| 发明名称 | 无线传感器网络的混合入侵检测方法 | ||
| 摘要 | 无线传感器网络的混合入侵检测方法是一种无线传感器网络的安全保护方案,主要用于解决无线传感器网络所遭受的各种安全攻击和安全问题,该检测方法综合了基于主机和基于网络、基于集中和基于分布、基于异常和基于模式等多种检测方法,根据无线传感器网络的特点和面临的外部和内部攻击,将检测任务分散到传感器节点、簇头节点和基站节点,并综合了基于主机和基于网络,基于集中和基于分布,基于异常和基于模式多种检测方法的优势,避免了依靠复杂算法增强网络安全而导致的对网络和节点资源过多的消耗,在保证网络安全的同时,延迟了网络的生命期。 | ||
| 申请公布号 | CN100471141C | 申请公布日期 | 2009.03.18 |
| 申请号 | CN200710019976.3 | 申请日期 | 2007.02.05 |
| 申请人 | 南京邮电大学 | 发明人 | 王汝传;赵奇;陈志;叶宁;孙力娟;黄海平 |
| 分类号 | H04L12/26(2006.01)I;H04L29/06(2006.01)I;H04L12/28(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 南京经纬专利商标代理有限公司 | 代理人 | 叶连生 |
| 主权项 | 1、一种适用于无线传感器网络的混合入侵检测方法,其特征在于该检测方法综合了基于主机和基于网络、基于集中和基于分布以及基于异常和基于模式的多种检测方法,在保证网络安全的同时,延长网络的生命期,所述方法的具体步骤为:1. 1)各节点采集数据,计算安全统计指标,该安全统计指标包括本节点的数据包等待时间、到达率、功率减少率和邻居节点的数据包碰撞率与发送频率,1. 2)非簇头节点将步骤1.1)计算的安全统计指标发送给簇头节点,1. 3)各节点执行内部攻击检测步骤:内部攻击检测步骤包括以下步骤:1. 3.1)判断接收到的数据包是否来自邻居节点,若是,则执行步骤1.3.2);若否,执行步骤1.3.18),1. 3.2)判断邻居节点是否邀请自己监视它们共同的某邻居节点,若否,则执行步骤1. 3.3);若是,执行步骤1.3.8),1. 3.3)判断邻居节点声称可到达的节点是否是基站节点,若是,执行步骤1.3.4);若否,执行步骤1.3.6),1. 3.4)查看基站是否是该邻居节点的邻居,若否,记录下该邻居节点的身份标识号,并使记录谎称自己是基站的邻居节点的异常行为的计数器加1,执行步骤1.3.5);若是,执行步骤1.3.22),1. 3.5)判断步骤1.3.4)中记录异常行为的计数器值是否大于既定的阀值,若是,断定该邻居节点试图发起污水池攻击,执行步骤1.3.20);若否,将该邻居节点的异常行为信息发送给簇头,执行步骤1.3.20),1. 3.6)判断邻居节点声称的可达节点是否是该邻居节点的邻居节点,若否,记录下该邻居节点的身份标识号,并使记录该异常行为的计数器加1,执行步骤1.3.7);若是,执行步骤1.3.22),1. 3.7)判断步骤1.3.6)中记录异常行为的计数器值是否大于既定的阀值,若是,断定该邻居节点和其声称的可达邻居节点合谋蠕虫洞攻击,执行步骤1.3.20);若否,将该邻居节点的异常行为信息发送给簇头,执行步骤1.3.20),1. 3.8)判断被监视的节点是否伪造数据包,若是,执行步骤1.3.9);若否,执行步骤1.3.12),1. 3.9)判断被监视节点转发的声称来源于同一非邻居节点的伪造包数量是否大于既定的阀值,若是,执行步骤1.3.10);若否,执行步骤1.3.11),1. 3.10)确定被监视节点和其声称的伪造包的来源节点合谋蠕虫洞攻击,执行步骤1.3.20),1. 3.11)确定被监视节点伪造包攻击,执行步骤1.3.20),1. 3.12)判断被监视节点是否有丢包行为,若是,执行步骤1.3.13);若否执行步骤1.3.16),1. 3.13)判断丢包率是否大于既定的阀值1且小于既定的阀值2,若是,执行步骤1.3.14);若否,执行步骤1.3.15),1. 3.14)确定被监视节点正在进行选择性转发攻击,执行步骤1.3.20),1. 3.15)判断丢包率是否大于既定阀值2,若是,断定被监视节点死亡或者故意不转发包,执行步骤1.3.20);若否,执行步骤1.3.22),1. 3.16)判断被监视节点是否篡改数据包且篡改次数超过既定阀值,若是,执行步骤1.3.17);若否,执行步骤1.3.22),1. 3.17)判定数据包的源节点有篡改数据包行为,执行步骤1.3.20),1. 3.18)使记录该非邻居节点到达次数的计数器加1,并判断其是否大于既定阀值,若是,执行步骤1.3.19);若否,发送关于该节点的异常行为给簇头节点,执行步骤1.3.20),1. 3.19)判定数据包的源节点有拒绝服务攻击行为,节点休眠一小段时间,1. 3.20)执行入侵跟踪和入侵响应步骤,执行步骤1.3.22),1. 3.21)簇头根据其掌握的簇内信息,对成员节点发来的节点异常行为做出入侵判断,执行相应的入侵响应步骤,1. 3.22)等待下一检测周期到达,返回步骤1.3.1)执行新一轮检测;1. 4)簇头节点接收本簇成员发来的安全统计指标,1. 5)簇头节点根据接收的安全统计指标,计算入侵特征值,1. 6)簇头在本节点入侵模式数据库中寻找匹配的入侵特征值,若找到,执行步骤1.7);若找不到,将入侵特征值发送给基站,基站会根据全局拓扑信息和接收自簇头的入侵特征值,搜索保存在基站的全局入侵模式数据库,根据搜索结果执行相应的入侵响应步骤,执行步骤1.8),1. 7)直接执行相应的入侵响应步骤,执行步骤1.9),1. 8)簇头节点执行外部攻击检测步骤:簇头节点执行的外部攻击检测步骤包括以下步骤:1. 8.1)判断成员节点的等待时间是否超过既定的等待时间阀值;若是,则执行步骤1.8.2),若否,则执行步骤1.8.8),1. 8.2)判断该成员节点的邻居节点的数据包碰撞率是否超过既定的碰撞率阀值;若是,则执行步骤1.8.3);若否,则执行步骤1.8.5),1. 8.3)记录该成员节点的邻居节点有碰撞攻击行为,通知其它邻居节点暂停数据发送,进入睡眠状态,1. 8.4)计算碰撞攻击特征值,执行1.8.11),1. 8.5)判断该成员节点的邻居节点发送数据包的平均时间间隔是否小于既定的时间间隔阀值;若是,执行步骤1.8.6);若否,优先该成员节点发送数据包,执行步骤1.8.13),1. 8.6)记录该成员节点的邻居节点有不公平竞争攻击行为,对该恶意节点进行隔离,1. 8.7)计算不公平竞争特征值,执行1.8.11),1. 8.8)判断该成员节点数据包的到达率或者功率减少率是否过高,若是,执行步骤1.8.9);若否,执行步骤1.8.13),1. 8.9)记录该成员节点遭受耗尽攻击行为,要求该节点立即进入睡眠状态,1. 8.10)计算耗尽攻击特征值,1. 8.11)判断入侵数据库是否已满,若是,删除最早添加的入侵特征值,并将新计算的攻击特征值添加到本地入侵数据库;若否,直接将新计算的攻击特征值添加到本地入侵数据库,1. 8.12)执行入侵跟踪与入侵响应步骤,1. 8.13)等待下一检测周期到达,返回步骤1.8.1)执行新一轮检测;1. 9)等待下一检测周期到达,重新执行1.1)。 | ||
| 地址 | 210003江苏省南京市新模范马路66号 | ||