CN108882282A

CN108882282A - 一种针对SDWSNs中新流攻击的检测和响应方法

Info

Publication number: CN108882282A
Application number: CN201810771618.6A
Authority: CN
Inventors: 贾智平; 王天雨; 王睿; 张志勇
Original assignee: Shandong University
Current assignee: Shandong University
Priority date: 2018-07-13
Filing date: 2018-07-13
Publication date: 2018-11-23

Abstract

本发明公开了一种针对软件定义无线传感网络中新流攻击的检测和响应方法，所述网络中流表被划分为访问控制流表、普通流表、新流请求表；基于所述新流请求表对每个周期内由邻居节点引发的新流请求进行计数；传感器节点基于所述新流请求表检测新流请求异常的邻居节点，并将针对所述邻居节点的控告报文发送至控制器；所述控制器判断所述邻居节点是否为恶意节点；若是，对所述恶意节点进行全网广播；访问控制流表用于在接收到有关恶意节点的广播后，创建针对源节点或目的节点为所述恶意节点的数据的访问控制表项。本发明能够从源头处检测及隔离攻击节点减小了网络中恶意报文数量，较少了网络能量消耗和负载。

Description

一种针对SDWSNs中新流攻击的检测和响应方法

技术领域

本发明涉及无线传感网络(Wireless Sensor Networks，WSNs)领域，尤其涉及一种针对软件定义无线传感网络(Software-Defined Wireless Sensor Networks，SDWSNs)中新流攻击的检测和响应方法。

背景技术

无线传感网络(Wireless Sensor Networks，WSNs)是由一些具有路由与感知功能的终端设备，通过无线链路构成的自组织、多跳、分布式网络，用以实现数据采集、传输与处理等功能。近十年来，WSNs已经得到学术界与工业界的广泛关注，并且在医疗卫生、军事、抢险救灾等领域得到了广泛的应用。然而，当前WSNs主要针对某一特定需求场景进行设计，存在部署开销过大、资源重复利用率低、硬件可重用困难等问题。为了解决上述问题，学术界尝试将工业界新兴的软件定义网络(Software-Defined Networking，SDN)引入WSNs中，构建一种新型软件定义无线传感网络(Software-Defined Wireless Sensor Networks，SDWSNs)。

SDN起源于美国斯坦福大学，由Nick McKeown教授主导的OpenFlow概念推广而来。SDN首先在斯坦福校园网络进行试点，随后在工业界逐渐推广开来。SDN核心思想在于控制与转发分离、集中控制。SDN通过解除目前数据中心网络、企业网络存在的厂商设备锁定问题，以集中化的网络管理方式，用户可以实现灵活、自定义的网络管理策略。OpenFlow是SDN事实上的标准南向接口协议，交换机通过匹配流表实现流量处理，而流表内容则统一由控制器灵活管理，实现了控制器对交换机设备的管理工作。目前，SDN及OpenFlow已经在数据中心、广域网、校园网等场景得到应用与实践。

通过将SDN及OpenFlow的思想引入传统WSNs中，构建新型网络架构SDWSNs以及新型南向接口协议SensorFlow，能够有效的缓解传统WSNs存在的问题。相较于传统WSNs，SDWSNs集中化的管理模式使得更多的计算任务可以从能量受限的感知设备迁移到具有更强大计算能力的控制器中。所以，控制器可以实现更强大的网络应用，网络节点的负载可以相应降低。相较于传统WSNs分布式、自组织、无中心的管理方式，控制器具有整个传感网络的拓扑视图，能够更加有效的实现路由管理、拓扑管理、流量负载均衡等功能。

不幸的是SDN架构本身并不是完善的，存在一些安全问题，比如标准化、南向接口易受到攻击的情况。New-flow(新流)攻击是其中一种类型。由于SDN是集中控制的，当SDN交换机接收到新的数据报文无法处理时，会以流表请求(Packet-In)的方式将数据包封装后发送给控制器。New-flow攻击者利用这个特点，恶意伪造并发送大量的新流，导致交换机与控制器之间的链路被恶意流量占据，正常流量的处理将会受到破坏。同样基于软件定义架构的SDWSNs，也存在这类安全威胁。然而，相比于有线网络，WSNs一般都是廉价、能量、计算能力有限的节点，在野外、敌占、家庭环境中，容易受到敌人、黑客攻击，节点容易被妥协攻陷。并且，无线链路的可靠性不如有线链路，当流量过大时更容易发生拥塞状况。因此，此种New-flow攻击在SDWSNs中造成的破坏更大，将会导致控制器无法获得最新的拓扑信息，并且流表的正常请求与下发受到干扰，交换机无法正常处理网络流量。当一定数量的节点被妥协发动此类攻击之后，网络的正常运行将陷入瘫痪状态、网络中间节点的能量过早消耗殆尽，进而影响网络寿命。

当前SDWSNs的研究普遍关注于架构、应用层面，较少有涉及New-flow的攻击策略被提出，已有的攻击方案也位于控制器层面，对接收到网络底层的Packet-In请求进行分析。这种检测方式需要分析SDN交换机流量，对底层网络的攻击流量处理不够及时，导致底层网络需要处理大量垃圾报文，消耗节点能量。

发明内容

为克服上述现有技术的不足，本发明提供了一种针对软件定义无线传感网络中新流(New-flow)攻击的检测和响应方法。所述New-flow攻击快速检测与响应机制旨在通过利用传感节点的信任计算能力，建立相应的轻量级攻击检测模型，从源端处检测New-flow攻击节点，利用SDWSNs集中控制优势快速实现恶意节点的隔离。

为实现上述目的，本发明采用如下技术方案：

一种针对软件定义无线传感网络的新流攻击检测方法，流表包括新流请求表；所述方法包括以下步骤：

传感器节点接收邻居节点发送的数据报文，检验其合法性，若不合法，则丢弃该数据；

若合法，且该数据报文在流表中没有匹配项，则所述传感器节点向控制器发送流表请求，同时，新流请求表中新流量请求计数加1；

每个检测周期结束后，各传感器节点计算其每个邻居节点的新流请求信任值；

若某个邻居节点的新流请求信任值低于一定阈值，则向其发送警告过量发送的报文。

进一步地，所述新流请求信任值的计算方法为：

其中，PT_ij(t)表示传感器节点i的邻居节点j在当前周期Δt结束时，即t时刻计算得到的新流请求信任值，invl_j表示新流请求表中待计算邻居节点对应的新流请求计数值；F_τ每个检测周期内一个传感器节点所能发送的最大新流个数。

进一步地，若发送警告过量发送的报文后一段时间内，监听到所述邻居节点仍然发送新流请求，则所述传感器节点向控制器发送针对该邻居节点的控告报文。

一个或多个实施例提供了一种针对软件定义无线传感网络中新流攻击的响应方法，流表包括访问控制流表，所述方法包括以下步骤：

控制器接收传感器节点发送的针对某邻居节点的控告报文；

判断所述邻居节点是否为恶意节点；

若是，对所述恶意节点进行全网广播；

所述恶意节点的邻居节点接收到所述广播后，在自身的访问控制流表中增加两条流表项，分别表示对于源节点为所述恶意节点的、以及目的节点为所述恶意节点的数据的访问控制。

进一步地，判断所述邻居节点是否为恶意节点的方法为：

统计控制链路收到的以所述邻居节点为源节点的请求包数目，若所述数目大于一定流量阈值，则所述邻居节点为潜在攻击节点；

获取当前检测周期内收到的针对所述邻居节点的控告报文数目，若所述数目占其邻居节点数目的比重超过一定控告阈值，则所述邻居节点为恶意节点。

进一步地，所述新流阈值为每个检测周期内一个传感器节点所能发送的最大新流个数。

进一步地，所述全网广播报文中包含所述控制器的签名信息。

进一步地，网络中传感器节点接收到所述广播后，判断是否为第一次收到，若是，则进行转发处理。

进一步地，所述访问控制为对源节点为所述恶意节点的、以及目的节点为所述恶意节点的数据进行丢包处理。

一个或多个实施例提供了一种软件定义无线传感网络，控制器、汇聚节点和多个传感器节点，流表被划分为访问控制流表、普通流表、新流请求表；

基于所述新流请求表对每个周期内由邻居节点引发的新流请求进行计数；

传感器节点基于所述新流请求表检测新流请求异常的邻居节点，并将针对所述邻居节点的控告报文发送至控制器；

所述控制器判断所述邻居节点是否为恶意节点；若是，对所述恶意节点进行全网广播；

访问控制流表用于在接收到有关恶意节点的广播后，创建针对源节点或目的节点为所述恶意节点的数据的访问控制表项。

本发明的有益效果

1、本发明将流表划分为新流请求表，访问控制表，普通流表。传感器节点首先基于新流请求表来记录邻居节点的新流发送行为，根据新流信任计算模型识别新流请求异常的邻居节点，报送至控制器。控制器判断是否为恶意节点，对恶意节点进行全网广播，所述恶意节点的邻居节点接收到广播后在访问控制表中创建针对所述恶意节点的访问控制表项，实现对恶意节点的有效检测与响应。

2、本发明提出的New-flow快速检测与响应方法，通过利用传感节点的信任计算能力，建立相应的轻量级攻击检测模型，从源端处检测New-flow攻击节点，利用SDWSNs集中控制优势快速实现恶意节点的隔离。

附图说明

构成本申请的一部分的说明书附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。

图1为实施例中采用的SDWSNs/SensorFlow网络框架、部署样例；

图2为实施例中采用的SDWSNs中New-flow攻击举例；

图3为实施例中采用的SDWSNs拓扑举例；

图4为实施例中扩展的SensorFlow(流表项以图3中节点E视角)；

图5为实施例中的控告报文信息；

图6为实施例中针对软件定义无线传感网络中新流攻击的检测和响应方法流程图；

图7为实施例中新流表计数流程图；

图8为实施例中快速检测流程图；

图9为实施例中快速响应流程图。

具体实施方式

应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

实施例一

本图所采用的网络拓扑结构如图1所示，网络中涉及SDWSNs传感器节点、汇聚节点(Sink Node)、控制器(Controller)、南向接口协议SensorFlow。底层传感节点依据流表转发报文信息，数据由汇聚节点通过有线链路传输至控制器；控制器通过SensorFlow控制底层转发节点。

New-flow攻击举例如图2所示，为了便于理解本文采用简单的网络拓扑如图3所示，本机制所采用符号及其描述见表1内容，本发明具体的实施方式介绍如下：

表1快速检测与响应机制中各符号及描述

将流表划分为访问控制流表(Access Control Flow Table)、普通流表(FlowTable)、新流请求表(Packet-In Table)三类。

其中，普通流表以正常SDN的方式处理流量；

新流请求表是针对每个邻居节点设立的计数表，用来对每个周期Δt内，由邻居节点引发的新流请求进行计数。主要是扩展Counter字段，加入了Interval字段；

访问控制流表用以实现对New-flow攻击者的隔离，主要根据匹配源地址或者目的地址是否是恶意节点进行处理，如果是则进行丢包处理。

基于密码学的传统安全策略可以识别节点伪造身份的数据包，然而却无法阻挡妥协的New-flow攻击者利用其合法身份发出的新流量攻击。为此，针对后一种情况，本实施例提供了一种基于新流请求表的新流量攻击检测方法，具体包括以下步骤：

步骤1：对每个周期Δt内，由邻居节点引发的流量请求数目进行计数；当一个SDWSNs节点N_i收到源自其邻居节点N_j数据报文后，必要时利用密码学机制进行检验，如果N_j的个人信息是伪造的，则丢弃该数据包。

步骤2：如果这是条合法数据包，并且该数据报文在流表中没有匹配项，则会触发N_i的流表请求行为，则N_i同时对新流请求表中Counter字段中，N_j对应的Interval加1操作。

步骤3：每个检测周期Δt结束后，每个节点计算每个邻居节点的新流请求信任值PT_ij(t)。以节点N_i对其邻居节点N_j评估为例，其计算过程如下：

获取新流请求表中，邻居节点N_j对应的Interval的值invl_j；

新流请求信任值PT_ij(t)计算公式如下：

完成计算后，新流请求表中每个Interval数据会进行清零处理。

步骤4：如果PT_ij(t)<1时，每个节点会认为该邻居节点存在过量发送的可能性，则节点会进行如下处理：

为了避免误报并起到警示作用，节点N_i对其邻居节点N_j发送一个警告报文，警告其过量发送行为；

随后，监听一段时间，如果邻居节点N_j仍持续进行发送，则进行如下步骤：

节点N_i立即发送一个对该邻居的控告报文到控制器，控告其邻居节点N_j可能为New-flow攻击者。控告报文的格式如图5所示，斜体字段标明该邻居节点N_j的新流请求信任值PT_ij(t)以及收到新流报文的个数。

在此基础上，本实施例提供了一种基于新流请求表的新流量攻击响应方法，具体包括以下步骤：

步骤5：控制器如果收到节点N_i对邻居节点N_j的控告信息，会利用全局拓扑信息G＝(V,E)，进行快速响应机制，以应对此种威胁：

当控制链路收到以节点N_j为源节点的请求包数目大于等于F_τ，则断定节点N_j为潜在攻击节点。

获取其邻居节点的个数Nb(i)，若当前收到控告数目满足

ACC_j(t)≥λNb(i)

则意味着一定比例的邻居节点都在进行控告，则认定该节点为恶意节点

步骤6：控制器则对N_j进行全网广播，标记N_j为New-flow攻击者。

全网广播立即发出，并包含有控制器的签名信息，以防篡改。每个节点收到该广播之后，如果是第一次收到该广播则进行转发处理。

当N_j的邻居节点收到广播之后，会在自己的访问控制流表建立两条相应的流表项到访问控制流表中，以隔绝攻击流量。其流表格式为

<src_addr＝'N_j',action＝'Drop'>

以及

<dst_addr＝'N_j',action＝'Drop'>

无论是来自恶意节点的、还是发往恶意的任意类型数据包都将进行丢包处理。所以，网络中间节点不会再对恶意流量进行转发，最终实现了快速的源端检测与隔离，节约了网络中间节点能量，延长网络寿命。

本发明的有益效果

1、本发明将流表划分为新流请求表,访问控制表和普通流表。传感器节点首先基于新流请求表来记录邻居节点的新流发送行为，根据新流信任计算模型识别新流请求异常的邻居节点，报送至控制器。控制器判断是否为恶意节点，对恶意节点进行全网广播，所述恶意节点的邻居节点接收到广播后在访问控制表中创建针对所述恶意节点的访问控制表项，实现对恶意节点的有效检测与响应。

本领域技术人员应该明白，上述本发明的各模块或各步骤可以用通用的计算机装置来实现，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。本发明不限制于任何特定的硬件和软件的结合。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims

1.一种针对软件定义无线传感网络的新流攻击检测方法，其特征在于，流表包括新流请求表；所述方法包括以下步骤：

2.如权利要求1所述的一种针对软件定义无线传感网络的新流攻击检测方法，其特征在于，所述新流请求信任值的计算方法为：

3.如权利要求1所述的一种针对软件定义无线传感网络的新流攻击检测方法，其特征在于，若发送警告过量发送的报文后一段时间内，监听到所述邻居节点仍然发送新流请求，则所述传感器节点向控制器发送针对该邻居节点的控告报文。

4.一种针对软件定义无线传感网络的新流攻击响应方法，其特征在于，流表包括访问控制流表，所述方法包括以下步骤：

控制器接收传感器节点发送的针对某邻居节点的控告报文；

判断所述邻居节点是否为恶意节点；

若是，对所述恶意节点进行全网广播；

5.如权利要求4所述的一种针对软件定义无线传感网络的新流攻击检测方法，其特征在于，判断所述邻居节点是否为恶意节点的方法为：

6.如权利要求5所述的一种针对软件定义无线传感网络的新流攻击检测方法，其特征在于，所述新流阈值为每个检测周期内一个传感器节点所能发送的最大新流个数。

7.如权利要求4所述的一种针对软件定义无线传感网络的新流攻击检测方法，其特征在于，所述全网广播报文中包含所述控制器的签名信息。

8.如权利要求4所述的一种针对软件定义无线传感网络的新流攻击检测方法，其特征在于，网络中传感器节点接收到所述广播后，判断是否为第一次收到，若是，则进行转发处理。

9.如权利要求4所述的一种针对软件定义无线传感网络的新流攻击检测方法，其特征在于，所述访问控制为对源节点为所述恶意节点的、以及目的节点为所述恶意节点的数据进行丢包处理。

10.一种软件定义无线传感网络，控制器、汇聚节点和多个传感器节点，其特征在于，流表被划分为访问控制流表、普通流表、新流请求表；

所述控制器判断邻居节点是否为恶意节点；若是，对所述恶意节点进行全网广播；