As Wireless Sensor Networks (WSNs) continue to be applied to mission-critical applications, it is essential to provide security solutions to interact with sensitive data. However, due to inherent resource limitations and operations in hostile environments where enemies may be present, sensors are susceptible to being captured or compromised by adversaries. As one of the most cost-effective attacks for an adversary to disturb the sensor network applications, the node replication attack has begun to be paid attention. In this attack, once the adversary had captured at least one node, he could make a bunch of replicas of them, and surreptitiously put them back to the original network after both operational and strategic aspects were considered. Since capturing a few nodes and copying them are relatively easy in distributed large-scale sensor networks, the adversary can launch a variety of inner attacks using these cloned nodes. Thus, it is a challenging problem that needs to be addressed urgently. For detecting and removing these hostile replicas, we propose distributed, deterministic and resilient (DDR) replication attack detection scheme and its enhanced variant E-DDR. They are based on the use of symmetric key cryptography unlike prior approaches. The basic idea is to select verification point where each node will be verified deterministically considering network topology before sensor deployment. When the detection round begins for each node, one of the given node`s neighboring node sends an authenticated message including the target node`s deployed information and $\textit{id}$ toward that verification point. Then, intermediate nodes along the routing path store that claim messages and check the inconsistency of deployment location depending on the target node`s security weight. If replicated nodes exist, more than two claim messages may collide at a certain intermediate node or the closest node to verification point in the end. By doing so, our approach provides an early replica detection and reduces significant energy consumption at the cost of a moderate storage overhead. Moreover, E-DDR scheme is designed to reduce memory storage, since symmetric key distribution protocol requires a high memory for storage of keys. In this improved approach, one of neighboring nodes of the targeting node estimates a verification zone in which the claim message are stored and checked at intermediate nodes. If the claim message reaches this zone or enters perimeter routing mode, intermediates nodes take part in identifying deployment consistency of target node. Hence, our two variant schemes can be applicable to any symmetric key management scheme. Especially, In the case of when a large number of nodes have failed (i.e., in the presence of denial of service (DoS) attacks or communication impossible areas), our two methods are highly resilient and efficient than existent schemes in terms of communication and computation cost with guaranteeing a high replica detection rate. We show via simulations that both DDR and E-DDR schemes can extend the network life time by 3.8 times compared to the best solution $\cite{17}$ in the literature.

무선 센서 네트워크는 다량의 센서 노드들이 인간의 접근이나 관리가 힘든 환경에 배치되어 빛, 소리, 온도, 움직임과 같은 물리적인 환경 변화를 감지하여 싱크로 전달하는 애드 혹 네트워크이다. 이를 구성하는 센서의 전력은 배터리를 통해 공급되고, 이 배터리는 교체가 거의 불가능하기 때문에 에너지가 소진된 센서는 폐기가 가능하도록 저가로 생산된다. 이러한 무선 센서 네트워크는 구성 측면에서 각 노드들의 추가와 탈퇴가 빈번하고, 운영 측면에서도 무인의 원격으로 관리되므로 악의적인 공격자들로부터 많은 취약점을 노출한다. 따라서 전장 감시등과 같은 중요한 용도에서는 이러한 취약점에 대처할 수 있는 보안 서비스가 반드시 제공되어야 한다. 최근에 등장한 노드 복제 공공격은 1개 이상의 노드를 획득한 공격자가 이를 복제하여 수 많은 복제 노드를 생성한 후에 특정 지역에 재배치하고, 이러한 복제 노드를 제어하므로서 네트워크의 기능을 공격자의 의도대로 통제하는 내부자 공격의 한 형태이다. 이 경우에 복제 노드들은 정상적으로 동작하는 노드들과 동일한 비밀 정보와 보안 키를 가지므로 정상 노드와 구별이 불가능하다. 이러한 악의적인 복제 노드들을 탐지하기 위해 기존에는 싱크 노드에 의한 중앙 집중 검증 방식과 노드들가의 협력에 의한 분산 탐지 기법들이 제안되었다. 하지만, 중앙 집중 검증 방식은 단일 취약점 (Single point of failure)의 문제점을 가지며, 무작위성에 기반하여 선택된 노드들의 협력에 기반한 목격자 기반의 탐지 기법은 각 센서들이 에너지 소모가 많은 공개키를 이용하고, 탐지 속도가 늦기 때문에 전체 네트워크의 수명을 단축하는 문제점을 가지게 된다. 본 논문에서는 대칭 키 기반의 키 확립 메커니즘을 이용하여 복제 노드를 탐지하는 목격자 기반의 한 형태로 DDR 메커니즘을 제안하였다. 이 방법은 네트워크가 배치될 지역 정보를 미리 알고있는 네트워크 관리자가 센서들을 배치하기 전에 각 노드들에게 검증 지점을 할당하는데, 이때 통신이 불가능한 지역을 미리 회피하거나, 검정 지점을 임의의 특정 지점으로 유도하는 결정론적이고, 공개적인 함수를 이용한다. 이 함수는 각 노드의 이름을 네트워크의 각 좌표에 유일하게 매핑하는데, 임의의 목표 노드에 대한 검증 동작이 시작되면 목표 노드의 이웃 노드 중에서 무작위로 선택된 요구 노드들이 목표 노드에게 할당된 검증 지점으로 목표 노드의 \textit{id}$와 위치 정보가 포함된 검증 메시지를 전송하게 되고, 각 라우팅 경로에 있는 중간 노드들은 목표 노드의 보안 가중치와 자신의 보안 가중치를 비교하여 이 메시지의 저장 및 복제 여부를 판단한다. 만약 중간 노드에서 목표 노드와 동일한 id와 다른 위치 정보를 가진 노드를 발견하게 되면, 이 중간 노드가 목격자 노드가 되어 복제 노드에 대한 퇴출 요구 메시지를 싱크 노드에게 보내게 된다. 이 메시지를 받은 싱크 노드는 목격자 노드의 메세지를 검증하여 목표 노드의 퇴출 여부를 결정하여 전체 네트워크로 목표 노드를 포함한 퇴출 노드 \textit{id}$ 목록을 플러딩하므로서 DDR 프로토콜이 종료된다. 추가적으로 DDR 프로토콜의 바탕이 되는 대표적인 대칭키 확립 프로토콜인 무작위 사전 키 확립 프로토콜은 키 저장을 위해 많은 메모리를 소모하게 되고, 이 상태에서 DDR 프로토콜을 위해서는 추가적인 메모리의 소요가 필요하기 때문에 DDR 프로토콜을 위한 메메모리 오버헤드를 경량화해야 할 필요가 있다. 이를 위해 DDR 프로토콜에 비해 메모리의 오버 헤드를 최소한 한 E-DDR 프로토콜을 제안하였다. 제안된 DDR과 E-DDR 프로토콜들은은 대칭키 확립 프로콜에 기반하여 빠른 탐지가 가능하므로 통신량을 감소하고, 공개 키 계산으로 인한 계산 오버헤드를 감소시켰다. 특히, 네트워크의 특정 부분에 배치된 노드들이 서비스 거부 공격이나 물리적인 훼손으로 탐지 프로토콜에 참여하지 못할 경우에도 제안한 프로토콜들은 최소의 통신량으로 복제 노드를 탐지 가능하다. 수 많은 실험을 통하여 이와 같은 결과를 증명하였고, 특히 공격자가 넓은 지역에서 서비스 무력화 공격을 수행하여 일부 노드들이 복제 노드 탐지에 참여하지 못할 경우에 기존의 방식을 적용할 경우 에너지 소모가 급격히 증가한다는 점을 보였으며, 제안된 프로토콜을 이용할 경우에는 공격이 없는 보통 환경에서 약 1.7배의 에너지 효율성을 보였고, 노드의 훼손이 과도하게 발생하면 1.8-3.8배 이상의 네트워크 생존 시간을 향상 시켰다.