專利名稱:具有入侵檢測特性的移動自組織網(wǎng)絡(luò)以及相關(guān)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及具有入侵檢測特性的移動自組織網(wǎng)絡(luò)以及相關(guān)的方法����。
背景技術(shù):
在過去的十年中,無線網(wǎng)絡(luò)得到了不斷發(fā)展��。對無線網(wǎng)絡(luò)而言���,其中一個快速發(fā)展的領(lǐng)域是移動自組織(ad hoc)網(wǎng)絡(luò)��,或簡稱“MANET”。在物理上���,移動自組織網(wǎng)絡(luò)包括很多在地理上分散并且共享公共無線電信道的移動節(jié)點�。與蜂窩網(wǎng)絡(luò)或衛(wèi)星網(wǎng)絡(luò)之類的其他類型的網(wǎng)絡(luò)相比�����,移動自組織網(wǎng)絡(luò)的最大區(qū)別特征在于沒有固定架構(gòu)��。網(wǎng)絡(luò)僅僅由移動節(jié)點組成��,并且網(wǎng)絡(luò)是在節(jié)點彼此足夠接近并且執(zhí)行發(fā)送或接收操作的時候“匆忙”建立的。這種網(wǎng)絡(luò)不依賴于特定的節(jié)點�����,并且會在某些節(jié)點加入或其他節(jié)點離開網(wǎng)絡(luò)的時候進行動態(tài)調(diào)整����。
由于存在這些獨特的特性,因此�����,用于對自組織網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)流進行控制并能適應(yīng)于頻繁的拓撲結(jié)構(gòu)變化的路由協(xié)議是不可或缺的���。并且近年來出現(xiàn)了兩種關(guān)于自組織路由協(xié)議的基本分類���,即后應(yīng)式(reactive)或“按需”協(xié)議以及先應(yīng)式(proactive)或表格驅(qū)動型協(xié)議。后應(yīng)式協(xié)議是在響應(yīng)于某個路由請求而需要某個關(guān)于特定目的地的路由的時候收集路由信息的�。并且后應(yīng)式協(xié)議的實例包括自組織按需距離矢量(AODV)路由、動態(tài)源路由(DSR)以及臨時排序路由算法(TORA)�����。
另一方面,先應(yīng)式路由協(xié)議則試圖保持網(wǎng)絡(luò)中每一個節(jié)點到所有其他節(jié)點的一致和最新的路由信息���。這種協(xié)議通常需要每一個節(jié)點都保持一個或多個用于存儲路由信息的表格��,并且這些協(xié)議是通過在整個網(wǎng)絡(luò)中傳播更新來響應(yīng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)變化的�����,由此保持了一致的網(wǎng)絡(luò)視圖�。這種先應(yīng)式路由協(xié)議的實例包括在授予Perkins的美國專利5,412,654中公開的目標(biāo)排序距離矢量(DSDV)路由�;無線路由協(xié)議(WRP)以及簇頭網(wǎng)關(guān)交換路由(CGSR)。此外����,其中一種既使用先應(yīng)式方法又使用后應(yīng)式方法的混合協(xié)議是在授予Haas的美國專利6,304,556中公開的區(qū)域路由協(xié)議(ZRP)。
目前�,自組織網(wǎng)絡(luò)發(fā)展所面對的一個挑戰(zhàn)是安全性問題。特別地��,由于移動自組織網(wǎng)絡(luò)中的所有節(jié)點都以無線方式通信����,因此這其中存在的非授權(quán)用戶入侵的風(fēng)險要大的多����。由于自組織網(wǎng)絡(luò)的開發(fā)尚處于早期階段��,并且這些網(wǎng)絡(luò)呈現(xiàn)出了眾多其他的挑戰(zhàn)��,因此��,迄今為止�,上述路由協(xié)議主要關(guān)注的是數(shù)據(jù)路由結(jié)構(gòu)而不是入侵檢測�����。
目前正在開發(fā)一些用于在移動自組織網(wǎng)絡(luò)中提供入侵檢測的方法�。而在Zhang等人于2000年發(fā)表于ACM MOBICOM的名為“Intrusion Detection in Wireless Ad-hoc networks”的論文中則概述了其中一種方法。在這篇論文中提出了一種入侵檢測架構(gòu)�����,在這個架構(gòu)中����,MANET中的各個節(jié)點全都參與到入侵檢測和響應(yīng)中。也就是說��,每一個節(jié)點都負責(zé)在本地獨立檢測入侵跡象����,而相鄰節(jié)點則可以在更廣闊的范圍中協(xié)作調(diào)查���。此外,入侵檢測是以異常檢測為基礎(chǔ)的��,其中舉例來說����,所述異常檢測可以包括結(jié)合介質(zhì)訪問控制(MAC)層協(xié)議來檢測路由表的異常更新或是網(wǎng)絡(luò)層的某些異常現(xiàn)象���。Albers等人在2002年4月于Proceedings of the International First Workshop onWireless Information Systems(Wis-2002)發(fā)表了名為“Security in AdHoc Networksa General Intrusion Detection Architecture EnhancingTrust Based Approaches”的論文�,其中公開了另一種相似的MANET入侵檢測架構(gòu)����。
雖然以上論文所述及的架構(gòu)可以提供一個用于實施入侵檢測的便利起點,但在MANET中��,大多數(shù)與入侵檢測的實施方式有關(guān)的細節(jié)仍舊沒有確定����。也就是說���,目前大體上仍未定義那些能夠?qū)?jié)點是否即為嘗試入侵網(wǎng)絡(luò)的欺騙節(jié)點進行可靠指示的特定類型的節(jié)點特征�����。
發(fā)明內(nèi)容
因此����,有鑒于上述背景技術(shù),本發(fā)明的一個目的是提供一種具有入侵檢測特性的移動自組織網(wǎng)絡(luò)(MANET)以及相關(guān)的方法�。
依照本發(fā)明的這些及其他目標(biāo)、特征和優(yōu)點是由一個MANET提供的���,所述MANET可以包括多個彼此之間傳送數(shù)據(jù)的節(jié)點以及一個警戒節(jié)點����。該警戒節(jié)點可以通過監(jiān)視多個節(jié)點之間的傳輸來檢測非授權(quán)周期中的傳輸��,由此檢測針對MANET的入侵并據(jù)此產(chǎn)生一個入侵警報�。
更為特別的是,節(jié)點可以傳送分組形式的數(shù)據(jù)并且結(jié)合每個分組而為該傳送產(chǎn)生相應(yīng)的完整性校驗值�����。同樣�����,警戒節(jié)點還可以通過監(jiān)視多個節(jié)點之間的傳輸來檢測不與相應(yīng)數(shù)據(jù)分組相對應(yīng)的完整性校驗值,并且據(jù)此產(chǎn)生一個入侵警告�����。此外����,數(shù)據(jù)分組可以經(jīng)由介質(zhì)訪問控制(MAC)層傳輸,并且節(jié)點還可以將相應(yīng)的MAC序列號與每一個分組一起傳送�����。這樣一來�����,警戒節(jié)點可以通過監(jiān)視多個節(jié)點之間的傳輸來檢測節(jié)點使用非連續(xù)MAC序列號的情況���,由此檢測針對MANET的入侵并據(jù)此產(chǎn)生一個入侵警報���。
此外,每一個數(shù)據(jù)分組都可以具有一個與之關(guān)聯(lián)的分組類型���,由此警戒節(jié)點還可以通過監(jiān)視多個節(jié)點之間的傳輸來檢測具有預(yù)定分組類型的分組的沖突���,由此檢測針對MANET的入侵并且據(jù)此產(chǎn)生一個入侵警報����。特別地����,預(yù)定分組類型可以包括管理幀分組(例如驗證�、關(guān)聯(lián)和信標(biāo)分組)、控制幀分組(例如請求發(fā)送(RTS)和清除發(fā)送(CTS)分組)以及數(shù)據(jù)幀分組中的至少一種類型����。同樣,舉例來說����,對具有預(yù)定分組類型的分組而言,其沖突閾值數(shù)目可以大于3�����。此外�����,閾值數(shù)目可以基于具有預(yù)定分組類型的受監(jiān)視分組總數(shù)的一個百分比。
每一個節(jié)點都具有一個與之關(guān)聯(lián)的MAC地址����,并且所述地址將會與所傳送的數(shù)據(jù)一起傳輸。同樣�����,警戒節(jié)點還可以通過監(jiān)視多個節(jié)點之間的傳輸來檢測同一個MAC地址的沖突���,由此檢測針對MANET的入侵并且據(jù)此產(chǎn)生一個入侵警報�。其中舉例來說�����,同一個MAC地址的沖突的閾值數(shù)目可以大于3���。
此外����,MANET可以具有至少一個與之關(guān)聯(lián)的服務(wù)集標(biāo)識(ID)。相應(yīng)地���,警戒節(jié)點可以通過監(jiān)視多個節(jié)點之間的傳輸來檢測與之關(guān)聯(lián)的服務(wù)集ID���,由此檢測針對MANET的入侵,如果檢測到的服務(wù)集ID不同于MANET的至少一個服務(wù)集ID�,則據(jù)此產(chǎn)生一個入侵警報���。同樣����,多個節(jié)點可以經(jīng)由至少一個信道來進行傳送���,并且警戒節(jié)點可以對在至少一個信道上進行但卻并非從多個節(jié)點中的一個節(jié)點發(fā)起的傳輸進行檢測�����,并且據(jù)此產(chǎn)生一個入侵警報�����。此外�,警戒節(jié)點還可以向多個節(jié)點中的至少一個節(jié)點傳送入侵警報����。
本發(fā)明的入侵檢測方法方面針對的是一個包含了多個節(jié)點的MANET��。更為特別的是��,該方法可以包括在多個節(jié)點之間傳送數(shù)據(jù)并且監(jiān)視多個節(jié)點之間的傳輸���,由此檢測非授權(quán)周期中的傳輸。此外����,根據(jù)對非授權(quán)周期中的傳輸?shù)臋z測,可以產(chǎn)生一個入侵警報��。
此外��,多個節(jié)點可以傳送分組形式的數(shù)據(jù)�����,并且結(jié)合每一個分組來為傳輸產(chǎn)生相應(yīng)的完整性校驗值��。同樣���,該方法還可以包括對多個節(jié)點之間的傳輸進行監(jiān)視�����,以便檢測不與相應(yīng)的數(shù)據(jù)分組對應(yīng)的完整性校驗值���,并且據(jù)此產(chǎn)生一個入侵警報��。
數(shù)據(jù)分組可以經(jīng)由介質(zhì)訪問控制(MAC)層進行傳送���,以及多個節(jié)點也可以將相應(yīng)MAC序列號與每一個數(shù)據(jù)一起傳送�����。因此�,所述方法也可以包括監(jiān)視多個節(jié)點之間的傳輸以便檢測節(jié)點使用非連續(xù)MAC序列號,并且據(jù)此產(chǎn)生一個入侵警報���。
每一個數(shù)據(jù)分組都可以具有一個與之關(guān)聯(lián)的分組類型��。因此����,該方法可以包括監(jiān)視多個節(jié)點之間的傳輸,以便檢測具有預(yù)定分組類型的分組的沖突��,如果檢測到了閾值數(shù)目的具有預(yù)定分組類型的分組沖突����,則據(jù)此產(chǎn)生一個入侵警報。其中舉例來說�,預(yù)定分組類型可以包括管理幀分組(例如驗證、關(guān)聯(lián)和信標(biāo)分組)�����、控制幀分組(例如請求發(fā)送(RTS)和清除發(fā)送(CTS)分組)以及數(shù)據(jù)幀分組中的至少一種類型�����。此外���,沖突閾值數(shù)目可以大于3��。而且閾值數(shù)目還可以基于具有預(yù)定分組類型的受監(jiān)視分組總數(shù)的一個百分比�����。
如上所述����,多個節(jié)點可以經(jīng)由MAC層來傳送數(shù)據(jù),并且每一個節(jié)點都具有一個與之關(guān)聯(lián)的MAC地址��,并且該地址將會與所傳送的數(shù)據(jù)一起傳輸��。相應(yīng)的��,該方法還可以包括對多個節(jié)點之間的傳輸進行監(jiān)視��,以便檢測同一個MAC地址的沖突�,如果檢測到閾值數(shù)目的同一MAC地址沖突,則據(jù)此產(chǎn)生一個入侵警報�����。其中舉例來說�,沖突的閾值數(shù)目可以大于3����。
該方法還可以包括對多個節(jié)點之間的傳輸進行監(jiān)視,以便檢測與之關(guān)聯(lián)的服務(wù)集ID�,如果檢測到的服務(wù)集ID之一不同于MANET中的至少一個服務(wù)集ID,則據(jù)此產(chǎn)生一個入侵警報����。同樣�����,在這里有可能會在至少一條信道上檢測到并非源自多個節(jié)點之一的傳輸����,并且可以據(jù)此產(chǎn)生一個入侵警報�����。此外���,該入侵警報還可以傳送到多個節(jié)點中的至少一個節(jié)點����。
圖1是依照本發(fā)明并基于幀校驗序列(FCS)差錯來提供入侵檢測的MANET的示意性框圖��。
圖2是基于介質(zhì)訪問控制(MAC)地址的失敗驗證來提供入侵檢測的圖1中的MANET的一個替換實施例的示意性框圖����。
圖3是基于非法網(wǎng)絡(luò)配置矢量(NAV)來提供入侵檢測的圖1中的MANET的另一個替換實施例的示意性框圖。
圖4和5分別是基于無競爭周期(CFP)之外的無競爭模式操作以及CFP中的競爭模式操作來提供入侵檢測的圖1中的MANET的其他替換實施例的示意性框圖����。
圖6是基于在非授權(quán)周期中進行的傳輸來提供入侵檢測的圖1中的MANET的另一個替換實施例的示意性框圖���。
圖7是基于對那些不符合相應(yīng)數(shù)據(jù)分組的完整性校驗值所進行的檢測來提供入侵檢測的圖1中的MANET的另一個替換實施例的示意性框圖。
圖8是基于對節(jié)點使用非連續(xù)MAC序列號的情況的檢測來提供入侵檢測的圖1中的MANET的另一個替換實施例的示意性框圖��。
圖9是基于對預(yù)定分組類型的分組的沖突所進行的檢測來提供入侵檢測的圖1中的MANET的另一個替換實施例的示意性框圖��。
圖10是基于對同一個MAC地址的沖突所進行的檢測來提供入侵檢測的圖1中的MANET的另一個替換實施例的示意性框圖��。
圖11是對依照本發(fā)明并基于檢測FCS差錯的入侵檢測方法進行描述的流程圖��。
圖12是對依照本發(fā)明并基于檢測MAC地址的失敗驗證的入侵檢測方法進行描述的流程圖����。
圖13是對依照本發(fā)明并基于檢測非法網(wǎng)絡(luò)配置矢量(NAV)值的入侵檢測方法進行描述的流程圖。
圖14和15分別是對依照本發(fā)明并基于檢測CFP之外的無競爭模式操作檢測以及CFP中的競爭模式操作的入侵檢測方法進行描述的流程圖���。
圖16是對依照本發(fā)明并基于檢測非授權(quán)周期中出現(xiàn)的傳輸?shù)娜肭謾z測方法進行描述的流程圖��。
圖17是對依照本發(fā)明并基于檢測不與相應(yīng)數(shù)據(jù)分組相對應(yīng)的完整性校驗值的入侵檢測方法進行描述的流程圖。
圖18是對依照本發(fā)明并基于檢測節(jié)點使用非連續(xù)MAC序列號的情況的入侵檢測方法進行描述的流程圖���。
圖19是對依照本發(fā)明并基于檢測具有預(yù)定分組類型的分組沖突的入侵檢測方法進行描述的流程圖��。
圖20是對依照本發(fā)明并基于檢測相同MAC地址沖突的入侵檢測方法進行描述的流程圖��。
圖21是對用于入侵檢測的本發(fā)明的附加方法方面進行描述的流程圖�。
具體實施例方式
以下將通過參考那些顯示本發(fā)明優(yōu)選實施例的附圖來對本發(fā)明進行更全面的描述。然而�����,本發(fā)明還可以通過多種不同形式來加以實施����,并且不應(yīng)該將本發(fā)明視為是局限于這里所闡述的實施例。與此相反��,通過提供這些實施例�,可以使本公開更為全面和完整,并且充分地向本領(lǐng)域技術(shù)人員表述本發(fā)明的范圍�����。
為了便于論述����,在這里,相同數(shù)字始終表示相同部件���。此外��,在這里特別參考了圖1~10��,其中在替換實施例中使用了十進位不同的參考數(shù)字來表示相同部件���。例如�,在圖1~10中描述的移動自組織網(wǎng)絡(luò)(MANET)節(jié)點11��、21�����、31��、41���、51�、61��、71��、81�����、91和101都是相同的部件���,依此類推����。同樣�,為了避免出現(xiàn)不恰當(dāng)?shù)闹貜?fù),在這里只在部件首次出現(xiàn)的時候?qū)ζ溥M行了詳細描述���,然而后續(xù)出現(xiàn)的部件將被理解成與首次描述的部件相類似����。
現(xiàn)在參考圖1����,依照本發(fā)明的MANET10示意性地包含了節(jié)點11、12�。為了清楚例示,在這里僅僅顯示了兩個節(jié)點11�、12,但是本領(lǐng)域技術(shù)人員可以了解,在MANET10的內(nèi)部可以包含任意數(shù)量的節(jié)點��。并且本領(lǐng)域技術(shù)人員可以理解�,該節(jié)點可以是膝上計算機、個人數(shù)據(jù)助理(PDA)����、蜂窩電話或其他適當(dāng)設(shè)備。此外在一些實施例中�����,MANET10中的一個或多個節(jié)點可以是固定的�,以便提供一個與電話網(wǎng)絡(luò)之類的有線(或衛(wèi)星)通信架構(gòu)相連的網(wǎng)橋。
一般來說��,在更詳細描述MANET10之前��,首先要準(zhǔn)許對MANET協(xié)議進行簡要論述�����。雖然MANET尚處于起始階段����,并且在這種網(wǎng)絡(luò)中仍舊沒有一種用于控制通信的通用標(biāo)準(zhǔn),但是MANET具有一個可能的特征,那就是MANET節(jié)點是依照用于數(shù)據(jù)傳輸?shù)拈_放式系統(tǒng)結(jié)構(gòu)(OSI)模型操作的����,該模型中包含了七個層�����,在這些層中���,特定類型的數(shù)據(jù)是使用不同協(xié)議發(fā)送的����。并且這些層包括應(yīng)用層�、表示層、會話層����、傳輸層、網(wǎng)絡(luò)層����、數(shù)據(jù)鏈路層以及物理層。
數(shù)據(jù)鏈路層還包括介質(zhì)訪問控制(MAC)和邏輯鏈路控制子層�。本領(lǐng)域技術(shù)人員可以理解,依照本發(fā)明,節(jié)點11�、12優(yōu)選地使用MAC層而在其間傳送數(shù)據(jù),并且每一個節(jié)點都具有一個與之關(guān)聯(lián)的相應(yīng)MAC地址���。當(dāng)然�,在OSI模型中��,剩余的層同樣被用于數(shù)據(jù)傳輸��,并且也可以使用其他那些適當(dāng)?shù)木W(wǎng)絡(luò)數(shù)據(jù)傳輸模型����。此外,這種數(shù)據(jù)通常是在分組中發(fā)送的��,并且不同的分組類型將被用于不同類型的消息數(shù)據(jù)����,在下文中將會對此進行進一步描述。
依照本發(fā)明���,MANET10示意性地包含了一個或多個用于檢測欺騙節(jié)點14所進行的網(wǎng)絡(luò)入侵的警戒節(jié)點13���。例如��,欺騙節(jié)點14可以由一個嘗試闖入MANET10并以黑客自詡的人所使用����,但是它也可以僅僅是一個來自不同MANET的節(jié)點��,其中所述MANET是在過于接近MANET10的情況下操作的����。在本實例中��,警戒節(jié)點13對節(jié)點11���、12之間的傳輸進行監(jiān)視���,以便檢測來自指定MAC地址的幀校驗序列(FCS)差錯。如果檢測到關(guān)于指定MAC地址的FCS差錯數(shù)量超出一個閾值�����,則警戒節(jié)點13據(jù)此產(chǎn)生一個入侵警報����。
應(yīng)該指出的是�,這里使用的詞組“節(jié)點間傳輸”旨在表示任何那些直接來自或是去往節(jié)點11��、12中的一個節(jié)點的傳輸以及在MANET10的工作范圍以內(nèi)所進行的任何傳輸���。換句話說���,警戒節(jié)點13不但可以對去往或者源自節(jié)點11、12的傳輸進行監(jiān)視��,而且還可以對所能接收的任何其他傳輸進行監(jiān)視����,無論這些傳輸是否具體指向或源自MANET10中的一個節(jié)點。
在上述實施例(以及下述實施例)中����,非常有利的是,警戒節(jié)點13可以將警報傳送到MANET10中的一個或多個節(jié)點11�����、12��。例如����,警戒節(jié)點13可以將入侵警報直接傳送到節(jié)點12����,然后該節(jié)點會向無線網(wǎng)絡(luò)中的所有剩余節(jié)點發(fā)出通知�����。作為選擇��,警戒節(jié)點13也可以將入侵警報廣播給所有網(wǎng)絡(luò)節(jié)點�����。本領(lǐng)域技術(shù)人員將會了解����,不論出現(xiàn)哪種狀況�����,隨后都是可以采用恰當(dāng)對策來對非授權(quán)入侵做出響應(yīng)的����。這種對策超出了本發(fā)明的范圍�����,因此在這里不再對其進行論述����。
現(xiàn)在轉(zhuǎn)到圖2并對MANET20的第一替換實施例進行描述�����。在這個實施例中�,警戒節(jié)點23通過監(jiān)視節(jié)點21、22之間的傳輸來檢測那些驗證MAC地址的失敗嘗試���,以便檢測針對無線網(wǎng)絡(luò)20的入侵����。一旦檢測到驗證特定MAC地址的失敗嘗試達到一個預(yù)定數(shù)目�,則警戒節(jié)點23將產(chǎn)生一個入侵警報。
在這里可以使用任何數(shù)量的失敗嘗試作為閾值���,以便產(chǎn)生入侵警報�,然而一般來說��,較為理想的是允許節(jié)點至少對其MAC地址進行一次嘗試,而不產(chǎn)生入侵警報�。此外,非常有利的是���,在一些實施例中���,警戒節(jié)點23只在預(yù)定周期(例如一小時、一天等等)以內(nèi)出現(xiàn)了所檢測的失敗數(shù)目的時候才會產(chǎn)生入侵警報��。
現(xiàn)在進一步轉(zhuǎn)到圖3���,依照本發(fā)明的另一個方面�����,在傳送數(shù)據(jù)之前,MANET30的兩個節(jié)點31���、32會在彼此之間傳送請求發(fā)送(RTS)和清除發(fā)送(CTS)分組�。相關(guān)的原因是為了避免與其他傳輸相沖突�����。也就是說,由于MANET30中的很多或所有剩余節(jié)點都可以在同一個信道上通信���,因此這些節(jié)點需要確保它們不會同時進行傳輸�����,因為這將會導(dǎo)致發(fā)生沖突以及網(wǎng)絡(luò)中斷�。
此外�����,較為優(yōu)選的是��,RTS和CTS分組包括一個網(wǎng)絡(luò)配置矢量(NAV)���,它表示的是為傳輸數(shù)據(jù)所保留的持續(xù)時間����。這個信息將會傳送到MANET30中的相鄰節(jié)點���,然后�����,舉例來說����,所述節(jié)點會在規(guī)定周期中停止傳輸。
相應(yīng)地�,警戒節(jié)點33由此可以通過監(jiān)視那些在節(jié)點31、32之間發(fā)送的RTS和CTS分組來檢測其中的非法NAV值�,以便檢測針對無線網(wǎng)絡(luò)30的入侵。例如���,MANET30可以采用一種數(shù)據(jù)傳輸不超過特定時間量的方式來實施�,其中該時間量為所有那些參與其中的已授權(quán)節(jié)點所知�。這樣一來,如果警戒節(jié)點33檢測到一個處于已分配時間量之外的NAV值���,那么它會據(jù)此產(chǎn)生一個入侵警報��。
依照圖4中所描述的MANET40的另一個實施例��,節(jié)點41、42可以在競爭或無競爭模式中操作�。也就是說,在競爭模式中,所有網(wǎng)絡(luò)節(jié)點都需要競爭接入用于所傳送的各個數(shù)據(jù)分組的特定信道����。在無競爭周期(CFP)中,信道的使用受控于一個指定的控制節(jié)點��,這樣則消除了節(jié)點爭奪信道接入權(quán)的需要��。本領(lǐng)域技術(shù)人員可以了解的是��,舉例來說�����,如果MANET將節(jié)點排列在組或簇中��,那么簇頭節(jié)點可以指定執(zhí)行CFP的時間��。
因此����,非常有利的是,警戒節(jié)點43可以通過監(jiān)視節(jié)點41�、42之間的傳輸來檢測CFP之外的無競爭模式操作,從而檢測針對MANET40的入侵����。同樣�,警戒節(jié)點43也可以基于這種檢測來產(chǎn)生一個入侵警報�����。換句話說����,針對節(jié)點在CFP之外所進行的無競爭模式操作的檢測表明該節(jié)點并非授權(quán)節(jié)點,這是因為指定的控制節(jié)點會將CFP何時開始告知所有授權(quán)節(jié)點��。
當(dāng)然�����,在CFP中檢測競爭模式操作時的情況也同樣如此���,并且在圖5中示意性地顯示了此類實施例��。本領(lǐng)域技術(shù)人員應(yīng)該了解�,上述CFP入侵檢測方法中的任何一種或者所有這兩種方法都可以在一個指定的應(yīng)用中加以實施���。
現(xiàn)在將參考圖6并對MANET60的另一個實施例進行描述����。在這里��,警戒節(jié)點63通過監(jiān)視節(jié)點61�、62之間的傳輸來檢測非授權(quán)周期中的傳輸,以便檢測針對MANET60的入侵��。也就是說���,通過實施MANET60���,可以禁止用戶在指定時間訪問網(wǎng)絡(luò)(例如午夜和上午6:00之間的時間)。因此非常有利的是��,一旦在這個非授權(quán)周期中檢測到傳輸�,那么警戒節(jié)點63將會產(chǎn)生一個入侵警報。
現(xiàn)在將轉(zhuǎn)到圖7并對MANET70的另一個實施例進行描述��。在這個實施例中���,不同節(jié)點71�、72為自身發(fā)送的數(shù)據(jù)產(chǎn)生完整性檢驗值�����。然后,這些完整性檢驗值由接收節(jié)點進行核實���,以便確保初始傳輸?shù)南?shù)據(jù)的完整性未受到損害��。其中舉例來說�,通過使用一種算法來對消息數(shù)據(jù)進行處理����,可以提供一個包含在消息文本中的值,由此產(chǎn)生完整性檢驗值�����。然后����,這個值可以由一個接收節(jié)點通過使用所述算法以及接收到的數(shù)據(jù)來進行核實。
因此��,警戒節(jié)點73通過監(jiān)視節(jié)點71���、72之間的傳輸來檢測不與相應(yīng)數(shù)據(jù)分組相對應(yīng)的完整性檢驗值��,由此檢測那些針對MANET70的入侵�����。也就是說�,如果使用一個錯誤的數(shù)據(jù)加密密鑰來產(chǎn)生消息密文或者欺騙節(jié)點84篡改消息��,那么完整性檢驗值很可能會受到破壞�����。同樣���,本領(lǐng)域技術(shù)人員將會了解����,在檢測到這種錯誤的完整性檢驗值的時候��,警戒節(jié)點73可以產(chǎn)生一個入侵警報�����。
現(xiàn)在將參考圖8來描述另一個依照本發(fā)明的MANET80����。通常���,在使用上述OSI網(wǎng)絡(luò)模型的時候會產(chǎn)生一個相應(yīng)的MAC序列號,并且該序列號是與每個數(shù)據(jù)分組一起從節(jié)點81�����、82發(fā)送的���。也就是說��,對各個連續(xù)數(shù)據(jù)分組而言��,MAC序列號是遞增的����,由此每一個分組都具有一個與之關(guān)聯(lián)的唯一MAC序列號�。由此,警戒節(jié)點83可以通過監(jiān)視節(jié)點81�、82之間的傳輸來檢測節(jié)點使用非連續(xù)MAC序列號的情況,由此檢測針對MANET80的入侵并且據(jù)此產(chǎn)生一個入侵警報��。
現(xiàn)在轉(zhuǎn)到圖9并對MANET90的另一個實施例進行描述����,在這個實施例中���,警戒節(jié)點93通過監(jiān)視節(jié)點91、92之間的傳輸來檢測具有預(yù)定分組類型的分組的沖突�,由此檢測針對該網(wǎng)絡(luò)的入侵。特別地�����,預(yù)定分組類型可以包括管理幀分組(例如驗證���、關(guān)聯(lián)和信標(biāo)分組)、控制幀分組(例如RTS和CTS分組)和/或數(shù)據(jù)幀分組����。這樣一來,警戒節(jié)點93可以基于對閾值數(shù)目的預(yù)定分組類型的沖突所進行的檢測來產(chǎn)生一個入侵警報�����。
這里使用的“沖突”意圖包含分組的同時傳輸以及彼此在特定時間以內(nèi)的傳輸�����。也就是說,如果假設(shè)特定類型的分組在傳輸之間存在一個時延(例如幾秒鐘等等)��,那么���,如果這兩個分組類型是在過于接近的情況下傳送的(也就是說����,少于其間的必要時延)�����,則可以將其視為是一個沖突�。其中舉例來說,沖突的閾值數(shù)目可以大于3�,但是也可以使用其他閾值。此外���,閾值數(shù)目可以基于所論述的特定分組類型�����,也就是說���,對不同分組類型而言�,閾值數(shù)目可以是不同的�。
另外,閾值數(shù)目也可以基于具有預(yù)定分組類型的受監(jiān)視分組總數(shù)的一個百分比���。舉例來說����,如果在一個周期(例如一小時)中傳送的百分比(例如大于10%)的分組牽涉到?jīng)_突�����,則可以產(chǎn)生入侵警報�。作為選擇�,如果受監(jiān)視分組總數(shù)中的百分比的分組(例如10個分組中的3個分組)牽涉到?jīng)_突,那么也可以產(chǎn)生入侵警報���。當(dāng)然���,也可以使用其他適當(dāng)?shù)拈撝禂?shù)目和用于相同目的的方法。
現(xiàn)在將參考圖10來對MANET100的另一個實施例進行描述���,其中警戒節(jié)點103通過監(jiān)視節(jié)點101�、102之間的傳輸來檢測同一個MAC地址的沖突,由此檢測針對網(wǎng)絡(luò)的入侵�。也就是說,如果多個終端同時或者彼此相對接近地要求同一個MAC地址����,那么將會出現(xiàn)一個差錯或者其中一個節(jié)點是欺騙節(jié)點104。同樣�����,警戒節(jié)點103基于對這種沖突的閾值數(shù)目的檢測來產(chǎn)生一個入侵警報�����,其中舉例來說���,所述閾值數(shù)目可以大于3�。如先前所述���,在這里也可以使用其他閾值數(shù)目�,并且閾值數(shù)目也可以基于某個百分比���。
現(xiàn)在將參考圖11來描述用于MANET10的本發(fā)明的入侵檢測方法的各個方面����。如先前所述,本方法是從塊110開始的����,并且如先前所述,在塊111�����,本方法包括在多個節(jié)點11�����、12之間使用MAC層來傳送數(shù)據(jù)�。而在塊112中則是對節(jié)點11、12之間的傳輸進行監(jiān)視����,以便檢測來自其中一個MAC地址的FCS差錯����。在塊113,如果所述MAC地址的FCS差錯數(shù)量超出一個閾值,則據(jù)此在塊114中產(chǎn)生一個入侵警報���,由此結(jié)束本方法(塊115)�����。否則����,如示意性顯示的那樣��,傳輸將會繼續(xù)受到監(jiān)視���。
現(xiàn)在將參考圖12來描述依照本發(fā)明的第一替換方法的各個方面�,本方法是以在塊121中在節(jié)點21�、22之間傳送數(shù)據(jù)為開始(塊120)的,并且如先前所述�����,在塊122����,本方法將會對傳輸進行監(jiān)視�,以便對驗證MAC地址的失敗嘗試進行檢測�。如果在塊123檢測到驗證MAC地址的失敗嘗試數(shù)目,則在塊124中產(chǎn)生一個入侵警報��,由此結(jié)束該方法(塊125)��。否則如示意性顯示的那樣����,入侵監(jiān)視將會繼續(xù)進行。
現(xiàn)在將參考圖13來描述本發(fā)明的第二替換方法的各個方面��。本方法是以在塊131中在節(jié)點31��、32之間傳送RTS和CTS分組為開始(塊130)的�����。并且如先前所述��,在塊132中將會對在節(jié)點31����、32之間傳送的RTS和CTS分組進行監(jiān)視���,以便檢測其中的非法NAV值�����。如果在塊133中檢測到非法的NAV值�����,則據(jù)此在塊134中產(chǎn)生一個入侵警報��,從而結(jié)束本方法(塊135)�����。否則如示意性顯示的那樣��,入侵監(jiān)視將會繼續(xù)進行��。
現(xiàn)在轉(zhuǎn)到圖14并對本發(fā)明的第三個替換方法的各個方面進行描述�。本方法是以在塊141中在節(jié)點41、42之間傳送數(shù)據(jù)為開始的(塊140)����,并且如先前所述,在塊142�,本方法將會對傳輸進行監(jiān)視�,以便對CFP之外的無競爭模式操作進行檢測��。在塊143�,如果檢測到處于CFP之外的這種操作,則據(jù)此在塊144中產(chǎn)生一個入侵警報���,由此結(jié)束本方法(塊145)�。否則如示意性顯示的那樣����,入侵監(jiān)視可以繼續(xù)進行。在圖15�,在塊150~155中示意性顯示了通過監(jiān)視傳輸來發(fā)現(xiàn)CFP中的競爭模式操作的相反情況。在這里��,這兩種方法都可以用在單獨的實施例中�����,但這未必總是需要的�����。
現(xiàn)在將參考圖16來描述本發(fā)明的第四個方法的方面。本方法是以在塊161中在節(jié)點61��、62之間傳送數(shù)據(jù)為開始的(塊160)����,并且如先前所述�,在塊162���,本方法將會通過監(jiān)視來檢測非授權(quán)周期中的傳輸�����。在塊163���,如果在非授權(quán)周期中檢測到傳輸,那么據(jù)此在塊164中產(chǎn)生一個入侵警報��,由此結(jié)束本方法(塊165)�����。否則如示意性顯示的那樣���,入侵監(jiān)視可以繼續(xù)進行��。
現(xiàn)在將參考圖17來描述本發(fā)明中另一個入侵檢測方法的各個方面���。本方法是以在塊171中在節(jié)點71��、72之間傳送數(shù)據(jù)為開始的(塊170)�,并且如先前所述����,本方法將會通過監(jiān)視傳輸172來檢測那些不對應(yīng)于相應(yīng)數(shù)據(jù)分組的完整性檢驗值。如果出現(xiàn)這種情況���,則在塊173中產(chǎn)生一個入侵警報���,由此結(jié)束本方法(塊175)。否則如示意性顯示的那樣��,入侵監(jiān)視可以繼續(xù)進行�����。
現(xiàn)在轉(zhuǎn)到圖18�,其中對本發(fā)明中另一個方法的各個方面進行了描述。本方法是以在塊181中在節(jié)點81、82之間傳送數(shù)據(jù)為開始的(塊180)�����。因此如先前所述�����,本方法可以包括在塊182中對傳輸進行監(jiān)視���,以便檢測節(jié)點使用非連續(xù)MAC序列號的情況。如果在塊183中檢測到這種使用情況��,則在塊184中產(chǎn)生一個入侵警報�,由此終止該方法(塊185)。否則如示意性顯示的那樣���,入侵監(jiān)視可以繼續(xù)進行��。
進一步參考圖19��,其中本發(fā)明的另一個方法方面是以在塊201中在節(jié)點91、92之間傳送數(shù)據(jù)分組為開始的(塊190)�����,并且如上所述,在塊192中將會通過監(jiān)視傳輸來檢測具有預(yù)定分組類型的分組的沖突�。如果在塊193檢測到具有預(yù)定分組類型的閾值數(shù)目的分組的沖突,則在塊194中產(chǎn)生一個入侵警報�,并且由此終止本方法(塊195)。否則如示意性顯示的那樣�����,入侵監(jiān)視可以繼續(xù)進行��。
現(xiàn)在將參考圖20來描述本發(fā)明的另一種入侵檢測方法的方面��。如先前所述�,本方法是以在節(jié)點101�����、102之間傳送數(shù)據(jù)為開始的(塊200)�,并且如先前所述��,在塊202中����,本方法將會通過監(jiān)視傳輸來檢測相同MAC地址的沖突�����。如果在塊203檢測到存在閾值數(shù)目的相同MAC地址沖突,則在塊204中產(chǎn)生一個入侵警報��,并且由此終止本方法(塊205)���。否則如示意性顯示的那樣,入侵監(jiān)視可以繼續(xù)進行��。
現(xiàn)在將參考圖21來描述本發(fā)明的另一個入侵檢測的方面��。依照本發(fā)明�,網(wǎng)絡(luò)或服務(wù)集標(biāo)識可以與MANET10或其更小子集(例如群/簇)相關(guān)聯(lián)����。如示范性所示�,從塊210開始,在塊211����,數(shù)據(jù)可以在節(jié)點11�、12之間傳送���,并且服務(wù)集ID是與數(shù)據(jù)一起傳送的,由此可以對MANET10的授權(quán)節(jié)點進行識別��。同樣����,在塊212還可以對在多個節(jié)點11、12之間執(zhí)行的傳輸進行監(jiān)視�����,以便檢測與之關(guān)聯(lián)的服務(wù)集ID����,和/或?qū)Σ⒎窃醋允跈?quán)節(jié)點但在指定網(wǎng)絡(luò)信道上進行的傳輸進行監(jiān)視。
同樣�����,如果檢測到一個與MANET10的授權(quán)服務(wù)集ID不同的服務(wù)集ID和/或源自非授權(quán)節(jié)點但在網(wǎng)絡(luò)信道上執(zhí)行的傳輸����,則據(jù)此在塊211產(chǎn)生一個入侵警報����。此外�,非常有利的是,如先前所述�����,在塊215�����,入侵警報可以傳送到網(wǎng)絡(luò)中的一個或多個節(jié)點或是另一個信源�����。否則,如示意性所示����,入侵監(jiān)視可以繼續(xù)進行。
本領(lǐng)域技術(shù)人員將會理解���,上述方法的觀點全都可以在如上所述的一個或多個NAMET中實現(xiàn)�����。同樣���,對本領(lǐng)域技術(shù)人員來說���,依照上述描述,本發(fā)明的附加方法觀點都是顯而易見的���,因此在這里不再對其進行進一步論述���。
此外還應(yīng)該了解,上述發(fā)明可以通過采用若干種方式來加以實施�����。例如��,警戒節(jié)點13可以在一個或多個單獨的專用設(shè)備中得到實現(xiàn)��,其中這些設(shè)備并非MANET10的一部分�����。作為選擇,本發(fā)明也可以在需要入侵檢測的MANET所安裝的一個或多個現(xiàn)有節(jié)點的軟件中實施����。
此外,非常有利的是��,即使欺騙節(jié)點具有授權(quán)的網(wǎng)絡(luò)或MAC ID(例如CFP之外的無競爭操作�、非授權(quán)周期中的傳輸?shù)鹊?,如上所述的本發(fā)明的眾多方面也還是可以用于檢測網(wǎng)絡(luò)入侵�����。此外�,非常有利的是,如上所述的一個或多個方面可以用在一個指定的應(yīng)用中��,以便提供期望等級的入侵檢測��。本發(fā)明的另一個優(yōu)點是可用于補充現(xiàn)有的入侵檢測系統(tǒng)���,尤其是那些主要關(guān)注更高的OSI網(wǎng)絡(luò)層的入侵的系統(tǒng)。
權(quán)利要求
1.一種移動自組織網(wǎng)絡(luò)(MANET)���,包括在相互之間傳送數(shù)據(jù)的多個節(jié)點���;以及一個用于檢測針對MANET的入侵的警戒節(jié)點����,其中所述檢測是如下進行的對所述多個節(jié)點之間的傳輸進行監(jiān)視��,以便檢測非授權(quán)周期中的傳輸�����;以及如果在非授權(quán)周期中檢測到傳輸�����,則據(jù)此產(chǎn)生一個入侵警報����。
2.權(quán)利要求1的MANET,其中所述多個節(jié)點傳送分組形式的數(shù)據(jù)��,每一個分組都具有與之關(guān)聯(lián)的分組類型�;并且其中所述警戒節(jié)點還如下檢測針對MANET的入侵通過監(jiān)視所述多個節(jié)點之間的傳輸來檢測具有預(yù)定分組類型的分組的沖突;以及如果檢測到具有預(yù)定分組類型的分組的閾值數(shù)目的沖突,則據(jù)此產(chǎn)生一個入侵警報���。
3.權(quán)利要求1的MANET���,其中閾值數(shù)目基于具有預(yù)定分組類型的受監(jiān)視分組總數(shù)的一個百分比。
4.權(quán)利要求1的MANET���,其中MANET具有至少一個與之關(guān)聯(lián)的服務(wù)集標(biāo)識(ID)��;并且其中所述警戒節(jié)點還如下檢測針對MANET的入侵通過監(jiān)視所述多個節(jié)點之間的傳輸來檢測與之關(guān)聯(lián)的服務(wù)集ID�����;以及如果檢測到的服務(wù)集ID之一不同于MANET中的至少一個服務(wù)集ID�����,則據(jù)此產(chǎn)生一個入侵警報�����。
5.一種用于移動自組織網(wǎng)絡(luò)(MANET)的入侵檢測方法�,其中所述網(wǎng)絡(luò)包含多個節(jié)點���,所述方法包括在多個節(jié)點之間傳送分組形式的數(shù)據(jù)����,并且結(jié)合每一個分組來為所述傳輸產(chǎn)生相應(yīng)的完整性校驗值���;對多個節(jié)點之間的傳輸進行監(jiān)視��,以便檢測那些不與相應(yīng)數(shù)據(jù)分組相對應(yīng)的完整性校驗值�;以及如果檢測到不與相應(yīng)數(shù)據(jù)分組相對應(yīng)的完整性校驗值��,則據(jù)此產(chǎn)生一個入侵警報��。
6.權(quán)利要求5的方法��,其中多個節(jié)點經(jīng)由介質(zhì)訪問控制(MAC)層來傳送分組形式的數(shù)據(jù)��,此外還將相應(yīng)MAC序列號與每一個數(shù)據(jù)分組一起傳送��;并且還包括通過監(jiān)視多個節(jié)點之間的傳輸來檢測節(jié)點使用非連續(xù)MAC序列號的情況����;以及如果檢測到節(jié)點使用非連續(xù)MAC序列號,則據(jù)此產(chǎn)生一個入侵警報��。
7.權(quán)利要求5的方法,其中每一個數(shù)據(jù)分組都具有與之相關(guān)的分組類型����;并且還包括通過監(jiān)視多個節(jié)點之間的傳輸來檢測具有預(yù)定分組類型的分組的沖突;以及如果檢測到具有預(yù)定分組類型的分組的閾值數(shù)目的沖突�,則據(jù)此產(chǎn)生一個入侵警報。
8.權(quán)利要求5的方法��,其中多個節(jié)點經(jīng)由介質(zhì)訪問控制(MAC)層來傳送數(shù)據(jù)分組�����,并且其中每一個節(jié)點都具有一個與之關(guān)聯(lián)的MAC地址���,而所述地址是與從其所發(fā)送的數(shù)據(jù)一起傳送的���;此外還包括通過監(jiān)視多個節(jié)點之間的傳輸來檢測同一個MAC地址的沖突;以及如果檢測到同一MAC地址的閾值數(shù)目的沖突���,則據(jù)此產(chǎn)生一個入侵警報��。
9.權(quán)利要求5的方法����,還包括將入侵警報傳送到多個節(jié)點中的至少一個節(jié)點。
全文摘要
本發(fā)明涉及具有入侵檢測特性的移動自組織網(wǎng)絡(luò)以及相關(guān)的方法���。移動自組織網(wǎng)絡(luò)(MANET)(60)可以包含多個在彼此之間傳送數(shù)據(jù)的節(jié)點(61,62)以及一個警戒節(jié)點(63)��。警戒節(jié)點(63)可以通過監(jiān)視多個節(jié)點(61�,62)之間的傳輸來檢測非授權(quán)周期中的傳輸,由此可以檢測針對MANET(60)的入侵(64)并且據(jù)此產(chǎn)生一個入侵警報��。此外����,警戒節(jié)點(63)還可以基于一個或多個不與相應(yīng)數(shù)據(jù)分組相對應(yīng)的完整性校驗值、節(jié)點使用非連續(xù)介質(zhì)訪問控制(MAC)序列號的情況以及分組類型和/或MAC地址的沖突來檢測入侵(64)�。
文檔編號H04L29/06GK1682198SQ03821359
公開日2005年10月12日 申請日期2003年8月11日 優(yōu)先權(quán)日2002年8月12日
發(fā)明者湯瑪斯·杰伊·比爾哈茨 申請人:哈里公司