專利名稱:無線自組織網(wǎng)絡(luò)入侵檢測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的入侵檢測方法��,具體是一種無線自組織 網(wǎng)絡(luò)入侵檢測方法��。
背景技術(shù):
無線自組織網(wǎng)絡(luò)作為一種新型的移動多跳無線網(wǎng)絡(luò)�����,與傳統(tǒng)的無線網(wǎng)絡(luò)有許 多不同的特點。它不依賴于任何固定的基礎(chǔ)設(shè)施和管理中心���,而是通過移動節(jié)點 間的相互協(xié)作和自我組織來保持網(wǎng)絡(luò)的連接���,同時實現(xiàn)數(shù)據(jù)的傳遞。與固定有線 網(wǎng)絡(luò)相比��,無線自組織網(wǎng)絡(luò)面臨更多的安全威脅�����。為了保障無線自組織網(wǎng)絡(luò)的安 全����,至今已經(jīng)提出了許多安全解決方案。但這些安全方案主要集中于密鑰的分配 與認(rèn)證���、路由安全算法兩個方面。這些措施用于無線自組織網(wǎng)絡(luò)之中����,能夠發(fā)揮 一定的安全防范作用��。但是����,由于無線自組織網(wǎng)絡(luò)中節(jié)點可任意移動�����,當(dāng)網(wǎng)絡(luò)處 于敵對的環(huán)境時���,節(jié)點可能被截獲而泄露密鑰�����,敵方節(jié)點可持密鑰冒充合法節(jié)點 加入網(wǎng)絡(luò)進(jìn)行攻擊���。此時,因為攻擊者擁有合法的密鑰�,加密和認(rèn)證技術(shù)都已經(jīng) 失效,只有通過入侵檢測才能發(fā)現(xiàn)并清除入侵者��。此外����,網(wǎng)絡(luò)安全的發(fā)展史告訴 我們���,任何入侵阻止方案都不可能完全阻擋外界的攻擊,總有這樣或那樣的漏洞���, 因此����,入侵檢測就應(yīng)該成為入侵阻止方案后的第二道防火墻�����。無線自組織網(wǎng)絡(luò)由 于節(jié)點自組織無中心管理節(jié)點����,使得其入侵檢測方案的設(shè)計成為一個難點。
經(jīng)對現(xiàn)有技術(shù)的文獻(xiàn)檢索發(fā)現(xiàn)��,Yongguang Zhang & Wenke Lee發(fā)表于 《ACM/Kluwer Wireless Networks Journal (ACM WINET)����, Vol. 9, No. 5 (S印tember 2003)》(ACM/Kluwer無線網(wǎng)絡(luò)期刊第九巻第五期)中論文"Intrusion Detection Techniques for Mobile Wireless Networks"(無線自組織網(wǎng)絡(luò)入 侵檢測技術(shù)),該文中提出了一個基于agent的分布式協(xié)作入侵檢測方案��,在該 方案中IDS agent運(yùn)行于網(wǎng)絡(luò)中每一個節(jié)點上���,擁有六大功能模塊����,分為數(shù)據(jù)收 集��、本地檢測�、合作檢測、本地入侵響應(yīng)���、全局入侵響應(yīng)���、安全通信。其過程為
首先執(zhí)行本地數(shù)據(jù)收集和檢測�����,如果本地節(jié)點能夠確定入侵已發(fā)生�,則直接告警。 如果只是懷疑有入侵行為��,本地節(jié)點能夠激發(fā)多節(jié)點的協(xié)作檢測��,進(jìn)一步是否發(fā) 生了入侵。如果確定有入侵則激發(fā)全網(wǎng)的入侵響應(yīng)����。同時提出了一個檢測路由進(jìn) 攻的異常檢測模型,通過提取正常網(wǎng)絡(luò)運(yùn)行時的數(shù)據(jù)��,進(jìn)行分類訓(xùn)練����,實現(xiàn)對路 由入侵的檢測。為了提高檢測效率�����,入侵檢測并不局限于網(wǎng)絡(luò)層��,而是多層綜合
檢領(lǐng)!l �。
經(jīng)檢索還發(fā)現(xiàn),Oleg Kachirski和Ratan Guha發(fā)表于((Proceedings of IEEE Workshop on Knowledge Media Networking (KMN���, 02)》(2002年IEEE信息媒 介網(wǎng)絡(luò)專題會議集)論文"Intrusion Detection Using Mobile Agents in Wireless Ad Hoc Networks"(無線自組織網(wǎng)絡(luò)中使用移動代理的入侵檢測)中 提出了基于移動agent的入侵檢測方案�,每個節(jié)點都有agent,過于占用網(wǎng)絡(luò)資 源�,為了節(jié)省資源,其算法只是在某些節(jié)點上駐留有監(jiān)視網(wǎng)絡(luò)的agent,并且 agent的數(shù)量可按要求進(jìn)行增減���。雖然上述論文提供了一個用于實施入侵檢測的 起點����,但大多數(shù)對于入侵檢測實施方式的有關(guān)的細(xì)節(jié)仍然沒有確定��。也就是說���, 目前多數(shù)有關(guān)無線自組織網(wǎng)絡(luò)入侵檢測方面的論文只是提供一個架構(gòu)���,對于具體 如何實現(xiàn)檢測尚未確定。
發(fā)明內(nèi)容
本發(fā)明的目的是針對上述現(xiàn)有技術(shù)的不足����,提出了一種無線自組織網(wǎng)絡(luò)入侵
檢測方法,使其將整個網(wǎng)絡(luò)分為子區(qū)域�,每一區(qū)域隨機(jī)選出簇頭擔(dān)任監(jiān)視節(jié)點,
負(fù)責(zé)本區(qū)域的入侵檢測���。另外���,按照無線自組織網(wǎng)絡(luò)路由協(xié)議構(gòu)筑節(jié)點正常行為
和入侵行為的有限狀態(tài)機(jī),監(jiān)視節(jié)點收集其鄰居節(jié)點的行為信息�����,利用有限狀態(tài)
機(jī)分析節(jié)點的行為,發(fā)現(xiàn)入侵者���。本發(fā)明的特點是分布式合作入侵檢測�,不需要
事先進(jìn)行數(shù)據(jù)訓(xùn)練并能夠?qū)崟r檢測入侵行為����。
本發(fā)明是通過如下技術(shù)方案實現(xiàn)的,本發(fā)明包括如下歩驟
步驟一�,在無線自組織網(wǎng)絡(luò)中,節(jié)點的資源是非常有限的�,將整個自組織網(wǎng)
絡(luò)劃分為若干個區(qū)域,每個區(qū)域選出一個簇頭作為監(jiān)視節(jié)點負(fù)責(zé)整個區(qū)域入侵檢
測�,該簇頭收集整個區(qū)域內(nèi)的節(jié)點的行為信息;
歩驟二����,將無線自組織網(wǎng)絡(luò)的路由協(xié)議形成有限狀態(tài)機(jī),然后利用有限狀態(tài)
機(jī)根據(jù)簇頭收集到的行為信息判斷無線自組織網(wǎng)絡(luò)每一個節(jié)點的行為����,如果節(jié)點
的行為不符合有限狀態(tài)機(jī)的行為,則認(rèn)為該節(jié)點的行為是攻擊行為����,否則����,有限 狀態(tài)機(jī)進(jìn)入終止?fàn)顟B(tài)�。
所述選出一個簇頭作為監(jiān)視節(jié)點,包括兩個階段選舉階段和維持階段�����,其
中
在選舉階段�,隨機(jī)而競爭性地選出監(jiān)視節(jié)點�,起始時,整個網(wǎng)絡(luò)沒有一個監(jiān) 視節(jié)點����,在一段時間內(nèi)如果沒有任何監(jiān)視節(jié)點的信息����,任一節(jié)點廣播一份告示報 文宣稱自己是監(jiān)視節(jié)點,任何收到此告示報文節(jié)點就成為被監(jiān)視節(jié)點����,告示報文 只能在一跳范圍內(nèi)傳播���,不能被轉(zhuǎn)發(fā);
當(dāng)區(qū)域內(nèi)選舉出一個監(jiān)視節(jié)點后�����,就進(jìn)入了維持階段��,監(jiān)視節(jié)點周期性地廣 播告示報文,以維持其監(jiān)視節(jié)點的地位���,監(jiān)視節(jié)點服務(wù)時間到了后��,就重新啟動 一個新的選舉過程,為了保證公平和隨機(jī)性��,上一屆的監(jiān)視節(jié)點將不能參加下一 屆監(jiān)視節(jié)點的選舉����,除非整個區(qū)域只有它一個節(jié)點存在。
所述監(jiān)視節(jié)點��,其能收到告示報文,所發(fā)出的報文也能由被監(jiān)視節(jié)點收到���, 監(jiān)視節(jié)點能夠監(jiān)視告示報文傳播范圍內(nèi)所有節(jié)點的行為。
所述路由協(xié)議�,為動態(tài)源路由協(xié)議(DSR),在動態(tài)源路由協(xié)議中���,節(jié)點能夠 收到并處理四種類型的報文路由查詢報文��、路由回答報文、路由出錯報文和數(shù) 據(jù)報文��。
所述判斷無線自組織網(wǎng)絡(luò)每一個節(jié)點的行為����,是指
如果有限狀態(tài)機(jī)收到的報文是被監(jiān)視節(jié)點為源節(jié)點的報文,有限狀態(tài)機(jī)直接
終止��;
如果發(fā)出報文的節(jié)點是中間節(jié)點��,它只是轉(zhuǎn)發(fā)報文���,因為節(jié)點接收報文時�����, 不在監(jiān)視節(jié)點的區(qū)域內(nèi)���,轉(zhuǎn)發(fā)時節(jié)點移動進(jìn)入監(jiān)視節(jié)點的范圍內(nèi)���,所以只看到節(jié) 點發(fā)出了報文,此時監(jiān)視節(jié)點等待鄰居監(jiān)視節(jié)點査詢����,如果有鄰居監(jiān)視節(jié)點查詢, 則將報文信息發(fā)來鄰居監(jiān)視節(jié)點�����,有限狀態(tài)機(jī)進(jìn)入終止?fàn)顟B(tài)�;如果沒有鄰居監(jiān)視 節(jié)點查詢,說明沒有節(jié)點發(fā)送過此報文���,是節(jié)點編造了此報文����,有限狀態(tài)機(jī)發(fā)出 編造告警�;
如果發(fā)出報文的節(jié)點不在報文地址列表中����,就是說節(jié)點與報文沒有任何關(guān) 系���,但它又發(fā)出該報文����,即節(jié)點假冒其它節(jié)點發(fā)送了這份報文����,有限狀態(tài)機(jī)發(fā)出
假冒告警。
與現(xiàn)有技術(shù)相比��,本發(fā)明具有如下有益效果
1����、 基于簇頭分布式合作的入侵檢測���,每個節(jié)點負(fù)責(zé)節(jié)點信息收集���,簇頭負(fù) 責(zé)入侵檢測的計算,因為不需要所有節(jié)點參與入侵檢測的計算��,所以可以大大減 少節(jié)點資源的消耗,同時也保證入侵檢測信息收集的完整全面����;
2、 基于規(guī)范的入侵檢測算法����,將路由協(xié)議規(guī)范形成有限狀態(tài)機(jī),能夠?qū)崟r 檢測入侵行為�����。
圖1是本發(fā)明監(jiān)視節(jié)點及監(jiān)視區(qū)域示意圖2是節(jié)點收到路由查詢報文后處理過程的有限狀態(tài)機(jī)���;
圖3是節(jié)點收到路由回答報文�����、路由出錯����、數(shù)據(jù)報文時處理過程的有限狀態(tài)
機(jī)����;
圖4是節(jié)點發(fā)送報文后處理過程的有限狀態(tài)機(jī)的工作流程圖���。
具體實施例方式
下面結(jié)合附圖對本發(fā)明的實施例作詳細(xì)說明本實施例在以本發(fā)明技術(shù)方案 為前提下進(jìn)行實施,給出了詳細(xì)的實施方式和具體的操作過程�����,但本發(fā)明的保護(hù) 范圍不限于下述的實施例�����。
本實施例包括如下步驟
歩驟一�,基于簇頭的分布式合作的入侵檢測在無線自組織網(wǎng)絡(luò)中,節(jié)點的 資源是非常有限的����,將整個自組織網(wǎng)絡(luò)劃分為若干個區(qū)域,每個區(qū)域通過自由競 爭性選舉方法選出一個簇頭�����,作為監(jiān)視節(jié)點負(fù)責(zé)整個區(qū)域入侵檢測��,該簇頭收集 整個區(qū)域內(nèi)的節(jié)點的行為信息�����,并按路由規(guī)范形成的有限狀態(tài)機(jī)進(jìn)行分析�����,確定 入侵行為���;
所述如何選出一個簇頭作為監(jiān)視節(jié)點���,包括兩個階段選舉階段和維持階段, 在選舉階段�,隨機(jī)而競爭性地選出監(jiān)視節(jié)點,起始時��,整個網(wǎng)絡(luò)沒有一個監(jiān)視節(jié) 點�����,在一段時間內(nèi)如果沒有任何監(jiān)視節(jié)點的信息��,任一節(jié)點可以廣播一份告示宣 稱自己是監(jiān)視節(jié)點��,任何收到此告示節(jié)點就成為被監(jiān)視節(jié)點�����,不能再發(fā)告示,告 示只能在一跳范圍內(nèi)傳播����,不能被轉(zhuǎn)發(fā)。因為通信是雙向的����,某個節(jié)點能收到告 示,那么它所發(fā)出的告示也能被監(jiān)視節(jié)點收到����,所以監(jiān)視節(jié)點能夠監(jiān)視告示傳播 范圍內(nèi)的節(jié)點行為。當(dāng)區(qū)域內(nèi)選舉出一個監(jiān)視節(jié)點后�����,就進(jìn)入了維持階段���,監(jiān)視
節(jié)點周期性地廣播告示�,以維持其監(jiān)視節(jié)點的地位�。監(jiān)視節(jié)點服務(wù)時間到了后, 就重新啟動一個新的選舉過程����,為了保證公平和隨機(jī)性,上一屆的監(jiān)視節(jié)點將不 能參加下一屆監(jiān)視節(jié)點的選舉�����,除非整個區(qū)域只有它一個節(jié)點存在�����。如圖1所示�, 為三個監(jiān)視節(jié)點及其監(jiān)視區(qū)域分布。
監(jiān)視節(jié)點的選舉是公平而又隨機(jī)的����。所謂公平性,即每個節(jié)點都能夠有公平 的機(jī)會選為監(jiān)視節(jié)點��,同時每個節(jié)點有相同的服務(wù)時間�。公平性意味著選舉的隨 機(jī)性。每個監(jiān)視節(jié)點相同的服務(wù)時間要求周期性地重新選舉新的監(jiān)視節(jié)點�。隨機(jī) 地選舉和周期性地更換監(jiān)視節(jié)點,保證了檢測的安全性���。如果有某個節(jié)點是入侵 者�,又被選舉為監(jiān)視節(jié)點,那么在其作為監(jiān)視節(jié)點的期間可以攻擊網(wǎng)絡(luò)而不被發(fā) 現(xiàn)����,因為它是這個區(qū)域內(nèi)的唯一入侵檢測點。但它的監(jiān)視服務(wù)時間結(jié)束后����,又會 選出新的監(jiān)視節(jié)點,此時就會發(fā)現(xiàn)入侵者��。
無線自組織網(wǎng)絡(luò)中節(jié)點可任意移動�,監(jiān)視節(jié)點和被監(jiān)視節(jié)點都可能移動而離 開原來的區(qū)域,如果一個節(jié)點在一時間內(nèi)收不到告示報文���,它就可以啟動一個選 舉過程�,發(fā)出告示����,宣稱自己是監(jiān)視節(jié)點。如果兩個監(jiān)視節(jié)點靠近相互收到了告 示�����,就比較它們的ID����, ID較小的節(jié)點繼續(xù)保持為監(jiān)視節(jié)點���,另外一個就轉(zhuǎn)變?yōu)?被監(jiān)視節(jié)點����。
步驟二,基于有限狀態(tài)機(jī)的入侵檢測算法將按路由協(xié)議的規(guī)范形成有限狀 態(tài)機(jī)���,監(jiān)視節(jié)點使用有限狀態(tài)機(jī)來分析監(jiān)視區(qū)域內(nèi)被監(jiān)視節(jié)點的行為是否符合路 由規(guī)范�,如果不符合有限狀態(tài)機(jī)的行為則認(rèn)為是攻擊行為���。
本實施例中的路由協(xié)議使用DSR (The dynamic source routing protocol, 動態(tài)源路由協(xié)議)�����,實際應(yīng)用不限于此����。
在DSR路由協(xié)議中����,節(jié)點可能收到并處理四種類型的報文路由查詢報文�����、 路由回答報文���、路由出錯報文和數(shù)據(jù)報文。
對于路由査詢報文����,按DSR路由規(guī)范形成有限狀態(tài)機(jī),如圖2所示���,起始狀 態(tài)是l��,當(dāng)節(jié)點收到報文轉(zhuǎn)向狀態(tài)2�����。如果收到的報文是路由查詢報文�,進(jìn)入狀 態(tài)3��。如果該節(jié)點產(chǎn)生了路由回答報文���,則進(jìn)入狀態(tài)4��,接下來對路由回答報文 按DSR路由規(guī)范進(jìn)行檢查��,如果是正常的�����,則達(dá)到狀態(tài)7�,有限狀態(tài)機(jī)正常結(jié)束�����。 如果報文有些字段被非法修改了��,則發(fā)出非法修改告警���。在狀態(tài)3時�,如果收到 的是以前收到過的路由查詢報文�,則直接拋棄報文進(jìn)入終止?fàn)顟B(tài)7。如果轉(zhuǎn)發(fā)路
由查詢報文則進(jìn)入狀態(tài)5����,接下來對轉(zhuǎn)發(fā)的路由查詢報文按DSR路由規(guī)范進(jìn)行檢 査,如果修改了一些不能變化的字段��,則發(fā)出非法修改告警,否則進(jìn)入終止?fàn)顟B(tài) 7�����。如果在狀態(tài)3超過一定時間沒有動作����,這時有可能是節(jié)點移動離開了監(jiān)視區(qū) 域,監(jiān)視節(jié)點不能收到節(jié)點所轉(zhuǎn)發(fā)的路由報文����,所以向周圍監(jiān)視節(jié)點發(fā)出詢問, 是否收到該節(jié)點的轉(zhuǎn)發(fā)報文����,如果鄰居監(jiān)視節(jié)點收到,則狀態(tài)轉(zhuǎn)向8�,是路由査 詢報文將報文信息發(fā)到監(jiān)視節(jié)點,轉(zhuǎn)到狀態(tài)5進(jìn)行比較�,是路由回答報文將報文 信息發(fā)到監(jiān)視節(jié)點,轉(zhuǎn)到狀態(tài)4進(jìn)行比較��。如果鄰居節(jié)點未收到報文����,說明該節(jié) 點不參與路由轉(zhuǎn)發(fā)�����,則發(fā)出拋棄報文告警�����。
對于路由回答報文��、路由出錯����、數(shù)據(jù)報文三種報文的處理過程是同樣的���,可 以采用相同的有限狀態(tài)機(jī)進(jìn)行分析處理,如圖3所示����。起始狀態(tài)是l,當(dāng)節(jié)點收 到報文轉(zhuǎn)向狀態(tài)2���。如果收到的報文是路由回答�、路由出錯、數(shù)據(jù)報文三種報文 之一���,則進(jìn)入狀態(tài)3���,以下可別轉(zhuǎn)入三個狀態(tài),如果本節(jié)點已經(jīng)是報文目標(biāo)節(jié)點�����, 則進(jìn)入終止?fàn)顟B(tài)��。如果轉(zhuǎn)發(fā)報文��,則進(jìn)入狀態(tài)4����,在DSR路由協(xié)議中對這三種報 文是只能原樣轉(zhuǎn)發(fā)不能進(jìn)行修改的,接下來只要對照一下轉(zhuǎn)發(fā)前后的報文���,如果 有不同則發(fā)出非法修改告警��,如果相同則進(jìn)入終止?fàn)顟B(tài)����。在狀態(tài)3時,如果超時 沒有收到轉(zhuǎn)發(fā)報文�����,則向鄰居監(jiān)視節(jié)點查詢該報文信息���,進(jìn)入狀態(tài)5����,如果鄰居 監(jiān)視節(jié)點收到其發(fā)出報文�����,則將信息發(fā)來�����,進(jìn)入狀態(tài)4���,如果鄰居沒有收到則發(fā) 出拋棄報文告警。
如圖4所示��,當(dāng)監(jiān)視節(jié)點監(jiān)視某個節(jié)點A發(fā)出報文時�����,狀態(tài)是由1到2,下 面可能是下列三種情況之一
其一�,以A節(jié)點為源節(jié)點的報文,即A節(jié)點發(fā)出了這個報文���,狀態(tài)是由2到 終止?fàn)顟B(tài)��。
其二�, A節(jié)點是中間節(jié)點�����,它只是轉(zhuǎn)發(fā)報文�����,進(jìn)入狀態(tài)3���,因為節(jié)點A接收 報文時�����,不在監(jiān)視節(jié)點的區(qū)域內(nèi)����,轉(zhuǎn)發(fā)時節(jié)點移動進(jìn)入監(jiān)視節(jié)點的范圍內(nèi),所以 只看到節(jié)點A發(fā)出了報文��,此時監(jiān)視節(jié)點等待鄰居監(jiān)視節(jié)點查詢�,如果有鄰居監(jiān) 視節(jié)點查詢,則將報文信息發(fā)來鄰居監(jiān)視節(jié)點����,有限狀態(tài)機(jī)進(jìn)入終止?fàn)顟B(tài)。如果 沒有鄰居監(jiān)視節(jié)點查詢����,說明沒有節(jié)點發(fā)送過此報文,是節(jié)點A編造了此報文��, 有限狀態(tài)機(jī)發(fā)出編造告警�����。
其三���,節(jié)點A不在報文地址列表中,就是說節(jié)點A與報文沒有任何關(guān)系����,但
它又發(fā)出該報文�,即節(jié)點A假冒其它節(jié)點發(fā)送了這份報文���,有限狀態(tài)機(jī)發(fā)出假冒 告警���。
本實施例中每個節(jié)點負(fù)責(zé)節(jié)點信息收集,簇頭負(fù)責(zé)入侵檢測的計算�����,因為不 需要所有節(jié)點參與入侵檢測的計算�,所以可以大大減少節(jié)點資源的消耗,同時也 保證入侵檢測信息收集的完整全面�;同時,將路由協(xié)議規(guī)范形成有限狀態(tài)機(jī)���,能 夠?qū)崟r檢測入侵行為���。
權(quán)利要求
1、一種無線自組織網(wǎng)絡(luò)入侵檢測方法��,其特征在于��,包括如下步驟步驟一,在無線自組織網(wǎng)絡(luò)中��,將整個自組織網(wǎng)絡(luò)劃分為若干個區(qū)域�,每個區(qū)域選出一個簇頭作為監(jiān)視節(jié)點負(fù)責(zé)整個區(qū)域入侵檢測,該簇頭收集整個區(qū)域內(nèi)的被監(jiān)視節(jié)點的行為信息���;步驟二�����,將無線自組織網(wǎng)絡(luò)的路由協(xié)議形成有限狀態(tài)機(jī)��,然后利用有限狀態(tài)機(jī)根據(jù)簇頭收集到的行為信息判斷無線自組織網(wǎng)絡(luò)每一個節(jié)點的行為����,如果節(jié)點的行為不符合有限狀態(tài)機(jī)的行為�����,則認(rèn)為該節(jié)點的行為是攻擊行為����,否則,有限狀態(tài)機(jī)進(jìn)入終止?fàn)顟B(tài)。
2��、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)入侵檢測方法�,其特征是���,所述 選出一個簇頭作為監(jiān)視節(jié)點�����,包括兩個階段選舉階段和維持階段����,在選舉階段���,隨機(jī)而競爭性地選出監(jiān)視節(jié)點���,起始時,整個網(wǎng)絡(luò)沒有一個監(jiān) 視節(jié)點��,在一段時間內(nèi)如果沒有任何監(jiān)視節(jié)點的信息�,任一節(jié)點廣播一份告示報 文宣稱自己是監(jiān)視節(jié)點,任何收到此告示報文節(jié)點就成為被監(jiān)視節(jié)點�����,告示報文 只能在一跳范圍內(nèi)傳播,不能被轉(zhuǎn)發(fā)�����;當(dāng)區(qū)域內(nèi)選舉出一個監(jiān)視節(jié)點后���,就進(jìn)入了維持階段�,監(jiān)視節(jié)點周期性地廣 播告示報文�����,以維持其監(jiān)視節(jié)點的地位��,監(jiān)視節(jié)點服務(wù)時間到了后��,就重新啟動 一個新的選舉過程����,為了保證公平和隨機(jī)性,上一屆的監(jiān)視節(jié)點將不能參加下一 屆監(jiān)視節(jié)點的選舉����,除非整個區(qū)域只有它一個節(jié)點存在。
3、 根據(jù)權(quán)利要求1或2所述的無線自組織網(wǎng)絡(luò)入侵檢測方法�����,其特征是���, 所述監(jiān)視節(jié)點,其能收到告示報文�����,所發(fā)出的報文也能由被監(jiān)視節(jié)點收到��,監(jiān)視 節(jié)點能夠監(jiān)視告示報文傳播范圍內(nèi)所有節(jié)點的行為���。
4��、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)入侵檢測方法����,其特征是�,所述 路由協(xié)議,為動態(tài)源路由協(xié)議���,在動態(tài)源路由協(xié)議中���,節(jié)點能夠收到并處理四種 類型的報文路由查詢報文�����、路由回答報文��、路由出錯報文和數(shù)據(jù)報文�。
5�、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)入侵檢測方法,其特征是�,所述 判斷無線自組織網(wǎng)絡(luò)每一個節(jié)點的行為,是指如果有限狀態(tài)機(jī)收到的報文是被監(jiān)視節(jié)點為源節(jié)點的報文�����,有限狀態(tài)機(jī)直接終止���;如果發(fā)出報文的節(jié)點是中間節(jié)點����,它只是轉(zhuǎn)發(fā)報文���,因為節(jié)點接收報文時�, 不在監(jiān)視節(jié)點的區(qū)域內(nèi),轉(zhuǎn)發(fā)時節(jié)點移動進(jìn)入監(jiān)視節(jié)點的范圍內(nèi)���,所以只看到節(jié) 點發(fā)出了報文����,此時監(jiān)視節(jié)點等待鄰居監(jiān)視節(jié)點査詢���,如果有鄰居監(jiān)視節(jié)點查詢, 則將報文信息發(fā)來鄰居監(jiān)視節(jié)點��,有限狀態(tài)機(jī)進(jìn)入終止?fàn)顟B(tài)�;如果沒有鄰居監(jiān)視 節(jié)點査詢,說明沒有節(jié)點發(fā)送過此報文�,是節(jié)點編造了此報文,有限狀態(tài)機(jī)發(fā)出 編造告警��;如果發(fā)出報文的節(jié)點不在報文地址列表中����,就是說節(jié)點與報文沒有任何關(guān) 系,但它又發(fā)出該報文���,即節(jié)點假冒其它節(jié)點發(fā)送了這份報文��,有限狀態(tài)機(jī)發(fā)出 假冒告警�����。
全文摘要
一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的無線自組織網(wǎng)絡(luò)入侵檢測方法����,包括步驟一,在無線自組織網(wǎng)絡(luò)中�����,將整個自組織網(wǎng)絡(luò)劃分為若干個區(qū)域�����,每個區(qū)域選出一個簇頭作為監(jiān)視節(jié)點負(fù)責(zé)整個區(qū)域入侵檢測����,該簇頭收集整個區(qū)域內(nèi)的節(jié)點的行為信息;步驟二�,將無線自組織網(wǎng)絡(luò)的路由協(xié)議形成有限狀態(tài)機(jī),然后利用有限狀態(tài)機(jī)判斷步驟一中簇頭收集到的無線自組織網(wǎng)絡(luò)每一個節(jié)點的行為���,如果節(jié)點的行為不符合有限狀態(tài)機(jī)的行為����,則認(rèn)為該節(jié)點的行為是攻擊行為,否則����,有限狀態(tài)機(jī)進(jìn)入終止?fàn)顟B(tài)。本發(fā)明是分布式合作入侵檢測��,不需要事先進(jìn)行數(shù)據(jù)訓(xùn)練并能夠?qū)崟r檢測入侵行為�����。
文檔編號H04L12/28GK101340292SQ20081004145
公開日2009年1月7日 申請日期2008年8月7日 優(yōu)先權(quán)日2008年8月7日
發(fā)明者越 吳, 帥 張, 平 易, 李建華, 寧 柳 申請人:上海交通大學(xué)