CN107404718A - 一种无线传感器网络恶意节点检测方法 - Google Patents

Abstract

一种无线传感器网络恶意节点检测方法。其在进行恶意节点判定时，首先使用增强LEACH路由协议，通过选择簇首节点形成各簇集群并确定网络数据包传递路径。其次，各子节点在数据包内添加节点编号及对其父节点的信誉评价值等信息，并按传递路径发送数据包至汇聚节点；汇聚节点解析获取的数据包内节点编号并与无线传感器网络中的节点编号进行比较，形成可疑节点列表。最后，计算各传感器节点的信誉评价值并与检测阈值比较，以判定无线传感器网络中的恶意节点。该方法将增强LEACH路由协议与信誉评价机制结合，能够有效识别无线传感器网络中的恶意节点，提高检测效率。

Description

一种无线传感器网络恶意节点检测方法

技术领域

本发明属于网络信息安全技术领域，特别是涉及一种无线传感器网络恶意节点检测方法。

背景技术

无线传感器网络(wireless sensor network，WSN)是由部署在监测区域内的大量传感器节点以自组织和多跳的方式构成，以协作方式感知、采集、传输和处理网络覆盖区域内监测对象信息的无线网络。由于无线传感器网络能够获取客观物理信息，具有十分广阔的应用前景，因此能应用于军事国防、工农业控制、城市管理、生物医疗、环境监测、抢险救灾、危险区域远程控制等领域。已经引起了许多国家学术界和工业界的高度重视，被认为是对21世纪产生巨大影响力的技术之一。

随着网络的发展，无线传感器网络被广泛应用，其安全问题日益突出；由于无线传感器网络工作环境的特殊性，网络内部节点极易被控制成为恶意节点；一旦网络中的某个节点被控制，那么控制者便可通过该节点进行内部攻击(如：节点访问控制、恶意流量攻击)，从而造成网络瘫痪。控制者也可利用网络节点间的互相信任发送虚假路由信息，改变网络拓扑或者谎报正常节点是恶意节点，进而危害网络的正常运转；因此，如何有效识别无线传感器网络中的恶意节点已经成为目前的研究热点。

发明内容

为了解决上述问题，本发明的目的在于提供一种无线传感器网络恶意节点检测方法。

为了达到上述目的，本发明提供的无线传感器网络恶意节点检测方法所采用的无线传感器网络包括汇聚节点SN及多个传感器节点N，通过采用增强LEACH路由协议，其中一部分传感器节点N作为簇首节点C，接受来自簇集群内部其他传感器节点N的数据包，并将簇集群内的数据包转发给汇聚节点SN；

所述的无线传感器网络恶意节点检测方法包括按顺序进行的下列步骤：

1)簇首节点选择的S1阶段：在此阶段，根据无线传感器网络中各传感器节点的剩余电量、到汇聚节点距离和节点信号强度，在各传感器节点中选取若干传感器节点作为簇首节点，每个传感器节点具有一个节点编号，并将所有传感器节点编号列成表，然后进入S2阶段；

2)簇集群形成的S2阶段：在此阶段，簇首节点将其当选的消息广播通知属于非簇首节点的其余传感器节点，非簇首节点接收到通知后分别计算与各簇首节点的间距，并选择加入与其距离较近的簇首节点所在簇，由此形成多个簇集群，然后进入S3阶段；

3)创建数据包的S3阶段：在此阶段，作为子节点的各非簇首节点创建数据包，数据包中包括子节点数据、节点编号、数据包编号以及子节点对其父节点的信誉评价值，并采用其与汇聚节点共享的密钥对数据包加密而生成加密数据包，其中信誉评价值包含取值为0或1的可信评价值以及取值为0或1的嫌疑评价值，然后进入S4阶段；

4)发送与传递数据包的S4阶段：在此阶段，各子节点发送上述加密数据包，该数据包通过子节点选择转发数据包的父节点以一跳或多跳的方式进行传递，传递到作为最后一个父节点的簇首节点后，由簇首节点利用其与汇聚节点共享的密钥对数据包加密并转发加密后的数据包至汇聚节点；在数据包传递过程中，每一父节点都将对其下一父节点进行信誉评价，并将信誉评价值及其节点编号、数据包编号添加在发送给下一父节点的数据包中一同传送，最后根据父节点的行为执行相应操作，然后进入S5阶段；

5)进行数据包解析的S5阶段：在此阶段，汇聚节点接收到各子节点发送的数据包后，利用与各簇首节点共享的密钥解密数据包，提取出数据包中的节点编号、数据包编号及对父节点的信誉评价值，通过将数据包中的节点编号与无线传感器网络中各传感器节点的编号比较形成可疑节点列表，然后进入S6阶段；

6)恶意节点综合决策判定的S6阶段：在此阶段，汇聚节点根据步骤5)提取出的子节点对父节点的信誉评价值，生成无线传感器网络中各传感器节点的信誉值，并构建各传感器节点的信誉值表，信誉值包含可信值与嫌疑值，其中可信值代表某一传感器节点的可信评价值总和，即所有针对该传感器节点可信评价值为1的数字之和；嫌疑值代表某一传感器节点的嫌疑评价值总和，即所有针对该传感器节点的嫌疑评价值为1的数字之和，然后计算所有传感器节点的嫌疑值与可信值的比值，并将该比值和预先设定的检测阈值进行比较，最后结合上述可疑节点列表判定出哪些传感器节点为恶意节点。

在步骤1)中，所述的簇首节点选择的具体方法如下：

Ⅰ)利用下式计算无线传感器网络中所有传感器节点的平均剩余电量RB_avg及所有传感器节点到汇聚节点的平均距离DB_avg：

其中，RB_i为当前时刻传感器节点i的剩余电量，DB_i为传感器节点i到汇聚节点的距离，n为当前无线传感器网络中传感器节点总数；

Ⅱ)根据上述平均剩余电量RB_avg、平均距离DB_avg计算传感器节点i成为簇首节点的可能性值P_i，

式(3)需满足条件(RB_i/RB_avg)>1、(DB_avg/DB_i)>1且SB_i>SB_Th；SB_i为传感器节点i接收的信号强度的量化值；SB_Th为信号强度量化的临界值，将其设定为汇聚节点能感知到信号的传感器节点中强度最弱的量化值；w为大于1的固定常量；

然后将各传感器节点的可能性值P_i从大到小进行排序，并从序列中选取适宜数量的可能性值P_i大的传感器节点作为簇首节点，实际应用中簇首节点个数一般占传感器节点总数的10％。

在步骤2)中，所述的簇集群形成的具体方法如下：

Ⅰ)簇首节点将其当选的消息Head_Msg广播通知各非簇首节点；

Ⅱ)各非簇首节点接收到消息Head_Msg后，分别计算与各簇首节点的间距，并从其能够接收到信号的各簇首节点中选择信号强度较大的簇首节点决定其期望加入的簇集群，然后发送入群申请Join_Clu_Msg至该簇集群的簇首节点，入群申请Join_Clu_Msg中包含该非簇首节点的节点编号与指定簇首节点的节点编号；

Ⅲ)各簇首节点汇总接收到的所有入群申请Join_Clu_Msg，根据自身能够承受的最大数据包收发容量决定可加入其所在簇集群的非簇首节点，由此形成簇集群并确定无线传感器网络内数据包的传递路径；

Ⅳ)汇聚节点设定无线传感器网络内数据包传递时间片长度，作为子节点的各非簇首节点在规定的数据包传递时间片长度内将添加有其对父节点信誉评价值的数据包按照数据包经传递路径发送给汇聚节点。

在步骤3)中，所述的子节点对其父节点的信誉评价值如表1所示，其中可信评价值与嫌疑评价值初始化为0；k代表网络中节点编号，k＝1,2,...,n；n代表参与数据包传递的传感器节点数；

表1子节点对父节点信誉评价值表

在步骤4)中，所述的发送与传递数据包的具体方法如下：

Ⅰ)各子节点在数据包发送过程中记录其选择转发数据包的父节点编号而构建父节点编号列表；

Ⅱ)各子节点将数据包发送给父节点后，在预先设定的时间片长度内，观察其父节点转发数据包情况，如果父节点在转发数据包过程中存在丢包、篡改包、未按发送路径传递数据包或延迟发送数据包在内的恶意行为，子节点便将该父节点的嫌疑评价值置为1，可信评价值置为0，并添加到发送给下一个父节点的数据包中；反之，若父节点在转发数据包过程中并未出现恶意行为，则将可信评价值置为1，嫌疑评价值置为0；

Ⅲ)待数据包经簇首节点传递给汇聚节点后，子节点根据父节点的行为执行下列相应操作：

Ⅲ-1)若父节点不是簇首节点，且在转发数据包过程中存在恶意行为，子节点将该父节点的恶意行为以广播方式通知其一跳邻节点；

Ⅲ-2)若父节点是簇首节点，且在转发数据包过程中存在恶意行为，待数据包传递结束后，子节点在下一轮选择加入其它簇集群，并将该父节点编号从父节点编号列表中删除。

在步骤5)中，所述的通过将数据包中的节点编号与无线传感器网络中各传感器节点的编号比较形成可疑节点列表的具体方法如下：

Ⅰ)汇聚节点使用其与各簇首节点共享的密钥对数据包m进行解密，生成解密数据包m'；

Ⅱ)解析解密数据包m'，去除节点编号、数据包编号和簇首节点信誉评价值后，观察剩余数据部分，若数据未加密，则为子节点数据；

Ⅲ)若解密数据包m'内的数据部分加密，则根据其传输路径，逆向寻找上游父节点，并通过上一层共享密钥解密数据包，直至获取子节点数据为止；

Ⅳ)若某父节点的所有子节点编号与数据包中的节点编号均不匹配，则可判定该父节点或该父节点的任意子节点存在恶意篡改数据包的行为，将该父节点及其所有子节点添加到可疑节点列表中；

Ⅴ)在解密过程中，若汇聚节点发现其与某一子节点共享的密钥无法解密该子节点传递的加密数据包，则检查该子节点的兄弟节点，查看是否存在匹配的子节点，以判定当前子节点是否冒用其兄弟节点的身份信息，若存在，则将该子节点加入可疑节点列表。

在步骤6)中，所述的各传感器节点的信誉值表如表2所示：

表2网络中各传感器节点的信誉值表

在步骤6)中，所述的将传感器节点的嫌疑值与可信值的比值R_k和预先设定的检测阈值Th进行比较，最后结合上述可疑节点列表判定出哪些传感器节点为恶意节点的具体方法如下：

Ⅰ)当比值R_k≥检测阈值Th时，若传感器节点k在可疑节点列表中，则判定传感器节点k为恶意节点；若传感器节点k不在可疑节点列表中且不存在冒用其他传感器节点身份的情况，则将传感器节点k加入可疑节点列表，等待下一轮检测；

Ⅱ)当比值R_k＜检测阈值Th时，若传感器节点k在可疑节点列表中，则保留，等待下一轮检测；若传感器节点k不在可疑节点列表中且不存在冒用其他传感器节点身份的情况，则判定传感器节点k是正常节点。

与现有技术相比，本发明提供的无线传感器网络恶意节点检测方法在进行恶意节点判定时，首先使用增强LEACH路由协议，通过选择簇首节点形成各簇集群并确定网络数据包传递路径。其次，各子节点在数据包内添加节点编号及对其父节点的信誉评价值等信息，并按传递路径发送数据包至汇聚节点；汇聚节点解析获取的数据包内节点编号并与无线传感器网络中的节点编号进行比较，形成可疑节点列表。最后，计算各传感器节点的信誉评价值并与检测阈值比较，以判定无线传感器网络中的恶意节点。该方法将增强LEACH路由协议与信誉评价机制结合，能够有效识别无线传感器网络中的恶意节点，提高检测效率。

附图说明

图1为无线传感器网络增强LEACH路由协议的拓扑结构示意图。

图2为本发明提供的无线传感器网络恶意节点检测方法流程图。

图3为无线传感器网络簇内节点数据包传递过程示意图。

图4为采用不同恶意节点检测方法的恶意节点检测率仿真图。

图5为采用不同恶意节点检测方法的恶意节点误报率仿真图。

具体实施方式

下面结合附图和具体实施例对本发明提供的无线传感器网络恶意节点检测方法进行详细说明。

如图1所示，本发明提供的无线传感器网络恶意节点检测方法所采用的无线传感器网络包括汇聚节点SN及多个传感器节点N，通过采用增强LEACH路由协议，其中一部分传感器节点N作为簇首节点C，接受来自簇集群内部其他传感器节点N的数据包，并将簇集群内的数据包转发给汇聚节点SN；

如图2所示，所述的无线传感器网络恶意节点检测方法包括按顺序进行的下列步骤：

1)簇首节点选择的S1阶段：在此阶段，根据无线传感器网络中各传感器节点的剩余电量、到汇聚节点距离和节点信号强度，在各传感器节点中选取若干传感器节点作为簇首节点，每个传感器节点具有一个节点编号，并将所有传感器节点编号列成表，然后进入S2阶段；

具体方法如下：

Ⅰ)利用下式计算无线传感器网络中所有传感器节点的平均剩余电量RB_avg及所有传感器节点到汇聚节点的平均距离DB_avg：

其中，RB_i为当前时刻传感器节点i的剩余电量，DB_i为传感器节点i到汇聚节点的距离，n为当前无线传感器网络中传感器节点总数；

Ⅱ)根据上述平均剩余电量RB_avg、平均距离DB_avg计算传感器节点i成为簇首节点的可能性值P_i，

式(3)需满足条件(RB_i/RB_avg)>1、(DB_avg/DB_i)>1且SB_i>SB_Th；SB_i为传感器节点i接收的信号强度的量化值；SB_Th为信号强度量化的临界值，将其设定为汇聚节点能感知到信号的传感器节点中强度最弱的量化值；w为大于1的固定常量；

然后将各传感器节点的可能性值P_i从大到小进行排序，并从序列中选取适宜数量的可能性值P_i大的传感器节点作为簇首节点，实际应用中簇首节点个数一般占传感器节点总数的10％时，就可满足网络正常通信且可有效避免单一传感器节点接收大量数据包的情况。

2)簇集群形成的S2阶段：在此阶段，簇首节点将其当选的消息广播通知属于非簇首节点的其余传感器节点，非簇首节点接收到通知后分别计算与各簇首节点的间距，并选择加入与其距离较近的簇首节点所在簇，由此形成多个簇集群，然后进入S3阶段；

具体方法如下：

Ⅰ)簇首节点将其当选的消息Head_Msg广播通知各非簇首节点；

Ⅱ)各非簇首节点接收到消息Head_Msg后，分别计算与各簇首节点的间距，并从其能够接收到信号的各簇首节点中选择信号强度较大的簇首节点决定其期望加入的簇集群，然后发送入群申请Join_Clu_Msg至该簇集群的簇首节点，入群申请Join_Clu_Msg中包含该非簇首节点的节点编号与指定簇首节点的节点编号；

Ⅲ)各簇首节点汇总接收到的所有入群申请Join_Clu_Msg，根据自身能够承受的最大数据包收发容量决定可加入其所在簇集群的非簇首节点，由此形成簇集群并确定无线传感器网络内数据包的传递路径；

Ⅳ)汇聚节点设定无线传感器网络内数据包传递时间片长度，作为子节点的各非簇首节点在规定的数据包传递时间片长度内将添加有其对父节点信誉评价值的数据包按照数据包经传递路径发送给汇聚节点。

3)创建数据包的S3阶段：在此阶段，作为子节点的各非簇首节点创建数据包，数据包中包括子节点数据、节点编号、数据包编号以及子节点对其父节点的信誉评价值，并采用其与汇聚节点共享的密钥对数据包加密而生成加密数据包，其中信誉评价值包含取值为0或1的可信评价值以及取值为0或1的嫌疑评价值，如表1所示,可信评价值与嫌疑评价值初始化为0；k代表网络中节点编号，k＝1,2,...,n；n代表参与数据包传递的传感器节点数；然后进入S4阶段；

表1子节点对父节点信誉评价值表

如图3所示，当子节点P想要发送数据时，首先创建数据包m₁＝<P_id，M_id，T_Q，D>，然后使用其与汇聚节点共享的密钥P_key对数据包m₁进行加密而生成加密数据包m₁'。其中P_id是子节点P的编号，M_id是数据包m₁的编号，D是子节点P的数据；T_Q是子节点P对其父节点Q的信誉评价值；

4)发送与传递数据包的S4阶段：在此阶段，各子节点发送上述加密数据包，该数据包通过子节点选择转发数据包的父节点以一跳或多跳的方式进行传递，传递到作为最后一个父节点的簇首节点后，由簇首节点利用其与汇聚节点共享的密钥对数据包加密并转发加密后的数据包至汇聚节点；在数据包传递过程中，每一父节点都将对其下一父节点进行信誉评价，并将信誉评价值及其节点编号、数据包编号添加在发送给下一父节点的数据包中一同传送，最后根据父节点的行为执行相应操作，然后进入S5阶段；

如图3所示，当子节点P发送的加密数据包m₁'传递给其父节点Q后，父节点Q将在加密数据包m₁'中添加其节点编号、数据包编号和对其父节点R的信誉评价值而生成数据包m₂，并通过父节点Q与汇聚节点共享的密钥Q_key对数据包m₂进行加密而生成加密数据包m₂'。以此类推，直至数据包发送至簇首节点CH₁，簇首节点CH₁利用其与汇聚节点共享的密钥将收到的数据包加密，并在规定的时间片内发送给汇聚节点。

具体方法如下：

Ⅰ)各子节点在数据包发送过程中记录其选择转发数据包的父节点编号而构建父节点编号列表；

Ⅱ)各子节点将数据包发送给父节点后，在预先设定的时间片长度内，观察其父节点转发数据包情况，如果父节点在转发数据包过程中存在丢包、篡改包、未按发送路径传递数据包或延迟发送数据包在内的恶意行为，子节点便将该父节点的嫌疑评价值置为1，可信评价值置为0，并添加到发送给下一个父节点的数据包中；反之，若父节点在转发数据包过程中并未出现恶意行为，则将可信评价值置为1，嫌疑评价值置为0；

Ⅲ)待数据包经簇首节点传递给汇聚节点后，子节点根据父节点的行为执行下列相应操作：

Ⅲ-1)若父节点不是簇首节点，且在转发数据包过程中存在恶意行为，子节点将该父节点的恶意行为以广播方式通知其一跳邻节点；

Ⅲ-2)若父节点是簇首节点，且在转发数据包过程中存在恶意行为，待数据包传递结束后，子节点在下一轮选择加入其它簇集群，并将该父节点编号从父节点编号列表中删除。

5)进行数据包解析的S5阶段：在此阶段，汇聚节点接收到各子节点发送的数据包后，利用与各簇首节点共享的密钥解密数据包，提取出数据包中的节点编号、数据包编号及对父节点的信誉评价值，通过将数据包中的节点编号与无线传感器网络中各传感器节点的编号比较形成可疑节点列表，然后进入S6阶段；

所述的通过将数据包中的节点编号与无线传感器网络中各传感器节点的编号比较形成可疑节点列表的具体方法如下：

Ⅰ)汇聚节点使用其与各簇首节点共享的密钥对数据包m进行解密，生成解密数据包m'；

Ⅱ)解析解密数据包m'，去除节点编号、数据包编号和簇首节点信誉评价值后，观察剩余数据部分，若数据未加密，则为子节点数据；

Ⅲ)若解密数据包m'内的数据部分加密，则根据其传输路径，逆向寻找上游父节点，并通过上一层共享密钥解密数据包，直至获取子节点数据为止；

Ⅳ)若某父节点的所有子节点编号与数据包中的节点编号均不匹配，则可判定该父节点或该父节点的任意子节点存在恶意篡改数据包的行为，将该父节点及其所有子节点添加到可疑节点列表中；

Ⅴ)在解密过程中，若汇聚节点发现其与某一子节点共享的密钥无法解密该子节点传递的加密数据包，则检查该子节点的兄弟节点，查看是否存在匹配的子节点，以判定当前子节点是否冒用其兄弟节点的身份信息，若存在，则将该子节点加入可疑节点列表。

6)恶意节点综合决策判定的S6阶段：在此阶段，汇聚节点根据步骤5)提取出的子节点对父节点的信誉评价值，生成无线传感器网络中各传感器节点的信誉值，并构建如表2所示的各传感器节点的信誉值表，信誉值包含可信值与嫌疑值，其中可信值代表某一传感器节点的可信评价值总和，即所有针对该传感器节点可信评价值为1的数字之和；嫌疑值代表某一传感器节点的嫌疑评价值总和，即所有针对该传感器节点的嫌疑评价值为1的数字之和，然后计算所有传感器节点的嫌疑值与可信值的比值，并将该比值和预先设定的检测阈值进行比较，最后结合上述可疑节点列表判定出哪些传感器节点为恶意节点。

表2网络中各传感器节点的信誉值表

所述的将传感器节点的嫌疑值与可信值的比值R_k和预先设定的检测阈值Th进行比较，最后结合上述可疑节点列表判定出哪些传感器节点为恶意节点的具体方法如下：

Ⅰ)当比值R_k≥检测阈值Th时，若传感器节点k在可疑节点列表中，则判定传感器节点k为恶意节点；若传感器节点k不在可疑节点列表中且不存在冒用其他传感器节点身份的情况，则将传感器节点k加入可疑节点列表，等待下一轮检测；

Ⅱ)当比值R_k＜检测阈值Th时，若传感器节点k在可疑节点列表中，则保留，等待下一轮检测；若传感器节点k不在可疑节点列表中且不存在冒用其他传感器节点身份的情况，则判定传感器节点k是正常节点。

上述恶意节点综合决策判定过程需要说明以下两点：

1)若传感器节点k被判定为恶意节点，汇聚节点将广播其编号，与传感器节点k具有转发关系的传感器节点会将该传感器节点编号从父节点编号列表中删除。

2)若传感器节点k在某一轮检测结束后被列入可疑节点列表，而在之后若干轮检测中，该传感器节点均满足比值R_k＜检测阈值Th，可将该传感器节点移出可疑节点列表，作为正常节点参与数据包传递。

在真实网络中，可能存在以下两种情况：

情况Ⅰ)恶意节点会针对正常节点进行攻击，并谎报这些传感器节点有嫌疑；

情况Ⅱ)通信阻塞可能导致正常节点发送数据包延迟，从而被误判为恶意节点。

针对上述两种情况，对传感器节点信誉判定的适用性分析如下：

情况Ⅰ)，恶意节点仅占少数，其目的在于破坏整个无线传感器网络，并不会针对特定传感器节点发起连续攻击，所以恶意节点对单个正常节点的信誉评价值并不会影响汇聚节点对该传感器节点的判定；

情况Ⅱ)，正常节点通信阻塞只会在收到较多数据包时发生。由于本发明方法采用增强LEACH路由协议，传感器节点传递数据包路径相对固定，不存在单一传感器节点接收大量数据包的情况，并且仅当传感器节点的嫌疑值远大于可信值时才被初步判定为恶意节点，因此偶尔的通信阻塞并不会造成传感器节点的误判。

故本发明方法(MNDREL)可判定出网络中的恶意节点。

图4与图5分别为在相同仿真环境下采用加载基于信誉-投票合作机制的恶意节点检测方法(MNDRVM)、信誉支持的数据包篡改捕获方法(CPMTS)和本发明方法(MNDREL)进行恶意节点检测时的恶意节点检测率仿真图和恶意节点检测误报率仿真图；通过图4可知，随着恶意节点数量的增大，本发明方法(MNDREL)能维持较高的恶意节点检测率，与MNDRVM检测方法和CPMTS检测方法方法相比，检测率呈逐步上升趋势，且高于后两种方法；通过图5可知，随着恶意节点数的增加，本发明方法(MNDREL)仍保持较低的检测误报率，且呈稳步下降的态势，说明本发明方法在恶意节点数量增大的过程中，与其他方法相比具有较高的恶意节点检测效率。

Claims (8)

1.一种无线传感器网络恶意节点检测方法，所述的无线传感器网络包括汇聚节点SN及多个传感器节点N，通过采用增强LEACH路由协议，其中一部分传感器节点N作为簇首节点C，接受来自簇集群内部其他传感器节点N的数据包，并将簇集群内的数据包转发给汇聚节点SN；

其特征在于：所述的无线传感器网络恶意节点检测方法包括按顺序进行的下列步骤：

1)簇首节点选择的S1阶段：在此阶段，根据无线传感器网络中各传感器节点的剩余电量、到汇聚节点距离和节点信号强度，在各传感器节点中选取若干传感器节点作为簇首节点，每个传感器节点具有一个节点编号，并将所有传感器节点编号列成表，然后进入S2阶段；

2)簇集群形成的S2阶段：在此阶段，簇首节点将其当选的消息广播通知属于非簇首节点的其余传感器节点，非簇首节点接收到通知后分别计算与各簇首节点的间距，并选择加入与其距离较近的簇首节点所在簇，由此形成多个簇集群，然后进入S3阶段；

3)创建数据包的S3阶段：在此阶段，作为子节点的各非簇首节点创建数据包，数据包中包括子节点数据、节点编号、数据包编号以及子节点对其父节点的信誉评价值，并采用其与汇聚节点共享的密钥对数据包加密而生成加密数据包，其中信誉评价值包含取值为0或1的可信评价值以及取值为0或1的嫌疑评价值，然后进入S4阶段；

4)发送与传递数据包的S4阶段：在此阶段，各子节点发送上述加密数据包，该数据包通过子节点选择转发数据包的父节点以一跳或多跳的方式进行传递，传递到作为最后一个父节点的簇首节点后，由簇首节点利用其与汇聚节点共享的密钥对数据包加密并转发加密后的数据包至汇聚节点；在数据包传递过程中，每一父节点都将对其下一父节点进行信誉评价，并将信誉评价值及其节点编号、数据包编号添加在发送给下一父节点的数据包中一同传送，最后根据父节点的行为执行相应操作，然后进入S5阶段；

5)进行数据包解析的S5阶段：在此阶段，汇聚节点接收到各子节点发送的数据包后，利用与各簇首节点共享的密钥解密数据包，提取出数据包中的节点编号、数据包编号及对父节点的信誉评价值，通过将数据包中的节点编号与无线传感器网络中各传感器节点的编号比较形成可疑节点列表，然后进入S6阶段；

6)恶意节点综合决策判定的S6阶段：在此阶段，汇聚节点根据步骤5)提取出的子节点对父节点的信誉评价值，生成无线传感器网络中各传感器节点的信誉值，并构建各传感器节点的信誉值表，信誉值包含可信值与嫌疑值，其中可信值代表某一传感器节点的可信评价值总和，即所有针对该传感器节点可信评价值为1的数字之和；嫌疑值代表某一传感器节点的嫌疑评价值总和，即所有针对该传感器节点的嫌疑评价值为1的数字之和，然后计算所有传感器节点的嫌疑值与可信值的比值，并将该比值和预先设定的检测阈值进行比较，最后结合上述可疑节点列表判定出哪些传感器节点为恶意节点。

2.根据权利要求1所述的无线传感器网络恶意节点检测方法，其特征在于：在步骤1)中，所述的簇首节点选择的具体方法如下：

Ⅰ)利用下式计算无线传感器网络中所有传感器节点的平均剩余电量RB_avg及所有传感器节点到汇聚节点的平均距离DB_avg：

<mrow> <msub> <mi>RB</mi> <mrow> <mi>a</mi> <mi>v</mi> <mi>g</mi> </mrow> </msub> <mo>=</mo> <mfrac> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msub> <mi>RB</mi> <mi>i</mi> </msub> </mrow> <mi>n</mi> </mfrac> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </mrow>

<mrow> <msub> <mi>DB</mi> <mrow> <mi>a</mi> <mi>v</mi> <mi>g</mi> </mrow> </msub> <mo>=</mo> <mfrac> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msub> <mi>DB</mi> <mi>i</mi> </msub> </mrow> <mi>n</mi> </mfrac> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </mrow>

其中，RB_i为当前时刻传感器节点i的剩余电量，DB_i为传感器节点i到汇聚节点的距离，n为当前无线传感器网络中传感器节点总数；

Ⅱ)根据上述平均剩余电量RB_avg、平均距离DB_avg计算传感器节点i成为簇首节点的可能性值P_i，

<mrow> <msub> <mi>P</mi> <mi>i</mi> </msub> <mo>=</mo> <mi>w</mi> <mo>&amp;times;</mo> <mfrac> <mrow> <msub> <mi>RB</mi> <mi>i</mi> </msub> </mrow> <mrow> <msub> <mi>RB</mi> <mrow> <mi>a</mi> <mi>v</mi> <mi>g</mi> </mrow> </msub> </mrow> </mfrac> <mo>&amp;times;</mo> <mfrac> <mrow> <msub> <mi>DB</mi> <mrow> <mi>a</mi> <mi>v</mi> <mi>g</mi> </mrow> </msub> </mrow> <mrow> <msub> <mi>DB</mi> <mi>i</mi> </msub> </mrow> </mfrac> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </mrow>

式(3)需满足条件(RB_i/RB_avg)>1、(DB_avg/DB_i)>1且SB_i>SB_Th；SB_i为传感器节点i接收的信号强度的量化值；SB_Th为信号强度量化的临界值，将其设定为汇聚节点能感知到信号的传感器节点中强度最弱的量化值；w为大于1的固定常量；

然后将各传感器节点的可能性值P_i从大到小进行排序，并从序列中选取适宜数量的可能性值P_i大的传感器节点作为簇首节点，实际应用中簇首节点个数一般占传感器节点总数的10％。

3.根据权利要求1所述的无线传感器网络恶意节点检测方法，其特征在于：在步骤2)中，所述的簇集群形成的具体方法如下：

Ⅰ)簇首节点将其当选的消息Head_Msg广播通知各非簇首节点；

Ⅱ)各非簇首节点接收到消息Head_Msg后，分别计算与各簇首节点的间距，并从其能够接收到信号的各簇首节点中选择信号强度较大的簇首节点决定其期望加入的簇集群，然后发送入群申请Join_Clu_Msg至该簇集群的簇首节点，入群申请Join_Clu_Msg中包含该非簇首节点的节点编号与指定簇首节点的节点编号；

Ⅲ)各簇首节点汇总接收到的所有入群申请Join_Clu_Msg，根据自身能够承受的最大数据包收发容量决定可加入其所在簇集群的非簇首节点，由此形成簇集群并确定无线传感器网络内数据包的传递路径；

Ⅳ)汇聚节点设定无线传感器网络内数据包传递时间片长度，作为子节点的各非簇首节点在规定的数据包传递时间片长度内将添加有其对父节点信誉评价值的数据包按照数据包经传递路径发送给汇聚节点。

4.根据权利要求1所述的无线传感器网络恶意节点检测方法，其特征在于：在步骤3)中，所述的子节点对其父节点的信誉评价值如表1所示，其中可信评价值与嫌疑评价值初始化为0；k代表网络中节点编号，k＝1,2,...,n；n代表参与数据包传递的传感器节点数；

表1 子节点对父节点信誉评价值表

5.根据权利要求1所述的无线传感器网络恶意节点检测方法，其特征在于：在步骤4)中，所述的发送与传递数据包的具体方法如下：

Ⅰ)各子节点在数据包发送过程中记录其选择转发数据包的父节点编号而构建父节点编号列表；

Ⅱ)各子节点将数据包发送给父节点后，在预先设定的时间片长度内，观察其父节点转发数据包情况，如果父节点在转发数据包过程中存在丢包、篡改包、未按发送路径传递数据包或延迟发送数据包在内的恶意行为，子节点便将该父节点的嫌疑评价值置为1，可信评价值置为0，并添加到发送给下一个父节点的数据包中；反之，若父节点在转发数据包过程中并未出现恶意行为，则将可信评价值置为1，嫌疑评价值置为0；

Ⅲ)待数据包经簇首节点传递给汇聚节点后，子节点根据父节点的行为执行下列相应操作：

Ⅲ-1)若父节点不是簇首节点，且在转发数据包过程中存在恶意行为，子节点将该父节点的恶意行为以广播方式通知其一跳邻节点；

Ⅲ-2)若父节点是簇首节点，且在转发数据包过程中存在恶意行为，待数据包传递结束后，子节点在下一轮选择加入其它簇集群，并将该父节点编号从父节点编号列表中删除。

6.根据权利要求1所述的无线传感器网络恶意节点检测方法，其特征在于：在步骤5)中，所述的通过将数据包中的节点编号与无线传感器网络中各传感器节点的编号比较形成可疑节点列表的具体方法如下：

Ⅰ)汇聚节点使用其与各簇首节点共享的密钥对数据包m进行解密，生成解密数据包m'；

Ⅱ)解析解密数据包m'，去除节点编号、数据包编号和簇首节点信誉评价值后，观察剩余数据部分，若数据未加密，则为子节点数据；

Ⅲ)若解密数据包m'内的数据部分加密，则根据其传输路径，逆向寻找上游父节点，并通过上一层共享密钥解密数据包，直至获取子节点数据为止；

Ⅳ)若某父节点的所有子节点编号与数据包中的节点编号均不匹配，则可判定该父节点或该父节点的任意子节点存在恶意篡改数据包的行为，将该父节点及其所有子节点添加到可疑节点列表中；

Ⅴ)在解密过程中，若汇聚节点发现其与某一子节点共享的密钥无法解密该子节点传递的加密数据包，则检查该子节点的兄弟节点，查看是否存在匹配的子节点，以判定当前子节点是否冒用其兄弟节点的身份信息，若存在，则将该子节点加入可疑节点列表。

7.根据权利要求1所述的无线传感器网络恶意节点检测方法，其特征在于：在步骤6)中，所述的各传感器节点的信誉值表如表2所示：

表2 网络中各传感器节点的信誉值表

8.根据权利要求1所述的无线传感器网络恶意节点检测方法，其特征在于：在步骤6)中，所述的将传感器节点的嫌疑值与可信值的比值R_k和预先设定的检测阈值Th进行比较，最后结合上述可疑节点列表判定出哪些传感器节点为恶意节点的具体方法如下：

Ⅰ)当比值R_k≥检测阈值Th时，若传感器节点k在可疑节点列表中，则判定传感器节点k为恶意节点；若传感器节点k不在可疑节点列表中且不存在冒用其他传感器节点身份的情况，则将传感器节点k加入可疑节点列表，等待下一轮检测；

Ⅱ)当比值R_k＜检测阈值Th时，若传感器节点k在可疑节点列表中，则保留，等待下一轮检测；若传感器节点k不在可疑节点列表中且不存在冒用其他传感器节点身份的情况，则判定传感器节点k是正常节点。