[发明专利]检测对网络的攻击的系统、方法和计算机可读存储介质

说明书

检测对网络的攻击的系统、方法和计算机可读存储介质。描述了一种用于检测对网络的攻击的系统。通信网络的活动的分层表示用于检测和预测通信网络中的假信息的源。所述分层表示包括至少一对节点之间的通信的时间模式，每个时间模式表示分层表示中具有一尺寸的模体。模体的变化提供了假信息攻击的信号。

政府许可权

本发明是在美国政府合同号AFRL FA8750-14-C-0017下凭借政府支持进行的。政府对本发明享有一定的权利。

相关申请的交叉引用

这是2015年3月18日提交的题为“System and Method to Detect Attacks onMobile Wireless Networks Based on Motif Analysis”的美国临时申请号62/135,136的非临时专利申请，其整体通过引用并入本文。

这也是2015年3月18日提交的题为“System and Method to Detect Attacks onMobile Wireless Networks Based on Network Controllability Analysis”的美国临时申请号62/135,142的非临时专利申请，其整体通过引用并入本文。

发明背景

技术领域

本发明涉及一种用于检测移动无线网络中的假信息(misinformation)的源的系统，并且更具体地，涉及一种用于基于模体分析(motif analysis)来检测移动无线网络中的假信息的源的系统。

背景技术

由于移动无线网络的动态性质，从其构建的网络应用、协议和服务采用控制信息的隐式信任和共享。这使得假信息的检测特别困难。虽然当前的网络协议栈从外部观察者保护多对节点之间的无线传输，但它们对共享信息的依赖以使得节点的聚集能够作为网络来操作，使得很难抵御发出假信息的“内部”节点。

用于移动无线网络的现有安全解决方案(诸如，在并入的参考文献列表中的参考文献1-4中描述的那些)通常通过监视性能指标(诸如，联网堆栈内的单独层处的吞吐量、延迟和抖动)、寻找相对于基线的行为异常(其(在该抽象层)非常嘈杂，很难准确地表征广泛的条件)来表征网络。即使在理想情况下，也可能由于少量的假信息而导致整体网络实用程序(overall network utility)的显著中断，所述假信息仅把少数关键网络元素作为目标(即，“shrew”攻击)，所述少数关键网络元素低于使用基于这样的性能指标的异常检测的检测的阀值。

其它现有的安全解决方案(诸如，参考文献1-4和5中所描述的那些)能够检测假信息的小变化(诸如“shrew”攻击中的那些)，但是它们需要网络配置的详细知识(诸如，协议实例、应用、以及底层物理无线通道的类型和状态)。这样的协议特定(或基于规范的)方法难以实现和维护，并且仅对于具有简单且容易观察的状态机制(例如，媒体访问控制(MAC)协议或路由协议)的网络元素是实际的。然而，如果所述元素的规范和实现以可被假信息利用的方式偏离，或者如果规范本身具有可被利用的缺陷，则这些方法将失败。公开的文献(诸如，参考文献1和4)已经表明，这些缺陷(即，实现缺陷和规范缺陷)都是常见的。

因此，持续需要一种使得能够实现控制平面处的假信息(包括有针对性的假信息)的协议不可知检测(protocol agnostic detection)。

发明内容