23这三个步骤:
[0094]一、被监测节点A是报文的源节点,则进入步骤S421:由状态2转入终止状态7。
[0095]二、被监测节点A是中间节点,所述中间节点,是指被监测节点A只是转发了报文。在接收报文时,被监测节点A并不在监测节点B的监测区域内,而是在转发时才移动进入监测节点B的监测范围内,所以监测节点B只有被监测节点A转发报文的状态,进入步骤S422:向相邻的监测节点查询,如果相邻的监测节点收到所述报文,则由状态2转入状态3,进入步骤S4220:将所述报文发送到监测节点B,由状态3转入终止状态7 ;如果相邻的监测节点未收到报文,说明没有节点发送过此报文,是被监测节点A编造了此报文,则进入步骤S4221:发出编造告警。
[0096]三、被监测节点A不在报文地址列表中,就是说被监测节点A与报文没有任何关系,但它又发出该报文,即被监测节点A假冒其它节点发送了这份报文,进入步骤S423:发出假冒告警,其中,所述报文地址列表位于报文中,包含源地址、目标地址和路由中间节点地址。
[0097]本实施例中,将整个网络分为若干个区域,并以每个区域的簇头作为监测节点,来负责侵入监测的计算,因而,不需要所有节点参与侵入监测的计算,从而能够在保证侵入监测信息收集完整全面的基础上,大大减少节点资源的消耗,提高监测效率。
[0098]本实施例提供了一种无线自组织网络侵入监测设备,包括:监测模块、判断模块和处理模块,其中,监测模块,用于收集监测节点收集的被监测节点的行为信息,所述监测节点为网络中每个区域的簇头,监测节点收集监测区域内被监测节点的行为信息;判断模块,用于根据被监测节点的行为信息,判断被监测节点的行为是否合法,所述被监测节点的行为信息包括接收和发送或转发的报文等;处理模块,用于根据判断结果进行处理,当判断结果为合法时,正常结束,停止对被监测节点的监测,当判断结果为不合法时,认为被监测节点的行为是侵入行为,发出告警。
[0099]本实施例中,所述监测模块还包括:分析模块,用于收集监测节点记录的被监测节点的侵入次数和类型。
[0100]本实施例中,所述无线自组织网络侵入监测设备,是基于有限状态机的监测设备,即所述监测设备是根据网络的路由协议规范形成的有限状态机,本实施例中所述路由协议为动态源路由协议(The dynamic source routing protocol,简称DSR协议),当然,在其他实施例中也可以为其他路由协议,本发明并不仅限于此。在DSR路由协议中,节点可能收到并处理的报文包括:路由查询报文、路由回答报文、路由出错报文和数据报文。
[0101]本实施例提供的无线自组织网络侵入监测设备,利用有限状态机判断被监测节点的行为是否为侵入行为,由于所述有限状态机是按照路由协议形成的,因而,不需要提取正常网络运行时的数据进行分类训练就能够实时监测侵入行为,更利于侵入监测的实施。
[0102]对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【主权项】
1.一种无线自组织网络监测侵入的方法,其特征在于,包括以下步骤: 1)将无线自组织网络分为多个区域,在每个区域的所有节点中选择一个簇头作为监测节点,其余作为被监测节点; 2)在每个区域内,监测节点实时收集被监测节点的行为信息,并根据行为信息是否符合路由协议规范来判断被监测节点是否受到入侵,若受到入侵,则进行报警,若没有受到入侵,则停止对被监测节点的监测; 3)每隔一定时间后更换新的监测节点,并返回步骤2)。2.根据权利要求1所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤1)中通过自由竞争的方法选择簇头,具体包括以下步骤: 11)在第一预设时间内选择最先向区域内其他节点发送告示报文的节点作为簇头,其他节点作为被监测节点,告示报文中含有本节点的ID; 12)当两个节点同时收到对方的告示报文,则以ID号较小的作为监测节点,ID较大的为被监测节点; 13)当监测节点离开本区域时,重新按照步骤11)选择新的监测节点。3.根据权利要求1所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤2)中,路由协议规范包括动态源路由协议。4.根据权利要求1所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤2)中,行为信息为节点收到和处理的报文,包括路由查询报文、路由回答报文、路由出错报文和数据报文。5.根据权利要求4所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤2)包括以下步骤: 21)在被监测节点接收的查询报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范; 22)在被监测节点接收的路由回答报文、路由出错或数据报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范; 23)在被监测节点发送报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范。6.根据权利要求5所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤21)具体包括以下步骤: 211)被监测节点接收到路由查询报文; 212)被监测节点根据接收到路由查询报文产生路由回答报文,并按照路由协议规范对路由回答报文进行检查判断是否合法,若是,则进行步骤217),若否,则进行步骤218); 213)当被监测节点收到的是重复的路由查询报文时,进行步骤217); 214)当被监测节点转发路由查询报文时,则按照路由协议规范对路由回答报文进行检查判断是否合法,若是,则进行步骤217),若否,则进行步骤218); 215)当被监测节点超出一定时间没有动作时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤216),若否,则进行步骤219); 216)若该报文为路由查询报文,则将该路由查询报文发送到监测节点,返回步骤214),若该报文为路由回答报文,则返回步骤212); 217)监测正常结束,停止对被监测节点的监测; 218)路由查询报文部分字段被非法修改,发出非法修改告警; 219)被监测节点不参与路由转发,发出抛弃报文告警。7.根据权利要求5所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤22)具体包括以下步骤: 221)被监测节点接收到路由回答报文、路由出错或数据报文; 222)当该被监测节点为报文的目标节点时,进行步骤227); 223)当该被监测节点转发了报文时,则按照路由协议规范对报文进行检查判断是否合法,若是,则进行步骤227),若否,则进行步骤228); 224)当被监测节点超出一定时间没有动作时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤226),若否,则进行步骤225); 225)发出抛弃报文告警; 226)将该报文发送到监测节点,并且按照路由协议规范对报文进行检查判断是否合法,若是,则进行步骤227),若否,则进行步骤228); 227)监测正常结束,停止对被监测节点的监测; 228)报文字段被非法修改,发出非法修改告警。8.根据权利要求5所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤23)具体包括以下步骤: 231)被监测节点发出报文; 232)当被监测节点为中间节点,转发报文前不在监测区域内,转发时进入监测区域时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤233),若否,则进行步骤234); 233)将该报文发送到监测节点,监测正常结束,停止对被监测节点的监测; 234)该被监测节点没有发出此报文,判定被监测节点编造了报文,发出编造告警; 235)判断被监测节点的地址是否在报文地址列表中,若是,则返回步骤233),若否,则进行步骤236); 236)该被监测节点假冒其它节点发送了这份报文,发出假冒告警。
【专利摘要】本发明涉及一种无线自组织网络监测侵入的方法,包括以下步骤:1)将无线自组织网络分为多个区域,在每个区域的所有节点中选择一个簇头作为监测节点,其余作为被监测节点;2)在每个区域内,监测节点实时收集被监测节点的行为信息,并根据行为信息是否符合路由协议规范来判断被监测节点是否受到入侵,若受到入侵,则进行报警,若没有受到入侵,则停止对被监测节点的监测;3)每隔一定时间后更换新的监测节点,并返回步骤2)。与现有技术相比,本发明具有减少节点资源消耗、提高监测效率等优点。
【IPC分类】H04L29/06, H04L12/24
【公开号】CN105491068
【申请号】CN201610017747
【发明人】陈海波, 郑健, 王媚, 袁成, 谈雪晶, 陈锦华, 陈宁, 谢宏文, 蔡惠萍, 李慕峰
【申请人】国网上海市电力公司
【公开日】2016年4月13日
【申请日】2016年1月12日