专利名称:无线网络中耗用功率拒绝服务攻击的探测的制作方法
技术领域:
本发明涉及通信网络,更具体地说,涉及无线网络中的拒绝服务(Denial-of-serviceDoS)攻击。
背景技术:
拒绝服务(DoS)攻击继续向网络运营商提出巨大的挑战。最近,针对因特网资源的攻击的频率和数量一直在不断稳定增加。这些攻击包括2000年2月对大众网站,包括www.yahoo.com,www.cnn.com,www.ebay.com的攻击,以及最近对核心因特网域名服务器(DNS)的攻击。
DoS攻击一般涉及用超过网络节点(例如服务器)的处理能力的大量通信量猛烈攻击该节点。在攻击的持续期间,这样大量的通信量总是使节点的运行处于瘫痪状态。一种更复杂的DoS攻击被称为分布式DoS(DDoS)攻击。就DDoS来说,意图发起DDoS攻击的攻击者通过策反许多节点(例如通过众所周知的安全漏洞),有效地使它们从属于攻击者,开始攻击。这些妥协节点随后被用作发射点向网络中注入通信量。通过召集适当数量的妥协节点,攻击者可能能够通过协调来自多个发射点的通信量,发起大规模的全网络攻击。
并不缺乏与DoS对策相关的研究。事实上,提出了各种各样的解决方案。目前的抵御DoS攻击的现有技术包括(1)状态防火墙(例如,出自San Jose,CA的Ciso Systems的PIX路由器;出自Sunnyvale CA的Juniper Networks的Netscreen;出自Redwood City,CA的Checkpoint Systems的Firewall-1),(2)支持“回推”(即,试图从攻击目标倒回到攻击源安装过滤程序)的路由器修改,(3)“回溯”(即,试图探测攻击源),和(4)寻找到达通信量中的异常或签名的侵入探测机制。在Ioannidis J.和Bellovin S.的“Implementing pushbackRouter-baseddefense against DDoS attacks”,Proceedings of Network andDistributed Systems Security Symposium,February 2002;SnoerenA.“Hash-based IP Traceback”,Proceedings of ACM SIGCOMM,2001;和“SnortOpen-source Network Intrusion Detection System”,http://www.snort.org中可找到关于回推、回溯和入侵探测的更多信息,在此它们均被整体引为参考。
这些方案中的一些需要对现有网络部件进行重大改变,从而部署成本较高,而其它一些方案需要多个因特网服务提供商(ISP)间的合作,从而可能不切实际。虽然如此,这些方案确实减少了有线线路DoS攻击的威胁例如,防火墙的防止从企业LAN之外发起连接的共同特征在减轻许多DoS淹没攻击的影响方面相当成功。
虽然存在用于有线网络的许多解决方案,但是用于无线网络的解决方案很少。诸如PDA和移动电话机之类的无线设备的日益扩散,连同诸如蓝牙、无线保真性(WiFi),通用移动电信系统(UMTS)和第三代无线通信(3G)之类的启用技术为DoS攻击提供了新机会。这是因为无线网络包括并不存在于有线网络中的几种弱点。这些弱点包括由无线链路带宽受限而引起的对通信量的有限容许性,由无线链路相对复杂的本性引起的与无线链路相关的较大处理开销,以及与无线客户机设备有关的有限功率。
通信量结合无线链路的低容量,资源的不足使无线网络易于成为DoS攻击的目标。与DoS攻击使有线链路过载相比,它利用相当少的通信量即可使无线链路过载。
处理开销典型的3G或UMTS网络具有几个基础结构部件,所述几个基础结构部件实现许多功能,比如功率控制,资源分配,寻呼等。无线网络控制器(RNC)和基站被卷入关于每个移动单元的这些活动中,在快速切换系统中,这些设备上的开销是极大的。无线网络中的这种设备一般设计成处理与指定数目的同时有效的用户相关的有限负载。于是,对于无线基础结构来说,过载是一个重要顾虑。
有限的电力供应无线网络中的移动客户机通常由电池供电,电池的有限寿命使移动客户机成为通过使移动客户机执行多余的耗能活动,简单地耗用功率的一类攻击的目标。耗用功率能够很快使移动单元变得不能工作。
发起无线专用DoS攻击的攻击者能够容易地利用这些弱点。存在当与有线DoS相比,能够增强和简化这种无线攻击的两个关键方面。
攻击的量在有线攻击中,攻击者必须在网络上灌注大量的数据,以便成功地淹没一个或多个服务器。由于这增大了探测攻击源的可能性,因此它使有线DoS攻击变得不太有效。无线链路更易于被少得多的通信量过载。这向攻击者提供了双重优点(1)从攻击者的观点来看,易于发起攻击,(2)由于通信量的数量相当小,因此难以探测攻击源。
攻击的目标在有线网络中,服务器通常是DoS攻击的目标。从而,对策能够集中于使服务器更稳健。但是,在无线网络中,攻击的预定目标可以是网络内的许多不同部件中的一个,包括服务器、客户机和基础设施。在无线DoS攻击中,攻击者的灵活性增大,因为基础设施和移动单元都能够容易地攻击。通过单独地攻击每个移动单元,或者通过以无线基础设施为目标以便获得更广泛的效果,同一攻击可以多个移动单元为目标。此外,诸如具有始终打开的移动单元的Evolution Data Only(EV-DO)网络之类的先进无线体系结构对耗用功率攻击的敏感性增大。
就有线网络上的DoS攻击来说,为了使服务器瘫痪,它需要一定的时间,因为服务器一般具有相当大的带宽和处理能力。但是,在无线网络中,移动单元通常具有非常有限的带宽和处理能力,以及有限的电池寿命。从而,到达移动单元的攻击已成功地浪费了无线链路、无线基础设施上的重要资源,以及移动单元上的电池资源。
因此,需要一种专用于无线环境,并且解决其特有弱点的DoS和DDoS攻击对策。
发明内容
根据本发明的原理,一种防止目的在于耗尽无线环境中的移动单元的功率的拒绝服务(DoS)攻击的方法和设备解决了现有技术中的问题。
在一个实施例中,本发明是一种被加入到无线网络中,用于检测和防止无线DoS(W-DoS)攻击的抗无线攻击体系结构(Architecture forWireless Attack REsistanceAWARE)。AWARE体系结构包括特征描述器(profiler),检测器和保护器。特征描述器确定作为网络内的移动单元的通信量的函数的功率消耗的标准(norm)。检测器比较这些标准与相对于网络内的各个移动单元体验的通信量的功率消耗的实际值。如果实际值超过一个或多个指定的阈值,那么检测器认为无线网络受到攻击,AWARE保护器使用存在于无线网络内的现有功能(例如记黑名单)来对抗该攻击。AWARE体系结构可与防火墙位于同一位置,或者分布在无线基础结构的一个或多个部件和移动单元本身间。
AWARE特征描述器可被实现成学习数据库,所述学习数据库在预处理步骤中捕捉关于每个用户的信息,使其能够了解每个用户的正常通信量简档(profile)。该数据库还与其它用户数据库相关联,以便实现交叉移动相关(cross-mobile correlation)。这些数据库中的信息被提供给检测器,检测器保持每个用户的阈值,并确定给一个用户或一组用户的通信量是否违反了对应的阈值。
在一个实施例中,本发明是一种检测无线网络中的拒绝服务攻击的方法和体系结构。产生一个统计量度,所述统计量度表征在无线网络的正常工作期间,无线网络的移动单元的功率消耗与往来于该移动单元传送的数据之间的关系。比较所述统计量度与所述关系的当前量度。如果当前量度与统计量度的差别大于规定的阈值,那么检测到DoS攻击。
在另一实施例中,本发明一种无线网络,包括(1)适合于提供无线网络和因特网之间的接入的接入节点,(2)适合于与接入节点通信的一个或多个无线网络控制器(RNC),(3)用于每个RNC的,适合于与该RNC通信以及适合于与一个或多个移动单元通信的一个或多个基站,和适合于实现前一段的方法的体系结构。
根据下面的详细说明,附加的权利要求和附图,本发明的其它方向、特征和优点将变得更加明显,其中图1图解说明现有技术的例证无线网络。
图2图解说明根据本发明的一个实施例的例证无线网络。
图3图解说明由图2的抗无线攻击体系结构执行的一部分处理的顶层功能流程。
具体实施例方式
这里对“一个实施例”的引用意味着结合该实施例描述的特定特征、结构或特性可被包括在本发明的至少一种实现中。在说明书中的各个地方出现的短语“在一个实施例中”不一定都指的是同一实施例,独立的或者备选的实施例不一定与其它实施例相互排斥。
引言图1图解说明现有技术的例证无线网络100。无线网络100包括移动单元(例如膝上型计算机或者蜂窝电话机)102,小区发射塔104,基站(BS)106,无线网络控制器108和分组数据服务节点(PDSN)110。
在正常工作期间,移动单元102通过小区发射塔104、BS 106和RNC 108与PDSN 110通信,从而向网络证实和注册它自己。从根本上来说,PDSN 110是一个路由器,起往来于无线网络中的所有移动单元的数据流的网关的作用。PDSN向移动单元提供对因特网、企业内部网和应用服务器的接入。通过充当接入网关,PDSN提供简单的因特网协议(IP)和移动IP接入,外部代理支持,和用于虚拟专用连网的分组传送。PDSN还充当验证、授权和记帐(AAA)服务器的客户机,并向移动单元提供到IP网络的网关。PDSN允许移动单元移动,并且仍然得到转发给它的分组。
术语“分组数据服务节点”及其首字母缩写“PDSN”指的是符合CDMA(码分多址访问)标准的网络中的接入节点。在UMTS网络中,PDSN类似物被称为网关GPRS支持节点或GGSN,GPRS代表通用分组无线服务。如同权利要求中使用的那样,术语“接入节点”覆盖CDMA PDSN节点以及UMTS GGSN节点。
当移动单元成功地向网络证实和注册它自己时,在PDSN和该移动单元之间建立起点对点(PPP)链接。尽管图1中未明确示出,该体系结构是分层的,多个移动单元102由每个发射塔104服务,一个或多个发射塔由每个基站106服务,多个BS由每个RNC 108服务,最后,多个RNC与每个PDSN 110通信。
一般使用电池向网络内的移动单元供电,不过存在其它一些备选方案(比如太阳能)。总之,移动单元的特点一般在于功率容量有限。在典型的移动单元中,电池被预期在一组正常使用条件下,给出一定的电池寿命。在这些正常条件下,移动单元被主动使用少量的时间,剩余的时间内移动单元处于空闲状态。当移动单元空闲时,功率管理软件使移动单元进入低功率待机和/或睡眠模式,从而延长其电池寿命。对于移动工作的成功来说,有效的功率管理是关键性的,因为相对于增长相对快速的移动计算能力和能耗来说,电池的容量的提高非常缓慢(每35年才增加一倍)。已证明有效的功率管理算法能够把电池寿命提高几倍。
无线DoS耗用功率(power-drain)攻击由于移动单元的功率容量有限,因此一类W-DoS攻击包括攻击目的是触发移动单元比正常情况下更快地消耗它们的电池电力的那些攻击。其一种实现方式是使无线基础结构部件(具体地说,BS和RNC)比基本维护操作,比如测距和注册所必需的更频繁地与移动单元通信。如果攻击者通过使移动单元保持活动状态,能够阻止移动单元进入其正常的低功率待机状态,那么移动单元的电池寿命可被急剧缩短。为此,攻击者可采用许多不同的策略,包括“代码注入”和“低批量数据触发”。
代码注入攻击代码注入涉及把程序注入移动单元中,使移动单元保持繁忙。程序可以是(1)合法但是耗能多的移动应用,或者(2)其唯一任务就是消耗大量能量的病毒。虽然由这些种类的攻击引起的损害可以是严重的,不过防御相当简单。病毒扫描程序可被用于检测和除去病毒程序。另外,用户可以仔细检查安装在他/她的移动单元上的程序,使耗能多的应用程序的使用降至最少,或者定制它们的能量使用方式。例如,在包括数字照相机的移动单元中,关闭照相机的“始终打开”或者“高亮度”显示特征能够显著增大电池寿命。
低批量数据触发攻击低批量数据触发(LVDT)攻击的作用原理是使移动单元保持活动的时间越长,那么电池电能将更快地消耗。这种攻击极难防卫。当与无线网络连接时,典型的移动单元在活动状态和空闲状态之间交替变化。当移动单元需要传送或接收分组时,移动单元进入活动状态。如果在指定的超时期间,不发送或接收任何数据,那么功率管理方案确保移动单元转变到空闲状态。LVDT攻击可包括通过定期向移动单元发送低批量的数据,突破功率管理方案。通过恰当地对分组到达计时,攻击者能够使移动单元持续保持在活动模式下,利用相对少量的通信量产生非常高的功率耗用。LVDT攻击能够导致严重的破坏,同时由于攻击的低批量本性,因此易于发起并且难以检测。
LVDT攻击策略正是本发明的焦点。在移动单元的不同状态和每种状态下消耗的功率的情况下,能够更好地理解低批量数据触发攻击,这里也被称为电池攻击。
·电源关闭这种状态下,移动单元不消耗任何功率。
·休眠这种状态下,移动单元被通电,但是未与无线网络连接。由于移动单元不与无线网络通信(除了低频寻呼之外),因此在这种状态下,移动单元节约功率。
·空闲这是在与无线网络连接并向无线网络证实它自己之后,移动单元进入的状态。这种状态下,移动单元准备好发射和接收数据,但是当前并未发射和接收数据。定期地(例如在典型的3G实现中,每20毫秒),移动单元向基站发射功率控制帧,以便向基站提供与无线链路的质量有关的信息。由于功率控制帧的传输,在空闲状态下,移动单元消耗功率。如果当没有数据被发射或接收时,在无线链路上存在一段时间(例如20秒)的不活动,那么移动单元进入休眠状态。
·Tx/Rx这种状态下,移动单元主动发射或接收数据。由于连续发射和/或接收的缘故,这种状态下消耗最多的功率。
一般来说,在移动单元的网络接口的活动越多,那么消耗的功率越大。由于在空闲状态下,频繁使用网络接口来发射功率控制帧,因此在空闲状态下,移动单元将消耗和在Tx/Rx状态下几乎一样多的功率。此外,除了当被关闭电源之外,在休眠状态下,由于接口的不活动,移动单元消耗最少量的功率。这与关于典型PDA的实验结果相一致,所述实验结果显示在休眠状态下,能耗为30mA,在空闲状态下能耗为270mA,Tx/Rx状态下能耗为300mA。
这暗示攻击者通过发送刚好足以使移动单元保持活动状态(例如或者处于空闲状态或者Tx/Rx状态)的一定数量的通信量,能够导致最大量的损害。例如,实验表明对移动单元的“ping”攻击,其中每20秒仅仅重复一次ping,能够导致与正常操作条件下移动单元的能耗相比,移动单元的能耗近乎增长10倍。
电池攻击特点电池攻击的关键特点是·发起攻击的简易性为了使移动单元保持活动,攻击者所需的只是在空闲时间计时器超时之前,向移动单元发送一个小分组。如果移动单元持续时间x处于空闲状态(即,不发射或接收数据),这里x是规定的空间时间计时器超时间隔,那么移动单元将转变到休眠状态。
·检测的困难性攻击的低批量本性使攻击者能够绕过许多基于阈值的侵入检测机制和过滤大量的攻击通信量(例如在有线网络DoS攻击中常见的大量的攻击通信量)的防火墙。
·广泛的影响单个攻击者能够使无线网络中的许多移动单元处于活动状态。相反,有线网络中的常规DDoS攻击要求攻击者危害成千上万个主机,以便能够成功,尤其是由于大众网站,比如www.cnn.com和www.yahoo.com服务器具有如此大的带宽和处理能力。
不同于在有线网络中使用的常规DoS攻击,在无线网络中,重要的是设法在电池攻击到达移动单元之前,阻止电池攻击。这是因为当移动单元认识到它受到攻击时,相当大量的功率可能已被浪费。于是,最好具有驻留在无线基础结构中,并且防止这样的分组到达移动单元的解决方案。
抗无线攻击体系结构(AWARE)图2图解说明根据本发明的一个实施例的例证无线网络200。无线网络200包括与图1的例证无线网络100中的那些部件对应的部件,即,移动单元202,小区发射塔204,基站(BS)206,无线网络控制器(RNC)208,和分组数据服务节点(PDSN)210。网络200的这些部件中的每个部件的功能与网络100中的对应部件的功能类似。
无线网络200还包括抗无线攻击体系结构(AWARE)212。虽然在图2中,AWARE被图解表示成与PDSN和因特网间的防火墙在同一地点被实现,不过应注意AWARE体系结构的备选实现是可能的。本领域的技术人员会明白,根据下面的描述,AWARE体系结构可被实现成独立的硬件,或者实现成与无线网络的一个或多个其它部件位于同一位置的软件子例程。下面更详细地描述AWARE体系结构的操作。
图3图解说明由图2的AWARE体系结构212执行的一部分处理的顶层功能流程300。该处理包括特征描述步骤302,检测步骤304和保护步骤306。在特征描述步骤302中,网络和移动单元的正常通信量特性以及移动单元的功率消耗的估计值被用于确定一组正常能效比(EER),这里EER被定义为在指定时间间隔中移动单元发射或接收的数据的数量与在相同时间间隔内移动单元消耗的功率的数量的比值。在检测步骤304中,确定网络中移动单元的实际EER。把实际EER与正常工作条件(例如无攻击)下,网络中移动单元的EER进行比较。如果比值明显偏离标准,那么认为攻击正在进行中,在步骤306中,采取措施(例如动态过滤)来保护网络。对于各种各样的通信情形,可在特征描述和检测期间估计EER,以允许选择与所分析的通信最相关的基于EER的阈值。例如,为指定位速率的单用户流式音频设计的EER统计量可被用于得出适合于给定位速率范围内的流式音频的特定情形或者一组情形的阈值。
能效比可按照许多不同的方式计算EER。例如,在计算机实现的实施例中,可由AWARE体系结构内的处理器执行下述计算,以确定EEREER=Σt=0TDiΣt=0TPi...(1)]]>其中Di是在时间间隔T内发送或接收的每个分组i的数据大小(用比特表示),Pi是第i个分组的发射或接收所消耗的功率。
在一些实施例中,可做出各种假定,以使计算EER所需的细节减至最少。例如,与其记录每个分组的确切大小,简单地跟踪分组的数目就足以满足一些应用。另外,与其计算在等式(1)的分母中使用的每个分组传送所消耗的功率的总和,倒不如报告和捕捉在该时间间隔内消耗的总功率,或者功率消耗的速率的采样等。其它方法也是可能的。基本思想是获得“正常”情况下EER的估计值。
该组EER值对应于关于不同的情况和条件参数化的一组正常EER统计量。可被用于建立每个用户的简档的其它信息包括分组到达时间,源和目的地的IP地址和端口号,以及诸如通信量的类型(HTTP、RTP)之类的应用层特性。
在各个实施例中,特征描述器按用户(per-user)、按应用以及按服务器合计(aggregate)统计量。按用户的统计量可被进一步分类成例如按应用的统计量。例如,上网冲浪是经常使用的服务。类似地,视频点播服务器可使用RTP分组向用户广播视频。通过记录HTTP/RTP分组的到达,也可编辑基于按web服务器的统计量。
为了实现可缩放性,可以在具有类似行为的用户间合计简档。然后,可将通信量与合计简档进行比较以检测不一致性。还可类似地为普及的服务器以及为普及的应用维护合计简档。
使用不同的分类方法的灵活性允许更全面和准确地表征正常通信量。在一个实施例中,通过EER机制的使用,该简档被用于确定什么是“异常的”通信量,同时还使虚假肯定(有效通信量被分类为恶意通信量的错误分类)的概率降至最小。
为了检测例如来自图2的恶意服务器214的恶意攻击的存在,使用恰当的试探性检测,例如指定数量的传输数据的功率消耗显著高于正常情况下的功率消耗。注意,虽然图2表示了通过因特网发起的DoS攻击,不过DoS攻击也可在无线基础结构,包括无线端点内发起。如果所有移动单元发起的通信量被路由给防火墙(AWARE体系结构与之位于并置),那么恶意的移动单元可等同于因特网上的恶意服务器那样被处理。
较简单的是确定通信量的数量,而不涉及移动单元。如果已知关于移动单元的足够信息,那么位于到该移动单元的路径上的无线基础结构中的几乎任何设备都能够计算进出该移动单元的通信量的数量。但是,在没有移动单元的帮助的情况下,不容易获得所述通信量消耗的功率。移动单元可被修改成传送与它们的功率消耗相关的信息。另一方面,可根据分组到达方式估计功率消耗。
计算EER中最困难的部分是测量在移动单元的功率消耗。如果需要准确的功率消耗,那么移动单元不得不被修改,以向中介物报告该信息。但是,实践中这是困难的,因为移动单元的修改涉及多方的协调,以使接口标准化。即使移动单元可被修改,仍然存在关于如何把由于数据传输而消耗的功率与由于在移动单元的其它活动(例如收听MP3)而消耗的功率分开的另一挑战。
首先通过认识到功率消耗测量不必非常准确来解决该问题。重要的是能够核实该功率消耗异常高于正常的功率消耗。于是,可根据往来于移动单元的通信量来估计功率消耗。例如在CDMA网络中,RNC控制移动单元的发射功率。从而,在知道到达和离开移动单元的分组的情况下,能够从RNC获得相当准确的能量消耗估计值。
对于AWARE体系结构来说,存在不同的可能位置,每个所述位置都能够实现电池攻击的检测。与BS和/或RNC位于相同位置对AWARE体系结构来说似乎是有益的,因为这会允许从BS获得传送给移动单元的功率控制信息,以及关于移动单元的功率建议。但是,由于移动单元可能并不以建议的值进行发射,因此该功率消耗数据的来源不一定提供EER的准确值。但是,EER比值表示相对于对应的传输数据消耗的能量,不必准确。这里的目的不是得到EER的准确值。相反,目的是检查EER的相对值,以便检测反常趋势。具体地说,如果用户的当前行为与用户通常的简档不一致,那么发生了EER违犯的可能性较高。
与使用移动单元的真实功率建议的情况相比,通过对不同的操作分配随机产生的功率消耗权重的EER估计将导致相同的流量被检测。于是,与无线体系结构中的任何其它可能位置相比,使AWARE体系结构共同位于任何特定位置并不能获得任何准确性增义。由于对攻击的反应时间和检测机制一样重要,因此,最好使AWARE体系结构与防火墙位于同一位置,以便获得最快的反应时间。
与防火墙/网关的接口在一个可能的实施例中,AWARE体系结构与无线服务提供商的防火墙并置。在这种模型中,不存在关于任何无何基础结构知道并且与AWARE体系结构交互作用的任何假设。AWARE体系结构使用IP层信息,比如分组到达,和来自IP/TCP及应用层报头的信息来建立简档。这假定AWARE体系结构能够查看分组的内部。如果隧道模式下的IPsec已被启动,那么AWARE体系结构可与该域中的IPsec网关并置,以便能够译解和检查分组报头和有效负载。
在相对非侵害的体系结构中,在IP分组到达PDSN之前,AWARE体系结构检查从防火墙传送给它的IP分组。所有的信息被包含在应用报头、TPC报头和IP报头,以及有效负载本身中。用于建立简档的相关信息可抽取自上述报头和有效负载。
AWARE体系结构应能够与现有的防火墙或IPsec网关通信。理想地,AWARE体系结构可与这些实体位于相同位置,以便立即安装过滤器,从而阻止怀疑的通信量。如果AWARE体系结构不与IPsec网关位于相同位置,那么与所述网关建立安全关联,以便能够按照隧道模式译解和处理ESP封装的分组。即使AWARE体系结构不与防火墙位于同一位置,一般也存在与多数商业防火墙(比如CheckPoint的Firewall-1)的接口,所述接口允许过滤器的配置。
通过利用商业和开放源(open-source)现成设备,可部署AWARE体系结构。对于相关性来说,定义一个与无线基础结构的接口,以便询问无线用户状态。该接口允许AWARE体系结构安全地与无线基础结构通信,以便获得用户专有信息。
对于检测来说,称为Snort的开放源IDS机构可被用于模仿AWARE体系结构的功能性。具体地说,Snort使从无线基础结构获得的信息相互关联。利用前面略述的算法,也能够估计该状态。Snort能够对照用户定义的规则集,分析网络通信量,并根据它所了解的情况执行几个动作。例如,Snort能够在防火墙中安装一个规则,以阻挡具有包含特定源地址的报头的所有分组。Snort是模块化的,允许安装新的插件,从而允许检测机制被定制和增强,以防御当前和未来的攻击。插件是通称,指的是可被动态添加以改变Snort的行为的模块。例如,可以引入检测插件,以改进检测功能。前面说明的试探性检测可作为新的检测插件被包含在Snort中。
对于反应来说,称为Snortsam的接口(interfacing)插件可被用于与防火墙接口,并对检测到的DoS攻击作出反应。Snortsam实际上是一种自己在防火墙上运行,同时与Snort安全通信的基于软件的代理程序。该实体使用OPSEC标准与大众化防火墙,例如Checkpoint的Firewall-1,CISCO PIX通信。Snort最初可被用于在防火墙上安装过滤器,以阻挡恶意通信量。随后,Snort可与无线分组调度器连接,以便降低恶意通信量的优先级。
虽然参考例证实施例说明了本发明,不过该说明不是对本发明的限制。对本发明所属领域的技术人员来说显而易见的所述实施例的各种修改,以及本发明的其它实施例在权利要求中表述的本发明的原理和范围之内。
虽然利用对应的标记,按照特定的顺序叙述下述方法权利要求中的步骤,不过除非权利要求的叙述以其它方式暗示实现一些或全部这些步骤的特定顺序,否则这些步骤不一定意图局限于按照该特定顺序来实现。
权利要求
1.一种检测无线网络中的拒绝服务(DoS)攻击的方法,包括(a)产生一个统计量度,所述统计量度表征在无线网络的正常工作期间,无线网络的移动单元的功率消耗与往来于该移动单元传送的数据之间的关系;(b)比较所述统计量度与所述关系的当前量度;(c)如果当前量度与统计量度的差别大于规定的阈值,那么检测到DoS攻击。
2.按照权利要求1所述的方法,其中所述统计量度以在规定的时间间隔内往来于移动单元传送的数据的数量与在所述规定的时间间隔内所述移动单元消耗的功率的数量的比值为基础。
3.按照权利要求2所述的方法,其中所述比值是由下式给出的能效比EEREER=Σt=0TDiΣt=0TPi]]>其中Di是在时间间隔T内发送或接收的每个分组i的用比特表示的数据大小,Pi是在第i个分组的发射或接收期间移动单元所消耗的功率的数量。
4.按照权利要求1所述的方法,还包括如果检测到DoS攻击,那么至少禁止与移动单元的特定通信的步骤。
5.按照权利要求1所述的方法,其中所述方法由无线网络内的抗无线攻击体系结构实现;所述无线网络包括提供所述移动单元和因特网之间的接入的接入节点;和在所述接入点和因特网之间实现所述体系结构。
6.按照权利要求1所述的方法,其中对无线网络中的每个移动用户实现步骤(a)和(b)。
7.按照权利要求1所述的方法,其中无线网络的抗无线攻击体系结构根据移动单元的分组到达方式,估计移动单元的功率消耗。
8.按照权利要求1所述的方法,其中所述统计量度以在规定的时间间隔内往来于移动单元传送的数据的数量与在所述规定的时间间隔内所述移动单元消耗的功率的数量的比值为基础;所述比值是由下式给出的能效比EEREER=Σt=0TDiΣt=0TPi]]>其中Di是在时间间隔T内发送或接收的每个分组i的用比特表示的数据大小,Pi是在第i个分组的发射或接收期间移动单元所消耗的功率的数量;所述无线网络包括提供所述移动单元和因特网之间的接入的接入节点;所述DoS攻击通过因特网或者从无线网络内的一个移动单元发起;还包括如果检测到DoS攻击,那么至少禁止与移动单元的特定通信的步骤,其中根据与所述特定通信相关的分组的来源,选择所述特定通信;所述方法由无线网络内的抗无线攻击体系结构实现;在所述接入点和因特网之间实现所述体系结构;对无线网络中的每个移动用户实现步骤(a)和(b);和所述体系结构根据移动单元的分组到达方式,估计移动单元的功率消耗。
9.一种检测无线网络中的拒绝服务(DoS)攻击的体系结构,所述体系结构适合于(a)产生一个统计量度,所述统计量度表征在无线网络的正常工作期间,无线网络的移动单元的功率消耗与往来于该移动单元传送的数据之间的关系;(b)比较所述统计量度与所述关系的当前量度;(c)如果当前量度与统计量度的差别大于规定的阈值,那么检测到DoS攻击。
10.一种无线网络,包括适合于提供无线网络和因特网之间的接入的接入节点;适合于与接入节点通信的一个或多个无线网络控制器(RNC);用于每个RNC的,适合于与该RNC通信以及适合于与一个或多个移动单元通信的一个或多个基站;和一个体系结构,所述体系结构适合于(a)产生一个统计量度,所述统计量度表征在无线网络的正常工作期间,无线网络的移动单元的功率消耗与往来于该移动单元传送的数据之间的关系;(b)比较所述统计量度与所述关系的当前量度;(c)如果当前量度与统计量度的差别大于规定的阈值,那么检测到DoS攻击。
全文摘要
在无线网络中,抗无线攻击体系结构(AWARE)通过产生一个与在无线网络的正常工作期间,移动单元的功率消耗和往来于该移动单元传送的数据相关的统计量度,检测耗用功率拒绝服务(DoS)攻击。AWARE体系结构比较所述统计量度与当前量度,从而如果当前量度与统计量度的差别大于规定的阈值,那么检测到DoS攻击。如果检测到DoS攻击,那么AWARE体系结构能够禁止与该移动单元的通信,从而防止该移动单元消耗过多的功率。所述统计量度可以是与在规定的时间间隔内往来于该移动单元传送的数据的比特数,和在该时间间隔内该移动单元消耗的功率的数量相关的能效比。
文档编号H04L29/06GK1842087SQ20061006834
公开日2006年10月4日 申请日期2006年3月29日 优先权日2005年3月30日
发明者卜天, 萨姆普·诺登, 托马斯·Y.·伍 申请人:朗迅科技公司