无线传感器网络安全路由问题研究

路由协议是无线传感器网络研究领域的关键技术之一,对无线传感器网络的性能起着至关重要的作用。现有的大部分路由协议都没有考虑路由的安全问题,攻击者可以针对网络的路由进行各种攻击。探讨了无线传感器网络路由协议的特点及设计目标。分析了无线传感器网络路由面临的各种攻击,重点探讨目前已经提出的几个无线传感器网络安全路由协议的设计方案。     

无线传感器网络内部攻击检测方法研究

随着无线传感器网络软硬件技术的发展,内部攻击逐渐成为无线传感器网络面临的主要安全威胁之一。综述了内部攻击检测技术的研究,根据攻击检测的对象将检测方法分为攻击行为检测、攻击节点检则和复件攻击检测,并指出了检测悖论、数目占优和中心模式等作为这些检测方法的安全假设制约了方法的性能。同时,概述了现有的关于移动无线传感器网络的攻击检测方法以及移动节点的加入给无线传感器网络解决内部攻击问题带来的变化,在此基础上,讨论了移动节点给内部攻击检测带来的机遇与挑战,指出了相关研究的未来发展方向。     

基于二项分布的无线传感器网络信任管理系统

由于无线传感器网络不同于传统网络的特点,导致其很容易受到来自妥协节点的内部攻击。信任管理系统是防御无线传感器网络内部攻击的最有效方法。针对无线传感器网络节点信誉和信任的评估,我们改进了用于无线传感器网络的基于贝塔的信誉系统BRSN( Beta Reputation System for Sensor Networks),提出了基于二项分布的无线传感器网络信任评估系统BTMS( Binomial-based Trust Management System)。 BTMS基于对节点行为的监控,利用二项分布来描述节点信誉的分布,并进一步得到节点信任值,从而指导中继节点的选择,降低内部攻击的危害。实验结果表明,利用BTMS可以有效的防御来自妥协节点的内部攻击,提高网络安全性。     

抵御虫洞攻击的无线传感器网安全定位算法

节点定位技术是无线传感器网络的支撑技术之一,节点位置信息是很多基于无线传感器网络的应用的基础.无线传感器网络是一个动态的网络,每隔一段时间需要进行重新定位,并且在重定位过程中易受到攻击节点攻击.针对无线传感器网络中无需测距的定位技术,分析虫洞攻击对DV-Hop定位的影响,提出了一种基于信誉模型的抵御虫洞攻击的分布式轻量级DV-Hop安全定位算法TMDV-Hop(Trust-Model-based DV-Hop Localization Against Wormhole Attack).仿真表明,在无需额外硬件辅助下,TMDV-Hop算法能有效降低虫洞攻击对定位过程的影响,验证了该算法的有效性.     

基于TePA的无线传感器网络安全方案

针对无线传感器网络的安全需求, 结合TePA技术提出了一种基于TePA的无线传感器网络安全方案。该方案简化了TePA技术的身份认证分组和分组字段, 解决了无线传感器网络在传感器节点接入和密钥协商的问题。采用改进的BSW逻辑验证了协议, 并从协议安全性和网络性能方面分析了方案, 结果表明方案能抵抗中间人攻击和重放攻击, 并适合无线传感器网络。     

面向无线传感器网络的分层路由信任模型

针对无线传感器网络内部不能有效地检测出恶意节点攻击所引发的安全问题,提出一种面向无线传感器网络分层路由的信任模型。该模型能发现来自网络内部攻击的恶意节点并将其排除,提高了无线传感器网络的安全性能。实验结果表明,与TLEACH协议相比,在恶意节点攻击时,该模型的敏感性提高了5%,信任值幅度增加了10%。     

基于拍卖针对DoS攻击的WSN安全路由协议

节点密度大、数量规模大以及资源有限是无线传感器网络的特点,而又使得它难以防御恶意节点发起的拒绝服务攻击。针对无线传感器网络的以上特点,基于博弈论观点和方法,通过建立传感器网络节点博弈框架,采用一级封闭价格拍卖实现路由发现,利用声誉机制检测和惩罚恶意节点,并在SAR协议基础上增加了对黑洞攻击和重放攻击的防御,加快了对恶意攻击节点的检测收敛。仿真结果表明,改进后的SAR协议能有效防御无线传感器网络中的拒绝服务攻击。     

无线传感器网络环境下的攻击防御方法

传感器节点大多部署在非受控区域,无线信道的广播特性和自组织的组网特性都使得传感器网络容易受到攻击;同时传感器网络作为一种耗尽型网络,能源非常有限,系统功能极易受到拒绝服务攻击。文章结合作者的研究,介绍了两种无线传感器网络环境下网络攻击的防御方法。     

基于网络编码的ECC验证方案在WSN中的研究

网络编码在无线传感器网络应用,改善了无线传感器网络的性能。虽然与之前相比,其安全性有所提高,但当面临安全攻击（被动攻击和主动攻击）时,整个网络系统的安全性仍然亟待提高。提出了一种改进方案,该方案结合密码学中椭圆曲线加密算法,并基于应用网络编码的无线传感器网络,采用加密验证方案。使传感器节点在电量受限的情况下,传输更多的有效数据。同时,增强了无线传感器网络节点之间通信的安全性,以及WSN其鲁棒性和容错性。     

一种多种攻击并发下的WSN生存性评估模型

无线传感器网络的生存性已成为部署传感器网络的一个重要考量因素。可生存的无线传感器网络要求在多种攻击并发的情况下能够继续提供关键服务,基于此提出一种多种攻击方式下的、基于簇的无线传感器网络生存性评估模型。因传感器网络的簇中存在多个遭受攻击的节点,为了更准确地判定簇的状态,设计了一种阈值机制来触发因多种攻击而产生的状态之间的转移,准确刻画了网络在遭遇攻击后采取的反制措施。利用连续时间马尔可夫链建立生存性评估模型并求解出可用性与生存性指标,分析了影响传感器网络生存性与可用性的若干因素。仿真结果表明,提高网络修复率和攻击响应率能有效提高生存性与可用性,并且提出的模型能正确地区分网络遭受的攻击形式。     

基于无线传感器网络的安全网络运行环境构建

无线传感器网络被广泛应用到了军事和民用领域,安全问题始终是无线传感器网络需要突破的重要瓶颈,目前安全机制主要针对单一的攻击行为或针对攻击的某个阶段进行防护,没有形成一套完整的计算环境的安全保护机制。针对上述问题,提出了一种无线传感器网络安全运行环境构建方案,充分考虑无线传感器节点的计算能力及能耗,静态度量和动态度量相结合,主、被动相结合保障无线传感器网络组网和运行过程中计算环境的安全。仿真实验表明,该方案可以有效识别恶意节点,能耗较低,能够确保少量节点遭到攻击时全网仍能正常运转。     

一种蚁群优化的WSN分布式入侵检测模型

针对无线传感器网络中入侵者能在多个节点上移动并隐藏攻击源头的特点,提出了一种基于蚁群优化的无线传感器网络分布式入侵检测模型。分析了现有入侵检测对未知攻击检测率和误报率方面的不足,在此基础上提出了分布式入侵检测的体系结构,设计了基于蚁群优化的入侵检测算法。仿真实验表明提出的方案能够提高无线传感器网络对未知攻击的检测率和降低对正常网络流量的误报率,较好地解决了路由攻击、Sinkhole攻击问题,能够降低入侵检测的能耗。     

无线传感器网络中sinkhole攻击研究

无线传感器网络在安全路由以及入侵检测研究等方面之所以没有显著的成绩,原因之一就是对于"入侵"的概念不是很清楚.对无线传感器网络中sinkhole这一类重要攻击进行了深入研究.首先介绍了sinkhole的产生及危害,然后分析了目前针对sinkhole攻击检测技术研究进展,其次重点描述了攻击者在具体的路由协议中如何成功发起...     

无线传感器网络中的虫洞攻击防护机制

虫洞攻击能够随意制造“热点”区域以加速消耗特定区域能量,对依赖连接的无线传感器网络来说影响最大：直接导致获得的数据混乱,结果远远偏离实际情况。现有的措施虽然有一定的抵御作用,但是它们仍然存在很多不足。针对这种情况,提出了基于信誉认证的虫洞攻击抵御机制,利用了自反馈的信誉认证机制,不需要任何额外硬件。仿真实验结果表明,基于信誉认证的虫洞抵御机制能够有效地抵御无线传感器网络中各种类型的虫洞攻击。     

基于DS证据理论的无线传感器网络MAC层安全研究*

研究了无线传感器网络MAC层安全问题,分析了现有无线传感器网络MAC层协议安全体系的不足之处,针对无线传感器网络遭到非法入侵的情况,提出了一个基于D-S证据理论的MAC层入侵检测机制。该机制利用碰撞率、数据包平均等待时间、RTS包到达率以及邻居节点的报警作为证据,对网络的状态进行实时的分析检测,根据网络的状态作出响应。该算法能够应用于现有的MAC协议如S-MAC、IEEE 802.15.4中,仿真结果表明,该算法能够较好地抵御针对MAC层的攻击,保证网络的安全运行。     

Pattern recognition for detecting distributed node exhaustion attacks in wireless sensor networks

Malicious attacks when launched by the adversary-class against sensor nodes of a wireless sensor network, can disrupt routine operations of the network. The mission-critical nature of these networks signifies the need to protect sensory resources against all such attacks. Distributed node exhaustion attacks are such attacks that may be launched by the adversarial class from multiple ends of a wireless sensor network against a set of target sensor nodes. The intention of such attacks is the exhaustion of the victim’s limited energy resources. As a result of the attack, the incapacitated data-generating legitimate sensor nodes are replaced with malicious nodes that will involve in further malicious activity against sensory resources. One such activity is the generation of fictitious sensory data to misguide emergency response systems to mobilize unwanted contingency activity. In this paper, a model is proposed for such an attack based on network traffic flow. In addition, a distributed mechanism for detecting such attacks is also defined. Specific network topology-based patterns are defined to model normal network traffic flow, and to facilitate differentiation between legitimate traffic packets and anomalous attack traffic packets. The performance of the proposed attack detection scheme is evaluated through simulation experiments, in terms of the size of the sensor resource set required for participation in the detection process for achieving a desired level of attack detection accuracy. The results signify the need for distributed pattern recognition for detecting distributed node exhaustion attacks in a timely and accurate manner.     

面向多网关的无线传感器网络多因素认证协议

无线传感器网络作为物联网的重要组成部分,广泛应用于环境监测、医疗健康、智能家居等领域.身份认证为用户安全地访问传感器节点中的实时数据提供了基本安全保障,是保障无线传感器网络安全的第一道防线;前向安全性属于系统安全的最后一道防线,能够极大程度地降低系统被攻破后的损失,因此一直被学术及工业界视为重要的安全属性.设计面向多网关的可实现前向安全性的无线传感器网络多因素身份认证协议是近年来安全协议领域的研究热点.由于多网关无线传感器网络身份认证协议往往应用于高安全需求场景,一方面需要面临强大的攻击者,另一方面传感器节点的计算和存储资源却十分有限,这给如何设计一个安全的多网关无线传感器网络身份认证协议带来了挑战.近年来,大量的多网关身份认证协议被提出,但大部分都随后被指出存在各种安全问题.2018年,Ali等人提出了一个适用于农业监测的多因素认证协议,该协议通过一个可信的中心(基站)来实现用户与外部的传感器节点的认证;Srinivas等人提出了一个通用的面向多网关的多因素身份认证协议,该协议不需要一个可信的中心,而是通过在网关之间存储共享秘密参数来完成用户与外部传感器节点的认证.这两个协议是多网关无线传感器网络身份认证协议的典型代表,分别代表了两类实现不同网关间认证的方式:1)基于可信基站,2)基于共享秘密参数.分析指出这两个协议对离线字典猜测攻击、内部攻击是脆弱的,且无法实现匿名性和前向安全性.鉴于此,本文提出一个安全增强的可实现前向安全性的面向多网关的无线传感器网络多因素认证协议.该协议采用Srinivas等协议的认证方式,即通过网关之间的共享秘密参数完成用户与外部传感器节点的认证,包含两种典型的认证场景.对新协议进行了BAN逻辑分析及启发式分析,分析结果表明该协议实现了双向认证,且能够安全地协商会话密钥以及抵抗各类已知的攻击.与相关协议的对比结果显示,新协议在提高安全性的同时,保持了较高的效率,适于资源受限的无线传感器网络环境.     

Using mobile agents to recover from node and database compromise in path-based DoS attacks in wireless sensor networks

Wireless sensor networks represent a new generation of real-time embedded systems with significantly different communication constraints from the traditional networked systems. With their development, a new attack called a path-based DoS (PDoS) attack has appeared. In a PDoS attack, an adversary, either inside or outside the network, overwhelms sensor nodes by flooding a multi-hop end-to-end communication path with either replayed packets or injected spurious packets. Detection and recovery from PDoS attacks have not been given much attention in the literature. In this article, we consider wireless sensor networks designed to collect and store data. In a path-based attack, both sensor nodes and the database containing collected data can be compromised. We propose a recovery method using mobile agents which can detect PDoS attacks easily and efficiently and recover the compromised nodes along with the database.     

无线移动网络密码协议的安全性

描述了一组无线移动网络中密码协议的过程,利用GNY逻辑对密码协议进行分析,鉴于EAP-TLS密码协议会受到中间人攻击,提出了解决方法,找出协议中存在的安全缺陷,发现了对密码协议的安全威胁,并给出攻击者可能的攻击。     

A novel intrusion detection framework for wireless sensor networks

Vehicle cloud is a new idea that uses the benefits of wireless sensor networks (WSNs) and the concept of cloud computing to provide better services to the community. It is important to secure a sensor network to achieve better performance of the vehicle cloud. Wireless sensor networks are a soft target for intruders or adversaries to launch lethal attacks in its present configuration. In this paper, a novel intrusion detection framework is proposed for securing wireless sensor networks from routing attacks. The proposed system works in a distributed environment to detect intrusions by collaborating with the neighboring nodes. It works in two modes: online prevention allows safeguarding from those abnormal nodes that are already declared as malicious while offline detection finds those nodes that are being compromised by an adversary during the next epoch of time. Simulation results show that the proposed specification-based detection scheme performs extremely well and achieves high intrusion detection rate and low false positive rate.