的可靠性.当链路检测控制报文在不同的关键节点间传送时,新的关键节点验证签名无误后,将用自己的签名替换前一个关键节点的签名,这样普通节点只需要验证自己所在段的关键节点的签名是否正确即可判定报文的真实性.414 链路状态检测过程

节点配有两个计时器,即Timer1和Timer2.Timer1用于等待目标节点ACK报文,其时长正比于节点到目标节点的跳数;Timer2在转发下游段节点转发过来的ACK报文后设置,用于等待上游节点NACK报文,其时长正比于节点到发送ACK报文节点之间的跳数,该信息可从ACK报文中的HopToSrc推算出来.当Timer1发生超时,触发链路状态检测过程,不同类型的节点执行不同的动作,算法如表1所示.

表1 节点转发报文算法

actionofNormalNode

actionofNormalNode(continued)

Totallyforwardbatchpackets:if(DroNumpkt=DroNumself) setTimer1forthisbatchon; recordRXNACK(GID,ACK_HopToSrc);

forwardNACKtodownstreamnode;Timer1timesout:

elseif(DroNumpkt<DroNumself&&HopToSrcpkt<HopToSrcself) sendACKtoupstreamnode;

setTimer2forthisbatchon;ReceivedACK:

cancelTimer1;additionalactionofKeyNode if(ACKfromDst+HopToSrcpkt<RXACK.ACK_HopToSrc)

ReceivedACKfromnodeinmysegment:

return; verifyandre-signaturedACKpackets; recordRXACK(GID,ACK_HopToSrc); forwardACKtodownstreamkeynodebybothpath; forwardACKtoupstreamnode;ReceivedNACKfromnodeinmysegment: if(HopToSrcpkt<HopToSrcself) verifyandre-signaturedNACKpackets; setTimer2forthisbatchon; forwardNACKtoupstreamkeynodebybothpath;

ReceivedACKfromupstreamkeynode:Timer2timesout:

verifyandre-signaturedACKpackets; sendNACKtodownstreamnode;

forwardACKtoupstreamnodeReceivedNACK:

ReceivedNACKfromdownstreamkeynode: cancelTimer1andTimer2forthisbatch;

verifyandre-signaturedACKpackets; if(HopToSrcpkt>RXNACK.ACK_HopToSrc)

forwardNACKtodownstreamnode

return;

Note:RXACKrecordsinformationofACKfromthemostremotedownstreamnode

Note:RXNACKrecordsinformationofNACKfromthemostremoteupstreamnode

(1)普通节点

普通节点转发其它节点的链路控制报文,且向其它节点诚实通告自己的报文转发情况.当Timer1发生超时,仍没有收到来自目标节点的关于报文组的ACK报文时,普通节点向其上游节点传送ACK报文.当它收到下游关键节点转发过来的段内上游节点生成的ACK报文,它将设置Timer2计时器等.2,将向下游节点传送NACK报文通告下游节点自己收到和转发的报文数量.

如果普通节点收到上游节点NACK报文中的DropNum等于自己的未收到报文数时,它只是简单向下游节点转发NACK报文.当它收到下游关键节点转发过来的段内上游节点NACK报文中的DropNum小于自己未收到报文数时,设置Timer2.当

下载地址：70无线自组织网络下抵抗内部节点丢弃报文攻击的安全通信模型_图文.Doc

　　【】