一种基于统计分析的物联网入侵检测方法技术

本发明专利技术公开了一种基于统计分析的物联网攻击检测方法，包含以下步骤：根据物联网攻击对数据包数量的影响将攻击重分类为UDP类攻击和ICMP类攻击；在RPL网络稳定后，各节点统计自己的接收和发送的UDP数据包、ICMP控制包和邻居节点的数量；节点将统计信息封装在自定义的ICMP控制包DSI中；每经过时间间隔T并随机延迟几秒，各节点将DSI发给根节点；根节点收到消息后，分别计算各节点UDP数据包和ICMP控制包的信息熵；根据网络稳定时UDP数据包和ICMP控制包的关系分别设定两个阈值；根节点执行异常检测等等；本发明专利技术利用恶意行为带来的数据包的波动完成了对攻击节点的识别，有较高的准确率与较低的通信代价。较低的通信代价。较低的通信代价。

【技术实现步骤摘要】
一种基于统计分析的物联网入侵检测方法


[0001]本专利技术涉及基于RPL协议的IoT网络中常见物联网攻击的检测，特别涉及一种基于统计分析的物联网入侵检测方法。

技术介绍

[0002]物联网（Internet of Things，IoT）是一个广泛的技术和研究领域，它由数十亿个联网设备组成，这些设备收集和通信实时数据。据预测，到2025年，物联网设备的数量将达到750亿台。此外物联网的经济影响力将达到11万亿美元，其中相当大的一部分将存在于商业和工业领域。低功耗和有损网络（Low Power and Lossy Networks，LLNs）是由许多有限功耗、内存和处理资源的异构嵌入设备组成的，为物联网的实现提供了重要的促进作用。这些网络被广泛应用于生活各领域，如智能家居、医疗保健、环境监测、智能城市、智能电网等。
[0003]由于无线传感网络中的路由方法不能有效地在物联网中工作，并且传统的互联网路由协议不适合资源受限的物联网设备，被低功耗和有损网络路由协议（Routing Protocol for Low Power and Lossy本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于统计分析的物联网入侵检测方法，其特征在于，所述方法包括以下步骤：S1.根据物联网攻击对数据包数量的影响将攻击重分类为UDP类攻击和ICMP类攻击；S2.在RPL网络稳定后，各节点统计自己的接收和发送的UDP数据包、ICMP控制包和邻居节点的数量；S3.节点将统计信息封装在自定义的ICMP控制包DSI中；S4.每经过时间间隔T并随机延迟几秒，各节点将DSI发给根节点；S5.根节点收到消息后，分别计算各节点UDP数据包和ICMP控制包的信息熵；S6.根据网络稳定时UDP数据包和ICMP控制包的关系分别设定两个阈值；S7.根节点执行异常检测，将计算的信息熵与设定的阈值进行比较，若信息熵小于对应的阈值，说明此节点可能存在异常，将其判定为可疑节点；S8.可疑节点将进一步执行根据RPL组网的特性设定的特征分析；S9.根据特征分析判断可疑节点是否为恶意节点以及确定攻击类别；S10.根节点将恶意节点报告出去，其它节点做出响应。2.如权利要求1所述的基于统计分析的物联网入侵检测方法，其特征在于，所述S1中，根据物联网攻击对数据包数量的影响，有的攻击导致发送的UDP数据包增多，有的攻击使发送的数据包减少，有的则是使ICMP控制包发生类似变化，因此将物联网攻击重分类为UDP类攻击和ICMP类攻击。3.如权利要求1所述的基于统计分析的物联网入侵检测方法，其特征在于，所述S2中，当网络稳定后，每个路由节点从它的邻居那里收集信息并存储到一个有多个条目的表中，第一个条目包含节点收到的UDP数据包的数量,第二项包含发送的UDP数据包数量，后面的条目依次存储收到ICMP控制包的数量即、发送的ICMP控制包的数量即和邻居节点数量。4.如权利要求1所述的基于统计分析的物联网入侵检测方法，其特征在于，所述S3中，节点将统计信息封装在自定义的ICMP控制包DSI（DODAG Statistic Information）中，它为单跳数据包，避免选择转发等恶意丢包攻击。5.如权利要求1所述的基于统计分析的物联网入侵检测方法，其特征在于，所述S4中，对于每个时间间隔T，各节点将节点统计的信息发给根节点，为了避免节点同时发包而引...

【专利技术属性】
技术研发人员：童飞，高凯，
申请(专利权)人：东南大学，
类型：发明
国别省市：