专利名称:具有入侵检测特性的移动自组织网络以及相关的方法
技术领域:
本发明涉及具有入侵检测特性的移动自组织网络以及相关的方法。
背景技术:
在过去的十年中,无线网络得到了不断发展。对无线网络而言,其中一个快速发展的领域是移动自组织(ad hoc)网络,或简称“MANET”。在物理上,移动自组织网络包括很多在地理上分散并且共享公共无线电信道的移动节点。与蜂窝网络或卫星网络之类的其他类型的网络相比,移动自组织网络的最大区别特征在于没有固定架构。网络仅仅由移动节点组成,并且网络是在节点彼此足够接近并且执行发送或接收操作的时候“匆忙”建立的。这种网络不依赖于特定的节点,并且会在某些节点加入或其他节点离开网络的时候进行动态调整。
由于存在这些独特的特性,因此,用于对自组织网络内部数据流进行控制并能适应于频繁的拓扑结构变化的路由协议是不可或缺的。并且近年来出现了两种关于自组织路由协议的基本分类,即后应式(reactive)或“按需”协议以及先应式(proactive)或表格驱动型协议。后应式协议是在响应于某个路由请求而需要某个关于特定目的地的路由的时候收集路由信息的。并且后应式协议的实例包括自组织按需距离矢量(AODV)路由、动态源路由(DSR)以及临时排序路由算法(TORA)。
另一方面,先应式路由协议则试图保持网络中每一个节点到所有其他节点的一致和最新的路由信息。这种协议通常需要每一个节点都保持一个或多个用于存储路由信息的表格,并且这些协议是通过在整个网络中传播更新来响应网络拓扑结构变化的,由此保持了一致的网络视图。这种先应式路由协议的实例包括在授予Perkins的美国专利5,412,654中公开的目标排序距离矢量(DSDV)路由;无线路由协议(WRP)以及簇头网关交换路由(CGSR)。此外,其中一种既使用先应式方法又使用后应式方法的混合协议是在授予Haas的美国专利6,304,556中公开的区域路由协议(ZRP)。
目前,自组织网络发展所面对的一个挑战是安全性问题。特别地,由于移动自组织网络中的所有节点都以无线方式通信,因此这其中存在的非授权用户入侵的风险要大的多。由于自组织网络的开发尚处于早期阶段,并且这些网络呈现出了众多其他的挑战,因此,迄今为止,上述路由协议主要关注的是数据路由结构而不是入侵检测。
目前正在开发一些用于在移动自组织网络中提供入侵检测的方法。而在Zhang等人于2000年发表于ACM MOBICOM的名为“Intrusion Detection in Wireless Ad-hoc networks”的论文中则概述了其中一种方法。在这篇论文中提出了一种入侵检测架构,在这个架构中,MANET中的各个节点全都参与到入侵检测和响应中。也就是说,每一个节点都负责在本地独立检测入侵迹象,而相邻节点则可以在更广阔的范围中协作调查。此外,入侵检测是以异常检测为基础的,其中举例来说,所述异常检测可以包括结合介质访问控制(MAC)层协议来检测路由表的异常更新或是网络层的某些异常现象。Albers等人在2002年4月于Proceedings of the International First Workshop onWireless Information Systems(Wis-2002)发表了名为“Security in AdHoc Networksa General Intrusion Detection Architecture EnhancingTrust Based Approaches”的论文,其中公开了另一种相似的MANET入侵检测架构。
虽然以上论文所述及的架构可以提供一个用于实施入侵检测的便利起点,但在MANET中,大多数与入侵检测的实施方式有关的细节仍旧没有确定。也就是说,目前大体上仍未定义那些能够对节点是否即为尝试入侵网络的欺骗节点进行可靠指示的特定类型的节点特征。
发明内容
因此,有鉴于上述背景技术,本发明的一个目的是提供一种具有入侵检测特性的移动自组织网络(MANET)以及相关的方法。
依照本发明的这些及其他目标、特征和优点是由一个MANET提供的,所述MANET可以包括多个彼此之间传送数据的节点以及一个警戒节点。该警戒节点可以通过监视多个节点之间的传输来检测非授权周期中的传输,由此检测针对MANET的入侵并据此产生一个入侵警报。
更为特别的是,节点可以传送分组形式的数据并且结合每个分组而为该传送产生相应的完整性校验值。同样,警戒节点还可以通过监视多个节点之间的传输来检测不与相应数据分组相对应的完整性校验值,并且据此产生一个入侵警告。此外,数据分组可以经由介质访问控制(MAC)层传输,并且节点还可以将相应的MAC序列号与每一个分组一起传送。这样一来,警戒节点可以通过监视多个节点之间的传输来检测节点使用非连续MAC序列号的情况,由此检测针对MANET的入侵并据此产生一个入侵警报。
此外,每一个数据分组都可以具有一个与之关联的分组类型,由此警戒节点还可以通过监视多个节点之间的传输来检测具有预定分组类型的分组的冲突,由此检测针对MANET的入侵并且据此产生一个入侵警报。特别地,预定分组类型可以包括管理帧分组(例如验证、关联和信标分组)、控制帧分组(例如请求发送(RTS)和清除发送(CTS)分组)以及数据帧分组中的至少一种类型。同样,举例来说,对具有预定分组类型的分组而言,其冲突阈值数目可以大于3。此外,阈值数目可以基于具有预定分组类型的受监视分组总数的一个百分比。
每一个节点都具有一个与之关联的MAC地址,并且所述地址将会与所传送的数据一起传输。同样,警戒节点还可以通过监视多个节点之间的传输来检测同一个MAC地址的冲突,由此检测针对MANET的入侵并且据此产生一个入侵警报。其中举例来说,同一个MAC地址的冲突的阈值数目可以大于3。
此外,MANET可以具有至少一个与之关联的服务集标识(ID)。相应地,警戒节点可以通过监视多个节点之间的传输来检测与之关联的服务集ID,由此检测针对MANET的入侵,如果检测到的服务集ID不同于MANET的至少一个服务集ID,则据此产生一个入侵警报。同样,多个节点可以经由至少一个信道来进行传送,并且警戒节点可以对在至少一个信道上进行但却并非从多个节点中的一个节点发起的传输进行检测,并且据此产生一个入侵警报。此外,警戒节点还可以向多个节点中的至少一个节点传送入侵警报。
本发明的入侵检测方法方面针对的是一个包含了多个节点的MANET。更为特别的是,该方法可以包括在多个节点之间传送数据并且监视多个节点之间的传输,由此检测非授权周期中的传输。此外,根据对非授权周期中的传输的检测,可以产生一个入侵警报。
此外,多个节点可以传送分组形式的数据,并且结合每一个分组来为传输产生相应的完整性校验值。同样,该方法还可以包括对多个节点之间的传输进行监视,以便检测不与相应的数据分组对应的完整性校验值,并且据此产生一个入侵警报。
数据分组可以经由介质访问控制(MAC)层进行传送,以及多个节点也可以将相应MAC序列号与每一个数据一起传送。因此,所述方法也可以包括监视多个节点之间的传输以便检测节点使用非连续MAC序列号,并且据此产生一个入侵警报。
每一个数据分组都可以具有一个与之关联的分组类型。因此,该方法可以包括监视多个节点之间的传输,以便检测具有预定分组类型的分组的冲突,如果检测到了阈值数目的具有预定分组类型的分组冲突,则据此产生一个入侵警报。其中举例来说,预定分组类型可以包括管理帧分组(例如验证、关联和信标分组)、控制帧分组(例如请求发送(RTS)和清除发送(CTS)分组)以及数据帧分组中的至少一种类型。此外,冲突阈值数目可以大于3。而且阈值数目还可以基于具有预定分组类型的受监视分组总数的一个百分比。
如上所述,多个节点可以经由MAC层来传送数据,并且每一个节点都具有一个与之关联的MAC地址,并且该地址将会与所传送的数据一起传输。相应的,该方法还可以包括对多个节点之间的传输进行监视,以便检测同一个MAC地址的冲突,如果检测到阈值数目的同一MAC地址冲突,则据此产生一个入侵警报。其中举例来说,冲突的阈值数目可以大于3。
该方法还可以包括对多个节点之间的传输进行监视,以便检测与之关联的服务集ID,如果检测到的服务集ID之一不同于MANET中的至少一个服务集ID,则据此产生一个入侵警报。同样,在这里有可能会在至少一条信道上检测到并非源自多个节点之一的传输,并且可以据此产生一个入侵警报。此外,该入侵警报还可以传送到多个节点中的至少一个节点。
图1是依照本发明并基于帧校验序列(FCS)差错来提供入侵检测的MANET的示意性框图。
图2是基于介质访问控制(MAC)地址的失败验证来提供入侵检测的图1中的MANET的一个替换实施例的示意性框图。
图3是基于非法网络配置矢量(NAV)来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图4和5分别是基于无竞争周期(CFP)之外的无竞争模式操作以及CFP中的竞争模式操作来提供入侵检测的图1中的MANET的其他替换实施例的示意性框图。
图6是基于在非授权周期中进行的传输来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图7是基于对那些不符合相应数据分组的完整性校验值所进行的检测来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图8是基于对节点使用非连续MAC序列号的情况的检测来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图9是基于对预定分组类型的分组的冲突所进行的检测来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图10是基于对同一个MAC地址的冲突所进行的检测来提供入侵检测的图1中的MANET的另一个替换实施例的示意性框图。
图11是对依照本发明并基于检测FCS差错的入侵检测方法进行描述的流程图。
图12是对依照本发明并基于检测MAC地址的失败验证的入侵检测方法进行描述的流程图。
图13是对依照本发明并基于检测非法网络配置矢量(NAV)值的入侵检测方法进行描述的流程图。
图14和15分别是对依照本发明并基于检测CFP之外的无竞争模式操作检测以及CFP中的竞争模式操作的入侵检测方法进行描述的流程图。
图16是对依照本发明并基于检测非授权周期中出现的传输的入侵检测方法进行描述的流程图。
图17是对依照本发明并基于检测不与相应数据分组相对应的完整性校验值的入侵检测方法进行描述的流程图。
图18是对依照本发明并基于检测节点使用非连续MAC序列号的情况的入侵检测方法进行描述的流程图。
图19是对依照本发明并基于检测具有预定分组类型的分组冲突的入侵检测方法进行描述的流程图。
图20是对依照本发明并基于检测相同MAC地址冲突的入侵检测方法进行描述的流程图。
图21是对用于入侵检测的本发明的附加方法方面进行描述的流程图。
具体实施例方式
以下将通过参考那些显示本发明优选实施例的附图来对本发明进行更全面的描述。然而,本发明还可以通过多种不同形式来加以实施,并且不应该将本发明视为是局限于这里所阐述的实施例。与此相反,通过提供这些实施例,可以使本公开更为全面和完整,并且充分地向本领域技术人员表述本发明的范围。
为了便于论述,在这里,相同数字始终表示相同部件。此外,在这里特别参考了图1~10,其中在替换实施例中使用了十进位不同的参考数字来表示相同部件。例如,在图1~10中描述的移动自组织网络(MANET)节点11、21、31、41、51、61、71、81、91和101都是相同的部件,依此类推。同样,为了避免出现不恰当的重复,在这里只在部件首次出现的时候对其进行了详细描述,然而后续出现的部件将被理解成与首次描述的部件相类似。
现在参考图1,依照本发明的MANET10示意性地包含了节点11、12。为了清楚例示,在这里仅仅显示了两个节点11、12,但是本领域技术人员可以了解,在MANET10的内部可以包含任意数量的节点。并且本领域技术人员可以理解,该节点可以是膝上计算机、个人数据助理(PDA)、蜂窝电话或其他适当设备。此外在一些实施例中,MANET10中的一个或多个节点可以是固定的,以便提供一个与电话网络之类的有线(或卫星)通信架构相连的网桥。
一般来说,在更详细描述MANET10之前,首先要准许对MANET协议进行简要论述。虽然MANET尚处于起始阶段,并且在这种网络中仍旧没有一种用于控制通信的通用标准,但是MANET具有一个可能的特征,那就是MANET节点是依照用于数据传输的开放式系统结构(OSI)模型操作的,该模型中包含了七个层,在这些层中,特定类型的数据是使用不同协议发送的。并且这些层包括应用层、表示层、会话层、传输层、网络层、数据链路层以及物理层。
数据链路层还包括介质访问控制(MAC)和逻辑链路控制子层。本领域技术人员可以理解,依照本发明,节点11、12优选地使用MAC层而在其间传送数据,并且每一个节点都具有一个与之关联的相应MAC地址。当然,在OSI模型中,剩余的层同样被用于数据传输,并且也可以使用其他那些适当的网络数据传输模型。此外,这种数据通常是在分组中发送的,并且不同的分组类型将被用于不同类型的消息数据,在下文中将会对此进行进一步描述。
依照本发明,MANET10示意性地包含了一个或多个用于检测欺骗节点14所进行的网络入侵的警戒节点13。例如,欺骗节点14可以由一个尝试闯入MANET10并以黑客自诩的人所使用,但是它也可以仅仅是一个来自不同MANET的节点,其中所述MANET是在过于接近MANET10的情况下操作的。在本实例中,警戒节点13对节点11、12之间的传输进行监视,以便检测来自指定MAC地址的帧校验序列(FCS)差错。如果检测到关于指定MAC地址的FCS差错数量超出一个阈值,则警戒节点13据此产生一个入侵警报。
应该指出的是,这里使用的词组“节点间传输”旨在表示任何那些直接来自或是去往节点11、12中的一个节点的传输以及在MANET10的工作范围以内所进行的任何传输。换句话说,警戒节点13不但可以对去往或者源自节点11、12的传输进行监视,而且还可以对所能接收的任何其他传输进行监视,无论这些传输是否具体指向或源自MANET10中的一个节点。
在上述实施例(以及下述实施例)中,非常有利的是,警戒节点13可以将警报传送到MANET10中的一个或多个节点11、12。例如,警戒节点13可以将入侵警报直接传送到节点12,然后该节点会向无线网络中的所有剩余节点发出通知。作为选择,警戒节点13也可以将入侵警报广播给所有网络节点。本领域技术人员将会了解,不论出现哪种状况,随后都是可以采用恰当对策来对非授权入侵做出响应的。这种对策超出了本发明的范围,因此在这里不再对其进行论述。
现在转到图2并对MANET20的第一替换实施例进行描述。在这个实施例中,警戒节点23通过监视节点21、22之间的传输来检测那些验证MAC地址的失败尝试,以便检测针对无线网络20的入侵。一旦检测到验证特定MAC地址的失败尝试达到一个预定数目,则警戒节点23将产生一个入侵警报。
在这里可以使用任何数量的失败尝试作为阈值,以便产生入侵警报,然而一般来说,较为理想的是允许节点至少对其MAC地址进行一次尝试,而不产生入侵警报。此外,非常有利的是,在一些实施例中,警戒节点23只在预定周期(例如一小时、一天等等)以内出现了所检测的失败数目的时候才会产生入侵警报。
现在进一步转到图3,依照本发明的另一个方面,在传送数据之前,MANET30的两个节点31、32会在彼此之间传送请求发送(RTS)和清除发送(CTS)分组。相关的原因是为了避免与其他传输相冲突。也就是说,由于MANET30中的很多或所有剩余节点都可以在同一个信道上通信,因此这些节点需要确保它们不会同时进行传输,因为这将会导致发生冲突以及网络中断。
此外,较为优选的是,RTS和CTS分组包括一个网络配置矢量(NAV),它表示的是为传输数据所保留的持续时间。这个信息将会传送到MANET30中的相邻节点,然后,举例来说,所述节点会在规定周期中停止传输。
相应地,警戒节点33由此可以通过监视那些在节点31、32之间发送的RTS和CTS分组来检测其中的非法NAV值,以便检测针对无线网络30的入侵。例如,MANET30可以采用一种数据传输不超过特定时间量的方式来实施,其中该时间量为所有那些参与其中的已授权节点所知。这样一来,如果警戒节点33检测到一个处于已分配时间量之外的NAV值,那么它会据此产生一个入侵警报。
依照图4中所描述的MANET40的另一个实施例,节点41、42可以在竞争或无竞争模式中操作。也就是说,在竞争模式中,所有网络节点都需要竞争接入用于所传送的各个数据分组的特定信道。在无竞争周期(CFP)中,信道的使用受控于一个指定的控制节点,这样则消除了节点争夺信道接入权的需要。本领域技术人员可以了解的是,举例来说,如果MANET将节点排列在组或簇中,那么簇头节点可以指定执行CFP的时间。
因此,非常有利的是,警戒节点43可以通过监视节点41、42之间的传输来检测CFP之外的无竞争模式操作,从而检测针对MANET40的入侵。同样,警戒节点43也可以基于这种检测来产生一个入侵警报。换句话说,针对节点在CFP之外所进行的无竞争模式操作的检测表明该节点并非授权节点,这是因为指定的控制节点会将CFP何时开始告知所有授权节点。
当然,在CFP中检测竞争模式操作时的情况也同样如此,并且在图5中示意性地显示了此类实施例。本领域技术人员应该了解,上述CFP入侵检测方法中的任何一种或者所有这两种方法都可以在一个指定的应用中加以实施。
现在将参考图6并对MANET60的另一个实施例进行描述。在这里,警戒节点63通过监视节点61、62之间的传输来检测非授权周期中的传输,以便检测针对MANET60的入侵。也就是说,通过实施MANET60,可以禁止用户在指定时间访问网络(例如午夜和上午6:00之间的时间)。因此非常有利的是,一旦在这个非授权周期中检测到传输,那么警戒节点63将会产生一个入侵警报。
现在将转到图7并对MANET70的另一个实施例进行描述。在这个实施例中,不同节点71、72为自身发送的数据产生完整性检验值。然后,这些完整性检验值由接收节点进行核实,以便确保初始传输的消息数据的完整性未受到损害。其中举例来说,通过使用一种算法来对消息数据进行处理,可以提供一个包含在消息文本中的值,由此产生完整性检验值。然后,这个值可以由一个接收节点通过使用所述算法以及接收到的数据来进行核实。
因此,警戒节点73通过监视节点71、72之间的传输来检测不与相应数据分组相对应的完整性检验值,由此检测那些针对MANET70的入侵。也就是说,如果使用一个错误的数据加密密钥来产生消息密文或者欺骗节点84篡改消息,那么完整性检验值很可能会受到破坏。同样,本领域技术人员将会了解,在检测到这种错误的完整性检验值的时候,警戒节点73可以产生一个入侵警报。
现在将参考图8来描述另一个依照本发明的MANET80。通常,在使用上述OSI网络模型的时候会产生一个相应的MAC序列号,并且该序列号是与每个数据分组一起从节点81、82发送的。也就是说,对各个连续数据分组而言,MAC序列号是递增的,由此每一个分组都具有一个与之关联的唯一MAC序列号。由此,警戒节点83可以通过监视节点81、82之间的传输来检测节点使用非连续MAC序列号的情况,由此检测针对MANET80的入侵并且据此产生一个入侵警报。
现在转到图9并对MANET90的另一个实施例进行描述,在这个实施例中,警戒节点93通过监视节点91、92之间的传输来检测具有预定分组类型的分组的冲突,由此检测针对该网络的入侵。特别地,预定分组类型可以包括管理帧分组(例如验证、关联和信标分组)、控制帧分组(例如RTS和CTS分组)和/或数据帧分组。这样一来,警戒节点93可以基于对阈值数目的预定分组类型的冲突所进行的检测来产生一个入侵警报。
这里使用的“冲突”意图包含分组的同时传输以及彼此在特定时间以内的传输。也就是说,如果假设特定类型的分组在传输之间存在一个时延(例如几秒钟等等),那么,如果这两个分组类型是在过于接近的情况下传送的(也就是说,少于其间的必要时延),则可以将其视为是一个冲突。其中举例来说,冲突的阈值数目可以大于3,但是也可以使用其他阈值。此外,阈值数目可以基于所论述的特定分组类型,也就是说,对不同分组类型而言,阈值数目可以是不同的。
另外,阈值数目也可以基于具有预定分组类型的受监视分组总数的一个百分比。举例来说,如果在一个周期(例如一小时)中传送的百分比(例如大于10%)的分组牵涉到冲突,则可以产生入侵警报。作为选择,如果受监视分组总数中的百分比的分组(例如10个分组中的3个分组)牵涉到冲突,那么也可以产生入侵警报。当然,也可以使用其他适当的阈值数目和用于相同目的的方法。
现在将参考图10来对MANET100的另一个实施例进行描述,其中警戒节点103通过监视节点101、102之间的传输来检测同一个MAC地址的冲突,由此检测针对网络的入侵。也就是说,如果多个终端同时或者彼此相对接近地要求同一个MAC地址,那么将会出现一个差错或者其中一个节点是欺骗节点104。同样,警戒节点103基于对这种冲突的阈值数目的检测来产生一个入侵警报,其中举例来说,所述阈值数目可以大于3。如先前所述,在这里也可以使用其他阈值数目,并且阈值数目也可以基于某个百分比。
现在将参考图11来描述用于MANET10的本发明的入侵检测方法的各个方面。如先前所述,本方法是从块110开始的,并且如先前所述,在块111,本方法包括在多个节点11、12之间使用MAC层来传送数据。而在块112中则是对节点11、12之间的传输进行监视,以便检测来自其中一个MAC地址的FCS差错。在块113,如果所述MAC地址的FCS差错数量超出一个阈值,则据此在块114中产生一个入侵警报,由此结束本方法(块115)。否则,如示意性显示的那样,传输将会继续受到监视。
现在将参考图12来描述依照本发明的第一替换方法的各个方面,本方法是以在块121中在节点21、22之间传送数据为开始(块120)的,并且如先前所述,在块122,本方法将会对传输进行监视,以便对验证MAC地址的失败尝试进行检测。如果在块123检测到验证MAC地址的失败尝试数目,则在块124中产生一个入侵警报,由此结束该方法(块125)。否则如示意性显示的那样,入侵监视将会继续进行。
现在将参考图13来描述本发明的第二替换方法的各个方面。本方法是以在块131中在节点31、32之间传送RTS和CTS分组为开始(块130)的。并且如先前所述,在块132中将会对在节点31、32之间传送的RTS和CTS分组进行监视,以便检测其中的非法NAV值。如果在块133中检测到非法的NAV值,则据此在块134中产生一个入侵警报,从而结束本方法(块135)。否则如示意性显示的那样,入侵监视将会继续进行。
现在转到图14并对本发明的第三个替换方法的各个方面进行描述。本方法是以在块141中在节点41、42之间传送数据为开始的(块140),并且如先前所述,在块142,本方法将会对传输进行监视,以便对CFP之外的无竞争模式操作进行检测。在块143,如果检测到处于CFP之外的这种操作,则据此在块144中产生一个入侵警报,由此结束本方法(块145)。否则如示意性显示的那样,入侵监视可以继续进行。在图15,在块150~155中示意性显示了通过监视传输来发现CFP中的竞争模式操作的相反情况。在这里,这两种方法都可以用在单独的实施例中,但这未必总是需要的。
现在将参考图16来描述本发明的第四个方法的方面。本方法是以在块161中在节点61、62之间传送数据为开始的(块160),并且如先前所述,在块162,本方法将会通过监视来检测非授权周期中的传输。在块163,如果在非授权周期中检测到传输,那么据此在块164中产生一个入侵警报,由此结束本方法(块165)。否则如示意性显示的那样,入侵监视可以继续进行。
现在将参考图17来描述本发明中另一个入侵检测方法的各个方面。本方法是以在块171中在节点71、72之间传送数据为开始的(块170),并且如先前所述,本方法将会通过监视传输172来检测那些不对应于相应数据分组的完整性检验值。如果出现这种情况,则在块173中产生一个入侵警报,由此结束本方法(块175)。否则如示意性显示的那样,入侵监视可以继续进行。
现在转到图18,其中对本发明中另一个方法的各个方面进行了描述。本方法是以在块181中在节点81、82之间传送数据为开始的(块180)。因此如先前所述,本方法可以包括在块182中对传输进行监视,以便检测节点使用非连续MAC序列号的情况。如果在块183中检测到这种使用情况,则在块184中产生一个入侵警报,由此终止该方法(块185)。否则如示意性显示的那样,入侵监视可以继续进行。
进一步参考图19,其中本发明的另一个方法方面是以在块201中在节点91、92之间传送数据分组为开始的(块190),并且如上所述,在块192中将会通过监视传输来检测具有预定分组类型的分组的冲突。如果在块193检测到具有预定分组类型的阈值数目的分组的冲突,则在块194中产生一个入侵警报,并且由此终止本方法(块195)。否则如示意性显示的那样,入侵监视可以继续进行。
现在将参考图20来描述本发明的另一种入侵检测方法的方面。如先前所述,本方法是以在节点101、102之间传送数据为开始的(块200),并且如先前所述,在块202中,本方法将会通过监视传输来检测相同MAC地址的冲突。如果在块203检测到存在阈值数目的相同MAC地址冲突,则在块204中产生一个入侵警报,并且由此终止本方法(块205)。否则如示意性显示的那样,入侵监视可以继续进行。
现在将参考图21来描述本发明的另一个入侵检测的方面。依照本发明,网络或服务集标识可以与MANET10或其更小子集(例如群/簇)相关联。如示范性所示,从块210开始,在块211,数据可以在节点11、12之间传送,并且服务集ID是与数据一起传送的,由此可以对MANET10的授权节点进行识别。同样,在块212还可以对在多个节点11、12之间执行的传输进行监视,以便检测与之关联的服务集ID,和/或对并非源自授权节点但在指定网络信道上进行的传输进行监视。
同样,如果检测到一个与MANET10的授权服务集ID不同的服务集ID和/或源自非授权节点但在网络信道上执行的传输,则据此在块211产生一个入侵警报。此外,非常有利的是,如先前所述,在块215,入侵警报可以传送到网络中的一个或多个节点或是另一个信源。否则,如示意性所示,入侵监视可以继续进行。
本领域技术人员将会理解,上述方法的观点全都可以在如上所述的一个或多个NAMET中实现。同样,对本领域技术人员来说,依照上述描述,本发明的附加方法观点都是显而易见的,因此在这里不再对其进行进一步论述。
此外还应该了解,上述发明可以通过采用若干种方式来加以实施。例如,警戒节点13可以在一个或多个单独的专用设备中得到实现,其中这些设备并非MANET10的一部分。作为选择,本发明也可以在需要入侵检测的MANET所安装的一个或多个现有节点的软件中实施。
此外,非常有利的是,即使欺骗节点具有授权的网络或MAC ID(例如CFP之外的无竞争操作、非授权周期中的传输等等),如上所述的本发明的众多方面也还是可以用于检测网络入侵。此外,非常有利的是,如上所述的一个或多个方面可以用在一个指定的应用中,以便提供期望等级的入侵检测。本发明的另一个优点是可用于补充现有的入侵检测系统,尤其是那些主要关注更高的OSI网络层的入侵的系统。
权利要求
1.一种移动自组织网络(MANET),包括在相互之间传送数据的多个节点;以及一个用于检测针对MANET的入侵的警戒节点,其中所述检测是如下进行的对所述多个节点之间的传输进行监视,以便检测非授权周期中的传输;以及如果在非授权周期中检测到传输,则据此产生一个入侵警报。
2.权利要求1的MANET,其中所述多个节点传送分组形式的数据,每一个分组都具有与之关联的分组类型;并且其中所述警戒节点还如下检测针对MANET的入侵通过监视所述多个节点之间的传输来检测具有预定分组类型的分组的冲突;以及如果检测到具有预定分组类型的分组的阈值数目的冲突,则据此产生一个入侵警报。
3.权利要求1的MANET,其中阈值数目基于具有预定分组类型的受监视分组总数的一个百分比。
4.权利要求1的MANET,其中MANET具有至少一个与之关联的服务集标识(ID);并且其中所述警戒节点还如下检测针对MANET的入侵通过监视所述多个节点之间的传输来检测与之关联的服务集ID;以及如果检测到的服务集ID之一不同于MANET中的至少一个服务集ID,则据此产生一个入侵警报。
5.一种用于移动自组织网络(MANET)的入侵检测方法,其中所述网络包含多个节点,所述方法包括在多个节点之间传送分组形式的数据,并且结合每一个分组来为所述传输产生相应的完整性校验值;对多个节点之间的传输进行监视,以便检测那些不与相应数据分组相对应的完整性校验值;以及如果检测到不与相应数据分组相对应的完整性校验值,则据此产生一个入侵警报。
6.权利要求5的方法,其中多个节点经由介质访问控制(MAC)层来传送分组形式的数据,此外还将相应MAC序列号与每一个数据分组一起传送;并且还包括通过监视多个节点之间的传输来检测节点使用非连续MAC序列号的情况;以及如果检测到节点使用非连续MAC序列号,则据此产生一个入侵警报。
7.权利要求5的方法,其中每一个数据分组都具有与之相关的分组类型;并且还包括通过监视多个节点之间的传输来检测具有预定分组类型的分组的冲突;以及如果检测到具有预定分组类型的分组的阈值数目的冲突,则据此产生一个入侵警报。
8.权利要求5的方法,其中多个节点经由介质访问控制(MAC)层来传送数据分组,并且其中每一个节点都具有一个与之关联的MAC地址,而所述地址是与从其所发送的数据一起传送的;此外还包括通过监视多个节点之间的传输来检测同一个MAC地址的冲突;以及如果检测到同一MAC地址的阈值数目的冲突,则据此产生一个入侵警报。
9.权利要求5的方法,还包括将入侵警报传送到多个节点中的至少一个节点。
全文摘要
本发明涉及具有入侵检测特性的移动自组织网络以及相关的方法。移动自组织网络(MANET)(60)可以包含多个在彼此之间传送数据的节点(61,62)以及一个警戒节点(63)。警戒节点(63)可以通过监视多个节点(61,62)之间的传输来检测非授权周期中的传输,由此可以检测针对MANET(60)的入侵(64)并且据此产生一个入侵警报。此外,警戒节点(63)还可以基于一个或多个不与相应数据分组相对应的完整性校验值、节点使用非连续介质访问控制(MAC)序列号的情况以及分组类型和/或MAC地址的冲突来检测入侵(64)。
文档编号H04L29/06GK1682198SQ03821359
公开日2005年10月12日 申请日期2003年8月11日 优先权日2002年8月12日
发明者汤玛斯·杰伊·比尔哈茨 申请人:哈里公司