王雪丽

（宿州学院，安徽　宿州　234000）

无线传感器网络中的sinkhole攻击检测技术研究

王雪丽

（宿州学院，安徽宿州234000）

在无线传感器系统中，Sinkhole是一种相对基础且常见的路由攻击类型，攻击者通过声称到目的节点或基站具有高质量的路径吸引周围节点的数据流，对网络的负载平衡造成了严重的影响.当前，sinkhole攻击检测技术在网络安全问题中占有重要的地位，其重要性越来越受到人们的重视.基于此，本文对无线传感器网络中的sinkhole攻击检测技术原理与设计进行了分析，以便于更好利用该技术对计算机网络进行保护.

sinkhole攻击；无线传感器；检测技术

在互联网中，sinkhole攻击对于传感数据来说是一种很严重的攻击行为，它对于计算机获取数据信息的完整性与正确性起到了一定的阻碍作用，甚至对计算机的核心系统构成严重危害.然而随着计算机与网络技术的普及与发展，人们在日常的信息数据传输过程中对网络的安全性有着更高的要求，因此对sinkhole攻击的有效防护是一项亟需解决的问题.本文将通过对sinkhole攻击的原理进行研究和分析，以期找出相对应的防护措施.

1　sinkhole攻击概述

Sinkhole中文被译为“槽洞攻击”，其具体是由攻击节点去引诱一个区域的流量，使数据经过该节点，节点就可以对正常数据进行篡改，导致该区域的所有信息缺失或被改动.在每次的sinkhole攻击中，该节点都会伪装自己，强调自己的性能可靠且高效，对周围节点具有强烈的吸引，据此对通过该节点信息进行恶意篡改.这种恶意的信息改动操作，会将用户的私人信息传送给攻击者，这不单单为黑客创造了攻击计算机的机会，而且还严重地影响了网络的负载平衡，甚至还可能引起更多的其他恶意攻击.因此，当前企业或家庭中的无线传感器网络对于的sinkhole攻击行为十分敏感，亟需引起广大用户的注意.图1为带有sinkhole攻击的网络状态示意图.

图1　sinkhole攻击示意图

2　无线传感器网络中的sinkhole攻击产生与原理

在网络中的Sinkhole攻击过程中，攻击者会吸引到入侵的节点周围区域内几乎所有的数据流信息，有时候攻击者会通过已被俘获的节点中心进行槽洞攻击.一般来说，基站附近区域的数据交换信息量比较大，所以这个特定区域通常都会在基站附近，加上Sinkhole攻击与Sybil攻击类似，会将数据流吸引过来，因此在其攻击过程中也会为其他形式的攻击提供方便.

一个攻击节点按照路由算法可以成为最吸引周围节点的特殊节点，这是Sinkhole的一种典型攻击方式.例如，攻击者会通过某种手段伪装自己，在网络中发放一个路由公告，通知别的节点自己拥有一条质量很高的通往基站的路由.这时候，部分协议会努力通过端到端的方式来反馈所包含的信息，进而检测路由的安全状态.接着，攻击节点便会利用自己能力充足的发射器来提供通往基站的一条路由，以此来给用户造成一种拥有高质量路由的假象.因此，大量准备将信息数据发往基站的节点，通常都会携带数据包通过这个攻击节点.并且攻击节点还会在路由中起到一定的宣传引导作用，在这条高质量路由向其他的节点扩散，不断拓展了攻击者的攻击范围，进而在更广阔的路由空间内引导其他的向该基站发送信息的节点都需要通过该恶意节点，最终达到攻击者的目的.

Sinkhole攻击的重要目的之一就是对数据流进行选择性转发，通常情况下，攻击者已经很清楚地知道攻击目标区域被Sinkhole节点所控制，可以任意地组织或者篡改攻击区域的一个节点所发出的数据包.这种Sinkhole攻击行为之所以能够实施，主要是基于无线传感网络所构建的特殊通信方式，即在无线传感网络的某一区域内，所有的数据包都会有共同的最终传送目的地，所以如果有一个节点被攻击者攻击，并且造成通向基站的高质量通道的假象，则会造成整个网络节点都出现潜在的安全隐患与影响.

3　无线传感器网络中的sinkhole攻击检测技术设计

Sinkhole攻击在无线传感器网络的众多恶意攻击中，是一种相对常见的恶意攻击行为.目前，国内外诸多专业人士对此做出了大量的研究，试图找出一种安全可靠的防范与检测技术，例如采用附加的硬件设备，或者采用共享密钥进行用户身份的确认，但是节点间的密钥会占用较大的内存空间，导致传感器节点计算能量消耗较大，严重地危害了网络的使用寿命.针对这种不足，当前提出了一种基于多点检测与回复信息的Sinkhole攻击检测技术，可有效地防止Sinkhole攻击.

3.1系统框架设计

当前业内人士针对目前网络中攻击者发起Sinkhole攻击的原理特点，以及Tseng等人在文献中提出的有限状态机的思想，据此提出了一种相应的攻击检测系统，笔者结合自身工作对各模块的功能及关键技术对该系统设计进行了详细阐述.这种无线传感器网络的入侵检测系统框架是在分布式结构的基础上建立的，在该检测系统中，每个节点都会负责监测本地的数据，同时还协同邻居节点进行协作监测.具体地说，对于Sinkhole攻击，该系统状态可以分为两个阶段:

第一，路由选择阶段.在这一阶段中，由检测点发出检测包传输到基站，对沿途路由节点进行检查，通过分析与比较，判断在该系统中是否存在恶意的节点.如果检测出某点为恶意的攻击节点，那么则会向全网公告该节点，相反则为正常节点.

第二，数据传输阶段.这一阶段同样对有嫌疑的节点进行检测，在固定时间间隔中，计算节点转发数据包的情况，得出该节点丢包率.在一般的网路节点转发数据中，会存在正常的丢包率，但如果计算该节点丢包率远远超过平常节点丢包率，那么就应当发出警告.系统通过这样的判断便可知道该公告节点是否受到了Sinkhole攻击.

为了能够更直观地方便理解这一设计，笔者在下文举例说明一种如何检测Sinkhole攻击的方案.如图2所示，节点C、D、E在节点B的通信范围之内，当节点A发出路由公告，此时B、C、D、E均能收到路由公告，因此，可将它们作为节点A的检测节点.设节点B为该系统的统计监测节点，经过它可以搜集其他检测节点收到的回复信息并进行统计计算，这样可以粗略地检测该节点什么时候会受到Sinkhole攻击.如果该节点受到了攻击，则应该将它隔离；如果判断出节点A没有受到恶意攻击，则需要进行继续的检测，通过丢包率的比较，进一步判断A是否为恶意节点.

图2　监测点示意图

3.2主要功能模块设计

3.2.1本地数据监控模块

在网络数据监控中，审核数据的收集和对数据进行过滤和预处理是本地数据监控模块的主要任务，在进行完初步的分析后，然后将结果发送给本地检测模块.一般情况下，在传感网络系统中，需要收集的信息主要包括数据包信息、路由请求信息、路由回复信息等内容，得到这些信息后，监控模块会对这些信息进行逐一审核.

在该模块中，需要对路由行为进行分析，根据收集的数据信息，从而得出有效的信息反馈；接着，网络中的节点会根据收集到的信息进行编辑，记录好节点收发数据的情况.根据记录到的信息表，模块会在不间断的时间内对数据进行逐一分析，统计某一节点在单位时间内处理的相同特征的报文次数，然后将报文进行总和，最终将报文信息送至检测模块进行检验.

3.2.2本地检测模块

在本地检测模块中使用基于多点检测的方法来检测攻击，通过每个邻居节点和回复信息，可以监测出是否受到攻击.Mintroute是如今是传感器网络中最常使用的方法，它可以将链路质量估价作为衡量标准，其所指的节点路径特指从源节点到基站方向的路径.这种检测模块是让每个节点将从旁边节点接收到数据包的丢失情况作为基础，这样可以对其它的节点进行数据评估.通过不断循环检测，对每个邻居节点都进行评估，最终列出表格，让系统可周期性地了解邻居节点，并对节点进行监测.当系统对数据表格的分析后，会选择最优链路将成为它们的父节点.

另外，在选择父节点时，对阈值的选取很重要，这样可以防止噪声干扰评估结果，避免误差.如果一个新的节点链路质量高于当前父节点链路质量的75%，或当前父节点的链路质量值低于25，那么这个节点可以作为新的父节点，反之原父节点继续有效.

3.2.3协作检测模块

从网络中找到入侵节点，是设计检测模块需要解决的重要问题.通常来说，节点的目的信息相一致的属性往往作为其查询信息的依据，并依次传播扩散，一级传一级，由局部传到整个网络，进而将所有的目标信息进行匹配.当每一个节点从上一个节点收到信息后，先查看原来记录中是否存在该信息，如果没有记录，则应该录入节点信息.对于基站来说，如果哪个邻居节点发送的信息较快，那么它将会对其进行标识，将其记录为“梯度”最大的邻居节点，并同时对该邻居节点发送一个加强选择信息.邻居节点也会对它的邻居节点进行筛选，选择出它的“梯度”最大的邻居节点，以此类推，最终会选择出一条“梯度”值最大的路径.以此条路径发送的信息的效率较高，而其他较低发送率的节点作为备用路径以保证网络的可靠性.

4　仿真与实验效果分析

模拟仿真和现实中真实的测量是通常在技术领域中评价一种新技术是否适用的方法.在无线传感器网络中，由于其自身特殊的性质——物理测量无法进行，所以计算机的仿真显得尤为重要.无线传感器是不同于无线网络和有线网络的，它具有自身的特殊性，主要面向于应用类型的网络，因此如何选择仿真工具是首先应当考虑的问题，而目前来说，测试结果相对准确的有SENSE项目、TOSSIM项目、SensorSim项目和EYES项目等.笔者在下文着重对TOSSIM工具的仿真简要分析.TOSSIM项目是从Tiny0S代码中产生的模拟器，它可以检测出每条链路的通信质量，通过对每条链路的比特出错率进行设置，可以对链路信息进行严格把控.

4.1仿真模型的建立

首先，建立一个仿真模型，以此来检验仿真检测方案的功能.

（1）找一个100mX100m的范围，在该范围内均匀划分，选择50个传感器节点.将该区域内每个点都应固定，节点位置也应该间距相同.

（2）在设置每个节点时，各个节点的能力、通讯条件都应该相同，并且每个数据包在网络中应该以19.2kb/s的速度传输.

对编写的程序进行进一步的调试，使其在TOSSIM模拟器上可以准确地运行.

4.2仿真比较和分析

在仿真模型计算中，分别采用不相交路径和缠绕路径来计算，这样对比考虑不同情况下的路径，能够相对准确地比较出本文所提及的检测技术.另外，网络中会存在一定的失效节点，在针对不同的失效节点进行比较时，要对其安全概率进行研究.

根据分析结果，将其展示在图3中，在图3中可以显示，本文方法的检测安全概率大于不相交路径的方法，证明检测有效.

图3　三种方法下安全概率的比较图

5　结语

在当前网络技术飞速发展的今天，传感器网络作为我们传输信息数据的重要途径，具有极其重要的作用.然而面对威胁网络安全的Sinkhole攻击，我们必须要找寻到一种可靠、稳定的检测防护技术.据此，笔者在文中介绍了一种当前安全防护性能较高的Sinkhole攻击防范检测方法，能够实时地对攻击进行分析勘察，对信任节点加以利用，对攻击节点加以警告，进而对整个网络的安全进行控制，对传感网络的安全运营具有重要的意义.希望在以后的工作中，能够更深入的对Sinkhole攻击的检测机制展开研究，进而对不同的类型攻击有更广泛的了解.

〔1〕滕丽萍，张永平.无线传感器网络中sinkhole攻击研究［J］.计算机安全，2011（13）.

〔2〕滕丽萍.无线传感器网络中基于Sinkhole攻击的入侵检测系统研究 ［J］.计算机应用与软件，2013（03）.

〔3〕周玲玲，张建明，王良民.无线传感器网络中的sinkhole攻击检测［J］.计算机工程与应用，2008 （09）.

〔4〕袁伟.无线传感器网络中的Sinkhole攻击检测［J］.电脑编程技巧与维护，2011（07）.

TP393.08

A

1673-260X（2016）07-0016-03

2016-03-11

Wsn中多类型inside attack检测与精确定位方法的研究（2013yyb02）