水下传感器网络中多路径路由的污水池攻击入侵检测方法

摘要

本发明涉及一种水下传感器网络中多路径路由的污水池攻击入侵检测方法，包括三个阶段：（1）、可疑节点识别阶段：对于事件节点到达基站的跳数等于三跳的路径，第二跳节点视为可疑节点；对于事件节点到达基站的跳数大于等于四跳的路径，根据任意两条到达基站的路径上基站的前一跳节点是否是邻居节点，判断路径上是否存在可疑节点；（2）、污水池节点确定阶段；（3）、污水池节点隔离阶段：事件节点向基站报告污水池节点，基站将污水池节点通告全网并且从网络中删除。本发明能有效的检测污水池节点的恶意攻击，保证网络的安全；对节点的硬件条件没有严格的限制，也不受特殊信息或者特定节点等限制，具有良好的扩展性。

主权项

水下传感器网络中多路径路由的污水池攻击入侵检测方法，其特征在于：包括如下步骤：（1）识别可疑节点，主要分为两种情况：a、事件节点到达基站的跳数等于三跳的路径，即事件节点经到第二跳节点到达基站的路径；b、事件节点到达基站的跳数大于等于四跳的路径，即事件节点经到第二跳节点再经到第三跳节点、第四跳节点，或者更多跳节点，最后到达基站的路径；所述识别可疑节点的具体步骤如下：（1a）在每轮的时钟周期内，事件节点在其一跳通信范围内广播路由查询包；（1b）接收到事件节点发送的路由查询包的节点，立刻向事件节点回复路由查询包；（1c）事件节点接收到回复的路由查询包后，统计回复的路由查询包中所记录的路由列表信息；（1d）事件节点分析路由列表信息，如果所述步骤（1b）中某节点回复的路由查询包中的的路由信息列表中列出只经过自身节点就能到达基站，则为事件节点到达基站的跳数等于三跳的路径的情况，则将此节点即第二跳节点视为可疑节点；（1e）事件节点分析路由列表信息，如果所述步骤（1b）中某些节点回复的路由查询包中的路由信息列表中列出除了经过自身节点，还需经过第三跳节点、第四跳节点或者更多跳节点才能到达基站，即为事件节点到达基站的跳数大于等于四跳的路径的情况，假设网络中至少存在两条事件节点达到基站的路径，事件节点任意挑选两条这些节点所在的到达基站的路径；（1f）事件节点在每轮的时钟周期内，沿着所述步骤（1e）所挑选的两个条路径，向两条路径上基站的前一跳节点发送邻居查询包；（1g）两条路径上基站的前一跳节点收到邻居查询包后，立刻沿着逆路径向事件节点回复邻居查询包；（1h）事件节点收到回复的邻居查询包后，进行统计和分析，识别可疑节点：如果两个基站的前一跳节点互相存在对方的邻居列表中，在不存在共谋攻击的情况下，则表示此两条路径上不存在可疑节点；如果两个基站的前一跳节点互相不存在对方的邻居列表中，则将该两条路径上事件节点和基站之外的节点视为可疑节点；如果其中一个基站的前一跳节点存在对方的邻居列表中，但是对方节点的邻居列表中没有记录这个基站的前一跳节点，则将对方节点所在路径上事件节点和基站之外的节点视为可疑节点；（2）确定污水池节点，具体步骤如下：（2a）在每轮的时钟周期内，事件节点向第二跳节点发送邻居查询包；（2b）接收到事件节点的邻居查询包的第二跳节点，立刻向事件节点回复邻居查询包；（2c）事件节点接收到回复的邻居查询包后，进行统计和分析，首先查询自己是否在第二跳节点的邻居列表中，如果不在，则第二跳节点就为污水池节点；如果在第二跳节点的邻居列表中，则继续判断；（2d）事件节点继续分析第二跳节点回复的邻居列表信息，对于同时存在事件节点和第二跳节点的邻居节点，事件节点直接向该邻居节点发送数据查询包；（2e）对于只存在第二跳节点的邻居列表中但是不在事件节点的邻居列表中的邻居节点，事件节点向第二跳节点和通过第二跳节点的且只存在第二跳节点的邻居列表中的节点发送数据查询包；（2f）所述步骤（2e）中的邻居节点，在每轮的时钟周期内，向事件节点回复数据查询包；（2g）事件节点接收到回复的数据查询包后，分析并统计第二跳节点的邻居节点所记录的其与第二跳节点交互的数据包次数和第二跳节点回复的ACK总数目，将此两个值与第二跳节点记录的其与邻居节点交互的数据包次数和回复的ACK总数目进行比较，如果数据不一致，则表明第二跳节点是污水池节点，事件节点将记录污水池节点；如果数据一致，则表明第二跳节点是安全节点；（2h）对于事件节点到达基站跳数大于等于四跳的情况，将确定是安全节点的第二跳节点称为事件节点，将要检测的第三跳节点称为事件节点之后的第二跳节点，重复步骤（2a）~（2g），判断第三跳节点是安全节点还是污水池节点；（2i）依次判断第四跳节点、第五跳节点，直至判断出最后节点是安全节点还是污水池节点；（3）隔离污水池节点，每当检测出污水池节点之后，事件节点记录并且向基站报告污水池节点，基站将污水池节点通告全网并且从网络中删除。