用于基于网络流量检测对移动adhoc网络的攻击的系统和方法与流程

本发明是在美国政府合同号AFRL-FA875014-C-0017下凭借政府支持进行的。政府对本发明享有一定权利。

相关申请的交叉引用

这是2015年3月18日提交的美国临时申请第62/135151号的非临时专利申请，其整体通过引用并入本文。

技术领域

本发明涉及一种用于检测对移动ad hoc网络(MANET)的攻击的系统，更具体地，涉及一种用于通过识别网络中发出可疑活动信号的动态结构依赖性变化来检测攻击的系统。

背景技术：

MANET是使用对等通信和协作来跨网络(从源节点到目的地节点)中继数据的移动无线网络。由于移动无线网络拓扑的动态性质，在控制信息的隐式信任和共享的模型上建立管理如何跨网络中继数据的协议，这使得它们特别难以抵御对该控制信息的攻击。虽然当前网络协议栈通常为在节点对之间传输的数据提供安全(例如，加密)，但网络控制信息必须对协作的节点可见，这使得网络很难安全(即，网络无法避免“网络知情人”攻击)。被俘节点(compromised node)可以(例如，通过将自己宣传为到达网络中的每个其它节点的最快路由，但是丢弃其获得的每个分组，这被称为黑洞攻击)发送不良信息来破坏网络的操作。这种攻击通常可以在不违反协议的情况下执行，因此用常规技术难以检测。

为了检测对这样的网络的攻击，已经采用了各种技术。例如，签名检测是使用先验已知的特定攻击模式的技术(这对于未知攻击无效)。异常检测使用分类器；然而，有效的分类器由于网络动态而难以构建，并且它们具有低至中等精度。免疫是学习识别外来行为的另一种技术。免疫的问题是该方法是协议特定的，难以制定，并且具有高计算开销。被称为扩展有限状态机(FSM)模型的另一种技术检测协议状态转换中的显式违规；然而，扩展FSM方法是协议和实现特定的。

值得注意的是，没有其它方法使用图形理论和信息动态分析来识别不良行为节点。在信息动态领域中，由Argollo de Meneze等人发表的出版物示出了基于网络中节点处的信号的值计算的特定度量的计算(参见所并入的参考文献的列表，参考文献1)。该度量与信号的外部和内部波动有关，但与移动ad hoc网络(MANET)的机制(machinery)无关，也与攻击检测无关。

移动无线网络中不良行为节点的检测的当前研究仍然主要集中在调整和优化专注于网络栈的较低层处的行为的常规网络防御策略。对策略(诸如签名检测、统计异常检测以及基于规范的检测)的研究已经证明对于特定的攻击和网络情况是有效的，但对于更一般的情况的适用性已经证明是难以捉摸的。网络科学在网络安全方面的应用只是最近在对逻辑和物理网络两者的建模方法(参见参考文献2)的突破之后才被意识到，其中，连接性和动态根本不同。将这项突破性工作扩展到移动无线网络的挑战性环境(特别是在规模和复杂性的现实世界假设下)尚未得到研究。

由此，持续需要一种用于通过识别网络中发出可疑活动信号的动态结构依赖性变化来检测对移动ad hoc网络的攻击的系统。

技术实现要素：

本公开提供了一种用于检测对移动网络的攻击的系统。在一些方面，该系统包括一个或更多个处理器和存储器，该存储器是具有编码在其上的可执行指令的非临时性计算机可读介质。在执行指令时，一个或更多个处理器执行若干操作，包括：连续测量网络中各节点处的时变信号；确定网络中所有节点的时变信号上的网络流量(network flux)；如果网络流量超过预定阈值，则检测到网络攻击；以及如果网络流量超过预定阈值，则启动反应式协议。

在又一个方面，在启动反应式协议时，将网络与所有外部通信隔离。

在另一个方面，时变信号是网络中节点之间的业务吞吐量。

在又一个方面，时变信号是各节点处的瞬时邻居(instantaneous neighbor)的数量。注意，在MANET中瞬时邻居的数量是随时间变化的，因此，该方面中的时变信号是各节点处的瞬时邻居的数量。

在另一个方面，网络流量基于时变信号中的内部波动和时变信号中的外部波动的函数来确定。

此外，在确定网络流量时，系统执行以下操作：估计时变信号中的内部波动；估计时变信号中的外部波动；针对多个节点评估跨时间窗的外部波动和内部波动的标准差的比率，该比率具有最大值；以及基于针对所述多个节点的比率确定网络流量。例如，该比率具有最大值，并且跨节点的比率的最大值被指定为网络流量；因此，在该示例中，网络流量基于多个节点的比率。

最后，本发明还包括计算机程序产品和计算机实现的方法。计算机程序产品包括存储在非临时性计算机可读介质上的计算机可读指令，这些指令可由具有一个或更多个处理器的计算机来执行，使得在执行指令时，一个或更多个处理器执行本文列出的操作。另选地，计算机实现的方法包括使计算机执行这样的指令并执行所产生的操作的动作。

附图说明

本发明的目的、特征和优点将从以下结合参照附图对本发明的各个方面的详细描述中变得显而易见，其中：

图1是描绘根据本发明的各种实施方式的系统的部件的框图；

图2是实施本发明的方面的计算机程序产品的例示；

图3是描绘根据本发明的各种实施方式的系统的元素和过程流的流程图；

图4是描绘网络节点处的时变信号的例示；

图5是描绘用于例示数据的“外部”对“内部”方差的分布的一系列图的例示；

图6A是描绘基于拒绝服务(DoS)攻击期间的高时间互相关的多个虚拟连接的图；

图6B是描绘拒绝服务(DoS)攻击期间的网络流量的图；

图7A是描绘取决于窗口尺寸的用于时间互相关的决策变量(以2秒采样间隔)的图；

图7B是描绘取决于窗口尺寸的用于时间互相关的决策变量(以5秒采样间隔)的图；以及

图7C是描绘如以2秒采样间隔针对窗口尺寸绘制的网络流量方法的图。

具体实施方式

本发明涉及一种用于检测对移动ad hoc网络的攻击的系统，更具体地，涉及一种用于通过识别网络中发出可疑活动信号的动态结构依赖性变化来检测攻击的系统。提出以下描述以使得本领域普通技术人员能够进行和使用本发明，并且将本发明并入特定应用的背景下。在不同应用中的各种修改以及各种用途对于本领域技术人员将是显而易见的，并且本文所限定的一般原理可以应用于广泛的方面。因此，本发明不旨在限于所提出的方面，而是符合与本文所公开的原理和新颖特征相一致的最宽范围。

在下面的详细描述中，阐述了许多具体细节，以便更全面地理解本发明。然而，对于本领域技术人员将显而易见的是，可以实施本发明而不必限于这些具体细节。在其它情况下，为了避免模糊本发明，以框图形式而不是详细地示出公知的结构和装置。

读者的注意力被引导到与本说明书同时提交的所有与本说明书一起公开进行审查的论文和文件，并且所有这样的论文和文件的内容通过引用并入本文。除非另有明确说明，否则本说明书(包括任何所附权利要求、摘要和附图)中公开的所有特征可由服务相同、等效或相似目的的另选特征来替代。因此，除非另有明确说明，否则所公开的各特征仅是等效或相似特征的通用系列的一个示例。

此外，权利要求中未明确说明用于执行指定功能的“装置”或用于执行特定功能的“步骤”的任何元素不被解释为如在35U.S.C第112节第6段中指定的“装置”或“步骤”条款。特别是，本文权利要求中“…的步骤”或“…的动作”的使用不旨在援引35U.S.C第112节第6段中的规定。

在详细描述本发明之前，首先提供并入的参考文献的列表。接着，提供对本发明的各个主要方面的描述。随后，介绍为读者提供了对本发明的一般理解。最后，提供本发明的各种实施方式的具体细节，以给出对特定方面的理解。

(1)并入的参考文献的列表

贯穿本申请引用了以下参考文献。为了清晰和方便起见，本文将参考文献列为读者的中心资源。以下参考文献通过引用并入本文，如同在本文中完全阐述一样。参考文献通过参考相应的参考文献号在本申请中引用。

1.M.Argollo de Menezesand A.L.Barabasi,Separating Internal and External Dynamics of Complex Systems,Physical Review Letters 93,pp.068701,2004.

2.M.Kurant and P.Thiran,Layered complex networks,Physical Review Letters,vol.96,no.13,pp.138701,2006.

(2)主要方面

本发明的各种实施方式包括三个“主要”方面。第一方面是用于检测对移动ad hoc网络的攻击的系统。该系统通常以计算机系统操作软件的形式或者以“硬编码”指令集的形式。该系统可以并入和/或跨提供不同功能的多种装置。第二主要方面是通常以使用数据处理系统(计算机)操作的软件的形式的方法。第三主要方面是计算机程序产品。该计算机程序产品通常表示存储在非临时性计算机可读介质(诸如光存储装置(例如，光盘(CD)或数字通用光盘(DVD))或磁存储装置(诸如软盘或磁带))上的计算机可读指令。计算机可读介质的其它非限制性示例包括硬盘、只读存储器(ROM)和闪存型存储器。下面将更详细地描述这些方面。

在图1中提供了描绘本发明的系统(即，计算机系统100)的示例的框图。计算机系统100被配置为执行与程序或算法相关联的计算、处理、操作和/或功能。在一个方面，本文讨论的某些过程和步骤被实现为一系列指令(例如，软件程序)，所述一系列指令驻留在计算机可读存储器单元内，并且由计算机系统100的一个或更多个处理器来执行。当执行时，这些指令使得计算机系统100执行特定的动作并展示特定的行为，诸如本文所描述的。

计算机系统100可以包括被配置为传送信息的地址/数据总线102。另外，一个或更多个数据处理单元(诸如处理器104)与地址/数据总线102联接。处理器104被配置为处理信息和指令。在一方面，处理器104是微处理器。另选地，处理器104可以是不同类型的处理器(诸如并行处理器或现场可编程门阵列)。

计算机系统100被配置为利用一个或更多个数据存储单元。计算机系统100可以包括与地址/数据总线102联接的易失性存储器单元106(例如，随机存取存储器(“RAM”)、静态RAM、动态RAM等)，其中，易失性存储器单元106被配置为存储用于处理器104的信息和指令。计算机系统100还可以包括与地址/数据总线102联接的非易失性存储器单元108(例如，只读存储器(“ROM”)、可编程ROM(“PROM”)、可擦除可编程ROM(“EPROM”)、电可擦除可编程ROM(“EEPROM”)、闪存等)，其中，非易失性存储器单元108被配置为存储用于处理器104的静态信息和指令。另选地，计算机系统100可以执行从诸如“云”计算中的在线数据存储单元检索的指令。在一方面，计算机系统100还可以包括与地址/数据总线102联接的一个或更多个接口(诸如接口110)。一个或更多个接口被配置为使得计算机系统100能够与其它电子装置和计算机系统接口连接。由一个或更多个接口实现的通信接口可以包括有线通信技术(例如，串行电缆、调制解调器、网络适配器等)和/或无线通信技术(例如，无线调制解调器、无线网络适配器等)。

在一个方面，计算机系统100可以包括与地址/数据总线102联接的输入装置112，其中，输入装置112被配置为将信息和命令选择传送至处理器100。根据一个方面，输入装置112是可以包括字母数字和/或功能键的字母数字输入装置(诸如键盘)。另选地，输入装置112可以是除字母数字输入装置之外的输入装置。在一方面，计算机系统100可以包括与地址/数据总线102联接的光标控制装置114，其中，光标控制装置114被配置为将用户输入信息和/或命令选择传送至处理器100。在一方面，光标控制装置114使用诸如鼠标、轨迹球、轨迹板、光学追踪装置或触摸屏的装置来实现。尽管有上述情况，但在一方面，光标控制装置114经由来自输入装置112的输入(诸如响应于与输入装置112相关联的特定键和键序列命令的使用)来引导和/或激活。在另选方面，光标控制装置114被配置为由语音命令来引导或指导。

在一方面，计算机系统100还可以包括与地址/数据总线102联接的一个或更多个可选的计算机可用数据存储装置(诸如存储装置116)。存储装置116被配置为存储信息和/或计算机可执行指令。在一个方面，存储装置116是诸如磁盘或光盘驱动器(例如，硬盘驱动器(“HDD”)、软盘、光盘只读存储器(“CD-ROM”)、数字通用光盘(“DVD”))的存储装置。根据一个方面，显示装置118与地址/数据总线102联接，其中，显示装置118被配置为显示视频和/或图形。在一方面，显示装置118可以包括阴极射线管(“CRT”)、液晶显示器(“LCD”)、场发射显示器(“FED”)、等离子体显示器或适于显示用户可识别的视频和/或图形图像以及字母数字字符的任何其它显示装置。

本文所提出的计算机系统100是根据一个方面的示例计算环境。然而，计算机系统100的非限制性示例并不严格限于是计算机系统。例如，一个方面提供了计算机系统100表示可以根据本文描述的各个方面使用的一种数据处理分析。此外，还可以实现其它计算系统。事实上，本技术的精神和范围不限于任何单个数据处理环境。因此，在一方面，使用由计算机执行的计算机可执行指令(诸如程序模块)来控制或实现本技术的各个方面的一个或更多个操作。在一个实现中，这样的程序模块包括被配置为执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件和/或数据结构。另外，一个方面提供了本技术的一个或更多个方面是通过利用一个或更多个分布式计算环境(诸如，其中任务由通过通信网络链接的远程处理装置来执行的环境，或诸如，其中各种程序模块位于包括存储器-存储装置的本地和远程计算机存储介质二者中的环境)来实现的。

图2中描绘了实施本发明的计算机程序产品(即，存储装置)的例示图。计算机程序产品被描绘为软盘200或光盘202(诸如CD或DVD)。然而，如前所述，计算机程序产品通常表示存储在任何兼容的非临时性计算机可读介质上的计算机可读指令。如关于本发明使用的术语“指令”通常指示要在计算机上执行的一组操作，并且可以表示整个程序的片段或独立(可分离的)软件模块。“指令”的非限制性示例包括计算机程序代码(源码或目标码)和“硬编码”电子器件(即，被编码到计算机芯片中的计算机操作)。“指令”存储在任何非临时性计算机可读介质上(诸如在计算机的存储器中或在软盘、CD-ROM和闪存驱动器上)。无论在哪一种情况下，指令都被编码在非临时性计算机可读介质上。

(3)介绍

由于移动无线网络拓扑的动态性质，这些网络使用建立在控制信息的隐式信任和共享的模型上的协议，这使得它们特别难以抵御假信息(misinformation)的攻击。当前的网络协议栈保证节点对之间的传输。被俘节点可以发送不良信息来破坏网络的操作。因此，本公开提供了一种用于特别是在多个节点被俘时以整体方式检测假信息的源的系统。该系统可以识别网络中发出可疑活动信号的动态结构依赖性变化。

更具体地，本公开提供了一种用于检测对移动ad hoc网络(MANET)的攻击的系统和方法。该方法连续测量网络中各节点处的信号。这种信号的非限制性示例是数据吞吐量。基于该信号及其跨节点和时间的波动，根据如下面进一步详细描述的特定公式来计算值。如果该值超过阈值，则该方法发出检测到攻击的信号。本发明的独特方面是将MANET背景下的特定公式用于攻击检测。

移动无线网络正经历各种应用中的广泛使用，诸如，(1)移动军事和执法网络(例如，士兵到士兵、传感器到传感器、地面和空中交通工具到交通工具)；(2)商业交通工具到交通工具和交通工具到基础设施网络(例如，DSRC V2V/V2I、WiFi、主动安全、运输部(DOT)的资讯娱乐)；(3)商业网状(mesh)网络(例如，都市屋顶、WiMAX)；以及(4)无线基础设施互联网服务协议(ISP)和蜂窝公司(例如，扩展数据容量)。本文描述的系统显著提升了这些和其它相关网络的安全性，这些和其它相关网络目前主要依赖于分组级加密来降低外部入侵的可能性，但不检测或防止“网络知情人”攻击。下面进一步详细地提供该系统和方法的具体细节。

(4)各种实施方式的具体细节

如上所述，本公开提供了一种用于检测对移动ad hoc网络(MANET)的攻击的系统和方法。如图3的过程流程图所示，对移动ad hoc网络300的攻击改变网络动态302。网络动态302由系统基于使用装置304测量网络的各节点处的时变信号306来评估。这种装置304的示例是具有对每秒接收的字节的数量进行计数的软件的处理器。此外，图4中描绘了这种网络400和节点402的示例。再次参考图3，然后计算决策变量(该变量被称为“网络流量(flux)”310)308。如果网络流量310的这个值超过预定的检测阈值312，则系统发出检测到攻击的信号314。一旦检测到攻击，则系统可以启动多个反应式协议316。这种反应式协议的非限制性示例包括(例如，经由文本、电子邮件和/或自动电话消息传送等)警告管理员、停止网络中节点之间的所有传输、立即隔离网络与所有外部通信(例如，防止网络发送或接收网络外部的资料(诸如电子地切断外部链路或使用任何其它合适的隔离网络的技术))、立即隔离网络中的一个或更多个节点等。

网络攻击可以引起动态网络特征关联时的行为异常，使得特征的关系在节点之间变化。系统分析例如吞吐量或本地路由表的尺寸以检测在各节点处测量的信号之间的关系的变化。在MANET中，路由表是动态的并且取决于时变的节点位置。

在下文中，假设网络由具有索引i的节点组成。在各节点处，可以测量时变信号f_i。如由Argollo de Menezes等人在参考文献1中描述的方法可以用于估计所测量的信号中的“外部动态”对“内部动态”。例如，节点i的“外部”波动被定义为

其中，A_i是对节点i处的信号f_i的时间平均。A_i是特定长度的时间窗上的平均信号。内部动态是外部动态的补充(complement)，使得二者相加给出所观测的信号f,f^int＝f-f^ext。

为了计算用于检测的决策变量，系统首先针对各节点评估f^ext和f^int跨时间窗的标准差的比率。图5提供了示出网络活动的不同快照处该比率的分布的示例的一系列条形图。这里，在洪泛攻击期间，该比率约比基线活动期间的比率大一个数量级。作为用于攻击检测的决策变量，系统使用跨节点的该比率的最大值。该值被称为网络流量。如果该值超过预定的阈值，则系统生成攻击警报和/或启动反应式协议。作为非限制性示例，如果网络流量超过10(与图5和图6B相比)，则检测到攻击。

对系统进行测试以证明使用基于高时间互相关的虚拟连接的数量或者网络流量来检测拒绝服务攻击的能力。测试数据是以2秒间隔(即，2s)采样的网络吞吐量的时间序列。两种算法都使用运行时间窗来处理数据。在图6A和图6B中，窗口尺寸分别为20s和10s。图6A是描绘基于DoS攻击(发生在t＝500s处)期间的高时间互相关的多个虚拟连接的数量的图。图6B是示出DoS攻击(发生在t＝500s处)期间的网络流量的图。

对于互相关，决策变量是具有高于阈值0.85的归一化相关的节点之间的边的数量。利用这两种方法，洪泛攻击可以在攻击开始的4秒内被检测到。然而，与利用基于相关的决策变量的方法相比，本发明显示出更清楚的检测信号(更高的信噪比)。

应注意，如图7A至图7C所示，数据窗口尺寸的影响影响检测性能。具体地，图7A是描绘取决于窗口尺寸的用于时间互相关的决策变量(以2秒采样间隔)，而图7B描绘了以5秒采样间隔的相同变量。另一方面，图7C是描绘如以2秒采样间隔针对窗口尺寸描绘的网络流量方法的图。y轴示出攻击开始时的检测变量对没有任何攻击时的该变量的最大值的比率。图7A和图7B的图用于互相关技术，而图7C用于网络流量检测方法。高于1的值意味着完美检测是可能的，(对于该特定数据集)没有假阳性。这里，与互相关相比，流量分析可以用更小的时间窗进行工作，从而实现更快的检测。

已经表明，网络流量对于检测洪泛攻击比时间互相关更有效。还发现，2s采样的数据优于5s采样的数据，并且10s时间窗对于完美检测是足够的。

最后，虽然已经依据若干实施方式描述了本发明，但本领域普通技术人员将容易地认识到，本发明可以在其它环境中具有其它应用。应注意，许多实施方式和实现是可能的。此外，所附权利要求绝不旨在将本发明的范围限于上述特定实施方式。另外，“用于…的装置(means)”的任何叙述旨在引出元素和权利要求的装置加功能解读，而未特别使用“用于…装置”的叙述的任何元素不旨在被解读为装置加功能元素，即使权利要求另外包括词语“装置”。此外，虽然已经以特定顺序描述了特定方法步骤，但方法步骤可以以任何期望的顺序进行，并且落在本发明的范围内。