无线自组织网络主动防护系统的制作方法

专利名称：无线自组织网络主动防护系统的制作方法
技术领域：
本发明涉及一种网络安全技术领域的入侵响应系统，具体是一种无线自组织 网络主动防护系统。
背景技术：
无线自组网络作为一种新型的移动多跳无线网络，与传统的无线网络有许多 不同的特点。它不依赖于任何固定的基础设施和管理中心，而是通过移动节点间 的相互协作和自我组织来保持网络的连接，同时实现数据的传递。无线自组网络 不需要事先设置任何固定设施，如基站，所以它能够快速地部署，从而应用于多 种环境之中，如军事、灾难救助、临时会议等。
随着无线自组网络的广泛应用，无线自组网络的安全保障变得FI益重要。现 有防范网络入侵的方法可分为三类，即入侵阻止、入侵检测和入侵响应。所谓入 侵阻止就是利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。但 是，这类防护方法应用在无线自组网络环境之中会受到条件的限制，例如网络拓 扑动态变化，没有可以控制的网络边界，使得防火墙无法应用。节点在移动时也 可能被敌方俘获而投降，投降节点拥有合法的密钥，加密和认证也失去了作用。 所以，尽管入侵阻止方法在传统网络中发挥了重要的作用，但在无线自组网络中 却难以发挥作用。入侵检测通过分析节点的行为来确定入侵者，按照检测技术， 可以分为基于特征的和基于异常的入侵检测。迄今为止，无线自组网络安全的研 究主要集中于入侵阻止和入侵检测两个方面。如何在无线自组网络环境下实现入 侵响应还未见相关文献发表。无线自组网络由于其资源有限是相当脆弱的，如果 不对入侵者产生及时的响应，阻止其攻击行为，也许会造成整个网络崩溃。当攻
击者发动DOS攻击时，在7分钟内整个网络的报文传输率由97%下降到9. 4%，网 络流量几乎全部被阻塞，网络无法正常运行。同时，由于其自组织、缺乏集中控 制的特点，特别在多个管理域的环境中使得人工的响应措施难以实施。由此可见，
尽管入侵阻止和入侵检测技术在防止入侵方面发挥了巨大的作用，但是它们都是 被动的防御措施，它们所能取得的效果就是防止正常节点成为入侵行为的牺牲 者。它们不能有效地消除入侵根源一入侵者。那些入侵者能够继续存在并危害网 络系统。
经对现有技术的文献检索发现，D. Schnackenberg等人在Proceedings of the Second DARPA Information Survivability Conference and Exposition (DISCEXII), Anaheim, CA， June 2001 (第二届美国国防高级研究计划局信息生 存能力会议集，阿纳海姆，加利福尼亚州，2001年6月)发表的Cooperative Intrusion Traceback and Response Architecture (CITRA)》(《助、同入侵追 踪和响应体系结构》)，提出了一种协同入侵跟踪与响应架构CITIA，该架构将 入侵检测、防火墙和路由器组成一个整体来追踪入侵源并在入侵者附近阻止入侵 行为。其具备的功能为跨越网络边界追踪入侵者、阻止入侵者继续危害网络、报 告入侵行为、协调入侵响应。该架构的核心是入侵跟踪与孤立协议IDIP， IDIP 协议由D. Schnackenberg等人在Proceedings of the DARPA Information Survivability Conference and Exposition, Hilton Head, SC， January 2000 (美国国防高级研究计划局信息生存能力会议集，希尔顿頭岛，南卡罗来纳州， 2000年 1 月)上发表的《Infrastructure for Intrusion Detection and Response》(《入侵检测和响应架构》)中提出的，IDIP协议将网络分为多个 域，每个域内有一个协调管理者。IDIP协议中对于一次攻击，首先检测到入侵 的节点会向它所有的邻居节IDIP点发送一个事件报告，接收到的节点会首先判 断自己是否在攻击路径上，如果是，它将会继续发送这个事件报告给其它的邻居 节点。所有在攻击路径上的节点在向邻居节点发IDIP发送事件报告的同时，会 把这份报告和它已采取的响应发送给协调管理者，协调管理者综合各节点的信 息，协调各节点的响应，从而达到全局最优的响应。CITRA (协同入侵跟踪与响 应架构)和IDIP (入侵跟踪与孤立协议)通过各个网络之间信息的交换，对路 由器、防火墙和主机的重新配置，实现跨多个网络对入侵者的自动追踪，最后将 入侵者在当地予以孤立。上述主动防护的方案，都是基于有线Internet网络环 境下实施的，在无线自组网络环境下，由于节点移动，动态拓扑变化，使得上述 方案难于应用。

发明内容
本发明的目的是针对上述现有技术的不足，提出了一种无线自组织网络主动 防护系统，通过多种功能的agent (代理)组成一个整体来实现主动入侵响应， 在每个节点布置监视agent,负责收集其周围每个邻居节点的行为信息；每个区 域内的决策agent汇总监视agent的信息并进行判断;若存在入侵者，阻击agent 在入侵者周围形成一道移动防火墙，将入侵者包围并隔离于网络，消除入侵行为。
本发明是通过如下技术方案实现的，本发明包括监视agent、决策agent、 阻击agent,其中
监视agent设置在每个节点，负责收集其周围每个邻居节点的行为信息，并 将收集到的行为信息传输给决策agent;
决策agent负责监控网络中的一个区域，不需驻留在每一个节点，决策agent 汇总监视agent的信息，并将汇总的信息形成某个节点一段时期内的行为序列， 再与路由协议进行对比，如果行为符合路由协议则是正常节点，如果行为不符合 路由协议，则判断为入侵者发现入侵者后，决策agent将防护命令传输给阻击 agent;
阻击agent接收到决策agent发送的防护命令之后，激活在入侵者周围的节 点上的阻击agent,形成一道移动防火墙将入侵者包围隔离，同时将其通信链路 断开，阻止入侵者发送与接收任何报文。
所述监视agent,包括监听模块、过滤模块、编码模块和第一通信模块， g巾-
监听模块负责收集监视agent所能收到所有邻居节点的通信内容，无线通信 是无方向性的，任何在其通信范围内的节点均可收到其信息，所以节点之间的通 信能够被第三方监听；
过滤模块对监听模块收到的初始信息进行过滤，滤除一些保持连接的等不必 要的信息，并将滤除后的信息传输给编码模块，比如用于节点之间保持联接的 hello报文就可过滤掉；
编码模块负责对过滤后的重要信息进行压缩编码，以减少agent之间的通信 量，并将压縮后的信息由第一通信模块传输给决策agent。
所述决策agent,是整个架构的核心，负责信息的收集、判断、阻击命令产 生等任务，决策agent也驻留在节点上，分布于无线自组网络的各处并随节点移 动对整个网络进行监视，为了减少对系统资源的占用，它只是平均分布于网络中， 即对整个无线自组网络按区域划分，每个决策agent负责一个区域的监控，而不 需要驻留在每一个节点上。
所述决策agent,包括第二通信模块、分析模块、响应模块、策略库模块， 射
第二通信模块，用于与监视agent进行通信，收集监视agent对邻居节点的 监视信息；
分析模块，用于对监视agent发来的各节点信息进行综合判断，采用基于规 范的入侵检测方法，从策略库模块取出路由协议规范，对节点行为进行判断，如 果某个节点的行为只有少数不正常，则不一定是入侵节点，可能是线路故障，若 多次判断均出现不正常，判定该节点为入侵节点，并将判断结果传输给响应模块；
策略库模块中存储路由协议规范，并供分析模块调用；
响应模块根据分析模块的有入侵节点的判断结果，产生防护命令，用以激活 阻击agent 。
所述决策agent,其采用査询应答方式与监视agent之间进行交互，在节点 动态变化的过程中，定时向周围的节点发送査询报文，受到查询报文的监视 agent后将监视收集的信息通过第二通信模块发给决策agent ，决策agent能够 综合区域内每个监视agent的信息，对某个节点的监视就会比较完全，不会有信 息遗漏。
所述决策agent,其定时向周围节点广播査询报文，报文的传输范围由决策 agent的监视范围所定，监视范围为以决策agent为中心一跳或几跳的范围。
所述分析模块，基于路由协议的规范对节点的行为进行分析，采用基于规范 的入侵检测方法，如正常节点在接收到发往其他节点的报文应该及时转发出去， 如果某接收报文后即进行了转发，是正常网络操作。如果某节点只收报文不转发 报文，不是正常网络行为。当某个节点的不正常行为超过了设定的限度，就可认 定为其为入侵节点。
所述决策agent,由于网络节点的动态特性，某个区域的决策agent可能由 于节点移动、节点退出而空缺或决策agent遭到攻击而失效，此时监视agent 就收不到决策agent的查询报文，当超过了设定的时间限度，就可推断该区域的 决策agent己经不存在，该区域的节点则选举一个节点驻留决策agent,并由该 节点从周围节点请求一个决策agent,该请求报文达到周围区域的某个决策 agent时，该决策agent复制一份，复制后的决策agent移动到请求节点，可能 会有多个决策agent响应，最先到达的决策agent发挥作用，随后到达的抛弃。
所述选举一个节点驻留决策agent,采用竞争方式进行选举，哪个节点先申 请哪个节点作为决策agent的驻留节点，或哪个节点资源充足哪个作为决策 agent的驻留节点。
所述阻击agent,包括第三通信模块、定位模块、隔离模块和休眠模块， g中-
第三通信模块用于接收决策agent的阻击命令，定位模块用于确定入侵者的 位置，如果入侵者位于阻击agent所在节点的周围，启动隔离模块功能；
隔离模块，其负责阻止入侵节点的路由请求和报文发送，也不再向入侵节点 转发报文。无线自组网络中节点必须通过邻居节点的转发才能加入网络，此时虽 然入侵节点在网络中，但它被阻击agent所隔离，不能参与任何网络功能，这样 最大程度地减少了对网络的危害。
休眠模块负责在两种情况下结束阻击agent ， 一是在设定时间内定位不到入 侵者时，就是入侵者不在阻击agent所在节点的周围；二是入侵者死亡不再需要 阻击agent隔离时，休眠模块能防止阻击agent大量长时间占用节点资源，只有 当入侵者存在时，才需要阻击agent隔离，入侵者死亡，阻击agent也应自行休 眠。
本发明工作时，包括入侵检测和入侵响应两个部分，入侵节点周围节点上的 监视agent时刻监视入侵节点的行为并将其行为进行编码，当入侵节点连续发送 查询报文时，各监视agent将编码发往本区域的决策agent,决策agent调用 策略库中的路由规范进行判断，判断为入侵行为后，下一歩进行入侵响应，决策 agent的响应模块开始产生阻击命令，发给阻击agent,阻击agent被激活，阻 击agent命令入侵节点的邻节点，到达后将临节点与入侵节点的链路中断，拒绝 入侵节点的任何路由报文，同时其他决策agent重复这样的工作，这样入侵节点 虽然在网络中，但已完全被其周围节点隔离。
与现有技术相比，本发明具有如下有益效果
1、 能够实时地发现并主动阻断入侵者的攻击行为，保障无线自组织网络的 安全和正常运行。
2、 移动防火墙只在在攻击者周围形成，无需全网实施响应，从而能使入侵 响应局部化，大大减少主动防护所消耗的网络资源。


图1是本发明的系统结构框图； 图2是本发明中监视agent的结构框图； 图3是本发明中决策agent的结构框图； 图4是本发明中阻击agent的结构框图； 图5是一个无线自组织网络拓扑图6是入侵节点发动攻击图7是本发明中阻击agent形成移动防火墙后孤立入侵节点的结果示意图。
具体实施例方式
下面结合附图对本发明的实施例作详细说明本实施例在以本发明技术方案 为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护 范围不限于下述的实施例。
如图5所示，是应用本实施例的一个无线自组织网络的拓扑图，该无线自组 织网络中，有15个移动节点，从节点A到节点0，相邻节点通过双向链路(表 示为一争)进行连接，其中节点H为入侵者。
如图1所示，本实施例包括监视agent、决策agent、阻击agent，其中
监视agent设置在每个节点，负责收集其周围每个邻居节点的行为信息，并 将收集到的行为信息传输给决策agent;图5中，15个节点(表示为O)都驻留 监视agent,监听并收集其邻居节点的行为信息。
决策agent负责监控网络中的一个区域，不需驻留在每一个节点，决策agent 汇总监视agent.的信息，并将汇总的信息形成某个节点一段时期内的行为序列， 再与路由协议进行对比，如果行为符合路由协议则是正常节点，如果行为不符合 路由协议，则判断为入侵者发现入侵者后，决策agent将防护命令传输给阻击 agent;图5中，三个节点C、 L、 0 (表示为口)中驻留了决策agent，负责其区
域内信息的汇总与决策，如节点L上的决策agent就负责汇总节点D、 E、 M、 L 节点上监视agent所收集的信息。
阻击agent接收到决策agent发送的防护命令之后，激活在入侵者周围的节 点上的阻击agent,形成一道移动防火墙将入侵者包围隔离，同时将其通信链路 断开，阻止入侵者发送与接收任何报文。
如图2所示，所述监视agent,包括监听模块、过滤模块、编码模块和第 一通信模块，其中-
监听模块负责收集监视agent所能收到所有邻居节点的通信内容，无线通信 是无方向性的，任何在其通信范围内的节点均可收到其信息，所以节点之间的通 信能够被第三方监听；
过滤模块对监听模块收到的初始信息进行过滤，滤除一些保持连接的等不必 要的信息，并将滤除后的信息传输给编码模块，比如用于节点之间保持联接的 hello报文就可过滤掉；
编码模块负责对过滤后的重要信息进行压縮编码，以减少agent之间的通信 量，并将压缩后的信息由第一通信模块传输给决策agent。
如图3所示，所述决策agent,包括第二通信模块、分析模块、响应模块、 策略库模块，其中
第二通信模块，用于与监视agent进行通信，收集监视agent对邻居节点的 监视信息；
响应模块负责在节点动态变化的过程中，定时向周围的节点发送查询报文， 受到查询报文的监视agent后将监视收集的信息通过第二通信模块发给决策 agent;
分析模块，用于对监视agent发来的各节点信息进行综合判断，采用基于规 范的入侵检测方法，从策略库模块取出路由协议规范，对节点行为进行判断，如 果某个节点的行为只有少数不正常，则不一定是入侵节点，可能是线路故障，若 多次判断均出现不正常，判定该节点为入侵节点；
策略库模块中存储路由协议规范，并供分析模块调用；
如图4所示，所述阻击agent,包括第三通信模块、定位模块、隔离模块 和休眠模块，其中
第三通信模块用于接收决策agent的阻击命令，定位模块用于确定入侵者的 位置，如果入侵者位于阻击agent所在节点的周围，启动隔离模块功能；
隔离模块，其负责阻止入侵节点的路由请求和报文发送，也不再向入侵节点 转发报文。无线自组网络中节点必须通过邻居节点的转发才能加入网络，此时虽 然入侵节点在网络中，但它被阻击agent所隔离，不能参与任何网络功能，这样 最大程度地减少了对网络的危害。
休眠模块负责在两种情况下结束阻击agent， 一是在设定时间内定位不到入 侵者时，就是入侵者不在阻击agent所在节点的周围；二是入侵者死亡不再需要 阻击agent隔离时，休眠模块能防止阻击agent大量长时间占用节点资源，只有 当入侵者存在时，才需要阻击agent隔离，入侵者死亡，阻击agent也应自行休 眠。
如图6所示，中显示入侵节点H (表示为A )开始发动拒绝服务攻击，它 向整个网络泛洪发送大量无用数据报文或路由查询报文，数据报从入侵者周围节 点开始向整个网络扩散，大量占用和消耗网络资源，导致其他节点无法正常传送 报文，图中"" 表示攻击报文传播路线。
本实施例工作时包括入侵检测和入侵响应两个过程
首先是入侵检测，节点F、 G、 I、 D是H的邻居，在节点F、 G、 I、 D上的监 视agent时刻监视节点H的行为并将其行为进行编码，当H节点连续发送査询报 文时，其行为的编码为"6666666"， F节点上的监视agent将编码发往C节点上 的决策agent, D节点上监视agent的监视数据发向L节点上的决策agent, G、 I节点上监视agent的监视数据发往0节点上的决策agent。决策agent调用策 略库中的路由规范进行判断。
判断为入侵行为后，下一歩进行入侵响应，决策agent的响应模块开始产生 阻击命令，发给阻击agent,在节点C、 L、 0上的决策agent判断有入侵后，分 别产生阻击agent命令，节点C上决策agent产生的阻击agent命令沿CF链路 到达入侵者H的邻节点F，到达后将节点F与入侵者H的链路FH中断，拒绝H 节点的任何路由报文。同样，节点L和0上的决策agent产生的阻击agent命令 分别到达入侵者的另外三个邻居节点D、 I、 G，同时将其与节点H的链路DH、 IH、 GH断开。这样入侵者H虽然在网络中，但己完全被其周围节点隔离。
如图7所示，阻击agent命令传输到入侵者周围四个节点，激活阻击agent 形成一道移动防火墙，如图中的虚线，将入侵者隔离。图中， 表示阻击agent 驻留的节点，—表示阻击agent移动路线，X表示中断链路连接。
从上述分析可以看出，遍布整个网络的监视agent实现对每个节点的监控， 将节点的行为编码后发送到决策agent,决策agent进行判断。如果发现入侵者， 则决策agent发出阻击agent命令，由阻击agent将入侵者包围并隔离，最终消 除入侵的影响，实现网络的正常运转，整个过程是自动进行的，无需人工干预， 实现了实时的主动入侵防护。
权利要求
1、一种无线自组织网络主动防护系统，其特征在于，包括监视agent、决策agent、阻击agent，其中监视agent设置在每个节点，负责收集其周围每个邻居节点的行为信息，并将收集到的行为信息传输给决策agent；决策agent负责监控网络中的一个区域，决策agent汇总该区域内监视agent的信息，并将汇总的信息形成某个节点一段时期内的行为序列，再与路由协议进行对比，如果行为符合路由协议则是正常节点，如果行为不符合路由协议，则判断为入侵者发现入侵者后，决策agent将防护命令传输给阻击agent；阻击agent接收到决策agent发送的防护命令之后，激活在入侵者周围的节点上的阻击agent，形成一道移动防火墙将入侵者包围隔离，同时将其通信链路断开，阻止入侵者发送与接收任何报文。
2、 根据权利要求l所述的无线自组织网络主动防护系统，其特征是，所述 监视agent,包括监听模块、过滤模块、编码模块和第一通信模块，其中监听模块负责收集监视agent所能收到所有邻居节点的通信内容； 过滤模块对监听模块收到的初始信息进行过滤，滤除保持连接的信息，并将滤除后的信息传输给编码模块；编码模块负责对过滤后的重要信息进行压縮编码，并将压縮后的信息由第一通信模块传输给决策agent 。
3、 根据权利要求l所述的无线自组织网络主动防护系统，其特征是，所述 决策agent,其采用査询应答方式与监视agent之间进行交互，在节点动态变化 的过程中，定时向周围的节点发送查询报文，受到査询报文的监视agent后将监 视收集的信息通过通信模块发给决策agent。
4、 根据权利要求l所述的无线自组织网络主动防护系统，其特征是，所述 决策agent,其定时向周围节点广播查询报文，报文的传输范围由决策agent的 监视范围所定，监视范围为以决策agent为中心一跳或几跳的范围。
5、 根据权利要求l所述的无线自组织网络主动防护系统，其特征是，所述 决策agent,由于网络节点的动态特性，某个区域的决策agent可能由于节点移 动、节点退出而空缺或决策agent遭到攻击而失效，此时监视agent就收不到决 策agent的査询报文，当超过了设定的时间限度，就推断该区域的决策agent 已经不存在，该区域的节点则选举一个节点驻留决策agent,并由该节点从周围 节点请求一个决策agent,该请求报文达到周围区域的某个决策agent时，该决 策agent复制一份，复制后的决策agent移动到请求节点，可能会有多个决策 agent响应，最先到达的决策agent发挥作用，随后到达的抛弃。
6、 根据权利要求5所述的无线自组织网络主动防护系统，其特征是，所述 选举一个节点驻留决策agent,采用竞争方式进行选举，哪个节点先申请哪个节 点作为决策agent的驻留节点，或哪个节点资源充足哪个作为决策agent的驻留 节点。
7、 根据权利要求1或3或4或5或6所述的无线自组织网络主动防护系统， 其特征是，所述决策agent,包括第二通信模块、分析模块、响应模块、策略 库模块，其中第二通信模块，用于与监视agent进行通信，收集监视agent对邻居节点的 监视信息；分析模块，用于对监视agent发来的各节点信息进行综合判断，采用基于规 范的入侵检测方法，从策略库模块取出路由协议规范，对节点行为进行判断，如 果某个节点的行为只有少数不正常，则不一定是入侵节点，可能是线路故障，若 多次判断均出现不正常，判定该节点为入侵节点，并将判断结果传输给响应模块；策略库模块中存储路由协议规范，并供分析模块调用；响应模块根据分析模块的有入侵节点的判断结果，产生防护命令，用以激活 阻击agent o
8、 根据权利要求l所述的无线自组织网络主动防护系统，其特征是，所述 阻击agent,包括第三通信模块、定位模块、隔离模块和休眠模块，其中第三通信模块用于接收决策agent的阻击命令，定位模块用于确定入侵者的 位置，如果入侵者位于阻击agent所在节点的周围，启动隔离模块功能；隔离模块，其负责阻止入侵节点的路由请求和报文发送，也不再向入侵节点 转发报文； 休眠模块负责在两种情况下结束阻击agent， 一是在设定时间内定位不到入 侵者时，就是入侵者不在阻击agent所在节点的周围；二是入侵者死亡不再需要 阻击agent隔离时，休眠模块能防止阻击agent大量长时间占用节点资源，只有 当入侵者存在时，才需要阻击agent隔离，入侵者死亡，阻击agent也应自行休 眠。
全文摘要
一种网络安全技术领域的无线自组织网络主动防护系统，包括监视agent、决策agent、阻击agent，其中监视agent负责收集其周围每个邻居节点的行为信息，决策agent负责监控网络中的一个区域，决策agent汇总该区域内监视agent的信息，并将汇总的信息形成某个节点一段时期内行为序列，再与路由协议进行对比，如果行为不符合路由协议，则判断为入侵者发现入侵者后，决策agent将防护命令传输给阻击agent；阻击agent接收到决策agent发送的防护命令之后，形成一道移动防火墙将入侵者包围隔离，同时将其通信链路断开，阻止入侵者发送与接收任何报文。本发明大大减少了主动防护所消耗的网络资源。
文档编号H04L12/28GK101355416SQ20081004145
公开日2009年1月28日 申请日期2008年8月7日 优先权日2008年8月7日
发明者越 吴, 帅 张, 平 易, 李建华, 宁 柳 申请人:上海交通大学