[发明专利]基于数据挖掘的无线Mesh网络入侵的检测方法

摘要

一种基于数据挖掘、用于Mesh网络针对RREQ洪泛攻击的入侵检测方法，检测节点的操作步骤如下：将在该网络中设定时间内接收到的所有RREQ报文按照源节点ID归类和计数；根据对网络中的正常节点和恶意节点的两者数量的获知或估计，分别选取两个检测参数K和cut_off；分别计算每个节点的K-距离函数值：先遍历除去每个节点自身以外的所有节点，从中选择与该节点自身发送RREQ报文数最接近的K个节点；再分别计算每个节点发送RREQ报文数与该节点自身发送RREQ报文数之差的绝对值后，将K个绝对值的累加之和除以K的商，作为每个节点的K-距离函数值；分别将每个节点的K-距离函数值与cut_off数值进行比较，将其中K-距离函数值大于cut_off数值的节点判定为恶意节点并进行相应处理。

主权项

一种基于数据挖掘、用于Mesh网络针对路由查询报文RREQ洪泛攻击的入侵检测方法，其特征在于，包括下列操作步骤：(1)检测节点将接收到的Mesh网络中的所有RREQ报文，按照源节点的标识ID对其在设定时间内接收的全部RREQ报文进行归类和计数；(2)检测节点根据其对Mesh网络中的正常节点和恶意节点的两者数量的获知或估计，分别选取两个可调节的检测参数K和cut_off，其中，检测参数K的数值选取范围为[m，n)，式中，m为估计的恶意节点最大数量，n为正常节点的数量；检测参数cut_off用于保证该检测方法的错误发生率为最小；(3)检测节点按照下述两个步骤分别计算每个节点的K‑距离函数值：选取：遍历除去每个节点自身以外的所有节点，从中选择与该节点自身发送RREQ报文数量最接近的K个节点；K为步骤(2)的检测参数；计算：分别计算每个节点发送RREQ报文数量与该节点自身发送RREQ报文数量之差的绝对值，再将该K个绝对值的累加之和除以K得到的商，作为每个节点的K‑距离函数值；(4)检测节点分别将每个节点的K‑距离函数值与步骤(3)的cut_off数值进行比较，将其中K‑距离函数值大于cut_off数值的节点判定为恶意节点；(5)检测节点将所记录的每个节点已经发送的RREQ报文数清零。