一种基于数据挖掘、用于Mesh网络针对RREQ洪泛攻击的入侵检测方法,检测节点的操作步骤如下:将在该网络中设定时间内接收到的所有RREQ报文按照源节点ID归类和计数;根据对网络中的正常节点和恶意节点的两者数量的获知或估计,分别选取两个检测参数K和cut_off;分别计算每个节点的K-距离函数值:先遍历除去每个节点自身以外的所有节点,从中选择与该节点自身发送RREQ报文数最接近的K个节点;再分别计算每个节点发送RREQ报文数与该节点自身发送RREQ报文数之差的绝对值后,将K个绝对值的累加之和除以K的商,作为每个节点的K-距离函数值;分别将每个节点的K-距离函数值与cut_off数值进行比较,将其中K-距离函数值大于cut_off数值的节点判定为恶意节点并进行相应处理。
【技术实现步骤摘要】
本专利技术涉及一种基于数据挖掘的无线网状(Mesh)网络入侵的检测方法,确切地 说,涉及一种异常检测的路由查询报文RREQ(Route Requests)泛洪攻击入侵的检测方法, 属于网络通信的信息安全
技术介绍
在Mesh网络中,RREQ泛洪攻击能够以极小的代价,显著地影响网络性能。 YIH-CHUN HU等人发表于《wireless network (无线网络)》2005年11期的论文《A Secure On-Demand Routing Protocol for Ad Hoc Networks (无线自组织网络中的一种安全按需 路由协议)》中介绍了无线Mesh网络中针对RREQ洪泛攻击的阈值入侵的检测方法。该方 法通过基于理论研究和网络仿真NS2 (network simulator),再与实际测试相结合进行性能 分析,可以看到,阈值检测方法的实现较为简便。然而,在某些场景(如“多点低频攻击”和 “单点高速移动攻击”等)还是无法对恶意节点实现有效检测。|l]^t,Zhi Ang Eu·入《Lecture Notes in Computer Science》,2006,Volume 3961,《Mitigating Route Request Flooding Attacks in Mobile Ad Hoc Networks》(阻 止无线自组织网络中路由查询泛洪攻击)一文中研究对数据进行统计分析的尝试,以便找 出偏离均值较大的异常数据。但是,对这些统计数据进行假设是危险的,往往它们并不符合 正态分布(例如若干个正态分布的叠加),使得这样的统计分析失效。目前,采用较广泛的检测方法是利用RREQ洪泛恶意节点“发送RREQ频率远远高 于正常节点”的这个特征,但是,其在算法上明显存在两个缺陷一是对某个被检测节点的 RREQ报文信息的收集和计数只局限于其邻居节点。二是在判断RREQ发送频率是否属于攻 击行为时,仅仅依靠简单地与一个设定阈值进行比对,适应性不佳。因此,如何对目前应用 最广泛的这个方法进行改进和提高,就成为业内科技人员关注的新焦点课题。
技术实现思路
有鉴于此,本专利技术的目的是提供一种基于数据挖掘、用于无线Mesh网络针对RREQ 洪泛攻击的入侵检测方法,本专利技术方法是从节点行为数据中将明显的异常行为分离出来, 以检测恶意节点;还对该方法的参数选取及错误率进行了分析。本专利技术能够有效检测出 Mesh网络中针对RREQ的洪泛攻击,为Mesh网络的安全通信提供保证措施,从而为国家的通 信产业做出贡献。为了达到上述专利技术目的,本专利技术提供了一种基于数据挖掘、用于Mesh网络针对路 由查询报文RREQ (Route Requests)洪泛攻击的入侵检测方法,其特征在于,包括下列操作 步骤(1)检测节点将接收到的Mesh网络中的所有RREQ报文,按照源节点的标识ID对 其在设定时间内接收的全部RREQ报文进行归类和计数;(2)检测节点根据其对Mesh网络中的正常节点和恶意节点的两者数量的获知或估计,分别选取两个可调节的检测参数K和cut_0ff,其中,检测参数K的数值选取范围为 [m, n),式中,m为估计的恶意节点最大数量,η为正常节点的数量;检测参数VUt_ofT用于 保证该检测方法的错误发生率为最小;(3)检测节点按照下述两个步骤分别计算每个节点的K-距离函数值选取遍历除去每个节点自身以外的所有节点,从中选择与该节点自身发送RREQ 报文数量最接近的K个节点;K为步骤(2)的检测参数;计算分别计算每个节点发送RREQ报文数量与该节点自身发送RREQ报文数量之 差的绝对值,再将该K个绝对值的累加之和除以K得到的商,作为每个节点的K-距离函数 值;(4)检测节点分别将每个节点的K-距离函数值与步骤(3)的cut_0ff数值进行比 较,将其中K-距离函数值大于CUt_ofT数值的节点判定为恶意节点;(5)检测节点将所记录的每个节点已经发送的RREQ报文数清零。所述检测节点是在该Mesh网络中能够接收到RREQ报文和对所收到的RREQ报文 进行入侵检测,并能根据检测结果启动检测响应机制的节点;所述检测响应机制是指为抵 御恶意节点的攻击行为而由网络管理人员采取的相应技术措施。所述源节点的标识ID是在Mesh网络中用于唯一地标识各个节点的信息,拥有ID 信息的每个节点发出的报文都是归属源节点ID的报文。所述步骤(1)进一步包括下列两个操作内容(11)检测节点对其在设定时间接收到的所有RREQ报文提取每个RREQ报文的源节 点ID,执行归类操作;(12)检测节点根据所获取的每个源节点ID,分别查找该源节点是否已经发送过 RREQ报文;如果已经发送过,则在其已发送的RREQ报文数加1,如果没有发送过,则将其已 发送RREQ报文数设置为1 ;执行计数操作。所述步骤⑴中的设定时间是根据网络实际情况选择的网络工作比较正常时, 该设定时间的时长会较长,而网络故障比较多时,该设定时间的时长会较短。所述步骤(2)中,估计的恶意节点最大数m为不大于5的自然数。所述步骤(2)中,检测参数cut_off的计算过程如下根据贝叶斯决策,错误平均发生率的计算公式为外)=[xp{e,x)dx= ^p(e\x)p(x)dx式中,p (x)为先验概率, p(e|x)为由贝叶斯公式求出的误判的后验概率,即计算p(e|x)需要获知恶意节点W1的先 验概率P(Wi)及其条件概率P(Xlwi);而在Mesh网络中只有两类节点恶意节点W1和正常 节点W2,只有当恶意节点W1的漏警率和虚警率两者相等时,才能得到最小错误发生率R* ;因p(Wi)为经验值或实验值,无法通过理论分析给出,假设初始的恶意节点W1和正常节点 的先验概率都为平均分布 劳广M = ^fpb1HpOg = 1,式中, m为估计的恶意节点最大数量,η为正常节点的数量,N是所有节点数,即N = m+n ;条件(x-U Λ概率P(Xlwi)取决于检测算法,在步骤⑵选择的K值时,可得到= Φ —^和ρ^,^φ ^)故由贝叶斯公式得到的后验概率为、‘1 7 ±ρ(χ\^)ρ(^) \\2KcTJ ·7=1·因有漏警和虚警两种误判情况,其中漏警概率p(ei,X<CUt_off)的定义为p(ei, χ < cut_off) = P (W11 χ < cut_off) Xp (χ < cut_off),虚警才既率 P (e2,χ > cut_off)的定 义为:p(e2, χ > cut_off) = ρ (w21 χ > cut_off) Xp(x > cut_off);当漏警概率与虚警概 率相等时得到的R*,即使得等式P(e1;x < cut_off) = p(e2,x > cut_off)成立的cut_off 数值为应该选择的cut_off值。与现有技术相比,本专利技术具有如下有益效果本专利技术基于数据挖掘的入侵检测方法的本质是挖掘发送RREQ洪泛攻击的恶意节 点或异常节点,因为网络中的正常节点特征是相近的,只有少数恶意节点的特征异常,无论 Mesh网络出于何种情况,本专利技术都能根据异常特征检测出恶意节点,因此本专利技术具有较强 的适应性。本本文档来自技高网...
【技术保护点】
【技术特征摘要】
一种基于数据挖掘、用于Mesh网络针对路由查询报文RREQ洪泛攻击的入侵检测方法,其特征在于,包括下列操作步骤(1)检测节点将接收到的Mesh网络中的所有RREQ报文,按照源节点的标识ID对其在设定时间内接收的全部RREQ报文进行归类和计数;(2)检测节点根据其对Mesh网络中的正常节点和恶意节点的两者数量的获知或估计,分别选取两个可调节的检测参数K和cut_off,其中,检测参数K的数值选取范围为[m,n),式中,m为估计的恶意节点最大数量,n为正常节点的数量;检测参数cut_off用于保证该检测方法的错误发生率为最小;(3)检测节点按照下述两个步骤分别计算每个节点的K 距离函数值选取遍历除去每个节点自身以外的所有节点,从中选择与该节点自身发送RREQ报文数量最接近的K个节点;K为步骤(2)的检测参数;计算分别计算每个节点发送RREQ报文数量与该节点自身发送RREQ报文数量之差的绝对值,再将该K个绝对值的累加之和除以K得到的商,作为每个节点的K 距离函数值;(4)检测节点分别将每个节点的K 距离函数值与步骤(3)的cut_off数值进行比较,将其中K 距离函数值大于cut_off数值的节点判定为恶意节点;(5)检测节点将所记录的每个节点已经发送的RREQ报文数清零。2.根据权利要求1所述的方法,其特征在于所述检测节点是在该Mesh网络中能够接 ...
【专利技术属性】
技术研发人员:易平,翟强,柳宁,陈友波,陈伟,
申请(专利权)人:河源市特灵通通讯有限公司,深圳市特灵通数码通讯发展有限公司,
类型:发明
国别省市:44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。