无线传感器网络中的 Sinkhole 攻击

Sinkhole 攻击是通过入侵网络中的节点或在网络中引入伪造的节点来进行的。恶意节点将自己宣传为到基站的最短路径，并试图将来自其他节点的流量引导到自己。这不仅引诱了sinkhole附近的所有节点，而且还引诱了比sinkhole更靠近基站的每个节点。入侵者节点或sinkhole可以轻松更改破坏网络安全的数据。

Sinkhole 攻击可以从网络内部和外部发起。在第一种情况下，攻击者可能使用有漏洞的节点开始入侵，而在第二种情况下，入侵者可能通过它形成通往基站的直接路径，诱使其他节点通过它发送流量。

1.异常依赖：
在依赖异常的入侵防御中，系统活动被观察到，并将其分类为异常或正常。在这里，任何类型的干扰或入侵都被视为异常活动。为了成功识别攻击流量，必须首先训练系统识别正常的系统活动。

大多数异常检测系统由一个训练阶段和一个测试阶段组成，其中系统被配置为检测正常活动。这种技术的问题在于，它在识别天坑时可能并不总是准确的，并且可能会引发误报。统计和基于规则的技术都是异常相关方法的一个子分支。

2. 基于规则/签名：
在这种类型的入侵检测系统中，定义了某些规则，WSN 中的每个节点都应遵循这些规则。这些规则奠定了进行天坑攻击的风格和方式的基础。发现违反规则的节点被标记为入侵者节点，因此被解散。

这种检测机制的缺点是它只能检测已经注册的攻击，并且容易受到新的攻击。

3、统计：
这是基于异常的检测技术的另一个子集。在这种方法中，与节点执行的不同任务相关的信息被记录和分析。这些信息可以是从 CPU 使用情况到节点之间的数据包传输的任何信息。然后通过将其行为与参考数据匹配来找到入侵者节点。

4.混合：
这种方法结合了异常和基于签名的入侵检测系统，并消除了它们的缺点。它甚至能够捕获那些签名不是数据库一部分的攻击。与基于异常的方法相比，准确性也大大提高。

5. 密钥管理：
该方法基于密码学原理，其中节点之间传输的数据经过编码，并且只能在密钥的帮助下进行解码。在这种方法中，即使是消息中的微小变化也可以很容易地检测到。

节点可以方便地验证消息的合法性，还可以借助密钥确定数据是否从基站发送。