[发明专利]基于数据挖掘的无线Mesh网络入侵的检测方法

说明书

技术领域

本发明涉及一种基于数据挖掘的无线网状(Mesh)网络入侵的检测方法，确切地说，涉及一种异常检测的路由查询报文RREQ(Route Requests)泛洪攻击入侵的检测方法，属于网络通信的信息安全技术领域。

背景技术

在Mesh网络中，RREQ泛洪攻击能够以极小的代价，显著地影响网络性能。YIH-CHUN HU等人发表于《wireless network(无线网络)》2005年11期的论文《A Secure On-Demand Routing Protocol for Ad Hoc Networks(无线自组织网络中的一种安全按需路由协议)》中介绍了无线Mesh网络中针对RREQ洪泛攻击的阈值入侵的检测方法。该方法通过基于理论研究和网络仿真NS2(network simulator)，再与实际测试相结合进行性能分析，可以看到，阈值检测方法的实现较为简便。然而，在某些场景(如“多点低频攻击”和“单点高速移动攻击”等)还是无法对恶意节点实现有效检测。

同时，Zhi Ang Eu等人也在《Lecture Notes in Computer Science》，2006，Volume 3961，《Mitigating Route Request Flooding Attacks in Mobile Ad Hoc Networks》(阻止无线自组织网络中路由查询泛洪攻击)一文中研究对数据进行统计分析的尝试，以便找出偏离均值较大的异常数据。但是，对这些统计数据进行假设是危险的，往往它们并不符合正态分布(例如若干个正态分布的叠加)，使得这样的统计分析失效。

目前，采用较广泛的检测方法是利用RREQ洪泛恶意节点“发送RREQ频率远远高于正常节点”的这个特征，但是，其在算法上明显存在两个缺陷：一是对某个被检测节点的RREQ报文信息的收集和计数只局限于其邻居节点。二是在判断RREQ发送频率是否属于攻击行为时，仅仅依靠简单地与一个设定阈值进行比对，适应性不佳。因此，如何对目前应用最广泛的这个方法进行改进和提高，就成为业内科技人员关注的新焦点课题。

发明内容

有鉴于此，本发明的目的是提供一种基于数据挖掘、用于无线Mesh网络针对RREQ洪泛攻击的入侵检测方法，本发明方法是从节点行为数据中将明显的异常行为分离出来，以检测恶意节点；还对该方法的参数选取及错误率进行了分析。本发明能够有效检测出Mesh网络中针对RREQ的洪泛攻击，为Mesh网络的安全通信提供保证措施，从而为国家的通信产业做出贡献。

为了达到上述发明目的，本发明提供了一种基于数据挖掘、用于Mesh网络针对路由查询报文RREQ(Route Requests)洪泛攻击的入侵检测方法，其特征在于，包括下列操作步骤：

(1)检测节点将接收到的Mesh网络中的所有RREQ报文，按照源节点的标识ID对其在设定时间内接收的全部RREQ报文进行归类和计数；

(2)检测节点根据其对Mesh网络中的正常节点和恶意节点的两者数量的获知或估计，分别选取两个可调节的检测参数K和cut_off，其中，检测参数K的数值选取范围为[m，n)，式中，m为估计的恶意节点最大数量，n为正常节点的数量；检测参数vut_off用于保证该检测方法的错误发生率为最小；

(3)检测节点按照下述两个步骤分别计算每个节点的K-距离函数值：

选取：遍历除去每个节点自身以外的所有节点，从中选择与该节点自身发送RREQ报文数量最接近的K个节点；K为步骤(2)的检测参数；

计算：分别计算每个节点发送RREQ报文数量与该节点自身发送RREQ报文数量之差的绝对值，再将该K个绝对值的累加之和除以K得到的商，作为每个节点的K-距离函数值；

(4)检测节点分别将每个节点的K-距离函数值与步骤(3)的cut_off数值进行比较，将其中K-距离函数值大于cut_off数值的节点判定为恶意节点；

(5)检测节点将所记录的每个节点已经发送的RREQ报文数清零。

所述检测节点是在该Mesh网络中能够接收到RREQ报文和对所收到的RREQ报文进行入侵检测，并能根据检测结果启动检测响应机制的节点；所述检测响应机制是指为抵御恶意节点的攻击行为而由网络管理人员采取的相应技术措施。

所述源节点的标识ID是在Mesh网络中用于唯一地标识各个节点的信息，拥有ID信息的每个节点发出的报文都是归属源节点ID的报文。

所述步骤(1)进一步包括下列两个操作内容：