煤矿企业工业控制系统入侵检测算法

针对现有煤矿企业工业控制系统入侵检测算法未考虑防御因素影响、实现复杂等问题,从攻击进程和防御体系2个方面,提出了一种基于攻防树模型的煤矿企业工业控制系统入侵检测算法。首先,通过对攻击叶节点的攻击属性进行量化并构建指标体系得到攻击叶节点被攻击概率,进而得出攻击路径的入侵成功率,并结合攻击路径的入侵回报率得到攻击路径的入侵概率;然后,引入基于漏报率和误报率的入侵报警率,得到被动防御概率,通过漏洞发现率和漏洞修复率得到主动防御概率;最后,根据攻击路径的入侵概率、被动防御概率和主动防御概率,得出攻击路径最终入侵概率。实例结果表明,该算法能有效检测煤矿企业工业控制系统入侵概率,提高入侵检测的准确性。     

多节点共享保障时隙分配策略

在现代工业无线网络中,IEEE 802.15.4标准以其独特的低功耗、低成本特点被广泛应用。IEEE 802.15.4可以提供最低0.006%的占空比,最大限度降低功耗,同时提供的保障时隙GTS机制为节点提供了实时服务保障。然而,在为大规模节点提供保障时,IEEE 802.15.4提供的GTS机制缺乏灵活性,只能为有限节点提供实时保障服务。本文针对这一问题提出一种多节点共享保障时隙分配策略,允许多个数据流在满足延迟需求前提下,共享同一个GTS减少带宽浪费。分析表明,多节点共享的保障时隙分配策略与普通分配方法相比,可有效提高带宽利用率。     

基于DS证据理论的无线传感器网络MAC层安全研究*

研究了无线传感器网络MAC层安全问题,分析了现有无线传感器网络MAC层协议安全体系的不足之处,针对无线传感器网络遭到非法入侵的情况,提出了一个基于D-S证据理论的MAC层入侵检测机制。该机制利用碰撞率、数据包平均等待时间、RTS包到达率以及邻居节点的报警作为证据,对网络的状态进行实时的分析检测,根据网络的状态作出响应。该算法能够应用于现有的MAC协议如S-MAC、IEEE 802.15.4中,仿真结果表明,该算法能够较好地抵御针对MAC层的攻击,保证网络的安全运行。     

面向配电网故障检测的WSN可信路由算法

为了提高配电网故障检测数据传输的可信性,提出一种面向配电网故障检测的WSN可信路由算法。算法提出一种防范针对信任模型攻击的轻量级信任值计算方法,并在簇头选举与簇间多跳路由中引入信任值,避免恶意节点降低网络安全;簇间多跳阶段中,对邻居节点的位置因子、距离因子、信任值及剩余能量等参数进行融合判决,构建最优数据传输路径。仿真结果表明,提出的算法能够自适应剔除网络恶意节点,防范恶意攻击,最大化网络生存时间。     

工业IEEE802.15.4a标准无线网络性能测试设计与实现

基于IEEE 802.15.4a标准的短距离无线传输技术在工业中得到了广泛的应用,然而,针对IEEE802.15.4a协议工业无线网络的性能测试研究较少,评判工业无线控制系统是否符合工业场合的应用缺乏精确的描述;为评价基于IEEE 802.15.4a标准的工业无线网络的性能,搭建了基于该标准的无线网络测试平台,基于ARM处理器开发了工业无线网络性能测试装置,给出了测试装置的软硬件设计,通过测试获得工业无线网络控制系统的丢包率、吞吐率、协议转换时间等性能指标,测试结果表明该装置能够有效地实现对基于该标准的无线网络进行性能测试,为改善和优化工业无线网络的应用、保证系统的稳定运行提供了有力的依据。     

“软件人”实现网络复合入侵检测分析

对于最近几年出现的分布式网络入侵攻击手段,传统的入侵检测系统无法实现有效的入侵检测。针对以上问题,本文在基于多“软件人”技术的基础上,设计了网络复合入侵攻击检测检测树模型。最后,专门针对DoorKnob这种复合攻击提出了具体的检测算法。     

基于人工免疫的无线AD HOC网络MAC层自私攻击检测

通过对IEEE 802.11 MAC层攻击的分析与分类,提出将节点传帧率和退避时间序列作为行为特征,建立了MAC层攻击检测的人工免疫模型,给出饱和状态下的节点检测算法-基于滑动窗口残差阈值法,并对自私节点的退避时间序列进行编码和基因处理,给出非饱和状态下基于相对位置的子串相关函数匹配的基因检测算法,解决了传统检测算法不能有效检测智能攻击和与现有协议不兼容的局限性.     

ＩＷＳＮ中基于属性变化率的全局信任入侵检测

为提高工业无线传感器网络的入侵检测的精度和降低检测能耗,本文设计了基于属性变化率的全局信任入侵检测算法。通过属性变化率获取节点的全局信任值以检测攻击;通过人工蜂群算法选择最优簇头集以确保簇头的高可信度和降低网络整体的能耗;通过信任恢复机制恢复临时故障节点的信任,以降低虚警率。实验证明本方案具有较高的检测率和较低的虚警率,并能延长网络的生命周期。     

无线传感器网络跨层自适应唤醒算法研究

时钟同步与能耗有效性是无线传感器网络多跳传输关键问题.提出一种自适应唤醒算法,在MAC层和网络层进行跨层优化,节点按需自适应唤醒,实现多跳网络的协同传输,能够有效降低系统能耗.该算法不需要节点间的周期性同步,减少了频繁的包交换带来的数据冲突与能量浪费,从而提高了网络可靠性和能耗效率,提高了基于IEEE802.15.4标准的多跳网络的节能效率.为了验证算法有效性,工作分别在NS-2仿真环境和实际应用场景下进行了仿真与测试验证,结果表明在传输可靠性和节能效率上均由较大提高.跨层自适应唤醒算法可进一步推广到大规模异构自组织网络中.     

工业无线传感器网络中干扰攻击的入侵检测

针对工业无线传感器网络的干扰攻击问题,采用一种基于统计过程控制理论控制图的入侵检测方法.选择数据包投递失败率作为度量属性,计算出对应的控制图上下限,通过监视传感器节点的数据包投递失败率是否在控制图的上下限内,判断节点是否处于被干扰攻击状态;基于工业无线传感器网络标准WirelessHART中采用的时隙跳频技术,建立一种干扰攻击模型,验证入侵检测方法的有效性.仿真结果表明干扰攻击检测方法能有效的检测出节点是否处于被干扰攻击状态,并且漏检率较低,随环境恶化时漏检率变化幅度较小.     

Time delay characteristic of industrial wireless networks based on IEEE 802.15.4a

The IEEE 802.15.4a standard provides a framework for low-data-rate communication systems, typically sensor networks. In this paper, we established a realistic environment for the time delay characteristic of industrial network based on IEEE 802.15.4a. Several sets of practical experiments are conducted to study its various features, including the effects of 1) numeral wireless nodes, 2) numeral data packets, 3) data transmissions with different upper-layer protocols, 4) physical distance between nodes, and 5) adding and reducing the number of the wireless nodes. The results show that IEEE 802.15.4a is suitable for some industrial applications that have more relaxed throughput requirements and time-delay. Some issues that could degrade the network performance are also discussed.     

IETF 6TiSCH工业物联网研究综述：标准、关键技术与平台

互联网工程任务组(IETF)正在制定一套基于IPv6的低功耗工业物联网协议栈6TiSCH,其主要应用于复杂的工业过程控制及自动化领域。IETF 6Ti SCH协议栈在网络层上引入IPv6协议,使得海量的物联网节点可以无缝接入互联网;在链路层引入了IEEE802.15.4e TSCH新协议,可以有效降低节点能耗和增强无线通信可靠性。OpenWSN开源项目提供了一套该协议栈完整实现的代码。对IETF 6TiSCH工业物联网的标准、关键技术与平台进行了系统总结。首先对其发展历程及现状进行了详细的介绍;接着分析了CoAP应用层协议、UDP传输层协议、IPv6网络层协议、IEEE802.15.4e链路层协议及其物理层标准协议;随后总结了其高精度时间同步、资源调度与安全等关键技术,并对其实现平台进行了深入剖析;最后对未来研究可能面临的挑战进行了展望。     

Toward secure and scalable time synchronization in ad hoc networks

Time synchronization is crucial in ad hoc networks. Due to the infrastructure-less and dynamic nature, time synchronization in such environments is vulnerable to various attacks. Moreover, time synchronization protocols such as IEEE 802.11 TSF (Timing Synchronization Function) often suffer from scalability problem.In this paper, we address the security and the scalability problems of time synchronization protocols in ad hoc networks. We propose a novel suite of time synchronization mechanisms for ad hoc networks based on symmetric cryptography. For single-hop ad hoc networks, we propose SSTSP, a scalable and secure time synchronization procedure based on one-way Hash chain, a lightweight mechanism to ensure the authenticity and the integrity of synchronization beacons. The “clock drift check” is proposed to counter replay/delay attacks. We then extend our efforts to the multi-hop case. We propose MSTSP, a secure and scalable time synchronization mechanism based on SSTSP for multi-hop ad hoc networks. In MSTSP, the multi-hop network is automatically divided into single-hop clusters. The secure intra-cluster synchronization is achieved by SSTSP and the secure inter-cluster synchronization is achieved by exchanging synchronization beacons among cluster reference nodes via bridge nodes.The proposed synchronization mechanisms are fully distributed without a global synchronization leader. We further perform analytical studies and simulations on the proposed approaches. The results show that SSTSP can synchronize single-hop networks with the maximum synchronization error under 20 μs and MSTSP 55–85 μs for multi-hop networks, which are, to the best of our knowledge, among the best results of currently proposed solutions for single-hop and multi-hop ad hoc networks. Meanwhile, our approaches can maintain the network synchronized even in hostile environments.     

抵御欺骗攻击的DV-hop安全定位算法

针对无线传感器网络中距离无关的定位技术,提出了DV-Hop定位中普通节点被俘获的欺骗攻击模型,分析了这种欺骗攻击模型对DV-Hop定位过程的影响,进而提出了一种抵御欺骗攻击的DV-Hop安全定位算法.首先,在普通节点端提出了基于发送-转发信息一致性的检测机制来检测恶意节点;其次,在汇聚节点端提出了基于消息转发链举证的检测机制来确定恶意节点;最后,当汇聚节点检测出存在恶意节点进行篡改攻击后,汇聚节点通报全网弃用恶意节点转发的数据分组并重启定位.仿真结果表明,本文提出的安全定位算法可以有效滤除恶意节点,且安全定位算法的定位性能与无攻击下的DV-Hop定位性能基本相当,可以有效解决欺骗攻击对DV-Hop定位过程造成的影响.     

一种基于多跳确认和信任评估的选择性转发攻击检测方法

针对无线传感器网络中的选择性转发攻击行为,提出一种基于多跳确认和信任评估(MHA-TE)的选择性转发攻击检测方法.MHA-TE方法利用基于源节点的请求响应形式的多跳确认方案,通过源节点发送请求包、中间节点回复响应包的方式确定路径中产生恶意丢包行为的节点,进而将被检举出的恶意节点作为信任评估的参数更新标准,运用Bate分布建立信任评估模型分析各个节点的交互情况,确定路径中各节点的信任值,并将更新后的信任值与对应的信任值阈值比较,进行恶意节点的判定.该方法结合多跳确认和信任评估的优势,能够解决路径上多恶意节点误警率高和静态信任阈值适应性差以及检测率低的问题.仿真实验结果表明,相比于Two-hops方法、MLCM方法和ITEM方法,MHA-TE方法不仅能够有效检测恶意节点,具有较高的检测率和较低的误警率,而且可以在很大程度上降低网络开销.     

物联网通信协议的安全研究综述

国际标准化组织IEEE和IETF正携手为物联网制定一套高可靠、低功耗、可接入互联网的无线通信协议栈。IEEE主要负责制定物联网通信协议的物理层和链路层的标准,如IEEE802.15.4-2006标准,其中IEEE802.15.4e是最新的链路层的标准。IETF主要负责制定物联网通信协议的网络层及以上标准,如6LoWPAN,RPL和CoAP标准,其可以将资源受限的传感器节点接入互联网。网络安全是物联网大规模发展的基础,必须设计一套安全高效的机制保障通信协议的正常运行。文中详细介绍了物联网通信协议栈,重点分析和讨论了其安全方面的最新研究进展。最后总结和展望了物联网安全通信协议的研究方向。     

面向最小延迟的无线mesh网络时隙分配问题研究

在基于IEEE802.15.4的工业无线传感器网络中,通过时分复用技术来实现节点间并行通信,以提高网络的吞吐量.通常,网络中的管理器根据全网拓扑对网络中的每个连接分配一个超帧中相应的时隙.不同的时隙分配方案中,连接在超帧中活动的顺序也不同,对网络性能的影响也不同.本文研究了不同时隙分配方案在网络吞吐量和数据延迟方面对网络的影响,定性分析了时隙分配方案与数据延迟的关系,并根据mesh结构的特点提出一种使用粒子群优化的算法,用于在网络管理器上对时隙分配进行优化,使得数据延迟最小化,以满足工业无线网络实时性应用的要求.     

一种蚁群优化的WSN分布式入侵检测模型

针对无线传感器网络中入侵者能在多个节点上移动并隐藏攻击源头的特点,提出了一种基于蚁群优化的无线传感器网络分布式入侵检测模型。分析了现有入侵检测对未知攻击检测率和误报率方面的不足,在此基础上提出了分布式入侵检测的体系结构,设计了基于蚁群优化的入侵检测算法。仿真实验表明提出的方案能够提高无线传感器网络对未知攻击的检测率和降低对正常网络流量的误报率,较好地解决了路由攻击、Sinkhole攻击问题,能够降低入侵检测的能耗。     

Detection of blackhole attack in a Wireless Mesh Network using intelligent honeypot agents

A Wireless Mesh Network (WMN) is a promising way of providing low-cost broadband Internet access. The underlying routing protocol naively assumes that all the nodes in the network are non-malicious. The open architecture of WMN, multi-hop nature of communication, different management styles, and wireless communication paves way to malicious attackers. The attackers can exploit hidden loopholes in the multipath mesh routing protocol to have a suction attack called the blackhole attack. The attacker can falsify routing metrics such as the shortest transmission time to reach any destination and thereby suck the network traffic. We propose a novel strategy by employing mobile honeypot agents that utilize their topological knowledge and detect such spurious route advertisements. They are deployed as roaming software agents that tour the network and lure attackers by sending route request advertisements. We collect valuable information on attacker’s strategy from the intrusion logs gathered at a given honeypot. We finally evaluate the effectiveness of the proposed architecture using simulation in ns-2.