CN103338451A - 一种无线传感器网络中分布式的恶意节点检测方法 - Google Patents

Abstract

本发明公开了一种无线传感器网络中分布式的恶意节点检测方法，其实现步骤是：（1）根据节点发送的请求数据RTS的不同来确定每个节点的怀疑节点；（2）在局部范围中，每个节点对周围邻居节点进行投票，如果不是怀疑节点投正票1，如果是怀疑节点投负票-1；（3）每个节点计算自己的被投票平均值；（4）每个节点根据基于可信度的贝叶斯算法计算自己的贝叶斯值；（5）通过比较每个节点的均值与贝叶斯值大小来确定恶意节点。本发明与现有技术相比，具有可扩展性强、检测率高、误报率低等优点，可用于实现不同规模无线传感器网络的恶意节点检测。

Description

一种无线传感器网络中分布式的恶意节点检测方法

技术领域

本发明涉及通信安全技术领域中的恶意节点贝叶斯检测。具体涉及一种分布式的恶意节点检测算法，可用于提高无线传感器网络中恶意节点的检测率，以利于更好的排除恶意节点对网络的影响。

背景技术

由于先进的无线通信技术和微电子技术的快速发展，使得传感器节点变得更小、成本功耗更低，并且拥有计算和通信的能力。因此，无线传感器网络的研究已经变成了热点问题。无线传感器网络是一种非基础设施的网络，它是通过部署大量的传感器节点而组成的。但是由于传感器节点的能量有限，节点间是通过多跳的方式进行通信的，这样可以降低节点的能量消耗。无线传感器网络主要应用在收集监测特殊环境的信息，例如：商业、军事、健康护理、环境监控。节点监测环境或目标，并通过无线通信技术将数据发送给SINK节点。通过分析数据可以得到目标的情况。然而，由于传感器硬件的设计，WSN受到许多资源的限制，像计算能力小、内存小，能量有限等。

由于无线传感器网络是由大量廉价的小传感器节点组成，通常被部署在一个开放的不受保护的区域中。它们很容易受到各种不同类型的攻击。例如当无线传感器网络被应用于战场时，传感器节点可能会由于敌人入侵遭到破坏。因此我们需要考虑传感器网络的安全问题。针对典型的攻击方式，人们提出了一个预防机制，根据各种攻击的特点，提出了相应的预防办法。然而，预防机制不能抵御所有的攻击。所以，我们需要检测到攻击。入侵检测***（IDS）经常被用来检测网络中的数据包，确定它们是否是袭击者。此外IDS还可以根据得到的攻击的性质，提高网络的预防***。

IDS在网络中起到网络监控和报警器的作用。它可以在入侵者袭击之前进行报警以保护***中的设备。入侵者监测的两个主要模型分别是异常检测和误用检测.异常检测模型就是建立一个正常行为的模型和需要检测的行为进行比较。异常检测具有较高的检出率，但是误报率也大。误用检测的检测精度高，但是检测的速率很低。特别是误用检测不能检测出未知的的攻击。许多研究者已经讨论能否将异常检测和误用检测的优点混合在一起。这样，混合的检测就有了异常检测的可以检测未知攻击的优点和误用检测检测精度高的优点。混合的入侵检测***（HIDS）就达到了搞检测率和低误报率的目标。

目前无线传感器网络中，由于攻击者对网络拥有多种攻击模式，在网络中布置更多比例的恶意节点势必导致对网络攻击性的加强，如果按照以往投票的方式来进行恶意节点检测的话，就很难检测出恶意节点，反而会使得很大一部分的正常节点被检测为恶意节点。

以上这些缺陷限制了无线传感器网络的性能，在不能更好的检测出恶意节点的情况下导致了网络被攻击的概率增大，势必导致网络不能正常工作或者被窃取了数据。

发明内容

本发明的目的在于克服上述已有技术的不足，提供一种分布式的恶意节点检测算法，引入依据可信度的贝叶斯检测算法，以提高在网络中恶意节点的检测率。

本发明的技术方案是：通过请求消息的异常来确定每个节点怀疑的可疑恶意节点，通过网络中两种不同类型的节点（恶意节点和正常节点）引入可信度，然后通过贝叶斯均值来确定恶意节点，网络就可以进行自我治疗，消除恶意节点的影响。

为了实现上述目的，本发明采用的技术方案如下：

一种无线传感器网络中分布式的恶意节点检测方法，在网络中具有网关节点SINK，以及无线传感器节点，所述方法包括以下步骤：

（1）在面积为S＝L×L的平面区域内，随机抛撒N个同构的无线传感器节点，网关节点SINK位于监测区域边缘，负责接收采集数据并且进行分析处理；

（2）恶意节点攻击模式采用伪装成正常节点的ID，然后发送多个请求接受数据数据包，当其收到其它节点的准许接受数据之后便可以接收其它节点的数据；

（3）节点收到其邻居节点发送的请求接受数据要求信息时，通过与网络中预设的请求接受数据区间进行比较，如果该邻居发送的请求接受数据超过预设的阈值范围则该节点的邻居被该节点怀疑为恶意节点；

（4）在下一个时间段内继续执行步骤（2）～（3）继续对恶意节点进行检测;

其中，所述预设的阈值范围为[1,2]。

需要说明的是，所述比较方法如下：

（1）假设网络总有N个节点，其中有NI个正常节点，NM个恶意节点，对于节点v_i和节点v_j如果投正票，则说明节点v_i检测v_j是正常的，此时令v_ij＝1代表检测正常，否则v_ij＝-1检测不正常，定义KI为正常节点的可信度，KM为恶意节点的可信度：

$\mathrm{KM}=\frac{\mathrm{NM}}{\mathrm{NI}+\mathrm{NM}}$

通过上式对于节点v_i的总体投票的总数计算有更好的精确度，即

${\mathrm{\Σ}}_{j=1}^{\mathrm{NI}+\mathrm{NM}}{v}_{\mathrm{ji}}=\mathrm{KI}*{\mathrm{\Σ}}_{i=1}^{\mathrm{NI}}{v}_{\mathrm{ji}}+\mathrm{KM}*{\mathrm{\Σ}}_{j=1}^{\mathrm{NM}}{v}_{\mathrm{ji}}$

其中

代表节点i的投票总数，

代表通信半径范围内正常节点的投票值，

代表通信半径范围内恶意节点的投票值；

则网络的总体投票均值是：

$\mathrm{ave}\_\mathrm{voting}=\frac{{\mathrm{\Σ}}_{j=1}^{\mathrm{NI}+\mathrm{NM}}{v}_{\mathrm{ji}}}{\mathrm{NI}+\mathrm{NM}}$

网络的平均数等于：

$\mathrm{ave}\_\mathrm{neibor}=\frac{{\mathrm{\Σ}}_{i=1}^{\mathrm{NI}+\mathrm{NM}}{v}_i\_\mathrm{neibor}}{\mathrm{NI}+\mathrm{NM}}$

其中v_i_neibor代表节点v_i的投票数；

根据贝叶斯模型

可以得到节点v_i的贝叶斯检测值：

$\mathrm{WR}\left(v_i\right)=\frac{\mathrm{ave}\_\mathrm{neibor}*\mathrm{ave}\_\mathrm{voting}+{\mathrm{\Σ}}_{j=1}^{\mathrm{NI}+\mathrm{NM}}{v}_{\mathrm{ji}}}{v_i\_\mathrm{neibor}+\mathrm{ave}\_\mathrm{neibor}}$

其中

为该用户的贝叶斯均值，C为每个用户的平均投票数，n为该用户的现有投票数，m是总体投票均值，x_i是每张选票的值，其中WR(v_i)代表节点v_i的贝叶斯均值，ave_neibor代表网络的平均投票数，ave_voting代表网络的总体投票均值，代表节点i的投票总数；

（2）假设v_i_voting代表节点v_i的投票值，如果其与本身的贝叶斯投票均值WR(v_i)的差值超过预设的阈值，则认为它就是恶意节点：

|WR(v_i)-v_i_voting|＞Threshold;

其中所述预设阀值Threshold＝1。

本发明具有如下的优点：

1、本发明适用于多种拓扑的无线传感器网络，在动态的网络情况下（链路变化、节点移动）可以通过下一个时间段的检测更有效的检测出移动的恶意节点；

2、本发明中提出的基于可信度情况下的贝叶斯检测，避免了平均投票检测的低效性，在网络中恶意节点比例增大的情况下依然能够高效的检测出恶意节点；

3、本发明适用于大型无线传感器网络，具有很好的可扩展性。

附图说明

图1为本发明的总流程图；

图2为本发明与现有技术的检测率在不同节点数下的比较图；

图3为本发明与现有技术的误报率在不同节点数下的比较图；

图4为本发明与现有技术的检测率在不同通信半径下的比较图；

图5为本发明与现有技术的误报率在不同通信半径下的比较图；

图6为本发明与现有技术的检测率在不同恶意节点数目下的比较图；

图7为本发明与现有技术的误报率在不同恶意节点数目下的比较图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明做进一步的描述。

如图1所示，本发明的实现步骤如下：

（1）在面积为S＝L×L的平面区域内，随机抛撒N个同构的无线传感器节点，SINK节点位于监测区域边缘，负责接收采集数据并且进行分析处理；

（2）恶意节点攻击模式采用伪装成正常节点的ID，然后发送多个请求接受数据数据包，当收到其它节点的准许接受数据之后就可以接收其它节点的数据了；

（3）节点收到其邻居节点发送的请求数据要求信息请求接受数据，通过与网络中预设的请求接受数据区间进行比较，如果该邻居发送的请求接受数据超过预设的阈值范围[1,2]则该节点的邻居被该节点怀疑为恶意节点；

（3a）假设网络总有N个节点，其中有NI个正常节点，NM个恶意节点，对于节点v_i和节点v_j如果投正票，则说明节点v_i检测v_j是正常的，此时令v_ij＝1代表检测正常，否则v_ij＝-1检测不正常。定义KI为正常节点的可信度，KM为恶意节点的可信度：

$\mathrm{KI}=\frac{\mathrm{NI}}{\mathrm{NI}+\mathrm{NM}},$ $\mathrm{KM}=\frac{\mathrm{NM}}{\mathrm{NI}+\mathrm{NM}};$

通过上式对于节点v_i的总体投票的总数计算有更好的精确度，即

${\mathrm{\Σ}}_{j=1}^{\mathrm{NI}+\mathrm{NM}}{v}_{\mathrm{ji}}=\mathrm{KI}*{\mathrm{\Σ}}_{j=1}^{\mathrm{NI}}{v}_{\mathrm{ji}}+\mathrm{KM}*{\mathrm{\Σ}}_{j=1}^{\mathrm{NM}}{v}_{\mathrm{ji}};$

其中代表节点i的投票总数，

代表通信半径范围内正常节点的投票值，

代表通信半径范围内恶意节点的投票值。

则网络的总体投票均值是：

$\mathrm{ave}\_\mathrm{voting}=\frac{{\mathrm{\Σ}}_{j=1}^{\mathrm{NI}+\mathrm{NM}}{v}_{\mathrm{ji}}}{\mathrm{NI}+\mathrm{NM}};$

网络的平均数等于

$\mathrm{ave}\_\mathrm{neibor}=\frac{{\mathrm{\Σ}}_{i=1}^{\mathrm{NI}+\mathrm{NM}}{v}_i\_\mathrm{neibor}}{\mathrm{NI}+\mathrm{NM}};$

其中v_i_neibor代表节点v_i的投票数。

根据贝叶斯模型

可以得到节点v_i的贝叶斯检测值：

$\mathrm{WR}\left(v_i\right)=\frac{\mathrm{ave}\_\mathrm{neibor}*\mathrm{ave}\_\mathrm{voting}+{\mathrm{\Σ}}_{j=1}^{\mathrm{NI}+\mathrm{NM}}{v}_{\mathrm{ji}}}{v_i\_\mathrm{neibor}+\mathrm{ave}\_\mathrm{neibor}};$

其中

为该用户的贝叶斯均值，C为每个用户的平均投票数，n为该用户的现有投票数，m是总体投票均值，x_i是每张选票的值，其中WR(v_i)代表节点v_i的贝叶斯均值，ave_neibor代表网络的平均投票数，ave_voting代表网络的总体投票均值，

代表节点i的投票总数；

（3b）我们假设v_i_voting代表节点v_i的投票值，如果它与本身的贝叶斯投票均值WR(v_i)的差值超过一定的阈值，则认为它就是恶意节点：

|WR(v_i)-v_i_voting|＞Threshold。

需要说明的是，所述预设阀值Threshold＝1

（4）在下一个时间段内继续执行步骤（2）～（3）继续对恶意节点进行检测。

为了更好的理解本发明，本发明的具体算法如下：

节点v_i的分布式的贝叶斯检测算法

1：Input：节点v_i的邻居节点的信息表N_i

2：v_i节点的怀疑节点的信息表S_i＝NULL

3：输入节点v_i接收的信息表Q_i＝NULL

4：节点v_i统计信息表N_i中每个邻居节点的RTS值，RTS信息表为C_i＝0

5：if time≠0

6：收集邻居节点的信息Q_i

7：end if

8：for j=1 to 邻居节点的个数

9：if C_i[j]＞RTS Threshold

10：

11:else if v_ij＝1

12:end if

13：end if

14：end for

15：for i=1to网络中节点的个数

16：计算节点v_i的投票均值m[i]以及贝叶斯均值Bys[i]

17：end if

18：end for

19:for i=1 to 网络中节点的个数

20：if |m[i]-Bys[i]|＞Threshold

21：节点v_i被检测为恶意的攻击节点

22：end if

23：end for

24：Output:恶意节点集合

本发明的效果可以通过以下仿真实验结果进行进一步的说明。

检测率：检测流程被定义为网络中恶意节点被检测出的比率。

误报率：误报率被定义为网络中正常节点被当做恶意节点检测出的比率。

1、仿真条件：

在面积为S＝L×L的平面区域内，随机抛撒N个同构的无线传感器节点，SINK节点位于监测区域边缘，负责接收采集数据并且进行分析处理。节点间进行局部通信。

2、仿真内容及仿真结果：

仿真1，对本发明与现有技术DDD的检测率以及误报率随着网络中节点个数的变化进行仿真比较，仿真结果如图2、图3所示，可以得出本发明在不同节点数下具有较高的检测率，并且具有较低的误报率。这是因为虽然整体节点数目增加了，因为本发明在检测恶意节点的时候考虑了节点中恶意节点的比例，增加了可信度的影响。

仿真2，对本发明与现有技术DDD的检测率以及误报率随着网络中节点通信半径的变化进行仿真比较，仿真结果如图4、图5所示，可以得出本发明在不同节点通信半径下具有较高的检测率，并且具有较低的误报率。

仿真3，对本发明与现有技术DDD的检测率以及误报率随着网络中恶意节点数目的变化进行仿真比较，仿真结果如图6、图7，可以得出本发明在不同恶意节点数目下具有较高的检测率，并且具有较低的误报率。这是因为在投票的时候，随着恶意节点数目的增加，正常节点很容易被投负票，这样就导致多个节点对他投负票而最终导致被检测为恶意节点，而我们的算法考虑了投票的比率，这样就有效的限制了负票的总值，而使得检测更为精准。

对于本领域的技术人员来说，可根据以上描述的技术方案以及构思，做出其它各种相应的改变以及变形，而所有的这些改变以及变形都应该属于本发明权利要求的保护范围之内。

Claims (2)

1.一种无线传感器网络中分布式的恶意节点检测方法，在网络中具有网关节点SINK，以及无线传感器节点，其特征在于，所述方法包括以下步骤：

（1）在面积为S＝L×L的平面区域内，随机抛撒N个同构的无线传感器节点，网关节点SINK位于监测区域边缘，负责接收采集数据并且进行分析处理；

（2）恶意节点攻击模式采用伪装成正常节点的ID，然后发送多个请求接受数据数据包，当其收到其它节点的准许接受数据之后便可以接收其它节点的数据；

（3）节点收到其邻居节点发送的请求接受数据要求信息时，通过与网络中预设的请求接受数据区间进行比较，如果该邻居发送的请求接受数据超过预设的阈值范围则该节点的邻居被该节点怀疑为恶意节点；

（4）在下一个时间段内继续执行步骤（2）～（3）继续对恶意节点进行检测；

其中，所述预设的阈值范围为[1,2]。

2.根据权利要求1所述的恶意节点检测方法，其特征在于，所述比较方法如下：

（1）假设网络总有N个节点，其中有NI个正常节点，NM个恶意节点，对于节点v_i和节点v_j如果投正票，则说明节点v_i检测v_j是正常的，此时令v_ij＝1代表检测正常，否则v_ij＝-1检测不正常，定义KI为正常节点的可信度，KM为恶意节点的可信度：

$\mathrm{KI}=\frac{\mathrm{NI}}{\mathrm{NI}+\mathrm{NM}},$ $\mathrm{KM}=\frac{\mathrm{NM}}{\mathrm{NI}+\mathrm{NM}};$

通过上式对于节点v_i的总体投票的总数计算有更好的精确度，即

${\mathrm{\Σ}}_{j=1}^{\mathrm{NI}+\mathrm{NM}}{v}_{\mathrm{ji}}={\mathrm{KI}*\mathrm{\Σ}}_{j=1}^{\mathrm{NI}}{v}_{\mathrm{ji}}+\mathrm{KM}*{\mathrm{\Σ}}_{j=1}^{\mathrm{NM}}{v}_{\mathrm{ji}};$

其中

代表节点i的投票总数，

代表通信半径范围内正常节点的投票值，

代表通信半径范围内恶意节点的投票值；

则网络的总体投票均值是：

$\mathrm{ave}\_\mathrm{voting}=\frac{{\mathrm{\Σ}}_{j=1}^{\mathrm{NI}+\mathrm{NM}}{v}_{\mathrm{ji}}}{\mathrm{NI}+\mathrm{NM}};$

网络的平均数等于：

$\mathrm{ave}\_\mathrm{neibor}=\frac{{\mathrm{\Σ}}_{i=1}^{\mathrm{NI}+\mathrm{NM}}{v}_i\_\mathrm{neibor}}{\mathrm{NI}+\mathrm{NM}};$

其中v_i_neibor代表节点v_i的投票数；

根据贝叶斯模型

可以得到节点v_i的贝叶斯检测值：

$\mathrm{WR}\left(v_i\right)=\frac{\mathrm{ave}\_\mathrm{neibor}*\mathrm{ave}\_\mathrm{voting}+{\mathrm{\Σ}}_{j=1}^{\mathrm{NI}+\mathrm{NM}}{v}_{\mathrm{ji}}}{v_i\_\mathrm{neibor}+\mathrm{ave}\_\mathrm{neibor}};$

其中为该用户的贝叶斯均值，C为每个用户的平均投票数，n为该用户的现有投票数，m是总体投票均值，x_i是每张选票的值，其中WR(v_i)代表节点v_i的贝叶斯均值，ave_neibor代表网络的平均投票数，ave_voting代表网络的总体投票均值，代表节点i的投票总数；

（2）假设v_i_voting代表节点v_i的投票值，如果其与本身的贝叶斯投票均值WR(v_i)的差值超过预设的阈值，则认为它就是恶意节点：

|WR(v_i)-v_i_voting|＞Threshold；

其中所述预设阀值Threshold＝1。

Images