CN103297973B - 水下传感器网络中女巫入侵检测方法 - Google Patents

Abstract

本发明涉及一种水下传感器网络中女巫入侵检测方法，包括三个阶段：（1）、可疑节点识别阶段：锚节点根据接收到的信息包识别网络中的可疑节点；（2）、女巫节点确定阶段：锚节点计算可疑节点的状态评估值，再比较可疑节点位置信息确定女巫节点；（3）、女巫节点隔离阶段：锚节点向基站报告女巫节点，基站将女巫节点从网络中删除。本发明所具有的积极效果是：能十分有效的检测女巫恶意攻击，保证网络的安全；对节点的硬件条件没有严格的限制，也不受特殊信息或者特定节点等限制，具有良好的扩展性。

Description

水下传感器网络中女巫入侵检测方法

技术领域

本发明属于水下传感器网络通信安全领域，具体的涉及一种水下传感器网络中女巫节点入侵检测的方法。

背景技术

水下无线传感器网络（Underwater Wireless Sensor Networks，简称UWSNs）是针对水下环境中的应用提出的。UWSNs是由大量水下传感器节点构成，通过水声无线通信方式形成的一种分布式的自组织的无线通信网。水下传感器节点协作地监测采集数据信息，经过融合处理后，传送给水面基站，然后再通过射频通信或有线通信传送给用户。由于UWSNs具有分布式、低成本等特点，能够为促进海洋环境管理、资源保护、灾害监测预警、海洋工程、海上生产作业和海洋军事活动等提供更好的技术支持和信息平台，因此水下无线传感器网络有着广阔的应用前景。

但是，UWSNs与地面传感器网络相比,面临着许多限制，主要表现为以下几个方面：

（1）节点硬件资源的限制。传感器节点本身的硬件条件有限，如存储空间，计算能力等方面，同时传感器节点部署在水下，无法利用现有能源补充能量，而且水声通信较电磁波通信发射功率大，能量消耗更多；

（2）水下节点的安全问题。水下环境复杂多变，如海水盐度、压力等，随时使节点可能面临侵蚀、丢失等危险，更重要的是随时都面临着恶意节点的攻击，入侵等，导致节点被俘虏、失效等；

（3）网络拓扑的未知性、变化性。节点往往被随机地投放到目标区域，由于水流的因素，无缆固定的水下节点具有一定的移动性，导致网络拓扑的变化性，带来安全方面的问题。

水下传感器网络节点由于以上的约束条件，而通常又被布置在无人看护甚至条件恶劣的环境中,所以易受到各种攻击,其中最普遍的一种攻击是女巫攻击。女巫节点通过伪造虚假身份或者偷窃合法节点的身份，充当合法节点，并将这些节点投放到网络中，导致网络的冗余性遭到破坏，从而使数据无法安全地、正确地传输到目的节点，破坏冗余机制，多路径路由，网络拓扑生成和数据融合等给网络带来严重的威胁。

近年来，抵御女巫攻击的相关的研究文献如下：

1、Q.zhang等人在2005年《Proceedings of IEEE International Conferenceon Distributed Computing Systems Workshops》上发表文章“Defending againstSybil attacks in Sensor Networks”，提出一种基于簇的Merkle哈希树的防御女巫攻击的机制，利用Merkle哈希树生成密钥，节点之间通过验证密钥，检测出女巫攻击节点。本方案能有效的检测出女巫节点，但是通过哈希树生成密钥，节点通过密钥确认信息包，会降低通信的及时性，造成网络延迟，因此该方案仅用在使用特定密钥管理机制的传感器网络中。

2、Shaohe LV等人在2008年《Computational Intelligence and Security》上发表文章“Detecting the Sybil attack Cooperatively in Wireless SensorNetworks”，提出CRSD算法，基于RSSI和邻居节点之间的协作完成女巫攻击的检测。当节点接收到信息包时，计算信息包的RSSI，并将RSSI与发送节点的ID共同存储在更新表中，当有不同身份的节点有相同的RSSI时则存在女巫节点，再通过增强或者减弱信号发生器发射功率，利用强度值确定女巫节点的位置。此机制能有效的检测网络节点布置好后新增加的节点中存在的女巫攻击，但无法检测网络中已有的女巫攻击。

3、Kuofeng Ssu等人在2009年的《Computer Networks》上发表的文章“Detecting Sybil attacks in Wireless Sensor Networks using neighboringinformation”中，基本思想是在节点高密度部署的传感器网络中，两个节点有相同邻居节点集合的概率很低，然而女巫攻击中，伪造的节点都有一个共同的物理实体，所以女巫节点以及被俘节点都有相同的邻居节点，根据这一特性分析每个邻居节点信息验证节点的身份，检测女巫节点。该方法能十分有效的检测出女巫节点，但是不足之处是能量方面的开销较大，缩短网络寿命。

4、张艳等人在2010年的《计算机应用研究》上发表文章“一种基于AOA信任评估的无线传感器网络女巫攻击检测新方法”，提出了一种基于信号到达角度信任评估检测新方法。基于女巫节点创建多个虚假身份，但是其物理位置相同的思想，利用信号到达角相位差计算邻居节点的信任值，将低于某一信任阈值的节点归为女巫节点，该方法能有效检测女巫攻击，但对硬件设备要求的比较高，角相位易受到环境的影响，在一定程度上降低了精确度。

5、Hadi Khorasani Zadeh等人在2012年《Open International Journal ofinformatics》上发表文章“Trusted Computing Based Collaborative IntrusionDetection System”，提出基于协作的信任机制，检测恶意节点的行为。作者在文章中提出CTC IDS模型，为每个单独的节点计算信任值，如果节点的信任值大于阈值则判断为女巫节点，该方法能有效的检测出恶意节点，但是节点的计算量很大，占用的存储空间多，不适合资源受限的传感器网络。

因此，目前针对女巫检测技术还不是一项成熟的技术，普遍存在的问题是：

（1）节点间的密钥技术、分布式散列表身份注册技术、节点位置确认技术、可信任的代码证明技术等，在存储资源和能量方面开销较大，且时效性低不利于资源受限的传感器网络；

（2）需要全向天线，时钟精确度较高的信号接收器等支持的硬件条件，极大的增加了网络的成本和实现的复杂度。

发明内容

为了克服现有技术中存在的不足，本发明提供了一种水下传感器网络女巫入侵检测方法，为了达到上述目的，本发明提供了一种水下传感器网络女巫入侵检测方法。

一种水下传感器网络中女巫入侵检测方法，包括三个阶段：

（1）可疑节点识别阶段：锚节点根据接收到的信息包识别网络中的可疑节点；

（2）女巫节点确定阶段：锚节点计算可疑节点的状态评估值，再比较可疑节点位置信息确定女巫节点；

（3）女巫节点隔离阶段：锚节点向基站报告女巫节点，基站将女巫节点从网络中删除。

上述步骤（1）中的识别阶段中可疑节点的识别方法为：所有锚节点在其通信范围内广播查询包和查询信息包，各个锚节点根据是否接收到回复查询包识别可疑节点，和根据回复查询信息包的信息识别可疑节点。

上述的回复查询包包括目的节点的ID信息。

上述的回复查询信息包，包括节点通信次数与剩余能量信息；所述的通信次数与剩余能量的数值关系如下：

当节点发送一次k bits的数据包时，消耗的能量如下：

E(K,d)＝E_eleck+E_ampkd²，其中E_elec是发送1bit的数据包时，发射电路消耗的能量；E_amp是发射放大器发送1bit的数据包时所消耗的能量；d是节点的通信范围；K是数据包的大小；E_dispose＝E_receive＝0.5E(K,d)，E_receive是接收k bits数据包消耗的能量；E_dispose是处理k bits数据包消耗的能量，则节点的剩余能量E_residual＝E_initial-2E(K,d)；E_initial是节点的初始能量。

锚节点通过以下两种具体方式识别可疑节点：

（a）锚节点在其通信范围内广播查询包后，将其邻居列表中不回复查询包的节点列为可疑节点；如果接收到陌生节点的回复，也将其列为可疑节点；

（b）锚节点在其通信范围内广播查询信息包，并对邻居节点返回的确认包进行分析判断，把通信次数与剩余能量的关系不匹配的节点列为可疑节点。

上述步骤（1）中的可疑节点的识别阶段的具体步骤如下：

（a）按照分配的每轮时间，锚节点在其通信范围内广播查询包；

（b）接收到锚节点查询包的节点，立刻向锚节点发送回复查询包；

（c）将在锚节点邻居列表中不回复查询包的节点列为可疑节点；如果接收到陌生节点的回复，也将其列为可疑节点；

（d）在分配的每轮时间中，锚节点再次在通信范围内广播查询信息包；

（e）接收到锚节点查询信息包的节点，立刻向锚节点回复包含通信次数和剩余能量的数据包；

（f）锚节点对邻居节点返回的回复查询信息包进行分析判断，把通信次数与剩余能量的关系不匹配的节点列为可疑节点。

上述步骤（2）中确定女巫节点的方法为：

所有锚节点在各自的通信范围内向可疑节点发送查询状态包，各个锚节点根据可疑节点回复的查询状态包，计算可疑节点的状态评估值，锚节点将满足状态评估值的可疑节点转为安全节点，向不满足状态评估值阈值的可疑节点发送查询邻居包，根据回复查询邻居包中包含的可疑节点与其三个邻居节点之间的相对距离，计算可疑节点的坐标，并将其与可疑节点的位置信息相比较，确定女巫节点。

上述回复查询状态包，包含节点的状态信息，即目的节点数据包的接收率R_r，目的节点数据包的处理率R_d，源节点数据包的确认率R_a，源节点数据包发送的时间比率R_t。

上述回复查询邻居包，包含节点邻居列表所记录的邻居信息。

上述的状态评估值的特征如下：

可疑节点的状态评估值用E_i表示；E_i＝αN_D+βN_S,α+β＝1，其中N_D表示目的节点的状态评估值，N_S表示源节点的状态评估值，α≥0，β≥0是加权因子，N_D＝λR_r+μR_d,λ+μ＝1，λ≥0，μ≥0，φ≥0是加权因子；R_r是目的节点数据包的接收率，R_d是目的节点数据包的处理率，R_a是源节点数据包的确认率，R_t是源节点数据包发送的时间比率。

上述步骤（2）中的确定女巫节点通过以下两种具体方式：

（a）锚节点根据可疑节点的状态信息来计算可疑节点的状态评估值；

（b）锚节点比较可疑节点的位置信息来判断可疑节点是否为女巫节点：

（Ⅰ）把状态评估值小于阈值的可疑节点进行排除，并转为安全节点；

（Ⅱ）对于状态评估值大于等于阈值的可疑节点，锚节点根据此可疑节点与其三个邻居节点之间的相对距离计算可疑节点的坐标；

（Ⅲ）锚节点将上述b中计算出来的坐标与可疑节点的位置信息相比较，如果不一致则该可疑节点为女巫节点，否则为安全节点。

上述的确定女巫节点的具体步骤如下：

（a）按照每轮分配的时间周期，锚节点向可疑节点发送查询状态包；

（b）锚节点收到每个可疑节点回复的查询状态包后，计算每个可疑节点的状态评估值；

（c）如果某个可疑节点的E_i≤1,锚节点将此可疑节点转为安全节点；

（d）如果某个可疑节点的E_i＞1，锚节点则进一步判断此可疑节点是否为女巫节点；

（e）按照每轮分配的时间周期，锚节点向E_i＞1的可疑节点发送查询邻居包；

（f）锚节点收到E_i＞1的可疑节点回复的查询邻居包后，根据此可疑节点的三个邻居节点提供的到可疑节点的相对距离，计算可疑节点的位置坐标；

（g）比较计算得出的坐标和可疑节点提供的坐标，如果结果一致，可疑节点则为安全节点；否则，可疑节点则是女巫节点；

（h）按照权利要求12所述的步骤(12e)、(12f)步骤(12g)的方法，逐一判断每个E_i＞1可疑节点是否为女巫节点。

上述步骤（3）中的女巫节点隔离阶段的具体步骤如下：

所有锚节点向基站汇报检测出来的女巫节点信息，基站向全网广播女巫节点ID信息，并将女巫节点从网络中删除。

与现有的女巫攻击的检测方法相比，本发明所具有的积极效果是：

（1）能十分有效的检测女巫恶意攻击，保证网络的安全。

（2）对节点的硬件条件没有严格的限制，也不受特殊信息或者特定节点等限制，具有良好的扩展性。

附图说明

图1是女巫节点攻击行为特征的示意图

图2是本发明可疑节点识别阶段的流程图；

图3是本发明女巫节点确定阶段的流程图；

具体的实施方式

为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例，对依据本发明提出的其具体实施方式、结构、特征及其功效，详细说明如后。

女巫攻击的实质是女巫节点通过伪造虚假身份或者偷窃合法节点的身份，充当合法节点，并将这些节点投放到网络中，接收源节点或中间节点的信息，随意篡改坐标、跳数、路由等信息或者丢弃这些数据,使信息无法安全地、正确地传输到目的节点,严重影响水下传感器网络中的安全定位、地理位置路由、多路径和拓扑结构等。

根据水下传感器网络中女巫节点呈现的攻击方式，本发明总结了女巫节点的典型恶意行为，逐步鉴别女巫节点。

如图1所示的女巫攻击模型，其攻击实施过程如下：

正常情况下，当节点A与节点B通信时，由于节点A不在节点B的通信范围内,两者必须借助中间节点如节点C才能通信。节点M1是女巫节点M伪造的与节点B有相同身份的恶意节点，当节点A广播到目的节点B的路由时，M1立刻回复节点A，声称它就是目的节点，于是节点A就将节点M1误认为是目的节点，将有关的信息发送给M1，当M1接收到信息后，开始发起恶意攻击，例如，随意丢弃或者修改数据包等恶意行为，最终给网络带来危害。

本发明提供一种水下传感器网络中女巫入侵检测方法，包括三个阶段：

（1）可疑节点识别阶段：锚节点根据接收到的信息包识别网络中的可疑节点；

（2）女巫节点确定阶段：锚节点计算可疑节点的状态评估值，再比较可疑节点位置信息确定女巫节点；

（3）女巫节点隔离阶段：锚节点向基站报告女巫节点，基站将女巫节点从网络中删除。

上述步骤（1）中的识别阶段中可疑节点的识别方法为：所有锚节点在其通信范围内广播查询包和查询信息包，各个锚节点根据是否接收到回复查询包识别可疑节点，和根据回复查询信息包的信息识别可疑节点。

上述的回复查询包包括目的节点的ID信息。

上述的回复查询信息包，包括节点通信次数与剩余能量信息；所述的通信次数与剩余能量的数值关系如下：

当节点发送一次k bits的数据包时，消耗的能量如下：

E(K,d)＝E_eleck+E_ampkd²，其中E_elec是发送1bit的数据包时，发射电路消耗的能量；E_amp是发射放大器发送1bit的数据包时所消耗的能量；d是节点的通信范围；K是数据包的大小；E_dispose＝E_receive＝0.5E(K,d)，E_receive是接收k bits数据包消耗的能量；E_dispose是处理k bits数据包消耗的能量，则节点的剩余能量E_residual＝E_initial-2E(K,d)；E_initial是节点的初始能量。

上述锚节点通过以下两种具体方式识别可疑节点：

（a）锚节点在其通信范围内广播查询包后，将其邻居列表中不回复查询包的节点列为可疑节点；如果接收到陌生节点的回复，也将其列为可疑节点；

（b）锚节点在其通信范围内广播查询信息包，并对邻居节点返回的确认包进行分析判断，把通信次数与剩余能量的关系不匹配的节点列为可疑节点。

如图2所示，上述步骤（1）中的可疑节点的识别阶段的具体步骤如下：

（a）按照分配的每轮时间，锚节点在其通信范围内广播查询包；

（b）接收到锚节点查询包的节点，立刻向锚节点发送回复查询包；

（c）将在锚节点邻居列表中不回复查询包的节点列为可疑节点；如果接收到陌生节点的回复，也将其列为可疑节点；

（d）在分配的每轮时间中，锚节点再次在通信范围内广播查询信息包；

（e）接收到锚节点查询信息包的节点，立刻向锚节点回复包含通信次数和剩余能量的数据包；

（f）锚节点对邻居节点返回的回复查询信息包进行分析判断，把通信次数与剩余能量的关系不匹配的节点列为可疑节点。

上述步骤（2）中确定女巫节点的方法为：

所有锚节点在各自的通信范围内向可疑节点发送查询状态包，各个锚节点根据可疑节点回复的查询状态包，计算可疑节点的状态评估值，锚节点将满足状态评估值的可疑节点转为安全节点，向不满足状态评估值阈值的可疑节点发送查询邻居包，根据回复查询邻居包中包含的可疑节点与其三个邻居节点之间的相对距离，计算可疑节点的坐标，并将其与可疑节点的位置信息相比较，确定女巫节点。

上述回复查询状态包，包含节点的状态信息，即目的节点数据包的接收率R_r，目的节点数据包的处理率R_d，源节点数据包的确认率R_a，源节点数据包发送的时间比率R_t。

上述回复查询邻居包，包含节点邻居列表所记录的邻居信息。

上述的状态评估值的特征如下：

可疑节点的状态评估值用E_i表示；E_i＝αN_D+βN_S,α+β＝1，其中N_D表示目的节点的状态评估值，N_S表示源节点的状态评估值，α≥0，β≥0是加权因子，N_D＝λR_r+μR_d,λ+μ＝1，λ≥0，

μ≥0，φ≥0是加权因子；R_r是目的节点数据包的接收率，R_d是目的节点数据包的处理率，R_a是源节点数据包的确认率，R_t是源节点数据包发送的时间比率。

上述步骤（2）中的确定女巫节点通过以下两种具体方式：

（a）锚节点根据可疑节点的状态信息来计算可疑节点的状态评估值；

（b）锚节点比较可疑节点的位置信息来判断可疑节点是否为女巫节点：

（Ⅰ）把状态评估值小于阈值的可疑节点进行排除，并转为安全节点；

（Ⅱ）对于状态评估值大于等于阈值的可疑节点，锚节点根据此可疑节点与其三个邻居节点之间的相对距离计算可疑节点的坐标；

（Ⅲ）锚节点将上述b中计算出来的坐标与可疑节点的位置信息相比较，如果不一致则该可疑节点为女巫节点，否则为安全节点。

如图3所示，上述的确定女巫节点的具体步骤如下：

（a）按照每轮分配的时间周期，锚节点向可疑节点发送查询状态包；

（b）锚节点收到每个可疑节点回复的查询状态包后，计算每个可疑节点的状态评估值；

（c）如果某个可疑节点的E_i≤1,锚节点将此可疑节点转为安全节点；

（d）如果某个可疑节点的E_i＞1，锚节点则进一步判断此可疑节点是否为女巫节点；

（e）按照每轮分配的时间周期，锚节点向E_i＞1的可疑节点发送查询邻居包；

（f）锚节点收到E_i＞1的可疑节点回复的查询邻居包后，根据此可疑节点的三个邻居节点提供的到可疑节点的相对距离，计算可疑节点的位置坐标；

（g）比较计算得出的坐标和可疑节点提供的坐标，如果结果一致，可疑节点则为安全节点；否则，可疑节点则是女巫节点；

（h）按照权利要求12所述的步骤(12e)、(12f)步骤(12g)的方法，逐一判断每个E_i＞1可疑节点是否为女巫节点。

计算可疑节点的坐标(x,y,z),其公式即空间三点的欧式距离公式为：

$\left\{\begin{array}{c}{(x-x_1)}^2+{(y-y_1)}^2+{(z-z_1)}^2=d_1\\ {(x-x_2)}^2+{(y-y_2)}^2+{(z-z_2)}^2=d_2\\ {(x-x_3)}^2+{(y-y_3)}^3+{(z-z_3)}^3=d_3\end{array}\right.$

上述步骤（3）中的女巫节点隔离阶段的具体步骤如下：

所有锚节点向基站汇报检测出来的女巫节点信息，基站向全网广播女巫节点ID信息，并将女巫节点从网络中删除。

最后所应说明的是，以上所述仅是本发明的实施方式，尽管参照较佳实施例对本发明进行了详细的说明，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进，这些改进也应视为本发明的保护范围。

Claims (8)

1.一种水下传感器网络中女巫入侵检测方法，其特征在于：包括三个阶段：

(1)可疑节点识别阶段：锚节点根据接收到的信息包识别网络中的可疑节点；

(2)女巫节点确定阶段：锚节点计算可疑节点的状态评估值，再比较可疑节点位置信息确定女巫节点；

(3)女巫节点隔离阶段：锚节点向基站报告女巫节点，基站将女巫节点从网络中删除；

步骤(1)中的识别阶段中可疑节点的识别方法为：所有锚节点在其通信范围内广播查询包和查询信息包，各个锚节点根据是否接收到回复查询包识别可疑节点，和根据回复查询信息包的信息识别可疑节点；

步骤(1)中的可疑节点的识别阶段的具体步骤如下：

(6a)按照分配的每轮时间，锚节点在其通信范围内广播查询包；

(6b)接收到锚节点查询包的节点，立刻向锚节点发送回复查询包；

(6c)将在锚节点邻居列表中不回复查询包的节点列为可疑节点；如果接收到陌生节点的回复，也将其列为可疑节点；

(6d)在分配的每轮时间中，锚节点再次在通信范围内广播查询信息包；

(6e)接收到锚节点查询信息包的节点，立刻向锚节点回复包含通信次数和剩余能量的数据包；

(6f)锚节点对邻居节点返回的回复查询信息包进行分析判断，把通信次数与剩余能量的关系不匹配的节点列为可疑节点；

所述的确定女巫节点的具体步骤如下：

(12a)按照每轮分配的时间周期，锚节点向可疑节点发送查询状态包；

(12b)锚节点收到每个可疑节点回复的查询状态包后，计算每个可疑节点的状态评估值；

(12c)如果某个可疑节点的E_i≤1,锚节点将此可疑节点转为安全节点；

(12d)如果某个可疑节点的E_i＞1，锚节点则进一步判断此可疑节点是否为女巫节点；

(12e)按照每轮分配的时间周期，锚节点向E_i＞1的可疑节点发送查询邻居包；

(12f)锚节点收到E_i＞1的可疑节点回复的查询邻居包后，根据此可疑节点的三个邻居节点提供的到可疑节点的相对距离，计算可疑节点的位置坐标；

(12g)比较计算得出的坐标和可疑节点提供的坐标，如果结果一致，可疑节点则为安全节点；否则，可疑节点则是女巫节点；

(12h)按照所述的步骤(12e)、(12f)步骤(12g)的方法，逐一判断每个E_i＞1可疑节点是否为女巫节点；

所述的状态评估值的特征如下：

可疑节点的状态评估值用E_i表示；E_i＝αN_D+βN_S,α+β＝1，其中N_D表示目的节点的状态评估值，N_S表示源节点的状态评估值，α≥0，β≥0是加权因子， N_D＝λR_r+μR_d,λ+μ＝1，λ≥0，μ≥0，φ≥0是加权因子；R_r是目的节点数据包的接收率，R_d是目的节点数据包的处理率，R_a是源节点数据包的确认率，R_t是源节点数据包发送的时间比率；

所述的回复查询信息包，包括节点通信次数与剩余能量信息；所述的通信次数与剩余能量的数值关系如下：

当节点发送一次k bits的数据包时，消耗的能量如下：E(k,d)＝E_eleck+E_ampkd²，其中E_elec是发送1bit的数据包时，发射电路消耗的能量；E_amp是发射放大器发送1bit的数据包时所消耗的能量；d是节点的通信范围；k是数据包的大小；E_dispose＝E_receive＝0.5E(k,d)，E_receive是接收k bits数据包消耗的能量；E_dispose是处理k bits数据包消耗的能量，则节点的剩余能量E_residual＝E_initial-2E(k,d)；E_initial是节点的初始能量。

2.根据权利要求1所述的水下传感器网络中女巫入侵检测方法，其特征在于，所述的回复查询包括目的节点的ID信息。

3.根据权利要求2所述的水下传感器网络中女巫入侵检测方法，其特征在于，

所述锚节点通过以下方式识别可疑节点：

(5a)锚节点在其通信范围内广播查询包后，将其邻居列表中不回复查询包的节点列为可疑节点；如果接收到陌生节点的回复，也将其列为可疑节点；

(5b)锚节点在其通信范围内广播查询信息包，并对邻居节点返回的回复查询信息包进行分析判断，把通信次数与剩余能量的关系不匹配的节点列为可疑节点。

4.根据权利要求3所述的水下传感器网络中女巫入侵检测方法，其特征在于，

所述步骤(2)中确定女巫节点的方法为：

所有锚节点在各自的通信范围内向可疑节点发送查询状态包，各个锚节点根据可疑节点回复的查询状态包，计算可疑节点的状态评估值，锚节点将满足状态评估值的可疑节点转为安全节点，向不满足状态评估值阈值的可疑节点发送查询邻居包，根据回复查询邻居包中包含的可疑节点与其三个邻居节点之间的相对距离，计算可疑节点的坐标，并将其与可疑节点的位置信息相比较，确定女巫节点。

5.根据权利要求4所述的水下传感器网络中女巫入侵检测方法，其特征在于，

所述回复的查询状态包，包含节点的状态信息，即目的节点数据包的接收率R_r，目的节点数据包的处理率R_d，源节点数据包的确认率R_a，源节点数据包发送的时间比率R_t。

6.根据权利要求5所述的水下传感器网络中女巫入侵检测方法，其特征在于，

所述回复查询邻居包，包含节点邻居列表所记录的邻居信息。

7.根据权利要求6所述的水下传感器网络中女巫入侵检测方法，其特征在于，所述步骤(2)中的确定女巫节点通过以下方式：

(11a)锚节点根据可疑节点的状态信息来计算可疑节点的状态评估值；

(11b)锚节点比较可疑节点的位置信息来判断可疑节点是否为女巫节点：

(Ⅰ)把状态评估值小于阈值的可疑节点进行排除，并转为安全节点；

(Ⅱ)对于状态评估值大于等于阈值的可疑节点，锚节点根据此可疑节点与其三个邻居节点之间的相对距离计算可疑节点的坐标；

(Ⅲ)锚节点将上述(Ⅱ)中计算出来的坐标与可疑节点的位置信息相比较，如果不一致则该可疑节点为女巫节点，否则为安全节点。

8.根据权利要求7所述的水下传感器网络中女巫入侵检测方法，其特征在于，所述步骤(3)中的女巫节点隔离阶段的具体步骤如下：

所有锚节点向基站汇报检测出来的女巫节点信息，基站向全网广播女巫节点ID信息，并将女巫节点从网络中删除。