楊芳+郭宏剛

摘 要： 無線傳感網(wǎng)絡內部節(jié)點攻擊無法通過防御技術進行控制，對網(wǎng)絡安全造成了極大的威脅。因此，設計并實現(xiàn)基于Web遠程管理的網(wǎng)絡入侵反追蹤節(jié)點最優(yōu)路徑推演平臺，對網(wǎng)絡入侵反追蹤節(jié)點進行準確檢測，確保網(wǎng)絡的安全性。該平臺由核心控制模塊、數(shù)據(jù)庫模塊以及檢測模塊構成。檢測模塊按照網(wǎng)絡協(xié)議對接收的數(shù)據(jù)包進行分流操作、均衡網(wǎng)絡負載。采用依據(jù)Libpcap庫的通用數(shù)據(jù)捕獲方法，采集網(wǎng)絡中的原始數(shù)據(jù)，再依據(jù)規(guī)則模式匹配的規(guī)則檢測模塊，通過入侵事件描述語言，對規(guī)則庫進行匹配，獲取網(wǎng)絡入侵節(jié)點，若入侵節(jié)點的信任值低于閾值，則為入侵反追蹤節(jié)點。實驗結果表明，所設計平臺具有較低的誤檢率、較高的檢測率以及較低的資源使用量，安全性能和空間性能較強。

關鍵詞： 網(wǎng)絡入侵； 追蹤節(jié)點； 最優(yōu)路徑； 推演平臺

中圖分類號： TN926?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2016）22?0014?04

0 引 言

無線傳感網(wǎng)絡技術在軍事、醫(yī)療、工業(yè)等領域具有重要的應用價值。這些領域對網(wǎng)絡安全具有嚴格的要求[1?3]，無線傳感網(wǎng)絡面臨的攻擊主要有外部節(jié)點攻擊以及內部節(jié)點攻擊。通過防御技術可阻止外部攻擊對網(wǎng)絡造成損害，但是內部節(jié)點攻擊卻無法通過防御技術進行控制。因此，需要設計有效網(wǎng)絡入侵反追蹤節(jié)點檢測方法，為網(wǎng)絡管理人員提供可靠的管理依據(jù)，確保網(wǎng)絡的安全性[4?6]。

當前對無線傳感網(wǎng)絡入侵檢測方法較多。文獻[6]提出的紅外熱釋電傳感器網(wǎng)絡的動態(tài)定位技術，依據(jù)紅外熱釋電原理，檢測網(wǎng)絡傳感器的運行狀態(tài)，獲取故障傳感器節(jié)點，但是該方法的安裝成本高，對傳感器的質量要求較高，存在一定的局限性。文獻[7]依據(jù)博弈論的入侵檢測方法，通過循環(huán)博弈論模型對網(wǎng)絡入侵進行檢測，阻止網(wǎng)絡發(fā)生丟包攻擊現(xiàn)象，但該方法的檢測效率較低，需要消耗大量的資源。文獻[8]分析了依據(jù)支持向量機的網(wǎng)絡入侵節(jié)點檢測平臺，但是該方法缺乏靈活性和擴展性，運行周期較高。文獻[9]依據(jù)流量檢測和統(tǒng)計學原理，提出了網(wǎng)絡入侵節(jié)點最佳路徑檢測平臺，但是其主要對特定網(wǎng)絡入侵節(jié)點進行檢測，存在較大的局限性。文獻[10]分析了依據(jù)通用處理器開發(fā)的網(wǎng)絡入侵節(jié)點最佳路徑檢測平臺，但是該檢測平臺的處理性能和速度較低，開發(fā)成本高。針對上述分析的相關問題，設計并實現(xiàn)基于Web遠程管理的網(wǎng)絡入侵反追蹤節(jié)點最優(yōu)路徑推演平臺，對網(wǎng)絡入侵節(jié)點進行準確檢測，確保網(wǎng)絡的安全性。該平臺由核心控制模塊、數(shù)據(jù)庫模塊以及檢測模塊構成。實驗結果說明，所設計平臺具有較低的誤檢率、較高的檢測率以及較低的資源使用量，安全性能和空間性能較強。

1 網(wǎng)絡入侵反追蹤節(jié)點最優(yōu)路徑推演平臺的設計

1.1 推演平臺總體結構設計

為了提高網(wǎng)絡入侵反追蹤節(jié)點的檢測質量，設計并實現(xiàn)了一個基于Web遠程管理的網(wǎng)絡入侵反追蹤節(jié)點最優(yōu)路徑推演平臺，其體系結構如圖1所示，從圖1中可以看出，該推演平臺由核心控制模塊、數(shù)據(jù)庫模塊以及檢測模塊構成。核心控制模塊是基于Web瀏覽器運行的，可支持遠程訪問處理，能夠管理不同的瀏覽器，是系統(tǒng)同用戶交互的窗口。數(shù)據(jù)庫模塊從入侵反追蹤節(jié)點最優(yōu)路徑推演平臺中獲取報警數(shù)據(jù)，將數(shù)據(jù)存儲到日志數(shù)據(jù)庫中，為用戶進行復雜檢索提供服務。檢測模塊基于網(wǎng)絡協(xié)議對接收的數(shù)據(jù)包進行分流操作，均衡網(wǎng)絡負載，完成網(wǎng)絡入侵反追蹤節(jié)點的檢測。

1.2 檢測模塊的內部邏輯結構組成和流程設計

從圖1中可以看出，檢測模塊層是總體推演平臺的關鍵部分。網(wǎng)絡入侵的種類具有多樣性，使得規(guī)則庫中的規(guī)則數(shù)量快速增加，若采用所有規(guī)則庫同獲取的數(shù)據(jù)包進行匹配，將導致接收數(shù)據(jù)包緩存中的大量數(shù)據(jù)包未經(jīng)處理就被后續(xù)數(shù)據(jù)包覆蓋，使得推演平臺對入侵節(jié)點產生漏報問題。因此，在網(wǎng)絡入侵反追蹤節(jié)點最優(yōu)路徑推演平臺中，使用檢測模塊按照網(wǎng)絡協(xié)議對接收的數(shù)據(jù)包進行分流操作，實現(xiàn)均衡網(wǎng)絡負載的目標。檢測模塊的內部邏輯結構組成和流程設計內容，如圖2所示。

分析圖2可知，檢測模塊依據(jù)網(wǎng)絡協(xié)議對接收的數(shù)據(jù)包進行分流操作，檢測網(wǎng)絡入侵反追蹤節(jié)點的過程為：

（1） 數(shù)據(jù)包捕獲模塊采集網(wǎng)絡中全部的數(shù)據(jù)包。

（2） 協(xié)議解析模塊采集數(shù)據(jù)包中反饋的網(wǎng)絡數(shù)據(jù)包，再依據(jù)相應的協(xié)議完成數(shù)據(jù)包的解析。

（3） 規(guī)則庫中存儲網(wǎng)絡入侵存放入侵行為的特征，規(guī)則依據(jù)協(xié)議類型存儲成不同名稱的文件，將與相同協(xié)議相關的入侵特征寫入相同類入侵規(guī)則，并保存在相同的文件中。

（4） 規(guī)則解析模塊從規(guī)則庫中采集規(guī)則，并進行解析，再將解析后的數(shù)據(jù)反饋給入侵檢測模塊。

（5） 入侵檢測模塊將通過協(xié)議解析模塊解析的網(wǎng)絡數(shù)據(jù)包以及通過規(guī)則解析模塊獲取的規(guī)則信息進行對比，檢測網(wǎng)絡是否存在入侵節(jié)點，并且運算入侵節(jié)點的信任值，若低于設置閾值，則說明其是入侵反追蹤節(jié)點，否則為入侵節(jié)點。

（6） 日志數(shù)據(jù)庫接口模塊，將獲取的數(shù)據(jù)包存儲到日志數(shù)據(jù)庫中，為核心控制模塊提供分析依據(jù)。

1.3 數(shù)據(jù)包捕獲模塊的設計

Libpcap是一個分組捕獲函數(shù)庫，可采集無線網(wǎng)絡數(shù)據(jù)鏈路層中的信息。網(wǎng)絡入侵反追蹤節(jié)點路徑推演平臺中的數(shù)據(jù)包捕獲模塊，采用依據(jù)Libpcap庫的通用數(shù)據(jù)捕獲方法，采集網(wǎng)絡中的原始數(shù)據(jù)，為網(wǎng)絡入侵節(jié)點檢測提供分析依據(jù)。該方法通過用戶層同網(wǎng)絡接口的直接交互，無需在內存中多次拷貝數(shù)據(jù)包，減少數(shù)據(jù)包的行走路徑，降低平臺的耗能量，提高網(wǎng)絡入侵節(jié)點檢測的效率。從圖3所示的網(wǎng)絡數(shù)據(jù)捕獲模塊的內部邏輯組成和設計內容中可以看出，網(wǎng)絡數(shù)據(jù)包從網(wǎng)絡設備存儲到系統(tǒng)內核的KemelBuffer中，再通過硬件中斷存儲到緩沖隊列的SKBuffer內，也就是每到達一個數(shù)據(jù)包，則通過一個硬件中斷將數(shù)據(jù)包傳輸?shù)絻群酥小?/p>

當應用程序想從網(wǎng)絡中獲取數(shù)據(jù)報文的過程中，需要通過KemelBuffer和SKBuffer兩個緩存區(qū)以及TCP/IP協(xié)議棧進行分析。通過硬中斷處理獲取KemelBuffer中的數(shù)據(jù)信息，軟中斷從SKBuffer中采集數(shù)據(jù)報文，并驅動報文處理器獲取數(shù)據(jù)包的報文信息。通過TCP/IP協(xié)議棧采集報文信息中的地址信息，判斷數(shù)據(jù)包是否為最終數(shù)據(jù)包。若不是最終數(shù)據(jù)包，則依據(jù)Libpcap庫的網(wǎng)絡入侵節(jié)點最優(yōu)路徑推演平臺的數(shù)據(jù)捕獲模塊，通過調用Libpcap的Pcap_loop（）而調用Pcap_read（），從內核中采集數(shù)據(jù)包。Pcap_read（）通過Recv_from（）系統(tǒng)每次從內核中取一個數(shù)據(jù)包。若內核中不存在數(shù)據(jù)包Recv_from（），系統(tǒng)調用則終止Pcap_read進程運行，直至Data_ready通知進程有數(shù)據(jù)包到達后再繼續(xù)工作。最終通過應用程序通過系統(tǒng)調用，將數(shù)據(jù)報文讀到用戶態(tài)。

1.4 通過規(guī)則模式匹配的反追蹤節(jié)點判斷軟件流程

完成網(wǎng)絡數(shù)據(jù)包的采集后，則需要依據(jù)規(guī)則模式匹配的規(guī)則檢測模塊，依據(jù)規(guī)則解析模塊，通過入侵事件描述語言，對規(guī)則庫進行匹配，檢測網(wǎng)絡中是否存在入侵反追蹤節(jié)點。將網(wǎng)絡入侵反追蹤節(jié)點最優(yōu)路徑推演平臺中的全部攻擊描述成入侵規(guī)則，并存儲在入侵特征數(shù)據(jù)庫中。若當前的數(shù)據(jù)包內，存在同規(guī)則庫中某種特征匹配，則說明存在某種入侵行為，是入侵節(jié)點；若檢索完全部的規(guī)則都未實現(xiàn)匹配，則說明數(shù)據(jù)報文中不存在入侵攻擊行為，不是入侵節(jié)點。此時，再依據(jù)入侵節(jié)點信任值，分析節(jié)點是否為入侵反追蹤節(jié)點，得到入侵反追蹤節(jié)點的最優(yōu)路徑。因為Beta分布可以方便描述網(wǎng)絡節(jié)點的信譽分布，并且可以獲取節(jié)點的信任值也就是信譽分布的統(tǒng)計期望。若在t時刻，通過馬氏距離判斷法分析入侵節(jié)點是否具備正常的行為，用[Si（t）]表示t時刻節(jié)點i的信任屬性在正常范圍內的次數(shù)，用[Li（t）]表示t時刻節(jié)點i的信任屬性不在正常范圍內，同時依據(jù)Beta分布的定位，能夠獲取簇頭節(jié)點對節(jié)點信任值的運算公式為：

采用式（1）運算網(wǎng)絡入侵節(jié)點的信任值，若低于設置的閾值，則說明為入侵反追蹤節(jié)點，否則為入侵節(jié)點。并依據(jù)規(guī)則對應的行為對入侵反追蹤節(jié)點進行操作，如傳遞警告等。規(guī)則檢測模塊的流程設計內容，如圖4所示。從圖4中可以看出詳細的入侵反追蹤節(jié)點檢測過程為：

（1） 系統(tǒng)初始化時，將制定規(guī)則文件中的規(guī)則讀入內存中；

（2） 捕獲數(shù)據(jù)包，解析數(shù)據(jù)包，把每個數(shù)據(jù)包的協(xié)議變量全部解析出來；

（3） 對內存中的一條規(guī)則進行匹配。若規(guī)則匹配成功，則調用相應的響應程序，再運行步驟，不成功則繼續(xù)下一步驟；

（4） 匹配下一條規(guī)則，直至全部規(guī)則都匹配完成，若下一條規(guī)則不存在，則說明報文正常，再運行步驟；

（5） 運算節(jié)點信任值，若值高于設定的閾值，則說明是正常節(jié)點；否則，說明是入侵反追蹤節(jié)點。

2 實驗分析

通過仿真實驗驗證本文方法的有效性。實驗采用的模擬仿真工具為OMNeT++ 4.3.1軟件，將LEACH當成無線網(wǎng)絡的路由協(xié)議，采用DoS攻擊和Sinkhole攻擊。仿真過程中每次任意選擇一種類型的攻擊節(jié)點，選擇的攻擊節(jié)點數(shù)目分別為2，4，6，8，10，12，14，18，20，22，每一個數(shù)目都單獨運行10次仿真，取均值。其中的DoS攻擊行為是通過入侵節(jié)點持續(xù)傳遞報文，Sinkhole攻擊行為是通過入侵節(jié)點吸引其他節(jié)點向其傳遞數(shù)據(jù)，同時過濾這些數(shù)據(jù)。

2.1 入侵反追蹤節(jié)點檢測結果

本文推演平臺獲取的實驗網(wǎng)絡入侵反追蹤節(jié)點路徑檢測結果，如圖5所示。分析圖5可得，正常節(jié)點的信任值不斷向1靠近，而入侵反追蹤節(jié)點的信任值不斷向0靠近?？梢钥闯觯疚脑O計的推演平臺可有效地獲取網(wǎng)絡入侵反追蹤節(jié)點的路徑。

2.2 安全性能分析

實驗采用檢測率和誤檢率分析本文網(wǎng)絡入侵反追蹤節(jié)點最優(yōu)路徑推演平臺的安全性能。檢測率是指被檢測出的入侵反追蹤節(jié)點在總體網(wǎng)絡入侵反追蹤節(jié)點中所占的比例；誤檢率是指被誤檢的入侵反追蹤節(jié)點在總被檢測節(jié)點中所占的比例。實驗對本文方法和支持向量機方法的結果進行分析，結果如圖6和圖7所示。

分析圖6所示的三種檢測方法的檢測率可得，隨著入侵節(jié)點的不斷增加，兩種方法的檢測率都降低，但是支持向量機方法因為考慮的因素較少，在入侵節(jié)點數(shù)量較多的情況下，其檢測率出現(xiàn)大幅下降趨勢，而本文檢測方法，始終具有較高的檢測率。從圖7中本文檢測方法同支持向量機方法的誤檢率仿真結果可以看出，隨著入侵節(jié)點數(shù)量的不斷增加，兩種方法的誤檢率都不斷提高，但是本文方法的誤檢率最低，檢測性能優(yōu)于支持向量機方法。

2.3 空間性能對比

實驗分別檢測基于支持向量機方法和本文方法占用的空間，結果如圖8所示。由圖8可以看出，本文方法占用的內存空間低于支持向量機方法，說明本文方法消耗能量低，空間性能較強。

因此，綜合分析上述實驗結果可得，本文方案具有較低的誤檢率、較高的檢測率以及較低的資源使用量，具有較高的安全性能和空間性能，是一種高質量的網(wǎng)絡入侵反追蹤節(jié)點最優(yōu)路徑推演平臺。

3 結 論

本文設計并實現(xiàn)了一個基于Web遠程管理的網(wǎng)絡入侵反追蹤節(jié)點最優(yōu)路徑推演平臺，對網(wǎng)絡入侵反追蹤節(jié)點進行準確檢測，確保網(wǎng)絡的安全性。該平臺由核心控制模塊、數(shù)據(jù)庫模塊以及檢測模塊構成。檢測模塊按照網(wǎng)絡協(xié)議對接收的數(shù)據(jù)包進行分流操作，實現(xiàn)均衡網(wǎng)絡負載。采用依據(jù)Libpcap庫的通用數(shù)據(jù)捕獲方法，采集網(wǎng)絡中的原始數(shù)據(jù)，再依據(jù)規(guī)則模式匹配的規(guī)則檢測模塊，通過入侵事件描述語言，對規(guī)則庫進行匹配，獲取網(wǎng)絡入侵節(jié)點。若入侵節(jié)點的信任值低于閾值，則為入侵反追蹤節(jié)點。實驗結果說明，所設計平臺具有較低的誤檢率、較高的檢測率以及較低的資源使用量，安全性能和空間性能較強。

注：本文通訊作者為郭宏剛。

參考文獻

[1] 吳悅，翁小蘭.大規(guī)模網(wǎng)絡入侵中未損壞節(jié)點定位分析[J].計算機仿真，2015，32（10）：301?304.

[2] 陳志泊，張蕾蕾，李巨虎，等.基于入侵雜草優(yōu)化算法的無線傳感網(wǎng)節(jié)點定位[J].計算機工程與應用，2014，50（9）：77?82.

[3] 徐振華.基于稀松模糊定位算法的網(wǎng)絡入侵特征檢測[J].科技通報，2014（2）：233?235.

[4] 劉前進，楊衛(wèi)，劉云武.基于熱釋電紅外傳感器的多節(jié)點定位系統(tǒng)研究與設計[J].計算機測量與控制，2014，22（9）：2947?2948.

[5] 楊天龍.面向網(wǎng)絡入侵檢測的串匹配算法優(yōu)化[D].哈爾濱：哈爾濱工業(yè)大學，2014.

[6] 劉云武.基于紅外熱釋電傳感器網(wǎng)絡的動態(tài)定位技術研究[D].太原：中北大學，2014.

[7] 陳牮華.網(wǎng)絡入侵檢測系統(tǒng)中的傳感器研究[J].通訊世界，2015（15）：211?212.

[8] 李可.校園網(wǎng)絡安全中異常入侵快速定位方法的研究[J].網(wǎng)絡安全技術與應用，2014（3）：179?180.

[9] 王燕玲，李廣倫.WSN中一種用于邊界入侵檢測的節(jié)點部署方案[J].計算機應用與軟件，2014（5）：295?299.

[10] 佟為明，梁建權，盧雷，等.基于節(jié)點信任值的WSNs入侵檢測方案[J].系統(tǒng)工程與電子技術，2015，37（7）：1644?1649.