CN106416182B - 用于攻击检测的分布式投票机制 - Google Patents
用于攻击检测的分布式投票机制 Download PDFInfo
- Publication number
- CN106416182B CN106416182B CN201580024196.0A CN201580024196A CN106416182B CN 106416182 B CN106416182 B CN 106416182B CN 201580024196 A CN201580024196 A CN 201580024196A CN 106416182 B CN106416182 B CN 106416182B
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- node
- neighboring
- voting request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一个实施例中,网络节点从相邻节点接收指示了可能的网络攻击的投票请求。网络节点基于投票请求来确定被用作分类器输入的特征值集。网络节点还通过使用作为本地分类器输入的特征值集来确定是否存在可能的网络攻击。网络节点还将指示可能的网络攻击是否被确定为存在的投票发送到相邻节点。
Description
本申请要求由Vasseur等于2014年5月9日递交的、美国专利申请号14/273,676、题为“DISTRIBUTED VOTING MECHANISM FOR ATTACK DETECTION(用于攻击检测的分布式投票机制)”的权益,其内容被通过引用结合于此。
技术领域
本公开一般地涉及计算机网络,更具体地涉及使用分布式投票机制来执行攻击检测。
背景技术
低功耗且有损网络(LLN)(例如,传感器网络)具有大量的应用(诸如,智能电网和智能城市)。LLN呈现出各种挑战(例如,有损链路、低带宽、电池操作、低存储器和/或设备的处理能力等)。改变环境条件还可能影响设备通信。例如,物理障碍(诸如,附近树木的树叶密度的改变、开门和关门等)、(诸如,来自其它无线网络或设备的)干扰的改变、介质的传播特性(诸如,温度或湿度的改变等)等等还呈现了对LLN的独特的挑战。
在LLN情境下特别关注的一种类型的网络攻击是拒绝服务(DoS)攻击。通常,DoS攻击通过试图耗尽可用的服务资源(例如带宽、存储器等)来进行操作,从而防止合理的流量使用该资源。DoS攻击还可以是分布式的以对存在攻击进行隐藏。例如,分布式DoS(DDoS)攻击可以涉及多个发送恶意请求的攻击者,使得当攻击进行时更难进行区分。
附图说明
本文中的实施例可以通过结合附图参考以下描述而被更好地理解,其中,相似标号指示相同或功能上相似的元件,其中:
图1示出了示例通信网络;
图2示出了示例网络设备/节点;
图3示出了示例消息;
图4示出了图1的通信网络中的示例有向非循环图(DAG);
图5A-5B示出了检测并报告可能的网络攻击的示例;
图6A-6E示出了使用分布式投票的攻击检测的示例;
图7示出了用于使用分布式投票来检测攻击的示例简化过程;并且
图8示出了参与用于攻击检测的分布式投票的示例简化过程。
具体实施方式
概述
根据本公开的一个或多个实施例,第一网络设备通过执行分类器来检测可能的网络攻击。分类器被配置为基于输入特征集来从多个标签中选择标签。第一网络设备将投票请求发送到多个相邻的网络设备。投票请求标识可能的网络攻击。特定的相邻网络设备确定本地分类器的输入特征,并且使用本地分类器来生成关于可能的网络攻击的投票。第一网络设备从相邻网络设备中的一个或多个来接收关于可能的网络攻击的投票。然后,第一网络设备确认存在网络攻击,并生成攻击已经被检测的警报。
根据各种实施例,网络节点从相邻节点接收指示了可能的网络攻击的投票请求。网络节点基于投票请求来确定被用作分类器输入的特征值集。网络节点还通过使用特征值集作为分类器输入来确定是否存在可能的网络攻击。网络节点还将指示可能的网络攻击是否被确定为存在的投票发送到相邻节点。
详细说明
计算机网络是由通信链路互连的节点和用于在末端节点(例如,个人计算机和工作站,或者诸如传感器等之类的其他设备)之间传输数据的区段的地理上分布式集合。许多网络类型是可用的,范围从局域网(LAN)到广域网(WAN)。LAN通常通过专用的私有通信链路来连接位于相同的一般物理位置(例如,建筑或校园)中的节点。另一方面,WAN通常通过长距离通信链路(例如,公用运营商电话线、光学光路、同步光学网络(SONET)、同步数字体系(SDH)链路或电力线通信(PLC)(诸如IEEE 61334、IEEE P1901.2及其他))来连接地理上分散的节点。此外,移动Ad-Hoc网络(MANET)是一种无线ad-hoc网络,其一般地被认为是由无线链路连接的移动路由器(和相关联的主机)的自配置的网络,其联合形成了任意拓扑。
具体地,智能对象网络(例如,传感器网络)是特定类型的网络,该网络具有空间上分布式的自主设备(例如,传感器、制动器等),该空间上分布式的自主设备以合作的方式来对不同位置处的物理或环境条件,例如,诸如能量/功率消耗、资源消耗(诸如用于高级计量基础设施或“AMI”应用的水/气等)、温度、压力、振动、声音、辐射、运动、污染等进行监控。其他类型的智能对象包括,例如负责打开/关断发动机或执行任意其他动作的制动器。传感器网络(一种类型的智能对象网络)通常是共享介质网络(例如,无线网络或PLC网络)。就是说,除了一个或多个传感器,传感器网络中的每个传感器设备(节点)可以一般地被装备有无线电收发机或其他通信端口(例如,PLC、微控制器和诸如电池之类的能量来源。智能对象网络经常被认为是场域网(FAN)、邻域网(NAN)、个人局域网(PAN)等。一般地,智能对象节点(例如,传感器)上的尺寸和成本约束导致相应的资源(诸如,能量、存储器、计算速度和带宽)上的约束。
图1是示例计算机网络100的示意框图,该示例计算机网络100示意性地包括由各种通信方法互连的节点/设备110(例如,如以下图2中所示出和描述的,被称为“根”、“11”、“12”…“45”)。例如,链路105可以是有线链路或共享介质(诸如,无线链路、PLC链路等),其中,某些节点110(例如,诸如路由器、传感器、计算机等)可以(例如,基于距离、信号强度、当前操作状态、位置等来)与其他节点110进行通信。示意性的根节点(例如,FAN的场区域路由器(FAR))可以将局域网与WAN 130进行互连,该WAN 130可以容纳一个或多个其他相关的设备(例如,诸如网络管理服务器(NMS)、动态主机配置协议(DHCP)服务器、约束应用协议(CoAP)服务器等之类的管理设备或服务器150)。本领域技术人员将知道,任意数量的节点、设备、链路等可以被用于计算机网络,并且本文中所示出的视图是为了简单起见。此外,本领域技术人员还将知道,尽管网络以某一方向(具体地,用“根”节点)被示出,但网络100只是不意图限制本公开的示例图示。
数据分组140(例如,流量和/或消息)可以使用预定义的网络通信协议(诸如,某些已知的有线协议、无线协议(例如,IEEE Std.802.15.4、WiFi、蓝牙
等)、PLC协议或者合适情况下的其他共享介质协议)来在计算机网络100的节点/设备间进行交换。在该情况下,协议包括定义了节点如何彼此间进行交互的规则集。
图2是可以被用以本文中所描述的一个或多个实施例(例如,如以上图1中所示的任意节点或设备)的示例节点/设备200的示意框图。设备可以包括由系统总线250互连的一个或多个网络接口210(例如,有线的、无线的、PLC等)、至少一个处理器220和存储器240、以及电源260(例如,电池、插件等)。
(一个或多个)网络接口210包含用于通过耦合到网络100的链路105来传输数据的机械线路、电子电路和信令电路。网络接口可以被配置为使用各种不同的通信协议来发送和/或接收数据。还注意到,节点可以具有两种不同类型的网络连接210(例如,无线连接和有线/物理连接),并且本文中的视图只是用于图示。此外,尽管网络接口210从电源260中单独被示出,但针对PLC(其中,PLC信号可以被耦合到注入电源的功率线)的网络接口210可以通过电源260进行通信,或者可以是电源的完整组件。
存储器240包括多个可由处理器220和网络接口210寻址的存储位置以用于存储与本文中所描述的实施例相关联的软件程序和数据结构。注意到,某些设备可能具有有限的存储器或者没有存储器(例如,没有除了用于在设备和相关联的缓存上进行操作的程序/处理的存储器之外的用于存储的存储器)。处理器220可以包括适应于执行软件程序和操纵数据结构245的硬件元件或硬件逻辑。操作系统242(其某些部分通常位于存储器240中并且由处理器执行),通过(除了其他之外)调用支持设备上执行的软件处理和/或服务来对设备进行功能组织。这些软件处理和/或服务可以包括路由处理/服务244和示意性的“学习机”处理248,该软件处理和/或服务可以如本文中所描述的那样,基于网络100内特定的节点/设备而被配置有范围从智能学习机处理到只与智能学习机进行通信的功能。还注意到,尽管学习机处理248在中央存储器240中被示出,但替换的实施例提供了该处理被特别地操作于网络接口210内。
对本领域的技术人员将显而易见的是,其他处理器和存储器类型(包括各种计算机可读介质)可以被用于存储和执行适于本文中所描述技术的程序指令。此外,尽管说明书示出了各种处理,但明确地认识到各种处理可以被实施为模块,该模块被配置为根据本文中的技术(例如,根据相似处理的功能)进行操作。此外,尽管处理已经单独被示出,但本领域的技术人员将认识到处理可以是其他处理内的例程或模块。
路由处理(服务)244包含由处理器220执行的计算机可执行指令以执行由一个或多个路由协议(例如,如本领域技术人员将知道的,主动或反应的路由协议)提供的功能。这些功能可以在有能力的设备上被配置为对(例如,包含用于做出路由/转发决定的数据的)路由/转发表(数据结构245)进行管理。具体地,在主动路由中,连通性在对到网络中任意目的地的路径(例如,链路状态路由(诸如,开放式最短路径优先(OSPF)或中间系统到中间系统(ISIS))或者最优链路状态路由(OLSR))进行计算之前被发现并且是已知的。另一方面,反应的路由发现邻居(即,不具有网络拓扑的先验知识),并且响应于到目的地所需要的路由来将路由请求发送到网络中以确定其相邻节点可以被用于到达所期望的目的地。示例反应路由协议可以包括Ad-hoc按需式距离向量(AODV)、动态源路由(DSR)、动态MANET按需式路由(DYMO)等。注意到,在没有能力或者未被配置为存储路由条目的设备上,路由处理244可以单独包括提供对于源路由技术必要的机制。就是说,针对源路由,网络中的其他设备可以将分组精确地发送到何处告知给较少能力的设备,并且较少能力的设备只转发被定向的分组。
学习机处理248包含由处理器220执行的计算机可执行指令以执行各种功能(例如,攻击检测并进行报告)。一般地,机器学习涉及技术的设计和开发,该技术将输入看作是经验数据(例如,网络统计和性能指标)并识别出这些数据中的复杂模式。在机器学习技术中的一个非常常见的模式是使用下层模型M,该下层模型M的参数被优化以用于在给定输入数据的情况下,将与M相关联的成本函数最小化。例如,在分类的情境下,模型M可以是将数据分成两级的直线,以使得M=a*x+b*y+c并且成本函数将是误分类的点的数量。然后,学习处理通过调整参数a、b、c来进行操作,以使得误分类的点的数量最小。在该优化阶段(或学习阶段)之后,模型M可以被非常容易地用于对新的数据点进行分类。M通常是统计模型,并且成本函数在给定输入数据的情况下,反比于M的可能性。
还如以上所标注的,学习机(LM)是基于一个或多个机器学习处理以用于执行该一个或多个机器学习处理未被明确地编程以执行的任务的计算实体。具体地,LM能够针对其环境对其行为进行调整。在LLN的情境下,更具体地在IoT(或万联网,IoE)的情境下,由于网络将面临变化的条件和需求,并且网络将变得太大以致于网络操作者不能有效地进行管理,因此该能力将是非常重要的。
人工神经网络(ANN)一种类型的机器学习技术,其下层数学模型由假设(即,精神活动主要包括在互连的神经元之间的电化学活动)启发而被开发。ANN是由定向加权链路连接的计算单元(神经元)的集。通过将由神经元执行的操作和由链路应用的权重进行结合,ANN能够对输入数据执行高度非线性的操作。尽管ANN感兴趣的方面不是其可以生成对输入的高度非线性的输出,但ANN可以通过训练处理来获悉复制预定义的行为。因此,ANN可以被训练以标识网络行为中的差异,该差异能够指示存在网络攻击(例如,数据包丢失、链路延迟、请求的数量等的改变)。
低功耗且有损网络(LLN)(例如,某些传感器网络)可以被用于大量的应用(诸如,用于“智能电网”和“智能城市”)。在LLN中已经呈现出多个挑战,例如:
1)链路一般是有损的,以使得分组传送速率/比率(PDR)可以由于(例如,极大地影响误码率(BER)的)各种干扰源而显著地变化;
2)链路一般是低带宽的,以使得控制平面流量对比于低速率的数据流量一般必须是有界和可忽略的。
3)存在多个需要指定链路集和节点度量的使用情况,由于某些使用情况是动态的,因此需要专用的圆滑函数以避免路由的不稳定性、相当大的消耗(draining)带宽和能量;
4)例如,某些应用可以需要约束路由以建立路由路径,该路由路径将避免未加密的链路、以低能量运行的节点等;
5)网络的规模可以变得非常大,例如大约几千到几百万个节点;并且
6)节点可以被约束于低的存储器、减小的处理能力、低的电源(例如电池)。
换言之,LLN是一类网络,在该网络中路由器和其互连都被约束:LLN路由器通常带有约束(例如,处理功率、存储器和/或能量(电池))进行操作,并且示意性地其互连特征在于高损失率、低数据率和/或不稳定性。LLN包括从几打直到上千或者甚至上百万LLN路由器中的任意路由器,并且支持(LLN内部设备之间的)点对点流量、(从中央控制点到LLN内部设备的子集的)点对多点流量和(从LLN内部设备到中央控制点的)多点对点流量。
LLN的示例实现方式是“物联网(Internet of Things)”网络。不严谨地,术语“物联网”或“IoT”可以被本领域的技术人员用于指代基于网络的架构中的唯一标识的对象(事物)和其虚拟表示。具体地,互联网演进中的下一个前沿不只是连接计算机和通信设备的能力,而是一般地连接“对象”(例如光、家用电器、交通工具、HVAC(加热、通风和空调)、窗和遮光帘以及百叶窗、门、锁等)的能力。因此,“物联网”一般地指代计算机网络上的对象(例如,智能对象,诸如传感器和制动器)的互连(例如,IP),该计算机网络可以是公共互联网或私人网络。这些设备通常以非IP或私有协议的形式被用于工业中几十年,该设备通过协议转换网关被连接到IP网络。随着出现大量的应用(诸如智能电网、智能城市和建筑与工业自动化以及汽车)(例如,该应用可以互连上百万对象以用于感应类似电能质量、轮胎压力和温度之类的事物,并且该应用可以开动发动机和光),对用于这些网络的IP协议组进行扩展已经变得极为重要。
示例性协议(其在互联网工程任务组(IETF)提出标准请求注释(RFC)6550中被详细说明、题为“RPL:用于低功耗且有损网络的IPv6路由协议”、作者Winter等(2012年三月))提供了一种机制,该机制支持(从LLN内部设备向中央控制点(诸如,一般地LLN边界路由器(LBR)或“根节点/设备”)的)多点对点(MP2P)流量和(从中央控制点到LLN内部设备的)点对多点(P2MP)流量(以及还支持点对点或“P2P”流量)。RPL(发音为“ripple(波纹)”)可以一般地被描述为距离向量路由协议,其除了定义限制控制流量、支持修补等的特征集,还构建用于路由流量/分组140的有向非循环图(DAG)。显而易见地,如本领域技术人员可以认识到的,RPL还支持多拓扑路由(MTR)的概念,由此多个DAG可以根据个人需求被构建以承载流量。
DAG是具有某种属性的有向图,该属性为所有边缘(和/或顶点)以假定不存在周期(环)的方式被定向。所有边缘被包含在定向到并且终止于一个或多个根节点(例如,多轴头或水槽(sink))的路径中,并经常将DAG设备与较大的基础设施(诸如互联网、广域网或其他域)互连。此外,面向目的地的DAG(DODAG)是植根于单个目的地的DAG,即,植根于不具有输出边缘的单个DAG根处。DAG内的特定节点的“父亲(parent)”是向DAG根的路径上的特定节点的直接继承人,以使得父亲具有比特定的节点本身更低的“等级”,其中节点的等级指示了节点针对DAG根的位置(例如,节点离根越远,该节点的等级越高)。此外,在某些实施例中,DAG内的节点的兄弟(sibling)可以被定义为位于DAG内相同等级处的任意相邻的节点。注意到,兄弟姐妹不必共享共同的父亲,并且一般地,兄弟姐妹之间的路由由于没有前向进展(其等级相同),因此其不是DAG的一部分。还注意到,树是一种DAG,其中一般地,DAG中的每个设备/节点具有一个父亲或一个优选的父亲。
一般地,DAG可以基于目标函数(OF)而被(例如,DAG处理)构建。一般地,目标函数的作用是指定关于如何构建DAG的规则(例如,父亲的数目、备份父亲等)。
此外,一个或多个度量/约束可以由路由协议进行通告以再次优化DAG。此外,路由协议允许包括约束的可选集以计算所约束的路径,例如,如果链路或节点不满足所要求的约束,则当计算最佳路径时将该链路或节点从候选列表中“剪除(pruned)”。(替换地,约束和度量可以被从OF中分离。)此外,路由协议可以包括定义了主机或主机集(例如,作为数据收集点的主机或者向外部基础设施提供连通性的网关)的“目标(goal)”,其中,DAG的主要目的是在DAG内具有能够达到目标的设备。在该情况下,其中,节点不能够遵照目标函数或者不理解或支持所通告的度量,该节点可以被配置为作为叶节点加入DAG。如本文中所使用的,各种度量、约束、策略等被认为是“DAG参数”。
示意性地,被用于对路径(例如,优选的父亲)进行选择的示例度量可以包括开销、延迟、延时、带宽、期望传输数(ETX)等,而可以根据路由选择进行放置的示例约束可以包括各种可靠性阈值、电池操作上的限制、多路径多样性、带宽需求、传输类型(例如,有线的、无线的等)。OF可以提供定义负载均衡要求的规则(例如,多个所选择的父亲(诸如,单父亲树或多父亲DAG))。显而易见地,针对路由度量和约束可以如何被获得的示例可以在(题为“用于在低功耗且有损网络中进行路径计算的路由度量”<RFC 6551>、作者Vasseur等(2012年3月版)的)IETF RFC中被发现。此外,示例OF(例如,默认的OF)可以在(题为“RPL目标函数0”<RFC 6552>、作者Thubert(2012年3月版)和题为“具有迟滞现象的最低等级目标函数”<RFC6719>、作者O.Gnawali等(2012年9月版)的)IETF RFC中被发现。
构建DAG可以使用发现机制来构建网络的逻辑表示,以及使用路由传播来在网络内建立状态,以使得路由器知道如何将分组转发到其最终的目的地。注意到,“路由器”指代可以转发和生成流量的设备,而“主机”指代可以生成但不转发流量的设备。此外,“叶(leaf)”可以一般地被用于对被一个或多个路由器连接到DAG的非路由器进行描述,但其本身不能将在DAG上接收的流量转发到DAG上的另一路由器。控制消息可以在当构建DAG时,在网络内的设备间进行传输以用于发现和路由传播。
根据示意性的RPL协议,DODAG信息对象(DIO)是一种类型的DAG发现消息,该DAG发现消息对允许节点发现RPL实例、获悉其配置参数、选择DODAG父亲集并维持向上的路由拓扑的信息进行载送。此外,目的地通告对象(DAO)是一种类型的DAG发现答复消息,该DAG发现答复消息沿着DODAG向上传送目的地信息,以使得DODAG根(和其他中间节点)可以提供向下的路由。DAO消息包括标识目的地的前缀信息、记录支持源路由的路径的能力以及确定特定通告的新鲜度的信息。显而易见地,“向上(upward)”或“上行(up)”路径是以从叶节点向DAG根的方向进行引导的路由(例如,沿着DAG内边沿的方向)。相反地,“向下(downward)”或“下行(down)”路径是以从DAG根向叶节点的方向进行引导的路由(例如,一般沿着与DAG内的向上消息的相反方向进行)。
一般地,DAG发现请求(例如,DIO)消息被从DAG的(一个或多个)根设备向下传输到叶设备,通知每个连续的接收设备如何到达根设备(就是说,请求被接收的地方一般地是根的方向)。因此,DAG以向根设备的向上的方向被创建。DAG发现答复(例如,DAO)然后可以被从叶设备返回到(一个或多个)根设备(除非不必要的情况,例如只针对UP流),通知其他方向中的每个连续的接收设备如何到达向下路由的叶设备。能够维持路由状态的节点可以根据DAO消息聚集路由,该节点在发送DAO消息之前接收该路由。然而,不能够维持路由状态的节点可以附接下一跳父亲地址。DAO消息然后被直接发送到DODAG根,该DODAG根进而可以构建拓扑并且对到DODAG中所有节点的向下的路由本地进行计算。然后,使用源路由技术可在DAG区域上获得这些节点,该DAG区域不能存储向下的路由状态。此外,PRL还指定被称为DIS(DODAG信息征求(solicitation))的消息,其在特定的情况下被发送以便发现DAG邻居并加入DAG或恢复连通性。
图3示出了示例简化控制消息格式300,该示例简化控制消息格式300可以在当构建DAG时被用于发现和路由传播(例如,如DIO、DAO或DIS消息)。消息300示意性地包括具有一个或多个字段312的报头310,该一个或多个字段312标识了消息的类型(例如,RPL控制消息)和(指示消息(例如,DIO、DAO或DIS)的具体类型的)具体代码。在消息的体/有效负载320内可以是被用于转播相关信息的多个字段。具体地,字段可以包括各种标记/比特321、序列号322、等级值323、实例ID324、DODAG ID 325和其他字段,每一个都可以是如本领域技术人员所更详细认识的那样。此外,针对DAO消息,除了别的(例如,用于ACK的DAO序列等)之外,还可以包括额外的目的地前缀字段326和传输信息字段327。针对任意类型的消息300,一个或多个额外的子选项字段328可以被用于在消息300内提供额外或定制的信息。例如,目标代码点(OCP)子选项字段可以在DIO内被用于载送代码,该代码指定被用于构建相关联的DAG的特定的目标函数(OF)。替换地,子选项字段328可以被用于载送消息300内的某些其他信息(例如,如可以在本文中(诸如,一个或多个类型长度值(TLV)字段中)所描述的指示、请求、能力、列表、通知等)。
图4示出了示例简化DAG,该示例简化DAG可以(例如,通过以上所描述的技术)在图1的网络100内被创建。例如,某些链路105可以针对每个节点进行选择以与特定的父亲进行通信(并且因此,如果存在子节点,则相反地与子节点进行通信)。这些所选择的链路形成了从根节点向一个或多个叶节点(没有子女的节点)延伸的DAG 410(如粗线所示)。流量/分组140(图1中所示)然后可以如本文中所具体描述的那样以向根节点的向上的方向或者向叶节点的向下的方向来遍历DAG 410。
如以上所标注的,LLN根据可用资源通常是有限的并且倾向于比其他的网络形式更动态,这导致当试图检测DoS和其他形式的网络攻击时存在多个挑战。具体地,可用于给定网络节点的有限的计算资源可以阻止节点托管更强大的学习机处理。在一些情况下,节点可以只将观测数据输出到由具有更多资源的设备(例如,FAR)托管的学习机。然而,这么做还增加了网络中的流量开销,这可能影响LLN中的性能。
根据各种实施例,轻量级的学习机分类器可以被分布到网络节点为了攻击检测。一般地,分类器指代可操作为将来自标签集中的标签与到输入数据集的标签相关联的机器学习处理。例如,分类器可以将标签(诸如,“攻击”或“非攻击”)应用到给定的网络度量(诸如,流量速率等)集。分布式的分类器由于可以具有比成熟的(full-fledged)分类器更低的计算要求(以更低的性能作为折衷),因此其可以被认为是“轻量级的”。为了改善攻击检测,具有更多资源的中央计算设备(例如,FAR、NMS等)可以执行相比于分布式轻量级的分类器计算上更密集的分类器。在分布式分类器检测攻击的情况下,其可以向中央设备提供数据以验证结果和/或以发起对策。然而,由于分布式分类器的性能可能是相对低的,因此这也意味着可能存在大量报导到中央分类器的误报。
现在参考图5A-5B,示出了在网络100内被检测并被报导的网络攻击的示例。假定出于示意性的目的,轻量级的分类器被分布到网络100中的各种节点,并且更大功率的分类器由FAR执行。如图5A中所示,攻击节点/设备可以以节点31为目标开始攻击。由于该攻击,节点31上的轻量级分类器可以基于所观测的信息(例如,发送成功率、接收成功率等)的特征集来检测攻击,如图5B中所示。相应地,节点31可以生成警告508并将其发送到监视设备(例如,FAR)以使用更强大的分类器来验证攻击和/或采取改善措施。然而,在警报508是误报的情况下,这意味着网络100内不必要的流量,该误报可能已经限制了可用于合法流量的带宽。
针对攻击检测的分布式投票
本文中的技术提供了检测网络攻击的投票机制,该投票机制在警告中央设备之前,凭借网络节点来在其相邻的设备间发起投票。这限制了被发送到(例如,在FAR中托管的)更高层分类器的警报的数量,从而减少了用于报告的网络资源的使用、避免了可能的不必要的缓解动作并且还允许进行更快的检测和缓解。在一些方面,节点(其本地分类器检测攻击)可以将广播消息(可能具有动态计算的存活时间(TTL)值)发送到其物理范围中的所有节点,因此触发投票过程。每一个邻居可以使用其自己的本地分类器来检测触发的节点实际上是否被攻击,并且送回结果。然后,触发的节点基于所接收的结果来决定是否将警报发送到LLN路由器,或者可能发送到网络中的所有节点。
特别地,根据下面所详细描述的本公开的一个或多个实施例,网络节点从相邻节点接收指示了可能的网络攻击的投票请求。网络节点基于投票请求来确定被用作分类器输入的特征值集。网络节点还通过使用特征值集作为分类器输入来确定是否存在可能的网络攻击。网络节点还将指示可能的网络攻击是否被确定为存在的投票发送到相邻节点。
示意性地,本文中所描述的技术可以由硬件、软件和/或固件执行,例如根据学习机处理248来执行,其可以包含由处理器220(或接口210的独立处理器)执行的计算机可执行指令以(例如,结合路由处理244来)执行与本文中所描述的技术相关的功能。例如,本文中的技术可以被视为传统协议(诸如各种PLC协议或无线通信协议)的扩展,并且因此,可以相应地由本领域技术人员所理解的执行那些协议的相似组件进行处理。
操作上,LLN中的节点可以与其相邻的节点一起发起投票处理以便在将警报发送到中央分类器或其他设备之前本地检测网络攻击。在一些实现方式中,每个网络节点可以执行其自己的本地分类器以检测网络攻击,该自己的本地分类器对所观测的网络行为(例如,分类器的输入特征)连续地进行监控。
在各种实施例中,检测攻击的节点可以通过将投票请求发送到相邻的节点来在其相邻的节点间发起投票。例如,如图6A中所示,由节点31执行的学习机分类器可以确定网络攻击可能在进行中。相应地,节点31可以将投票请求602发送到其相邻节点的分类器以验证所检测的攻击。在一个实施例中,投票请求602可以是包含下面所述的一个或多个的第2层广播消息(例如,IEEE 802.15.4,PLC PI 901.2):
1)分类结果--在各种情况下,由分类器返回的行为类可以被包括在投票请求中。例如,节点31可以包括投票请求602内的标签(“攻击”)。在一些实施例中,分类结果还可以包括用于分类的相关联的置信指数。例如,如果分类器是最大似然分类器,则置信度量可以是似然度量。该类型的分类器将每个类与统计模型相关联。根据每个模型,输入观测值的条件概率(例如,其可能性)然后被计算,并且该观察值归因于具有最大概率的类/标签。
2)所安装的分类器的说明--在一些实现方式中,检测攻击的分类器的说明可以被包括在投票请求中。例如,投票请求可以指示分类器是否是ANN、支持向量机(SVM)等。说明还可以包括被分类器使用的输入特征的列表。显而易见地,在每个节点执行相同类型的分类器的实现方式中,该字段可能被遗漏(这可能经常是当所有节点属于相同WPAN的情况)。
3)(一个或多个)触发分类的向量特征--为了验证所检测的攻击,投票请求还可以包括被发起分类器用于检测攻击的输入特征和输入特征值。例如,向量可以包括所接收的信号强度指示(RSSI)值、接收(RX)成功率或者可以被用于检测存在网络攻击的任意其他观测值。
4)TTL值--在一些实施例中,投票请求还可以包括投票者应该执行投票/分类的所指示的时间。
投票请求消息可以被发送到被攻击节点的物理范围内的所有节点,并且被其接收。注意到,在IEEE 802.15.4链路层具有跳频的情况下,广播安排被加密。因此,使用广播安排(其只对认证的节点是可用的)允许使得实际上受到攻击的节点平坦以与其邻居进行通信。其他策略可以通过使用不同的频率来发送多份链路层广播消息来请求投票,以便增加其他节点成功地接收消息的可能性。
如以上所标注的,对于由FAR动态计算的有限TTL,可以根据其网络的物理拓扑的知识来发送投票请求消息。事实上,如果FAR确定了存在相距K跳的M节点(该M节点能够检测对节点N的攻击),则投票请求消息可以使用广播链路层地址进行发送,但是其中IP TTL=K,以便避免不必要的带宽消耗。
在另一实施例中,FAR的干预可以基于以下假设通过简单地使得节点不转发所接收的投票请求而被避免,该假设为目标节点的物理范围中的所有节点将仍然接收消息,而不需要其他节点转发请求(例如,多路传输可以被用于应付损耗)。注意到,该机制将投票节点集限制为发送者的物理范围中的那些节点。
为了图示,发送投票请求的节点在本文中被称为“目标节点”,并且接收该请求的节点在本文中被称为“相邻节点”。例如,在图6A的配置中,节点31是目标节点,并且节点21、32、41和42是其相邻节点。
每个接收投票请求的相邻节点可以通过使用其自己的本地分类器来执行本地检测尝试。例如,可以检测多节点攻击是否在进行中以及节点本身是否遭到攻击。如果本地分类器也检测攻击,则节点进而可以通过将投票请求发送到其自己的邻居来发起其自己的投票过程。在一个实施例中,这些消息可以在随机本地计时器超时之后被发送以避免L2请求消息的不可取的尖峰(spike)。
除了执行其自己的攻击检测,接收投票请求的节点还可以使用其本地分类器来对由其他设备得到的结论进行投票。具体地,如图6B中所示,接收投票请求的相邻节点可以确定其本地分类器的特征向量以用于投票。在这方面,可能存在两种可能性。在一种情况下,相邻节点可以基于目标节点自己所感知到的行为来评估目标节点的特征集(例如,投票节点可以使用目标节点自己的观察值作为用于投票的特征向量)。在其他情况下,然而,相邻节点可能不能评估目标节点的所有特征(例如,在投票请求中指定的特征)。
以下示例示出了一种情况,该情况下相邻节点能够在投票期间使用其自己的观察值作为特征向量。假定节点31的分类器基于度量(例如,RSSI值和RX成功率)来检测干扰攻击。在该情况下,相邻节点(例如,节点21)将能够评估与目标节点(例如,节点31)相关联的RSSI和RX成功率。例如,RSSI可以基于包括在确认(ACK)消息中的前向RSSI统计进行估计。相似地,RX成功率可以基于从相邻节点到目标节点的成功传输的数量(例如,从节点21到节点31的成功传输的数量)进行估计。在一些情况下,相邻节点还可以通过观测邻居流量来收集关于其他节点的成功传输的统计。例如,在一些情况下,节点21可以通过对两个节点之间的流量进行窃听来收集关于节点31和节点32之间的成功传输的信息。如本文中所使用的,“外部可观测的”特征指代关于目标节点的那些特征,该特征可以由相邻节点独立地进行观测或估计。
以下示例示出了一种情况,该情况下特征可以不是外部可观测的。具体地,假定被目标节点用于检测攻击的特征中的一个是传输(TX)成功率值。例如,假定由节点31检测的攻击部分地基于其TX成功率而被标识。在该情况下,投票请求602可以将TX成功率指示为被用于检测攻击的特征中的一个。然而,显然地,相邻节点将不能够估计目标节点的该特征。具体地,相邻节点可以由目标节点检测成功传输,但该目标节点不能检测传输故障(例如,该目标节点将检测关于自己方面的RX故障,但其不能将该故障归因于特定的节点),除非该节点对由目标节点发送的流量和相应的确认进行观察。
根据各种实施例,相邻节点可以基于投票请求中的特征是否是外部可观测的来使用不同的特征向量。在一个实施例中,如果投票请求中的所有特征都是外部可观测的,则相邻节点可以估计目标节点的特征向量并且将其用作目标节点本地分类器的输入。然而,如果投票请求中的特征不是外部可观测的,则相邻节点可以替代地使用包括在由目标节点提供的投票请求中的特征的值。
针对外部可观测的特征的值可以或者可以不被包括在投票请求中。例如,目标节点经常可以包括被用于检测攻击的所有特征的特征值。在另一示例中,如果特征的类型是应该是外部可观测的类型,则目标节点可以只包括特征的标识符而非特征的值。例如,投票请求可以指示RSSI值被用作检测攻击的输入特征,但可以不包括实际的RSSI值。
在一些实施例中,每个节点可以托管两个分类器:第一分类器(其被用于检测节点本身是否遭到攻击)和第二分类器(其被用于决定相邻节点(例如,出于参加投票的目的))。随后,第一分类器可以只将外部可观测的特征作为输入。在该实施例中,如果相邻节点检测到异常,则其可以独立地将单播警报发送到目标邻居(例如,首先不必用投票请求进行请求)。进而,目标/邻居可以通过广播投票请求来进行响应。此外,通过发布误警报来避免消耗带宽,该方法允许对网络已经可用的本地信息被利用。因此,FAR不需要为了获取该信息而生成额外的流量。
一旦相邻节点已经(例如,或者使用其自己的观测值或者使用由目标节点给其提供的观测值来)执行其自己的关于目标节点的分类,则相邻节点可以向目标节点回复投票结果消息。例如,如图6D中所示,相邻节点2l、32和41-42可以将投票消息604向回发送到目标节点31。在802.15.4无线电层被使用的情况下,攻击者可以在广播时隙内发送该消息以避免干扰。针对抗干扰传送的其他机制可以被用在不同链路层技术的情况下。例如,在PLC情况下,只对被认证的节点可用的色调映射(tone map)可以被用于传输投票以避免干扰。
在各种实施例中,投票消息604可以包括下面所述的一个或多个:
1)分类结果--在一些情况下,相邻节点可以将其自身分类的结果包括在投票消息内。例如,相邻节点可以指示目标节点的特征数据是否被认为是“正常”或“攻击”。在一个实施例中,分类结果可以只是一个确认,该确认是关于目标节点的分类是否已经被验证(例如,目标节点检测攻击并且相应的邻居回复是或否)。在一些实现方式中,分类结果还可以包括置信指数,该置信指数对相邻节点在其分类结果中具有多少信任值进行量化。
2)所使用的分类方法--投票邻居还可以包括关于投票邻居如何得出其投票的投票响应信息。例如,投票响应可以指示相邻节点是否使用外部可观测的特征或者是否使用由目标节点提供的特征值。如果外部可观测的特征被使用,则特征值的向量还可以被包括在投票消息中。投票消息还可以包括被用于生成投票的分类器类型的指示(例如,如果不同类型的分类器贯穿网络进行部署)。
3)缺乏资源指示器--在一些情况下,投票节点可能不具有充足的用以生成投票的资源。在该情况下,投票回复消息可以包括投票者不能够完成投票处理的指示。在其他实施例中,相邻节点可以只是忽略投票请求而不是回复该指示器。
4)缺乏信息指示器--在一些情况下,投票节点可能不具有足够的用以参与投票的信息。例如,如果相邻节点不具有充足的外部可观测的特征值集,或者如果在投票请求中所指示的特征与其本地分类器不兼容,则相邻节点可能不能够参与投票。在其他实施例中,相邻节点可以只是忽略投票请求而不是回复该指示器。
在将投票请求发送到相邻节点之后,目标节点可以配备(arm)计时器并且等待将从其邻居接收的投票消息。当该计时器超时时,目标节点将使用在计时器超时之前被接收的投票来做出关于攻击是否正在发生的决定。例如,如图6E中所示,目标节点31可以确定其相邻节点是否已经通过投票处理确认了所检测的攻击。
许多不同的方法可以被目标节点采取以确定投票结果。在一个实施例中,目标节点可以使用简单的阈值机制(例如,如果N个节点的至少M个输出也检测到攻击,则攻击被确认)。在另一实施例中,目标节点可以使用与每个投票相关联的置信指数以确定投票结果。例如,如果最大可能性的分类器被投票节点使用,则全局攻击的可能性可以由目标节点基于包括在投票消息中的信息进行估计。该计算还可以包括由节点的本地分类器产生的结果。在另一情况下,不同的权重可以被分配给不同的投票,并且被用于确定投票结果。例如,来自使用其自己的观测值(诸如,外部可观测的特征)进行投票的节点的票数,可以以不同于来自使用在由目标节点自己输出的特征向量中的值的节点的票数被加权。
如果所检测的攻击已经使用外部可观测的特征或者使用从目标节点输出的特征进行确认,则目标节点然后可以继续警告更高级别的设备(例如FAR)。例如,如果节点31的相邻节点确认了所检测的攻击,则节点31可以如图5B中所示继续将警报508发送到FAR。在该情况下,警报508可以包括任意或全部信息(其包括在由目标节点接收的投票消息中)。该信息然后可以被FAR本地的更强大的分类器用于进一步验证检测。在另一实施例中,目标节点可以将广播消息发送到网络中的所有节点以对节点遭到攻击进行报导。接收该消息的任意节点然后可以决定是否发起攻击缓解。
图7根据本文中所描述的一个或多个实施例,示出了用于使用分布式投票来检测网络攻击的示例简化过程。过程700可以开始于步骤705并继续到步骤710,其中如以上所更详细描述的,网络设备检测可能的网络攻击。在一个实施例中,网络设备通过执行机器学习分类器(例如,ANN、SVM等)来检测可能的攻击。如以上所标注的,该分类器可以一般地通过将来自多个标签中的标签应用到输入特征值的集来进行操作。该特征值可以包括,但不限于,RSSI数据、RX成功值、TX成功值、带宽使用测量、不同网络请求的测量、其组合以及可以指示存在网络攻击的任意其他测量。
在步骤715,检测攻击的网络设备可以如以上所更详细描述的那样将投票请求发送到其相邻节点。在一个实施例中,例如,网络设备可以将作为广播消息的投票请求发送到其相邻节点。投票请求可以一般地包括被相邻节点需要的任意信息以确定发送投票请求的设备是否正在被攻击。例如,投票请求可以包括下面所述的任意或全部:在步骤710中被请求设备用于检测攻击的一个或多个输入特征集(例如,RSSI、TX成功等)、被请求设备用于检测攻击的输入特征的值、由请求设备得出的分类结果(例如,应用于输入特征的标签)、被请求设备使用的分类器类型(例如,分类器是否基于ANN等)、或者其他该类信息。
在步骤720,请求设备如以上所详述的那样从相邻节点接收投票。在一个实施例中,投票中的一个或多个可以由特定的相邻节点使用包括在投票请求中的输入特征值的集来产生。换言之,相邻设备可以使用来自请求设备的数据来执行其自己的本地分类器以生成投票。在另一实施例中,投票中的一个或多个可以使用由相邻节点所观测的输入特征集的值来生成。换言之,特定的相邻节点可以使用其自己外部可观测的关于请求节点的信息来执行其自己的分类。所返回的投票可以包括任意信息,该任意信息可以被请求设备用于计算投票并对相邻节点做出其他判断。例如,来自相邻节点的投票可以包括下面所述的任意或全部:由相邻节点得出的结论(诸如,由本地分类器生成的实际标签、“是或否”确认等)、关于相邻节点如何得出分类的信息(诸如,外部可观测的数据是否被使用、包括在投票请求中的特征值是否被使用、被执行的分类器的类型等)、与结论相关联的置信度等等。
在步骤725,请求设备如以上所更详细的那样基于所接收的投票来确认存在攻击。在一个实施例中,请求设备可以开启时间周期结束的本地计时器,在该时间周期期间的投票可以被计数(例如,在计时器超时之后接收的投票可以被忽略)。各种技术可以被用于确认存在攻击。例如,请求设备可以使用多数投票、全数投票、加权投票(例如,如果可用,则投票可以基于其相关联的置信值进行加权)、或者以任意其他方式来确定所检测的攻击是否被相邻设备确认。
在步骤730,请求设备如以上所更详细突出的那样来生成攻击已被检测的警报。在一些实施例中,由设备执行的分类器可以是轻量级的分类器,该轻量级的分类器使用更少的资源,和/或具有比位于监视设备(诸如,FAR或NMS)上的更强大的分类器更低的性能。在该情况下,警报可以被发送到监视设备以用于进一步的验证和/或改善措施。例如,警报还可以包括下面所述的任意或全部:攻击已被检测的指示、关于结论如何被得出的信息(诸如,哪些节点参与投票、哪些输入特征被投票者使用、哪些值被投票者使用等)、和/或可以被监视设备用于确认存在攻击的任意其他信息。在另一实施例中,警报可以贯穿网络进行广播。例如,相邻设备中的一个或多个可以响应于接收警报来制定改善措施。过程700然后结束于步骤735。
图8根据本文中所描述的一个或多个实施例,示出了针对参与攻击检测的分布式投票的示例简化过程。过程800可以开始于步骤805并继续到步骤810,其中如以上所更详细描述的,投票请求被从邻居设备接收。如以上所标注的,投票请求可以响应于检测存在网络攻击(例如,DoS攻击)的邻居设备而被发送。一般地,如以上还标注的,投票请求可以包括任意信息(例如,被用于检测攻击的输入特征、输入特征的值等),接收设备需要该任意信息以做出其自己的关于是否存在对发送设备的攻击的确定。
在步骤815,用以评估的特征集如以上所详述的那样被确定。在一个实施例中,接收设备可以对被包括在投票请求中的特征和/或被包括在投票请求中的标签进行分析,以确定接收设备是否可以使用其自己的观测数据来得出独立的结论(例如,外部可观测的数据是否可以被使用)。在另一实施例中,所确定的特征集中的一些或全部可以包括特征值(其被包括在所接收的投票请求中)。
在步骤820,特征集如以上所突出的那样被用于确定实际上是否存在攻击。一旦接收设备已经确定了对哪个特征值(例如,其自己的观测值或者请求设备的观测值)进行分析,则接收设备使用这些值作为其自己本地分类器的输入,以产生投票。例如,如果请求设备基于不能被接收设备观测的因素进行检测,则接收设备可以使用来自投票请求的值作为其自己本地分类器的输入,以产生投票。在另一示例中,如果接收设备自己具有用以做出决定的充足的观测值,则其观测数据可以被用作其本地分类器的输入。
在步骤825,投票如以上所更详细描述的那样被生成并被发送到发送投票请求的相邻设备。该投票可以包括:关于由投票者得出的结论的信息(例如,确认或者否认存在攻击)、关于结论如何被得出的信息(例如,使用其自己的观测值或者请求设备的观测值、关于其本地分类器的细节等)、或者与结论相关联的置信值。该投票然后可以被请求节点用于确定所检测的攻击实际上是否存在或者是否是误报。过程800然后结束于步骤830。
应该注意到,尽管过程700-800内的某些步骤如以上所描述的那样可以是可选的,但图7-8中所示的步骤只是用于图示的示例,并且某些其他步骤可以根据需要被包括或排除。此外,尽管步骤的特定顺序被示出,但该顺序只是示意性的,并且步骤的任意适当的安排可以在不脱离本文中实施例范围的情况下被使用。此外,尽管过程700-800单独被描述,但来自每个过程的某些步骤可以在过程彼此间进行合并,并且过程不旨在是互相排斥的。
因此,本文中所描述的技术通过使用投票处理来将由相邻节点托管的分类器的输出进行结合来为单个分类器所获得的攻击检测提供性能改善。投票处理的最终结果可以导致较少的误报,从而避免了由于误报(例如,用以警告FAR)而产生不必要的流量。此外,由于本文中的技术允许相邻节点利用本地可用的数据(FAR将需要以其他方式将该数据明确地提取(例如,用以验证攻击)),因此进一步减小了网络中带宽的使用。
尽管示意性实施例已经被示出和描述(该示意性实施例提供了对网络攻击的检测进行验证),但应该理解,各种其他的适应和修改可以在本文中实施例的精神和范围内被做出。例如,尽管本文中的技术主要针对攻击-检测分类器进行描述,但本文中的技术还可以被用于对不同的分类标签进行投票,该分类标签(诸如,与其他网络条件相关的标签)与攻击检测不相关。此外,尽管本文中的技术主要在LLN的情境下进行描述,但本文中的技术可以更一般地被应用于任意形式的计算机网络(例如,企业网络)。
以上说明书是针对具体的实施例。然而显而易见的是,可以针对所描述的实施例做出其他改变和修改,并获得其优点中的一些或全部。例如,将明确地认识到,本文中所描述的组件和/或元件可以作为存储在有形的(非暂态的)计算机可读介质(例如,磁盘/CD/RAM/EEPROM等)上的软件而被实现,其具有在计算机、硬件、固件或其组合上执行的程序指令。因此,该说明书只以示例的方式示出并且不以其他方式限制本文中实施例的范围。因此,所附权利要求的目的是为了覆盖进入本文中实施例的真正精神和范围内的所有这些改变和修改。
Claims (20)
1.一种用于攻击检测的方法,包括:
在第一网络设备处通过执行分类器来检测可能的网络攻击,其中,所述分类器被配置为基于输入特征集来从多个标签中选择标签;
响应于检测到所述可能的网络攻击而向多个相邻网络设备发送投票请求,所述投票请求标识了所述可能的网络攻击,其中,所述投票请求包括所述输入特征集的值集,所述输入特征被用于在所述第一网络设备处检测所述可能的网络攻击,并且其中,特定的相邻网络设备确定本地分类器的输入特征,并且使用所述本地分类器来生成关于所述可能的网络攻击的投票;
从所述相邻网络设备中的一个或多个中的每一个接收关于所述可能的网络攻击的投票;
由所述第一网络设备,基于所接收的关于所述可能的网络攻击的投票来确认存在所述网络攻击;以及
由所述第一网络设备,生成攻击已经被检测的警报。
2.如权利要求1所述的方法,其中,特定的投票由特定的相邻网络设备使用所述输入特征集的值来生成,所述输入特征由所述相邻网络设备进行观测。
3.如权利要求1所述的方法,其中,特定的投票由特定的相邻网络设备使用被包括在所述投票请求中的所述输入特征集的所述值集来生成。
4.如权利要求1所述的方法,其中,所述网络攻击在计时器超时之后被确认。
5.一种用于攻击检测的方法,包括:
在网络节点处,从相邻节点接收指示了可能的网络攻击的投票请求,其中,所述投票请求包括输入特征集的值集,所述输入特征被所述相邻节点用来检测所述可能的网络攻击,并且所述投票请求是响应于所述相邻节点检测到所述可能的网络攻击而发送的;
基于所述投票请求,确定被用作本地分类器输入的特征值集;
由所述网络节点,通过使用所确定的特征值集作为所述本地分类器的输入来确定是否存在所述可能的网络攻击;以及
由所述网络节点,将指示所述可能的网络攻击是否被确定为存在的投票发送到所述相邻节点,其中所述投票将被所述相邻节点用来确认所述网络攻击是否存在。
6.如权利要求5所述的方法,还包括:
确定所述分类器与由所述投票请求指示的分类器的类型相匹配。
7.如权利要求5所述的方法,还包括:
通过对到所述相邻节点的通信链路进行观测来生成特定的特征值。
8.如权利要求5所述的方法,其中,所述投票请求包括所述一个或多个特征值集。
9.如权利要求5所述的方法,其中,所述投票指示了所述投票是基于由所述网络节点所观测的特征值还是基于被包括在所述投票请求中的特征值。
10.一种用于攻击检测的装置,包括:
一个或多个网络接口,所述一个或多个网络接口与低功耗且有损网络(LLN)进行通信;
处理器,所述处理器被耦合到所述网络接口并且适应于执行一个或多个处理;和
存储器,所述存储器被配置为存储可由所述处理器执行的处理,当所述处理被执行时,可操作为:
通过执行分类器来检测可能的网络攻击,其中,所述分类器被配置为基于输入特征集来从多个标签中选择标签;
响应于检测到所述可能的网络攻击而向多个相邻网络设备发送投票请求,所述投票请求标识了所述可能的网络攻击,其中,所述投票请求包括所述输入特征集的值集,所述输入特征被用于在所述装置处检测所述可能的网络攻击,并且其中,特定的相邻网络设备确定本地分类器的输入特征,并且使用所述本地分类器来生成关于所述可能的网络攻击的投票;
从所述相邻网络设备中的一个或多个中的每一个接收关于所述可能的网络攻击的投票;
基于所接收的关于所述可能的网络攻击的投票来确认存在所述网络攻击;以及
生成攻击已经被检测的警报。
11.如权利要求10所述的装置,其中,特定的投票由特定的相邻网络设备使用所述输入特征集的值来生成,所述输入特征由所述相邻网络设备进行观测。
12.如权利要求10所述的装置,其中,特定的投票由特定的相邻网络设备使用被包括在所述投票请求中的所述输入特征集的所述值集来生成。
13.如权利要求10所述的装置,其中,所述网络攻击在计时器超时之后被确认。
14.一种用于攻击检测的装置,包括:
一个或多个网络接口,所述一个或多个网络接口与低功耗且有损网络(LLN)进行通信;
处理器,所述处理器被耦合到所述网络接口并且适应于执行一个或多个处理;和
存储器,所述存储器被配置为存储可由所述处理器执行的处理,当所述处理被执行时,可操作为:
在网络节点处从相邻节点接收指示了可能的网络攻击的投票请求,其中,所述投票请求包括输入特征集的值集,所述输入特征被所述相邻节点用来检测所述可能的网络攻击,并且所述投票请求是响应于所述相邻节点检测到所述可能的网络攻击而发送的;
基于所述投票请求,确定被用作本地分类器输入的特征值集;
通过使用所确定的特征值集作为所述本地分类器的输入,确定是否存在所述可能的网络攻击;以及
将指示所述可能的网络攻击是否被确定为存在的投票发送到所述相邻节点,其中所述投票将被所述相邻节点用来确认所述网络攻击是否存在。
15.如权利要求14所述的装置,其中,当所述处理被执行时,还可操作为:
确定所述分类器与由所述投票请求指示的分类器的类型相匹配。
16.如权利要求14所述的装置,其中,当所述处理被执行时,还可操作为:
通过对到所述相邻节点的通信链路进行观测来生成特定的特征值。
17.如权利要求14所述的装置,其中,所述投票请求包括所述一个或多个特征值集。
18.如权利要求14所述的装置,其中,所述投票指示了所述投票是基于由所述网络节点所观测的特征值还是基于被包括在所述投票请求中的特征值。
19.一种编码有软件的、有形的非暂态的计算机可读介质,其中,当所述软件被处理器执行时可操作为:
从相邻节点接收指示了可能的网络攻击的投票请求,其中,所述投票请求包括输入特征集的值集,所述输入特征被所述相邻节点用来检测所述可能的网络攻击,并且所述投票请求是响应于所述相邻节点检测到所述可能的网络攻击而发送的;
基于所述投票请求,确定被用作本地分类器输入的特征值集;
通过使用所确定的特征值集作为所述本地分类器的输入,确定是否存在所述可能的网络攻击;以及
将指示所述可能的网络攻击是否被确定为存在的投票发送到所述相邻节点,其中所述投票将被所述相邻节点用来确认所述网络攻击是否存在。
20.一种编码有软件的、有形的非暂态的计算机可读介质,其中,当所述软件被处理器执行时可操作为:
在第一网络设备处通过执行分类器来检测可能的网络攻击,其中,所述分类器被配置为基于输入特征集来从多个标签中选择标签;
响应于检测到所述可能的网络攻击而向多个相邻网络设备发送投票请求,所述投票请求标识了所述可能的网络攻击,其中,所述投票请求包括所述输入特征集的值集,所述输入特征被用于在所述第一网络设备处检测所述可能的网络攻击,并且其中,特定的相邻网络设备确定本地分类器的输入特征,并且使用所述本地分类器来生成关于所述可能的网络攻击的投票;
从所述相邻网络设备中的一个或多个中的每一个接收关于所述可能的网络攻击的投票;
基于所接收的关于所述可能的网络攻击的投票来确认存在所述网络攻击;以及
生成攻击已经被检测的警报。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/273,676 US9230104B2 (en) | 2014-05-09 | 2014-05-09 | Distributed voting mechanism for attack detection |
| US14/273,676 | 2014-05-09 | ||
| PCT/US2015/028459 WO2015171414A1 (en) | 2014-05-09 | 2015-04-30 | Distributed voting mechanism for attack detection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106416182A CN106416182A (zh) | 2017-02-15 |
| CN106416182B true CN106416182B (zh) | 2020-01-07 |
Family
ID=53264743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580024196.0A Active CN106416182B (zh) | 2014-05-09 | 2015-04-30 | 用于攻击检测的分布式投票机制 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9230104B2 (zh) |
| EP (1) | EP3140975B1 (zh) |
| CN (1) | CN106416182B (zh) |
| WO (1) | WO2015171414A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10015720B2 (en) | 2014-03-14 | 2018-07-03 | GoTenna, Inc. | System and method for digital communication between computing devices |
| US10931692B1 (en) | 2015-01-22 | 2021-02-23 | Cisco Technology, Inc. | Filtering mechanism to reduce false positives of ML-based anomaly detectors and classifiers |
| CN106155780B (zh) * | 2015-04-02 | 2020-01-31 | 阿里巴巴集团控股有限公司 | 一种基于时间的节点选举方法及装置 |
| US10039145B2 (en) * | 2015-11-19 | 2018-07-31 | Nike, Inc. | System, apparatus, and method for received signal strength indicator (RSSI) based authentication |
| CN107770805B (zh) * | 2016-08-22 | 2021-07-27 | 腾讯科技(深圳)有限公司 | 终端的标识信息的判定方法及装置 |
| US10225275B1 (en) * | 2017-06-29 | 2019-03-05 | Syniverse Technologies, Llc | Method for computationally detecting anomalies of digital device behavior on a communications network |
| CN109474561B (zh) * | 2017-09-07 | 2021-01-08 | 中国电信股份有限公司 | 网络攻击程度确定方法、装置和安全防护系统 |
| US11287285B2 (en) * | 2017-12-18 | 2022-03-29 | Landis+Gyr Innovations, Inc. | Methods and systems for distributed verification and control of a resource distribution network |
| US10813169B2 (en) | 2018-03-22 | 2020-10-20 | GoTenna, Inc. | Mesh network deployment kit |
| EP3831021A1 (en) | 2018-07-27 | 2021-06-09 | Gotenna Inc. | VINEtm ZERO-CONTROL ROUTING USING DATA PACKET INSPECTION FOR WIRELESS MESH NETWORKS |
| US10986041B2 (en) * | 2018-08-07 | 2021-04-20 | Futurewei Technologies, Inc. | Method and apparatus for virtual network functions and packet forwarding |
| US10909067B2 (en) | 2018-08-07 | 2021-02-02 | Futurewei Technologies, Inc. | Multi-node zero-copy mechanism for packet data processing |
| US11075944B2 (en) * | 2018-12-18 | 2021-07-27 | SOURCE Ltd. | System and method for protection of computer networks against man-in-the-middle attacks |
| CN110177373B (zh) * | 2019-05-22 | 2020-07-07 | 中国科学院信息工程研究所 | 接入点身份鉴别方法及装置、电子设备、计算机可读存储介质 |
| RU2751987C1 (ru) * | 2020-10-18 | 2021-07-21 | Юрий Иванович Стародубцев | Способ физического разнесения трактов приема и передачи данных в условиях деструктивных программных воздействий |
| CN112381160B (zh) * | 2020-11-18 | 2024-04-09 | 北京知道创宇信息技术股份有限公司 | 一种节点身份信息获取方法、装置、存储介质及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1320472C (zh) * | 2002-12-25 | 2007-06-06 | 龙卷风科技股份有限公司 | 以使用者知识为基础的信息分类系统 |
| CN103281473A (zh) * | 2013-06-09 | 2013-09-04 | 中国科学院自动化研究所 | 基于视频像素时空相关性的通用视频隐写分析方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050286772A1 (en) | 2004-06-24 | 2005-12-29 | Lockheed Martin Corporation | Multiple classifier system with voting arbitration |
| US8370928B1 (en) | 2006-01-26 | 2013-02-05 | Mcafee, Inc. | System, method and computer program product for behavioral partitioning of a network to detect undesirable nodes |
| US7779465B2 (en) * | 2006-05-26 | 2010-08-17 | Microsoft Corporation | Distributed peer attack alerting |
| US9015828B2 (en) * | 2006-06-09 | 2015-04-21 | Board of Regents, a Body Corporate of the State of Arizona, Acting for and on Behalf of The University of Arizona | Method and system for autonomous control and protection of computer systems |
| US20080083029A1 (en) | 2006-09-29 | 2008-04-03 | Alcatel | Intelligence Network Anomaly Detection Using A Type II Fuzzy Neural Network |
| US8069216B2 (en) | 2006-12-08 | 2011-11-29 | Motorola Solutions, Inc. | Method and apparatus for alerting nodes of a malicious node in a mobile ad-hoc communication system |
| US7873583B2 (en) | 2007-01-19 | 2011-01-18 | Microsoft Corporation | Combining resilient classifiers |
| US8103727B2 (en) | 2007-08-30 | 2012-01-24 | Fortinet, Inc. | Use of global intelligence to make local information classification decisions |
| US20090276852A1 (en) * | 2008-05-01 | 2009-11-05 | International Business Machines Corporation | Statistical worm discovery within a security information management architecture |
| US8108323B2 (en) * | 2008-05-19 | 2012-01-31 | Yahoo! Inc. | Distributed spam filtering utilizing a plurality of global classifiers and a local classifier |
| US8504504B2 (en) | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
| WO2010068629A1 (en) | 2008-12-08 | 2010-06-17 | Bae Systems Information And Electronic Systems Integration Inc. | Method for collaborative discrimation between authentic and spurious signals in a wireless cognitive network |
-
2014
- 2014-05-09 US US14/273,676 patent/US9230104B2/en active Active
-
2015
- 2015-04-30 CN CN201580024196.0A patent/CN106416182B/zh active Active
- 2015-04-30 EP EP15724413.8A patent/EP3140975B1/en active Active
- 2015-04-30 WO PCT/US2015/028459 patent/WO2015171414A1/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1320472C (zh) * | 2002-12-25 | 2007-06-06 | 龙卷风科技股份有限公司 | 以使用者知识为基础的信息分类系统 |
| CN103281473A (zh) * | 2013-06-09 | 2013-09-04 | 中国科学院自动化研究所 | 基于视频像素时空相关性的通用视频隐写分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015171414A1 (en) | 2015-11-12 |
| US20150324582A1 (en) | 2015-11-12 |
| EP3140975B1 (en) | 2020-04-15 |
| CN106416182A (zh) | 2017-02-15 |
| US9230104B2 (en) | 2016-01-05 |
| EP3140975A1 (en) | 2017-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106416182B (zh) | 用于攻击检测的分布式投票机制 | |
| US11005728B2 (en) | Designating a voting classifier using distributed learning machines | |
| EP2890079B1 (en) | Attack mitigation using learning machines | |
| US9450978B2 (en) | Hierarchical event detection in a computer network | |
| US9563854B2 (en) | Distributed model training | |
| US9231965B1 (en) | Traffic segregation in DDoS attack architecture | |
| EP3143744B1 (en) | Voting strategy optimization using distributed classifiers | |
| US9294488B2 (en) | Control loop control using broadcast channel to communicate with a node under attack | |
| US10038713B2 (en) | Predicted attack detection rates along a network path | |
| US9286473B2 (en) | Quarantine-based mitigation of effects of a local DoS attack | |
| US8806633B2 (en) | Coordinated detection of a grey-hole attack in a communication network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |