技術(shù)領(lǐng)域

本發(fā)明涉及無(wú)線網(wǎng)絡(luò)入侵檢測(cè)技術(shù)領(lǐng)域，具體是一種基于路徑的無(wú)線網(wǎng)絡(luò)自適應(yīng)攻擊檢測(cè)方法。

背景技術(shù)

在自組織無(wú)線網(wǎng)絡(luò)（Ad?hoc）中，黑洞攻擊是一種典型的路由擾亂型攻擊方式，會(huì)給網(wǎng)絡(luò)性能造成嚴(yán)重的影響。Hongmei?Deng等人于2002年在《Telecommunications?Network?Security》發(fā)表的論文《Routing?Security?in?Wireless?Ad?Hoc?Networks》中介紹了黑洞攻擊（black?hole）是無(wú)線自組織網(wǎng)絡(luò)中一種主要的攻擊類型，即采用路由選擇方式時(shí)，在路由發(fā)現(xiàn)階段惡意節(jié)點(diǎn)向接收到的路由請(qǐng)求包中加入虛假可用信道信息，騙取其他節(jié)點(diǎn)同其建立路由連接，然后丟掉需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，造成數(shù)據(jù)包丟失的惡意攻擊。

在黑洞攻擊的防御與檢測(cè)方面，以往的該領(lǐng)域研究人員曾提出過(guò)如下幾種類型的方法：Zapata等人在《Secure?Ad?hocon?Demand?Distance?Vector（SOADV）Routing》一文中提出的SOADV算法和Papadimitrados等人在《Secure?Routing?for?Mobile?Ad?hoc?Networks》一文中提出的Ad?hoc路由協(xié)議安全擴(kuò)展算法等防御策略，都是要在路由協(xié)議中加入復(fù)雜的加/解密算法和相應(yīng)的擴(kuò)展協(xié)議來(lái)實(shí)現(xiàn)，其缺陷在于提高了Ad?hoc網(wǎng)絡(luò)的路由開(kāi)銷，代價(jià)過(guò)大；Al-Shurman等人在《Black?Hole?Attack?in?Mobile?Ad?hoc?Networks》中提出了冗余路由算法，通過(guò)增設(shè)冗余路徑的策略抵御黑洞攻擊，但該方法延時(shí)過(guò)長(zhǎng)，尤其對(duì)于大型Ad?hoc網(wǎng)絡(luò)效用大幅降低。此外，還有節(jié)點(diǎn)信用衡量法，Watchdog等方法被相繼提出。

匯總現(xiàn)有論文中的方法，可以總結(jié)出以往算法中尚存以下三點(diǎn)不足之處：

一、檢測(cè)策略開(kāi)銷過(guò)大，不適應(yīng)無(wú)線自組織網(wǎng)路簡(jiǎn)單快捷的路由環(huán)境；

二、檢測(cè)效果不佳，檢測(cè)率過(guò)低或誤檢率過(guò)高；

三、缺乏合理的檢測(cè)閾值，沒(méi)有實(shí)現(xiàn)自適應(yīng)的閾值選取方式。

發(fā)明內(nèi)容

本發(fā)明的目的是克服上述現(xiàn)有技術(shù)的不足，提供一種基于路徑的無(wú)線網(wǎng)絡(luò)自適應(yīng)檢測(cè)方法，用于對(duì)DSR協(xié)議下的無(wú)線自組織網(wǎng)絡(luò)（Mobile?Ad?hoc）的黑洞攻擊的高效檢測(cè)，并較好地實(shí)現(xiàn)檢測(cè)開(kāi)銷和檢測(cè)效果的平衡，同時(shí)采用動(dòng)態(tài)閾值的方式實(shí)現(xiàn)檢測(cè)方法的自適應(yīng)性。

本發(fā)明的基本原理是：

每個(gè)檢測(cè)節(jié)點(diǎn)只檢測(cè)本次路由中下一跳節(jié)點(diǎn)的轉(zhuǎn)發(fā)行為。將下一跳節(jié)點(diǎn)（被檢測(cè)節(jié)點(diǎn)）的數(shù)據(jù)包轉(zhuǎn)發(fā)率與動(dòng)態(tài)閾值作比較，低于閾值時(shí)，則判定為攻擊節(jié)點(diǎn)。其中，在閾值的選取方面，由于網(wǎng)絡(luò)中隱蔽節(jié)點(diǎn)的存在，使得不同網(wǎng)絡(luò)環(huán)境（主要指數(shù)據(jù)包發(fā)生碰撞的程度不同）下，正常活動(dòng)節(jié)點(diǎn)的轉(zhuǎn)發(fā)率并不相同，所以采用固定閾值會(huì)產(chǎn)生較大誤報(bào)率。本方法根據(jù)信道中的實(shí)時(shí)碰撞率，計(jì)算出在特定網(wǎng)絡(luò)環(huán)境（指特定碰撞率）中的自適應(yīng)閾值。采用該動(dòng)態(tài)閾值進(jìn)行檢測(cè)，達(dá)到更好的檢測(cè)效果。

本發(fā)明的技術(shù)解決方案如下：

一種基于路徑的無(wú)線網(wǎng)絡(luò)自適應(yīng)攻擊檢測(cè)方法，該方法包括如下步驟：

①當(dāng)檢測(cè)節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，數(shù)據(jù)包摘要被加入到檢測(cè)節(jié)點(diǎn)的數(shù)據(jù)包摘要緩存中。

所述的數(shù)據(jù)包摘要緩存是指在每個(gè)檢測(cè)節(jié)點(diǎn)中創(chuàng)建的用于記錄轉(zhuǎn)發(fā)數(shù)據(jù)包摘要的存儲(chǔ)空間。

②檢測(cè)節(jié)點(diǎn)始終監(jiān)聽(tīng)其下一跳節(jié)點(diǎn)，即被檢測(cè)節(jié)點(diǎn)的數(shù)據(jù)包轉(zhuǎn)發(fā)行為。

③每經(jīng)過(guò)一個(gè)檢測(cè)周期，檢測(cè)節(jié)點(diǎn)將計(jì)算其下一跳節(jié)點(diǎn)的轉(zhuǎn)發(fā)率。

所述的檢測(cè)周期是指間隔一段固定的時(shí)隙，用于統(tǒng)計(jì)被檢測(cè)節(jié)點(diǎn)的轉(zhuǎn)發(fā)率。

所述的轉(zhuǎn)發(fā)率是指被檢測(cè)節(jié)點(diǎn)轉(zhuǎn)發(fā)的數(shù)據(jù)包數(shù)量除以被檢測(cè)節(jié)點(diǎn)接收的數(shù)據(jù)包數(shù)量。

④在MAC層增加兩個(gè)計(jì)數(shù)器——分別是collisionPktNum和nonColPktNum，初始化collisionPktNum和nonColPktNum均為0；

所述的MAC層是指介質(zhì)訪問(wèn)控制層，屬于OSI模型中數(shù)據(jù)鏈路層下層子層。

⑤在每一個(gè)碰撞統(tǒng)計(jì)周期，當(dāng)檢測(cè)節(jié)點(diǎn)在MAC層檢測(cè)到一次碰撞，則將collisionPktNum加1，否則將nonColPktNum加1；

計(jì)算碰撞率（RCR），公式如下：