專利名稱:一種基于人工免疫的manet網(wǎng)絡(luò)攻擊檢測方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,更具體地涉及一種MANET網(wǎng)絡(luò)MAC層的網(wǎng) 絡(luò)攻擊綜合檢測方法。
背景技術(shù):
MANET是由很多自治節(jié)點(diǎn)組成的分布式系統(tǒng),由于缺乏集中的管理控制,自治節(jié)點(diǎn) 以惡意破壞或追求自身利益為目標(biāo),對網(wǎng)絡(luò)發(fā)起安全攻擊,降低網(wǎng)絡(luò)的可信性。這些攻擊主 要包括在路由層對其他節(jié)點(diǎn)產(chǎn)生的分組或不參與路由、或不轉(zhuǎn)發(fā)數(shù)據(jù);在MAC層以非法手 段搶占或干擾信道使用;在物理層肆意調(diào)整傳輸能量,以獲得更好的信噪比,或者選擇適當(dāng) 的波形來減小干擾等。其中以MAC層攻擊最為典型。這是因?yàn)镸AC層安全攻擊直接影響 到無線信道的接入、信道利用率和網(wǎng)絡(luò)整體性能;大部分無線節(jié)點(diǎn)使用相同的MAC層接入 協(xié)議-IEEE802. 11,這就使得MAC層攻擊比其他各層攻擊更有效;由于IEEE 802. 11 DCF協(xié) 議內(nèi)在的隨機(jī)本質(zhì)和無線介質(zhì)本身的不可靠性,人們很難對節(jié)點(diǎn)的攻擊行為和偶然的協(xié)議 故障進(jìn)行區(qū)分,使得MAC層攻擊行為隱蔽,給攻擊節(jié)點(diǎn)的檢測帶來較大挑戰(zhàn)。如何有效地檢 測MAC層攻擊成為無線可信網(wǎng)絡(luò)的研究熱點(diǎn)。目前國內(nèi)外對MAC層的安全攻擊檢測大致可分為兩類,一類需要修改IEEE802. 11 MAC協(xié)議,以便于檢測和抵抗節(jié)點(diǎn)攻擊。這類算法的共同缺點(diǎn)是與現(xiàn)有的協(xié)議標(biāo)準(zhǔn)不兼容, 從而導(dǎo)致方法不可行;另一類是借助統(tǒng)計(jì)學(xué)的一些概念,對有關(guān)參數(shù)的統(tǒng)計(jì)特征進(jìn)行檢測, 確定是否有攻擊行為,例如SPRT(序列概率比檢驗(yàn))檢測。此檢測方法適用于簡單自私攻 擊,那些智能行為可以使用適應(yīng)性來躲避檢測。又如Toledo等人提出的基于K-S的序列檢 測統(tǒng)計(jì)算法,該算法不需要預(yù)先知道節(jié)點(diǎn)的攻擊策略,但需要預(yù)先知道被檢測序列在正常 環(huán)境中的概率分布模型,這對動(dòng)態(tài)Ad Hoc網(wǎng)絡(luò)和隨機(jī)特性的MAC層接入?yún)f(xié)議來說是一個(gè)困 難問題。中心極限定理檢測算法和Markov鏈多步檢測模型具有較低的誤判率和較快的檢 測速度,但同經(jīng)典DOMINO算法一樣,只適用于那些通過修改退避時(shí)間策略爭用無線信道的 自私攻擊,具有較大的局限性。IEEE 802. 11協(xié)議的MAC層攻擊存在多種類型,每種類型的攻擊手段各不相同,智 能型攻擊由于了 802. 11協(xié)議退避時(shí)間的隨機(jī)特性,很難與合法節(jié)點(diǎn)行為進(jìn)行區(qū)分,因此增 加了檢測的難度。針對MAC層IEEE 802. 11協(xié)議的攻擊行為存在多樣性、動(dòng)態(tài)性和智能性, 用傳統(tǒng)的方式進(jìn)行檢測存在較大的局限性,隨著對免疫系統(tǒng)研究的深入,各種人工免疫算 法不斷被提出,人工免疫已經(jīng)越來越多地被用在工程優(yōu)化、數(shù)據(jù)挖掘、控制、故障診斷等許 多領(lǐng)域,成為人工智能的熱點(diǎn)研究。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明采用一種具有較低誤判率和較快檢測速度的MAC層網(wǎng)絡(luò)攻擊綜 合檢測方法。對惡意攻擊,以At時(shí)間內(nèi)信道的傳幀計(jì)數(shù)為特征序列,采用雙元累積滑窗檢 測方法;根據(jù)檢測節(jié)點(diǎn)的狀態(tài)不同,自私型攻擊檢測分別采用兩種不同方式飽和狀態(tài)的節(jié)點(diǎn)基于殘差滑窗閾值判別法對鄰居節(jié)點(diǎn)的攻擊行為執(zhí)行快速檢測,非飽和狀態(tài)節(jié)點(diǎn)基于 基因匹配檢測法。本發(fā)明方法作為一種比較理想、延時(shí)小、準(zhǔn)確率高、實(shí)用性強(qiáng)的技術(shù)方案, 能夠?qū)EEE802. 11協(xié)議的各種MAC層攻擊執(zhí)行快速、有效地檢測,適用于各種復(fù)雜、動(dòng)態(tài)的 無線網(wǎng)絡(luò)環(huán)境。為了達(dá)到上述目的,本發(fā)明提供了一種基于人工免疫的MANET網(wǎng)絡(luò)攻擊檢測方 法,其特征在于包括下列幾個(gè)組成部分(1)惡意攻擊以阻止信道使用和破壞節(jié)點(diǎn)數(shù)據(jù)為目標(biāo),情節(jié)嚴(yán)重,通常會造成網(wǎng)絡(luò) 延時(shí)、吞吐量、丟包率等各性能指標(biāo)的嚴(yán)重下降。當(dāng)網(wǎng)絡(luò)中存在惡意攻擊時(shí),自私攻擊的危 害變得微乎其微。因此,惡意攻擊的檢測成為人工免疫的第一道屏障。不同惡意攻擊行為 的共同結(jié)果是造成信道每隔At時(shí)間的傳幀計(jì)數(shù)嚴(yán)重下降。因此,惡意攻擊以每隔At時(shí) 間信道的傳幀計(jì)數(shù)為特征序列,采用雙元累積滑窗檢測方法。(2)自私攻擊以增加信道爭用優(yōu)先級進(jìn)而搶占信道為目的,以其它競爭節(jié)點(diǎn)的帶 寬和延時(shí)為代價(jià)換取自身性能的提高,其自私行為雖變化多樣,但通常的結(jié)果是自私節(jié)點(diǎn) 每隔At時(shí)間的傳幀計(jì)數(shù)明顯大于同時(shí)間合法節(jié)點(diǎn)的傳幀計(jì)數(shù),但當(dāng)檢測節(jié)點(diǎn)處于非飽和 狀態(tài)時(shí),由于應(yīng)用層發(fā)包間隔的不同,不能以此為判。因此,針對自私攻擊檢測區(qū)分兩種情 況當(dāng)檢測節(jié)點(diǎn)處于飽和狀態(tài)時(shí),以節(jié)點(diǎn)每隔At時(shí)間的傳幀計(jì)數(shù)序列為參數(shù),采用殘差滑 窗閾值判別法對鄰居節(jié)點(diǎn)的攻擊行為執(zhí)行快速檢測;當(dāng)節(jié)點(diǎn)處于非飽和狀態(tài)時(shí),基于基因 匹配法執(zhí)行檢測。所述部分(I)MAC層惡意攻擊檢測主要包含以下幾個(gè)步驟(11)惡意攻擊以阻止信道使用和破壞節(jié)點(diǎn)數(shù)據(jù)為目標(biāo),攻擊行為變化多樣,攻擊 結(jié)果不盡相同,或造成網(wǎng)絡(luò)延時(shí),或造成吞吐量、丟包率等各性能指標(biāo)的嚴(yán)重下降,但其共 同的結(jié)果是信道每隔At時(shí)間的傳幀計(jì)數(shù)嚴(yán)重下降。因此,惡意攻擊以每隔At時(shí)間信道 的傳幀計(jì)數(shù)為特征序列。(12)采用雙元累積滑窗檢測方法,將信道傳幀計(jì)數(shù)序列進(jìn)行線性處理使其均值為 零,則當(dāng)網(wǎng)絡(luò)中出現(xiàn)惡意攻擊行為時(shí),序列均值變成正值區(qū)間,為了加快檢測速度,進(jìn)一步 對新序列進(jìn)行滑窗累積處理,定義惡意攻擊決策函數(shù),給定判別間隔,基于取值區(qū)間和滑窗 累積統(tǒng)計(jì)結(jié)果執(zhí)行判定。所述部分(2)MAC層自私攻擊檢測主要包含以下幾個(gè)步驟(21)當(dāng)檢測節(jié)點(diǎn)處于飽和狀態(tài)時(shí),記錄自身節(jié)點(diǎn)在每隔At時(shí)間的傳幀計(jì)數(shù)序 列,對應(yīng)免疫系統(tǒng)虛擬胸腺的自我集合,鄰居節(jié)點(diǎn)在每隔At時(shí)間的傳幀計(jì)數(shù)序列對為虛 擬胸腺中的T細(xì)胞,通過殘差滑窗閾值判別方法實(shí)現(xiàn)T細(xì)胞的自體耐受過程,對應(yīng)免疫原理 的“陰性選擇”過程,完成攻擊節(jié)點(diǎn)的初始檢測,此時(shí)被檢測出的自私節(jié)點(diǎn)的退避時(shí)間序列 將被記錄下來,并經(jīng)過進(jìn)一步編碼和基因化處理,作為基因檢測體_成熟免疫細(xì)胞抗體,這 些抗體可在檢測節(jié)點(diǎn)處于飽和或非飽和狀態(tài)時(shí)檢測鄰居節(jié)點(diǎn)是否存在攻擊行為。(22)對于自私性攻擊,當(dāng)檢測節(jié)點(diǎn)處于非飽和狀態(tài)時(shí),只能基于基因檢測體和經(jīng) 過編碼和基因化處理的被檢節(jié)點(diǎn)的退避時(shí)間序列采用基因匹配法執(zhí)行檢測。所述部分(21)進(jìn)一步包括下述操作內(nèi)容(211)檢測節(jié)點(diǎn)經(jīng)過計(jì)算得到自身節(jié)點(diǎn)與各鄰居節(jié)點(diǎn)的傳幀計(jì)數(shù)差值序列及差值 序列均值;
4
(212)對各差值序列進(jìn)行一定時(shí)間內(nèi)的滑窗處理;(213)根據(jù)經(jīng)驗(yàn)選取判別閾值,基于判別公式確定自私節(jié)點(diǎn)。(214)記錄自私節(jié)點(diǎn)的退避時(shí)間序列;(215)對自私節(jié)點(diǎn)的退避時(shí)間序列進(jìn)行編碼,對每個(gè)退避時(shí)間區(qū)間賦予一個(gè)碼值, 處于同一區(qū)間的退避時(shí)間賦予統(tǒng)一碼值。(216)為了分析一段時(shí)間內(nèi)的退避是否出現(xiàn)異常,需要按照一定的方法將得到的 大量退避時(shí)間碼值序列劃分成用于檢測的短序列。攻擊節(jié)點(diǎn)的退避時(shí)間序列按照長度為R 步長為L的滑窗分割成若干短序列,這些短序列集合構(gòu)成了基因檢測體。所述部分(22)進(jìn)一步包括下述操作內(nèi)容(221)記錄被檢節(jié)點(diǎn)的退避時(shí)間序列,并按照長度為R步長為L的滑窗分割成若干 短序列。這些短序列集合構(gòu)成了被檢抗原。(222)由于退避時(shí)間序列的隨機(jī)性,傳統(tǒng)的海明距離和連續(xù)R位匹配算法并不能 準(zhǔn)確描述兩個(gè)序列的相似度,設(shè)長度為R的兩個(gè)序列U= (U1,U2, -,uE)和V= (V15V2,-, Vk),定義基因匹配判別函數(shù)
θ Sim(U, V)<T似徹(f^)=I1Sim\^v)>_T本發(fā)明采用一種具有較低誤判率和較快檢測速度的MAC層攻擊綜合檢測方法。具 有下列優(yōu)點(diǎn)針對不同攻擊的檢測分別采用信道傳幀計(jì)數(shù)、節(jié)點(diǎn)傳幀計(jì)數(shù)和退避時(shí)間作為特征 序列,解決了僅以退避時(shí)間作為特征序列的傳統(tǒng)檢測的局限性問題,能夠?qū)Ω鞣N攻擊行為 執(zhí)行較好的檢測?;谌斯っ庖叩臋z測方法使檢測節(jié)點(diǎn)無論處于飽和與非飽和狀態(tài),都能對鄰居節(jié) 點(diǎn)的攻擊行為進(jìn)行檢測。從陰性選擇過程可以看出,選擇環(huán)境中的自我集合少且精確,占用較小的存儲空 間與處理開銷;自我集合的獲取具有較小的延時(shí),并能根據(jù)網(wǎng)絡(luò)狀況自動(dòng)調(diào)整,具有很強(qiáng)的 動(dòng)態(tài)性;每個(gè)檢測體能獨(dú)立地行使功能,無需檢測體之間的交流與協(xié)調(diào),攻擊行為檢測不需 要預(yù)知經(jīng)驗(yàn)數(shù)據(jù),具有較強(qiáng)的魯棒性。本發(fā)明對MAC層攻擊檢測具有較低誤判率和較快檢測速度,無需經(jīng)過大范圍的變 更就可以被簡易應(yīng)用在現(xiàn)有網(wǎng)絡(luò)中,效果理想,應(yīng)用前景看好。
圖1是本發(fā)明攻擊檢測方法基本流程圖。圖2是本發(fā)明退避時(shí)間序列編碼圖。
具體實(shí)施例方式為使本發(fā)明的目的、實(shí)現(xiàn)方案和優(yōu)點(diǎn)更為清晰,下面結(jié)合附圖對本發(fā)明作進(jìn)一步 地詳細(xì)描述。參見圖1,介紹本發(fā)明攻擊檢測方法的基本流程(1)惡意攻擊檢測惡意攻擊以阻止信道使用和破壞節(jié)點(diǎn)數(shù)據(jù)為目標(biāo),通常會造
5成網(wǎng)絡(luò)延時(shí)、吞吐量、丟包率等各性能指標(biāo)的嚴(yán)重下降,情節(jié)嚴(yán)重。因此,惡意攻擊的檢測成 為人工免疫的第一道屏障。不同惡意攻擊行為的共同結(jié)果是造成信道每隔At時(shí)間的傳幀 計(jì)數(shù)嚴(yán)重下降。因此,惡意攻擊以每隔At時(shí)間信道的傳幀計(jì)數(shù)為特征序列,采用雙元累積 滑窗檢測方法。(2)自私攻擊初始檢測自私攻擊行為通常造成自私節(jié)點(diǎn)每隔Δ t時(shí)間的傳幀計(jì) 數(shù)明顯大于同時(shí)間合法節(jié)點(diǎn)的傳幀計(jì)數(shù),但當(dāng)檢測節(jié)點(diǎn)處于非飽和狀態(tài)時(shí),由于應(yīng)用層發(fā) 包間隔的不同,不能以此為判。因此,當(dāng)檢測節(jié)點(diǎn)處于飽和狀態(tài)時(shí),以節(jié)點(diǎn)每隔At時(shí)間的 傳幀計(jì)數(shù)序列為參數(shù),采用殘差滑窗閾值判別法對鄰居節(jié)點(diǎn)的攻擊行為執(zhí)行快速檢測。(3)生成基因檢測體將初始檢測得到的自私節(jié)點(diǎn)的退避時(shí)間進(jìn)行記錄、編碼和 基因化,生成基因檢測體。(4)基因檢測當(dāng)節(jié)點(diǎn)處于非飽和狀態(tài)時(shí),基于基因匹配法執(zhí)行檢測。所述部分(1)惡意攻擊檢測所述的雙元累積滑窗檢測方法主要包含以下步驟(11)令Yn= μ-Xn,則Yn的均值為零。其中XnS信道傳幀計(jì)數(shù)序列,μ =E(Xn), 當(dāng)網(wǎng)絡(luò)中出現(xiàn)惡意攻擊行為時(shí),YnW均值在變化點(diǎn)j處從0階躍至δ e [a,b]。(12)為了加快檢測速度,對Yn的值在u個(gè)At時(shí)間內(nèi)累積,得到[值,
權(quán)利要求
一種基于人工免疫的MANET網(wǎng)絡(luò)攻擊檢測方法,其特征在于所述的檢測方法包括如下步驟1)對惡意攻擊,采用雙元累積滑窗檢測方法;2)對自私性攻擊檢測區(qū)分兩種情況當(dāng)檢測節(jié)點(diǎn)處于飽和狀態(tài)時(shí),采用殘差滑窗閾值判別法進(jìn)行初始檢測,并將檢測到的攻擊節(jié)點(diǎn)的退避時(shí)間序列進(jìn)行記錄、編碼和基因化后作為基因檢測體;當(dāng)檢測節(jié)點(diǎn)處于非飽和狀態(tài)時(shí)采用基因匹配檢測法。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)攻擊檢測方法,其特征在于,所述的惡意攻擊檢測步驟為1)檢測節(jié)點(diǎn)記錄信道每隔At時(shí)間的傳幀計(jì)數(shù)序列;2)以信道的傳幀計(jì)數(shù)序列作為特征序列,采用雙元累積滑窗檢測方法。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)攻擊檢測方法,其特征在于,所述的檢測節(jié)點(diǎn)處于飽和狀 態(tài)時(shí)的檢測步驟為1)記錄自身和每個(gè)鄰居節(jié)點(diǎn)每隔At時(shí)間的傳幀計(jì)數(shù)序列;2)以上述序列為參數(shù),采用殘差滑窗閾值判別法進(jìn)行初始檢測; 對攻擊節(jié)點(diǎn)的退避時(shí)間進(jìn)行記錄、編碼和基因化,生成基因檢測體。
4.如權(quán)利要求1所述的網(wǎng)絡(luò)攻擊檢測方法,其特征在于,所述的檢測節(jié)點(diǎn)處于非飽和 狀態(tài)時(shí)的基因匹配檢測法步驟為1)計(jì)算基因檢測體與被檢節(jié)點(diǎn)抗原的匹配程度;2)根據(jù)判別函數(shù)判斷被檢節(jié)點(diǎn)是否可疑。
全文摘要
本發(fā)明公開了一種基于人工免疫的MANET網(wǎng)絡(luò)攻擊檢測方法,達(dá)到了較低的誤判率和較快的檢測速度。本發(fā)明方法包括節(jié)點(diǎn)傳幀計(jì)數(shù)序列的記錄、信道傳幀計(jì)數(shù)序列的記錄、雙元累積滑窗檢測方法、殘差滑窗閾值判別法、基因匹配檢測法五個(gè)部分。針對惡意攻擊記錄信道每隔Δt時(shí)間傳幀計(jì)數(shù)序列作為特征序列,采用雙元累積滑窗檢測方法;針對自私性攻擊檢測區(qū)分兩種情況當(dāng)檢測節(jié)點(diǎn)處于飽和狀態(tài)時(shí),記錄每個(gè)節(jié)點(diǎn)每隔Δt時(shí)間傳幀計(jì)數(shù)序列,采用殘差滑窗閾值判別法進(jìn)行初始檢測,將自私節(jié)點(diǎn)的退避時(shí)間序列進(jìn)行記錄、編碼和基因化后作為基因檢測體;當(dāng)檢測節(jié)點(diǎn)處于非飽和狀態(tài)時(shí)采用基因匹配檢測法。本發(fā)明適用于MANET網(wǎng)絡(luò)MAC層攻擊的綜合檢測。
文檔編號H04L29/06GK101977129SQ201010517270
公開日2011年2月16日 申請日期2010年10月19日 優(yōu)先權(quán)日2010年10月19日
發(fā)明者杜秀娟, 杜秀菊, 金志剛, 黃科軍 申請人:青海師范大學(xué)