無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)模型的研究

1、無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)模型的研究 分類號(hào) 密級(jí) UDC 編號(hào) 豐-初大學(xué) CENTRAL SoUTHUNIVERSITY 碩士學(xué)位論文 論文題目垂線傳感墨網(wǎng)終公像撿測(cè)捌鮑研窕 學(xué)科、專業(yè) 信息與通信工程 研究生姓名 奎慧 導(dǎo)師姓名及 專業(yè)技術(shù)職務(wù) 康松林副教授 201 1年05月 11111 1 Ilrllilt Ir I ll III Y11 96110 原創(chuàng)性聲明 本人聲明，所呈交的學(xué)位論文是本人在導(dǎo)師指導(dǎo)下進(jìn)行的研究 工作及取得的研究成果。盡我所知，除了論文中特別加以標(biāo)注和致謝 的地方外，論文中不包含其他人已經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果，也不 包含為獲得中南大學(xué)或其他單位的學(xué)位或證書(shū)而使用過(guò)

2、的材料。與我 共同工作的同志對(duì)本研究所作的貢獻(xiàn)均已在論文中作了明確的說(shuō)明。 作者簽名： 垮日期 叢年上月絲日 學(xué)位論文版權(quán)使用授權(quán)書(shū) 本人了解中南大學(xué)有關(guān)保留、使用學(xué)位論文的規(guī)定，即：學(xué)校 有權(quán)保留學(xué)位論文并根據(jù)國(guó)家或湖南省有關(guān)部門規(guī)定送交學(xué)位論文， 允許學(xué)位論文被查閱和借閱；學(xué)校可以公布學(xué)位論文的全部或部分內(nèi) 容，可以采用復(fù)印、縮印或其它手段保存學(xué)位論文。同時(shí)授權(quán)中國(guó)科 學(xué)技術(shù)信息研究所將本學(xué)位論文收錄到中國(guó)學(xué)位論文全文數(shù)據(jù)庫(kù)， 并通過(guò)網(wǎng)絡(luò)向社會(huì)公眾提供信息服務(wù)。 、 作者簽名：埠新簽韜嗵締期巡年上月駐日 、一 ， 摘要 無(wú)線傳感器網(wǎng)絡(luò)是一種特殊的Adhoc網(wǎng)絡(luò)，在很多方面都有著 廣泛的應(yīng)用

3、前景，無(wú)線傳感器網(wǎng)絡(luò)的獨(dú)有特性，如：節(jié)點(diǎn)缺少物理保 護(hù)，能量有限等，使其更易遭受攻擊。到目前為止，無(wú)線傳感器網(wǎng)絡(luò) 安全解決方案的研究基本都是來(lái)自預(yù)防的角度，但是基于預(yù)防的技術(shù) 無(wú)法阻止惡意內(nèi)部攻擊。在實(shí)踐中，相比外部攻擊，內(nèi)部攻擊造成傷 害可能更大，因此，入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)防護(hù)的第二道防線，對(duì)提 供一個(gè)高度安全的信息系統(tǒng)來(lái)說(shuō)是必不可少的，通過(guò)建立模型，可以 有效地識(shí)別潛在的入侵者，從而提供深入的保護(hù)。本文主要圍繞無(wú)線 傳感器網(wǎng)絡(luò)的入侵檢測(cè)模型進(jìn)行了研究。 無(wú)線傳感器網(wǎng)絡(luò)的特性使得傳統(tǒng)網(wǎng)絡(luò)的入侵檢測(cè)機(jī)制已不再適 用。目前，關(guān)于無(wú)線傳感器網(wǎng)絡(luò)的入侵檢測(cè)已有一些研究成果，但是 這些入侵檢測(cè)模型大都

4、只對(duì)某一層上的特定攻擊進(jìn)行檢測(cè)判斷，沒(méi)有 考慮到數(shù)據(jù)源的影響，由于無(wú)線傳感器網(wǎng)絡(luò)五個(gè)層所遭受的攻擊不一 樣，如果僅僅只對(duì)某一層上的某一種攻擊進(jìn)行檢測(cè)，很難提高入侵檢 測(cè)的準(zhǔn)確率，因此，一個(gè)有效的入侵檢測(cè)模型應(yīng)該可以檢測(cè)出不同的 攻擊。 本文在詳細(xì)分析無(wú)線傳感器網(wǎng)絡(luò)傳統(tǒng)數(shù)據(jù)融合方式的局限性和 無(wú)線傳感器網(wǎng)絡(luò)安全性的基礎(chǔ)上，提出了一種移動(dòng)代理多層入侵檢測(cè) 模型，將無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)的數(shù)據(jù)源劃分為簇內(nèi)節(jié)點(diǎn)數(shù)據(jù)源和 簇外節(jié)點(diǎn)數(shù)據(jù)源兩類，引入多層入侵檢測(cè)概念和移動(dòng)代理技術(shù)，并針 對(duì)兩種數(shù)據(jù)源分別提出處理機(jī)制，在全局分析引擎中，全局分析算法 聚合分析本地分析引擎和移動(dòng)代理分析引擎，仿真結(jié)果表明，引入移

5、 動(dòng)代理可以降低無(wú)線傳感器網(wǎng)絡(luò)能耗，延長(zhǎng)網(wǎng)絡(luò)壽命，多層入侵檢測(cè) 可以提供較高的檢測(cè)率和較低的誤報(bào)率。 關(guān)鍵詞無(wú)線傳感器網(wǎng)絡(luò)，入侵檢測(cè)，移動(dòng)代理，多層入侵檢測(cè) ABSTRACT Wirelesssensor a kindofwirelessAdhoc network WSN iSspecial networkIthasbeen in ofthe widely manywaysBecause applied unique of ofnodesandlimited characteristics eg1ackphysicalprotection sensornetworkiseasiertoatta

6、ckSo energy，etc ，wireless far，Wireless ale sensornetwork solutions fromtheresearchof security basically point viewof cannotbebasedon preventionButthey preventionagainst maliciousinternalattacksIn ofinternalattack practice，thedamage may be thanexternal detection greater attackTherefore，intrusion syst

7、em asecondlineofdefensenetwork isessentialfor presents protection，and a secureinformation can providinghighly systemModelingeffectively further intruders，and identifypotential provide protectionThispaper focusonintrusiondetectionmodelinwirelesssensornetwork Becauseofthe characteristicsof network uni

8、que WSN，traditional intrusiondetectioncannotbe inWSNAt system deployed present，there in havebeensomestudiesonintrusiondetectionwirelesssensornetwork Without the ofthedata intrusion consideringimpact source，these detectionModelsrestricttheir to attacks specific onlyThe capabilities ofthefive ofwirele

9、sssensornetworksaredifferentItis attacks layers difficultto intrusiondetection acertain improve accuracybydetecting l indof effectiveintrusiondetectionmodelshould attackTherefore，an beabletodetectdifferentattacks Onthebasisoftheintensive ofthetraditionaldatafusion analysis and inwirelesssensor Mobil

10、e limitations security network,a Agent IntrusionDetection inthis Multilayerd Model MAMIDM isproposed and datasourceisclassifiedintointraclusterdatasource paper，nle interclusterdata the with sourceBycombiningmultilayerconception different themobile functionof the technology，theselecting agent tothedi

11、fferentdatasourcecanberealizedThe processingaccording detection locatedinthe detectionis global algorithm global engine to thelocaldetectionandthemobile integrate engine agent proposed detection showthatmobile callreducethe engineResults agents energy II ofwireless andextendthenetworkslifetime consu

12、mptionsensornetwork intrusiondetectionCan a detectionrateand Multilayer higher provide alarm lOWfalse rate KEYWORDSwirelesssensor network，intrusion intrusiondetection agent，multilayer III 目 錄 摘要I ABSTRACTI：【 第一章緒論1 11本文的研究背景與意義1 12國(guó)內(nèi)外研究現(xiàn)狀2 13本文的主要研究?jī)?nèi)容4 14本文的組織結(jié)構(gòu)4 第二章相關(guān)理論技術(shù)基礎(chǔ)6 21無(wú)線傳感器網(wǎng)絡(luò)安全分析6 211無(wú)線傳感器

13、網(wǎng)絡(luò)特點(diǎn)6 212無(wú)線傳感器網(wǎng)絡(luò)攻擊7 22入侵檢測(cè)在無(wú)線傳感器網(wǎng)絡(luò)中的應(yīng)用10 23移動(dòng)代理在無(wú)線傳感器網(wǎng)絡(luò)中的應(yīng)用12 231移動(dòng)代理技術(shù)簡(jiǎn)介12 232移動(dòng)代理技術(shù)簇內(nèi)數(shù)據(jù)融合13 24本章小結(jié)16 第三章移動(dòng)代理多層入侵檢測(cè)模型17 31移動(dòng)代理多層入侵檢測(cè)模型設(shè)計(jì)思想17 32系統(tǒng)模型：18 321系統(tǒng)結(jié)構(gòu)18 322功能模塊20 33數(shù)據(jù)源處理機(jī)制22 331簇內(nèi)節(jié)點(diǎn)數(shù)據(jù)源處理機(jī)制22 332簇外節(jié)點(diǎn)數(shù)據(jù)源處理機(jī)制23 34分析引擎26 341本地分析引擎26 342全局分析引擎28 35本章小結(jié)30 第四章仿真實(shí)驗(yàn)及分析31 41簇外數(shù)據(jù)收集的仿真與分析31 411實(shí)驗(yàn)設(shè)置31

14、412實(shí)驗(yàn)結(jié)果及分析34 IV 42移動(dòng)代理多層入侵檢測(cè)模型的仿真與分析36 421實(shí)驗(yàn)設(shè)置36 422實(shí)驗(yàn)結(jié)果及分析37 43本章小結(jié)40 第五章總結(jié)與展望42 51論文工作總結(jié)42 52后續(xù)研究與展望43 參考文獻(xiàn)44 致謝50 攻讀學(xué)位期間主要的研究成果51 V 第一章緒論 11本文的研究背景與意義 Sensor Networks，WSN 是一種特殊的無(wú)線網(wǎng)絡(luò)， 無(wú)線傳感器網(wǎng)絡(luò) Wireless 它通過(guò)放置大量的傳感器節(jié)點(diǎn)在臨測(cè)區(qū)域以自組織的形式構(gòu)成，在實(shí)際應(yīng)用中， 無(wú)線傳感器網(wǎng)絡(luò)通常部署在在偏遠(yuǎn)、廣袤或人不可達(dá)的高危區(qū)域，傳感器節(jié)點(diǎn)放 置具有一定的隨機(jī)性，通常部署在監(jiān)測(cè)對(duì)象的周圍，節(jié)點(diǎn)

15、用來(lái)收集監(jiān)測(cè)數(shù)據(jù)，然 后通過(guò)無(wú)線信道連接，以協(xié)作方式完成監(jiān)測(cè)任務(wù)，傳感器節(jié)點(diǎn)通常都具有無(wú)線通 信、數(shù)據(jù)收集和處理、協(xié)同合作等功能，圖1-1是一個(gè)典型的無(wú)線傳感器網(wǎng)絡(luò)體 系結(jié)構(gòu)。 任務(wù)管理節(jié)點(diǎn) 圖1-1無(wú)線傳感器網(wǎng)絡(luò)體系結(jié)構(gòu)示意圖 在圖1-1中的無(wú)線傳感器網(wǎng)絡(luò)被部署用來(lái)監(jiān)測(cè)目標(biāo)，整個(gè)網(wǎng)絡(luò)由傳感器節(jié)點(diǎn) Node 、Intemet網(wǎng)絡(luò)、任務(wù)管理節(jié)點(diǎn) TaskManager SensorNode 、匯聚節(jié)點(diǎn) Sink Node 四部分構(gòu)成，在一些文獻(xiàn)和項(xiàng)目中，匯聚節(jié)點(diǎn)也被稱為網(wǎng)關(guān) gateway 或基 站 BS，BaseStation ，本文不嚴(yán)格區(qū)分這幾種說(shuō)法口1。 hoc網(wǎng)絡(luò)也有區(qū)別， 無(wú)線傳感器

16、網(wǎng)絡(luò)不僅僅和傳統(tǒng)網(wǎng)絡(luò)有著不同之處，和Ad 雖然它們都使用同一個(gè)無(wú)線標(biāo)準(zhǔn)802154，但是由于傳感器自身的一些因 素、自組織網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用環(huán)境惡劣等特點(diǎn)，導(dǎo)致無(wú)線傳感器網(wǎng)絡(luò)不是一種普通 Hoe網(wǎng)絡(luò)比較，可以 的無(wú)線自組織 Adhoc 網(wǎng)絡(luò)，將無(wú)線傳感器網(wǎng)絡(luò)與移動(dòng)Ad 發(fā)現(xiàn)無(wú)線傳感器網(wǎng)絡(luò)具有更多不利條件，有些是傳感器自身的特點(diǎn)口一】：如傳感 器節(jié)點(diǎn)在能量、計(jì)算與存儲(chǔ)能力等方面都十分有限，有些則是網(wǎng)絡(luò)特征晦】：如部 署無(wú)線傳感器網(wǎng)絡(luò)時(shí)，需要大規(guī)模配置傳感器節(jié)點(diǎn)，除此之外，傳感器節(jié)點(diǎn)比 Adhoc網(wǎng)絡(luò)中的節(jié)點(diǎn)更容易失效，通信能力更弱，無(wú)線傳感器網(wǎng)絡(luò)大都部署環(huán) 境十分惡劣，人力不達(dá)的環(huán)境下，如森林、沙漠

17、、戰(zhàn)場(chǎng)等，無(wú)線傳感器網(wǎng)絡(luò)由于 受到上述因素的限制，導(dǎo)致其與Adhoc網(wǎng)絡(luò)受到的安全威脅也不完全相同，因 此直接將Adhoc網(wǎng)絡(luò)的安全機(jī)制應(yīng)用于無(wú)線傳感器網(wǎng)絡(luò)中是不適合的，需要專 門針對(duì)無(wú)線傳感器網(wǎng)絡(luò)的安全進(jìn)行研究陋，。 相比較傳統(tǒng)模式，無(wú)線傳感器網(wǎng)絡(luò)一般都部署在開(kāi)放的環(huán)境下，這造成了其 安全無(wú)法得到保障，無(wú)線傳感器網(wǎng)絡(luò)安傘的解決方案主要是包括兩方面口83：一、 基于預(yù)防的方案，目前關(guān)于無(wú)線傳感器網(wǎng)絡(luò)安全的解決方案基本都是來(lái)自預(yù)防的 角度，例如密鑰分配和管理體系足建立在鏈路層安全體系結(jié)構(gòu)上，用來(lái)防止拒絕 服務(wù)攻擊和安今路由協(xié)議的安傘保障方案，基于預(yù)防的方案能夠顯著地降低潛在 的攻擊，但是，它們不

18、能完全消除入侵；二、基于檢測(cè)的方案，當(dāng)攻擊者捕獲了 無(wú)線傳感器網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)時(shí)，就能應(yīng)用節(jié)點(diǎn)的合法身份對(duì)網(wǎng)絡(luò)發(fā)起攻擊，從 而達(dá)到入侵的目的，這使基于預(yù)防的技術(shù)無(wú)法阻止惡意內(nèi)部攻擊。 入侵檢測(cè) IntrusionDetection，ID 隋1是一種與以往安全技術(shù)不同的新一 代安全防護(hù)方案，它通過(guò)從計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)或更廣泛信息系統(tǒng)中收集系統(tǒng) 感興趣的信息，進(jìn)而分析判斷，最終發(fā)現(xiàn)網(wǎng)絡(luò)中的非法攻擊行為。實(shí)踐證明，除 了外部攻擊，內(nèi)部攻擊的安全威脅會(huì)更大，對(duì)系統(tǒng)造成的傷害也更嚴(yán)重，因此， 為了信息系統(tǒng)的安全，必須建立一個(gè)有效的入侵檢測(cè)系統(tǒng)，通過(guò)建立入侵檢測(cè)模 型，可以有效地識(shí)別潛在的入侵者，為無(wú)線

19、傳感器網(wǎng)絡(luò)防護(hù)提供第二道防線，從 而提供更深入的保護(hù)n仉。 12國(guó)內(nèi)外研究現(xiàn)狀 早在20世紀(jì)90年代末的冷戰(zhàn)時(shí)期，美國(guó)先進(jìn)國(guó)防研究項(xiàng)目局就率先對(duì)無(wú)線 Sensor 傳感器網(wǎng)絡(luò) WirelessNetwork，簡(jiǎn)稱WSN 進(jìn)行了研究，由于當(dāng)時(shí)傳感 器技術(shù)及網(wǎng)絡(luò)技術(shù)比較落后，無(wú)線傳感器網(wǎng)絡(luò)沒(méi)能引起人們足夠的關(guān)注，得到推 廣和發(fā)展。近年來(lái)傳感器集成技術(shù)、嵌入式技術(shù)等無(wú)線傳感器相關(guān)技術(shù)取得了很 大的進(jìn)步，特別是低功耗無(wú)線通信技術(shù)的飛速發(fā)展，使得人們可以大規(guī)模的部署 無(wú)線傳感器網(wǎng)絡(luò)。自2003年起，國(guó)際上多個(gè)雜志先后將無(wú)線傳感器網(wǎng)絡(luò)列為二 十一世紀(jì)最有發(fā)展前景的研究領(lǐng)域之一，指出了無(wú)線傳感器網(wǎng)絡(luò)在發(fā)展速

20、度及應(yīng) 用領(lǐng)域方面的優(yōu)勢(shì)及其對(duì)二十一世紀(jì)產(chǎn)生的巨大影響。同時(shí)，世界上許多國(guó)家的 研究人員也開(kāi)始積極參與到無(wú)線傳感器網(wǎng)絡(luò)的研究領(lǐng)域，一時(shí)間掀起了研究無(wú)線 2 傳感器網(wǎng)絡(luò)的熱潮，特別是在軍事、環(huán)境監(jiān)測(cè)和工業(yè)界等無(wú)線傳感器網(wǎng)絡(luò)的應(yīng)用 領(lǐng)域，得到了人們的高度重視u刳。 國(guó)內(nèi)方面，我國(guó)政府也明確表明態(tài)度，大力支持無(wú)線傳感器網(wǎng)絡(luò)的研究工作， 發(fā)表了無(wú)線傳感器網(wǎng)絡(luò)的發(fā)展規(guī)劃綱要，并相繼啟動(dòng)無(wú)線傳感器網(wǎng)絡(luò)的相關(guān)項(xiàng)目 研究，包括一系列的“973項(xiàng)目和“863項(xiàng)目，從政策上給予支持和鼓勵(lì)。近 年來(lái)，許多的研究機(jī)構(gòu)和高校都積極參與到無(wú)線傳感器網(wǎng)絡(luò)的研究中，如清華大 學(xué)、復(fù)旦大學(xué)及中南大學(xué)等較早開(kāi)展了對(duì)其的研究n3|

21、。目前，無(wú)線傳感器網(wǎng)絡(luò)已 不僅僅限于軍事領(lǐng)域，而在其他很多領(lǐng)域都有了廣泛應(yīng)用，特別是在環(huán)境監(jiān)測(cè)、 醫(yī)療衛(wèi)生、家庭娛樂(lè)、教育、工業(yè)等領(lǐng)域，表1-1列出了當(dāng)前傳感器網(wǎng)絡(luò)應(yīng)用的 一些實(shí)例141。 表1-1傳感器網(wǎng)絡(luò)實(shí)例表 無(wú)線傳感器網(wǎng)絡(luò)是網(wǎng)絡(luò)技術(shù)和通信技術(shù)發(fā)展的產(chǎn)物，因此，針對(duì)無(wú)線傳感器 網(wǎng)絡(luò)的研究也大多集中在這兩個(gè)方面。近幾年，無(wú)線傳感器網(wǎng)絡(luò)的安全問(wèn)題才被 陸續(xù)提出，多是從預(yù)防的角度進(jìn)行討論，在加密算法及密鑰管理機(jī)制方面已有了 很多研究成果：David等人提出了一種采用迭代、加減的加密算法TEAn鰣，Shauang 等人對(duì)該算法進(jìn)行了實(shí)驗(yàn)；Ronald等人提出了RC5加密算法，它的基本思想是 通過(guò)

22、加、異或和左移實(shí)現(xiàn)快速對(duì)稱加密n引，AdrianPerrig等人對(duì)RC5算法進(jìn)行 了改進(jìn)，大大減少了算法代碼，并通過(guò)實(shí)驗(yàn)證明了該算法的安傘性n71；David等 人給出了一種橢圓曲線的非對(duì)稱加密算法和管理機(jī)制，Ronald等人則實(shí)現(xiàn)了該 算法n引；Eschenauer等人則提出了一種密鑰管理機(jī)制，采取隨機(jī)分配的方式實(shí) Liu等人考慮到節(jié)點(diǎn)位置的影響，對(duì)通信范圍 現(xiàn)了端到端的加密n叼；Donggang 內(nèi)的節(jié)點(diǎn)預(yù)分配密鑰啪1；Anderson為了減低密鑰捕獲事件的發(fā)生概率，提出密 鑰不再只能通過(guò)單一路徑發(fā)送，而可利用多種方式發(fā)送。 相對(duì)無(wú)線傳感器網(wǎng)絡(luò)在加密方面的研究成果，無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)的

23、研 究還比較少，目前主要集中在入侵檢測(cè)體系結(jié)構(gòu)和入侵檢測(cè)算法，比較典型的有 以下幾種晗“221：Su等人提出了一種層次的入侵檢測(cè)體系結(jié)構(gòu)，采用兩種入侵檢測(cè) 方案，用于改進(jìn)基于簇的傳感器網(wǎng)絡(luò)安全機(jī)制；Doumit等人提出了一種異常入 侵檢測(cè)算法，通過(guò)建立正常行為模式庫(kù)并將檢測(cè)到的信息與模式庫(kù)比較來(lái)判斷是 否入侵；Silva等人提出了一種同時(shí)滿足無(wú)線傳感器網(wǎng)絡(luò)安傘需求和自身限制條 件的入侵檢測(cè)方案，假定了入侵行為發(fā)生的條件，一旦超過(guò)閾值系統(tǒng)立即采取報(bào) 警響應(yīng)。關(guān)于無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)的研究將在第二章中詳細(xì)介紹。 13本文的主要研究?jī)?nèi)容 與傳統(tǒng)網(wǎng)絡(luò)相比，無(wú)線傳感器網(wǎng)絡(luò)動(dòng)態(tài)的網(wǎng)絡(luò)拓?fù)洹⒐?jié)點(diǎn)資源受限、

24、無(wú)物理 保護(hù)等特點(diǎn)，都使得其更容易受到網(wǎng)絡(luò)攻擊，因此，安全問(wèn)題足無(wú)線傳感器網(wǎng)絡(luò) 必須要解決的問(wèn)題。安全防范技術(shù)，如加密、鑒別等不能徹底地消滅入侵，入侵 檢測(cè)是網(wǎng)絡(luò)安全防護(hù)的第二道防線，可以有效地識(shí)別潛在的入侵者，為網(wǎng)絡(luò)提供 更深入的保護(hù)。 通過(guò)上述分析，本文提出了一種無(wú)線傳感器網(wǎng)絡(luò)中基于移動(dòng)代理技術(shù)的多層 IntrusionDetection 入侵檢測(cè)系統(tǒng) MobileAgentMultilayered System， MAMDIDS ，應(yīng)用移動(dòng)代理技術(shù)對(duì)簇外信息進(jìn)行數(shù)據(jù)融合以達(dá)到降低網(wǎng)絡(luò)能耗的目 的，同時(shí)采用多層分布檢測(cè)機(jī)制對(duì)簇內(nèi)信息進(jìn)行分析以提高入侵檢測(cè)數(shù)據(jù)來(lái)源的 準(zhǔn)確性，并對(duì)入侵進(jìn)行分析

25、，提出了兩種響應(yīng)：本地響應(yīng)和全局響應(yīng)。 14本文的組織結(jié)構(gòu) 論文的第一章主要介紹了本文的研究背景、國(guó)內(nèi)外研究現(xiàn)狀，其中簡(jiǎn)單介紹 了無(wú)線傳感器網(wǎng)絡(luò)的基本概念和應(yīng)用領(lǐng)域，詳細(xì)闡述了無(wú)線傳感器網(wǎng)絡(luò)國(guó)內(nèi)外的 研究現(xiàn)狀，最后介紹了論文的創(chuàng)新和論文結(jié)構(gòu)。 第二章介紹了一些相關(guān)理論技術(shù)，包括無(wú)線傳感器網(wǎng)絡(luò)的安全分析、入侵檢 測(cè)技術(shù)的概念、特點(diǎn)和分類及移動(dòng)代理技術(shù)在無(wú)線傳感器網(wǎng)絡(luò)中的應(yīng)用，其中對(duì) 無(wú)線傳感器網(wǎng)絡(luò)各層所遭受的攻擊進(jìn)行詳細(xì)的介紹，并闡述了移動(dòng)代理技術(shù)的特 點(diǎn)及在無(wú)線傳感器網(wǎng)絡(luò)中簇內(nèi)數(shù)據(jù)融合的應(yīng)用。 第三章提出了一種無(wú)線傳感器網(wǎng)絡(luò)中基于移動(dòng)代理技術(shù)的多層入侵檢測(cè)系 統(tǒng) MAMDIDS ，應(yīng)用移動(dòng)代理

26、技術(shù)對(duì)簇外信息進(jìn)行數(shù)據(jù)融合以達(dá)到降低網(wǎng)絡(luò)能耗 4 的目的，同時(shí)采用多層分布檢測(cè)機(jī)制對(duì)簇內(nèi)信息進(jìn)行分析以提高入侵檢測(cè)數(shù)據(jù)來(lái) 源的準(zhǔn)確性，并對(duì)入侵進(jìn)行分析，提出了兩種響應(yīng)：本地響應(yīng)和全局響應(yīng)。 第四章分別對(duì)移動(dòng)代理的簇外數(shù)據(jù)融合和第三章提出的基于移動(dòng)代理的多 層入侵檢測(cè)系統(tǒng)進(jìn)行了仿真。移動(dòng)代理數(shù)據(jù)融合實(shí)驗(yàn)表明表明，移動(dòng)代理技術(shù)應(yīng) 用到無(wú)線傳感器網(wǎng)絡(luò)簇外信息融合后，可以降低無(wú)線傳感器網(wǎng)絡(luò)能耗，延長(zhǎng)網(wǎng)絡(luò) 壽命；多層入侵檢測(cè)系統(tǒng)的仿真結(jié)果表明可以有效提高入侵檢測(cè)的準(zhǔn)確率，提高 網(wǎng)絡(luò)包傳輸比。 第五章是對(duì)本文工作的總結(jié)及展望。 5 第二章相關(guān)理論技術(shù)基礎(chǔ) 21無(wú)線傳感器網(wǎng)絡(luò)安全分析 211無(wú)線傳感器網(wǎng)絡(luò)特

27、點(diǎn) 無(wú)線傳感器網(wǎng)絡(luò)通常部署在偏遠(yuǎn)、廣袤或人不可達(dá)的高危區(qū)域。由于傳感 器節(jié)點(diǎn)特性的限制，加之無(wú)線多跳路由的通信方式，使得無(wú)線傳感器網(wǎng)絡(luò)所面 臨的安全問(wèn)題更加嚴(yán)峻，更容易遭受來(lái)自各方的攻擊，如惡意破壞、竊聽(tīng)、節(jié) 點(diǎn)的程序修改、DOS攻擊等等，造成網(wǎng)絡(luò)的癱瘓，因此網(wǎng)絡(luò)自身的安全除了通 信的正常之外，還增加了有效抵御外界人為攻擊破壞的環(huán)節(jié)。目前，無(wú)線傳感 器網(wǎng)絡(luò)網(wǎng)絡(luò)入侵的監(jiān)測(cè)、防御及實(shí)時(shí)報(bào)警等方向的研究越來(lái)越受到國(guó)內(nèi)外專家 學(xué)者的關(guān)注，無(wú)線傳感器網(wǎng)絡(luò)與普通網(wǎng)絡(luò)有的不同于之處導(dǎo)致其更容易遭受攻 擊，下面列出了一些與無(wú)線傳感器網(wǎng)絡(luò)安傘相關(guān)的特點(diǎn)啪1： l、環(huán)境惡劣，易受物理攻擊：無(wú)線傳感器網(wǎng)絡(luò)多運(yùn)用于惡

28、劣的自然環(huán)境或 無(wú)人值守遠(yuǎn)離監(jiān)控中心的環(huán)境區(qū)域，可有效擺脫環(huán)境約束，在人力投入或固定 實(shí)施建設(shè)不便的地理區(qū)域?qū)嵤┻h(yuǎn)程的信息監(jiān)控，是一種對(duì)現(xiàn)有特定區(qū)域?qū)崟r(shí)信 息獲取監(jiān)控網(wǎng)絡(luò)的重要補(bǔ)充，有著自己特有的運(yùn)用領(lǐng)域，但是這種環(huán)境缺乏入 力維護(hù)，節(jié)點(diǎn)容易遭受到物理破壞。 2、大規(guī)模、隨機(jī)部署，易受網(wǎng)絡(luò)攻擊：為保證監(jiān)測(cè)區(qū)域傳抵信息的準(zhǔn)確可 靠性，并有效抵御不確定性的外界環(huán)境影響和網(wǎng)絡(luò)本身的局部故障，通常都在 目標(biāo)監(jiān)測(cè)區(qū)域大規(guī)模地部署傳感器節(jié)點(diǎn)，確保網(wǎng)絡(luò)內(nèi)大多數(shù)傳感器節(jié)點(diǎn)都可以 與上級(jí)控制點(diǎn)建立有效鏈接，減少局部故障對(duì)整體系統(tǒng)的影響，確保網(wǎng)絡(luò)的容 錯(cuò)和抗毀性能。這種節(jié)點(diǎn)部署方式導(dǎo)致采集到的數(shù)據(jù)有很大的冗余性，

29、增加了 網(wǎng)絡(luò)負(fù)擔(dān)，更容易遭受網(wǎng)絡(luò)攻擊。 3、計(jì)算能力有限，加解密算法不易實(shí)現(xiàn)：WSN有別于傳統(tǒng)網(wǎng)絡(luò)的以數(shù)據(jù)的 可靠傳輸為中心，而是以數(shù)據(jù)本身為中心，傳輸為數(shù)據(jù)提供通道，核心的價(jià)值 在于監(jiān)測(cè)采集的數(shù)據(jù)本身，為后期的觀測(cè)方提供分析、判斷、決策。WSN中的 節(jié)點(diǎn)是一種微型嵌入式設(shè)備，具備一定的計(jì)算能力，但受到硬件本身的設(shè)計(jì)及 電源使用的制約，導(dǎo)致其攜帶的處理能力比較弱，這使得以往的一些加解密算 法不能直接應(yīng)用于無(wú)線傳感器網(wǎng)絡(luò)，需要研究專門的密鑰算法。 4、有限的通信帶寬、無(wú)保障的通信能力：無(wú)線信道方式的裸露傳輸，易受 到外界的噪音干擾，而且高密度、近距離的部署，使得原本帶寬較窄的共享無(wú) 6 線信道會(huì)

30、產(chǎn)生更多的競(jìng)爭(zhēng)和碰撞。又由于無(wú)線傳感器網(wǎng)絡(luò)一般都是部署在惡劣、 人力不可達(dá)的高危區(qū)域，這些情況都可能造成傳感器節(jié)點(diǎn)間不能保持通信鏈路 一直處于連接狀態(tài)，難以提供高穩(wěn)定高保障性的信息傳輸能力，信息容易泄漏。 5、自組織、高動(dòng)態(tài)的網(wǎng)絡(luò)，難以實(shí)時(shí)檢測(cè)攻擊：在實(shí)際應(yīng)用中，傳感器節(jié) 點(diǎn)通常被放置在偏遠(yuǎn)、廣袤或人不可達(dá)的高危區(qū)域，節(jié)點(diǎn)位置的要求不會(huì)有較 高的精準(zhǔn)性，因此投放方式也多為非人類直接接觸式的粗約布放，具有一定的 隨機(jī)性，無(wú)法事先設(shè)定；同時(shí)，由于部分節(jié)點(diǎn)受到電源能耗、硬件故障、環(huán)境 影響等因素的影響導(dǎo)致受損失效的事件和一些受外界不可抗拒因素而造成的移 動(dòng)節(jié)點(diǎn)或新增節(jié)點(diǎn)情況時(shí)有發(fā)生，使得無(wú)線傳感器網(wǎng)

31、絡(luò)的拓?fù)浣Y(jié)構(gòu)不夠穩(wěn)定， 有很強(qiáng)的不確定性和動(dòng)態(tài)性，這使得無(wú)線傳感器網(wǎng)絡(luò)攻擊的實(shí)時(shí)監(jiān)測(cè)難以實(shí)現(xiàn)。 無(wú)線傳感器網(wǎng)絡(luò)因其強(qiáng)大的功能特點(diǎn)及廣泛的業(yè)務(wù)實(shí)用性，越來(lái)越多的在 國(guó)防建設(shè)、科學(xué)研究、醫(yī)療應(yīng)用、環(huán)境偵查、生態(tài)氣候等生產(chǎn)實(shí)踐領(lǐng)域廣泛應(yīng) 用，隨之而來(lái)的網(wǎng)絡(luò)健壯性和安全性被給予更多的重視和關(guān)注。安全問(wèn)題能否 得到十足的保障也直接影響到無(wú)線傳感器網(wǎng)絡(luò)進(jìn)一步融入社會(huì)生產(chǎn)實(shí)踐所必須 研究和解決的問(wèn)題。 212無(wú)線傳感器網(wǎng)絡(luò)攻擊 與以往的普通網(wǎng)絡(luò)相比，無(wú)線傳感器網(wǎng)絡(luò)由于傳感器硬件的限制和其部署 的環(huán)境決定了其安全研究的特殊性：如傳感器網(wǎng)絡(luò)可能大規(guī)模地部署在敵對(duì)或 未保護(hù)區(qū)域，不可能實(shí)施直接的監(jiān)護(hù)和管理，攻擊者

32、可能會(huì)實(shí)施直接的物理破 壞，這種破壞是不可恢復(fù)的；除此之外，攻擊者也可通過(guò)一些方法獲取傳感器 節(jié)點(diǎn)的密鑰信息，進(jìn)而獲取正常節(jié)點(diǎn)的合法身份，對(duì)網(wǎng)絡(luò)進(jìn)行攻擊；傳感器節(jié) 點(diǎn)的資源非常有限，這使得我們不能簡(jiǎn)單地將傳統(tǒng)網(wǎng)絡(luò)的安全機(jī)制應(yīng)用到無(wú)線 傳感器網(wǎng)絡(luò)；無(wú)線多跳的通信方式也使得竊聽(tīng)、干擾等攻擊更加容易等。本節(jié) 首先簡(jiǎn)單介紹無(wú)線傳感器網(wǎng)絡(luò)各層，然后針對(duì)各層分別進(jìn)行安全介紹。 將無(wú)線傳感器網(wǎng)絡(luò)的協(xié)議棧與OSI參考模型進(jìn)行比較，可以發(fā)現(xiàn)無(wú)線傳感 器網(wǎng)絡(luò)僅有五個(gè)層次：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層1，對(duì) 照無(wú)線傳感器網(wǎng)絡(luò)的體系結(jié)構(gòu)，我們將對(duì)無(wú)線傳感器網(wǎng)絡(luò)安全進(jìn)行一個(gè)全面的 分析，無(wú)線傳感器網(wǎng)絡(luò)由于

33、傳感器節(jié)點(diǎn)硬件的限制、無(wú)線通信方式和分布特征， 對(duì)安全性提出了更高的要求，目前無(wú)線傳感器網(wǎng)絡(luò)的安全需求主要集中在以下 幾個(gè)方面?鸚1： 1、數(shù)據(jù)機(jī)密性，網(wǎng)絡(luò)中傳輸?shù)男畔⒅荒軐?duì)授權(quán)的客戶開(kāi)放，需保證未授權(quán) 的客戶不能直接輕易的獲得信息內(nèi)容； 2、數(shù)據(jù)完整性，一是要確保網(wǎng)絡(luò)節(jié)點(diǎn)間傳輸?shù)男畔⒁３滞暾恢?，不?7 出現(xiàn)中途丟失或欺詐篡改； 3、數(shù)據(jù)實(shí)時(shí)性：無(wú)線傳感器網(wǎng)絡(luò)所檢測(cè)的數(shù)據(jù)代表了某時(shí)刻的監(jiān)測(cè)目標(biāo)的 特征，為了保證數(shù)據(jù)的有效性，傳輸時(shí)不能有較大延遲； 4、魯棒性，無(wú)線傳感器網(wǎng)絡(luò)安令解決方案要求育魯棒件和自適應(yīng)性特點(diǎn)， 這是由無(wú)線傳感器網(wǎng)絡(luò)所應(yīng)用的環(huán)境背景和動(dòng)態(tài)變化性決定的，即使某次入侵 攻擊

34、行為得逞者俘獲了某些傳感器節(jié)點(diǎn)后，也要保證和控制其影響范圍，不會(huì) 造成整個(gè)網(wǎng)絡(luò)的崩潰。 針對(duì)以上的安全問(wèn)題及需求，本文結(jié)合無(wú)線網(wǎng)絡(luò)傳感器的協(xié)議棧結(jié)構(gòu)模型， 就各個(gè)層次的攻擊類型和通用防御策略進(jìn)行總結(jié)和分析凹瑚1： 1、物理層攻擊 物理層的攻擊主要涉及到傳感器網(wǎng)絡(luò)硬件本身及信號(hào)傳輸相關(guān)的損傷，如： 節(jié)點(diǎn)的物理性硬件破壞、節(jié)點(diǎn)捕獲、實(shí)施干擾信號(hào)、無(wú)線電信號(hào)的竊聽(tīng)及篡改， 以不合法的身份冒充頂替等。針對(duì)該類攻擊主要采取遠(yuǎn)程節(jié)點(diǎn)的隱蔽偽裝、空 中接口的調(diào)頻傳輸、無(wú)線信號(hào)的加密、節(jié)點(diǎn)入網(wǎng)的相互認(rèn)證等。 2、數(shù)據(jù)鏈路層攻擊 數(shù)據(jù)鏈路層容易遭受拒絕服務(wù)式的攻擊，如采用沖突攻擊，用較小的開(kāi)銷 對(duì)正在發(fā)送的報(bào)文

35、實(shí)施破壞，從而引起接收方數(shù)據(jù)回復(fù)時(shí)，校驗(yàn)碼無(wú)法正常的 糾錯(cuò)而失真；資源帶寬消耗型攻擊，攻擊者采用分布式的入侵發(fā)起端，向網(wǎng)絡(luò) 內(nèi)發(fā)送大量冗余無(wú)用的報(bào)文信息，造成網(wǎng)絡(luò)內(nèi)帶寬不足擁塞嚴(yán)重、網(wǎng)絡(luò)節(jié)點(diǎn)處 理器的高負(fù)荷、存儲(chǔ)空間的不足、能源快速耗盡等，使正常信息無(wú)法成功發(fā)送。 針對(duì)該類攻擊，可在介質(zhì)訪問(wèn)層設(shè)置報(bào)文發(fā)送信息量及速度的門限值，這樣既 不會(huì)影響無(wú)線傳感器網(wǎng)絡(luò)正常的信息傳輸，又不至于網(wǎng)絡(luò)資源被攻擊者占用； 或者實(shí)施相鄰節(jié)點(diǎn)間的相互監(jiān)視和控制權(quán)限，并設(shè)置相應(yīng)的優(yōu)先級(jí)別，對(duì)流量 異常的可疑節(jié)點(diǎn)，降低其發(fā)送的優(yōu)先級(jí)別和網(wǎng)絡(luò)資源分配，以抑制非法攻擊的 破壞。 3、網(wǎng)絡(luò)層攻擊 網(wǎng)絡(luò)層的攻擊方式較多，常用的有

36、以下幾種： a 路由信息的欺詐攻擊：攻擊者以合法的身份取得網(wǎng)絡(luò)的準(zhǔn)入權(quán)后，通過(guò) 蓄意的廣播或偽造錯(cuò)誤信息，對(duì)網(wǎng)絡(luò)中的相關(guān)節(jié)點(diǎn)實(shí)施欺騙，改變路由指向途 徑，導(dǎo)致路由鏈路不通、成回路、延長(zhǎng)路由鏈和排斥正常的通信流量等。要解 決該類型的攻擊，必須實(shí)現(xiàn)信息真?zhèn)蔚谋鎰e，隨時(shí)掌握真實(shí)的網(wǎng)絡(luò)通路情況， 發(fā)現(xiàn)入侵的非法節(jié)點(diǎn)，并予以屏蔽和清除。 b rushing攻擊：在傳統(tǒng)的無(wú)線傳感器網(wǎng)絡(luò)中，路由信息采取泛洪查詢， 因此單節(jié)點(diǎn)可能收到多個(gè)相同的路由信息查詢，為減少處理的時(shí)延和降低資源 8 的消耗，節(jié)點(diǎn)僅處理第一個(gè)到達(dá)的路由查詢，而不再接受其他的路由查詢報(bào)文， 攻擊者利用該特點(diǎn)，在較短的時(shí)間內(nèi)發(fā)送已預(yù)先設(shè)定的虛

37、假查詢信息，節(jié)點(diǎn)在 接收到虛假信息后進(jìn)行處理，然后放棄對(duì)正常路由查詢信息的處理，造成網(wǎng)絡(luò) 的通斷。為解決該類型的處理機(jī)制問(wèn)題，CH等人提出了隨機(jī)轉(zhuǎn)發(fā)方式，改變 最先到達(dá)處理的機(jī)制，節(jié)點(diǎn)接收一定量的相同路由信息查詢，隨機(jī)挑選其中之 一進(jìn)行處理，可大大降低rushing攻擊的可能。 c 選擇性轉(zhuǎn)發(fā)攻擊：攻擊者的惡意節(jié)點(diǎn)以最優(yōu)路由將周圍節(jié)點(diǎn)進(jìn)行欺騙， 吸引大量的數(shù)據(jù)包從此傳遞，而惡意節(jié)點(diǎn)則采取截留、丟棄或纂改的方式制造 故障，導(dǎo)致信息無(wú)法到達(dá)目標(biāo)節(jié)點(diǎn)，造成網(wǎng)絡(luò)中的斷橋或黑洞，對(duì)此常用的解 決措施多為引入認(rèn)證或基站入侵：l 【測(cè)等。 d 巫師 Sybil 攻擊：攻擊者像施展“魔法”的巫師，將自己“變幻

38、”出多 個(gè)合法的節(jié)點(diǎn)身份，依賴多個(gè)虛假節(jié)點(diǎn)的身份建立起多個(gè)虛假的路徑，改變了 網(wǎng)絡(luò)拓?fù)?，?duì)最佳路由的安全性產(chǎn)生威脅，從而導(dǎo)致整個(gè)網(wǎng)絡(luò)路由的混亂。對(duì)于 巫師攻擊而言，一般采用密鑰分配，建立相鄰間的驗(yàn)證；或者引入代碼認(rèn)證， 檢測(cè)內(nèi)存運(yùn)行中的代碼合法性對(duì)節(jié)點(diǎn)進(jìn)行判斷。 e 蠕蟲(chóng)洞 Wormhole 攻擊：兩個(gè)相距較遠(yuǎn)的惡意節(jié)點(diǎn)通過(guò)申明低延遲鏈路， 穿過(guò)中間部分建立起直達(dá)的路徑，成為偽造的相鄰節(jié)點(diǎn)，像是直通的隧洞，破 壞網(wǎng)絡(luò)的拓?fù)浜吐酚桑瑫r(shí)還可以同選擇轉(zhuǎn)發(fā)攻擊、巫師攻擊相結(jié)合。對(duì)這種 入侵攻擊的檢測(cè)難度較大，需要實(shí)現(xiàn)路由協(xié)議對(duì)鄰節(jié)點(diǎn)轉(zhuǎn)發(fā)距離的測(cè)量和判斷。 f HELLO泛洪攻擊：攻擊點(diǎn)通過(guò)大功率的廣

39、播路由或其他信息，使得較廣 范圍內(nèi)的節(jié)點(diǎn)都能有效接收，制造出攻擊點(diǎn)為接收范圍內(nèi)所有節(jié)點(diǎn)的相鄰假象， 從而無(wú)法生成真實(shí)的路由拓?fù)洌瑪?shù)據(jù)包無(wú)法成功傳輸，網(wǎng)絡(luò)將陷入一片混亂。 g 假冒應(yīng)答攻擊：路由途徑確立的相關(guān)算法依賴于數(shù)據(jù)鏈路層的應(yīng)答，攻 擊者利用該特點(diǎn)“竊聽(tīng)”相鄰節(jié)點(diǎn)的數(shù)據(jù)包，并實(shí)施欺騙，告知對(duì)方一條實(shí)際 不可靠的鏈路作為報(bào)文傳輸?shù)淖罴崖窂?，造成該鏈路上傳輸?shù)膱?bào)不可達(dá)或丟失， 形成破壞。通過(guò)多徑路由、基站入侵檢測(cè)、糾錯(cuò)碼等手段進(jìn)行防御。 4、傳輸層攻擊 傳輸層攻擊包括兩種：一是泛洪攻擊：類似于鏈路層的資源耗盡型攻擊，在 面向連接的網(wǎng)絡(luò)中向某個(gè)節(jié)點(diǎn)發(fā)送大量的TCP連接請(qǐng)求，導(dǎo)致節(jié)點(diǎn)無(wú)法建立正 常連接，失去工作能力。解決的辦法一是引入認(rèn)證問(wèn)答機(jī)制，建立控制中心對(duì) 連接請(qǐng)求的問(wèn)答驗(yàn)證，合法方能建立，缺點(diǎn)是需要更多的開(kāi)銷；二是實(shí)施基站 入侵檢測(cè)，設(shè)定相應(yīng)的門限值，對(duì)單位時(shí)間內(nèi)信息發(fā)送量大、超過(guò)門限值的節(jié)