CN114629697A - 无线传感器网络的虫洞攻击检测方法及系统 - Google Patents

无线传感器网络的虫洞攻击检测方法及系统 Download PDF

Info

Publication number
CN114629697A
CN114629697A CN202210190045.4A CN202210190045A CN114629697A CN 114629697 A CN114629697 A CN 114629697A CN 202210190045 A CN202210190045 A CN 202210190045A CN 114629697 A CN114629697 A CN 114629697A
Authority
CN
China
Prior art keywords
node
time
hop
network node
current network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210190045.4A
Other languages
English (en)
Inventor
谌云莉
孙宜涵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Technology
Original Assignee
Beijing University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Technology filed Critical Beijing University of Technology
Priority to CN202210190045.4A priority Critical patent/CN114629697A/zh
Publication of CN114629697A publication Critical patent/CN114629697A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种无线传感器网络的虫洞攻击检测方法及系统,方法包括:获取无线传感器网络节点与邻居节点间的单跳传输时间,得到基准单跳时间序列,并确定正常值范围;采集每个网络节点与邻居节点的数据包转发次数,并得到转发数序列;计算转发数序列与参考向量之间的相似度,根据相似度与预设阈值的大小关系判断当前网络节点是否为正常节点;若判定当前网络节点为异常节点,获取当前网络节点与所有邻居节点之间的最小单跳时间,根据最小单跳时间是否在正常值范围内判定当前网络节点是否为虫洞节点。通过本发明的技术方案,提高了网络的安全性,有很高的检测率,且不需要特殊的硬件和严格的时间同步,计算和通信开销小。

Description

无线传感器网络的虫洞攻击检测方法及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种无线传感器网络的虫洞攻击检测方法以及一种无线传感器网络的虫洞攻击检测系统。
背景技术
无线传感器网络(WSN)是物联网的重要组成部分,它们通常由许多传感器节点组成一个局域网,节点间通过无线传感器网络的路由协议进行通信,实现传感器信息的共享。
无线传感器网络的安全性能非常重要。一方面当网络受到攻击的时候,网络中的许多特征会发生改变,如吞吐量减少、丢包率和延迟增加等,会影响网络性能;另一方面,无线传感器网络传输的信息可能是重要而私密的,如果信息被恶意丢弃、篡改或窃取,将会给用户造成极大的损失。因此网络攻防是无线传感器网络相关研究中非常重要的一环。
攻击节点会对WSN中信息的完整性、可用性和机密性造成潜在的威胁,其中一些威胁与协议栈中的网络层有关,如泛洪攻击、选择性转发攻击、拒绝服务攻击、虫洞攻击等。其中虫洞攻击是一种危害性很大的攻击,因为它的部署甚至不需要破解网络密码,并且实施后极易进一步进行其他类型的攻击。因此,对于无线传感器网络中虫洞攻击的防御有着重要的研究意义。
现有的方法大多数属于以下四类:基于地理位置的方法、基于时间的方法、基于邻居的方法和基于全局统计的方法。然而,现有的解决方案多存在以下几个缺点之一:
1.需要额外硬件或严格的时钟同步;
2.需要较高的通信开销;
3.不适用于短距离虫洞攻击;
4.只能用于多路径路由。
发明内容
针对上述问题,本发明提供了一种无线传感器网络的虫洞攻击检测方法及系统,基于向量相似度和四分位距异常检测,通过检测转发数异常和节点间单跳时间异常来检测并定位虫洞攻击,从而提高网络的安全性,该方法有很高的检测率,尤其在短距离虫洞攻击中的表现良好,且不需要特殊的硬件和严格的时间同步,计算和通信开销小,可以及时、准确地对虫洞攻击进行检测。
为实现上述目的,本发明提供了一种无线传感器网络的虫洞攻击检测方法,包括:
获取无线传感器网络节点与邻居节点间的单跳传输时间,并对所述单跳传输时间进行变换处理,作为基准单跳时间序列;
计算所述基准单跳时间序列的上下四分位点和四分位距,并根据所述上下四分位点和所述四分位距确定单跳传输时间的正常值范围;
采集每个网络节点与邻居节点在预设时间内的数据包转发次数,并将邻居节点的转发次数由大到小进行排序,存入转发数序列;
计算所述转发数序列与参考向量之间的相似度,根据所述相似度与预设阈值的大小关系判断当前网络节点是否为正常节点;
若判定当前网络节点为异常节点,获取当前网络节点与所有邻居节点之间的最小单跳时间,并判断所述最小单跳时间是否在所述正常值范围内;
若该最小单跳时间不处于所述正常值范围内,则判定当前网络节点为虫洞节点,否则不是虫洞节点。
在上述技术方案中,优选地,所述计算所述基准单跳时间序列的上下四分位点和四分位距,并根据所述上下四分位点和所述四分位距确定单跳传输时间的正常值范围的具体过程为:
计算所述基准单跳时间序列的上四分位点Q3、下四分位点Q1和四分位距IQR;
计算得到单跳传输时间的正常值范围为(Q1-1.5*IQR,Q3+1.5*IQR)。
在上述技术方案中,优选地,每个网络节点存设有变量,用于表示当前网络节点的数据包转发次数,网络节点每转发一次数据包,该变量加一,且该变量每隔预设第一时间重新置零;
在网络节点定时向邻居节点发送HELLO数据包时,将该变量置于所述HELLO数据包中,邻居节点根据所述HELLO数据包中变量的值,使得网络节点能够得知所有邻居节点的转发数。
在上述技术方案中,优选地,所述计算所述转发数序列与参考向量之间的相似度的具体过程包括:
所述转发数序列为当前网络节点的转发次数与所有邻居节点从大到小排序的转发次数共同构成的n维向量(f1,f2,f3,…fn),参考向量为n维向量(1,1,0,0,…,0);
计算(f1,f2,f3,…fn)与(1,1,0,0…)两向量之间夹角的余弦值:
Figure BDA0003524902450000031
以所述余弦值cosθ作为所述转发数序列与所述参考向量之间的相似度。
在上述技术方案中,优选地,所述网络节点的数据包转发次数变量置零后预设第二时间时,重新采集每个网络节点与邻居节点的数据包转发次数,并重新计算转发数序列与参考向量之间的相似度以判断当前网络节点是否为正常节点。
在上述技术方案中,优选地,所述获取无线传感器网络节点与邻居节点间的单跳传输时间的具体过程包括:
根据网络节点接收到的HELLO数据包确定邻居节点发送所述HELLO数据包的时间戳,计算接收到所述HELLO数据包的时间戳与邻居节点发送时的时间戳的时间差,将该时间差作为当前网络节点与该邻居节点之间的单跳传输时间。
在上述技术方案中,优选地,所述获取当前网络节点与所有邻居节点之间的最小单跳时间的具体过程中还包括:
根据节点B到达节点A的传输时间tBA,以及节点A到达节点B的传输时间tAB,当节点A再次向节点B传输HELLO数据包时,同时将tBA传递至节点B;
假设节点B相对于节点A的时钟误差为e,则节点A和节点B之间消除误差后的平均传输时间t为:
Figure BDA0003524902450000032
其中,tAB′为节点A到节点B的真实传输时间,tBA′为节点B到节点A的真实传输时间;
将当前网络节点与所有邻居节点之间的平均传输时间中的最小值作为最小单跳时间。
本发明还提出一种无线传感器网络的虫洞攻击检测系统,应用如上述技术方案中任一项公开的无线传感器网络的虫洞攻击检测方法,包括:
单跳时间获取模块,用于获取无线传感器网络节点与邻居节点间的单跳传输时间,并对所述单跳传输时间进行变换处理,作为基准单跳时间序列;
正常范围确定模块,用于计算所述基准单跳时间序列的上下四分位点和四分位距,并根据所述上下四分位点和所述四分位距确定单跳传输时间的正常值范围;
转发次数采集模块,用于采集每个网络节点与邻居节点在预设时间内的数据包转发次数,并将邻居节点的转发次数由大到小进行排序,存入转发数序列;
异常节点判断模块,用于计算所述转发数序列与参考向量之间的相似度,根据所述相似度与预设阈值的大小关系判断当前网络节点是否为正常节点;
单跳时间判断模块,用于在判定当前网络节点为异常节点时,获取当前网络节点与所有邻居节点之间的最小单跳时间,并判断所述最小单跳时间是否在所述正常值范围内;
虫洞节点判断模块,用于在该最小单跳时间不处于所述正常值范围内时判定当前网络节点为虫洞节点,否则不是虫洞节点。
在上述技术方案中,优选地,所述异常节点判断模块具体用于:
将当前网络节点的转发次数与所有邻居节点从大到小排序的转发次数共同构成n维向量(f1,f2,f3,…fn);
计算(f1,f2,f3,…fn)与n维参考向量(1,1,0,0…)之间夹角的余弦值:
Figure BDA0003524902450000041
以所述余弦值cosθ作为所述转发数序列与所述参考向量之间的相似度。
在上述技术方案中,优选地,所述单跳时间判断模块还包括误差消除子模块,
所述误差消除子模块具体用于:
根据节点B到达节点A的传输时间tBA,以及节点A到达节点B的传输时间tAB,当节点A再次向节点B传输HELLO数据包时,同时将tBA传递至节点B;
假设节点B相对于节点A的时钟误差为e,则节点A和节点B之间消除误差后的平均传输时间t为:
Figure BDA0003524902450000051
其中,tAB′为节点A到节点B的真实传输时间,tBA′为节点B到节点A的真实传输时间;
所述单跳时间判断模块将当前网络节点与所有邻居节点之间的平均传输时间中的最小值作为最小单跳时间。
与现有技术相比,本发明的有益效果为:基于向量相似度和四分位距异常检测,通过检测转发数异常和节点间单跳时间异常来检测并定位虫洞攻击,从而提高网络的安全性,该方法有很高的检测率,尤其在短距离虫洞攻击中的表现良好,且不需要特殊的硬件和严格的时间同步,计算和通信开销小,可以及时、准确地对虫洞攻击进行检测。
附图说明
图1为本发明一种实施例公开的无线传感器网络的虫洞攻击检测方法的流程示意图;
图2为本发明一种实施例公开的第一阶段转发次数异常判断的流程示意图;
图3为本发明一种实施例公开的第二阶段单跳时间异常判断的流程示意图;
图4为本发明一种实施例公开的无线传感器网络的虫洞攻击检测系统的模块示意图。
图中,各组件与附图标记之间的对应关系为:
11.单跳时间获取模块,12.正常范围确定模块,13.转发次数采集模块,14.异常节点判断模块,15.单跳时间判断模块,151.误差消除子模块,16.虫洞节点判断模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
如图1所示,根据本发明提供的一种无线传感器网络的虫洞攻击检测方法,包括:
获取无线传感器网络节点与邻居节点间的单跳传输时间,并对单跳传输时间进行变换处理,作为基准单跳时间序列;
计算基准单跳时间序列的上下四分位点和四分位距,并根据上下四分位点和四分位距确定单跳传输时间的正常值范围;
采集每个网络节点与邻居节点在预设时间内的数据包转发次数,并将邻居节点的转发次数由大到小进行排序,存入转发数序列;
计算转发数序列与参考向量之间的相似度,根据相似度与预设阈值的大小关系判断当前网络节点是否为正常节点;
若判定当前网络节点为异常节点,获取当前网络节点与所有邻居节点之间的最小单跳时间,并判断最小单跳时间是否在正常值范围内;
若该最小单跳时间不处于正常值范围内,则判定当前网络节点为虫洞节点,否则不是虫洞节点。
在该实施方式中,基于向量相似度和四分位距异常检测,通过检测转发数异常和节点间单跳时间异常来检测并定位虫洞攻击,从而提高网络的安全性,该方法有很高的检测率,尤其在短距离虫洞攻击中的表现良好,且不需要特殊的硬件和严格的时间同步,计算和通信开销小,可以及时、准确地对虫洞攻击进行检测。
具体地,该虫洞攻击检测方法通过检测转发数异常和节点间单跳时间异常来检测并定位虫洞攻击,从而提高网络的安全性,具体包括以下三个阶段:
(一)测试阶段
在网络正式投入使用前的测试阶段,收集基准单跳时间序列。假设网络测试时与正式运行时的网络结构相同,但网络测试时确定无虫洞攻击发生,则测试阶段获取的单跳传输时间序列可作为正常情况下的基准时间序列。
计算基准单跳时间序列的上下四分位点和四分位距IQR,得到正常值的范围为(下四分位-1.5*IQR,上四分位+1.5*IQR),用于检测网络正式运行后,节点的单跳时间是否异常。
(二)第一阶段:转发次数异常判断
如图2所示,网络正式运行后,收集转发数序列,网络节点判断其转发数序列与典型虫洞攻击的转发数序列的相似度,相似度超过阈值则认为网络发生异常,进行第二阶段。若相似度小于阈值,则认为该节点没有异常,继续更新转发次数序列。
(三)第二阶段:单跳时间异常判断
如图3所示,第二阶段检测:节点判断其到邻居节点的单跳时间是否在测试阶段得到的正常值范围内,不在则该节点是虫洞节点,若在正常值范围内,则认为该节点不是虫洞节点。
具体内容如下:
(1)测试阶段数据收集
每个传感器节点中存有一个数组T,数组的项数是n(n=5,6,...),类型为float。
在测试阶段,每当节点获得和任意邻居节点间的单跳传输时间,就将该时间存入T,直到T中存满n个数据。
根据网络节点接收到的HELLO数据包确定邻居节点发送HELLO数据包的时间戳,计算接收到HELLO数据包的时间戳与邻居节点发送时的时间戳的时间差,将该时间差作为当前网络节点与该邻居节点之间的单跳传输时间。
假设测试阶段没有攻击发生,则T表示了正常情况下该节点与邻居节点间的单跳传输时间。将每个时间进行ln变换预处理,作为基准单跳时间序列T=(t1,t2,t3,t4,t5,...,tn)。
(2)计算单跳时间的正常值范围
优选地,计算基准单跳时间序列的上下四分位点和四分位距,并根据上下四分位点和四分位距确定单跳传输时间的正常值范围,具体过程为:
计算基准单跳时间序列的上四分位点Q3、下四分位点Q1和四分位距IQR;具体地,将基准单跳时间序列T从小到大排序,取T中第25%个数作为第一四分位数Q1,取T中第75%个数作为第三四分位数Q3,则四分位距IQR=Q3-Q1;
计算得到单跳传输时间的正常值范围为(Q1-1.5*IQR,Q3+1.5*IQR)。
(3)通过转发数序列检测网络是否出现异常
每个网络节点存设有变量forward,用于表示当前网络节点的数据包转发次数,网络节点每转发一次数据包,该变量forward加一,且该变量forward每隔预设第一时间t重新置零;
无线传感器网络中的传感器节点会定期向邻居节点发送HELLO数据包,来确认两节点间的路径是否断开。在HELLO数据包中增加字段fwd,在网络节点定时向邻居节点发送HELLO数据包时,将fwd的值置为forward,邻居节点根据HELLO数据包中字段fwd的值,使得网络节点能够得知所有邻居节点的转发数。
在网络正式投入使用后,节点在HELLO数据包中携带自己的转发次数,通过发送HELLO数据包使邻居获得该节点的转发次数;通过接收HELLO数据包,获得邻居在当前一段时间内转发数据包的次数,节点将自己的转发次数forward和各邻居的转发次数存入转发数序列F(forward是F的第一项),并实时更新。节点每次更新转发数序列F时,将除第一项以外的项从大到小排序,将F看做一个高维空间的向量。
当虫洞攻击发生时,虫洞节点吸引附近网络中的大量数据包通过虫洞链路传输,会存在两个虫洞节点吸引网络中的巨大流量,极限情况下,虫洞节点转发数据包的次数远大于它的正常邻居节点,认为邻居节点和虫洞节点转发次数的比例趋近于0,因此其归一化后的转发数向量与归一化后的向量(1,1,0,...,0)十分接近。其中,该向量中存在两个1,是因为如果当前网络节点为虫洞节点,则其邻居节点中必定有一个节点也为虫洞节点,构成虫洞链路传输。
以F和向量(1,1,0,...,0)间的夹角的cos值作为相似度,相似度的范围是[0,1],设置阈值e,当相似度大于e时认为该节点发生了异常,否则认为该节点是正常节点。
其中,计算转发数序列与参考向量之间的相似度的具体过程包括:
转发数序列为当前网络节点的转发次数与所有邻居节点从大到小排序的转发次数共同构成的n维向量(f1,f2,f3,…fn),参考向量为n维向量(1,1,0,0,…,0);
计算(f1,f2,f3,…fn)与(1,1,0,0…)两向量之间夹角的余弦值:
Figure BDA0003524902450000091
以余弦值cosθ作为转发数序列与参考向量之间的相似度。
在上述实施方式中,优选地,网络节点的数据包转发次数变量置零后预设第二时间(优选为t/2)时,重新采集每个网络节点与邻居节点的数据包转发次数,并重新计算转发数序列与参考向量之间的相似度以判断当前网络节点是否为正常节点。
(4)通过单跳时间确认节点是否为虫洞节点
实际情况下,未发生虫洞攻击时,最小单跳时间在正常值范围内。当网络正式启用后,在上述步骤(3)中认为节点发生了异常时,找到当前节点到邻居节点的单跳时间的最小值t,判断t是否在(2)中求出的正常范围(Q1-1.5*IQR,Q3+1.5*IQR)内,若在正常范围外,认为该节点是虫洞节点,反之,认为其不是虫洞节点。
由于每个节点有独立的时钟,时钟之间存在时间误差,而(1)中计算的时间是直接由两个时钟的时间相减得到的,是有时钟同步误差的数据。
为了解决这一问题,节点将t保存,并在下次传输HELLO包时将t一同传输给对应的邻居节点。
具体地,根据节点B到达节点A的传输时间tBA,以及节点A到达节点B的传输时间tAB,当节点A再次向节点B传输HELLO数据包时,同时将tBA传递至节点B;
假设节点B相对于节点A的时钟误差为e,则节点A和节点B之间消除误差后的平均传输时间t为:
Figure BDA0003524902450000092
其中,tAB′为节点A到节点B的真实传输时间,tBA′为节点B到节点A的真实传输时间,tBA=tBA′+e,tAB=tAB′-e;
将当前网络节点与所有邻居节点之间的平均传输时间中的最小值作为最小单跳时间。
若当前网络节点与所有邻居节点之间的最小单跳时间在(Q1-1.5*IQR,Q3+1.5*IQR)范围内,则认为该网络节点当前为正常节点,否则认为该网络节点当前为虫洞节点。
如图4所示,本发明还提出一种无线传感器网络的虫洞攻击检测系统,应用如上述实施方式中任一项公开的无线传感器网络的虫洞攻击检测方法,包括:
单跳时间获取模块11,用于获取无线传感器网络节点与邻居节点间的单跳传输时间,并对单跳传输时间进行变换处理,作为基准单跳时间序列;
正常范围确定模块12,用于计算基准单跳时间序列的上下四分位点和四分位距,并根据上下四分位点和四分位距确定单跳传输时间的正常值范围;
转发次数采集模块13,用于采集每个网络节点与邻居节点在预设时间内的数据包转发次数,并将邻居节点的转发次数由大到小进行排序,存入转发数序列;
异常节点判断模块14,用于计算转发数序列与参考向量之间的相似度,根据相似度与预设阈值的大小关系判断当前网络节点是否为正常节点;
单跳时间判断模块15,用于在判定当前网络节点为异常节点时,获取当前网络节点与所有邻居节点之间的最小单跳时间,并判断最小单跳时间是否在正常值范围内;
虫洞节点判断模块16,用于在该最小单跳时间不处于正常值范围内时判定当前网络节点为虫洞节点,否则不是虫洞节点。
在上述实施方式中,优选地,异常节点判断模块14具体用于:
将当前网络节点的转发次数与所有邻居节点从大到小排序的转发次数共同构成n维向量(f1,f2,f3,…fn);
计算(f1,f2,f3,…fn)与n维参考向量(1,1,0,0…)之间夹角的余弦值:
Figure BDA0003524902450000101
以余弦值cosθ作为转发数序列与参考向量之间的相似度。
在上述实施方式中,优选地,单跳时间判断模块15还包括误差消除子模块151,
误差消除子模块151具体用于:
根据节点B到达节点A的传输时间tBA,以及节点A到达节点B的传输时间tAB,当节点A再次向节点B传输HELLO数据包时,同时将tBA传递至节点B;
假设节点B相对于节点A的时钟误差为e,则节点A和节点B之间消除误差后的平均传输时间t为:
Figure BDA0003524902450000111
单跳时间判断模块15将当前网络节点与所有邻居节点之间的平均传输时间中的最小值作为最小单跳时间。
在上述实施方式中,各模块所要实现的功能与上述实施方式中虫洞攻击检测方法的各步骤分别对应,具体实现方式按照上述虫洞检测方法进行实施,在此不再赘述。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种无线传感器网络的虫洞攻击检测方法,其特征在于,包括:
获取无线传感器网络节点与邻居节点间的单跳传输时间,并对所述单跳传输时间进行变换处理,作为基准单跳时间序列;
计算所述基准单跳时间序列的上下四分位点和四分位距,并根据所述上下四分位点和所述四分位距确定单跳传输时间的正常值范围;
采集每个网络节点与邻居节点在预设时间内的数据包转发次数,并将邻居节点的转发次数由大到小进行排序,存入转发数序列;
计算所述转发数序列与参考向量之间的相似度,根据所述相似度与预设阈值的大小关系判断当前网络节点是否为正常节点;
若判定当前网络节点为异常节点,获取当前网络节点与所有邻居节点之间的最小单跳时间,并判断所述最小单跳时间是否在所述正常值范围内;
若该最小单跳时间不处于所述正常值范围内,则判定当前网络节点为虫洞节点,否则不是虫洞节点。
2.根据权利要求1所述的无线传感器网络的虫洞攻击检测方法,其特征在于,所述计算所述基准单跳时间序列的上下四分位点和四分位距,并根据所述上下四分位点和所述四分位距确定单跳传输时间的正常值范围的具体过程为:
计算所述基准单跳时间序列的上四分位点Q3、下四分位点Q1和四分位距IQR;
计算得到单跳传输时间的正常值范围为(Q1-1.5*IQR,Q3+1.5*IQR)。
3.根据权利要求2所述的无线传感器网络的虫洞攻击检测方法,其特征在于,每个网络节点存设有变量,用于表示当前网络节点的数据包转发次数,网络节点每转发一次数据包,该变量加一,且该变量每隔预设第一时间重新置零;
在网络节点定时向邻居节点发送HELLO数据包时,将该变量置于所述HELLO数据包中,邻居节点根据所述HELLO数据包中变量的值,使得网络节点能够得知所有邻居节点的转发数。
4.根据权利要求3所述的无线传感器网络的虫洞攻击检测方法,其特征在于,所述计算所述转发数序列与参考向量之间的相似度的具体过程包括:
所述转发数序列为当前网络节点的转发次数与所有邻居节点从大到小排序的转发次数共同构成的n维向量(f1,f2,f3,…fn),参考向量为n维向量(1,1,0,0,…,0);
计算(f1,f2,f3,…fn)与(1,1,0,0…)两向量之间夹角的余弦值:
Figure FDA0003524902440000021
以所述余弦值cosθ作为所述转发数序列与所述参考向量之间的相似度。
5.根据权利要求4所述的无线传感器网络的虫洞攻击检测方法,其特征在于,所述网络节点的数据包转发次数变量置零后预设第二时间时,重新采集每个网络节点与邻居节点的数据包转发次数,并重新计算转发数序列与参考向量之间的相似度以判断当前网络节点是否为正常节点。
6.根据权利要求4所述的无线传感器网络的虫洞攻击检测方法,其特征在于,所述获取无线传感器网络节点与邻居节点间的单跳传输时间的具体过程包括:
根据网络节点接收到的HELLO数据包确定邻居节点发送所述HELLO数据包的时间戳,计算接收到所述HELLO数据包的时间戳与邻居节点发送时的时间戳的时间差,将该时间差作为当前网络节点与该邻居节点之间的单跳传输时间。
7.根据权利要求6所述的无线传感器网络的虫洞攻击检测方法,其特征在于,所述获取当前网络节点与所有邻居节点之间的最小单跳时间的具体过程中还包括:
根据节点B到达节点A的传输时间tBA,以及节点A到达节点B的传输时间tAB,当节点A再次向节点B传输HELLO数据包时,同时将tBA传递至节点B;
假设节点B相对于节点A的时钟误差为e,则节点A和节点B之间消除误差后的平均传输时间t为:
Figure FDA0003524902440000022
其中,tAB′为节点A到节点B的真实传输时间,tBA′为节点B到节点A的真实传输时间;
将当前网络节点与所有邻居节点之间的平均传输时间中的最小值作为最小单跳时间。
8.一种无线传感器网络的虫洞攻击检测系统,其特征在于,应用如权利要求1至7中任一项所述的无线传感器网络的虫洞攻击检测方法,包括:
单跳时间获取模块,用于获取无线传感器网络节点与邻居节点间的单跳传输时间,并对所述单跳传输时间进行变换处理,作为基准单跳时间序列;
正常范围确定模块,用于计算所述基准单跳时间序列的上下四分位点和四分位距,并根据所述上下四分位点和所述四分位距确定单跳传输时间的正常值范围;
转发次数采集模块,用于采集每个网络节点与邻居节点在预设时间内的数据包转发次数,并将邻居节点的转发次数由大到小进行排序,存入转发数序列;
异常节点判断模块,用于计算所述转发数序列与参考向量之间的相似度,根据所述相似度与预设阈值的大小关系判断当前网络节点是否为正常节点;
单跳时间判断模块,用于在判定当前网络节点为异常节点时,获取当前网络节点与所有邻居节点之间的最小单跳时间,并判断所述最小单跳时间是否在所述正常值范围内;
虫洞节点判断模块,用于在该最小单跳时间不处于所述正常值范围内时判定当前网络节点为虫洞节点,否则不是虫洞节点。
9.根据权利要求8所述的无线传感器网络的虫洞攻击检测系统,其特征在于,所述异常节点判断模块具体用于:
将当前网络节点的转发次数与所有邻居节点从大到小排序的转发次数共同构成n维向量(f1,f2,f3,…fn);
计算(f1,f2,f3,…fn)与n维参考向量(1,1,0,0…)之间夹角的余弦值:
Figure FDA0003524902440000031
以所述余弦值cosθ作为所述转发数序列与所述参考向量之间的相似度。
10.根据权利要求8所述的无线传感器网络的虫洞攻击检测系统,其特征在于,所述单跳时间判断模块还包括误差消除子模块,
所述误差消除子模块具体用于:
根据节点B到达节点A的传输时间tBA,以及节点A到达节点B的传输时间tAB,当节点A再次向节点B传输HELLO数据包时,同时将tBA传递至节点B;
假设节点B相对于节点A的时钟误差为e,则节点A和节点B之间消除误差后的平均传输时间t为:
Figure FDA0003524902440000041
其中,tAB′为节点A到节点B的真实传输时间,tBA′为节点B到节点A的真实传输时间;
所述单跳时间判断模块将当前网络节点与所有邻居节点之间的平均传输时间中的最小值作为最小单跳时间。
CN202210190045.4A 2022-02-28 2022-02-28 无线传感器网络的虫洞攻击检测方法及系统 Pending CN114629697A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210190045.4A CN114629697A (zh) 2022-02-28 2022-02-28 无线传感器网络的虫洞攻击检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210190045.4A CN114629697A (zh) 2022-02-28 2022-02-28 无线传感器网络的虫洞攻击检测方法及系统

Publications (1)

Publication Number Publication Date
CN114629697A true CN114629697A (zh) 2022-06-14

Family

ID=81900385

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210190045.4A Pending CN114629697A (zh) 2022-02-28 2022-02-28 无线传感器网络的虫洞攻击检测方法及系统

Country Status (1)

Country Link
CN (1) CN114629697A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102404739A (zh) * 2011-09-26 2012-04-04 苏州大学 一种Ad Hoc网络中虫洞攻击的检测方法
CN102769845A (zh) * 2012-06-15 2012-11-07 哈尔滨工程大学 无线传感器网络中基于特定3跳路径的虫洞检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102404739A (zh) * 2011-09-26 2012-04-04 苏州大学 一种Ad Hoc网络中虫洞攻击的检测方法
CN102769845A (zh) * 2012-06-15 2012-11-07 哈尔滨工程大学 无线传感器网络中基于特定3跳路径的虫洞检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YIHAN SUN, YUNLI CHEN: "Detection of Wormhole Attacks in Wireless Sensor Networks Based on Anomaly Detection Algorithms", 2022 2ND INTERNATIONAL CONFERENCE ON CONSUMER ELECTRONICS AND COMPUTER ENGINEERING (ICCECE), pages 1 - 6 *

Similar Documents

Publication Publication Date Title
Liu et al. Data collection for attack detection and security measurement in mobile ad hoc networks: A survey
EP3831034B1 (en) Method, device, and system for network traffic analysis
US12035147B2 (en) Anomalous access point detection
Lv et al. Detecting the Sybil attack cooperatively in wireless sensor networks
US20110088092A1 (en) Detection of network address spoofing and false positive avoidance
KR101980901B1 (ko) SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법
Kaur et al. A comprehensive survey of DDoS defense solutions in SDN: Taxonomy, research challenges, and future directions
CN109756515B (zh) 基于怀疑度积累的黑洞攻击检测与追踪方法
CN111988331B (zh) 基于区块链的DDoS攻击追踪方法、系统、设备和介质
Blaise et al. Botfp: Fingerprints clustering for bot detection
Sasirekha et al. Secure and attack aware routing in mobile ad hoc networks against wormhole and sinkhole attacks
Guo et al. LDBT: A lightweight DDoS attack tracing scheme based on blockchain
Arora et al. Detection and analysis of black hole attack using IDS
CN108768949B (zh) 基于马尔科夫随机场理论的随机几何数据异常定位方法
CN105611536B (zh) 无线传感器网络中基于主动探测的抵御黑洞攻击的方法
Das et al. Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics
Beitollahi et al. A cooperative mechanism to defense against distributed denial of service attacks
Joseph et al. CRADS: integrated cross layer approach for detecting routing attacks in MANETs
Choi et al. Wireless intrusion prevention system using dynamic random forest against wireless MAC spoofing attack
US7283475B2 (en) Fractal dimension analysis for data stream isolation
CN114629697A (zh) 无线传感器网络的虫洞攻击检测方法及系统
CN109787996B (zh) 雾计算中一种基于dql算法的伪装攻击检测方法
Ahmed et al. Malicious attack detection in underwater wireless sensor network
KR20120071863A (ko) Irc 명령어 패턴을 이용한 봇넷 탐지 시스템 및 그 방법
Zhang et al. Rogue AP detection using similarity of backbone delay fluctuation histogram

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination