CN107040521A - 一种带有串谋攻击检测的数据转发方法 - Google Patents

Abstract

本发明请求保护一种带有串谋攻击检测的数据转发方法，属于机会网络信任管理技术领域。针对机会网络恶意节点串谋攻击破坏数据正常传输的问题，提出了一种带有串谋攻击检测的数据转发方法。利用节点的历史交互状态信息所获知的节点相遇频度序列构建暂态信任子网，从而评估节点间关系紧密程度的时间演进趋势。基于节点间的暂态信任子网推测节点可能的行为，以检测异常节点以及异常节点的频繁交互子集防御恶意串谋攻击，进而评估节点的协作状态及协作能力以合理地选择中继节点，实现高效可靠的数据传输。

Description

一种带有串谋攻击检测的数据转发方法

技术领域

本发明属于机会网络信任管理领域，尤其涉及一种带有串谋攻击检测的数据转发方法。

背景技术

移动通信设备(智能手机，平板电脑)的广泛应用推动了移动自组织网络 (MobileAd Hoc Network,MANET)的快速发展。MANET要求在数据传输之前建立一条从源节点到目的节点连续的路径。然而，在实际的应用场景中，节点的移动性及通信能力受限等问题导致端到端的路径高频度断裂。作为MANET 的一种特殊应用，机会网络将节点的移动性转变为机遇，利用节点移动产生的通信机会，以“存储-携带-转发”的通信模式更加灵活地实现数据的传输。在数据传输过程中，节点间相互协作转发数据直到数据投递到目的节点。然而，在实际的网络环境中，受限于节点之间的社会属性，节点间联系强弱具有较大的差异，呈现出不同的协作意愿。此外，网络中存在着恶意节点独立或串谋发动恶意攻击，它们以破坏网络运行为目的，伪造交互信息截获数据之后将数据篡改或丢弃，极大地破坏了网络的正常运行。因此，机会网络中数据转发的关键问题是如何确保数据由在时间约束内将数据转发到目的节点的最佳中继节点承载。

利用节点的社会属性分析节点的协作状态，国内外研究人员已提出相关方案。乔秀全,杨春,李晓峰等在“社交网络服务中一种基于用户上下文的信任度计算方法”【计算机学报,2011,34(12):2403-2413.】中提出了社会网络中基于用户上下文的信任度计算方法，所提出的方法将用户间的信任度分为熟悉性产生的信任度和相似性产生的信任度，同时根据各自的重要程度将相似性划分为内部相似性和外部相似性。TRIFUNOVIC S,LEGENDRE F,ANASTASIADES C在“Social trust in opportunistic networks”中【IEEE Conference onComputer Communications Workshops.San Diego,America:IEEE Press,2010:1-6.】中提出通过显示社会信任和隐式社会信任以互补的方式建立社会信任。ZHANG P, DURRESI A在“Trust management framework for social networks”【IEEE InternationalConference on Communications.Ottawa,Canada:IEEE Press,2012: 1042-1047】中提出了一种由印象和置信度构成的新颖度量指标的信任系统，在考虑人类的信任水平和信任水平置信度的基础上，通过测量误差传播理论，提出了一种基于印象传递性的信任度计算方法和融合算法。MTIBAA A,HARRAS K A.在“Social-based trust in mobileopportunistic networks”【2011Proceedings of 20th International Conference onComputer Communications and Networks.Maui, America:IEEE Press,2011:1-6.】中利用社会信息建立可信赖的通信，依据节点间的共同兴趣、共同朋友节点、以及社会关系图距离和Relay to Relay和Source to Relay的信任技术构建信任过滤器，在信任和成功率之间取得一个较为公平的权衡。

在上述所有方案中，关于社会信任的研究只考虑了节点间的社会联系，忽略了由社会关系导致节点行为差异的内在因素，忽略了恶意节点攻击时彼此间的联系，节点的行为表现除了与节点是否为恶意节点之外还与节点间的关系密不可分。此外，将节点的历史交互数据叠加以发现节点间的信任状态，掩盖了不同时刻节点关系的变化情况，影响节点的协作状态及协作能力的评估。

在不存在端到端路径时，机会网络利用节点移动带来的通信机会传输数据，数据的成功传输需要多个中继节点的相互协作。因此，数据转发过程中如何合理地选择中继节点是提高数据传输效率以及数据传输可靠性的关键。鉴于机会网络的特性，机会网络的数据转发方法需考虑：如何由节点间有限的历史交互信息评估节点的协作状态和协作能力，从而为数据转发决策提供依据。

发明内容

本发明旨在解决以上现有技术的问题。提出了一种确保数据可靠有效的传输，提高网络资源利用率的带有串谋攻击检测的数据转发方法。本发明的技术方案如下：

一种带有串谋攻击检测的数据转发方法，其包括以下步骤：

获取节点相遇频度序列的步骤：首先依据节点社会活动规律获知节点的相遇频度序列M＝{m₁,m₂,…m_2K}，相遇频度序列记录了节点间在不同时段的相遇次数，描述了节点间连接关系的变化趋势及规律；

构建暂态信任子网的步骤：其次，将同时段具有连接关系的节点聚集，构建节点的暂态信任子网为所聚集的节点集，构成节点的暂态连接子网，参数Θ＝{T,B}用以定量描述连接关系，T_ij为节点i对节点j连接信任度评估，由节点j协助给定节点i转发数据的数目与节点j接收节点i的数据数目的比值衡量，比值越高，则节点j的协作性越强，其在节点i处的可信赖程度越高，B_ij为节点i对节点j的连接强度评估,由节点i通过节点j可将数据扩散的程度表示，通过节点i与节点j之间的连接概率，以及节点j的扩散能力共同评估，节点j的扩散能力表明节点j可相遇的节点数目，节点j的可相遇节点数目越多，数据经由节点j扩散后投递到目的节点的概率越大，以评估节点在不同时段的连接能力和可信赖程度；

串谋攻击检测的步骤：再次，基于节点的相遇频度序列，评估节点间观测交互频度与期望相遇频度序列的匹配程度，观测交互频度为当前时段节点间交互次数计数，期望相遇频度序列则由相遇频度序列属于相遇频度序列集的程度定义，节点间的相遇频度序列为节点的社会行为产生连接关系的时间序列，体现了节点连接强度的时间变化趋势，而交互频度序列体现了节点间进行数据交互的过程，观测交互频度受限于节点的相遇频度，正常的交互频度序列通常遵循期望频度所描述的特定趋势，若节点的交互行为脱离了节点相遇频度序列所体现的节点连接的时间演进趋势，则可能出现了异常的交互过程，因而，基于匹配度分析节点的异常行为，相互串谋的恶意节点以协同作弊的方式篡改或伪造交互信息以欺骗其他节点获得较高的信任值，从而截获数据并丢弃，这些伪造的交互信息使得串谋节点的历史交互行为在时间序列中呈现较高的协同性，而团体中的节点与其它正常节点交互稀疏，表现在串谋的恶意节点之间的暂态连接子网的关联度较高，串谋节点的暂态连接子网中节点集的变动较小，从异常节点的暂态子网时间序列中发现异常频繁交互的节点集合，通过分析异常频繁交互节点集中节点的关联程度，检测串谋的恶意节点，节点在检测出串谋的恶意节点之后，向网络中发送告警信息；

数据转发决策的步骤：最后，在剔除串谋节点的暂态信任子网中，由信任度和连接强度评估节点的综合投递能力，信任度由节点是否提供转发服务直接反映，呈现了节点的协作状态；连接强度体现了节点可将数据扩散的程度。因此，通过信任度和连接强度综合评估节点的投递能力，选择综合投递能力强的节点作为中继节点进行数据转发，以实现数据可靠高效的投递。

进一步的，所述获取节点相遇频度序列的步骤中依据节点社会活动规律获知节点的相遇频度序列M＝{m₁,m₂,…m_2K}包括:当两节点相遇时，互相发送本地存储的数据交互记录依据交换记录，更新相遇频度序列,其中，FM_ji为节点j为节点i转发的数据数目,RM_ji为节点j接收节点i的数据数目,ID_i,ID_j为相遇节点的ID,分别为第n次连接的起始时刻及结束时刻,节点间的相遇间隔时间反映了节点连接的频繁程度，若某次的相遇间隔时间较大，则此时段节点的连接状态可能出现了间歇期，给定时间T，节点间的相遇间隔时间序列IT_N表示为：IT_N＝{IT₁,IT₂,...IT_N}，其中，为第n次连接到第n+1次连接的间隔时间。

进一步的，所述构建暂态信任子网步骤中，评估节点i对节点j的信任度T_ij表示为：T_ij＝FM_ji/RM_ji，FM_ji为节点j为节点i转发的数据数目,RM_ji为节点j接收节点i的数据数目,即转发的数据数目与接收的数据数目两者的比值。

进一步的，所述构建暂态信任子网步骤中，节点i对节点j的连接强度评估包括以下步骤：

连接概率P_i,j的评估，

节点扩散能力C_j的评估：

连接强度B_ij的计算方式为：

进一步的，所述串谋攻击检测的步骤中异常分析的步骤包括：

期望相遇频度估计；匹配度计算：匹配度阈值的计算，将所预测的相遇频度序列的匹配分数Outiler_th＝match(FM_x+1,M_u)作为评估观测相遇频度是否与期望相遇频度匹配的阈值：根据预测结果异常分析。

进一步的，检测并剔除串谋节点用Apriori算法发现暂态子网中支持度不小于min_up的频繁交互节点集，在频繁交互节点集中分析节点的关联强度以检测串谋的恶意节点集；包括最小支持度min_up的设置步骤：计算交互关联度及好友关联程度根据节点的聚集密度，在异常频繁节点集中寻找具有最大聚集密度的异常频繁子集，具有最大聚集密度频繁节点集中的节点，彼此的关联程度极高，被判定为串谋。

进一步的，所述由信任度和连接强度评估节点的综合投递能力，选择综合投递能力强的节点作为中继节点进行数据转发的步骤包括：

由暂态信任子网中连接的信任程度和连接强度评估节点的综合投递能力在节点综合投递能力的计算中，当节点的交互行为与期望相遇频度更匹配时，节点的连接强度B_ij比重越高，在节点i的暂态连接子网中，选择综合投递能力值最大的节点转发数据。

本发明的优点及有益效果如下：

本发明针对现有的机会网络数据转发方法中：1)将节点的历史交互数据叠加以发现节点间的信任状态，掩盖了不同时刻节点关系的变化情况；2)关于社会信任的研究只考虑了节点间的社会联系，忽略了由社会关系导致节点行为差异的内在因素，忽略了恶意节点攻击时彼此间的联系。提出一种带有串谋攻击检测的数据转发方法。基于暂态信任子网更准确地评估节点间社会连接关系的动态变化，以检测恶意串谋攻击节点，进而选择协作度高(非恶意节点)、协作能力强的节点作为中继节点转发数据。节点的协作性确保了数据的可靠传输；而协作能力强的节点，能在更短的时间经由更少的节点将数据投递到目的节点，降低通信开销的同时提高了数据投递效率。

附图说明

图1是本发明提供优选实施例中“暂态子网—暂态子网节点集”列表；

图2本发明中串谋攻击检测流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、详细地描述。所描述的实施例仅仅是本发明的一部分实施例。

本发明解决上述技术问题的技术方案是：

首先依据节点社会活动规律获知节点的相遇频度序列M＝{m₁,m₂,…m_2K}。相遇频度序列记录了节点间在不同时段的相遇次数，描述了节点间连接关系的变化趋势及规律。

然后，将同时段具有“连接”关系的节点聚集，构建节点的暂态信任子网为所聚集的节点集，参数Θ＝{T,B}用以定量描述连接关系， T_ij为节点i对节点j连接信任度评估，B_ij为节点i对节点j的连接强度评估。

进而，基于节点间的相遇频度序列定义节点间的期望相遇频度评估观测交互频度与期望相遇频度的匹配度以所预测相遇频度与期望相遇频度的匹配分数Outiler_th为基准，若则表示节点的行为与所期望的相遇模式不匹配，将其标记为异常节点。基于异常节点的暂态连接子网序列，挖掘异常频繁交互节点集。以异常频繁交互节点集中节点间的关联程度为边的权重，构建异常频繁交互子集交互关联图。通过计算关联图的聚集密度，寻找具有最大聚集密度的异常频繁交互节点集以检测串谋节点。

最后，在剔除串谋节点的暂态信任子网中，由信任度和连接强度评估节点的综合投递能力，为中继节点的选择提供依据。

具体来说：

机会网络中节点之间的类似特征导致它们之间的联系，具有相似社会属性和兴趣的人往往形成强烈的关系。此外，受限于节点的社会活动，节点的社会行为具有时间规律性，节点间的关系非一成不变，在不同时段节点的协作意愿不同。因而，节点联系的紧密程度由时间约束，呈现出动态化和差异化。依据节点不同时期联系的紧密程度，将节点间的连接状态分为连接“有效期”和连接“间歇期”。在“有效期”节点联系紧密，其相遇过程稳定可预测；在“间歇期”节点联系稀疏，节点间的相遇认为是随机发生且不可预测。节点在不同时期的相遇次数构成了相遇频度序列。用以评估节点在当前时刻的协作意愿。

机会网络中的节点具有较强社会属性，在不同时段节点的协作状态不同，节点间的连接具有时间约束性。节点与网络中同其属于连接“有效期”的节点在相应时段聚集，形成特定时段的暂态连接子网。暂态连接子网中的节点处于连接“有效期”，处于连接“有效期”的节点间联系紧密，节点利用子网中的暂态连接进行数据传输。如前所述，网络中存在非协作节点，或出于社会关系的制约，或出于恶意攻击的目的，表现出有选择地转发数据甚至丢弃数据，故暂态连接子网中的连接并非完全可信。与此同时，由于社会属性的差异性，网络中的一部分节点相比于其它节点具有更显著地连通度，节点的连接能力具有较大的差别。因此，还需评估暂态连接子网中连接的可信赖程度以及连接的强度。由于节点连接的可信性和强度不同，参数Θ＝{T,B}用以定量描述暂态连接子网中的连接关系，信任度T表示连接可信赖程度，节点连接能力的差异则由连接强度B衡量。暂态连接子网与节点的连接关系Θ＝{T,B}构成节点i在t时刻的暂态信任子网

节点的社会属性描述了节点之间长期的交互行为，不容易受到节点移动的随机性影响，具有较强的稳定性。从节点进行社会活动的时间规律出发，以此作为依据判断节点的行为是否符合其社会活动时间规律的特点以检测行为异常节点，通过分析与异常节点频繁交互且关联度高的节点集从而发现相互串谋的恶意节点。节点间的相遇频度序列为节点的社会行为产生连接关系的时间序列，体现了节点连接强度的时间变化趋势。而交互频度序列体现了节点间进行数据交互的过程。节点的交互过程依赖于相遇过程，其受相遇时间序列的限制。节点的行为应符合其社会时间规律特点，即节点的交互过程与节点间的相遇过程是相关的。若节点的交互序列脱离节点的相遇序列所呈现的规律，此时节点的交互可能为异常的交互过程。通过分析相遇序列和交互序列的匹配程度，检测异常的交互序列，从而发现节点的异常行为。

相互串谋的恶意节点以协同作弊的方式篡改或伪造交互信息以欺骗其他节点获得较高的信任值，从而截获数据并丢弃。这些伪造的交互信息使得串谋节点的历史交互行为在时间序列中呈现较高的协同性，而团体中的节点与其它正常节点交互稀疏。表现在串谋的恶意节点之间的暂态连接子网的关联度较高，串谋节点的暂态连接子网中节点集的变动较小。从异常节点的暂态子网时间序列中发现异常频繁交互的节点集合，通过分析异常频繁节点集的中节点的关系强度和关联程度，分析恶意节点串谋的几率，彼此具有更高关联度的节点，串谋的概率越大。

对于通信方式极为灵活的机会网络来说，数据的成功转发取决于节点的协作状态以及协作能力，由于恶意节点在截取数据后会将其篡改或丢弃，为确保数据的安全和有效传输，如何选择适合的中继节点至关重要。节点的协作状态决定了节点在接收数据之后是否将数据诚实地转发，其决定了数据传输的可靠性；节点的协作能力则确保了数据投递的效率。由暂态信任子网中连接的信任程度和连接强度评估节点的综合投递能力R_ij，以实现数据可靠高效投递。

具体包括以下步骤：

1获取相遇频度序列：

当两节点相遇时，互相发送本地存储的数据交互记录依据交换记录，更新相遇频度序列。其中，FM_ji为节点j为节点i转发的数据数目。RM_ji为节点j接收节点i的数据数目。ID_i,ID_j为相遇节点的ID,分别为第n次连接的起始时刻及结束时刻。节点间的相遇间隔时间反映了节点连接的频繁程度，若某次的相遇间隔时间较大，则此时段节点的连接状态可能出现了“间歇期”。给定时间T，节点间的相遇间隔时间序列IT_N表示为：IT_N＝{IT₁,IT₂,...IT_N}。其中，为第n次连接到第n+1次连接的间隔时间，在相遇间隔时间序列中寻找节点连接状态的变化点，如果相遇间隔时间序列中的某个点是变化点，则节点间的连接状态处于“间歇期”。

相遇间隔时间方差D(IT)描述了相遇间隔时间IT_n与其期望E(IT)的离散程度，将离散程度大于方差的相遇间隔时间认为是节点连接状态的变化点，在该范围内节点的连接次数较少，因此IT_OFF＝{IT_n|(IT_n-E(IT))²＞ID(IT),IT_n∈IT_N}为节点连接“间歇期”的集合。第k个“间歇期”的时段为：从而可知第k个连接“有效期”的持续时间可得节点连接状态的分时段表示： 为第k个连接“有效期”，为第k个连接“间歇期”。

节点间的连接强度由节点间的机会性连接刻画，在“有效期”节点的相遇频度即相遇次数为节点间的相遇次数越多，节点间的联系越紧密，节点间的连接越强。相应地，节点在“间歇期”的相遇频度表示为则节点的相遇频度序列M′表示为：节点的相遇频度序列描述了节点在不同时期的连接状态及连接强度，体现了节点关系强度的变化趋势，将相遇频度序列简单表示为：M＝{m₁,m₂,…m_2K}。

2构建暂态连接子网

为在t时刻与节点i处于连接“有效期”的节点集，节点i与中的所有节点具有暂态连接，构成暂态连接子网。暂态连接子网中的节点处于连接“有效期”，处于连接“有效期”节点间联系紧密，节点利用子网中的暂态连接进行数据传输。参数Θ＝{T,B}用以定量描述暂态连接子网中的连接关系，信任度T表示连接可信赖程度，节点连接能力的差异则由连接强度B衡量。暂态连接子网与节点的连接关系Θ＝{T,B}构成节点i在t时刻的暂态信任子网

2.1节点间连接的信任度评估

节点间连接的信任度T由节点间的交互状态评判，恶意节点攻击行为直观表现在未能协作转发数据，因而节点是否提供转发服务直接反映其信任程度。若节点协助给定节点i转发数据的比例越高，则节点j的协作性越强，其在节点i处的可信赖程度越高。评估节点i对节点j的信任度T_ij表示为： T_ij＝FM_ji/RM_j。_i

2.2节点间的连接强度评估

连接概率P_i,j评估：数据需在其生存时间的限定内投递到数据目的节点，当前时刻为t_cur，t_ttl为数据过期时刻，在限定时段[t_cur,t_ttl]的数据转发才是有效的；而在“有效期”的相遇过程被视为稳定可预测的连接。因此，在[t_cur,t_ttl]内的“有效期”的连接可被预测，用以数据的转发。表示与时段[t_cur,t_ttl]重叠的“有效期”的集合，则所有重叠期节点间的连接概率P_i,j的计算方式为： 表示第k个有效期与[t_cur,t_ttl]重叠的时段，P_i,j与重叠的时段和“有效期”的相遇频度成正比，重叠时段越长且相遇频度越高的情形下，连接概率越高。

扩散能力评估：机会网络中存在一部分度值较高的节点，与网络中的多个节点联系紧密，在给定时间这部分节点将与更多的节点相遇。若节点则表示节点j连接可达节点k的暂态连接子网节点j可通过节点k与其子网中的节点具有“间接”联系，利用节点间的间接连接可增加节点的连接能力。节点j的连接可达暂态子网的集合记为则为节点j 的可达暂态子网数，越小，表明节点j越少处于其他节点的暂态连接子网内，说明节点j处于一个相对边缘的位置；反之，越大，节点j可达的暂态子网数越多，表明节点j可相遇的节点数目越多，数据经由节点j扩散投递到目的节点的概率越大。将上述节点的扩散能力表示为C_j。在限定时段 [t_cur,t_ttl]，节点j只在部分时间内处于目的节点的暂态连接子网中。若节点j在给定时段连接可达数据目的节点的暂态连接子网，则在此时段目的节点暂态子网的局部范围内评估节点j的扩散能力，否则在全局范围内评估节点j的C_j值：C_j指的是在限定评估范围内，节点j和其它节点的信任可达子网的平均比值，反应了节点j的相对可达暂态连接子网数。其中为评估的范围,为目的节点的暂态子网节点集，N_G为网络中的节点集合，[t₁,t₂]对应节点所处不同范围的时段。节点在[t_cur,t_ttl] 的扩散能力的计算方式为：

连接强度B_ij评估：连接强度B体现了节点连接能力的差异，由节点i通过节点j可将数据扩散的程度表示。综合节点i与节点j的连接强度P_i,j和节点j的扩散能力C_j，连接强度B_ij的计算方式为：

3.异常检测

3.1异常分析

期望相遇频度估计：节点的相遇频度序列为节点的社会相遇模式的体现，其态势具有稳定性和规则性。节点i与节点j在第x个给定时段T的相遇频度序列表示为：当前处于第X+1个周期，节点i与节点j的历史相遇频度序列集表示为：节点的相遇序列记录了节点关系的演化过程，依据相遇序列属于相遇序列集的程度定义期望相遇频度期望相遇频度体现了节点的期望相遇模式。为相遇频度序列的中心，为与相遇序列集中平均欧式距离最小的序列：与远离相遇模式中心的序列相比，更靠近的序列对期望相遇频度的贡献更大，节点i与节点j的期望相遇频度的计算方式为：

匹配度计算：节点在相同“有效期”的轨迹具有相似性。观测交互频度受限于节点的相遇频度。正常的交互频度序列通常遵循期望相遇频度所描述的特定趋势。当前T的观测交互频度为当前 T时段交互次数计数。若节点的交互过程脱离了节点相遇频度序列所体现的节点连接规律，则可能出现了异常的交互过程。依据节点的交互频度序列是否与期望相遇频度匹配发现可能的恶意攻击行为。匹配度的计算方式为：其中，为与相遇序列集中其它序列的最大距离。如果观测交互频度序列与期望相遇频度匹配更多的时间戳，则匹配度越高。

匹配度阈值：依据节点的历史相遇频度预测下一时段节点的相遇频度，通过一次指数平滑法预测下一时段的相遇频度。FM_x为第X次预测的相遇频度，M_x为第X次真实的相遇频度。节点第X+1次所预测的相遇频度表示为： FM_x+1＝αM_x+(1-α)FM_x。其中，权重因子α＝match(M_x,M_u)为第X次的实际交互频度的匹配分数，若其与期望相遇频度越匹配，可为预测提供更可靠的依据，则在预测第X+1次的相遇频度时，实际观测序列所占的比重越大。

鉴于节点社会行为的稳定性和规则性，所预测的节点相遇频度应与期望相遇频度匹配。将所预测的相遇频度序列的匹配分数Outiler_th＝match(FM_x+1,M_u)作为评估观测相遇频度是否与期望相遇频度匹配的阈值。

异常分析：若则表示节点的行为与所期望的相遇模式不匹配，出现异常，将其视为异常节点。否则，认为节点的行为符合其期望相遇模式，为正常节点。

4.2串谋检测

节点在不同时期的暂态子网中的包含的节点集如图1所示，异常节点的暂态子网序列表示为：相互串谋的节点的历史交互行为具有关联性，频繁出现在彼此的暂态连接子网中。Apriori常用于数据的关联运算中，对数据能够达到良好的关联效果。利用Apriori算法发现暂态子网中支持度不小于min_up的频繁交互节点集，在频繁交互节点集中分析节点的关联强度以检测串谋的恶意节点集。

min_up设置：min_up的设置决定发现的频繁交互节点集的数目，更高的 min_up意味着可能未检测到一些频繁交互节点集，而较低的min_up将意味着异常交互序列被判为正常的交互序列。鉴于所发现的频繁子集只是初判，因此将最小的暂态子网包含的节点数目定义为最小支持度，以发现跟多的频繁子集，从而减少漏检的概率。最小支持度min_up定义为：

为满足最小支持度的异常频繁交互子集的集合。通过分析异常频繁节点集中节点的关系强度和关联程度，分析恶意节点串谋的几率，彼此具有更高关联度的节点，串谋的概率越大。关联程度包括了交互关联度及好友关联程度

交互关联度计算：交互关联度由节点相互转发数据的贡献程度S_ij及S_ji评估。可由该节点为给定节点转发数据的数目占频繁子集中所有节点为其转发数据数目的比重衡量，比重越大，则为其提供转发服务的比重越大，贡献越多。考察的是节点间相互的贡献程度，其计算方式为：

好友关联程度计算：好友关联度由节点共同交互的节点数目衡量，共同交互的节点数目与节点自身交互节点的数目比例越高，两节点的交互的关联性越高，节点的好友关联度的计算方式为：

关联度计算：综合节点的交互关联度和好友关联度，节点间的关联度表示为：当节点的交互节点数目多而转发关联度大时节点的关联度的值越高。

检测串谋节点：在异常频繁子集中构建交互关联图S，频繁子集中的节点为顶点，节点间的连接关系为边e_ij，关联度为边的权重。异常频繁子集的密度用以衡量频繁子集中节点的聚集程度，异常频繁节点集的聚集密度的定义为(V_S|·(V_S|-1))/2为图的最大连接数。对于任意的v_t∈V_S,S\v_t为去除节点v_t的异常频繁子图，若density(S\v_t)＞density(S)，则频繁子集S\v_t相比于S具有更高的聚集密度，串谋的概率越大。根据节点的聚集密度，在异常频繁节点集中寻找具有最大聚集密度的异常频繁子集。具有最大聚集密度频繁节点集中的节点，彼此的关联程度极高，被判定为串谋。

5转发决策

当节点i需转发数据时，进行转发决策的步骤如下。

步骤1：交换数据交互记录。当两节点相遇时，互相发送本地存储的数据交互记录依据交换记录，更新相遇频度序列。

步骤2：构建暂态信任子网。依据相遇频度序列，构建节点的暂态连接子网。评估连接的可信度及强度，建立节点的暂态信任子网。

步骤3：异常检测。由节点的相遇频度序列，评估节点的期望相遇频度。通过分析节点的观测交互频度序列与期望相遇频度的匹配程度发现异常节点。通过分析异常节点的频繁交互子集中节点的关联程度，寻找最大聚集密度异常频繁子集以检测串谋的恶意节点。节点检测到串谋节点之后向网络中发送告警信息。

步骤4：评估节点的综合投递能力。由暂态信任子网中连接的信任程度和连接强度评估节点的综合投递能力在节点综合投递能力的计算中，当节点的交互行为与期望相遇频度更匹配时，节点的连接强度B_ij比重越高。在节点i的暂态连接子网中，选择综合投递能力值最大的节点转发数据。

步骤5：数据交互记录更新。完成数据转发之后，节点更新相应的数据转发记录。

以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后，技术人员可以对本发明作各种改动或修改，这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (7)

1.一种带有串谋攻击检测的数据转发方法，其特征在于，包括以下步骤：

获取节点相遇频度序列的步骤：首先依据节点社会活动规律获知节点的相遇频度序列M＝{m₁,m₂,…m_2K}，相遇频度序列记录了节点间在不同时段的相遇次数，描述了节点间连接关系的变化趋势及规律；

构建暂态信任子网的步骤：其次，将同时段具有连接关系的节点聚集，构建节点的暂态信任子网 为所聚集的节点集，构成节点的暂态连接子网，参数Θ＝{T,B}用以定量描述连接关系，T_ij为节点i对节点j连接信任度评估，由节点j协助给定节点i转发数据的数目与节点j接收节点i的数据数目的比值衡量，比值越高，则节点j的协作性越强，其在节点i处的可信赖程度越高，B_ij为节点i对节点j的连接强度评估,由节点i通过节点j可将数据扩散的程度表示，通过节点i与节点j之间的连接概率，以及节点j的扩散能力共同评估，节点j的扩散能力表明节点j可相遇的节点数目，节点j的可相遇节点数目越多，数据经由节点j扩散后投递到目的节点的概率越大，以评估节点在不同时段的连接能力和可信赖程度；

串谋攻击检测的步骤：再次，基于节点的相遇频度序列，评估节点间观测交互频度与期望相遇频度序列的匹配程度，观测交互频度为当前时段节点间交互次数计数，期望相遇频度序列则由相遇频度序列属于相遇频度序列集的程度定义，节点间的相遇频度序列为节点的社会行为产生连接关系的时间序列，体现了节点连接强度的时间变化趋势，而交互频度序列体现了节点间进行数据交互的过程，观测交互频度受限于节点的相遇频度，正常的交互频度序列通常遵循期望频度所描述的特定趋势，若节点的交互行为脱离了节点相遇频度序列所体现的节点连接的时间演进趋势，则可能出现了异常的交互过程，因而，基于匹配度分析节点的异常行为，相互串谋的恶意节点以协同作弊的方式篡改或伪造交互信息以欺骗其他节点获得较高的信任值，从而截获数据并丢弃，这些伪造的交互信息使得串谋节点的历史交互行为在时间序列中呈现较高的协同性，而团体中的节点与其它正常节点交互稀疏，表现在串谋的恶意节点之间的暂态连接子网的关联度较高，串谋节点的暂态连接子网中节点集的变动较小，从异常节点的暂态子网时间序列中发现异常频繁交互的节点集合，通过分析异常频繁交互节点集中节点的关联程度，检测串谋的恶意节点，节点在检测出串谋的恶意节点之后，向网络中发送告警信息；

数据转发决策的步骤：最后，在剔除串谋节点的暂态信任子网中，由信任度和连接强度评估节点的综合投递能力，信任度由节点是否提供转发服务直接反映，呈现了节点的协作状态；连接强度体现了节点可将数据扩散的程度，因此，通过信任度和连接强度综合评估节点的投递能力，选择综合投递能力强的节点作为中继节点进行数据转发，以实现数据可靠高效的投递。

2.根据权利要求1所述的带有串谋攻击检测的数据转发方法，其特征在于，所述获取节点相遇频度序列的步骤中依据节点社会活动规律获知节点的相遇频度序列M＝{m₁,m₂,…m_2K}包括:当两节点相遇时，互相发送本地存储的数据交互记录依据交换记录，更新相遇频度序列,其中，FM_ji为节点j为节点i转发的数据数目,RM_ji为节点j接收节点i的数据数目,ID_i,ID_j为相遇节点的ID,分别为第n次连接的起始时刻及结束时刻,节点间的相遇间隔时间反映了节点连接的频繁程度，若某次的相遇间隔时间较大，则此时段节点的连接状态可能出现了间歇期，给定时间T，节点间的相遇间隔时间序列IT_N表示为：IT_N＝{IT₁,IT₂,...IT_N}，其中，为第n次连接到第n+1次连接的间隔时间。

3.根据权利要求2所述的带有串谋攻击检测的数据转发方法，其特征在于，所述构建暂态信任子网步骤中，评估节点i对节点j的信任度T_ij表示为：T_ij＝FM_ji/RM_ji，FM_ji为节点j为节点i转发的数据数目,RM_ji为节点j接收节点i的数据数目,即转发的数据数目与接收的数据数目两者的比值。

4.根据权利要求2或3所述的带有串谋攻击检测的数据转发方法，其特征在于，所述构建暂态信任子网步骤中，节点i对节点j的连接强度评估包括以下步骤：

连接概率P_i,j的评估，

节点扩散能力C_j的评估：

连接强度B_ij的计算方式为：

5.根据权利要求2所述的带有串谋攻击检测的数据转发方法，其特征在于，所述串谋攻击检测的步骤中异常分析的步骤包括：

期望相遇频度估计；匹配度计算：匹配度阈值的计算，将所预测的相遇频度序列的匹配分数Outiler_th＝match(FM_x+1,M_u)作为评估观测相遇频度是否与期望相遇频度匹配的阈值：根据预测结果异常分析。

6.根据权利要求5所述的带有串谋攻击检测的数据转发方法，其特征在于，检测并剔除串谋节点用Apriori算法发现暂态子网中支持度不小于min_up的频繁交互节点集，在频繁交互节点集中分析节点的关联强度以检测串谋的恶意节点集；包括最小支持度min_up的设置步骤：计算交互关联度及好友关联程度根据节点的聚集密度，在异常频繁节点集中寻找具有最大聚集密度的异常频繁子集，具有最大聚集密度频繁节点集中的节点，彼此的关联程度极高，被判定为串谋。

7.根据权利要求1所述的带有串谋攻击检测的数据转发方法，其特征在于，

所述由信任度和连接强度评估节点的综合投递能力，选择综合投递能力强的节点作为中继节点进行数据转发的步骤包括：

由暂态信任子网中连接的信任程度和连接强度评估节点的综合投递能力在节点综合投递能力的计算中，当节点的交互行为与期望相遇频度更匹配时，节点的连接强度B_ij比重越高，在节点i的暂态连接子网中，选择综合投递能力值最大的节点转发数据。