CN101895889A - 无线自组织网络中的黑洞攻击的检测方法 - Google Patents
无线自组织网络中的黑洞攻击的检测方法 Download PDFInfo
- Publication number
- CN101895889A CN101895889A CN201010254967.4A CN201010254967A CN101895889A CN 101895889 A CN101895889 A CN 101895889A CN 201010254967 A CN201010254967 A CN 201010254967A CN 101895889 A CN101895889 A CN 101895889A
- Authority
- CN
- China
- Prior art keywords
- node
- black hole
- hole attack
- attack
- neighbor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种无线自组织网络中的黑洞攻击的检测方法,是在网络中的每个节点分别执行各自独立的黑洞攻击的检测方法:先对该节点的无线信号有效传输距离的一跳范围内的各个邻居节点的行为进行检测,也即收集和分析其周围邻居节点的行为;再对各个邻居节点的行为进行分析和统计,只要发现某个邻居节点的统计数据发生异常,就认为该邻居节点是黑洞攻击节点;一旦检测出黑洞攻击节点后,就将该黑洞攻击节点列入黑名单并进行广播,执行攻击节点的隔离,以使黑洞攻击的损失降到最低。本发明首创提出检测黑洞攻击节点的具体方法,且能够在检测出黑洞攻击节点后,马上采取防范措施,使攻击造成的损失最少。
Description
技术领域
本发明涉及一种无线自组织网络中的黑洞攻击的检测方法,属于网络安全技术领域。
背景技术
无线自组织网络是一种无线移动的多跳通信网络,与传统的无线通信网络有着许多不同特点:该网络不依赖于任何固定的基础设施和管理中心,而是通过移动节点间的相互协作和自我组织来保持网络内各节点之间的连接,同时实现数据的传递。与有线网络相比较,无线自组织网络的特殊之处是面临更多的安全威胁。利用无线自组织网络共享无线媒介的这个本质特性,使得外部攻击者只要具备相应的硬件设备,就有可能伪装成合法节点(Masquerade)拦截路由信息(Interception)或插入伪造的路由信息(Falsification),造成节点之间无法通信等严重后果。其中,黑洞攻击就是一种典型的攻击。黑洞攻击是指某些节点出于节省能量或计算能力、破坏正常数据包转发等目的,将经过自身节点的数据包全部丢弃或部分丢弃的行为。黑洞攻击会造成网络流量显著下降的后果。
黑洞攻击通常被分为两类:被动黑洞攻击和主动黑洞攻击。被动黑洞攻击是指恶意节点只是正常转发所有路由信息,但是丢弃所有通过其转发的数据包。具备该特性的除了一般的黑洞节点以外,还包括自私节点等。主动黑洞攻击是指通过伪造路由应答包(如谎称经过自己的路由是最佳路由),从而主动吸引网络中的流量,因此主动黑洞攻击具有更大的破坏能力。研究表明,当网络中总共60个节点内有15个黑洞攻击节点时,丢包率就会达到44%。因此,必须及时检测并发现黑洞攻击节点,这已经成为无线自组织网络安全运行的重要保障。
经过检索现有技术文献发现,Yongguang Zhang&Wenke Lee发表于《Proceedings of the 6th annual international conference on Mobile computing and networking》(2000年移动计算与网络专题会议集)的论文《Intrusion detection in wireless ad hoc networks》(无线ad hoc网络的入侵检测)中提出一种具备分布性和协作性的黑洞检测的机制,该机制使用统计异常的检测方法,从网络的不同层次收集黑洞检测信息,检测后采取的措施包括重新认证和隔绝攻击节点。
经检索还发现,H Deng和W Li等发表于《IEEE Communications Magazine 2002》(2002年IEEE通信杂志)的论文《Routing security in wireless ad hoc networks》(无线ad hoc网络中的路由安全)中提出了一种黑洞检测方案:源节点S要向目的节点D发送数据包时,其中的恶意节点A声称自己可以到达目的节点D且链路最优。为了检测出该攻击节点,现在大多使用一条通向中间节点的路由,重复发送路由请求信息,以检测节点A和目的节点D之间是否存在路由。若存在路由,则认为该中间节点可信并发送数据包;否则,丢弃该节点A的回复信息,并向网络发送报警信号,同时将该节点A与网络隔离。
虽然上述现有技术的两篇论文都提供了一个用于实施黑洞攻击检测的思路,但是,真正实施检测的许多细节或具体方法,这两篇论文都没有确定。也就是说,目前,大多数有关无线自组织网络的黑洞检测技术方面的论文只是提供一个架构或思路,对于如何具体实现检测的技术手段尚未确定。
发明内容
有鉴于此,本发明的目的是针对上述现有技术的不足,提出一种无线自组织网络中的黑洞攻击的检测方法,本发明是在无线自组织网络中的每个节点分别执行黑洞攻击的检测,监视周围邻居节点的行为;而且,本发明方法在检测出黑洞攻击节点后,就马上采取相应的防范措施,能使攻击造成的损失最少。
为了达到上述发明目的,本发明提供了一种无线自组织网络中的黑洞攻击的检测方法,其特征在于:网络中的每个节点分别执行各自独立的黑洞攻击的检测方法:先对该节点的无线信号有效传输距离的一跳范围内的各个邻居节点的行为进行检测,也即收集和分析其周围邻居节点的行为;再对各个邻居节点的行为进行分析和统计,只要发现某个邻居节点的统计数据发生异常,就认为该邻居节点是黑洞攻击节点;一旦检测出黑洞攻击节点后,就将该黑洞攻击节点列入黑名单并进行广播,执行攻击节点的隔离,以使黑洞攻击的损失降到最低。
所述每个节点对周围的各个邻居节点的行为进行检测,是监听周围的各个邻居节点是否转发数据包,并对监听的结果进行分析和统计,如果发现未转发数据包的数量超过设定阈值,就断定此邻居节点是黑洞攻击节点。
所述方法在检测出黑洞攻击节点后,进一步执行下列操作内容:将该黑洞攻击节点列入黑名单,清空路由表并进行广播;其他节点接收到广播的黑名单后,更新自己的黑名单并清空路由表。
与现有技术相比,本发明方法具有如下有益效果:无线自组织网络中的每个节点都是各自独立地进行黑洞攻击的检测,既便利,又灵活。而且,一旦检测出黑洞攻击节点后,本发明马上采取防范措施,能够使攻击造成的损失造成最少。因此,本发明具有很好的推广应用前景。
附图说明
图1是无线网络中的数据包转发检测方法的机理示意图。
图2是本发明采用的黑名单的处理流程图。
图3是本发明实施例中的黑洞攻击流程图。
图4是本发明无线自组织网络中的黑洞攻击的检测方法测流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图和实施例对本发明作进一步的详细描述。
参见图1,介绍本发明方法的机理:当某个节点(或路由器)A要将数据包发送给非目的节点的另一个节点B时,节点B会根据路由信息转发该数据包。因为在无线网络中的信号传播是全向的,因此,节点B转发的数据包肯定也能够被节点A收到,因此,节点A可以对无线网络进行监听,当节点B将数据包转发给节点C时,作为其邻居节点A依然能够监听到转发的数据包,这样就可以通过查看节点B是否对数据包进行转发来判断该节点B是否为黑洞节点。如果节点B持续一段时间没有转发数据包,或者未转发的数据包达到设定数量,即阈值,就可以判定该节点B是黑洞节点,并采取一定的防范措施。
因此,本发明无线自组织网络中的黑洞攻击的检测方法的最大特点是:网络中的每个节点分别执行各自独立的黑洞攻击的检测程序:先对该节点的无线信号有效传输距离的一跳范围内的各个邻居节点的行为进行检测,也即收集和分析其周围邻居节点的行为-监听周围各个邻居节点是否转发数据包;再对各个邻居节点的行为或监听结果进行分析和统计,只要发现某个邻居节点未转发数据包的数量超过设定阈值,就认为该邻居节点是黑洞攻击节点;一旦检测出黑洞攻击节点后,就将该黑洞攻击节点列入黑名单,清空路由表并进行广播,执行攻击节点的隔离;其他节点接收到广播的黑名单后,更新自己的黑名单并清空路由表,这样就使得黑洞攻击的损失降到最低。
本发明已经进行了实施试验,下面结合附图,详细说明实施例的试验情况。
实施例是以本发明方法为基础进行实施的,给出了详细的实施方式和具体的操作过程,但是,本发明的保护范围不限于该实施例。下面具体介绍实现的实施例的具体技术细节:
(1)黑名单:当网络节点检测到黑洞攻击节点的时候,必须采用相应的方式,才能有效地减小黑洞攻击带来的损害。本发明采用的是黑名单的方法。
当网络节点检测出黑洞攻击节点时,都会将攻击者的相关信息加入黑名单(本发明是用攻击节点的IP地址),并且清空路由表。这样,以后再接收到包的时候(无论是路由包还是数据包),就会首先检测包的源地址。如果该源地址的IP地址位于黑名单,就采取相应的措施(本发明是将数据包直接丢弃)。这样黑洞节点伪造的路由回复包就会被直接丢弃,黑洞攻击也就失去了效果。
为了使检测更加有效,本发明还广播传送黑名单,每个节点在收到广播的黑名单时,就会将相应的节点加入自身的黑名单并清空路由表。这样可以使无线自组织网络中的所有节点尽快地获知攻击节点的信息,从而使防范得到尽快的实施。黑名单的处理流程参见图2所示。
(2)黑洞攻击的模拟(参见图3):本发明实施例模拟实现的是主动黑洞攻击。黑洞攻击节点接收到路由请求时,就会回复,声称自己的下一跳就能够到达目的节点(将自身节点和目的节点的IP地址都放入路由回复包中),并且伪造链路质量(将链路质量设置为最优),这样就可以达到吸引数据流量的作用。当源节点收到路由回复包的时候,就会选择经过黑洞节点的路由,并开始进行数据的收发。然而,黑洞节点接收到数据包后,并不会进行转发,而是直接丢弃。这样黑洞攻击就起到了作用。
(3)黑洞攻击的检测(参见图4所示的检测流程):本发明在虚拟出以monitor模式工作的网卡后,就可以监听网络中的流量,这样就为进行黑洞攻击的检测提供了可能。
在每个节点中,本发明设计了一个数据结构,用于记录所有邻居节点的数据包的未转发数(简称未转发数),并初始化设置为0。节点A对数据包进行转发,当数据包的下一跳节点B不是目的节点D的时候,那么节点B必须对数据包进行转发。节点A在将数据包转发给节点B之前,首先就进行存储或记录(将节点B的未转发数加1),将数据包转发出去后,再监听节点B是否转发数据包,如果转发数据包,就将节点B的未转发数减1;如果没有监听到转发,则不进行任何处理。如果节点B未转发数达到设定阈值后,就能够断定节点B是一个黑洞节点,并进行黑名单处理。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (3)
1.一种无线自组织网络中的黑洞攻击的检测方法,其特征在于:网络中的每个节点分别执行各自独立的黑洞攻击的检测方法:先对该节点的无线信号有效传输距离的一跳范围内的各个邻居节点的行为进行检测,也即收集和分析其周围邻居节点的行为;再对各个邻居节点的行为进行分析和统计,只要发现某个邻居节点的统计数据发生异常,就认为该邻居节点是黑洞攻击节点;一旦检测出黑洞攻击节点后,就将该黑洞攻击节点列入黑名单并进行广播,执行攻击节点的隔离,以使黑洞攻击的损失降到最低。
2.根据权利要求1所述的方法,其特征在于:所述每个节点对周围的各个邻居节点的行为进行检测,是监听周围的各个邻居节点是否转发数据包,并对监听的结果进行分析和统计,如果发现未转发数据包的数量超过设定阈值,就断定此邻居节点是黑洞攻击节点。
3.根据权利要求1所述的的方法,其特征在于:所述方法在检测出黑洞攻击节点后,进一步执行下列操作内容:将该黑洞攻击节点列入黑名单,清空路由表并进行广播;其他节点接收到广播的黑名单后,更新自己的黑名单并清空路由表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010254967.4A CN101895889A (zh) | 2010-08-13 | 2010-08-13 | 无线自组织网络中的黑洞攻击的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010254967.4A CN101895889A (zh) | 2010-08-13 | 2010-08-13 | 无线自组织网络中的黑洞攻击的检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101895889A true CN101895889A (zh) | 2010-11-24 |
Family
ID=43104921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010254967.4A Pending CN101895889A (zh) | 2010-08-13 | 2010-08-13 | 无线自组织网络中的黑洞攻击的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101895889A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685736A (zh) * | 2012-05-22 | 2012-09-19 | 上海交通大学 | 无线网络自适应攻击检测方法 |
| CN102932794A (zh) * | 2012-11-01 | 2013-02-13 | 中国科学院信息工程研究所 | 一种分簇自组织网络中黑洞攻击检测方法 |
| CN106604279A (zh) * | 2016-12-30 | 2017-04-26 | 西安电子科技大学 | 基于特征的Ad Hoc网络攻击检测方法 |
| CN106658482A (zh) * | 2016-10-08 | 2017-05-10 | 西安电子科技大学 | 路由发现中的黑洞攻击防御方法 |
| CN111031062A (zh) * | 2019-12-24 | 2020-04-17 | 四川英得赛克科技有限公司 | 带自学习的工业控制系统全景感知监测方法、装置和系统 |
| US11706625B2 (en) | 2020-09-03 | 2023-07-18 | Cisco Technology, Inc. | Malicious black hole node detection and circumvention |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1741527A (zh) * | 2005-09-23 | 2006-03-01 | 北京交通大学 | 一种应用于ad hoc网络的合作增强机制的方法 |
| CN101159748A (zh) * | 2007-11-14 | 2008-04-09 | 北京科技大学 | 一种无线传感器网络中的实体认证方法 |
| CN101442413A (zh) * | 2008-12-22 | 2009-05-27 | 西安交通大学 | 一种基于邻居协同监测的ad hoc网络蠕虫检测方法 |
-
2010
- 2010-08-13 CN CN201010254967.4A patent/CN101895889A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1741527A (zh) * | 2005-09-23 | 2006-03-01 | 北京交通大学 | 一种应用于ad hoc网络的合作增强机制的方法 |
| CN101159748A (zh) * | 2007-11-14 | 2008-04-09 | 北京科技大学 | 一种无线传感器网络中的实体认证方法 |
| CN101442413A (zh) * | 2008-12-22 | 2009-05-27 | 西安交通大学 | 一种基于邻居协同监测的ad hoc网络蠕虫检测方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685736A (zh) * | 2012-05-22 | 2012-09-19 | 上海交通大学 | 无线网络自适应攻击检测方法 |
| CN102932794A (zh) * | 2012-11-01 | 2013-02-13 | 中国科学院信息工程研究所 | 一种分簇自组织网络中黑洞攻击检测方法 |
| CN102932794B (zh) * | 2012-11-01 | 2017-08-08 | 中国科学院信息工程研究所 | 一种分簇自组织网络中黑洞攻击检测方法 |
| CN106658482A (zh) * | 2016-10-08 | 2017-05-10 | 西安电子科技大学 | 路由发现中的黑洞攻击防御方法 |
| CN106658482B (zh) * | 2016-10-08 | 2020-04-07 | 西安电子科技大学 | 路由发现中的黑洞攻击防御方法 |
| CN106604279A (zh) * | 2016-12-30 | 2017-04-26 | 西安电子科技大学 | 基于特征的Ad Hoc网络攻击检测方法 |
| CN111031062A (zh) * | 2019-12-24 | 2020-04-17 | 四川英得赛克科技有限公司 | 带自学习的工业控制系统全景感知监测方法、装置和系统 |
| CN111031062B (zh) * | 2019-12-24 | 2020-12-15 | 四川英得赛克科技有限公司 | 带自学习的工业控制系统全景感知监测方法、装置和系统 |
| US11706625B2 (en) | 2020-09-03 | 2023-07-18 | Cisco Technology, Inc. | Malicious black hole node detection and circumvention |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Stamouli et al. | Real-time intrusion detection for ad hoc networks | |
| Ukey et al. | Detection of packet dropping attack using improved acknowledgement based scheme in MANET | |
| CN101895889A (zh) | 无线自组织网络中的黑洞攻击的检测方法 | |
| CN101917733B (zh) | 无线自组织网络路由查询泛洪攻击的检测方法 | |
| CN103701825A (zh) | 面向移动智能终端IPv6协议及其应用的安全测试系统 | |
| Grgic et al. | System for malicious node detection in IPv6-based wireless sensor networks | |
| EP1542406B1 (en) | Mechanism for detection of attacks based on impersonation in a wireless network | |
| Wazid et al. | A survey of attacks happened at different layers of mobile ad-hoc network & some available detection techniques | |
| Upadhyay et al. | DDOS attack aware DSR routing protocol in WSN | |
| Prathapani et al. | Intelligent honeypot agent for blackhole attack detection in wireless mesh networks | |
| Liu et al. | Efficient and timely jamming detection in wireless sensor networks | |
| Gambhir et al. | PPN: Prime product number based malicious node detection scheme for MANETs | |
| Kar et al. | Security challenges in cognitive radio network and defending against Byzantine attack: a survey | |
| Sinha | Impact of DoS attack in IoT system and identifying the attacker location for interference attacks | |
| Adil et al. | An intelligent hybrid mutual authentication scheme for industrial internet of thing networks | |
| Gao et al. | Detection and defense technology of blackhole attacks in wireless sensor network | |
| Sharma et al. | A review of selective forwarding attacks in wireless sensor networks | |
| La et al. | A novel monitoring solution for 6LoWPAN-based Wireless Sensor Networks | |
| Jhaveri et al. | A novel solution for grayhole attack in aodv based manets | |
| Alsumayt et al. | A survey of the mitigation methods against dos attacks on manets | |
| Kumar et al. | A modified approach for recognition and eradication of extenuation of gray-hole attack in MANET using AODV routing protocol | |
| Supriya et al. | Mobile ad hoc netwoks security attacks and secured routing protocols: A survey | |
| Huang et al. | A flow-based network monitoring framework for wireless mesh networks | |
| Verma et al. | Addressing DAO Insider Attacks in IPv6-Based Low-Power and Lossy Networks | |
| Sidhu et al. | A comprehensive study of routing layer intrusions in zigbee based wireless sensor networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101124 |