CN106604279A - 基于特征的Ad Hoc网络攻击检测方法 - Google Patents

Abstract

本发明公开了一种基于特征的Ad Hoc网络攻击检测方法，主要解决现有移动Ad Hoc网络下的攻击检测准确性低及对网络资源消耗高的问题。其方案是：1)在Ad Hoc网络中布置检测单元；2)网络中所有节点周期性的发送自身邻居列表给检测单元；3)检测单元的数据处理模块以同样周期处理这些列表并重新构造此时刻的距离矢量表，再转给知识库构建模块以构造阈值知识库；4)检测单元的状态转移模块根据知识库提供的相应评判因子及攻击的特征构建状态转移图；5)检测单元的攻击检测模块根据状态转移图进行攻击检测的最终判别。本发明能对多种攻击形式进行检测，提高了检测的准确性并降低了网络资源的消耗，可用于保护网络安全。

Description

基于特征的Ad Hoc网络攻击检测方法

技术领域

本发明属于无线网络安全技术领域，特别涉及一种Ad Hoc网络的攻击检测方法，可用于对黑洞和虫洞攻击的检测，保护网络安全。

背景技术

Ad Hoc是一种新型的网络架构技术。运用此技术的移动Ad Hoc网络MANET是一种新型的移动多跳无线网络，其与传统的无线网络有很大不同。它不依赖于任何固定的基础设施和管理中心，而是通过传输范围有限的移动节点间的相互协作和自我组织来保持网络连接和实现数据的传递。由于移动Ad Hoc网络的独特特性：动态的拓扑结构、有限的资源、多跳的通信等，使得其不仅存在传统网络存在的安全问题，也出现了许多新的安全威胁，如黑洞攻击、虫洞攻击、灰洞攻击等。

黑洞攻击：在路由寻找过程中，恶意节点加入其中宣称自己有到目的节点的最短路由，从而控制路由，致使正常节点都经过含有恶意节点的路径发送数据从而截获信息，网络中的信息都流向恶意节点，导致数据的大量丢失影响网络通信。

虫洞攻击：是由两个恶意节点串谋协作而发起的攻击。恶意节点之间是通过一条有线链路、高质量的无线链路或以包封装的方式进行通信，虫洞节点在网络中的某一点捕获到信息后通过私有通道把该信息传输到网络的另一端进行重放，由于虫洞节点对之间传送的信息要先于或比正常链路拥有更少的路由跳数到达目的节点，因此攻击节点可以声称自己拥有最短的路径以此控制网络的路由。虫洞节点建立私有链路如果只是单纯满足高速数据传递，它能够将信息更快地传递到目的节点，以提高网络性能。但是如果虫洞的目的是为了进行破坏如有选择性地丢弃数据分组、破坏路由或者执行拒绝服务攻击时，虫洞攻击的危害性就非常严重。

现实中，对于所述的虫洞攻击和黑洞攻击非常难于检测，现有的方案有：JaneZhen等使用了一种称之为循环旅行时间RTT的方法来检测虫洞。节点A计算与节点B之间的循环时间，通过发送一个信息给B，要求立刻回复。A节点与B节点之间的循环时间就是从A节点发送请求到接收到B节点的回复所经历的时间。每个节点都计算与邻居节点间的循环时间，因为2个假冒邻居间的循环时间必然大于真正邻居间的循环时间。因此通过比较A节点和A节点的邻居节点间的循环时间，A节点可以确定哪个邻居是假冒邻居。这种方法不需要额外的硬件并容易实现，但是对于显式虫洞攻击的检测是无效的。

B.Awerbuch提出的基于直接回复信息的方法，目的节点每次成功接收报文后，都会将一个确认报文发回源节点。若一个可疑路径丢弃报文的数目超过一个门限时，源节点就在自身和目的节点之间进行双向搜索，向中间节点链上的每一个节点发送数据报文，这些报文也称为试探，中间节点将发回回复消息。源节点和每个试探之间共享一个密钥，并且试探也经过“洋葱”加密。一旦收到报文，每个试探就会发回一个确认报文信息，这个确认报文信息是用源节点与试探之间的共享密钥加密过的。随后，源节点验证加密过的确认报文信息，并认为距离目的节点最近的那个发回确认报文信息的节点是错误的。此方法有两个明显的缺陷：a)由于回复确认报文，大量地浪费了网络链路带宽，特别是大型网络；b)引入了复杂的加/解密算法，代价高。

综上，现有的检测方案存在以下缺陷：

1、基于时钟、地理位置的检测方案需要严格的时钟同步、GPS等特殊要求。

2、基于监听、统计的检测方案等需要消耗本来就资源有限的节点一定的计算能力、电量与带宽，并且检测也不够准确。

3、一种检测方案多是对于单一攻击的检测，缺乏普适性。

发明内容

本发明的目的在于针对上述已有技术的不足，提出一种基于特征的Ad Hoc网络攻击检测方法，以进一步降低资源消耗，提高检测准确性和普适性。

为实现上述目的，本发明的技术方案包括如下：

(1)邻居列表的构造及信息的采集：

(1a)在网络中布置一个检测单元，用于网络中节点邻居列表N的信息采集和处理以及后续的攻击检测和攻击类型的判别；

(1b)动态地构建网络中所有节点的邻居列表N；

(1c)网络中所有节点以时间间隔ΔT周期性的将自身的邻居列表N信息发送给检测单元，该时间间隔ΔT根据网络中的节点数、拓扑大小及节点的移动速度选取；

(1d)检测单元每隔时间间隔ΔT从收到的序列号相同的节点列表中获取节点的邻居信息，并通过Dijkstra算法构造出距离矢量表；

(2)根据(1b)得到的网络节点邻居列表N信息构建攻击检测的阈值知识库：

(2a)将邻居节点最大的维持时间T_max作为邻居节点的维持时间的阈值，用于对显式虫洞攻击和黑洞攻击进行检测与判别；

(2b)将节点邻居数的最大变化量NC_max作为邻居数变化量的阈值，用于隐式虫洞攻击的检测与判别；

(2c)将两节点间的路由跳数最大变化量H_max作为节点间的路由跳数变化量的阈值，用于显式虫洞攻击的检测与判别；

(2d)将全网的平均丢包率&作为网络丢包率的阈值，用于黑洞攻击的检测与判别；

(3)根据黑洞攻击特征和显、隐式虫洞攻击特征构建状态转移图：

(3a)设网络的初始状态为正常态，根据网络中节点的变化确定状态转移路径：

若网络中出现两节点间路由跳数突变为1的情况，则将正常态转移为显式虫洞攻击可疑态，再观察是否有两节点邻居维持时间高于阈值T_max的情况：如有，则将显式虫洞攻击可疑态转移为显式虫洞攻击判定态，否则，将显式虫洞攻击可疑态转移为报警态；

若网络中出现两节点同时消失的情况，则将正常态转移为隐式虫洞攻击可疑态，再观察是否有节点邻居数变化量高于阈值NC_max的情况：如有，则将隐式虫洞攻击可疑态转移为隐示虫洞攻击判定态，否则，将隐式虫洞攻击可疑态转移为报警态；

若网络中出现两节点邻居维持时间高于阈值T_max的情况，则将正常态转移为黑洞攻击可疑态，再观察是否有节点消息数目的丢包率高于阈值&的情况：如有，则将黑洞攻击可疑态转移为黑洞攻击判定态，否则，将黑洞攻击可疑态转移为报警态；

(4)检测单元依据步骤(2)所设的阈值T_max、NC_max、H_max、&和步骤(3)建的状态转移图进行攻击的检测与判别：

若网络中有两个节点同时消失，则检测单元将这两个节点列为可疑节点，并观察是否有节点邻居数变化超过阈值NC_max的情况：如有，则判定存在隐式虫洞攻击，并将此对恶意节点与网络中其他正常节点隔离并报警，否则，这两个节点仍是可疑节点，检测单元持续对其进行监测；

若网络中有节点间路由跳数超过阈值H_max的情况，则检测单元将这些节点列为可疑节点，并观察是否有节点间邻居维持时间超过阈值T_max的情况：如有，则判定存在显式虫洞攻击，并将这些节点与网络中其他正常节点隔离并报警，否则，这些节点仍是可疑节点，检测单元持续对其进行监测；

若网络中有节点与其邻居节点的维持时间超过阈值T_max的情况，则检测单元将这些节点列为可疑节点，再观察是否有节点丢包率远高于阈值&的情况：如有，则判定存在黑洞攻击，并将此节点与网络中其他正常节点隔离并报警，否则，这些节点仍是可疑节点，检测单元持续对其进行监测。

本发明与现有技术相比，具有以下优点：

1)本发明通过引入了依据黑洞攻击，显、隐式虫洞攻击的多种攻击特征建立状态转移图，并利用状态转移的方法检测攻击，可同时能检测多种攻击，提高了检测的普适性。

2)本发明通过引入检测单元周期性的收集全网信息学习正常网络的特征，建立判定异常的阈值知识库作为评价因素，提高了检测的准确性。

3)本发明的实施与部署由于不需要特殊的硬件和严格的时钟、地理同步，相比现有技术降低了资源消耗。

附图说明

图1是本发明的实现流程图；

图2是本发明中使用的检测单元框图；

图3是本发明中的攻击检测状态转移图。

具体实施方式

下面结合附图对本发明作进一步说明：

参照图1，本发明的具体实现如下：

步骤1，构建邻居列表N及检测单元采集信息。

(1a)在网络中布置一个检测单元用于监测全网：

参照图2，本发明布置的检测单元，包括数据处理模块、知识库构建模块、状态转移模块和攻击检测模块，其中：

数据处理模块，用于将收集的网络节点列表信息改造为距离矢量表；

知识库构建模块，利用构建好的距离矢量表构建阈值知识库，提供攻击检测的评价因子；

状态转移模块，利用阈值知识库及攻击的特征，构建状态转移图；

攻击检测模块，依据状态转移图利用状态转移的方法实现攻击的检测判别。

(1b)动态地构建网络中所有节点的邻居列表N，如表1，表1中包含三个参数：其中s表示节点的ID值；sq表示序列号，节点每发送给检测单元信息一次，sq自加1；Ni表示节点的邻居信息，包含节点的所有邻居节点的ID值及发送给每个邻居节点的信息量。

表1 邻居列表

s

sq

Ni

(1c)网络中所有节点以时间间隔ΔT周期性的将自身的邻居列表N信息发送给检测单元，该时间间隔ΔT根据网络中的节点数n、拓扑大小s、节点的移动速度v及停顿时间d_t选取，即：且ΔT要大于网络中最远两节点间的通信时延，以保证检测单元能够收到网站中所有节点的邻居信息。

(1d)检测单元每隔时间间隔ΔT从收到的序列号相同的节点列表中获取节点的邻居信息，并通过Dijkstra算法构造出距离矢量表，结构表2：

表2 距离矢量表

表中A、B和C是三个不同的节点，节点相交的单元格表示两节点间的路由跳数，取值范围为0～∞，若两节点互为邻居节点，则值为1，若两节点间无互通的路径，则表示为∞，同一节点相交的单元格表示为0，最后一列表示节点的邻居节点总数。

步骤2，构建阈值知识库。

(2a)取邻居最大维持时间T_max，即取各对邻居节点间维持时间数的最大值，作为邻居节点的维持时间的阈值，用于对显式虫洞攻击和黑洞攻击进行检测与判别，该最大值是以ΔT为单位；

(2b)取节点邻居数最大变化量NC_max，即取各节点ΔT间隔内邻居数变化量的最大值，作为邻居数变化量的阈值，用于隐式虫洞攻击的检测与判别；

(2c)取两节点间路由跳数的最大变化量H_max，即取各节点间路由跳数在ΔT间隔内的最大变化量，作为节点间的路由跳数变化量的阈值，用于显式虫洞攻击的检测与判别；

(2d)计算全网平均丢包率&，将其作为网络丢包率的阈值，用于黑洞攻击的检测与判别：

(2d1)计算任意一个节点的丢包率：

其中Nb(X)为任意一个节点X的邻居节点数，为节点X转发给它的所有邻居节点的消息数目之和，为节点X的所有邻居节点发给它的消息数目之和；

(2d2)对网络中的所有节点的丢包率进行求和，然后取平均值，得到全网平均丢包率：其中n为网络中的节点数。

步骤3，构建状态转移图。

参照图3，本步骤的具体实现是将网络的初始状态设为正常态S1，再根据网络中节点的变化确定状态转移路径：

若网络中出现两节点间路由跳数突变为1的情况，则将正常态S1转移为显式虫洞攻击可疑态S4，再观察是否有两节点邻居维持时间高于阈值T_max的情况：如有，则将显式虫洞攻击可疑态S4转移为显式虫洞攻击判定态S5，否则，将显式虫洞攻击可疑态转移为报警态S8；

若网络中出现两节点同时消失的情况，则将正常态S1转移为隐式虫洞攻击可疑态S2，再观察是否有节点邻居数变化量高于阈值NC_max的情况：如有，则将隐式虫洞攻击可疑态S2转移为隐示虫洞攻击判定态S3，否则，将隐式虫洞攻击可疑态转移为报警态S8；

若网络中出现两节点邻居维持时间高于阈值T_max的情况，则将正常态S1转移为黑洞攻击可疑态S6，再观察是否有节点消息数目的丢包率高于阈值&的情况：如有，则将黑洞攻击可疑态S6转移为黑洞攻击判定态S7，否则，将黑洞攻击可疑态转移为报警态S8；

步骤4，对攻击进行检测判别。

本步骤的具体实现是通过检测单元的攻击检测模块对网络中的攻击特征进行如下检测判别：

若网络中有两个节点同时消失，则检测单元将这两个节点列为可疑节点，并观察是否有节点邻居数变化超过阈值NC_max的情况：如有，则判定存在隐式虫洞攻击，并将此对恶意节点与网络中其他正常节点隔离并报警，否则，这两个节点仍是可疑节点，检测单元持续对其进行监测；

若网络中有节点间路由跳数超过阈值H_max的情况，则检测单元将这些节点列为可疑节点，并观察是否有节点间邻居维持时间超过阈值T_max的情况：如有，则判定存在显式虫洞攻击，并将这些节点与网络中其他正常节点隔离并报警，否则，这些节点仍是可疑节点，检测单元持续对其进行监测；

若网络中有节点与其邻居节点的维持时间超过阈值T_max的情况，则检测单元将这些节点列为可疑节点，再观察是否有节点丢包率远高于阈值&的情况：如有，则判定存在黑洞攻击，并将此节点与网络中其他正常节点隔离并报警，否则，这些节点仍是可疑节点，检测单元持续对其进行监测。

以上描述仅是本发明的一个具体实例，不构成对本发明的任何限制，显然对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修正和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

Claims (3)

1.一种基于特征的Ad Hoc网络攻击检测方法，包括如下步骤：

(1)邻居列表的构造及信息的采集：

(1a)在网络中布置一个检测单元，用于网络中节点邻居列表N的信息采集和处理以及后续的攻击检测和攻击类型的判别；

(1b)动态地构建网络中所有节点的邻居列表N；

(1c)网络中所有节点以时间间隔ΔT周期性的将自身的邻居列表N信息发送给检测单元，该时间间隔ΔT根据网络中的节点数、拓扑大小及节点的移动速度选取；

(1d)检测单元每隔时间间隔ΔT从收到的序列号相同的节点列表中获取节点的邻居信息，并通过Dijkstra算法构造出距离矢量表；

(2)根据(1b)得到的网络节点邻居列表N信息构建攻击检测的阈值知识库：

(2a)将邻居节点最大的维持时间T_max作为邻居节点的维持时间的阈值，用于对显式虫洞攻击和黑洞攻击进行检测与判别；

(2b)将节点邻居数的最大变化量NC_max作为邻居数变化量的阈值，用于隐式虫洞攻击的检测与判别；

(2c)将两节点间的路由跳数最大变化量H_max作为节点间的路由跳数变化量的阈值，用于显式虫洞攻击的检测与判别；

(2d)将全网的平均丢包率&作为网络丢包率的阈值，用于黑洞攻击的检测与判别；

(3)根据黑洞攻击特征和显、隐式虫洞攻击特征构建状态转移图：

(3a)设网络的初始状态为正常态，根据网络中节点的变化确定状态转移路径：

若网络中出现两节点间路由跳数突变为1的情况，则将正常态转移为显式虫洞攻击可疑态，再观察是否有两节点邻居维持时间高于阈值T_max的情况：如有，则将显式虫洞攻击可疑态转移为显式虫洞攻击判定态，否则，将显式虫洞攻击可疑态转移为报警态；

若网络中出现两节点同时消失的情况，则将正常态转移为隐式虫洞攻击可疑态，再观察是否有节点邻居数变化量高于阈值NC_max的情况：如有，则将隐式虫洞攻击可疑态转移为隐示虫洞攻击判定态，否则，将隐式虫洞攻击可疑态转移为报警态；

若网络中出现两节点邻居维持时间高于阈值T_max的情况，则将正常态转移为黑洞攻击可疑态，再观察是否有节点消息数目的丢包率高于阈值&的情况：如有，则将黑洞攻击可疑态转移为黑洞攻击判定态，否则，将黑洞攻击可疑态转移为报警态；

(4)检测单元依据步骤(2)所设的阈值T_max、NC_max、H_max、&和步骤(3)建的状态转移图进行攻击的检测与判别：

若网络中有两个节点同时消失，则检测单元将这两个节点列为可疑节点，并观察是否有节点邻居数变化超过阈值NC_max的情况：如有，则判定存在隐式虫洞攻击，并将此对恶意节点与网络中其他正常节点隔离并报警，否则，这两个节点仍是可疑节点，检测单元持续对其进行监测；

若网络中有节点间路由跳数超过阈值H_max的情况，则检测单元将这些节点列为可疑节点，并观察是否有节点间邻居维持时间超过阈值T_max的情况：如有，则判定存在显式虫洞攻击，并将这些节点与网络中其他正常节点隔离并报警，否则，这些节点仍是可疑节点，检测单元持续对其进行监测；

若网络中有节点与其邻居节点的维持时间超过阈值T_max的情况，则检测单元将这些节点列为可疑节点，再观察是否有节点丢包率远高于阈值&的情况：如有，则判定存在黑洞攻击，并将此节点与网络中其他正常节点隔离并报警，否则，这些节点仍是可疑节点，检测单元持续对其进行监测。

2.如权利要求1所述的方法，其中步骤(1c)中的时间间隔ΔT，根据网络中的节点数n、拓扑大小s、节点最大移速v及停顿时间d_t选取，即：且ΔT要大于网络中最远两节点间的通信时延，以保证检测单元能够收到网站中所有节点的邻居信息。

3.如权利要求1所述的方法，其中步骤(2d)中的全网平均丢包率按如下步骤计算：

(2d1)计算任意一个节点的丢包率：

其中Nb(X)为任意一个节点X的邻居节点数，为节点X转发给它的所有邻居节点的消息数目之和，为节点X的所有邻居节点发给它的消息数目之和；

(2d2)对网络中的所有节点的丢包率进行求和，然后取平均值，得到全网平均丢包率：其中n为网络中的节点数。