無線自組織網絡路由查詢泛洪攻擊的檢測方法

2023-09-12 04:17:10

專利名稱：無線自組織網絡路由查詢泛洪攻擊的檢測方法
技術領域：
本發明涉及一種ad hoc路由查詢泛洪攻擊的檢測方法，確切地說，涉及一種在無 線自組織網絡中，利用反應式路由協議中的路由查詢與路由回復機制而實現的無線自組織 網絡路由查詢泛洪攻擊的檢測方法；屬於數據通信的網絡安全技術領域。
背景技術：
無線自組織網絡是一種新型的移動多跳無線通信網絡，該網絡不依賴於任何固定 的基礎設施和管理中心，而是通過移動節點間的相互協作和自我組織來保持網絡內各個節 點之間的連接，同時實現數據的傳遞。與有線網絡相比較，無線自組織網絡的特殊之處是 網絡拓撲可能會實時發生變化，很難預先確定，從而導致傳統有線網絡的路由查詢和路由 選擇機制不能夠很好地運轉。基於這個特點，無線自組織網絡一般採用反應式路由算法，即 在路由緩存中找不到指定路徑的時候，才發送查詢報文來獲取路由，並從中選擇一條最合 適的路由。這種反應式路由算法的內容通常包括欲發送數據包的源節點先向周圍節點廣播 路由查詢報文；各個節點收到該路由查詢報文時，若查詢的目的節點不是該節點自身，則將 該查詢報文轉發給其周圍相鄰的其它節點；若查詢報文的目的節點正是本節點，則該節點 要構造一個路由回答報文，並將其送回源節點；該路由回答報文中攜帶有從源節點到被查 詢節點之間的一條可達路徑。如果源節點沒有收到路由回答報文，則認為查詢的目的節點 不存在；若收到路由回答報文，則取出可達路徑並按照該路徑發送數據報文，同時將該路徑 記錄到自身的路由緩存中；若一個路由查詢報文獲得了多個路由回答報文，則按照設定的 路由選擇算法從這些多條可達路徑中選擇一條最優路徑來發送數據報文。但是，這種反應 式路由算法會帶來很多安全問題。下面簡要說明之。經檢索現有技術文獻發現，Yi Ping, Zhong Yiping & Zhang Shiyong發表於 《Journal of Computer Research and Development》(系統工程與電子技術「英文版，，) 中的論文《Flooding attack and defence in Ad hoc networks》(Ad hoc 網絡中的泛 洪攻擊與防範)，提出一種對無線自組織網絡破壞效果非常顯著的攻擊=Adhoc Flooding Attack(AHFA)0該攻擊是利用反應式路由算法漏洞，能在短時間內使得大範圍的網絡通信 陷入癱瘓。該攻擊的原理簡述為利用反應式路由算法中每個節點都要轉發路由查詢報文 的特性，攻擊節點以較高的頻率廣播偽造的路由查詢報文，該路由查詢報文又被周圍臨近 節點多次複製、轉發而在無線網絡中迅速擴散，從而很快充斥大範圍的無線網絡，導致網絡 阻塞、甚至癱瘓。為了防止路由查詢的泛洪攻擊，目前採用的檢測防範機制是統計周圍節點產生路 由查詢報文的速度，把產生查詢報文速率過快的節點列入黑名單。但是，這種檢測方法的檢 測效果要依賴於設定的檢測閾值在任意時段產生查詢報文的速率高於設定值的節點均認 為是惡意節點。此時的問題是如果設置的閾值過高，可能會使泛洪頻率較低的攻擊節點成 為漏網之魚；然而，如果設置的閾值過低，就會造成正常節點也很可能因為在某個短時間段內偶然產生較多的路由查詢報文而被誤認為是攻擊節點。也就是，檢測正確率和誤報率成 為一組反關係，都取決於設定的檢測閾值大小。這個檢測閾值的如何設定就成為上述方法 的關鍵。

發明內容
有鑑於此，本發明的目的是針對上述現有技術的不足，提供一種無線自組織網絡 路由查詢報文泛洪攻擊的檢測方法，該方法使得網絡節點在檢測和統計路由查詢報文的產 生速率時，只統計泛洪攻擊偽造的路由查詢報文，而對正常的路由查詢報文忽略不計，也就 是針對泛洪攻擊節點偽造的路由查詢報文的特性，將攻擊節點分離出來，從而拉大正確檢 測率和誤報率之間的距離，提高正確檢測率和降低誤報率，較好地預防泛洪攻擊。為了達到上述發明目的，本發明提供了一種無線自組織網絡路由查詢報文泛洪攻 擊的檢測方法，其特徵在於，包括下述操作步驟(1)在使用反應式路由協議的無線自組織網絡中，每個節點監測和統計其周圍節 點產生的路由查詢報文，並採用偵聽每個路由查詢報文是否有路由答覆報文的辦法，判斷 該路由查詢報文是正常的查詢報文還是偽造的查詢報文；(2)每隔設定時間，每個節點檢查自己的路由查詢報文統計記錄，如果發現其周圍 的某個節點在該設定時間內產生的偽造的路由查詢報文數量達到或超過設定閾值，即認為 該節點為攻擊節點，並將其列入黑名單；(3)每個節點對其接收到的、源自其黑名單中的節點所發送的路由查詢報文，直接 丟棄而不再轉發。所述反應式路由協議是動態源路由協議DSR(Dynamic Source Routing)；在 動態源路由協議中，在找不到目的節點的路由時，源節點廣播路由查詢報文RREQ(Route Requests)，每個節點接收到目的節點非本節點的RREQ都要轉發，只有目的節點接收到該 RREQ報文時，返迴路由回答報文RREP (Route Replies)；源節點在接收到RREP報文而獲取 路由後，才發送數據報文。所述源節點是產生路由查詢報文的節點，所述目的節點是路由查詢報文要尋找的 終端節點。所述每個節點監測和統計其周圍節點產生的路由查詢報文是指每個節點都要監 測、統計和存儲記錄其周圍節點產生的路由查詢報文的序號、源節點的IP位址、目的節點 的IP位址和報文的產生時間。所述偵聽是指無線網絡中的網元節點在混雜模式下監測、統計和存儲記錄位於網 絡中該節點偵聽範圍內的所有節點的通信或傳送的各種報文，包括不是轉發給該節點為目 的節點的報文。所述偵聽路由查詢報文是否有路由答覆報文的判斷辦法是節點對於其存儲記錄 的每個路由查詢報文，都要在設定時間接收到該路由查詢報文的路由答覆報文，並通過是 否有相應的路由答覆報文返回來判斷該路由查詢報文是否為正常的報文；所述路由答覆報 文是回送給源節點的，通過調節發送和/或接收功率，在偵聽範圍不小於傳輸範圍兩倍的 基礎上，無論路由答覆報文來自何方，源節點的鄰居節點都能夠偵聽到源節點應該接收到 的每個路由查詢報文的路由答覆報文。
5
所述正常的路由查詢報文是指該報文的目的節點是網絡中確實存在的節點，在經 過一段時間後，源節點肯定能夠接收到其目的節點回復的路由答覆報文，且該路由答覆報 文也會被源節點的鄰居節點所偵聽到；所述偽造的路由查詢報文是指該路由查詢報文由源 節點偽造的；為了使泛洪攻擊的查詢報文儘可能多，偽造路由查詢報文的目的節點通常是 網絡中不存在的節點，這樣就使得偽造路由查詢報文被最大程度地轉發，進而出現其路由 查詢得不到答覆，其源節點的鄰居節點也不能偵聽到路由答覆報文的情況。所述每個節點檢查自己的路由查詢報文統計記錄，是指每個節點檢查其周圍的鄰 居節點的偽造的路由查詢報文的產生速度若產生速度較慢，則認為是目的節點暫時不可 達，或者是源節點偶爾處理有誤；若產生速度較快，則認為是惡意攻擊節點在泛洪生產偽造 的路由查詢報文。所述黑名單是將檢測出來的以IP位址為標識的惡意攻擊節點的記錄名冊。與現有技術相比，本發明方法具有如下有益效果本發明基於偵聽路由回答報文的泛洪攻擊的檢測方法，是在計算周圍節點產生路 由查詢報文速度，並根據偽造的路由查詢報文的特點，不是對所有的路由查詢報文都進行 檢測和統計，只是檢測和統計那些沒有返迴路由回答報文的路由查詢報文，這樣使得檢測 和統計更有針對性和便利性；而且，一旦偵聽到相應的返迴路由回答報文，就將該路由回答 報文所對應的路由查詢報文的源節點從原來存儲記錄的未應答的路由查詢報文的源節點 列表中刪除之。因為本發明的另一判斷依據是產生異常多的偽造的路由查詢報文的節點肯定為 惡意攻擊節點。因此，在檢測和統計時，超過設定時間還沒有返迴路由回答報文的路由查詢 報文的源節點就作為偽造的路由查詢報文的源節點，被存儲記錄在相應的偽造的路由查詢 報文的源節點列表中。然而，如果在設定的單位時間段內，該源節點產生的偽造的路由查詢 報文的數量很少，或低於設定閾值，則認為是網絡故障或其它非正常原因所致，從而將該源 節點從偽造的路由查詢報文的源節點列表中刪除之。相反的，如果在設定的單位時間段內， 該源節點產生的偽造的路由查詢報文的數量很多，即高於或等於設定閾值，則認為該源節 點就是泛洪的源頭-攻擊節點，於是就將該源節點列入以IP位址為標識的惡意攻擊節點的 記錄名冊黑名單。以後，每個節點對其接收到的、源自其黑名單的節點所發送的路由查詢 報文，都直接丟棄而不再轉發。這樣，就能夠極大地提高網絡傳輸性能，使得路由查詢泛洪 攻擊的檢測率和誤報率都得到顯著的改善。總之，本發明在無線自組織網絡中，能夠很好地 檢測出路由查詢的泛洪攻擊，具有推廣應用前景。


圖1是無線通信設備的正常通信傳輸範圍及其偵聽範圍的比較示意圖。圖2是本發明檢測路由查詢報文泛洪攻擊節點的方法流程方框圖。圖3是本發明中未應答的路由查詢報文列表的結構示意圖。圖4是本發明中偽造的路由查詢報文統計表的結構示意圖。
具體實施例方式為使本發明的目的、技術方案和優點更加清楚，下面結合附圖和實施例對本發明
6作進一步的詳細描述。參見圖1 圖4，介紹本發明無線自組織網絡路由查詢報文泛洪攻擊的檢測方法， 該方法包括下述操作步驟步驟1，在使用反應式路由協議的無線自組織網絡中，每個節點監測和統計其周圍 節點產生的路由查詢報文(參見圖1所示)，並偵聽每個路由查詢報文是否有路由答覆報 文當一個路由查詢源節點(圖1中，以六角星表示)產生一個路由查詢報文並將其廣播 後，其周圍的各個鄰居節點(即路由上的一跳節點，圖1中用三角形表示，且用實線圓表示 通信範圍)就將該路由查詢報文記錄到各自的「未應答路由查詢報文列表」中；並開啟混雜 偵聽模式，等待該路由查詢報文所對應的路由答覆報文的返回(圖1中用虛線圓表示其中 一個帶有黑點的三角形節點的偵聽範圍，由圖1可見偵聽範圍的半徑通常不小於通信範 圍的半徑的兩倍)。若有路由答覆報文返回，則認為是其對應的路由查詢報文是正常報文， 就從「未應答路由查詢報文列表」中刪去該報文，即將從存儲記錄中刪除該源節點；若沒有 返迴路由答覆報文，則認為是它是偽造的路由查詢報文。本發明的實施例採用的的路由協議是動態源路由協議DSR(The dynamicsource routing protocol),實際應用不限於該協、議。在DSR路由協議中，每個節點遇到未知節點或路由缺失時，都會廣播路由查詢 (RREQ)報文，並等待路由答覆(RREP)報文的返回。RREQ報文中記錄有路由查詢報文的序 號、源節點的IP位址、目的節點的IP位址和報文的產生時間。當一個節點收到一個RREQ報 文，並發現自己是該報文路由的一跳節點時(即本節點是RREQ)，則將該RREQ報文的序號、 源節點IP位址、目的節點IP位址以及收到該RREQ報文的時間都記錄到自身維護的「未應 答的路由查詢報文列表」(參見圖3所示)中，並開啟定時器，等待報文序號、源節點和目的 節點的IP位址都相同的RREP報文的返回。每當某個節點偵聽到網絡中的一個路由答覆報文(RREP)時，就應該掃描其「未應 答的路由查詢報文列表」，把對應的路由查詢報文項刪除即可。用這種方法找到偽造的RREQ報文的效果是很顯著的。因為對於正常節點，其發 出的RREQ絕大多數情況都會返回RREP。然而，對於攻擊節點偽造的RREQ，為了使該RREQ 被複製轉發的次數儘可能地多和傳播得儘量地遠，其目的節點一般都是網絡中不存在的節 點。因此，絕大多數情況下都不會返回RREP。利用路由查詢報文的泛洪攻擊的這種特性， 可以有效地把正常的路由查詢報文和偽造的路由查詢報文輕易地區分開來，從而提高檢測 率、降低誤報率。一般來講，無論返回的RREP來自哪個方向，都會被其周圍的鄰居節點偵聽 到。因為偵聽報文的信號強度閾值要比接收報文的信號強度閾值小，所以，根據信號強度的 指數衰減模型，偵聽範圍的半徑一般是正常通信距離的兩倍以上(如圖1所示)，這樣就使 得每個節點通信範圍內的所有節點都會落在其周圍鄰居節點的偵聽範圍內，從而保證無論 從何處返回的RREP都會被偵聽到。即使有部分RREP成為「漏網之魚」，也不會影響上述判 斷機制。因為單位時間內如果沒有偵聽到返回的RREP而被誤認為是偽造的RREQ的數量較 少，也不足以讓本發明的檢測方法認為該節點是攻擊節點。本發明的偵聽是指無線網絡中的各個節點在混雜模式下監測、統計和存儲記錄位 於網絡中該節點偵聽範圍內的所有節點的通信或傳送的各種報文，包括不是轉發給該節點 為目的節點的報文。
7
步驟2，基於偵聽路由答覆報文的閾值進行檢測每隔設定時間，每個節點對自己 的「未應答的路由查詢報文列表」進行掃描、檢查，尋找超時沒有應答的路由查詢報文，並將 其進行統計到「偽造的路由查詢報文統計表」(參見圖4所示)中。如果有一個節點在該段 時間內累計的偽造的路由查詢報文數高過一個設定閾值，則將該節點轉移到黑名單中。本 發明的上述檢測流程如圖2所示。該步驟的設定時間間隔是本發明檢測方法的響應時間。如果設定時間的間隔較 短，會加重每個節點、即無線設備的運算量，影響數據報文的處理和轉發速度。但是，設定時 間的間隔過長，會造成檢測方法失效。具體的設定時間間隔長短要視網絡設備性能和網絡 情況而定。該步驟的超時是預先設定一個時間，並認為這段時間內還沒有返回RREP的RREQ 報文即為偽造的。若預設的超時時長過短，則誤報率較高，而預設的超時時長過長，則檢測 方法的響應也隨之延長(因為確定一個RREQ是否偽造的時間變長了)。因此，如何確定超 時的時長也要視網絡情況而定；通常是先做一些實驗來確定平均一個RREQ詢問要等待多 長時間才能收到對應的RREP。每經過設定的時間間隔，各個節點開始掃描。先將「偽造的路由查詢報文統計表，， 所有項都清零(只統計設定時間間隔內的偽造的路由查詢報文數量)，然後，檢查「未應答 的路由查詢報文列表」中的每一項未應答查詢報文。並比較當前時間與該表中記錄的收到 該路由查詢報文的時間，若時間之差大於超時時間，則認為該路由查詢報文為偽造的路由 查詢報文，從「未應答的路由查詢報文列表」中刪除該項，同時在「偽造的路由查詢報文統計 表」中，讓該查詢源節點的對應項(參見圖4)中的「檢測間隔時間內產生的偽造的路由查 詢報文數」加1。掃描一遍後，再檢查「偽造的路由查詢報文統計表」，尋找單位時間產生的 偽造的路由查詢報文數量超過閾值的源節點。若能夠找到，則將其從「偽造的路由查詢報文 統計表」中刪除而列入黑名單；對於沒有超過閾值的源節點項，則在下次掃描時清零。步驟3，每個節點對其接收到的、源自其黑名單中的節點所發送的路由查詢報文， 直接丟棄而不再轉發。本發明採用黑名單維護機制，防止誤報、黑名單攻擊或惡意節點變為正常節點的 情況。本發明方法已經進行了實施試驗，試驗的結果是成功的，實現了發明目的。以上所 述僅為本發明方法及其較佳實施例的介紹而已，並不用以限制本發明，凡在本發明的精神 和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發明保護的範圍之內。
8
權利要求
一種無線自組織網絡路由查詢報文泛洪攻擊的檢測方法，其特徵在於，包括下述操作步驟(1)在使用反應式路由協議的無線自組織網絡中，每個節點監測和統計其周圍節點產生的路由查詢報文，並採用偵聽每個路由查詢報文是否有路由答覆報文的辦法，判斷該路由查詢報文是正常的查詢報文還是偽造的查詢報文；(2)每隔設定時間，每個節點檢查自己的路由查詢報文統計記錄，如果發現其周圍的某個節點在該設定時間內產生的偽造的路由查詢報文數量達到或超過設定閾值，即認為該節點為攻擊節點，並將其列入黑名單；(3)每個節點對其接收到的、源自其黑名單中的節點所發送的路由查詢報文，直接丟棄而不再轉發。
2.根據權利要求1所述的方法，其特徵在於所述反應式路由協議是動態源路由協議 DSR;在動態源路由協議中，在找不到目的節點的路由時，源節點廣播路由查詢報文RREQ， 每個節點接收到目的節點非本節點的RREQ都要轉發，只有目的節點接收到該RREQ報文時， 返迴路由回答報文RREP ；源節點在接收到RREP報文而獲取路由後，才發送數據報文。
3.根據權利要求1所述的方法，其特徵在於所述源節點是產生路由查詢報文的節點， 所述目的節點是路由查詢報文要尋找的終端節點。
4.根據權利要求1所述的方法，其特徵在於所述每個節點監測和統計其周圍節點產 生的路由查詢報文是指每個節點都要監測、統計和存儲記錄其周圍節點產生的路由查詢報 文的序號、源節點的IP位址、目的節點的IP位址和報文的產生時間。
5.根據權利要求1所述的方法，其特徵在於所述偵聽是指無線網絡中的網元節點在 混雜模式下監測、統計和存儲記錄位於網絡中該節點偵聽範圍內的所有節點的通信或傳送 的各種報文，包括不是轉發給該節點為目的節點的報文。
6.根據權利要求1所述的方法，其特徵在於所述偵聽路由查詢報文是否有路由答覆 報文的判斷辦法是節點對於其存儲記錄的每個路由查詢報文，都要在設定時間接收到該 路由查詢報文的路由答覆報文，並通過是否有相應的路由答覆報文返回來判斷該路由查詢 報文是否為正常的報文；所述路由答覆報文是回送給源節點的，通過調節發送和/或接收 功率，在偵聽範圍不小於傳輸範圍兩倍的基礎上，無論路由答覆報文來自何方，源節點的鄰 居節點都能夠偵聽到源節點應該接收到的每個路由查詢報文的路由答覆報文。
7.根據權利要求1所述方法，其特徵在於所述正常的路由查詢報文是指該報文的目 的節點是網絡中確實存在的節點，在經過一段時間後，源節點肯定能夠接收到其目的節點 回復的路由答覆報文，且該路由答覆報文也會被源節點的鄰居節點所偵聽到；所述偽造的 路由查詢報文是指該路由查詢報文由源節點偽造的；為了使泛洪攻擊的查詢報文儘可能 多，偽造路由查詢報文的目的節點通常是網絡中不存在的節點，這樣就使得偽造路由查詢 報文被最大程度地轉發，進而出現其路由查詢得不到答覆，其源節點的鄰居節點也不能偵 聽到路由答覆報文的情況。
8.根據權利要求1所述的方法，其特徵在於所述每個節點檢查自己的路由查詢報文 統計記錄，是指每個節點檢查其周圍的鄰居節點的偽造的路由查詢報文的產生速度若產 生速度較慢，則認為是目的節點暫時不可達，或者是源節點偶爾處理有誤；若產生速度較 快，則認為是惡意攻擊節點在泛洪生產偽造的路由查詢報文。
9.根據權利要求1所述的方法，其特徵在於所述黑名單是將檢測出來的以IP位址為 標識的惡意攻擊節點的記錄名冊。
全文摘要
一種無線自組織網絡路由查詢報文泛洪攻擊的檢測方法，包括下述步驟(1)每個節點監測和統計其周圍節點產生的路由查詢報文，並採用偵聽每個路由查詢報文是否有路由答覆報文的辦法，判斷該路由查詢報文是正常的查詢報文還是偽造的查詢報文；(2)每隔設定時間，每個節點檢查自己的路由查詢報文統計記錄，如果發現其周圍的某個節點在該設定時間內產生的偽造的路由查詢報文數達到或超過設定閾值，即認為該節點為攻擊節點，並將其列入黑名單；(3)每個節點對其接收到的、源自其黑名單中的節點所發送的路由查詢報文，直接丟棄而不再轉發。該方法只統計泛洪攻擊的偽造報文，將攻擊節點分離出來，提高正確檢測率和降低誤報率，以預防泛洪攻擊。
文檔編號H04W24/00GK101917733SQ201010250860
公開日2010年12月15日 申請日期2010年8月6日 優先權日2010年8月6日
發明者易平, 鄒巖, 陳春燕, 陳樹鑫 申請人:深圳市兆訊達科技實業有限公司