(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210100218.9 (22)申请日 2022.01.27 (65)同一申请的已公布的文献号 申请公布号 CN 114448697 A (43)申请公布日 2022.05.06 (73)专利权人 上海交通大 学 地址 200240 上海市闵行区东川路80 0号 专利权人 上海机电工程研究所 (72)发明人 朱浩瑾　张乐　张唯炯　刘博　 李嘉淳　孟岩　 (74)专利代理 机构 上海恒慧知识产权代理事务 所(特殊普通 合伙) 31317 专利代理师 张宁展 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/142(2022.01) H04L 9/32(2006.01) (56)对比文件 CN 112448921 A,2021.0 3.05 US 20102 99430 A1,2010.1 1.25 WO 2021086 648 A1,2021.0 5.06 US 2021160171 A1,2021.0 5.27Haojin Zhu.An Ensemble Ap proach for Suspicious Traf fic Detecti on from High Recall Network Alerts. 《2019 IE EE Internati onal Conference o n Big Data (Big Data)》 .2020,全 文. Jiachun Li.BatFL: Backdo or Detecti on on Federated Learn ing in e-Health. 《2021 IEEE/ACM 29th Internati onal Symposium o n Quality of Service (I WQOS)》 .2021,全 文. K. Dhanya.A Secure Auto nomic Mobi le Ad-hoc Netw ork based Trusted Routi ng Proposal. 《2019 I nternati onal Conference on Computer Com munication and Informatics (ICCCI)》 .2019,全 文. 蒋健等.基于路由证据的域间路由不 一致路 径恶意自治系统检测机制. 《计算机学报》 .2016, (第06期),全文. 李峰等.基 于信任机制的机会网络安全路由 决策方法. 《软件学报》 .2017,(第09期),全 文. 陈炜等.一种新颖的移动自组网灰洞攻击 检 测方案. 《计算机 研究与发展》 .20 07,(第08 期), 全文. 审查员 王樱 (54)发明名称 基于路由证据的路由节点恶意行为检测方 法与系统 (57)摘要 本发明属于空天地一体化网络安全的技术 领域， 公开提出了一种在空天地一体化网络中， 基于路由证据的安全路由验证方案， 考虑了三种 不同类型的攻击手段， 以抵御在空天地场景下可 能存在的安全威胁。 通过对路由安全方案的设 计， 本发明可以保证空天地一体化网络下的任务 执行和消息共享等都是在高度安全的前提下进 行。 本发明可 以对于已有攻击进行有效的防御， 高度保障了空天地一体化网络的安全性。 并且本 发明还使用了博弈论和概率抽样等手段保证对攻击行为的防御和对恶意节点的检查开销都在 可接受的范围内， 保证 了所提出方案的有效性。 权利要求书3页 说明书8页 附图1页 CN 114448697 B 2022.10.11 CN 114448697 B 1.一种空天地场景下基于路由证据的路由节点恶意行为检测方法， 其特征在于， 该方 法包括步骤： S1.路由证据生成： 对于某一特定的基站BS及其覆盖范围内的所有 的N个节点， 进行信 息交互时， 提取节点之间的联系、 传输信息作为攻击行为的判定依据， 称为路由证据， 用于 后续的恶意节点检出； 所述的路由证据包括审计 证据EviD、 转发证据EviF和联系证据EviC； 所述的审计 证据EviD定义为： EviDi→j＝(nodei,nodej,msg,Tstart,Si→j) 从发送节点Host开始， 到最终接收节点Dest 为止， i(nodei)和j(nodej)分为信息传输节 点和信息接收节点， Tstart为记录转发开始的时间戳信息， msg为加密信息， Si→j为节点i对于 该加密信息的签名； 所述的转发证据EviF定义为： EviFi→j＝(nodei,nodej,Tsend， Flagi→j,Si→j) 其中， Flagi→j为允许转发标志， 由节点j是否存在于节点i对于消息的前向通路集合中 确定， Tsend为信息发送的时间戳信息； 所述的联系证据EviC定义为： EviCi→j＝(nodei,nodej,msg,Tstart,Tleft,Flagi→j,Si→j) 其中， Tstart为记录转发开始的时间戳信息， Tleft为信息剩余存活时间； S2.数据聚合上传： 各基站收集各节点交互的信息和路由证据， 并通过数据保护， 分布 式将路由证据聚合得到路由证据簇 即 将路由 证据簇 上传至中央处 理系统； S3.攻击行为检测： 中央处理系统对收到各基站的路由证据簇进行检测， 其中不同的路 由证据用于检测不同种类的攻击行为， 并作为证据实现对容断容迟空天地网络的恶意节点 的事后检查； 消息伪造攻击的检测， 具体是通过聚类筛选方式筛选出一部分可能的恶意节点， 之后 通过所有指向任务的节点对可能的恶意节点根据msg的偏差进行投票， 从而检测出恶意节 点； 流量洪泛攻击的检测， 具体步骤如下： 设任一节点 nodei， 在传输时间ts1中向节点 nodej发送消息的流 量速度定义如下： 其中， Setmsg表示待转发消息的集合， lmsg表示消息的长度， tmsg表示通过转发证据Ev iF获 得的消息传输时间； 计算传输时间ts1中整个网络系统的平均流 量速度， 公式如下： 权　利　要　求　书 1/3 页 2 CN 114448697 B 2其中， sum表示基站所 管理的节点个数和； 当节点的流量速度大于该平均流量速度， 则该节点判定为恶意节点， 即存在洪泛攻击 行为； 黑洞/灰洞攻击的检测， 具体步骤如下： 步骤a.根据聚合得到路由证据簇 分析获得需要被转发的消息集合Qmsg， 参与 转发任务的消息 以及节点之间进行了联系的集合 通过对路由证据的推算获 得每个节点的对应信息， 并将消息转发过程中下一跳节点集合记为Qnext， 将满足转发条件， 符合路由规则的联系节点 集合记为 步骤b.设定路由规则， 判断是否存在黑洞攻击， 即是否存在合理转发条件却产生了丢 包行为： 如果 说明在满足转发条件时， 该节点 未诚实进行 数据转发， 发生了自私的丢包行为； 如果 说明转发不符合路由规则， 属于恶意节点； 步骤c.根据设定的路由规则发现恶意节点， 并进行数据统计， 找出黑洞/灰洞攻击的恶 意节点集合。 2.根据权利要求1所述的基于路由证据的路由节点恶意行为检测方法， 其特征在于， 所 述的S3.中央处理系统对收到各基站的路由证据簇进行攻击行为检测， 包括对消息伪造攻 击的检测、 流 量洪泛攻击的检测 和黑洞/灰洞攻击检测。 3.根据权利要求1所述的基于路由证据的路由节点恶意行为检测方法， 其特征在于， 还 包括步骤S4.提升能量效率， 具体步骤如下： S4.1针对上述的三种攻击行为的检测 都在抽样样本中进行， 引 入概率抽样检测机制， 在每一轮的检测迭代过程中， 对于节点的行为进行评估， 如果该节点在该轮次被认定为良 性转发， 对应的基站BS将减少 对该节点的抽查概率；  反之， 如果该节点被发现存在恶意行 为， 在后续的检查阶段中， 将增 加对该节点的抽查 概率； S4.2为了确定在概率抽样检测机制中合适的概率选择， 基于博弈论的理论分析， 通过 对节点和基站BS的纳什均衡点的寻找， 使得节点和对应的基站BS选择诚实转发； 博弈论的分析基于信誉机制， 即当每一轮检查时， 当基站发现该节点在此时的行为是 诚实的， 该节点会得到相应的奖励R， 如果该节点此时的行为被怀疑为恶意的， 该节点会得 到的惩罚P， 会在节点的账户上进行扣除， 而奖励和惩罚的结果会由基站BS承担； 如果诚实 传输了消息， 基站也会得到增益G。 4.根据权利要求3所述的基于路由证据的路由节点恶意行为检测方法， 其特征在于， 为 了执行检查， 基站每一轮需要支付检查消耗D， 而节点每一轮诚实转发的消耗记为T； 对于第i个节点， 如果该节点进行自私的丢包行为， 所获得的收益计算 为下：权　利　要　求　书 2/3 页 3 CN 114448697 B 3