CN108259516A - 低开销混合无线Mesh网络入侵检测方法 - Google Patents

Abstract

本发明涉及一种低开销混合无线Mesh网络入侵检测方法，该方法包括以下步骤：Mesh客户端收集自身的收包信息，以设定的压缩率采样计算活跃状态度量ASM；Mesh客户端将度量值封装进检测包，发送给Mesh网关；Mesh网关对接收到的每个Mesh客户端的数据进行处理，通过信号构建、阈值转换、稀疏处理将数据转变为可以进行压缩感知处理的稀疏测量信号；Mesh网关利用压缩感知的SAMP重建算法对稀疏测量信号进行重建，以此判断攻击的产生并做出反应对策。本发明能够以较少的测量次数保证不影响入侵检测成功率，可以减少检测带来的开销。

Description

低开销混合无线Mesh网络入侵检测方法

技术领域

本发明涉及无线Mesh网络安全领域，更具体地，本发明涉及一种混合无线Mesh网络入侵检测方法。

背景技术

混合无线Mesh网络(Wireless Mesh Network，WMN)结构完善、功能丰富且兼容性强，是未来无线网络发展的关键组网技术之一。混合WMN主要由Mesh路由器和Mesh客户端组成，其中Mesh路由器一般是静态的、不受能量限制的；而Mesh客户端通常是具有移动性的并且能量受限。混合WMN是基础设施WMN和客户端WMN的结合，其中：基础设施WMN由Mesh路由器和Mesh客户端构成，Mesh路由器构成了网络的骨架，Mesh客户端可以通过有线或无线的方式直接与之连接。一些Mesh路由器可以充当网关，并与互联网连接；客户端WMN由Mesh客户端组成，在客户端之间提供对等的连接。

由于混合WMN具有开放的传播媒介、多跳、资源受限等特性，容易受到恶意入侵，常见的有线网络或无线网络攻击都可能对其造成威胁。混合WMN受到攻击后，网络中的消息有可能被阻止、篡改、延迟或替代，新的消息也有可能插入其中。外界攻击对WMN的安全性有很大威胁，但是现有的混合WMN对于上述威胁难以完全保护，因此，对于混合WMN安全性的研究越来越得到全世界专家学者的重视。很多专家提出了对于网络攻击的防御机制，大体可以分为三大类：安全路由、入侵预防和入侵检测。

其中，安全路由和入侵预防可以归纳为对攻击的第一道防御措施，它们不能完全保障混合WMN的安全，因此入侵检测系统便成为了混合WMN必不可少的第二道防线。入侵检测系统是一个可以自动检测入侵和恶意行为的保护系统。它通过收集并分析攻击度量数据来监控系统活动，并判断是否有入侵产生。一旦网络中发生入侵，入侵检测系统可以对其进行检测并向所有Mesh节点发送警告信息，避免正常Mesh节点向恶意节点发送或转发路由信息。

现有关于混合WMN的入侵检测系统研究多数只考虑常规的性能指标，如检测率、误检率和漏检率，但是在实际应用中，用户对无线网络性能的要求日益增长，仅成功检测入侵已经不能满足用户要求，对于能量和资源有限的混合WMN，过于复杂的检测方法可能会引起较高的开销，因此设计低开销的入侵检测方法具有重要意义。

综上，通过以上研究背景可以看出，混合WMN具有广阔的发展前景，但是由于一些自身特性引起的安全性缺陷造成了阻碍其发展的原因之一，因此混合WMN中的安全性研究，尤其是其中入侵检测方法研究是发展WMN不可或缺的关键。

发明内容

本发明要解决的技术问题是提供一种低开销的混合无线Mesh网络入侵检测方法，该方法能够实现混合WMN入侵检测系统在稳定运行的同时降低检测带来的开销。

为解决上述技术问题，本发明的低开销混合无线Mesh网络入侵检测方法的步骤如下：

步骤1)Mesh客户端收集自身的收包信息，以设定的压缩率κ采样并计算活跃状态度量值ASM(Active State Metric)，60％≤κ＜100％；

步骤2)Mesh客户端将活跃状态度量值ASM封装进检测数据包并通过Mesh路由器将其发送至Mesh网关；

步骤3)Mesh网关对接收到的每个Mesh客户端的检测数据包进行处理，将检测数据包中的活跃状态度量值ASM转变为可以进行压缩感知处理的时域稀疏信号，即稀疏测量信号y；针对任一被测Mesh客户端，Mesh网关采用下述方法构建稀疏测量信号y：

(1)对Mesh客户端进行分簇处理，将Mesh客户端按照到达网关的最优路径选簇，将通过同一Mesh路由器发送检测数据包的Mesh客户端分到同一簇内；

(2)Mesh网关将检测数据包中的活跃状态度量值ASM按照检测时间序列填充到一维向量中，产生包含离散信号s_j的时域信号s，其中离散信号s_j即为采样时刻t_j的活跃状态度量值ASM_j，j∈(1,M)，M为离散序列的长度；

(3)根据式(1)生成稀疏测量信号y，y＝(y₁，y₂，…y_j…y_M)，j∈(1,M)；

式中：D-Th_j为被测Mesh客户端所在簇内所有Mesh客户端在采样时刻t_j的ASM平均值；

步骤4)Mesh网关将稀疏测量信号y输入SAMP算法，对稀疏测量信号y进行重建获得恢复信号x＝(x₁，x₂，…x_i…x_N)；该恢复信号是一个由0和1组成的N长时域信号序列，M/N＝κ；若x_i为1，则表示在相应的时刻t_i有攻击发生；若x_i为0，则表示在相应的时刻t_i没有攻击发生。

当Mesh网关根据重建后的恢复信号判断有攻击发生时可以做出相应的对策。

所述的步骤1)中，k的取值范围优选60％≤κ＜80％。

本发明的有益效果：

1、本发明采用活跃状态度量值ASM来衡量Mesh客户端节点物理层的活跃状态并检测入侵的产生。它同时考虑了节点物理层状态的转变和能量消耗。在混合WMN中，Mesh客户端和Mesh路由器均具有路由功能，当攻击发生时，恶意黑洞节点会在收包和路由请求回复等路由活动上表现得异常活跃，因此物理层状态转换频繁。同时，由于恶意黑洞节点长时间参与且独占某一区域的路由活动，能量消耗也可能要高于网络中所有Mesh节点能量消耗的平均值。结合这两个因素，当黑洞攻击发生时，ASM值也会相对较高，因此可以利用这一特性来检测恶意黑洞攻击。

2、本发明对攻击度量数据(活跃状态度量值ASM)进行压缩采样，减少测量次数从而减少检测开销。为保障压缩后的数据可以检测入侵，本发明通过合理的设置重建参数，利用压缩感知理论的思想对稀疏测量信号进行处理可以近乎完美地重建恢复信号，从而完成对攻击的检测。

3、由于网络中负载不均衡，当网络规模过大时，网络中各个区域负载情况不同，本发明中对客户端组成的无线Mesh网络进行分簇处理，将Mesh客户端按照到达网关的最优路径选簇，在对其进行测量信号稀疏构建时，动态转换阈值的每一个元素D-Th_i都是检测节点所在簇内所有节点在采样时刻的ASM平均值，用来衡量所在簇内所有Mesh节点的平均物理层活跃状态，即簇内所有节点的平均ASM值。由于一般情况下在同一个簇内节点活跃状态很可能相差不大，因此黑洞攻击的入侵会明显地区分节点间的ASM差异，由此可以减少漏检情况的产生。

4、本发明通过动态转换阈值D-Th，即簇内平均ASM值对测量信号进行阈值约束，构建稀疏测量信号。对稀疏测量信号进行重建，生成只包含数值0和1的恢复信号，该信号可以清楚的显示攻击发生的时间和次数。当检测到攻击时，攻击指示值为1，对应的时刻即为检测到的攻击发生的时间，否则攻击指示值为0，表示在相应的时刻没有攻击发生。

本发明对ASM进行设定压缩率的压缩采样，从根本上减少测量次数，大大减少了检测开销。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细说明。

图1为本发明的低开销混合无线Mesh网络入侵检测方法总体流程图；

图2为检测数据包帧结构示意图；

图3为动态转换阈值D-Th计算方法示意图；

图4为Mesh网关处理流程图。

具体实施方式

以混合WMN中随机的某一个Mesh客户端为例，如图1所示，本发明的混合WMN低开销入侵检测方法的具体步骤如下：

步骤1)Mesh客户端收集自身的收包信息，以设定的压缩率κ采样并计算活跃状态度量值ASM(Active State Metric)，60％≤κ≤80％，；活跃状态度量ASM衡量节点物理层活跃状态，其数值是判断是否有攻击产生的重要依据。在非压缩采样条件下，其数值每秒钟度量一次，计算方法如下：

式中：E_ps表示每个Mesh客户端每秒钟的能量消耗；E_ps表示所有Mesh客户端每秒钟的平均能量消耗；N_R和N_T分别表示物理层状态成功和不成功的转变为接收或传输状态的数量。

步骤2)Mesh客户端将活跃状态度量值ASM封装进检测数据包并通过Mesh路由器将其发送至Mesh网关进行下一步处理。检测数据包的帧结构如图2所示，包含消息类型、源节点、目的节点、ASM值四个字段。此帧结构主要针对按需平面距离向量路由协议(Ad hoc On-demand Distance Vector Routing，AODV)进行设计，如网络使用其它路由协议可针对具体情况进行修改。如：在本例子中，“消息类型”为检测数据包、“源节点”为发送检测数据包的Mesh客户端的IP地址、“目的节点”为Mesh网关IP地址、“ASM值”为计算的Mesh客户端当前最新ASM值。

步骤3)Mesh网关对接收到的每个Mesh客户端的检测数据包进行处理，处理流程如图4所示。通过信号构建、阈值转换、稀疏处理将检测数据包中的活跃状态度量值ASM转变为可以进行压缩感知处理的时域稀疏信号，即稀疏测量信号y；针对任一被测Mesh客户端a，Mesh网关采用下述方法构建稀疏测量信号y：

(1)对Mesh客户端进行分簇处理，将Mesh客户端按照到达网关的最优路径选簇，将通过同一Mesh路由器发送检测数据包的Mesh客户端分到同一簇内，此时客户端WMN分成簇A、簇B、簇C，Mesh客户端a属于簇A。

(2)由于Mesh网关只是从检测数据包中接收离散的活跃状态度量值ASM，它们并没有形成信号。为了突破这一瓶颈，利用Mesh网关将检测数据包中的活跃状态度量值ASM按照检测时间序列填充到一维向量中，通过这种方法可以将离散的信号s_j变换成便于处理的时域信号s，其中离散信号s_j即为采样时刻t_j的活跃状态度量值ASM_j，j∈(1,M)，M为离散序列的长度；

(3)以Mesh客户端a为例，在对其进行稀疏测量信号y构建时，门限D-Th为簇A内的平均物理层活跃状态，即簇A内所有Mesh客户端的平均ASM值。根据式(5)计算稀疏测量信号y中的元素y_j，j∈(1,M)，即可得到只包含0和1的稀疏测量信号y，y＝(y₁，y₂，…y_j…y_M)；

式中：D-Th_j为被测Mesh客户端所在簇内所有Mesh客户端在采样时刻t_j的ASM平均值；

生成的稀疏测量信号是一个只包含数值0或1的离散稀疏信号，其本身具有稀疏性，不需要让它经过复杂的稀疏变换即可满足压缩感知的要求。

步骤4)Mesh网关利用压缩感知的SAMP(Sparsity Adaptive MatchingPursuit)重建算法，对稀疏测量信号y进行重建获得恢复信号x＝(x₁，x₂，…x_i…x_N)；该恢复信号是一个由0和1组成的N长时域信号序列，M/N＝ψ；该时域信号序列已经可以清楚的显示攻击发生的时间和次数。当检测到攻击时，攻击指示值x_i为1，表示在相应的时刻t_i有攻击发生；否则攻击指示值x_i为0，表示在相应的时刻t_i没有攻击发生。

根据压缩感知理论，恢复信号可以由一组稀疏基Ψ表示，它是N×1向量因此恢复信号可以表示为：

x＝Ψb (7)

式中：是一个稀疏向量。

恢复信号x可以由M个随机线性投影组成的测量矩阵进行重建，其中M<N。压缩感知理论表明，稀疏测量信号y与恢复信号x的关系表示为：

y＝Φx＝ΦΨb (8)

Ψ＝E^N×N，其中E是一个单位阵，Φ取常用的高斯矩阵。根据SAMP算法对稀疏测量信号y进行重建获得恢复信号x＝(x₁，x₂，…x_i…x_N)。

当Mesh网关根据重建后的恢复信号判断有攻击发生时可以做出相应的对策.

最后需要说明的是，以上实施案例仅用以说明而非限制本发明的技术方案，尽管参照上述实施案例对本发明进行了详细说明，本领域的普通技术人员应当理解，依然可以对本发明进行修改或者同等替换，而不脱离本发明的精神和范围。

Claims (2)

1.一种低开销混合无线Mesh网络入侵检测方法，其特征在于包括如下步骤：

步骤1)Mesh客户端收集自身的收包信息，以设定的压缩率κ采样并计算活跃状态度量值ASM，60％≤κ＜100％；

步骤2)Mesh客户端将活跃状态度量值ASM封装进检测数据包并通过Mesh路由器将其发送至Mesh网关；

步骤3)Mesh网关对接收到的每个Mesh客户端的检测数据包进行处理，将检测数据包中的活跃状态度量值ASM转变为可以进行压缩感知处理的时域稀疏信号，即稀疏测量信号y；针对任一被测Mesh客户端，Mesh网关采用下述方法构建稀疏测量信号y：

(1)对Mesh客户端进行分簇处理，将Mesh客户端按照到达网关的最优路径选簇，将通过同一Mesh路由器发送检测数据包的Mesh客户端分到同一簇内；

(2)Mesh网关将检测数据包中的活跃状态度量值ASM按照检测时间序列填充到一维向量中，产生包含离散信号s_j的时域信号s，其中离散信号s_j即为采样时刻t_j的活跃状态度量值ASM_j，j∈(1,M)，M为离散序列的长度；

(3)根据式(1)生成稀疏测量信号y，y＝(y₁，y₂，…y_j…y_M)，j∈(1,M)；

式中：D-Th_j为被测Mesh客户端所在簇内所有Mesh客户端在采样时刻t_j的ASM平均值；

步骤4)Mesh网关将稀疏测量信号y输入SAMP算法，对稀疏测量信号y进行重建获得恢复信号x＝(x₁，x₂，…x_i…x_N)；该恢复信号是一个由0和1组成的N长时域信号序列，M/N＝κ；若x_i为1，则表示在相应的时刻t_i有攻击发生；若x_i为0，则表示在相应的时刻t_i没有攻击发生。

2.根据权利要求1所述的低开销混合无线Mesh网络入侵检测方法。其特征在于60％≤κ＜80％。