基于關聯圖的干擾檢測算法

,,,

(1.解放軍理工大學 通信工程學院,南京 210007; 2.南京電訊技術研究所,南京 210007)

0 概述

無線自組織網絡是由一組帶有無線收發裝置的節點組成的無線通信網絡,它不依賴預設的基礎設施就能實現靈活動態組網,具有臨時、按需、自主等特性。當前,無線自組織網絡以其獨有的特性被廣泛應用于軍事通信、應急通信、可穿戴設備、醫療監護、車載通信、農業生產等多個領域[1],但無線媒介的開放性特點使得節點在通信過程中極易遭受蓄意干擾攻擊。為了消除干擾攻擊的影響,必須采取有效的抗干擾手段,而及時準確地進行干擾攻擊檢測是采取抗干擾手段的必要前提。因此,干擾攻擊檢測是否及時、準確對于維護網絡性能至關重要。

干擾攻擊檢測是指利用觀察或搜集到的節點級、鏈路級、網絡級現象,通過數據處理及分析,采用對比報文投遞率等方法,檢測干擾攻擊是否存在以及其類型[2-3]。當前,從干擾攻擊針對的目標、干擾攻擊采取的干擾策略等角度[4],國內外研究者已經提出了多種干擾攻擊檢測方法,例如基于物理層信息的方法、基于鏈路層信息的方法、基于網絡層信息的方法和基于多層信息的方法等。這些方法在設定環境中可以有效地檢測出特定的干擾攻擊模式,但是普遍存在檢測范圍小以及實施干擾攻擊檢測需要依賴多個節點的問題。

本文針對現有方法的不足,提出基于關聯圖的干擾攻擊檢測方法。該檢測算法主要分為學習和檢測2個階段。學習階段主要通過學習無干擾和多種干擾場景下的樣本建立現象-攻擊關聯圖;檢測階段根據搜集到的現象判斷導致其出現的原因,并對診斷出的原因進行匹配度判斷,只有達到預設要求才能將其作為檢測結果,否則認為檢測失敗。

1 干擾檢測

干擾攻擊是一種通過占用通信信道或者破壞通信協議等方式,使信道不能進行正常數據傳輸或轉發的拒絕服務攻擊[2,5-6]。根據干擾攻擊方式的不同,可以將干擾源分為4種[7]:

1)持續干擾源(Constant Jammer),指持續不斷發射高功率隨機無意義比特信號的干擾源。該類干擾源信號產生過程中不遵守任何MAC協議。

2)隨機干擾源(Random Jammer),指在睡眠模式和干擾模式之間隨機切換狀態的干擾源。處于睡眠模式時,干擾源關閉射頻模塊;處于干擾模式時,干擾源發射合法報文以破壞網絡正常傳輸。

3)按需干擾源(Reactive Jammer),指在網絡中當有數據傳輸時才發起干擾攻擊的干擾源。如果信道處于空閑狀態,該干擾源保持靜默并持續偵聽信道。一旦偵聽到有數據開始傳輸,該干擾源即發射有意義的報文,使得網絡中的數據在接收端無法通過校驗。

4)欺騙干擾源(Deceptive Jammer),指持續發射合法報文的干擾源。由于該干擾源持續發送報文,導致網絡中的其他節點始終認為信道忙而推遲發送報文甚至丟棄報文。

在上述4種干擾攻擊中,以持續干擾和按需干擾最具代表性,本文主要針對這2類干擾進行檢測和識別。

基于物理層信息的干擾檢測主要通過搜集物理層上的相關測度檢測干擾攻擊?；诮邮招盘枏姸鹊母蓴_檢測[8]通過比較接收到的信號強度來檢測干擾攻擊,一種通過平均信號強度或信號總能量檢測干擾,如果當前接收信號強度大于無干擾時的信號強度,就表明存在干擾攻擊;另一種利用信號強度的頻譜差分檢測干擾,通過比較無干擾時的信號強度頻譜與干擾導致的信號強度頻譜異常來檢測干擾?；诮邮招盘枏姸鹊母蓴_檢測方法雖然能夠檢測出持續干擾,但無法檢測出按需干擾?；诟蓴_信號脈沖時長的干擾攻擊檢測方法[9],通過對比信號強度異常時長與報文中每個符號傳輸時長來實現干擾檢測并判斷相應干擾類型。持續干擾引起的信號強度異常時長為整個檢測時長,按需干擾引起的信號強度異常時長與破壞報文中一個符號的最小時長相當,依據以上信息可以實現干擾類型的判斷。但該方法的缺點在于判斷信號強度異常的門限難以確定,以及其有效性缺乏實驗驗證。文獻[10]根據干擾造成比特錯誤時該比特信號強度大于無干擾時該比特信號強度的特點實現干擾檢測。該方法的缺點在于搜集受干擾發生錯誤的比特其對應無干擾時的信號強度時,需要節點之間實現有線連接,這在無線網絡通信場景中是難以實現的。

基于鏈路層信息的干擾攻擊檢測方法,主要依據鏈路層上的相關測度檢測干擾攻擊?；趫笪耐哆f率(Packet Delivery Ratio,PDR)的干擾檢測[5]根據PDR的變化來檢測干擾攻擊。PDR指接收報文數量與發送報文數量的比值。由于網絡高度擁塞時PDR依然能夠達到78%以上,而干擾攻擊會使得PDR銳減,因此如果某時刻PDR與擁塞時PDR值相差較大,就可以判斷干擾存在。文獻[8]根據干擾源持續占用信道會導致其他節點的載波偵聽時間顯著增加的特點,通過設定閾值以區分干擾是否存在,進而達到檢測目的,但該方法只能檢測出持續干擾而無法檢測出按需干擾。

基于網絡層信息的干擾攻擊檢測方法,主要利用網絡層上的相關測度檢測干擾攻擊?；诘凸β侍綔y的干擾檢測[11],通過廣播低于正常功率值的探測報文來檢測空閑信道評估(Clear Channel Assessment,CCA)攻擊。由于干擾源提高了自身CCA閾值而占用更多帶寬,因此不會回復低于正常信號強度的報文。接入點向各個節點發送低于正常功率值的探測報文,如果存在不回復報文的節點,就表明干擾攻擊存在。文獻[12]依據這一特點實現干擾檢測。

基于多層信息的干擾攻擊檢測方法,依據多層搜集的測度檢測干擾攻擊。如一致性干擾檢測[8],該檢測方法在PDR測度的基礎上,加入了節點位置和接收信號強度2種測度進行干擾檢測。在非干擾情況下,如果PDR值較低,對應的信號強度應該較低,或者節點間距離應該較遠。因此,在依據PDR進行初步檢測后,排除接收信號強度較小和節點間距離較大的誤判因素,可以進一步提高檢測的準確性。文獻[13]提出了利用機器學習的方法搜集多種測度在有干擾和無干擾時的值,確定各測度的檢測門限,利用干擾檢測門限實現干擾檢測。該方法的缺點在于算法復雜度較高,且搜集多種測度花費的時間較長。

2 基于關聯圖的干擾檢測

2.1 干擾攻擊與網絡現象

干擾攻擊造成的網絡性能下降會導致各類網絡現象的發生。根據不同干擾攻擊對網絡造成的不同影響,可以得到如圖1所示的現象-攻擊關聯圖。

圖1 現象-攻擊關聯圖

依據現象-攻擊關聯圖,在無干擾場景中搜集到的相關現象會以較大的概率推斷為不存在干擾,而干擾場景下搜集到的現象會以較大概率推斷出存在干擾?？紤]到不同的干擾攻擊所導致的網絡現象存在差別,可以對現象進行劃分從而推斷出干擾攻擊的具體類型?；诖?本文提出了基于現象-攻擊關聯圖的干擾檢測算法,算法流程如圖2所示。

圖2 基于現象-攻擊關聯圖的檢測算法流程

對搜集到的現象進行原因診斷,判斷診斷結果是否符合要求,如果符合要求,則將診斷結果作為檢測結果輸出;否則,需要搜集更多的現象重新診斷,直至診斷結果符合要求。

2.2 檢測算法設計

根據不同干擾攻擊導致的網絡現象存在一定的差別,本文提出了基于關聯圖的干擾攻擊檢測算法。該算法分為學習和檢測2個階段。

2.2.1 學習階段

網絡中各節點依據學習某種測度的樣本而劃分出基于該測度的多個現象,從而構建現象-攻擊關聯圖。各節點的學習樣本僅針對該節點自身,因此,不同節點的學習樣本是不完全一致的。

以測度PDR為例,各節點搜集到的學習樣本,包含在無干擾和各類干擾攻擊場景下該節點所測得的PDR數值中。節點在無干擾和受持續干擾、隨機干擾、按需干擾攻擊場景下搜集的PDR數據分別用集合φn(PDR)、φc(PDR)、φra(PDR)、φre(PDR)表示。依據各場景下搜集到的不同數據集合對PDR現象進行細分,得到PDR數值為不同范圍的多個細分現象。本文以φc(PDR)和φra(PDR)區間為例具體描述細分現象的方法。首先選取現象分界點,根據所得到的分界點劃分出各個細分現象。區間的不同位置關系如下:

1)φc(PDR)和φra(PDR)不重疊。如圖3所示,選取b和c的中點α1作為現象分界點,細分出現象m1(0

圖3 φc(PDR)和φra(PDR)不重疊的情況

圖4 φc(PDR)和φra(PDR)為包含關系的情況

圖5 φc(PDR)和φra(PDR)重疊但非包含關系的情況

將持續干擾、隨機干擾、按需干擾和無干擾分別定義為攻擊a1、a2、a3和a4,計算各干擾對各個細分現象的先驗概率,具體計算公式如下:

(1)

其中,K(aj)表示干擾aj中元素的個數,K(mi|aj)表示aj中在現象mi區間內的元素個數。

至此,就完成了現象-攻擊關聯圖的建立。同理,也可以添加基于其他測度細分出的現象以及其他干擾,建立更完善的現象-攻擊關聯圖。

2.2.2 檢測階段

如果現象mi和攻擊aj之間的先驗概率不為0,則表示攻擊aj能夠解釋現象mi的發生。對于觀察到的現象集合MO,采用貢獻度表示攻擊對MO發生的貢獻程度,選擇貢獻度最大的攻擊作為檢測結果。然后,使用匹配度來判斷檢測結果的可信程度。在出現多種攻擊貢獻度相同的情況時,將匹配度最大的攻擊作為檢測結果。最后,將達到匹配度門限的攻擊作為最終檢測結果。下面具體說明貢獻度和匹配度的計算方法。

1)貢獻度

(1)后驗概率計算。先驗概率P(mi|aj)表示干擾攻擊aj導致mi出現的概率,而后驗概率則表示根據現象mi判斷其是由原因aj導致的概率。用μ(aj|mi)表示現象與所關聯攻擊的后驗概率,其計算方法如下:

(2)

其中,P(aj)表示aj發生的概率,P(mi|aj)表示aj導致mi出現的概率,A(mi)表示與mi關聯的原因集合。

例如,3種攻擊a1、a2和a3導致現象m1出現的概率分別為0.1、0.2和0.3,則在受到3種干擾攻擊的概率相同時,只有a1導致現象m1出現的后驗概率為:

(2)貢獻度計算。貢獻度主要用來描述某種攻擊導致的現象中被觀察到的比例。如果越多地觀察到某攻擊導致的現象,則表示造成此現象的原因是該攻擊的可能性就越大。用C(MO|aj)表示aj對MO的貢獻度,其計算方法如下:

(3)

其中,M(aj)表示與aj關聯的現象集合,MO(aj)表示M(aj)中被觀察到的現象集合。

2)匹配度

匹配度主要從干擾攻擊的角度判斷現象出現的可信程度。匹配度越高,表明該干擾攻擊導致這些現象發生的準確度越高。采用MD(MO|aj)表示aj導致MO發生的準確程度。匹配度具體計算公式如下:

(4)

其中,λ(mi)表示現象mi的權值。

這里舉例說明設置權重的意義。在對無干擾、持續干擾、隨機干擾、按需干擾4種場景下搜集到的PDR數據集合按照起始端點由小到大的順序兩兩逐對比較時,如果出現2次比較區間沒有重疊,則基于PDR細分出的現象的權值為2。這樣,得到基于PDR、報文發送率(Packet Send Ratio,PSR)和節點的信噪比(Signal-Noise Ratio,SNR)現象的權值分別為3、1和1,表明該節點的PDR對不同干擾的敏感性比其他測度高,因此,增大基于PDR現象的權值有助于區分不同的干擾攻擊。

表1 觀察到的現象與診斷的攻擊類型

2.3 檢測算法描述

基于關聯圖的檢測算法的偽代碼如下所示:

算法基于關聯圖的干擾檢測

輸入學習樣本、檢測樣本、匹配度門限τ

輸出aout(-1表示無法檢測,0表示無干擾,1表示持續干擾,2表示隨機干擾,3表示按需干擾)

2.for 攻擊aj

3. 計算攻擊aj所關聯的現象中被觀察的現象集合MO(aj)和貢獻度C(MO|aj)

4.end for

5.if 存在最大的集合MO(aj)

6. 選取aj作為診斷攻擊aout

7. else

8. 選取MO(aj)現象中貢獻度最大的干擾類型作為診斷結果aout

9. end if

10.if MD(MO|aout)>τ

11. aout作為檢測結果

12.else

13. aout=-1

14:return aout

根據學習樣本完成現象細分,并計算得到先驗概率和后驗概率,構建現象-攻擊關聯圖(第1行)。計算各攻擊關聯現象中被觀察到的現象集合MO(aj)和各攻擊對觀察到的現象的貢獻度C(MO|aj)(第2行～第3行)。優先選取能夠涵蓋所有現象的攻擊作為診斷結果,否則選取貢獻度最大的攻擊作為診斷結果(第5行～第9行)。如果診斷結果滿足匹配度標準,則該攻擊就作為檢測結果輸出;否則,無法檢測(第10行～第13行)。最后,輸出診斷結果(第14行)。

3 算法評估

3.1 場景設定

本文采用NS3仿真軟件[14]搭建典型無線自組織網絡環境。網絡部署在400 m×400 m的區域內,25個節點均勻分布在100 m×100 m的網絡柵格中,干擾源的坐標為(90,90)。通信節點和干擾源的位置分布如圖6所示,仿真設置的主要參數如表2所示。實驗中節點采用固定位置模型(節點位置固定),路由協議采用較為典型的優化鏈路狀態路由協議[15]。

圖6 節點位置分布

表2 仿真實驗參數

3.2 實驗結果與分析

3.2.1 算法性能

以節點6為例,通過學習50組樣本后得到如圖7所示的關聯圖。其中,mi表示依據PDR、PSR和SNR細分出的現象,aj表示干擾類型,具體含義見表3,先驗概率見表4。同理,可以得到其他節點的關聯圖。

圖7 節點6的關聯圖

表3 圖7中的現象和攻擊具體含義

表4 圖7中干擾-現象先驗概率

同理,節點11、節點12和節點13得到各自的關聯圖。在匹配度門限設為0.6時,得到檢測效果如圖8所示,圖中縱坐標表示準確率、誤判率和失效率數值,橫坐標表示節點。

圖8 節點檢測結果示意圖

由圖8可以看出,干擾區域內節點6受干擾攻擊影響最強,表現在其相關測度受不同干擾攻擊的影響程度能夠明顯區分,因此,該節點的檢測效果要好于其他節點。由于路由關聯使得節點間存在一定的聯系,因此干擾區域外節點11、節點12和節點13依然會受到干擾攻擊的間接影響,但區域外節點受干擾攻擊影響要小于區域內節點。節點12的檢測效果好于節點11和節點13,原因在于位于網絡中心位置的節點流量高于其他位置的節點,該位置節點的PSR相比其他節點的PSR對干擾攻擊的反應更靈敏,提高了干擾檢測精度。此外,各節點檢測結果和其細分出的現象數量也有一定聯系,表5給出了各節點基于不同測度細分出的現象數量,從中可看出,細分現象數量越少的節點,其檢測效果越好。

表5 節點基于各測度的現象數量

3.2.2 參數影響分析

匹配度門限決定了檢測結果的可靠性,匹配度越高,檢測結果就越可靠。匹配度門限對檢測結果的影響如圖9所示,其中學習樣本數量為50。

圖9 匹配度門限對算法檢測性能的影響

從圖9(a)中可以看出,各節點的檢測準確率隨著匹配度門限的增加而降低。其中,節點6的下降速度最小,因為其檢測結果的匹配度普遍較高,即使匹配度門限增加到0.7,節點6也能保持90%的檢測準確率,而通常越遠離干擾區域的節點其下降速度越大。圖9(b)給出了匹配度門限對誤判率的影響,從中可看出,隨著匹配度門限的增加,對檢測結果的可靠性要求越高,可靠性不滿足要求的檢測結果被認定為不合格,即無法給出最終判斷結果。而節點判斷錯誤的檢測結果匹配率通常都比較低,因此,隨著匹配度門限的增加,誤判的數量會有所降低,表現為誤判率的下降。圖9(c)給出了匹配度門限對失效率的影響,從中可看出,匹配度門限越高,滿足不了要求的檢測數量越多,導致失效率增加。

4 結束語

本文提出基于現象-攻擊關聯圖的干擾攻擊檢測方法。根據干擾攻擊與特定現象存在一定聯系的觀察結論,依據無干擾和有干擾環境下節點測度變化程度不一致的原則,從有干擾和無干擾場景下的樣本中獲取多種測度變化信息,建立現象-攻擊關聯圖。根據觀察到的現象,選取與現象關聯度最高的攻擊作為診斷結果,將匹配度符合標準的診斷結果作為檢測結果。最后,在仿真實驗中對檢測算法的有效性進行論證,并討論匹配度門限對檢測結果的影響。實驗結果表明,通過增加匹配度門限可以提高檢測率,但會導致誤判率提高以及失效率增加。下一步需要對現象分類算法進行優化,針對各節點的具體情況,引入人工智能學習算法合理選取各細分現象的分界點。

[1] 孫言強,王曉東,周興銘.無線網絡中的干擾攻擊[J].軟件學報,2012,34(5):1207-1221.

[2] BENSLIMANE A,NGUYEN-MINH H.Jamming attack model and detection method for beacons under multichannel operation in vehicular networks[J].IEEE Transactions on Vehicular Technology,2017,66(7):6475-6488.

[3] 王棋萍,魏祥麟,范建華,等.基于接收干擾信號強度估計的干擾源定位算法[J].軍事通信技術,2016,37(2):28-32.

[4] 趙 澤,尚鵬飛,陳海明,等.無線傳感器網絡干擾分類識別機制的研究[J].通信學報,2013,34(10):28-36.

[5] 向亦宏,朱燕民.無線傳感器網絡中高效建立干擾模型的研究[J].計算機工程,2014,40(8):1-5.

[6] WEI Xianglin,WANG Qiping,WANG Tongxiang,et al.Jammer localization in multi-hop wireless network:a comprehensive survey[J].IEEE Communications Surveys and Tutorials,2017,19(2):765-799.

[7] VADLAMANI S,EKSIOGLU B,MEDAL H,et al.Jamming attacks on wireless networks:a taxonomic survey[J].International Journal of Production Economics,2016,172:76-94.

[8] XU W,MA K,TRAPPE W,et al.Jamming sensor networks:attack and defense strategies[J].IEEE Network,2006,20(3):41-47.

[9] SUFYAN N,SAQIB N A.Detection of Jamming attacks in 802.11b wireless networks[J].EURASIP Journal on Wireless Communications and Networking,2013,2013(1):15-18.

[10] STRASSER M,DANEV B.Detection of reactive jamming in sensor networks[J].ACM Transactions on Sensor Networks,2010,7(2):26-29.

[11] PELECHRINIS K,YAN G,EIDENBENZ S,et al.Detecting selfish exploitation of carrier sensing in 802.11 net-works[C]//Proceedings of 2009 IEEE INFOCOM.Washington D.C.,USA:IEEE Press,2009:657-665.

[12] LIU D,RAYMER J,FOX A.Efficient and timely jamming detection in wireless sensor networks[C]//Proceedings of the 9th International Conference on Mobile Adhoc and Sensor Systems.Washington D.C.,USA:IEEE Press,2012:335-343.

[13] PUNAL O,AKTAS I,SCHNELKE C J,et al.Machine learning-based jamming detection for IEEE 802.11:design and experimental evaluation[C]//Proceedings of the 15th International Symposium on a World of Wireless,Mobile and Multimedia Networks.Washington D.C.,USA:IEEE Press,2014:1-10.

[14] 馬春光,姚建盛.ns-3網絡模擬器基礎與應用[M].北京:人民郵電出版社,2014.

[15] 張 可,張 偉,李 煒,等.快速移動環境中上下文感知優化鏈路狀態路由協議[J].計算機科學,2011,38(6):110-113.