用于基于网络流量检测对移动ad hoc网络的攻击的系统和方法技术方案

描述了一种用于检测对移动网络的攻击的系统。该系统包括用于执行各种操作的相关硬件和部件，所述操作包括连续测量网络中各节点处的时变信号。所述系统确定网络中所有节点的时变信号上的网络流量，并且如果网络流量超过预定的阈值，则检测到网络攻击。此外，如果网络流量超过预定的阈值，则启动反应式协议。

【技术实现步骤摘要】
【国外来华专利技术】用于基于网络流量检测对移动adhoc网络的攻击的系统和方法政府权利本专利技术是在美国政府合同号AFRL-FA875014-C-0017下凭借政府支持进行的。政府对本专利技术享有一定权利。相关申请的交叉引用这是2015年3月18日提交的美国临时申请第62/135151号的非临时专利申请，其整体通过引用并入本文。
本专利技术涉及一种用于检测对移动adhoc网络(MANET)的攻击的系统，更具体地，涉及一种用于通过识别网络中发出可疑活动信号的动态结构依赖性变化来检测攻击的系统。
技术介绍
MANET是使用对等通信和协作来跨网络(从源节点到目的地节点)中继数据的移动无线网络。由于移动无线网络拓扑的动态性质，在控制信息的隐式信任和共享的模型上建立管理如何跨网络中继数据的协议，这使得它们特别难以抵御对该控制信息的攻击。虽然当前网络协议栈通常为在节点对之间传输的数据提供安全(例如，加密)，但网络控制信息必须对协作的节点可见，这使得网络很难安全(即，网络无法避免“网络知情人”攻击)。被俘节点(compromisednode)可以(例如，通过将自己宣传为到达网络中的每个其它节点的最快路由，但是丢弃其获得的每个分组，这被称为黑洞攻击)发送不良信息来破坏网络的操作。这种攻击通常可以在不违反协议的情况下执行，因此用常规技术难以检测。为了检测对这样的网络的攻击，已经采用了各种技术。例如，签名检测是使用先验已知的特定攻击模式的技术(这对于未知攻击无效)。异常检测使用分类器；然而，有效的分类器由于网络动态而难以构建，并且它们具有低至中等精度。免疫是学习识别外来行为的另一种技术。免疫的问题是该方法是协议特定的，难以制定，并且具有高计算开销。被称为扩展有限状态机(FSM)模型的另一种技术检测协议状态转换中的显式违规；然而，扩展FSM方法是协议和实现特定的。值得注意的是，没有其它方法使用图形理论和信息动态分析来识别不良行为节点。在信息动态领域中，由ArgollodeMeneze等人发表的出版物示出了基于网络中节点处的信号的值计算的特定度量的计算(参见所并入的参考文献的列表，参考文献1)。该度量与信号的外部和内部波动有关，但与移动adhoc网络(MANET)的机制(machinery)无关，也与攻击检测无关。移动无线网络中不良行为节点的检测的当前研究仍然主要集中在调整和优化专注于网络栈的较低层处的行为的常规网络防御策略。对策略(诸如签名检测、统计异常检测以及基于规范的检测)的研究已经证明对于特定的攻击和网络情况是有效的，但对于更一般的情况的适用性已经证明是难以捉摸的。网络科学在网络安全方面的应用只是最近在对逻辑和物理网络两者的建模方法(参见参考文献2)的突破之后才被意识到，其中，连接性和动态根本不同。将这项突破性工作扩展到移动无线网络的挑战性环境(特别是在规模和复杂性的现实世界假设下)尚未得到研究。由此，持续需要一种用于通过识别网络中发出可疑活动信号的动态结构依赖性变化来检测对移动adhoc网络的攻击的系统。
技术实现思路
本公开提供了一种用于检测对移动网络的攻击的系统。在一些方面，该系统包括一个或更多个处理器和存储器，该存储器是具有编码在其上的可执行指令的非临时性计算机可读介质。在执行指令时，一个或更多个处理器执行若干操作，包括：连续测量网络中各节点处的时变信号；确定网络中所有节点的时变信号上的网络流量(networkflux)；如果网络流量超过预定阈值，则检测到网络攻击；以及如果网络流量超过预定阈值，则启动反应式协议。在又一个方面，在启动反应式协议时，将网络与所有外部通信隔离。在另一个方面，时变信号是网络中节点之间的业务吞吐量。在又一个方面，时变信号是各节点处的瞬时邻居(instantaneousneighbor)的数量。注意，在MANET中瞬时邻居的数量是随时间变化的，因此，该方面中的时变信号是各节点处的瞬时邻居的数量。在另一个方面，网络流量基于时变信号中的内部波动和时变信号中的外部波动的函数来确定。此外，在确定网络流量时，系统执行以下操作：估计时变信号中的内部波动；估计时变信号中的外部波动；针对多个节点评估跨时间窗的外部波动和内部波动的标准差的比率，该比率具有最大值；以及基于针对所述多个节点的比率确定网络流量。例如，该比率具有最大值，并且跨节点的比率的最大值被指定为网络流量；因此，在该示例中，网络流量基于多个节点的比率。最后，本专利技术还包括计算机程序产品和计算机实现的方法。计算机程序产品包括存储在非临时性计算机可读介质上的计算机可读指令，这些指令可由具有一个或更多个处理器的计算机来执行，使得在执行指令时，一个或更多个处理器执行本文列出的操作。另选地，计算机实现的方法包括使计算机执行这样的指令并执行所产生的操作的动作。附图说明本专利技术的目的、特征和优点将从以下结合参照附图对本专利技术的各个方面的详细描述中变得显而易见，其中：图1是描绘根据本专利技术的各种实施方式的系统的部件的框图；图2是实施本专利技术的方面的计算机程序产品的例示；图3是描绘根据本专利技术的各种实施方式的系统的元素和过程流的流程图；图4是描绘网络节点处的时变信号的例示；图5是描绘用于例示数据的“外部”对“内部”方差的分布的一系列图的例示；图6A是描绘基于拒绝服务(DoS)攻击期间的高时间互相关的多个虚拟连接的图；图6B是描绘拒绝服务(DoS)攻击期间的网络流量的图；图7A是描绘取决于窗口尺寸的用于时间互相关的决策变量(以2秒采样间隔)的图；图7B是描绘取决于窗口尺寸的用于时间互相关的决策变量(以5秒采样间隔)的图；以及图7C是描绘如以2秒采样间隔针对窗口尺寸绘制的网络流量方法的图。具体实施方式本专利技术涉及一种用于检测对移动adhoc网络的攻击的系统，更具体地，涉及一种用于通过识别网络中发出可疑活动信号的动态结构依赖性变化来检测攻击的系统。提出以下描述以使得本领域普通技术人员能够进行和使用本专利技术，并且将本专利技术并入特定应用的背景下。在不同应用中的各种修改以及各种用途对于本领域技术人员将是显而易见的，并且本文所限定的一般原理可以应用于广泛的方面。因此，本专利技术不旨在限于所提出的方面，而是符合与本文所公开的原理和新颖特征相一致的最宽范围。在下面的详细描述中，阐述了许多具体细节，以便更全面地理解本专利技术。然而，对于本领域技术人员将显而易见的是，可以实施本专利技术而不必限于这些具体细节。在其它情况下，为了避免模糊本专利技术，以框图形式而不是详细地示出公知的结构和装置。读者的注意力被引导到与本说明书同时提交的所有与本说明书一起公开进行审查的论文和文件，并且所有这样的论文和文件的内容通过引用并入本文。除非另有明确说明，否则本说明书(包括任何所附权利要求、摘要和附图)中公开的所有特征可由服务相同、等效或相似目的的另选特征来替代。因此，除非另有明确说明，否则所公开的各特征仅是等效或相似特征的通用系列的一个示例。此外，权利要求中未明确说明用于执行指定功能的“装置”或用于执行特定功能的“步骤”的任何元素不被解释为如在35U.S.C第112节第6段中指定的“装置”或“步骤”条款。特别是，本文权利要求中“…的步骤”或“…的动作”的使用不旨在援引35U.S.C第112节第6段中的规定。在详细描述本专利技术之前，首先提供并入的参考文献的列本文档来自技高网...

【技术保护点】
一种用于检测对移动网络的攻击的系统，所述系统包括：一个或更多个处理器和存储器，所述存储器是非临时性计算机可读介质，所述非临时性计算机可读介质上编码有可执行指令，使得在执行所述指令时，所述一个或更多个处理器执行以下操作：连续测量网络中各节点处的时变信号；确定所述网络中所有节点的所述时变信号上的网络流量；如果所述网络流量超过预定的阈值，则检测到网络攻击；以及如果所述网络流量超过所述预定的阈值，则启动反应式协议。

【技术特征摘要】
【国外来华专利技术】2015.03.18 US 62/135,1511.一种用于检测对移动网络的攻击的系统，所述系统包括：一个或更多个处理器和存储器，所述存储器是非临时性计算机可读介质，所述非临时性计算机可读介质上编码有可执行指令，使得在执行所述指令时，所述一个或更多个处理器执行以下操作：连续测量网络中各节点处的时变信号；确定所述网络中所有节点的所述时变信号上的网络流量；如果所述网络流量超过预定的阈值，则检测到网络攻击；以及如果所述网络流量超过所述预定的阈值，则启动反应式协议。2.根据权利要求1所述的系统，其中，所述反应式协议包括将所述网络与所有外部通信隔离。3.根据权利要求2所述的系统，其中，所述时变信号是所述网络中节点之间的业务吞吐量。4.根据权利要求3所述的系统，其中，所述时变信号是各节点处瞬时邻居的数量。5.根据权利要求3所述的系统，其中，所述网络流量基于所述时变信号中的内部波动和所述时变信号中的外部波动的函数来确定。6.根据权利要求5所述的系统，其中，在确定网络流量时，所述系统执行以下操作：估计所述时变信号中的内部波动；估计所述时变信号中的外部波动；针对多个节点评估跨时间窗的所述外部波动和所述内部波动的标准差的比率，所述比率具有最大值；以及基于针对所述多个节点的所述比率确定所述网络流量。7.根据权利要求6所述的系统，其中，跨所述节点的所述比率的所述最大值是所述网络流量。8.根据权利要求1所述的系统，其中，所述时变信号是所述网络中节点之间的业务吞吐量。9.根据权利要求1所述的系统，其中，所述时变信号是各节点处瞬时邻居的数量。10.根据权利要求1所述的系统，其中，所述网络流量基于所述时变信号中的内部波动和所述时变信号中的外部波动的函数来确定。11.根据权利要求1所述的系统，其中，在确定网络流量时，所述系统执行以下操作：估计所述时变信号中的内部波动；估计所述时变信号中的外部波动；针对各节点评估跨时间窗的所述外部波动和所述内部波动的标准差的比率，所述比率具有最大值；以及将跨所述节点的所述比率的所述最大值指定为所述网络流量。12.根据权利要求11所述的系统，其中，跨所述节点的所述比率的所述最大值是所述网络流量。13.一种用于检测对移动网络的攻击的方法，所述方法包括以下动作：使得一个或更多个处理器执行被编码在非临时性计算机可读...

【专利技术属性】
技术研发人员：H·霍夫曼，G·D·霍兰德，
申请(专利权)人：赫尔实验室有限公司，
类型：发明
国别省市：美国,US