CN114448697B - 基于路由证据的路由节点恶意行为检测方法与系统 - Google Patents

基于路由证据的路由节点恶意行为检测方法与系统 Download PDF

Info

Publication number
CN114448697B
CN114448697B CN202210100218.9A CN202210100218A CN114448697B CN 114448697 B CN114448697 B CN 114448697B CN 202210100218 A CN202210100218 A CN 202210100218A CN 114448697 B CN114448697 B CN 114448697B
Authority
CN
China
Prior art keywords
node
routing
evidence
nodes
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210100218.9A
Other languages
English (en)
Other versions
CN114448697A (zh
Inventor
朱浩瑾
张乐
张唯炯
刘博�
李嘉淳
孟岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Shanghai Institute of Electromechanical Engineering
Original Assignee
Shanghai Jiaotong University
Shanghai Institute of Electromechanical Engineering
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University, Shanghai Institute of Electromechanical Engineering filed Critical Shanghai Jiaotong University
Priority to CN202210100218.9A priority Critical patent/CN114448697B/zh
Publication of CN114448697A publication Critical patent/CN114448697A/zh
Application granted granted Critical
Publication of CN114448697B publication Critical patent/CN114448697B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Abstract

本发明属于空天地一体化网络安全的技术领域,公开提出了一种在空天地一体化网络中,基于路由证据的安全路由验证方案,考虑了三种不同类型的攻击手段,以抵御在空天地场景下可能存在的安全威胁。通过对路由安全方案的设计,本发明可以保证空天地一体化网络下的任务执行和消息共享等都是在高度安全的前提下进行。本发明可以对于已有攻击进行有效的防御,高度保障了空天地一体化网络的安全性。并且本发明还使用了博弈论和概率抽样等手段保证对攻击行为的防御和对恶意节点的检查开销都在可接受的范围内,保证了所提出方案的有效性。

Description

基于路由证据的路由节点恶意行为检测方法与系统
技术领域
本发明属于路由网络节点恶意行为检测的技术领域,具体地是在空天地路由网络环境中基于路由证据的路由节点恶意行为检测系统与方法。
背景技术
随着通信技术的发展,空天地网络作为为一种大范围、低能耗、高实时性的方法被广泛应用于无线网络中。然而,由于空天地网络中的路由节点可能包含被攻击者劫持或恶意伪装的节点,攻击者可以通过这些节点执行诸如消息伪造攻击、流量洪泛攻击以及黑洞/灰洞攻击等多种网络流量攻击方式。
传统的路由网络恶意节点检测方式分为两种类型:基于流量数据信息的检测和基于网络节点信息的检测。在空天地网络节点恶意行为的检测中,基于流量数据信息的检测方式算法较为复杂且对设备的计算能力要求较高,而基于网络节点信息的检测虽然方法较为简单,但能够检测出的节点恶意行为的种类较少,无法满足检测要求。
本发明所研究的节点恶意行为检测针对不同的节点恶意行为同时采用了流量数据信息和网络节点信息作为检测依据。它的主要原理是恶意节点与正常节点传递信息的行为和内容上的差异:一些恶意节点传输的内容与大部分正常节点的传输内容差异较大,一些恶意节点则会在不符合相应规则的情况下与其他节点进行连接和通信。目前,一些基于可信机构的中心化认证以及基于机器学习的检测方案已经被提出,但仍存在着众多的缺陷和不足,难以满足现实场景下对于空天地网络中对于节点恶意行为检测的需要。部分检测方案使用区块链的方法保证消息的有效性和一致性,但会带来较大的额外开销。部分方法依据链路传输质量来检测恶意节点,但敏感性不高,对于新加入的恶意节点反应时间较长。因此,该方案难以部署在许多实际场景中。需要一种具有以下优点的新型检测方案:
(1)泛用性强:对于各类恶意行为都能起到比较好的检测效果。
(2)低能耗:方法带来的网络开销较小。
(3)高灵敏度:对于网络环境中节点情况的变化有较短的反应时间。
所以,设计一种空天地场景下基于路由证据的安全方案具有很大的潜力。
发明内容
为了保证空天地网络下的路由安全性,本发明提出一种空天地网络中基于路由证据的路由节点恶意行为检测方法,考虑了空天地网络下存在的安全威胁(例如消息伪造攻击,流量洪泛攻击,黑洞/灰洞攻击等),通过对网络中节点的位置信息、传递信息的前向路径信息以及节点之间的连接信息进行分析,可以判定网络节点是否存在消息伪造攻击、流量洪泛攻击以及黑洞/灰洞攻击的行为,保护网络安全。并且考虑到部署的耗能情况和开销问题,本发明提出了能量效率优化方案,进一步提升了该安全方案的可用性。
本发明针对空天地一体化路由场景,定义了“路由证据”这一数据。这一数据可以聚合网络中的关键信息,将转发历史进行记录,路由证据将由可信的基站BS进行统一化管理和收集,通过对关键信息与对应节点的比对,可以实现对恶意行为的检查。
路由证据生成阶段,我们主要考虑了三种路由证据,路由审计证据(Evidence fordelegation,EviD),路由转发证据(Evidence for forwarding,EviF)和路由联系证据(Evidence for contacting,EviC),以上所述的路由历史证据被上传到对应的基站BS进行聚合和管理。由于路由证据包含多维度信息,例如数据包内容信息,数据包转发时间戳,是否转发,经过的节点集合等等,可以用于后续恶意节点的检测。
此后,本发明通过对路由证据的提取和分析,按照已经制定好的检查策略,对三种恶意行为进行检查。最后为了降低时间开销以及检查的消耗,本发明采用了基于概率抽样的检测方案和博弈论的分析策略,保证了所提出安全方案在空天地一体化网络系统中的可用性与可行性。
本发明的技术解决方案如下:
一种空天地场景下基于路由证据的路由节点恶意行为检测方法,其特点在于,该方法包括步骤:
S1.路由证据生成:对于某一特定的基站BS及其覆盖范围内的所有节点,即节点总数N,进行信息交互时,提取节点之间的联系、传输信息作为攻击行为的判定依据,称为路由证据,用于后续的恶意节点检出;
所述的路由证据包括审计证据EviD、转发证据EviF和联系证据EviC
S2.数据聚合上传:各基站收集各节点交互的信息和路由证据,并通过数据保护,分布式将路由证据聚合得到路由证据簇
Figure BDA0003492101810000031
Figure BDA0003492101810000032
Figure BDA0003492101810000033
将路由证据簇
Figure BDA0003492101810000034
上传至中央处理系统;
S3.攻击行为检测:中央处理系统对收到各基站的路由证据簇进行检测,其中不同的路由证据用于检测不同种类的攻击行为,并作为证据实现对容断容迟空天地网络的恶意节点的事后检查。
所述的S1路由证据生成具体包括:
所述的审计证据EviD定义为:
EviD i→j=(nodei,nodej,msg,Tstart,Si→j)
从发送节点Host开始,到最终接收节点Dest为止,i(nodei)和j(nodej)分为信息传输节点和信息接收节点,Tstart为记录转发开始的时间戳信息,msg为加密信息,Si→j为节点i对于该消息的签名;
所述的转发证据EviF定义为:
EviF i→j=(nodei,nodej,Tsend,Flagi→j,Si→j)
其中,Flagi→j为允许转发标志,由节点j是否存在于节点i对于该消息的前向通路集合中确定,Tsend为信息发送的时间戳信息;
所述的联系证据EviC定义为:
EviC i→j=(nodei,nodej,msg,Tstart,Tleft,Flagi→j,Si→j)
其中,Tstart为记录转发开始的时间戳信息,Tleft为信息剩余存活时间
所述的S3.中央处理系统对收到各基站的路由证据簇进行攻击行为检测,包括对消息伪造攻击的检测、流量洪泛攻击的检测和黑洞/灰洞攻击检测。
所述的消息伪造攻击的检测,具体是通过聚类筛选方式筛选出一部分可能的恶意节点,之后通过所有指向该任务的节点对可能的恶意节点根据msg的偏差进行投票,从而检测出恶意节点。
所述的流量洪泛攻击的检测,具体步骤如下:
设任一节点nodei,在传输时间ts1中向节点nodej发送消息的流量速度定义如下:
Figure BDA0003492101810000041
其中,Setmsg表示待转发消息的集合,lmsg表示消息的长度,tmsg表示通过转发证据EviF获得的消息传输时间;
计算传输时间ts1中整个网络系统的平均流量速度,公式如下:
Figure BDA0003492101810000051
其中,sum表示基站所管理的节点个数和;
当节点的流量速度大于该平均流量速度,则该节点判定为恶意节点,即存在洪泛攻击行为。
所述的黑洞/灰洞攻击的检测,具体步骤如下:
步骤a.根据聚合得到路由证据簇
Figure BDA0003492101810000052
分析获得需要被转发的消息集合Qmsg,参与转发任务的消息
Figure BDA0003492101810000053
以及节点之间进行了联系的集合
Figure BDA0003492101810000054
通过对路由证据的推算获得每个节点的对应信息,并将消息转发过程中下一跳节点集合记为Qnext,将满足转发条件,符合路由规则的联系节点集合记为
Figure BDA0003492101810000055
步骤b.设定路由规则,判断是否存在黑洞攻击,即是否存在合理转发条件却产生了丢包行为:
如果
Figure BDA0003492101810000056
说明在满足转发条件时,该节点未诚实进行数据转发,发生了自私的丢包行为;
如果
Figure BDA0003492101810000057
说明转发不符合路由规则,属于恶意节点;
步骤c.根据设定的路由规则发现恶意节点,并进行数据统计,找出黑洞/灰洞攻击的恶意节点集合。
优选的,还包括步骤S4.提升能量效率,具体步骤如下:
S4.1针对上述的三种攻击行为的检测都在抽样样本中进行,引入概率抽样检测机制,在每一轮的检测迭代过程中,对于节点的行为进行评估,如果该节点在该轮次被认定为良性转发,对应的基站BS将减少对该节点的抽查概率。反之,如果该节点被发现存在恶意行为,在后续的检查阶段中,将增加对该节点的抽查概率;
S4.2为了确定在概率抽样检测机制中合适的概率选择,基于博弈论的理论分析,通过对节点和基站BS的纳什均衡点的寻找,使得节点和对应的基站BS选择诚实转发。
博弈论的分析基于信誉机制,即当每一轮检查时,当基站发现该节点在此时的行为是诚实的,该节点会得到相应的奖励R,如果该节点此时的行为被怀疑为恶意的,该节点会得到的惩罚P,会在节点的账户上进行扣除,而奖励和惩罚的结果会由基站BS承担;如果诚实传输了消息,基站也会得到增益G。为了执行检查,基站每一轮需要支付检查消耗D,而节点每一轮诚实转发的消耗记为T。
对于第i个节点,如果该节点进行自私的丢包行为,所获得的收益计算为下:
Figure BDA0003492101810000061
相反的,如果该节点执行诚实的转发行为,所获得的收益被计算为:
Figure BDA0003492101810000062
ε表示收益增量,由R-T-ε<R-T得到,故节点将选择诚实转发消息。
本发明另一方面还提供了上述基于路由证据的基于路由证据的路由节点恶意行为检测方法的系统,其特点在于,包括:
路由证据生成模块:在信息交互和网络传输过程中,不断生成带有签名的多种路由证据,提交给对应的基站进行管理。
数据聚合上传模块:在路由证据由分布式基站提交至中央处理系统之前,基站对数据进行数据聚合,保护数据上传的过程中不被篡改;
攻击行为检测模块:包含三个子模块:
消息伪造攻击检测模块:针对特定任务,如在空天地场景下的无人机追踪任务,将返回无人机的位置坐标;通过对异常值的检出和排除,实现对恶意节点的发现。
流量洪泛攻击检测模块:通过对特定时间戳下,长时间的流量观测,发现恶意节点;
黑洞/灰洞攻击检测模块:通过对收集到的路由证据的比较,可以有效检出行为不合规的节点,实现对空天地网络安全路由的保护。
优选的,还包括能量效率提升模块:基于概率抽样的检测机制,并且进行了基于博弈论的分析,实现对空天地网络效率的有效提升。
与现有技术相比,本发明的有益效果:
(1)信誉机制。本发明提出的路由证据,可以有效记录节点之间的信息交互情况,从而防止恶意节点的漏检情况发生。本发明仅仅可以通过较短时间的数据交互,实现较细粒度的恶意节点检出,从而保证空天地一体化网络的安全性。
(2)在空天地一体化框架下,本发明的防御方案更加全面。本发明考虑到了多种可能影响空天地一体化网络安全的攻击机制,提出了三种基于路由证据的不同信息的检出方案,实现对节点的多行为,细粒度检测。安全方案的提出不仅可以在空天地网络中应用,在其他容断容迟网络,例如车联网,海洋网络等领域也可以应用,具有很好的泛用性。
(3)本发明具有低能耗,高有效性的优势。增加了对于部署开销的考量,为了降低检查和签名验证的消耗,本发明提出了基于概率抽样检测的检查方案,针对于三种攻击行为,没有采用所有节点都进行筛查的策略,而是通过轮次迭代,引入信誉机制,增加对于怀疑恶意节点的检查概率,降低对于良性节点的检查概率,实现对开销的降低。为了合理选择抽样概率,本发明引入了博弈论的算法,对于开销进行评估。高可靠,低能耗的特点保证了本方案与已有方法相比的优越性。
附图说明
图1本发明流程框图
具体实施方式
下面对本发明的实例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
一种空天地网络中路由节点恶意行为检测方法,可以在空天地网络中部署使用,包括如下步骤:
步骤一,路由证据生成,对于某一特定的基站BS及其覆盖范围内的所有节点而言,当它们进行信息交互时,提取节点之间的联系、传输信息作为攻击行为的判定依据,称为路由证据。
步骤二,数据聚合上传,使用差分隐私等数据保护的方法,对提取出来的路由证据进行聚合上传至中央处理系统进行恶意行为的检测。
步骤三,攻击行为检测,收集到从各基站上传的路由证据之后,本发明部署了一个并行化的检测系统,可以实现对各类不同的节点恶意行为的快速检测。
步骤四,能量效率提升,为了进一步增强本安全方案部署的有效性,本发明增加提出了能量效率提升方法,考虑使用概率抽样检测的手段,引入信誉机制,不进行全部节点的逐一筛查,在保证网络性能的同时降低开销。
下面结合附图对本发明实施所提供的技术方案进行进一步的详细描述。
如上文所述,本发明的研究方法和研究步骤包括路由证据生成模块、数据聚合上传模块、攻击行为检测模块和能量效率提升模块。详细步骤如下:
本发明首先定义了“路由证据”这一数据,路由证据包括三个方面:路由审计证据(Evidence for delegation,EviD),路由转发证据(Evidence for forwarding,EviF)和路由联系证据(Evidence for contacting,EviC)。其中,路由审计证据包括发送节点Host,最终接收节点Dest为止,中间考虑经过nodei和nodej进行转发和传递,同时也记录转发的时间戳信息Tstart,信息的信息传输节点i(nodei),信息接收节点j(nodej),加密信息(msg)以及i对于该消息的签名(Si→j),记为
EviD i→j=(nodei,nodej,msg,Tstart,Si→j)
路由转发证据包括信息传输节点i(nodei),信息接收节点j(nodej),信息传输时间Tsend,允许转发标志(Flagi→j)以及i对于该消息的签名(Si→j),记为:
EviF i→j=(nodei,nodej,Tsend,Flagi→j,Si→j)
其中,允许转发标志由节点j是否存在于节点i对于该消息的前向通路集合中确定;和路由联系证据包括信息传输节点i(nodei),信息接收节点j(nodej),加密信息(msg),传输开始时间戳Tstart,信息剩余存活时间Tleft,允许转发标志(Flagi→j)以及i对于该消息的签名(Si→j),记为:
EviC i→j=(nodei,nodej,msg,Tstart,Tleft,Flagi→j,Si→j)
以上所述的路由历史证据被上传到对应的基站BS。
在数据聚合上传过程中,需要保证BS收集的路由证据在传输给中央处理系统的过程中不会被恶意篡改,因此,需要使用一些数据保护的方式来确保数据的可靠性,同时又不会给BS带来较大的开销,本发明使用差分隐私、边缘计算等数据保护的方法,对提取出来的路由证据进行聚合。
攻击行为检测过程包含三个模块:消息伪造攻击检测模块、流量洪泛攻击检测模块以及黑洞/灰洞攻击检测模块,下文将对它们展开详细描述。
(1)消息伪造攻击检测模块:针对特定任务,例如在空天地场景下的无人机追踪任务,将返回无人机的位置坐标。通过该模块对异常值的检出和排除,便可以实现对恶意节点的发现。本发明从已上传的路由证据
Figure BDA0003492101810000101
Figure BDA0003492101810000102
里通过对签名的验证,之后提取出对应的msg内容,在空天地网络环境的背景下,大部分执行同一任务的节点发送msg内容相似度较高,而恶意节点的msg则会与大部分节点产生较大偏差,本发明首先通过聚类筛选的方式筛选出一部分可能的恶意节点,之后通过所有指向该任务的节点对可能的恶意节点根据msg的偏差进行投票,从而检测出这类恶意节点。例如,对于无人机追踪和定位等任务,假设存在S个路由节点参与转发任务,无人机的真正位置为(Posx,Posy,Posz)。对于第i个节点的追踪位置为
Figure BDA0003492101810000103
可以认为所有msg指向的位置中心为
Figure BDA0003492101810000104
之后便可以计算节点nodei消息位置与位置中心的距离
di=|Posi-Posaggr|
对于可能的恶意节点nodet,首先计算其他节点与位置中心距离的标准差σ,当di大于三倍的σ时候,便可将其判定为恶意节点。
(2)流量洪泛攻击检测模块:网络中可能存在着发动洪泛攻击的节点,这一攻击将快速耗尽网络的资源和能量,对于空天地网络的生存周期和稳定性是严重威胁。本发明通过对特定时间戳下,长时间的流量观测,发现恶意节点。具体方法如下:
对于任一节点nodei,它在ts1时间向节点nodej发送消息的流量速度被定义为:
Figure BDA0003492101810000111
其中,Setmsg表示待转发消息的集合,lmsg表示消息的长度,tmsg表示通过EviF获得的消息传输时间。
之后,本发明对整个网络系统的流量速度取均值
Figure BDA0003492101810000112
其中sum表示基站BS所管理的节点个数和,当某些节点的流量速度显著大于该速度均值时便被判定为恶意节点。
(3)黑洞/灰洞攻击检测模块:由于网络中存在着丢包,拒绝转发等恶意行为,我们通过对收集到的路由证据的比较,可以有效检出行为不合规的节点,实现对空天地网络安全路由的保护。具体方法如下:
根据聚合得到的三种路由证据,本发明分析获得需要被转发的消息集合Qmsg,参与转发任务的消息
Figure BDA0003492101810000113
以及节点之间进行了联系的集合
Figure BDA0003492101810000114
分别可以通过对路由证据的推算获得每个节点的对应信息。对于任一节点nodei,本发明从路由联系证据中获得所有与该节点建立联系的节点集合,记为
Figure BDA0003492101810000121
同时,构建所有数据下一跳的节点集合记为Qnext,当存在该节点转发某条消息的下一跳节点不属于与该节点建立联系的节点集合时,即用公式表述为:
Figure BDA0003492101810000122
说明在满足转发条件时,该节点未诚实进行数据转发,发生了自私的丢包行为。
或存在与该节点建立联系的节点,但不存在该节点转发消息的下一跳节点时,也可以用公式表述为:
Figure BDA0003492101810000123
说明此时的转发不符合路由规则,该节点属于恶意节点。
在进行了三种攻击行为的防御后,为进一步增加安全方案在空天地网络中部署的可行性,本发明提出了能量效率提升的优化方案,设计了基于概率的抽样检测机制,并进行了基于博弈论的安全性分析。
本发明提出的概率抽样检测机制是,在每一轮的检测迭代过程中,对于节点的行为进行评估,如果该节点在该轮次被认定为良性转发,对应的基站BS将减少对该节点的抽查概率。反之,如果该节点被发现存在恶意行为,在后续的检查阶段中,将增加对该节点的抽查概率。通过概率抽样的机制,可以在避免对空天地一体化网络海量节点的全部检查过程的同时,保证对绝大部分恶意节点的检出,实现在空天地场景下的安全路由方案。
为了确定在概率抽样算法中合适的概率选择,本发明进行了基于博弈论的分析讨论,找到节点和基站BS的纳什均衡点。博弈论的分析基于信誉机制的提出,即当每一轮检查时,当基站发现该节点在此时的行为是诚实的,该节点会得到相应的奖励R,如果该节点此时的行为被怀疑为恶意的,该节点会得到的惩罚P,会在节点的账户上进行扣除,而奖励和惩罚的结果会由基站BS承担。如果诚实传输了消息,基站也会得到增益G。为了执行检查,基站每一轮需要支付D的检查消耗,而节点每一轮诚实转发的消耗记为T。
因此对于第i个节点,如果该节点进行自私的丢包行为,所获得的收益可以被计算为:
Figure BDA0003492101810000131
相反的,如果该节点执行诚实的转发行为,增益可以被计算为:
Figure BDA0003492101810000132
因此,在对收益进行计算和比较后,可以发现,对于当前的概率选择情况下(抽样概率取
Figure BDA0003492101810000133
)时,节点选择诚实的转发策略的收益优于自私的丢包行为。而对于基站BS而言,这种情况下,选择检查部分节点的开销也远远小于全部节点检查的开销,基于博弈论的分析证明,选择这种抽样概率进行检测是合适的。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。

Claims (6)

1.一种空天地场景下基于路由证据的路由节点恶意行为检测方法,其特征在于,该方法包括步骤:
S1.路由证据生成:对于某一特定的基站BS及其覆盖范围内的所有的N个节点,进行信息交互时,提取节点之间的联系、传输信息作为攻击行为的判定依据,称为路由证据,用于后续的恶意节点检出;
所述的路由证据包括审计证据EviD、转发证据EviF和联系证据EviC
所述的审计证据EviD定义为:
EviD i→j=(nodei,nodej,msg,Tstart,Si→j)
从发送节点Host开始,到最终接收节点Dest为止,i(nodei)和j(nodej)分为信息传输节点和信息接收节点,Tstart为记录转发开始的时间戳信息,msg为加密信息,Si→j为节点i对于该加密信息的签名;
所述的转发证据EviF定义为:
EviF i→j=(nodei,nodej,Tsend,Flagi→j,Si→j)
其中,Flagi→j为允许转发标志,由节点j是否存在于节点i对于消息的前向通路集合中确定,Tsend为信息发送的时间戳信息;
所述的联系证据EviC定义为:
EviC i→j=(nodei,nodej,msg,Tstart,Tleft,Flagi→j,Si→j)
其中,Tstart为记录转发开始的时间戳信息,Tleft为信息剩余存活时间;
S2.数据聚合上传:各基站收集各节点交互的信息和路由证据,并通过数据保护,分布式将路由证据聚合得到路由证据簇
Figure FDA0003806558760000011
Figure FDA0003806558760000012
Figure FDA0003806558760000013
将路由证据簇
Figure FDA0003806558760000014
上传至中央处理系统;
S3.攻击行为检测:中央处理系统对收到各基站的路由证据簇进行检测,其中不同的路由证据用于检测不同种类的攻击行为,并作为证据实现对容断容迟空天地网络的恶意节点的事后检查;
消息伪造攻击的检测,具体是通过聚类筛选方式筛选出一部分可能的恶意节点,之后通过所有指向任务的节点对可能的恶意节点根据msg的偏差进行投票,从而检测出恶意节点;
流量洪泛攻击的检测,具体步骤如下:
设任一节点nodei,在传输时间ts1中向节点nodej发送消息的流量速度定义如下:
Figure FDA0003806558760000021
其中,Setmsg表示待转发消息的集合,lmsg表示消息的长度,tmsg表示通过转发证据EviF获得的消息传输时间;
计算传输时间ts1中整个网络系统的平均流量速度,公式如下:
Figure FDA0003806558760000022
其中,sum表示基站所管理的节点个数和;
当节点的流量速度大于该平均流量速度,则该节点判定为恶意节点,即存在洪泛攻击行为;
黑洞/灰洞攻击的检测,具体步骤如下:
步骤a.根据聚合得到路由证据簇
Figure FDA0003806558760000023
分析获得需要被转发的消息集合Qmsg,参与转发任务的消息
Figure FDA0003806558760000024
以及节点之间进行了联系的集合
Figure FDA0003806558760000025
通过对路由证据的推算获得每个节点的对应信息,并将消息转发过程中下一跳节点集合记为Qnext,将满足转发条件,符合路由规则的联系节点集合记为
Figure FDA0003806558760000031
步骤b.设定路由规则,判断是否存在黑洞攻击,即是否存在合理转发条件却产生了丢包行为:
如果
Figure FDA0003806558760000032
说明在满足转发条件时,该节点未诚实进行数据转发,发生了自私的丢包行为;
如果
Figure FDA0003806558760000033
说明转发不符合路由规则,属于恶意节点;
步骤c.根据设定的路由规则发现恶意节点,并进行数据统计,找出黑洞/灰洞攻击的恶意节点集合。
2.根据权利要求1所述的基于路由证据的路由节点恶意行为检测方法,其特征在于,所述的S3.中央处理系统对收到各基站的路由证据簇进行攻击行为检测,包括对消息伪造攻击的检测、流量洪泛攻击的检测和黑洞/灰洞攻击检测。
3.根据权利要求1所述的基于路由证据的路由节点恶意行为检测方法,其特征在于,还包括步骤S4.提升能量效率,具体步骤如下:
S4.1针对上述的三种攻击行为的检测都在抽样样本中进行,引入概率抽样检测机制,在每一轮的检测迭代过程中,对于节点的行为进行评估,如果该节点在该轮次被认定为良性转发,对应的基站BS将减少对该节点的抽查概率; 反之,如果该节点被发现存在恶意行为,在后续的检查阶段中,将增加对该节点的抽查概率;
S4.2为了确定在概率抽样检测机制中合适的概率选择,基于博弈论的理论分析,通过对节点和基站BS的纳什均衡点的寻找,使得节点和对应的基站BS选择诚实转发;
博弈论的分析基于信誉机制,即当每一轮检查时,当基站发现该节点在此时的行为是诚实的,该节点会得到相应的奖励R,如果该节点此时的行为被怀疑为恶意的,该节点会得到的惩罚P,会在节点的账户上进行扣除,而奖励和惩罚的结果会由基站BS承担;如果诚实传输了消息,基站也会得到增益G。
4.根据权利要求3所述的基于路由证据的路由节点恶意行为检测方法,其特征在于,为了执行检查,基站每一轮需要支付检查消耗D,而节点每一轮诚实转发的消耗记为T;
对于第i个节点,如果该节点进行自私的丢包行为,所获得的收益计算为下:
Figure FDA0003806558760000041
相反的,如果该节点执行诚实的转发行为,所获得的收益被计算为:
Figure FDA0003806558760000042
ε表示收益增量,由R-T-ε<R-T得到,故节点将选择诚实转发消息。
5.实施权利要求1-4任一所述的基于路由证据的基于路由证据的路由节点恶意行为检测方法的系统,其特征在于,包括:
路由证据生成模块:在信息交互和网络传输过程中,不断生成带有签名的多种路由证据,提交给对应的基站进行管理;
数据聚合上传模块:在路由证据由分布式基站提交至中央处理系统之前,基站对数据进行数据聚合,保护数据上传的过程中不被篡改;
攻击行为检测模块:包含三个子模块:
消息伪造攻击检测模块:针对特定任务,如在空天地场景下的无人机追踪任务,将返回无人机的位置坐标;通过对异常值的检出和排除,实现对恶意节点的发现;
流量洪泛攻击检测模块:通过对特定时间戳下,长时间的流量观测,发现恶意节点;
黑洞/灰洞攻击检测模块:通过对收集到的路由证据的比较,可以有效检出行为不合规的节点,实现对空天地网络安全路由的保护。
6.根据权利要求5所述的基于路由证据的基于路由证据的路由节点恶意行为检测系统,其特征在于,还包括能量效率提升模块:基于概率抽样的检测机制,并且进行了基于博弈论的分析,实现对空天地网络效率的有效提升。
CN202210100218.9A 2022-01-27 2022-01-27 基于路由证据的路由节点恶意行为检测方法与系统 Active CN114448697B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210100218.9A CN114448697B (zh) 2022-01-27 2022-01-27 基于路由证据的路由节点恶意行为检测方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210100218.9A CN114448697B (zh) 2022-01-27 2022-01-27 基于路由证据的路由节点恶意行为检测方法与系统

Publications (2)

Publication Number Publication Date
CN114448697A CN114448697A (zh) 2022-05-06
CN114448697B true CN114448697B (zh) 2022-10-11

Family

ID=81369051

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210100218.9A Active CN114448697B (zh) 2022-01-27 2022-01-27 基于路由证据的路由节点恶意行为检测方法与系统

Country Status (1)

Country Link
CN (1) CN114448697B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112448921A (zh) * 2019-08-30 2021-03-05 华为技术有限公司 检测后门的方法和装置
WO2021086648A1 (en) * 2019-11-01 2021-05-06 Microsoft Technology Licensing, Llc Route anomaly detection and remediation

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100299430A1 (en) * 2009-05-22 2010-11-25 Architecture Technology Corporation Automated acquisition of volatile forensic evidence from network devices
CN110855565B (zh) * 2019-11-22 2021-07-20 广州大学 一种基于区块链的可验证域间路由验证方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112448921A (zh) * 2019-08-30 2021-03-05 华为技术有限公司 检测后门的方法和装置
WO2021086648A1 (en) * 2019-11-01 2021-05-06 Microsoft Technology Licensing, Llc Route anomaly detection and remediation

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
A Secure Autonomic Mobile Ad-hoc Network based Trusted Routing Proposal;K. Dhanya;《2019 International Conference on Computer Communication and Informatics (ICCCI)》;20190902;全文 *
An Ensemble Approach for Suspicious Traffic Detection from High Recall Network Alerts;Haojin Zhu;《2019 IEEE International Conference on Big Data (Big Data)》;20200224;全文 *
BatFL: Backdoor Detection on Federated Learning in e-Health;Jiachun Li;《2021 IEEE/ACM 29th International Symposium on Quality of Service (IWQOS)》;20210826;全文 *
一种新颖的移动自组网灰洞攻击检测方案;陈炜等;《计算机研究与发展》;20070815(第08期);全文 *
基于信任机制的机会网络安全路由决策方法;李峰等;《软件学报》;20170331(第09期);全文 *
基于路由证据的域间路由不一致路径恶意自治系统检测机制;蒋健等;《计算机学报》;20160630(第06期);全文 *

Also Published As

Publication number Publication date
CN114448697A (zh) 2022-05-06

Similar Documents

Publication Publication Date Title
Khan et al. A survey on intrusion detection and prevention in wireless ad-hoc networks
Gurung et al. A survey of black-hole attack mitigation techniques in MANET: merits, drawbacks, and suitability
Nadeem et al. A survey of MANET intrusion detection & prevention approaches for network layer attacks
Meghdadi et al. A survey of wormhole-based attacks and their countermeasures in wireless sensor networks
Santos et al. A flow-based intrusion detection framework for internet of things networks
Bandecchi et al. Intrusion Detection Scheme in Secure Zone Based System
Ezhilarasi et al. A novel implementation of routing attack detection scheme by using fuzzy and feed-forward neural networks
Madhusudhananagakumar et al. A survey on black hole attacks on aodv protocol in manet
Pu et al. Defending against flooding attacks in the internet of drones environment
Srinivasan Detection of Black Hole Attack Using Honeypot Agent-Based Scheme with Deep Learning Technique on MANET.
Dai et al. Eclipse attack detection for blockchain network layer based on deep feature extraction
Kala et al. A novel approach for isolation of sinkhole attack in wireless sensor networks
CN114448697B (zh) 基于路由证据的路由节点恶意行为检测方法与系统
Najafi et al. Decentralized reputation model based on bayes' theorem in vehicular networks
Mahdi et al. Bootstrapping services availability through multipath routing for enhanced security in urban IoT
Kibirige et al. Attacks in wireless sensor networks
Sushma A review of the cluster based mobile adhoc network intrusion detection system
Boora et al. A survey on security issues in mobile ad-hoc networks
Bhalaji et al. Defense Strategy Using Trust Based Model to Mitigate Active Attacks in DSR Based MANET
Fu et al. A distributed intrusion detection scheme for mobile ad hoc networks
Tesfay et al. An Intrusion Prevention System embedded AODV to protect Mobile Adhoc Network against Sybil Attack
Rai et al. A review of ‘MANET’s security aspects and challenges’
Kanthimathi et al. Defending against packet dropping attacks in wireless adhoc networks using cluster based trust entropy
Sharma et al. Distributed intrusion detection system for wireless sensor networks
Deeptha A Comprehensive Survey of Routing Attacks and Defense Mechanisms in MANETs

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant