专利名称:针对MAC层DoS攻击的检测方法
技术领域:
本发明涉及网络通信技术领域,更具体地涉及一种MANET网络中基于特征检测和统计分析的,降低误判率、降低延时的攻击检测方法,即涉及针对MAC层DoS攻击的检测方法。
背景技术:
MANET定义为移动自组网络的工作组,全称为Mobile Ad-hoc NETworks。ad hoc网络是由很多自治节点组成的分布式系统,没有固定的通信设施和中心管理设备,由于各便携式设备处于降低成本、增强可移动性等方面的考虑,往往没有提供足够的缓冲服务。DoS是Denial of Service的简称,即拒绝服务,DoS攻击目前已成为一种常见的黑客行为,也是最容易实现的攻击方法之一,它严重威胁着网络的安全。其最基本的手段就是利用合理的服务请求来占用过多的服务资源,致使资源耗尽或资源过载,从而导致系统无法响应正常的服务请求。因此,ad hoc网络很容易遭受DoS攻击,并且随着无线便携式设备的大量应用,这类问题将变得越来越突出。在无线ad hoc网络中,拒绝服务攻击主要有两种类型网络层攻击和MAC层攻击。在网络层实施的攻击也称之为路由攻击,其主要的技术措施有(1)网络的多个节点通过与被攻击目标服务器(通常是代理服务器,下同)建立大量的无效TCP连接来消耗目标服务器的TCP资源,致使正常的连接不能进入,从而降低甚至耗尽系统的资源。如TCP SYN Flooding攻击;(2)网络的多个节点同时向目标服务器发送大量的伪造的路由更新数据包,致使目标服务器忙于频繁的无效路由更新,以此恶化系统的性能;(3)通过IP地址欺骗技术,攻击主机通过向路由器的广播地址发送虚假信息,使得路由器所在网络上的每台设备向目标服务器回应该讯息,从而降低系统的性能;(4)修改IP数据包头部的TTL域,使得数据包无法到达目标服务器。在 MAC 层,攻击方式主要有 Deauthentication/disassociation 攻击、NAV 攻击以及DIFS攻击。在网络层攻击和MAC攻击中以MAC层攻击最为典型。这是因为MAC层安全攻击直接影响到无线信道的接入、信道利用率和网络整体性能;大部分无线节点使用相同的 MAC层接入协议-IEEE 802. 11,这就使得MAC层攻击比其他各层攻击更有效;由于IEEE 802. IlDCF协议内在的随机本质和无线介质本身的不可靠性,人们很难对节点的攻击行为和偶然的协议故障进行区分,使得MAC层攻击行为隐蔽,给攻击节点的检测带来较大挑战。 如何有效地检测MAC层DoS攻击成为无线可信网络的研究热点。在基于网络的入侵检测技术中,能有效抑制DoS攻击的技术是采用IPv6地址(或采用IPSec协议),但需在hternet上同步实行,近期难以实现。Ioarmidis曾提出入口过滤(ingress filtering)和基于路由器的过滤(routerbased filtering)方法抑制DoS攻击;Ahsan Habib也提出利用IP tracekick来追踪入侵者。但需修改TCP/IP协议及其实现,尚未见商品化的产品。所以,基于网络的DoS检测技术仍然不成熟,而工业界和用户只能利用基于主机的DoS检测技术来抑制DoS攻击,如Fr0nt2end simulator或者在防火墙上配置严格的ACL规则,但静态的ACL规则影响了复杂通信的实时性,且不能识别SYN flood等基于流量的攻击。更为重要的是^sha明确提出了对已有的攻击进行穷举是不可能的,重点应检测正常使用与异常使用(misuse和not use)之间的区别,并建立了 “strict anomaly detection”。Matthew V则提出了基于速率和BAYES的方法来计算某个数据包是否是攻击行为,然而Mefan Axelsson对其方法提出质疑,并指出这种方法的缺陷。IEEE 802. 11协议的MAC层DoS攻击存在多种类型,每种类型的攻击手段各不相同,针对MAC层IEEE 802. 11协议的攻击行为存在多样性、动态性和智能性,目前还没有较为理想的防范机制,因此需要科研人员重视并致力于这方面的研究,以期建立更加安全高效的无线ad hoc网络。
发明内容
为克服现有技术的不足,提供一种较为理想的防范网络攻击方法。为达上述目的, 本发明采取的技术方案是针对MAC层DoS攻击的检测方法,包括以下步骤首先对MANET MAC层帧进行捕获,并对信道上的传帧数进行统计;对Deauthentication/disassociation 攻击,通过识别MAC地址欺骗,利用协议中帧序列号无法修改这一特点,结合节点信号强度信息,对MAC帧控制序列字段值进行匹配,从而识别Deauthentication/disassociation 攻击;对NAV攻击,通过监测节点设定检测定时器,在收到RTS或CTS帧后提取出相应的 Duration字段值,计算出应该收到DATA帧的时间,如果时间到了还没收到DATA帧或者是收到的DATA帧的长度远远小于NAV值中要求的传输时间,则判定出现NAV攻击;对DIFS攻击,监测节点通过设定计时器,在信道空闲之后开始计时,若计时长度未到DIFS时间间隔, 发送帧的节点判定为发起一次DIFS攻击。对MANET MAC层帧进行捕获为数据采集部分,主要包含以下几个步骤(11)捕获网卡的数据;(12)提取MAC层信息,包括数据帧和控制帧。针对Deauthentication/disassociation攻击检测主要包含以下几个步骤(21)提取出 MAC 帧中的 Deauthentication 帧;(22)节点收到帧后,将该帧序列号与本地保存的帧源节点上次所发出帧的序列号进行比较,如果变化值大于设定的阈值,则判断为伪造MAC地址;(23)如通过序列号检测,将该帧信号强度与本地保存的帧源节点信号强度进行比较,如果变化值大于设定的阈值,则判断为伪造MAC地址。针对NAV攻击检测主要包含以下几个步骤(31)当监测节点接到RTS或CTS帧后,把帧中的相应内容保存到本地缓存中;(32)启动检测定时器;(33)按照帧中的Duration即NAV值字段中的值,计算出应接收到DATA帧的时间, 计算公式如下NAVdata = DATA 帧长度 / 传输速率 +DSSS_MaxPropagationDelay+TSIFS+ACK 帧长度 / 传输速率 +DSSS_MaxftOpagati。nDelay
4
其中Tsifs为SIFS长度,DSSS-MaxftOpagationDelay为DSSS物理层的最大传输延迟,设为2us ;(34)若定时器到时候没有收到相应的DATA帧,或收到的DATA帧的长度远小于 NAV值要求的传输时间,则该节点发生一次NAV攻击。所述针对DIFS攻击检测主要包含以下几个步骤(41)监测节点在信道空闲后启动计时器;(42)如果计时器未达到DIFS时间间隔时,发送帧的节点即为恶意节点,视为发起一次DIFS攻击。本发明采用一种具有较低误判率和较快检测速度的MAC层DoS攻击检测方法,实用性强,操作方便,能够对IEEE802. 11协议的多种MAC层DoS攻击执行快速、有效地检测, 适用于各种复杂、动态的无线网络环境,具有下列优点针对不同的DoS攻击检测分别采用不同的检测方法,解决了仅仅针对其中一种攻击的传统检测的局限性问题,能够多种攻击行为执行较好的检测。本发明对MAC层DoS攻击检测具有较低误判率和较快检测速度,无需经过大范围的变更就可以被简易应用在现有网络中,效果理想,应用前景看好。
图1是本发明基本构架原理的示意图。图中MAC 媒质接入控制;Deauthentication/disassociation : ^ /;NAV:网络分配矢量;DIFS 分布式协调IFS。图2是本发明中STA建立完整通信的状态转移过程。图中Authentication 鉴权。图3是本发明中检测伪造MAC地址的过程示意图。图4是本发明中RTS/CTS访问模式工作原理。图中RTS:请求发送帧;CTS 取消发送帧;ACK 应答帧;Contention Window 竞争窗口。
具体实施例方式有鉴于此,本发明采用一种具有较低误判率和延时的、针对MAC层DoS攻击的检测方法。该方法首先对MANET MAC层帧进行捕获,并对信道上的传帧数进行统计。对 Deauthentication/disassociation攻击,通过识别MAC地址欺骗,利用协议中帧序列号无法修改这一特点,结合节点信号强度信息,对MAC帧控制序列字段值进行匹配,从而识别 Deauthentication/disassociation攻击;对NAV攻击,通过监测节点设定检测定时器,在收到RTS或CTS帧后提取出相应的Duration字段值,计算出应该收到DATA帧的时间,如果时间到了还没收到DATA帧或者是收到的DATA帧的长度远远小于NAV值中要求的传输时间,则判定出现NAV攻击;对DIFS攻击,监测节点通过设定计时器,在信道空闲之后开始计时,若计时长度未到DIFS时间间隔,发送帧的节点判定为发起一次DIFS攻击。该套方法实用性强,操作方便,能够对IEEE802. 11协议的多种MAC层DoS攻击执行快速、有效地检测, 适用于各种复杂、动态的无线网络环境。为了达到上述目的,本发明提供了一种MANET中基于特征检测和统计分析技术的 MAC层DoS攻击检测方法,其特征在于包括下列几个组成部分(1)数据采集部分直接从网卡读取数据包,从中提取MAC数据帧以及控制帧。(2)Deauthentication/disassociation 攻击在 IEEE 802. 11 认证协议里定义了一个认证请求帧(Authentication Request),客户端(Client)可以通过发送这种帧请求接入网络,与认证请求帧相对应,协议里还定义了一个终止认证(deauthentication) 帧,它用以结束认证,使认证双方回到非认证状态。Deauthentication攻击就是通过伪 3a deauthentication 才艮;^又寸网会各^对亍双!^。 Disassociation ■与 Deauthentication 攻击原理类似,攻击者伪造的是终止关联(disassociation)帧。Deauthentication/ disassociation攻击具有更大的灵活性。一方面发起这种攻击所需的数据量非常少.而且它所要求的对信道的干扰时间也少,隐蔽性比较好。另一方面,由于可以伪造针对某一个client的deauthentication数据帧.这样便可以阻止某个特定的Client访问网络, 攻击的针对性很强,这样就可以配合其它的攻击方法实现危害性更大的网络攻击。针对 Deauthentication/disassociation攻击的检测方法,通过识别MAC地址欺骗,采用匹配 MAC帧控制序列字段值的方法。(3)CSMA/CA为了解决隐藏节点问题引入了 RTS/CTS控制机制,它能够为一个节点保留一定时间的信道。想要发送数据的节点首先必须向目的节点发送一个RTS帧.这个RTS 帧中包含该节点的ID以及一个duration域。duration域用于告知需要为该节点保留的随后数据传输所需要的时间,每个节点上都使用NAV(Network Allocation Vector)来度量保留时间值,只有当NAV = O时该节点才可以发送数据。而这个值的更新是通过duration 值进行的。目的节点一旦收到某个节点发来的RTS帧,就立即响应一个CTS帧,其中也包含 ID、durati0n域。在信号覆盖范围内的其他的节点通过CTS帧来更新NAV值。这样可以解决由于隐藏节点造成的冲突问题。NAV攻击正是针对这一点,通过扩大控制帧的持续时间字段,从而造成信道的大量浪费和不必要的保留。根据实际NAV值和通过理论计算得到的值对比,可以判断出是否存在NAV攻击。(4) DIFS攻击是指攻击者故意采用较小的DIFS值,从而在竞争信道时抢先占用信道,迫使其他节点持续退避。针对这种攻击,它的特征是在信道空闲之后,等待时间间隔小于协议规定的DIFS时间间隔。所述部分(1)数据采集部分主要包含以下几个步骤(11)捕获网卡的数据。(12)提取MAC层信息,包括数据帧和控制帧。所述部分(2)针对Deauthentication/disassociation攻击检测主要包含以下几个步骤(21)提取出 MAC 帧中的 Deauthentication 帧。(22)节点收到帧后,将该帧序列号与本地保存的帧源节点上次所发出帧的序列号进行比较,如果变化值大于设定的阈值,则判断为伪造MAC地址。(23)如通过序列号检测,将该帧信号强度与本地保存的帧源节点信号强度进行比较,如果变化值大于设定的阈值,则判断为伪造MAC地址。所述部分(3)针对NAV攻击检测主要包含以下几个步骤。(31)当监测节点接到RTS或CTS帧后,把帧中的相应内容保存到本地缓存中。(32)启动检测定时器。(33)按照帧中的Duration (NAV值)字段中的值,计算出应接收到DATA帧的时间, 计算公式如下NAVdata = DATA 帧长度 / 传输速率 +DSSS_MaxPropagationDelay+TSIFS+ACK 帧长度 / 传输速率 +DSSS_MaxftOpagati。nDelay其中Tsifs为SIFS长度,DSSS-MaxftOpagationDelay为DSSS物理层的最大传输延迟,设为2us。(34)若定时器到时候没有收到相应的DATA帧,或收到的DATA帧的长度远小于 NAV值要求的传输时间,则该节点发生一次NAV攻击。所述部分(4)针对DIFS攻击检测主要包含以下几个步骤(41)监测节点在信道空闲后启动计时器。(42)如果计时器未达到DIFS时间间隔时,发送帧的节点即为恶意节点,视为发起一次DIFS攻击。为使本发明的目的、实现方案和优点更为清晰,下面结合附图对本发明作进一步地详细描述。参见图1,介绍本发明方法的基本构架原理-基于特征检测和统计分析技术的的MANETMAC层DoS攻击检测方法。共分为五个部分设定监测节点、捕获MAC帧、针对 Deauthentication/disassociation攻击的检测、针对NAV攻击的检测以及针对DIFS攻击的检测。其中前两部分作为后三部分的数据准备,起到辅助作用。核心部分为后三部分。参见图2,在STA建立完整通信的过程中,STA需要经过三种状态。 Deauthentication攻击就是STA已经与AP建立关联正常通信的情况下,攻击者通过伪造 STA的MAC地址,向AP发送Deauthentication帧,请求断开该STA与AP的连接。此后正常STA发送的帧即被AP视为无鉴权STA丢弃,即该STA被AP视为图2中的无鉴权、无关联状态。Deauthentication/disassociation攻击的特点是攻击节点通过伪造正常STA的 MAC地址来实现。参见图3,根据帧序列号,结合节点信号强度,进而判断MAC地址是否伪造。 Deauthentication/disassociation攻击检测以MAC帧控制序列字段值为特征序列,采用特征匹配的检测方法。参见图4,通常NAV攻击行为的特征是修改控制帧持续时间字段,导致的结果就是信道不必要的浪费和大量的闲置。因此,针对NAV攻击检测,通过所收到的实际值和理论计算值的对比来判断是否存在NAV攻击。理论公式为NAVdata = DATA帧长度/传输速率 +DSSS_MaxPropagationDe 1 ay+TSIFS+ACK 帧长度 / 传输速率 +DSSS_MaxftOpagati。nDelay。 其中Tsifs为SIFS长度,DSSS_MaxPropagationDelay为DSSS物理层的最大传输延迟,设为 2us。在无线网络中,IEEE802. 11 协议采用 DCF(Distributed CoordinationFunction,分布式协调功能),应用CSMA/CA机制,即STA在开始发送信息之前必须首先监听信道,如果信道上已有信息传输,则STA不发送本地信息。鉴于无线设备无法同时发送和接收,IEEE802. 11采用碰撞回避策略而非碰撞检测,通过物理层的空闲信道评估(CCA)机制决定此时STA是否可发送信息。一旦检测到信道空闲,并且达到DIFS长度之后,再进入随机退避阶段,从而保证节点接入的公平竞争。DIFS攻击通常是减小DIFS的值,在正常节点结束DIFS退避之前占用信道,从而让其他节点持续退避。因此针对DIFS的攻击可以通过设定检测定时器,在定时器计时不到DIFS长度时便发送数据的视为发起一次DIFS攻击。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种针对MAC层DoS攻击的检测方法,其特征是,包括以下步骤首先对MANET MAC 层帧进行捕获,并对信道上的传帧数进行统计;对Deauthentication/disassociation攻击,通过识别MAC地址欺骗,利用协议中帧序列号无法修改这一特点,结合节点信号强度信息,对MAC帧控制序列字段值进行匹配,从而识别Deauthentication/disassociation 攻击;对NAV攻击,通过监测节点设定检测定时器,在收到RTS或CTS帧后提取出相应的 Duration字段值,计算出应该收到DATA帧的时间,如果时间到了还没收到DATA帧或者是收到的DATA帧的长度远远小于NAV值中要求的传输时间,则判定出现NAV攻击;对DIFS攻击,监测节点通过设定计时器,在信道空闲之后开始计时,若计时长度未到DIFS时间间隔, 发送帧的节点判定为发起一次DIFS攻击。
2.如权利要求1所述的方法,其特征是,对MANETMAC层帧进行捕获为数据采集部分, 主要包含以下几个步骤(11)捕获网卡的数据;(12)提取MAC层信息,包括数据帧和控制帧。
3.如权利要求1所述的方法,其特征是,针对Deauthentication/disassociation攻击检测主要包含以下几个步骤(21)提取出MAC 帧中的 Deauthentication 帧;(22)节点收到帧后,将该帧序列号与本地保存的帧源节点上次所发出帧的序列号进行比较,如果变化值大于设定的阈值,则判断为伪造MAC地址;(23)如通过序列号检测,将该帧信号强度与本地保存的帧源节点信号强度进行比较, 如果变化值大于设定的阈值,则判断为伪造MAC地址。
4.如权利要求1所述的方法,其特征是,针对NAV攻击检测主要包含以下几个步骤(31)当监测节点接到RTS或CTS帧后,把帧中的相应内容保存到本地缓存中;(32)启动检测定时器;(33)按照帧中的Duration即NAV值字段中的值,计算出应接收到DATA帧的时间,计算公式如下NAVdata = DATA 帧长度 / 传输速率 +DSSS_MaxPropagationDelay+TSIFS+ACK 帧长度 / 传 +DSSS_MaxPropagati onDe lay其中Tsifs为SIFS长度,DSSS_MaxPropagationDelay为DSSS物理层的最大传输延迟, 设为2us ;(34)若定时器到时候没有收到相应的DATA帧,或收到的DATA帧的长度远小于NAV值要求的传输时间,则该节点发生一次NAV攻击。
5.如权利要求1所述的方法,其特征是,所述针对DIFS攻击检测主要包含以下几个步骤(41)监测节点在信道空闲后启动计时器;(42)如果计时器未达到DIFS时间间隔时,发送帧的节点即为恶意节点,视为发起一次 DIFS攻击。
全文摘要
本发明涉及网络通信技术领域。提供一种较为理想的防范网络攻击方法,本发明采取的技术方案是针对MAC层DoS攻击的检测方法,包括以下步骤首先对MANET MAC层帧进行捕获;对Deauthentication/disassociation攻击,通过识别MAC地址欺骗,对MAC帧控制序列字段值进行匹配,从而识别Deauthentication/disassociation攻击;对NAV攻击,通过监测节点设定检测定时器及时间检测判定出现NAV攻击;对DIFS攻击,监测节点通过设定计时器,在信道空闲之后开始计时,若计时长度未到DIFS时间间隔,判定为发起一次DIFS攻击。本发明主要应用于网络通信。
文档编号H04L12/26GK102238049SQ201110226678
公开日2011年11月9日 申请日期2011年8月8日 优先权日2011年8月8日
发明者张尧, 杨雪, 金志刚 申请人:天津大学