marcelino santos nascimento€¦ · mitigando ataques de negação de serviço em redes de sensores...

“Mitigando Ataques de Negação de Serviço em Redes deSensores Sem Fio com Jogos Repetidos Infinitamente”

Por

Marcelino Santos NascimentoDissertação de Mestrado

Universidade Federal de [email protected]

www.cin.ufpe.br/~posgraduacao

RECIFE, SETEMBRO/2009

www.cin.ufpe.br/~posgraduacao

Universidade Federal de Pernambuco

Centro de InformáticaPós-graduação em Ciência da Computação

Marcelino Santos Nascimento

“Mitigando Ataques de Negação de Serviço em Redes deSensores Sem Fio com Jogos Repetidos Infinitamente”

Trabalho apresentado ao Programa de Pós-graduação emCiência da Computação do Centro de Informática da Univer-sidade Federal de Pernambuco como requisito parcial paraobtenção do grau de Mestre em Ciência da Computação.

Orientador: Djamel SadokCo-Orientador: Joaquim Celestino Júnior

RECIFE, SETEMBRO/2009

Catalogação na fonte Bibliotecária Jane Souto Maior, CRB4-571 Nascimento, Marcelino Santos Mitigando ataques de negação de serviço em r edes de sensores sem fio com jogos repetidos infinitamen te / Marcelino Santos Nascimento - Recife: O Autor, 2009 . x, 60 folhas : il., fig., tab. Orientador: Djamel Fauzi Hadj Sadok. Dissertação (mestrado) - Universidade Federa l de Pernambuco. CIn, Ciência da Computação, 2009. Inclui bibliografia. 1. Redes de computadores. 2. Segurança de r ede. 3. Teoria dos jogos. 4. Redes de sensores sem fio. I. Sadok, Djamel Fauzi Hadj (orientador). II. Título. 004.6 CDD (22. ed.) MEI2011 – 108

Dedico esta dissertação à toda minha família, amigos eprofessores que me deram todo o apoio necessário para

chegar até aqui.

Agradecimentos

À Deus, pela sabedoria e confiança em todos os momentos deste trabalho.

À minha família, e em especial a minha mãe e ao meu pai, que apesar de não esta-rem mais presentes foram os grandes repensáveis pela minha formação; a minha irmãpelo companheirismo; a minha esposa, Joseane, e ex-colega de graduação e mestradopela amizade, pelo amor e companheirismo, influenciando diretamente nesse trabalho.

Ao meu professor e co-orientador, Joaquim Celestino Júnior por ter acreditando nomeu potencial e acompanhado todo o desenvolvimento desta dissertação.

Ao professor e orientador Djamel Sadok pelo apoio e compreensão nos momentosde dificuldades no desenvolvimento dessa pesquisa; Ao professor Eduardo Souto portodas as dicas dadas na reta final do meu trabalho, sendo de fundamental importância.Graças a eles fui bastante feliz durante o tempo que realizei esta pesquisa em váriosaspectos de minha realização pessoal.

Enfim, a todos que diretamente ou indiretamente participaram e contribuíram de al-guma forma para a elaboração deste trabalho, meu muito obrigado.

iv

Resumo

Esta dissertação tem como objetivo prover segurança às Redes de Sensores SemFio (RSSFs) contra ataques de negação de serviço (DoS). Como não é possível evitarestes ataques, é preciso concentrar-se em mitigá-los. Uma abordagem eficiente paramitigar ataques DoS é apresentada aqui. Esta abordagem é baseada na cooperação dosindivíduos, utilizando a Teoria dos jogos Repetidos e propondo uma técnica para mitigarfalhas de segurança nas RSSFs.

Provê segurança em uma RSSFs pode ser considerada, na prática, fazer com queos nós da rede cooperem. Reforçar a cooperação entre dois ou mais nós implica atribuirconfiabilidade na comunicação de dados entre eles. A cooperação para um nó, em umjogo repetido, é benéfica para todos os nós em conjunto, durante as fases do jogo.

Quanto mais um nó coopera este melhora a sua reputação. Esta reputação podediminuir ou não aumentar quando for detectado um mau comportamento. Nessa abor-dagem propomos a detecção de atividades maliciosas, baseada em Jogos infinitamenteRepetidos, com a inclusão de sistemas de detecção de intrusão (IDS) distribuídos na rede.Os resultados de simulação mostram que o modelo de IDS proposto consegue manter odesempenho da rede mesmo quando a cooperação entre os nós é mínima.

Palavras-chave: Segurança, Teoria dos Jogos, Redes de Sensores Sem Fio.

v

Abstract

This dissertation aims to provide security in Wireless Sensor Networks, due todenial of service attacks (DoS). Because you can not prevent these attacks, we mustconcentrate on mitigate them. An efficient approach to mitigating DoS attacks is presen-ted here. This approach is based on the cooperation of individuals, using the Theory ofRepeated Games and propose a technique to mitigate security vulnerabilities in networksof sensors without Fio.

Provides Security in a Network of Wireless Sensors, can be considered in practiceto make the network nodes cooperate with each other. Strengthen cooperation betweentwo or more means we assign reliability in data communication between them. Coopera-tion on a node in a repeated game, it is beneficial to all of us together, during the phasesof the game.

The more a node cooperates, it improves their reputation. This reputation maynot increase or decrease is detected when a bad behavior. In this approach we proposethe detection of malicious nodes, based on infinitely Repeated Games with the inclusionof intrusion detection system (IDS) distributed network. The simulation results showthat the model proposed IDS is able to maintain network performance even when thecooperation between us is minimal.

Keywords: Security; Game Theory; Sensors Networks.

vi

Sumário

Lista de Figuras ix

Lista de Tabelas x

1 Introdução 11.1 Motivação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.2 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.3 Organização da Dissertação . . . . . . . . . . . . . . . . . . . . . . . . 3

2 Redes de Sensores Sem Fio 52.1 Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.1.1 Roteamento Plano . . . . . . . . . . . . . . . . . . . . . . . . 82.1.2 Roteamento Hierárquico . . . . . . . . . . . . . . . . . . . . . 102.1.3 Roteamento Geográfico . . . . . . . . . . . . . . . . . . . . . 122.1.4 Protocolo de Roteamento Seguro . . . . . . . . . . . . . . . . . 13

2.2 Considerações Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3 Segurança em Redes de Sensores Sem Fio 153.1 Tipos de Ameaças . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

3.1.1 Buraco Negro . . . . . . . . . . . . . . . . . . . . . . . . . . . 183.1.2 Encaminhamento Seletivo . . . . . . . . . . . . . . . . . . . . 183.1.3 Atraso, Repetição e Alteração de Dados . . . . . . . . . . . . . 193.1.4 Interferência . . . . . . . . . . . . . . . . . . . . . . . . . . . 203.1.5 Inundação de HELLO . . . . . . . . . . . . . . . . . . . . . . 20

3.2 Ataques de Negação de Serviço . . . . . . . . . . . . . . . . . . . . . . 203.3 Trabalhos Relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . 213.4 Considerações Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

4 Teoria dos Jogos 264.1 Forma Normal de um Jogo . . . . . . . . . . . . . . . . . . . . . . . . 28

4.1.1 O Dilema dos Prisioneiros . . . . . . . . . . . . . . . . . . . . 284.1.2 Estratégias e payoffs . . . . . . . . . . . . . . . . . . . . . . . 29

4.2 Classificação dos Jogos . . . . . . . . . . . . . . . . . . . . . . . . . . 314.2.1 Jogos Cooperativos e Não Cooperativos . . . . . . . . . . . . . 314.2.2 Jogos Estratégicos e Extensivos . . . . . . . . . . . . . . . . . 31

vii

4.2.3 Jogos de Soma Zero . . . . . . . . . . . . . . . . . . . . . . . 324.2.4 Jogos de Coalizão . . . . . . . . . . . . . . . . . . . . . . . . 32

4.3 Jogos Repetidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324.3.1 Modelo de Jogo Repetido . . . . . . . . . . . . . . . . . . . . 344.3.2 Jogos Repetidos Infinitamente . . . . . . . . . . . . . . . . . . 354.3.3 Estratégias de equilíbrio e o Equilíbrio de Nash . . . . . . . . . 35


5 Mitigando Ataques de Negação de Serviço em Redes de Sensores Sem Fiocom Jogos Infinitamente Repetidos 375.1 Formulação do Jogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395.2 Payoff e Reputação . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425.3 Descrição do Modelo . . . . . . . . . . . . . . . . . . . . . . . . . . . 435.4 Considerações Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

6 Análise e Resultados 466.1 Plataforma Utilizada . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

6.1.1 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466.1.2 Simulador e Sistema Operacional . . . . . . . . . . . . . . . . 476.1.3 Ambiente de Simulação . . . . . . . . . . . . . . . . . . . . . 496.1.4 Métricas Observadas . . . . . . . . . . . . . . . . . . . . . . . 49

6.2 Resultados de Desempenho . . . . . . . . . . . . . . . . . . . . . . . . 506.2.1 Consumo de Energia . . . . . . . . . . . . . . . . . . . . . . . 506.2.2 Vazão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536.2.3 Entrega de Pacotes . . . . . . . . . . . . . . . . . . . . . . . . 53


7 Conclusões 557.1 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Referências Bibliográficas 57

viii

Lista de Figuras

2.1 Sensores para monitoramento de condições físicas . . . . . . . . . . . . 62.2 Componentes de um nó sensor . . . . . . . . . . . . . . . . . . . . . . 6

3.1 Monitoração em áreas de difícil acesso . . . . . . . . . . . . . . . . . 163.2 Ataque de Buraco Negro contra um RSSF . . . . . . . . . . . . . . . . 183.3 Ataque de alteração de dados . . . . . . . . . . . . . . . . . . . . . . . 193.4 Ataque de inundação de HELLO . . . . . . . . . . . . . . . . . . . . . 203.5 Modelo de IDS cooperativo . . . . . . . . . . . . . . . . . . . . . . . . 233.6 Fases de detecção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

6.1 Módulo Micaz, Crossbow Technology Inc . . . . . . . . . . . . . . . . 476.2 Consumo para uma rede com 49 nós . . . . . . . . . . . . . . . . . . . 516.3 Consumo para uma rede com 49 nós . . . . . . . . . . . . . . . . . . . 526.4 Consumo médio de energia . . . . . . . . . . . . . . . . . . . . . . . . 526.5 Vazão total para os protocolos DSR e SDSR . . . . . . . . . . . . . . . 536.6 Entrega de Pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

ix

Lista de Tabelas

4.1 Batalha dos Sexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274.2 Dilema dos Prisioneiros . . . . . . . . . . . . . . . . . . . . . . . . . . 28

x

1Introdução

As Redes de Sensores Sem Fio (RSSFs) estão em constante expansão em suaárea de investigação devido a sua crescente utilização em diversos segmentos, desdeaplicações na engenharia, ciência ambiental, serviços de saúde, militares e assim pordiante. As RSSFs possuem um grande número de nós sensores que têm como objetivocoletar dados de um determinado ambiente. Esses nós sensores são dispositivos, emsua maioria, de pequeno porte, com pouca energia, memória, alcance de transmissãoe poder de processamento. Uma RSSF é auto-organizada, implicando em colaboraçãoentre os nós para atingir um objetivo comum. Uma estação base está presente na rede,sendo responsável por receber os dados coletados pelos nós sensores e realizar o devidotratamento, para posteriormente enviá-los via Internet.

Assim como nas redes de computadores, algumas aplicações que utilizam as RS-SFs necessitam de segurança. Apesar das RSSFs possuírem autonomia, estas, fisicamente,estão sempre ao alcance do mundo exterior, portanto, vulneráveis a ataques. Devido aeste fato, uma RSSF deve ter mecanismos de proteção para evitar que intrusos possammanipular os dados ou impedir a entrega dessas informações. Na maioria das vezes,devido às características dessas redes, uma proteção física não é possível.

Uma técnica de prevenção à intrusão, comumente utilizada pelas redes de compu-tadores, cobre alguns requisitos de segurança que podem ser alcançados através do usoda criptografia. Porém, nem todos os requisitos de segurança podem ser cobertos pelacriptografia. Por exemplo, considerando um nó que está comprometido pela execução deum código malicioso, mesmo que as informações roteadas por este nó estejam criptogra-fadas, isso não evita que este nó descarte pacotes.

1

1.1. MOTIVAÇÃO

A análise e criação de técnicas freqüentemente estão acompanhadas de uma estru-tura matemática que visa avaliar e prever o comportamento do sistema de forma eficiente.Várias teorias podem ser utilizadas para auxiliar o processo de modelagem, como a teoriade filas Andrade (2004) e cadeias de Markov Puterman (1994). Em particular, para asRSSFs, os nós sensores podem se comportar de forma egoísta (poupando a bateria) ao sedepararem em um sistema cooperativo, e ao tentarem obter as melhores condições para sipróprio acabam gerando um conflito de interesses.

As técnicas de modelagem citadas anteriormente não se encaixam de forma precisanesse cenário, pois as aplicações e sistemas estão se tornando cada vez mais autônomos,deixando de seguir um modo operacional anteriormente previsto. Dessa forma, a teoriados jogos, que oferece um ferramental matemático rigoroso, surge como uma opçãopromissora para modelar tais interações e tentar prever como os conflitos de interessepodem ser resolvidos.

1.1 Motivação

As RSSFs possuem muitas restrições em termos de poder de processamento, ta-manho da mensagem, alcance do rádio, espaço em memória e reserva de energia. Estasrestrições são severas em termos de recursos que limitam a aplicação de mecanismosde segurança. A importância de um mecanismo de segurança nessas redes deve sermediada levando em conta as características da aplicação e o valor que será agregadocom a incorporação de segurança. Dependendo do propósito da rede e do tipo de violaçãode segurança considerada, uma avaliação preliminar pode demonstrar que o requisitosegurança não é prioridade.

Uma violação de segurança pode acontecer em uma RSSF não só no momentoda geração da informação, mas também pode ocorrer no momento da transferência dasinformações para o usuário final.

A maioria dos protocolos de roteamento atuais, para as RSSFs, objetiva otimizar acapacidade limitada dos nós sensores. Mas estes protocolos não consideram a segurança.Embora não tenham sido concebidos com o objetivo de prover segurança, é importanteanalisar as suas propriedades e adaptabilidade de mecanismos de segurança.

2

1.2. OBJETIVOS

Devido o fato dos principais protocolos de roteamento para RSSFs não terem sidoconcebidos para prover segurança, as suas limitações de segurança são bem conhecidas.E, apesar da inclusão de segurança em um protocolo de roteamento não ser uma tarefatrivial, a incorporação de mecanismos de segurança em protocolos já existentes aparececomo uma possibilidade de realização de roteamento das informações de modo seguro.Com isto, é necessário conceber protocolos de roteamento com mecanismos nativos desegurança para as RSSFs ou modificar os protocolos já existentes para prover segurança.

1.2 Objetivos

Nesta dissertação, destacamos o trabalho de investigação na área de segurança paraRSSFs propondo uma solução baseada em modelos da Teoria dos Jogos para a detecçãode intrusão. O intuito foi gerar um modelo de segurança que mantenha a eficiênciaenergética e o tempo de vida quando uma RSSFs está sob ataque.

O estudo realizado teve dois objetivos. Primeiro, examinar o comportamento deabordagens da Teoria dos Jogos sobre as RSSFs. E segundo, apresentar um modelo deinteração entre um nó e o resto da rede como um jogo.

A abordagem proposta nessa dissertação mostrará o quanto a cooperação é benéficapara um nó ao se conectar a um RSSFs a partir da perspectiva de eficiência energética. Asolução que utiliza Teoria dos Jogos é usada para modelar comportamento cooperativodos nós.

1.3 Organização da Dissertação

Este trabalho está organizado em sete capítulos, sendo esta a introdução o primeirodeles. Os demais capítulos estão organizados da seguinte forma:

• Capítulo 2 - Neste capítulo serão abordados os conceitos básicos associados aeste trabalho, bem como os aspectos relacionados as RSSFs, especificamente aoroteamento nessas redes;

• Capítulo 3 - Aborda os conceitos de segurança em RSSFs, dando maior relevânciaaos ataques de negação de serviço. Adicionalmente serão apresentados alguns

3

1.3. ORGANIZAÇÃO DA DISSERTAÇÃO

trabalhos relacionados que irão nortear a descrição da abordagem neste trabalho;

• Capítulo 4 - Apresenta a Teoria dos Jogos, abordando modelos de jogos repetidospara prover segurança nas RSSFs e Justifica a utilização dos modelos;

• Capítulo 5 - Descreve a abordagem proposta na dissertação, explicando os modelose protocolos utilizados;

• Capítulo 6 - Apresenta o ambiente de simulação e os resultados obtidos;

• Capítulo 7 - Traz as conclusões da dissertação, bem como aborda sugestões detrabalho futuro.

4

2Redes de Sensores Sem Fio

As RSSFs podem ser usadas em monitoramento, segurança, controle e manutençãode sistemas complexos, e também em monitoramento de ambientes internos e externos.A versatilidade dessa tecnologia, utilizada na maioria dos casos para monitoramentoem locais inóspitos, torna possível a extração, de forma mais simples, de informaçõesvinculadas a um determinado ambiente, sem intervenção direta e constante do homem.Em contrapartida, uma série de novos desafios, tais como a construção de mecanis-mos cada vez mais inteligentes para coleta de dados e criação de sistemas capazes dese adaptar a novas condições ambientais Chong and Kumar (2003), ainda devem sersuperados por esta tecnologia, principalmente no que se refere à segurança da informação.

O objetivo de uma RSSF é monitorar e, eventualmente, controlar determinadoambiente. As RSSFs possuem características bastante peculiares em relação à sua es-trutura física, que é formada por uma grande quantidade de dispositivos que possuem acapacidade de sensoriamento, processamento, atuação e comunicação. Tais dispositivossão chamados de nós sensores.

Os nós sensores são distribuídos em uma área, e formam uma rede sem fio para,em conjunto, monitorar condições físicas ou ambientais, como temperatura, som, vibra-ção, pressão ou movimento. Os nós da rede atuam de forma cooperativa, disseminandouma determinada informação entre os outros nós até que os dados coletados atinjam umponto de saída e possam ser processados pela aplicação cliente. A distribuição dos nóspode ser feita de forma aleatória na área a ser monitorada Ruiz (2003).

5

As RSSFs desempenham diversas atividades importantes, como a monitoraçãode fauna e flora, monitoração ambiental, agricultura de precisão e controle de processosindustriais. Além dessas, esse tipo de rede pode ser utilizado em aplicações militares,detectando armas químicas ou biológicas, e também em aplicações médicas, comomostrado na Figura 2.1, monitorando batimentos cardíacos de um paciente Loureiro et al.

(2003).

Figura 2.1 Sensores para monitoramento de condições físicasLoureiro et al. (2003)

Os principais componentes de um nó sensor são o transceptor, para comunicaçãosem fio, a fonte de energia, a unidade de sensoriamento, a memória e o processador, comopodemos visualizar na Figura 2.2.

Figura 2.2 Componentes de um nó sensorAl-Karaki and Kamal (2004)

6

O componente lógico de um nó sensor é o software que executa no processador.Existem casos em que uma RSSF também pode ser composta de dispositivos chamadosatuadores, que permitem ao sistema controlar parâmetros do ambiente monitorado.

Os nós de uma RSSF podem ser descartados, perdidos ou saírem de serviços pordiferentes razões, como falta de energia, problemas na distribuição dos nós sensores noambiente de interesse, ameaças, ataques à segurança, falhas nos componentes e falhas decomunicação.

Para a utilização em larga escala dos sensores, estes são construídos com tama-nho e custos reduzidos. Isso resulta nas correspondentes limitações em recursos, comoenergia, memória interna, poder computacional e largura de banda. Individualmente, osnós possuem pouca capacidade de energia, mas, com um esforço colaborativo entre osmesmos, é possível realizar as funções inerentes às RSSFs Ruiz (2003).

Em resumo, as únicas características que podemos associar às RSSFs, são:

• Sensores de dimensão reduzida;

• Limitações de energia, tanto de consumo como de armazenamento;

• Condições ambientais adversas, que podem contribuir para a degradação da capaci-dade de comunicação;

• Mau funcionamento dos nós;

• Mobilidade dos nós, contribuindo para uma alteração dinâmica da topologia darede;

• Falhas de comunicação, devendo a rede ser capaz de encontrar novos caminhospara fazer chegar informação ao destino;

• Funcionamento não assistido, ou seja, sem a intervenção direta e constante dohomem;

• Padrão de tráfego, no qual os nós sensores geram pacotes para os nós destinos erecebem, destes, orientações e comandos.

7

2.1. ROTEAMENTO

Os nós de uma RSSF operam, geralmente, sem a intervenção humana direta, ouseja, não é comum a manipulação dos nós sensores para a correção do posicionamento,ou a necessidade de pré-determinar a posição desses nós sensores. Isto permite que adispersão dos nós seja feita de forma aleatória em terrenos inacessíveis ou em locais decatástrofe. Por outro lado, isso também significa que a rede deve comportar protocolos ealgoritmos que possuam mecanismos para auto-gerenciamento (auto-configuração, auto-manutenção, auto-organização e auto-proteção), devido à deposição em áreas remotas, àpouca capacidade individual dos nós e à topologia dinâmica Ruiz (2003).

Com a auto-organização dos nós sensores, é vital que as informações coletadassejam entregues aos nós destino, exigindo que os nós sensores encontrem rotas paraexecução desta tarefa.

2.1 Roteamento

Devido às limitações de hardware e escalabilidade, as RSSFs enfrentam difi-culdades no que se refere ao encaminhamento das informações. Dificuldade, esta, queproporcionou uma intensa pesquisa na busca de algoritmos de encaminhamento Al-Karakiand Kamal (2004) mais eficientes e que proporcionem menor custo para os nós sensores.Os principais problemas, ligados ao encaminhamento das informações, estão associadosao elevado custo da criação e manutenção das rotas, bem como à topologia dinâmica darede, falhas e ataques por nós maliciosos.

Em geral, o roteamento nas RSSFs pode ser visto de diversos aspectos quantoà sua taxonomia. Nesta dissertação, optamos pela seguinte divisão: roteamento plano,roteamento hierárquico e roteamento por localização (Geográfico) Ruiz et al. (2004).

2.1.1 Roteamento Plano

No roteamento plano, todos os nós sensores possuem papéis ou funcionalidadesiguais. Esses nós colaboram entre si para executar a tarefa de sensoriamento, ou seja,quando um sensor fonte dispõe de uma informação que deve ser transmitida, ele deveencontrar uma rota até o sensor sorvedouro, ou ponto de acesso (PA) ou ainda a estaçãobase, que é um nó sensor especial com maior poder de processamento, armazenamentode memória, comunicação e energia.

8

2.1. ROTEAMENTO

A maior robustez da estação base é necessária, pois a estação base é responsávelpela interligação da RSSF com o usuário. Caso o nó sensor fonte seja vizinho da estaçãobase, a conexão será direta, caso contrário, a rota será constituída de múltiplos saltos(através de um ou mais sensores intermediários).

Os sensores que se encontram próximos ao sensor sorvedouro tendem a participarcom maior freqüência do processo de transmissão de dados. Desta forma, existe umagrande possibilidade destes nós sensores esgotarem suas baterias antes dos demais senso-res da rede, limitando, assim, o tempo de vida da rede como um todo Delicato (2005).

Em Kulik et al. (2002) é proposta uma família de protocolos adaptativos chamadosSensor Protocols for Information Negotiation (SPIN), que divulga todas as informaçõesentre os nós e assume que todos os nós da rede são potenciais estações base. Isso permiteque um usuário consulte qualquer nó e obtenha as informações necessárias de imediato.No SPIN, quando um nó percebe que sua energia está perto de um limite pré-estabelecido,o mesmo se adapta participando menos da disseminação de dados.O protocolo possui três tipos de mensagens básicas: de aviso (ADV), de requisição (REQ)

e de dados (DATA). Inicialmente, o sensor difunde uma mensagem de aviso contendo ummetadado (isto é, um descritor dos dados). Se o vizinho está interessado nos dados, eleenvia uma mensagem de requisição e somente então os dados serão enviados. O processoé repetido até que todos os nós sensores da rede, que tenham interesse nos dados, recebamuma cópia.

Shah e Rabaey Shah and Rabaey (2002) propõem um protocolo buscando otimizara vida útil da rede através da economia de energia (Energyaware routing protocol). Ofuncionamento básico consiste no uso ocasional de um conjunto de caminhos escolhidosatravés de uma função de probabilidade. Essa probabilidade depende do consumo deenergia de cada caminho. Assume-se que cada nó possui um endereço e informação sobresua localização e seu tipo.O protocolo funciona baseado em três operações ou fases: configuração, comunicação dedados e manutenção de rotas. Na fase de configuração, ocorre uma inundação localizadapara encontrar rotas entre os pares origem-destino, calculando o custo de cada caminho.Desta forma, são criadas tabelas de rotas. Na fase de comunicação de dados, cada nóencaminha o pacote escolhendo aleatoriamente um nó na sua tabela de roteamento, comuma probabilidade que é inversamente proporcional ao custo do nó. Na fase de manuten-

9

2.1. ROTEAMENTO

ção de rotas é realizada uma inundação localizada da rede para reparar qualquer caminhoquebrado.

Em Chalermek et al. (2000) é proposto o paradigma para agregação de dados. Oprotocolo Directed Diffusion apresenta uma mudança de paradigma na forma de comu-nicação, ou seja, o roteamento passa a ser centrado nos dados e um mecanismo paraagregação de dados é implementado. O roteamento baseado nos dados ocorre atravésda requisição da informação de interesse. Quando algum nó possui uma informação deinteresse de outro nó, este envia a informação ao nó que requisitou. Já a agregação dedados, significa que os nós intermediários podem agregar seus dados em um simplespacote para reduzir o volume total de dados transmitidos. Os nós de origem lançam ainformação de interesse para a rede para, por exemplo, medir a temperatura do ambiente.Sempre que as condições dessa informação forem verificadas (temperatura exceder umdado limite), esse evento é reportado à rede, difundindo-se até o nó de origem. Ao invésde receber pedidos regulares de um nó fonte, é o próprio sensor destino que toma ainiciativa sempre que a condição requerida for verificada.

2.1.2 Roteamento Hierárquico

Neste esquema de roteamento, os nós sensores desempenham papéis diferentesna rede. No roteamento hierárquico, são estabelecidas duas ou mais classes distintasde nós: nós fontes e nós líderes de grupos (clusters), conhecidos como clusters heads

(CHs). Basicamente, uma classe fica encarregada das atividades normais, e a outra classese encarrega de receber e transmitir as mensagens enviadas pelos elementos da primeiraclasse, destinadas à estação base. Neste tipo de roteamento, os nós sensores simplesmentecoletam e enviam os dados para o CH de seu grupo, que pode executar fusão/agregaçãodesses dados antes de enviá-los para a estação base, diminuindo, assim, a quantidade demensagens transmitidas pela rede, e economizando energia Ruiz et al. (2004).

Em Heinzelman and Balakrishnan (2000) é apresentado um protocolo de agrupa-mento (clustering) hierárquico para redes de sensores, denominado Low Energy Adaptive

Clustering Hierarchy (LEACH). O protocolo foi desenvolvido para redes homogêneas eutiliza ciclos durante os quais são formados agrupamentos de nós, denominados clusters,onde um nó é escolhido como líder. O LEACH seleciona aleatoriamente poucos nós sen-sores para atuarem como CHs e, periodicamente, substitui os CHs entre os nós sensores

10

2.1. ROTEAMENTO

para distribuir a carga de trabalho e energia entre os nós sensores da rede. Os CHs sãoresponsáveis por reunir os dados enviados pelos membros do cluster, aplicar um meca-nismo de compressão nesses dados (para reduzir a comunicação global na rede) e enviaro resultado para a estação base. A coleção de dados é realizada periodicamente. Portanto,este protocolo é mais apropriado quando há a necessidade de monitoração constante darede pelos nós sensores. Após certo intervalo de tempo, uma rotação aleatória dos CHs éconduzida de forma a balancear a dissipação de energia na rede.

Outro protocolo de roteamento hierarquico é o TEEN (Threshold sensitive Energy

Efficient sensor Network), proposto em Manjeshwar and Agrawal (2001). O TEEN

funciona de forma similar ao LEACH, exceto pelo fato de que os nós sensores podemnão possuir dados a serem transmitidos em certos períodos. Os autores deste protocolopropõem classificar as redes de sensores em redes pró-ativas e redes reativas. Uma redepró-ativa monitora o ambiente continuamente e possui dados a serem enviados a umataxa constante. Em uma rede reativa, os nós somente enviam dados quando a variávelsendo monitorada se incrementa acima de certo limite.

O TEEN utiliza a estratégia de formação de líderes do LEACH, mas adota umaestratégia diferente na fase de transmissão de dados, fazendo uso de dois parâmetroschamados Hard Threshold (Ht) e Soft Threshold (St) para determinar a necessidade detransmissão do dado coletado. Se um determinado valor exceder Ht pela primeira vez, odado é armazenado em uma variável e transmitido durante o intervalo (slot) de tempoalocado à transmissão do nó. Em seguida, se o valor monitorado exceder o valor armaze-nado por uma magnitude de St , o nó transmite o dado imediatamente. O valor enviado éarmazenado para comparações futuras Ruiz et al. (2004).

Cluster-based self-Organizing Data Aggregation, CODA, proposto por Lee et al.

(2006). é um algoritmo de clusterização para rede de sensores sem fio, onde a divisão darede em clusters é baseado na distância entre os nós e no número de clusters sugeridopelo usuário para a RSSF.Assim como no protocolo LEACH, todos os nós da rede executando o algoritmo CODA

estão sincronizados e participam da clusterização em intervalos periódicos. Através daenergia remanescente dos nós sensores, da distância entre os nós e do número de nós emum cluster, clusters heads são eleitos. O algoritmo consiste de três fases:

11

2.1. ROTEAMENTO

1. Init: A primeira fase elege CHs baseado na energia disponível dos nós e reelegeCHs que têm um custo mínimo de distância dentro de um cluster.

2. Merge: Esta fase une clusters que têm uma quantidade de membros abaixo de umvalor Merge definido pelo usuário.

3. Partition: A partição de clusters é realizada nesta fase quando o número máximode nós em um cluster ultrapassa um valor Partition, definido pelo usuário.

O protocolo TTDD (Two-Tier Data Dissemination) adota uma hierarquia de doisníveis para disseminar dados. É utilizada uma estrutura em grade, onde apenas sensoreslocalizados em pontos de interseção da grade precisam adquirir informação de encami-nhamento de dados. Grades são construídas periodicamente para cada fonte de dados narede. Cada fonte de dados constrói a grade e configura a informação de encaminhamentonos sensores mais próximos aos pontos da grade (chamados nós de disseminação - funçãoanáloga aos nós cluster-head’s em metodologias baseadas em clusters). Proposto porLuo et al. (2003), esse protocolo possui uma desvantagem que é o gasto com tráfego decontrole (overhead) associado com a manutenção e recálculo das grades, tornando-sedesaconselhável seu uso em redes onde a topologia muda com freqüência Al-Karaki andKamal (2004).

2.1.3 Roteamento Geográfico

No roteamento baseado em localização (Geográfico), as posições dos nós sensoressão exploradas para encaminhar os dados na rede. Os protocolos de roteamento geográ-fico utilizam informações geográficas obtidas através de um Sistema de PosicionamentoGlobal (Global Positioning System, GPS), ou através de um sistema local válido somentepara os sensores da rede. O GEAR Yan et al. (2001) é um exemplo de protocolo de rotea-mento geográfico que busca minimizar o consumo de energia dos sensores, endereçandoregiões através de retângulos. Um algoritmo guloso é utilizado para o reenvio dos dados,onde o sensor que efetuará o envio será aquele que apresentar o menor custo de envio atéa região desejada. O custo do envio é calculado através da distância e da quantidade deenergia residual dos nós que encontram-se no caminho.

A cada pacote enviado para a região, uma função custo é recalculada, de forma aotimizar o caminho de repasse dos dados. Ao encontrar a região destinatária dos dados,

12

2.1. ROTEAMENTO

o protocolo difunde os pacotes através de uma partição recursiva da região em quatroseções. O pacote é enviado para um nó de cada uma das seções, e o algoritmo é aplicadorecursivamente até que as subseções sejam vazias. Em regiões onde a densidade dos nósé pequena, a difusão dos dados é feita via broadcast.

Ao contrário do GEAR, o GPSR (Greedy Perimeter Stateless Routing) permiteendereçar apenas um nó Karp and Kung (2000). O GPSR utiliza dois algoritmos pararoteamento dos dados. Quando um nó identifica um vizinho que está mais próximodo destino, o protocolo repassa os dados para este vizinho. Se não existe um vizinhomais próximo, o pacote deve ser repassado para um nó mais distante, para evitar umaregião onde a cobertura de nós é baixa. Nestas situações, o protocolo usa o algoritmo deroteamento de perímetro que constrói um grafo planar para identificar para qual vizinhorepassar os dados.Como vantagens do protocolo podemos destacar o uso de informações locais da vizi-nhança para roteamento e o uso de algoritmos geométricos simples, que possibilitam aimplementação do protocolo em nós sensores com poucos recursos de memória e proces-sador. O protocolo assume que é possível identificar todos os nós da rede eficientementevia informações geográficas. Para facilitar a construção desta tabela, os nós da redeoperam em modo promíscuo, armazenando as informações de localizações contidas nospacotes interceptados.Com esta abordagem, os autores argumentam que a atualização dos dados geográficosé facilitada. Em contrapartida, o rádio deve sempre permanecer ligado, o que consomemais energia Ruiz et al. (2004).

2.1.4 Protocolo de Roteamento Seguro

Além dos protocolos citados na subseção anterior, há outros protocolos de ro-teamento propostos para redes de sensores sem fio. Alguns protocolos, originalmentecriados para redes Ad hoc sem fio, como On-demand Distance Vector Protocol (AODV) eDynamic Source Routing (DSR) foram adaptados para as RSSFs e têm demonstrado bonsdesempenhos Johnson and Maltz (2001). Todavia, a maioria destes protocolos não estábem adaptada ao modelo típico das RSSFs devido às suas limitações de energia, memóriae processamento. Possuindo, também, sérias limitações de segurança, que tornam asRSSFs vulneráveis à ataques.

13

2.2. CONSIDERAÇÕES FINAIS

2.2 Considerações Finais

As limitações de energia e processamento nas RSSFs são um problema bastante co-nhecido, e essas limitações impõem desafios relacionados à segurança das RSSFs. Nestecapítulo, discutiu-se em detalhes a camada de rede das RSSF. Foram discutidos algunsdesafios encontrados para os protocolos de roteamento em RSSF, desafios decorrentesdas características que diferem as RSSF de redes sem fio comuns. Quanto à classificação,dividiu-se os protocolos de roteamento para RSSF em três grupos: protocolos de rotea-mento plano, protocolos de roteamento hierárquico e protocolo de roteamento geográfico.Para cada grupo, foram apresentados exemplos de protocolos propostos na literatura.

14

3Segurança em Redes de Sensores Sem Fio

As RSSFs impõem desafios únicos que são inerentes à sua arquitetura. Em primeirolugar, é necessário pensar em RSSFs economicamente viáveis, pois os sensores possuemlimitações de energia, processamento e comunicação. Em segundo lugar, os sensorespodem ser depositados em ambientes hostis, de difícil acesso. E, por fim, os sensoresinteragem com pessoas e com o próprio ambiente, o que agrega às RSSFs mais problemasde segurança Perrig and Wagner (2005) pois as informações transmitidas nas RSSFspodem ser do interesse de terceiros, visto que estas informações trafegam usualmente emambientes abertos e desprotegidos.

Aliados às limitações de localização e arquitetura, existem os problemas de segu-rança nas RSSFs, que podem estar presentes em falhas de software ou de hardware dosmecanismos de coleta e envio dos dados, em falhas nos protocolos de comunicação ou naadulteração de nós sensores. Algumas destas limitações são as mesmas encontradas emoutros tipos de redes, o que nos leva a concluir que alguns dos mecanismos de segurançautilizados nas redes infraestruturadas podem ser utilizados ou adaptados para as RSSFs,como os mecanismos de criptografia. Contudo, devido às limitações de recursos, essastécnicas não podem ser aplicadas diretamente nas RSSFs. Dependendo da escolha doalgoritmo para cifrar e decifrar as mensagens enviadas pelos nós, essa escolha podeprovocar o aumento do consumo de energia e de processamento. Isto porque, quantomais complexo (em termos de processamento e tamanho da chave) for o algoritmo, maiorsegurança oferece. Entretanto, mais energia será gasta e, conseqüentemente, o tempo devida das RSSFs diminuirá Akyildiz et al. (2002).

As limitações de arquitetura, especificamente a limitação de energia, é o fatormais crítico em uma RSSF, pois os nós sensores podem ser depositados em áreas remotas,

15

conforme mencionado anteriormente, dificultando o acesso a esses elementos para manu-tenção. Qualquer tipo de dispositivo de segurança construído para uma RSSF deve serprojetado levando em consideração o baixo consumo de energia Shi and Perrig (2004). Aviolação de segurança pode acontecer em uma RSSF não só na geração de informação,mas também no envio para o usuário final.

Um sensor sem fio deve ser capaz de perceber como está a segurança do ambientefísico. Podemos supor um processo coletivo para que seja possível passar a percepçãode segurança para os demais nós. Tal relacionamento de confiança deve ser idealizadode forma a não expor os nós às falhas de segurança. Caso isso aconteça, os nós podempassar por violações Fei and Neeraj (2005). Porém, para algumas aplicações de RSSFs, asegurança é crucial, uma vez que as RSSFs podem ser implantadas em ambientes hostis.Um exemplo são as aplicações em campos de batalha, onde há uma necessidade prementede sigilo de localização e resistência à subversão da rede D. Wood and A.Stankovic(2002). A Figura 3.1 demonstra a aplicação de nós sensores em uma área de difícil acesso,em que uma RSSF é utilizada para monitorar os diferentes fenômenos físicos de vulcõesativos.

Figura 3.1 Monitoração em áreas de difícil acessoWerner-Allen et al. (2005)

Para prover segurança em redes, são utilizados métodos de detecção de intrusão,que são um processo de descoberta e análise de atividades não autorizadas em uma rede,permitindo, assim, que seja descoberta a violação de confidencialidade, integridade edisponibilidade das informações e recursos. Podemos dizer que um intrusion detection

system (IDS) consiste em um software responsável por obter informações e identificarsinais de intrusão e tentativas de ataques sobre o sistema a ser protegido. O IDS não inclui,necessariamente, algum esquema de reação à intrusão, estes sistemas são projetados paradetectar anomalias nas redes decorrentes de ataques por indivíduos maliciosos.

16

3.1. TIPOS DE AMEAÇAS

Um nó malicioso pode gerar uma informação maliciosa à aplicação do usuário,modificando as decisões a serem tomadas. Em uma aplicação de vigilância, por exemplo,um nó invasor pode informar uma temperatura acima de um limiar e fazer o sistemaacionar as medidas antiincêndio, ou mesmo suprimir uma informação de incêndio ecausar danos materiais ou à vida.

Por fim, a inserção de nós maliciosos na rede geralmente interfere no softwareou hardware de um nó, de modo a alterar seu comportamento. Dessa forma, os tipos deataques presentes nas RSSFs são diferentes dos ataques para os quais algumas soluçõesde IDS foram construídas, sendo necessário idealizar sistemas de detecção de intrusãoque respondam à ataques característicos das RSSFs Shi and Perrig (2004).

3.1 Tipos de Ameaças

Muitos ataques às RSSFs são considerados variações dos ataques provenientes dasredes infraestruturadas, como, por exemplo, um adversário, nó malicioso, pode alterar("spoof") pacotes, e comprometer a autenticidade da comunicação sem fio ou injetarsinais de interferência na rede; ou, ainda, um nó comprometido por um código maliciosopode consumir a bateria do nó receptor Perrig and Wagner (2005).

Outra potencial falha de segurança em RSSFs é o próprio ambiente onde essessensores são depositados. O nó sensor pode sofrer manipulação por operadores malicio-sos, facilitados pelo posicionamento dos sensores em locais pouco protegidos. Quandoacontece esse ataque, o nó é retirado da rede, é modificado, e inserido novamente, po-dendo comprometer o funcionamento da rede. No entanto, poderemos utilizar técnicasde detecção de intrusão para encontrar os nós comprometidos. Uma alternativa paracontornar esse tipo de ataque, é a utilização de protocolos que possam excluir rotas defei-tuosas, rotas que sofreram ataques, tais como os ataques de Encaminhamento Seletivo eInundação por pacotes de controle.

A maioria dos ataques direcionados às RSSFs está relacionada ao roteamento,tais como: a atualização anormal da tabela de roteamento, pacotes maliciosos em umarota, rotas falsas ou pedidas, indução por envio de pacotes, falta de resposta do destino,codificação incorreta de pacotes e falha ao transmitir pacotes. Alguns desses ataques po-

17


dem ser considerados como ataques de negação de serviço, Denial-of-Service (DoS), poisesses objetivam desabilitar serviços ou comprometer o funcionamento dos fornecedoresde algum serviço. Isso pode ser obtido através da destruição de nós ou da sobrecarga daestação base, responsável por coletar as informações de todos os nós da RSSF. Em Karlofand Wagner (2003) são descritos diversos tipos de ataques.

3.1.1 Buraco Negro

Buraco Negro é uma forma simples de ataque de encaminhamento seletivo. Nesteataque, um nó malicioso atua como um buraco negro para atrair todo o tráfego na RSSF,agindo com maior eficiência em um protocolo baseado em inundações. Neste ataque,o atacante ouve pedidos de rotas e envia as respostas para os nós destino. As respostasenviadas geralmente contêm um caminho mais curto para a estação base. Uma vezque o dispositivo malicioso foi capaz de inserir-se entre os nós de comunicação (porexemplo, a estação base e um nó sensor), este é capaz de fazer qualquer coisa com ospacotes que passam por aquela rota. Este ataque pode afetar até mesmo os nós que estãoconsideravelmente longe da estação base. A Figura 3.2 mostra a visão conceitual de umburaco negro Pathan et al. (2006), onde há um agente malicioso entre os nós e a estaçãobase.

Figura 3.2 Ataque de Buraco Negro contra um RSSFPathan et al. (2006)

3.1.2 Encaminhamento Seletivo

O ataque de encaminhamento seletivo impede que algumas mensagens sejamencaminhadas, pois nós maliciosos podem se recusar a transmitir determinadas mensagense simplesmente descartá-las, garantindo que essas mensagens não sejam propagadas. Oataque de encaminhamento seletivo pode ser usado para fazer um ataque de negação de

18


serviços direcionado a um determinado nó. Se todos os pacotes são descartados, temosum ataque de buraco negro.

3.1.3 Atraso, Repetição e Alteração de Dados

O objetivo do nó intruso é atrasar, repetir ou alterar o conteúdo das mensagensque deveriam ser retransmitidas. Esse ataque visa atrair quase todo o tráfego provenientede uma determinada área através de nó que está comprometido. Tendo em vista quetodos os pacotes seguem pelo mesmo caminho comprometido, o atacante tem muitasoportunidades para adulterar os dados. Por conseqüência, os nós intrusos podem criarlaços (loops), repelir o tráfego, aumentar ou diminuir rotas, gerar falsos erros, particionara rede, e, ainda, aumentar a latência de entrega da informação.

Um ataque pode fazer, por exemplo, com que o roteamento de informações entreem loop, ou seja, a informação nunca alcançará o destino, passando sempre pelos mesmosnós, fazendo com que os nós gastem muita energia para enviá-la e recebê-la. A Figura3.3 mostra um tipo de ataque de atraso onde um nó malicioso se passa por um nó estaçãobase, fazendo com que todas as informações da rede sejam destinadas a ele.

Figura 3.3 Ataque de alteração de dadosKarlof and Wagner (2003)

19

3.2. ATAQUES DE NEGAÇÃO DE SERVIÇO

3.1.4 Interferência

Este tipo de ataque, conhecido por Jamming, é uma das modalidades de DoS paraas RSSFs, onde o nó afetado causa um ruído no meio, o que atrapalha a comunicaçãoentre os nós. Esse ataque pode atingir a rede inteira, ou parte dela, dependendo do alcancede sinal do intruso D. Wood and A.Stankovic (2002).

3.1.5 Inundação de HELLO

Muitos protocolos de roteamento utilizados nas RSSFs exigem que os nós sensoresenviem pacotes de sinalização, chamados de mensagens de HELLO, para indicar apresença à seus vizinhos. Um atacante, com maior potência de sinal, pode enviar essetipo de pacote para uma quantidade máxima de nós sensores que ele consiga, para queestes aceitem suas mensagens como sendo autênticas, como mostra a Figura 3.4. Assim,rotas falsas vão sendo construídas e os nós sensores tentarão enviar mensagens para osnós maliciosos D. Wood and A.Stankovic (2002).

Figura 3.4 Ataque de inundação de HELLOD. Wood and A.Stankovic (2002)

3.2 Ataques de Negação de Serviço

Proporcionar disponibilidade requer que o sensor de rede esteja funcionando aolongo de sua vida. Os ataques de DoS muitas vezes resultam na perda de disponibilidade.Na prática, a perda de disponibilidade pode ter graves conseqüências. Por exemplo, emuma indústria onde os sensores são utilizados para acompanhamento do funcionamento de

20

3.3. TRABALHOS RELACIONADOS

um equipamento ou aplicação, a perda de disponibilidade pode causar falha em detectarum potencial acidente e resultar em prejuízos financeiros Shi and Perrig (2004).

Os ataques de DoS revelam-se como uma grande ameaça à infraestrutura dasredes. O principal objetivo desses ataques é evitar o acesso aos recursos por operadoreslegítimos AusCERT (2008). Entretanto, apesar da definição acima ser a mais utilizadae conhecida, pode-se definir esse tipo de ataque como qualquer evento que diminua acapacidade da rede de desempenhar suas funções, como os tipos de ataques mencionadosnessa seção. Falhas de hardware e de software, insuficiência de recursos, condiçõesambientais, ou qualquer junção desses fatores podem causar uma negação de serviçoD. Wood and A.Stankovic (2002).

No caso das RSSFs, em D. Wood and A.Stankovic (2002) os ataques de negaçãode serviço são classificados de várias formas, conforme a camada que esses ataques agem.Segundo os autores, na camada física, os ataques podem interferir na faixa de freqüênciade rádio dos nós, podendo ocupar o canal de transmissão que está sendo utilizado. Já nacamada de enlace, um atacante pode gerar colisões e, conseqüentemente, o esgotamentodo protocolo que tenta uma nova transmissão repetidamente.

Uma grande quantidade de defesas contra os ataques de DoS foram propostas naliteratura, mas nenhuma delas apresenta uma solução definitiva de proteção. Atualmente,podemos considerar que haverá sempre hospedeiros vulneráveis. Hoje, não é possívelevitar ataques de negação de serviço, porque muitos desses ataques se baseiam nautilização de protocolos que provêem serviços comuns, aproveitando-se de falhas dessesprotocolos para inundar a rede e parar os serviços. Por estas razões, até o momento,podemos apenas mitigar esses ataques.

3.3 Trabalhos Relacionados

Devido à natureza individual dos nós, às falhas de protocolos e outros mecanismosque fazem parte do modelo das redes atuais, a ocorrência de ataques é cada vez maiscomum na arquitetura das RSSFs. Os ataques de DoS são um dos exemplos de ataquesque podem ser encontrados nos logs de ferramentas de detecção de intrusão. Esse tipo deataque tem como objetivo bloquear o serviço de operadores legítimos. Em uma rede decomputadores, por exemplo, um atacante pode bloquear um operador e receber maior

21


quantidade de banda. Já em uma RSSF, um nó malicioso pode prejudicar o desempenhoda rede consumindo a bateria de um vizinho D. Wood and A.Stankovic (2002).

Algumas soluções foram propostas com o intuito de minimizar o impacto dosataques de negação de serviços nas RSSFs, mas as restrições de recursos das RSSFstornam a sua aplicação dependente de uma avaliação prévia sobre o ganho obtido comessa solução, pois tais soluções podem diminuir consideravelmente os recursos dos nóssensores.

Em Agah and Das (2007) os autores propõem uma técnica de prevenção de ataquesde negação de serviço em uma RSSF, especificamente na camada de roteamento, comoum jogo repetido entre o detector de intrusões e os nós da RSSF, onde alguns destes nósagem de forma maliciosa. O IDS, residente na estação base, monitora a cooperação entreos nós. Se o desempenho de algum nó é considerado baixo, em comparação com umvalor limite, isso significa que o nó está agindo maliciosamente. Há na solução propostaum ponto central de falha, onde a estação base é responsável por monitorar todos os nósda rede.

Em Otrok et al. (2007) o objetivo dos autores é aumentar a eficiência do sistema dedetecção de intrusões diminuindo a quantidade de falsos positivo. A detecção de intrusõesé feita entre os nós móveis em uma estrutura cooperativa modelada pela Teoria dos Jogos.No modelo proposto, a cooperação entre nós móveis é necessária para detectar a intrusãocom baixo índice de falsos positivo. Cada nó na rede participa de forma cooperativana detecção e respostas às intrusões. A Figura 3.5 demonstra o esquema cooperativoproposto em Otrok et al. (2007) onde a rede é modelada como um grafo não orientado, eN = (N1, ...,Ni) é um jogo de nós móveis.

O modelo é descrito como um sistema de descoberta de intrusão distribuídocooperativo onde cada nó da rede participa na detecção e resposta às intrusões. Cadanó móvel executa localmente um IDS que realiza coleta de informações e descobertade anomalias. Neste trabalho, os autores mencionam apenas dois tipos de ataques quepodem ser identificados pelo IDS proposto, que são os ataques de envenenamento decache e os de inundação maliciosa Otrok et al. (2007). O que limita a aplicabilidade desolução, já que os ataques de negação de serviço possuem diversas variações.

22


Figura 3.5 Modelo de IDS cooperativoOtrok et al. (2007)

Em da Silva et al. (2005) é proposto um IDS descentralizado onde alguns nósmonitores da rede são responsáveis pelo acompanhamento dos seus vizinhos, à procurade intrusos. Os nós escutam as mensagens na sua faixa de alcance de rádio e armazenamem um buffer mensagens específicas, que serão úteis ao sistema de detecção de intrusão,que executa dentro do próprio sensor. Nesta abordagem, não há nenhuma colaboraçãoentre nós IDS, no sentido de correlacionar as mensagens monitoradas por cada nó monitor.Nesse caso, os monitores podem adquirir visões diferentes da rede, fazendo com quealguns possam detectar uma intrusão ou não. Além dessa limitação, o consumo de energiapelos nós monitores também é um fator negativo desse trabalho. A Figura 3.6, mostra aarquitetura do IDS em questão onde são apresentadas as fases de detecção realizada peloIDS.

Figura 3.6 Fases de detecçãoda Silva et al. (2005)

23


Com o objetivo de monitorar uma RSSF, Roman and Lopez (2006) propõe adivisão da rede em dois tipos de nós: os nós agentes locais e os nós agentes globais. Osagentes locais apenas monitoram suas próprias informações, o que se refere às suas ativi-dades locais. Já os agentes globais, devem monitorar as atividades de comunicação dosseus vizinhos, se comportando como um inspetor de tráfego, um detector de intrusão, queconsegue verificar se o que está sendo encaminhado trata-se de pacotes de nós maliciososou se há vizinhos que estão descartando pacotes.

Em Agah et al. (2004), um framework de detecção é apresentado. O objetivo éformular um problema de ataque e defesa utilizando a Teoria dos Jogos e o Processo deDecisão Markov (MDP - Markov Decision Process) Puterman (1994) para visualizar nóssensores com características maliciosas. O MDP é usado para modelar situações onde énecessário executar ações em seqüência em ambientes com incerteza. Neste framework,os autores propõem um esquema de ataque e defesa com dois jogadores, um jogo desoma zero e jogos não cooperativos entre um atacante e um sensor de rede. Nas RSSFs,são utilizados três esquemas diferentes para detecção.

Em todos os esquemas, a rede é dividida em clusters, e dentro desses grupos umnó possui a função de cluster-head. São utilizadas duas técnicas de clusterização paradeterminar qual o melhor nó que será designado como cluster-head, com funções de IDS.Na primeira abordagem, os autores definem um jogo não-cooperativo entre o atacante eos nós. Através do Equilíbrio de Nash, decidem qual nó cluster-head deve monitorar arede. O Equilíbrio de Nash representa uma situação em que, em um jogo envolvendo doisou mais jogadores, nenhum jogador tem a ganhar mudando sua estratégia unilateralmente.

Na segunda abordagem, é usado o MDP para determinar quais os nós que o IDS

(cluster-head) protegerá. Há dois processos de eleição, um para encontrar os líderes eoutro para encontrar os nós monitorados. Nessa abordagem, devido às várias fases dedetecção, haverá um consumo maior de recursos dos nós.


Este capítulo discutiu as limitações de uma RSSF e os tipos de ameaçasdecorrentes de problemas de segurança enfrentados por elas. Na ausência de adequadasegurança, a implantação de RSSF continua vulnerável a uma variedade de ataques.

24


Os ataques mencionados na seção 3.1 se originam através da inserção de nósmaliciosos na rede, que interagem com a rede no momento do ataque. O invasor podetanto retirar informações da rede para uso próprio, forjar informações ou impossibilitarque as informações cheguem até a estação base, comprometendo a rede na realizaçãodo seu propósito. É neste contexto que a prevenção de intrusões em redes se apresentacomo área de recente pesquisa e interesse, objetivando uma rápida e eficaz visualizaçãoda situação dos diversos sistemas que utilizam a infraestrutura de uma rede, que podeestar sofrendo algum tipo de ataque. No caso particular das RSSFs, esses ataques podemcomprometer as coletas de informações, evitando, assim, que a rede de sensor cumpraseu objetivo.

As propostas mencionadas na seção 3.3 foram criadas na tentativa de identificarataques de operadores maliciosos dentro de uma RSSF. O problema dessas abordagenssitua-se na restrição que possuem, seja na quantidade reduzida de ataques que identificam,deixando a rede suscetível a outros ataques, ou pela inclusão de um dispositivo centralpara monitorar toda a rede, deixando a segurança da rede condicionada ao funcionamentode um único dispositivo.

Este trabalho tem como principais objetivos demonstrar a importância da coo-peração entre os nós sensores, incentivando o comportamento cooperativo entre um nóespecífico da rede com os seus vizinhos, modelando tal interação como um jogo, e realizarum estudo das abordagens da Teoria dos Jogos sobre as RSSFs. Este trabalho investiga oquanto pode ser benéfica a cooperação entre os nós, sob a perspectiva de segurança emuma RSSF, na prevenção de um ataque ou uma recusa de serviço.

25

4Teoria dos Jogos

Teoria dos jogos é um conjunto de ferramentas matemáticas desenvolvidas paraauxiliar na tomada de decisão onde há o conflito de interesses. Essa teoria é consideradao ramo da matemática aplicada que avalia a forma de decisão de múltiplos jogadores queinteragem entre si em uma situação de estratégia Camerer (2003), a partir da compreen-são lógica da situação na qual estão envolvidos. Uma situação de interação estratégicacompreende uma interação onde os participantes reconhecem a interdependência mútuade suas decisões Fiane (2006).

Dentro de um determinado cenário, onde se desenrola um jogo, cada pessoa oujogador possui um conjunto de opções disponíveis. A escolha de uma dessas opçõespor parte de um jogador é a sua estratégia, e o total das opções (ações) disponíveis é oconjunto de estratégias. O resultado do jogo está associado às escolhas de cada jogador.E, como a intenção de cada jogador é ser vencedor, cada um possui suas preferências noque se refere ao resultado do jogo. Uma recompensa numérica para cada jogador estáassociada a cada resultado do jogo. Esta recompensa modela o benefício ou a perda quecada jogador terá de Souza e Silva and Figueiredo (2007).

A Teoria dos Jogos assume que os jogadores têm o pleno conhecimento do jogoem questão, e que adotarão comportamento com o objetivo de vencê-lo, ou seja, compor-tamento racional e inteligente. Atuando como um agente racional, que aplica a lógica àspremissas dadas para chegar às suas conclusões Fiane (2006).

Para ilustrar um jogo, consideremos a situação de confronto entre duas pessoasdo sexo oposto. O jogo que ilustra essa situação é conhecido como Batalha dos Sexos,onde um casal está decidindo aonde vai se encontrar e qual será o programa que fará para

26

passar a noite. Ambos valorizam, mais que qualquer outra coisa, passar a noite juntos.Ele, um dos jogadores, prefere ir ao futebol a ir ao show de música popular, que aconteceao mesmo tempo da partida. Enquanto Ela, o segundo jogador, prefere ir ao show demúsica Fiane (2006). A forma estratégica dessa interação pode ser observada na Tabela4.1.

Tabela 4.1 Batalha dos Sexos

ElaEle

Futebol ShowFutebol 1, 2 -1,-1Show -1,-1 2, 1

No jogo Batalha dos Sexos, os jogadores obtêm uma recompensa maior casoescolham o mesmo programa, ainda que Ela prefira ir ao show e Ele ao futebol. O fato éque nenhum dos dois quer fazer seu programa predileto sozinho. Ele prefere ir ao showcom Ela a ir ao futebol sozinho, e Ela, da mesma forma, prefere ir ao futebol com Elea ir sozinha ao show. Esse jogo serve como representação geral daquelas situações deinteração estratégica em que os jogadores ganham sempre que coordenam suas decisões,mas têm preferências distintas sobre que tipo de coordenação deve ser adotado Fiane(2006).

Muitos modelos da Teoria dos Jogos são utilizados na economia, mas, atualmente,essa técnica vem sendo aplicada em outras áreas, tais como: Matemática Pura, Psicologia,Sociologia, Finanças, Militar e na Ciência da Computação. Há duas principais formasde utilização da Teoria dos Jogos. Pode-se utilizar essa técnica para analisar sistemasexistentes ou utilizá-la como uma ferramenta para projetar novos sistemas e, também,para modelar sistemas existentes como um jogo Camerer (2003).

Os modelos da Teoria dos Jogos podem ser utilizados para estudar as propriedadesdos sistemas. Por exemplo, é possível analisar o comportamento de diferentes usuários noacesso a um provedor de serviços utilizando modelos da Teoria dos Jogos de Souza e Silvaand Figueiredo (2007). Em outra abordagem, é possível modelar técnicas de segurançaem redes utilizando a Teoria dos Jogos, ou seja, ao invés de escolher o jogo e avaliar seuresultado, a Teoria dos Jogos objetiva modelar o jogo para alcançar um resultado desejado.O processo termina quando um jogo satisfatório é descoberto e as características dessejogo podem ser implementadas no sistema avaliado.

27

4.1. FORMA NORMAL DE UM JOGO

4.1 Forma Normal de um Jogo

4.1.1 O Dilema dos Prisioneiros

O dilema dos prisioneiros é, provavelmente, o tipo de jogo mais popular da teoriados jogos. Ele é, também, um dos jogos mais estudados e aplicados em diversas áreas doconhecimento, pois o jogo captura um problema fundamental entre o interesse individuale o interesse do grupo.

Suponha que dois ladrões foram presos pela polícia, com algumas evidênciascircunstanciais (foram vistos rondando de forma suspeita o local do roubo na noite docrime), mas nada de muito definitivo. Detidos por, supostamente, cometer um crime emconjunto, estão sendo interrogados simultaneamente em salas separadas. Se um delesapresentar provas que incriminem o colega, e o outro não apresentar, o que delatou oparceiro será liberado em razão da sua cooperação, enquanto o outro suspeito (o que nãoconfessou) irá amargar quatro anos de prisão. Se, ao contrário, ele não confessar, mas seuparceiro o fizer, será ele que enfrentará os quatro anos de prisão, enquanto seu parceiroserá libertado. Entretanto, caso ambos confessem, a cooperação individual de um delesperde o valor como denúncia do comparsa, e ambos enfrentam uma pena de dois anos deprisão (menos do que quatro anos em função da confissão de ambos). Finalmente, casonenhum acuse o outro, suas penas serão moderadas, somente de um ano, pois não háprovas suficientes para condená-los com maior rigor.

O jogo está ilustrado na Tabela 4.2 onde as estratégias disponíveis para cadajogador são "Confessa"(delatar o parceiro) e "Não Confessa"(não delatar o parceiro).Observe que a recompensa deste jogo indica o número de anos de cadeia. Dessa forma,os jogadores preferem valores de recompensa menores Fiane (2006).

Tabela 4.2 Dilema dos Prisioneiros

Ladrão 1Ladrão 2

Confessa Não ConfessaConfessa 2, 2 0,4Não Confessa 4,0 1, 1

Uma simples análise do jogo revela que a estratégia "Confessa"domina a estratégia"Não confessa". Ou seja, independente do que o outro prisioneiro fizer, é sempre melhordelatar o parceiro. Mas, observe que há algo curioso sobre este resultado: individual-

28


mente, é sempre melhor delatar. Porém, se ambos ficarem em silêncio, ambos sairãoganhando. Isto ilustra o conflito entre o interesse individual e o interesse do grupo. Aracionalização individual nem sempre leva ao melhor resultado para o grupo, ou atémesmo para o próprio indivíduo. Assim, poderíamos concluir que a melhor opção seriaentão não delatar o parceiro. Porém, não dá para ter certeza de que o outro irá cooperar,não confessando de Souza e Silva and Figueiredo (2007). O estímulo à cooperação é umdos principais problemas da Teoria dos Jogos, em situações onde a individualidade trazbenefício sobre comportamento em grupo.

O dilema dos prisioneiros descreve uma situação onde a cooperação leva a ummelhor resultado para os ladrões. Note, entretanto, que, se um jogador tem qualquerrazão para acreditar que o outro não irá manter o acordo de cooperação, então sua melhorchance é confessar. Dessa forma, esse jogador garante a sua interdependência de escolhade estratégia.

A Teoria dos Jogos lida com esse tipo de conflito ou situação de cooperação commodelos da matemática. Uma vez que um jogo tenha sido formulado, não há margempara interpretações diferentes, como no exemplo do dilema dos prisioneiros. Em outraspalavras, um jogo tem uma definição matemática precisa. Tendo em mãos um exemplo,podemos definir formalmente mais um jogo, que, na forma estratégica, é definido comoum conjunto de três elementos:1. Um conjunto de jogadores. Normalmente denominados por números (1,2, ..., i);2. O espaço de estratégia pura, Si, para cada jogador i. Uma combinação de estratégias,ou seja, um vetor ordenado S = (S1,S2, ...,Si) é chamado espaço de estratégia. O conjuntode todos os perfis de estratégia é o produto cartesiano dos espaços de estratégia;3. As funções de utilidade de cada jogador, Ui(S), onde S é um espaço de estratégiasFiane (2006).

4.1.2 Estratégias e payoffs

Um jogador é qualquer indivíduo ou organização envolvido no processo de inte-ração estratégica que tenha autonomia para tomar decisões Fiane (2006). Os jogadorestêm à sua disposição um conjunto finito de ações, jogadas e estratégias. Uma ação ou ummovimento de um jogador é uma escolha que ele pode fazer em um dado momento dojogo, já a estratégia é um plano de ações que especifica, para um determinado jogador,que ação tomar em todos os momentos em que ele tiver que decidir o que fazer Fiane

29


(2006).

O conjunto de estratégias de cada jogador e as recompensas podem ser associadas,ou seja, podemos representar os possíveis ganhos de cada jogador em função da sua estra-tégia escolhida. Considerando o exemplo do dilema dos prisioneiros, com os jogadores(ladrões) 1 e 2, as estratégias seriam, conforme as equações 4.1 e 4.2:

S1 =C,N� �4.1

S2 =C,N� �4.2

onde C designa confessar, N designa não confessar.

Os payoffs do jogador 1 designam-se por u1 e dependem da combinação daestratégia escolhida pelo jogador 1 com a estratégia escolhida pelo jogador 2. Assim,com u1(N,N) = 1, u1(N,C) = 4, u1(C,N) = 0 e u1(C,C) = 2, os payoffs do jogador 2são: u2(N,N) = 1, u2(N,C) = 0, u2(C,N) = 4 e u2(C,C) = 2.Portanto, o jogo é totalmente descrito em termos de estratégias e de payoffs. A função deutilidades de cada jogador sintetiza os payoffs deste. Para o jogador 1, podemos escrevê-lacomo na equação 4.3.

u1 = x,y� �4.3

onde x pode ser qualquer uma das estratégias do jogador 1 e y qualquer uma das estraté-gias do jogador 2, isto é, x = C ou N e y = C ou N.

Substituindo as variáveis x e y da função de utilidade pelas estratégias escolhidasreencontramos os payoffs acima definidos. Do mesmo modo para o jogador 2.

O objetivo da teoria dos jogos é determinar uma lei ou um conjunto de regras queum jogador deve observar, para que, ao fim de um número finito ou infinito de jogadas, oseu ganho seja máximo.

30

4.2. CLASSIFICAÇÃO DOS JOGOS

Ao final das etapas do jogo, o ganho de cada jogador pode ser representado pelosomatório dos ganhos de cada fase. Assim, o jogador que possuir o maior somatóriorelativo ao ganho de cada fase, será o ganhador Camerer (2003).

4.2 Classificação dos Jogos

Os jogos podem ser classificados de diversas formas. Nessa seção, serão abordadosalgumas classificações e tipos de jogos.

4.2.1 Jogos Cooperativos e Não Cooperativos

Os jogos podem ser divididos em não cooperativos e cooperativos, segundo aforma como os jogadores se comportam. Quando os jogadores formam coalizões, a fimde conquistar um determinado objetivo, podemos dizer que os jogadores estão coope-rando, participando de um jogo cooperativo. Já nos jogos não cooperativos, os jogadoresnão se envolvem em nenhum tipo de acordo formal Fiane (2006). No caso dos jogoscooperativos, podemos induzir a cooperação para diminuir a incidência de jogadoresegoístas, ou seja, a cooperação pode ser utilizada para excluir comportamentos individuasdos jogadores.

4.2.2 Jogos Estratégicos e Extensivos

Nos jogos estratégicos, os jogadores tomam as suas decisões simultaneamente.Embora o jogo possa durar algum tempo, os jogadores não podem reagir aos resultados eàs ações do jogo, pois não conhecem as decisões dos outros jogadores Camerer (2003).O dilema dos prisioneiros, subseção 4.1.1, e a batalha dos sexos são exemplos de jogosestratégicos. Por outro lado, um modelo de jogo na forma extensiva define as possíveisordens dos eventos. Os jogadores podem tomar decisões durante o jogo e eles podemreagir às decisões de outros jogadores Camerer (2003). Um jogo na forma extensiva podeser finito ou infinito. Um exemplo de jogo na forma extensiva são os jogos repetidos,onde um jogo é jogado inúmeras vezes e os jogadores podem observar o resultado dosjogadas anteriores antes de realizar qualquer ação na próxima repetição. Mais detalhessobre os jogos repetidos serão dados nas próximas seções.

31

4.3. JOGOS REPETIDOS

4.2.3 Jogos de Soma Zero

Jogos podem ser divididos de acordo com o seu retorno. Um jogo é chamadode soma zero se a soma de suas utilidades é uma constante em todos os resultados,independente do ganho por um jogador e perda dos outros jogadores. Jogos de soma zerosão também chamados jogos estritamente competitivos de Souza e Silva and Figueiredo(2007).

4.2.4 Jogos de Coalizão

No jogo estratégico e no jogo na forma extensiva, a solução de um jogo é umconjunto de ações e estratégias. Nos jogos de coalizão, as ações individuais de cadajogador não são estudadas, mas o objetivo é encontrar subconjuntos de jogadores oucoligações a partir do qual nenhum membro tenha um incentivo para "quebrar"a coalizão.Jogos de coalizão podem possuir a utilidade transferível ou não. Se o pagamento total deuma coalizão é definido e os membros da coalizão podem dividir o pagamento de formaarbitrária ou não, nesse caso, existem utilidades transferíveis. Porém, se os membros nãopuderem dividir o pagamento, não existem utilidades transferíveis Gintis (2000).

4.3 Jogos Repetidos

Os jogos estudados até agora são caracterizados por apresentarem um único con-fronto entre os jogadores, ou seja, os jogadores jogam uma única vez. Após receberemsuas recompensas, os jogadores não voltam a se confrontar. Entretanto, há situaçõesonde o mesmo confronto entre dois jogadores pode se repetir. Este tipo de situação émodelado utilizando o conceito de jogos repetidos de Souza e Silva and Figueiredo (2007).

Num jogo repetido, os jogadores apresentam a possibilidade de estabelecer umareputação de cooperação, induzindo, desta maneira, o outro participante a procederde forma similar. Toda estratégia irá depender se este jogo terá um número finito ouinfinito de jogadas. Esse processo de interação estratégica permite que se construa umahistória entre os participantes com o objetivo de analisar a história do comportamentodos jogadores para avaliar a conveniência de prosseguir ou não no jogo Fiane (2006).

32


Entretanto, embora o jogador conheça as decisões que foram tomadas em etapasanteriores, estes podem ser chamados a decidir sem uma idéia prévia da escolha dosoutros jogadores naquela etapa.

Os jogos repetidos são uma amostragem de como induzir a cooperação, mesmoquando os participantes apresentam ganhos significativos ao se portarem de forma contrá-ria, não cooperando em cada etapa Fiane (2006). Vale lembrar que não há nenhum órgãocom poder coercitivo, ou seja, assim como nos contratos informais, não existe nenhumainstituição que cobre a execução do comportamento cooperativo.

Nos jogos que apresentam previsão de que ocorra uma nova rodada, os jogadorescooperam por acreditarem que assim incentivarão a cooperação posterior dos demaisenvolvidos no jogo. Todavia, sendo este jogo finito, não há nada que motive a cooperaçãode um jogador na última rodada Fiane (2006).

Os jogos que são repetidos infinitas vezes proporcionam um maior meio de in-fluenciar o comportamento de seu oponente, pois ambos buscam garantir seus ganhosfuturos e uma incerteza quanto à cooperação já é argumento forte suficientemente paraque se busque a Eficiência de Pareto 1

Um exemplo de aplicação dos jogos repetidos está na relação comercial entre duasempresas, em que uma das empresas compra um insumo específico da outra empresa, ouseja, uma matéria prima que tem de ser entregue com determinadas características físicase em um dado prazo, para não atrasar o processo produtivo da empresa compradora. Aomesmo tempo, para oferecer esse insumo, a empresa produtora tem de realizar certosinvestimentos em volume significativo, os quais somente atendem às necessidades daempresa compradora, e que deixa de certa forma a empresa produtora na dependência deque seu cliente cumpra as condições contratuais do fornecimento do insumo, realizandoos pagamentos acertados contratualmente, para que a empresa produtora não tenha prejuí-zos. Ainda que a empresa compradora não possa ter certeza acerca do comportamento daempresa fornecedora do insumo na etapa atual da transação, ela pode observar a históriada relação comercial com a empresa fornecedora no momento de encomendar uma novaentrega do insumo específico Fiane (2006).

1Um resultado de um jogo tem eficiência de Pareto se nenhum outro resultado oferece a todos osjogadores uma recompensa melhor

33


O mesmo pode ser feito pela empresa produtora quanto ao comportamento doseu cliente ao honrar os compromissos anteriores. Por sinal, essa é uma prática bastantecomum no mundo dos negócios: observa-se a história do comportamento dos parceirosao se ponderar a conveniência de prosseguir com a relação Fiane (2006).

Neste trabalho foram utilizados jogos repetidos para prover cooperação entreos nós sensores, aliados com mecanismos de reputação. Quando envolvidos em umasituação de repetição, os jogadores devem considerar não apenas os seus ganhos emcurto prazo, mas também os seus retornos de longo prazo. Por exemplo, se o Dilema doPrisioneiro for jogado uma vez, ambos os jogadores irão desertar. Se, porém, o jogo serepetir por algumas vezes, então a possibilidade de cooperação surgirá. Assim, a idéiageral dos jogos repetidos é que os jogadores possam ser capazes de dissuadir um outrojogador a explorar a sua vantagem em curto prazo, para que este seja, provavelmente,punido, e que ocorra uma redução do seu ganho a longo prazo.

4.3.1 Modelo de Jogo Repetido

Nesta subseção será apresentado o modelo geral de um jogo repetido, onde osjogadores i = 1, 2, ...,N jogam um jogo durante o tempo t = 0, 1, 2, ...,P, onde P representaa etapa final do jogo. Cada jogador possui um espaço de ações A, e, durante as etapasdo jogo, tomam alguma ação ai ∈ A. Esse modelo pode ser aplicado a um jogo na formanormal, como o Dilema do Prisioneiro e a Batalha dos Sexos.

Os jogos repetidos são definidos da seguinte forma: primeiro, é preciso especificaros jogadores, o espaço de ações e as funções de utilidade. Cada fase do jogo é jogadaem um determinado período de tempo. No final de cada período, todos os jogadoresobservam as ações realizadas. O jogo é finitamente repetido se T < ∞, e é infinitamenterepetido caso contrário.

As estratégias dos jogadores é o conjunto de ações at = (at1,a

t2,a

t3, ...,a

tn). Dado

uma ação no período t (e, portanto, ati é a ação escolhida pelo jogador i nesse período),

temos a primeira história do jogo definida por h0 . A história dentro de um jogo repetidono período t ≥ 1 é definido como ht , ou seja, a seqüência das ações realizadas pelosjogadores pode ser escrita conforme a equação 4.4.

34


ht = (a0,a1,a2, ...,at−1)� �4.4

Por exemplo, um eventual quinto período da história do dilema do prisioneirorepetido, subseção 4.1.1, é h4 = ((C, C), (C, N), (C, C), (N, N)). Note que, como o jogocomeça no período t = 0, o quinto período é indicado por h4, porque os quatro períodossão 0, 1, 2 e 3. Ao final de cada jogo, o ganhador é conhecido através do somatório dopagamento (utilidade) de cada período do jogo Myerson (1997).

4.3.2 Jogos Repetidos Infinitamente

Conforme vimos anteriormente, os jogos repetidos possuem um determinadonúmero de fases, que corresponde ao número de confrontos entre os mesmos jogadores.Classificaremos um jogo como infinito, quando os jogadores não souberem quando ojogo acabará. Em cada fase do jogo repetido, os jogadores se confrontam no jogo base.A recompensa de cada jogador é dada pela recompensa acumulada em todas as fasesanteriores. Diferentemente dos jogos repetidos finitos, a recompensa obtida em umadeterminada fase será ponderada por um fator de desconto δ , onde normalmente o fatorde desconto é definido no intervalo de 0 < δ < 1. O fator de desconto é incluído com oobjetivo de modelar o fato de que uma recompensa obtida no futuro vale menos que umarecompensa igual obtida no presente. Se a recompensa (utilidade) na k-ésima repetiçãodo jogo é Uki, a representação da função de utilidade do jogo repetido é calculada pelaequação 5.1.

N

∑k=0

δkUki

� �4.5

Onde N é o número de repetições do jogo, que pode ser infinito.

4.3.3 Estratégias de equilíbrio e o Equilíbrio de Nash

Podemos analisar um jogo através das estratégias que conduzem aos seus possíveisequilíbrios. Dessa forma, existem dois tipos de equilíbrios que podem ser analisados: oequilíbrio de estratégias dominantes e o equilíbrio de Nash.Uma estratégia dominante pode ser definida como a melhor resposta para qualquer estra-tégia que tenha sido escolhida pelos outros jogadores, e que proporciona sempre o maiorpagamento (payoff) Rasmusen (1989). Quando as estratégias adotadas por jogadorespermanecem inalteradas, diz-se que há um equilíbrio de estratégias. Podemos dizer que

35


uma combinação de estratégias constitui um equilíbrio de Nash quando cada estratégia éa melhor resposta possível em relação às estratégias dos demais jogadores Fiane (2006).

O equilíbrio de Nash é um dos conceitos mais importantes da teoria dos jogos,pois define um conceito de solução para os jogos. Entretanto, o equilíbrio de Nash é oponto onde nenhum jogador pode aumentar sua recompensa mudando unilateralmentede estratégia. Nesse sentido, todo equilíbrio de estratégias dominantes é também umequilíbrio de Nash, mas nem todo equilíbrio de Nash é um equilíbrio de estratégiasdominantes.


A teoria dos jogos apresenta a vantagem de considerar que cada agente faz suasescolhas observando as ações dos demais agentes, isto é, há uma interação estratégica. Aclassificação do jogo, de acordo com os diversos tipos possíveis de jogos, permite que serepresente, com maior ou menor fidelidade, diversas situações de conflito real. No casodos jogos repetidos, temos uma classe de modelos onde o mesmo conjunto de agentes,em um jogo de fases, interage estrategicamente durante um tempo, que pode ser infinitoou não. Em contraste com a situação em que agentes interagem apenas uma vez, qualquerresultado mutuamente benéfico pode ser sustentado como um equilíbrio quando agentesinteragem repetidamente e com freqüência.

36

5Mitigando Ataques de Negação de

Serviço em Redes de Sensores Sem Fiocom Jogos Infinitamente Repetidos

Neste capítulo, será apresentado o modelo de interação entre um nó, detector deintrusão, e o resto da rede como jogo infinitamente repetido, onde a meta é observar ocomportamento dos nós em contribuição aos objetivos da rede, que pode estar sofrendoum ataque de recusa de serviço ou alguma atividade maliciosa que visa comprometer asfunções dessa rede.

A infraestrutura das RSSFs possuem características de auto-organização. O fun-cionamento da rede é baseado na cooperação dos nós e sua vizinhança. Quando um nóse conecta a uma RSSF, terá benefícios e obrigações a partilhar. Podemos chamar debeneficio, a quantidade de energia que esse nó pode economizar. Uma das obrigaçõespode ser, por exemplo, encaminhar o tráfego para os outros nós. Conseqüentemente, o nótem que participar das funções da rede, como a descoberta de rotas para encaminhamentode informações. Cada nó precisa considerar sua participação na rede e, ao mesmo tempo,poupar seus recursos. Em uma situação de ataque de negação de serviço, essa interaçãoentre os nós se torna ainda mais complexa. Assim, temos esta situação como um modelode Jogo, onde os jogadores são os nós IDS, e o resto da rede é composta por nós comunssem a função de IDS.

A Teoria dos Jogos ajuda a entender, teoricamente, o processo de decisão de agen-tes que interagem entre si, a partir da compreensão da lógica da situação em que estãoenvolvidos Fiane (2006). Ao modelar uma situação de estratégia, utilizando a Teoria dos

37

Jogos, estamos avaliando a situação de forma lógica, com o objetivo de determinar comoos agentes devem agir para resolver o confronto da melhor maneira possível de Souza eSilva and Figueiredo (2007).

Uma forma de mitigar a degradação do desempenho da rede, prevenindo contraos ataques de negação de serviço, é modelar um sistema de descoberta de intrusão distri-buído, através da Teoria dos Jogos, no qual alguns nós atuam como IDS, monitorando ofluxo de tráfego na rede e colecionando estatísticas pertinentes sobre sua vizinhança.

O desempenho da rede pode ser medido através da avaliação da quantidade depacotes encaminhados, da vazão da rede e do atraso na transmissão dos dados. Essasmétricas ajudam a identificar possíveis atividades maliciosas na rede, decorrentes deataques de recusa de serviço. Os nós denominados detectores de intrusão são responsáveispor capturar a interação entre os demais nós através do monitoramento, com o objetivode prover confiança entre os nós. As estatísticas, decorrentes do tráfego da rede, sãocomparadas com valores pré-definidos, e, caso o desempenho de um determinado nó sejabaixo, esse nó possivelmente está agindo de forma maliciosa e deve ser excluído dasrotas válidas e, conseqüentemente, das funções da rede. Para atribuir confiança, ou não,ao nó, utilizamos o conceito de reputação subjetiva Michiardi and Molva (2002), que éacumulativa a cada fase do jogo.

O processo de interação descrito avalia o comportamento dos nós da RSSF acada fase do jogo, e os nós conhecem o resultado da colaboração das etapas anteriores.Existem processos de interação estratégica que se desenrolam no tempo, e, desse modo,possuem uma história que é de conhecimento comum dos jogadores.

Este trabalho propõe a construção de um modelo de colaboração entre os nós darede através dos jogos repetidos infinitamente, onde os nós que possuírem comporta-mento malicioso sofrerão punição, com um instrumento de coação externo Fiane (2006).Entende-se como comportamento malicioso o nó que descarta pacotes ou encaminhaquantidade excessiva de pacotes na rede.

Com os Jogos Repetidos, podemos avaliar a formação de acordos informais.Nestes acordos, as partes envolvidas devem perceber como pode ser interessante honrartais contratos. Nesse tipo de jogo, cada jogador possui a possibilidade de construir uma

38

5.1. FORMULAÇÃO DO JOGO

reputação que o acompanhará e poderá induzir o outro jogador a realizar o mesmo; ahipótese de um jogo futuro proporciona que os jogadores busquem uma cooperaçãomútua Gibbons (1992).

Em um jogo repetido, os jogadores apresentam a possibilidade de estabelecer umareputação de cooperação, induzindo desta maneira, o outro participante a proceder deforma similar. Esse processo de interação estratégica permite que se construa uma históriaentre os participantes, assim, avalia-se esta história do comportamento dos jogadoresno decorrer das etapas do jogo Fiane (2006). Embora o jogador conheça as decisõesque foram tomadas em etapas anteriores, estes podem ser chamados a decidir sem umaidéia prévia da escolha dos outros jogadores naquela etapa. Os jogos repetidos são umademonstração de como induzir a cooperação, mesmo quando os participantes apresentamganhos significativos ao se portarem de forma egoísta, não cooperando em cada etapa.

5.1 Formulação do Jogo

Descrevemos o modelo proposto como um sistema de descoberta de intrusãodistribuído cooperativo, onde alguns nós da rede colaboram no processo de detecçãode intrusões. Os nós escolhidos como IDS avaliam a sua vizinhança objetivando adescoberta de anomalias. Essa avaliação é baseada na observação de estatísticas doencaminhamento do tráfego da rede e da atribuição de uma reputação para cada nó avali-ado. O processo de avaliação de estatísticas de tráfego e atribuição de reputação serãodiscutidos nas próximas seções. No estudo realizado, foi considerado um tipo de ataquee suas variações, o ataque de negação de serviço, que visa degradar o desempenho da rede.

Este modelo propõe uma técnica de prevenção de ataques de negação de serviçoem uma RSSF, especificamente na camada de roteamento, como um jogo repetido entreos nós da RSSF, onde alguns destes nós agem de forma maliciosa, possivelmente por estarsob um ataque de negação de serviço. O objetivo é analisar estratégias de cooperação eprojetar um esquema de cooperação. O Jogo ocorre em infinitas etapas onde os jogadoressão:Os nós da rede, (quando estes são apenas nós comuns, executando as funções normais daRSSF);Agentes de detecção (exercem as atividades de um nó comum e também agem como umIDS).

39


Durante o jogo, os nós sensores procuram obter ganhos nas diversas etapas, e,dessa forma, aumentar a sua reputação na rede. No inicio do jogo, são eleitos os nósconsiderados detectores de intrusão, através de um processo de eleição de IDS. Essesnós, detectores de intrusão, são responsáveis por monitorar sua vizinhança e atribuir areputação para os vizinhos.

A eleição dos IDS’s é uma adaptação da eleição de líderes de grupo do protocoloLEACH Heinzelman and Balakrishnan (2000), que tem como objetivo aumentar o tempode vida da rede. Nesta fase, os nós sensores, que recentemente foram IDS, possuemuma menor probabilidade de exercer o papel de IDS nas etapas seguintes, distribuindoa energia consumida de forma uniforme. Assim, uma fração pré-determinada de nós p

elege-se como IDS. Cada nó sensor escolhe um número aleatório r, entre 0 e 1. Se essenúmero gerado é menor que um valor pré-determinado, T(n), o nó torna-se um IDS narodada corrente. No caso do modelo proposto, uma rodada corresponde a uma etapa dojogo repetido. O valor pré-definido T(n) é calculado baseado na equação que incorpora aporcentagem desejada de IDS´s na rede, a rodada corrente e o conjunto de nós que nãotêm sido selecionados como líderes nas últimas (1/p) rodadas. Essa equação é dada por:

T (n) =p

1− p(r mod 1p),∀n ∈ G

� �5.1

onde G é o conjunto de nós que estão envolvidos na eleição.

O comportamento cooperativo entre os nós pode resultar na atribuição de boareputação para esses nós. Cooperar, realizando as funções normais da rede, é um sinalpositivo na rede. Os nós que são considerados maliciosos são isolados. Um exemplo denó com características maliciosas é quando esse nó descarta pacotes que entram na rede epassam por ele. Este nó pode estar sofrendo um ataque de buraco negro. O Jogo modelaa interação entre nós (normal ou malicioso) e os agentes de detecção em uma rede desensor, como um jogo repetido infinitamente. Os N jogadores jogam um jogo cooperativoem cada etapa do jogo, que é modelado da seguinte forma:

Considere um jogo G, que possui diversas etapas. Considere um conjunto dejogadores/nós representado por I = (1, ...,N). As estratégias de cada nó participante dojogo em cada etapa são chamadas de ações, denominadas por Ai, onde A representa oconjunto de ações para o nó i. Considere ai

t como uma ação em uma etapa do jogo G

40


que um nó i executa no período t. A ação jogada no período t é o conjunto de açõesindividuais de cada etapa do jogo, at = (at

1, ....,atn). Uma vez, a cada etapa do jogo, cada

IDS atribui uma reputação r para os nós de sua vizinhança. O valor do pagamento ao nó,a reputação, é baseada nas ações realizadas pelos nós, que são métricas de participaçãodo nó na rede. As métricas são:

• NFP(Ni) Número de pacotes que passaram pelo nó Ni;

• NRack (Ni) Número de confirmações de recepção recebidas pelo nó Ni;

• NRP(Ni) Número de pacotes recebidos pelo nó Ni;

• NEVP(Ni) Número de pacotes enviados para o nó Ni;

A razão entre essas grandezas ajuda a identificar atividades maliciosas, e, combase nessas informações, pode-se chegar à identificação de ataques de recusa de serviço.Aprimeira relação estabelece a razão entre o número de pacotes encaminhados pelo nóe o número de confirmações de recepções para esse nó, representado pela função F daequação 5.2:

f (Ni) =NFP(Ni)

NRack(Ni)

� �5.2

Conforme definido anteriormente, os participantes da rede possuem uma carac-terística chamada de reputação. Essa reputação pode ser baixa ou alta, dependendo dasações e métricas de cada nó. Os membros do grupo sabem sua própria reputação, mas nãosabem a dos outros membros do grupo. Como o jogo é formado por períodos, a reputaçãode um membro em um período pode ser deduzida de sua reputação em períodos ante-riores, mas o nó apenas possui essa percepção de história do jogo no final de cada período.

A definição de história, no tempo t, é ht = (a0,a1, ...,at−1), em outras palavras, ahistória no tempo t representa a ação em uma etapa do jogo, que foi jogada anteriormente.Podemos definir como st

i o conjunto de ações escolhidas pelo jogador em cada etapa dojogo. Então, escrevemos o nó i, no período t da etapa do jogo, em função da estratégia st

i ,onde at

i = sti(h

t), é a ação em uma etapa do jogo, que deve ser jogada no período t, se ojogo anterior tiver seguido a historia ht .

Quando o jogo começa, não há nenhuma ação da etapa enterior, cada nó executauma ação a0

i na etapa do jogo. O primeiro período do jogo gera a história h1 = (a0), que

41

5.2. PAYOFF E REPUTAÇÃO

será registrada em cada agente de detecção, onde a0 = (a01, ....,a

0n). Esta história serve de

referência para os agentes condicionarem seu primeiro período do jogo sobre o períodozero. Cada nó "escolhe", na etapa t = 1 do jogo, a estratégia st

1(h1), ou seja, se o nó

contribui com as funções normais da rede ou age maliciosamente. Consequentemente,na etapa do jogo t = 1, o perfil da estratégia do jogo a1 = (s1

1(h1), ...,s1

n(h1)) é jogado.

Cada nó comum da rede tem uma função de utilidade que é definida sobre os resultadosda etapa do jogo. O Jogo é jogado várias vezes, e é atribuído a cada nó um pagamento,que é a soma de todos os pagamentos adquiridos a cada período de jogo.

5.2 Payoff e Reputação

Em uma RSSF, os nós necessitam partilhar os seus recursos com os demais nós.Cada nó tem que contribuir para a descoberta de rota e encaminhamento dos pacotes. Noentanto, um nó poderia poupar os seus recursos não encaminhando os pacotes, e, dessaforma, não cooperando com as funções da rede. Para estimular a cooperação entre osparticipantes da rede, será atribuído um mecanismo de ganho para cada nó. No fim dojogo, cada jogador obtém um pagamento. Podemos associar este número ao montanteque foi obtido ou perdido, por cada jogador (nó da rede), durante todas as fases do jogo.

Para a avaliação da reputação, adotaremos o conceito de reputação subjetiva,definida em Michiardi and Molva (2002), onde cada nó armazena em uma tabela a suareputação, a qual possui um identificador único. A atribuição da reputação consiste emassociar métricas de comportamento, que são diretamente observados, às observações in-diretas para cada operação do sistema conhecido (como um pacote descartado ou enviado).

Para cada interação direta entre os nós do sistema, é computada uma operação natabela no intervalo de [-1, 1], com uma classificação mais elevada para as operações comsucesso. As interações são gravadas, e, ao longo do tempo, são combinadas utilizandouma média ponderada, atribuindo maior relevância às observações passadas. A razão damaior relevância para as observações passadas, é que, o mau comportamento esporádico,em observações recentes, deve ter uma influência mínima sobre a avaliação do valor dareputação final. Os pesos são normalizados de tal forma que a média seja também definidano intervalo [-1,1]. Já as observações indiretas são coletadas a partir de mensagens deresposta enviadas pelos demais nós da rede.

42

5.3. DESCRIÇÃO DO MODELO

5.3 Descrição do Modelo

No modelo proposto, a estação base difunde uma mensagem (MsgStage) na redepara iniciar o processo de eleição de IDS’s, conforme apresentado na seção 5.1 destecapítulo. Nesse momento, tem início a 1° etapa do Jogo repetido. O algoritmo 1realiza o processo de eleição de líderes para determinar se o nó será IDS ou não. Osoftware de aplicação associa um valor calculado a partir da probabilidade de torna-seIDS. Em seguida, um número aleatório entre 0 e 1 é gerado. Caso este seja menor que aprobabilidade, o nó será (linha 14 do algoritmo 1). IDS neste ciclo. Uma probabilidade écalculada de acordo com a quantidade de IDS’s (linha 11 do algorítimo 1) desejados narede. Cada nó executa um algoritmo para eleição de um IDS na sua vizinhança (entendamvizinhança como a zona de alcance de cada nó). Feito isto, o novo estado da rede édivulgado para todos os nós.

Algorithm 1 Eleição de IDS1: procedure ELEICAOIDS()2: candidate← null3: actStage← 14: neighbors← /05: IDS← FALSE6: neighbors← neighbors[Stage, IDS,Repu,Cust,Energe]7: candidate← selectCandidate() . Escolhe um nodo para IDS8: actStage←Msg.Stage9: if actStage < Msg.Stage then

10: actStage←Msg.Stage . Calcula a probabilidade de um nó se tornar IDS11: prob← appRulesApli(neighbors,candidate)12: end if

. Processo de eleição baseado no LEACH13: if rand()< prob then14: IDS← TRUE . IDS eleito15: else16: IDS← FALSE . IDS não eleito17: end if18: appNewStage(actStage, IDS)19: currentNodeState(Msg) . Atualiza as novas configurações da rede20: send(Msg,BROADCAST ) . Divulga as novas configurações da rede21: end procedure

Quando um nó quer enviar dados para outro nó, ou para a estação base, é enviadauma mensagem de pedido de rota, chamada de Route Request, solicitando uma rota des-

43

5.3. DESCRIÇÃO DO MODELO

tino, processo baseado no algoritmo Reativo, DSR Johnson and Maltz (2001). Assim, umou mais nós que possuem a rota destino, ou a conhecem, calculam a utilidade (Reputação- custo) e se colocam na rota para o destino (linhas de 8 a 12 do algoritmo 2).

Algorithm 2 Solicitação de Rota1: procedure RECEIVERREQ(RREQ)2: if RREQUEST == RREQCACHE then3: addRauteTable(seq) . Atualiza a rota na tabela4: Intercept() . Descarta a mensagem de pedido de rota5: end if

. Verifica se o pedido de rota é para o nó local, caso positivo, envia a rota6: if ADDRESSDEST == LOCALADDRESS then7: addReqCache(seq)8: ROUTETABLE[SEQ, SRC, NEXTHOP, ACTSTAGE, UTIL]9: sendRRep(src, util)

10: else. encaminha o Route Request para o próximo nó

11: addRReqCache(seq)12: sendRReq(nexthop, util)13: end if14: end procedure

44


Quando o Route Request chega ao destino, é enviada uma mensagem de respostade rota, chamada de Route Reply, com a rota completa. O remetente, ao receber asinformações sobre as rotas, seleciona a rota que tem reputação mais alta e encaminha opacote (linhas de 2 a 11 do algoritmo 3).

Algorithm 3 Recebimento do pedido de rota(route reply)1: procedure RECEIVERREP(RREP)2: if ADDRESSDEST == LOCALADDRESS then . Procura a rota com melhor

utilidade e encaminha o pacote3: addRauteTable(seq) . Atualiza a rota na tabela4: maiorUtil← maiorUtil(ROUT ETABLE) . Seleciona a rota com maior

utilidade5: addFowardData(MData)6: else7: if ADDRESSDEST == INVALID then8: hop← hop+19: addRouteTable(seq)

10: SendRRep(src)

11: end if12: end if13: end procedure

Quando o destino recebe os dados, notifica ao IDS de sua vizinhança, que divulgaa reputação para todos os nós da rota. Como o jogo é repetido, em todas as fases do jogoesse algoritmo é executado.


Neste capítulo, foi apresentado o modelo de interação entre nós baseado na Teoriados Jogos. Foram mostradas, também, as etapas de funcionamento do protocolo e algumassituações de conflitos de interesses em uma RSSF. A aplicação desse modelo, em umaRSSF, tem o objetivo de mitigar as ações de ataques de recusa de serviços, capturando ainteração entre um nó normal e um nó malicioso, quando encaminhando os pacotes queentram na rede, ou seja, através de modelos da Teoria dos Jogos é possível incentivar acolaboração entre os nós da rede, e, dessa forma, fazer com que as melhores rotas sejautilizadas.

45

6Análise e Resultados

Neste capítulo, nós estudamos o esforço colaborativo dos nós para tornar possívelo funcionamento de uma RSSF, mesmo quando esta rede está sob um ataque de negaçãode serviço. A solução proposta nesta dissertação utilizando jogos repetidos propõe que aolongo do tempo de vida da rede rotas que foram consideradas de melhor reputação sejamcolecionadas e utilizadas. Nas próximas subseções são apresentados às consideraçõessobre o simulador, os cenários utilizados para avaliar o modelo proposto, os resultados dasimulação assim como análises destes resultados.

6.1 Plataforma Utilizada

Nesta seção será apresentada a plataforma de hardware e software onde foramrealizadas as medições a fim de validar a eficiência da solução proposta.

6.1.1 Hardware

Todos os experimentos realizados neste trabalho foram feitos através da simulaçãodo dispositivo para sensoriamento sem fio Micaz Crossbow (2009). O Micaz é umaplataforma que utiliza em sua arquitetura o mesmo microcontrolador utilizado na plata-forma Mica e trabalha com o sistema de rádio CC2420 pela Chipcom inc Chipcon (2009),comercializado pela empresa Crossbrow Crossbow (2009), como mostrado na Figura 6.1.

46

6.1. PLATAFORMA UTILIZADA

Figura 6.1 Módulo Micaz, Crossbow Technology IncCrossbow (2009)

O dispositivo Micaz possui taxa de transmissão de dados de 250 Kbps. A freqüên-cia do módulo de rádio pode variar entre 2,4 e 2,48 GHz e é capaz de captar sinais ao seuredor com raio de até 300m. O Micaz é compatível com o sistema operacional TinyOSLevis et al. (2004) e com a maioria das aplicações desenvolvidas para a plataforma Mica2Crossbow (2009). Também é capaz de gerenciar diferentes tipos de sensores (temperatura,luminosidade, som e vibração), podendo ser empregado em redes com grandes númerosde nós.

6.1.2 Simulador e Sistema Operacional

O Micaz suporta o sistema operacional de código aberto TinyOS com o modelode programação baseado em componentes, através da linguagem nesC Gay et al. (2003).O ambiente de simulação utilizado nessa dissertação, compreende dos componentes dosistema operacional TinyOS e do simulador Avrora Titzer et al. (2005), utilizado parasimular a plataforma Micaz.

O sistema operacional TinyOS foi desenvolvido pela Universidade de Berkeleypara simplificar a programação para as RSSFs. O objetivo era desenvolver um sistemaque correspondesse de forma eficiente às exigências específicas de uma RSSF, como apequena quantidade de recursos. Para suportar aplicações concorrentes nos dispositivosusando pouco processamento e pouca quantidade de memória, utiliza um modelo base-ado em eventos, sempre que um evento externo ocorre, como por exemplo, a chegadade um pacote de dados ou uma leitura de um sensor, o TinyOS invoca o handler doevento apropriado para ser executado, estas tarefas são programadas pelo kernel e podem

47


permanecer em uma fila para a execução posterior. O TinyOS oferece uma arquiteturabaseada em componentes que permite rápida implementação de aplicações, ao mesmotempo em que consegue minimizar o tamanho do código, tal como necessário tendoem conta as grandes limitações de memória em redes deste tipo. Para diminuir o con-sumo de memória e processamento, o TinyOS é compilado em conjunto o softwareda aplicação em um único binário, que contém somente os módulos necessário para ofuncionamento da aplicação. Isto evita que o nó sensor carregue consigo bibliotecas emódulos não utilizados Macedo (2006). A biblioteca por componentes inclui protocolosde rede, serviços distribuídos, controladores para sensores e ferramentas para aquisição dedados, todos itens podem ser usados e/ou alterados para se ajustar a aplicações específicas.

As aplicações são escritas no TinyOS com a utilização da linguagem NesC queé baseada em componentes. Este sistema operacional é compatível com as diversasplataformas de hardware de nós sensores disponíveis no mercado, sendo adaptado parauma grande quantidade de plataforma e sistemas para sensores. Uma grande comunidadeutiliza esse sistema operacional para desenvolver simulações e testar algoritmos e proto-colos. O TinyOS atualmente está na versão 2.1, que implementou algumas mudanças emrelação a versão 1.0, principalmente no que se refere a política de escalonamento.

Com o objetivo de simular uma rede física utilizando dispositivos da arquiteturaMicaz escolheu-se o simulador Avrora Beta versão 1.7.0. O Avrora é um simulador deredes de sensores, desenvolvido pela Universidade da Califórnia (UCLA), com capacidadede modelar redes de sensores com grande número de nós com sincronismo. Avrora éimplementado em Java e executa o código na modalidade de instrução por instrução.Para alcançar melhor escalabilidade e velocidade este simulador não sincroniza todosos nós depois de cada instrução, o código é executado ciclo a ciclo, e os nós apenassão sincronizados quando necessário. Nas redes de sensores simuladas pelo Avrora épossível configurar diversos aspectos da rede, desde os tipos de nós sensores a simular e aquantidade de cada tipo, a distribuição dos nós sensores no espaço, o tempo de execuçãoda simulação, intervalos de tempo entre o início de execução dos nós sensores, lista devalores de entrada para cada nó, entre outras funcionalidades. Com o Avrora é possívelrealizar uma análise criteriosa da energia consumida dos sensores através da ferramentachamada de AEON Olaf et al. (2005) que estende cada componente de hardware doAvrora monitorando o consumo de energia durante a simulação.

48


6.1.3 Ambiente de Simulação

Os experimentos foram realizados no simulador Avrora. O algoritmo de rote-amento DSR Johnson and Maltz (2001) foi implementado e incorporado a pilha deprotocolos implementada no sistema operacional TinyOS versão 2.0. O protocolo DSRfoi modificado para refletir as características de um modelo de protocolo baseado emjogos repetidos.

Cada um dos protocolos foi simulado com 9, 25 e 49 nós a fim de testar o de-sempenho do modelo proposto com uma rede com um pequena quantidade de nós e umrede com uma maior quantidade de nós, formando uma topologia plana de 3x3, 5x5 e7x7 respectivamente, em um campo de sensoriamento, a fim de avaliar o comportamentosobre o tamanho da rede. Cada nó possui uma média de 3 a 5 vizinhos. Assumimos que aestação base tem energia suficiente para atender as solicitações de qualquer nó na rede.

Durante os 600 segundos de simulação a estação base envia mensagens queiniciam o processo de eleição de IDS. O período de simulação de 600 segundos foiconsiderado suficiente para avaliar a aplicabilidade do modelo proposto, decorrente daquantidade de mensagens trocadas nesse período. Para gerar tráfego na rede, foi utilizadauma aplicação de coleta de informações de temperatura. Uma aplicação foi desenvolvidautilizando um temporizador para solicitar periodicamente dados de temperatura ao sensore enviar a leitura atual sobre a rede.

6.1.4 Métricas Observadas

As métricas apresentadas visam avaliar a eficiência da abordagem proposta e mediro impacto da utilização de um modelo baseado na Teoria dos Jogos em um RSSF. Asprincipais variáveis que devem ser avaliadas são o acréscimo na quantidade de bytestransmitidos por cada nó, o número de pacotes efetivamente entregue e o tempo deprocessamento. As métricas avaliadas foram o consumo de energia, a porcentagem depacotes entregues com sucesso, bem como a vazão da rede. Essas métricas são definidasda seguinte forma:

• Consumo de energia - o consumo estimado de energia para uma rede utilizando osalgoritmos DSR e DSR com Jogos Repetidos;

49

6.2. RESULTADOS DE DESEMPENHO

• Vazão de mensagens - o número de mensagens que chegam à estação base porminuto;

• Entrega de pacotes - definida como a razão entre os pacotes recebidos pelos nósdestino e os pacotes gerados pelos nós origem. Corresponde a uma medida devazão efetiva;

Levando-se em consideração que todos os nós encaminham o mesmo tipo detráfego. Para essa avaliação foi escolhido o protocolo DSR para a realização de umcomparativo com o modelo baseado em Jogos Repetidos.

6.2 Resultados de Desempenho

Esta seção apresenta os resultados considerando as métricas de desempenho deconsumo de energia, taxa de entrega de pacotes e vazão da rede. Apenas para afeito eentendimento dos resultados nos gráficos apresentados, o protocolo DSR adaptado pararefletir as alterações do modelo proposto, foi nomeado para SDSR para diferenciar doDSR sem as alterações do modelo de jogos repetidos.

6.2.1 Consumo de Energia

Os dados apresentados na Figura 6.2 representam o consumo de energia para cadanó sensor, com uma topologia de 49 nós sensores. Os valores de consumo apresentadossão relativos a todos os nós da rede, incluindo os IDS’s e o nós considerados nãodetectores de intrusão. Como a energia é um recurso escasso nas RSSFs, é necessáriomedir o impacto gerado pela utilização de um protocolo de roteamento com característicasde segurança.

50


Figura 6.2 Consumo para uma rede com 49 nós

Embora os nós vizinhos da estação base enviem uma maior quantidade de mensa-gens do que os nós que estão mais distantes, o gráfico apresentado mostra que o consumode energia permanece com pouca variação entre os nós, isso inclui os nós que funçõesde IDS, de onde se conclui que o impacto causado pela inclusão das funções adicionais,funções de IDS, para alguns nós sensores não proporcionou acréscimo significativo deconsumo de recursos.

51


Figura 6.3 Consumo para uma rede com 49 nós

Com os nós utilizando o protocolo DSR comum o consumo total de energia pornó permanece dentro da mesma faixa, entre 7300 e 7500 millijoules, conforme mostradona Figura 6.3, e comparando com a Figura 6.2.

Figura 6.4 Consumo médio de energia

A Figura 6.4 mostra o consumo médio de energia pelos nós sensores por cadatopologia utilizada na simulação. O protocolo DSR baseado em Jogos Repetidos adicionamaior consumo de energia do que o protocolo DSR comum. O acréscimo no consumo derecursos de energia é proveniente da energia gasta com pacotes de controle no processode eleição do IDS e pelo mecanismo de reputação. Analisando o fato de que a energia

52


utilizada para prover uma maior segurança com o protocolo baseado em teoria dos jogosnão se configura como excessivamente maior do que com um protocolo como o DSR.

6.2.2 Vazão

A Figura 6.5 apresenta a vazão obtida para os protocolos DSR e SDSR. Como podeser observado, o desempenho do protocolo baseado na Teoria dos Jogos é ligeiramentemelhor que o protocolo DSR, considerando a topologia apresentada nesse capítulo.

Figura 6.5 Vazão total para os protocolos DSR e SDSR

É importante ressaltar que ocorreu uma redução na quantidade de mensagensencaminhadas com sucesso à medida que os nós foram inseridos na rede. Isto é devido àconcorrência pelo canal de comunicação. Pode-se concluir, também, que a diferença devazão apresentada pelos algoritmos deve-se à presença de rotas escolhidas com melhorreputação o que proporciona melhor desempenho no encaminhamento das informações.

6.2.3 Entrega de Pacotes

A cooperação em um RSSF pode ser avaliada pela quantidade de pacotes trans-mitidos e pela quantidade de pacotes efetivamente recebidos na presença de falhas. AFigura 6.6 demonstra a porcentagem de entrega de pacotes para as topologias definidas,contemplando as redes com 9, 25 e 49 nós. SDSR tem melhor desempenho na taxa deentrega de pacotes em relação ao DSR. Mesmo com aumento da densidade da rede, com ainserção de mais nós. O SDSR utiliza os melhores trajetos possíveis entre fonte e destino,através do modelo com Jogos Repetidos, consegue manter a taxa de entrega de pacotes.

53


Figura 6.6 Entrega de Pacotes


Os resultados relativos à vazão de pacotes indicaram que o uso das funções adicio-nais de segurança agrega melhor eficiência na taxa de bits encaminhados. Dependendoda quantidade de nós na rede e da presença de nós maliciosos, o protocolo baseadoem Jogos Repetido, mantém a taxa de bits encaminhados. Nas medições referentes àentrega de pacotes o protocolo baseado em Teoria dos Jogos mantém uma porcentagemde entrega similar ao protocolo DSR. Para comprovar a eficiência na entrega de pacotescom o protocolo baseados em Jogos Repetidos possivelmente será necessário aumentarsignificativamente a quantidade de nós da rede impondo uma maior sobrecarga ao modeloproposto.

Por fim, os resultados referentes ao consumo de energia revelaram um acréscimoinferior a 30 mJ no consumo para as aplicações com as funções de segurança para todos oscenários avaliados. Isto mostra que apesar das limitações de recursos impostas pelos nóssensores, é possível mitigar atividades maliciosas utilizando mecanismos de segurança,como o modelo proposto nessa dissertação, baseado na Teoria dos Jogos.

54

7Conclusões

O objetivo deste trabalho foi o estudo das principais questões relacionadas ainfluência de atividade maliciosas e a detecção de intrusos em RSSF. Para abordar asquestões de segurança, estudamos métodos e modelos de detecção de intrusão. Essasdiscussões subsidiaram a elaboração desse trabalho. A abordagem proposta objetiva ainclusão em um RSSF nós com características especiais de detecção de nós maliciosos.

Existem muitas falhas que podem ser exploradas na arquitetura de uma RSSF.Decorrente das características da própria rede os protocolos de roteamento tornaram-semuito inseguros. A natureza egoísta dos sensores trás sérios problemas ao funcionamentoda rede. Os nós são construídos para poupar ao máximo sua energia, como o ambientede uma rede de sensores é essencialmente cooperativo, esse tipo de comportamentocompromete as funções da rede. Levando em conta que estes sensores ainda podem estásob um ataque de negação de serviço, a obtenção de cooperação em uma rede de sensoressem fio torna-se ainda mais difícil.

Observando o comportamento dos nós sensores na presença ou não de intrusos narede, vimos que a necessidade de cooperação é fundamental. A utilização de modelosda teoria dos jogos, como os jogos repetidos, mostrou-se eficiente para prover essacooperação quando entidades egoístas estão presentes na rede. O jogo com repetiçãoinfinita pode ser a chave para a obtenção de comportamento cooperativo nas fases jogos.Cooperação que poderia não ocorrer se o jogo fosse jogado apenas uma vez.

55

7.1. TRABALHOS FUTUROS

7.1 Trabalhos Futuros

No trabalho apresentado, procuramos iniciar um estudo sobre os problemas e ques-tões relacionadas cooperação dos nós sensores e mitigação de ataques de segurança emRSSF. As restrições impostas pelas características das RSSFs impõem desafios quando sepensa em prover segurança, dessa forma, modelos como os da Teoria dos Jogos podemser utilizados como mecanismos de mediação entre os nós sensores visando minimizar osimpactos comportamentos egoístas dentro dessas redes.

Há um grande potencial a explorar como trabalho futuro, no que se refere àTeoria dos Jogos aplicada a as RSSFs, tanto na utilização de modelos teóricos, quanto naaplicação em simulações de modelos reais. Como exemplos, podemos utilizar modelos deJogos de Sinalização para prover cooperação entre os nós da rede. Um nó pode sinalizarsua qualidade podendo assim estabelecer um contrato de confiança. Outra técnica quepode ser utilizada são os Jogos de Coalizão, onde grupos de confiança são formados, como objetivo de manter o funcionamento normal da rede.

56

Referências Bibliográficas

Agah, A. and Das, S. K. (2007). Preventing dos attacks in wireless sensor networks:A repeated game theory approach. International Journal of Network Security, pages145–153.

Agah, A., Das, S. K., Basu, K., and Asadi, M. (2004). Intrusion detection in sensornetworks: A non-cooperative game approach. Third IEEE International Symposium on

(NCA04), pages 343–346.

Akyildiz, I. F., Su, W., Sankarasubramaniam, Y., and Cayirci, E. (2002). Wireless sensornetworks: a survey. Computer Networks, pages 393–422.

Al-Karaki, J. N. and Kamal, A. E. (2004). Routing techniques in wireless sensor networks:a survey. IEEE Wireless Communications, 11(8), 6–28.

Andrade, E. L. D. (2004). Introdução à pesquisa operacional - métodos e modelos paraanálise de decisões. In LTC.

AusCERT (2008). Australian computer crime and security survey.

Camerer, C. (2003). Behavioral game theory:experiments in strategic interaction. InSeries Editors.

Chalermek, I., Ramesh, G., and Deborah, E. (2000). Directed diffusion: A scalable androbust communication paradigm for sensor networks. IEEE International Conference

on Mobile Computing and Networking.

Chipcon, C. (2009). Chipcon cc2420 data sheet @ONLINE.

Chong, C.-Y. and Kumar, S. P. (2003). Sensor networks: Evolution, opportunities, andchallenges. In Proceedings of the IEEE, volume 91.

Crossbow, T. (2009). Crossbow. mica2 series (mpr4x0) @ONLINE.

D. Wood, A. and A.Stankovic, J. (2002). Denial of service in sensor networks. IEEE

Computer.

da Silva, A. P. R., Loureiro, A. A., Martins, M. H., Rocha, B. P., Ruiz, L. B., andWong, H. C. (2005). Decentralized intrusion detection in wireless sensor networks. in

Proceedings of the 1st ACM international workshop on Quality of service security in

wireless and mobile networks (Q2SWinet 05). ACM Press, pages 16–23.

57

REFERÊNCIAS BIBLIOGRÁFICAS

de Souza e Silva, E. and Figueiredo, D. R. (2007). Uma breve introdução à teoria de jogoscom aplicações a redes de computadores. Jornadas de Atualização em Informàtica.

Delicato, F. C. (2005). Middleware Baseado em Servicos para Redes de Sensores sem

Fio. Ph.D. thesis, Universidade Federal do Rio de Janeiro, COPPE, Rio de Janeiro, Riode Janeiro, Brazil.

Fei, H. and Neeraj, K. S. (2005). Security considerations in wireless sensor networks.(International Journal) Ad hoc Networks Journal (Elsevier), 3, 69–89.

Fiane, R. (2006). Teoria dos jogos: com aplicações em economia, administração eciências sociais. In Elsevier.

Gay, D., Levis, P., von Behren, R., Welsh, M., Brewer, E., and Culler, D. (2003). The nesclanguage: A holistic approach to networked embedded systems. Proc. Programming

Language Design and Implementation.

Gibbons, R. (1992). Game theory for applied economists. In Princeton University Press.

Gintis, H. (2000). Game tjeory evolving. In Princeton University Press, Princeton, NJ.

Heinzelman, W. R., C. A. and Balakrishnan, H. (2000). Energy-efficient communi-cation protocol forwireless microsensor networks. Proceedings of the 33rd Hawaii

International Conference on System Sciences.

Johnson, D. B. and Maltz, D. A. (2001). Dynamic source routing in ad hoc wirelessnetworks. Mobile Ad Hoc Network (MANET) Working Group (IETF).

Karlof, C. and Wagner, D. (2003). Secure routing in wireless sensor networks: Attacksand countermeasures. First IEEE International Workshop on Sensor Network Protocols

and Applications.

Karp, B. and Kung, H. T. (2000). Gpsr: Greedy perimeter stateless routing for wirelessnetworks. Proceedings of the 6th annual international conference on Mobile computing

and networking, pages 243–254.

Kulik, J., Heinzelman, W., and Balakrishnan, H. (2002). Negotiation-based protocols fordisseminating information in wireless sensor networks. IEEE International Conference

on Mobile Computing and Networking.

58


Lee, S., Ham, K., and Park, C. (2006). Distributed clustering for wireless sensor networks.International Symposium on Communications and Information Technologies, pages1113–1117.

Levis, P., Madden, S., Polastre, J., Szewczyk, R., Whitehouse, K., Woo, A., Gay, D.,Hill, J., Welsh, M., Brewer, E., and Culler, D. (2004). Tinyos: Na operating systemfor wireless sensor networks. W. Weber, J. Rabaey, and E. Aarts, editors, Ambient

Intelligence.

Loureiro, A. A. F., Nogueira, J. M., Ruiz, L. B., de Freitas Mini, R. A., Nakamura, E. F.,and Figueiredo, C. M. S. (2003). Redes de sensores sem fio. Simposio Brasileiro de

Redes de Computadores, pages 22–179.

Luo, H., Ye, F., Cheng, J., Lu, S., and Zhang, L. (2003). Ttdd: Two-tier data disseminationin large-scale wireless sensor networks. to appear in ACM Journal of Mobile Networks

and Applications (MONET).

Macedo, D. F. (2006). Um Protocolo de Roteamento para Redes de Sensores Sem Fio

Adaptável por Regras de Aplicação. Master’s thesis, Universidade Federal de MinasGerais, Belo Horizonte, Minas Gerais, Brazil.

Manjeshwar, A. and Agrawal, D. P. (2001). Teen: A routing protocol for enhancedefficiency in wireless sensor networks. 15th International Parallel and Distributed

Processing Symposium (IPDPS01) Workshop.

Michiardi, P. and Molva, R. (2002). Core: A collaborative reputation mechanism toenforce node cooperation in mobile ad hoc networks. Communications and Multimedia

Security Conference.

Myerson, R. (1997). Game thwory: Analusis of conflict. In Harvard University Press,

Cambrifge.

Olaf, L., Klaus, W., and Stefan., G. (2005). Accurate prediction of powerconsumptionin sensor networks. Proc. EmNetS-II Embedded NetworkedSensors The Second IEEE

Workshop on, pages 37–44.

Otrok, H., Debbabi, M., Assi, C., and Bhattacharya, P. (2007). A cooperative approach foranalyzing intrusions in mobile ad hoc networks. Proceedings of the 27th International

Conference on Distributed Computing Systems Workshops.

59


Pathan, A. K., Lee, H., and Hong, C. S. (2006). Security in wireless sensor networks:Issues and challenges. International conference on Advanced Computing Technologies.

Perrig, A., S. J. and Wagner, D. (2005). Security in wireless sensor networks. Communi-

cations of the ACM.

Puterman, M. L. (1994). Markov decision processes: Discrete stochastic dynamicprogramming. In New York.

Rasmusen, E. (1989). Games and information â an introduction to game theory. InCambridge: Basil Blackwell.

Roman, R., Z. J. and Lopez, J. (2006). Applying intrusion detection systems to wirelesssensor networks. IEEE Consumer Communications Networking Conference.

Ruiz, L. B. (2003). MANÁ: Uma Arquitetura para Gerenciamento de Redes de Sensores

Sem Fio. Ph.D. thesis, Universidade Federal de Minas Gerais, Belo Horizonte, MinasGerais, Brazil.

Ruiz, L. B., Correia, L. H. A., Vieira, L. F. M., Macedo, D. F., Nakamura, E. F., Figueiredo,C. M. S., Vieira, M. A. M., Mechelane, E. H., Camara, D., Loureiro, A. A., Nogueira,J. M. S., and da Silva Jr., D. C. (2004). Arquiteturas para redes de sensores sem fio.Simposio Brasileiro de Redes de Computadores.

Shah, R. C. and Rabaey, J. (2002). Energy aware routing for low energy ad hoc sensornetworks. IEEE Wireless Communications and Networking Conference (WCNC).

Shi, E. and Perrig, A. (2004). Designing secure sensor networks. IEEE Wireless

Communications.

Titzer, B. L., Lee, D. K., and Palsberg, J. (2005). Avrora: scalable sensornetworksimulation with precise timing. Proc. Fourth International Symposiumon Information

Processing in Sensor Networks IPSN 2005, pages 477–482.

Werner-Allen, G., Johnson, J., Ruiz, M., Lees, J., and Welsh, M. (2005). Monitoringvolcanic eruptions with a wireless sensor network. In Proceedings of the Second

European Workshop on Wireless Sensor Networks (EWSN).

Yan, Y., Ramesh, G., and Deborah., E. (2001). Geographical and energy aware routing: arecursive data dissemination protocol for wireless sensor networks. Technical Report

UCLA/CSD-TR-01.

60

marcelino santos nascimento€¦ · mitigando ataques de negação de serviço em redes de sensores...

Documents