描述了一種用于檢測對移動網絡的攻擊的系統、方法和計算機可讀介質。該系統包括用于執行各種操作的相關硬件和部件，所述操作包括連續測量網絡中各節點處的時變信號。所述系統確定網絡中所有節點的時變信號上的網絡流量，并且如果網絡流量超過預定的閾值，則檢測到網絡攻擊。此外，如果網絡流量超過預定的閾值，則啟動反應式協議。

政府權利

本發明是在美國政府合同號AFRL-FA875014-C-0017下憑借政府支持進行的。政府對本發明享有一定權利。

相關申請的交叉引用

這是2015年3月18日提交的美國臨時申請第62/135151號的非臨時專利申請，其整體通過引用并入本文。

技術領域

本發明涉及一種用于檢測對移動ad hoc網絡(MANET)的攻擊的系統，更具體地，涉及一種用于通過識別網絡中發出可疑活動信號的動態結構依賴性變化來檢測攻擊的系統。

背景技術

MANET是使用對等通信和協作來跨網絡(從源節點到目的地節點)中繼數據的移動無線網絡。由于移動無線網絡拓撲的動態性質，在控制信息的隱式信任和共享的模型上建立管理如何跨網絡中繼數據的協議，這使得它們特別難以抵御對該控制信息的攻擊。雖然當前網絡協議棧通常為在節點對之間傳輸的數據提供安全(例如，加密)，但網絡控制信息必須對協作的節點可見，這使得網絡很難安全(即，網絡無法避免“網絡知情人”攻擊)。被俘節點(compromised node)可以(例如，通過將自己宣傳為到達網絡中的每個其它節點的最快路由，但是丟棄其獲得的每個分組，這被稱為黑洞攻擊)發送不良信息來破壞網絡的操作。這種攻擊通常可以在不違反協議的情況下執行，因此用常規技術難以檢測。

為了檢測對這樣的網絡的攻擊，已經采用了各種技術。例如，簽名檢測是使用先驗已知的特定攻擊模式的技術(這對于未知攻擊無效)。異常檢測使用分類器；然而，有效的分類器由于網絡動態而難以構建，并且它們具有低至中等精度。免疫是學習識別外來行為的另一種技術。免疫的問題是該方法是協議特定的，難以制定，并且具有高計算開銷。被稱為擴展有限狀態機(FSM)模型的另一種技術檢測協議狀態轉換中的顯式違規；然而，擴展FSM方法是協議和實現特定的。

值得注意的是，沒有其它方法使用圖形理論和信息動態分析來識別不良行為節點。在信息動態領域中，由Argollo de Meneze等人發表的出版物示出了基于網絡中節點處的信號的值計算的特定度量的計算(參見所并入的參考文獻的列表，參考文獻1)。該度量與信號的外部和內部波動有關，但與移動ad hoc網絡(MANET)的機制(machinery)無關，也與攻擊檢測無關。

移動無線網絡中不良行為節點的檢測的當前研究仍然主要集中在調整和優化專注于網絡棧的較低層處的行為的常規網絡防御策略。對策略(諸如簽名檢測、統計異常檢測以及基于規范的檢測)的研究已經證明對于特定的攻擊和網絡情況是有效的，但對于更一般的情況的適用性已經證明是難以捉摸的。網絡科學在網絡安全方面的應用只是最近在對邏輯和物理網絡兩者的建模方法(參見參考文獻2)的突破之后才被意識到，其中，連接性和動態根本不同。將這項突破性工作擴展到移動無線網絡的挑戰性環境(特別是在規模和復雜性的現實世界假設下)尚未得到研究。

由此，持續需要一種用于通過識別網絡中發出可疑活動信號的動態結構依賴性變化來檢測對移動ad hoc網絡的攻擊的系統。

發明內容

本公開提供了一種用于檢測對移動網絡的攻擊的系統。在一些方面，該系統包括一個或更多個處理器和存儲器，該存儲器是具有編碼在其上的可執行指令的非臨時性計算機可讀介質。在執行指令時，一個或更多個處理器執行若干操作，包括：連續測量網絡中各節點處的時變信號；確定網絡中所有節點的時變信號上的網絡流量(network flux)；如果網絡流量超過預定閾值，則檢測到網絡攻擊；以及如果網絡流量超過預定閾值，則啟動反應式協議。