专利名称:无线自组织网络入侵检测方法
技术领域:
本发明涉及一种网络安全技术领域的入侵检测方法,具体是一种无线自组织 网络入侵检测方法。
背景技术:
无线自组织网络作为一种新型的移动多跳无线网络,与传统的无线网络有许 多不同的特点。它不依赖于任何固定的基础设施和管理中心,而是通过移动节点 间的相互协作和自我组织来保持网络的连接,同时实现数据的传递。与固定有线 网络相比,无线自组织网络面临更多的安全威胁。为了保障无线自组织网络的安 全,至今已经提出了许多安全解决方案。但这些安全方案主要集中于密钥的分配 与认证、路由安全算法两个方面。这些措施用于无线自组织网络之中,能够发挥 一定的安全防范作用。但是,由于无线自组织网络中节点可任意移动,当网络处 于敌对的环境时,节点可能被截获而泄露密钥,敌方节点可持密钥冒充合法节点 加入网络进行攻击。此时,因为攻击者拥有合法的密钥,加密和认证技术都已经 失效,只有通过入侵检测才能发现并清除入侵者。此外,网络安全的发展史告诉 我们,任何入侵阻止方案都不可能完全阻挡外界的攻击,总有这样或那样的漏洞, 因此,入侵检测就应该成为入侵阻止方案后的第二道防火墙。无线自组织网络由 于节点自组织无中心管理节点,使得其入侵检测方案的设计成为一个难点。
经对现有技术的文献检索发现,Yongguang Zhang & Wenke Lee发表于 《ACM/Kluwer Wireless Networks Journal (ACM WINET), Vol. 9, No. 5 (S印tember 2003)》(ACM/Kluwer无线网络期刊第九巻第五期)中论文"Intrusion Detection Techniques for Mobile Wireless Networks"(无线自组织网络入 侵检测技术),该文中提出了一个基于agent的分布式协作入侵检测方案,在该 方案中IDS agent运行于网络中每一个节点上,拥有六大功能模块,分为数据收 集、本地检测、合作检测、本地入侵响应、全局入侵响应、安全通信。其过程为
首先执行本地数据收集和检测,如果本地节点能够确定入侵已发生,则直接告警。 如果只是怀疑有入侵行为,本地节点能够激发多节点的协作检测,进一步是否发 生了入侵。如果确定有入侵则激发全网的入侵响应。同时提出了一个检测路由进 攻的异常检测模型,通过提取正常网络运行时的数据,进行分类训练,实现对路 由入侵的检测。为了提高检测效率,入侵检测并不局限于网络层,而是多层综合
检领!l 。
经检索还发现,Oleg Kachirski和Ratan Guha发表于((Proceedings of IEEE Workshop on Knowledge Media Networking (KMN, 02)》(2002年IEEE信息媒 介网络专题会议集)论文"Intrusion Detection Using Mobile Agents in Wireless Ad Hoc Networks"(无线自组织网络中使用移动代理的入侵检测)中 提出了基于移动agent的入侵检测方案,每个节点都有agent,过于占用网络资 源,为了节省资源,其算法只是在某些节点上驻留有监视网络的agent,并且 agent的数量可按要求进行增减。虽然上述论文提供了一个用于实施入侵检测的 起点,但大多数对于入侵检测实施方式的有关的细节仍然没有确定。也就是说, 目前多数有关无线自组织网络入侵检测方面的论文只是提供一个架构,对于具体 如何实现检测尚未确定。
发明内容
本发明的目的是针对上述现有技术的不足,提出了一种无线自组织网络入侵
检测方法,使其将整个网络分为子区域,每一区域随机选出簇头担任监视节点,
负责本区域的入侵检测。另外,按照无线自组织网络路由协议构筑节点正常行为
和入侵行为的有限状态机,监视节点收集其邻居节点的行为信息,利用有限状态
机分析节点的行为,发现入侵者。本发明的特点是分布式合作入侵检测,不需要
事先进行数据训练并能够实时检测入侵行为。
本发明是通过如下技术方案实现的,本发明包括如下歩骤
步骤一,在无线自组织网络中,节点的资源是非常有限的,将整个自组织网
络划分为若干个区域,每个区域选出一个簇头作为监视节点负责整个区域入侵检
测,该簇头收集整个区域内的节点的行为信息;
歩骤二,将无线自组织网络的路由协议形成有限状态机,然后利用有限状态
机根据簇头收集到的行为信息判断无线自组织网络每一个节点的行为,如果节点
的行为不符合有限状态机的行为,则认为该节点的行为是攻击行为,否则,有限 状态机进入终止状态。
所述选出一个簇头作为监视节点,包括两个阶段选举阶段和维持阶段,其
中
在选举阶段,随机而竞争性地选出监视节点,起始时,整个网络没有一个监 视节点,在一段时间内如果没有任何监视节点的信息,任一节点广播一份告示报 文宣称自己是监视节点,任何收到此告示报文节点就成为被监视节点,告示报文 只能在一跳范围内传播,不能被转发;
当区域内选举出一个监视节点后,就进入了维持阶段,监视节点周期性地广 播告示报文,以维持其监视节点的地位,监视节点服务时间到了后,就重新启动 一个新的选举过程,为了保证公平和随机性,上一届的监视节点将不能参加下一 届监视节点的选举,除非整个区域只有它一个节点存在。
所述监视节点,其能收到告示报文,所发出的报文也能由被监视节点收到, 监视节点能够监视告示报文传播范围内所有节点的行为。
所述路由协议,为动态源路由协议(DSR),在动态源路由协议中,节点能够 收到并处理四种类型的报文路由查询报文、路由回答报文、路由出错报文和数 据报文。
所述判断无线自组织网络每一个节点的行为,是指
如果有限状态机收到的报文是被监视节点为源节点的报文,有限状态机直接
终止;
如果发出报文的节点是中间节点,它只是转发报文,因为节点接收报文时, 不在监视节点的区域内,转发时节点移动进入监视节点的范围内,所以只看到节 点发出了报文,此时监视节点等待邻居监视节点査询,如果有邻居监视节点查询, 则将报文信息发来邻居监视节点,有限状态机进入终止状态;如果没有邻居监视 节点查询,说明没有节点发送过此报文,是节点编造了此报文,有限状态机发出 编造告警;
如果发出报文的节点不在报文地址列表中,就是说节点与报文没有任何关 系,但它又发出该报文,即节点假冒其它节点发送了这份报文,有限状态机发出
假冒告警。
与现有技术相比,本发明具有如下有益效果
1、 基于簇头分布式合作的入侵检测,每个节点负责节点信息收集,簇头负 责入侵检测的计算,因为不需要所有节点参与入侵检测的计算,所以可以大大减 少节点资源的消耗,同时也保证入侵检测信息收集的完整全面;
2、 基于规范的入侵检测算法,将路由协议规范形成有限状态机,能够实时 检测入侵行为。
图1是本发明监视节点及监视区域示意图2是节点收到路由查询报文后处理过程的有限状态机;
图3是节点收到路由回答报文、路由出错、数据报文时处理过程的有限状态
机;
图4是节点发送报文后处理过程的有限状态机的工作流程图。
具体实施例方式
下面结合附图对本发明的实施例作详细说明本实施例在以本发明技术方案 为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护 范围不限于下述的实施例。
本实施例包括如下步骤
歩骤一,基于簇头的分布式合作的入侵检测在无线自组织网络中,节点的 资源是非常有限的,将整个自组织网络划分为若干个区域,每个区域通过自由竞 争性选举方法选出一个簇头,作为监视节点负责整个区域入侵检测,该簇头收集 整个区域内的节点的行为信息,并按路由规范形成的有限状态机进行分析,确定 入侵行为;
所述如何选出一个簇头作为监视节点,包括两个阶段选举阶段和维持阶段, 在选举阶段,随机而竞争性地选出监视节点,起始时,整个网络没有一个监视节 点,在一段时间内如果没有任何监视节点的信息,任一节点可以广播一份告示宣 称自己是监视节点,任何收到此告示节点就成为被监视节点,不能再发告示,告 示只能在一跳范围内传播,不能被转发。因为通信是双向的,某个节点能收到告 示,那么它所发出的告示也能被监视节点收到,所以监视节点能够监视告示传播 范围内的节点行为。当区域内选举出一个监视节点后,就进入了维持阶段,监视
节点周期性地广播告示,以维持其监视节点的地位。监视节点服务时间到了后, 就重新启动一个新的选举过程,为了保证公平和随机性,上一届的监视节点将不 能参加下一届监视节点的选举,除非整个区域只有它一个节点存在。如图1所示, 为三个监视节点及其监视区域分布。
监视节点的选举是公平而又随机的。所谓公平性,即每个节点都能够有公平 的机会选为监视节点,同时每个节点有相同的服务时间。公平性意味着选举的随 机性。每个监视节点相同的服务时间要求周期性地重新选举新的监视节点。随机 地选举和周期性地更换监视节点,保证了检测的安全性。如果有某个节点是入侵 者,又被选举为监视节点,那么在其作为监视节点的期间可以攻击网络而不被发 现,因为它是这个区域内的唯一入侵检测点。但它的监视服务时间结束后,又会 选出新的监视节点,此时就会发现入侵者。
无线自组织网络中节点可任意移动,监视节点和被监视节点都可能移动而离 开原来的区域,如果一个节点在一时间内收不到告示报文,它就可以启动一个选 举过程,发出告示,宣称自己是监视节点。如果两个监视节点靠近相互收到了告 示,就比较它们的ID, ID较小的节点继续保持为监视节点,另外一个就转变为 被监视节点。
步骤二,基于有限状态机的入侵检测算法将按路由协议的规范形成有限状 态机,监视节点使用有限状态机来分析监视区域内被监视节点的行为是否符合路 由规范,如果不符合有限状态机的行为则认为是攻击行为。
本实施例中的路由协议使用DSR (The dynamic source routing protocol, 动态源路由协议),实际应用不限于此。
在DSR路由协议中,节点可能收到并处理四种类型的报文路由查询报文、 路由回答报文、路由出错报文和数据报文。
对于路由査询报文,按DSR路由规范形成有限状态机,如图2所示,起始状 态是l,当节点收到报文转向状态2。如果收到的报文是路由查询报文,进入状 态3。如果该节点产生了路由回答报文,则进入状态4,接下来对路由回答报文 按DSR路由规范进行检查,如果是正常的,则达到状态7,有限状态机正常结束。 如果报文有些字段被非法修改了,则发出非法修改告警。在状态3时,如果收到 的是以前收到过的路由查询报文,则直接抛弃报文进入终止状态7。如果转发路
由查询报文则进入状态5,接下来对转发的路由查询报文按DSR路由规范进行检 査,如果修改了一些不能变化的字段,则发出非法修改告警,否则进入终止状态 7。如果在状态3超过一定时间没有动作,这时有可能是节点移动离开了监视区 域,监视节点不能收到节点所转发的路由报文,所以向周围监视节点发出询问, 是否收到该节点的转发报文,如果邻居监视节点收到,则状态转向8,是路由査 询报文将报文信息发到监视节点,转到状态5进行比较,是路由回答报文将报文 信息发到监视节点,转到状态4进行比较。如果邻居节点未收到报文,说明该节 点不参与路由转发,则发出抛弃报文告警。
对于路由回答报文、路由出错、数据报文三种报文的处理过程是同样的,可 以采用相同的有限状态机进行分析处理,如图3所示。起始状态是l,当节点收 到报文转向状态2。如果收到的报文是路由回答、路由出错、数据报文三种报文 之一,则进入状态3,以下可别转入三个状态,如果本节点已经是报文目标节点, 则进入终止状态。如果转发报文,则进入状态4,在DSR路由协议中对这三种报 文是只能原样转发不能进行修改的,接下来只要对照一下转发前后的报文,如果 有不同则发出非法修改告警,如果相同则进入终止状态。在状态3时,如果超时 没有收到转发报文,则向邻居监视节点查询该报文信息,进入状态5,如果邻居 监视节点收到其发出报文,则将信息发来,进入状态4,如果邻居没有收到则发 出抛弃报文告警。
如图4所示,当监视节点监视某个节点A发出报文时,状态是由1到2,下 面可能是下列三种情况之一
其一,以A节点为源节点的报文,即A节点发出了这个报文,状态是由2到 终止状态。
其二, A节点是中间节点,它只是转发报文,进入状态3,因为节点A接收 报文时,不在监视节点的区域内,转发时节点移动进入监视节点的范围内,所以 只看到节点A发出了报文,此时监视节点等待邻居监视节点查询,如果有邻居监 视节点查询,则将报文信息发来邻居监视节点,有限状态机进入终止状态。如果 没有邻居监视节点查询,说明没有节点发送过此报文,是节点A编造了此报文, 有限状态机发出编造告警。
其三,节点A不在报文地址列表中,就是说节点A与报文没有任何关系,但
它又发出该报文,即节点A假冒其它节点发送了这份报文,有限状态机发出假冒 告警。
本实施例中每个节点负责节点信息收集,簇头负责入侵检测的计算,因为不 需要所有节点参与入侵检测的计算,所以可以大大减少节点资源的消耗,同时也 保证入侵检测信息收集的完整全面;同时,将路由协议规范形成有限状态机,能 够实时检测入侵行为。
权利要求
1、一种无线自组织网络入侵检测方法,其特征在于,包括如下步骤步骤一,在无线自组织网络中,将整个自组织网络划分为若干个区域,每个区域选出一个簇头作为监视节点负责整个区域入侵检测,该簇头收集整个区域内的被监视节点的行为信息;步骤二,将无线自组织网络的路由协议形成有限状态机,然后利用有限状态机根据簇头收集到的行为信息判断无线自组织网络每一个节点的行为,如果节点的行为不符合有限状态机的行为,则认为该节点的行为是攻击行为,否则,有限状态机进入终止状态。
2、 根据权利要求l所述的无线自组织网络入侵检测方法,其特征是,所述 选出一个簇头作为监视节点,包括两个阶段选举阶段和维持阶段,在选举阶段,随机而竞争性地选出监视节点,起始时,整个网络没有一个监 视节点,在一段时间内如果没有任何监视节点的信息,任一节点广播一份告示报 文宣称自己是监视节点,任何收到此告示报文节点就成为被监视节点,告示报文 只能在一跳范围内传播,不能被转发;当区域内选举出一个监视节点后,就进入了维持阶段,监视节点周期性地广 播告示报文,以维持其监视节点的地位,监视节点服务时间到了后,就重新启动 一个新的选举过程,为了保证公平和随机性,上一届的监视节点将不能参加下一 届监视节点的选举,除非整个区域只有它一个节点存在。
3、 根据权利要求1或2所述的无线自组织网络入侵检测方法,其特征是, 所述监视节点,其能收到告示报文,所发出的报文也能由被监视节点收到,监视 节点能够监视告示报文传播范围内所有节点的行为。
4、 根据权利要求l所述的无线自组织网络入侵检测方法,其特征是,所述 路由协议,为动态源路由协议,在动态源路由协议中,节点能够收到并处理四种 类型的报文路由查询报文、路由回答报文、路由出错报文和数据报文。
5、 根据权利要求l所述的无线自组织网络入侵检测方法,其特征是,所述 判断无线自组织网络每一个节点的行为,是指如果有限状态机收到的报文是被监视节点为源节点的报文,有限状态机直接终止;如果发出报文的节点是中间节点,它只是转发报文,因为节点接收报文时, 不在监视节点的区域内,转发时节点移动进入监视节点的范围内,所以只看到节 点发出了报文,此时监视节点等待邻居监视节点査询,如果有邻居监视节点查询, 则将报文信息发来邻居监视节点,有限状态机进入终止状态;如果没有邻居监视 节点査询,说明没有节点发送过此报文,是节点编造了此报文,有限状态机发出 编造告警;如果发出报文的节点不在报文地址列表中,就是说节点与报文没有任何关 系,但它又发出该报文,即节点假冒其它节点发送了这份报文,有限状态机发出 假冒告警。
全文摘要
一种网络安全技术领域的无线自组织网络入侵检测方法,包括步骤一,在无线自组织网络中,将整个自组织网络划分为若干个区域,每个区域选出一个簇头作为监视节点负责整个区域入侵检测,该簇头收集整个区域内的节点的行为信息;步骤二,将无线自组织网络的路由协议形成有限状态机,然后利用有限状态机判断步骤一中簇头收集到的无线自组织网络每一个节点的行为,如果节点的行为不符合有限状态机的行为,则认为该节点的行为是攻击行为,否则,有限状态机进入终止状态。本发明是分布式合作入侵检测,不需要事先进行数据训练并能够实时检测入侵行为。
文档编号H04L12/28GK101340292SQ20081004145
公开日2009年1月7日 申请日期2008年8月7日 优先权日2008年8月7日
发明者越 吴, 帅 张, 平 易, 李建华, 宁 柳 申请人:上海交通大学