邢小东

(山西大同大学计算机与网络工程学院，山西 大同 037009)

1 引言

在动态传感器网络中，主结点网络是一种可自动点对点的网络结构，它具有多跳、无中心和自组织等多种特征点。主网运行过程中，主网节点经常根据自己的基本需求进行移动，而主网的移动使传感网络的结构发生不同的变化，当网络遭受恶意攻击时，恶意节点的行为属性会随着主网所在地区的不同发生不同程度的突变。传统的基于节点行为属性网络攻击检测方法容易产生不稳定节点，不能形成一定的、稳定的检测模型，容易导致检测结果失真和虚警率高的问题。

对此，刘强[1]构建节点距离函数，基于自适应信息融合组建物联网下的移动网络节点之间通信传输信道模型，考虑到对节点定位数据的非线性变换，利用拥塞节点距离运算残差纠正模型，优化移动网络拥塞节点定位方法，保证拥塞节点定位的准确性。张志华等[2]针对休眠中无线传感网络，提出一种攻击节点检测方法，即在相邻节点基础上，依据节点之间的信息进行存活性检测，并且通过节点检测结果对节点声明的消息进行处理，然后统一对节点广播机制调控，这样在恶意节点重新加入网络之前，就可以被检测出来。张昊等[3]基于MD5算法，提出了一种数据安全传输方法，针对分布式无线传感器网络数据传输过程中遇到的问题与原始信息的特点，利用哈希函数，生成一定格式的信息摘要，并与发送端的摘要进行对比，在接收端对数据重新生成一次摘要，提升了数据传输的安全性。

上述方法虽然能够有效完成对攻击节点进行检测的目的，但在现阶段存在检测精准度差且计算耗时久等问题，基于此，提出在无线传感网络中Sybil攻击检测方法。其创新要点体现在基于空间约束，引入无线网络攻击检测法，对Sybil攻击进行分类，然后通过锚节点对攻击节点定位，实现检测Sybil攻击。

2 动态无线传感网络分析

2.1 动态无线传感网络结构

动态无线传感器网络可用于飞机广播、人工投放或炮弹发射等监控领域。可根据需要使用各种传感器节点。传感器节点通过自身的组织形成网络，采集目标信息，检测节点区域内相应的数据，对采集到的数据进行处理，然后通过多跳方式传输到网关。图1是一个典型的无线传感器网络结构。

图1 无线传感网络结构

如图1所示，监视器向监视区域发送飞机监视节点，监控区域内的节点通过自组织形成网络，从监控区域获取相应的数据信息，一些集群节点可以通过合并相关数据来减少数据传输。在网关的实际运行中，网关具有很强的处理能力，通信功能和可移植性都很好。通过卫星通信和互联网通信，将所需数据传送到相应的服务器上。这样可以通过远程处理得到相应的数据，从而从根本上改善无线传感器网络的应用，增加通信的交互类型。

图2 无线传感器网络特征

2.2 基本检测原理

一般情况下，动态无线传感器网络在受到外界恶意攻击时，恶意节点出现在系统的物理层、链路层以及应用层中，其中，动态无线传感器网络监测恶意攻击的原理过程如下：

当网络中出现恶意攻击节点时，网络中由恶意攻击节点引起的异常特征集合就有U={(z1，a1，v(z1))，…，(zn，an，v(zn))}，其中zl∈Tq，w(zl)∈{-1，1}，ω≤w(zl)≤1，ω可以描述为无线传感网络的整体运行状态，而x(zl)和ξ1则分别表示为操作特征的相似度以及特征偏差系数，这样即可写出传感器网络中入侵特征分提取问题

M(zk，zl)=al((y·zl)+d)

(1)

式中，将al>0描述为传感网络中入侵检测过程中的惩罚因子，ξ=(ξ1，ξ2，…，ξ1)T，w(zl)则表述为网络中操作数据的相似程度。

结合上式计算结果，针对传感器网络被攻击时所检测到的问题进行求解，得到的理想结果是X′=(X′1，X′2，…，X′n)T，因此便可得出入侵检测函数

(2)

其中

(3)

3 抗合谋Sybil攻击检测方法

3.1 Sybil攻击分类

首先，对Sybil攻击进行了分类，因为在动态无线传感器网络中，攻击可以分为许多不同的攻击类别，包括网络中节点的直接与间接通信、伪造节点标识和窃取标识、多个恶意攻击节点同时攻击或不同时攻击，如下：

1)直接通信与间接通信

直通：一般情况下，当网络受到恶意攻击时，正常节点之间可以继续进行直通通信，而攻击节点则伪装成正常节点与其进行通信，假定正常节点在攻击过程中向恶意节点发送消息，则攻击节点接受消息，再发送出错误数据信息，从而正常节点接受恶意节点发出的错误数据；

间歇通信：间接通信是正常节点不与恶意节点直接接触的一种攻击方式，与直接通信不同的是，在间歇期间，如果一个或多个恶意节点能够到达正常节点传送数据的状态，则可以将数据从这些节点传送到恶意节点。

2)伪造节点ID和窃取点ID：

在Sybil节点进行攻击的过程中[4]，攻击节点可以根据两个不同的通道得到与其对应的节点标识，其一是恶意攻击节点伪造出来的身份标识，另一种则是根据网络手段窃取正常节点的标识；

伪造节点ID：在一些特定的情况下，恶意节点可以较为容易的构建出多个假的正常节点表示形式。比如在很多情况下，一个节点都是由32为整数组成的，根据这一情况，攻击者便只需要为恶意节点构建一个32位整数值就可以伪造成一个正常节点标识；

窃取节点ID：在恶意节点进行攻击的过程中，在伪造不了节点ID的情况下，就会采取窃取手段获取节点ID。

3)同时攻击与非同时攻击。

同时攻击：一般情况下，攻击节点会同时显示出网络中所有运行的节点，同时攻击就是攻击者令所有Sybil节点同时运行，但是一个特定的硬件单元只能使用一个标识，然而，通过时分复用技术，节点可以与多个节点同时存在；

不同时攻击：如果所有潜在无线传感网络中的恶意节点不同时攻击的话，攻击者就可以让其他节点伪装成别的身份，攻击者的身份可以多次释放或连接到网络，这样攻击者每次都可以使用不同的身份。

如果攻击者使用的ID数与攻击设备数相同，则这些设备可以在不同时间使用不同的节点ID，并假装成不同的设备。

3.2 节点定位原理

在运行的过程中，只需要计算出定位目标之间的相对方位即可，这种方法通过一个错误节点作为定位点和锚点周期性地传输两种信号：同步信号和旋转光信号[5]。为了避免信号冲突，这两种信号类型在不同的信道中进行传输。要定位的传感器节点始终监视同步信道的信号。同步信号一经接收，就用于监测光束旋转通道，锚节点的角度则由接收到的同步信号与半径信号的时差决定。同时，要放置的节点和半径信号之间的信号阻尼强度决定了其位置。如图3所示，其中将节点TA描述为锚节点[6]，就是指定位器，而B和v则分别表示为需要定位的几点以及监听信道，这样即得知u和T分别表示为旋转波束信道和信号发射周期。

图3 定位原理原图

由此可知需要定位节点B相对于定位器TA的极角就可以表示为：

(4)

假设在网络正常运行的的过程中，锚节点发射出来的信号功率是一直稳定的，并且把发射信号的功率描述为PT，那么针对定位节点B与其对应的定位器TA距离就可表示为

(5)

3.3 角度-衰减度检测法

依据上述攻击节点定位的基本原理，本文将在此前提下，从节点角度出发进行攻击衰减度检测，该方法在实际检测过程中，根据攻击节点方位不变的特征性[7]，可以较为容易的检测出以下两则规则：

规则一：假设极坐标系中不同节点之间存有的距离差保持在正常可接受范围内[8]，那么这些节点就是攻击节点。

通常情况下，当网络中存在恶意攻击节点，且节点检测到该节点时，恶意节点将进行相应的反检测，从而造成上述规则检测不出恶意节点或检测结果错误等情况。这里给出了一个假定的例子，例如，当一个节点单独定位时，定位节点正好是一个恶意攻击节点，但当该节点标识了多个不同的身份时，恶意节点也会受到标识信号的影响而做相应的调整，这也会导致节点方位完全不同，从而产生多个虚拟节点同时位于多个位置的假象[9]，因此为了有效地防止这类情况的发生，制定了规则2，其中定位原理图如图4所示：

图4 两个锚节点之间定位

根据图4可知，假设在传感器网络中，已经得知节点A和B，那么就说明这两个节点之间是可以利用计算得知实际距离的，如果图中AB之间的长度S′AB=SAC+SCB与实际AB的距离长度SAB在一个可以接受的误差范围内[10-12]，这样图中所显示的定位节点就为正常节点，就有AC的长度加上CB的长度和实际AB节点距离在合理误差λ范围中，就可以说明M是正常节点，但是要是推翻此理论的话，那么M则表示为恶意攻击节点。

但在实际检测的过程中由于节点可能出现在A和B之间的任意位置，所以本文将针对动态无线传感网络中不同节点位置的情况进行研究分析。M节点所在的坐标位置相对于两个锚节点的位置可以出现六种不同的情况，其中节点M在AB的反向延长线、中间处以及延长线中均会出现如图中a，b，c的特殊情况。当节点M处于节点A和B的左上方时，从坐标系中两节点之间的方位关系即可得知，利用MA和MB的斜率与长度即可算出AB的实际长度便有

S′AB=ρMB×cos(π-β)-ρMA×(π-α)

=ρMAcosα-ρMBcosβ

(6)

根据图5(a)中可知，当节点M正在节点A，B的左下方时，根据坐标系中节点之间的位置关系又可得知利用MA和MB的长度以及斜率加了计算出AB的长度

S′AB=ρMB×cos(β-π)-ρMA×(α-π)

=ρMAcosα-ρMBcosβ

(7)

图5 节点在坐标系中相对锚节点位置

再根据图5(b)中上下图可知，当节点M正处于节点AB之间的正上方或是正下方时，根据坐标系中节点之间的位置关系，利用MA以及MB的长度和斜率计算出的整体长度，便有

S′AB=ρMB×cos(π-β)+ρMA×cosα

=ρMAcosα-ρMBcosβ

(8)

S′AB=ρMB×cos(β-π)+ρMA×cosα

=ρMAcosα-ρMBcosβ

(9)

再从图5(b)中两个上下图来看，节点M处于节点A和节点B的右上方以及右下方，根据坐标系中节点间位置的关系，即可通过MA和MB的长度与斜率计算出AB的实际长度，得出：

S′AB=ρMB×cos(β-π)-ρMA×cos(β)

=ρMAcosα-ρMBcosβ

(10)

S′AB=ρMB×cos(β-π)-ρMA×cos(2π-β)

=ρMAcosα-ρMBcosβ

(11)

按照上述计算结果，根据计算出来的AB长度，在合理且能接受的误差范围中，考虑到节点M应该受到这个空间距离的约束条件，得到与上述相对应的规则条件。

规则二：如果根据计算获取出的节点和实际节点距离差不在合理可接受的范围内，并且绝对值要比误差系数λ高，那么就有：

|S′AB-SAB|=|ρMAcosα-ρMBcosβ-SAB|>λ

(12)

其中节点M描述为攻击节点。

4 仿真研究

为了验证所提出算法的攻击检测效果和实际应用性能，将在仿真中，在Kaggle( https：∥www.kaggle.com/datasets )中获得70个移动节点和副本节点，针对动态无线传感网络中节点被攻击概率进行节点分析，保留50个移动节点和副本节点，同时运用本文方法与两种文献[1]、[2]和[3]方法进行对比，其中性能评估结果如下所示：

4.1 攻击检测性能

由网络路由开销、数据包投递率、定位误差和平均数据包延迟率构成的最终能耗判定依据，本文仿真实验中在节点检测能耗以及数据包投递方面进行了对比，其中结果对比图6如下所示。

图6 四种算法能耗对比图

根据图6即可得知，与三种文献方法相比，本文所提出的方法在检测Sybil攻击的过程中，并没有消耗过对的能耗，而其他文献方法则会出现能耗消耗过多的情况，由此证明本文方法的实用性较强。

4.2 攻击检测效率

图7是三种方法监测Sybil攻击节点的检出率，检出率是一种描述被成功检出的副本节点数量占总数量的百分比。

图7 四种方法检出效率对比图

从图7中可知，在对节点进行检测时，被成功检出的副本节点占比较高，即可看出本文所提出的方法在检出攻击节点的检出率方面具有较高的优势，其检测效率最高可达到99%，且比文献[1]方法高出14%。

4.3 目标函数完全适用性对比

经过计算后，求解得到攻击检测的目标函数，目标函数对整体节点的覆盖程度反映着目标函数的是否具有完全适用性即实际应用效果，由此，将本文方法与文献[1]、文献[2]和文献[3]方法进行对比，得到的对比结果如图8所示。

图8 不同方法目标函数对整体节点的覆盖程度

由图8可知，在700个节点个数的限制下，本文方法最高覆盖个数为500个，文献[1]为400个，文献[2]为289个，文献[3]为325个，对比可知，本文方法的覆盖程度最高即适用性较强，可将其应用于实际。

5 结论

1)在动态无线传感网络的基础上提出一种抗合谋Sybil加攻击检测方法，根据无线传感网络的组成结构得出与其对应的检测原理，其攻击检测性能得到提升。

2)经过计算求解得到攻击检测的目标函数，随后运用空间约束的攻击检测方法将Sybil攻击进行分类处理，具有较高的适用性和精准度，其其检测效率最高可达到99%。

3)根据锚节点对攻击节点定位，最后实现对Sybil攻击检测的目的，对整体节点的最高覆盖个数为500个，可以有效的实现Sybil攻击检测，并将其应用于实际。