基于怀疑度积累的黑洞攻击检测与追踪方法技术

本发明专利技术属于移动自组网络由安全领域，公开了基于怀疑度积累的黑洞攻击检测与追踪方法。所述方法在检测周期内，采用被动监测方式，节点检测当前拓扑更新是否满足可疑条件，若拓扑更新的数据包满足可疑条件，节点将在可疑节点对应的信誉登记表中增加Ⅳ型怀疑度；节点监测各个路由路径中的丢包率，若超过其阈值，则触发主动检测；采用主动检测方式检测出可疑行为，从而确定相对应增加的怀疑值，根据遗忘因子对不同时刻发生的信誉度变化进行加权计算从而求得最终怀疑值；根据可疑节点的最终怀疑值的大小，网络控制站通过分析确定出可疑节点是否为恶意节点，一旦确认为恶意节点，网络控制站将进行全网广播，从而对该恶意节点进行全网隔离。

Black Hole Attack Detection and Tracking Method Based on Skepticism Accumulation

The invention belongs to the security field of mobile ad hoc networks, and discloses a black hole attack detection and tracking method based on the accumulation of suspicion. During the detection period, the method uses passive monitoring to detect whether the current topology update satisfies the suspicious condition. If the data packet of the topology update satisfies the suspicious condition, the node will increase the type IV suspicion degree in the corresponding reputation registration table of the suspicious node. The node monitors the packet loss rate in each routing path and triggers active detection if it exceeds its threshold. Detection method detects suspicious behavior and determines the corresponding incremental suspicious value. According to forgetting factor, the final suspicious value can be obtained by weighting the change of credibility at different times. According to the size of the final suspicious value of the suspicious node, the network control station determines whether the suspicious node is a malicious node through analysis. Once the suspicious node is identified as a malicious node, the network control station will determine whether the suspicious node is a malicious one. The whole network broadcasting is carried out to isolate the malicious node.

【技术实现步骤摘要】
基于怀疑度积累的黑洞攻击检测与追踪方法
本专利技术属于移动自组网(MobileAd-hocNetworks，MANET)路由安全领域，涉及使用以表驱动进行路由的设备在网络攻击下基于怀疑度积累的黑洞攻击检测与追踪方法。
技术介绍
随着科技的进步，无线通信设备的体积越来越小、通信范围逐步增大、通信质量也逐渐增加，由多个无线通信设备所搭建的网络称之为无线自组织网。无线自组织网络通过若干个平级的无线通信设备自行进行组网，每个设备在发送自身业务数据的过程中也承担着中继其他节点的业务数据。无线自组网最经典的应用是现代战场上由战术电台所组成的战术移动自组网，战术移动自组网具有拓扑变更快，节点覆盖范围大、带宽有限、所处环境复杂等特点，战术移动自组网为了尽可能减少网络的负载提高通信质量，通常的加密功能基本交给了物理层和应用层，并且为了在有限的带宽资源下最大限度保证整个网络通信的网络性能，电台在发送数据的过程中并没有采用认证的机制。战术移动自组网的信号传播具有广播特性，电台发送的信号在物理空间上是暴露的，任何设备只要调制方式、频率、振幅、相位都和源电台所发送的信号匹配就能获得完整的通信信号，这种特性使得攻击者可以捕获并解析战术移动自组网中的相关消息，攻击者伪装成合法电台并针对协议漏洞可对电台进行攻击。在战术移动自组网中出现得最为频繁的是黑洞攻击，黑洞攻击具有较强的欺骗性，这种攻击方式可以改变网络的拓扑结构，同时也可以对数据进行篡改或丢弃。黑洞攻击是网络中一种进行恶意丢包的攻击方式，恶意节点在获取源节点信任时，恶意节点向源节点宣称其为到目的节点的最短路径，源节点根据最短路径优先的原则选择恶意节点作为中继节点，当恶意节点收到来自源节点发送过来的数据包时将会全部丢弃，或者随机丢弃一部分，随机丢弃的攻击方式也被称作灰洞攻击，根据攻击方式的不同，黑洞攻击分为被动攻击和主动攻击。1)被动攻击：恶意节点通常不会主动发起路由请求使得源节点使用经过恶意节点的路由路径，恶意节点通常伪装成合法节点参与正常的数据传输，等待源节点选中成为中继节点，该节点对流经该节点的数据进行窃听，一旦恶意节点发现目标消息，恶意节点通常会选择性丢掉这些消息，从而阻止目标消息的正常传输。使用被动形式的黑洞攻击对于整个网络性能而言影响较小，并且多个恶意节点之间无法对网络进行联合的攻击。2)主动攻击：主动地攻击方式体现在恶意节点总是向源节点声明自己有到目的节点的最短路径，源节点收到来自恶意节点的拓扑更新时根据协议规定理所当然的使用恶意节点提供的最短路径，从而恶意节点获得源节点的信任，源节点使用经过恶意节点的最短路径进行数据传输。恶意节点可以选择无条件的丢弃或部分丢弃，当恶意节点对数据进行有选择性的丢弃时相比于无条件丢弃有更大的破坏作用，一方面体现在源节点更不容易察觉恶意节点的存在，另一方面体现在丢弃的数据包使得源节点对数据包进行重发，重复数据包的发送会使得网络负载增加。目前，国内外研究人员针对移动自组网中的黑洞攻击进行了相关研究。抵御黑洞攻击的方式主要分为检测恶意节点在黑洞攻击发起前的路由请求或测量当前节点丢包情况。(1)公开号为CN104410646A的专利提出了一种在机会网络中使用基于粗糙集的黑洞节点探测算法，主要原理是将节点所提供的路由路径准确度以及节点的消息转发率同时纳入节点可信度的计算，降低单一因素对信任判断结果的影响。该种算法虽然也采用了信任度机制但只能够将局部黑洞节点检测出来，并且使用的历史可信度数据采用统一的计算，很可能使得节点在通信条件不佳的情况造成误判。(2)公开号为CN101895889A的专利利用每个节点进行分布式的黑洞攻击检测，收集邻居节点的行为报告，一旦检测到某种行为超过一定的阈值则判定该节点为黑洞攻击节点，正常节点将该节点列入黑名单并广播出去。该算法没有考虑自组织网中拓扑结构变换激烈并且信道条件比较复杂的特点，并且该算法并没有给出具体实现检测的技术手段。目前大部分研究只是对黑洞攻击的某一恶意行为进行检测，缺乏从多方面考虑得出综合的情况，因而会发生较为频繁的误判情况。
技术实现思路
针对移动自组网中存在的黑洞攻击问题，本专利技术提出了基于怀疑度积累的黑洞攻击检测与追踪方法，以下简称BADTOAC方法或算法，该方法将主动检测与被动监测相结合，引入遗忘因子计算各个节点的怀疑值，若正常节点检测到恶意节点的存在则将恶意节点的信息上报至网络控制站以达到全网隔离恶意节点和恢复系统性能的目的。BADTOAC算法由主动检测、被动监测、怀疑值记录和异常上报这四个部分组成。本专利技术的一种基于怀疑度积累的黑洞攻击检测与追踪方法，所述方法包括：在检测周期内，采用被动监测方式，节点检测当前拓扑更新是否满足可疑条件，若拓扑更新的数据包满足可疑条件，节点将在可疑节点对应的信誉登记表中增加Ⅳ型怀疑度；节点监测各个路由路径中的丢包率，若超过其阈值，则触发主动检测；采用主动检测方式检测出可疑行为，从而确定相对应增加的怀疑值，根据遗忘因子对不同时刻发生的信誉度变化进行加权计算从而求得最终怀疑值；根据可疑节点的最终怀疑值的大小，网络控制站通过分析确定出可疑节点是否为恶意节点，一旦确认为恶意节点，网络控制站将进行全网广播，从而对该恶意节点进行全网隔离。可选的，丢包率的计算方式包括：其中，表示在周期Td内源节点s到目的节点d的路由路径中发生了丢包的概率；表示在周期Td内源节点s到目的节点d的路由路径中发生了是否丢包行为，丢包时为0，未丢包时为1；表示在周期Td内源节点s到目的节点d的路由路径中丢包数量比例；w1表示第一权值；w2表示第二权值。进一步的，所述主动检测以下步骤包括：S1、当前节点向目的节点发送若干个需要进行端到端确认的测试数据包，并对每个测试数据包开启端到端的计时器；S2、若当前节点在最后一个等待计时器结束前的丢包率小于阈值进入步骤S3，否则进入步骤S201；S201、判断当前的目的节点是否为与当前节点直连的节点，若目的节点为当前节点的直连节点则进行步骤S203，否则进行步骤S202；S202、当前节点在保持远端目的节点不变的情况下更改目的节点，将新的目的节点更改为上一目的节点的上游节点，返回步骤S1；S203、当前节点将目的节点设置为不可达；S204、当前节点删除与目的节点之间的拓扑关系，并在记录目的节点的信誉记录表中增加Ⅳ型怀疑度；S3、判断目的节点是否为远端目的节点，如果远端目的节点与目的节点是同一个节点则进入步骤S301，否则进入步骤S4；S301、当前节点测量到与远端节点之间的丢包率小于其阈值则判定本条路由路径正常，当前节点判定本条路由路径中不存在黑洞攻击节点，当前节点将本条路由路径上的所有节点增加Ⅰ型怀疑度；S4、当前节点查看是否存在只避开目的节点到达目的节点下游节点的备份路由，如果存在备份路由则进入步骤S5，否则进入S401；S401、对目的节点增加Ⅲ型怀疑度进行标记；S402、当前节点将目的节点的下游节点设置为不可达；S403、在新的邻接表中求出当前节点到远端目标、节点之间的最短路由路径；更新最短路由路径后，当前节点向周围邻居节点发送拓扑更新消息；S5、当前节点通过备份路由测试当前节点避开目的节点后与目的节点的下游节点进行通信的丢包率，若测试通过则进入步骤S本文档来自技高网...

【技术保护点】
1.一种基于怀疑度积累的黑洞攻击检测与追踪方法，其特征在于，所述算法包括：在检测周期内，采用被动监测方式，节点检测当前拓扑更新是否满足可疑条件，若拓扑更新的数据包满足可疑条件，节点将在可疑节点对应的信誉登记表中增加Ⅳ型怀疑度；节点监测各个路由路径中的丢包率，若超过其阈值，则触发主动检测；采用主动检测方式检测出可疑行为，从而确定相对应增加的怀疑值，根据遗忘因子对不同时刻发生的信誉度变化进行加权计算从而求得最终怀疑值；根据可疑节点的最终怀疑值的大小，网络控制站通过分析确定出可疑节点是否为恶意节点，一旦确认为恶意节点，网络控制站将进行全网广播，从而对该恶意节点进行全网隔离。

【技术特征摘要】
1.一种基于怀疑度积累的黑洞攻击检测与追踪方法，其特征在于，所述算法包括：在检测周期内，采用被动监测方式，节点检测当前拓扑更新是否满足可疑条件，若拓扑更新的数据包满足可疑条件，节点将在可疑节点对应的信誉登记表中增加Ⅳ型怀疑度；节点监测各个路由路径中的丢包率，若超过其阈值，则触发主动检测；采用主动检测方式检测出可疑行为，从而确定相对应增加的怀疑值，根据遗忘因子对不同时刻发生的信誉度变化进行加权计算从而求得最终怀疑值；根据可疑节点的最终怀疑值的大小，网络控制站通过分析确定出可疑节点是否为恶意节点，一旦确认为恶意节点，网络控制站将进行全网广播，从而对该恶意节点进行全网隔离。2.根据权利要求1所述的一种基于怀疑度积累的黑洞攻击检测与追踪方法，其特征在于，丢包率的计算方式包括：其中，表示在周期Td内源节点s到目的节点d的路由路径中发生了丢包的概率；表示在周期Td内源节点s到目的节点d的路由路径中发生了是否丢包行为，丢包时为0，未丢包时为1；表示在周期Td内源节点s到目的节点d的路由路径中丢包数量比例；表示第一权值；表示第二权值。3.根据权利要求1所述的一种基于怀疑度积累的黑洞攻击检测与追踪方法，其特征在于，所述主动检测以下步骤包括：S1、当前节点向目的节点发送若干个需要进行端到端确认的测试数据包，并对每个测试数据包开启端到端的计时器；S2、若当前节点在最后一个等待计时器结束前的丢包率小于阈值进入步骤S3，否则进入步骤S201；S201、判断当前的目的节点是否为与当前节点直连的节点，若目的节点为当前节点的直连节点则进行步骤S203，否则进行步骤S202；S202、当前节点在保持远端目的节点不变的情况下更改目的节点，将新的目的节点更改为上一目的节点的上游节点，返回步骤S1；S203、当前节点将目的节点设置为不可达；S204、当前节点删除与目的节点之间的拓扑关系，并在记录目的节点的信誉记录表中增加Ⅳ型怀疑度；S3、判断目的节点是否为远端目的节点，如果远端目的节点与目的节点是同一个节点则进入步骤S301，否则进入步骤S4；S301、当前节点测量到与远端节点之间的丢包率小于其阈值则判定本条路由路径正常，当前节点判定本条路由路径中不存在黑洞攻击节点，当前节点将本条路...

【专利技术属性】
技术研发人员：李云，陈其荣，彭钦鹏，吴广富，屈元远，刘叶，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：重庆,50