摘要：虫洞攻击严重威胁着无线传感器网络的安全，不需要知道网络使用的具体协议，攻击者通过在网络中互相远离的两个位置设置两个恶意节点就可以发起虫洞攻击。攻击者可以丢弃数据包、修改数据包并分析流量。文章提出了一种基于邻居信息和备用路径长度的虫洞检测方法。仿真结果表明，这种方法具有较高的检测精度和较小的存储需求。

关键词：网络安全；无线传感器网络；虫洞攻击

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）31-0081-03

1 引言

与其他ad-hoc网络相比，无线传感器网络有很多独特之处，如传感器节点资源有限、节点部署密集、节点使用广播通信而不是点对点通信、节点容易发生故障、拓扑结构经常变化等[1]。无线传感器网络处在开放的环境里，这使它容易受到各种各样的攻击。安全性对于无线传感器网络是至关重要的。文献[2]对无线传感器网络面临的安全问题进行了较为全面的分析。在所有可能的攻击中，虫洞攻击是非常危险的，因为它为更多的攻击打开了大门。如果要发起攻击，攻击者不需要任何加密中断。两个恶意节点通过高速低延迟隧道连接。一个恶意节点从一个区域捕获流量并将转发到远离它的另一个恶意节点，从而干扰路由选择。本研究提出了一种基于邻居信息和备用路径长度的虫洞检测机制。

2 虫洞攻击描述

两个相互远离的恶意节点在它们之间创建了一条高速低延迟的隧道。一个恶意节点捕获来自网络一个区域的流量，并通过隧道将其传输到另一个恶意节点。正常流量得到了来自另一区域的恶意节点的回复，通过这种方式干扰了正常路由。发起攻击后，攻击者可以修改数据包、丢弃数据包、分析流量并为更多其他攻击打开大门。如图1所示，源节点S广播的数据包被恶意节点M1捕获并通过带外高速信道（隧道）将其传输到另一个恶意节点M2。目标节点D从恶意节点M2接收到数据包，就像直接从源节点S接收它们一样。数据包也可以通过正常路由S-W-X-Y-Z-D到达目的节点，由于正常路由经历的跳数更多，所以数据包到达就慢，正常路由就会被恶意路由代替。

3 现有的虫洞攻击检测方法

我们可以利用位置信息来识别虫洞攻击，这需要使用GPS或定向天线，从而会增加网络成本。在文献[3]中，作者提出了基于网格的虫洞攻击抵御策略。文献[4]提出了一种基于标签的抗虫洞MMCL算法LB-MMCL。由于邻居列表频繁变化，这些方法在移动无线传感器网络中无法有效工作。

与正常路径相比，虫洞路径包含的跳数更少。基于跳数和距离的检测方法见参考文献[5]。基于时间的虫洞攻击检测方法见参考文献[6]。如果平均每跳时间大于正常路由的平均每跳时间，则表明该路由存在虫洞。文献[7]介绍了基于网络连通性的虫洞检测方法。恶意节点会导致不正确的连接信息。

4 检测方法

4.1 假定

第一个假定是所有的传感器节点都是静态的。第二个假定是在刚开始部署时网络中不存在恶意节点。在初始阶段，所有合法的传感器节点安全地建立其邻居信息。

4.2 对手模型

相距很远的两个恶意节点建立高速隧道。一个恶意节点从一个区域捕获流量，并将流量转发到位于不同区域的另一个恶意节点，因此路由被完全扰乱。在发起虫洞攻击后，恶意节点可以分析流量、丢弃数据包、修改数据包。

4.3 提出的检测方法

在最初的一段时间内，恶意节点不参与网络活动。为了建立邻居信息，每个节点向其邻居发送hello消息。当节点收到消息时会立即回复，于是发送节点将接收节点添加到其邻居列表中。通过这种方式，每个节点建立起了一跳邻居列表。在建立起一跳邻居列表后，每个节点将其一跳邻居列表发送给其邻居。用这种方法，每个节点建立起了两跳邻居列表。

一段时间后，如果任何节点无意中接收到来自某些新节点的数据包，那么就将新节点添加到可疑邻居列表中。假设节点A无意中收到来自节点B的数据包，那么节点B被添加到节点A的可疑邻居列表中，节点A接着执行图3所示的流程。节点A的所有可信邻居都找到了到可疑节点B的最短路径，从节点A到節点B的直接路径不包括在内。对于所有路径，如果长度大于预定义的阈值，那么这条A到B的链接即为假链接，虫洞攻击即被检测到。

4.4 数学分析

数学上已经证明两个真正的邻居节点总是共享公共的单跳邻居。

图3中节点P和Q之间的距离为D，半径为R。我们已经计算了重叠传输区中另一个节点的出现概率。

扇形面积

[PASB=12×R×S=θ2×R2]     （1）

[θ2=cos-1D2R]         （2）

由（1）和（2）得，

[PASB=R2?cos-1D2R]          （3）

三角形面积

[PAB=12×AB×PO=12×OA×D2]      （4）

[R2=PO2+OA2=D24+OA2]        （5）

由（5），

[OA=R2-D24]            （6）

由（4），（6）得

[PAB=R2-D24×D2]           （7）

重叠区域

[A（D）=2（PASB-PAB）=2R2cos-1D2R-R2-D24?D2]    （8）

重叠区域中存在节点的概率为

[p=θ-δA（d）]       （9）

节点P和Q之间的最大距离为R，所以

[P（D）=1R2??D2?D=2DR2]      （10）

由（9），（10），公共区域中不存在任何节点的概率为

[P=DR2DR2?D-δA（d）dD=D-1.18?δ?R2]   （11）

如果密度为每平方公里100个节点，R取值250m，那么P<0.1%。

5 结果和分析

邻居的平均数量用NAV表示，节点总数用NT表示，每个节点的大小用SID表示，存储邻居信息所需的存储空间为SIDNAV。要存储邻居的邻居列表，所需的存储空间为SIDNAVNAV。所以对于每个节点，所需的总存储空间为SIDNAV + SIDNAVNAV。

如果节点大小为4字节，每个节点的平均邻居数为10，那么该节点所需的存储空间为440字节。该协议占用内存非常少，所以适用于资源有限的无线传感器网络。我们模拟了密集网络和稀疏网络中的虫洞攻击。模拟参数如表1所示。

在正常情况下，数据包投递率为99%，在有攻击的情况下，数据包投递率降至41%，在应用了所提出的方法后，数据包投递率为98%。类似地，在正常情况下，吞吐量为89kbps；在攻击情况下，吞吐量降至36kbps，在应用了提出的方法后，吞吐量为85kbps；在存在攻击的情况下，数据包投递率和吞吐量急剧都下降。应用该协议后，数据包投递率和吞吐量都有了显著提高。

误报率大大降低，当短距离内发生虫洞攻击时会产生漏报。当发生远距离虫洞攻击时，检测准确率接近100%。对于报告的路径长度，阈值λ取值为3。当λ=1时可以检测短的虫洞攻击，但它会增加误报。当λ=5时，误报率降低，但检测不到短的虫洞攻击。λ=3是获得良好检测率的最合适值，结果如表2所示。Pworm[8]是一种概率方法，当只有很少的流量被捕捉到时就无法检测到虫洞。文献[9]使用了基于RTT的MDS虫洞检测方法。表2是文中所提方法与这两种方法的比较，可以看出本方法的检测准确性更高。

6 结论

近年来，无线传感器网络中虫洞攻击的研究受到了广泛关注。要发起攻击，攻击者不需要任何密码，也不需要知道网络中使用的协议。多数检测方法采用硬件，这增加了传感器节点的制造成本。文章提出的检测方法对资源的要求不高并且具有较高的检测精度。在未来的研究中，移动无线传感器网络中的安全邻居发现是一个很有意义的课题。

参考文献：

[1] 徐小龙，高仲合，韩丽娟.一种新型的无线传感器网络虫洞攻击检测与预防技术[J].软件，2019，40（6）：17-20.

[2] Uzougbo O I，Ajibade S S M，Taiwo F.An overview of wireless sensor network security attacks：mode of operation，severity and mitigation techniques[EB/OL].[2021-06-30]. https：//arxiv.org/abs/2011.06779.

[3] 吴一尘，章曙光.基于网格的无线传感器网络虫洞攻击抵御策略[J].中国科学技术大学学报，2019，49（1）：1-7.

[4] 鲍露，邓平.一种基于标签的抗虫洞攻击MMCL算法[J].传感技术学报，2018，31（7）：1118-1123.

[5] 吴海波，魏丽君.PS-DV-Hop算法对虫洞攻击防御的安全性能研究[J].计算机与数字工程，2018，46（10）：2073-2077.

[6] Singh R，Singh J，Singh R.WRHT：a hybrid technique for detection of wormhole attack in wireless sensor networks[J].Mobile Information Systems，2016，2016：8354930.

[7] Karapistoli E，Sarigiannidis P，Economides A A.Visual-assisted wormhole attack detection for wireless sensor networks[M]//Lecture Notes of the Institute for Computer Sciences，Social Informatics and Telecommunications Engineering.Cham：Springer International Publishing，2015：222-238.

[8] Lu L，Hussain M，Luo G X，et al.Pworm：passive and real-time wormhole detection scheme for WSNs[J].International Journal of Distributed Sensor Networks，2015，2015（1）：1-16.

[9] Mukherjee S，Chattopadhyay M，Chattopadhyay S，et al.Wormhole detection based on ordinal MDS using RTT in wireless sensor network[J].Journal of Computer Networks and Communications，2016，2016：3405264.

【通聯编辑：代影】

收稿日期：2022-03-24

作者简介：徐小龙（1977—） ，高级实验师，硕士，主要研究方向为计算机网络与通信。