文摘

实现IPv6的趋势为无线传感器网络(网络)最近发生的结果的趋势与其他类型的基于ip网络的集成。本文处理了网络安全方面的这些基于ipv6。安全威胁和攻击的简要分析,给出基于ipv6的WSN中。解决一个恶意节点检测的自适应分布式系统提出了基于ipv6的WSN。该入侵检测系统是基于分布式算法和一个集体决策的过程。它引入了一个创新的概念概率估计传感器节点的恶意行为。该系统实现和测试通过几个不同的场景在三个不同的网络拓扑。最后,分析表明,该系统是执行节能和有良好的能力来检测恶意节点。

1。介绍

许多具有基本计算和无线通信功能的智能传感器目前嵌入全球各种设备和仪器。因为他们的数量正在迅速增长,预计无线传感器节点将大大超过传统的在不久的将来,电脑和其它网络设备。无线传感器网络(网络)的密集的研究与发展在过去的十年里(1- - - - - -3]。由于严格的资源约束(包括电力和计算)传统互联网协议网络架构的实现首先要避免使用,导致无数的互操作解决方案。进一步发展了网络自然导致努力互连和集成传感器网络与传统的IP网络。这些努力导致特定的框架和适应标准,使使用IP网络环境中。

同时,传统的IP网络也发展的逐步实现,目前通过IPv6(互联网协议第6版),应该在未来取代IPv4 [4]。当前技术的基础和IPv6互补性强,和许多努力目前专注于IPv6的收敛性和低功耗网络多次反射。传感器网络和IP网络的集成将显著不同的数组的应用。当然,可以实现这种整合有效和透明的最终用户,但仍有一些问题,需要小说充分的解决方案或优化现有的解决方案。无缝集成的传感器网络和IP网络满足要求的灵活性,可伸缩性和健壮性是最重要的基础物联网(物联网)概念(5]。因此,口音是IPv6的实现,因为它提供了巨大的地址空间和自动配置机制和可扩展性(支持未来创新)。

非常重要的方面的物联网安全问题及其适当的解决方案(6]。解决安全问题是一个重要的先决条件更广泛的接受和使用的集成传感器网络和IP网络。的实现IPv6网络带来了一些特异性,阻碍了利用现有安全解决方案从IPv6网络和传统的传感器网络。有必要彻底调整现有解决方案和发明新的解决方案实现的基于ipv6的传感器网络。节点妥协和恶意行为做一个很可能的情况下,特别是在网络与大量的节点,如传感器网络。

缺乏高质量的、有效的和能源高效的入侵检测系统基于ipv6的WSN作者关注的是最强的动机研究在这个领域。现有方案的网络入侵检测系统的重点是传统的网络,网络没有照顾某些特异性的基于ipv6。事实上,基于ipv6网络(物联网)的基础可能包括大量的节点促使作者重点研究分布式系统基于合作算法和集体决策。网络的多样性可能基于ipv6的应用是一个动机开发自适应系统适用于不同的应用需求。

因此,本文提出一种基于ipv6的WSN系统检测恶意节点。提出系统是专为IPv6环境和它支持IPv6网络堆栈。它实现传感器网络内部使用IEEE 802.15.4标准提供服务和6 lowpan适应层。路由的目的,RPL(低功率和损耗网络路由协议)是作为第一个路由协议实现传感器网络与全力支持IPv6。使用UDP(用户数据报协议)作为传输层协议。系统对恶意节点的检测是在应用程序层实现的。该系统使用合作算法和集体决策程序,所以它是完全分布式和自适应。除了节点描述恶意或合法,系统还估计可疑节点的恶意行为的概率。介绍了实现IPv6堆栈的基础上。此外,该入侵检测系统及其实现的描述。 The system is implemented in different characteristic scenarios, and the obtained results are analysed. Finally, some conclusions are drawn and some suggestions for future development are outlined.

2。IPv6在无线传感器网络中

IPv6的发展始于1995年,当IPv4很明显,有些问题会变得更加强调未来的(例如,地址空间耗尽,安全问题,复杂的配置,和路由表扩大)。IPv6与IPv4相比,带来了一些重要的改进,如128位的地址空间,一个固定长度的简化的头,自动配置机制和安全改进。目前,从IPv4与IPv6过渡是一个长期持续的过程(7]。

无线传感器网络(网络)代表一种特殊子群的移动ad hoc网络(manet)。然而,强大的计算和权力的限制使他们在某些方面显著不同传统马奈。传感器网络由大量廉价传感器节点感知的能力,基本的数据处理,并与其他节点无线通信。网络功能是基于节点之间的通信和协作算法。不幸的是,由于上述局限性,大多数现有的技术和算法解决方案从马奈不能直接应用于传感器网络。因此,传感器网络需要适应现有的解决方案和小说的发展。严格要求低成本、小型节点维度,和能源效率明显影响网络协议和算法的设计。它们具有关注消费最小化设计延长网络的生命周期。因为传感器节点可能配备了许多不同类型的传感器,无线传感器网络有很大的各种可能的应用程序(8]。传感器节点有足够的传感器可以用于连续监测观察现象和某些事件的检测。除了检测外,他们还可以识别事件发生并指定它的位置。同时,传感器节点可以在本地与不同类型的驱动器。今天,网络是用于各种军事、环境、医疗、家庭和工业应用。

一开始的基础发展,无处不在的和公认的实现IP堆栈WSN被认为是不切实际的和不足。IP被认为是过于强烈要求正常运转和有限的资源。因此,传感器网络通常使用一些替代方案(不同的网络协议开发专门为),避免了IP。不幸的是,各种协议和缺乏独特的标准连接和互操作性有限的传感器网络与其他类型的网络。因此,在过去的几年里,许多的努力都集中在实现IP网络,提供必要的适应性(9- - - - - -11]。因为传统IP网络从IPv4与IPv6过渡,重点是IPv6的实现方案。

IETF工作组6 lowpan (IPv6在低功率无线个人区域网络)定义必要的适应层,使IPv6到传感器网络协议栈的实现。以来的适应是必不可少的帧尺寸用于传感器网络物理层通常远小于传统的IP网络。物理层的主要标准轮内部目前IEEE 802.15.4。提供服务因此,6 lowpan适应层允许改编的IPv6数据包传输内部在IEEE 802.15.4框架提供服务。6 lowpan适应层定义帧格式,形成方法的链接地址和地址自动配置方法在内部网络基于IEEE 802.15.4。提供服务额外的规范包括IPv6报头压缩的方法,因为容易转移内部在IEEE 802.15.4链接提供服务和资源节约。虽然内部IEEE 802.15.4标准定义了四种类型的框架提供服务(信标帧,MAC命令帧,确认帧,数据帧),IPv6可以只在数据帧传输数据包。可选地,可以使用在确认所收到的数据包。

一个完整的IPv6内部数据包太大对IEEE 802.15.4框架提供服务对物理层有127个字节。没有任何压缩方法(最大开销)和AES(高级加密标准)在数据链路层上使用,它将只留下33字节用于应用层数据。显然,碎片会需要更大的数据传输。自从分裂过程消耗额外的资源,6 lowpan适应层关注头压缩可能包,可以在大多数情况下内部符合IEEE 802.15.4框架提供服务。6 lowpan还定义了UDP报头压缩,在最好的情况下(本地单播通信)UDP和IPv6报头可以压缩成6字节。

IETF工作组辊(路由在低功率和损耗网络)指定一个新的RPL(无线传感器网络也属)。RPL是第一个与IPv6支持适合传感器网络路由协议。它被设计成模块化的协议,强制性的和可选的不同而功能核心部分。这是作为一个基于ipv6的路由协议基础上用于所有场景分析(12]。

3所示。无线传感器网络的安全方面

安全问题在无线网络比有线网络更有挑战性由于开放通信介质的性质。因此,它往往是很难获得马奈相比,传统的有线网络。马奈的虽然网络是一个特殊的子集,其强大的资源限制在安全方面带来额外的困难。还因为大多数无线网络使用TCP / IP堆栈,大多数已知的安全威胁从有线网络坚持的无线网络13,14]。此外,无线环境带来一些新的未知的有线网络的安全威胁。有些差异的WSN和马奈禁用直接实现已知马奈的安全机制的基础上:WSN可能有明显的更多更密集部署的节点,传感器节点容易失败(由于环境影响和有限的电源),具有较强的资源限制比典型的MANET节点,和网络通常使用广播通信范式,而点到点通信仍然占主导地位在MANET [15- - - - - -19]。

指定的差异使网络更容易受到拒绝服务攻击。同时,著名的公钥加密方法仍然几乎不适用的网络因为他们的计算要求。发展质量密钥管理机制、安全路由协议、安全数据聚合机制,和入侵检测机制在网络仍然代表了一个巨大的挑战,特别是在一个基于ipv6的WSN。

提供每个传感器节点的物理安全传感器网络需要大量的成本,这也会与WSN概念的一个廉价的网络节点的网络。因此,在大多数情况下,网络被认为是倾向于物理攻击,和研究重点是不同的方法检测和预防可能不同的攻击类型,攻击者没有任何身体接触传感器节点或基站。

一个大型的各种可能的攻击类型可以根据不同的标准分类。袭击WSN可分为局外人的攻击(源自节点不属于目标网络)和内部攻击者(原合法节点破坏和恶意行为开始)(20.]。也可以被动攻击(转移的窃听和跟踪数据)或活动(包括某些修改现有的数据流和创建新数据故意的攻击者)。传感器网络上的攻击可以集中在保密性和认证、网络可用性(拒绝服务攻击),或数据和服务的完整性。

攻击集中在物理层是干扰和篡改。攻击者可以使用其发射机故意造成干扰的WSN操作频率。先进的方法来避免干扰(如FHSS通信)增加传感器节点的复杂性和提高他们的成本和能源消耗。因为在大多数网络通信仅限于只有一个频道,他们通常是非常容易受到干扰的攻击。同时,在大多数情况下,传感器节点不是身体的保护,所以他们暴露于篡改。因此,所有对网络安全机制来预测可能的妥协的某些节点和实现机制,他们被排除在网络(21]。

如果两个或两个以上的节点同时传输频率,会发生碰撞,导致丢包。攻击者可能故意造成碰撞,最频繁传输期间确认。不难发现这样的攻击类型,但很难防范。如果碰撞发生时,节点不断尝试重新发送数据包,这可能会导致资源枯竭(22,23]。资源枯竭,可以减少传输限制媒体访问的频率(在MAC层)和使用时分多路复用。

一些攻击传感器网络关注一个路由机制,攻击者恶搞或者修改路由信息。这样,入侵者可以故意创建路由迴圈,吸引或拒绝网络流量,改变现有的路线,增加延迟,产生虚假错误信息(24]。其中的一些问题可以减少或避免通过使用消息身份验证代码和时间戳。大多数网络使用多次反射的沟通原则,假设每个传感器节点作为一个路由器和转发数据包向目的地。恶意节点可以故意放弃一些数据包和禁用其进一步传播。最简单的情况下检测是当入侵者滴所有传入的数据包并拒绝转发给他们的邻居(一个“黑洞”攻击)。更难以检测的情况下攻击者将数据包转发选择性(选择转发攻击)。一个可能的对策是使用多个航线。攻击者也可以伪造路由数据(例如,广告质量路由到基站)为了吸引所有流量从一个特定的网络部分(天坑攻击)。天坑攻击是可以预防通过使用精确的地理位置路由过程中的数据(25,26]。

攻击者经常使用的硬件,是更强大的比普通传感器节点(比如笔记本电脑)。在这种情况下,攻击者可以使用几个假身份同时,当他们自我介绍几个合法节点(女巫攻击)。女巫攻击可能产生重大影响的数据聚合过程和其他分布式网络机制(例如,分布式数据存储或入侵检测系统)。可能的措施防止女巫攻击必须包括一个节点身份验证机制(27]。如果攻击者有两个笔记本电脑,他们可以创建一个低延迟快速联系两个遥远的网络部分是无形的合法节点(一个虫洞攻击)。可能的对策包括精确的时间或地理标志每包(假定精确的网络时间同步和确切位置数据)(28]。

袭击针对传输层协议通常误用连接建立机制。攻击者多次发送请求连接排气连接建立所需的资源。在这种情况下,合理的连接请求将被忽略由于缺乏必需的资源。此外,一些网络安全威胁的直接目标应用程序层,当攻击者试图过度刺激传感器网络资源造成密集的数据传输,排气(压倒攻击)。可以减少负面影响的这种攻击限制传感器读数的频率和通过实施有效的数据聚合机制。

4所示。在无线传感器网络入侵检测

非法侵入计算机系统和网络造成的损害可以用巨大的后果是巨大的。因此,入侵检测和预防系统是当前一个非常重要的安全机制中使用现代网络(29日- - - - - -31日]。无线网络的传播提出了一些新的挑战和IDS(入侵检测系统)发展的要求32,33]。网络的出现和传播请求id调整尤其是对WSN的发展。网络入侵检测系统的开发和实现设计仍然是一个密集的研究领域34- - - - - -38]。由于有限的资源和其他影响因素,实现IDS的WSN代表一个巨大的挑战。的一些重要因素,影响了网络的入侵检测问题是网络拓扑结构,节点移动(移动或静止节点),开放新节点(允许访问),当前应用程序环境中,路由算法,使用加密,与其他网络互联。

虽然有一些最近的网络入侵检测系统的方案,它们通常用于传统的网络(39,40]。也有一些试图改善路由机制,以减轻一些类型的攻击(41]。因此,仍有一个缺乏足够的IDS尤其适用于基于IPv6的WSN完整的IPv6支持实现的。该id渴望有助于这个问题的解决方案。的检测方法和算法,该系统有一定的相似之处与其他网络入侵检测系统提出了传统。它可以分为完全分布式合作系统,不依赖于任何集中的网络基础设施。因此,它是最适合平面网络基础设施,每个节点合作参与所有的决定和行动。有一些例子最近提出了传统分布式系统的网络(42,43]。另一方面,最近的一些建议传统入侵检测系统的网络依赖于层次结构(多层)或集群网络结构(44]。该系统实现了基于规范的入侵检测技术,作为最好的妥协和较低的误警率和较低的能源和资源的需求。有一些最近还提出了传统网络IDS实现基于规范的检测(45),而一些例子依赖于基于误用或异常检测(46]。一些提议的解决方案处理移动网络节点的47]。一些作者介绍不同的可能的检测方法(基于数据挖掘、机器学习、游戏理论,或遗传算法),需要适应实施基于ipv6的WSN (48,49]。大多数提议的解决方案仍然专注于特定的攻击类型和驻留在特定网络层(通常是应用程序层)(50- - - - - -52]。当然,在未来的研究应该关注跨层解决方案集成到独特的安全框架与其他安全机制。

无线传感器网络的入侵检测系统应该满足以下要求和特点:分布式架构(数据收集和决策),最小的资源消耗(尽可能减少通信),找到一个折中IDS有效性和监测区域大小、本地数据收集和分析(不依赖中心基础设施),节点妥协必须不破坏正常的网络功能,事实上,无论是节点可能被视为绝对安全可靠,事实上,这个系统应该在实时操作。提出的分布式系统的恶意节点检测基于ipv6的WSN倾向于尽可能地满足这些需求。

一般来说,有两种主要类型的基础架构:扁平结构(所有传感器节点是相似的敌手和使用通信)和分层体系结构(节点分为集群,集群头负责路由操作)。网络体系结构有直接影响定位模块的id。有几个典型的IDS的定位策略模块:滥交监测(IDS模块在每个传感器节点听所有交通接收机)的范围内,IDS模块在每个节点只分析数据包转发,IDS模块在基站(全集中),IDS模块对基站的邻居,和IDS模块集群头上。有些提出了入侵检测解决方案在传统网络中,但大多数都集中在一个特定的攻击类型和不提供完整的网络安全。同时,他们大多不支持IPv6,所以实施到基于IPv6的WSN需要适当的适应和修改。仍有剩余问题,它指的是一个缺乏优质高效入侵检测系统用于基于ipv6无线传感器网络和适应等各种特异性的环境。

几种不同的独立安全机制的实现了网络使他们的维护更加困难。因此,他们必须通过独特的跨层集成安全框架(53]。独特的安全框架应该整合不同的安全机制提供基本安全的前提,也就是说,机密性、认证、完整性和可用性。它应该提供数据加密的可能性(暗示也安全的密钥管理机制的实现),确保安全的数据路由(支持多个和替代路线),并包括安全节点定位和安全数据聚合技术(54- - - - - -56]。最重要的一个组成部分的质量安全框架应该是一个系统检测入侵和恶意节点行为。

提出的分布式自适应系统检测入侵和恶意节点行为实施到独特的安全框架,基于ipv6的WSN的入侵检测模块(连同一个加密模块,一个安全的路由模块,和一个安全数据聚合模块)。

5。分布式自适应基于ipv6的WSN的id

许多目前无线传感器网络的安全问题直接影响安全机制的设计,包括入侵检测系统。一些典型问题如下:资源限制(导致减少通信的必要性和禁用的可能性使用IPsec和公共密钥加密),各种可能的安全威胁和攻击类型(拒绝服务、路由攻击,天坑,女巫,虫洞,等等),以及密钥管理问题。

基于ipv6的WSN的入侵检测系统必须满足一些基本要求就像在传统的基础上。它应该提供一个自动攻击源机制识别(一个恶意的网络节点),生成适当的警报的网络,并采取适当的预防措施。每一个行动针对数据、通信或计算资源可以被看作是一个攻击。为了正确检测攻击,id必须能够区分合法的网络活动和异常(恶意)。它可能是一个严重的问题,因为在大的网络可能的合法活动可以模糊的和不可预测的。识别和分类的这些活动我们通常用下面的三个方法:基于误用检测、异常检测和规范检测。

误用检测技术比较当前网络活动与已知的攻击签名(已知的恶意活动的行为模式)。因此,它通常被称为基于特征码的检测方法。其主要缺点是可能只有先前已知的恶意活动的检测传感器节点存储的签名。异常检测方法包括一个学习阶段,当IDS学习正常网络行为的模式。所有统计偏离正常行为在这种情况下可能是归类为恶意行为。这种方法的主要缺点是一个相对大量的假警报。基于规范的检测结合这两种方法的性质,并被选为最合适的方法提出了基于ipv6的WSN的id。这样的异常检测技术,它也发现偏离正常行为,但它有手工预定义的描述正常网络行为规范。这样的方法是更少的资源要求,同时它还可以发现新的攻击类型。

该id是完全分布式的决策过程,它依赖于合作。相同的id模块上实现每一个无线传感器节点,执行合作算法和与其他模块通信。由于系统是完全分布式的,每一个网络节点监控网络流量。看门狗技术用于交通监控的目的。假定每一个网络节点都有几个邻近节点收发器的范围内。因此,所有IDS模块听他们邻居的交通和收集数据,表示输入参数为集体决策过程。

1说明了情况,当节点发送一个数据包到节点D(路线A b c D)。C是恶意节点,它选择性地滴包寄给节点D C将数据包发送到节点后,节点B听节点是否C D将数据包转发到节点(节点B作为监督机构)。如果在同一时间节点传输节点B,由于碰撞、节点B将无法确定节点C转发数据包。也有可能节点B C成功转发数据包错误地得出结论,节点节点D .它会发生如果节点D E或节点传输同时开始。因此,很明显,只有一个监督节点是不够成功检测的恶意行为。这就是为什么IDS模块从周围更多的监管机构收集数据节点,在节点合作做出最后的决定。

乍一看,似乎交通监控监督节点将大大增加能耗。幸运的是,这是不正确的,因为在大多数无线电通信系统中实现了网络传感器节点已经从他们的邻居接收数据包广播。因此,额外的权力仅用于IDS之间的额外数据处理和通信模块。

入侵检测的问题(IDP)包括检测某一网络节点受到攻击(妥协)以及攻击源的识别。因此,解决方案(算法)的国内流离失所者必须满足以下属性:(我)如果一个合法的节点表示可能的另一个节点的恶意行为,它将加入群提醒节点,一个潜在的恶意节点将作为攻击源的特征。(2)如果发生恶意行为,在一个有限的时间间隔提醒集团的所有合法节点节点将指示可能观察到节点的恶意行为。协同入侵检测的基本思想是一个相互交流的IDS代理(模块)输出数据。对可疑节点模块交换数据,缩小可能的恶意节点的组。也有可能一个恶意节点错误地指责邻国的恶意活动。有两个主要的条件解决入侵检测问题:入侵检测条件(IDC)和社区条件(NC)。入侵检测满足条件时,如果没有网络节点有相同的提醒设置为恶意节点。社区有两个条件:恶意节点的所有邻居提醒(第一个条件),如果两个或两个以上的节点是怀疑大多数节点,那么所有合法怀疑节点必须nonalerted邻国(第二个条件)。(IDP)的入侵检测问题可以通过一个确定性算法解决如果(且仅当)入侵检测条件(IDC)或社区条件(NC)感到满意。

Contiki操作系统作为软件平台实现的分布式自适应入侵检测系统(57]。Contiki是第一个支持IP传感器网络操作系统。首先,它是IPv4的支持,之后6 lowpan规范IPv6支持补充道。的实现IPv6支持支持RPL紧随其后。支持IPv6和RPL使用Contiki操作系统的原因。测试和仿真的目的,我们使用了COOJA模拟器,因为它完全支持Contiki操作系统在多个水平,从机器代码级别操作系统级58]。

基于ipv6的WSN的恶意节点检测系统是一个完全分布式的系统,基于协作算法不依赖中心基础设施。IDS模块(代理)是传感器网络中的每个节点上实现。IDS代理的主要任务是监测相邻节点(收发器范围内)和参与集体决策过程。实现算法独立运作的主要传感器网络应用程序。该系统完全适应基于ipv6协议栈的基础上(图2)。

IDS代理核心运营应用层。使用UDP作为传输层的协议,而RPL是实现为一个路由协议(59]。6 lowpan适应层实现IPv6报头压缩的目的,启用IPv6数据包的有效转移内部IEEE 802.15.4物理层提供服务(60]。IDS代理的功能可分为以下三个基本组成部分:网络监控(数据采集监控邻居的网络流量),决策(集体过程基于交换数据通过IDS代理)之间的相互沟通和协作,和反应(动作,以防某个节点的恶意行为检测到)。发送数据包后,每个节点监控邻国为了确定他们是否转发数据包进一步向目的地(监督方法)。Nonforwarded数据包可能表明恶意行为,因为在WSN周围的许多其他因素也可能影响数据包交付成功(例如,碰撞或节点故障)。

因此,入侵检测系统定义了一个有限的时间间隔的IDS模块计数丢弃的数据包在邻近的节点上。这个间隔的持续时间是一个变量和可调参数。定义的阈值,代表了最大允许丢包情况。如果数据包超过阈值下降,观察到的节点被认为是可疑的。这个阈值也可以定义变量和可配置的参数,根据当前应用程序和网络条件。由于各种各样的网络(关于节点的数量和密度,链接能力,和数据量)及其可能的应用程序,不可能设置这些参数的普世价值(监测间隔和阈值)为所有的情况。参数值应调整为每个特定的应用程序。拟议的IDS使用基于规范的检测方法,从其他方法(误用检测和异常检测)将更多的资源要求。基于ipv6的IDS的结构基础上提出了数字3

入侵检测代理包含两个主要模块:本地检测模块和合作检测模块。这些模块是相互联系的,他们一起参与检测恶意传感器节点的过程。也与这两个模块一个模块为当地交通监视和通信模块(用于与其他IDS代理和通信基站)。通信模块为分布式系统的建设是不可或缺的,因为它的正常运转是基于许多IDS代理合作。

5.1。本地检测模块

本地检测模块是连接到一个当地交通监视模块,收集所需数据的决策。这个模块分析收集数据并创建一个疑似邻近节点列表(根据之前定义的规范)。当地检测模块提醒其他邻近节点对其怀疑名单。每个节点创建一个疑似邻国的列表(邻居的行为特征为可能恶意)。此外,当地检测模块的概率估计其邻国的恶意行为。这个概率估计是基于转发的数量和丢弃的数据包在观测时间间隔。每个节点 估计其邻国的恶意行为的概率 根据 是概率估计相邻节点 恶意的行为, 该节点的数据包数量吗 收到, 该节点的数据包数量吗 转发, 是一组相邻节点的节点 。如果估计概率 超过了预定义的阈值,节点 将被添加到嫌疑犯吗 的节点 。节点 一起交流其可疑节点列表(估计概率)与其他网络节点。后警报消息(包含列表疑似节点和恶意概率估计的)交换,当所有节点收集信息从其他节点,合作检测模块被激活。合作检测模块将对可疑节点做出最后的决定。一个微不足道的一个例子是当一个特定的传感器节点只有一个相邻节点对其怀疑的估计恶意概率等于1。在这种情况下,当地检测模块可以直接激活反应和通信模块,没有任何需要合作的决策过程。图4代表了当地检测模块的操作算法。

5.2。合作检测模块

合作检测模块的主要任务是对行为做出最后决定角色的怀疑传感器节点。与其他节点模块使得这个决定合作。后决定执行合作算法,实现了一个多数投票机制对节点恶意。合作决策过程的输入数据是可疑节点列表一起估计恶意概率。最后恶意概率为每个网络节点执行合作后计算算法。如果这个值超过预定义的阈值,相应的节点将被最终宣布为恶意。最后计算每个节点的概率(2), 最后计算恶意节点的概率 。考虑 这个概率计算的平均估计的概率 所有节点,将节点 到怀疑。如果概率 上面是预定义的阈值,相应的节点将被认为是恶意的。越来越多的概率高于阈值,与大多数选票将被归类为恶意节点。节点的最大概率估计狠毒 将恶意如果某些节点有相同数量的选票。如果某些节点被标记为恶意的行为,合作检测模块激活为了通知基站的通信模块和其他网络节点。恶意节点将被排除在网络局部反应模块。图5介绍了协作检测算法模块。

5.3。测试场景

行为提出了恶意节点检测系统的测试和分析了基于ipv6的WSN通过不同场景典型的传感器网络。成功的可能性探测节点的恶意行为和系统影响正常网络功能(主要在功耗和带宽占领)分析和测试的重点。

所有的测试进行了三种不同的网络。6的第一网络由节点(5传感器节点和基站),第二个网络由10个节点(9传感器节点和基站),和第三网络由17个节点(16个传感器节点和基站)。这些拓扑结构选择,因为它们反映了多种实用的传感器网络应用程序。在所有的测试场景中,基站位于网络的边缘附近区域为了执行多次反射沟通。所有网络节点有相同的物理特性(同质网络)和IPv6实现堆栈。

三种情况分析了在每个网络(6、10和17节点)。这些场景的区别在于成功的发送和接收数据包的概率。第一个场景是一个参考的理想情况下,这个概率= 100%。然而,包丢失在WSN是常见的由于干扰,节点失败,或碰撞,有时恶意活动。考虑这些情况是非常重要的,因为包丢失,需要重新传输直接影响网络性能和资源消耗也复杂化(在极端情况下甚至防止)检测的恶意活动。出于这个原因,在理想的场景中两个额外的场景在所有三个网络进行了分析。在第二个场景中,在所有网络Rx / Tx成功率为80%,并在第三个场景中是60%。

WSN没有前面分析的入侵检测系统进行了性能测试目的(共9场景,三种情况在三个不同的网络),为了分析正常网络行为没有任何id影响传感器网络的性能。因此,传感器节点收集数据从他们的环境(温度、湿度、和照明),然后将它们发送给基站定期(每分钟)。在所有执行测试,网络监控,在一小时的时间间隔。在每一个测试场景中,建立网络初始化和路线后,邻居和啤酒花的基站的数量为每个节点都被记录下来。因为在观察场景中所有节点都是静态的,这些值通常与网络拓扑结构有关。因此,对于同一个网络他们没有显著变化取决于分析场景(微小的变化可能发生如果包丢失而导致网络重新配置和变化的某些部分路线)。以下参数被观察和记录所有测试场景:收到的数据包的数量(每个节点),丢失的数据包的数量,ETX指标(显示所需的个人链接),平均广播工作周期(每一个网络节点)和电力消费(平均每一个网络节点)。总能耗包括以下四个部分:每个节点CPU消费,消费在低功耗模式下(行分钟)和无线电收发机消费在听和传输模式。获得的结果用于与相同的场景,但该入侵检测系统实现网络(拓扑和所有其他参数保持不变),以分析IDS在网络正常运行的影响。实现的目标是调查如果IDS扭曲的网络性能和它是否造成重大电力消耗增加。 Therefore, after IDS implementation, the analysis was repeated through all nine characteristic scenarios.

除了性能测试,分析提出了IDS的恶意行为检测功能也执行。检测能力分析也是通过场景提到的九(三个特点在三个不同的网络场景),由于检测能力是直接影响的节点总数和网络节点的数量,以及无意中丢弃的数据包的数量。每个分析场景包括一个恶意节点,有选择地转发数据包,它下降80%的包。两个不同的情况下考虑每一个分析场景。在第一种情况下,恶意节点选择性滴包没有指责邻国的恶意行为。在第二种情况下,恶意节点错误地指责邻国的恶意行为,试图破坏IDS检测功能。通过所有描述场景IDS检测能力进行了分析,系统还估计恶意网络节点的概率。执行分析导致某些结论的节点数量的影响,丢失的数据包数量,恶意节点行为提出了IDS的检测功能。

6。结果分析

6.1。IDS的性能分析

性能分析的id进行到9三前所述不同的场景不同的网络节点(6节点,10节点,17)。第一个测试网络包括6节点(5传感器节点和基站),如图6

节点1是基站,而其他人(2 - 6)是普通的传感器节点。光栅模式大小的图匹配10米的距离。无线电收发器范围设置为30米(圆形区域),而干扰区域半径等于50米。这些值直接影响网络拓扑结构和路由的建立到基站,由于节点之间的直接通信的可能性取决于他们收发范围。6-node网络,基站节点2和3的范围内。邻近节点的节点可以直接相互通信。因此,邻近节点的节点4节点2,而邻近节点的节点6节点3。邻近节点的节点5节点2和3。因此,节点2和3有三个邻居,和节点5有两个邻居,而节点4和6有一个邻近的节点。因此,路由节点4、5、6的基站包括2跳,而节点2和3可以直接与基站进行通信。

网络初始化后,每一个网络节点定期(一分钟)向基站发送其传感器读数(温度、湿度、照明)。三个场景用不同的处方/ Tx成功率进行分析。这个比例是100%,80%,60%,在第一,第二,第三场景,分别。所有测试都有或没有执行入侵检测系统实现,为了得出结论对IDS对网络性能的影响。观察到的参数值(部分中描述5.3)对所有传感器节点收集和总结了平均水平值6-network节点表1

在第一场景分析(代表一个理想的情况下,没有包丢失),收到的数据包数量的增加可以注意到实施后的id。它预计因为额外的交通由id生成代理。然而,重要的是要注意,没有重大改变能源消费总量(因为在WSN)的能源是最有限的资源id后实现。可以解释一些最小偏差记录值的应用随机算法和无法衡量实际消费非常精确。在第二个场景中(Rx / Tx成功率为80%),较小的包丢失可以注意到尽管确认和重传机制使用。的增量ETX相比第一个场景显示传输的数据包是必要的。需要数据包重传导致增加收发机活动,从他们的工作周期,可以观察到。由于无线电收发器是最能源要求的部分传感器节点,其活动增加导致能耗的增加而第一个场景。然而,IDS的实现仍然不会带来任何显著差异在能源消耗(相对于同一场景中没有IDS)。第三个场景需要另外增加数据包重传(指标增加ETX),自包Rx / Tx成功比率降低到60%,导致能耗增加。 In spite of the retransmission mechanism, an increased number of lost packets were recorded. In the third scenario with the implemented IDS, a slight increase in energy consumption compared to the case without the IDS can be noticed.

第二个测试网络由10个节点(9传感器节点和基站)。第二个测试网络的拓扑结构如图7

在第一网络(6节点),测试执行通过三个场景,Rx / Tx成功率为100%,80%,和60%,分别。10-node网络,节点从2到5邻近节点(节点3、7和9 2邻居;节点1、6和8 3邻居;节点2和4有4个邻居;和节点5 5邻国)。节点1、2、4、5点有一个基站跳,节点3、6、7和8有两个啤酒花,和节点9有三个啤酒花。观察参数的平均值10-node网络总结在表2

第一场景分析10-node网络也代表了理想的情况下,没有丢失的数据包和任何需要重传。IDS的实现引入了少量的额外的网络流量(id生成的代理),对能源消费总量没有显著影响。总平均能量消耗的第一个场景10-node网络与一个等价的场景在6-node网络。成功的概率降低数据包传输数据包在第二个场景中造成损失和重发。收发器增加活动增加能源消耗,比得上6-node网络消费在同等情况下。IDS的实现稍微增加能源消耗,但不是在某种程度上的IDS实现没有正当理由的。进一步衰减Rx第三场景/ Tx成功率(60%)另外增加的数量需要重发(ETX度量指标)和能源消耗。总消费上涨后的实现id,但增量小于10%,不危及IDS实现的有效性。

三个不同的场景(Rx / Tx成功率为100%,80%,和60%)也在17-node网络分析。第三个测试网络的拓扑结构如图8(节点1 - 16是普通传感器节点,节点17个基站)。

在17-node网络,传感器节点有2到5的邻居(节点直接收发范围)。最小距离基站是一跳(节点1、2、5、6),而最大距离是5跳节点(16)。观察参数的平均值17-node网络总结在表3

类似于6-node和10-node网络,第一个场景在17-node网络数据包是理想情况下没有损失和重发。也没有显著差异功耗对于这个场景前后IDS实现。在第二个场景中,一些包丢失出现,数据包重发增加平均能量消耗。平均能耗比在6-node和10-node网络等效的场景,但IDS的实现这个场景不增加能源消耗显著。第三场景17-node网络(Rx / Tx成功率是60%)记录最多的丢包和重发,从而收到数据包的最小的数。此外,在一个案例中,由于过度的包丢失,最远的节点(即节点16日。5跳离基站)不能与基站进行通信。正如所料,第三个场景17-node网络记录最高的能源消耗。然而,即使在这种情况下的实现id并不显著增加能耗。

进行分析表明,提出了检测系统的实现基于ipv6的WSN的恶意节点行为并不显著降低网络性能。此外,它的实现是一个非常重要的事实提出IDS不会导致显著增加能源消耗最有限的资源的基础上。此外,在一些场景分析能耗的差异和没有id几乎没有区别的(因为它的大小是小于可能的错误,可以预期在测量过程中),而在其他情况下的差异不超过几个百分点。

能源效率(例如,很小的额外的能源需求)代表一个IDS的两个最重要的前提条件必须满足,以考虑其实际应用和实现方案。另一个重要的先决条件是成功检测恶意网络节点的能力。因此,下一节分析恶意节点检测的可能性提出的id。

6.2。IDS检测功能分析

恶意节点行为的分析检测能力提出的IDS进行(类似于它的性能分析)与6三个前所述网络,10和17个网络节点,分别。在每一个网络,检测能力测试在所有三个场景特征(如性能测试的情况下)和Rx / Tx成功率为100%,80%,60%。IDS测试是很重要的在这样的环境中,一个数据包的恶意活动并不是唯一可能的原因下降,但数据包可能会丢失在正常网络操作(例如,由于噪声和碰撞)。嘈杂的和有损环境使得恶意节点检测更加复杂。

在每一个分析场景中,一个恶意节点是故意安装在基础上。恶意节点有选择地转发数据包,这样它下降80%的包,虽然转发数据包的20%向目的地。两种不同的情况下被认为是在每一个分析场景。在第一种情况下,一个恶意节点只是有选择地转发流量描述的方式(远期利率下降80%,20%)。在第二种情况下,除了选择性转发,恶意节点错误地指责其邻近节点的恶意行为,并以这种方式故意加重的正确检测id。

提出id的一个特征是其能力来估计一个传感器节点的恶意概率除了描述恶意或合法的。出于测试目的,50%的概率阈值(一个节点被认为是恶意如果恶意概率大于50%)。这个阈值可调并能适应特定的应用程序需求。在给定的表格,每一行包含恶意估计每个节点的相邻节点的概率。最后一行包括计算最终恶意每个节点的概率。一些细胞是空自对应的节点不是邻居,因此没有估计概率。分析的目的是确定不同因素的影响(例如,数量的节点,数据包丢失,和行为的恶意节点)成功检测恶意节点。

在6-node网络(图6),一个恶意节点节点3。表4包含恶意估计概率(%)为第一个场景(Rx / Tx成功率是100%)6-node网络。每个单元中的第一个数字代表了恶意概率估计当恶意节点不尝试错误地指责邻国(场景1 a)。每个单元中的第二个数字(斜体印刷)代表了恶意概率估计当另外一个恶意节点错误地指责邻国(场景1 b)。例如,值“0.0 /80.3”在第三行六列,意味着在场景1节点3估计,恶意节点6的概率为0.0%,而在场景1 b节点3估计,恶意节点6的概率为80.3%(它错误地指责邻国)。

在场景1中,id轻松地画了一个正确的结论,节点3是一个恶意节点(估计恶意概率 = 80.3%)。在场景1 b(节点3错误地指责邻国),有三个节点(节点3、5、6)的概率估计狠毒 超过50%的阈值( = 80.3%)。然而,IDS还做出一个正确的决定并指定节点3恶意因为上面有两个节点3估计阈值(通过节点5和6),而节点5和6上面只有一个估计阈值。然而,很明显,明显错误的指控(通过恶意节点)可能使检测过程复杂化,甚至导致错误结论。

5显示了第二个场景概率估计恶意6-node网络,Rx / Tx的成功率是80%。

很明显,在场景2的检测恶意节点是成功的概率(恶意节点3 = 78.5%)。但也是明显的,额外的包丢失在这个场景中引起的概率 有点低于第一个场景(代表一个理想的无损的情况下)。出于同样的原因,一些恶意概率估计也会为其他节点。在场景2 b(节点3错误地指责邻国),上面有两个估计阈值节点(节点3和6)。正确的id决定因为节点3有两个估计高于阈值(时间节点6只有一个)。

6包含恶意概率估计第三场景6-node网络,Rx / Tx的成功率是60%。

在场景3,IDS使得一个正确的决定并宣布恶意节点3。然而,值得注意的是,增加了包丢失(Rx / Tx降至60%)降低估计质量(恶意概率是62.9%),同时恶意合法节点的概率增加,但仍低于阈值。在场景3 b,恶意节点错误地指责邻国,恶意概率三个节点(节点3、5、6)超过阈值。IDS也使得一个正确的决定在这种情况下,因为节点3(一个恶意节点)有两个估计高于阈值,当节点5和6有一个超出阈值的估计。

在10-node网络(图7),8是故意让IDS检测恶意节点测试。测试了三个典型场景(类似6-node网络)。表7第一个场景代表结果(Rx / Tx = 100%)。

在第一种情况下(场景1),IDS正确识别8作为恶意节点和恶意节点概率80.1%的评级。在场景1 b(节点8错误地指责邻国),IDS还画了一个正确的结论。值得注意的是,在场景1 b一些恶意估计概率出现其他节点(由于节点错误指控8),但都是低于阈值。

8提出了测试结果的第二个场景10-node网络(Rx / Tx = 80%)。

显然,IDS将正确地识别恶意节点的活动,尽管在这种情况下一些恶意估计其他(合法)节点发生(由于某些包丢失)。然而,这些概率值明显低于阈值的50%。实际上,这些概率甚至低于估计概率6-node网络在相应的场景。这是因为与大量的节点在网络中每个节点(平均)有更多的邻居,使最终的估计更准确。恶意节点检测也成功的在场景2 b,恶意节点错误地指责邻国。然而,很明显,错误指控增加合法节点错误的狠毒的概率估计(这仍然低于阈值)。

第三个测试场景的结果(Rx / Tx = 60%) 10-node网络展示在表9

在场景3,IDS成功检测到一个恶意节点,但估计的质量(最终恶意概率的值 )减少。最后恶意恶意节点的概率低于之前的场景,但仍高于阈值( = 60.9%)。与此同时, 不正确的值估计增加,所以碰巧节点9的价值 也超过了阈值( = 52.75%)虽然是合法节点。进一步,它是可见的,虚假的指控一个恶意节点的数据将进入网络场景3 b明显复杂一个正确的决策过程。在这个例子中,节点9狠毒的概率最大 ( = 70.6%),它实际上是合法节点。概率 8(也超过阈值的节点 = 60.9%),它实际上是恶意的。在这个例子中,IDS还画了一个正确的结论,因为是两个节点估计高于阈值8(通过节点5和7)和一个估计节点9节点(8)。然而,应该注意到,估计9节点的节点6非常接近阈值(47.1%)。尽管这是一个错误的估计(包造成的损失发生的),它可能发生,这估计超过阈值。在这种情况下,IDS将得出不正确的结论,一个恶意节点节点9。此外,很显然,节点9(再次由于重大包损失)做了一个错误的估计约8节点( 只有25.8%),也加剧了决策过程。

在17-node网络(图8),出于测试目的,恶意节点节点10。入侵检测过程的结果第一个场景(Rx / Tx = 100%) 17-node网络展示在表10

在场景1,17-node网络(理想情况下,没有包丢失),节点的id很容易检测到恶意活动10。在场景1 b中,有一些恶意估计合法节点(节点10)造成的错误指控,但他们都是低于阈值。

11显示了第二个场景测试结果在17-node网络(Rx / Tx = 80%)。

在场景2,17-node网络恶意节点检测是成功的,但一些恶意估计合法节点发生由于包损失(所有低于阈值)。在场景2 b(节点10错误地指责邻国),检测也成功了,但一些合法的概率估计恶意节点由于错误的指控也都增加了节点10(他们仍然低于阈值)。

12第三个测试场景的呈现结果17-node网络(Rx / Tx = 60%)。

结果表明,检测成功场景3 17-node网络,但很明显,增加包丢失而导致错误的恶意估计的增量合法节点(例如,节点11和14给估计44.0%和54.8%的恶意10恶意节点的概率,同时为合法节点15他们给恶意概率估计的53.2%和66.1%)。错误指控由节点10(场景3 b)另外增加错误估计狠毒的合法节点。幸运的是,这些估计仍低于阈值,由于正确估计更多的合法节点错误指控的负面影响减少恶意节点。

测试和分析通过更多不同的特色场景表明,系统提出了恶意节点检测的基于ipv6的WSN成功检测到一个恶意的网络节点的存在。因此,该系统满足一个重要的先决条件实现到基于ipv6的WSN(除了必要的能源效率和最小的对网络性能的影响及其正确操作)。与其他大多数IDS在传统网络中,该系统也给评估节点的恶意概率(而其他系统通常只声明一个节点恶意或合法)。执行测试显示不同参数对决策过程的影响和评估的质量。丢包网络中由于噪声、碰撞,或失败对恶意概率估计的质量产生负面影响。有时很难解决包丢失的真正原因,即前面提到的原因之一还是一个节点的恶意行为,故意滴或有选择地转发数据包。此外,包丢失的存在可能导致合法的节点被认为是恶意的概率,这可能,在极端的情况下,超过阈值(一个恶意节点没有发现或一个合法的节点是不正确地指定为恶意)。真正的传感器网络是一种不稳定的环境的通信(噪声敏感和容易失败)。因此,系统之前应该测试每一个实现在真实网络为了调整概率阈值到一个特定的应用程序。

邻近的节点的数量是一个重要的因素,影响着狠毒概率估计的过程。获得更高质量的估计将与更多的节点,网络中恶意节点拥有更多数量的合法的邻近节点。合法节点的估计将在这种情况下减少负面影响的虚假恶意节点插入的数据。成功检测的恶意行为有损环境(Rx / Tx成功率不到100%)也取决于所选择的概率阈值。有损环境中一个较大的阈值降低了检测效果从大数据包损失减少恶意概率估计为恶意节点,提高了合法节点。同样,如果阈值过低,有可能是一个合法的节点将具有恶意。执行测试表明,许多参数影响评估的质量,例如,网络拓扑(节点的数量和他们的安排),邻居的数量,包丢失(这不是恶意行为造成的),和一个恶意节点行为模式。因此,它是不可能定义通用概率阈值,将适合所有网络。

7所示。结论

近年来,无线传感器网络发展迅速,其应用领域不断扩展。他们强烈的资源限制使他们非常具体和不同于其他类型的无线网络。因此,所有通常的网络机制(例如,路由或安全机制)需要特定的适应性之前实施方案。最近,有强烈倾向于互连的许多不同设备和集成的无线传感器网络与其他网络类型的物联网模式。目前大多数网络协议体系结构是基于IP的,和过渡到新版本的协议(IPv6)正在进行中。这些并行过程自然导致IPv6的WSN的实现。

基于ipv6网络小说代表了趋势领域的传感器网络,因此他们提出某些问题和开放问题,仍然需要足够的解决方案。安全方面,基于ipv6网络非常重要,因为良好的安全解决方案可以保证其更广泛的实际应用。本文概述基于ipv6的安全方面,系统关注现有的安全威胁和不同的攻击类型。它也分析了一些现有的入侵检测方案,可以实现基于ipv6的WSN。作者提出一个解决方案的分布式自适应入侵检测系统特别是基于ipv6的基础上。分布式特性使其在每个网络中的传感器节点执行。每个节点监控活动的邻国和估计他们的恶意概率。狠毒的最终估计概率计算所有节点毕竟IDS代理交换他们的估计。计算狠毒的概率也提出了入侵检测系统的一个优势,因为大多数现有IDS只声明一个特定节点恶意或合法的,没有恶意的估计水平。

该系统为恶意节点检测完全支持IPv6的无线传感器网络。因此,它适用于基于ipv6网络,而其他从传统的网络入侵检测解决方案都需要一个合适的适应(它们不能直接应用到基于ipv6网络。同时,其优势(相对于简单的单层的解决方案)是可能融入独特的跨层安全框架以及其他安全机制。由于其分布式特性(所有网络节点为决策过程),该系统是宽容的一些节点上失败。拟议的系统还可疑节点的恶意概率估计,大多数现有IDS不估计恶意级别(他们只是声明节点作为一个恶意或合法)。提出系统的另一个优点是适应性为不同的应用程序实现的需求灵活(可调)恶意阈值。同时,该恶意节点检测方法被证明是节能,这是非常重要的资源受限的环境中基于ipv6网络。最后,提出了系统显示很好的探测能力尽管有损无线环境和故意加重恶意节点的检测过程。

该id的解决方案是实现三种不同的网络拓扑。在每一个网络,通过不同的特点进行了详细的测试和分析场景。分析检查的目标提出了IDS的性能和能源效率的解决方案,其影响正常网络操作,其功能成功的检测恶意节点在不同的情况下。成功的正确检测是当IDS表示一个恶意节点和提取从合法的节点的集合,从而给上述恶意概率估计预定义的阈值。恶意节点是故意插入到网络测试的目的。因此,它无疑是可能确定是否IDS的结论是正确的。执行的测试也表明,该id的解决方案是节能和小影响正常的网络操作,同时它有一个很好的能力做出正确决定的某些网络节点的恶意。在所有测试场景,IDS正确表示一个恶意节点,尽管它尝试错误地指责邻国和禁用或至少使检测过程。未来发展的id应该包括支持网络节点移动性,此外可能扩大其应用范围。

相互竞争的利益

作者宣称没有利益冲突有关的出版。