专利名称:无线Mesh网络入侵检测系统及其检测方法
技术领域:
本发明涉及的是一种网络安全技术领域的装置及方法,具体是一种无线Mesh网 络入侵检测系统及其检测方法。
背景技术:
无线Mesh网络(Wireless Mesh Network,WMN),是一个动态自组织的网络。网络中 的节点自动建立并保持与其他节点间的连接。这些特点给WMN网络带来了许多特点,诸如 较低的前期成本、鲁棒性和可靠的服务覆盖范围。然而,无线Mesh网络因其开放的无线信 道、合作的路由算法、缺乏集中监控等特点导致其受到网络入侵的风险性和机会急剧增多, 设计安全措施来发现并清除入侵者是无线Mesh网络安全领域的一个十分重要而迫切的问 题。然而要想完全避免网络受到攻击并不现实,因此要通过入侵检测系统来发现入侵行为, 以便采取合适的措施来修复受到入侵的网络。传统的入侵检测方法依赖于已知的异常行为方式,并根据监测到的事件特征进行 检测。如果攻击者的行为是检测系统已知的,那么这种方法具有较高的检测率和较低的虚 警率。但是随着攻击种类的多样化,很多新的攻击行为不能为这种系统检测出来。经对现有技术的文献检索发现,易平等(易平、吴越、柳宁等,基于有限状态机的 入侵检测技术,无线自组织网络入侵检测方法,中国,发明专利,200810041454,2009. 1. 7) 提出了一种基于有限状态机的无线自组织网络入侵检测系统。发明者设计了一种将检测者 的监听状态定义为有限状态机的入侵检测算法。检测节点根据其所监听到的被检测节点的 报文进行自身的监听状态转移,若监听过程中检测节点转移到异常状态,则怀疑此时被检 测节点为嫌疑恶意节点,并产生相应的告警。这种检测方法能够发现未知攻击方式,但是由 于路由协议描述的是被检测节点的行为,因此在此发明中,必须将描述被检测节点合法行 为的路由协议转译为描述检测者监听状态的有限状态机,将不可避免产生失真,影响检测 的效果。
发明内容
本发明针对现有技术存在的上述不足,提供一种无线Mesh网络入侵检测系统及 其检测方法,通过建立节点假人使得路由协议状态机能合适地运用于入侵检测中,为检测 节点进行检测提供检测依据;通过采取入侵检测系统部署策略,解决由于无线Mesh网路中 入侵检测不准确的问题;通过开启检测系统时机的选择,可以减少整体入侵检测对网络的 资源消耗。本发明是通过以下技术方案实现的本发明涉及一种无线Mesh网络入侵检测系统,包括数据收集模块、检测记录模 块、节点假人管理模块、特征检测模块和响应模块,其中数据收集模块将检测节点的收发 报文和监听报文生成副本并输出至节点假人管理模块,检测记录模块记录检测节点的所属 区域检测情况记录并通过维护检测记录识别已检测节点并据策略可减少检测范围,节点假人管理模块产生状态转移事件并输出至特征检测模块,响应模块与特征检测模块相连接并 接收特征检测模块发出的告警信息并在网络中检测出恶意节点时启动,检测记录模块与数 据收集模块相连接并接收数据收集模块发出的已检测节点的信息,所述的节点假人是指 用于入侵检测需要而创建出的虚拟网络节点,用于判断被检测节点是否在网络中有异常行 为。所述的节点假人管理模块包括资源模拟子模块、事件生成子模块、状态机管理子 模块和异常处理子模块,其中资源模拟子模块接收数据收集模块发出的检测节点的收发 报文副本和监听报文副本并模拟节点假人资源使用情况,状态机管理子模块接收事件生成 模块发出的状态转移事件,异常处理子模块接收状态机管理子模块发出的异常告警信号。所述的资源模拟子模块采用有限状态机的方式对模拟节点假人的行为建模并模 拟资源使用情况以及对异常行为进行检测;该有限状态机由一个有向图形,由一组节点和 一组相应的转移函数组成。本发明涉及上述系统的检测方法,包括如下步骤步骤一,首先根据无线Mesh网络的路由协议形成有限状态机,具体是指为网络 中每个检测节点创建节点假人,然后由节点假人加载路由协议产生的有限状态机程序并利 用检测节点感知到的检测对象的报文作为状态转移的条件,当节点假人每次行为后仍处于 正常状态范围内则其映射的被检测节点没有发生异常,当转移到异常状态,表明其映射的 被检测节点进行了不符合协议的异常行为;步骤二,部署入侵检测系统,确定进行入侵检测的节点,具体是指使用分布式协 作入侵检测,对每个节点设置入侵检测代理,以便为与该节点有相邻报文交互的临近节点 建立节点假人或建立基于移动Agent的入侵检测架构;然后在状态机入侵检测网络中划分 区域,每个区域内含有一个以上装载有入侵检测代理的节点。所述的分布式协作入侵检测是指IDS Agent运行于网络中每一个节点上,单独执 行本地数据收集和入侵检测,一旦发现有异常行为则触发整个网络的入侵检测和响应。所述的基于移动Agent的入侵检测架构是指在网络中选取个别节点上驻留监视 网络的检测代理以实现采取分时、定点检测的监听、数据收集和入侵检测。步骤三,开启基于状态机的入侵检测,具体采用以下三种方式中的任意一种a)基于网络流量异常开启检测当前网络中部署有对于网路流量进行实时监控 的监控节点,当网络流量发生异常的骤升或骤降时,认为网络中可能出现异常状态,在该区 域内开启状态机入侵检测系统;b)为状态机入侵检测系统的检测节点对于已检测过的节点在之后的一段时间内 不予以检测,状态机入侵检测系统中的节点需要维护一张节点检测记录表;c)网络中其他检测节点发现某节点异常而发出的广播也将触发其他节点进行相 关的状态机入侵检测。步骤四,建立异常_误用检测映射表,实现入侵检测,具体是指当有限状态机转 移到异常状态后向其所属的节点假人进行异常报警,并上传即时状态及异常事件,经由节 点假人将有限状态机对应的协议及其即时状态和异常事件上传到该节点假人所属的入侵 检测系统后,由入侵检测系统在异常-误用检测映射表中检索得到相应条目并在特征匹配 误用检测算法库中检索得到相应检测算法。
与现有技术相比,本发明具有如下有益效果1、通过检测节点中建立节点假人,节点假人加载路由协议状态机的架构,从而使 得路由协议状态机能合适地运用于入侵检测中,为检测节点进行检测提供检测依据;2、通过采取入侵检测系统部署策略,可以使检测节点在处理自身正常的网络报文 的同时,维护节点假人与被检测节点同步,解决由于无线Mesh网路中存在的特点(诸如隐 蔽终端、节点移动,以及检测节点自身的报文处理能力及运算能力有限等)导致的入侵检 测不准确的问题。3、通过开启检测系统时机的选择,可以减少整体入侵检测对网络的资源消耗。4、使用有限状态机检测与误用检测相配合,可以解决只采用误用入侵检测将无法 对网络所面临的各种攻击威胁实现全面检测和预警的缺点,也可以解决只采用有限状态机 检测等异常检测无法准确判断被检测节点所采用的攻击算法的缺点。
图1是本发明结构示意图。图2是节点发送数据报文有限状态机图。图3是节点处理RREQ有限状态机图。图4是节点转发RREP有限状态机图。图5是节点转发数据报文有限状态机图。图6是节点转发RERR报文有限状态机图。图7是黑洞攻击违反转发数据报文状态转移图。
具体实施例方式下面对本发明的实施例作详细说明,本实施例在以本发明技术方案为前提下进行 实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施 例。如图1所示,本实施例包括包括数据收集模块、检测记录模块、节点假人管理模 块、特征检测模块和响应模块,其中数据收集模块将检测节点的收发报文和监听报文生成 副本并输出至节点假人管理模块,检测记录模块记录检测节点的所属区域检测情况记录并 通过维护检测记录识别已检测节点并据策略可减少检测范围,节点假人管理模块产生状态 转移事件并输出至特征检测模块,响应模块与特征检测模块相连接并接收特征检测模块发 出的告警信息并在网络中检测出恶意节点时启动,检测记录模块与数据收集模块相连接并 接收数据收集模块发出的已检测节点的信息,所述的节点假人是指用于入侵检测需要而 创建出的虚拟网络节点,用于判断被检测节点是否在网络中有异常行为。所述的节点假人管理模块包括资源模拟子模块、事件生成子模块、状态机管理子 模块和异常处理子模块,其中资源模拟子模块接收数据收集模块发出的检测节点的收发 报文副本和监听报文副本并模拟节点假人资源使用情况,状态机管理子模块接收事件生成 模块发出的状态转移事件,异常处理子模块接收状态机管理子模块发出的异常告警信号。所述的资源模拟子模块采用有限状态机的方式对模拟节点假人的行为建模并模 拟资源使用情况以及对异常行为进行检测;该有限状态机由一个有向图形,由一组节点和一组相应的转移函数组成。上述系统通过以下步骤实现入侵检测步骤一,将无线Mesh网络的路由协议形成有限状态机,检测节点创建节点假人。 由节点假人加载路由协议产生的有限状态机程序。然后利用检测节点感知到的检测对象的 报文作为状态转移的条件,若节点假人每次行为后仍处于正常状态范围内,则其映射的被 检测节点没有发生异常,若转移到异常状态,表明其映射的被检测节点进行了不符合协议 的异常行为。本实施例中的路由协议使用DSR(The dynamic source routing protocol,动态源 路由协议),攻击使用黑洞攻击,实际应用不限于此。对于数据报文的发送,按DSR路由规范形成有限状态机,如图2所示,起始状态为 上层需求发送数据报文,节点查询自身路由表,若查询到有到达目的节点的源路由则进入 “有源路由”状态,若无相应源路由则进入“无源路由”状态。当节点进入“无源路由”状态下,将发起临近RREQ路由请求报文,在DSR路由中, 当节点第一次发送RREQ时,将产生一个ttl值为1,不扩散仅在一跳节点内寻找的RREQ报 文。节点转移到“等待RREP”状态。当节点进入“等待RREP”状态时,当收到第一个RREP路由回复报文后转移到“有 源路由”状态;此外,DSR协议中为了防止RREQ风暴,即源节点为了寻找到目的节点而发起 过多的路由请求,设计了根据指数后退算法的RREQ发送速率上限,当节点处在“等待RREP” 状态超过当前超时时间后,转移到“RREQ已初始化”状态,并将超时时间指数上升。当节点进入“RREQ已初始化”状态后,将产生扩散的RREQ路由请求报文,转移到 “等待RREP”状态中。当节点进入“有源路由”状态后,将会发送第一个数据报文到目的节点,并转移到 “数据传输”状态下;此外,由于路由请求报文通过广播的形式在全网传输,故源节点可能收 到多个RREP路由回复报文,DSR协议规定源节点将会采用最先收到的RREP源路由,故源节 点收到后续RREP报文后所处状态不变。当节点进入“数据传输”状态后,同样会收到后续的RREP报文,当前状态不变;此 外,节点会发送根据当前所采用源路由的数据报文,直至数据传输结束;当源节点收到路由 中间节点发送的路由错误报文后,将返回到“无源路由”状态。对于接收路由请求报文(RREQ),按DSR路由规范形成有限状态机,如图3所示,当 节点收到RREQ后进入状态1。在状态1下,节点更新自身路由表,进入状态2。在状态2下, 若节点是目标节点,进入状态3 ;若节点不是目标节点,进入状态4。在状态3下,将原RREQ 中的路由进反转,获得反转路由,进入状态5。在状态4下,节点查询路由表,若存在到达目 标节点的路由,将相关路由信息追加到报文源路由的尾部进入状态3 ;若不存在,将自身添 加到RREQ源路由的尾部,进入状态6。节点在状态5下,根据反转路由产生RREP路由回复 报文,进入状态7。在状态6下,节点更新RREQ的ttl值,若ttl不为0,则节点将源路由中 已添加自身的的RREQ进行转发,进入状态8 ;否则将RREQ丢弃,进入终止状态。在状态7 下,节点将等待一个延时时间。DSR协议为了防止RREP回复风暴规定节点将延时一个时间 回复RREP,延时时间d = H*(h-l+r),其中H是一个固定的延时常量,h为当前完整由源节点 到目的节点的跳数,r为一个随机的延时因子;当等待完毕后,节点进入状态8。节点当处于状态8时,将产生的RREP发送到网络中,进入状态9。在状态9下,若节点收到新的RREQ, 则认为是重复的RREQ,丢弃而不进行转发。对于接收路由回答报文(RREP),按DSR路由规范形成有限状态机,如图4所示,当 节点收到RREP后进入状态1。在状态1下,节点更新自身路由表,进入状态2。在状态2下, 节点将RREP报文转发,进入终止状态。对于接收数据报文,按DSR路由规范形成有限状态机,如图5所示,当节点收到数 据报文,进入状态1。当节点在状态1,更新报文ttl,进入状态2。当节点进入状态2,若ttl 值为0,丢弃报文,进入终止状态;若链路层发生错误,进入状态3 ;若上述2条件不满足,转 发报文,进入终止状态。当节点位于状态3,若当前报文所含的roUte_error数已经超过上 限,则丢弃报文,进入终止状态;否则根据源数据报文信息产生RERR报文,进入状态4。节 点在状态4发送RERR报文,进入状态5。节点进入状态5时,将对报文进行抢救,进入终止 状态。对于接收路由错误报文(RERR),按DSR路由规范形成有限状态机,如图6所示,节 点收到RERR进入状态1。节点在状态1中,更新路由表,将相关坏死路由删去,进入状态2。 节点在状态2中,转发RERR,进入终止状态。在使用DSR路由协议的无线Mesh网络中,存在一种黑洞攻击是针对节点转发数据 报文进行攻击。黑洞攻击在无线网络中为一种被动隐蔽式攻击,将自身收到的数据报文都 进行丢弃,从而破坏网络中的正常数据传输。比对DSR协议的状态转移图,黑洞攻击将会在 转发数据报文状态转移中转移到异常状态中,如图7所示。具体为,在状态2下,且TTL值 不为0的情况下,丢弃报文。因此将转移到异常状态中。其对应的异常转移的上一个状态 为状态2,事件为丢弃报文。步骤二,部署入侵检测系统,确定进行入侵检测的节点。使用分布式协作入侵检 测,每个节点拥有入侵检测代理(IDS Agent)负责为与自己有一跳范围的报文交互的临近 节点建立节点假人或者基于移动Agent的入侵检测架构,在状态机入侵检测网络中划分区 域,每个区域选取一个或几个装载有移动Agent的专门负责检测的节点。考虑到网络中的 所有节点都对与其自身有关的一跳范围内的连接负责,检测。故而该分布式IDS Agent网 络仍能保证覆盖全网。步骤三,开启基于状态机的入侵检测。本实例采用基于网络流量异常的策略,即当 前网络中部署有对于网路流量进行实时监控的监控节点,当网络流量发生异常的骤升或骤 降时,认为网络中可能出现异常状态,在该区域内开启状态机入侵检测系统。步骤四,建立异常-误用检测映射表。映射表如表1所示,当状态机转移到异常状 态后将会向其所处的节点假人进行异常报警,并将其之前所处的状态及异常事件上传。节 点假人收到状态机异常事件后,结合该状态机所使用的协议继续上传到管辖其的入侵检测 系统中。入侵检测系统根据节点假人所提供的协议、状态、行为,在自身的异常-误用检测 映射表中找到相应的条目,在自身的特征匹配误用检测算法库中找到相应算法,开启进行 下一步的检测。于此同时,相应的协议_状态-异常将会记录在日志文件中,作为记录样本 以供后续对攻击进行研究分析,添加相应的误用检测算法。表1异常-误用检测映射表协议发生异常所处状态异常行为对应误用检测算法DSR收到数据报文,准备 转发趄时掉包黑洞检测发送RREP泛洪检测收到腿P,准备转发改变路由信息路由纖检铡
权利要求
1.一种无线Mesh网络入侵检测系统,其特征在于,包括数据收集模块、检测记录模 块、节点假人管理模块、特征检测模块和响应模块,其中数据收集模块将检测节点的收发 报文和监听报文生成副本并输出至节点假人管理模块,检测记录模块记录检测节点的所属 区域检测情况记录并通过维护检测记录识别已检测节点并据策略可减少检测范围,节点假 人管理模块产生状态转移事件并输出至特征检测模块,响应模块与特征检测模块相连接并 接收特征检测模块发出的告警信息并在网络中检测出恶意节点时启动,检测记录模块与数 据收集模块相连接并接收数据收集模块发出的已检测节点的信息,所述的节点假人是指 用于入侵检测需要而创建出的虚拟网络节点,用于判断被检测节点是否在网络中有异常行 为。
2.根据权利要求1所述的无线Mesh网络入侵检测系统,其特征是,所述的节点假人管 理模块包括资源模拟子模块、事件生成子模块、状态机管理子模块和异常处理子模块,其 中资源模拟子模块接收数据收集模块发出的检测节点的收发报文副本和监听报文副本并 模拟节点假人资源使用情况,状态机管理子模块接收事件生成模块发出的状态转移事件, 异常处理子模块接收状态机管理子模块发出的异常告警信号。
3.根据权利要求2所述的无线Mesh网络入侵检测系统,其特征是,所述的资源模拟子 模块采用有限状态机的方式对模拟节点假人的行为建模并模拟资源使用情况以及对异常 行为进行检测;该有限状态机由一个有向图形,由一组节点和一组相应的转移函数组成。
4.一种根据上述任一权利要求所述系统的检测方法,其特征在于,包括如下步骤步骤一,首先根据无线Mesh网络的路由协议形成有限状态机;步骤二,部署入侵检测系统,确定进行入侵检测的节点;步骤三,开启基于状态机的入侵检测;步骤四,建立异常_误用检测映射表,实现入侵检测。
5.根据权利要求4所述的检测方法,其特征是,所述的步骤一具体是指为网络中每个 检测节点创建节点假人,然后由节点假人加载路由协议产生的有限状态机程序并利用检测 节点感知到的检测对象的报文作为状态转移的条件,当节点假人每次行为后仍处于正常状 态范围内则其映射的被检测节点没有发生异常,当转移到异常状态,表明其映射的被检测 节点进行了不符合协议的异常行为。
6.根据权利要求4所述的检测方法,其特征是,所述的步骤二具体是指使用分布式协 作入侵检测,对每个节点设置入侵检测代理,以便为与该节点有相邻报文交互的临近节点 建立节点假人或建立基于移动Agent的入侵检测架构;然后在状态机入侵检测网络中划分 区域,每个区域内含有一个以上装载有入侵检测代理的节点。
7.根据权利要求4所述的检测方法,其特征是,所述的分布式协作入侵检测是指IDS Agent运行于网络中每一个节点上,单独执行本地数据收集和入侵检测,一旦发现有异常行 为则触发整个网络的入侵检测和响应。
8.根据权利要求4所述的检测方法,其特征是,所述的基于移动Agent的入侵检测架构 是指在网络中选取个别节点上驻留监视网络的检测代理以实现采取分时、定点检测的监 听、数据收集和入侵检测。
9.根据权利要求4所述的检测方法,其特征是,所述的开启基于状态机的入侵检测采 用以下三种方式中的任意一种a)基于网络流量异常开启检测当前网络中部署有对于网路流量进行实时监控的监 控节点,当网络流量发生异常的骤升或骤降时,认为网络中可能出现异常状态,在该区域内 开启状态机入侵检测系统;b)为状态机入侵检测系统的检测节点对于已检测过的节点在之后的一段时间内不予 以检测,状态机入侵检测系统中的节点需要维护一张节点检测记录表;c)网络中其他检测节点发现某节点异常而发出的广播也将触发其他节点进行相关的 状态机入侵检测。
10.根据权利要求4所述的检测方法,其特征是,所述的步骤四具体是指当有限状态 机转移到异常状态后向其所属的节点假人进行异常报警,并上传即时状态及异常事件,经 由节点假人将有限状态机对应的协议及其即时状态和异常事件上传到该节点假人所属的 入侵检测系统后,由入侵检测系统在异常-误用检测映射表中检索得到相应条目并在特征 匹配误用检测算法库中检索得到相应检测算法。
全文摘要
一种网络安全技术领域的无线Mesh网络入侵检测系统及其检测方法,该系统包括数据收集模块、检测记录模块、节点假人管理模块、特征检测模块和响应模块;该检测方法首先根据无线Mesh网络的路由协议形成有限状态机;然后部署入侵检测系统,确定进行入侵检测的节点;并开启基于状态机的入侵检测;最后建立异常-误用检测映射表,实现入侵检测。本发明通过建立节点假人使得路由协议状态机能合适地运用于入侵检测中,为检测节点进行检测提供检测依据;通过采取入侵检测系统部署策略,解决由于无线Mesh网路中入侵检测不准确的问题;通过开启检测系统时机的选择,可以减少整体入侵检测对网络的资源消耗。
文档编号H04W24/00GK102006586SQ201010564670
公开日2011年4月6日 申请日期2010年11月30日 优先权日2010年11月30日
发明者易平, 柳宁, 王之旸, 邹岩, 陈佳霖 申请人:上海交通大学