无线Mesh网络的主动式入侵检测系统和方法技术方案

本发明专利技术公开了一种无线Mesh网络的主动式入侵检测系统和方法，主要解决无线Mesh网络中入侵检测系统面临的资源受限和难以中心化的问题。系统只需部署在网络中一个可移动节点上，系统包括数据采集、主动检测和响应模块，其主动检测模块的探测包发送子模块向目标节点主动发送探测信息，系统具有主动检测和可移动性。检测方法主要包括：扫描邻居节点；选择目标节点；选择探测过程；数据包采集；状态分析判定；状态结果响应；循环检测；系统一直处于运行状态，检测过程带有隐蔽性。本发明专利技术为无线Mesh网络的入侵检测提供了切实可行的手段，本发明专利技术缓和了分布式和基于单一节点的检测系统的限制；明显提高了检测灵活性和针对性，检测效率高。

【技术实现步骤摘要】

本专利技术属于无线网络数据安全
，主要涉及可移动入侵检测，具体是无线Mesh网络的主动式入侵检测系统和方法，可应用在无线Mesh网络的安全管理和入侵检测中。
技术介绍
无线Mesh网络作为一种新兴的无线接入技术，它能够有效地克服现有无线网络技术覆盖范围小、部署成本高、灵活性差的问题。无线Mesh网络是在移动Ad hoc网络和无线局域网的基础上产生和发展起来的，因此，无线Mesh网络不仅能具备以上两种网络的一些属性，而且其自身还有着非常多的优势，比如宽带容量大、传输速率高、覆盖范围广、组网灵活，移动性好等特性。正是由于Mesh网络在拓扑方式，接入方式，通信方式上的各种优势，无线Mesh网络已经受到国际学术界和工业界的广泛关注。然而，尽管无线Mesh网络有着上述诸多优势，但是它也有着潜在的威胁：在无线Mesh网络中，每个节点都应该相互合作，要求每个节点接收从上一跳邻居节点发来的数据包并转发给下一跳的邻居节点。由于其网格化的网络拓扑结构和多跳的传输方式，很难有中心化的监视节点或者管理单元存在，来在一个开放式的Mesh网络中对数据包的转发进行监督。另外，按照网络节点之间约定的规则，一旦有数据包被节点发送出去，它的邻居节点就有责任来把该数据包转发给它的目的节点，这种节点间约定好的协作方式给了恶意节点进行大范围攻击的机会，而且，节点信息的可靠性、机密性、完整性也不能得到很好的保障。另外，无线Mesh网络使用的HWMP路由协议是按需路由协议AODV的改进型协议，从本质上来讲还是一种按需路由协议，而按需路由协议存在以下两方面安全弱点：无法甄别路由请求的合理性；无法验证路由回复的真实性。因此，网络中的恶意节点会通过修改路由管理帧或者答复虚假的路由请求帧，来达到某些目的，例如形成黑洞节点等。目前抵御网络安全攻击的传统手段大致可以分为三类：密码学加密方式，安全网络协议，安全监督和响应系统。而具体针对无线Mesh网络所面临的安全问题，一种解决方法是从网络设计阶段做起，在设计无线Mesh网络的安全模块时，将传统无线网络安全的研究成果与无线Mesh网络自身特定的安全需求和网络特点结合起来考虑，但是在无线Mesh网络设计时并未按照此方法进行，导致在目前已经成型的无线Mesh网络模型中加入有效的安全模块相当困难，而且要付出很高的代价。另一种解决方法，就是在网络中心部署检测系统或检测节点对网络的安全状态进行实时监测和报告，但是由于无线Mesh网络的动态拓扑特性，网络的拓扑时刻可能发生变化，网络中不存在能够长期处于网络中心的节点，因此在单一固定节点上部署的入侵检测系统并不能对网络中所节点进行全面检测，因而检测效率和检测精度都很低，很难建立起中心化的检测系统来适应无线Mesh网络不断变化着的网络拓扑。还有一种解决方法，是给网络中的所有节点都部署上入侵检测系统，形成一个分布式的入侵检测系统，但是由于要在每个节点上都部署入侵检测系统，毫无疑问给每个节点都增加了额外的运行负担，而且节点间对入侵检测信息的共享也给整个网络带来了很大的带宽消耗。目前就现有的入侵检测技术为言，申请人在有限的范围内并没有检索到可以实现移动性检测的入侵检测系统，同时也没有利用主动探测的方式对目标节点进行安全状态检测的入侵检测系统。
技术实现思路
本专利技术针对当前就无线Mesh网络入侵检测技术的上述不足，公开了一种能够实现可移动检测，且能够主动检测并带有隐蔽性的无线Mesh网络的主动式入侵检测系统和方法。本专利技术通过以下技术方案实现：本专利技术是一种无线Mesh网络的主动式入侵检测系统，系统包括有数据采集模块，中间模块和系统响应模块，数据采集模块从网络中获取检测数据，经过中间模块处理，然后系统响应模块作出结果响应，本专利技术的中间模块为主动检测模块，主动检测模块向网络中的目标节点主动发送探测信息，形成主动探测。本专利技术的入侵检测系统整体只需部署在无线Mesh网络中一个可移动节点上，就能够完成对整个无线Mesh网络入侵的主动检测，该节点称为系统的宿主节点，因为宿主节点具有可移动性，因而形成了本专利技术的移动检测。根据实际检测需要，将该宿主节点设置成周期性移动或者人为干预的随机移动节点，移动地随机检测目标节点，形成了扩展性应用。本专利技术的数据采集模块和主动检测模块均通过混杂模式的网卡接口与网络连接，主动检测模块包括有四个子模块，分别是：检测规则子模块、目标节点选择子模块、探测包发送子模块、状态分析预测子模块。检测规则子模块中，每一个检测规则对应一个检测过程，目标节点选择子模块向数据采集数据模块和探测包发送子模块发送目标节点信息，探测包发送子模块接收目标节点选择子模块提供的目标节点信息，还接收检测规则子模块发送的具体检测规则，生成主动探测数据包，通过网络发送给数据采集模块，数据采集模块依据接收到的目标节点信息捕获进出目标节点的数据包，并向主动检测模块的状态分析预测子模块提供捕获到的数据包，状态分析预测子模块接收数据采集模块提供的捕获到的数据包和探测包发送子模块直接提供的主动探测数据包对捕获到的数据包和主动探测数据包进行解析和分析计算，通过对分析结果的统计预测目标节点的当前状态，获得对目标节点的检测结果，将分析预测所生成的检测结果发送给系统响应模块，将检测结果进行记录并实时显示在系统终端上。本专利技术的系统整体只需被部署在无线Mesh网络中的一个可移动的节点上，该节点称为检测系统的宿主节点，而不需要被部署在网络中的每一个节点上。宿主节点是无线Mesh网络中的一个值得信赖的节点，节点的作用是对整个无线Mesh网络中各个节点的安全状态进行实时监测和报告，该节点没有过多的资源限制，从而解决在分布式无线Mesh网络中难以进行集中检测和资源受限的问题。本专利技术的实现还在于，检测规则子模块中的每一种检测规则包括有主动探测数据包结构和检测指令组，针对每一种具体检测过程，均需要对主动探测数据包结构和检测指令组进行自主定义。主动探测数据包结构自定义是指：以XML文件的形式定义主动检测过程中需要用到的协议集以及协议集中要用到的具体协议，具体协议的数据包结构包括预先填充类字段和随机选择类字段，其中，以字段默认的二进制或十六进制数据形式给出的字段称为预先填充类字段，以函数形式给出的字段称为随机选择类字段，然后利用一个或多个具体协议对应的数据包结构组合成主动探测数据包的结构。本专利技术通过上述自定义方式，在主动探测数据包的生成过程中加入了对数据包的伪装操作，实际是本文档来自技高网...

【技术保护点】
一种无线Mesh网络的主动式入侵检测系统，系统包括有数据采集模块，中间模块和系统响应模块，数据采集模块从网络中获取检测数据，经过中间模块处理，然后系统响应模块作出结果响应，其特征在于，中间模块为主动检测模块，主动检测模块向网络中的目标节点主动发送探测信息；所述入侵检测系统整体只需部署在无线Mesh网络中一个可移动节点上，该节点称为系统的宿主节点，根据实际检测需要，将该宿主节点设置成周期性移动或者人为干预的随机移动节点，移动地随机检测目标节点，数据采集模块和主动检测模块均通过混杂模式的网卡接口与网络连接，主动检测模块包括有四个子模块，分别是：检测规则子模块、目标节点选择子模块、探测包发送子模块、状态分析预测子模块；检测规则子模块中，每一个检测规则对应一个检测过程，目标节点选择子模块向数据采集数据模块和探测包发送子模块发送目标节点信息，探测包发送子模块还接收检测规则子模块发送的具体检测规则，生成主动探测数据包，通过网络发送给数据采集模块，数据采集模块依据接收到的目标节点信息捕获进出目标节点的数据包，并向主动检测模块的状态分析预测子模块提供捕获到的数据包，状态分析预测子模块接收数据采集模块提供的捕获到的数据包和探测包发送子模块直接提供的主动探测数据包进行解析和分析计算，将分析计算所生成的检测结果发送给系统响应模块，系统响应模块将检测结果记录并实时显示在系统终端上。...

【技术特征摘要】
1.一种无线Mesh网络的主动式入侵检测系统，系统包括有数据采集模块，中间
模块和系统响应模块，数据采集模块从网络中获取检测数据，经过中间模块处理，然
后系统响应模块作出结果响应，其特征在于，中间模块为主动检测模块，主动检测模
块向网络中的目标节点主动发送探测信息；所述入侵检测系统整体只需部署在无线
Mesh网络中一个可移动节点上，该节点称为系统的宿主节点，根据实际检测需要，
将该宿主节点设置成周期性移动或者人为干预的随机移动节点，移动地随机检测目标
节点，数据采集模块和主动检测模块均通过混杂模式的网卡接口与网络连接，主动检
测模块包括有四个子模块，分别是：检测规则子模块、目标节点选择子模块、探测包
发送子模块、状态分析预测子模块；检测规则子模块中，每一个检测规则对应一个检
测过程，目标节点选择子模块向数据采集数据模块和探测包发送子模块发送目标节点
信息，探测包发送子模块还接收检测规则子模块发送的具体检测规则，生成主动探测
数据包，通过网络发送给数据采集模块，数据采集模块依据接收到的目标节点信息捕
获进出目标节点的数据包，并向主动检测模块的状态分析预测子模块提供捕获到的数
据包，状态分析预测子模块接收数据采集模块提供的捕获到的数据包和探测包发送子
模块直接提供的主动探测数据包进行解析和分析计算，将分析计算所生成的检测结果
发送给系统响应模块，系统响应模块将检测结果记录并实时显示在系统终端上。
2.根据权利要求1所述的无线Mesh网络的主动式入侵检测系统，其特征在于，
检测规则子模块中的每一种检测规则包括有主动探测数据包结构和检测指令组，针对
每一种具体检测，均需要对主动探测数据包结构和检测指令组进行自主定义；所述主
动探测数据包结构自定义是指：以XML文件的形式定义主动检测过程中需要用到的
协议集以及协议集中要用到的具体协议，具体协议的数据包结构包括预先填充类字段
和随机选择类字段，以字段默认的二进制或十六进制数据形式给出的字段称为预先填
充类字段，以函数形式给出的字段称为随机选择类字段，然后利用一个或多个具体协
议对应的数据包结构组合成主动探测数据包的结构。
3.根据权利要求1或2所述的无线Mesh网络的主动式入侵检测系统，其特征在

\t于，所述检测指令组的自定义是指：根据每种检测的具体步骤需要，从startmonitor，
send，send_sequence，wait，stopmonitor，dotest六个基本检测指令中一次或多次地选
择所需指令，按照检测的执行顺序组成相应的指令组，实现检测指令组的自定义。
4.一种无线Mesh网络的主动式入侵检测方法，是基于权利要求1-3所述的无线
Mesh网络的主动式入侵检测系统的，其特征在于，包括以下步骤：
(1)、无线Mesh网络的主动式入侵检测系统的宿主节点对邻居节点进行扫描和
筛选，获得邻居节点列表；
(2)、系统的主动检测模块的节点选择子模块从邻居节点列表中选择将要检测的
目标节点，将该目标节点提供给主动检测模块中的探测包发送子模块和数据采集模
块；
(3)、选择探测过程，生成主动探测数据包，在生成过程中完成数据包伪装操作，
将数据包发送至网络中，其中包括有，
(3.1)、探测包发送子模块从预先定义的检测规则中选择一个检测过程，作为子
检测，若选择结果不为空值，则获取该检测过程对应的具体检测规则，探测包发送子
模块利用目标节点信息和具体检测规则，结合预先定义的检测所需的主动探测数据包
结构，对主动探测数据包进行伪装操作，生成该检测所需的主动探测数据包，发送主
动探测数据包到网络中，并且...

【专利技术属性】
技术研发人员：刘亚东，杨超，马建峰，姜奇，卢帆，朱彤彤，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61