專利名稱:無線自組織網(wǎng)絡(luò)主動防護系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的入侵響應(yīng)系統(tǒng)�����,具體是一種無線自組織 網(wǎng)絡(luò)主動防護系統(tǒng)��。
背景技術(shù):
無線自組網(wǎng)絡(luò)作為一種新型的移動多跳無線網(wǎng)絡(luò),與傳統(tǒng)的無線網(wǎng)絡(luò)有許多 不同的特點�。它不依賴于任何固定的基礎(chǔ)設(shè)施和管理中心,而是通過移動節(jié)點間 的相互協(xié)作和自我組織來保持網(wǎng)絡(luò)的連接���,同時實現(xiàn)數(shù)據(jù)的傳遞��。無線自組網(wǎng)絡(luò) 不需要事先設(shè)置任何固定設(shè)施���,如基站,所以它能夠快速地部署��,從而應(yīng)用于多 種環(huán)境之中���,如軍事�、災(zāi)難救助��、臨時會議等����。
隨著無線自組網(wǎng)絡(luò)的廣泛應(yīng)用,無線自組網(wǎng)絡(luò)的安全保障變得FI益重要?��,F(xiàn) 有防范網(wǎng)絡(luò)入侵的方法可分為三類���,即入侵阻止�����、入侵檢測和入侵響應(yīng)���。所謂入 侵阻止就是利用認證、加密和防火墻技術(shù)來保護系統(tǒng)不被入侵者攻擊和破壞�。但 是,這類防護方法應(yīng)用在無線自組網(wǎng)絡(luò)環(huán)境之中會受到條件的限制��,例如網(wǎng)絡(luò)拓 撲動態(tài)變化����,沒有可以控制的網(wǎng)絡(luò)邊界,使得防火墻無法應(yīng)用��。節(jié)點在移動時也 可能被敵方俘獲而投降�����,投降節(jié)點擁有合法的密鑰�,加密和認證也失去了作用����。 所以�,盡管入侵阻止方法在傳統(tǒng)網(wǎng)絡(luò)中發(fā)揮了重要的作用����,但在無線自組網(wǎng)絡(luò)中 卻難以發(fā)揮作用。入侵檢測通過分析節(jié)點的行為來確定入侵者�,按照檢測技術(shù), 可以分為基于特征的和基于異常的入侵檢測�。迄今為止,無線自組網(wǎng)絡(luò)安全的研 究主要集中于入侵阻止和入侵檢測兩個方面����。如何在無線自組網(wǎng)絡(luò)環(huán)境下實現(xiàn)入 侵響應(yīng)還未見相關(guān)文獻發(fā)表。無線自組網(wǎng)絡(luò)由于其資源有限是相當脆弱的�����,如果 不對入侵者產(chǎn)生及時的響應(yīng)���,阻止其攻擊行為���,也許會造成整個網(wǎng)絡(luò)崩潰。當攻
擊者發(fā)動DOS攻擊時���,在7分鐘內(nèi)整個網(wǎng)絡(luò)的報文傳輸率由97%下降到9. 4%�,網(wǎng) 絡(luò)流量幾乎全部被阻塞,網(wǎng)絡(luò)無法正常運行��。同時��,由于其自組織����、缺乏集中控 制的特點,特別在多個管理域的環(huán)境中使得人工的響應(yīng)措施難以實施��。由此可見����,
盡管入侵阻止和入侵檢測技術(shù)在防止入侵方面發(fā)揮了巨大的作用,但是它們都是 被動的防御措施��,它們所能取得的效果就是防止正常節(jié)點成為入侵行為的犧牲 者��。它們不能有效地消除入侵根源一入侵者���。那些入侵者能夠繼續(xù)存在并危害網(wǎng) 絡(luò)系統(tǒng)。
經(jīng)對現(xiàn)有技術(shù)的文獻檢索發(fā)現(xiàn)���,D. Schnackenberg等人在Proceedings of the Second DARPA Information Survivability Conference and Exposition (DISCEXII), Anaheim, CA�, June 2001 (第二屆美國國防高級研究計劃局信息生 存能力會議集,阿納海姆��,加利福尼亞州��,2001年6月)發(fā)表的Cooperative Intrusion Traceback and Response Architecture (CITRA)》(《助�����、同入侵追 蹤和響應(yīng)體系結(jié)構(gòu)》)���,提出了一種協(xié)同入侵跟蹤與響應(yīng)架構(gòu)CITIA���,該架構(gòu)將 入侵檢測、防火墻和路由器組成一個整體來追蹤入侵源并在入侵者附近阻止入侵 行為���。其具備的功能為跨越網(wǎng)絡(luò)邊界追蹤入侵者�、阻止入侵者繼續(xù)危害網(wǎng)絡(luò)���、報 告入侵行為�����、協(xié)調(diào)入侵響應(yīng)���。該架構(gòu)的核心是入侵跟蹤與孤立協(xié)議IDIP�, IDIP 協(xié)議由D. Schnackenberg等人在Proceedings of the DARPA Information Survivability Conference and Exposition, Hilton Head, SC��, January 2000 (美國國防高級研究計劃局信息生存能力會議集���,希爾頓頭島�,南卡羅來納州���, 2000年 1 月)上發(fā)表的《Infrastructure for Intrusion Detection and Response》(《入侵檢測和響應(yīng)架構(gòu)》)中提出的�,IDIP協(xié)議將網(wǎng)絡(luò)分為多個 域����,每個域內(nèi)有一個協(xié)調(diào)管理者。IDIP協(xié)議中對于一次攻擊�����,首先檢測到入侵 的節(jié)點會向它所有的鄰居節(jié)IDIP點發(fā)送一個事件報告��,接收到的節(jié)點會首先判 斷自己是否在攻擊路徑上,如果是����,它將會繼續(xù)發(fā)送這個事件報告給其它的鄰居 節(jié)點�����。所有在攻擊路徑上的節(jié)點在向鄰居節(jié)點發(fā)IDIP發(fā)送事件報告的同時���,會 把這份報告和它已采取的響應(yīng)發(fā)送給協(xié)調(diào)管理者��,協(xié)調(diào)管理者綜合各節(jié)點的信 息��,協(xié)調(diào)各節(jié)點的響應(yīng)�����,從而達到全局最優(yōu)的響應(yīng)��。CITRA (協(xié)同入侵跟蹤與響 應(yīng)架構(gòu))和IDIP (入侵跟蹤與孤立協(xié)議)通過各個網(wǎng)絡(luò)之間信息的交換���,對路 由器、防火墻和主機的重新配置�,實現(xiàn)跨多個網(wǎng)絡(luò)對入侵者的自動追蹤,最后將 入侵者在當?shù)赜枰怨铝ⅰI鲜鲋鲃臃雷o的方案��,都是基于有線Internet網(wǎng)絡(luò)環(huán) 境下實施的�����,在無線自組網(wǎng)絡(luò)環(huán)境下�,由于節(jié)點移動,動態(tài)拓撲變化����,使得上述 方案難于應(yīng)用。
發(fā)明內(nèi)容
本發(fā)明的目的是針對上述現(xiàn)有技術(shù)的不足���,提出了一種無線自組織網(wǎng)絡(luò)主動 防護系統(tǒng)�,通過多種功能的agent (代理)組成一個整體來實現(xiàn)主動入侵響應(yīng)���, 在每個節(jié)點布置監(jiān)視agent,負責收集其周圍每個鄰居節(jié)點的行為信息����;每個區(qū) 域內(nèi)的決策agent匯總監(jiān)視agent的信息并進行判斷;若存在入侵者���,阻擊agent 在入侵者周圍形成一道移動防火墻����,將入侵者包圍并隔離于網(wǎng)絡(luò),消除入侵行為�����。
本發(fā)明是通過如下技術(shù)方案實現(xiàn)的����,本發(fā)明包括監(jiān)視agent��、決策agent����、 阻擊agent,其中
監(jiān)視agent設(shè)置在每個節(jié)點,負責收集其周圍每個鄰居節(jié)點的行為信息�,并 將收集到的行為信息傳輸給決策agent;
決策agent負責監(jiān)控網(wǎng)絡(luò)中的一個區(qū)域,不需駐留在每一個節(jié)點��,決策agent 匯總監(jiān)視agent的信息����,并將匯總的信息形成某個節(jié)點一段時期內(nèi)的行為序列, 再與路由協(xié)議進行對比���,如果行為符合路由協(xié)議則是正常節(jié)點�����,如果行為不符合 路由協(xié)議��,則判斷為入侵者發(fā)現(xiàn)入侵者后���,決策agent將防護命令傳輸給阻擊 agent;
阻擊agent接收到?jīng)Q策agent發(fā)送的防護命令之后�,激活在入侵者周圍的節(jié) 點上的阻擊agent,形成一道移動防火墻將入侵者包圍隔離��,同時將其通信鏈路 斷開���,阻止入侵者發(fā)送與接收任何報文�����。
所述監(jiān)視agent,包括監(jiān)聽模塊�����、過濾模塊�、編碼模塊和第一通信模塊���, g巾-
監(jiān)聽模塊負責收集監(jiān)視agent所能收到所有鄰居節(jié)點的通信內(nèi)容�,無線通信 是無方向性的,任何在其通信范圍內(nèi)的節(jié)點均可收到其信息��,所以節(jié)點之間的通 信能夠被第三方監(jiān)聽�����;
過濾模塊對監(jiān)聽模塊收到的初始信息進行過濾���,濾除一些保持連接的等不必 要的信息,并將濾除后的信息傳輸給編碼模塊���,比如用于節(jié)點之間保持聯(lián)接的 hello報文就可過濾掉����;
編碼模塊負責對過濾后的重要信息進行壓縮編碼�,以減少agent之間的通信 量,并將壓縮后的信息由第一通信模塊傳輸給決策agent�����。
所述決策agent,是整個架構(gòu)的核心�,負責信息的收集���、判斷、阻擊命令產(chǎn) 生等任務(wù)����,決策agent也駐留在節(jié)點上,分布于無線自組網(wǎng)絡(luò)的各處并隨節(jié)點移 動對整個網(wǎng)絡(luò)進行監(jiān)視�,為了減少對系統(tǒng)資源的占用,它只是平均分布于網(wǎng)絡(luò)中��, 即對整個無線自組網(wǎng)絡(luò)按區(qū)域劃分���,每個決策agent負責一個區(qū)域的監(jiān)控��,而不 需要駐留在每一個節(jié)點上����。
所述決策agent,包括第二通信模塊�、分析模塊、響應(yīng)模塊�、策略庫模塊, 射
第二通信模塊�����,用于與監(jiān)視agent進行通信,收集監(jiān)視agent對鄰居節(jié)點的 監(jiān)視信息����;
分析模塊,用于對監(jiān)視agent發(fā)來的各節(jié)點信息進行綜合判斷����,采用基于規(guī) 范的入侵檢測方法,從策略庫模塊取出路由協(xié)議規(guī)范���,對節(jié)點行為進行判斷�����,如 果某個節(jié)點的行為只有少數(shù)不正常,則不一定是入侵節(jié)點���,可能是線路故障��,若 多次判斷均出現(xiàn)不正常�,判定該節(jié)點為入侵節(jié)點��,并將判斷結(jié)果傳輸給響應(yīng)模塊��;
策略庫模塊中存儲路由協(xié)議規(guī)范,并供分析模塊調(diào)用�����;
響應(yīng)模塊根據(jù)分析模塊的有入侵節(jié)點的判斷結(jié)果�,產(chǎn)生防護命令,用以激活 阻擊agent ��。
所述決策agent,其采用査詢應(yīng)答方式與監(jiān)視agent之間進行交互�,在節(jié)點 動態(tài)變化的過程中,定時向周圍的節(jié)點發(fā)送査詢報文��,受到查詢報文的監(jiān)視 agent后將監(jiān)視收集的信息通過第二通信模塊發(fā)給決策agent �����,決策agent能夠 綜合區(qū)域內(nèi)每個監(jiān)視agent的信息�����,對某個節(jié)點的監(jiān)視就會比較完全�,不會有信 息遺漏。
所述決策agent,其定時向周圍節(jié)點廣播査詢報文���,報文的傳輸范圍由決策 agent的監(jiān)視范圍所定���,監(jiān)視范圍為以決策agent為中心一跳或幾跳的范圍���。
所述分析模塊,基于路由協(xié)議的規(guī)范對節(jié)點的行為進行分析����,采用基于規(guī)范 的入侵檢測方法,如正常節(jié)點在接收到發(fā)往其他節(jié)點的報文應(yīng)該及時轉(zhuǎn)發(fā)出去�, 如果某接收報文后即進行了轉(zhuǎn)發(fā),是正常網(wǎng)絡(luò)操作���。如果某節(jié)點只收報文不轉(zhuǎn)發(fā) 報文��,不是正常網(wǎng)絡(luò)行為��。當某個節(jié)點的不正常行為超過了設(shè)定的限度,就可認 定為其為入侵節(jié)點�����。
所述決策agent,由于網(wǎng)絡(luò)節(jié)點的動態(tài)特性��,某個區(qū)域的決策agent可能由 于節(jié)點移動、節(jié)點退出而空缺或決策agent遭到攻擊而失效��,此時監(jiān)視agent 就收不到?jīng)Q策agent的查詢報文�,當超過了設(shè)定的時間限度,就可推斷該區(qū)域的 決策agent己經(jīng)不存在��,該區(qū)域的節(jié)點則選舉一個節(jié)點駐留決策agent,并由該 節(jié)點從周圍節(jié)點請求一個決策agent,該請求報文達到周圍區(qū)域的某個決策 agent時����,該決策agent復制一份,復制后的決策agent移動到請求節(jié)點��,可能 會有多個決策agent響應(yīng)��,最先到達的決策agent發(fā)揮作用���,隨后到達的拋棄�����。
所述選舉一個節(jié)點駐留決策agent,采用競爭方式進行選舉�����,哪個節(jié)點先申 請哪個節(jié)點作為決策agent的駐留節(jié)點�,或哪個節(jié)點資源充足哪個作為決策 agent的駐留節(jié)點。
所述阻擊agent,包括第三通信模塊�����、定位模塊�����、隔離模塊和休眠模塊�����, g中-
第三通信模塊用于接收決策agent的阻擊命令����,定位模塊用于確定入侵者的 位置,如果入侵者位于阻擊agent所在節(jié)點的周圍���,啟動隔離模塊功能��;
隔離模塊���,其負責阻止入侵節(jié)點的路由請求和報文發(fā)送��,也不再向入侵節(jié)點 轉(zhuǎn)發(fā)報文。無線自組網(wǎng)絡(luò)中節(jié)點必須通過鄰居節(jié)點的轉(zhuǎn)發(fā)才能加入網(wǎng)絡(luò)�����,此時雖 然入侵節(jié)點在網(wǎng)絡(luò)中�,但它被阻擊agent所隔離,不能參與任何網(wǎng)絡(luò)功能��,這樣 最大程度地減少了對網(wǎng)絡(luò)的危害�����。
休眠模塊負責在兩種情況下結(jié)束阻擊agent ����, 一是在設(shè)定時間內(nèi)定位不到入 侵者時,就是入侵者不在阻擊agent所在節(jié)點的周圍���;二是入侵者死亡不再需要 阻擊agent隔離時�����,休眠模塊能防止阻擊agent大量長時間占用節(jié)點資源����,只有 當入侵者存在時,才需要阻擊agent隔離�����,入侵者死亡��,阻擊agent也應(yīng)自行休 眠�。
本發(fā)明工作時,包括入侵檢測和入侵響應(yīng)兩個部分����,入侵節(jié)點周圍節(jié)點上的 監(jiān)視agent時刻監(jiān)視入侵節(jié)點的行為并將其行為進行編碼,當入侵節(jié)點連續(xù)發(fā)送 查詢報文時�����,各監(jiān)視agent將編碼發(fā)往本區(qū)域的決策agent,決策agent調(diào)用 策略庫中的路由規(guī)范進行判斷��,判斷為入侵行為后���,下一歩進行入侵響應(yīng)���,決策 agent的響應(yīng)模塊開始產(chǎn)生阻擊命令,發(fā)給阻擊agent,阻擊agent被激活�����,阻 擊agent命令入侵節(jié)點的鄰節(jié)點���,到達后將臨節(jié)點與入侵節(jié)點的鏈路中斷�,拒絕 入侵節(jié)點的任何路由報文����,同時其他決策agent重復這樣的工作,這樣入侵節(jié)點 雖然在網(wǎng)絡(luò)中�����,但已完全被其周圍節(jié)點隔離�����。
與現(xiàn)有技術(shù)相比�����,本發(fā)明具有如下有益效果
1��、 能夠?qū)崟r地發(fā)現(xiàn)并主動阻斷入侵者的攻擊行為���,保障無線自組織網(wǎng)絡(luò)的 安全和正常運行���。
2�����、 移動防火墻只在在攻擊者周圍形成�����,無需全網(wǎng)實施響應(yīng)����,從而能使入侵 響應(yīng)局部化�,大大減少主動防護所消耗的網(wǎng)絡(luò)資源。
圖1是本發(fā)明的系統(tǒng)結(jié)構(gòu)框圖�����; 圖2是本發(fā)明中監(jiān)視agent的結(jié)構(gòu)框圖�; 圖3是本發(fā)明中決策agent的結(jié)構(gòu)框圖; 圖4是本發(fā)明中阻擊agent的結(jié)構(gòu)框圖����; 圖5是一個無線自組織網(wǎng)絡(luò)拓撲圖6是入侵節(jié)點發(fā)動攻擊圖7是本發(fā)明中阻擊agent形成移動防火墻后孤立入侵節(jié)點的結(jié)果示意圖���。
具體實施例方式
下面結(jié)合附圖對本發(fā)明的實施例作詳細說明本實施例在以本發(fā)明技術(shù)方案 為前提下進行實施,給出了詳細的實施方式和具體的操作過程�����,但本發(fā)明的保護 范圍不限于下述的實施例��。
如圖5所示��,是應(yīng)用本實施例的一個無線自組織網(wǎng)絡(luò)的拓撲圖���,該無線自組 織網(wǎng)絡(luò)中,有15個移動節(jié)點����,從節(jié)點A到節(jié)點0,相鄰節(jié)點通過雙向鏈路(表 示為一爭)進行連接���,其中節(jié)點H為入侵者���。
如圖1所示,本實施例包括監(jiān)視agent���、決策agent���、阻擊agent�����,其中
監(jiān)視agent設(shè)置在每個節(jié)點����,負責收集其周圍每個鄰居節(jié)點的行為信息�,并 將收集到的行為信息傳輸給決策agent;圖5中,15個節(jié)點(表示為O)都駐留 監(jiān)視agent,監(jiān)聽并收集其鄰居節(jié)點的行為信息�����。
決策agent負責監(jiān)控網(wǎng)絡(luò)中的一個區(qū)域�,不需駐留在每一個節(jié)點,決策agent 匯總監(jiān)視agent.的信息�����,并將匯總的信息形成某個節(jié)點一段時期內(nèi)的行為序列�����, 再與路由協(xié)議進行對比,如果行為符合路由協(xié)議則是正常節(jié)點���,如果行為不符合 路由協(xié)議���,則判斷為入侵者發(fā)現(xiàn)入侵者后,決策agent將防護命令傳輸給阻擊 agent;圖5中�����,三個節(jié)點C����、 L��、 0 (表示為口)中駐留了決策agent��,負責其區(qū)
域內(nèi)信息的匯總與決策���,如節(jié)點L上的決策agent就負責匯總節(jié)點D��、 E����、 M、 L 節(jié)點上監(jiān)視agent所收集的信息�����。
阻擊agent接收到?jīng)Q策agent發(fā)送的防護命令之后�����,激活在入侵者周圍的節(jié) 點上的阻擊agent,形成一道移動防火墻將入侵者包圍隔離�����,同時將其通信鏈路 斷開�����,阻止入侵者發(fā)送與接收任何報文����。
如圖2所示,所述監(jiān)視agent,包括監(jiān)聽模塊�、過濾模塊、編碼模塊和第 一通信模塊��,其中-
監(jiān)聽模塊負責收集監(jiān)視agent所能收到所有鄰居節(jié)點的通信內(nèi)容,無線通信 是無方向性的�����,任何在其通信范圍內(nèi)的節(jié)點均可收到其信息����,所以節(jié)點之間的通 信能夠被第三方監(jiān)聽;
過濾模塊對監(jiān)聽模塊收到的初始信息進行過濾���,濾除一些保持連接的等不必 要的信息�����,并將濾除后的信息傳輸給編碼模塊���,比如用于節(jié)點之間保持聯(lián)接的 hello報文就可過濾掉��;
編碼模塊負責對過濾后的重要信息進行壓縮編碼��,以減少agent之間的通信 量�,并將壓縮后的信息由第一通信模塊傳輸給決策agent。
如圖3所示����,所述決策agent,包括第二通信模塊�、分析模塊����、響應(yīng)模塊、 策略庫模塊���,其中
第二通信模塊���,用于與監(jiān)視agent進行通信,收集監(jiān)視agent對鄰居節(jié)點的 監(jiān)視信息���;
響應(yīng)模塊負責在節(jié)點動態(tài)變化的過程中��,定時向周圍的節(jié)點發(fā)送查詢報文����, 受到查詢報文的監(jiān)視agent后將監(jiān)視收集的信息通過第二通信模塊發(fā)給決策 agent;
分析模塊�����,用于對監(jiān)視agent發(fā)來的各節(jié)點信息進行綜合判斷�,采用基于規(guī) 范的入侵檢測方法�,從策略庫模塊取出路由協(xié)議規(guī)范�����,對節(jié)點行為進行判斷��,如 果某個節(jié)點的行為只有少數(shù)不正常�,則不一定是入侵節(jié)點,可能是線路故障�,若 多次判斷均出現(xiàn)不正常,判定該節(jié)點為入侵節(jié)點���;
策略庫模塊中存儲路由協(xié)議規(guī)范�,并供分析模塊調(diào)用����;
如圖4所示,所述阻擊agent,包括第三通信模塊���、定位模塊、隔離模塊 和休眠模塊����,其中
第三通信模塊用于接收決策agent的阻擊命令����,定位模塊用于確定入侵者的 位置����,如果入侵者位于阻擊agent所在節(jié)點的周圍,啟動隔離模塊功能���;
隔離模塊����,其負責阻止入侵節(jié)點的路由請求和報文發(fā)送�����,也不再向入侵節(jié)點 轉(zhuǎn)發(fā)報文�。無線自組網(wǎng)絡(luò)中節(jié)點必須通過鄰居節(jié)點的轉(zhuǎn)發(fā)才能加入網(wǎng)絡(luò),此時雖 然入侵節(jié)點在網(wǎng)絡(luò)中�����,但它被阻擊agent所隔離�����,不能參與任何網(wǎng)絡(luò)功能,這樣 最大程度地減少了對網(wǎng)絡(luò)的危害���。
休眠模塊負責在兩種情況下結(jié)束阻擊agent�, 一是在設(shè)定時間內(nèi)定位不到入 侵者時�����,就是入侵者不在阻擊agent所在節(jié)點的周圍��;二是入侵者死亡不再需要 阻擊agent隔離時���,休眠模塊能防止阻擊agent大量長時間占用節(jié)點資源���,只有 當入侵者存在時,才需要阻擊agent隔離���,入侵者死亡���,阻擊agent也應(yīng)自行休 眠。
如圖6所示����,中顯示入侵節(jié)點H (表示為A )開始發(fā)動拒絕服務(wù)攻擊,它 向整個網(wǎng)絡(luò)泛洪發(fā)送大量無用數(shù)據(jù)報文或路由查詢報文�,數(shù)據(jù)報從入侵者周圍節(jié) 點開始向整個網(wǎng)絡(luò)擴散,大量占用和消耗網(wǎng)絡(luò)資源�,導致其他節(jié)點無法正常傳送 報文,圖中"" 表示攻擊報文傳播路線����。
本實施例工作時包括入侵檢測和入侵響應(yīng)兩個過程
首先是入侵檢測,節(jié)點F�、 G、 I��、 D是H的鄰居����,在節(jié)點F、 G��、 I��、 D上的監(jiān) 視agent時刻監(jiān)視節(jié)點H的行為并將其行為進行編碼���,當H節(jié)點連續(xù)發(fā)送査詢報 文時����,其行為的編碼為"6666666", F節(jié)點上的監(jiān)視agent將編碼發(fā)往C節(jié)點上 的決策agent, D節(jié)點上監(jiān)視agent的監(jiān)視數(shù)據(jù)發(fā)向L節(jié)點上的決策agent, G�、 I節(jié)點上監(jiān)視agent的監(jiān)視數(shù)據(jù)發(fā)往0節(jié)點上的決策agent。決策agent調(diào)用策 略庫中的路由規(guī)范進行判斷�����。
判斷為入侵行為后����,下一歩進行入侵響應(yīng),決策agent的響應(yīng)模塊開始產(chǎn)生 阻擊命令�,發(fā)給阻擊agent,在節(jié)點C、 L���、 0上的決策agent判斷有入侵后����,分 別產(chǎn)生阻擊agent命令�����,節(jié)點C上決策agent產(chǎn)生的阻擊agent命令沿CF鏈路 到達入侵者H的鄰節(jié)點F�,到達后將節(jié)點F與入侵者H的鏈路FH中斷,拒絕H 節(jié)點的任何路由報文。同樣�,節(jié)點L和0上的決策agent產(chǎn)生的阻擊agent命令 分別到達入侵者的另外三個鄰居節(jié)點D、 I�、 G�,同時將其與節(jié)點H的鏈路DH、 IH���、 GH斷開��。這樣入侵者H雖然在網(wǎng)絡(luò)中�,但己完全被其周圍節(jié)點隔離��。
如圖7所示���,阻擊agent命令傳輸?shù)饺肭终咧車膫€節(jié)點����,激活阻擊agent 形成一道移動防火墻���,如圖中的虛線���,將入侵者隔離。圖中, 表示阻擊agent 駐留的節(jié)點�����,—表示阻擊agent移動路線�,X表示中斷鏈路連接。
從上述分析可以看出�����,遍布整個網(wǎng)絡(luò)的監(jiān)視agent實現(xiàn)對每個節(jié)點的監(jiān)控��, 將節(jié)點的行為編碼后發(fā)送到?jīng)Q策agent,決策agent進行判斷����。如果發(fā)現(xiàn)入侵者, 則決策agent發(fā)出阻擊agent命令���,由阻擊agent將入侵者包圍并隔離���,最終消 除入侵的影響,實現(xiàn)網(wǎng)絡(luò)的正常運轉(zhuǎn)�,整個過程是自動進行的,無需人工干預����, 實現(xiàn)了實時的主動入侵防護��。
權(quán)利要求
1����、一種無線自組織網(wǎng)絡(luò)主動防護系統(tǒng)�����,其特征在于�����,包括監(jiān)視agent�����、決策agent���、阻擊agent,其中監(jiān)視agent設(shè)置在每個節(jié)點���,負責收集其周圍每個鄰居節(jié)點的行為信息���,并將收集到的行為信息傳輸給決策agent�;決策agent負責監(jiān)控網(wǎng)絡(luò)中的一個區(qū)域�,決策agent匯總該區(qū)域內(nèi)監(jiān)視agent的信息,并將匯總的信息形成某個節(jié)點一段時期內(nèi)的行為序列����,再與路由協(xié)議進行對比,如果行為符合路由協(xié)議則是正常節(jié)點����,如果行為不符合路由協(xié)議,則判斷為入侵者發(fā)現(xiàn)入侵者后���,決策agent將防護命令傳輸給阻擊agent��;阻擊agent接收到?jīng)Q策agent發(fā)送的防護命令之后����,激活在入侵者周圍的節(jié)點上的阻擊agent��,形成一道移動防火墻將入侵者包圍隔離�,同時將其通信鏈路斷開,阻止入侵者發(fā)送與接收任何報文��。
2、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)主動防護系統(tǒng)����,其特征是,所述 監(jiān)視agent,包括監(jiān)聽模塊��、過濾模塊�、編碼模塊和第一通信模塊,其中監(jiān)聽模塊負責收集監(jiān)視agent所能收到所有鄰居節(jié)點的通信內(nèi)容��; 過濾模塊對監(jiān)聽模塊收到的初始信息進行過濾��,濾除保持連接的信息����,并將濾除后的信息傳輸給編碼模塊�;編碼模塊負責對過濾后的重要信息進行壓縮編碼,并將壓縮后的信息由第一通信模塊傳輸給決策agent ���。
3���、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)主動防護系統(tǒng),其特征是����,所述 決策agent,其采用査詢應(yīng)答方式與監(jiān)視agent之間進行交互�,在節(jié)點動態(tài)變化 的過程中��,定時向周圍的節(jié)點發(fā)送查詢報文�,受到査詢報文的監(jiān)視agent后將監(jiān) 視收集的信息通過通信模塊發(fā)給決策agent。
4��、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)主動防護系統(tǒng)��,其特征是��,所述 決策agent,其定時向周圍節(jié)點廣播查詢報文�,報文的傳輸范圍由決策agent的 監(jiān)視范圍所定,監(jiān)視范圍為以決策agent為中心一跳或幾跳的范圍��。
5�、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)主動防護系統(tǒng),其特征是����,所述 決策agent,由于網(wǎng)絡(luò)節(jié)點的動態(tài)特性,某個區(qū)域的決策agent可能由于節(jié)點移 動��、節(jié)點退出而空缺或決策agent遭到攻擊而失效�����,此時監(jiān)視agent就收不到?jīng)Q 策agent的査詢報文,當超過了設(shè)定的時間限度�,就推斷該區(qū)域的決策agent 已經(jīng)不存在,該區(qū)域的節(jié)點則選舉一個節(jié)點駐留決策agent,并由該節(jié)點從周圍 節(jié)點請求一個決策agent,該請求報文達到周圍區(qū)域的某個決策agent時�,該決 策agent復制一份,復制后的決策agent移動到請求節(jié)點����,可能會有多個決策 agent響應(yīng),最先到達的決策agent發(fā)揮作用�,隨后到達的拋棄。
6�、 根據(jù)權(quán)利要求5所述的無線自組織網(wǎng)絡(luò)主動防護系統(tǒng),其特征是���,所述 選舉一個節(jié)點駐留決策agent,采用競爭方式進行選舉,哪個節(jié)點先申請哪個節(jié) 點作為決策agent的駐留節(jié)點��,或哪個節(jié)點資源充足哪個作為決策agent的駐留 節(jié)點��。
7��、 根據(jù)權(quán)利要求1或3或4或5或6所述的無線自組織網(wǎng)絡(luò)主動防護系統(tǒng)����, 其特征是��,所述決策agent,包括第二通信模塊�、分析模塊����、響應(yīng)模塊、策略 庫模塊����,其中第二通信模塊,用于與監(jiān)視agent進行通信�,收集監(jiān)視agent對鄰居節(jié)點的 監(jiān)視信息;分析模塊�����,用于對監(jiān)視agent發(fā)來的各節(jié)點信息進行綜合判斷��,采用基于規(guī) 范的入侵檢測方法����,從策略庫模塊取出路由協(xié)議規(guī)范,對節(jié)點行為進行判斷,如 果某個節(jié)點的行為只有少數(shù)不正常�����,則不一定是入侵節(jié)點���,可能是線路故障��,若 多次判斷均出現(xiàn)不正常��,判定該節(jié)點為入侵節(jié)點�,并將判斷結(jié)果傳輸給響應(yīng)模塊�����;策略庫模塊中存儲路由協(xié)議規(guī)范����,并供分析模塊調(diào)用;響應(yīng)模塊根據(jù)分析模塊的有入侵節(jié)點的判斷結(jié)果�,產(chǎn)生防護命令,用以激活 阻擊agent o
8�、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)主動防護系統(tǒng)�����,其特征是,所述 阻擊agent,包括第三通信模塊��、定位模塊���、隔離模塊和休眠模塊�,其中第三通信模塊用于接收決策agent的阻擊命令��,定位模塊用于確定入侵者的 位置����,如果入侵者位于阻擊agent所在節(jié)點的周圍,啟動隔離模塊功能����;隔離模塊,其負責阻止入侵節(jié)點的路由請求和報文發(fā)送���,也不再向入侵節(jié)點 轉(zhuǎn)發(fā)報文���; 休眠模塊負責在兩種情況下結(jié)束阻擊agent, 一是在設(shè)定時間內(nèi)定位不到入 侵者時���,就是入侵者不在阻擊agent所在節(jié)點的周圍�����;二是入侵者死亡不再需要 阻擊agent隔離時��,休眠模塊能防止阻擊agent大量長時間占用節(jié)點資源����,只有 當入侵者存在時,才需要阻擊agent隔離��,入侵者死亡���,阻擊agent也應(yīng)自行休 眠��。
全文摘要
一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的無線自組織網(wǎng)絡(luò)主動防護系統(tǒng)����,包括監(jiān)視agent�、決策agent、阻擊agent�,其中監(jiān)視agent負責收集其周圍每個鄰居節(jié)點的行為信息,決策agent負責監(jiān)控網(wǎng)絡(luò)中的一個區(qū)域�����,決策agent匯總該區(qū)域內(nèi)監(jiān)視agent的信息��,并將匯總的信息形成某個節(jié)點一段時期內(nèi)行為序列�,再與路由協(xié)議進行對比,如果行為不符合路由協(xié)議�����,則判斷為入侵者發(fā)現(xiàn)入侵者后���,決策agent將防護命令傳輸給阻擊agent����;阻擊agent接收到?jīng)Q策agent發(fā)送的防護命令之后�����,形成一道移動防火墻將入侵者包圍隔離�,同時將其通信鏈路斷開,阻止入侵者發(fā)送與接收任何報文�。本發(fā)明大大減少了主動防護所消耗的網(wǎng)絡(luò)資源。
文檔編號H04L12/28GK101355416SQ20081004145
公開日2009年1月28日 申請日期2008年8月7日 優(yōu)先權(quán)日2008年8月7日
發(fā)明者越 吳, 帥 張, 平 易, 李建華, 寧 柳 申請人:上海交通大學