桂明倩,劉宴兵,周瞭永

(重慶郵電大學(xué) 網(wǎng)絡(luò)與信息安全重慶市工程實(shí)驗(yàn)室,重慶400065)

?

WSN中基于博弈理論的入侵檢測(cè)研究

桂明倩,劉宴兵,周瞭永

(重慶郵電大學(xué) 網(wǎng)絡(luò)與信息安全重慶市工程實(shí)驗(yàn)室,重慶400065)

摘要：傳統(tǒng)的無(wú)線傳感器網(wǎng)絡(luò)(wireless sensor networks, WSN)入侵檢測(cè)研究主要關(guān)注檢測(cè)系統(tǒng)自身算法的設(shè)計(jì)與優(yōu)化，而入侵檢測(cè)系統(tǒng)在采取行動(dòng)時(shí)，本身會(huì)受到攻擊者的影響。針對(duì)這一問(wèn)題，運(yùn)用博弈理論建立了一個(gè)帶懲罰機(jī)制的博弈模型，分析了檢測(cè)系統(tǒng)與入侵者之間的攻防博弈過(guò)程。同時(shí)對(duì)入侵者施加合適的懲罰力度來(lái)遏制入侵行為。仿真結(jié)果表明，該方案可以有效檢測(cè)到無(wú)線傳感器網(wǎng)絡(luò)中存在的異常節(jié)點(diǎn)，并有效降低入侵者的攻擊頻率。

關(guān)鍵詞：無(wú)線傳感網(wǎng)；重復(fù)博弈；入侵檢測(cè)；異常節(jié)點(diǎn)

0引言

無(wú)線傳感網(wǎng)絡(luò)(wireless sensor networks, WSN)中的傳感器節(jié)點(diǎn)一般部署在條件惡劣的環(huán)境中，且節(jié)點(diǎn)具有組群化、數(shù)量龐大、移動(dòng)性低等特點(diǎn)。因此，為更好地?cái)U(kuò)大無(wú)線傳感網(wǎng)應(yīng)用，人們對(duì)通信網(wǎng)絡(luò)質(zhì)量提出了更高的要求。同時(shí)無(wú)線傳感網(wǎng)具有一些自身特點(diǎn)，和傳統(tǒng)通信網(wǎng)絡(luò)有所區(qū)別。無(wú)線傳感網(wǎng)不僅面臨現(xiàn)有通信網(wǎng)絡(luò)中所具有的安全威脅，而且面臨與其自身網(wǎng)絡(luò)特點(diǎn)相關(guān)的特殊網(wǎng)絡(luò)威脅。在無(wú)線傳感網(wǎng)中，感知節(jié)點(diǎn)的計(jì)算能力、通信范圍、能力資源、存儲(chǔ)空間均十分有限，對(duì)其進(jìn)行保護(hù)的安全機(jī)制較少，安全性也較脆弱，同時(shí)由于目前物聯(lián)網(wǎng)的標(biāo)準(zhǔn)化并未完全實(shí)現(xiàn)，所以數(shù)據(jù)傳輸協(xié)議和消息的標(biāo)準(zhǔn)也沒(méi)有統(tǒng)一，這就導(dǎo)致人們無(wú)法制定一個(gè)統(tǒng)一的安全保護(hù)體系。針對(duì)感知節(jié)點(diǎn)的這些特點(diǎn)，入侵檢測(cè)技術(shù)提供了一種有效解決無(wú)線傳感網(wǎng)絡(luò)安全問(wèn)題的方法[1]。

1相關(guān)研究

無(wú)線傳感網(wǎng)環(huán)境下入侵檢測(cè)研究是當(dāng)前物聯(lián)網(wǎng)安全研究的一個(gè)重要方向，目前已經(jīng)形成了一系列的研究方法，并取得了一定的研究成果。

文獻(xiàn)[2]提出了一種基于高斯分布的無(wú)線傳感網(wǎng)絡(luò)入侵檢測(cè)節(jié)點(diǎn)部署方案。該方案可以在不同地點(diǎn)提供不同的檢測(cè)能力，并分析了單傳感器檢測(cè)和多傳感器檢測(cè)情景下的參數(shù)和應(yīng)用要求。此外，將高斯分布的無(wú)線傳感器網(wǎng)絡(luò)的性能與均勻分布的無(wú)線傳感器網(wǎng)絡(luò)進(jìn)行了對(duì)比，得出在隨機(jī)的無(wú)線傳感網(wǎng)絡(luò)中能夠制訂合適的檢測(cè)率和選擇適當(dāng)?shù)牟渴鸩呗?，并確定關(guān)鍵的網(wǎng)絡(luò)參數(shù)。文獻(xiàn)[3]針對(duì)WSN中危害很大的誤導(dǎo)攻擊提出了一種基于簇的入侵檢測(cè)與防護(hù)技術(shù)。雖然使用該技術(shù)會(huì)導(dǎo)致網(wǎng)絡(luò)的短暫延遲，但可以極大地改善網(wǎng)絡(luò)的吞吐量。文獻(xiàn)[4]針對(duì)異構(gòu)環(huán)境中的傳感器節(jié)點(diǎn)提出了一種基于蟻群優(yōu)化技術(shù)的入侵檢測(cè)方案。該方案在特定的區(qū)域針對(duì)不同的傳感器節(jié)點(diǎn)密度可以成倍地檢測(cè)到入侵行為。在異構(gòu)環(huán)境中使用這種蟻群優(yōu)化技術(shù)可以有效提高入侵檢測(cè)率。文獻(xiàn)[5]提出了一種基于粒子濾波的入侵檢測(cè)算法。該方案將LEACH算法運(yùn)用于無(wú)線傳感網(wǎng)絡(luò)簇中的節(jié)點(diǎn)上，并使用粒子濾波算法來(lái)檢測(cè)節(jié)點(diǎn)的流量異常來(lái)發(fā)現(xiàn)異常節(jié)點(diǎn)。該算法可以將異常節(jié)點(diǎn)的檢測(cè)率維持在0.48—0.7。同時(shí)，檢測(cè)系統(tǒng)也可以維持在一個(gè)較穩(wěn)定的狀態(tài)。文獻(xiàn)[6]根據(jù)同構(gòu)和異構(gòu)2種無(wú)線傳感網(wǎng)模型來(lái)考慮入侵檢測(cè)問(wèn)題。該方案通過(guò)單傳感器檢測(cè)和多傳感器檢測(cè)2種模式來(lái)得到檢測(cè)結(jié)果。同時(shí)，能夠強(qiáng)化網(wǎng)絡(luò)的連接和廣播覆蓋能力。文獻(xiàn)[7]為了設(shè)計(jì)和分析WSN中的入侵檢測(cè)問(wèn)題，運(yùn)用不完全信息下的非零和隨機(jī)博弈理論設(shè)計(jì)了一種健壯的優(yōu)化模型。模型中的博弈參與人和博弈參數(shù)均考慮到了WSN的安全需求。均衡分析揭示了入侵者和入侵檢測(cè)系統(tǒng)之間相互沖突的目標(biāo)是如何迫使他們采取不同的立場(chǎng)。該方法可以有效降低系統(tǒng)對(duì)數(shù)據(jù)擾動(dòng)的敏感性，提高設(shè)計(jì)的穩(wěn)定性。

以上研究主要集中在對(duì)檢測(cè)系統(tǒng)自身算法的設(shè)計(jì)與優(yōu)化上。本文對(duì)網(wǎng)絡(luò)中檢測(cè)系統(tǒng)和入侵者之間的相互影響進(jìn)行深入分析和探討，并將博弈理論與入侵檢測(cè)技術(shù)相結(jié)合，提出了一種重復(fù)博弈模型，利用此模型對(duì)異常節(jié)點(diǎn)作出有效判定，根據(jù)入侵者行為的不同給予不同懲罰，有效降低了入侵者的攻擊頻率，最后通過(guò)仿真驗(yàn)證了本模型的有效性。

2博弈模型

博弈論是研究入侵檢測(cè)的重要工具[8]，本文將博弈論引入到無(wú)線傳感網(wǎng)絡(luò)的入侵檢測(cè)當(dāng)中，建立了一種重復(fù)博弈[9]模型，利用檢測(cè)系統(tǒng)與入侵者之間的重復(fù)博弈，實(shí)現(xiàn)了對(duì)入侵者的有效識(shí)別。同時(shí)使用懲罰機(jī)制對(duì)入侵行為進(jìn)行適當(dāng)懲罰，以有效遏制入侵者的入侵行為。

2.1博弈模型定義

入侵檢測(cè)博弈模型定義為

(1)

參與人：是指在一個(gè)博弈中能夠?qū)?duì)手的行為納入到自身行為選擇過(guò)程中的主體。(1)式中{Di,Ai}為參與人，即博弈雙方，檢測(cè)系統(tǒng)Di和入侵者Ai。

戰(zhàn)略空間：本文中參與人Di有監(jiān)測(cè)與不監(jiān)測(cè)2種策略，即SDi={監(jiān)測(cè)，不監(jiān)測(cè)}。同樣地SAi={攻擊，正常}，它表明了參與人做出決策時(shí)可選擇的方案。

支付函數(shù)：是指參與人行動(dòng)結(jié)束后，每個(gè)參與人可以獲得的收益。(1)式中Ui即為參與人的支付函數(shù)。

2.2博弈模型分析

在博弈模型中，針對(duì)入侵者的攻擊行為，入侵檢測(cè)系統(tǒng)何時(shí)開(kāi)啟監(jiān)測(cè)行為，以提高檢測(cè)效率，減少不必要的系統(tǒng)資源消耗，這是本模型研究的重點(diǎn)問(wèn)題。入侵檢測(cè)系統(tǒng)防御成功獲得的收益為Wd，入侵者攻擊成功獲得的收益為Wa，開(kāi)啟入侵檢測(cè)系統(tǒng)的代價(jià)為Cd，入侵者進(jìn)行入侵行為的代價(jià)為Ca，節(jié)點(diǎn)遭受攻擊時(shí)的平均損失為Ci，節(jié)點(diǎn)參與正常通信活動(dòng)的收益為Wc。博弈過(guò)程中，雙方的收益函數(shù)如表1所示。

表1　收益函數(shù)表

從表1可以看出：假定系統(tǒng)總是監(jiān)測(cè)，入侵者的最優(yōu)策略是進(jìn)行正常通信活動(dòng)；假定入侵者進(jìn)行正常通信活動(dòng)，系統(tǒng)的最優(yōu)策略是不監(jiān)測(cè)；假定系統(tǒng)選擇不監(jiān)測(cè)，入侵者的最優(yōu)策略是發(fā)動(dòng)攻擊；假定入侵者采取攻擊策略，系統(tǒng)的最優(yōu)策略是開(kāi)啟監(jiān)測(cè)。因此，以上所有策略均不構(gòu)成納什均衡，即在該模型中純策略的納什均衡不存在。

那么根據(jù)納什均衡存在性定理[10]，此博弈模型一定存在混合策略的納什均衡。不妨假設(shè)入侵者以Pa的概率發(fā)動(dòng)入侵行為，以(1-Pa)的概率進(jìn)行正常的通信活動(dòng)；檢測(cè)系統(tǒng)以Pd的概率進(jìn)行監(jiān)測(cè)，(1-Pd)的概率選擇不監(jiān)測(cè)。即入侵者的混合策略為(Pa,1-Pa)，檢測(cè)系統(tǒng)的混合策略為(Pd,1-Pd)。則檢測(cè)系統(tǒng)和入侵者的期望效用函數(shù)分別為

(2)

(3)

對(duì)(2)式，(3)式進(jìn)行化簡(jiǎn)可得

Ed=CiPdPa-PaCi-CdPd+Wd

(4)

Ea=WaPa-CaPa-WaPaPd+Wc-WcPa

(5)

對(duì)(4)式，(5)式分別求微分，可得

(6)

(7)

對(duì) (6) 式，(7) 式求解可得

入侵者的混合策略為

檢測(cè)系統(tǒng)的混合策略為

這表明，當(dāng)入侵者發(fā)動(dòng)攻擊的概率低于Cd/Ci，檢測(cè)系統(tǒng)的最優(yōu)策略是不監(jiān)測(cè)；入侵者選擇攻擊的概率高于Cd/Ci，檢測(cè)系統(tǒng)的最優(yōu)策略是監(jiān)測(cè)；入侵者發(fā)動(dòng)攻擊的概率等于Cd/Ci，檢測(cè)系統(tǒng)應(yīng)該選擇混合策略。同樣，當(dāng)檢測(cè)系統(tǒng)選擇監(jiān)測(cè)的概率低于(Wa-Ca-Wc)/Wa，入侵者的最優(yōu)策略是攻擊；若檢測(cè)系統(tǒng)選擇監(jiān)測(cè)的概率高于(Wa-Ca-Wc)/Wa，入侵者的最優(yōu)策略是進(jìn)行正常的通信活動(dòng)；當(dāng)檢測(cè)系統(tǒng)選擇監(jiān)測(cè)的概率等于(Wa-Ca-Wc)/Wa，則入侵者應(yīng)該選擇混合策略。

3異常節(jié)點(diǎn)檢測(cè)方案

本方案由4個(gè)模塊組成，如圖1所示。

圖1　異常節(jié)點(diǎn)檢測(cè)方案Fig.1　Abnormal node detection scheme

1)建立分層檢測(cè)體系[11]。本方案采用目前入侵檢測(cè)體系中最常見(jiàn)的分層檢測(cè)體系，先將入侵檢測(cè)系統(tǒng)中的節(jié)點(diǎn)按功能進(jìn)行層次劃分，以便建立穩(wěn)定的數(shù)據(jù)傳輸路由。底層節(jié)點(diǎn)負(fù)責(zé)數(shù)據(jù)感應(yīng)任務(wù)，高層節(jié)點(diǎn)負(fù)責(zé)數(shù)據(jù)融合、數(shù)據(jù)分析等工作。

2)基于博弈理論的異常節(jié)點(diǎn)監(jiān)測(cè)。將檢測(cè)系統(tǒng)和入侵者作為博弈雙方。博弈過(guò)程中，雙方都從自身利益出發(fā)來(lái)選擇行動(dòng)策略。檢測(cè)系統(tǒng)需要從自身能量、所獲收益、檢測(cè)成本等方面來(lái)理性選擇監(jiān)測(cè)與不監(jiān)測(cè)2種策略。入侵者根據(jù)入侵收益、入侵成本、入侵成功率等要素來(lái)選擇進(jìn)行入侵或正常通信活動(dòng)。

3)將監(jiān)測(cè)信息傳送到簇頭。在檢測(cè)系統(tǒng)與入侵者雙方的博弈過(guò)程中，若檢測(cè)系統(tǒng)檢測(cè)到入侵行為，則將檢測(cè)信息發(fā)送給簇頭節(jié)點(diǎn)，以便簇頭節(jié)點(diǎn)采取進(jìn)一步的行動(dòng)來(lái)遏制入侵行為的發(fā)生。

4)判定結(jié)果處理。簇頭根據(jù)檢測(cè)系統(tǒng)發(fā)送過(guò)來(lái)的信息，綜合分析后做出判定，并將判定結(jié)果在簇內(nèi)進(jìn)行廣播。若判定檢測(cè)系統(tǒng)檢測(cè)到入侵者，則啟動(dòng)懲罰機(jī)制，對(duì)入侵者進(jìn)行及時(shí)懲罰，以減少網(wǎng)絡(luò)損失。

4懲罰機(jī)制設(shè)計(jì)與分析

在博弈模型分析中我們圍繞博弈雙方的收益函數(shù)進(jìn)行了階段博弈分析。從上述分析中我們知道，若博弈雙方只考慮眼前利益，即一次性博弈，則上述混合策略是唯一的納什均衡。但當(dāng)博弈雙方從長(zhǎng)遠(yuǎn)利益出發(fā)時(shí)，也就是進(jìn)行多次重復(fù)博弈時(shí)，理性的博弈參與人有可能會(huì)選擇(正常，不監(jiān)測(cè))這一對(duì)雙方更加有利的策略。特別是加上適當(dāng)?shù)膽土P機(jī)制對(duì)不合作的參與人加以懲罰后，這一趨勢(shì)更加明顯。冷酷戰(zhàn)略就是一個(gè)明顯的例子。但是冷酷戰(zhàn)略未必是對(duì)整個(gè)無(wú)線傳感網(wǎng)絡(luò)最好的懲罰機(jī)制。當(dāng)入侵者偏離(正常，不監(jiān)測(cè))這一策略時(shí)，冷酷戰(zhàn)略采取的做法是讓簇內(nèi)其他節(jié)點(diǎn)集體孤立這個(gè)異常節(jié)點(diǎn)來(lái)懲罰入侵者，并禁止這個(gè)節(jié)點(diǎn)再回歸網(wǎng)絡(luò)。這樣做雖然使入侵者的收益明顯少于不偏離時(shí)的收益，但是懲罰過(guò)重可能使異常節(jié)點(diǎn)直接退出網(wǎng)絡(luò)。如果退出網(wǎng)絡(luò)的節(jié)點(diǎn)過(guò)多，這對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行也是有一定損害的。為此，我們?cè)O(shè)計(jì)了一個(gè)基于重復(fù)博弈的懲罰機(jī)制，并在該機(jī)制中針對(duì)異常節(jié)點(diǎn)的入侵行為，設(shè)計(jì)了一個(gè)可不斷調(diào)整的懲罰時(shí)間，然后在懲罰時(shí)間結(jié)束后允許節(jié)點(diǎn)回歸到網(wǎng)絡(luò)中來(lái)。

本節(jié)給出適用于本文的懲罰機(jī)制算法，算法的具體過(guò)程如下。

1)在初始化階段，設(shè)置t=0，n=0，T=0，R=Rm。其中，t為計(jì)時(shí)器，用來(lái)衡量博弈時(shí)間；T表示當(dāng)前懲罰時(shí)間；n表示檢測(cè)到的攻擊次數(shù)；R表示懲罰的時(shí)間閥值。

2)當(dāng)檢測(cè)系統(tǒng)在某一時(shí)隙P檢測(cè)到了入侵行為，則從下一個(gè)時(shí)隙P+1開(kāi)始啟動(dòng)懲罰機(jī)制來(lái)懲罰該異常節(jié)點(diǎn)。在懲罰期內(nèi)，簇內(nèi)所有節(jié)點(diǎn)都會(huì)集體孤立該節(jié)點(diǎn)，不讓該節(jié)點(diǎn)參與正常的通信活動(dòng)，則該節(jié)點(diǎn)在這段時(shí)間內(nèi)得不到任何收益。如果懲罰時(shí)間足夠長(zhǎng)，從長(zhǎng)遠(yuǎn)來(lái)看，該節(jié)點(diǎn)由于入侵行為得到的額外收益終究會(huì)被抵消，甚至得不償失。當(dāng)懲罰時(shí)間結(jié)束后允許該節(jié)點(diǎn)回到網(wǎng)絡(luò)中來(lái)，這樣整個(gè)網(wǎng)絡(luò)的性能不會(huì)受到太大影響。

3)在該博弈過(guò)程中，預(yù)先設(shè)定了一個(gè)常數(shù)N，如果系統(tǒng)博弈時(shí)間t大于階段博弈時(shí)間N，則我們進(jìn)入下一階段來(lái)改善目前的博弈過(guò)程。在這一階段，調(diào)整懲罰時(shí)間閥值R的大小，以此來(lái)更好地約束異常節(jié)點(diǎn)入侵行為。因?yàn)?，如果懲罰過(guò)輕，節(jié)點(diǎn)可能忽視懲罰，繼續(xù)發(fā)動(dòng)入侵行為。若懲罰過(guò)重，節(jié)點(diǎn)從自身利益出發(fā)可能直接退出網(wǎng)絡(luò)，若退出網(wǎng)絡(luò)的節(jié)點(diǎn)過(guò)多，這對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行也會(huì)產(chǎn)生很大的影響。所以，設(shè)置合適的懲罰時(shí)間對(duì)整個(gè)懲罰機(jī)制的好壞起到了至關(guān)重要的作用。

4)若經(jīng)過(guò)對(duì)懲罰時(shí)間的調(diào)整后，網(wǎng)絡(luò)性能沒(méi)有得到改善，那么將繼續(xù)調(diào)整懲罰時(shí)間。若網(wǎng)絡(luò)性能得到改善，則保存此次的R值，然后再調(diào)整R值參與到下一階段的博弈當(dāng)中去，以找到最佳的懲罰時(shí)間。其中，網(wǎng)絡(luò)性能是否改善，可以通過(guò)入侵次數(shù)n是否減少，節(jié)點(diǎn)是否退出網(wǎng)絡(luò)等因素來(lái)判斷。

算法流程圖如圖2所示。

圖2　算法流程圖Fig.2　Algorithm flowchart

在實(shí)際過(guò)程中，博弈不太可能只進(jìn)行一次。有時(shí)甚至無(wú)法知道博弈何時(shí)結(jié)束，在此種情況下，可以認(rèn)為博弈進(jìn)行了無(wú)窮次。由于存在上述懲罰機(jī)制，如果入侵者進(jìn)行了入侵活動(dòng)，則在懲罰期內(nèi)，入侵者每次博弈的收益均為0。不妨設(shè)在第i0次出現(xiàn)首次偏離，則偏離一方的收益不會(huì)超過(guò)

(8)

而不偏離的收益是

(9)

(8)式、(9)式中δ為貼現(xiàn)因子，且0<δ<1。

(8)式減(9)式可得

(10)

令(10)式小于0可得

(10)式說(shuō)明，當(dāng)懲罰時(shí)間R和貼現(xiàn)因子δ足夠大時(shí)，選擇入侵沒(méi)有好處。例如當(dāng)R趨于無(wú)窮時(shí)，即實(shí)行冷酷戰(zhàn)略時(shí)，只需滿足

此時(shí)，選擇入侵所獲得的收益將會(huì)低于正常通信所獲得的收益。因此，在重復(fù)博弈中，如果設(shè)計(jì)一種合理的懲罰機(jī)制，那么就可能有效降低入侵者的入侵行為。為此我們?cè)O(shè)計(jì)，一旦節(jié)點(diǎn)被檢測(cè)出入侵行為，節(jié)點(diǎn)將進(jìn)入懲罰期，期間其他任何節(jié)點(diǎn)均不對(duì)其提供服務(wù)。懲罰期結(jié)束后，此節(jié)點(diǎn)重新回歸網(wǎng)絡(luò)。

總收益是帶貼現(xiàn)因子的各次收益之和。貼現(xiàn)因子反映了參與人在博弈過(guò)程中的耐心程度。這種耐心意味著時(shí)間價(jià)值較低，也就是δ足夠大，那么各方面都能比納什均衡有更多收益的策略組合能夠成為子博弈精煉納什均衡的路徑。即一個(gè)策略組合，它不一定是G的納什均衡。如果其收益比一個(gè)納什均衡的收益有帕累托改進(jìn)，則這一策略組合會(huì)出現(xiàn)在一個(gè)子博弈精煉納什均衡的路徑上。

5實(shí)驗(yàn)分析

本研究采用OMNET++(objectivemodularnetworktestbedinC++)4.4搭建網(wǎng)絡(luò)環(huán)境。場(chǎng)景布置在250m×250m的區(qū)域內(nèi)，隨機(jī)放置60個(gè)節(jié)點(diǎn)，異常節(jié)點(diǎn)10個(gè)。參數(shù)設(shè)定如下：貼現(xiàn)因子δ=0.9，階段博弈時(shí)間N=500，攻擊收益Wa=90，攻擊成本Ca=5，防御收益Wd=60，防御成本Cd=10，正常通信收益Wc=10，節(jié)點(diǎn)遭受攻擊時(shí)的平均損失Ci=30。為了驗(yàn)證本文提出機(jī)制的有效性，此仿真主要對(duì)懲罰時(shí)間、節(jié)點(diǎn)攻擊次數(shù)、退出網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)量等要素進(jìn)行了考察，并且將結(jié)果數(shù)據(jù)用MATLAB繪制成曲線。

圖3、圖4分別顯示了在不同的懲罰時(shí)間R下，異常節(jié)點(diǎn)在階段博弈時(shí)間N內(nèi)發(fā)動(dòng)攻擊的次數(shù)的變化以及節(jié)點(diǎn)退出網(wǎng)絡(luò)的數(shù)量變化。

從圖3可知，隨著懲罰時(shí)間R的逐漸延長(zhǎng)，異常節(jié)點(diǎn)選擇攻擊的次數(shù)逐漸變少。這一現(xiàn)象是合理的。因?yàn)殡S著懲罰越來(lái)越嚴(yán)厲，異常節(jié)點(diǎn)從自身利益出發(fā)，為盡量避免受到懲罰，更好的策略是減少攻擊的頻率，避免被檢測(cè)系統(tǒng)發(fā)現(xiàn)。因此，懲罰機(jī)制的設(shè)計(jì)目標(biāo)就是激勵(lì)異常節(jié)點(diǎn)采取正常通信的策略，遏制節(jié)點(diǎn)的攻擊欲望。值得注意的是，懲罰時(shí)間R由0逐漸調(diào)整到8的過(guò)程中，節(jié)點(diǎn)發(fā)動(dòng)攻擊的次數(shù)并沒(méi)有太大變化。這說(shuō)明懲罰太輕，并沒(méi)有對(duì)節(jié)點(diǎn)形成足夠的威懾力，所以節(jié)點(diǎn)選擇忽視懲罰，繼續(xù)發(fā)動(dòng)攻擊以獲取更大的利益；R由8到36的過(guò)程中，節(jié)點(diǎn)發(fā)動(dòng)攻擊的次數(shù)開(kāi)始明顯下降，這說(shuō)明隨著懲罰時(shí)間的繼續(xù)延長(zhǎng)，節(jié)點(diǎn)的攻擊欲望開(kāi)始得到有效遏制；從36開(kāi)始，節(jié)點(diǎn)的攻擊次數(shù)急劇下降，至41時(shí)降為0，這看似很好地減低了節(jié)點(diǎn)的攻擊次數(shù)，但從圖4可以發(fā)現(xiàn)，從36開(kāi)始，異常節(jié)點(diǎn)退出網(wǎng)絡(luò)的數(shù)量急劇增長(zhǎng)，到41時(shí)全部退出網(wǎng)絡(luò)。這說(shuō)明，當(dāng)R> 36時(shí)，對(duì)于異常節(jié)點(diǎn)來(lái)說(shuō)，懲罰過(guò)于嚴(yán)厲。綜上分析，我們選擇最佳懲罰時(shí)間為36。

圖3　懲罰時(shí)間對(duì)節(jié)點(diǎn)攻擊次數(shù)的影響Fig.3　Effect of penalty time to the node number of attacks

圖4　懲罰時(shí)間對(duì)節(jié)點(diǎn)退出網(wǎng)絡(luò)的影響Fig.4　Effect of penalty time to exit the network node

圖5為異常節(jié)點(diǎn)進(jìn)行入侵和正常通信時(shí)的累積效益與博弈時(shí)間的關(guān)系。

從圖5可以看出，當(dāng)異常節(jié)點(diǎn)在時(shí)隙8時(shí)選擇發(fā)動(dòng)攻擊，接下來(lái)的16個(gè)時(shí)隙，節(jié)點(diǎn)都會(huì)受到懲罰而沒(méi)有收益。隨著博弈的繼續(xù)進(jìn)行，節(jié)點(diǎn)選擇發(fā)動(dòng)攻擊所得的收益在時(shí)隙24時(shí)開(kāi)始被正常通信所得收益超越。因此，從長(zhǎng)遠(yuǎn)利益來(lái)考慮，由于懲罰機(jī)制的存在，異常節(jié)點(diǎn)不會(huì)選擇發(fā)動(dòng)攻擊，因?yàn)闀?huì)降低其自身收益。

圖6、圖7分別反映了冷酷戰(zhàn)略、本文機(jī)制以及非懲罰機(jī)制3種方案中發(fā)動(dòng)攻擊的節(jié)點(diǎn)數(shù)量、退出網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)量與博弈時(shí)間的關(guān)系。

圖5　異常節(jié)點(diǎn)累積效益Fig.5　Accumulation benefit of abnormal node

圖6　攻擊節(jié)點(diǎn)數(shù)量與博弈時(shí)間的關(guān)系Fig.6　Number of attacks nodes relationship with Game Time

圖7　退出節(jié)點(diǎn)數(shù)量與博弈時(shí)間的關(guān)系Fig.7　Number of exit nodes relationship with Game Time

從圖6、圖7可以看出，冷酷戰(zhàn)略可以很好地降低發(fā)動(dòng)攻擊的節(jié)點(diǎn)數(shù)量，但是這種懲罰過(guò)于嚴(yán)厲，隨著博弈的進(jìn)行，節(jié)點(diǎn)全部選擇退出網(wǎng)絡(luò)，這對(duì)于整個(gè)網(wǎng)絡(luò)的運(yùn)行也會(huì)產(chǎn)生很大的影響。非懲罰機(jī)制由于對(duì)發(fā)動(dòng)攻擊的節(jié)點(diǎn)沒(méi)有懲罰措施，節(jié)點(diǎn)均不會(huì)退出網(wǎng)絡(luò)，且節(jié)點(diǎn)的攻擊欲望一直很強(qiáng)烈，頻繁的對(duì)網(wǎng)絡(luò)發(fā)動(dòng)攻擊。本文的方案既有效的遏制了異常節(jié)點(diǎn)的攻擊欲望，同時(shí)也讓節(jié)點(diǎn)更多地留在網(wǎng)絡(luò)當(dāng)中，參與網(wǎng)絡(luò)的運(yùn)行。

6總結(jié)

本文針對(duì)無(wú)線傳感網(wǎng)中的入侵檢測(cè)問(wèn)題，提出了一種帶懲罰機(jī)制的重復(fù)博弈模型。首先分析了該模型在完全信息靜態(tài)博弈下的博弈過(guò)程，并求得了該模型的納什均衡解。然后分析了在重復(fù)博弈過(guò)程中，懲罰機(jī)制的引入對(duì)博弈者的影響，并將本文機(jī)制與博弈論中比較典型的冷酷戰(zhàn)略和非懲罰機(jī)制做了對(duì)比。仿真表明，本文的方案在有效檢測(cè)到異常節(jié)點(diǎn)的同時(shí)，很好地遏制了節(jié)點(diǎn)的攻擊欲望，又使這些節(jié)點(diǎn)留在網(wǎng)絡(luò)當(dāng)中，繼續(xù)參與網(wǎng)絡(luò)的運(yùn)行。本文的下一步工作是將完全信息下的重復(fù)博弈模型擴(kuò)展到不完全信息動(dòng)態(tài)博弈當(dāng)中，進(jìn)一步提高系統(tǒng)適應(yīng)范圍。

參考文獻(xiàn)：

[1]楊庚，許建，陳偉,等.物聯(lián)網(wǎng)安全特征與關(guān)鍵技術(shù)[J].南京郵電大學(xué)學(xué)報(bào)：自然科學(xué)版，2010，30(4): 20-29.

YANG Geng,XU Jian,CHEN Wei,et al. Security characteristic and technology in the internet of things[J].Journal of Nanjing University of Posts and Telecommunications: Natural Science Edition,2010,30(4):20-29.

[2]WANG Y, FU W, AGRAWAL D P. Gaussian versus uniform distribution for intrusion detection in wireless sensor networks[J]. Parallel and Distributed Systems, IEEE Transactions on, 2013, 24(2): 342-355.

[3]SACHAN R S, WAZID M, SINGH D P, et al. A cluster based intrusion detection and prevention technique for misdirection attack inside WSN[C]//Communications and Signal Processing (ICCSP), 2013 International Conference on. IEEE. Melmaruvathur:IEEE Press,2013: 795-801.

[4]KAUR H, BAJWA E D S. Intrusion Detection System in WSN Using ACO[J]. International Journal of Innovative Research and Development, 2014, 3(7):464-469.

[5]FENG L, LUO G, YANG C, et al. The Realization of Intrusion Detection Algorithm Based on Particle Filtering in WSN[J]. Chinese Journal of Sensors and Actuators, 2013, 11(3): 19-23.

[6]DANTULURI P P. Intrusion Detection in Homogeneous and Heterogeneous Wireless Sensor Networks (WSN)[J]. Global Journal of Computer Science and TTechnology , 2013, 6(7):698-711.

[7]MOOSAVI H, BUI F. A Game-Theoretic Framework for Robust Optimal Intrusion Detection in Wireless Sensor Networks[J]. 2014,9(9): 1367-1379.

[8]AKKARAJITSAKUL K, HOSSAIN E, NIYATO D. Game Theoretic Approaches for Multiple Access in Wireless Networks: A Survey[J]. Communications Surveys & Tutorials, IEEE, 2011, 13(3):372-395.

[9]MANSHAEI M H, ZHU Q, ALPCAN T, et al. Game theory meets network security and privacy[J]. Acm computing surveys, 2011, 45(3):533-545.

[10] 魏淑芝, 朱琦. 基于網(wǎng)絡(luò)選擇的視頻通信帶寬博弈算法[J]. 通信學(xué)報(bào), 2015,36(2): 24-33.

WEI Shuzhi,ZHU Qi. Bandwidth allocation games based on network selection for video communication[J]. Journal on Communications, 2015,36(2): 24-33.

[11] BUTUN I, MORGERA S D, SANKAR R. A survey of intrusion detection systems in wireless sensor networks[J]. Communications Surveys & Tutorials, IEEE, 2014, 16(1): 266-282.

Intrusion detection based on game theory in wireless sensor network

GUI Mingqian，LIU Yanbing，ZHOU Liaoyong

(Engineering Laboratory of Network and Information Security，Chongqing University of Posts and Telecommunications，Chongqing 400065，P.R.China)

Abstract:Traditional intrusion detection research focuses on the detection system design and optimization of their algorithms, and when intrusion detection system at the time takes action, it will be affected by the attacker. To solve this problem, the use of game theory, a game model with a punishment mechanism, is used to analyze the offensive and defensive game process between the detection system and the intruder, while applying the appropriate punishment for the intruder to curb intrusions. Simulation results show that this scheme can effectively detect the presence of abnormal nodes in the network, and effectively reduce the frequency of intruders.

Keywords：wireless sensor networks(WSN); repeated game; intrusion detection; abnormal nodes

DOI：10.3979/j.issn.1673-825X.2016.03.022

收稿日期：2015-05-02

修訂日期：2016-03-02通訊作者：桂明倩245291118@qq.com

基金項(xiàng)目：國(guó)家自然科學(xué)基金(61272400)

Foundation Item：The National Natural Science Foundation of China (61272400)

中圖分類號(hào)：TP393；TN915.08

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1673-825X(2016)03-0414-07

作者簡(jiǎn)介：

桂明倩(1988-)，男，湖北荊門(mén)人，碩士研究生，主要研究方向?yàn)槲锫?lián)網(wǎng)入侵檢測(cè)。E-mail：245291118@qq.com。

劉宴兵(1971-)，男，四川遂寧人，教授，博士，博士生導(dǎo)師，主要研究方向?yàn)闊o(wú)線網(wǎng)絡(luò)管控和網(wǎng)絡(luò)信息安全。E-mail：liuyanbing@cqupt.edu.cn。

周瞭永(1990-)，男，陜西榆林人，碩士研究生，主要研究方向?yàn)槲锫?lián)網(wǎng)隱私安全。E-mail：zhouliaoyong@163.com。

(編輯：田海江)