6LoWPAN 传感网络的DoS 检测系统的制作方法
【专利摘要】本发明属于无线传感网络安全领域,提供了一种6LoWPAN传感网络的DoS检测系统,采用分层设计;将所述系统分成感知层、适配层和网络层;感知层从真实的传感世界中采集相关数据并将数据传送到适配层,适配层进行报头压缩、MAC地址转换、地址注册,网络层进行系统的性能管理、系统的状态管理以及系统的安全管理。本发明降低了次要因素对分类性能的影响;降低了维数和缩减数据冗余信息,较少了运算量;提高了支持向量机的分类性能,提高了入侵检测的实时性和入侵检测精度。
【专利说明】6LoWPAN传感网络的DoS检测系统
【技术领域】
[0001]本发明涉及无线传感网络安全领域,尤其涉及6LoWPAN传感网络的DoS检测系统。
【背景技术】
[0002]基于6LoWPAN(IPv6 over Low-Power Wireless Personal Area Networks)协议的无线设备具有一些先天的缺点,如在动力,处理器,内存空间等方面都比较有限,以及在保丢失率和碰撞方面的不可靠通信。攻击者能够充分利用这些弱点对无线传感网络发起攻击。特别是拒绝服务(DoS,Denial Of Service)攻击,DoS攻击对分布式无线传感网通信有着非常不利的影响。而目前还没有针对无线传感网络DoS攻击的安全策略,本项目就是提供一种检测分布式无线传感网上的DoS攻击系统。
[0003]DoS攻击能够在远程仅仅通过命令和先进的工具就可以被初始化,攻击者还能够完成分布式的DoS攻击,然而在设备变得不可用之前是很难发现DoS攻击的。DoS攻击从简单的拥塞攻击到复杂的伪造攻击,窃听,路由攻击和应用层攻击等。由于无线传感网络自身的特点,传统网络在解决DoS攻击上的方法并不适用于无线传感网。因此研究出适合基于IP的无线传感网络的DoS检测系统就变得十分重要。
[0004]目前关于6LoWPAN传感网络的安全研究还处于初步阶段,而目前国内外专门针对6LoffPAN网络中DoS检测的研究更是很少。IETF 6L0WPAN工作组在其2010年3月7日发布的草案“IPv6over LowPower WPAN Security Analysis”最新版中,详细讨论了 6LoWPAN的安全需求、存在的威胁以及密钥管理发明。但并为给出具体的做法。
[0005]2013 年 IEEE CONFERENCE PUBLICAT1NS 上的一篇论文《SAKES: Secureauthenticat1n and key establishment scheme for M2M communicat1n in theIP-based wireless sensor network (6L0WPAN)》详细的分析了 6LoWPAN无线传感网络安全性问题,并详细的阐述了 6LoWPAN无线传感网络每一层可能受到的DoS的攻击行为,并仿真了 6LoWPAN遭受DoS攻击,但并未给出关于如何有效检测6LoWPAN网络中DoS攻击的方法,该论文只是从理论上分析了 6LoWPAN网络中可能受到的各种DoS攻击。
【发明内容】
[0006]本发明针对上述现有技术存在的问题作出改进,即本发明要解决的技术问题是提供一种6LoWPAN传感网络的DoS检测系统,这种6LoWPAN传感网络的DoS检测系统降低了次要因素对分类性能的影响;降低了维数和缩减数据冗余信息,较少了运算量;提高了支持向量机的分类性能,提高了入侵检测的实时性和入侵检测精度。
[0007]为了解决上述技术问题,本发明提供了如下的技术发明:
[0008]一种6LoWPAN传感网络的DoS检测系统,采用分层设计;将所述系统分成感知层、适配层和网络层;感知层从真实的传感世界中采集相关数据并将数据传送到适配层,适配层进行报头压缩、MAC地址转换、地址注册,网络层进行系统的性能管理、系统的状态管理以及系统的安全管理。
[0009]所述感知层,包括若干主机节点、若干个簇头节点、一个边界路由器和IDS探测器;若干主机节点H和一个簇头节点C形成一个簇,将采集到的数据汇集到簇头节点,簇头节点通过边界路由器B将数据传递到网络层,IDS探测器监听6LoWPAN网络的流量。
[0010]所述适配层,包括基本功能模块、包头压缩模块、Context模块和地址注册模块。
[0011]所述网络层,包括状态管理模块,性能管理模块和安全管理模块三个部分。
[0012]所述性能管理模块,确保系统在任何时候都能得到最好的通信能力;性能管理模块中设计一个信号监测软件,所述信号监测软件通过监测信号的干扰水平,当该干扰水平超过设定的阀值,信号监测软件通过信号变动程序改变当前工作信道到最好的可供信道上。
[0013]所述状态管理模块,提供网络状态的配置服务和网络监控;通过从性能管理模块获得的系统性能信息来监控网络干扰等级,网络延迟和冲突等信息;在任意时刻提供网络信息使得状态管理和性能管理能够相互操作。
[0014]所述安全管理模块,提供网络中加密等安全的机制,确保网络层和适配层以及感知层件能够进行安全的通信以及在网络受到DoS攻击时应该采取的响应措施。
[0015]所述安全管理模块,包括DoS保护器,IDS和IDS_D ;
[0016]DoS保护器:当检测到入侵发生时接收IDS传来的警报,然后从状态管理模块中提取相关信息和分析所述信息来确认是否发生真的攻击,当检测到遭受DoS攻击时接受安全管理模块发出的安全措施;
[0017]IDS:通过IDS_D监控6LoWPAN网络流量和网络中的非法行为,当发生非法行为或者监控到网络流量异常时向DoS保护管理器发出警报;
[0018]IDS_D:将IDS探测器放在6LoWPAN网络外部进行操作,通过有线的方式接入IDS,不参与的网络活动,对网络中的数据信息全部进行监听。
[0019]本发明提供的6LoWPAN传感网络的DoS检测系统,其有益效果在于:将IDS部署在主机计算机上,能够克服无线传感网资源有限的难题,提供更多的能量用于检测复杂的攻击,IDS检测器不参与直接的网络活动,只用来监听网络信息,降低了感知层设计的难度。
【专利附图】
【附图说明】
[0020]附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
[0021]图1为本发明方法逻辑框图。
【具体实施方式】
[0022]如图1所示,本发明公开一种6LoWPAN传感网络的DoS检测系统,采用分层设计,该系统整体架构分为三层,分别为感知层,适配层和网络层。
[0023]感知层从真实的传感世界中采集相关数据并将数据传送到适配层,适配层进行报头压缩、MAC地址转换、地址注册等。网络层进行系统的性能管理,系统的状态管理以及系统的安全管理。
[0024]本发明一个较佳的实施例如下:
[0025]感知层:若干主机节点H和若干个簇头节点C形成一个簇,采集到的数据汇集到簇头节点,簇头节点通过边界路由器B将数据传递到网络管理器。IDS探测器(IDS_D)监听6LoffPAN网络的流量和网络中的异常行为。
[0026]适配层:分为四个模块,基本功能模块,包头压缩模块,Context模块和地址注册模块。
[0027]网络层:该部分为状态管理模块,性能模块和安全模块三个部分。
[0028]性能管理模块:确保系统在任何时候都能得到最好的通信能力;性能管理模块中设计一个信号监测软件,所述信号监测软件通过监测信号的干扰水平,当该干扰水平超过设定的阀值,信号监测软件通过信号变动程序改变当前工作信道到最好的可供信道上。
[0029]状态管理模块:提供网络状态的配置服务和网络监控;通过从性能管理模块获得的系统性能信息来监控网络干扰等级,网络延迟和冲突等信息;在任意时刻提供网络信息使得状态管理和性能管理能够相互操作。
[0030]安全管理模块:提供网络中加密等安全的机制,确保网络层和适配层以及感知层件能够进行安全的通信以及在网络受到DoS攻击时应该采取的响应措施。分为三个部分设计。
[0031]DoS保护器:当检测到入侵发生时接收IDS传来的警报,然后从状态管理模块中提取相关信息和分析所述信息来确认是否发生真的攻击,当检测到遭受DoS攻击时接受安全管理模块发出的安全措施;
[0032]IDS:通过IDS_D监控6LoWPAN网络流量和网络中的非法行为,当发生非法行为或者监控到网络流量异常时向DoS保护管理器发出警报;
[0033]IDS_D:将IDS探测器放在6LoWPAN网络外部进行操作,通过有线的方式接入IDS,不参与的网络活动,对网络中的数据信息全部进行监听。
[0034]本发明提出一种专门针对6LoWPAN网络中DoS检测的系统。本发明将IDS部署在主机计算机上,能够克服无线传感网资源有限的难题,提供更多的能量用于检测复杂的攻击,IDS检测器不参与直接的网络活动,只用来监听网络信息,降低了感知层设计的难度。
[0035]本发明专门为资源有限的6LoWPAN网络设计,是一种轻量级DoS检测系统。
[0036]提出了一种针对6LoWPAN网络中的DoS检测系统体系架构。把该系统分为感知层,适配层和网络层,感知层用6LoWPAN节点构成,负责采集真实世界的传感数据。适配层,分为四个模块,基本模块,包头压缩模块,Context模块,地址注册模块。网络层分为三个模块,性能管理模块,状态管理模块,安全管理模块,分别管理网络的性能,网络通信的状态和网络安全。
[0037]采用将入侵检测系统运行在主机上并通过有线的方式将IDS_D接入IDS中的方法。将IDS运行单独的主机计算机上,监控6LoWPAN网络,克服了无线传感网络资源限制的问题,能够提供更多的能量来检测复杂的安全攻击,使得探测器能够像网卡等主机内部的硬件接口一样被识别,达到了 IDS和IDS_D对无线拥塞和其他DoS攻击的免疫力。
[0038]以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术发明进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种6L0WPAN传感网络的DoS检测系统,其特征在于: 采用分层设计; 将所述系统分成感知层、适配层和网络层; 感知层从真实的传感世界中采集相关数据并将数据传送到适配层,适配层进行报头压缩、MAC地址转换、地址注册,网络层进行系统的性能管理、系统的状态管理以及系统的安全管理。
2.根据权利要求1所述的6LoWPAN传感网络的DoS检测系统,其特征在于:所述感知层,包括若干主机节点、若干个簇头节点、一个边界路由器和若干个IDS探测器;若干主机节点H和一个簇头节点C形成一个簇,将采集到的数据汇集到簇头节点,簇头节点通过边界路由器B将数据传递到网络网络层,IDS探测器监听6LoWPAN网络的流量和异常行为。
3.根据权利要求1所述的6LoWPAN传感网络的DoS检测系统,其特征在于:所述适配层,包括基本功能模块、包头压缩模块、Context模块和地址注册模块。
4.根据权利要求1所述的6LoWPAN传感网络的DoS检测系统,其特征在于:所述网络层,包括状态管理模块,性能管理模块和安全管理模块三个部分。
5.根据权利要求4所述的6LoWPAN传感网络的DoS检测系统,其特征在于:所述性能管理模块,确保系统在任何时候都能得到最好的通信能力;所述性能管理模块设置信号监测软件,所述信号监测软件通过监测信号的干扰水平,当该干扰水平超过设定的阀值,所述信号监测软件通过信号变动程序改变当前工作信道到最好的可供信道上,确保网络工作在一个良好的信道上。
6.根据权利要求4所述的6LoWPAN传感网络的DoS检测系统,其特征在于:所述状态管理模块,提供网络状态的配置服务和网络监控;通过从所述性能管理模块获得的系统性能信息来监控网络干扰等级,网络延迟和冲突等信息;在任意时刻提供网络信息使得状态管理和性能管理能够相互操作。
7.根据权利要求4所述的6LoWPAN传感网络的DoS检测系统,其特征在于:所述安全管理模块,提供网络中加密等安全的机制,确保网络层和适配层以及感知层件能够进行安全的通信以及在网络受到DoS攻击时应该采取的响应措施。
8.根据权利要求7所述的6LoWPAN传感网络的DoS检测系统,其特征在于:所述安全管理模块,包括DoS保护器、IDS和IDS_D ; DoS保护器:当检测到入侵发生时接收IDS传来的警报,然后从状态管理模块中提取相关信息和分析所述信息来确认是否发生真的攻击,当检测到遭受DoS攻击时接受安全管理模块发出的安全措施; IDS:通过IDS_D监控6LoWPAN网络流量和网络中的非法行为,当发生非法行为或者监控到网络流量异常时向DoS保护管理器发出警报; IDS_D:将IDS探测器放在6LoWPAN网络外部进行操作,通过有线的方式接入IDS,不参与的网络活动,对网络中的数据信息全部进行监听。
【文档编号】H04L29/06GK104333534SQ201410477851
【公开日】2015年2月4日 申请日期:2014年9月18日 优先权日:2014年9月18日
【发明者】孙知信, 张志强, 宫婧, 骆冰清 申请人:南京邮电大学