CN116208351A - 一种抵御物联网中cpma攻击的恶意节点检测框架 - Google Patents
一种抵御物联网中cpma攻击的恶意节点检测框架 Download PDFInfo
- Publication number
- CN116208351A CN116208351A CN202111446200.6A CN202111446200A CN116208351A CN 116208351 A CN116208351 A CN 116208351A CN 202111446200 A CN202111446200 A CN 202111446200A CN 116208351 A CN116208351 A CN 116208351A
- Authority
- CN
- China
- Prior art keywords
- node
- path
- detection
- trust
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种抵御物联网中CPMA攻击的恶意节点检测框架,属于计算机领域的物联网安全领域。物联网中传统的内部攻击不但隐蔽性差而且攻击效率低。为此,本发明设计了一种新型的目标性内部攻击CPMA攻击。在抵御CPMA攻击时,现有的恶意节点检测方法不但检测性能低而且不能识别恶意节点的攻击模式。为此,本发明设计了一种抵御物联网中CPMA攻击的恶意节点检测框架,支持增量学习,提升检测率而且能够识别恶意节点的攻击模式。在对数据包加入种源机制的前提下,提出了基于机器学习和信任评估的恶意节点检测算法,能耗低,检测率高。
Description
技术领域
本发明为一种抵御物联网中CPMA攻击的恶意节点检测框架,属于计算机领域中的物联网安全。
背景技术
物联网是新一代互联网技术,其利用自主传感器来实时监控环境并收集信息。由于低成本,低能耗以及易部署等特性,近年来物联网发展迅猛。如今,物联网已经被广泛应用于交通监管,灾害预警,智能农业以及健康医疗等领域。
物联网技术在带给我们的日常生活诸多便利的同时,也带来了许多的安全挑战。由于资源受限,开放部署以及无线通信等特点,物联网中报文的完整性,真实性以及私密性在路由转发时会受到极大的威胁。例如,良性的传感器节点被攻击者入侵后会变为恶意节点。这些恶意节点可能会在报文传输过程中篡改,丢弃或者重放报文。显然,这些内部攻击会严重降低物联网的性能和服务质量。
为了检测物联网中的恶意节点,现有诸多检测方案被提出。现有研究已经证实信任评估技术可以显著提高网络安全性[1-2]。在[3-4]中,基于被检测节点的通信特征,该节点的直接信任和间接信任可以被评估。节点的信任值越高,该节点越可能是良性节点,反之,越可能是恶意节点。此外,近年来,也有许多研究利用机器学习算法进行恶意节点检测[5-6]。他们的做法通常是利用收集到的节点的正常行为模式作为样本训练机器学习模型进行恶意节点检测。待检测模型训练结束后,一旦发现某节点的行为模式偏离正常行为模式时便可判定该节点为恶意节点。物联网中传统的内部攻击不但隐蔽性差而且攻击效率低。为此,本发明设计了一种新型的目标性内部攻击CPMA攻击以及一种抵御物联网中CPMA攻击的恶意节点检测框架。该框架的不仅能够检测恶意节点而且能够识别恶意节点的攻击模式。
上文中提到的文献来源如下:
[1]Ambili K N,Jose J.Trust Based Intrusion Detection System to DetectInsider Attacks in IoT Systems[M]Information Science andApplications.Springer,Singapore,2020:631-638.
[2]Ahmed A I A,Ab Hamid S H,Gani A,et al.Trust and reputation forInternet of Things:Fundamentals,taxonomy,and open Research Challenges[J].Journal of Network and Computer Applications,2019,145:102409.
[3]Li X,Slay J,Yu S.Evaluating trust in mobile ad hoc networks[C]//The Workshop of International Conference on.Computational Intelligence andSecurity.2005.
[4]Romman A A,A1-Bahadili H.Performance analysis of the neighborweight trust determination algorithm in MANETs[J].Int J Netw Secur Appl,2016,8(4):29-40.
[5]Xie M,Hu J,Han S,et al.Scalable hypergrid k-NN-based onlineanomaly detection in wireless sensor networks[J].IEEE Transactions onParallel and Distributed Systems,2012,24(8):1661-1670.
[6]Kaplantzis S,Shilton A,Mani N,et al.Detecting selective forwardingattacks in wireless sensor networks using support vector machines[C]//20073rd International Conference on Intelligent Sensors,Sensor Networks andInformation.IEEE,2007:335-340.
发明内容
本发明为解决的技术问题:
本发明的目的是设计一种抵御物联网中CPMA攻击的恶意节点检测框架,以解决在物联网中CPMA攻击问题,提高物联网安全性。
物联网中传统的内部攻击者会按照一定的攻击概率对其转发的数据包发动非目标性攻击。这类攻击模型不但隐蔽性差而且攻击效率低。为此,本发明设计了一种新型的目标性内部攻击模型CPMA攻击。发动CPMA攻击的恶意节点在其大部分的生命周期中遵循物联网通信协议来尽可能隐藏自己的攻击意图,但一旦转发具有特定属性值的数据包时便会发动CPMA攻击。发动CPMA攻击的恶意节点会按照一定的攻击概率恶意操纵具有特定属性值的数据包。
大部分现有的恶意节点检测方法在抵御CPMA攻击时,不但检测性能低而且不能识别恶意节点的攻击模式。为此,本发明设计了一种抵御物联网中CPMA攻击的恶意节点检测框架。本发明在网络中划分检测域,并在各检测域中评估各节点的局部信任值。为了提高检测性能,将节点的信任值评估问题转变为一个多元的线性回归问题。然后,利用回归和聚类算法来探测各检测域中的恶意节点。最后,通过聚合各检测域中的检测结果识别各恶意节点的攻击模式。
本发明为解决其技术问题采用如下技术方案:
为了检测物联网中的恶意节点,本发明提出了一种抵御物联网中CPMA攻击的恶意节点检测框架,主要可分为以下步骤:
(1)向网络中注入报文;
(2)划分检测域,构建各检测域中路径与节点之间的信任模型;
(3)在各检测域中训练机器学习模型评估节点信任值;
(4)利用聚类算法识别各检测域中恶意节点;
(5)优化注包路径并重新向网络中注入报文来强化检测,识别恶意节点的攻击模式。
本发明采用上述技术方案与现有技术相比,具有如下优势:
(1)本发明采用向网络中注入报文并通过基站节点收集报文和执行恶意检测任务,可以有效减轻中转节点的计算和存储负载;
(2)本发明利用加权的回归模型评估各节点的信任值,并将其作为一个特征输入聚类模型中进行恶意节点检测,可以显著提高检测准确率,降低误报率;替换
(3)本发明不但可以检测恶意节点而且可以识别恶意节点的攻击模式。
附图说明
图1是物联网网络模型;
图2是回归与聚类模型;
具体实施方式
(1)向网络中注入报文
对物联网进行建模,并将传感器节点分为三类:源节点,中转节点以及基站节点,如图1。为了收集各中转节点的行为信息,本发明利用一些可信的源节点向网络中注入δ个报文,并通过基站节点收集这些报文。在中转节点路由报文的过程中,可能会有恶意的中转节点对报文进行内部攻击,例如丢弃,篡改或重放报文。待报文到达基站节点后,基站节点便会检测收集到的报文是否被攻击。
(2)构建路径与节点的信任模型
根据各数据包的路由路径,将网络划分为多个检测域并以各检测域为检测单元实行恶意节点检测。基于收集到的各路由路径的数据包信息,基站节点评估各路由路径的信任值。假设路径Pathj=<R1j...Rij...Rβj>,其中Rij为路径Pathj上的第i个中转节点且β为路径Pathj上的中转节点个数。路径Pathj传输的报文总数为γ,其中α个报文被攻击,则路径Pathj的信任值Pathj.另外,再结合一条路径的信任值是该路径上所有中转节点综合作用的结果的事实,本发明形式化每条路径的信任值与该路径上所有节点的信任值之间的关系:Pathj.T=R1j.T×...×Rij.T×...×Rβj.T,其中Rij.T为节点Rij的信任值。
将上式进行对数转换:
不失一般性,整个网络的路径与节点的信任模型构建如下:
其中σ为网络中所有路径的个数。将上述信任模型转化为矩阵形式:
T=[ln R1.T...ln Ri.T...ln Rn.T]。
(3)机器学习模型训练
基于收集到的报文,基站节点评估各路径的信任值Pathj.T。另外,通过分析网络拓扑可获取各节点Ri在各路径Pathj上的存在状态aij(1≤i≤n,1≤j≤σ)。因此,在构建出的路径与节点之问的信任模型中,评估各节点的信任值Ri.T可转变为一个多元线性回归问题。本发明利用回归方法来评估节点的信任值。为此,将Y,X作为回归模型的输入来训练机器学习模型。待训练结束后,输出的回归系数T即为各节点的信任值,如图2所示。
(4)恶意节点识别
节点的信任值越高越可能是良性节点,反之越可能是恶意节点。在计算得到各节点的信任值后,识别恶意节点最直接的方式是设置一个阈值φ。若某个节点的信任值Ri.T>φ,则节点Ri为良性节点,反之Ri为恶意节点。但是如何设置一个合适的阈值φ一直是个挑战。为此,本发明将计算得到的每个节点的信任值Ri.T作为节点Ri.的特征,利用聚类算法将信任值较高的节点和信任值较低的节点区分开,以此来检测恶意节点。但是考虑到节点信任值评估中可能存在误差,本发明并不直接将所有中转节点划分为良性节点组和恶意节点组,而是初始信任值组。未知节点组和初始恶意节点组,如图2所示。
(5)强化检测
为了进一步提高检测性能,我们优化路由路径并向网络中重新注入报文并有目的性地收集节点信息来强化检测。
为此,本发明按照如下要求选择路由路径:
1)新路径含有尽可能少的低信任值节点;
2)新路径至少含有一个中等信任值节点,但该类节点尽可能少;
3)新路径含有尽可能少的节点。
所有被选择的路径组成优化路径集ORPS。本发明通过ORPS再次向网络中注入报文,通过基站节点收集报文并重新评估各路径的信任值以及其置信度。将新计算得到的路径信任以及其置信度重新作为加权的回归模型的输入来训练机器学习模型。待训练完成后,便可得到节点的最终信任值。接着基于计算得到的节点信任值,聚类算法被再次运用将所有中转节点划分为良性节点组和恶意节点组。待各检测域中恶意节点检测完成后,我们将各检测域中的检测结果进行聚合并识别恶意节点的攻击模式。
Claims (5)
1.本发明为一种抵御物联网中CPMA攻击的恶意节点检测框架,其主要技术特性如下:
(1)向网络中注入数据包并基于收集的数据包评估各传输路径的信任值并在网络中划分检测域;
(2)在各检测域中,构建路径与节点信任模型并将节点的信任评估问题转变为一个多元线性回归问题;
(3)在各检测域中,将路径信任值作为回归模型的输入并线性拟合出各节点的初始信任值;并基于计算得到的节点信任值,利用聚类算法进行初步检测;
(4)根据初步的检测结果优化路由路径,并重新向网络中注入数据包强化检测。
2.如权利要求1所述的数据包注入和收集,包括以下内容:
利用源节点向网络中注入数据包,在这些数据包被中转节点路由至基站节点的过程中,相关中转节点的行为信息便会蕴藏于数据包信息中。基于收集到的各路由路径的数据包,基站验证数据包是否受到攻击并利用数据包中的种源信息获取其路由路径信息。基于数据包的路由路径信息在网络中划分多个检测域。各检测域中的数据包含有相同的属性。
3.如权利要求1所述的信任模型构建,包括以下内容:
4.如权利要求1所述的机器学习模型训练,包括以下内容:
本发明在各检测域中,将网络拓扑信息,各路径的信任值以及其置信度作为加权回归模型的输入来训练模型。待训练结束后,输出的回归系数即各节点的初始信任值。基于计算得到的节点信任值,本发明利用聚类算法将节点分为三组:初始良性节点组,未知节点组以及初始恶意节点组。
5.如权利要求1所述的强化检测,包括以下内容:
为了收集更多关于未知节点的行为信息来强化检测,本发明优化路由路径,并利用这些路径重新向网络中注入数据包。通过基站节点收集数据包并重新评估各路径的信任值以及其置信度。将新计算得到的路径信任以及其置信度重新作为回归模型的输入来训练机器学习模型。待训练完成后,便可得到节点的最终信任值。接着,聚类算法被再次运用将各检测域中转节点划分为良性节点组和恶意节点组。接着,聚合各检测的检测结果识别恶意节点的攻击模式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111446200.6A CN116208351A (zh) | 2021-11-30 | 2021-11-30 | 一种抵御物联网中cpma攻击的恶意节点检测框架 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111446200.6A CN116208351A (zh) | 2021-11-30 | 2021-11-30 | 一种抵御物联网中cpma攻击的恶意节点检测框架 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116208351A true CN116208351A (zh) | 2023-06-02 |
Family
ID=86515139
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111446200.6A Pending CN116208351A (zh) | 2021-11-30 | 2021-11-30 | 一种抵御物联网中cpma攻击的恶意节点检测框架 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116208351A (zh) |
-
2021
- 2021-11-30 CN CN202111446200.6A patent/CN116208351A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ullah et al. | A two-level hybrid model for anomalous activity detection in IoT networks | |
Ma et al. | Towards multiple-mix-attack detection via consensus-based trust management in IoT networks | |
Sun et al. | Alert aggregation in mobile ad hoc networks | |
Maleh et al. | A global hybrid intrusion detection system for wireless sensor networks | |
Kumar et al. | Intrusion detection in mobile ad hoc networks: techniques, systems, and future challenges | |
Zhang et al. | A trust based framework for secure data aggregation in wireless sensor networks | |
Liu et al. | A detection framework against CPMA attack based on trust evaluation and machine learning in IoT network | |
Tertytchny et al. | Classifying network abnormalities into faults and attacks in IoT-based cyber physical systems using machine learning | |
Ahmadian Ramaki et al. | Causal knowledge analysis for detecting and modeling multi‐step attacks | |
Zheng et al. | Dynamic network security mechanism based on trust management in wireless sensor networks | |
CN112512003A (zh) | 一种水声传感网中基于长短时记忆网络的动态信任模型 | |
Duhan et al. | Intrusion detection system in wireless sensor networks: A comprehensive review | |
Sundararajan et al. | Biologically inspired artificial intrusion detection system for detecting wormhole attack in MANET | |
Wang et al. | Abnormal traffic detection system in SDN based on deep learning hybrid models | |
Batiha et al. | Design and analysis of efficient neural intrusion detection for wireless sensor networks | |
Liu et al. | Clustering and hybrid genetic algorithm based intrusion detection strategy | |
Li et al. | The application of genetic algorithm to intrusion detection in MP2P network | |
Lv et al. | Achieving secure big data collection based on trust evaluation and true data discovery | |
Gebremariam et al. | Secure Intrusion Detection System for Hierarchically Distributed Wireless Sensor Networks | |
Wang et al. | A light-weighted data trust model in WSN | |
CN116208351A (zh) | 一种抵御物联网中cpma攻击的恶意节点检测框架 | |
Ghugar et al. | NL-IDS: Trust based intrusion detection system for network layer in wireless sensor networks | |
Naveed et al. | Celosia: An Immune-Inspired anomaly detection framework for IoT devices | |
Sahu et al. | A survey on detection of malicious nodes in wireless sensor networks | |
Lu et al. | A hybrid NIDS model using artificial neural network and DS evidence |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |