CN102711107B - 基于关键节点的无线传感器网络入侵检测方法 - Google Patents
基于关键节点的无线传感器网络入侵检测方法 Download PDFInfo
- Publication number
- CN102711107B CN102711107B CN201210154410.2A CN201210154410A CN102711107B CN 102711107 B CN102711107 B CN 102711107B CN 201210154410 A CN201210154410 A CN 201210154410A CN 102711107 B CN102711107 B CN 102711107B
- Authority
- CN
- China
- Prior art keywords
- node
- key
- monitoring
- wireless sensor
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供的基于关键节点的无线传感器网络入侵检测方法,属计算机网络领域,将网络中各节点的重要性量化为关键值,关键值较高的节点为关键节点;关键节点向周围邻居节点发送监测请求并广播关键值,邻居节点接收到请求,根据自身剩余能量和关键节点广播的关键值大小决定是否开启监测状态,邻居节点开启监测状态后,成为监测节点;各监测节点收集与关键节点有关的网络行为数据,检测到异常行为向基站发送报警信息;基站接收各监测节点发送的报警信息,决定是否将存在异常行为的关键节点,即异常节点隔离。本发明所要解决的技术问题是提供一种基于关键节点的无线传感器网络入侵检测方法,为无线传感器网络提供一个高检测率且低能耗的入侵检测方法。
Description
技术领域
本发明涉及无线传感器网络技术领域,尤其涉及一种基于关键节点的无线传感器网络入侵检测方法。
背景技术
在无线传感器网络中,目前的入侵检测方法存在如下问题:
其一,监测方式基于区域监测,即每个监测节点监测一定范围内的网络数据,全部监测节点的监测区域总和便是整体网络。监测节点在收集网络行为数据时,收集其信号范围内的所有数据,但是这些数据中只有很少一部分存在攻击行为,使得收集上来的数据缺乏针对性,并且在收集过程中浪费了大量不必要的能量。
其二,传统的入侵检测方法对网络中的节点采取相同的数据收集方式和检测方法,并不区分各节点的重要性的不同和这些节点对安全性要求的不同。然而,多数网络攻击都是针对高重要性的节点展开的,此类攻击危害性极大。传统的方法对网络攻击的密集区域,即高重要性节点的通信区域的监测不全面,不能获得良好的入侵检测效率。
因此,当下需要迫切解决的一个技术问题就是:如何能够提出一种有效的措施,以解决现有技术中存在的问题。
发明内容
本发明所要解决的技术问题是提供一种基于关键节点的无线传感器网络入侵检测方法,为无线传感器网络提供一个高检测率且低能耗的入侵检测方法。
为了解决上述技术问题,本发明提供了一种基于关键节点的无线传感器网络入侵检测方法,包括:
将网络中各节点的重要性量化为关键值,关键值较高的节点为关键节点;
关键节点向周围邻居节点发送监测请求并广播关键值,邻居节点接收到请求后,根据自身剩余能量和关键节点广播的关键值大小决定是否开启监测状态,邻居节点开启监测状态后,就会成为监测节点;
各监测节点开始收集与关键节点有关的网络行为数据,检测到异常行为后向基站发送报警信息;
基站接收各监测节点发送的报警信息,决定是否将存在异常行为的关键节点,即异常节点隔离出网络。
进一步地,所述方法还包括设定关键值阈值为,当节点的关键值大于所设定阀值时,节点成为关键节点。
进一步地,所述方法中,监测节点开启监测状态后,会启混杂模式,接收所监测的链路上的数据传输过程,只收集与该传输过程有关的数据,而放弃收集其他数据。
进一步地,所述方法中,当基站计算得出节点某一时刻攻击对网络造成的潜在损失大于指定阈值时,即判定该节点为恶意节点,并将恶意节点从网络中隔离。
进一步地,所述节点包括路由节点和感知节点。
综上,本发明提供的基于关键节点的无线传感器网络入侵检测方法,通过量化网络中各节点的重要性,只对关键节点进行针对性的监测,减少收集的数据量,提高检测效果。该方法符合无线传感器网络对于入侵检测的需求,可以高效地应对无线传感器网络中针对关键节点的高危害性攻击,提升入侵检测系统的检测效率,同时降低网络中监测节点的能量消耗。
附图说明
图1是本发明的具体实施方式中所述的网络中的路由树的示意图;
图2是本发明的具体实施方式中所述的围绕关键节点的监测节点分布示意图;
图3是本发明的具体实施方式中所述的异常行为的检测示意图;
图4是本发明的具体实施方式中所述的实施场景示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
第一阶段节点重要性的评估
无线传感器网络中的数据,即感知数据的目的地都是基站节点。因此会形成一个以基站节点为根节点的树状路由(如图1所示),其中的叶子节点即为感知节点,负责将温度、压力、风向等转化成数据;非叶子节点即为路由节点,负责将感知节点产生的数据逐跳转发给基站;根节点即为基站节点,负责接收所有的感知数据。如果路由节点E对网络实施攻击,丢弃需要转发的数据包,将会使得H、I节点的数据包无法到达基站,从而影响网络机能。
路由树中,路由节点参与攻击给网络造成的危害,与其子树的节点个数成正比。节点的关键值,即为节点的子树中的节点数量在网络节点总数中占的比例。
首先采用递归的方法计算路由节点子树的节点数量,即为路由节点所有子节点的子树的节点数量的加和,再加上路由节点自身。
di=∑k∈NCdk+1
其中,NC为节点i的子节点集合,di为节点i的子树中节点的数量。继而可以得出节点i的重要值如下:
其中,D为网络中节点总数;ci为节点i的重要值。
关键值ci大于阈值Y的节点,为关键节点。针对不同网络,Y的取值不同,通常取值在(0.3-0.7)之间,因为取值太小,关键节点太多,会失去重点检测关键节点的意义;取值太大,关键节点太少,会漏掉网络中的异常行为。
第二阶段监测节点的选择
网络路由拓扑趋于稳定后,关键节点向邻居节点发送监测请求,同时广播关键值,请求邻居节点启动监测模式监测关键节点的行为。关键值每隔时间t便重新计算一次,时间t内网络链路的变化对节点的重要性的影响将体现在新的关键值上,若节点仍为关键节点,将再次向其邻居节点发送监测请求,同时广播关键值。关键节点每发送一次请求,称为一轮。
邻居节点是否开启监测状态,取决于:1)发送请求的关键节点的关键值,关键值越大,邻居节点开启监测状态的可能越大;2)邻居节点自己未开启监测状态的轮数,轮数越多,当前轮开启监测状态的可能越大;3)邻居节点自己的能量,能量越多,开启监测状态的可能越大;4)邻居节点能监测到的关键节点的链路越多,开启监测状态的可能越大。以邻居节点m为例,其会通过下述公式首先计算Tm,Tm越大,m开启监测节点的可能性越大。
其中,ci为节点m接收到的节点i的关键值;rm为自关键节点第一次发送监测请求开始,节点m没有开启监测模式的轮数;R为节点i发送监测请求的总轮数;Em_current为节点m的当前剩余能量;Em_max为节点的原始能量;nlm,i为同时是节点m和节点i的邻居的节点个数;pi为节点i的邻居节点的个数;σ为调整参数,可根据网络规模和入侵检测的强度而调整。
随后,节点m生成随机数Trandom,当Trandom满足下式时,开启监测状态,成为监测节点。
Trandom<Tm
最终,监测节点会以关键节点为中心分布。图2所示是一个围绕关键节点分布的监测节点的效果图。关键节点O负责将节点E和节点F的数据转发到节点D。监测节点A、B分别监测E->O->D、F->O->D的通信过程。
第三阶段异常行为的检测
关键节点的邻居节点开启监测模式后,成为监测节点。监测节点将自己的网络接口置为混杂模式,监听关键节点与其他节点的通信过程。本方法中的监测节点负责监测的与关键节点有关的通信数据。
如图3所示,设C为关键节点,M1为关键节点C的监测节点。M1可以监测到所有B->C的通信数据和C->D的通信数据。以数据包p的发送过程为例,阐述检测检测数据包丢弃和篡改的攻击的过程。p是一个由B发往D的数据包,需要C转发。M1借助混杂模式可以接收到B->C过程中的p和C->D过程中的p。为了标示清楚,M1监听到的B->C链路的p被称为p1,监听到的C->D链路的p被称为p2。
1)当M1接收到从B发送到C的数据包p1时,M1会将p1放到缓存中,为p1设置定时器后等待C转发。定时器一般设为1秒-2秒,根据网络状况而定,定时器太小容易误报异常,定时器太大则无法快速发现异常。
2)若在定时器超时之前,M1接收到C转发向D的数据包p2,且p1与p2的数据内容一致,则表明C正常转发了B委托给C转发到D的数据包p。M1会将缓存中的数据包p1清除。这个过程证明该数据包顺利通过B->C->D链路。
3)如果M1接收到数据包p2,但是经匹配数据包p2与原数据包p1的数据内容不同,则可认定该节点对数据包p1进行了篡改。此时M1的异常计数器加一。
4)如果M1发现,数据包p1的定时器超时,即C没有在规定时间内转发数据包p,则可以判定C已然将数据包丢弃。此时M1异常计数器加一。
5)当M1异常计数器的计数超过阈值时,M1会向基站发出报警信息。阈值根据网络的要求而定,可以取为(10-20),太小会导致误报异常,太大会导致无法快速报警。报警信息里包含异常次数、异常种类、产生异常的节点ID。
第四阶段入侵行为的判定
监测节点发现异常行为后,将异常信息发送到基站,由基站对异常信息进行分析并判定是否将存在异常的节点,即异常节点隔离出网络。
基站首先计算攻击对网络造成的潜在损失PDC(Potential Damage Cost),即该异常如果不清除,将会对网络造成的危害大小。PDC取决于:1)单位时间内异常行为的次数;2)异常节点的重要性;3)该异常行为自身的危害性,由异常的性质决定。
其中,ci为节点i的关键值;Mi为节点i的监测节点的集合;wsk为监测节点s向基站报告的异常类型k的次数;t为异常种类的数量;τk为异常类型k的危害值,标识异常行为的危害性大小,该值是固定值,由异常类型本身决定。
当基站计算得出节点i某一时刻的PDC大于指定阈值时,即会判定该节点为恶意节点,并将恶意节点从网络中隔离。该阈值由基站根据网络对安全性的要求指定。
本发明提出了一种基于关键节点的入侵检测方法。通过量化网络中各节点的重要性,只对关键节点进行针对性的监测,减少收集的数据量,提高检测效果。该方法符合无线传感器网络对于入侵检测的需求,可以高效地应对无线传感器网络中针对关键节点的高危害性攻击,提升入侵检测系统的检测效率,同时降低网络中监测节点的能量消耗。
更为具体的对本发明的实施方式进行介绍,具体的实施时包括重要性评估、监测节点的选择、异常行为判定、入侵判定四个阶段。
第一阶段节点重要性评估
本发明以路由功能为例,判断节点的重要性并计算关键值。设关键值阈值为Y=0.6。当节点的关键值大于Y时,节点便成为关键节点。图中R1在初始时并未与R2相连接,即R2并不借助R1来转发数据,此时R1的子树上节点数目为7,网络中节点总数为16,故而R1的关键值为c=7/16=0.46<0.6,此时R1不是关键节点。
当R2与C1之间的链路断开,R2建立于R1之间的通信链路后,R1的子树上的节点数目为11,网络中节点总数为16,故而R1的关键值为c=11/16=0.69>0.6。此时节点R1成为关键节点,将向周围邻居节点(C 1,R3,R4,R5)发送监测请求,并广播关键值。
为防止R1为恶意节点时恶意隐瞒自己的关键值,在关键值达到阈值时,不向周围节点发送监测请求。利用R1的上游节点BS,通过R1转发的数据包来计算R1的关键值,利用R1的下游节点(R2、R3、R4、R5)来监督R1正常转发数据包。
第二阶段监测节点的选择
关键节点R1发送监测请求后,周围邻居节点(C1,R3,R4,R5)将根据能量消耗情况、落选轮数、关键节点R1的关键值大小等来计算Tm,并生成随机数Trandom,当且仅当Trandom<Tm时,开启监测状态。如图中所示,(R4,C1)被当选为监测节点,其中R4监测如下通信链路:R1<->R5、R7->R1、R3->R1;C1监测如下通信链路:R2<->R1、R1<->BS。
第三阶段异常行为的检测
监测节点(R4,C1)开启监测状态后,会启混杂模式,接收所监测的链路上的数据传输过程,只收集与该传输过程有关的数据,而放弃收集其他数据。当R4或C1发现异常行为后,将上报基站BS。例如,当C1发现R1丢弃或者篡改数据包的时候,C1将会向BS发出报警信息:R1可能正在进行数据丢弃或篡改的攻击。
第四阶段入侵行为的判定
基站BS收到监测节点C1的报警信息后,根据C1所报告的异常行为类型及报警次数来确定节点R1是否为恶意节点。当BS认定R1为恶意节点时,将向网络中所有节点发送信息:R1是恶意节点。网络中所有节点在接收到R1是恶意节点的信息后,会拒绝与R1通信,从而防止R1继续实施攻击。
以上对本发明所提供的基于关键节点的无线传感器网络入侵检测方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (5)
1.一种基于关键节点的无线传感器网络入侵检测方法,包括:
将网络中各节点的重要性量化为关键值,所述关键值的计算过程如下:
首先采用递归的方法计算路由节点子树的节点数量,即为路由节点所有子节点的子树的节点数量的加和,再加上路由节点自身;
di=∑k∈NCdk+1
其中,NC为节点i的子节点集合,di为节点i的子树中节点的数量;
继而可以得出节点i的重要值如下:
其中,D为网络中节点总数;ci为节点i的关键值;
关键值较高的节点为关键节点;
关键节点向周围邻居节点发送监测请求并广播关键值,邻居节点接收到请求后,根据自身剩余能量和关键节点广播的关键值大小决定是否开启监测状态,邻居节点开启监测状态后,就会成为监测节点;
各监测节点开始收集与关键节点有关的网络行为数据,检测到异常行为后向基站发送报警信息;
基站接收各监测节点发送的报警信息,决定是否将存在异常行为的关键节点,即异常节点隔离出网络。
2.根据权利要求1所述的基于关键节点的无线传感器网络入侵检测方法,其特征在于,所述方法还包括设定关键值阈值为,当节点的关键值大于所设定阀值时,节点成为关键节点。
3.根据权利要求1所述的基于关键节点的无线传感器网络入侵检测方法,其特征在于,所述方法中,监测节点开启监测状态后,会启混杂模式,接收所监测的链路上的数据传输过程,只收集与该传输过程有关的数据,而放弃收集其他数据。
4.根据权利要求1所述的基于关键节点的无线传感器网络入侵检测方法,其特征在于,所述方法中,当基站计算得出节点某一时刻攻击对网络造成的潜在损失大于指定阈值时,即判定该节点为恶意节点,并将恶意节点从网络中隔离。
5.根据权利要求1所述的基于关键节点的无线传感器网络入侵检测方法,其特征在于,所述节点包括路由节点和感知节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210154410.2A CN102711107B (zh) | 2012-05-17 | 2012-05-17 | 基于关键节点的无线传感器网络入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210154410.2A CN102711107B (zh) | 2012-05-17 | 2012-05-17 | 基于关键节点的无线传感器网络入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102711107A CN102711107A (zh) | 2012-10-03 |
| CN102711107B true CN102711107B (zh) | 2015-09-02 |
Family
ID=46903628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210154410.2A Active CN102711107B (zh) | 2012-05-17 | 2012-05-17 | 基于关键节点的无线传感器网络入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102711107B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105636052B (zh) * | 2016-01-25 | 2018-12-04 | 华北电力科学研究院有限责任公司 | 无线传感器网络恶意节点的检测方法、节点装置及系统 |
| CN108076053A (zh) * | 2017-11-24 | 2018-05-25 | 国网天津市电力公司电力科学研究院 | 一种面向无线物联网的实时流量侦听与异常预警系统及方法 |
| US20210034737A1 (en) * | 2019-07-30 | 2021-02-04 | Sakif Hossain Khan | Detection of adverserial attacks on graphs and graph subsets |
| CN110890977B (zh) * | 2019-10-15 | 2022-06-21 | 平安科技(深圳)有限公司 | 云平台的主机节点监控方法、装置和计算机设备 |
| CN111131145B (zh) * | 2019-11-08 | 2021-07-13 | 西安电子科技大学 | 一种隐匿通信关键节点的管理查询系统及方法 |
| CN111159251A (zh) * | 2019-12-19 | 2020-05-15 | 青岛聚好联科技有限公司 | 一种异常数据的确定方法及装置 |
| CN113852607B (zh) * | 2021-09-01 | 2023-06-13 | 中国铁道科学研究院集团有限公司 | 评估网络安全性能的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388768A (zh) * | 2008-10-21 | 2009-03-18 | 北京启明星辰信息技术股份有限公司 | 检测恶意http请求的方法及装置 |
| CN101453363A (zh) * | 2007-11-28 | 2009-06-10 | 英业达股份有限公司 | 网络入侵检测系统 |
| CN102131193A (zh) * | 2010-01-12 | 2011-07-20 | 中国人民解放军总参谋部第六十一研究所 | 无线传感器网与计算机网融合网络的安全路由方法 |
-
2012
- 2012-05-17 CN CN201210154410.2A patent/CN102711107B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101453363A (zh) * | 2007-11-28 | 2009-06-10 | 英业达股份有限公司 | 网络入侵检测系统 |
| CN101388768A (zh) * | 2008-10-21 | 2009-03-18 | 北京启明星辰信息技术股份有限公司 | 检测恶意http请求的方法及装置 |
| CN102131193A (zh) * | 2010-01-12 | 2011-07-20 | 中国人民解放军总参谋部第六十一研究所 | 无线传感器网与计算机网融合网络的安全路由方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102711107A (zh) | 2012-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102711107B (zh) | 基于关键节点的无线传感器网络入侵检测方法 | |
| Le et al. | Specification-based IDS for securing RPL from topology attacks | |
| CN102196420B (zh) | 无线传感器网络安全分簇路由管理方法 | |
| Alzubi | Bipolar fully recurrent deep structured neural learning based attack detection for securing industrial sensor networks | |
| Stamouli et al. | Real-time intrusion detection for ad hoc networks | |
| Mehta et al. | Trust based mechanism for securing iot routing protocol rpl against wormhole &grayhole attacks | |
| Farzaneh et al. | An anomaly-based IDS for detecting attacks in RPL-based internet of things | |
| Brown et al. | Detection of selective forwarding attacks in heterogeneous sensor networks | |
| Sedjelmaci et al. | An efficient intrusion detection framework in cluster‐based wireless sensor networks | |
| CN103095589B (zh) | 基于IPv6的树形拓扑结构的无线传感器网络中传感器节点信任值管理方法 | |
| Roy et al. | D3: Distributed approach for the detection of dumb nodes in wireless sensor networks | |
| Khan et al. | Comprehensive study of selective forwarding attack in wireless sensor networks | |
| CN101917733B (zh) | 无线自组织网络路由查询泛洪攻击的检测方法 | |
| Rassam et al. | A sinkhole attack detection scheme in mintroute wireless sensor networks | |
| Zhijie et al. | Intrusion detection for wireless sensor network based on traffic prediction model | |
| CN102045708A (zh) | 基于能量预测的无线传感器网络入侵检测方法 | |
| CN103686737B (zh) | 基于树形拓扑的无线传感网入侵容忍方法和系统 | |
| Gunasekaran et al. | GA‐DoSLD: genetic algorithm based denial‐of‐sleep attack detection in WSN | |
| Roy et al. | Detection of dumb nodes in a stationary wireless sensor network | |
| Zia | Reputation-based trust management in wireless sensor networks | |
| Benhamida et al. | Fat2d: Fault tolerant directed diffusion for wireless sensor networks | |
| Zia et al. | Communal reputation and individual trust (CRIT) in wireless sensor networks | |
| Begriche et al. | Bayesian-based model for a reputation system in vehicular networks | |
| Vijayakumar et al. | A novel jamming detection technique for wireless sensor networks | |
| Matsunaga et al. | Low false alarm attackers detection in RPL by considering timing inconstancy between the rank measurements |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201120 Address after: 233000 Room 102 north, No.11, No.2 building, liukm Huayuan commercial building, Changqing Township, Yuhui District, Bengbu City, Anhui Province Patentee after: Anhui Licha Information Technology Co.,Ltd. Address before: 102600, room 2, building 2212, center 3, 2 Xinghua street, Daxing District, Beijing Patentee before: BEIJING YONGBO TECHNOLOGY Co.,Ltd. Effective date of registration: 20201120 Address after: 102600, room 2, building 2212, center 3, 2 Xinghua street, Daxing District, Beijing Patentee after: BEIJING YONGBO TECHNOLOGY Co.,Ltd. Address before: 100022 No. 100 Chaoyang District Ping Tian Park, Beijing Patentee before: Beijing University of Technology |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220929 Address after: No. 87, Middle Street West Road, Pingchuan Street, Wuping County, Longyan City, Fujian Province, 361000 Patentee after: Fujian Huizhi Digital Tongda Technology Co.,Ltd. Address before: 233000 Room 102 north, No.11, No.2 building, liukm Huayuan commercial building, Changqing Township, Yuhui District, Bengbu City, Anhui Province Patentee before: Anhui Licha Information Technology Co.,Ltd. |