專利名稱:無線自組織網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的入侵響應(yīng)系統(tǒng),具體是一種無線自組織 網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng)���。
背景技術(shù):
無線自組網(wǎng)絡(luò)作為一種新型的移動(dòng)多跳無線網(wǎng)絡(luò)���,與傳統(tǒng)的無線網(wǎng)絡(luò)有許多 不同的特點(diǎn)。它不依賴于任何固定的基礎(chǔ)設(shè)施和管理中心�,而是通過移動(dòng)節(jié)點(diǎn)間 的相互協(xié)作和自我組織來保持網(wǎng)絡(luò)的連接,同時(shí)實(shí)現(xiàn)數(shù)據(jù)的傳遞����。無線自組網(wǎng)絡(luò) 不需要事先設(shè)置任何固定設(shè)施,如基站�,所以它能夠快速地部署,從而應(yīng)用于多 種環(huán)境之中��,如軍事�、災(zāi)難救助、臨時(shí)會(huì)議等�。
隨著無線自組網(wǎng)絡(luò)的廣泛應(yīng)用,無線自組網(wǎng)絡(luò)的安全保障變得FI益重要。現(xiàn) 有防范網(wǎng)絡(luò)入侵的方法可分為三類��,即入侵阻止�、入侵檢測和入侵響應(yīng)。所謂入 侵阻止就是利用認(rèn)證�����、加密和防火墻技術(shù)來保護(hù)系統(tǒng)不被入侵者攻擊和破壞�。但 是,這類防護(hù)方法應(yīng)用在無線自組網(wǎng)絡(luò)環(huán)境之中會(huì)受到條件的限制��,例如網(wǎng)絡(luò)拓 撲動(dòng)態(tài)變化���,沒有可以控制的網(wǎng)絡(luò)邊界����,使得防火墻無法應(yīng)用���。節(jié)點(diǎn)在移動(dòng)時(shí)也 可能被敵方俘獲而投降����,投降節(jié)點(diǎn)擁有合法的密鑰��,加密和認(rèn)證也失去了作用。 所以��,盡管入侵阻止方法在傳統(tǒng)網(wǎng)絡(luò)中發(fā)揮了重要的作用���,但在無線自組網(wǎng)絡(luò)中 卻難以發(fā)揮作用����。入侵檢測通過分析節(jié)點(diǎn)的行為來確定入侵者��,按照檢測技術(shù)��, 可以分為基于特征的和基于異常的入侵檢測���。迄今為止,無線自組網(wǎng)絡(luò)安全的研 究主要集中于入侵阻止和入侵檢測兩個(gè)方面��。如何在無線自組網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)入 侵響應(yīng)還未見相關(guān)文獻(xiàn)發(fā)表�。無線自組網(wǎng)絡(luò)由于其資源有限是相當(dāng)脆弱的,如果 不對(duì)入侵者產(chǎn)生及時(shí)的響應(yīng)�,阻止其攻擊行為,也許會(huì)造成整個(gè)網(wǎng)絡(luò)崩潰��。當(dāng)攻
擊者發(fā)動(dòng)DOS攻擊時(shí)�,在7分鐘內(nèi)整個(gè)網(wǎng)絡(luò)的報(bào)文傳輸率由97%下降到9. 4%����,網(wǎng) 絡(luò)流量幾乎全部被阻塞��,網(wǎng)絡(luò)無法正常運(yùn)行�。同時(shí),由于其自組織�、缺乏集中控 制的特點(diǎn),特別在多個(gè)管理域的環(huán)境中使得人工的響應(yīng)措施難以實(shí)施��。由此可見��,
盡管入侵阻止和入侵檢測技術(shù)在防止入侵方面發(fā)揮了巨大的作用�,但是它們都是 被動(dòng)的防御措施,它們所能取得的效果就是防止正常節(jié)點(diǎn)成為入侵行為的犧牲 者���。它們不能有效地消除入侵根源一入侵者�����。那些入侵者能夠繼續(xù)存在并危害網(wǎng) 絡(luò)系統(tǒng)����。
經(jīng)對(duì)現(xiàn)有技術(shù)的文獻(xiàn)檢索發(fā)現(xiàn)�����,D. Schnackenberg等人在Proceedings of the Second DARPA Information Survivability Conference and Exposition (DISCEXII), Anaheim, CA, June 2001 (第二屆美國國防高級(jí)研究計(jì)劃局信息生 存能力會(huì)議集��,阿納海姆���,加利福尼亞州����,2001年6月)發(fā)表的Cooperative Intrusion Traceback and Response Architecture (CITRA)》(《助����、同入侵追 蹤和響應(yīng)體系結(jié)構(gòu)》)����,提出了一種協(xié)同入侵跟蹤與響應(yīng)架構(gòu)CITIA,該架構(gòu)將 入侵檢測���、防火墻和路由器組成一個(gè)整體來追蹤入侵源并在入侵者附近阻止入侵 行為��。其具備的功能為跨越網(wǎng)絡(luò)邊界追蹤入侵者�、阻止入侵者繼續(xù)危害網(wǎng)絡(luò)�、報(bào) 告入侵行為�、協(xié)調(diào)入侵響應(yīng)�����。該架構(gòu)的核心是入侵跟蹤與孤立協(xié)議IDIP�, IDIP 協(xié)議由D. Schnackenberg等人在Proceedings of the DARPA Information Survivability Conference and Exposition, Hilton Head, SC, January 2000 (美國國防高級(jí)研究計(jì)劃局信息生存能力會(huì)議集���,希爾頓頭島��,南卡羅來納州�, 2000年 1 月)上發(fā)表的《Infrastructure for Intrusion Detection and Response》(《入侵檢測和響應(yīng)架構(gòu)》)中提出的���,IDIP協(xié)議將網(wǎng)絡(luò)分為多個(gè) 域����,每個(gè)域內(nèi)有一個(gè)協(xié)調(diào)管理者���。IDIP協(xié)議中對(duì)于一次攻擊��,首先檢測到入侵 的節(jié)點(diǎn)會(huì)向它所有的鄰居節(jié)IDIP點(diǎn)發(fā)送一個(gè)事件報(bào)告�,接收到的節(jié)點(diǎn)會(huì)首先判 斷自己是否在攻擊路徑上�����,如果是,它將會(huì)繼續(xù)發(fā)送這個(gè)事件報(bào)告給其它的鄰居 節(jié)點(diǎn)���。所有在攻擊路徑上的節(jié)點(diǎn)在向鄰居節(jié)點(diǎn)發(fā)IDIP發(fā)送事件報(bào)告的同時(shí)����,會(huì) 把這份報(bào)告和它已采取的響應(yīng)發(fā)送給協(xié)調(diào)管理者����,協(xié)調(diào)管理者綜合各節(jié)點(diǎn)的信 息,協(xié)調(diào)各節(jié)點(diǎn)的響應(yīng)����,從而達(dá)到全局最優(yōu)的響應(yīng)。CITRA (協(xié)同入侵跟蹤與響 應(yīng)架構(gòu))和IDIP (入侵跟蹤與孤立協(xié)議)通過各個(gè)網(wǎng)絡(luò)之間信息的交換���,對(duì)路 由器、防火墻和主機(jī)的重新配置��,實(shí)現(xiàn)跨多個(gè)網(wǎng)絡(luò)對(duì)入侵者的自動(dòng)追蹤�,最后將 入侵者在當(dāng)?shù)赜枰怨铝ⅰI鲜鲋鲃?dòng)防護(hù)的方案�����,都是基于有線Internet網(wǎng)絡(luò)環(huán) 境下實(shí)施的,在無線自組網(wǎng)絡(luò)環(huán)境下�����,由于節(jié)點(diǎn)移動(dòng)��,動(dòng)態(tài)拓?fù)渥兓?,使得上?方案難于應(yīng)用。
發(fā)明內(nèi)容
本發(fā)明的目的是針對(duì)上述現(xiàn)有技術(shù)的不足�����,提出了一種無線自組織網(wǎng)絡(luò)主動(dòng) 防護(hù)系統(tǒng)�,通過多種功能的agent (代理)組成一個(gè)整體來實(shí)現(xiàn)主動(dòng)入侵響應(yīng), 在每個(gè)節(jié)點(diǎn)布置監(jiān)視agent,負(fù)責(zé)收集其周圍每個(gè)鄰居節(jié)點(diǎn)的行為信息���;每個(gè)區(qū) 域內(nèi)的決策agent匯總監(jiān)視agent的信息并進(jìn)行判斷;若存在入侵者�����,阻擊agent 在入侵者周圍形成一道移動(dòng)防火墻�����,將入侵者包圍并隔離于網(wǎng)絡(luò)���,消除入侵行為��。
本發(fā)明是通過如下技術(shù)方案實(shí)現(xiàn)的���,本發(fā)明包括監(jiān)視agent、決策agent���、 阻擊agent,其中
監(jiān)視agent設(shè)置在每個(gè)節(jié)點(diǎn)����,負(fù)責(zé)收集其周圍每個(gè)鄰居節(jié)點(diǎn)的行為信息���,并 將收集到的行為信息傳輸給決策agent;
決策agent負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)中的一個(gè)區(qū)域���,不需駐留在每一個(gè)節(jié)點(diǎn),決策agent 匯總監(jiān)視agent的信息�����,并將匯總的信息形成某個(gè)節(jié)點(diǎn)一段時(shí)期內(nèi)的行為序列����, 再與路由協(xié)議進(jìn)行對(duì)比,如果行為符合路由協(xié)議則是正常節(jié)點(diǎn)�����,如果行為不符合 路由協(xié)議�,則判斷為入侵者發(fā)現(xiàn)入侵者后,決策agent將防護(hù)命令傳輸給阻擊 agent;
阻擊agent接收到?jīng)Q策agent發(fā)送的防護(hù)命令之后���,激活在入侵者周圍的節(jié) 點(diǎn)上的阻擊agent,形成一道移動(dòng)防火墻將入侵者包圍隔離����,同時(shí)將其通信鏈路 斷開����,阻止入侵者發(fā)送與接收任何報(bào)文。
所述監(jiān)視agent,包括監(jiān)聽模塊���、過濾模塊��、編碼模塊和第一通信模塊���, g巾-
監(jiān)聽模塊負(fù)責(zé)收集監(jiān)視agent所能收到所有鄰居節(jié)點(diǎn)的通信內(nèi)容��,無線通信 是無方向性的���,任何在其通信范圍內(nèi)的節(jié)點(diǎn)均可收到其信息,所以節(jié)點(diǎn)之間的通 信能夠被第三方監(jiān)聽�;
過濾模塊對(duì)監(jiān)聽模塊收到的初始信息進(jìn)行過濾,濾除一些保持連接的等不必 要的信息���,并將濾除后的信息傳輸給編碼模塊���,比如用于節(jié)點(diǎn)之間保持聯(lián)接的 hello報(bào)文就可過濾掉;
編碼模塊負(fù)責(zé)對(duì)過濾后的重要信息進(jìn)行壓縮編碼���,以減少agent之間的通信 量���,并將壓縮后的信息由第一通信模塊傳輸給決策agent。
所述決策agent,是整個(gè)架構(gòu)的核心�,負(fù)責(zé)信息的收集、判斷��、阻擊命令產(chǎn) 生等任務(wù)����,決策agent也駐留在節(jié)點(diǎn)上,分布于無線自組網(wǎng)絡(luò)的各處并隨節(jié)點(diǎn)移 動(dòng)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)視���,為了減少對(duì)系統(tǒng)資源的占用�����,它只是平均分布于網(wǎng)絡(luò)中�����, 即對(duì)整個(gè)無線自組網(wǎng)絡(luò)按區(qū)域劃分���,每個(gè)決策agent負(fù)責(zé)一個(gè)區(qū)域的監(jiān)控,而不 需要駐留在每一個(gè)節(jié)點(diǎn)上����。
所述決策agent,包括第二通信模塊、分析模塊����、響應(yīng)模塊、策略庫模塊���, 射
第二通信模塊�����,用于與監(jiān)視agent進(jìn)行通信����,收集監(jiān)視agent對(duì)鄰居節(jié)點(diǎn)的 監(jiān)視信息;
分析模塊���,用于對(duì)監(jiān)視agent發(fā)來的各節(jié)點(diǎn)信息進(jìn)行綜合判斷���,采用基于規(guī) 范的入侵檢測方法,從策略庫模塊取出路由協(xié)議規(guī)范�����,對(duì)節(jié)點(diǎn)行為進(jìn)行判斷�,如 果某個(gè)節(jié)點(diǎn)的行為只有少數(shù)不正常,則不一定是入侵節(jié)點(diǎn)��,可能是線路故障�,若 多次判斷均出現(xiàn)不正常,判定該節(jié)點(diǎn)為入侵節(jié)點(diǎn)��,并將判斷結(jié)果傳輸給響應(yīng)模塊;
策略庫模塊中存儲(chǔ)路由協(xié)議規(guī)范�,并供分析模塊調(diào)用;
響應(yīng)模塊根據(jù)分析模塊的有入侵節(jié)點(diǎn)的判斷結(jié)果����,產(chǎn)生防護(hù)命令��,用以激活 阻擊agent ���。
所述決策agent,其采用査詢應(yīng)答方式與監(jiān)視agent之間進(jìn)行交互�����,在節(jié)點(diǎn) 動(dòng)態(tài)變化的過程中��,定時(shí)向周圍的節(jié)點(diǎn)發(fā)送査詢報(bào)文����,受到查詢報(bào)文的監(jiān)視 agent后將監(jiān)視收集的信息通過第二通信模塊發(fā)給決策agent �,決策agent能夠 綜合區(qū)域內(nèi)每個(gè)監(jiān)視agent的信息,對(duì)某個(gè)節(jié)點(diǎn)的監(jiān)視就會(huì)比較完全�,不會(huì)有信 息遺漏。
所述決策agent,其定時(shí)向周圍節(jié)點(diǎn)廣播査詢報(bào)文���,報(bào)文的傳輸范圍由決策 agent的監(jiān)視范圍所定����,監(jiān)視范圍為以決策agent為中心一跳或幾跳的范圍。
所述分析模塊���,基于路由協(xié)議的規(guī)范對(duì)節(jié)點(diǎn)的行為進(jìn)行分析��,采用基于規(guī)范 的入侵檢測方法����,如正常節(jié)點(diǎn)在接收到發(fā)往其他節(jié)點(diǎn)的報(bào)文應(yīng)該及時(shí)轉(zhuǎn)發(fā)出去����, 如果某接收報(bào)文后即進(jìn)行了轉(zhuǎn)發(fā),是正常網(wǎng)絡(luò)操作���。如果某節(jié)點(diǎn)只收報(bào)文不轉(zhuǎn)發(fā) 報(bào)文�����,不是正常網(wǎng)絡(luò)行為�。當(dāng)某個(gè)節(jié)點(diǎn)的不正常行為超過了設(shè)定的限度,就可認(rèn) 定為其為入侵節(jié)點(diǎn)�����。
所述決策agent,由于網(wǎng)絡(luò)節(jié)點(diǎn)的動(dòng)態(tài)特性����,某個(gè)區(qū)域的決策agent可能由 于節(jié)點(diǎn)移動(dòng)、節(jié)點(diǎn)退出而空缺或決策agent遭到攻擊而失效�����,此時(shí)監(jiān)視agent 就收不到?jīng)Q策agent的查詢報(bào)文����,當(dāng)超過了設(shè)定的時(shí)間限度�,就可推斷該區(qū)域的 決策agent己經(jīng)不存在,該區(qū)域的節(jié)點(diǎn)則選舉一個(gè)節(jié)點(diǎn)駐留決策agent,并由該 節(jié)點(diǎn)從周圍節(jié)點(diǎn)請求一個(gè)決策agent,該請求報(bào)文達(dá)到周圍區(qū)域的某個(gè)決策 agent時(shí)�,該決策agent復(fù)制一份,復(fù)制后的決策agent移動(dòng)到請求節(jié)點(diǎn)��,可能 會(huì)有多個(gè)決策agent響應(yīng)�,最先到達(dá)的決策agent發(fā)揮作用,隨后到達(dá)的拋棄�。
所述選舉一個(gè)節(jié)點(diǎn)駐留決策agent,采用競爭方式進(jìn)行選舉,哪個(gè)節(jié)點(diǎn)先申 請哪個(gè)節(jié)點(diǎn)作為決策agent的駐留節(jié)點(diǎn)����,或哪個(gè)節(jié)點(diǎn)資源充足哪個(gè)作為決策 agent的駐留節(jié)點(diǎn)���。
所述阻擊agent,包括第三通信模塊、定位模塊�����、隔離模塊和休眠模塊���, g中-
第三通信模塊用于接收決策agent的阻擊命令�����,定位模塊用于確定入侵者的 位置�����,如果入侵者位于阻擊agent所在節(jié)點(diǎn)的周圍�����,啟動(dòng)隔離模塊功能��;
隔離模塊�,其負(fù)責(zé)阻止入侵節(jié)點(diǎn)的路由請求和報(bào)文發(fā)送,也不再向入侵節(jié)點(diǎn) 轉(zhuǎn)發(fā)報(bào)文�����。無線自組網(wǎng)絡(luò)中節(jié)點(diǎn)必須通過鄰居節(jié)點(diǎn)的轉(zhuǎn)發(fā)才能加入網(wǎng)絡(luò)�����,此時(shí)雖 然入侵節(jié)點(diǎn)在網(wǎng)絡(luò)中�����,但它被阻擊agent所隔離��,不能參與任何網(wǎng)絡(luò)功能���,這樣 最大程度地減少了對(duì)網(wǎng)絡(luò)的危害。
休眠模塊負(fù)責(zé)在兩種情況下結(jié)束阻擊agent ���, 一是在設(shè)定時(shí)間內(nèi)定位不到入 侵者時(shí)�,就是入侵者不在阻擊agent所在節(jié)點(diǎn)的周圍����;二是入侵者死亡不再需要 阻擊agent隔離時(shí)����,休眠模塊能防止阻擊agent大量長時(shí)間占用節(jié)點(diǎn)資源�����,只有 當(dāng)入侵者存在時(shí)����,才需要阻擊agent隔離,入侵者死亡��,阻擊agent也應(yīng)自行休 眠��。
本發(fā)明工作時(shí)��,包括入侵檢測和入侵響應(yīng)兩個(gè)部分����,入侵節(jié)點(diǎn)周圍節(jié)點(diǎn)上的 監(jiān)視agent時(shí)刻監(jiān)視入侵節(jié)點(diǎn)的行為并將其行為進(jìn)行編碼,當(dāng)入侵節(jié)點(diǎn)連續(xù)發(fā)送 查詢報(bào)文時(shí)�����,各監(jiān)視agent將編碼發(fā)往本區(qū)域的決策agent,決策agent調(diào)用 策略庫中的路由規(guī)范進(jìn)行判斷,判斷為入侵行為后��,下一歩進(jìn)行入侵響應(yīng)��,決策 agent的響應(yīng)模塊開始產(chǎn)生阻擊命令�����,發(fā)給阻擊agent,阻擊agent被激活�,阻 擊agent命令入侵節(jié)點(diǎn)的鄰節(jié)點(diǎn),到達(dá)后將臨節(jié)點(diǎn)與入侵節(jié)點(diǎn)的鏈路中斷����,拒絕 入侵節(jié)點(diǎn)的任何路由報(bào)文,同時(shí)其他決策agent重復(fù)這樣的工作��,這樣入侵節(jié)點(diǎn) 雖然在網(wǎng)絡(luò)中��,但已完全被其周圍節(jié)點(diǎn)隔離���。
與現(xiàn)有技術(shù)相比,本發(fā)明具有如下有益效果
1����、 能夠?qū)崟r(shí)地發(fā)現(xiàn)并主動(dòng)阻斷入侵者的攻擊行為��,保障無線自組織網(wǎng)絡(luò)的 安全和正常運(yùn)行����。
2��、 移動(dòng)防火墻只在在攻擊者周圍形成��,無需全網(wǎng)實(shí)施響應(yīng)���,從而能使入侵 響應(yīng)局部化��,大大減少主動(dòng)防護(hù)所消耗的網(wǎng)絡(luò)資源����。
圖1是本發(fā)明的系統(tǒng)結(jié)構(gòu)框圖���; 圖2是本發(fā)明中監(jiān)視agent的結(jié)構(gòu)框圖��; 圖3是本發(fā)明中決策agent的結(jié)構(gòu)框圖����; 圖4是本發(fā)明中阻擊agent的結(jié)構(gòu)框圖�����; 圖5是一個(gè)無線自組織網(wǎng)絡(luò)拓?fù)鋱D6是入侵節(jié)點(diǎn)發(fā)動(dòng)攻擊圖7是本發(fā)明中阻擊agent形成移動(dòng)防火墻后孤立入侵節(jié)點(diǎn)的結(jié)果示意圖。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明的實(shí)施例作詳細(xì)說明本實(shí)施例在以本發(fā)明技術(shù)方案 為前提下進(jìn)行實(shí)施����,給出了詳細(xì)的實(shí)施方式和具體的操作過程,但本發(fā)明的保護(hù) 范圍不限于下述的實(shí)施例��。
如圖5所示�,是應(yīng)用本實(shí)施例的一個(gè)無線自組織網(wǎng)絡(luò)的拓?fù)鋱D,該無線自組 織網(wǎng)絡(luò)中���,有15個(gè)移動(dòng)節(jié)點(diǎn)���,從節(jié)點(diǎn)A到節(jié)點(diǎn)0,相鄰節(jié)點(diǎn)通過雙向鏈路(表 示為一爭)進(jìn)行連接���,其中節(jié)點(diǎn)H為入侵者���。
如圖1所示,本實(shí)施例包括監(jiān)視agent��、決策agent���、阻擊agent�����,其中
監(jiān)視agent設(shè)置在每個(gè)節(jié)點(diǎn)�,負(fù)責(zé)收集其周圍每個(gè)鄰居節(jié)點(diǎn)的行為信息���,并 將收集到的行為信息傳輸給決策agent;圖5中�����,15個(gè)節(jié)點(diǎn)(表示為O)都駐留 監(jiān)視agent,監(jiān)聽并收集其鄰居節(jié)點(diǎn)的行為信息�����。
決策agent負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)中的一個(gè)區(qū)域���,不需駐留在每一個(gè)節(jié)點(diǎn),決策agent 匯總監(jiān)視agent.的信息����,并將匯總的信息形成某個(gè)節(jié)點(diǎn)一段時(shí)期內(nèi)的行為序列, 再與路由協(xié)議進(jìn)行對(duì)比�,如果行為符合路由協(xié)議則是正常節(jié)點(diǎn)����,如果行為不符合 路由協(xié)議�,則判斷為入侵者發(fā)現(xiàn)入侵者后,決策agent將防護(hù)命令傳輸給阻擊 agent;圖5中�����,三個(gè)節(jié)點(diǎn)C����、 L、 0 (表示為口)中駐留了決策agent���,負(fù)責(zé)其區(qū)
域內(nèi)信息的匯總與決策�,如節(jié)點(diǎn)L上的決策agent就負(fù)責(zé)匯總節(jié)點(diǎn)D��、 E����、 M、 L 節(jié)點(diǎn)上監(jiān)視agent所收集的信息����。
阻擊agent接收到?jīng)Q策agent發(fā)送的防護(hù)命令之后���,激活在入侵者周圍的節(jié) 點(diǎn)上的阻擊agent,形成一道移動(dòng)防火墻將入侵者包圍隔離���,同時(shí)將其通信鏈路 斷開�����,阻止入侵者發(fā)送與接收任何報(bào)文�����。
如圖2所示�����,所述監(jiān)視agent,包括監(jiān)聽模塊����、過濾模塊�����、編碼模塊和第 一通信模塊,其中-
監(jiān)聽模塊負(fù)責(zé)收集監(jiān)視agent所能收到所有鄰居節(jié)點(diǎn)的通信內(nèi)容���,無線通信 是無方向性的���,任何在其通信范圍內(nèi)的節(jié)點(diǎn)均可收到其信息,所以節(jié)點(diǎn)之間的通 信能夠被第三方監(jiān)聽�;
過濾模塊對(duì)監(jiān)聽模塊收到的初始信息進(jìn)行過濾,濾除一些保持連接的等不必 要的信息���,并將濾除后的信息傳輸給編碼模塊��,比如用于節(jié)點(diǎn)之間保持聯(lián)接的 hello報(bào)文就可過濾掉�;
編碼模塊負(fù)責(zé)對(duì)過濾后的重要信息進(jìn)行壓縮編碼���,以減少agent之間的通信 量�,并將壓縮后的信息由第一通信模塊傳輸給決策agent���。
如圖3所示�����,所述決策agent,包括第二通信模塊���、分析模塊�����、響應(yīng)模塊���、 策略庫模塊���,其中
第二通信模塊�,用于與監(jiān)視agent進(jìn)行通信���,收集監(jiān)視agent對(duì)鄰居節(jié)點(diǎn)的 監(jiān)視信息����;
響應(yīng)模塊負(fù)責(zé)在節(jié)點(diǎn)動(dòng)態(tài)變化的過程中���,定時(shí)向周圍的節(jié)點(diǎn)發(fā)送查詢報(bào)文�����, 受到查詢報(bào)文的監(jiān)視agent后將監(jiān)視收集的信息通過第二通信模塊發(fā)給決策 agent;
分析模塊�,用于對(duì)監(jiān)視agent發(fā)來的各節(jié)點(diǎn)信息進(jìn)行綜合判斷,采用基于規(guī) 范的入侵檢測方法���,從策略庫模塊取出路由協(xié)議規(guī)范����,對(duì)節(jié)點(diǎn)行為進(jìn)行判斷�����,如 果某個(gè)節(jié)點(diǎn)的行為只有少數(shù)不正常�,則不一定是入侵節(jié)點(diǎn),可能是線路故障����,若 多次判斷均出現(xiàn)不正常,判定該節(jié)點(diǎn)為入侵節(jié)點(diǎn)���;
策略庫模塊中存儲(chǔ)路由協(xié)議規(guī)范�,并供分析模塊調(diào)用����;
如圖4所示,所述阻擊agent,包括第三通信模塊�����、定位模塊、隔離模塊 和休眠模塊�����,其中
第三通信模塊用于接收決策agent的阻擊命令��,定位模塊用于確定入侵者的 位置�,如果入侵者位于阻擊agent所在節(jié)點(diǎn)的周圍,啟動(dòng)隔離模塊功能�;
隔離模塊�,其負(fù)責(zé)阻止入侵節(jié)點(diǎn)的路由請求和報(bào)文發(fā)送,也不再向入侵節(jié)點(diǎn) 轉(zhuǎn)發(fā)報(bào)文����。無線自組網(wǎng)絡(luò)中節(jié)點(diǎn)必須通過鄰居節(jié)點(diǎn)的轉(zhuǎn)發(fā)才能加入網(wǎng)絡(luò),此時(shí)雖 然入侵節(jié)點(diǎn)在網(wǎng)絡(luò)中��,但它被阻擊agent所隔離����,不能參與任何網(wǎng)絡(luò)功能,這樣 最大程度地減少了對(duì)網(wǎng)絡(luò)的危害�。
休眠模塊負(fù)責(zé)在兩種情況下結(jié)束阻擊agent����, 一是在設(shè)定時(shí)間內(nèi)定位不到入 侵者時(shí)����,就是入侵者不在阻擊agent所在節(jié)點(diǎn)的周圍;二是入侵者死亡不再需要 阻擊agent隔離時(shí)���,休眠模塊能防止阻擊agent大量長時(shí)間占用節(jié)點(diǎn)資源���,只有 當(dāng)入侵者存在時(shí),才需要阻擊agent隔離���,入侵者死亡�,阻擊agent也應(yīng)自行休 眠�。
如圖6所示,中顯示入侵節(jié)點(diǎn)H (表示為A )開始發(fā)動(dòng)拒絕服務(wù)攻擊�����,它 向整個(gè)網(wǎng)絡(luò)泛洪發(fā)送大量無用數(shù)據(jù)報(bào)文或路由查詢報(bào)文����,數(shù)據(jù)報(bào)從入侵者周圍節(jié) 點(diǎn)開始向整個(gè)網(wǎng)絡(luò)擴(kuò)散�,大量占用和消耗網(wǎng)絡(luò)資源�,導(dǎo)致其他節(jié)點(diǎn)無法正常傳送 報(bào)文,圖中"" 表示攻擊報(bào)文傳播路線�����。
本實(shí)施例工作時(shí)包括入侵檢測和入侵響應(yīng)兩個(gè)過程
首先是入侵檢測��,節(jié)點(diǎn)F����、 G、 I�、 D是H的鄰居,在節(jié)點(diǎn)F��、 G����、 I���、 D上的監(jiān) 視agent時(shí)刻監(jiān)視節(jié)點(diǎn)H的行為并將其行為進(jìn)行編碼��,當(dāng)H節(jié)點(diǎn)連續(xù)發(fā)送査詢報(bào) 文時(shí)�,其行為的編碼為"6666666", F節(jié)點(diǎn)上的監(jiān)視agent將編碼發(fā)往C節(jié)點(diǎn)上 的決策agent, D節(jié)點(diǎn)上監(jiān)視agent的監(jiān)視數(shù)據(jù)發(fā)向L節(jié)點(diǎn)上的決策agent, G�、 I節(jié)點(diǎn)上監(jiān)視agent的監(jiān)視數(shù)據(jù)發(fā)往0節(jié)點(diǎn)上的決策agent。決策agent調(diào)用策 略庫中的路由規(guī)范進(jìn)行判斷���。
判斷為入侵行為后���,下一歩進(jìn)行入侵響應(yīng),決策agent的響應(yīng)模塊開始產(chǎn)生 阻擊命令��,發(fā)給阻擊agent,在節(jié)點(diǎn)C�、 L、 0上的決策agent判斷有入侵后�,分 別產(chǎn)生阻擊agent命令,節(jié)點(diǎn)C上決策agent產(chǎn)生的阻擊agent命令沿CF鏈路 到達(dá)入侵者H的鄰節(jié)點(diǎn)F����,到達(dá)后將節(jié)點(diǎn)F與入侵者H的鏈路FH中斷,拒絕H 節(jié)點(diǎn)的任何路由報(bào)文�����。同樣�,節(jié)點(diǎn)L和0上的決策agent產(chǎn)生的阻擊agent命令 分別到達(dá)入侵者的另外三個(gè)鄰居節(jié)點(diǎn)D、 I�、 G�,同時(shí)將其與節(jié)點(diǎn)H的鏈路DH��、 IH�����、 GH斷開�。這樣入侵者H雖然在網(wǎng)絡(luò)中,但己完全被其周圍節(jié)點(diǎn)隔離�����。
如圖7所示���,阻擊agent命令傳輸?shù)饺肭终咧車膫€(gè)節(jié)點(diǎn)�����,激活阻擊agent 形成一道移動(dòng)防火墻�����,如圖中的虛線,將入侵者隔離����。圖中�����, 表示阻擊agent 駐留的節(jié)點(diǎn)�����,—表示阻擊agent移動(dòng)路線��,X表示中斷鏈路連接�。
從上述分析可以看出����,遍布整個(gè)網(wǎng)絡(luò)的監(jiān)視agent實(shí)現(xiàn)對(duì)每個(gè)節(jié)點(diǎn)的監(jiān)控, 將節(jié)點(diǎn)的行為編碼后發(fā)送到?jīng)Q策agent,決策agent進(jìn)行判斷���。如果發(fā)現(xiàn)入侵者��, 則決策agent發(fā)出阻擊agent命令��,由阻擊agent將入侵者包圍并隔離���,最終消 除入侵的影響���,實(shí)現(xiàn)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn),整個(gè)過程是自動(dòng)進(jìn)行的�����,無需人工干預(yù)�, 實(shí)現(xiàn)了實(shí)時(shí)的主動(dòng)入侵防護(hù)。
權(quán)利要求
1��、一種無線自組織網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng)����,其特征在于,包括監(jiān)視agent�、決策agent、阻擊agent�����,其中監(jiān)視agent設(shè)置在每個(gè)節(jié)點(diǎn)��,負(fù)責(zé)收集其周圍每個(gè)鄰居節(jié)點(diǎn)的行為信息�����,并將收集到的行為信息傳輸給決策agent�����;決策agent負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)中的一個(gè)區(qū)域���,決策agent匯總該區(qū)域內(nèi)監(jiān)視agent的信息�,并將匯總的信息形成某個(gè)節(jié)點(diǎn)一段時(shí)期內(nèi)的行為序列�����,再與路由協(xié)議進(jìn)行對(duì)比����,如果行為符合路由協(xié)議則是正常節(jié)點(diǎn),如果行為不符合路由協(xié)議��,則判斷為入侵者發(fā)現(xiàn)入侵者后���,決策agent將防護(hù)命令傳輸給阻擊agent���;阻擊agent接收到?jīng)Q策agent發(fā)送的防護(hù)命令之后,激活在入侵者周圍的節(jié)點(diǎn)上的阻擊agent,形成一道移動(dòng)防火墻將入侵者包圍隔離���,同時(shí)將其通信鏈路斷開�����,阻止入侵者發(fā)送與接收任何報(bào)文�����。
2�、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng)���,其特征是��,所述 監(jiān)視agent,包括監(jiān)聽模塊����、過濾模塊�、編碼模塊和第一通信模塊,其中監(jiān)聽模塊負(fù)責(zé)收集監(jiān)視agent所能收到所有鄰居節(jié)點(diǎn)的通信內(nèi)容�����; 過濾模塊對(duì)監(jiān)聽模塊收到的初始信息進(jìn)行過濾,濾除保持連接的信息�����,并將濾除后的信息傳輸給編碼模塊�;編碼模塊負(fù)責(zé)對(duì)過濾后的重要信息進(jìn)行壓縮編碼�����,并將壓縮后的信息由第一通信模塊傳輸給決策agent �����。
3��、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng)���,其特征是���,所述 決策agent,其采用査詢應(yīng)答方式與監(jiān)視agent之間進(jìn)行交互,在節(jié)點(diǎn)動(dòng)態(tài)變化 的過程中���,定時(shí)向周圍的節(jié)點(diǎn)發(fā)送查詢報(bào)文��,受到査詢報(bào)文的監(jiān)視agent后將監(jiān) 視收集的信息通過通信模塊發(fā)給決策agent���。
4����、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng)�����,其特征是�,所述 決策agent,其定時(shí)向周圍節(jié)點(diǎn)廣播查詢報(bào)文,報(bào)文的傳輸范圍由決策agent的 監(jiān)視范圍所定���,監(jiān)視范圍為以決策agent為中心一跳或幾跳的范圍��。
5�����、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng)����,其特征是�����,所述 決策agent,由于網(wǎng)絡(luò)節(jié)點(diǎn)的動(dòng)態(tài)特性,某個(gè)區(qū)域的決策agent可能由于節(jié)點(diǎn)移 動(dòng)�����、節(jié)點(diǎn)退出而空缺或決策agent遭到攻擊而失效�,此時(shí)監(jiān)視agent就收不到?jīng)Q 策agent的査詢報(bào)文,當(dāng)超過了設(shè)定的時(shí)間限度��,就推斷該區(qū)域的決策agent 已經(jīng)不存在�,該區(qū)域的節(jié)點(diǎn)則選舉一個(gè)節(jié)點(diǎn)駐留決策agent,并由該節(jié)點(diǎn)從周圍 節(jié)點(diǎn)請求一個(gè)決策agent,該請求報(bào)文達(dá)到周圍區(qū)域的某個(gè)決策agent時(shí)����,該決 策agent復(fù)制一份,復(fù)制后的決策agent移動(dòng)到請求節(jié)點(diǎn)�����,可能會(huì)有多個(gè)決策 agent響應(yīng)�,最先到達(dá)的決策agent發(fā)揮作用,隨后到達(dá)的拋棄�����。
6、 根據(jù)權(quán)利要求5所述的無線自組織網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng)���,其特征是����,所述 選舉一個(gè)節(jié)點(diǎn)駐留決策agent,采用競爭方式進(jìn)行選舉�,哪個(gè)節(jié)點(diǎn)先申請哪個(gè)節(jié) 點(diǎn)作為決策agent的駐留節(jié)點(diǎn),或哪個(gè)節(jié)點(diǎn)資源充足哪個(gè)作為決策agent的駐留 節(jié)點(diǎn)���。
7���、 根據(jù)權(quán)利要求1或3或4或5或6所述的無線自組織網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng), 其特征是�,所述決策agent,包括第二通信模塊、分析模塊��、響應(yīng)模塊�、策略 庫模塊,其中第二通信模塊��,用于與監(jiān)視agent進(jìn)行通信�,收集監(jiān)視agent對(duì)鄰居節(jié)點(diǎn)的 監(jiān)視信息;分析模塊�,用于對(duì)監(jiān)視agent發(fā)來的各節(jié)點(diǎn)信息進(jìn)行綜合判斷���,采用基于規(guī) 范的入侵檢測方法,從策略庫模塊取出路由協(xié)議規(guī)范�����,對(duì)節(jié)點(diǎn)行為進(jìn)行判斷���,如 果某個(gè)節(jié)點(diǎn)的行為只有少數(shù)不正常����,則不一定是入侵節(jié)點(diǎn)�,可能是線路故障����,若 多次判斷均出現(xiàn)不正常,判定該節(jié)點(diǎn)為入侵節(jié)點(diǎn)��,并將判斷結(jié)果傳輸給響應(yīng)模塊���;策略庫模塊中存儲(chǔ)路由協(xié)議規(guī)范���,并供分析模塊調(diào)用����;響應(yīng)模塊根據(jù)分析模塊的有入侵節(jié)點(diǎn)的判斷結(jié)果���,產(chǎn)生防護(hù)命令�,用以激活 阻擊agent o
8��、 根據(jù)權(quán)利要求l所述的無線自組織網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng)����,其特征是,所述 阻擊agent,包括第三通信模塊��、定位模塊����、隔離模塊和休眠模塊,其中第三通信模塊用于接收決策agent的阻擊命令��,定位模塊用于確定入侵者的 位置�����,如果入侵者位于阻擊agent所在節(jié)點(diǎn)的周圍,啟動(dòng)隔離模塊功能�;隔離模塊,其負(fù)責(zé)阻止入侵節(jié)點(diǎn)的路由請求和報(bào)文發(fā)送����,也不再向入侵節(jié)點(diǎn) 轉(zhuǎn)發(fā)報(bào)文; 休眠模塊負(fù)責(zé)在兩種情況下結(jié)束阻擊agent��, 一是在設(shè)定時(shí)間內(nèi)定位不到入 侵者時(shí)��,就是入侵者不在阻擊agent所在節(jié)點(diǎn)的周圍�;二是入侵者死亡不再需要 阻擊agent隔離時(shí),休眠模塊能防止阻擊agent大量長時(shí)間占用節(jié)點(diǎn)資源����,只有 當(dāng)入侵者存在時(shí),才需要阻擊agent隔離���,入侵者死亡,阻擊agent也應(yīng)自行休 眠��。
全文摘要
一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的無線自組織網(wǎng)絡(luò)主動(dòng)防護(hù)系統(tǒng)���,包括監(jiān)視agent�����、決策agent����、阻擊agent,其中監(jiān)視agent負(fù)責(zé)收集其周圍每個(gè)鄰居節(jié)點(diǎn)的行為信息�����,決策agent負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)中的一個(gè)區(qū)域�����,決策agent匯總該區(qū)域內(nèi)監(jiān)視agent的信息�����,并將匯總的信息形成某個(gè)節(jié)點(diǎn)一段時(shí)期內(nèi)行為序列�����,再與路由協(xié)議進(jìn)行對(duì)比�,如果行為不符合路由協(xié)議,則判斷為入侵者發(fā)現(xiàn)入侵者后�����,決策agent將防護(hù)命令傳輸給阻擊agent;阻擊agent接收到?jīng)Q策agent發(fā)送的防護(hù)命令之后��,形成一道移動(dòng)防火墻將入侵者包圍隔離���,同時(shí)將其通信鏈路斷開�����,阻止入侵者發(fā)送與接收任何報(bào)文����。本發(fā)明大大減少了主動(dòng)防護(hù)所消耗的網(wǎng)絡(luò)資源���。
文檔編號(hào)H04L12/28GK101355416SQ20081004145
公開日2009年1月28日 申請日期2008年8月7日 優(yōu)先權(quán)日2008年8月7日
發(fā)明者越 吳, 帥 張, 平 易, 李建華, 寧 柳 申請人:上海交通大學(xué)