CN107026867A - 基于父节点可控路由算法定位DoS攻击源的方法 - Google Patents

基于父节点可控路由算法定位DoS攻击源的方法 Download PDF

Info

Publication number
CN107026867A
CN107026867A CN201710266894.2A CN201710266894A CN107026867A CN 107026867 A CN107026867 A CN 107026867A CN 201710266894 A CN201710266894 A CN 201710266894A CN 107026867 A CN107026867 A CN 107026867A
Authority
CN
China
Prior art keywords
node
attack source
routing
suspicious
father
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710266894.2A
Other languages
English (en)
Inventor
卢小峰
杨二周
王建林
许源
练籼汛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201710266894.2A priority Critical patent/CN107026867A/zh
Publication of CN107026867A publication Critical patent/CN107026867A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

本发明公开了一种基于父节点可控路由算法定位DoS攻击源的方法,包括两步:(1)通过提取被标记攻击数据包携带的路由器节点标识信息,直接将攻击源定位至攻击源接入的路由节点,通过反向查找路由节点的地址映射链表,锁定可疑链路;(2)查找路由搜索树,检测可疑链路是否为唯一终端节点,如果是,则该终端节点为攻击源节点;如果不是,则增大该终端节点父节点选择成本,使其子路向邻近路由扩散,在新的路由关系下,通过包概率标记技术,确定可疑支路,直至可疑支路为唯一终端节点。本发明的有益之处在于:(1)定位结果更加精准;(2)有效降低DoS攻击源确认过程中正常数据丢失的可能性;(3)在大业务量汇集时有着相对较好的分组投递率。

Description

基于父节点可控路由算法定位DoS攻击源的方法
技术领域
本发明涉及定位DoS攻击源的方法,具体涉及基于父节点可控路 由算法定位DoS攻击源的方法,属于无线通信技术领域。
背景技术
无线Mesh网络作为多跳网络,其拓扑图是一种网状结构,也叫 无线网状网,简称为WMN(Wireless Mesh Network),是一种新的无 线网络技术,也是一种多跳网络。
在无线Mesh网络中,其报文传输的可靠性优于WLAN,具有一 定的故障恢复能力,是一种自配置、自治愈的多跳网,这种网络具有 容量大,传输速率高,网络信号能够覆盖广的优点。无线Mesh网络 已经广泛应用在军事、商业、教育以及个人通信等领域中。
无线Mesh网络的体系构成和拓扑特性,使其面临比传统的有线 网络更加严重的安全威胁。
(1)无线信道的开放性使DoS攻击发起更容易 无线网络中的恶意节点可以轻易窃听无线链路信号、获取和篡改 接收其信号范围内节点发送的数据。甚至,DoS攻击源节点可以通过 发送无线干扰信号、放置干扰源或用一个甚至多个节点发送大量垃圾 数据,造成网络极度拥塞,使无线Mesh网络瘫痪。
(2)认证分散和多跳传输使无线Mesh网络容易遭到威胁 认证分散和多跳传输使无线Mesh网络容易遭到威胁,这使得现 有成熟的安全防御体系不能直接用于无线Mesh网络。无线Mesh网 络的拓扑结构的动态性使网络中节点间的可信度极大降低,且安全认 证的难度大。
(3)终端节点的双重身份带来更大的安全威胁 在无线Mesh网络中,终端节点还要求具备路由功能。那么,其 除了运行自身相关的应用程序,还需要遵守该网络路由协议,完成信 道路由功能。若有关键节点(多条通信链路经过该节点)受到威胁或 者恶意不遵守路由规则,很容易威胁到整个网络安全。
(4)虚假路由信息的散布给整个网络带来灾难性的后果 路由动态多跳机制,必然会造成路由信息的不断更新,虚假路由 信息的散布便有可乘之机,给整个网络带来灾难性的后果。
由此可见,无线Mesh网络存在极大的安全隐患,而DoS攻击发 起容易、形式多样。因此,必须提高路由协议的安全性,以保证无线 Mesh网络的通信畅通。
目前,对DoS攻击检测技术已经相当成熟,然而很多DoS攻击本 身就是为了占用传输资源,在目标节点检测到DoS攻击只能做出极 其被动的防御,防御DoS攻击最好的办法应该从源头进行隔离。
论文《Anomaly detection for DOS routing attack by a attack sourcelocation method》中提出了包概率标记技术将攻击源定位到其接入的 路由器,由路由进行隔离,前移对攻击源的处理,降低DoS攻击的 危害,此方法能够有效降低DoS攻击的危害,但是在Mesh网中由于 终端身份的双重角色,此方法存在无法精确确认攻击源的问题。如图1所示,路由节点rout1通过地址映射链表发现攻击数据包来源为节 点node1,但是无法确认DoS攻击源是node1还是node2,如果直接 隔离该链路时就会严重影响一个合法节点的正常通信。
发明内容
为解决现有技术的不足,本发明的目的在于提供一种基于父节点 可控路由算法定位DoS攻击源的方法,该定位方法能够更加精准定 位DoS攻击源。
为了实现上述目标,本发明采用如下的技术方案:
基于父节点可控路由算法定位DoS攻击源的方法,其特征在于, 包括两大步骤:
一、通过包概率标记技术,发现可疑链路
通过提取被标记攻击数据包携带的路由器节点标识信息,直接将 攻击源定位至攻击源接入的路由节点,通过反向查找路由节点的地址 映射链表,锁定可疑链路;
二、结合父节点可控路由算法,精确定位攻击源
查找路由搜索树,检测可疑链路是否为唯一终端节点,如果是, 则该终端节点为攻击源节点;如果不是,则增大该终端节点父节点选 择成本,使其子路向邻近路由扩散,在新的路由关系下,通过包概率 标记技术,确定可疑支路,直至可疑支路为唯一终端节点,即攻击源 节点。
本发明的有益之处在于:
(1)采用父节点可控路由算法和包概率标记技术对DoS攻击源 进行定位,定位结果更加精准;
(2)采用父节点可控路由算法对可疑节点中的最大父节点路由接 入的成本最大化,阻止合法邻节点通过DoS攻击源节点接入网络, 使这些合法邻节点向周围路由接入,不影响这些合法邻节点正常数据 传输,有效降低DoS攻击源确认过程中可能带来的正常数据丢失的 可能性;
(3)仿真试验证明,本发明的定位方法达到了负载均衡的效果, 在大业务量汇集时有着相对较好的分组投递率。
附图说明
图1是目前采用包标记方法定位攻击源的示意图;
图2是本发明的定位DoS攻击源的流程图;
图3(a)是节点以网关为中心对拓扑计算的最小跳数搜索图;
图3(b)是父节点选择权值比较图;
图3(c)是父节点可控路由算法得到的路由搜索树图;
图4(a)是攻击源初次定位图;
图4(b)是调控后攻击源定位图;
图5是基于父节点可控路由算法定位DoS攻击源的方法的性能仿 真图。
具体实施方式
在无线Mesh网络中,检测到DoS攻击(the denial of service attack) 后,本发明采用父节点可控路由算法和包概率标记技术,实现了对无 线Mesh网络中DoS攻击源的精准定位。
以下结合附图和具体实施例对本发明作具体的介绍。
参照图2,本发明的基于父节点可控路由算法定位DoS攻击源的 方法,其主要包括以下步骤:
一、通过包概率标记技术,发现可疑链路
DoS攻击发起者在攻击网络或者目标节点时,经常伪造攻击包源 地址,多数情况下其源地址是随机生成的,给攻击源的攻击定位带来 很大麻烦。
在无线Mesh网中,路由节点移动性小,主要负责终端节点的接 入和寻址,业务单一,我们认为路由节点是安全的。
路由节点采用包概率标记技术,对收到的终端节点数据包进行概 率性的添加路由节点标识信息,同时在路由节点上建立收到数据包的 源地址与发包终端节点MAC对应的存储链表,以备对数据包的追踪 查找。由于DoS攻击时,恶意包的发包频率高,采用包概率标记技 术不仅开销小而且易于追踪。
所以本发明的定位方法,其第一步就是:在接收端,当检测到含 有标记的攻击包时,通过提取被标记攻击数据包携带的路由器节点标 识信息,直接将攻击源定位至攻击源接入的路由节点,通过反向查找 路由节点的地址映射链表,锁定可疑链路。
二、结合父节可控路由算法,精确定位攻击源
包概率标记技术能将攻击源追溯到攻击源接入的路由节点并确认 数据包的上跳终端节点,有线网中即是完成了攻击源的锁定,但在无 线Mesh网中,由于终端节点具有双重角色,同样允许终端节点的接 入,并可以转发数据包。如果在此对可疑链路实施隔离或进行包过滤, 依然可能会造成与其他合法节点正常数据的丢失。所以本发明的定位 方法的第二步就是:结合父节可控路由算法,精确定位攻击源。
精确定位攻击源的方法是:查找路由搜索树,检测可疑链路是否 为唯一终端节点,如果是,则该终端节点为攻击源节点;如果不是, 则通过调节父节点可控路由算法中的调控因子,增大该终端节点父节 点选择成本(能有效阻止合法节点通过可疑节点接入网络,降低追踪 过程中正常数据的丢失),合理改变路由结构,使其子路向邻近路由 扩散,在新的路由关系下,通过包概率标记技术,确定可疑支路,直 至可疑支路为唯一终端节点,即攻击源节点。
为了便于公众理解,我们先来介绍与父节点可控路由算法相关的 一些内容。
1、父节点和子节点的定义
在分层拓扑关系中,如果第L层中的节点i和第L+1层中的节点 j在彼此传输范围,我们认为节点i是节点j的父节点、节点j是节点 i的子节点。
2、父节点选择成本的定义
父节点选择成本LBpq的定义公式为:
LBpq=δ(LI(p)+LI(q))*Cpq
其中,LBpq表示节点P选择父节点q的选择代价;
δ代表服务器调控因子,初始化为1;
LI(p)代表节点P的负载权值,即节点P下直接和间接接入的终端 总数;
LI(q)代表节点q的负载权值,即节点q下直接和间接接入的终端 总数;
Cpq代表节点P和节点q的mETX(改进的预期传输次数)信道度 量值。
3、父节点可控路由算法的流程
父节点可控路由算法的流程具体如下:
(1)节点获得全网拓扑后,以网关为中心进行最小跳数搜索,完 成初始拓扑分层,假设共分L层,节点距离网关的跳数即是自身所在 层数,通过TC消息查询获得各节点下直连的终端数目,作为初始负 载权值;
(2)去掉拓扑中同层节点间链路的连接;
(3)从层数最大值依次遍历到最小值的节点,即从底层开始向顶 端计算,令Si表示级别L-1中的节点Vi的集合,并且Sj表示级别L中 的节点Vj的集合,
如果有一个节点Pf∈Sj只有一个父节点Qf∈Si,则更新LI(Qf), 并将节点Pf与Qf连接,
如果节点有多个父节点Qf1,Qf2,Qf3…,则计算每个父节点选择成 本,使节点Pf与父节点选择成本最小的节点Qfi(min)相连接,在选择的 父节点Qfi(min)负载权值上增加节点Pf的负载权值作为新的负载权值, 为了保持节点计算的路由一致性,同层节点按照父节点个数由少到多 进行计算。
为了便于大家理解上面叙述的父节点可控路由算法,我们结合图 3(a)、图3(b)和图3(c)对父节点可控路由算法进行详细的描述。
参照图3(a)、图3(b)和图3(c),父节点可控路由算法的流程 如下:
(1)如图3(a)所示,以网关为中心进行一跳搜索后,其第4 跳均为直接接入终端,在路由节点1,2,3,4,5,6上分别有1,2,2,1,2,3个 终端节点;
(2)首先去除同层之间连接,由于节点1,5只有一个父节点, 更新节点2和节点3的干扰权值分别为5和3,节点5有两个父节点, 我们分别计算节点5选择节点2与节点3的成本函数,LB3,5=8.5, LB2,5=3.6,如图3(b)所示,然后保留节点2和节点5之间连接关系, 更新节点2干扰权值,LI(2)=LI(2)+LI(4)=5;
(3)采用这样的计算方法,直至计算到顶端,得到的路由搜索树 如图3(c)所示。
4、利用父节点可控路由算法缩小可疑范围
首先,通过路由搜索树检查可疑链路是否是唯一接入终端:
(1)如果可疑链路是唯一接入终端,则该终端节点为攻击源节点;
(2)如果可疑链路不是唯一接入终端,则标记该可疑链路下的所 有节点为可疑节点,极大化可疑节点中层数最小节点的父节点选择成 本,可疑节点中层数最小节点的子链路会向邻近路由扩散;
(3)在新的拓扑周期内(即在新的路由关系下),得到新的可疑 链路(即为原可疑链路的一条可疑支路),重复执行步骤(2),直至 可疑支路为唯一终端,即DoS攻击源。
为了便于大家理解上面叙述的精确定位DoS攻击源的方法,我们 结合图4(a)和图4(b)对精确定位DoS攻击源的方法进行详细的 描述。
参照图4(a)和图4(b),精确定位DoS攻击源的方法具体如下:
(1)如图4(a)所示,当路由R4检测到下级节点C2的数据异常 时,标记C2,C4,C5
(2)C2为可疑节点中层数最小节点,检测拓扑结构,C4,C5是否 有其他父节点连接关系,如有,则由服务器下发新的协调成本δ方案, 使得C2的父节点选择成本极大化,有LBc4c2>LBc4c1,LBc5c2>LBc5c3, 形成新的路由关系如图4(b)所示。
在新的路由关系下,再次进行包标记概率检测,如异常连接在 R3C1,则可判断C4为攻击源节点,如异常连接在R4C2,C2为恶意节点, 如异常连接在R5C3,C3为恶意节点,如若C4下仍有连接关系,且可疑 支路在C4,在拓扑关系不分离的情况下,下发调控方案C4的父节点选 择成本极大化,以阻止合法节点的接入,同时由C1隔离该链路,等待 新的拓扑关系满足再次调控,直至精确定位攻击。
父节点可控路由算法设计是在OLSR(Optimized Link State Routing)路由协议的基础上延续了OLSR协议的Hello消息控制机制 和TC消息控制机制,保持无线Mesh网络中各个节点拓扑的一致性, 制定了统一的父节点选择规则,重点考虑了负载均衡,定义节点的父 节点选择成本由节点负载及信道度量(改进的预期传输次数)同时加 入服务器控制因子计算得出,使各节点在计算自身最优父节点时,通 过对控制因子的调控,实现对父节点选择成本的调节,达到对节点父 节点选择的控制。
为了检验本发明的定位方法的性能,我们采用网络仿真器ns2.34 对其进行了性能仿真比较。
实验中我们采用9个固定路由节点,其中一个作为网关节点,11 个随机移动终端节点,移动速度为10米/秒,将连接数目分布从1个 增加到4个,发包速率100包/秒,路由含网关均匀分布于1000*1000 的中心场景,间距200m,终端节点随机选出,单业务流受节点选择 影响较大,分别选择多次求均值,其业务流均为终端节点到网关的 CBR流。
仿真试验结果如图5所示。由图5可知,连接数增加时,在基于 最小跳数、基于最小预期传输次数、基于父节点可控路由算法(控制 因子为1)的各定位方法中:
(1)基于最小预期传输次数的分组投递率下降最为显著,特别是 从一条到两条连接时,其分组投递率下降了超过50%;
(2)基于父节点可控路由算法的分组有着相对较好的表现,随着 连接数目的增加(即业务量的增加),基于父节点可控算法的分组投 递率一直高于最小跳数和ETX作为判据的Dijkstra路由算法,也就 意味着随着业务量的急剧上升基于父节点可控路由,其有着更好的网 络吞吐量,当有4个连接时,其分组投递率比基于信道质量作为判据 提高了近一倍,其主要原因在于基于信道质量作为选择标准的路由, 当有多条链路连接时,有趋于选择相同链路的特性,容易造成大量业 务在网络层堆积,该路由选择的弊端很明显,业务流更易于汇聚,极 大的加重网络负担,而父节点可控路由算法把终端节点数目作为选择 的一个因素,在一定程度上分散了链路中数据流的传输,达到了负载 均衡的效果,在大业务量汇集时有着相对较好的分组投递率。
需要说明的是,上述实施例不以任何形式限制本发明,凡采用等 同替换或等效变换的方式所获得的技术方案,均落在本发明的保护范 围内。

Claims (1)

1.基于父节点可控路由算法定位DoS攻击源的方法,其特征在于,包括两大步骤:
一、通过包概率标记技术,发现可疑链路
通过提取被标记攻击数据包携带的路由器节点标识信息,直接将攻击源定位至攻击源接入的路由节点,通过反向查找路由节点的地址映射链表,锁定可疑链路;
二、结合父节点可控路由算法,精确定位攻击源
查找路由搜索树,检测可疑链路是否为唯一终端节点,如果是,则该终端节点为攻击源节点;如果不是,则增大该终端节点父节点选择成本,使其子路向邻近路由扩散,在新的路由关系下,通过包概率标记技术,确定可疑支路,直至可疑支路为唯一终端节点,即攻击源节点。
CN201710266894.2A 2017-06-28 2017-06-28 基于父节点可控路由算法定位DoS攻击源的方法 Pending CN107026867A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710266894.2A CN107026867A (zh) 2017-06-28 2017-06-28 基于父节点可控路由算法定位DoS攻击源的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710266894.2A CN107026867A (zh) 2017-06-28 2017-06-28 基于父节点可控路由算法定位DoS攻击源的方法

Publications (1)

Publication Number Publication Date
CN107026867A true CN107026867A (zh) 2017-08-08

Family

ID=59526585

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710266894.2A Pending CN107026867A (zh) 2017-06-28 2017-06-28 基于父节点可控路由算法定位DoS攻击源的方法

Country Status (1)

Country Link
CN (1) CN107026867A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112272178A (zh) * 2020-10-23 2021-01-26 西安电子科技大学 基于动态概率双域包标记的攻击数据包溯源方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777182A (zh) * 2005-12-06 2006-05-24 南京邮电大学 一种基于洪泛攻击的高效、安全追踪方案
CN102801727A (zh) * 2012-08-13 2012-11-28 常州大学 一种基于自治域系统的DDoS攻击追踪方法
CN103249177A (zh) * 2012-08-13 2013-08-14 常州大学 一种无线传感器网络中DDoS攻击的追踪方法
US9479532B1 (en) * 2013-07-16 2016-10-25 Go Daddy Operating Company, LLC Mitigating denial of service attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777182A (zh) * 2005-12-06 2006-05-24 南京邮电大学 一种基于洪泛攻击的高效、安全追踪方案
CN102801727A (zh) * 2012-08-13 2012-11-28 常州大学 一种基于自治域系统的DDoS攻击追踪方法
CN103249177A (zh) * 2012-08-13 2013-08-14 常州大学 一种无线传感器网络中DDoS攻击的追踪方法
US9479532B1 (en) * 2013-07-16 2016-10-25 Go Daddy Operating Company, LLC Mitigating denial of service attacks

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112272178A (zh) * 2020-10-23 2021-01-26 西安电子科技大学 基于动态概率双域包标记的攻击数据包溯源方法及系统

Similar Documents

Publication Publication Date Title
Yasin et al. Detecting and isolating black-hole attacks in MANET using timer based baited technique
CN104660582B (zh) DDoS识别、防护和路径优化的软件定义的网络架构
CN105516184B (zh) 一种基于增量部署sdn网络的链路洪泛攻击的防御方法
CN108063765A (zh) 适于解决网络安全的sdn系统
Karthigha et al. A comprehensive survey of routing attacks in wireless mobile ad hoc networks
CN101848461B (zh) 一种认知Mesh网络中安全路由及信道分配方法
Kumar et al. An empirical critique of on-demand routing protocols against rushing attack in MANET
Behzad et al. Defense against the attacks of the black hole, gray hole and wormhole in MANETs based on RTT and PFT
Patidar et al. Modification in routing mechanism of AODV for defending blackhole and wormhole attacks
CN109639588A (zh) 一种面向航空集群的网络拥塞控制路由方法
Srinivasan Detection of Black Hole Attack Using Honeypot Agent-Based Scheme with Deep Learning Technique on MANET.
Arora et al. Detection and analysis of black hole attack using IDS
Sinha Impact of DoS attack in IoT system and identifying the attacker location for interference attacks
Das et al. Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics
Gurung et al. Mitigating impact of blackhole attack in MANET
CN107026867A (zh) 基于父节点可控路由算法定位DoS攻击源的方法
Alsumayt et al. A survey of the mitigation methods against dos attacks on manets
CN109787996B (zh) 雾计算中一种基于dql算法的伪装攻击检测方法
Narayanan et al. Secure AODV to combat black hole attack in MANET
Annamalai et al. Secured system against DDoS attack in mobile adhoc network
Jeevamaheswari et al. AODV routing protocol to defence against packet dropping gray hole attack In MANET
Reddy et al. Cross-layer IDS for rushing attack in wireless mesh networks
Kumar et al. Secure route discovery in AODV in presence of blackhole attack
Mughaid et al. Simulation and analysis performance of ad-hoc routing protocols under DDoS attack and proposed solution
Chandure et al. Simulation of secure AODV in GRAY hole attack for mobile ad-hoc network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170808