CN109548030A - 基于行为认知的无线自组织网络恶意节点检测方法 - Google Patents

Abstract

本发明公开了一种基于行为认知的无线自组织网络恶意节点检测方法，主要解决现有恶意节点检测系统中不考虑网络拥塞而导致的误检率高的问题。其实现方案包括：网络中节点周期性监测邻节点工作状态信息；节点周期性对邻节点进行量化信任度评估；对信任度较低的节点基于其是否可能在评估周期内发生拥塞进行二次判决以防止误检；计算直接信任度；与邻节点交互并计算推荐信任度；综合直接信任度和推荐信任度得到总体信任度；判断出恶意节点并对其进行隔离处理。本发明可减小将正常节点误判为恶意节点的可能性，降低恶意节点对网络产生的负面影响，提高网络可靠性，可用于无线自组织网络中检测和防御恶意节点攻击。

Description

基于行为认知的无线自组织网络恶意节点检测方法

技术领域

本发明属于通信技术领域，特别涉及一种恶意节点检测方法，可用于无线自组织网络中检测和防御恶意节点攻击。

背景技术

无线自组织网络是一种无线设备不依赖于任何固定基础设施，通过独立无线临时互连形成的多跳自治网络。由于节点的通信范围有限，网络中的数据传输需要依靠与其他中间节点合作，采用多跳通信的方法进行。侵入网络的恶意节点会以恶意丢包、故意时延、虚假路由等方式对网络进行攻击，造成网络吞吐量严重下降甚至网络瘫痪。为了减轻网络所面临的危险，现有技术中有很多种基于密码学的手段来保证网络的安全有序，可称之为“硬保护方式”，这种方式能够有效地阻止网络遭受外部攻击。然而，随着攻击手段越来越智能化、多样化，“硬保护方式”已无法阻止针对网络的所有攻击，特别是从网络内部以合法节点的身份发起的攻击。通过借鉴有线网络的安全机制，研究人员已经开始聚焦于针对无线自组织网络的“软保护”策略，例如基于信任的机制。信任是一个主观的意见，表征着一个实体的诚实、真实、能力以及可依赖的程度。在移动自组织网络中，可信值由一个节点的通信行为是否符合路由规则，传输的数据是否完整和有效等因素来进行评估。一个可信值高的节点有更大的概率对数据包进行正确及时的转发，相反，可信值较低的节点则有更大的概率对数据包进行丢弃或故意时延等恶意操作。移动自组织网络中信任评估的研究能有效识别有攻击行为的恶意节点，减少或避免与恶意节点之间的交互，从而提高网络的安全性。

在已有的技术中，节点的可信度与节点直接接收到的数据包数量，成功发送的数据包数量，以及转发数据包的时延密切相关。然而在无线自组织网络中，由于网络状态多变，除了恶意行为之外，网络拥塞、缓冲区溢出等原因也有可能导致网络丢包或高时延现象发生。仅根据丢包率和时延的统计进行可信度评估很容易导致非恶意节点可信度降低，导致正常节点被误判为恶意节点移出网络，进而严重影响无线自组织网络性能。因此，需要更加精确地计算由于恶意行为而导致的节点可信度变化情况。这种情况下，需要深层次认知节点行为，推测丢包或时延的原因。

发明内容

本发明的目的在于针对上述现有技术存在的缺陷，提出一种基于行为认知的无线自组织网络恶意节点检测方法，以减小因网络拥塞而导致的误检率，提高检测准确性。

为实现上述目的，本发明的技术方案包括如下：

(1)将网络中的每个节点设置在混杂监听工作模式，周期性地监测所有邻节点的行为，包括丢包情况，时延情况，乱序情况；

(2)统计每个邻节点的数据包转发情况和本节点发往邻节点的数据包时延情况，包括本周期内由节点i发出且源节点是节点i的数据包总字节数a_i，本周期内本节点向节点i发送的需要其转发的数据包总字节数b_i，以及本周期内本节点向节点i发送的数据包在缓冲区内的平均等待时延t_i；

(3)每个周期结束时，根据统计结果，对每个节点i计算出本周期内基于丢包的信任度Ta_i、基于时延的信任度Tb_i、基于乱序的信任度Tc_i；

(4)设置丢包信任阈值Ta和时延信任阈值Tb，对于每个节点i，将Ta_i和Tb_i分别与Ta，Tb比较：若Ta_i＜Ta或Tb_i＜Tb，则执行(5)，否则，执行(6)；

(5)对节点i进行二次判决：

(5a)向节点i的邻节点请求其本周期内向节点i发送的需要其转发的数据包总字节数b_i，以及其本周期内向节点i发送的数据包在缓冲区内的平均等待时延t_i；

(5b)节点i的邻节点收到请求信息后，向请求节点返回所请求的参数；

(5c)根据返回的结果，计算出本周期内节点i需要发送数据包字节数的估计值c_i：其中，b_ji为本周期内节点j向节点i发送的需要其转发的数据包总字节数；

(5d)记r为网络正常工作状态下节点网络层转发数据包的最大速率，t为网络正常工作状态下数据包在缓冲区的平均等待时延，T为周期长度，若c_i＞r×T或对于所有返回结果的节点都满足t_i＞t，则执行(8)，否则，执行(6)；

(6)根据基于丢包、时延、乱序的三项信任度Ta_i、Tb_i、Tc_i，计算出节点i的周期信任度Tp_i，执行(7)；

(7)对节点i设置时间滑动窗口，窗口中按时间顺序保存m个周期的周期信任度，将本周期的周期信任度Tp_i加入窗口，并将最早一个周期的记录丢弃，根据窗口中m个周期的周期信任度Tp_i计算出直接信任度Td_i，执行(9)；

(8)令直接信任度Td_i等于上个周期节点i的直接信任度计算结果，执行(9)；

(9)网络中所有节点向自身的邻节点发送一条广播消息，其中包括自身的所有邻节点编号和其对应的直接信任度；

(10)本节点收到其他节点的广播消息后，根据其他节点对节点i的直接信任度，计算出推荐信任度Tr_i；

(11)根据节点i的直接信任度Td_i与推荐信任度Tr_i，计算出节点i的总体信任度T_i；

(12)设置总体信任阈值Th，若T_i＜Th，则标记节点i为恶意节点，在路由选择中对节点i进行隔离，并且向全网广播一条针对节点i的警报消息；

(13)其他节点收到针对节点i的警报消息后，记录发出警报消息的节点编号；如果累计收到两个不同节点对节点i的警报消息，则标记节点i为恶意节点，在路由选择中对节点i进行隔离，本周期评估工作结束。

本发明与现有技术相比，具有以下优点：

1.本发明由于对基于丢包或时延的信任度低于阈值的节点进行了二次评估，通过与待评估节点的邻节点交互协作，对待评估节点的行为进行认知，若判断其在评估周期内可能发生拥塞，将其本周期的信任评估结果不加入时间滑动窗口，从而避免因为网络拥塞而导致正常节点信任度降低，减小了误检率；

2.本发明由于在信任度评估中加入了对数据包乱序情况的评估，可防止在网络传输TCP流式业务时，因节点对数据包的恶意乱序而导致上层业务时延增大和网络吞吐量降低，能够抵抗更多的网络攻击方式，进一步减弱恶意节点对网络的负面影响，提高网络可靠性。

附图说明

图1是本发明的实现流程图；

图2是本发明实施例提供的时间滑动窗口示意图。

具体实施方式

下面结合附图，对本发明做进一步的详细描述。

参照图1，本实例的实现步骤如下。

步骤1，节点周期性监测邻节点工作状态。

(1a)将网络中的每个节点设置在混杂监听工作模式，即节点可以收到所有通信范围内的数据包，而不管自身是不是数据包的下一跳节点；

(1b)节点周期性地监测所有邻居节点的行为，即监测以下三种情况：

丢包情况：具体统计参数为在由本节点发出并由节点i转发的数据包中，正确转发的数据包个数s_1i和丢失的数据包个数f_1i；

时延情况：具体统计参数为在由本节点发出并由节点i转发的数据包中，未超时的数据包个数s_2i和超时的数据包个数f_2i；

乱序情况：具体统计参数为在由本节点发出并由节点i转发的数据包中，未发生乱序的数据包个数s_3i和发生乱序的数据包个数f_3i；

(1c)统计每个邻节点的数据包转发情况和本节点发往邻节点的数据包时延情况，即具体统计参数为：本周期内由节点i发出且源节点是节点i的数据包总字节数a_i、本周期内本节点向节点i发送的需要其转发的数据包总字节数b_i、本周期内本节点向节点i发送的数据包在缓冲区内的平均等待时延t_i。

步骤2，对邻节点进行量化信任度评估。

(2a)每个周期结束时，对每个节点i进行量化信任度评估：

信任度评估常用的模型有Beta分布信任模型，熵信任模型，主观逻辑信任模型等，本实例中使用Beta分布信任模型计算信任度，根据统计结果，计算如下信任度参数：

基于丢包的信任度Ta_i：

基于时延的信任度Tb_i：

基于乱序的信任度Tc_i：

其中，d是为了避免交互次数过少引起判断不准确而设置的交互次数阈值；

(2b)设置丢包信任阈值Ta和时延信任阈值Tb，对于每个节点i，将Ta_i和Tb_i分别与Ta，Tb比较：

如果Ta_i＜Ta或Tb_i＜Tb，则需要进一步判断节点i是否可能在评估周期内发生了拥塞，执行步骤3，否则，执行步骤4。

步骤3，对节点进行二次判决。

(3a)向节点i的邻节点发送一条请求消息，请求在本周期内向节点i发送的需要其转发的数据包总字节数b_i，以及在本周期内向节点i发送的数据包在缓冲区内的平均等待时延t_i；

(3b)节点i的邻节点收到请求信息后，向请求节点返回所请求的参数；

(3c)根据返回的结果，计算出本周期内节点i需要发送数据包字节数的估计值c_i：其中，b_ji为本周期内节点j向节点i发送的需要其转发的数据包总字节数；

(3d)记r为网络正常工作状态下节点网络层转发数据包的最大速率，t为网络正常工作状态下数据包在缓冲区的平均等待时延，T为周期长度，若c_i＞r×T或对于所有返回结果的节点都满足t_i＞t，则本周期节点i可能发生了拥塞，判定本周期为节点i的无效评估周期，令直接信任度Td_i等于上个周期节点i的直接信任度计算结果，执行步骤5，否则，执行步骤4。

步骤4，计算节点的直接信任度。

(4a)按如下公式计算出本周期节点i的周期信任度Tp_i：

Tp_i＝w_a×Ta_i+w_b×Tb_i+w_c×Tc_i，

其中，w_a、w_b、w_c分别是为基于丢包、时延、乱序的三项信任度分配的权值，且满足w_a+w_b+w_c＝1；

(4b)根据时间滑动窗口计算直接信任度：

参照图2，对节点i设置时间滑动窗口，窗口中按时间顺序保存m个周期的周期信任度，将本周期的周期信任度Tp_i加入窗口，并将最早一个周期的记录丢弃，根据窗口中m个周期的周期信任度Tp_i计算得到直接信任度Td_i，考虑信任度的时间衰减性，即距离当前时间较近的信任评估结果具有更高的参考价值，引入衰减函数，计算直接信任度Td_i：

其中Tp_i(k)为节点i在时间滑动窗口中第k个周期的周期信任度，w(k)为衰减函数，定义如下：

步骤5，对节点计算推荐信任度和总体信任度。

(5a)网络中所有节点向自身的邻节点发送一条广播消息，其中包括自身的所有邻节点编号和其对应的直接信任度；

(5b)本节点收到其他节点的广播消息后，为了减小恶意推荐的影响，以节点的直接信任度作为其推荐其他节点信任度的权值，按如下公式计算得到推荐信任度Tr_i：

其中Td_ki为节点k对节点i的直接信任度，n为本节点收到的广播消息个数；

(5c)根据直接信任度Td_i和推荐信任度Tr_i计算得到节点i的总体信任度T_i：

T_i＝w_d×Td_i+w_r×Tr_i，

其中w_d和w_r分别是为直接信任度和推荐信任度分配的权值，且同时满足w_d＞w_r和w_d+w_r＝1。

步骤6，判断恶意节点并对其进行隔离。

(6a)设置总体信任阈值Th，将所有邻节点的总体信任度与Th比较：如果对于节点i有T_i＜Th，则标记节点i为恶意节点；

(6b)对恶意节点进行处理：

对恶意节点的处理有直接移出网络的硬性处理方式和以较小的概率选择恶意节点为转发节点的软性处理方式，本实例中采用硬性处理方式，在路由选择中对节点i进行隔离，并且向全网广播一条针对节点i的警报消息；

(6c)其他节点收到针对节点i的警报消息后，记录发出警报消息的节点编号；如果累计收到两个不同节点对节点i的警报消息，则标记节点i为恶意节点，在路由选择中对节点i进行隔离，本周期评估工作结束。

以上描述仅是本发明的一个具体实例，并未构成对本发明的任何限制，显然对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修改和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围内。

Claims (7)

1.一种基于行为认知的无线自组织网络恶意节点检测方法，其特征在于，包括如下：

(1)将网络中的每个节点设置在混杂监听工作模式，周期性地监测所有邻节点的行为，包括丢包情况，时延情况，乱序情况；

(2)统计每个邻节点的数据包转发情况和本节点发往邻节点的数据包时延情况，包括本周期内由节点i发出且源节点是节点i的数据包总字节数a_i，本周期内本节点向节点i发送的需要其转发的数据包总字节数b_i，以及本周期内本节点向节点i发送的数据包在缓冲区内的平均等待时延t_i；

(3)每个周期结束时，根据统计结果，对每个节点i计算出本周期内基于丢包的信任度Ta_i、基于时延的信任度Tb_i、基于乱序的信任度Tc_i；

(4)设置丢包信任阈值Ta和时延信任阈值Tb，对于每个节点i，将Ta_i和Tb_i分别与Ta，Tb比较：若Ta_i＜Ta或Tb_i＜Tb，则执行(5)，否则，执行(6)；

(5)对节点i进行二次判决：

(5a)向节点i的邻节点请求其本周期内向节点i发送的需要其转发的数据包总字节数b_i，以及其本周期内向节点i发送的数据包在缓冲区内的平均等待时延t_i；

(5b)节点i的邻节点收到请求信息后，向请求节点返回所请求的参数；

(5c)根据返回的结果，计算出本周期内节点i需要发送数据包字节数的估计值c_i：其中，b_ji为本周期内节点j向节点i发送的需要其转发的数据包总字节数；

(5d)记r为网络正常工作状态下节点网络层转发数据包的最大速率，t为网络正常工作状态下数据包在缓冲区的平均等待时延，T为周期长度，若c_i＞r×T或对于所有返回结果的节点都满足t_i＞t，则执行(8)，否则，执行(6)；

(6)根据基于丢包、时延、乱序的三项信任度Ta_i、Tb_i、Tc_i，计算出节点i的周期信任度Tp_i，执行(7)；

(7)对节点i设置时间滑动窗口，窗口中按时间顺序保存m个周期的周期信任度，将本周期的周期信任度Tp_i加入窗口，并将最早一个周期的记录丢弃，根据窗口中m个周期的周期信任度Tp_i计算出直接信任度Td_i，执行(9)；

(8)令直接信任度Td_i等于上个周期节点i的直接信任度计算结果，执行(9)；

(9)网络中所有节点向自身的邻节点发送一条广播消息，其中包括自身的所有邻节点编号和其对应的直接信任度；

(10)本节点收到其他节点的广播消息后，根据其他节点对节点i的直接信任度，计算出推荐信任度Tr_i；

(11)根据节点i的直接信任度Td_i与推荐信任度Tr_i，计算出节点i的总体信任度T_i；

(12)设置总体信任阈值Th，若T_i＜Th，则标记节点i为恶意节点，在路由选择中对节点i进行隔离，并且向全网广播一条针对节点i的警报消息；

(13)其他节点收到针对节点i的警报消息后，记录发出警报消息的节点编号；如果累计收到两个不同节点对节点i的警报消息，则标记节点i为恶意节点，在路由选择中对节点i进行隔离，本周期评估工作结束。

2.根据权利要求1所述的方法，其特征在于，(1)所述监测所有邻节点的丢包情况、时延情况、乱序情况，是统计在由本节点发出并由节点i转发的数据包中未超时的数据包个数s_2i、超时的数据包个数f_2i，未发生乱序的数据包个数s_3i、发生乱序的数据包个数f_3i，以及节点i正确转发的数据包个数s_1i、丢失的数据包个数f_1i。

3.根据权利要求1或2所述的方法，其特征在于，(3)中计算每个节点i在本周期内基于丢包的信任度Ta_i、基于时延的信任度Tb_i、基于乱序的信任度Tc_i，通过如下公式计算：

其中，d是为了避免交互次数过少引起判断不准确而设置的交互次数阈值。

4.根据权利要求1所述的方法，其特征在于，(6)中计算节点i的周期信任度Tp_i，通过如下公式计算：

Tp_i＝w_a×Ta_i+w_b×Tb_i+w_c×Tc_i，

其中，w_a、w_b、w_c分别是为基于丢包、时延、乱序的三项信任度分配的权值，且满足w_a+w_b+w_c＝1。

5.根据权利要求1所述的方法，其特征在于，(7)中计算直接信任度Td_i，通过如下公式计算：

其中Tp_i(k)为节点i在时间滑动窗口中第k个周期的周期信任度，w(k)为衰减函数，定义如下：

6.根据权利要求1所述的方法，其特征在于，(10)中计算推荐信任度Tr_i，通过如下公式计算：

其中，Td_ki为节点k对节点i的直接信任度，n为本节点收到的广播消息个数。

7.根据权利要求1所述的方法，其特征在于，(11)中计算节点i的总体信任度T_i，通过如下公式计算：

T_i＝w_d×Td_i+w_r×Tr_i，

其中w_d和w_r分别是为直接信任度和推荐信任度分配的权值，且同时满足w_d＞w_r和w_d+w_r＝1。