CN103249177A - 一种无线传感器网络中DDoS攻击的追踪方法 - Google Patents

一种无线传感器网络中DDoS攻击的追踪方法 Download PDF

Info

Publication number
CN103249177A
CN103249177A CN2012102858183A CN201210285818A CN103249177A CN 103249177 A CN103249177 A CN 103249177A CN 2012102858183 A CN2012102858183 A CN 2012102858183A CN 201210285818 A CN201210285818 A CN 201210285818A CN 103249177 A CN103249177 A CN 103249177A
Authority
CN
China
Prior art keywords
field
packet
attack
leader cluster
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2012102858183A
Other languages
English (en)
Inventor
倪彤光
顾晓清
李玉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changzhou University
Original Assignee
Changzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changzhou University filed Critical Changzhou University
Priority to CN2012102858183A priority Critical patent/CN103249177A/zh
Publication of CN103249177A publication Critical patent/CN103249177A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开一种无线传感器网络中DDoS攻击的追踪方法,该方法将数据包进行标记,并利用标记过的数据包进行溯源追踪,找出恶意攻击节点,所述标记方法是在数据包中设置六个标记域的标记信息(first,top,tail,start,end,distance),并对簇头节点数据包标记和普通节点数据包标记,然后通过路径重构发现攻击路径并进行相应处理。该方法具有优良的收敛性,降低了攻击源的不确定性,并提高了抗干扰能力。

Description

一种无线传感器网络中DDoS攻击的追踪方法
技术领域
    本发明属于网络安全技术领域,尤其是一种针对无线传感器网络中分布式拒绝服务攻击(DDoS)攻击的攻击源追踪方法。
背景技术
无线传感器网络作为计算机、通信和传感器三项技术结合的产物,在国防军事、环境检测、交通管理等众多领域极具应用前景。近来倍受世人关注且成为未来五大网络趋势之一的物联网,其关键的实现技术之一就是无线传感器网络,这也使得无线传感器网络成为计算机科学领域一个活跃的研究分支。
无线传感器网络是由大量部署在监测区域内的微型传感器节点组成,通过无线通信方式形成的一个多跳的自组织网络系统。无线传感器网络中的网络模型主要有分布式和层次式两大类。当无线传感器网络规模较大时一般采用层次式网络模型。在层次式网络模型中,整个网络被分为很多簇,其结构如图2(a)所示。该网络以簇为基本单位,一个簇相当于一个子网络,它由簇头节点和普通传感器节点组成。簇头节点需要协调簇内节点的工作,负责数据的融合和转发。每一个簇头节点可以定义一个标记,记为ID,这些簇头ID不能相同,每个簇内的普通传感器节点也可标识其ID,在一个簇内这些ID也是唯一的。
由于无线传感器网络往往被部署在无人职守的开放式环境中,同时单个传感器节点的能量和存储空间有限,因此它很容易受到攻击者的恶意攻击,而分布式拒绝服务攻击(DDoS)则是一种无线传感器网络中常见并危害极大的攻击手段。通常,攻击者通过干扰无线信道,大量插入或丢弃报文等手段发起攻击,消耗传感器节点有限的资源,使得网络部分或者全部瘫痪。因此,当传感器网络被用于具有重要使命的场景中时,如军事上的战场监视、商业上的小区无线防护等等,如何对DDoS攻击采取有效措施就非常重要。
目前国内外已对DDoS攻击检测和溯源进行了大量的研究,提出了很多方法,基本上分成“单独生成追踪信息专用数据包”和“数据包标记”两大类。前者会增加传感器节点的带宽负担,消耗传感器节点资源,实际使用效果不佳。后者都是在2000年Savage等人提出的“边采样”标记方法的基础上发展起来的。Savage等人提出的“边采样”概率包标记方法,适用于传统的IP网络中,路由器以一定的概率对数据包进行标记,标记内容包括攻击路径上任两个路由器的地址,即攻击路径上的“边”以及“边”到攻击目标的距离。被攻击者根据受到的标记过的数据包中的相应信息进行攻击路径的恢复。这种传统的“边采样”标记方法要想移植到无线传感器网络中,存在以下两个问题:
1)传统的“边”由路由器地址构成,无线传感器网络中是不存在路由器的,取而代之的是传感器节点。传统的“边采样”标记方法无法直接在无线传感器网络中使用。
2)传统的“边采样”标记方法效率不高,特别是存在多条攻击路径时。事实上,DDoS攻击必定会当存在多条攻击路径,每条路径发起的DDoS攻击的强度是不等的。如何在众多的攻击路径中找出威胁最大的攻击源并最先对其处理,降低误报率,是尚未解决的问题。
发明内容
基于现有技术中的上述问题,本发明提出了一种新颖的无线传感器网络中的数据包标记方法,该方法将数据包进行标记,并利用标记过的数据包进行溯源追踪,找出恶意攻击节点。
本发明的技术方案是:一种无线传感器网络中DDoS攻击的追踪方法,依次进行标记方法和路径重构方法,其特征在于:
所述标记方法是在数据包中设置六个标记域的标记信息(first,top,tail,start,end,distance),其中first字段表示攻击数据包所经过的第一个簇头节点的ID;top字段表示攻击数据包被标记后,经过的第一个簇头节点的ID;tail字段表示top的下一个簇头节点ID;start字段表示在分簇内存放边的起始点的普通节点ID;end字段表示在分簇内存放边的终点的普通节点ID;distance字段表示start字段和最近的簇头节点top字段的距离;其标记步骤包括簇头节点数据包标记方法和普通节点数据包标记方法;
所述簇头节点数据包标记方法的步骤为:
步骤1-1 收到数据包的簇头节点,首先检查标记信息中的first字段,如果不为0,就将该簇头节点的ID写入first字段,并且first字段不能被后续的节点重新标记:
步骤1-2 当决定以簇头节点标记概率p标记数据包时,簇头节点将数据包中的first字段外的全部字段清空,并将其ID写入top字段和start字段;
步骤1-3 当决定不标记该数据包时,需检查top字段和start字段,如果top字段为0而start字段不为0,那么该簇头节点就将其ID写入top字段同时将distance的值加1;如果top和start字段都不为0并且tail字段为0,该簇头节点就将其ID写入tail字段;如果start字段不为0且end字段为0,该簇头节点就将其ID写入end字段;
所述普通节点数据包标记方法的步骤为:
步骤2-1 当决定以普通节点标记概率P标记数据包时,将first字段以外的其它字段都设置为0,并将该节点的ID写入start字段;
步骤2-2 如果决定不标记数据包,需检查top字段和start字段,如果top字段为0而start字段不为0,则将distance的值加1;如果end字段也为0,则将该节点ID写入end字段;
所述路径重构方法的步骤为:
步骤3-1 将收集到的攻击数据包根据first字段进行分组,形成first字段不同的攻击数据包集合;
步骤3-2 首先先找到tail字段等于0的攻击数据包集合中的数据包,取出其top字段,得到所有距离基站距离为0的簇头节点ID集合S0
步骤3-3 在集合S0中选取簇头节点标记ID0,查找以其作为tail字段的数据包,得到所有距离基站距离为1的簇头节点标记ID1,ID0和ID1就构成了攻击主干路径上一条以ID1为起点,ID0为终点的边,并以此方法得出所有的边,重构出候选攻击路径;
步骤3-4 对上一步骤中得到的候选攻击路径,计算其权重;并和无攻击时的路径权重进行比较,找出攻击主干路径。
步骤3-5 在涉及攻击路径的分簇内,实施以簇头节点作为根节点进行宽度优先搜索,按distance值分成不同的集合,从距离distance=0开始,检查数据包的start字段和end字段,构成离簇头节点最近的一条边;重复边的构造直到distance达到可能的最大值为止,从而构造出该分簇内的全部攻击路径信息。
进一步,所述簇头节点标记概率p的取值为p=1/(n+k),其中n为该无线传感器网络中的分组数,k是一个常数。
进一步,所述普通节点标记概率P的取值为P=3/m,其中m分簇内普通节点数。
进一步,所述first字段、top字段、tail字段、start字段、end字段、distance字段各占两个字节。
本发明主要用于在发生DDoS攻击时,能快速高效地追踪到攻击源,从而在源头抑止攻击的继续以及为追究攻击者的责任提供证据等,其有益效果是:
1.优良的收敛性;以往的一些方案,在重构路径时需要接收大量的数据包,不仅浪费了宝贵的时间,也增加了网络的负担。本发明通过在标记数据包中设置六个标记字段,并选取了合适的标记概率,使得重构路径时数据包量大大减少,得到理想的收敛效果。
2.降低了攻击源的不确定性;在分簇节点和普通节点选用不同的标记概率,本发明降低了攻击源的不确定性,使得攻击源易于定位。
3.抗干扰能力提高;在攻击路径的重构方法中把权重信息加入到候选攻击路径中,通过和正常情况下的候选攻击路径权重进行比较,可更好地分析真正的攻击源,起到降低误报率的效果。
附图说明
图1是本发明的追踪方法的流程示意图;
图2(a)是无线传感器网络中层次式的网络模型   (b)是攻击路径示意图;
图3是数据包重载格式示意图;
图4是普通节点的标记方法流程图;
图5是簇头节点的标记方法流程图;
图6是基站上的路径重构方法流程图。
具体实施方式
下面结合具体的实例对本发明作进一步的阐述。
如图1所示,追踪方法的步骤包括按一定概率对数据包进行标记,通过基站提取数据包信息,重构攻击路径并确认攻击并采取措施。
数据包的标记信息(first,top,tail,start,end,distance)包含六个标记域。这六个标记域分成两层。第一层由(first,top,tail)组成,主要用来重构路径的主干部分。第二层由(start,end,distance)组成,用来重构分簇内普通节点start到簇头节点top的局部路径。
这六个标记字段的含义:first字段表示攻击数据包所经过的第一个簇头节点的ID,first字段标记过后不能被后续的簇头节点标记;top字段表示攻击数据包被标记后,经过的第一个簇头节点的ID,它可以被后续的簇头节点重复标记,它的值用来和tail字段构成主干路径上的“边”信息;tail字段表示top的下一个簇头节点ID,也可重复标记;start字段表示在分簇内存放边的起始点的普通节点ID,可重复标记,它和end字段构成簇内局部路径上的“边”信息;end字段表示在分簇内存放边的终点的普通节点ID,这个字段也可重复标记;distance字段表示start字段和最近的簇头节点top字段的距离。
如图5所示,簇头节点数据包标记方法的步骤为:
步骤1-1 收到数据包的簇头节点,首先检查标记信息中的first字段,如果不为0,就将该簇头节点的ID写入first字段,并且first字段不能被后续的节点重新标记:
步骤1-2 当决定以概率p标记数据包时,簇头节点将数据包中的first字段外的全部字段清空,并将其ID写入top字段和start字段;
步骤1-3 当决定不标记该数据包时,需检查top字段和start字段,如果top字段为0而start字段不为0,那么该簇头节点就将其ID写入top字段同时将distance的值加1;如果top和start字段都不为0并且tail字段为0,该簇头节点就将其ID写入tail字段;如果start字段不为0且end字段为0,该簇头节点就将其ID写入end字段;
如图4所示,普通节点数据包标记方法的步骤为:
步骤2-1 当决定以概率P标记数据包时,将first字段以外的其它字段都设置为0,并将该节点的ID写入start字段;
步骤2-2 如果决定不标记数据包,需检查top字段和start字段,如果top字段为0而start字段不为0,则将distance的值加1;如果end字段也为0,则将该节点ID写入end字段;
数据包的重载格式
数据包的重载格式如图3所示。IEEE 802.15.4的数据包格式包括五个数据报域,分别是帧控制(frame control)、数据序列号(data sequence number)、地址域(addressing fields)、数据负载(data payload)和帧校验序列(frame check sequence)。其中帧控制域长度固定为2个字节;数据序列号长度固定为1个字节;地址域长度固定为4-20个字节;数据负载域长度可变,帧校验序列长度固定为2个字节,也就是说除了数据负载(data payload)这个数据报域外,另外的四个数据报域都无法更改,所以标记信息加入data payload域。
数据包标记信息包括六个字段(first, top, tail, start, end, distance),除了distance字段外都用来标识节点信息,每个字段用2个字节就足够了,distance字段是一个表示距离的正整数,用2个字节就同样也足够了,这样可表示的长度最大值达到217-1。
标记概率的选取
数据包标记概率的选取与能否迅速找到攻击源有着至关重要的联系,标记概率选取过大可以减弱攻击者隐藏来源的能力,却影响网络的吞吐能力,消耗了节点的能量和带宽;标记概率选取过小可以减少网络的负载,但是基站却可能因为标记数据包太少而不能重构攻击路径。
设一条攻击路径中,从攻击者到基站的距离是d+1,即从攻击者处出发,数据包需经过d个节点后到达基站。设中间的节点按顺序为C 1 C 2 , …, C d ,其中C 1 离攻击者最近,C d 离基站最近。数据包被节点C i 标记的概率                                                
Figure DEST_PATH_IMAGE001
,那么每个数据包经过d个节点被标记概率的至少是dp
Figure 32287DEST_PATH_IMAGE002
。由不平均概率coupon collector 问题可知,d个等概率项中的每一个都能被选中一次所需的次数为
Figure DEST_PATH_IMAGE003
。所以重构攻击路径所需的数据包的数量最多是:。也就是说数据包被哪个节点标记的概率都是1/d时,路径重构所需的数据包最少。
考虑到无线传感器网络的拓扑结构和标记字段的设置,簇头节点和普通节点设置不同的标记概率。
簇头节点:设该无线传感器网络中有n个分组,则簇头节点的标记概率是p=1/(n+k)。其中k是一个常数。
普通节点:这分簇内有m个普通节点,考虑到一般攻击路径不可能遍历全部的内部节点,所以取标记的概率P=1/(m/3),即P=3/m
以图2(b)为例,具体的标记过程如下:
1.簇头节点A收到数据包后,首先检查标记信息中的first字段,如果不是为0,就把该簇头节点的ID写入first字段。接着取0-1之间的随机数u,并将其与簇头节点标记概率p比较,如果大于则不标记,如果小于则标记。这里选择不标记该数据包。此时簇头节点A更新数据包标记信息(A,0,0,0,0,0)。
2.普通节点a2收到数据包后,先取随机数u(u在0-1之间),并将其与普通节点标记概率P比较,如果大于则不标记,如果小于则标记。若a2决定标记数据包,除了first字段以外的其它全部字段都设置为0,并将该节点的信息写入start字段,数据包标记信息(A,0,0,a2,0,0)。
3.簇头节点B收到数据包后,不能修改标记信息中的first字段。依然选取随机数与簇头节点标记概率p比较。如果小于则标记数据包,将数据包中的除first字段全部清空,并将自己的ID写入top字段和start字段,此时簇头节点B更新数据包标记信息(A,B,0,B,0,0)。
4.普通节点b1收到数据包后,先取随机数u,并将其与普通节点标记概率P比较,如果大于则不标记,此时需检查top字段和start字段,如果此时top字段为0而start字段不为0,那么将distance的值加1,同时如果end字段为0,就将该节点信息写入end字段。此时普通节点b1更新数据包标记信息(A,B,0,B,b1,0)。
5.普通节点b2收到数据包后,先取随机数u,并将其与普通节点标记概率P比较,如果大于则不标记,此时需检查top字段和start字段,如果此时top字段为0而start字段不为0,那么将distance的值加1,同时如果end字段为0,就将该节点信息写入end字段。此时数据包标记信息依然是(A,B,0,B,b1,0)。
6.簇头节点C收到数据包后,不能修改标记信息中的first字段。依然选取随机数与簇头节点标记概率p比较。如果大于则不标记,检查top字段和start字段,如果top字段为0而start字段不为0,那么就将自己的ID写入top字段同时将distance的值加1;如果top和start字段都不为0并且tail字段为0,就将自己的ID写入tail字段;如果start字段不为0且end字段为0,就将自己的ID写入end字段。此时簇头节点C更新数据包标记信息(A,B,C,B,b1,0)。
7.普通节点c1收到数据包后,先取随机数u,并将其与普通节点标记概率p比较,如果大于则不标记,此时需检查top字段和start字段,如果此时top字段为0而start字段不为0,那么将distance的值加1,同时如果end字段为0,就将该节点信息写入end字段。此时数据包标记信息依然是(A,B,C,B,b1,0)。
普通节点采用的标记方法流程图如图4所示,伪代码如下:
//Marking procedure at normal sensor node N:    // 普通节点的标记方法
for each packet P  
      let u be a random number from [0,1)
    if u<=
       place 0 into all fields except for P.first
       write N into P.start
          else
         if (P.top=0) & (P.start!=0)
P.distance+=1
  if (P.end=0)
    write N into P.end
分簇节点采用的标记方法流程图如图5所示,伪代码如下:
//Marking procedure at cluster head C:     // 分簇节点的标记方法
for each packet P  
if (P.first=0)
    write C into P.first
      let u be a random number from [0,1)
    if u<=
Figure 57192DEST_PATH_IMAGE005
       place 0 into all fields except for P.first
       write C into P.top
       write C into P.start
          else
         if (P.top=0) &then (P.start!=0)
P.distance+=1
write C into P.top
   if (P.tail=0)
     write C into P.tail
if (P.end=0) &then (P.start!=0)
 write C into P.end
下面将描述在重构中实现的具体步骤。
路径重构包括两个部分。第一部分构造出由簇头节点构成的主干路径,第二部分构造出每个分簇内的局部转发路径。具体的路径重构方法流程图如图6所示。
1.将收集到的攻击数据包根据first字段进行分组,形成first字段不同的攻击数据包集合。
2.将在不同的分组中,先找到tail字段等于0的攻击数据包集合中的数据包,取出其top字段,得到所有距离基站距离为0的簇头节点,即与基站距离最近的簇头节点ID集合S0
3.在集合S0中选取距离基站距离为0的簇头节点标记ID0,查找以其作为tail字段的数据包,得到所有距离基站距离为1的簇头节点标记ID1。这样,ID0和ID1就构成了攻击主干路径上一条以ID1为起点,ID0为终点的边,以此类推,得出所有的边,就重构出攻击的主干路径。 
4.计算各个候选攻击路径的权重,并和无攻击时的路径权重进行比较,找出真正的攻击主干路径。
设一候选攻击路径l=
Figure 994055DEST_PATH_IMAGE006
,簇头节点Ci以概率p标记的数据包有
Figure DEST_PATH_IMAGE007
个转发到Ci+1,则称边
Figure 278406DEST_PATH_IMAGE008
的权重为
Figure 566299DEST_PATH_IMAGE007
(C d+1 =V),记为
Figure DEST_PATH_IMAGE009
Figure 594298DEST_PATH_IMAGE007
。候选攻击路径l的权重记为:W t=。只要边在候选攻击路径上,该边的权重就增加1。利用每一条候选路径的权重值W l 与正常情况下的权重
Figure DEST_PATH_IMAGE011
相比较,如果
Figure 716286DEST_PATH_IMAGE012
<
Figure DEST_PATH_IMAGE013
(设定的一个限值),则认为路径不是攻击路径。这里设
Figure 616108DEST_PATH_IMAGE014
表示攻击路径的上行节点图中距离i的簇头节点的集合,当候选攻击路径的权重>阈值a时,应把该簇头节点加入到
Figure 57585DEST_PATH_IMAGE014
中。因为阈值a的作用是衡量候选攻击路径边的权重,当边的权重较大,表明由此边转发到V的数据包的数量较多,这条边就在确定的攻击路径上。
基站的路径重构方法及攻击路径权重计算方法的伪代码如下,流程图如图6所示:
// Reconstruction procedure at BS           //基站的路径重构方法
let 
Figure 359254DEST_PATH_IMAGE016
beempty for 0
Figure DEST_PATH_IMAGE017
dmaxd
for each child
Figure 857679DEST_PATH_IMAGE018
of V in 
Figure 227481DEST_PATH_IMAGE015
  
for d:=0 to maxd
    if 
Figure 118076DEST_PATH_IMAGE018
is leaf
     push .top into stack
    while (
Figure DEST_PATH_IMAGE019
is 
Figure 274699DEST_PATH_IMAGE018
.top.parentand 
Figure 448192DEST_PATH_IMAGE019
!=NULL)
      push 
Figure 458873DEST_PATH_IMAGE019
.top into stack
      
Figure 302195DEST_PATH_IMAGE018
=
Figure 398327DEST_PATH_IMAGE019
       
Figure 985297DEST_PATH_IMAGE020
+=1
     if 
Figure 850485DEST_PATH_IMAGE020
>m then
         insert 
Figure 864709DEST_PATH_IMAGE019
 into
Figure DEST_PATH_IMAGE021
     
// Producing the weight of the path     //计算攻击路径权重
  for l=0 to N.(Track-1)                
     for each edge i in MayAttack[l]
     
Figure 448137DEST_PATH_IMAGE022
     if 
Figure 573219DEST_PATH_IMAGE012
Figure 558492DEST_PATH_IMAGE024
 then
        insert l into       //
Figure 618983DEST_PATH_IMAGE025
是 攻击路径组成的有向图
    output 
5.路径重构的第二部分是构造出每个分簇内的局部转发路径。如图6所示,在涉及攻击路径的分簇内,实施以簇头节点作为根节点进行宽度优先搜索,按distance值分成不同的集合,从距离distance=0开始,检查数据包的start字段和end字段,构成离簇头节点最近的一条边。距离distance=0处理完以后,处理distance=1的情况,重复边的构造。如此依次处理,直到distance达到可能的最大值而不能继续为止。这样,就构造出该分簇内的全部攻击路径信息。
分簇内采用的路径重构方法如下伪代码所示:
// Reconstruction procedure at cluster head C          //分簇内局部路径的重构
  let 
Figure 618480DEST_PATH_IMAGE016
beempty for 0
Figure 458260DEST_PATH_IMAGE017
d
Figure 938920DEST_PATH_IMAGE017
maxd //表示已标记的数据包的集合
if ( P not in )
   insert P into 
for each P in 
Figure 185039DEST_PATH_IMAGE016
  get through P.start 
  get 
Figure DEST_PATH_IMAGE027
through P.end
insert l=(
Figure 901653DEST_PATH_IMAGE027
)into 
Figure 989694DEST_PATH_IMAGE025
   //
Figure 256728DEST_PATH_IMAGE025
是分簇内的局部转发路径组成的有向图
output 
Figure 330994DEST_PATH_IMAGE025
从每个标记包中提取标记信息,按照一定的规则存入一个重构数据包集合,当发生单路径攻击时,该数据中的记录能按照距离大小顺序,直接提供攻击路径的恢复。当发生多路径攻击时,数据中的记录根据分组情况同样可以恢复攻击路径。
以上所述的实例只是用于说明本发明,而不构成对本发明的限制。本领域的技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种修改和变更,这些修改和变更仍然在本发明的保护范围内。

Claims (4)

1.一种无线传感器网络中DDoS攻击的追踪方法,依次进行标记方法和路径重构方法,其特征在于:
所述标记方法是在数据包中设置六个标记域的标记信息(first,top,tail,start,end,distance),其中first字段表示攻击数据包所经过的第一个簇头节点的ID;top字段表示攻击数据包被标记后,经过的第一个簇头节点的ID;tail字段表示top的下一个簇头节点ID;start字段表示在分簇内存放边的起始点的普通节点ID;end字段表示在分簇内存放边的终点的普通节点ID;distance字段表示start字段和最近的簇头节点top字段的距离;其标记步骤包括簇头节点数据包标记方法和普通节点数据包标记方法;
所述簇头节点数据包标记方法的步骤为:
步骤1-1 收到数据包的簇头节点,首先检查标记信息中的first字段,如果不为0,就将该簇头节点的ID写入first字段,并且first字段不能被后续的节点重新标记:
步骤1-2 当决定以簇头节点标记概率p标记数据包时,簇头节点将数据包中的first字段外的全部字段清空,并将其ID写入top字段和start字段;
步骤1-3 当决定不标记该数据包时,需检查top字段和start字段,如果top字段为0而start字段不为0,那么该簇头节点就将其ID写入top字段同时将distance的值加1;如果top和start字段都不为0并且tail字段为0,该簇头节点就将其ID写入tail字段;如果start字段不为0且end字段为0,该簇头节点就将其ID写入end字段;
所述普通节点数据包标记方法的步骤为:
步骤2-1 当决定以普通节点标记概率P标记数据包时,将first字段以外的其它字段都设置为0,并将该节点的ID写入start字段;
步骤2-2 如果决定不标记数据包,需检查top字段和start字段,如果top字段为0而start字段不为0,则将distance的值加1;如果end字段也为0,则将该节点ID写入end字段;
所述路径重构方法的步骤为:
步骤3-1 将收集到的攻击数据包根据first字段进行分组,形成first字段不同的攻击数据包集合;
步骤3-2 首先先找到tail字段等于0的攻击数据包集合中的数据包,取出其top字段,得到所有距离基站距离为0的簇头节点ID集合S0
步骤3-3 在集合S0中选取簇头节点标记ID0,查找以其作为tail字段的数据包,得到所有距离基站距离为1的簇头节点标记ID1,ID0和ID1就构成了攻击主干路径上一条以ID1为起点,ID0为终点的边,并以此方法得出所有的边,重构出候选攻击路径;
步骤3-4 对上一步骤中得到的候选攻击路径,计算其权重;并和无攻击时的路径权重进行比较,找出攻击主干路径;
步骤3-5 在涉及攻击路径的分簇内,实施以簇头节点作为根节点进行宽度优先搜索,按distance值分成不同的集合,从距离distance=0开始,检查数据包的start字段和end字段,构成离簇头节点最近的一条边;重复边的构造直到distance达到可能的最大值为止,从而构造出该分簇内的全部攻击路径信息。
2.根据权利要求1所述的一种无线传感器网络中DDoS攻击的追踪方法,其特征在于,所述簇头节点标记概率p的取值为p=1/(n+k),其中n
该无线传感器网络中的分组数,k是一个常数。
3.根据权利要求1所述的一种无线传感器网络中DDoS攻击的追踪方法,其特征在于,所述普通节点标记概率P的取值为P=3/m,其中m分簇内普通节点数。
4.根据权利要求1所述的一种无线传感器网络中DDoS攻击的追踪方法,其特征在于,所述first字段、top字段、tail字段、start字段、end字段、distance字段各占两个字节。
CN2012102858183A 2012-08-13 2012-08-13 一种无线传感器网络中DDoS攻击的追踪方法 Pending CN103249177A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2012102858183A CN103249177A (zh) 2012-08-13 2012-08-13 一种无线传感器网络中DDoS攻击的追踪方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2012102858183A CN103249177A (zh) 2012-08-13 2012-08-13 一种无线传感器网络中DDoS攻击的追踪方法

Publications (1)

Publication Number Publication Date
CN103249177A true CN103249177A (zh) 2013-08-14

Family

ID=48928328

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2012102858183A Pending CN103249177A (zh) 2012-08-13 2012-08-13 一种无线传感器网络中DDoS攻击的追踪方法

Country Status (1)

Country Link
CN (1) CN103249177A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103973801A (zh) * 2014-05-19 2014-08-06 中南大学 一种无线传感器网络溯源追踪方法
CN105682098A (zh) * 2016-02-24 2016-06-15 中南大学 一种无线传感器网络中基于信任的概率标记溯源追踪方法
CN105791275A (zh) * 2016-02-25 2016-07-20 上海交通大学 基于模运算的拒绝服务攻击返回追踪方法
CN107026867A (zh) * 2017-06-28 2017-08-08 西安电子科技大学 基于父节点可控路由算法定位DoS攻击源的方法
CN109743767A (zh) * 2019-03-20 2019-05-10 中南大学 一种能量收集网络中自适应数据和验证消息不相交的安全路由方法
CN110300085A (zh) * 2018-03-22 2019-10-01 北京京东尚科信息技术有限公司 网络攻击的取证方法、装置、系统、统计集群和计算集群
CN112910851A (zh) * 2021-01-16 2021-06-04 中国电子科技集团公司第十五研究所 基于知识图谱的数据包标记溯源装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777182A (zh) * 2005-12-06 2006-05-24 南京邮电大学 一种基于洪泛攻击的高效、安全追踪方案
CN1997023A (zh) * 2006-12-19 2007-07-11 中国科学院研究生院 用于ip追踪的内部边采样方法和系统
US7814546B1 (en) * 2004-03-19 2010-10-12 Verizon Corporate Services Group, Inc. Method and system for integrated computer networking attack attribution

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7814546B1 (en) * 2004-03-19 2010-10-12 Verizon Corporate Services Group, Inc. Method and system for integrated computer networking attack attribution
CN1777182A (zh) * 2005-12-06 2006-05-24 南京邮电大学 一种基于洪泛攻击的高效、安全追踪方案
CN1997023A (zh) * 2006-12-19 2007-07-11 中国科学院研究生院 用于ip追踪的内部边采样方法和系统

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
倪彤光等: "基于概率包标记算法的安全技术研究", 《江苏工业学院学报》 *
刘刚等: "针对WSN的DDoS攻击的改进概率包标记算法研究", 《计算机应用研究》 *
张彦波等: "WSNs中采用动态模阈值检测DDoS攻击", 《传感技术学报》 *
李金明等: "DDoS攻击源追踪的一种新包标记方案研究", 《通信学报》 *
杨长春等: "一种新的DDoS攻击源追踪包标记方法", 《计算机工程与应用》 *
顾晓清等: "非强制性包标记算法", 《计算机工程与应用》 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103973801A (zh) * 2014-05-19 2014-08-06 中南大学 一种无线传感器网络溯源追踪方法
CN103973801B (zh) * 2014-05-19 2017-04-12 中南大学 一种无线传感器网络溯源追踪方法
CN105682098A (zh) * 2016-02-24 2016-06-15 中南大学 一种无线传感器网络中基于信任的概率标记溯源追踪方法
CN105682098B (zh) * 2016-02-24 2018-11-30 中南大学 一种无线传感器网络中基于信任的概率标记溯源追踪方法
CN105791275A (zh) * 2016-02-25 2016-07-20 上海交通大学 基于模运算的拒绝服务攻击返回追踪方法
CN107026867A (zh) * 2017-06-28 2017-08-08 西安电子科技大学 基于父节点可控路由算法定位DoS攻击源的方法
CN110300085A (zh) * 2018-03-22 2019-10-01 北京京东尚科信息技术有限公司 网络攻击的取证方法、装置、系统、统计集群和计算集群
CN109743767A (zh) * 2019-03-20 2019-05-10 中南大学 一种能量收集网络中自适应数据和验证消息不相交的安全路由方法
CN109743767B (zh) * 2019-03-20 2022-10-21 中南大学 一种能量收集网络中自适应数据和验证消息不相交的安全路由方法
CN112910851A (zh) * 2021-01-16 2021-06-04 中国电子科技集团公司第十五研究所 基于知识图谱的数据包标记溯源装置
CN112910851B (zh) * 2021-01-16 2021-10-15 中国电子科技集团公司第十五研究所 基于知识图谱的数据包标记溯源装置

Similar Documents

Publication Publication Date Title
CN103249177A (zh) 一种无线传感器网络中DDoS攻击的追踪方法
CN101488975B (zh) 实现无线传感器网络与IPv6网络全IP通信的系统
Sharma et al. Simulating attacks for RPL and generating multi-class dataset for supervised machine learning
CN105338570B (zh) 基于伪随机序列的无线传感器网络数据溯源方法
Sreelaja et al. Swarm intelligence based approach for sinkhole attack detection in wireless sensor networks
CN102801727A (zh) 一种基于自治域系统的DDoS攻击追踪方法
Liu et al. A novel joint logging and migrating traceback scheme for achieving low storage requirement and long lifetime in WSNs
Gill et al. Detection of hello flood attack on LEACH in wireless sensor networks
Heeger et al. Secure energy constrained LoRa mesh network
Bagula et al. On the relevance of using interference and service differentiation routing in the internet-of-things
Yen et al. Single gossiping with directional flooding routing protocol in wireless sensor networks
Gupta et al. Cluster formation through improved weighted clustering algorithm (IWCA) for mobile ad-hoc networks
Nghiem et al. A fuzzy-based interleaved multi-hop authentication scheme in wireless sensor networks
Gu et al. Latency analysis for thrown box based message dissemination
Murugeswari et al. Bio‐inspired Mimosa pudica algorithm for energy‐efficient wireless video sensor networks
Gokulraj et al. Data consistency matrix based data processing model for efficient data storage in wireless sensor networks
Habib et al. Starfish routing for wireless sensor networks with a mobile sink
Fathallah et al. Routing of spatial queries over iot enabled wireless sensor networks
Nakorn et al. Bloom filter for fixed-size beacon in VANET
Chauhan et al. Review on secure ad-hoc networks for wireless sensor network
Sarma Data Aggregation in Internet of Things aiming at Precision Agriculture
Sharma Energy-efficient secure routing in wireless sensor networks
Zhang et al. Contact-based traceback in wireless sensor networks
Singh et al. Nature inspired approach based energy optimization using dynamic clustering in wireless sensor networks
Xu et al. Edge-based traceback in sensor networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20130814