无线自组织网络路由查询泛洪攻击的检测方法

摘要

一种无线自组织网络路由查询报文泛洪攻击的检测方法，包括下述步骤：(1)每个节点监测和统计其周围节点产生的路由查询报文，并采用侦听每个路由查询报文是否有路由答复报文的办法，判断该路由查询报文是正常的查询报文还是伪造的查询报文；(2)每隔设定时间，每个节点检查自己的路由查询报文统计记录，如果发现其周围的某个节点在该设定时间内产生的伪造的路由查询报文数达到或超过设定阈值，即认为该节点为攻击节点，并将其列入黑名单；(3)每个节点对其接收到的、源自其黑名单中的节点所发送的路由查询报文，直接丢弃而不再转发。该方法只统计泛洪攻击的伪造报文，将攻击节点分离出来，提高正确检测率和降低误报率，以预防泛洪攻击。

说明书

技术领域

本发明涉及一种ad hoc路由查询泛洪攻击的检测方法，确切地说，涉及一种在无线自组织网络中，利用反应式路由协议中的路由查询与路由回复机制而实现的无线自组织网络路由查询泛洪攻击的检测方法；属于数据通信的网络安全技术领域。

背景技术

无线自组织网络是一种新型的移动多跳无线通信网络，该网络不依赖于任何固定的基础设施和管理中心，而是通过移动节点间的相互协作和自我组织来保持网络内各个节点之间的连接，同时实现数据的传递。与有线网络相比较，无线自组织网络的特殊之处是：网络拓扑可能会实时发生变化，很难预先确定，从而导致传统有线网络的路由查询和路由选择机制不能够很好地运转。基于这个特点，无线自组织网络一般采用反应式路由算法，即在路由缓存中找不到指定路径的时候，才发送查询报文来获取路由，并从中选择一条最合适的路由。

这种反应式路由算法的内容通常包括：欲发送数据包的源节点先向周围节点广播路由查询报文；各个节点收到该路由查询报文时，若查询的目的节点不是该节点自身，则将该查询报文转发给其周围相邻的其它节点；若查询报文的目的节点正是本节点，则该节点要构造一个路由回答报文，并将其送回源节点；该路由回答报文中携带有从源节点到被查询节点之间的一条可达路径。如果源节点没有收到路由回答报文，则认为查询的目的节点不存在；若收到路由回答报文，则取出可达路径并按照该路径发送数据报文，同时将该路径记录到自身的路由缓存中；若一个路由查询报文获得了多个路由回答报文，则按照设定的路由选择算法从这些多条可达路径中选择一条最优路径来发送数据报文。但是，这种反应式路由算法会带来很多安全问题。下面简要说明之。

经检索现有技术文献发现，Yi Ping，Zhong Yiping & Zhang Shiyong发表于《Journal of Computer Research and Development》(系统工程与电子技术“英文版”)中的论文《Flooding attack and defence in Ad hoc networks》(Ad hoc网络中的泛洪攻击与防范)，提出一种对无线自组织网络破坏效果非常显著的攻击：Adhoc Flooding Attack(AHFA)。该攻击是利用反应式路由算法漏洞，能在短时间内使得大范围的网络通信陷入瘫痪。该攻击的原理简述为：利用反应式路由算法中每个节点都要转发路由查询报文的特性，攻击节点以较高的频率广播伪造的路由查询报文，该路由查询报文又被周围临近节点多次复制、转发而在无线网络中迅速扩散，从而很快充斥大范围的无线网络，导致网络阻塞、甚至瘫痪。

为了防止路由查询的泛洪攻击，目前采用的检测防范机制是统计周围节点产生路由查询报文的速度，把产生查询报文速率过快的节点列入黑名单。但是，这种检测方法的检测效果要依赖于设定的检测阈值：在任意时段产生查询报文的速率高于设定值的节点均认为是恶意节点。此时的问题是：如果设置的阈值过高，可能会使泛洪频率较低的攻击节点成为漏网之鱼；然而，如果设置的阈值过低，就会造成正常节点也很可能因为在某个短时间段内偶然产生较多的路由查询报文而被误认为是攻击节点。也就是，检测正确率和误报率成为一组反关系，都取决于设定的检测阈值大小。这个检测阈值的如何设定就成为上述方法的关键。

发明内容

有鉴于此，本发明的目的是针对上述现有技术的不足，提供一种无线自组织网络路由查询报文泛洪攻击的检测方法，该方法使得网络节点在检测和统计路由查询报文的产生速率时，只统计泛洪攻击伪造的路由查询报文，而对正常的路由查询报文忽略不计，也就是针对泛洪攻击节点伪造的路由查询报文的特性，将攻击节点分离出来，从而拉大正确检测率和误报率之间的距离，提高正确检测率和降低误报率，较好地预防泛洪攻击。

为了达到上述发明目的，本发明提供了一种无线自组织网络路由查询报文泛洪攻击的检测方法，其特征在于，包括下述操作步骤：

(1)在使用反应式路由协议的无线自组织网络中，每个节点监测和统计其周围节点产生的路由查询报文，并采用侦听每个路由查询报文是否有路由答复报文的办法，判断该路由查询报文是正常的查询报文还是伪造的查询报文；

(2)每隔设定时间，每个节点检查自己的路由查询报文统计记录，如果发现其周围的某个节点在该设定时间内产生的伪造的路由查询报文数量达到或超过设定阈值，即认为该节点为攻击节点，并将其列入黑名单；

(3)每个节点对其接收到的、源自其黑名单中的节点所发送的路由查询报文，直接丢弃而不再转发。

所述反应式路由协议是动态源路由协议DSR(Dynamic Source Routing)；在动态源路由协议中，在找不到目的节点的路由时，源节点广播路由查询报文RREQ(Route Requests)，每个节点接收到目的节点非本节点的RREQ都要转发，只有目的节点接收到该RREQ报文时，返回路由回答报文RREP(Route Replies)；源节点在接收到RREP报文而获取路由后，才发送数据报文。

所述源节点是产生路由查询报文的节点，所述目的节点是路由查询报文要寻找的终端节点。

所述每个节点监测和统计其周围节点产生的路由查询报文是指每个节点都要监测、统计和存储记录其周围节点产生的路由查询报文的序号、源节点的IP地址、目的节点的IP地址和报文的产生时间。

所述侦听是指无线网络中的网元节点在混杂模式下监测、统计和存储记录位于网络中该节点侦听范围内的所有节点的通信或传送的各种报文，包括不是转发给该节点为目的节点的报文。

所述侦听路由查询报文是否有路由答复报文的判断办法是：节点对于其存储记录的每个路由查询报文，都要在设定时间接收到该路由查询报文的路由答复报文，并通过是否有相应的路由答复报文返回来判断该路由查询报文是否为正常的报文；所述路由答复报文是回送给源节点的，通过调节发送和/或接收功率，在侦听范围不小于传输范围两倍的基础上，无论路由答复报文来自何方，源节点的邻居节点都能够侦听到源节点应该接收到的每个路由查询报文的路由答复报文。

所述正常的路由查询报文是指该报文的目的节点是网络中确实存在的节点，在经过一段时间后，源节点肯定能够接收到其目的节点回复的路由答复报文，且该路由答复报文也会被源节点的邻居节点所侦听到；所述伪造的路由查询报文是指该路由查询报文由源节点伪造的；为了使泛洪攻击的查询报文尽可能多，伪造路由查询报文的目的节点通常是网络中不存在的节点，这样就使得伪造路由查询报文被最大程度地转发，进而出现其路由查询得不到答复，其源节点的邻居节点也不能侦听到路由答复报文的情况。

所述每个节点检查自己的路由查询报文统计记录，是指每个节点检查其周围的邻居节点的伪造的路由查询报文的产生速度：若产生速度较慢，则认为是目的节点暂时不可达，或者是源节点偶尔处理有误；若产生速度较快，则认为是恶意攻击节点在泛洪生产伪造的路由查询报文。

所述黑名单是将检测出来的以IP地址为标识的恶意攻击节点的记录名册。

与现有技术相比，本发明方法具有如下有益效果：

本发明基于侦听路由回答报文的泛洪攻击的检测方法，是在计算周围节点产生路由查询报文速度，并根据伪造的路由查询报文的特点，不是对所有的路由查询报文都进行检测和统计，只是检测和统计那些没有返回路由回答报文的路由查询报文，这样使得检测和统计更有针对性和便利性；而且，一旦侦听到相应的返回路由回答报文，就将该路由回答报文所对应的路由查询报文的源节点从原来存储记录的未应答的路由查询报文的源节点列表中删除之。

因为本发明的另一判断依据是：产生异常多的伪造的路由查询报文的节点肯定为恶意攻击节点。因此，在检测和统计时，超过设定时间还没有返回路由回答报文的路由查询报文的源节点就作为伪造的路由查询报文的源节点，被存储记录在相应的伪造的路由查询报文的源节点列表中。然而，如果在设定的单位时间段内，该源节点产生的伪造的路由查询报文的数量很少，或低于设定阈值，则认为是网络故障或其它非正常原因所致，从而将该源节点从伪造的路由查询报文的源节点列表中删除之。相反的，如果在设定的单位时间段内，该源节点产生的伪造的路由查询报文的数量很多，即高于或等于设定阈值，则认为该源节点就是泛洪的源头-攻击节点，于是就将该源节点列入以IP地址为标识的恶意攻击节点的记录名册：黑名单。以后，每个节点对其接收到的、源自其黑名单的节点所发送的路由查询报文，都直接丢弃而不再转发。这样，就能够极大地提高网络传输性能，使得路由查询泛洪攻击的检测率和误报率都得到显著的改善。总之，本发明在无线自组织网络中，能够很好地检测出路由查询的泛洪攻击，具有推广应用前景。

附图说明

图1是无线通信设备的正常通信传输范围及其侦听范围的比较示意图。

图2是本发明检测路由查询报文泛洪攻击节点的方法流程方框图。

图3是本发明中未应答的路由查询报文列表的结构示意图。

图4是本发明中伪造的路由查询报文统计表的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图和实施例对本发明作进一步的详细描述。

参见图1～图4，介绍本发明无线自组织网络路由查询报文泛洪攻击的检测方法，该方法包括下述操作步骤：

步骤1，在使用反应式路由协议的无线自组织网络中，每个节点监测和统计其周围节点产生的路由查询报文(参见图1所示)，并侦听每个路由查询报文是否有路由答复报文：当一个路由查询源节点(图1中，以六角星表示)产生一个路由查询报文并将其广播后，其周围的各个邻居节点(即路由上的一跳节点，图1中用三角形表示，且用实线圆表示通信范围)就将该路由查询报文记录到各自的“未应答路由查询报文列表”中；并开启混杂侦听模式，等待该路由查询报文所对应的路由答复报文的返回(图1中用虚线圆表示其中一个带有黑点的三角形节点的侦听范围，由图1可见：侦听范围的半径通常不小于通信范围的半径的两倍)。若有路由答复报文返回，则认为是其对应的路由查询报文是正常报文，就从“未应答路由查询报文列表”中删去该报文，即将从存储记录中删除该源节点；若没有返回路由答复报文，则认为是它是伪造的路由查询报文。

本发明的实施例采用的的路由协议是动态源路由协议DSR(The dynamicsource routing protocol)，实际应用不限于该协议。

在DSR路由协议中，每个节点遇到未知节点或路由缺失时，都会广播路由查询(RREQ)报文，并等待路由答复(RREP)报文的返回。RREQ报文中记录有：路由查询报文的序号、源节点的IP地址、目的节点的IP地址和报文的产生时间。当一个节点收到一个RREQ报文，并发现自己是该报文路由的一跳节点时(即本节点是RREQ)，则将该RREQ报文的序号、源节点IP地址、目的节点IP地址以及收到该RREQ报文的时间都记录到自身维护的“未应答的路由查询报文列表”(参见图3所示)中，并开启定时器，等待报文序号、源节点和目的节点的IP地址都相同的RREP报文的返回。

每当某个节点侦听到网络中的一个路由答复报文(RREP)时，就应该扫描其“未应答的路由查询报文列表”，把对应的路由查询报文项删除即可。

用这种方法找到伪造的RREQ报文的效果是很显著的。因为对于正常节点，其发出的RREQ绝大多数情况都会返回RREP。然而，对于攻击节点伪造的RREQ，为了使该RREQ被复制转发的次数尽可能地多和传播得尽量地远，其目的节点一般都是网络中不存在的节点。因此，绝大多数情况下都不会返回RREP。利用路由查询报文的泛洪攻击的这种特性，可以有效地把正常的路由查询报文和伪造的路由查询报文轻易地区分开来，从而提高检测率、降低误报率。一般来讲，无论返回的RREP来自哪个方向，都会被其周围的邻居节点侦听到。因为侦听报文的信号强度阈值要比接收报文的信号强度阈值小，所以，根据信号强度的指数衰减模型，侦听范围的半径一般是正常通信距离的两倍以上(如图1所示)，这样就使得每个节点通信范围内的所有节点都会落在其周围邻居节点的侦听范围内，从而保证无论从何处返回的RREP都会被侦听到。即使有部分RREP成为“漏网之鱼”，也不会影响上述判断机制。因为单位时间内如果没有侦听到返回的RREP而被误认为是伪造的RREQ的数量较少，也不足以让本发明的检测方法认为该节点是攻击节点。

本发明的侦听是指无线网络中的各个节点在混杂模式下监测、统计和存储记录位于网络中该节点侦听范围内的所有节点的通信或传送的各种报文，包括不是转发给该节点为目的节点的报文。

步骤2，基于侦听路由答复报文的阈值进行检测：每隔设定时间，每个节点对自己的“未应答的路由查询报文列表”进行扫描、检查，寻找超时没有应答的路由查询报文，并将其进行统计到“伪造的路由查询报文统计表”(参见图4所示)中。如果有一个节点在该段时间内累计的伪造的路由查询报文数高过一个设定阈值，则将该节点转移到黑名单中。本发明的上述检测流程如图2所示。

该步骤的设定时间间隔是本发明检测方法的响应时间。如果设定时间的间隔较短，会加重每个节点、即无线设备的运算量，影响数据报文的处理和转发速度。但是，设定时间的间隔过长，会造成检测方法失效。具体的设定时间间隔长短要视网络设备性能和网络情况而定。

该步骤的超时是预先设定一个时间，并认为这段时间内还没有返回RREP的RREQ报文即为伪造的。若预设的超时时长过短，则误报率较高，而预设的超时时长过长，则检测方法的响应也随之延长(因为确定一个RREQ是否伪造的时间变长了)。因此，如何确定超时的时长也要视网络情况而定；通常是先做一些实验来确定平均一个RREQ询问要等待多长时间才能收到对应的RREP。

每经过设定的时间间隔，各个节点开始扫描。先将“伪造的路由查询报文统计表”所有项都清零(只统计设定时间间隔内的伪造的路由查询报文数量)，然后，检查“未应答的路由查询报文列表”中的每一项未应答查询报文。并比较当前时间与该表中记录的收到该路由查询报文的时间，若时间之差大于超时时间，则认为该路由查询报文为伪造的路由查询报文，从“未应答的路由查询报文列表”中删除该项，同时在“伪造的路由查询报文统计表”中，让该查询源节点的对应项(参见图4)中的“检测间隔时间内产生的伪造的路由查询报文数”加1。扫描一遍后，再检查“伪造的路由查询报文统计表”，寻找单位时间产生的伪造的路由查询报文数量超过阈值的源节点。若能够找到，则将其从“伪造的路由查询报文统计表”中删除而列入黑名单；对于没有超过阈值的源节点项，则在下次扫描时清零。

步骤3，每个节点对其接收到的、源自其黑名单中的节点所发送的路由查询报文，直接丢弃而不再转发。

本发明采用黑名单维护机制，防止误报、黑名单攻击或恶意节点变为正常节点的情况。

本发明方法已经进行了实施试验，试验的结果是成功的，实现了发明目的。以上所述仅为本发明方法及其较佳实施例的介绍而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。