0 引言

　　空間網(wǎng)絡路由協(xié)議由于空間鏈路的開放性有可能受到主動或被動的惡意入侵和攻擊，而空間網(wǎng)絡的路由安全技術還不成熟，現(xiàn)有的安全路由研究工作主要集中在地面的無線Mesh網(wǎng)、傳感網(wǎng)等應用領域[1-3]。由于空間網(wǎng)絡的特殊性，在研究和設計路由協(xié)議時，必須首先保證路由信息傳輸?shù)恼鎸嵭浴C密性和完整性等安全屬性，避免惡意攻擊造成網(wǎng)絡性能的下降甚至癱瘓。另外，還需要充分考慮并克服空間網(wǎng)絡中節(jié)點處理及存儲能力受限、鏈路時延長、拓撲變化快等不利條件，采取適當?shù)膬?yōu)化措施以盡量降低安全機制對路由性能的影響，實現(xiàn)安全與效率的兼顧[4]。本文針對基于入侵檢測的空間網(wǎng)絡安全路由技術進行了研究和仿真，并分析了此安全機制的特點。

1 基于入侵檢測的空間網(wǎng)絡路由安全機制

　　已有的安全機制模型[5]多由以下三部分組成：分布式入侵檢測系統(tǒng)(Distributed Intrusion Detection System，DIDS)、信譽系統(tǒng)和入侵反應系統(tǒng)(Intrusion Reaction System，IRS)。

　　工作原理如下：路由協(xié)議中的入侵檢測系統(tǒng)檢測到網(wǎng)絡中存在惡意攻擊的節(jié)點，在信譽系統(tǒng)中就會被降低信譽度，一旦節(jié)點的信譽度低過某一閾值，則信譽系統(tǒng)就認定此節(jié)點為攻擊節(jié)點，然后利用入侵反應系統(tǒng)隔離此節(jié)點，并進行路由的重構，通過這種一系列的檢測和反應機制來實現(xiàn)安全路由。圖1為安全機制模型圖。

　　空間信息網(wǎng)絡與無線Mesh網(wǎng)絡的相似之處在于網(wǎng)絡中的節(jié)點都通過無線多跳實現(xiàn)通信，只是地面的無線Mesh網(wǎng)絡使用一般的無線鏈路，空間信息網(wǎng)絡使用的是星間鏈路。本文以無線Mesh網(wǎng)絡開發(fā)的OLSR路由協(xié)議為基礎，研究空間信息網(wǎng)絡中基于入侵檢測的安全路由技術。

2 路由協(xié)議安全性分析

　　在OLSR協(xié)議中，路由消息主要為握手(Hello)消息和拓撲控制(Topology Control，TC)消息，偽造或篡改這兩個路由消息成為攻擊者進行路由攻擊的主要手段。多點中繼(Multi-Point Relay，MPR)節(jié)點是OLSR協(xié)議中一類特殊節(jié)點，它可以周期性發(fā)送 TC消息，實現(xiàn)整個網(wǎng)絡拓撲信息的共享。通過分析Hello消息和TC消息的特點，可以得到以下幾類針對這兩種消息的攻擊方式：

　　A1：一跳鄰居節(jié)點異常。這類攻擊產(chǎn)生于Hello消息中，攻擊者會發(fā)送錯誤的鄰居節(jié)點信息，或者發(fā)送不存在的鄰居節(jié)點信息。

　　A2：MPR節(jié)點集異常。這類攻擊產(chǎn)生于Hello消息中，攻擊者未按照實際計算結果而發(fā)送錯誤的MPR節(jié)點集。

　　A3：初始MPR選取者集異常。這類攻擊產(chǎn)生于初始TC消息中。

　　A4：轉發(fā)MPR選取者集或廣播鄰居序列號異常。這類攻擊產(chǎn)生于轉發(fā)的TC消息中，攻擊者對原始的兩種信息進行篡改。

　　這幾種攻擊方式可以根據(jù)攻擊消息的類型分為偽造本地消息攻擊和篡改轉發(fā)消息攻擊兩大類，其中A1、A2和A3為偽造本地消息攻擊，而A4為篡改轉發(fā)消息攻擊。

3 入侵檢測模型設計

　　3.1 入侵檢測模型框架

　　針對空間網(wǎng)絡分布式的特點，采用分布式的入侵檢測模型，每個節(jié)點都獨立地收集本地的路由信息并進行攻擊檢測。入侵檢測模型的框架如圖2所示。

　　入侵檢測模型主要分為數(shù)據(jù)獲取、檢測、管理、報警等模塊。其中路由信息的收集在網(wǎng)絡數(shù)據(jù)獲取模塊中完成，經(jīng)過信息驗證模塊進行入侵檢測，一旦發(fā)現(xiàn)異常則會產(chǎn)生報警信息。如果未發(fā)現(xiàn)異常，則將路由信息發(fā)送至檢測信息管理模塊，這個模塊可以進行多個節(jié)點檢測信息的發(fā)現(xiàn)、更新、交換和整合，可以發(fā)現(xiàn)單點檢測無法發(fā)現(xiàn)的異常路由信息，并且通過信息交換通知周圍節(jié)點。

　　3.2 入侵檢測算法

　　OLSR協(xié)議中，Hello消息和TC消息的準確性可以通過網(wǎng)絡拓撲的對應關系總結出如下的約束條件：

　　C1：鄰居節(jié)點的對等性。即某一個節(jié)點的鄰居節(jié)點也一定把這個節(jié)點作為它的鄰居節(jié)點。

　　C2：MPR節(jié)點集的兩跳可達性。即某一個節(jié)點通過其MPR節(jié)點集中的節(jié)點都可以到達它所有的兩跳鄰居節(jié)點。

　　C3：MPR選取者集與MPR節(jié)點集的對應性。即如果某一節(jié)點A是節(jié)點B的MPR選取者，則節(jié)點B一定是節(jié)點A的MPR節(jié)點。

　　C4：TC消息的轉發(fā)一致性。即經(jīng)過某一節(jié)點轉發(fā)后的TC消息除了跳數(shù)、生存時間外，其他信息應該與轉發(fā)前保持一致。

　　和前文所述4種攻擊方式類似，這幾種約束條件也可以分為兩大類：第一類是生成的路由消息與網(wǎng)絡拓撲的一致性，第二類是轉發(fā)的路由消息的一致性。其中C1、C2、C3約束條件屬于第一類，C4約束條件屬于第二類。

　　（1）A1入侵方式檢測

　　A1入侵方式檢測過程如下：當收到Hello消息后，從中獲得鄰居節(jié)點信息，使用約束條件C1（鄰居節(jié)點關系是相互的）進行檢測。

　　A1算法主要涉及Hello 消息的檢測。Hello 消息主要由鄰居節(jié)點和 MPR 節(jié)點兩項信息構成。當某節(jié)點A收到某節(jié)點B發(fā)送的Hello消息，只有當節(jié)點A了解到節(jié)點B的鄰居節(jié)點情況才可能檢測這個Hello消息的準確性。節(jié)點B的鄰居節(jié)點中有三類節(jié)點：節(jié)點A、節(jié)點A的鄰居以及節(jié)點A的兩跳鄰居。由于節(jié)點A至少可以通過節(jié)點B到達節(jié)點B的鄰居節(jié)點，所以節(jié)點B的鄰居節(jié)點一定在節(jié)點A的兩跳鄰居節(jié)點范圍內。所以對于節(jié)點A來說，想對節(jié)點B發(fā)送的Hello消息進行檢測，需要掌握自身兩跳鄰居節(jié)點的拓撲信息，而這一過程需要節(jié)點A和它的鄰居進行數(shù)據(jù)交換，包括交換Hello消息以及檢測信息，以此實現(xiàn)對兩跳范圍節(jié)點拓撲信息的掌握，進而可以對收到的Hello消息的準確性進行檢測。

　?。?）A2入侵方式檢測

　　A2入侵方式檢測過程如下：當收到 Hello 消息后，從中獲得MPR節(jié)點信息，使用約束條件 C2(MPR節(jié)點集必須可以一跳到達所有的兩跳鄰居節(jié)點)進行檢測。

　　A2算法也主要涉及Hello 消息的檢測。節(jié)點A收到節(jié)點B發(fā)送的Hello消息，需要對其中的MPR節(jié)點信息進行檢測。如果節(jié)點B在MPR節(jié)點集中聲稱節(jié)點C為它的MPR節(jié)點，則節(jié)點A需要判斷B的兩跳鄰居節(jié)點是否都能通過C到達，也即節(jié)點B的兩跳鄰居節(jié)點集與C的一跳鄰居節(jié)點集是否一致。因為節(jié)點C為節(jié)點A的鄰居節(jié)點，所以節(jié)點A可以掌握節(jié)點C的一跳鄰居節(jié)點集。對于節(jié)點B的兩跳鄰居節(jié)點集，可以通過取它所有一跳鄰居節(jié)點集的鄰居的并集獲得。節(jié)點B的鄰居節(jié)點中有三類節(jié)點：節(jié)點A、節(jié)點A的鄰居以及節(jié)點A的兩跳鄰居。由A1算法的實現(xiàn)過程可以看出，這三類節(jié)點信息節(jié)點A都可以得到，因而節(jié)點A可以掌握節(jié)點B的兩跳鄰居節(jié)點集，所以通過上述分析可以進行MPR節(jié)點信息的檢測。

　　（3）A3入侵方式檢測

　　A3入侵方式檢測過程如下：當收到初始TC消息后，使用約束條件C3（MPR選取者集必須與MPR節(jié)點對應）進行檢測。

　　A3算法主要涉及TC 消息的檢測。節(jié)點A收到節(jié)點B發(fā)送的TC消息，假設節(jié)點B聲稱其MPR選取者集為(C，D，E)，節(jié)點A需要判斷節(jié)點B是否被這些節(jié)點選為MPR節(jié)點。和前面兩種入侵檢測方式類似，這個節(jié)點集中的點也分為節(jié)點A、節(jié)點A的鄰居以及節(jié)點A的兩跳鄰居三類節(jié)點，而這三類節(jié)點的信息獲取方式和前面的獲取過程一致，因此節(jié)點A可以通過TC消息對節(jié)點B的MPR選取者集進行準確性檢測。

　?。?）A4入侵方式檢測

　　A4入侵方式檢測過程如下：當收到轉發(fā)的TC消息后，按照約束條件C4進行轉發(fā)一致性檢測。即轉發(fā)TC消息時，只有跳數(shù)加1，生存時間減1，其他內容保持一致。

　　A4算法主要涉及TC 消息的檢測。TC 消息包括廣播鄰居序列號信息和 MPR 選取者信息兩項內容。由于節(jié)點的TC消息會在全部網(wǎng)絡內進行擴散，因此可以通過如下過程對TC消息進行檢測。首先，當節(jié)點B收到節(jié)點A通過全網(wǎng)廣播發(fā)送的初始TC消息時，通過類似于對Hello消息的檢測過程就可以判斷TC消息所包含的拓撲結構信息是否與網(wǎng)絡中真實的拓撲信息一致，因而可以判斷初始TC消息是否準確，是否存在被攻擊的情況。而當初始TC消息通過節(jié)點B轉發(fā)給節(jié)點C，這時節(jié)點C收到的就是被轉發(fā)的消息，節(jié)點C利用前文的約束條件C4可以檢測此轉發(fā)消息是否符合轉發(fā)一致性。利用兩種基本的TC消息檢測方法就可以對TC消息在整個網(wǎng)絡中的擴散過程進行一致性檢測。

4 仿真結果與分析

　　仿真平臺使用STK生成衛(wèi)星星座軌道數(shù)據(jù)，再導入OPNET仿真平臺。星座模型為24/3/2型Walker星座，軌道平面數(shù)為3，每個軌道平面均勻分布8顆衛(wèi)星。衛(wèi)星軌道半徑為18 000 km，軌道傾角為55°。星座運行模擬時間為24 h，模擬時間步長為60 s。

　　以攻擊方式A1為例進行入侵檢測的仿真驗證。當入侵檢測系統(tǒng)檢測到節(jié)點異常，仿真控制臺輸出信息界面把入侵節(jié)點的編號打印出來，如圖3所示，節(jié)點2成為攻擊節(jié)點。

　　圖4和圖5表示選取單次路由業(yè)務量和平均路由業(yè)務量作為輸出統(tǒng)計量的輸出結果，其中虛線為存在節(jié)點入侵但未加入入侵檢測機制時的路由業(yè)務量曲線，實線為加入了入侵檢測和安全路由機制的路由業(yè)務量曲線?？梢钥闯霎敶嬖谌肭止?jié)點時，路由業(yè)務量比較低，而加入了入侵檢測系統(tǒng)之后路由業(yè)務量可以得到明顯提升。

　　入侵檢測系統(tǒng)的建立對原網(wǎng)絡通信延遲影響的仿真結果如圖6所示。以A1算法為例，圖6中虛線曲線為未加入侵檢測算法的通信延遲，實線曲線為加入入侵檢測算法的通信延遲。可以看出，加入入侵檢測算法后，網(wǎng)絡的整體通信延遲略有增加，但增加的幅度不大，說明入侵檢測系統(tǒng)并不會明顯增加計算開銷，不會影響網(wǎng)絡的正常運行，因此證明入侵檢測系統(tǒng)，適用于空間信息網(wǎng)絡環(huán)境。

5 結 論

　　本文針對基于入侵檢測的空間網(wǎng)絡安全路由技術進行了初步研究，并證明了此安全機制的可行性。后續(xù)將研究此技術的性能及改進方法，結合空間鏈路特點及路由協(xié)議進行空間安全路由機制的進一步研究。

　　參考文獻

　　[1] Fenye Bao，Ing-Ray Chen，MoonJeong Chang，et al.Hierar-chical trust management for wireless sensor networks and itsapplications to trust-based routing and intrusion detection[J].IEEE Transactions on Network and Service Management，2012，9(2):169-183.

　　[2] MISRA S,KRISHNA P V,ABRAHAM K I.Adaptive link-state routing and intrusion detection in wireless mesh net-works[J].IET Information Security，2009，4(4)：374-389.

　　[3] UMANG S，REDDY B V R，HODA M N.Enhanced intru-sion detection system for malicious node detection in ad hoc routing protocols using minimal energy consumption[J].IET Communications，2010，4(17)：2084-2094.

　　[4] 張磊，安成錦，張權，等.CCSDS空間遙控鏈路異常行為檢測算法[J].電子與信息學報，2010，32(2)：290-295.

　　[5] 王洪玉．無線Mesh網(wǎng)中OLSR協(xié)議入侵檢測技術研究[D].鄭州：解放軍信息工程大學，2011.