技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的入侵響應(yīng)系統(tǒng)，具體是一種無線自組織網(wǎng)絡(luò)主動防護(hù)系統(tǒng)。

背景技術(shù)

無線自組網(wǎng)絡(luò)作為一種新型的移動多跳無線網(wǎng)絡(luò)，與傳統(tǒng)的無線網(wǎng)絡(luò)有許多不同的特點。它不依賴于任何固定的基礎(chǔ)設(shè)施和管理中心，而是通過移動節(jié)點間的相互協(xié)作和自我組織來保持網(wǎng)絡(luò)的連接，同時實現(xiàn)數(shù)據(jù)的傳遞。無線自組網(wǎng)絡(luò)不需要事先設(shè)置任何固定設(shè)施，如基站，所以它能夠快速地部署，從而應(yīng)用于多種環(huán)境之中，如軍事、災(zāi)難救助、臨時會議等。

隨著無線自組網(wǎng)絡(luò)的廣泛應(yīng)用，無線自組網(wǎng)絡(luò)的安全保障變得日益重要。現(xiàn)有防范網(wǎng)絡(luò)入侵的方法可分為三類，即入侵阻止、入侵檢測和入侵響應(yīng)。所謂入侵阻止就是利用認(rèn)證、加密和防火墻技術(shù)來保護(hù)系統(tǒng)不被入侵者攻擊和破壞。但是，這類防護(hù)方法應(yīng)用在無線自組網(wǎng)絡(luò)環(huán)境之中會受到條件的限制，例如網(wǎng)絡(luò)拓?fù)鋭討B(tài)變化，沒有可以控制的網(wǎng)絡(luò)邊界，使得防火墻無法應(yīng)用。節(jié)點在移動時也可能被敵方俘獲而投降，投降節(jié)點擁有合法的密鑰，加密和認(rèn)證也失去了作用。所以，盡管入侵阻止方法在傳統(tǒng)網(wǎng)絡(luò)中發(fā)揮了重要的作用，但在無線自組網(wǎng)絡(luò)中卻難以發(fā)揮作用。入侵檢測通過分析節(jié)點的行為來確定入侵者，按照檢測技術(shù)，可以分為基于特征的和基于異常的入侵檢測。迄今為止，無線自組網(wǎng)絡(luò)安全的研究主要集中于入侵阻止和入侵檢測兩個方面。如何在無線自組網(wǎng)絡(luò)環(huán)境下實現(xiàn)入侵響應(yīng)還未見相關(guān)文獻(xiàn)發(fā)表。無線自組網(wǎng)絡(luò)由于其資源有限是相當(dāng)脆弱的，如果不對入侵者產(chǎn)生及時的響應(yīng)，阻止其攻擊行為，也許會造成整個網(wǎng)絡(luò)崩潰。當(dāng)攻擊者發(fā)動DOS攻擊時，在7分鐘內(nèi)整個網(wǎng)絡(luò)的報文傳輸率由97％下降到9.4％，網(wǎng)絡(luò)流量幾乎全部被阻塞，網(wǎng)絡(luò)無法正常運行。同時，由于其自組織、缺乏集中控制的特點，特別在多個管理域的環(huán)境中使得人工的響應(yīng)措施難以實施。由此可見，盡管入侵阻止和入侵檢測技術(shù)在防止入侵方面發(fā)揮了巨大的作用，但是它們都是被動的防御措施，它們所能取得的效果就是防止正常節(jié)點成為入侵行為的犧牲者。它們不能有效地消除入侵根源-入侵者。那些入侵者能夠繼續(xù)存在并危害網(wǎng)絡(luò)系統(tǒng)。

經(jīng)對現(xiàn)有技術(shù)的文獻(xiàn)檢索發(fā)現(xiàn)，D.Schnackenberg等人在Proceedings?ofthe?Second?DARPA?Information?Survivability?Conference?and?Exposition(DISCEXII)，Anaheim，CA，June?2001(第二屆美國國防高級研究計劃局信息生存能力會議集，阿納海姆，加利福尼亞州，2001年6月)發(fā)表的《CooperativeIntrusion?Traceback?and?Response?Architecture(CITRA)》(《協(xié)同入侵追蹤和響應(yīng)體系結(jié)構(gòu)》)，提出了一種協(xié)同入侵跟蹤與響應(yīng)架構(gòu)CITIA，該架構(gòu)將入侵檢測、防火墻和路由器組成一個整體來追蹤入侵源并在入侵者附近阻止入侵行為。其具備的功能為跨越網(wǎng)絡(luò)邊界追蹤入侵者、阻止入侵者繼續(xù)危害網(wǎng)絡(luò)、報告入侵行為、協(xié)調(diào)入侵響應(yīng)。該架構(gòu)的核心是入侵跟蹤與孤立協(xié)議IDIP，IDIP協(xié)議由D.Schnackenberg等人在Proceedings?of?the?DARPA?InformationSurvivability?Conference?and?Exposition，Hilton?Head，SC，January?2000(美國國防高級研究計劃局信息生存能力會議集，希爾頓頭島，南卡羅來納州，2000年1月)上發(fā)表的《Infrastructure?for?Intrusion?Detection?andResponse》(《入侵檢測和響應(yīng)架構(gòu)》)中提出的，IDIP協(xié)議將網(wǎng)絡(luò)分為多個域，每個域內(nèi)有一個協(xié)調(diào)管理者。IDIP協(xié)議中對于一次攻擊，首先檢測到入侵的節(jié)點會向它所有的鄰居節(jié)IDIP點發(fā)送一個事件報告，接收到的節(jié)點會首先判斷自己是否在攻擊路徑上，如果是，它將會繼續(xù)發(fā)送這個事件報告給其它的鄰居節(jié)點。所有在攻擊路徑上的節(jié)點在向鄰居節(jié)點發(fā)IDIP發(fā)送事件報告的同時，會把這份報告和它已采取的響應(yīng)發(fā)送給協(xié)調(diào)管理者，協(xié)調(diào)管理者綜合各節(jié)點的信息，協(xié)調(diào)各節(jié)點的響應(yīng)，從而達(dá)到全局最優(yōu)的響應(yīng)。CITRA(協(xié)同入侵跟蹤與響應(yīng)架構(gòu))和IDIP(入侵跟蹤與孤立協(xié)議)通過各個網(wǎng)絡(luò)之間信息的交換，對路由器、防火墻和主機(jī)的重新配置，實現(xiàn)跨多個網(wǎng)絡(luò)對入侵者的自動追蹤，最后將入侵者在當(dāng)?shù)赜枰怨铝ⅰＩ鲜鲋鲃臃雷o(hù)的方案，都是基于有線Internet網(wǎng)絡(luò)環(huán)境下實施的，在無線自組網(wǎng)絡(luò)環(huán)境下，由于節(jié)點移動，動態(tài)拓?fù)渥兓沟蒙鲜龇桨鸽y于應(yīng)用。

發(fā)明內(nèi)容