胡新文 张鲁(国网咸阳供电公司 咸阳 712000)
摘要:本文在无线传感器固有属性的基础上,提出了基于异常检测及误用检测的可预测入侵检测算法Predicable IDS。仿真结果证明,该在分析现有网络攻击的情况下,Predicable IDS 系统可预测全网内的“高危”节点,并采取相对应的防范措施,有效提高网络运行安全水平。
关键词:攻击模式挖掘;无线传感器网络;Predicable IDSThe using of IDS with an attack-pattern-mining in wireless sensor networksHuXinwen ZhangLu(Shaanxi Xianyang power supply Bureau,Xianyang Shaanxi 712000,China)Abstract:The Predicable IDS with attack-pattern-mining we proposed can predicate the potential attack,and the result of simulation confirms theconclusion.Keywords:Attack-pattern-mining;Wireless sensor networks;Predicable IDS1
引言无线传感器网络是环境监测,医疗护理、目标检测等应用的理想网络模型[1]。在实际应用中,为了提供更好的安全传输效果,网络中的单个节点不得不在增加硬件开销的同时,耗费大量的时间和能量来进行额外的数据计算,在某种程度上降低了全网的运行效率[2]。因此,诸如Diffie-Hellman 及RSA 算法等需要大量电能支持计算并且管理密钥的加密机制在WSNs 环境并不适用。
2 模型介绍现有的IDS 系统大体分为两种类型:1、基于异常的检测;2、基于误用的检测。前者准要针对未知类型攻击的防范,其误报率较高。
后者主要针对已知类型恶意攻击的防范,且具有较高的准确率。
2.1 模型环境假设网络拥堵作为WSNs 研究中必须面临的问题不是本文研究所设计的内容。通过大量的文献阅读我们发现,在WSNs 网络中,采取分层聚类的方式组网可有效解决网络拥堵问题,并大幅度提高网络延展性[5][6]。因此,本文假设所有WSNs 网络均采取分层聚类的方式,回避了网络拥堵问题。
如图1 所示,假设Predicable IDS 工作在某个分层聚类的WSNs中。全网节点被人为地分为两类:1、增强型节点(Powerful Node,PN);2、普通节点(Ordinary Node,ON)。二者比例大体为10:1。其中增强性节点PN 较之普通节点ON 部署有额外的防篡改硬件系统及内存,具有较高的安全性和数据处理能力,可直接同部署有Predicable IDS的根节点进行数据通信。普通节点ON 的电池续航能力及数据处理能力相对较弱,可将自己获取的相关信息传递至PN。
WSNs 网络部署过程如下:1、WSNs 网络被切割为等大的N 个区域,每个区域中保证有一个PN 节点;2、单个区域内,围绕每个PN节点随即部署大量ON 节点,组成分层汇聚网络。其结构如图2 所示。
在该模型中,每个节点部署有统一的开销函数(Cost Function)。当某个OP 节点受到攻击或接收到未知信息时,相关信息将被发送至PN节点。PN 节点再将相关数据告知部署有Predicable IDS 的根节点。根节点结合收到的数据判断哪个节点正在受到攻击或处于潜在的高危状态,并决定是否对其采取相应的保护措施。Predicable IDS 中需要预设阈值ν,当开销值大于ν时,判断该节点处受到攻击或处于高危状态,对其所在的区域采取保护措施。
2.2 Predicable IDS 模型在Predicable IDS 模型中假设有两项基本性质:1、相对独立性。
即攻击者和防御者相互独立;2、非零和性。因为防御和进攻相对独立,假如某节点被部署了防御措施,而其实际未被攻击,则部分网络资源被浪费,但这部分资源并不对攻击者产生影响[7]。如表1 所示,Predicable IDS 与攻击者之间的相互关系集合可做如下定义:1、最小破坏:IDS 未做出防御Attacker 也未发动攻击;2、正误识:IDS 做出防御而Attacker 未发动攻击;3、负误识:IDS 未做出防御而Attacker发动攻击;4、正确判断:IDS 做出防御且Attacker 发动攻击。我们在Predicable IDS 中设置防御开销值F,当防御失败时则系统开销为-F。
在此基础上,防御系统Predicable IDS 中还部署有预测进程(PredicableProcess,PP)来预测在未来某一时刻可能发生的攻击的类型。PredicableProcess 自身还具有学习机制,可随时更新历史数据,对预测结果进行修正,并据此对高危节点进行预判断。由介绍可知,Predicable Process为离散型随机过程,即当进程处于时间t 状态 t s ,防御系统做出判断,而进程将在时间t+1 将执行结果反馈给防御系统,并将自身状态迁移至 t?1 s 。
当节点最终计算所得的开销值得小于阈值v 时,则认为该节点安全。当节点计算所得开销大于等于阈值v 时,认为该节点处于高危状态,可能在下一时刻受到攻击。
2.3 攻击模式挖掘模型在本系统中,Predicable IDS 模型记录所有已知攻击者的行为和攻击类型集合。利用这些信息组建数据库实现攻击模式挖掘及时间戳分析,用以预测未来可能发生的攻击类型及攻击时间。
时间戳分析以所有攻击的间隔时间为研究对象,藉此预测下次攻击的起始时间。为详细说明该方法,我们首先引入如下参数:攻击间隔时间,预计间隔时间,平均攻击间隔时间,用以计算平均攻击间隔时间的间隔数,攻击模式,具体结构如图2 所示。
图2 攻击防御时序图4 小结通过在不同条件下对Predicable IDS 模型的防御验证,即便是面对最坏的情况即高频率攻击和低规律性攻击时,模型的防御成功比率同样能达到75.3%及79.75%,基本能够满足一般情况下对于WSNs 网络的安全性要求,故该模型验证成功。但通过实验我们发现,在防御模型展开初期,因为存在必要的计算及判断过程,仍旧存在防御真空期。该内容可作为模型今后改进的研究重点。
参考文献:[1]冯登国 张阳 张玉清 信息安全风险评估综述 通信学报,2004,25(7);[2]中华人民共和国标准 信息安全风险评估指南
论文作者:胡新文 张鲁
论文发表刊物:《电力设备》第01期供稿
论文发表时间:2015/9/22
标签:节点论文; 网络论文; 模型论文; 开销论文; 攻击者论文; 时间论文; 系统论文; 《电力设备》第01期供稿论文;