[发明专利]无线网状网络攻击检测方法

权利要求书

1.一种基于数据挖掘的无线网状网络攻击检测方法，其特征在于该方法包括如下步骤：

检测节点接收PREQ报文，并统计引发RERR的RREQ报文的上一跳节点的数量；

当引发RERR的RREQ报文的上一跳节点的数量大于或等于10时，对检测节点接收到的所有PREQ报文进行聚类；

选取Kmeans参数；

根据Kmeans参数，对引发RERR的RREQ报文的上一跳节点ID进行Kmeans聚类，得到恶意节点集合。

2.根据权利要求1所述的基于数据挖掘的无线网状网络攻击检测方法，其特征在于，该方法还包括如下步骤：

将所述的恶意节点集合加入黑名单；

将所有引发RERR的RREQ报文的上一跳节点的已发送RREQ报文数设置为0。

3.根据权利要求1或2所述的基于数据挖掘的无线网状网络攻击检测方法，其特征在于，所述的检测节点是指能接收无线Mesh网络中所有的RREQ报文，并对所接收到的RREQ报文进行入侵检测，根据检测结果启动检测响应机制。

4.根据权利要求3所述的基于数据挖掘的无线网状网络攻击检测方法，其特征在于，所述的检测响应机制是指为抵御恶意节点的攻击行为所采取的措施。

5.根据权利要求1或2所述的基于数据挖掘的无线网状网络攻击检测方法，其特征在于，所述的对检测节点接收到的所有PREQ报文进行聚类，该聚类包括如下两个阶段：

归类阶段，即记录引发RERR的RREQ报文的上一跳节点ID；

计数阶段，根据所述的上一跳节点ID，查找该节点是否已经发送过RREQ报文，如果已经发送过，则将该节点的已发送RREQ报文数加1，如果没有发送过，则将该节点的已发送RREQ报文数设置为1。

6.根据权利要求1或2所述的基于数据挖掘的无线网状网络攻击检测方法，其特征在于，所述的Kmeans参数为2.5～3.5。

7.根据权利要求1或2所述的基于数据挖掘的无线网状网络攻击检测方法，其特征在于，所述的进行Kmeans聚类得到恶意节点集合，具体过程如下：

 将所有RREQ报文的上一跳节点ID任意分为两个聚类；

 对在聚类中的每个节点进行操作，根据节点ID与聚类中心的相似度，分别将节点ID分配给与其最相似的聚类；

 计算每个所获新聚类的聚类中心，即该聚类中所有节点ID的均值；

 不断重复步骤和，直到聚类收敛为止；

 比较所获得的最终两个聚类的中心距，当大中心距大于或等于小中心距与所述Kmeans参数乘积时，则该大中心距的聚类为恶意节点集合。