专利名称:具有入侵检测特性的移动自组织网络以及相关的方法
技术领域:
在过去的十年中,无线网络得到了日益增长的发展。对无线网络而言,其中一个快速发展的领域是移动自组织网络(ad-hoc network),或简言之“MANET”。在物理上,移动自组织网络包括很多在地理上分散并且共享公共无线电信道的移动节点。与蜂窝网络或卫星网络之类的其他类型的网络相比,移动自组织网络的最大区别特征在于没有固定架构。网络仅仅由移动节点组成,并且网络是在节点彼此足够接近并且执行发送或接收操作的时候“匆忙”建立的。这种网络不依赖于特定的节点,并且会在某些节点加入或其他节点离开网络的时候进行动态调整。
由于存在这些独特的特性,因此,用于对自组织网络内部数据流进行控制并能适应于频繁的拓扑结构变化的路由协议是不可或缺的。并且近年来出现了两种关于自组织路由协议的基本分类,即后应式(reactive)或“按需”协议以及先应式(proactive)或表格驱动型协议。后应式协议是在响应于某个路由请求而需要某个关于特定目的地的路由的时候收集路由信息的。并且后应式协议的实例包括自组织按需距离矢量(AODV)路由、动态源路由(DSR)以及临时排序路由算法(TORA)。
另一方面,先应式路由协议则试图保持网络中每一个节点到所有其他节点的一致和最新的路由信息。这种协议通常需要每一个节点都保持一个或多个用于存储路由信息的表格,并且这些协议是通过在整个网络中传播更新来响应网络拓扑结构变化的,由此保持了一致的网络视图。这种先应式路由协议的实例包括在授予Perkins的美国专利5,412,654中公开的目标排序距离矢量(DSDV)路由;无线路由协议(WRP)以及簇头网关交换路由(CGSR)。既使用先应式方法又使用后应式方法的混合协议则是在授予Haas的美国专利6,304,556中公开的区域路由协议(ZRP)。
目前,自组织网络发展所面对的一个挑战是安全性问题。特别地,由于移动自组织网络中的所有节点都以无线方式通信,因此这其中存在的非授权用户入侵的风险要大的多。由于自组织网络的开发尚处于早期阶段,并且这些网络呈现出了众多其他的挑战,因此,迄今为止,上述路由协议主要是集中在数据路由结构而不是入侵检测上。
目前正在开发一些用于在移动自组织网络中提供入侵检测的方法。而在Zhang等人于2000年发表于ACM MOBICOM的名为“Intrusion Detection in Wireless Ad-hoc networks”的论文中则概述了其中一种方法。在这篇论文中提出了一种入侵检测架构,在这个架构中,MANET中的各个节点全都参与到入侵检测和响应中。也就是说,每一个节点都负责在本地独立检测入侵迹象,而相邻节点则可以在更广阔的范围中协作调查。此外,入侵检测是以异常检测为基础的,其中举例来说,所述异常检测可以包括结合介质访问控制(MAC)层协议来检测路由表的异常更新或是网络层的某些异常现象。Albers等人在2002年4月于Proceedings of the International First Workshop onWireless Information Systems(Wis-2002)发表了名为“Security in AdHoc Networksa General Intrusion Detection Architecture EnhancingTrust Based Approaches”的论文,其中公开了另一种相似的MANET入侵检测架构。
虽然以上论文中述及的架构可以提供一个用于实施入侵检测的便利起点,但在MANET中,大多数与入侵检测的实施方式有关的细节仍旧没有确定。也就是说,目前大体上仍未定义那些能够对节点是否即为尝试入侵网络的欺骗节点进行可靠指示的特定类型的节点特征。
发明内容
有鉴于上述背景,因此,本发明的一个目的是提供一种具有入侵检测特性的移动自组织网络(MANET)以及相关的方法。
依照本发明的这些及其他目标、特征和优点都是由一个MANET提供的,所述MANET可以包括多个相互之间使用介质访问(MAC)层来传送数据的节点,其中每一个节点都具有与之关联的相应MAC地址。MANET还可以包括一个用于检测针对网络的入侵的警戒节点。其中通过对多个节点之间的传输进行监视,可以对来自一个MAC地址的帧校验序列(FCS)差错进行检测,由此可以完成上述入侵检测操作,此外,如果检测到对应于这个MAC地址的FCS差错数量超出一个阈值,则据此产生一个入侵警报。
此外,警戒节点也可以通过监视多个节点之间的传输来检测那些验证MAC地址的失败尝试,并且基于针对多个验证MAC地址的失败尝试的检测来产生一个入侵警报,从而检测针对无线网络的入侵。更准确地说,警戒节点可以基于对在预定周期中验证MAC地址的失败尝试数目所进行的检测来产生一个入侵警报。
此外,在传送数据之前,多个节点还可以在其间传送请求发送(RTS)和清除发送(CTS)分组。RTS和CTS分组可以包括一个表示为传送数据预留的持续时间的网络配置矢量(NAV)。同样,警戒节点还可以通过监视那些在多个节点之间发送的RTS和CTS分组来检测其中的非法NAV值,以便检测针对MANET的入侵并且基于所述非法NAV值来产生一个入侵警报。
在无竞争周期(CFP)中,多个节点还可以采用无竞争模式来进行间歇性操作。因此,非常有利的是,警戒节点还可以通过监视多个节点之间的传输来检测CFP之外的无竞争模式操作(反之亦然),由此检测那些针对无线网络的入侵并根据该检测而产生一个入侵警报。
此外,MANET可以具有至少一个与之关联的服务集ID。相应地,警戒节点也可以通过监视多个节点之间的传输来检测与之相关的服务集ID,由此检测那些针对MANET的入侵。而且警戒节点还可以基于其中一个所检测的与MANET的至少一个服务集ID所不同的服务集ID来产生入侵警报。同样,多个节点可以在至少一条信道上传送数据,而警戒节点还可以对经由至少一条信道传送但却并非源自所述多个节点中的一个节点的传输进行检测,并且据此产生一个入侵警报。
非常有利的是,在一些实施例中,警戒节点可以向多个节点中的至少一个节点传送一个入侵警报。同样,在这里也可以对入侵做出响应并采用恰当的对策。
本发明的入侵检测方法方面适合于一个包含了多个节点的MANET。本方法可以包括在多个节点之间使用一个MAC层来传送数据,其中每一个节点都具有一个与之相关联的相应MAC地址。此外在这里还对多个节点之间的传输进行监视,以便检测源自MAC地址的PCS差错,如果检测到这个MAC地址的FCS差错超出一个阈值,则据此产生一个入侵警报。
另外,该方法还可以包括对多个节点之间的传输进行监视,以便检测那些验证MAC地址的失败尝试,并且如果检测到很多验证MAC地址的失败尝试,则据此产生一个入侵警报。特别地,入侵警报可以基于预定周期内进行的验证MAC地址的失败尝试次数的检测而产生。
此外,该方法还可以包括在传送数据之前在多个节点之间传送RTS和CTS分组。如上所述,RTS和CTS分组通常包括用于指示专为传输数据保留的持续时间的NAV值。此外,在这里还可以对在多个节点之间传送的RTS和CTS分组进行监视,以便检测其中的非法NAV值,并且基于测得的非法NAV值来产生入侵警报。
在CFP中,多个节点可以间歇性地在无竞争模式中操作。同样,该方法还可以包括监视多个节点之间的传输,以便检测CFP之外的无竞争模式操作(反之亦然),并且据此产生入侵警报。
此外,MANET还可以具有至少一个与之关联的服务集ID。由此,该方法还可以包括对多个节点之间的传输进行监视,以便检测与之相关的服务集ID,如果检测到的服务集ID中的一个ID与无线网络中的至少一个服务集ID所不同,则据此产生一个入侵警报。同样,多个节点可以在至少一个信道上传送数据。由此可以检测那些不源自多个节点之一但却在所述至少一个信道上进行的传输,并且据此产生一个入侵警报。该方法还可以包括向多个节点中的至少一个节点传送入侵警报。
图1是依照本发明并基于帧校验序列(FCS)差错来提供入侵检测的MANET的示意性框图。
图2是基于介质访问控制(MAC)地址的失败验证来提供入侵检测的图1中的MANET的一个替换实施例的示意性框图。
图3是基于非法网络配置矢量(NAV)来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图4和5分别是基于无竞争周期(CFP)之外的无竞争模式操作以及CFP中的竞争模式操作来提供入侵检测的图1中的MANET的其他替换实施例的示意性框图。
图6是基于在非授权周期中进行的传输来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图7是基于对那些不符合相应数据分组的完整性校验值所进行的检测来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图8是基于对节点使用非连续MAC序列号的情况的检测来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图9是基于对预定分组类型的分组的冲突所进行的检测来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图10是基于对同一个MAC地址的冲突所进行的检测来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图11是对依照本发明并以检测FCS差错为基础的入侵检测方法进行描述的流程图。
图12是对依照本发明并以检测MAC地址的失败验证为基础的入侵检测方法进行描述的流程图。
图13是对依照本发明并以检测非法网络配置矢量(NAV)值为基础的入侵检测方法进行描述的流程图。
图14和15分别是对依照本发明并以检测CFP之外的无竞争模式操作以及CFP中的竞争模式操作为基础的入侵检测方法进行描述的流程图。
图16是对依照本发明并以检测非授权周期中出现的传输为基础的入侵检测方法进行描述的流程图。
图17是对依照本发明并以检测不符合相应数据分组的完整性校验值为基础的入侵检测方法进行描述的流程图。
图18是对依照本发明并以检测节点使用非连续MAC序列号的情况为基础的入侵检测方法进行描述的流程图。
图19是对依照本发明并以检测具有预定分组类型的分组冲突为基础的入侵检测方法进行描述的流程图。
图20是对依照本发明并以检测相同MAC地址冲突为基础的入侵检测方法进行描述的流程图。
图21是对用于入侵检测的本发明的附加方法方面进行描述的流程图。
具体实施例方式
以下将通过参考那些显示本发明优选实施例的附图来对本发明进行更全面的描述。然而,本发明还可以通过多种不同形式来加以实施,并且不应该将本发明视为是局限于这里所阐述的实施例。与此相反,通过提供这些实施例,可以使本公开更为全面和完整,并且充分地向本领域技术人员表述本发明的范围。
出于论述目的,在这里,相同数字始终表示相同部件。此外,在这里特别参考了图1~10,其中在替换实施例中使用了十进位不同的参考数字来表示相同部件。例如,在图1~10中描述的移动自组织网络(MANET)节点11、21、31、41、51、61、71、81、91和101都是相同的部件,依此类推。同样,为了避免出现不恰当的重复,在这里只在部件首次出现的时候对其进行了详细描述,然而后续出现的部件将被理解成与首次描述的部件相类似。
现在参考图1,依照本发明的MANET10示意性地包含了节点11、12。为了清楚例示,在这里仅仅显示了两个节点11、12,但是本领域技术人员可以了解,在MANET10的内部可以包含任意数量的节点。并且本领域技术人员可以理解,该节点可以是膝上计算机、个人数据助理(PDA)、蜂窝电话或其他适当设备。此外在一些实施例中,MANET10中的一个或多个节点可以是固定的,以便提供一个与电话网络之类的有线(或卫星)通信架构相连的网桥。
一般来说,在更详细描述MANET10之前,首先要确保关于MANET协议的简要论述具有正当的理由。虽然MANET尚处于起始阶段,并且在这种网络中仍旧没有一种用于控制通信的通用标准,但是MANET具有一个可能的特征,那就是MANET节点是依照用于数据传输的开放式系统结构(OSI)模型操作的,该模型中包含了七个层,在这些层中,特定类型的数据是使用不同协议发送的。并且这些层包括应用层、表示层、会话层、传输层、网络层、数据链路层以及物理层。
数据链路层还包括介质访问控制(MAC)和逻辑链路控制子层。本领域技术人员可以理解,依照本发明,节点11、12优选使用MAC层而在其间传送数据,并且每一个节点都具有一个与之关联的相应MAC地址。当然,在OSI模型中,剩余的层同样被用于数据传输,并且也可以使用其他那些适当的网络数据传输模型。此外,这种数据通常是在分组中发送的,并且不同的分组类型将被用于不同类型的消息数据,在下文中将会对此进行进一步描述。
依照本发明,MANET10示意性地包含了一个或多个用于检测欺骗节点14所进行的网络入侵的警戒节点13。例如,欺骗节点14可以由一个尝试闯入MANET10并以黑客自诩的人所使用,但是它也可以仅仅是一个来自不同MANET的节点,其中所述MANET是在过于接近MANET10的情况下操作的。在本实例中,警戒节点13对节点11、12之间的传输进行监视,以便检测来自指定MAC地址的帧校验序列(FCS)差错。如果检测到关于指定MAC地址的FCS差错数量超出一个阈值,则警戒节点13据此产生一个入侵警报。
应该指出的是,这里使用的词组“节点间传输”旨在表示任何那些直接来自或是去往节点11、12中的一个节点的传输以及在MANET10的工作范围以内所进行的任何传输。换句话说,警戒节点13不但可以对去往或者源自节点11、12的传输进行监视,而且还可以对所能接收的任何其他传输进行监视,无论这些传输是否具体指向或源自MANET10中的一个节点。
在上述实施例(以及下述实施例)中,非常有利的是,警戒节点13可以将警报传送到MANET10中的一个或多个节点11、12。例如,警戒节点13可以将入侵警报直接传送到节点12,然后该节点会向无线网络中的所有剩余节点发出通知。作为选择,警戒节点13也可以将入侵警报广播给所有网络节点。本领域技术人员将会了解,不论出现哪种状况,随后都是可以采用恰当对策来对非授权入侵做出响应的。这种对策超出了本发明的范围,因此在这里不再对其进行论述。
现在转到图2并对MANET20的第一替换实施例进行描述。在这个实施例中,警戒节点23通过监视节点21、22之间的传输来检测那些验证MAC地址的失败尝试,以便检测针对无线网络20的入侵。一旦检测到验证某个MAC地址的失败尝试达到某个预定数目,则警戒节点23将产生一个入侵警报。
在这里可以使用任何数量的失败尝试作为阈值,以便产生入侵警报,然而一般来说,较为理想的是允许节点至少对其MAC地址进行一次尝试,而不产生入侵警报。此外,非常有利的是,在某些实施例中,警戒节点23只在预定时段(例如一小时、一天等等)以内出现了所检测的失败次数的时候才会产生入侵警报。
现在进一步转到图3,依照本发明的另一个方面,在传送数据之前,MANET30的两个节点31、32会在彼此之间传送请求发送(RTS)和清除发送(CTS)分组。相关的原因是为了避免与其他传输相冲突。也就是说,由于MANET30中的很多或所有剩余节点都可以在同一个信道上通信,因此这些节点需要确保它们不会同时进行传输,因为这将会导致发生冲突以及网络中断。
此外,较为优选的是,RTS和CTS分组包括一个网络配置矢量(NAV),它表示的是为传输数据所保留的持续时间。这个信息将会传送到MANET30中的相邻节点,然后,举例来说,所述节点会在特定周期中停止传输。
相应地,警戒节点33由此可以通过监视那些在节点31、32之间发送的RTS和CTS分组来检测其中的非法NAV值,以便检测针对无线网络30的入侵。例如,MANET30可以采用一种数据传输不超过某个时间量的方式来实施,其中该时间量为所有那些参与其中的已授权节点所知。这样一来,如果警戒节点33检测到一个处于已分配时间量之外的NAV值,那么它会据此产生一个入侵警报。
依照图4中所描述的MANET40的另一个实施例,节点41、42可以在竞争或无竞争模式中操作。也就是说,在竞争模式中,所有网络节点都需要竞争接入用于所传送的各个数据分组的特定信道。在无竞争周期(CFP)中,信道的使用受控于一个指定的控制节点,这样则消除了节点争夺信道接入权的需要。本领域技术人员可以了解的是,举例来说,如果MANET将节点排列在组或簇中,那么簇头节点可以指定执行CFP的时间。
因此,非常有利的是,警戒节点43可以通过监视节点41、42之间的传输来检测CFP之外的无竞争模式操作,从而检测针对MANET40的入侵。同样,警戒节点43也可以基于这种检测来产生一个入侵警报。换句话说,针对节点在CFP之外所进行的非竞争模式操作的检测表明该节点并非授权节点,这是因为指定的控制节点会将CFP何时开始告知所有授权节点。
当然,在CFP中检测竞争模式操作时的情况也同样如此,并且在图5中说明性地显示了此类实施例。本领域技术人员应该了解,上述CFP入侵检测方法中的任何一种或者所有这两种方法都可以在一个指定的应用中加以实施。
现在将参考图6并对MANET60的另一个实施例进行描述。在这里,警戒节点63通过监视节点61、62之间的传输来检测非授权周期中的传输,以便检测针对MANET60的入侵。也就是说,通过实施MANET60,可以禁止用户在指定时间访问网络(例如午夜和上午6:00之间的时间)。因此非常有利的是,一旦在这个非授权周期中检测到传输,那么警戒节点63将会产生一个入侵警报。
现在将转到图7并对MANET70的另一个实施例进行描述。在这个实施例中,不同节点71、72为自身发送的数据产生完整性检验值。然后,这些完整性检验值由接收节点进行核实,以便确保初始传输的消息数据的完整性未受到损害。其中举例来说,通过使用一种算法来对消息数据进行处理,可以提供一个包含在消息文本中的值,由此产生完整性检验值。然后,这个值可以由一个接收节点通过使用所述算法以及接收到的数据来进行核实。
因此,警戒节点73通过监视节点71、72之间的传输来检测不符合相应数据分组的完整性检验值,由此检测那些针对MANET70的入侵。也就是说,如果使用一个错误的数据加密密钥来产生消息密文或者欺诈节点84篡改消息,那么完整性检验值很可能会受到破坏。同样,本领域技术人员将会了解,在检测到这种错误的完整性检验值的时候,警戒节点73可以产生一个入侵警报。
现在将参考图8来对依照本发明的另一个MANET80进行描述。通常,在使用上述OSI网络模型的时候会产生一个相应的MAC序列号,并且该序列号是与各个数据分组一起从节点81、82发送的。也就是说,对各个连续数据分组而言,MAC序列号是递增的,由此每一个分组都具有一个与之关联的唯一MAC序列号。由此,警戒节点83可以通过监视节点81、82之间的传输来检测节点使用非连续MAC序列号的情况,由此检测针对MANET80的入侵并且据此产生一个入侵警报。
现在转到图9并对MANET90的另一个实施例进行描述,在这个实施例中,警戒节点93通过监视节点91、92之间的传输来检测具有预定分组类型的分组的冲突,由此检测针对该网络的入侵。特别地,预定分组类型可以包括管理帧分组(例如验证、关联和信标分组)、控制帧分组(例如RTS和CTS分组)和/或数据帧分组。这样一来,警戒节点93可以基于对阈值数目的预定分组类型的冲突所进行的检测来产生一个入侵警报。
这里使用的“冲突”意图包含分组的同时传输以及彼此在某个时间以内的传输。也就是说,如果假设某种类型的分组在传输之间存在一个时延(例如几秒钟等等),那么,如果这两个分组类型是在过于接近的情况下传送的(也就是说,少于其间的必要时延),则可以将其视为是一个冲突。其中举例来说,冲突的阈值数目可以大于3,但是也可以使用其他阈值。此外,阈值数目可以基于所论述的特定分组类型,也就是说,对不同分组类型而言,阈值数量可以是不同的。
另外,阈值数目也可以基于具有预定分组类型的受监视分组总数的某个百分比。举例来说,如果在某个周期(例如一小时)中传送的某个百分比(例如大于10%)的分组牵涉到冲突,则可以产生入侵警报。作为选择,如果受监视分组总数中的某个百分比的分组(例如10个分组中的3个分组)牵涉到冲突,那么也可以产生入侵警报。当然,也可以使用其他适当的阈值数目和用于相同目的的方法。
现在将参考图10来对MANET100的另一个实施例进行描述,其中警戒节点103通过监视节点101、102之间的传输来检测同一个MAC地址的冲突,由此检测针对网络的入侵。也就是说,如果多个终端同时或者彼此相对接近地要求同一个MAC地址,那么将会出现一个差错或者其中一个节点是欺骗节点104。同样,警戒节点103基于对这种冲突的阈值数目的检测来产生一个入侵警报,其中举例来说,所述阈值数目可以大于3。如先前所述,在这里也可以使用其他阈值数目,并且阈值数目也可以基于某个百分比。
现在将参考图11来对用于MANET10的本发明的入侵检测方法方面进行描述。如先前所述,本方法是从块110开始的,并且如先前所述,在块111,本方法包括在多个节点11、12之间使用MAC层来传送数据。而在块112中则是对节点11、12之间的传输进行监视,以便检测来自其中一个MAC地址的FCS差错。在块113,如果所述MAC地址的FCS差错数量超出一个阈值,则据此在块114中产生一个入侵警报,由此结束本方法(块115)。否则,如示意性显示的那样,传输将会继续受到监视。
现在将参考图12来描述依照本发明的第一替换方法方面,本方法是以在块121中在节点21、22之间传送数据为开始(块120)的,并且如先前所述,在块122,本方法将会对传输进行监视,以便对验证MAC地址的失败尝试进行检测。如果在块123检测到验证MAC地址的失败尝试数目,则在块124中产生一个入侵警报,由此结束该方法(块125)。否则如示意性显示的那样,入侵监视将会继续进行。
现在将参考图13来对本发明的第二个替换方法方面进行描述。本方法是以在块131中在节点31、32之间传送RTS和CTS分组为开始(块130)的。并且如先前所述,在块132中将会对在节点31、32之间传送的RTS和CTS分组进行监视,以便检测其中的非法NAV值。如果在块133中检测到非法的NAV值,则据此在块134中产生一个入侵警报,从而结束本方法(块135)。否则如示意性显示的那样,入侵监视将会继续进行。
现在转到图14并对本发明的第三个替换方法方面进行描述。本方法是以在块141中在节点41、42之间传送数据为开始的(块140),并且如先前所述,在块142,本方法将会对传输进行监视,以便对CFP之外的无竞争模式操作进行检测。在块143,如果检测到处于CFP之外的这种操作,则据此在块144中产生一个入侵警报,由此结束本方法(块145)。否则如示意性显示的那样,入侵监视可以继续进行。在图15,在块150~155中示意性显示了通过监视传输来发现CFP中的竞争模式操作的相反情况。在这里,这两种方法都可以用在单独的实施例中,但是未必始终存在这种情况。
现在将参考图16来描述本发明的第四个方法方面。本方法是以在块161中在节点61、62之间传送数据为开始的(块160),并且如先前所述,在块162,本方法将会通过监视来检测非授权周期中的传输。在块163,如果在非授权周期中检测到传输,那么据此在块164中产生一个入侵警报,由此结束本方法(块165)。否则如示意性显示的那样,入侵监视可以继续进行。
现在将参考图17来对本发明的另一个入侵检测方法方面进行描述。本方法是以在块171中在节点71、72之间传送数据为开始的(块170),并且如先前所述,本方法将会通过监视传输172来检测那些不对应于相应数据分组的完整性检验值。如果出现这种情况,则在块173中产生一个入侵警报,由此结束本方法(块175)。否则如示意性显示的那样,入侵监视可以继续进行。
现在转到图18,其中对本发明另一个方法方面进行了描述。本方法是以在块181中在节点81、82之间传送数据为开始的(块180)。因此如先前所述,本方法可以包括在块182中对传输进行监视,以便检测节点使用非连续MAC序列号的情况。如果在块183中检测到这种使用情况,则在块184中产生一个入侵警报,由此终止该方法(块185)。否则如示意性显示的那样,入侵监视可以继续进行。
进一步参考图19,其中本发明的另一个方法方面是以在块201中在节点91、92之间传送数据分组为开始的(块190),并且如上所述,在块192中将会通过监视传输来检测具有预定分组类型的分组的冲突。如果在块193检测到具有预定分组类型的阈值数目的分组的冲突,则在块194中产生一个入侵警报,并且由此终止本方法(块195)。否则如示意性显示的那样,入侵监视可以继续进行。
现在将参考图20来描述本发明的另一种入侵检测方法方面。如先前所述,本方法是以在块202中在节点101、102之间传送数据为开始的(块200),并且如先前所述,在块202中,本方法将会通过监视传输来检测相同MAC地址的冲突。如果在块203检测到存在阈值数量的相同MAC地址冲突,则在块204中产生一个入侵警报,并且由此终止本方法(块205)。否则如示意性显示的那样,入侵监视可以继续进行。
现在将参考图21来描述本发明的另一个入侵检测的方面。依照本发明,网络或服务集标识可以与MANET10或其更小子集(例如群/簇)相关联。如示范性所示,从块210开始,在块211,数据可以在节点11、12之间传送,并且服务集ID是与数据一起传送的,由此可以对MANET10的授权节点进行识别。同样,在块212还可以对在多个节点11、12之间执行的传输进行监视,以便检测与之关联的服务集ID,和/或对并非源自授权节点但在指定网络信道上进行的传输进行监视。
同样,如果检测到一个与MANET10的授权服务集ID不同的服务集ID和/或源自非授权节点但在网络信道上执行的传输,则据此在块211产生一个入侵警报。此外,非常有利的是,如先前所述,在块215,入侵警报可以传送到网络中的一个或多个节点或是另一个信源。否则,如示意性所示,入侵监视可以继续进行。
本领域技术人员将会理解,上述方法的观点全都可以在如上所述的一个或多个NAMET中实现。同样,对本领域技术人员来说,依照上述描述,本发明的附加方法观点都是显而易见的,因此在这里不再对其进行进一步论述。
此外还应该了解,上述发明可以通过采用若干种方式来加以实施。例如,警戒节点13可以在一个或多个单独的专用设备中得到实现,其中这些设备并非MANET10的一部分。作为选择,本发明也可以在需要入侵检测的MANET所安装的一个或多个现有节点的软件中实施。
此外,非常有利的是,即使欺骗节点具有授权的网络或MAC ID(例如CFP之外的无竞争操作、非授权周期中的传输等等),如上所述的本发明的众多方面也还是可以用于检测网络入侵。此外,非常有利的是,如上所述的一个或多个方面可以用在一个指定的应用中,以便提供期望等级的入侵检测。本发明的另一个优点是可用于补充现有的入侵检测系统,尤其是那些主要关注更高的OSI网络层的入侵的系统。
权利要求
1.一种移动自组织网络(MANET),包括多个使用介质访问层(MAC)而在彼此之间传送数据的节点,其中每一个所述节点具有一个与之相关联的相应的MAC地址;以及警戒节点,该节点通过监视所述多个节点之间的传输来检测以下各项中的至少一项,由此检测针对MANET的入侵(a)来自MAC地址的帧校验序列(FCS)差错;(b)验证MAC地址的失败尝试;(c)与MANET相关联的服务集ID;(d)非法网络配置矢量(NAV)值,其中该NAV值表示的是一个为在传输所形成的数据之前传送在所述多个节点之间传送请求发送(RTS)和清除发送(CTS)分组所产生的数据而保留的持续时间;(e)所述多个节点在无竞争周期(CFP)之外执行的无竞争模式操作;以及(f)在CFP中进行的竞争模式操作;以及随后则基于以下各项中的至少一项来产生一个入侵警报(a)检测到MAC地址的FCS差错数目超出了一个阈值;(b)检测到一个超出了验证MAC地址的失败尝试阈值的数目;(c)检测到的服务集ID之一不同于MANET的服务集ID;(d)检测到的非法NAV值;(e)在CFP中检测到竞争模式操作;以及(f)在CFP之外检测到无竞争模式操作。
2.权利要求1的MANET,其中所述多个节点是在至少一个信道上传送数据的;并且其中所述警戒节点还对在所述至少一个信道上传送但却并非源自所述多个节点之一的传输进行检测,并且据此产生一个入侵警报。
3.权利要求1的MANET,其中所述警戒节点还向所述多个节点中的至少一个节点传送一个入侵警报。
4.一种用于移动自组织网络(MANET)的入侵检测方法,其中所述网络包括多个节点,所述方法包括在多个节点之间使用介质访问层(MAC)来传送数据,其中每一个节点具有一个与之关联的相应MAC地址;对多个节点之间的传输进行监视,以便检测下列各项中的至少一项(a)来自MAC地址的帧校验序列(FCS)差错;(b)验证MAC地址的失败尝试;(c)与MANET相关联的服务集ID;(d)非法网络配置矢量(NAV)值,其中该NAV值表示的是一个为在传输所形成的数据之前传送在所述多个节点之间传送请求发送(RTS)和清除发送(CTS)分组所产生的数据而保留的持续时间;(e)所述多个节点在无竞争周期(CFP)之外执行的无竞争模式操作;以及(f)在CFP中进行的竞争模式操作;以及然后基于以下各项中的至少一项来产生一个入侵警报(a)检测到MAC地址的FCS差错数目超出了一个阈值;(b)检测到一个超出了验证MAC地址的失败尝试阈值的数目;(c)检测到的服务集ID之一不同于MANET的服务集ID;(d)检测到的非法NAV值;(e)在CFP中检测到竞争模式操作;以及(f)在CFP之外检测到无竞争模式操作。
5.权利要求4的方法,包括由所述多个节点在至少一个信道上传送数据;并且其中所述警戒节点还包括对在所述至少一个信道上传送但却并非源自所述多个节点之一的传输进行检测,并且据此产生一个入侵警报。
6.权利要求4的方法,其中所述警戒节点还包括将一个入侵警报传送到所述多个节点中的至少一个节点。
全文摘要
本发明涉及一种移动自组织网络(MANET 10、20、30、40、50、60),该网络可以包括多个使用介质访问层(MAC)而在彼此之间传送数据的节点,其中每一个节点都具有一个与之关联的相应MAC地址。MANET还可以包括警戒节点(13、23、33、43、53、63),其中该节点通过监视多个节点之间的传输来检测源自MAC地址的帧校验序列(FCS),由此检测针对MANET的入侵(14、24、34、44、54、64),如果检测到MAC地址的FCS差错数目超出一个阈值,则据此产生一个入侵警报。此外,警戒节点还可以根据失败的MAC地址验证、非法网络配置矢量(NAV)值以及非预期竞争或无竞争操作中的一项或多项来检测入侵。
文档编号H04B7/26GK1679266SQ03820906
公开日2005年10月5日 申请日期2003年8月11日 优先权日2002年8月12日
发明者汤玛斯·杰伊·比尔哈茨 申请人:哈里公司