CN116458185A - 恶意黑洞节点检测和规避 - Google Patents

恶意黑洞节点检测和规避 Download PDF

Info

Publication number
CN116458185A
CN116458185A CN202180054603.8A CN202180054603A CN116458185A CN 116458185 A CN116458185 A CN 116458185A CN 202180054603 A CN202180054603 A CN 202180054603A CN 116458185 A CN116458185 A CN 116458185A
Authority
CN
China
Prior art keywords
node
nodes
malicious
determining
rating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180054603.8A
Other languages
English (en)
Inventor
张乐乐
夏亚军
李传伟
赵立
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of CN116458185A publication Critical patent/CN116458185A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/66Trust-dependent, e.g. using trust scores or trust relationships
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W64/00Locating users or terminals or network equipment for network management purposes, e.g. mobility management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/143Denial of service attacks involving systematic or selective dropping of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种方法包括:使用分配给网络内的节点的评级来识别潜在恶意节点,以及基于检测到的丢弃消息来递减评级以识别潜在恶意节点。基于从网络内的节点获得的位置信息和与潜在恶意节点的可比距离来识别恶意节点。该方法还包括:结束与恶意节点的通信,以及基于多个节点中除了恶意节点之外的任何节点是非恶意的假设来选择新的父节点。

Description

恶意黑洞节点检测和规避
相关申请的交叉引用
本PCT国际申请要求于2020年9月3日提交的第17/011,792号美国申请的优先权权益,其通过引用并入本申请。
技术领域
本公开总体上涉及物联网(IoT)和无线网状网络(WMN)以及无线传感器网络(WSN)。更具体地,本公开涉及对来自低功率有损网络(LLN)内的恶意设备的黑洞攻击的检测和规避。
背景技术
在IoT网络中,包括多个节点的网状网络(WMN或WSN)可以利用低功率有损网络(LLN)技术。LLN包括具有有限的功率、存储器和通过各种链路(例如,电气和电子工程师协会(IEEE)802.15.4或低功率Wi-Fi)互连的处理资源的多个设备。LLN内的节点可以包括多个感测设备,用于感测各个多个节点中的每个节点所处的位置处的至少一个环境事件。在众多其他情况和用例之中,LLN可用于以下情况,包括:例如,工业监视、建筑自动化(供暖、通风和空调(HVAC)、照明、访问控制以及火灾报警和抑制系统等)、联网家庭、医疗保健、环境监视、城市传感器网络、能源管理、资产跟踪、制冷、电气照明和公用事业计量。
在一些实例中,LLN可能遭受拒绝服务攻击,这在本文中被称为“黑洞攻击”。网络中的黑洞是网络中传入和/或传出的流量被丢弃或“扔掉”的位置。在大多数黑洞攻击中,从发送节点传输到“黑洞节点”的数据分组被黑洞节点丢弃,而不会按照预期或指示将数据分组传输到网络内的接收节点。黑洞节点有意不向发送节点和预期节点两者通知,使得数据分组未到达接收节点。以这种方式,黑洞节点是简单地处理网络流量的数据接收器(sink)。此外,黑洞节点在检查例如LLN和LLN的拓扑时在逻辑上是不可见的,并且只能通过监视丢失的流量来检测到。因此,黑洞节点可能是对LLN实施拒绝服务攻击的恶意和有害手段。
附图说明
下面参考附图来阐述详细描述。在附图中,附图标记的最左边的(一个或多个)数字表示附图标记首次出现的附图。在不同附图中使用相同的附图标记表示相似或相同的项目。在附图中描绘的系统未按比例绘制,并且在附图中的组件可能彼此未按比例绘制。
图1示出了根据本文所述的原理的示例的检测恶意节点的示例无线传感器网络(WSN)的系统架构图。
图2示出了根据本文所述的原理的示例的检测恶意节点的示例WSN的系统架构图。
图3示出了根据本文所述的原理的示例的示例WSN的系统架构图,该示例WSN在第一层级处移除到恶意节点的链路并且创建到其他节点的新链路。
图4示出了根据本文所述的原理的示例的示例WSN的系统架构图,该示例WSN在第二层级处移除到恶意节点的链路并且创建到其他节点的新链路。
图5是根据本文所述的原理的示例的检测节点的示例组件的组件图。
图6示出了根据本文所述的原理的示例的用于识别WSN中的潜在恶意节点的示例方法的流程图。
图7示出了根据本文所述的原理的示例的用于识别WSN中的潜在恶意节点的示例方法的流程图。
图8示出了图示数据中心的配置的计算系统图,该数据中心的配置可以用于实现本文公开的技术的各方面。
图9示出了显示示例计算机硬件架构的计算机架构图,该示例计算机硬件架构用于实现可用于实现本文呈现的各种技术的各方面的计算设备。
具体实施方式
概述
在独立权利要求中阐述了本发明的各方面,并且在从属权利要求中阐述了优选特征。一个方面的特征可以单独地或与其他方面结合地应用于任何方面。
本公开描述了用于识别WSN或类似网络内的恶意节点的技术。此外,本公开描述了用于将恶意节点识别为黑洞节点的技术。更进一步,本文所述的技术包括将一个或多个节点与黑洞节点通信地解除关联,以消除到黑洞节点的数据分组的丢失,而是将数据分组传输到预期的接收节点。本文所述的系统和方法的目的可以发现在WSN的现场部署中经历的一个或多个悖论的成因。
首先,数据链路层(例如,由国际标准化组织(ISO)定义的开放系统互连(OSI)模型的层2)的链路质量可能足以在WSN 100中的节点104之间传输数据分组,但是可能存在异常大量的上层重传。在这种情况下,预期的传输计数(ETX)可能就足够了。低功率有损网络的路由协议(RPL)支持路由度量或约束的以下子集和聚合度量:(1)路由度量,例如,节点104之间的链路的ETX、节点104之间的链路的时延、和有向无环图(DAG)等级;以及(2)路由约束,例如,节点状态和属性(NSA)、节点104的节点能量。ETX度量可以被定义为节点104期望到达目的地(例如,另一节点104或边界路由器102)以成功传递数据分组的传输次数,并且可以使用公式来计算,其中,Df是分组被邻居接收到的测量概率,并且Dr是确认分组被成功接收到的测量概率。即使网络内发生拥塞,重传也不会异常丰富。基于RPL,只要一个节点104具有良好的链路质量和/或(一个或多个)路由条件,即使子节点104和父节点之间有很多分组丢弃,子节点104也可能不将其数据传输调整到新的父节点。这导致难以从恶意节点104-6的黑洞攻击恢复的情况,因为当恶意节点104-6向其他节点104通告其路由度量已足够时,恶意节点104-6连续广播虚假信息。例如,在图1中,恶意节点104-6可以声称(例如,广播信息)它是来自边界路由器102的第一跳节点,其相对于其他节点104而言具有较低的个人局域网(PAN)成本,以便吸引来自节点104的传输。然而,实际上,恶意节点104距边界路由器102至少三跳。如果包括节点104-3、节点104-4、节点104-5和/或104-8的其他节点104知道恶意节点104-6的真实定位位置时,这些节点104可以较容易地识别恶意节点104-6。
本文所述的示例提供了一种设备,该设备包括:一个或多个处理器,以及一个或多个存储指令的非暂时性计算机可读介质,该指令在由一个或多个处理器执行时使一个或多个处理器执行操作,操作包括:将第一评级分配给网状网络内的多个节点,以及确定发送到第一节点的多个消息的丢弃数。操作还包括:至少部分地基于确定在一段时间内已丢弃的多个消息的数量,使分配给第一节点的第一评级递减,确定分配给第一节点的第一评级是否下降到评级阈值以下,以及至少部分地基于确定第一评级下降到评级阈值以下,指示第一节点是潜在恶意节点。
操作还包括:针对第一节点的第一位置信息将第一请求发送到第一节点,针对至少第二节点的第二位置信息将第二请求发送到至少第二节点,从第一节点接收第一节点的第一位置信息,从至少第二节点接收至少第二节点的第二位置信息,确定到第一节点的第一距离是否大于由到至少第二节点的第二距离定义的距离阈值,以及至少部分地基于确定到第一节点的第一距离大于距离阈值,识别第一节点是恶意节点。
操作还包括:结束与第一节点的通信,以及基于多个节点中除了第一节点之外的任何节点是非恶意的假设来从多个节点中除了第一节点之外的任何节点选择新的父节点。网状网络是无线网络、无线网状网络或无线传感器网络。操作还包括:确定在到第一节点的网络路由内是否存在中间节点,以及至少部分地基于确定在到第一节点的网络路由内存在中间节点,指示中间节点执行上述操作。距离阈值是至少第二节点的无线通信距离的半径的两倍。操作还包括:向多个节点中的至少第三节点或网络控制设备报告第一节点是恶意节点。
本文所述的示例提供了一种方法,该方法包括:确定发送到多个节点的网状网络内的第一节点的多个消息的丢弃数,以及至少部分地基于确定在一段时间内已丢弃的多个消息的数量,使分配给第一节点的第一评级递减。该方法还包括:确定分配给第一节点的第一评级是否下降到评级阈值以下,以及至少部分地基于确定第一评级下降到评级阈值以下,指示第一节点是潜在恶意节点。
该方法还包括:针对第一节点的第一位置信息将第一请求发送到第一节点,针对至少第二节点的第二位置信息将第二请求发送到至少第二节点,从第一节点接收第一节点的第一位置信息,以及从至少第二节点接收至少第二节点的第二位置信息。该方法还可以包括:确定到第一节点的第一距离是否大于由到至少第二节点的第二距离定义的距离阈值,以及至少部分地基于确定到第一节点的第一距离大于距离阈值,识别第一节点是恶意节点。
该方法还包括:结束与第一节点的通信,以及基于多个节点中除了第一节点之外的任何节点是非恶意的假设来从多个节点中除了第一节点之外的任何节点选择新的父节点。该方法还包括:确定在到第一节点的网络路由内是否存在中间节点,以及至少部分地基于确定在到第一节点的网络路由内存在中间节点,指示中间节点执行上述方法。距离阈值是至少第二节点的无线通信距离的半径的两倍。
该方法还包括:向多个节点中的至少第三节点或网络控制设备报告第一节点是恶意节点。第一位置信息和第二位置信息是通过如下算法中的至少一者来确定的:距离矢量跳(DV-Hop)算法、近似三角形内点(APIT)算法、或质心定位算法。
本文所述的示例提供了一种存储指令的非暂时性计算机可读介质,该指令在被执行时使一个或多个处理器执行以下操作,包括:确定发送到多个节点的网状网络内的第一节点的多个消息的丢弃数,以及至少部分地基于确定在一段时间内已丢弃的多个消息的数量,使分配给第一节点的第一评级递减。操作还包括:确定分配给第一节点的第一评级是否下降到评级阈值以下,以及至少部分地基于确定第一评级下降到评级阈值以下,指示第一节点是潜在恶意节点。操作还包括:针对第一节点的第一位置信息将第一请求发送到第一节点,针对至少第二节点的第二位置信息将第二请求发送到至少第二节点,从第一节点接收第一节点的第一位置信息,以及从至少第二节点接收至少第二节点的第二位置信息。该方法还包括:确定到第一节点的第一距离是否大于由到至少第二节点的第二距离定义的距离阈值,以及至少部分地基于确定到第一节点的第一距离大于距离阈值,识别第一节点是恶意节点。
操作还包括:在确定发送到多个节点中的第一节点的多个消息的丢弃数之前,将第一评级分配给网状网络内的多个节点。操作还包括:结束与第一节点的通信,以及基于多个节点中除了第一节点之外的任何节点是非恶意的假设来从多个节点中除了第一节点之外的任何节点选择新的父节点。操作还包括:确定在到第一节点的网络路由内是否存在中间节点,以及至少部分地基于确定在到第一节点的网络路由内存在中间节点,指示中间节点执行上述操作。操作还包括:向多个节点中的至少第三节点或网络控制设备报告第一节点是恶意节点。多个节点包括感测设备,以感测多个节点所处的位置处的至少一个环境事件,并且网状网络包括低功率有损网络(LLN)。
此外,本公开中描述的技术可以作为方法执行和/或由具有存储计算机可执行指令的非暂时性计算机可读介质的系统来执行,该计算机可执行指令在由一个或多个处理器执行时执行上述技术。
示例实施例
如上所述,LLN可以包括被设置为例如网状网络(例如,无线网状网络(WMN)或无线传感器网络(WSN))的多个节点。术语WSN在本文中将作为示例被用作网络拓扑。然而,本文所述的系统和方法适用于任何类型的网络。此外,术语“网状网络”将在本文中用于描述附图中描绘的网络的拓扑。然而,任何类型的网络拓扑可以被应用在本系统和方法中。如本说明书和所附权利要求书中所使用的,术语“网状网络”被广泛地理解为本地网络拓扑,其中,基础设施节点(即,网桥、交换机和其他基础设施设备)直接、动态地并且非分层地连接到任何数量的其他节点,并相互协作以高效地路由数据。在一些示例中,这些节点可以耦合到多个其他节点,从而实现了缺乏对一个节点的依赖性,以允许每个节点参与信息的中继。在一个示例中,网状网络内的给定节点可以通信地耦合到单个节点,使得可以在两个节点之间形成父/子关系。在一个示例中,网状网络可以通信地耦合到多个节点104,使得数据可以被传输到一个或两个节点。在本文所述的示例中,节点可以动态地自组织和自配置,以提供安装开销的减少。自配置的能力使得能够在几个节点发生故障的情况下动态分配工作负载,或在本上下文中,沿着节点和边界路由器或其它最终目的地节点/路由器之间的通信路径检测恶意节点。这进而通过允许节点从恶意节点移除其依赖性并重新配置自身以将数据传输到充当其新的父节点的另一节点而有助于容错和降低维护成本。尽管术语WSN将用于描述本文所述的网络拓扑以向系统和方法提供上下文,但是可以采用包括本文所述的网状网络特性的任何网络拓扑。此外,在一个示例中,WSN的拓扑可以包括多跳无线网状网络。
边界路由器、网关路由器、或另一设备可以最终通信地耦合到WSN内的节点。边界路由器充当WSN和另一网络之间的网桥。这使数据能够由相对于WSN内的节点具有更多资源的设备(例如,位于远程的服务器)存储和处理。主要用于低功率设备的无线广域网可以被称为低功率广域网(LPWAN)。因此,本文所述的WSN还可以包括低功率有损网络(LLN)的一个或多个特性。
如在本说明书和所附权利要求书中所使用的,术语“低功率有损网络(LLN)”被广泛地理解为其中路由器(例如,节点)及其互连受到限制的任何类型的网络。LLN内的节点(例如,本文所述的那些节点)可以在处理功率、存储器和能量(例如,电池功率)的约束下操作。节点的互连可能具有高丢失率、低数据率和不稳定的特性。LLN由几十个到数千个传感器/路由器组成。被支持的流量流包括点对点(LLN内部设备之间)、点对多点(从中央控制点到LLN内部设备的子集)和多点对点(从LLN内部的设备到中央控制点)。本文所述的本系统和方法可以将IPv6路由协议用于低功率有损网络(RPL)。RPL提供了一种机制,通过该机制从LLN内部的设备到中央控制点的多点对点流量以及从中央控制点到LLN内部的设备的点对多点流量可以被支持。还支持点对点流量。
WSN内的节点可以是空间分布的自主传感器,以监视诸如温度、声音和压力之类的物理条件或环境条件,以及众多其他环境条件。WSN内的节点将它们的数据通过网络协作地传递到包括边界路由器的主要位置。在一个示例中,WSN可以是双向的,从而允许实现对传感器活动的控制。WSN可以用于众多用例和情况,包括:例如,战场监控,工业过程监视和控制,机器健康监视,自主和半自主公用事业和机器的区域限定,植入式、可穿戴和环境嵌入式医疗设备(例如,人体区域网络),空气污染监视,森林火灾检测,滑坡检测,水质监视,自然灾害监视与预防等。
与大多数网络类型一样,WSN可能会遭受拒绝服务攻击。如上所述,WSN可能遭受的一种此类拒绝服务攻击是黑洞攻击。当恶意节点被放置在距WSN内任何一个合法节点的通信距离之内,或WSN内的原始节点中的一个原始节点在安全性方面受损并且被用作恶意节点时,可能会发生对此类攻击的检测和纠正。
恶意节点例如通过使用被盗密钥(例如,组临时密钥(GTK))来访问WSN。一旦密钥允许恶意用户访问该恶意节点,用户就可以指示该恶意节点向WSN内的一个或多个合法节点进行广播,并且将自己通告为具有高链路质量(例如,低分组丢弃率)、良好路由成本(例如,在拓扑和/或物理上接近边界路由器、接收器节点、根节点等)和低时延以及与WSN内的数据传输有关的WSN内的其他效率的优选父节点。因此,恶意用户可能使许多节点接受恶意节点作为父节点并且将它们的网络流量发送到该恶意节点。因此,本文所述的本系统和方法的目的是检测和规避WSN内的恶意节点(或以其他方式使之不可操作或无关紧要)。
现在将在下面参考附图较全面地描述本公开的某些实施方式和示例,在附图中示出了各个方面。然而,各个方面可以以许多不同的形式实现,并且不应被理解为限于本文阐述的实施方式。例如,虽然示出了若干个示例性附图以示出WSN或LLN,但是可以设想到本文所述的技术可应用于其他类型的网络拓扑和通信协议。如本文所述,本公开涵盖示例的变型。相同的附图标记始终表示相同的元素。
图1示出了根据本文所述的原理的示例的检测恶意节点104-6的示例无线传感器网络(WSN)100的系统架构图。WSN 100可以包括任何数量的节点104-1、104-2、104-3、104-4、104-5、104-6、104-7、104-8、104-9、104-10、104-11、104-12、104-13、104-N,其中N是大于或等于1的任何整数(除非另外具体指出,否则在本文中统称为节点104)。节点104可以包括例如能够监视和记录环境的任何(一个或多个)物理条件并且将收集到的数据存储和/或传输到中心位置(例如,边界路由器102)的任何设备。如本文所述,节点104还可以在众多应用中测量环境条件,例如,温度、声音、污染级别、湿度、风以及众多其他环境特性。在一个示例中,节点104经由无线通信技术彼此通信。该无线通信技术可以包括:例如,通常被称为无线技术标准(包括/>低功耗(BLE)标准)的IEEE 802.15.1标准化无线通信、近场通信(NFC)技术标准、通常被称为Wi-FiTM的IEEE 802.11a、b、g、n、ac、ax标准中的任何一个标准、蜂窝数据服务标准、低功率广域网(LPWAN)通信标准、低功率无线个人局域网上的IPv6(6LoWPAN)通信标准、其他无线通信技术及其组合。
节点104可以在空间上分布在由WSN 100服务的物理区域内,使得每个节点104能够在WSN 100内的其自身的区域中检测(一个或多个)环境特性。每个节点104可以包括无线电收发器,该无线电收发器具有内部天线或到外部天线的连接以与WSN 100中的至少一个其他节点104和/或边界路由器102通信。每个节点104还可以包括处理设备(例如,微控制器),以及用于提供存储数据并且将数据传输到其他节点104的电子电路。节点104还可以包括能量源,例如,电池或嵌入式形式的能量收集(例如,光伏设备)。随着节点104的功能、大小和成本的变化,对节点104的资源(例如,能量、存储器、计算速度和通信带宽)的约束也随之变化。
边界路由器102可以包括在WSN 100内,并且最终通信地耦合到WSN 100内的节点。边界路由器102充当WSN 100和许多其他网络106之间的网桥。因此,由节点104收集到的数据可以被引导到边界路由器102,并且边界路由器102可以将该数据发送到WSN 100内的另一设备上,例如,位于远程的服务器上。这使得收集到的数据能够由相对于WSN 100内的节点104具有更多资源的设备存储和处理,并且允许用户寻求最终的数据处理。在一个示例中,边界路由器102可以是可以在IoT网络内起作用的任何路由器。在一个示例中,边界路由器102可以是与IEEE 802.15.4标准兼容的基于互联网协议版本6(IPv6)的低功率个人局域网(6LoWPAN)路由器。在一个示例中,IP不计算路由,并且路由的计算由路由协议执行以维护路由器中的路由表。6LowPAN路由器可以利用网络(例如,IPv6)和数据链路层(例如,IEEE802.15.4MAC)之间的适配层来分段和重组IPv6分组。
本文所述的示例中的节点104-6是由其他节点104识别为恶意节点的恶意节点,并且通过施加到节点104-6的灰度级被这样指示。节点104-6在本文中可以被称为恶意节点104-6。尽管在整个说明书中恶意节点104-6被称为恶意节点104-6,但是最初,WSN 100中的节点104并不知道恶意节点104-6实际上是恶意的黑洞节点。通过应用本文所述的技术,节点104可以将恶意节点104-6识别为黑洞节点,并且可以采取动作来规避恶意节点104-6。
恶意节点104-6可以是被恶意用户入侵以使节点104-6在WSN 100内执行黑洞攻击的任何设备。因此,恶意节点104-6可以被称为黑洞节点。在一个示例中,恶意节点104-6可能已经遭受了由试图恶意对WSN 100执行黑洞攻击的个体使用被盗密钥(例如,组临时密钥(GTK))进行的黑客攻击。在该示例中,恶意个体可以对节点104-6进行重新编程,以使从其他节点104传输至恶意节点104-6的数据分组被丢弃,而无需将数据分组传输到预期设备(例如,边界路由器102)上。在另一示例中,恶意节点104-6可以是由恶意个体使用被盗密钥引入到WSN 100中的设备。无论在WSN 100内引入恶意节点104-6的方式如何,本系统和方法都试图识别恶意节点104-6并且规避WSN 100内的恶意节点104-6(或以其他方式使之不可操作或无关紧要),以允许数据分组经由其他未被入侵的节点104到达边界路由器102。
现在将结合图1至图4描述对WSN 100内的恶意节点104-6的检测和规避。从图1开始,并且作为示例,节点104-4和节点104-5可以试图将表示由WSN 100内的节点104收集到的物理或环境条件的数据分组发送到边界路由器102。为了使WSN 100内的许多节点104接受恶意节点104-6作为父节点并且将它们的网络流量发送到恶意节点104-6,恶意节点104-6可以将自己通告为优选父节点。例如,恶意节点104-6可以通告其具有高链路质量,例如,具有低分组丢弃率。此外,恶意节点104-6可以通告其具有良好的路由成本,例如,在拓扑上靠近边界路由器102(边界路由器是数据分组的最终目的地),通过到边界路由器102的跳数的方式相对地靠近边界路由器102,和/或在物理上靠近边界路由器102。更进一步地,恶意节点104-6可以通告其具有低延时。恶意节点104-6可以通告与WSN内的数据分组的传输有关的WSN内的其他效率,而不管恶意节点104-6是否能够实现这些效率。因为恶意节点104-6可以通过这种方式进行通告,所以恶意用户可能使许多节点104接受恶意节点104-6作为父节点,并且将它们的网络流量发送到恶意节点104-6。
在图1的示例中,节点104-3、节点104-4、节点104-5和节点104-8已接受恶意节点104-6作为它们的父节点。此外,相对于恶意节点104-6,节点104-1和节点104-2是孙节点,因为它们分别通信地耦合到节点104-3和节点104-4。以这种方式,充当黑洞节点的恶意节点104-6能够丢弃从包括子节点和孙节点的WSN 100内的若干个节点104传输的数据分组。尽管在图1中仅有子节点和孙节点被描绘为利用恶意节点104-6来传输数据分组,但是在叶节点(例如,没有子节点的WSN 100内的节点104)和恶意节点104-6之间可以存在任意数量的节点104。
检测恶意节点:
WSN 100内的节点104可以通过以下方式来检测恶意节点104-6的存在:将最高可能的评级分配给网状网络(例如,WSN 100)内的多个节点104并且确定发送到第一节点的多个消息的丢弃数。当从孙节点的角度看时,第一节点可以是恶意节点104-6或中间节点。至少部分地基于确定在一段时间内已丢弃的多个消息的数量,可以下降或降低分配给第一节点的第一评级。此外,节点104确定分配给第一节点的第一评级是否下降到评级阈值以下,并且至少部分地基于确定第一评级下降到评级阈值以下,指示第一节点是潜在恶意节点。
在本说明书全文中,节点104(除了恶意节点104-6之外)单独地起作用并且单独地负责识别和规避恶意节点104-6。因此,在本文所述的示例中,除了恶意节点104-6之外的任何给定节点104都可以单方面执行/处理本文所述的方法,而无需从设备(例如,WSN 100内的控制节点或其他处理设备)接收指令。在一个示例中,各个节点104通过执行机载软件和/或固件来执行本文所述的技术。这确保了WSN 100中没有其他节点或设备可以用来在节点104试图识别和规避恶意节点104-6时影响节点104。这允许可用于节点104的一定程度的自主权。在图1至图6的示例中,节点104-1、节点104-2、节点104-3、节点104-4、节点104-5和/或节点104-8可以被包括来作为执行对恶意节点104-6的检测和规避的节点。执行本文所述的检测和规避技术的节点104可以被称为检测节点104。
关于将最高可能的评级分配给网状网络(例如,WSN 100)内的多个节点104,检测节点104可以将最高评级或得分单独地分配给WSN 100内包括恶意节点104-6的所有其他节点。在一个示例中,最高得分可以包括由检测节点104利用的点系统内的最高值,例如,在100个可用点中的100个点。在一个示例中,最高得分可以包括在由检测节点104利用的百分比系统内的100%的值。在任何示例中,检测节点104将最高可能的评级或得分分配给WSN100内的其他节点104中的每个节点104的目的是允许检测节点104假设所有其他节点104在被证明是恶意之前不是恶意的。鉴于在WSN 100内存在非常大量的节点104(例如,数百或数千个节点104)并且不太不可能有多个节点104被入侵(如果有的话),可以假设在WSN 100内绝大多数节点104是非恶意的、未被入侵的并且是可信赖的和可靠的。例如,可以假设单个节点在一千个节点(例如,所有节点104的0.1%)中可以被确定是恶意的。每个节点104的目的是确定父节点或边界路由器102上游的节点是否是恶意节点,例如,节点104-6。因此,任何节点104(除了恶意节点104-6之外)都可以是检测节点104,并且可以单独执行本文所述的方法。
检测节点104可以确定从检测节点104发送到恶意节点104-6的多个消息的丢弃数以将恶意节点104-6检测为黑洞设备。例如,在检测节点104和恶意节点104-6之间的通信期间,检测节点104可以发送包括层2(L2)部分和层3(L3)部分的双层消息。L2部分可以包括介质访问控制(MAC)协议消息,除其他数据之外,MAC协议消息还定义了WSN 100内的目的地(例如,恶意节点104-6和/或边界路由器102)的地址。L3部分可以包括数据分组和定义边界路由器102的地址的数据。
恶意节点104-6可以将L2确认(ACK)消息发送到检测节点104,以向检测节点104指示恶意节点从检测节点104接收到了该消息。通过这种方式,恶意节点104-6使检测节点104相信恶意节点104-6接收到该数据分组并且相应地处理了该数据分组,包括将数据分组上游发送到边界路由器102。实际上,执行黑洞攻击的恶意节点104-6丢弃数据分组,而不将数据分组传输到边界路由器102上。
然而,由于L3 ACK消息来自边界路由器102,因此恶意节点104-6不能发送L3 ACK。此外,边界路由器102未发送L3 ACK,因为边界路由器102从不从恶意节点104-6接收由检测节点104发送的数据分组。因此,响应于向上游发送出数据分组,检测节点104将从不会接收L3 ACK消息。在检测节点104未接收L3 ACK的实例中,检测节点104可以识别诸如指示恶意节点104-6位于检测节点104和边界路由器102之间之类的缺陷。这里注意到的事实是,恶意节点104-6可以是来自检测节点104的一个或多个跳,使得检测节点104是恶意节点104-6的子代、孙代等。
至少部分地基于检测节点104检测到L3 ACK消息未被接收到的实例,检测节点104可以确定这样的实例是上游节点(例如,恶意节点104-6和/或任何中间节点104)已经丢弃了数据分组的结果,并且可以使最高可能的评级递减到相对较低的评级(例如,小于100%或小于100点)。例如,一旦检测节点104检测到丢弃消息的第一实例,则检测节点104可以使评级从100递减到99,并且任何随后的实例可以使评级递减1点。然而,本文所述的示例可以在递减评级时遵循任何评级降低安排。
在一个示例中,评级可以基于一段时间内数据分组丢弃数。在该示例中,检测节点104可以确定在一段时间内是否检测到预定的分组丢弃数。如果在一段时间内发生了预定的分组丢弃数,则检测节点104可以使评级递减。
此外,在一个示例中,检测节点104可以在整个操作中周期性地执行上述检测过程。在该示例中,检测节点104可以利用定时器来确定检测节点104何时执行检测过程以检测数据分组的丢弃。
然后,检测节点104可以确定评级是否下降到评级阈值以下。评级阈值可以是预定的或用户定义的。如上所述,至少部分地基于确定评级不低于评级阈值,检测节点104可以返回以识别数据分组的丢弃并且递减评级。至少部分地基于确定评级已经下降到评级阈值以下,检测节点104可以指示恶意节点104-6是潜在恶意节点。
具体地,转到恶意节点104-6的孙节点正在执行上述检测过程的实例,由节点104-2(恶意节点104-6的孙节点和节点104-4的子节点)执行的过程可以是示例性的。当节点104-2执行上述检测过程时,它将确定(1)节点104-4不是恶意节点;或(2)在节点104-4上游的某个地方存在恶意节点104-6,并且基于节点104-4知道上游存在恶意节点104-6的相同原因来作出该确定。节点104-2可以将指示节点104-2相信节点104-4是恶意节点的标识消息中继到节点104-4。节点104-4可以从节点104-2接收标识消息,并且标识消息的接收可以触发节点104-4对节点104-4上游的节点(包括恶意节点104-6)执行其自身的恶意节点检测过程。通过此方式,恶意节点104-6的检测可以被迭代地移动到较靠近恶意分组丢弃的实际源。
识别恶意节点:
一旦检测节点104已将恶意节点104-6检测为潜在恶意节点,检测节点104就可以执行过程以确定恶意节点104-6实际上否是是恶意的(例如,是黑洞节点)。因此,检测节点104执行初步检测操作以及次级识别操作,该初步检测操作如上所述检测丢弃的数据分组,该次级识别操作用于清楚地识别恶意节点104-6。图2示出了根据本文所述的原理的示例的检测恶意节点的示例WSN的系统架构图200。为了具体地识别恶意节点104-6,检测节点104可以向潜在的恶意节点(例如,恶意节点104-6)请求相对于检测节点104的位置信息。在本文所述的示例中,节点104-2可以请求节点104-4的位置信息,并且节点104-4可以请求恶意节点104-6的位置信息。位置信息可以包括例如笛卡尔坐标作为其在WSN 100中的位置。如图1至图4所示,笛卡尔坐标可以采取与每个节点相关联的(xx,yy)的形式,并且分别标记为节点104-1到104-N的A坐标到N。在示例中,在节点104-2、节点104-4和恶意节点104-6的坐标可以分别是B(xb,yb)、D(xd,yd)和F(xf,yf)。如本文所述,可以为节点104的其余部分确定类似的坐标。为了确定这些坐标,检测节点104可以执行多种算法,包括例如距离矢量跳(DV-Hop)算法、近似三角形内点(APIT)算法、质心算法、其他算法及其组合。
DV-Hop算法可以是基于距离确定WSN 100内的数据分组的最佳路由的任何算法。由DV-Hop算法利用的距离矢量路由协议测量检测节点104和另一目标节点(例如,恶意节点104-6、边界路由器102和/或WSN 100内的任何其它节点104)之间的距离,该距离是数据分组传递到目标节点的节点数,其中一个节点计数为一跳。在一个示例中,WSN 100内的节点104可以以例如包括跳数和可能的其他流量信息的路由表的形式彼此交换信息。距离矢量路由协议可以利用例如Bellman-Ford算法和/或Ford-Fulkerson算法来计算WSN 100内的最佳路由。术语“距离矢量”是指协议操纵到网络中其他节点的距离的矢量(阵列)的事实。使用距离矢量路由协议的节点104确定它们和目的地之间的距离,并且可以如上所述和如图1所示的以(xx,yy)的形式呈现这样的距离测量。例如,DV-Hop算法可以借助由节点通过网络传播的校正因子将多跳链路中检测到的跳数转换为例如以米为单位的距离,假设N个节点104可用,并且节点104完全了解它们自己的位置和网络中所有其他节点104的位置,使得它们可以计算彼此之间的所有真实欧几里得(Euclidian)距离。然后,如果第i个和第j个节点经由多跳链路建立通信路径,则它们将能够将路由中的跳数Mij与它们之间的实际距离dij相关联,以找到对应于每跳的米数的校正因子,如下所示:
如果WSN 100中的每个节点104与所有其它节点104(或它们的子集)建立多跳链路,则总平均校正因子可以被获得并且广播到WSN 100中的所有节点104。
在一个示例中,可以利用APIT算法来确定WSN 100内的节点104的坐标。APIT算法是使用来自节点104的信标传输的非本地化迭代算法。APIT算法利用基于区域的方法通过将环境隔离到节点104之间的三角形区域中来执行位置估计。节点在三角形区域之内或之外的存在允许该节点缩小其可能驻留的区域。通过使用节点104的位置的组合,可以减小节点104驻留的估计区域的直径以提供精确的位置估计。可以在节点104的不同三元组中重复APIT算法利用的该三角形内点(PIT)测试,直到耗尽所有组合或达到要求的精度为止。APIT算法可以计算节点104驻留在其中的所有三角形的交点的重心(CoG),以确定其估计位置。
在一个示例中,可以利用质心算法来确定WSN 100内的节点104的坐标。质心算法不使用任何类型的信号测量来推断节点104之间的距离或到达角度(AoA)信息。例如,对于在坐标为(xi,yi)(i=1...N)的N个节点104附近的检测节点104,节点104传送并且传输它们的坐标点。在接收到其他节点的坐标点之后,检测节点104可以估计其自身的位置作为那些点的质心。可以如下计算节点104的质心的坐标:
质心算法是非本地化分布式方案,其中检测节点104需要在N个节点104的附近。如果最初在检测节点104附近不存在节点,则可能需要迭代节点传播。
如图2所示,可以使用上述DV-Hop算法、APIT算法、质心算法、其他算法和其组合来识别包括检测节点104、恶意节点104-6和任何相邻节点104的节点104的笛卡尔坐标。注意,充当黑洞节点的恶意节点104-6可能广播错误的路由信息,从而导致恶意节点104-6的坐标也不正确。恶意节点104-6下游的任何节点104也将具有不正确的路由和坐标信息,因为它们相应的坐标取决于恶意节点104-6的不正确坐标。然而,在WSN 100内,恶意节点104-6下游的多个节点104可以能够通信地到达与恶意节点104-6无关的其他节点104,例如,节点104-13、节点104-11、节点104-7、节点104-9和104-N。例如,节点104-3可以能够与节点104-13、节点104-11和节点104-7通信。类似地,节点104-8可以能够与节点104-7、节点104-9、和104-N通信。因此,一旦节点104的位置被确定,检测节点104就可以计算其所有邻居的坐标以及其自己的坐标。除了其他类型的信息之外,检测节点104还可以检测来自其邻居的信息,例如,接收到的信号强度指示符(RSSI)、到达时间(ToA)值、到达时间差(TDoA)值、到达角(AoA)值、跳大小、跳数、节点的分配评级或得分、以及ETX值。
再次,因为可以假设WSN 100内的恶意节点(例如,黑洞节点)的数量很小,所以检测节点104的邻居可能不是恶意节点。例如,包括节点104-13、节点104-11和节点104-7的节点104-3的邻居可能不是恶意的。对于节点104-1、节点104-2、节点104-4、节点104-5和节点104-8的邻居,情况可能类似地成立。在图2中,R是节点104的无线通信的覆盖范围的半径,该半径定义了节点104可以彼此通信的距离。检测节点104可以使用检测到的恶意节点104-6和邻近节点104的位置来确定其位置是否正确。检测节点104可以使用以下等式来确定检测节点与邻近节点104和恶意节点104-6之间的距离。
因为恶意节点104-6将错误的信息(包括错误的坐标或位置信息)提供到其他节点104,所以,如上所述,检测节点104的坐标也不正确。因此,在节点104-3是检测节点的示例中,因为节点104-3基于由恶意节点104-6提供的错误坐标信息来确定其位置,所以检测节点104-3节点可以确定未受黑洞攻击影响的邻居节点104(例如,不在恶意节点104-6下游)和其自身之间的距离可以大于距离阈值,例如,2*R。例如,基于图2所示的物理拓扑,很明显,检测节点104-3在例如节点104-13、节点104-11和节点104-7的通信范围内。假设检测节点104-3知道相邻节点与其自身之间的距离小于2*R的距离,如图2所示,检测节点104-3可以确定恶意节点104-6实际上是恶意黑洞节点。
尽管在以上示例中将节点104-3用作检测节点104,但是节点104-1、节点104-2、节点104-4、节点104-5和/或节点104-8中的任何一个都可以是检测节点。本质上,恶意节点104-6下游的任何节点104都可以充当检测节点,并且直接或间接发现WSN中的哪个节点是恶意节点104-6。
一旦检测节点104识别了恶意节点104-6,就可以采取动作来规避恶意节点104-6,使得检测节点104及其任何子节点不再经由恶意节点104-6将数据分组发送到边界路由器102。图3示出了根据本文所述的原理的示例的示例WSN 100的系统架构图,该示例WSN 100在第一层级处移除到恶意节点104-6的链路并且创建到其他节点104的新链路。图4示出了根据本文所述的原理的示例的示例WSN 100的系统架构图,该WSN 100在第二层级处移除到恶意节点104-6的链路并且创建到其他节点104的新链路。为了规避恶意节点104-6,检测节点104可以确定:因为其父节点是恶意节点104-6(例如,黑洞节点),所以检测节点104-3还可以假设WSN 100内的所有其他节点都是非恶意节点。因此,检测节点104可以选择除了恶意节点104-6之外的节点104作为新的父节点。在节点104-3是检测节点的一个示例中,检测节点104-3可以开始与节点104-13、节点104-11或节点104-7中的一个节点通信以作为其替换恶意节点104-6的新的父节点。类似地,在节点104-8是检测节点的示例中,检测节点104-8可以开始与节点104-7、节点104-9或节点104-N中的一个节点通信以作为其替换恶意节点104-6的新的父节点。在恶意节点104-6和节点104-3与节点104-8两者之间的具有大虚线的箭头302指示那些链路正被切断或移除,使得节点104-3和节点104-8将不再与恶意节点104-6通信。此外,在节点104-3和节点104-13之间的具有小虚线的箭头304指示节点104-3选择节点104-13作为节点104-3的新的父节点并且开始节点104-13和节点104-3之间的通信。类似地,在节点104-8和节点104-9之间的具有小虚线的箭头304指示节点104-8选择节点104-9作为节点104-8的新的父节点并且开始节点104-9和节点104-8之间的通信。通过这种方式,第一层的节点可以切断与恶意节点104-6的通信。
以类似的方式并且如图4所示,诸如节点104-2、节点104-4和节点104-5之类的第二级节点可以开始切断与恶意节点104-6的通信并且创建与WSN 100内的其他节点104的新的通信链路。因为节点104-2、节点104-4和节点104-5不是不在恶意节点104-6下游的节点104的邻居,所以节点104-2、节点104-4和节点104-5必须依赖于自身已停止与恶意节点104-6通信的节点104。因此,在节点104-2、节点104-4和节点104-5可能能够具有不在恶意节点104-6下游的相邻节点之前,节点104-2、节点104-4和节点104-5可能必须等待,直到节点104-3和104-8等节点104首先切断与恶意节点104-6的通信并且开始与非下游节点104通信。例如,节点104-4可以切断其与恶意节点104-6的通信链路,如恶意节点104-6和节点104-4之间的大虚线的箭头402所示,并且开始与节点104-3的通信,如节点104-4和104-3之间的小虚线的箭头404所示。这是可能的,因为相对于恶意节点104-6,节点104-3现在是非下游节点,并且相对于节点104-4是邻居节点。类似地,节点104-5可以切断其与恶意节点104-6的通信链路,如在恶意节点104-6和节点104-5之间的大虚线的箭头402所示,并且开始与节点104-8的通信,如在节点104-5和104-8之间的小虚线的箭头404所示。这是可能的,因为相对于恶意节点104-6,节点104-8现在是非下游节点,并且相对于节点104-8是邻居节点。
在一个示例中,当恶意节点104-6下游的节点104切断与恶意节点104-6的通信并且开始与非下游节点104通信时,节点104用来识别恶意节点的评级或得分可以开始增加。在一个示例中,一旦恶意节点104-6下游的节点104将其父节点从恶意节点改变为非下游节点,则评级或得分可以增加到最高评级或得分。在一个示例中,一旦恶意节点104-6下游的节点104将其父节点从恶意节点改变为非下游节点,则随着节点104检测到数据分组已被正确中继到边界路由器102,评级或得分可以递增地增加。评级或得分的增加指示在WSN 100中发生和/或被检测到的数据分组的丢弃较少。
在一个示例中,与恶意节点104-6切断通信并且开始与新的父节点通信的恶意节点104-6下游的所有节点104可以向其邻居节点104广播关于恶意节点104-6的信息。在一个示例中,关于恶意节点104-6的信息可以包括用于执行对恶意节点104-6的检查的指令。在一个示例中,关于恶意节点104-6的信息可以通过WSN 100传播到诸如边界路由器102之类的中央设备或诸如软件定义网络(SDN)控制器、云设备或另一控制设备之类的另一设备,以便可以采取其他操作从WSN 100永久删除恶意节点104-6、出于安全目的执行网络取证和/或将恶意节点重新编程为充当非恶意黑洞节点但是作为WSN 100的功能部分或其组合。
图5是根据本文所述的原理的示例的检测节点104的示例组件的组件图900。如图所示,检测节点104可以包括一个或多个硬件处理器502、被配置为执行一个或多个存储的指令的一个或多个设备。(一个或多个)处理器502可以包括一个或多个核心。此外,检测节点104可以包括一个或多个网络接口504,网络接口504被配置为在检测节点104和其他设备(例如,WSN 100内的节点104、边界路由器102和/或与检测节点104相关联的和/或远离检测节点104的其他系统或设备)之间提供通信。网络接口504可以包括被配置为耦合到个人局域网(PAN)、有线和无线局域网(LAN)、有线和无线广域网(WAN)等的设备。例如,网络接口504可以包括与本文所述的无线通信技术和协议兼容的设备。
检测节点104还可以包括至少一个(一个或多个)传感器设备506,以感测在检测节点104物理上所处的位置处的至少一个环境事件。(一个或多个)传感器设备506可以包括能够检测至少一个环境事件的设备,并且本文描述了示例。
检测节点104还可以包括存储各种可执行组件(例如,基于软件的组件、基于固件的组件等)的计算机可读介质508。除了本文讨论的各种组件之外,计算机可读介质508还可以存储用于实现本文所述的功能的组件。虽然未示出,但是计算机可读介质508可以存储一个或多个操作系统,一个或多个操作系统用于控制包括检测节点104的一个或多个设备的操作。根据一个示例,该操作系统包括LINUX操作系统。根据另一示例,(一个或多个)操作系统包括来自华盛顿州雷德蒙德的微软公司的WINDOWS SERVER操作系统。根据其他示例,(一个或多个)操作系统可以包括UNIX操作系统或其变体中的一个。可以理解,还可以利用其他操作系统。
另外,检测节点104可以包括数据存储装置510,其可以包括一个或多个存储库或其他存储位置,用于永久地存储和管理诸如数据库、简单文件、二进制数据和/或任何其他数据的数据集合。数据存储装置510可以包括可以由一个或多个数据库管理系统管理的一个或多个存储位置。数据存储装置510可以存储例如数据分组512,以分配给上游节点104和边界路由器102。数据分组512可以包括定义由WSN 100内的检测节点104的传感器设备506感测到的至少一个环境事件的数据。
此外,数据存储装置510可以存储网络数据514。网络数据514可以包括由检测节点104获得的关于由上游节点(例如,恶意节点104-6)丢弃的数据分组的数量或速率的任何数据。此外,网络数据514可以基于由上游节点丢弃的数据分组的数量或速率,包括WSN 100内的一个或多个节点的当前分配的评级或得分。更进一步,除了与本文描述过程相关的其他数据和数据类型之外,网络数据514还可以包括如下数据:关于WSN 100内的多个节点104的位置信息的数据、多个节点104的笛卡尔坐标、RSSI数据、ToA数据、TDoA数据、AoA数据、跳大小、跳数、以及ETX值。
计算机可读介质508可以存储本文所述的恶意节点检测服务516的部分或组件。例如,计算机可读介质508的恶意节点检测服务516可以包括丢弃率检测组件518,当由(一个或多个)处理器502执行时,丢弃率检测组件518用于向WSN 100内的节点104分配最高评级或得分,基于本文所述的丢弃数据分组来跟踪来自检测节点104的上游节点的评级或得分,并且基于检测到的丢弃数据分组的减少来增加分配的丢弃率。
恶意节点检测服务516还可以包括节点位置组件520,当由(一个或多个)处理器502执行时,节点位置组件520用于利用本文所述的技术中的至少一种来获得和/或计算WSN100内的节点的物理和/或笛卡尔坐标位置。恶意节点检测服务516还可包括通信组件522,当由(一个或多个)处理器502执行时,通信组件522用于切断与恶意节点104-6的通信链路并且创建与新的父节点的新的通信链路。
图6示出了根据本文所述的原理的示例的用于识别WSN 100中的潜在恶意节点104-6的示例方法600的流程图。图6的方法600可以包括:在602处确定发送到网状网络(例如,WSN 100)内的多个节点104的第一节点104的多个消息的丢弃数。检测节点104可以执行恶意节点检测服务516的丢弃率检测组件518,以执行操作602。至少部分地基于确定多个消息中的一些消息已经在一段时间内被丢弃,检测节点104可以在604处通过执行丢弃率检测组件518来使分配给第一节点(例如,诸如恶意节点104-6之类的上游节点)的第一评级递减。
在606处,方法600还包括:用检测节点104,通过再次执行丢弃率检测组件518来确定分配给第一节点的第一评级是否下降到评级阈值以下。至少部分地基于检测节点104确定分配给第一节点的第一评级没有下降到评级阈值以下(606,确定否),方法600可以返回到602,在602处方法600再次开始检测发送到第一节点的消息的丢弃数。
然而,至少部分地基于检测节点104确定分配给第一节点的第一评级已经下降到评级阈值以下(606,确定是),方法600可以包括:在608处指示第一节点是潜在恶意节点。这允许检测节点104确定潜在恶意节点存在于上游,以准备识别上游的哪个节点实际上是负责丢弃消息(例如,数据分组)并且充当黑洞节点的恶意节点。
图7示出了根据本文所述的原理的示例的用于识别WSN 100中的潜在恶意节点104-6的示例方法700的流程图。图7的方法700可以包括:在702处,用WSN 100内的多个节点之中的检测节点104来识别潜在恶意节点。在一个示例中,图6的方法600可以用于执行操作702。
在704处,第一位置信息可以是由执行恶意节点检测服务516的节点位置组件220的检测节点104从第一节点接收到的第一节点的信息。在一个示例中,第一节点可以包括在操作702中被识别为潜在恶意节点的恶意节点104-6。类似地,在706处,并且通过执行节点位置组件220,可以由检测节点104从至少第二节点接收来自至少第二节点的第二位置信息。706的操作可以包括:从恶意节点104-6上游的多个节点104、检测节点104下游的节点、与检测节点104相邻的节点以及其组合接收位置信息。
在708处,检测节点104可以确定到第一节点的第一距离是否大于由到至少第二节点(例如,WSN 100内的任何其他节点104)的第二距离定义的距离阈值。至少部分地基于确定到第一节点的第一距离不大于由到至少第二节点的第二距离定义的距离阈值(708,确定否),则该方法可以循环回到操作702。然而,响应于确定到第一节点的第一距离大于由到至少第二节点的第二距离定义的距离阈值(708,确定是),则在710处第一节点可以被识别为恶意节点104-6。
为了纠正恶意节点104-6的影响,方法700还可以包括:在712处经由检测节点104的通信组件522的执行来结束与第一节点(例如,恶意节点104-6)的通信。在714处,检测节点104可以执行通信组件522,以基于多个节点104中除了第一节点之外的任何节点是非恶意的假设来从多个节点104中除了第一节点(例如,恶意节点104-6)之外的任何节点选择新的父节点。此外,在716处,通过执行恶意节点检测服务516的通信组件522,检测节点104可以向多个节点104中的至少第三节点104或网络控制设备(例如,边界路由器102)报告第一节点是恶意节点。
图8示出了示出数据中心800的配置的计算系统图,该配置可以用于实现本文公开的技术的各方面。图8示出的示例数据中心800包括用于提供计算资源的若干个服务器计算机802A至服务器计算机802F(其在本文中可以以单数形式称为“一个服务器计算机802”或以复数形式称为“多个服务器计算机802”)。在一些示例中,资源和/或服务器计算机802可以包括或对应于本文所述的任何类型的联网设备。虽然被描述为服务器,但是服务器计算机802可以包括任何类型的联网设备,例如,服务器、交换机、路由器、集线器、网桥、网关、调制解调器、中继器、接入点等。
服务器计算机802可以是为提供计算资源而适当配置的标准塔式、机架式或刀片式服务器计算机。在一些示例中,服务器计算机802可以提供计算资源804,包括诸如VM实例或硬件计算系统、数据库集群、计算集群、存储集群、数据存储资源、数据库资源、网络资源、虚拟专用网络(VPN)等的数据处理资源。服务器802中的一些还可以被配置为执行能够实例化和/或管理计算资源的资源管理器806。例如,在VM实例的情况下,资源管理器806可以是系统管理程序或被配置为能够在单个服务器计算机802上执行多个VM实例的另一类型的程序。数据中心800中的服务器计算机802还可以被配置为提供网络服务和其他类型的服务。
在图8示出的示例数据中心800中,还利用适当的LAN 808来互连服务器计算机802A至服务器计算机802F。可以理解,本文所述的配置和网络拓扑已被大大简化,并且可以利用更多的计算系统、软件组件、网络和联网设备来互连本文公开的各种计算系统并且提供上述功能。还可以利用适当的负载平衡设备或其他类型的网络基础设施组件来平衡数据中心800之间、每个数据中心800中的服务器计算机802A至服务器计算机802F中的每个服务器计算机之间以及潜在地服务器计算机802中的每个服务器计算机802的计算资源之间的负载。可以理解,参考图8描述的数据中心800的配置仅仅是说明性的,并且可以利用其它实施方式。
在一些示例中,服务器计算机802和/或计算资源804可以各自执行/容纳一个或多个租户容器和/或虚拟机以执行本文所述的技术。
在一些实例中,数据中心800可以永久地或按需地提供计算资源,例如,租户容器、VM实例、VPN实例和存储装置。除了其它类型的功能之外,由云计算网络提供的计算资源可以用于实现上述各种服务和技术。由云计算网络提供的计算资源804可以包括各种类型的计算资源,例如,数据处理资源(例如,租户容器和VM实例)、数据存储资源、网络资源、数据通信资源、网络服务、VPN实例等。
由云计算网络提供的每种类型的计算资源804可以是通用的,或可以在多个具体配置中可用。例如,数据处理资源可以用作多种不同配置中的实体计算机或VM实例。VM实例可以被配置为执行多个应用,这些应用包括web服务器、应用服务器、媒体服务器、数据库服务器、上述网络服务中的一些或全部、和/或其它类型的程序。数据存储资源可以包括文件存储设备、块存储设备等。云计算网络还可以被配置为提供本文未具体提及的其它类型的计算资源804。
由云计算网络提供的计算资源804在一个示例中可以由一个或多个数据中心800(其在本文中可以以单数形式称为“一个数据中心800”或以复数形式称为“多个数据中心800”)实现。数据中心800是用于容纳和操作计算机系统和相关组件的设施。数据中心800通常包括冗余和备用电源、通信、冷却和安全系统。数据中心800也可以位于地理上不同的位置。以下将针对图9描述可以用于实现本文所公开的技术的数据中心800的一个说明性示例。
图9示出了示出用于实现可以用于实现本文呈现的各种技术的各方面的计算设备的示例计算机硬件架构900的计算机架构图。图9示出的计算机硬件架构900示出了服务器计算机802、网络设备(例如,边界路由器102、节点104、负载平衡器、数据存储装置等)、工作站、台式计算机、膝上型计算机、平板计算机、网络设备、电子阅读器、智能电话或其它计算设备,并且可以用于执行本文呈现的任何软件组件。在一些示例中,计算机900可以对应于本文所述的网络设备(例如,边界路由器102和/或节点104),并且可以包括联网设备,例如,服务器、交换机、路由器、集线器、网桥、网关、调制解调器、中继器、接入点等。
计算机900包括基板902或“母板”,其为印刷电路板,多个组件或设备可以通过系统总线或其它电通信路径连接到该印刷电路板。在一个说明性配置中,一个或多个中央处理单元(CPU)904与芯片组906一起操作。CPU 904可以是执行计算机900的操作所必需的算术和逻辑操作的标准可编程处理器。
CPU 904通过操纵区分和改变这些状态的开关元件,从一个离散的物理状态转换到下一个状态来执行操作。开关元件总体包括维护两个二进制状态中一个状态的电子电路,例如,触发器,以及基于一个或多个其他开关元件的状态的逻辑组合来提供输出状态的电子电路,例如,逻辑门。这些基本的开关元件可以组合起来创建较复杂的逻辑电路,包括寄存器、加法器-减法器、算术逻辑单元、浮点单元等。
芯片组906在CPU904和基板902上的其余组件与设备之间提供接口。芯片组906可以提供到RAM 908的接口,RAM 908用作计算机900中的主存储器。芯片组906还可以提供到计算机可读存储介质(例如,只读存储器(ROM)910或非易失性RAM(NVRAM)的接口,以存储有助于启动计算机900和在各种组件和设备之间传输信息的基本例程。ROM 910或NVRAM还可以存储根据本文所述的配置的计算机900的操作所必需的其他软件组件。
计算机900可以通过网络(例如,WSN 100)使用到远程计算设备和计算机系统的逻辑连接在网络化环境中操作。芯片组906可以包括通过网络接口控制器(NIC)912(例如,千兆以太网适配器)提供网络连接的功能。NIC 912能够通过WSN 100将计算机900连接到其他计算设备。可以理解,在计算机900中可以存在多个NIC 912,从而将计算机连接到其他类型的网络和远程计算机系统。在一些示例中,NIC 912可以被配置为执行本文所述的技术中的至少一些,例如,本文所述的分组重定向和/或其他技术。
计算机900可以连接到为计算机提供非易失性存储装置的存储设备918。存储设备918可以存储操作系统920、程序922和数据,这些已经在本文中较详细地描述。存储设备918可以通过连接到芯片组906的存储控制器914连接到计算机900。存储设备918可以包括一个或多个物理存储单元。存储控制器914可以通过以下接口来与物理存储单元进行对接:串行附接的SCSI(SAS)接口、串行高级技术附件(SATA)接口、光纤通道(FC)接口、或用于在计算机和物理存储单元之间进行物理连接和传输数据的其他类型的接口。
计算机900可以通过转换物理存储单元的物理状态以反映所存储的信息来将数据存储在存储设备918上。在此说明书的不同配置中,物理状态的具体转换取决于各种因素。这些因素的示例可以包括但不限于:用于实现实体存储单元的技术、存储设备918是否被表征为主要存储装置或辅助存储装置等。
例如,计算机900可以通过经由存储控制器914发出指令来改变磁盘驱动单元中特定位置的磁特性,光学存储单元中特定位置的反射或折射特性,或固态存储单元中特定电容器、晶体管或其他离散元件的电特性,从而将信息存储到存储设备918。在不脱离本说明书的范围和精神的情况下,物理介质的其他转换是可能的,提供上述示例只是为了便于本说明书的描述。计算机900可以通过检测物理存储单元中的一个或多个特定位置的物理状态或特性来进一步从存储设备918读取信息。
除了上述的存储设备918之外,计算机900可以访问其他计算机可读存储介质来存储和取回信息,例如,程序模块、数据结构或其他数据。本领域技术人员应当理解,计算机可读存储介质是提供数据的非暂时性存储装置并且可以被计算机900访问的任何可用介质。在一些示例中,由WSN100和/或其中包括的任何组件执行的操作可以被类似于计算机900的一个或多个设备支持。换句话说,由WSN 100执行的操作中的一部分或全部,以及或其中包括的任何组件,可以由在基于云的布置中操作的一个或多个计算机设备900执行。
作为示例而不是限制,计算机可读存储介质可以包括以任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机可读存储介质包括但不限于RAM、ROM、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、闪存或其他固态存储器技术、光盘ROM(CD-ROM)、数字多功能磁盘(DVD)、高清DVD(HD-DVD)、BLU-RAY,或其他光存储、磁盒、磁带、磁盘存储或其他磁存储设备,或任何其他可用于以非暂时性方式存储所需信息的介质。
如上简述,存储设备918可以存储用于控制计算机900的操作的操作系统920。根据一个示例,操作系统包括LINUX操作系统。根据另一示例,该操作系统包括来自华盛顿雷蒙德微软公司的服务器操作系统。根据其他示例,操作系统可以包括UNIX操作系统或其变体中的一个变体。可以理解,也可以使用其它操作系统。存储设备918可以存储由计算机900使用的其它系统或应用程序和数据。
在一个示例中,用计算机可执行指令编码存储设备918或其他计算机可读存储介质,当被加载到计算机900中时,这些计算机可执行指令将计算机从通用计算系统转换为能够实现本文所述的示例的专用计算机。如上所述,这些计算机可执行指令通过指定CPU 904如何在状态之间转换来转换计算机900。根据一个示例,计算机900可以访问存储计算机可执行指令的计算机可读存储介质,在由计算机900执行时这些计算机可执行指令执行以上针对图1至图7描述的各种过程。计算机900还可以包括计算机可读存储介质,其具有存储在其上的用于执行本文所述的任何其他计算机实现的操作的指令。
计算机900还可以包括一个或多个输入/输出控制器916,用于接收和处理来自多个输入设备(例如,键盘、鼠标、触摸板、触摸屏、电子笔或其他类型的输入设备)的输入。类似地,输入/输出控制器916可以将输出提供到显示器,例如,计算机显示器、平板显示器、数字投影仪、打印机或其他类型的输出设备。应当理解,计算机900可以不包括图9所示的所有组件,可以包括图9中未明确示出的其它组件,或可以利用与图9所示完全不同的架构。
如本文所述,计算机900可以包括边界路由器102、节点104或网络设备(例如,服务器计算机802、计算资源、路由器等)中的一个或多个。计算机900可以包括一个或多个硬件处理器,例如,CPU 904,被配置为执行一个或多个存储的指令。CPU 904可以包括一个或多个核。此外,计算机900可以包括一个或多个网络接口,被配置为在计算机900和其他设备之间提供通信,例如,本文所述的由节点104和边界路由器102执行的通信。网络接口可以包括多个设备,被配置为耦合到个人区域网(PAN)、有线和无线局域网(LAN)、有线和无线广域网(WAN)等。例如,网络接口可以包括与以太网、Wi-FITM等兼容的设备。
程序922可以包括用于执行本公开描述的技术的任何类型的程序或过程,这些技术使用(一个或多个)BFD回波分组来确定多跳路径中的连接性。程序922可以使节点104和/或边界路由器102能够执行各种操作。
总之,一种方法包括:使用分配给网络内的节点的评级来识别潜在恶意节点,以及基于检测到的丢弃消息来递减评级以识别潜在恶意节点。基于从网络内的节点获得的位置信息和与潜在恶意节点的可比距离来识别恶意节点。该方法还包括:结束与恶意节点的通信,以及基于多个节点中除了恶意节点之外的任何节点是非恶意的假设来选择新的父节点。
虽然本系统和方法是相对于具体示例来描述的,但是应当理解,本系统和方法的范围并不限于这些具体示例。因为为适应特定的操作要求和环境而改变的其他修改和改变对于本领域技术人员来说是显而易见的,所以本系统和方法不被认为仅限于为公开目的而选择的示例,而是包括不构成对本系统和方法的真正精神和范围的偏离的所有改变和修改。
虽然本申请描述了具有具体结构特征和/或方法动作的示例,但是应当理解,权利要求并不一定限于所描述的具体特征或动作。相反,具体特征和动作仅仅是说明落入本申请的权利要求范围内的一些示例。

Claims (23)

1.一种设备,包括:
一个或多个处理器;以及
一个或多个非暂时性计算机可读介质,存储指令,所述指令在由所述一个或多个处理器执行时,使所述一个或多个处理器执行操作,所述操作包括:
将第一评级分配给网状网络内的多个节点;
确定发送到所述多个节点中的第一节点的多个消息的丢弃数;
确定在一段时间内所述多个消息的丢弃数超过丢弃阈值数;
至少部分地基于在所述一段时间内所述多个消息的丢弃数超过所述丢弃阈值数,使分配给所述第一节点的第一评级递减到分配给所述第一节点的第二评级;
确定分配给所述第一节点的第二评级低于评级阈值;以及
至少部分地基于所述第二评级低于所述评级阈值,确定所述第一节点是潜在恶意节点。
2.根据权利要求1所述的设备,所述操作还包括:
针对所述第一节点的第一位置信息将第一请求发送到所述第一节点;
针对至少第二节点的第二位置信息将第二请求发送到至少所述第二节点;
从所述第一节点接收所述第一节点的第一位置信息;
从至少所述第二节点接收至少所述第二节点的第二位置信息;
至少部分地基于由所述第二位置信息指示的第二距离来确定距离阈值;
确定到所述第一节点的第一距离大于或等于所述距离阈值;以及
至少部分地基于到所述第一节点的第一距离大于所述距离阈值,识别所述第一节点是恶意节点。
3.根据权利要求2所述的设备,所述操作还包括:
结束与所述第一节点的通信;以及
基于所述多个节点中除了所述第一节点之外的任何节点是非恶意的假设来从所述多个节点中选择除了所述第一节点之外的父节点。
4.根据权利要求1至3中任一项所述的设备,其中,所述网状网络是无线网络、无线网状网络、或无线传感器网络。
5.根据权利要求1至4中任一项所述的设备,所述操作还包括:
确定在到所述第一节点的网络路由内存在中间节点;以及
至少部分地基于确定在到所述第一节点的网络路由内存在所述中间节点,指示所述中间节点执行权利要求1所述的操作。
6.根据权利要求2所述的设备,其中,所述距离阈值是至少所述第二节点的无线通信距离的半径的至少两倍。
7.根据权利要求3所述的设备,所述操作还包括向网络控制设备或所述多个节点中的至少第三节点报告所述第一节点是恶意节点。
8.一种方法,包括:
确定发送到多个节点的网状网络内的第一节点的多个消息的丢弃数;
至少部分地基于确定在一段时间内已丢弃的所述多个消息的数量,使分配给所述第一节点的第一评级递减到第二评级;
确定分配给所述第一节点的第二评级低于评级阈值;以及
至少部分地基于所述第二评级低于所述评级阈值,确定所述第一节点是潜在恶意节点。
9.根据权利要求8所述的方法,还包括:
针对所述第一节点的第一位置信息将第一请求发送到所述第一节点;
针对至少第二节点的第二位置信息将第二请求发送到至少所述第二节点;
从所述第一节点接收所述第一节点的第一位置信息;
从至少所述第二节点接收至少所述第二节点的第二位置信息;
至少部分地基于由所述第二位置信息指示的第二距离来确定距离阈值;
确定到所述第一节点的第一距离大于或等于所述距离阈值;以及
至少部分地基于到所述第一节点的第一距离大于所述距离阈值,识别所述第一节点是恶意节点。
10.根据权利要求9所述的方法,还包括:
结束与所述第一节点的通信;以及
基于所述多个节点中除了所述第一节点之外的任何节点是非恶意的假设来从所述多个节点中选择除了所述第一节点之外的父节点。
11.根据权利要求8至10中任一项所述的方法,还包括:
确定在到所述第一节点的网络路由内存在中间节点;以及
至少部分地基于确定在到所述第一节点的网络路由内存在中间节点,指示所述中间节点执行权利要求10所述的方法。
12.根据权利要求9所述的方法,其中,所述距离阈值是至少所述第二节点的无线通信距离的半径的两倍。
13.根据权利要求10所述的方法,还包括向网络控制设备或所述多个节点中的至少第三节点报告所述第一节点是恶意节点。
14.根据权利要求9所述的方法,其中,所述第一位置信息和所述第二位置信息是通过如下算法中的至少一者来确定的:距离矢量跳(DV-Hop)算法、近似三角形内点(APIT)算法、或质心定位算法。
15.一种非暂时性计算机可读介质,存储指令,所述指令在被执行时,使一个或多个处理器执行操作,所述操作包括:
确定发送到多个节点中的第一节点的多个消息的丢弃数;
确定在一段时间内所述多个消息的丢弃数超过丢弃阈值数;
至少部分地基于在所述一段时间内所述多个消息的丢弃数超过所述丢弃阈值数,将分配给所述第一节点的第一评级递减到分配给所述第一节点的第二评级;
确定分配给所述第一节点的第二评级低于评级阈值;以及
至少部分地基于所述第二评级低于所述评级阈值,确定所述第一节点是潜在恶意节点;
针对所述第一节点的第一位置信息将第一请求发送到所述第一节点;
针对至少第二节点的第二位置信息将第二请求发送到至少所述第二节点;
从所述第一节点接收所述第一节点的第一位置信息;
从至少所述第二节点接收至少所述第二节点的第二位置信息;
确定到所述第一节点的第一距离以及由到至少所述第二节点的第二距离定义的距离阈值;以及
至少部分地基于确定到所述第一节点的第一距离大于所述距离阈值,识别所述第一节点是恶意节点。
16.根据权利要求15所述的非暂时性计算机可读介质,其中,所述距离阈值是至少所述第二节点的无线通信距离的半径的至少两倍。
17.根据权利要求15或16所述的非暂时性计算机可读介质,所述操作还包括:
结束与所述第一节点的通信;以及
基于所述多个节点中除所述第一节点之外的任何节点是非恶意的假设来从所述多个节点中选择除所述第一节点之外的父节点。
18.根据权利要求15至17中任一项所述的非暂时性计算机可读介质,所述操作还包括:
确定在到所述第一节点的网络路由内存在中间节点;以及
至少部分地基于确定在到所述第一节点的网络路由内存在所述中间节点,指示所述中间节点执行权利要求1所述的操作。
19.根据权利要求15至18中任一项所述的非暂时性计算机可读介质,所述操作还包括向网络控制设备或所述多个节点中的至少第三节点报告所述第一节点是恶意节点。
20.根据权利要求15至19中任一项所述的非暂时性计算机可读介质,其中:
所述多个节点包括网状网络内的感测设备,以感测所述多个节点所处的位置处的至少一个环境事件;并且
所述网状网络包括低功率有损网络(LLN)。
21.一种装置,包括:
用于确定发送到多个节点的网状网络内的第一节点的多个消息的丢弃数的模块;
用于至少部分地基于确定在一段时间内已丢弃的所述多个消息的数量使分配给所述第一节点的第一评级递减到第二评级的模块;
用于确定分配给所述第一节点的第二评级低于评级阈值的模块;以及
用于至少部分地基于所述第二评级低于所述评级阈值确定所述第一节点是潜在恶意节点的模块。
22.根据权利要求21所述的装置,还包括用于实现根据权利要求9至14中任一项所述的方法的模块。
23.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令在由计算机执行时,使所述计算机执行根据权利要求8至14中任一项所述的方法的步骤。
CN202180054603.8A 2020-09-03 2021-08-25 恶意黑洞节点检测和规避 Pending CN116458185A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/011,792 2020-09-03
US17/011,792 US11706625B2 (en) 2020-09-03 2020-09-03 Malicious black hole node detection and circumvention
PCT/US2021/047584 WO2022051148A1 (en) 2020-09-03 2021-08-25 Malicious black hole node detection and circumvention

Publications (1)

Publication Number Publication Date
CN116458185A true CN116458185A (zh) 2023-07-18

Family

ID=77999373

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180054603.8A Pending CN116458185A (zh) 2020-09-03 2021-08-25 恶意黑洞节点检测和规避

Country Status (4)

Country Link
US (2) US11706625B2 (zh)
EP (1) EP4209108A1 (zh)
CN (1) CN116458185A (zh)
WO (1) WO2022051148A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6939726B2 (ja) * 2018-07-17 2021-09-22 日本電信電話株式会社 攻撃対処箇所選択装置及び攻撃対処箇所選択方法
US20230164593A1 (en) * 2021-11-22 2023-05-25 T-Mobile Usa, Inc. Methods and systems for determining a wireless service outage
US11694540B1 (en) * 2021-12-17 2023-07-04 Honeywell International Inc. Fire events pattern analysis and cross-building data analytics
US11601395B1 (en) * 2021-12-22 2023-03-07 Uab 360 It Updating parameters in a mesh network
US11799830B2 (en) 2021-12-29 2023-10-24 Uab 360 It Access control in a mesh network

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007044038A2 (en) * 2004-12-13 2007-04-19 Telcordia Technologies, Inc. Lightweight packet-drop detection for ad hoc networks
US8370928B1 (en) * 2006-01-26 2013-02-05 Mcafee, Inc. System, method and computer program product for behavioral partitioning of a network to detect undesirable nodes
CN101895889A (zh) 2010-08-13 2010-11-24 深圳市兆讯达科技实业有限公司 无线自组织网络中的黑洞攻击的检测方法
CN103297973B (zh) * 2013-06-04 2016-09-07 河海大学常州校区 水下传感器网络中女巫入侵检测方法
US9949070B2 (en) * 2015-03-09 2018-04-17 Lg Electronics Inc. Method for positioning NAN terminal in wireless LAN system, and device using same
CN106790097B (zh) * 2016-12-26 2020-04-21 四川大学 基于跳数差异和局部监听的安全邻居发现方法
CN107404718B (zh) 2017-08-16 2020-01-14 中国民航大学 一种无线传感器网络恶意节点检测方法
CN108040325B (zh) 2017-12-19 2020-05-05 电子科技大学 一种基于rssi值及信誉度的女巫节点检测方法
CN111200799B (zh) * 2018-11-20 2021-06-15 华为技术有限公司 一种车联网的异常行为检测方法、装置和系统
CN109548030B (zh) * 2019-01-17 2021-05-18 西安电子科技大学 基于行为认知的无线自组织网络恶意节点检测方法
CN109756515B (zh) 2019-03-01 2020-12-25 重庆邮电大学 基于怀疑度积累的黑洞攻击检测与追踪方法

Also Published As

Publication number Publication date
WO2022051148A1 (en) 2022-03-10
EP4209108A1 (en) 2023-07-12
US20230362654A1 (en) 2023-11-09
US20220070672A1 (en) 2022-03-03
US11706625B2 (en) 2023-07-18

Similar Documents

Publication Publication Date Title
US11706625B2 (en) Malicious black hole node detection and circumvention
US10674486B2 (en) System, security and network management using self-organizing communication orbits in distributed networks
EP3140975B1 (en) Distributed voting mechanism for attack detection
US11005728B2 (en) Designating a voting classifier using distributed learning machines
EP3143744B1 (en) Voting strategy optimization using distributed classifiers
US10237079B2 (en) Intelligent network sleep proxy for low power sleeping devices
EP2974456A1 (en) Providing a backup network topology without serviece disruption
CN101803309A (zh) 在公共事业智能网格网络中进行路由的方法和系统
US20140379896A1 (en) Distributed liveness reporting in a computer network
Palanikumar et al. Faulty node detection and recovery scheme for large‐scale wireless sensor network using hosted cuckoo optimization algorithm
EP3917086B1 (en) Network topology discovery method, device, and system
Sefati et al. Data forwarding to Fog with guaranteed fault tolerance in Internet of Things (IoT)
Al-Fares et al. High Survivable Routing Protocol in Self Organizing Wireless Sensor Network.
Chanak et al. Green fault detection scheme for IoT‐enabled wireless sensor networks
Stephen et al. Integrated Round Trip Path Dual Registers (RTPDR) Fault Detection
Simpson et al. An environment-adaptive distributed node joining approach and a secure cluster-based architecture for MANET
Ali et al. Real-Time, Fault Tolerance and Energy-Efficiency (REFER) Enhancement in Wireless Sensor Actuator Networks
Djebaili et al. A Hierarchical Fault Tolerant Routing Protocol for WSNs
Rao et al. TO ENHANCE LIFETIME OF WSN USING MULTI-HOP ROUTING AND TRUST-BASED INTRUSION DETECTION

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination