专利名称:无线网络自适应攻击检测方法
技术领域:
本发明涉及无线网络入侵检测技术领域,具体是一种基于路径的无线网络自适应攻击检测方法。
背景技术:
在自组织无线网络(Ad hoc)中,黑洞攻击是一种典型的路由扰乱型攻击方式,会给网络性能造成严重的影响。Hongmei Deng等人于2002年在《TelecommunicationsNetwork Security》发表的论文《Routing Security in Wireless Ad Hoc Networks》中介绍了黑洞攻击(black hole)是无线自组织网络中一种主要的攻击类型,即采用路由选择方式时,在路由发现阶段恶意节点向接收到的路由请求包中加入虚假可用信道信息,骗取其 他节点同其建立路由连接,然后丢掉需要转发的数据包,造成数据包丢失的恶意攻击。在黑洞攻击的防御与检测方面,以往的该领域研究人员曾提出过如下几种类型的方法Zapata 等人在《Secure Ad hocon Demand Distance Vector (SOADV) Routing)) 一文中提出的 SOADV 算法和 Papadimitrados 等人在《Secure Routing for Mobile Ad hocNetworks)) 一文中提出的Ad hoc路由协议安全扩展算法等防御策略,都是要在路由协议中加入复杂的加/解密算法和相应的扩展协议来实现,其缺陷在于提高了 Ad hoc网络的路由开销,代价过大;Al_Shurman等人在《Black Hole Attack in Mobile Ad hoc Networks》中提出了冗余路由算法,通过增设冗余路径的策略抵御黑洞攻击,但该方法延时过长,尤其对于大型Ad hoc网络效用大幅降低。此外,还有节点信用衡量法,Watchdog等方法被相继提出。汇总现有论文中的方法,可以总结出以往算法中尚存以下三点不足之处一、检测策略开销过大,不适应无线自组织网路简单快捷的路由环境;二、检测效果不佳,检测率过低或误检率过高;三、缺乏合理的检测阈值,没有实现自适应的阈值选取方式。
发明内容
本发明的目的是克服上述现有技术的不足,提供一种基于路径的无线网络自适应检测方法,用于对DSR协议下的无线自组织网络(Mobile Ad hoc)的黑洞攻击的高效检测,并较好地实现检测开销和检测效果的平衡,同时采用动态阈值的方式实现检测方法的自适应性。本发明的基本原理是每个检测节点只检测本次路由中下一跳节点的转发行为。将下一跳节点(被检测节点)的数据包转发率与动态阈值作比较,低于阈值时,则判定为攻击节点。其中,在阈值的选取方面,由于网络中隐蔽节点的存在,使得不同网络环境(主要指数据包发生碰撞的程度不同)下,正常活动节点的转发率并不相同,所以采用固定阈值会产生较大误报率。本方法根据信道中的实时碰撞率,计算出在特定网络环境(指特定碰撞率)中的自适应阈值。采用该动态阈值进行检测,达到更好的检测效果。本发明的技术解决方案如下一种基于路径的无线网络自适应攻击检测方法,该方法包括如下步骤①当检测节点转发数据包时,数据包摘要被加入到检测节点的数据包摘要缓存中。所述的数据包摘要缓存是指在每个检测节点中创建的用于记录转发数据包摘要的存储空间。②检测节点始终监听其下一跳节点,即被检测节点的数据包转发行为。③每经过一个检测周期,检测节点将计算其下一跳节点的转发率。 所述的检测周期是指间隔一段固定的时隙,用于统计被检测节点的转发率。所述的转发率是指被检测节点转发的数据包数量除以被检测节点接收的数据包数量。④在MAC层增加两个计数器-分别是collisionPktNum和nonColPktNum,初始
化 collisionPktNum 和 nonColPktNum 均为 0 ;所述的MAC层是指介质访问控制层,属于OSI模型中数据链路层下层子层。⑤在每一个碰撞统计周期,当检测节点在MAC层检测到一次碰撞,则将collisionPktNum 加 I,否则将 nonColPktNum 力口 I ;计算碰撞率(RCR),公式如下
r I ….....co'i Hsion I Id Num,, xRi R(N) =--( I )
coliision!leiNnm I- non('olPkiNum其中RCR(N)是指第N个碰撞统计周期内的碰撞率,N=I,…,n。所述的碰撞是指在同一传输信道中有一组以上的数据包同时传输,从而弓I起彼此叠加干扰的情况。所述的碰撞统计周期是指间隔一段固定的时隙,用于计算碰撞率RCR。每个检测周期内有n个碰撞统计周期,即存在数量关系检测周期=碰撞统计周期Xn。将当前碰撞统计周期的碰撞率(RCR (N))发送至网络层,同时collisionPktNum和nonColPktNum复位至0,进入下一个碰撞统计周期的碰撞率(RCR (N+1))的统计。直至n个(本专利中n=10)碰撞统计周期进行完毕,计算出累积碰撞率。所述的网络层是指网络层是OSI参考模型中的第三层,本方法中DSR等路由协议工作于该层。⑥在网络层协议中,计算累积碰撞率ACR(N),公式如下
f0,for N = O
-\ACR{N) + RCR{N)j, for JV > I等价地
(j、N~i I
RCR(N)(3)其中ACR(N)即累积碰撞率是指全部N个碰撞统计周期中的碰撞率累计值。⑦由于隐蔽节点的存在,受信道中发生碰撞程度的影响,网络层中检测节点检测到的数据包转发率与被检测节点实际的转发率满足如下关系公式P0Ver hear (I ^collision) ^forward (4)其中,Prallisim是一个碰撞统计周期内的碰撞率,Ptowari是被检测节点的数据包实际转发率,Poverhear是检测节点测得的数据包转发率。所述的隐蔽节点是指在一个正在发送数据的节点的收发范围之外,在一个正在接受数据的节点的收发范围之内的节点。⑧根据(4)式,得出被检测节点的固定阈值Tf与动态阈值Td (N)的关系,即动态阈值的计算公式,如(5)式所示 Td(N) = I-(I-Tf) (I-ACR(N)) (5)所述的固定阈值是指判断节点是否为黑洞节点的比较参数,在以往的检测方法中多为直接采用一个固定参数作为固定阈值。所述的动态阈值是根据固定阈值和实时的累积碰撞率计算出的用于判断节点是否为黑洞节点的动态参数。其中,Tf是固定阈值(本专利中Tf=O. 6 0. 8) ;Td (N)是前N个碰撞统计周期(也就是一个检测周期)所对应的动态阈值,即检测节点检测到的数据包实际转发率与其比较,若低于该动态阈值时,即可举报该节点。⑨比较被检测节点转发率与动态阈值的大小,当被检测节点(检查节点的下一跳节点)转发率低于动态阈值时,检测节点举报其为攻击者。与现有技术相比,本发明具有如下有益效果I、本方法中每个节点只依赖于本地节点开展检测,因此不需要发送额外的控制报文。2、与其他合作式检测模式不同,本方法不需要加密算法来建立信任关系。3、以检测下一跳节点代替以往算法中检测邻居节点,极大降低了检测带来的性能损失。4、设计了一种跨层计算动态阈值的方法,实现了基于动态阈值的自适应检测,显著提高了检测效果。
图I是本发明基于路径的无线网络自适应攻击检测方法的原理图。 图中S :检测节点;I和2 :检测节点S的其他相邻节点(检测节点S的下一跳节点),A :被检测节点(检测节点S的下一跳节点)、B :节点A下一跳节点、D :节点B的下一跳节点;节点S,A,B,D构成一条数据包传输路径。
具体实施例方式下面结合附图对本发明的实施例作详细说明本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。一种基于路径的无线网络自适应攻击检测方法,该方法包括如下步骤①当检测节点转发数据包时,数据包摘要被加入到数据包摘要缓存中。如图I所示,S节点记录下其转发数据包Pl的摘要。所述的数据包摘要缓存是指在每个检测节点中创建的用于记录转发数据包摘要的存储空间。②正常节点收到数据包后,应根据协议进行转发,此时,检测节点始终监听其下一跳节点(被检测节点)的数据包转发行为。如图I的例子所示,假设A节点为正常节点,S节点则可以串听到其转发了数据包P1,数据包Pl的摘要就会从S节点的数据包摘要缓存中删去。③每经过一个检测周期,检测节点将计算其下一跳节点的转发率。所述的检测周期是指间隔一段固定的时隙,用于统计被检测节点的转发率。所述的转发率是指被检测节点接收的数据包数量去除转发给其下一节点的数据
包数量。④计算动态阈值,包括具体步骤如下(I)监听网络信道中的碰撞事件,检测节点统计在一个碰撞统计周期内的信道碰
撞率;首先,在MAC层增加两个计数器-分别是colIisionPktNum和nonColPktNum,并
初始化 collisionPktNum 和 nonColPktNum 均为 0 ;所述的MAC层是指介质访问控制层,属于OSI模型中数据链路层下层子层。然后,在每一个碰撞统计周期,当检测节点在MAC层检测到一次碰撞,则将collisionPktNum 力口 I,否则将 nonColPktNum 力口 I ;计算碰撞率(RCR),公式如下
权利要求
1.ー种基于路径的无线网络自适应攻击检测方法,其特征在于该方法包括如下步骤 ①当检测节点转发数据包时,数据包摘要被加入到检测节点的数据包摘要缓存中; ②检测节点监听其下一跳节点的数据包转发行为; ③每经过ー个检测周期,检测节点计算该下一跳节点的转发率; ④计算动态阈值; ⑤比较被检测节点转发率与动态阈值的大小,当被检测节点转发率小于动态阈值吋,则检测节点举报被检测节点为攻击者。
2.根据权利要求I所述的基于路径的无线网络自适应攻击检测方法,其特征在于,所述步骤④的计算动态阈值具体步骤如下 (41)监听网络信道中的碰撞事件,检测节点统计在ー个碰撞统计周期内的信道碰撞率; (42)检测节点计算在N个碰撞统计周期中的碰撞率累积值,即累积碰撞率。
(43)根据累积碰撞率、被检测节点固定阈值,计算检测节点的动态阈值。
3.根据权利要求2所述的基于路径的无线网络自适应攻击检测方法,其特征在于,所述的检测节点统计在ー个碰撞统计周期内的信道碰撞率,包括如下步骤 a.在MAC层增加两个计数器-分别是collisionPktNum和nonColPktNum,初始化collisionPktNum 和 nonColPktNum 为 O ; b.在每ー个碰撞统计周期,当检测节点在MAC层检测到一次碰撞,则将collisionPktNum 加 I,否则将 nonColPktNum 加 I ; 计算碰撞率RCR,公式如下
4.根据权利要求2所述的基于路径的无线网络自适应攻击检测方法,其特征在于,所述的计算累积碰撞率ACR(N),公式如下
5.根据权利要求2所述的基于路径的无线网络自适应攻击检测方法,其特征在于,所述的计算检测节点的动态阈值的公式如下Td(N) = I-(I-Tf) · (I-ACR(N)) (5) 其中,Tf是ー个固定阈值,Td (N)是前N个统计碰撞周期所对应的动态阈值。
6.根据权利要求1-5任一项所述的基于路径的无线网络自适应攻击检测方法,其特征在于,所述的检测节点是指仅需监听其路由中下ー跳节点,井能根据网络环境的变化动态计算阈值的节点。
全文摘要
一种基于路径的无线网络自适应攻击检测方法,包括①当检测节点转发数据包时,数据包摘要被加入到检测节点的数据包摘要缓存中;②检测节点监听其下一跳节点的数据包转发行为;③每经过一个检测周期,检测节点计算该下一跳节点的转发率;④计算动态阈值;⑤比较被检测节点转发率与动态阈值的大小,当的被检测节点转发率小于动态阈值时,则检测节点举报其为攻击者。本发明根据信道中的实时碰撞率,计算出在特定网络环境(指特定碰撞率)中的自适应阈值,无需发送额外的控制报文,降低检测带来的性能损失,达到更好的检测效果。
文档编号H04W12/00GK102685736SQ201210162988
公开日2012年9月19日 申请日期2012年5月22日 优先权日2012年5月22日
发明者关汉男, 易平, 李建华, 柳宁, 罗庆华 申请人:上海交通大学