李光远

（重庆文理学院 计算机学院，重庆 永川 402160）

摘  要：无线传感网开放的访问和有限的资源使其极易受到各种攻击，需要有效的入侵检测技术发现并识别各种安全威胁。对目前的入侵检测系统进行了简要的介绍，探讨了无线传感网面临的各种威胁，对无线传感网入侵检测技术进行深入的研究，最后指出各种技术的综合使用是无线传感网入侵检测系统的发展方向。

关键词：无线传感网；网络安全；入侵检测

中图分类号：TP391          文献标识码：A          文章编号：

Research on Intrusion Detection for Wireless Sensor Network

LI Guang-yuan

(College of Computer Science, Chongqing University of Art and Science, Yongchuan 402160, China)

Abstract: Wireless sensor network is vulnerable due to open access and restricted resources, effective intrusion detection techniques are necessary to detect all kinds of security threats. In this paper, current intrusion detection systems are introduced briefly, multifarious threats faced to wireless sensor network are discussed, and then network intrusion detection techniques for wireless sensor network are investigated in depth. At last, it is indicated that the development of intrusion detection system for wireless sensor network needs to integrate all sorts of intrusion detection techniques.

Key words: Wireless Sensor Network; Network Security; Intrusion Detection

0           引言

无线传感网（Wireless Sensor Network，WSN）由部署在应用所涉及区域的大量低成本、低功耗、小尺寸，并具有短距离无线通信能力的传感器网络节点组成，这些节点由数据感知、数据处理和通信构件构成^{[1, 2]}。然而由于传感器节点大多被部署在一些无法到达、无人照看而又非常敏感的地区，所以无线传感网极易受到各种攻击^{[3, 4]}。缺乏有效的安全机制是无线传感网应用的主要障碍之一，入侵检测已成为当前无线传感网研究的热点^[5]。

1           入侵检测系统概述

所谓入侵检测就是发现并识别任何用户通过网络破坏信息安全和/或稳定的异常行为。现有的网络入侵检测研究大都集中在有线网络，对无线传感网入侵检测的研究则相对很少。

1.1         有线网入侵检测系统

目前已经提出了许多有线网络的入侵检测系统，可以根据部署方式或基于异常行为的检测方式对这些系统进行分析和归纳。

基于部署方式的入侵检测系统主要分为两种：基于主机和基于网络的入侵检测系统^[6]。前者由主机通过分析系统调用、应用日志、文件系统的更新和其他主机行为和状态来识别入侵。后者被设计成通过监视网络通信、包以及对包的访问信息来分析任何值得怀疑的行为。

基于异常检测技术的入侵检测系统也包括两种：基于签名和基于异常的入侵检测系统^[7]。前者需要维持一个知识库来保存所有已知的攻击方式，以便与值得怀疑的行为进行比较从而检测出矛盾。后者知识库存储的则是所有正常行为的配置，通过将值得怀疑的行为与知识库进行匹配就可以检测出不一致。

1.2         无线传感网入侵检测系统

无线传感网入侵检测系统可以分为三种，分别是集中式、分布式和分层式^[8]。集中式入侵检测系统使用基于异常的检测技术检测DoS攻击。在这种实现方式下，其中一个节点作为主节点，其他节点作为从节点。主节点搜集从节点信息，并对其进行分析，从而检测出异常并采取相应的措施。在分布式实现方式中，所有的节点都运行自己的入侵检测系统，自主地处理本地的恶意攻击，这种方法可以有效减少网络通信。在分层式实现方式中，网络被分为多个簇，每个簇有一个簇头。入侵检测系统就部署在簇头上，处理本簇中各个节点和其他簇头的恶意攻击。

2           无线传感网面临的威胁

无线通信的特点使得对无线传感网的访问变得容易，也导致无线传感网中存在许多威胁，更多的弱点也正在更快地被暴露出来^[9]。有必要对无线传感网面临的威胁进行认真分析，找出针对无线传感网的主要攻击方式。

因为无线传感器节点资源有限，路由协议通常非常简单，使得路由协议成为了主要的攻击目标。针对路由协议的攻击包括以下几种：

1）欺骗、改变或者重放路由信息。在发送数据的过程中，经过节点的数据可能会被更改、欺骗，或被换为老旧的数据，或直接被破坏。由于传感器节点通常只能在小范围内传送数据，攻击者可以使用大功率通讯设备在大范围内同时攻击多个传感器节点，更改传送的数据。

2）选择重传。在这种情况下，一个恶意节点可能会拒绝传送它获得的任何信息，就像一个黑洞一样，也可能不将信息发送给正确的接收者，或者简单地直接将信息丢弃。

3）Sybil攻击。在Sybil攻击中被破坏的节点对外表现出多个节点的样子。这种攻击试图降低网络所使用分布式算法的使用率和效率。Sybil攻击可能影响到分布式存储、路由、数据汇聚、表决和网络资源配置，以及异常检测。

4）Sinkhole攻击。其目的在于吸引整个网络的通信，尤其是在使用基于洪泛的协议时，恶意节点会监听路由请求，然后向请求节点回复伪造的路由信息，包含指向目标的错误路径。

5）虫洞攻击。在这种攻击中，恶意节点从网络的一端通过一条并不存在的链路向另一端发送信息。最简单的虫洞攻击形式是使两个节点相信它们彼此相邻。这种攻击可能会与选择重传或偷听结合使用。

6）HELLO洪泛攻击。这种攻击通常基于网络中许多通过广播Hello消息声明自己的协议。攻击者可能会在网络中大范围内发送许多Hello消息给大量的节点。这些节点可能就相信攻击者与之相邻，最终令整个网络陷入混乱。

7）确认攻击。许多无线传感网路由算法需要链路层确认。危险节点就可以利用这点骗取确认，让信息发送者相信一条无效链接或一个失效节点是有效的。

除了对路由协议的攻击外，还有一类常用的攻击方式就是拒绝服务攻击（Denial of Service ，DoS）。这类攻击目的是耗尽网络资源使其无法正常发挥作用。可以根据DoS攻击所针对的分层对其进行分类：

1）在物理层，DoS攻击可以采用干扰或篡改的形式。干扰是指使用与节点同频的电磁波对信息传输进行扰乱。篡改则是指物理地更换甚至破坏节点，如盗取或替换信息加密的密钥。

2）在链路层，攻击者可能会人为地造成冲突，使得协议试图不断地进行重传，从而耗尽资源。这种威胁可能不会完全导致DoS，但必然降低系统的服务能力。

3           无线传感网入侵检测技术研究

3.1         无线传感网入侵检测模式

根据各种应用的情况，可以将无线传感网入侵检测模式分为四种^[10]：

1）持续的检测模式。入侵检测系统在一段时间内持续监视无线传感网，若发现攻击则进行记录但并不通知管理员，直到检测周期结束，系统才发出警报。

2）基于事件的检测模式。不需要设置检测周期，只要发现攻击的异常行为，入侵检测系统会立即通知管理员进行处理。

3）基于观测的模式。与上述两种不同，只要系统被攻击，异常信息就会被直接处理。如果受到的攻击非常严重，管理员可以立即采取隔离的方法以防更大的破坏发生。

4）综合模式。结合上述三种检测模式，在正常情况下，传感器节点周期性报告检测数据。若发现异常攻击行为，入侵检测系统将发出警报，以便管理员调整系统进行防御。

3.2         无线传感网入侵检测方法

目前已有的无线传感网入侵检测方法可以分为两类：

1）基于协作的入侵检测（Collaboration-based Intrusion Detection，CID）^[12]。CID采用持续模式，在节点簇的工作周期内执行检测。该方法主要基于两类节点，簇头节点（cluster head，CH）和成员节点（member node，MN）（如图1）。CH需要搜集和整理整个无线传感网的数据，控制簇内MN并与基站通信。因此，对CH的能耗控制和防御非常重要。为了降低能耗，MN被划分为几个管理组（monitor groups，MG）。MN感知数据，CH则通过鉴定方法监视MN，当CH发现MN异常时将其隔离。同时，为了对CH进行监视，设N_m为MN的个数，N_k为每个MG中的节点个数，则MG个数N_g可由N_m和N_k获得，设上限γ（1≤γ≤N_k，N_k∈Z+）。当MN发出的警报达到这个上限，就可以判定CH失效并将其放弃。

CID有两个优点：（1）利用分簇的方式监视无线传感网可以有效节省能耗；（2）可以根据不同安全级别设置上限。CID的缺点则来源于对CH的更换。当CH被更换时，新的CH无法获得原有信息，不能监视MN，入侵者就能利用异常节点进行攻击；同时，新的CH必须对异常节点进行检测，势必造成不必要的能耗。

2）基于路由表的入侵检测（Routing Tables based Intrusion Detection , RTID）^[13]。RTID采用基于事件的模式，在攻击发生时对攻击数据进行匹配并发出警报。无线传感网部署好后，为传输数据每个节点都需要构建路由表，RTID就利用路由表检测异常行为。当传感器节点收到数据后，使用传感网信息鉴定表（Information Authentication for Sensor Networks，IASN）对数据进行鉴定，结合目标序列距离向量（Destination-Sequenced Distance-Vector，DSDV）^[14]就能对异常行为进行检测。

例如，节点B、D、E相邻，节点D发送数据需要经由节点B或E（如图2），路由表中的距离表示当前节点到其他节点的跳数。如果节点B和E收到来自节点D的数据INFO₁，但其路由信息与路由表不匹配，就可以认为数据INFO₁是异常数据，结合IASN就可以检测出节点D是否发生了入侵事件。

RTID的优点是管理员可以将数据与DSDV进行比较，并利用IASN对其进行鉴定，从而很容易检测出异常。RTID缺点是每个节点都必须存储DSDV，造成了大量冗余的路由信息和不必要的能耗。

4           结束语

近年来，出现了越来越多针对无线传感网的入侵行为，入侵者也结合了各种入侵模式和入侵方法进行攻击，因此，为了获得更好的检测效果，入侵检测也必须朝着综合化的方向发展，融合多种检测模式和检测方法，并由管理器根据攻击的严重程度选择合适的检测手段。

参考文献：

 [1] Vieira M A M, Jr. Coelho C N, Jr. Da Silva D C. Survey on wireless sensor network devices[C]. In: Emerging Technologies and Factory Automation, 2003. 537-544.

 [2] Akyildiz I F, Weilian S, Sankarasubramaniam Y. A survey on sensor networks[J]. Communications Magazine, IEEE. 2002, 40(8): 102-114.

 [3] Wood A D, Stankovic J A. Denial of service in sensor networks[J]. Computer. 2002, 35(10): 54-62.

 [4] Karlof C, Wagner D. Secure routing in wireless sensor networks: attacks and countermeasures[C]. In: Sensor Network Protocols and Applications, 2003. 113-127.

 [5] Chee-Yee C, Kumar S P. Sensor networks: evolution, opportunities, and challenges[J]. Proceedings of the IEEE. 2003, 91(8): 1247-1256.

 [6] Kaur K., Singh B. Wireless Sensor Network based: Design Principles & measuring performance of IDS[J]. International Journal of Computer Application. 2010, 1(28): 81-85.

 [7] Khandakar R A, A.S.M Shihavuddin, Kabir Ahmed. Abnormal Node Detection in Wireless Sensor Network by Pair Based Approach using IDS Secure Routing Methodology[J]. International Journal of Computer Science and Network. 2008, 8(12): 339-342.

 [8] Portilla J., Angel de Castro, Eduardo de la Torre, et al. A Modular Architecture for Nodes in Wireless Sensor Networks[J]. Journal of Universal Computer Science. 2006, 12(3): 328-339.

 [9] Slobodan Petrovic. Vulnerabilities in wireless networks and intrusion detection[J]. Telektronikk. 2005.

[10] Tilak, S., Abu-Ghazaleh, B., Heinzelman, W. A Taxonomy of Wireless Micro-sensor Network Models[J]. Mobile Computing and Communications Review. 2002, 6(12): 28-36.

[11] Su W, Chang K, Kuo Y. eHIP: An energy-efficient hybrid intrusion prohibition system for cluster-based wireless sensor networks[J]. Computer Networks. 2007, 51(4): 1151-1168.

[12] Bhuse, V., Gupta, A. Anomaly intrusion detection in wireless sensor networks[J]. Journal of High Speed Networks. 2006, 15: 33-51.

[13] Perkins, C., Bhagwat, P. Highly Dynamic Destination - Sequenced Distance-Vector Routing (DSDV) for Mobile Computers[C]. In: Proceedings of the Conference on Communications Architectures, Protocols and Applications.1994. 234-244.