无线传感器网络中的 Sinkhole 攻击
Sinkhole 攻击是通过入侵网络中的节点或在网络中引入伪造的节点来进行的。恶意节点将自己宣传为到基站的最短路径,并试图将来自其他节点的流量引导到自己。这不仅引诱了sinkhole附近的所有节点,而且还引诱了比sinkhole更靠近基站的每个节点。入侵者节点或sinkhole可以轻松更改破坏网络安全的数据。
Sinkhole 攻击可以从网络内部和外部发起。在第一种情况下,攻击者可能使用有漏洞的节点开始入侵,而在第二种情况下,入侵者可能通过它形成通往基站的直接路径,诱使其他节点通过它发送流量。
1.异常依赖:
在依赖异常的入侵防御中,系统活动被观察到,并将其分类为异常或正常。在这里,任何类型的干扰或入侵都被视为异常活动。为了成功识别攻击流量,必须首先训练系统识别正常的系统活动。
大多数异常检测系统由一个训练阶段和一个测试阶段组成,其中系统被配置为检测正常活动。这种技术的问题在于,它在识别天坑时可能并不总是准确的,并且可能会引发误报。统计和基于规则的技术都是异常相关方法的一个子分支。
2. 基于规则/签名:
在这种类型的入侵检测系统中,定义了某些规则,WSN 中的每个节点都应遵循这些规则。这些规则奠定了进行天坑攻击的风格和方式的基础。发现违反规则的节点被标记为入侵者节点,因此被解散。
这种检测机制的缺点是它只能检测已经注册的攻击,并且容易受到新的攻击。
3、统计:
这是基于异常的检测技术的另一个子集。在这种方法中,与节点执行的不同任务相关的信息被记录和分析。这些信息可以是从 CPU 使用情况到节点之间的数据包传输的任何信息。然后通过将其行为与参考数据匹配来找到入侵者节点。
4.混合:
这种方法结合了异常和基于签名的入侵检测系统,并消除了它们的缺点。它甚至能够捕获那些签名不是数据库一部分的攻击。与基于异常的方法相比,准确性也大大提高。
5. 密钥管理:
该方法基于密码学原理,其中节点之间传输的数据经过编码,并且只能在密钥的帮助下进行解码。在这种方法中,即使是消息中的微小变化也可以很容易地检测到。
节点可以方便地验证消息的合法性,还可以借助密钥确定数据是否从基站发送。