基于分組特征捕獲機制的移動傳感網惡意節點搜尋算法

楊巧曼

（陜西交通職業技術學院 通識教育學院，陜西 西安 710018）

隨著第五代通信技術與移動傳感網技術呈現日趨融合的發展態勢，移動傳感網的網絡規模及社會應用也日趨廣泛。當前，我國數字經濟呈現蓬勃發展態勢，日益成為國民經濟的重要增長極［1］。隨著移動傳感網技術在諸如外貿出口管理、新能源產業鏈制造及新型冠狀病毒肺炎疫情防控等方面的不斷應用，該項技術也面臨諸如節點篡改、數據劫持、網絡癱瘓式擾動等威脅［2］。因而，采取一定的算法將惡意節點及相關特征及時捕獲并登記在冊，成為當前移動傳感網技術研究的熱門領域之一［3］。

為及時對惡意節點及相關特征予以查證識別，業界提出了許多具有前瞻性的解決方案［4］，如Tabassum等［5］提出了一種基于區域特征查證識別的移動傳感網惡意節點搜尋算法。該算法基于周期機制動態刷新區域節點網絡特征，從而能夠迅速實現對侵入行為的動態監測，具有部署簡單的特點。不過，由于該算法采取靜態策略查證攻擊行為，難以適應多態化攻擊監測場景。Kalyani 等［6］提出了一種基于分區隔離機制的移動傳感網惡意節點搜尋算法。該算法通過分區模型動態隔離嫌疑節點，能夠以較高的效率對惡意攻擊行為予以隔離，具有危害行為控制能力較強的特點。不過，由于該算法未對密集部署場景予以考慮，若處于隔離狀態的節點數目較多時將會使網絡出現嚴重抖動，降低了算法的適用性。Ashaj 等［7］提出了一種冗余報文指針機制的移動傳感網惡意節點搜尋算法。該算法通過廣播方式向節點定期插入冗余報文，使報文具有不可篡改特性，提高了惡意節點入侵成本，安全性能較強。不過，由于該算法需要對網絡中全部節點添加冗余報文，使得網絡冗余數據占比居高不下，降低了該算法對惡意節點的搜尋能力。

為此，本研究提出了基于分組特征捕獲機制的移動傳感網惡意節點搜尋算法。該算法首先基于惡意節點和正常節點聚類特征，采取周期采樣方式獲取各節點特征值，快速獲取聚類特征。隨后，按區域對候選節點予以整合，設計惡意節點搜尋規則。最后，通過NS2仿真實驗環境驗證本研究算法的性能。

1 本研究網絡模型概述

考慮到移動無線傳感網組成節點均為無線制式，存在游走性較強的特點［8］，當網絡出現抖動或遭受入侵時，各節點及Sink 節點均需要通過無線傳感天線感知相關信息，見圖1。假定移動無線傳感網節點分布在N×N的矩形區域內，針對該矩形區域內任意節點i，其坐標為(xi，yi)，當該節點有異常行為時，坐標為(x，y)的Sink 節點（不妨設標號為j）能夠通過如下規則對惡意節點i予以感知：

圖1 傳感網節點覆蓋示意圖Fig.1 Schematic diagram of sensor network node coverage

其中，P(i，j)為Sink節點的監測概率，|i，j|表示節點i和j之間的拓撲，R表示Sink節點的最大覆蓋半徑，則有

針對上述惡意節點及網絡節點覆蓋狀況，本研究對節點特征做出如下規定：

（1）按節點行為予以聚類，整個網絡中節點被分割為普通節點和外來節點2 個部分。前者為網絡初始狀態即存在的節點，后者為網絡運行過程中新加入的節點。其中，新加入的節點可分為更新節點和惡意節點，更新節點主要用來替代普通節點，惡意節點將會在網絡運行至關鍵時刻對網絡予以攻擊。

（2）沉默節點，見圖2。此類節點可通過定時攻擊、事件觸發、數據竊取對網絡進行攻擊。當前移動傳感網部署實踐中，沉默節點可以通過網絡初始化過程侵入網絡，當觸發時將啟動對網絡的攻擊過程。

圖2 節點聚類分類Fig.2 Node cluster classification

鑒于節點特征可以按照聚類方式進行分割［9］，本研究采用周期抽樣方式獲取其采樣序列：不妨設節點i為網絡中的任意節點，Sink節點的抽樣周期為T，節點i的特征值it滿足如下規則：

式（3）中，{i1，i2，…，in}分別為節點的MD5 值、初始坐標、數據報文頭等參數。

這些參數均可以通過分組報文方式予以全網廣播，若不斷增加特征值的維度可提高采樣的精確特性［10］。

由于節點i需要與Sink 節點進行周期交互，Sink節點對應的采樣序列i′t滿足

據此可構造節點i和Sink節的聚類內積R(it，i′t)，即

其中，‖ ‖表示對應的序列分量的運算，當且僅當it和i′t對應的序列分量在允許的偏差之內時的結果取1，反之取0。若積累的誤差較大時，說明節點i的行為特征也越加可疑，需要采取措施及時甄別。

2 本研究算法設計

針對上文提及的網絡模型，本研究算法由2 個部分構成：基于聚類內積機制的節點初始篩查方法和基于聚合機制的惡意節點搜尋方法。

2.1 基于聚類內積機制的節點初始篩查方法

由式（3）、（4）可知，網絡中任意節點均可以通過Sink節點抽樣獲取其采樣序列，相關采樣序列包含了節點的MD5值、初始坐標、數據報文頭等參數。首先，節點需要將自身MD5值、初始坐標、數據報文頭等參數予以解析，見圖3，隨后與Sink 節點進行交互。交互完畢Sink節點再次對節點進行抽樣，獲取抽樣序列副本。

圖3 節點特征值初始化Fig.3 Node feature value initialization

按式（3）獲取節點i的特征值為it，獲取的Sink 節點特征值為s′t，Sink 節點記錄到的抽樣聚類副本對應的特征值為s′t(i)。按如下規則構建聚類內積：

若節點i不屬于惡意節點，則必定滿足如下規則：

若節點i屬于惡意節點，則必定滿足如下規則：

考慮到抽樣誤差，某個節點對應的聚類內積可能不會嚴格等于0 或者等于1，因此構建聯合映射內積Ri，即

其中，a1和a2滿足

不妨設網絡中處于活動狀態的傳感網節點個數為m，則整個網絡的聯合矢量內積Rall滿足

若網絡聯合矢量內積取值接近于1，說明網絡中存在惡意節點，此時需要將對應的聯合映射內積Ri進行析構，取出接近于1 的相關內積，然后將對應的節點i設置為疑似惡意節點。

2.2 基于聚合機制的惡意節點搜尋方法

通過式（14）可以以較快的速度篩選出疑似節點，不過當網絡規模較大時可能會導致較多數量的節點被選定為疑似節點，進而使網絡傳輸性能出現下降現象［11］。為降低網絡癱瘓概率，本研究構建了基于聚合機制的惡意節點搜尋方法，考慮到傳感網在實際部署中往往采取分區的方式，不同分區內部的節點特征參數（MD5 值、初始坐標、數據報文頭等參數）區別很大，如圖4 所示，本研究算法以分區為單位，按如下步驟對全部節點進行聚類聚合。

圖4 聚類聚合機制Fig.4 Cluster aggregation mechanism

Step 1 ：按式（14）構造疑似惡意節點集合為o；

Step 2 ：按分區為單位，遞歸獲取各節點特征值密度T(α)，即

其中，T為節點α與Sink 節點之間的拓撲距離，R為分區最大半徑。

Step 3：獲取集合o的平均密度ρ，即

Step 4 ：根據式（16）并結合式（17）對集合o中各節點逐項計算密度，當某節點不滿足式（18）時，將被剔除出集合o。

通過聚類聚合機制能夠迅速計算獲取的節點特征值密度，結合平均密度比較，能夠迅速更新疑似節點集合，從而達到以較高的效率甄別惡意節點的目的，提高網絡對惡意節點的識別能力。

3 仿真實驗與分析

采用NS2 仿真實驗平臺驗證本研究算法相關性能，設置文獻［12］所述的雙因子探測算法和文獻［13］所述的塊探測算法作為對照組，進行比較。網絡部署區域為矩形區域，規格為5 120 m×5 120 m；節點布設方式采用隨機布撒模型，其中惡意節點個數不低于20個，網絡分區數量不高于128 個；單節點傳輸速率不低于1 Mbit/s，用以模擬超帶寬傳輸環境；節點制式為LTE 節點，信道制式采用萊斯信道，數據監測粒度為1 min。相關仿真參數如表1所示。

表1 基本仿真參數表Tab. 1 Basic simulation parameters table

實驗開始后，節點部署過程均采用分區方式：節點制式為LTE節點，節點特征值取MD5值、初始坐標、數據報文頭、數據路由鏈路、鏈路抖動率5 個參數。這5 個參數均通過NS2 相關函數進行周期提取，以模擬Sink節點采樣和采樣副本的初始化過程。惡意節點采用NS2 隨機函數動態生成，若Sink 節點檢測到相關函數出現異常，則判斷某節點為疑似惡意節點，再進一步分析。

3.1 惡意節點檢出率

圖5 為本研究算法和文獻［12］算法及文獻［13］算法在惡意節點檢出率方面的仿真測試結果。由圖5 可知，本研究算法具有惡意節點檢出率較高的特點，惡意節點捕獲性能卓越。這是由于本研究算法在精確設計節點聚類的基礎上，能夠進一步按照多種參數對惡意節點予以鑒權，因而能夠及時捕獲處于潛伏狀態的惡意節點，惡意節點檢出率較高。文獻［12］算法雖然能夠通過網絡編碼和數據編碼2 種因子對網絡節點予以簡單化，不過由于該算法未考慮到沉默節點相關特征，惡意節點沉默現象發生概率要高于本研究算法，因而惡意節點檢出率較低。文獻［13］主要按照分區方式對網絡節點予以塊挖掘處理，存在特征匹配不夠的情況，降低了惡意節點檢出概率，因此該算法還需要進一步改善以匹配惡意節點特征。

圖5 惡意節點檢出率Fig.5 Malicious node detection rate

3.2 惡意節點檢出頻次

圖6 為本研究算法和文獻［12］算法及文獻［13］算法在惡意節點檢出頻次方面的仿真測試結果。顯然，本研究算法具有惡意節點檢出頻次較高的特點，這是由于本研究算法考慮到沉默節點具有隱蔽性和流量突發特性，設計了基于多參數的聚類內積方式，能夠以較快的速度實現對惡意節點精確遞歸聚類，因而惡意節點檢出效果較好。文獻［12］算法在沉默節點處理問題上考慮不足，在查證過程中對存量沉默節點未予以精確識別，因而惡意節點檢出效果要劣于本研究算法。文獻［13］所采取的塊挖掘方式僅能按區域監測出惡意節點存在性，進一步挖掘惡意節點亦導致網絡出現嚴重抖動，降低了算法性能，進而使得惡意節點檢出效果較差。

圖6 惡意節點檢出頻次Fig.6 Malicious node detection frequency

4 結 語

為解決當前移動傳感網難以精確捕獲惡意節點，且對惡意攻擊行為評估能力較為薄弱等不足，本研究提出了一種基于分組特征捕獲機制的移動傳感網惡意節點搜尋算法。該算法主要通過基于聚類內積機制的節點初始篩查方法和基于聚合機制的惡意節點搜尋方法提高對惡意節點的感知能力，從而達到較好的網絡安全防御性能。

下一步，本研究算法擬引入區塊鏈加密算法，針對存量和增量節點均進行鑒權處理，以進一步提高算法部署效果，促進本研究算法在實踐中得到更為廣泛的部署應用。