无线自组织网络跨层攻击检测博弈模型 *

王 剑，刘星彤，降 帅

(国防科技大学 电子科学学院, 湖南 长沙 410073)

无线自组织网络是节点之间通过自组织方式互联而成的网络，具有分布式运行、拓扑动态变化等特点。无线传感器网络是一种应用非常广泛的无线自组织网络，在农业、环境、军事等领域具有非常广阔的应用前景。由于节点部署的开放性以及无线通信的开放性，传感器节点容易被恶意节点所操控，传输的敏感信息易被攻击者所窃取。攻击者可以在物理层阻塞传感器节点的信道或者直接俘获传感器节点以获取其中的秘密消息[1]。攻击者在数据链路层可以发起碰撞攻击、休眠剥夺攻击、退避时间操控攻击、保证时隙(Guaranteed Time Slot，GTS)攻击等[2-3]，在网络层可发起黑洞攻击、虫洞攻击、槽洞攻击、女巫攻击、数据包选择转发攻击、Hello flood攻击等[4]，在传输层可发起洪泛攻击、去同步攻击等[1]。

无线自组织网络中除了针对某一协议层的单层攻击之外，还存在与多个协议层相关的跨层攻击[5-11]。跨层攻击的目的是期望获得比单层攻击更好的攻击效果、更好地隐蔽攻击行为或者更低的攻击成本。Radosavac等提出了一种从介质访问控制(Medium Access Control，MAC)层发起攻击，并传播到网络层，造成路由破坏的MAC-Network跨层攻击方法[5]。在该方案中，攻击者利用在MAC层的合法通信，使得1个或多个邻居节点脱离网络，并提高了攻击者自己成为新路由的概率。Bian等提出了一种仍从MAC层发起攻击，但目标为破坏传输层端到端数据流传输的MAC-Transport跨层攻击方法[6]。攻击者通过使用小的竞争窗口(Contention Window，CW)值周期性地占用无线信道，使得传输控制协议(Transmission Control Protocol，TCP)流的往返时延(Round-Trip Time，RTT)产生很大的抖动，并造成数据流的重传超时(Retransmission TimeOut，RTO)。根据TCP拥塞控制机制，拥塞窗口的值将设置为1，从而导致端到端的吞吐量大大降低。此外，Nagireddygari等针对认知无线网络提出了一种MAC-Transport跨层攻击方法[7]。Wang等提出了一种物理层和MAC层协同配合的攻击方法，以增大攻击强度并降低被发现的风险[8]。Hossain等利用认知无线网络中低层频谱感知机制的缺陷以及网络层的路由操控，提出了一种跨层攻击方法可将数据流传输给指定节点[9]。Hasan等提出一种针对移动通信网络的跨层攻击方法，利用数据链路层和网络层的信息在物理层发起阻塞攻击，以破坏移动台与基站收发信台之间的通信[10]。

跨层攻击中各个层次起到的作用可能会不一样。事实上，在当前针对无线网络的跨层攻击中，由于上层的路由策略、数据传输与下层的MAC协议有很大关联，因此很多跨层攻击都是从MAC层发起，进而影响协议的其他层次。将跨层攻击定义为：“综合考虑多层协议的漏洞或相关信息，通过在某一协议层发起攻击，或者在多个协议层协同攻击，以达到在单一协议层次难以实现的攻击目标[11]”。这里要注意的是，跨层攻击不同于多层攻击，多层攻击可以在多个协议层次实施，但是各层次之间的攻击通常是独立的，而跨层攻击通常则是为了达到某种特殊目的在多个层次发起协同攻击或者在某一层发起攻击但目标为破坏其他层次的功能。

目前的入侵监测系统主要有基于误用和基于异常两种类型。误用检测基于预先定义的规则能够很容易地检测到已知攻击，但对于未知攻击则无能为力。相较于误用检测，异常检测具有较高的检测率以及检测未知攻击的能力，但同时也带来了较高的误报率。异常检测的方法有很多，包括基于流量预测、统计方法、数据挖掘、博弈论、免疫理论、信任管理、人工智能等[12-23]。Han等利用马尔可夫模型提出一种针对无线传感器网络的流量预测算法，并基于此算法设计了一种分布式异常检测方案，可有效检测影响网络数据流选择的前向攻击、拒绝服务攻击等[12]。Alaparthy等基于免疫理论提出了一种多层入侵检测系统，通过监控节点能量、数据包传输数量、数据发送频率等参数，计算得到聚合输出，以此检测无线传感器网络中的黑洞攻击、虫洞攻击等[13]。Bao等提出一种基于可信的无线传感器网络入侵检测方案，通过对节点的可信值进行统计分析来判断节点的恶意性[14]。Luo等提出一种分簇无线传感器网络可信管理系统，该系统通过监控节点行为实现对节点可信值的动态管理，并基于可信评估模型来识别攻击行为[15]。Sandhya等基于遗传K均值算法提出一种入侵检测框架，以识别无线传感器网络中的攻击行为和攻击节点[16]。Geetha等基于决策树提出一种入侵检测算法，分析表明Hoeffding树最适合无线传感器网络中的数据流检测[17]。Otoum等分析了深度学习应用于无线传感器网络入侵检测的可行性，提出了一种基于受限玻尔兹曼机的入侵监测系统[18]。

事实证明，博弈论在分析多人策略决策问题方面是一种非常有效的工具。无线网络中攻防对抗的本质完全可以用攻防双方相互作用的攻防策略来表示，而博弈论可用于描述理性判决者所采取策略之间的相互影响。Chen等将异构网络中的入侵检测问题视为攻击者和入侵检测系统之间的非合作零和博弈进行了建模和分析[19]。Liu等提出了一种贝叶斯博弈框架来分析无线ad hoc网络中攻击节点与防御节点之间的相互影响[20]。Moosavi等设计了一种非零和鲁棒的随机博弈框架，分析了无线传感器网络中的入侵检测问题[21]。Guan等基于多标准博弈提出了一种无线传感器网络入侵检测机制[22]。当前，大多数入侵检测方案的重点是检测典型的攻击行为，对于不同种类攻击方法同时实施或多层次协同配合的跨层攻击场景则较少考虑。由于攻击将不可避免地对多个协议层的参数造成影响，因此将多层协议参数的偏差作为可信度量参数，提出了一种基于可信模型的入侵检测方案[23]。

为检测跨层攻击，通常的方式是监测各层协议的参数变化，并进行综合研判。本文从攻防博弈的角度，在充分考虑协议层攻击方式的基础上，提出了一种针对无线自组织网络的博弈模型，并计算出该模型的支付函数，分析了模型的纳什均衡，得到了混合策略纳什均衡解。仿真结果表明，采用混合策略纳什均衡的检测系统具有较好的检测性能并且能有效节约节点的能量消耗。

1 跨层攻击检测博弈模型

1.1 博弈模型的建立

攻防博弈模型中包含攻击者和检测者，攻击者用A表示，检测者用D表示。攻击者通过攻击网络来获取利益，而检测者通过发现攻击行为来保护网络。攻击者一旦发起攻击将支付一定代价，如果攻击成功将得到一定利益。检测系统一旦启动检测程序将消耗一定能量，如果成功检测到攻击也将获得一定利益。这是一种典型的相互对立的博弈过程，攻击者和检测者显然不可能合作，因此应采用非合作博弈模型。由于攻防双方不断重复攻防过程，因此该模型应为可重复博弈模型。此外，攻击者的行为和检测者的行为没有固定的先后顺序，他们可以同时或随机发起攻击或者检测，后者并没有前者所采取策略的相关信息，因此可以将该过程视为静态博弈过程。假设攻防双方对彼此的特性、策略空间和支付函数有着比较全面的了解，可以采用完全信息非合作静态博弈模型来分析攻防过程。攻击者和检测者的策略空间分别用SA和SD表示，支付函数分别用UA和UD表示，因此博弈模型可表示为G={(A,D), (SA,SD), (UA,UD)}。

攻击者可以选择在物理层、MAC层、网络层、传输层、应用层等各个层次发起攻击，可以发起MAC-Network、MAC-Transport、Network-Application等跨层攻击，也可以选择不发起攻击。为简化模型，将攻击者的策略空间定义为SA={ASL,ACL,A0}，其中ASL表示单层攻击，ACL表示跨层攻击，A0表示不攻击。同样地，检测者可以选择单层检测、跨层检测和不检测，因此检测者的策略空间可表示为SD={DSL,DCL,D0}，其中DSL表示单层检测，DCL表示跨层检测，D0表示不检测。策略矩阵S可以表示为：

(1)

矩阵中的元素表示攻防双方采取的策略。例如矩阵的第一个元素S11表示攻击者采用跨层攻击策略，同时检测者采用跨层检测策略。在这种情况下，攻击者的攻击行为将以很大的概率被检测者检测到，因此检测者会得到一定的收益，而对于攻击者将造成一定的损失。如果攻击者发起跨层攻击，而检测者实施的是单层检测，则检测者可能很难发现攻击者的攻击行为，因此攻击者将获得一定的利益。如果攻击者选择不攻击而检测者仍实施检测策略，虽然攻击者不能得到收益，但检测者会消耗一定的能量。攻击者和检测者的支付矩阵可分别表示为：

(2)

(3)

式中，矩阵中的元素表示攻击者和检测者的支付函数。例如，UA的第1个元素UA11表示当攻击者发起跨层攻击且检测者实施跨层检测时攻击者的支付函数。

1.2 博弈模型的支付函数

博弈双方倾向于选择能够最大化各自利益的策略。为便于描述模型的支付函数，定义了相应的参数，如表1所示。

表1 支付函数参数

根据定义的参数可以描述在不同策略下的支付函数。例如，策略S11=(ACL,DCL)，表示攻击者选择跨层攻击，同时检测者选择跨层检测的策略。在这种情况下，攻击行为被检测到的概率为aCC，攻击者和检测者的支付函数可分别表示为：

UA11=(1-aCC)gAC-aCCgDC-cAC

(4)

UD11=aCCgDC-(1-aCC)gAC-cDC

(5)

如果攻击者发起跨层攻击而检测者采取单层检测策略，则攻击者和检测者的支付函数分别为：

UA12=(1-aSC)gAC-aSCgDC-cAC

(6)

UD12=aSCgDC-(1-aSC)gAC-cDS

(7)

如果攻防双方选择S13，即攻击者发起跨层攻击但检测者选择不进行检测，显然攻击者能攻击成功，相应的支付函数可分别表示为：

UA13=gAC-cAC

(8)

UD13=-gAC

(9)

类似地，攻击者和检测者的支付函数矩阵可分别表示为：

(10)

(11)

1.3 纳什均衡分析

纳什均衡即寻求非合作博弈中的最优解，在纳什均衡的情况下，攻防双方的策略对于对方来说都是最优反应。在本文的纯策略博弈模型中，对支付函数的参数有一些限制。首先，收益一定大于成本，否则相应的策略为无效策略，不会被博弈双方所选择。由此可得到gAS>cAS、gAC>cAC、gDS>cDS、gDC>cDC。其次，跨层攻击的收益应大于单层攻击，跨层检测要比单层检测复杂，因此有gAScDS。

纯策略能为博弈双方提供最大收益或者最佳结果。因此，它对于博弈双方而言都是最佳策略。通过分析支付矩阵可以很容易得到纯策略纳什均衡。可以圈出UA矩阵中每一列的最大值以及UD矩阵中每一行的最大值，如果有一个元素在UA和UD矩阵中都被圈出了, 则找到了纯策略纳什均衡解。根据支付函数参数的定义，可以得到UA矩阵中每一列的最大值分别是UA31、UA12、UA13，UD矩阵中每一行的最大值分别为UD11、UD22、UD33，因此该模型没有纯策略纳什均衡解。事实上，得出这个结论是合理的，因为如果检测者实施了相应的检测策略，则攻击者倾向于不攻击；如果检测者知道攻击者采取的攻击策略，则检测者将采用相应的检测策略。

在混合策略博弈模型中，至少一方以一定概率去选择相应的纯策略。假设攻击者分别以概率p1、p2和 (1-p1-p2)选择攻击策略ASL、ACL和A0， 检测者分别以概率q1、q2和(1-q1-q2)选择检测策略DSL、DCL和D0，因此攻击者和检测者总的支付函数可分别表示为：

UA=p1q1UA11+p1q2UA12+p1(1-q1-q2)UA13+p2q1UA21+p2q2UA22+p2(1-q1-q2)UA23+(1-p1-p2)q1UA31+(1-p1-p2)q2UA32+(1-p1-p2)(1-q1-q2)UA33

(12)

UD=p1q1UD11+p1q2UD12+p1(1-q1-q2)UD13+p2q1UD21+p2q2UD22+p2(1-q1-q2)UD23+(1-p1-p2)q1UD31+(1-p1-p2)q2UD32+(1-p1-p2)(1-q1-q2)UD33

(13)

对式(12)～(13)求偏导，可得：

(14)

由式(14)可得：

(15)

(16)

2 仿真分析

2.1 仿真参数

采用MATLAB作为仿真工具，考虑在100 m×100 m范围内，随机部署50个节点，构成一个无线自组织网络。节点的发射功率为2 mW，通信频率为2.4 GHz。详细的仿真参数如表2所示。

表2 仿真参数

考虑在窃听网络数据流、破坏网络可用性和消耗节点能量三个攻击场景下，对博弈模型的性能进行仿真分析，仿真场景的详细描述如表3所示。

表3 仿真场景

在窃听网络数据流场景中，攻击者选择槽洞攻击作为单层攻击策略，采用MAC-Network 攻击作为跨层攻击策略。检测者则采用跳数监控方法来检测单层攻击[24]，采用基于可信的检测方法来检测跨层攻击[23]。在槽洞攻击中，攻击者尝试通过发送伪造的路由响应包(Route REPly，RREP)来吸引网络流量。在MAC-Network攻击中，攻击者通过减小CW值来获取信道，并发送包含极小跳数的伪造路由消息，使得周围节点都选择攻击者作为路由，从而达到数据流窃听的目的。对应的单层检测方案主要通过监测跳数的变化来实现，跨层检测方案通过检测MAC层和网络层可信值的变化来实现。仿真观测周期为800次、间隔时间为5 s、仿真时间约为70 min，通过统计计算可得到不同攻击和检测策略下的成功率。仿真结果表明，单层检测单层攻击的成功率aSS=0.91、单层检测跨层攻击的成功率aSC=0.72、跨层检测跨层攻击的成功率aCC=0.97、跨层检测单层攻击成功率aCS=0.88。

在该场景中，攻击者的收益主要由其获得的数据包数量来决定，如槽洞攻击中，攻击者获取的网络流量越大，攻击收益就越大。攻击者的成本主要由其发起攻击的次数来衡量，如在MAC层违规抢占信道的次数、在网络层发布虚假路由信息的次数等。检测者的收益与攻击者的收益成正比，也就是说成功攻击造成的损失越大，则成功检测此次攻击带来的收益越大。检测的成本由采集的数据量以及计算复杂度决定。因此，在该场景的仿真中，以攻击者“吸引”收到的数据包数量来衡量攻击者的收益。仿真表明，攻击者在实施单层攻击与跨层攻击时接收到的数据包数量之比约为4 ∶5。单层攻击的代价根据攻击者发布虚假路由的次数来衡量，跨层攻击的代价根据攻击者在MAC层违规占用信道以及发布虚假路由的次数来衡量。经仿真得到，这两种非正常行为的次数之比约为5 ∶7。此外，根据收益大于成本的原则，将两种检测成功的收益定义为检测成本的2倍。基于以上考虑，博弈双方支付函数的参数值可设置为：gAS=2、cAS=1、gAC=2.5、cAC=1.4、gDS=2、cDS=1、gDC=2.5、cDC=1.2。

在破坏网络可用性场景中，攻击者选择MAC层的退避时间控制攻击作为单层攻击策略，通过缩短退避时间以不断地占用信道，使得合法节点难以竞争到信道，从而无法使用网络。检测者则通过监测退避窗口值以发现此类攻击[25]。在跨层攻击中，攻击者采用MAC-Network攻击作为跨层攻击策略。攻击者首先通过减少CW值来获取信道，然后发送虚假路由信息以吸引网络数据流，最后将网络数据流丢弃以破坏网络的可用性。该场景中的跨层检测策略、观测周期、仿真时间与窃听网络数据流场景类似。通过仿真可计算得到aSS=0.92、aSC=0.58、aCC=0.96、aCS=0.68。此场景中，攻击收益取决于攻击者占用信道和破坏正常传输的次数，攻击成本取决于攻击者发起攻击的次数。检测收益和成本的计算方法与上一个场景类似。在该场景的仿真中，支付函数的参数值可设置为：gAS=1.8、cAS=1.2、gAC=2、cAC=1.4、gDS=1.8、cDS=0.9、gDC=2、cDC=1。

在消耗节点能量场景中，攻击者采用MAC层的剥夺休眠攻击作为单层攻击策略，通过发送无意义的控制帧，使得周围节点不断接收控制帧并作出响应，以消耗节点能量。检测者则通过监测节点发送的请求发送(Request To Send, RTS)帧数以检测此类攻击。在跨层攻击中，攻击者首先在MAC层采用小退避窗口攻击以优先占用信道，然后在网络层发送大量无用数据包以消耗节点能量。检测者同样采用基于可信模型的检测方法作为跨层攻击检测策略。通过仿真可得aSS=0.91、aSC=0.47、aCC=0.93、aCS=0.64。攻击收益由因攻击行为引起其他节点额外发送和接收数据包的数量决定，攻击成本根据发起攻击的次数来衡量。在该场景中，同样设置gAS=1.8、cAS=1.2、gAC=2、cAC=1.4、gDS=1.8、cDS=0.9、gDC=2、cDC=1。

2.2 仿真结果

在窃听网络数据流的场景中，由式(15)和式(16)计算得到攻击者的混合策略纳什均衡解为{0.170 2, 0.106 3, 0.723 5}，检测者的混合策略纳什均衡解为 {0.050 9,0.196 3, 0.752 8}。在破坏网络可用性场景中，攻击者的混合策略纳什均衡解为 {0.157 5, 0.161 4, 0.681 1}，检测者的混合策略纳什均衡解为{0.084 5,0.118 7, 0.796 8}。在消耗节点能量场景中，攻击者的混合策略纳什均衡解为 {0.153 1, 0.168 2, 0.678 7}，检测者的混合策略纳什均衡解为 {0.106 6,0.108 2, 0.785 2}。由于检测的准确率较高，攻击者发起攻击的风险较高。因此，在混合策略中攻击者大部分时间都将采取合作模式，而检测者为了节约能量大部分时间都不采取行动。

在窃听网络数据流的场景中，恶意节点分别以概率0.170 2、0.106 3、0.723 5发起跨层攻击、单层攻击或不攻击，检测者分别以概率0.050 9、0.196 3、0.752 8实施跨层检测、单层检测和不检测。图1给出了在使用混合策略、仅采取单层检测和仅采取跨层检测情况下的检测概率。仿真结果表明，当仿真时间超过700个观测周期时，检测者采用混合策略的检测率达到了97%，高于仅采取单层检测或跨层检测的情况。破坏网络可用性和消耗节点能量等场景下的检测概率如图2和图3所示。同样地，采取混合策略时的检测概率要优于仅采取单层或跨层检测时的检测概率。

图1 窃听网络数据流场景下的检测概率Fig.1 Detection probability in scenario of eavesdropping on network data stream

图2 破坏网络可用性场景下的检测概率Fig.2 Detection probability in the scenario of destroying network availability

图3 消耗节点能量场景下的检测概率Fig.3 Detection probability in the scenario of consuming energy of nodes

在采用混合策略、仅使用跨层检测或单层检测的情况下，以800个观测周期作为仿真时间，分析了节点的能量消耗。仿真表明，由混合策略检测带来的能量消耗明显小于由仅进行跨层检测或单层检测带来的能量消耗，如图4所示。

图4 能量消耗分析Fig.4 Analysis of energy consumption

3 结论

本文从协议层攻击的角度构建了非合作完全信息重复博弈模型，以检测无线自组织网络中的跨层攻击。在此模型的基础上，分析了博弈双方支付函数的策略空间，计算了混合策略纳什均衡解。在无线自组织网络仿真平台上对模型的性能进行了仿真分析。仿真结果表明，检测者在采用混合策略的情况下，其检测概率高于仅使用单层检测或跨层检测的情况，而且在采用混合策略情况下节点的能量消耗要显著低于仅使用单层检测或跨层检测的情况。下一步将在真实的无线自组织网络中开展实验，分析模型在实际环境中的性能。