阅读说明：本技术 一种基于马氏距离的女巫攻击网络节点异常检测方法 (Sybil attack network node anomaly detection method based on Mahalanobis distance ) 是由 王军 王妍 明佳音 姚士正 于 2021-09-07 设计创作，主要内容包括：一种基于马氏距离的女巫攻击网络节点异常检测方法,涉及一种网络异常检测方法,本发明对不同情况的女巫攻击,采用马氏距离的距离判别方法,计算节点信任度协作的方法识别女巫攻击恶意节点,针对单个女巫攻击和多个女巫攻击者合谋的不同情形进行仿真。本方法仅需要根据节点的距离来检测女巫攻击节点,简化了计算过程,与此同时降低了的能耗。在女巫节点密度或总节点密度增加的情况下,本方法的检测率变化幅度不大,基本保持稳定,得出本算法具有高检测率、低误检率和稳定的性能。(The invention discloses a Sybil attack network node anomaly detection method based on mahalanobis distance, relates to a network anomaly detection method, and aims at simulating different situations of single Sybil attack and collusion of a plurality of Sybil attackers by adopting a mahalanobis distance discrimination method and calculating node trust cooperation to identify Sybil attack malicious nodes. The method only needs to detect the Sybil attack nodes according to the distance of the nodes, simplifies the calculation process and reduces the energy consumption at the same time. Under the condition that the Sybil node density or the total node density is increased, the detection rate change range of the method is small, the method basically keeps stable, and the algorithm is obtained to have high detection rate, low false detection rate and stable performance.)

一种基于马氏距离的女巫攻击网络节点异常检测方法

技术领域

本发明涉及一种网络异常检测方法，特别是涉及一种基于马氏距离的女巫攻击网络节点异常检测方法。

背景技术

在无线传感器网络中默认每一个节点只具有一个合法身份。而当某个恶意节点对外宣称拥有多个身份但实际上只有一个身份，以此对网络进行各种破坏时，这种攻击就被称为女巫攻击。由于有着多重身份的特点，女巫攻击攻破防御防线时难以进行有效的检测识别，这样使得它成为最难以被检测的一种攻击方式。

无线传感器网络的恶劣环境部署和无线信道通信方式会导致多种网络攻击，其中，最为典型的就是女巫攻击（Sybil attack），它伪造多种身份并用不同功率发送消息来向网络发起攻击，由于身份多变导致其攻击行为难以预测。

无线传感器网络部署在非常恶劣的开放环境下，其采用无线信道通信，而且能量有限，使得它能采用较为简单的通信技术，相比传统的无线通信，无线传感器网络一直面临更多的网络攻击难题，表1总结常见网络攻击类型和他们主要特征。

表1 WSN中常见网络攻击

根据以上常见的无线传感器网络攻击模式，可以发现，无线传感器网络的攻击方式基本作为如下几种表现：1、耗尽节点能量；2、拒绝转发报文；3、丢弃报文等，其中女巫攻击具有其独特的攻击特点和强大的攻击力，拥有与众不同的破坏性。女巫攻击面世之初，采用危害多路由路径的方法，然而，随着路由协议的连续改变和发展，它开始破坏概率路由和地理路由等多种路由协议。与此同时，女巫攻击还利用节点来伪造控制节点的数量，影响了数据融合机制、公平资源分派机制。不但如此，它还会破坏异常行为检测表决竞争机制、表决竞争机制，具有很强的破坏力和范围极广的不良影响。

发明内容

本发明的目的在于提供一种基于马氏距离的女巫攻击网络节点异常检测方法，该发明针对节点的到达距离通过距离判别法将获取的节点根据属性异常判断，计算相应的信任属性，最后检测节点是否为女巫攻击的恶意节点。通过理论研究与仿真结果发现，该方法能迅速并准确的识别出恶意节点，及时将恶意节点驱除网络，提高了数据的精度与网络的安全性，延长了网络生命周期，进而保证了网络安全。因此，针对该问题提出了基于马氏距离的女巫攻击节点异常检测方法。

本发明的目的是通过以下技术方案实现的：

一种基于马氏距离的女巫攻击网络节点异常检测方法，所述方法包括以下制备过程：

1）信任机制的判断方法，本方法利用其恶意攻击特点与属性对其惊醒建模以实现建立合理的信任评估模型；信任属性的定义，包括能量消耗率、丢包率、报文发送频率、传感器测量值；

2）恶意节点异常检测方法，判断一个节点类型，在距离判别法，用马氏距离判别法在无线传感器网络中判断女巫攻击的异常节点方法；

通过和样本属性值计算出协方差矩阵，采样信任值属性的马氏距离计算方式如下：

（8）

其中，是信任属性的马氏距离，表示信任属性类，；为每类信任属性采样数，；

通过上式得到所有样本的马氏距离，计算其最大的马氏距离是：

（9）

通过计算所有节点值，若该马氏距离大于则代表节点有可疑性，相反，若该马氏距离小于等于则代表节点正常，通过对属性值的异常判断，计算出所有节点相应的信任属性，据此判断出网络中的节点是否为女巫攻击的恶意节点。

所述的一种基于马氏距离的女巫攻击网络节点异常检测方法，所述能量消耗率，单位时间内节点消耗能力的多少，计算公式如下：

（1）

其中，表示能量消耗率，表示时刻节点剩余能量，表示时刻节点剩余能量。

所述的一种基于马氏距离的女巫攻击网络节点异常检测方法，所述丢包率，某节点通信时，该节点丢包数量与总发送数据包数量的比值。

所述的一种基于马氏距离的女巫攻击网络节点异常检测方法，所述报文发送频率，某节点单位时间内发送数据包的数量。

所述的一种基于马氏距离的女巫攻击网络节点异常检测方法，所述传感器测量值，某些恶意节点攻击时，其行为不体现在网络传输上面，它们对传感器测量值进行伪造或者篡改，造成其物理系统出故障，此时会有很大偏差，没有受到攻击时，是一个平稳序列。

本发明的优点与效果是：

本发明对不同情况的女巫攻击，采用马氏距离的距离判别方法，计算节点信任度协作的方法识别女巫攻击恶意节点，针对单个女巫攻击和多个女巫攻击者合谋的不同情形进行仿真。与之前研究提出的基于定位机制的女巫攻击检测算法相比，本方法仅需要根据节点的距离来检测女巫攻击节点，简化了计算过程，与此同时降低了的能耗。在女巫节点密度或总节点密度增加的情况下，本方法的检测率变化幅度不大，基本保持稳定，得出本算法具有高检测率、低误检率和稳定的性能。

具体实施方式

下面结合实施例对本发明进行详细说明。

本发明检测方法构成如下：

1.信任机制的判断方法

本方法利用其恶意攻击特点与属性对其惊醒建模以达到建立合理的信任评估模型。

下面具体介绍信任属性M的定义：

定义1：能量消耗率。单位时间内节点消耗能力的多少，计算公式如下：

（1）

其中，表示能量消耗率，表示时刻节点剩余能量，表示时刻节点剩余能量。

定义2：丢包率。某节点通信时，该节点丢包数量与总发送数据包数量的比值。计算公式如下：

（2）

其中，是丢包率，是节点向其它节点发送得数据包总数，是该节点的丢包数量。

定义3报文接收频率。某节点单位时间内成功接收数据包的数量。计算公式如下：

（3）

其中，表示在时间内成功接收的报文数；为报文接收频率。

定义4：报文发送频率。某节点单位时间内发送数据包的数量。计算公式如下：

（4）

其中，为报文发送频率，表示在单位时间成功发送的报文数。

定义5：传感器测量值。某些恶意节点攻击时，其行为不体现在网络传输上面，它们对传感器测量值进行伪造或者篡改，造成其物理系统出故障，此时会有很大偏差，没有受到攻击时，是一个平稳序列。

2.恶意节点的异常检测方法，判断一个节点属于什么类型，在数学方法中，最常使用的方法就是距离判别法，第一步，得到数据的样本信息，接下来根据不同规则将所得到的样本信息进行分类，加入新的样本点时，仅需要根据规则判断其所属的类别。常见的距离判别法有马氏距离判别法和欧式距离判别法，欧氏距离判别法是我们在日常生活中使用最多的距离判别方法，优点时使用方便，缺点时缺乏分散性信息，特别在总体分布情况下；而马氏距离判别法则可以弥补欧式距离判别法的缺点，它从多个不同的方面考察样本之间的各种联系，非常适合用来判别样本的相似度，下面将具体介绍用马氏距离判别法在无线传感器网络中判断女巫攻击的异常节点方法。

设G为n维总体，是样本均值向量，是协方差阵，则样本与总体G的马氏距离为：

（5）

在保证无线传感器网络的安全和信任属性正常情况下，对样本节点的六种信任属性

分别进行次采样。将对应的样本属性集记为Q，表示信任属性的采样值，则有：

（6）

所以采样样本均值可通过如下计算：

（7）

然后可以通过和样本属性值计算出协方差矩阵，由上可知，采样信任值属性的马氏距离计算方式如下：

（8）

其中，是信任属性马氏距离，表示信任属性类，，为每类信任属性采样数，。

所以，通过上式得到所有样本的马氏距离，计算其最大的马氏距离是：

（9）

通过计算所有节点值，若该马氏距离大于则代表节点有可疑性，相反，若该马氏距离小于等于则代表节点正常，通过对属性值的异常判断，可以计算出所有节点相应的信任属性，据此可以判断出网络中的节点是否为女巫攻击的恶意节点。