一种无线自组织网络监测侵入的方法
一种无线自组织网络监测侵入的方法
【技术领域】
[0001]本发明涉及一种网络监测方法,尤其是涉及一种无线自组织网络监测侵入的方法。
【背景技术】
[0002]虚拟现实环境下,利用无线网络交互数据,有被侵入的风险。为保证交互过程的安全性、高效性,我们研究一套无线自组织网络监测侵入的分析方法。与现有无线网络技术中基于agent的分布式协作侵入监测方案不同,agent运行于网络中的每个节点上,过于占用网络资源,监测效率低,不利于侵入监测方案的有力实施。本方法是一种通过收集被监测节点的行为信息,监测侵入计算,不需要所有节点参与监测侵入的计算,能够在保证侵入监测信息充分收集的基础上,大大减少节点资源的消耗,提高监测效率,便于监测的实施。无线自组织网络是通过移动节点间的相互协作和自我组织,来实现网络的连接和数据的传递,因而不依赖于任何固定的基础设施和管理中心。当前,基于密钥的分配与认证,以及路由安全算法的无线网络安全保障方案,仅能在无线自组织网络中发挥一定的安全防范作用,这是因为无线自组织网络中的节点可以任意移动。
【发明内容】
[0003]本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种减少节点资源消耗、提高监测效率的无线自组织网络监测侵入的方法。
[0004]本发明的目的可以通过以下技术方案来实现:
[0005]—种无线自组织网络监测侵入的方法,包括以下步骤:
[0006]1)将无线自组织网络分为多个区域,在每个区域的所有节点中选择一个簇头作为监测节点,其余作为被监测节点;
[0007]2)在每个区域内,监测节点实时收集被监测节点的行为信息,并根据行为信息是否符合路由协议规范来判断被监测节点是否受到入侵,若受到入侵,则进行报警,若没有受到入侵,则停止对被监测节点的监测;
[0008]3)每隔一定时间后更换新的监测节点,并返回步骤2)。
[0009]所述的步骤1)中通过自由竞争的方法选择簇头,具体包括以下步骤:
[0010]11)在第一预设时间内选择最先向区域内其他节点发送告示报文的节点作为簇头,其他节点作为被监测节点,告示报文中含有本节点的ID;
[0011]12)当两个节点同时收到对方的告示报文,则以ID号较小的作为监测节点,ID较大的为被监测节点;
[0012]13)当监测节点离开本区域时,重新按照步骤11)选择新的监测节点。
[0013]所述的步骤2)中,路由协议规范包括动态源路由协议。
[0014]所述的步骤2)中,行为信息为节点收到和处理的报文,包括路由查询报文、路由回答报文、路由出错报文和数据报文。
[0015]所述的步骤2)包括以下步骤:
[0016]21)在被监测节点接收的查询报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范;
[0017]22)在被监测节点接收的路由回答报文、路由出错或数据报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范;
[0018]23)在被监测节点发送报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范。
[0019]所述的步骤21)具体包括以下步骤:
[0020]211)被监测节点接收到路由查询报文;
[0021]212)被监测节点根据接收到路由查询报文产生路由回答报文,并按照路由协议规范对路由回答报文进行检查判断是否合法,若是,则进行步骤217),若否,则进行步骤218);
[0022]213)当被监测节点收到的是重复的路由查询报文时,进行步骤217);
[0023]214)当被监测节点转发路由查询报文时,则按照路由协议规范对路由回答报文进行检查判断是否合法,若是,则进行步骤217),若否,则进行步骤218);
[0024]215)当被监测节点超出一定时间没有动作时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤216),若否,则进行步骤219);
[0025]216)若该报文为路由查询报文,则将该路由查询报文发送到监测节点,返回步骤
214),若该报文为路由回答报文,则返回步骤212);
[0026]217)监测正常结束,停止对被监测节点的监测;
[0027]218)路由查询报文部分字段被非法修改,发出非法修改告警;
[0028]219)被监测节点不参与路由转发,发出抛弃报文告警。
[0029]所述的步骤22)具体包括以下步骤:
[0030]221)被监测节点接收到路由回答报文、路由出错或数据报文;
[0031]222)当该被监测节点为报文的目标节点时,进行步骤227);
[0032]223)当该被监测节点转发了报文时,则按照路由协议规范对报文进行检查判断是否合法,若是,则进行步骤227),若否,则进行步骤228);
[0033]224)当被监测节点超出一定时间没有动作时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤226),若否,则进行步骤225);
[0034]225)发出抛弃报文告警;
[0035]226)将该报文发送到监测节点,并且按照路由协议规范对报文进行检查判断是否合法,若是,则进行步骤227),若否,则进行步骤228);
[0036]227)监测正常结束,停止对被监测节点的监测;
[0037]228)报文字段被非法修改,发出非法修改告警。
[0038]所述的步骤23)具体包括以下步骤:
[0039]231)被监测节点发出报文;
[0040]232)当被监测节点为中间节点,转发报文前不在监测区域内,转发时进入监测区域时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤233),若否,则进行步骤234);
[0041]233)将该报文发送到监测节点,监测正常结束,停止对被监测节点的监测;
[0042]234)该被监测节点没有发出此报文,判定被监测节点编造了报文,发出编造告警;
[0043]235)判断被监测节点的地址是否在报文地址列表中,若是,则返回步骤233),若否,则进行步骤236);
[0044]236)该被监测节点假冒其它节点发送了这份报文,发出假冒告警。
[0045]与现有技术相比,本发明具有以下优点:
[0046]本发明通过监测节点收集被监测节点的行为信息,即采用每个区域的簇头作为监测节点,负责侵入检测的计算,因而,不需要所有节点参与侵入检测的计算,从而能够在保证侵入检测信息收集完整全面的基础上,大大减少节点资源的消耗,提高检测效率。并且,本发明不需要提取正常网络运行时的数据进行分类训练就能够实时检测侵入行为,从而更利于侵入检测的实施。
【附图说明】
[0047]图1为本发明实施例中监测节点、被监测节点以及监测区域分布示意图;
[0048]图2为本发明实施例中被监测节点收到路由查询报文后的侵入监测流程示意图;
[0049]图3为本发明实施例中被监测节点收到路由回答报文、路由出错或数据报文后的侵入监测流程示意图;
[0050]图4我本发明实施例中被监测节点发送报文后的侵入监测流程示意图。
【具体实施方式】
[0051 ]下面结合附图和具体实施例对本发明进行详细说明。
[0052]实施例:
[0053]如【背景技术】所述,现有的无线自组织网络侵入监测方案过于占用网络资源、监测效率低。发明人研究发现,造成这种问题的原因主要是,现有技术中agent运行于网络中的每个节点上,即每个节点都负责信息的收集和侵入的计算。
[0054]基于此,本发明提供了一种无线自组织网络监测侵入的方法,以克服现有技术存在的上述问题,包括:
[0055]收集监测节点收集的被监测节点的行为信息,所述监测节点为网络中各个区域的簇头;根据所述行为信息判断被监测节点的行为是否合法,如果是,正常结束,如果否,发出生敬口目。
[0056]本发明还提供了一种无线自组织网络监测侵入的设备,包括:
[0057]监测模块,用于收集监测节点收集的被监测节点的行为信息;
[0058]判断模块,用于根据被监测节点的行为信息,判断被监测节点的行为是否合法。
[0059]处理模块,用于根据判断结果进行处理,判断结果为合法时,正常结束,判断结果为不合法时,发出告警。
[0060]本发明所提供的无线自组织网络侵入监测方法,通过监测节点收集被监测节点的行为信息,即采用每个区域的簇头作为监测节点,负责侵入监测的计算,因而,不需要所有节点参与侵入监测的计算,从而能够在保证侵入监测信息收集完整全面的基础上,大大减少节点资源的消耗,提高监测效率。并且,本发明提供的无线自组织网络侵入监测方法,不需要提取正常网络运行时的数据进行 分类训练就能够实时监测侵入行为,从而更利于侵入监测的实施。
[0061]以上是本发明的核心思想,为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的【具体实施方式】做详细的说明。
[0062]在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
[0063]本发明实施例提供了一种无线自组织网络监测侵入的方法,具体包括以下步骤:
[0064]步骤101:收集监测节点收集的被监测节点的行为信息,所述监测节点为网络中各个区域的簇头。
[0065]如图1所示,在无线自组织网络中,节点的资源是非常有限的,因此,为了更好地利用资源,本发明将整个网络分为了若干个区域,并通过自由竞争的方法,选出每个区域的一个簇头作为监测节点,即监测节点为网络中每个区域的簇头,被监测节点为每个区域内的其他节点。通过收集监测节点收集的被监测节点的行为信息,监测每个区域的侵入行为。监测节点B、被监测节点A以及监测区域的分布示意图。
[0066]本实施例中,选出监测节点的过程是公平而随机的,所谓公平是指,每个节点都能有机会成为监测节点,且每个监测节点的服务时间是相同的,监测节点的服务时间到期后,就要周期性地、随机地选举新的监测节点,以保证侵入监测的安全性。当监测节点成为侵入节点时,虽然在其作为监测节点的期间不会被发现,但是,当其服务时间到期选出新的监测节点之后,就会被发现,从而可以阻止侵入行为的发生,保证网络的安全性。
[0067]最初时,整个网络没有监测节点,每个区域需在一定时间内选出一个监测节点。在第一预设时间内,任一节点都可以自动以广播的形式发送一份告示报文。在第一预设时间内,如果第一节点(第一区域内的任一节点)先向第一区域内的其他节点发送告示报文,则第一节点即为第一区域的监测节点,收到所述告示报文的其他节点即为第一区域的被监测节点。其中,报文只能在一跳范围内传播,不能被转发。并且,在监测节点的服务时间到期之前,成为被监测节点的其他节点,不能再发送告示报文。
[0068]由此可知,各个区域选出监测节点的过程为:在第一预设时间内,第一节点先向第一区域内的其他节点发送告示报文,则第一节点为监测节点,第一区域内的其他节点为被监测节点。如果两个节点同时收到了对方发送的告示报文,则比较这两个节点的ID,ID较小的节点作为监测节点,ID较大的节点作为被监测节点,其中,节点的ID位于告示报文中。
[0069]由于无线自组织网络中的节点可以任意移动,监测节点和被监测节点都可能离开原来的区域,因此,当任一节点在第一预设时间内未接收到告示报文时,这一节点就可以发送告示报文,所述节点即为监测节点。成为监测节点后,在第二预设时间内,监测节点需周期性地向监测区域内的被监测节点发送告示报文,以维持其监测节点的地位,所述第二预设时间即为监测节点的服务时间。当监测节点的服务时间到期后,就需重新选出一个监测节点,为了保证公平和随机性,所述监测节点将不能作为下一次的监测节点,除非整个区域只有这一个节点。监测节点的服务时间到期后,监测节点停止发送告示报文,在第一预设时间内,其他节点中的任一节点都可以发送告示报文,确定其监测节点的地位。
[0070]由于通信是双向的,监测节点能够发送报文,也能够接收报文,因此,监测节点能够接收报文传播范围内,即被监测区域内,被监测节点发送或转发的报文,因而,监测节点可以通过接收被监测节点发送或转发的报文,收集被监测节点的包括报文的路径信息以及报文固定内容是否被更改等行为信息,来监测被监测区域内所有被监测节点的行为。
[0071]步骤102:根据所述行为信息判断被监测节点的行为是否合法,如果是,正常结束,如果否,发出告警。
[0072]根据监测节点收集的行为信息判断被监测节点的行为是否合法,判断被监测节点的行为是否合法,包括:判断被监测节点的行为是否符合路由协议规范,如果符合,正常结束,停止对所述被监测节点的监测,如果不符合,则认为被监测节点的行为是侵入行为,发出告警。其中,被监测节点按照路由协议的规范正常的接收和转发报文,则认为所述行为是合法行为;被监测节点的行为不符合路由协议规范,例如,接收报文后不进行转发,则认为被监测节点的行为不合法。
[0073]判断被监测节点的行为是否合法的方法,还包括:根据被监测节点接收的报文,判断被监测节点转发或产生的回答报文是否符合路由协议规范;根据被监测节点发送的报文,判断被监测节点是否为报文的源节点或判断被监测节点是否在报文的地址列表中;当被监测节点是中间节点时,根据被监测节点转发的报文,判断相邻区域的监测节点是否收到所述报文。
[0074]本实施例中所述路由协议为动态源路由协议(The dynamic source routingprotocol,简称DSR协议),当然,在其他实施例中也可以为其他路由协议,本发明并不仅限于此。在DSR路由协议中,节点可能收到并处理的报文包括:路由查询报文、路由回答报文、路由出错报文和数据报文。
[0075]以监测节点B和被监测节点A为例,按照被监测节点A接收或发送报文以及接收到的报文类型的不同,详细描述本实施例提供的侵入监测方法。
[0076]被监测节点A接收到路由查询报文后的侵入监测流程如图2所示。
[0077]被监测节点A接收到报文后,进入步骤S21:由状态1转入状态2。
[0078]被监测节点A收到的是路由查询报文,进入步骤S22:由状态2转入状态3。
[0079]被监测节点A在状态3时,按照以下四种情况分别进入S231-S234这四个步骤:
[0080]一、被监测节点A产生了路由回答报文,则进入步骤S231:由状态3转入状态4,按照路由协议规范对路由回答报文进行检查,如果合法,则进入步骤S2310:被监测节点A由状态4转入终止状态7,正常结束,停止对被监测节点A的监测,如果不合法,如报文有些字段被非法修改了,则进入步骤S2311:发出非法修改告警。
[0081]二、被监测节点A收到的是重复的路由查询报文,即所述路由查询报文之前收到过,则进入步骤S232:直接由状态3转入终止状态7。
[0082]三、被监测节点A转发了路由查询报文,则进入步骤S233:由状态3转入状态5,按照路由协议规范对转发的路由查询报文进行检查,如果合法,则进入步骤S2330:被监测节点A由状态5转入终止状态7,正常结束,如果不合法,例如修改了一些不能变化的字段,则进入步骤S2331:发出非法修改告警。
[0083]四、被监测节点A超出一定时间没有动作,被监测节点A可能离开了监测区域,则进入步骤S234:向相邻的监测节点查询是否收到被监测节点A的报文,并由状态3转入状态6,如果相邻的监测节点未收到报文,说明被监测节点A不参与路由转发,则进入步骤S2340:发出抛弃报文告警,如果相邻的监测节点收到报文,则进入步骤S2341:由状态6转入状态8,如果收到的是路由查询报文,则进入步骤S2342:将所述路由查询报文发送到监测节点B,由状态8转入状态5,进行后续的监测判断,如果接收到的是路由回答报文,则由状态8转入状态4,进行后续的监测判断。
[0084]被监测节点A收到路由回答报文、路由出错或数据报文后的侵入监测流程如图3所不ο
[0085]被监测节点Α接收到报文后,进入步骤S31:由状态1转入状态2。
[0086]被监测节点A收到的是路由回答、路由出错或数据报文,进入步骤S32:由状态2转入状态3。
[0087]被监测节点A在状态3时,按照以下三种情况分为进入S331-S333这三个步骤:
[0088]—、被监测节点A是报文的目标节点,则进入步骤S331:直接进入终止状态7。
[0089]二、被监测节点A转发了报文,则进入步骤S332:由状态3转入状态4,按照路由协议规范对报文进行检查,如果合法,则进入步骤S3320:由状态4转入终止状态7,正常结束,如果不合法,则进入步骤S3321:发出非法修改告警。由于在DSR路由协议中,节点对路由回答报文、路由出错、数据报文这三种报文只能原样转发不能进行修改,因此,只要比对转发前后的报文是否相同,如果不同,则发出非法修改告警。
[0090]三、被监测节点A超出一定时间没有动作,进入步骤S333:向相邻的监测节点查询是否收到被监测节点A的报文,并由状态3转入状态5,如果相邻的监测节点未收到报文,则进入步骤S3330:发出抛弃报文告警,如果相邻的监测节点收到报文,则进入步骤S3331:将所述报文发送到监测节点B,由状态5转入状态4,进行后续的监测判断。
[0091]被监测节点A发出报文后,侵入监测的流程如图4所示。
[0092]被监测节点A发出报文后,进入步骤S41:由状态1转入状态2。
[0093]被监测节点A在状态2时,按照以下三种情况分别进入S421-S4 23这三个步骤:
[0094]一、被监测节点A是报文的源节点,则进入步骤S421:由状态2转入终止状态7。
[0095]二、被监测节点A是中间节点,所述中间节点,是指被监测节点A只是转发了报文。在接收报文时,被监测节点A并不在监测节点B的监测区域内,而是在转发时才移动进入监测节点B的监测范围内,所以监测节点B只有被监测节点A转发报文的状态,进入步骤S422:向相邻的监测节点查询,如果相邻的监测节点收到所述报文,则由状态2转入状态3,进入步骤S4220:将所述报文发送到监测节点B,由状态3转入终止状态7 ;如果相邻的监测节点未收到报文,说明没有节点发送过此报文,是被监测节点A编造了此报文,则进入步骤S4221:发出编造告警。
[0096]三、被监测节点A不在报文地址列表中,就是说被监测节点A与报文没有任何关系,但它又发出该报文,即被监测节点A假冒其它节点发送了这份报文,进入步骤S423:发出假冒告警,其中,所述报文地址列表位于报文中,包含源地址、目标地址和路由中间节点地址。
[0097]本实施例中,将整个网络分为若干个区域,并以每个区域的簇头作为监测节点,来负责侵入监测的计算,因而,不需要所有节点参与侵入监测的计算,从而能够在保证侵入监测信息收集完整全面的基础上,大大减少节点资源的消耗,提高监测效率。
[0098]本实施例提供了一种无线自组织网络侵入监测设备,包括:监测模块、判断模块和处理模块,其中,监测模块,用于收集监测节点收集的被监测节点的行为信息,所述监测节点为网络中每个区域的簇头,监测节点收集监测区域内被监测节点的行为信息;判断模块,用于根据被监测节点的行为信息,判断被监测节点的行为是否合法,所述被监测节点的行为信息包括接收和发送或转发的报文等;处理模块,用于根据判断结果进行处理,当判断结果为合法时,正常结束,停止对被监测节点的监测,当判断结果为不合法时,认为被监测节点的行为是侵入行为,发出告警。
[0099]本实施例中,所述监测模块还包括:分析模块,用于收集监测节点记录的被监测节点的侵入次数和类型。
[0100]本实施例中,所述无线自组织网络侵入监测设备,是基于有限状态机的监测设备,即所述监测设备是根据网络的路由协议规范形成的有限状态机,本实施例中所述路由协议为动态源路由协议(The dynamic source routing protocol,简称DSR协议),当然,在其他实施例中也可以为其他路由协议,本发明并不仅限于此。在DSR路由协议中,节点可能收到并处理的报文包括:路由查询报文、路由回答报文、路由出错报文和数据报文。
[0101]本实施例提供的无线自组织网络侵入监测设备,利用有限状态机判断被监测节点的行为是否为侵入行为,由于所述有限状态机是按照路由协议形成的,因而,不需要提取正常网络运行时的数据进行分类训练就能够实时监测侵入行为,更利于侵入监测的实施。
[0102]对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【主权项】
1.一种无线自组织网络监测侵入的方法,其特征在于,包括以下步骤: 1)将无线自组织网络分为多个区域,在每个区域的所有节点中选择一个簇头作为监测节点,其余作为被监测节点; 2)在每个区域内,监测节点实时收集被监测节点的行为信息,并根据行为信息是否符合路由协议规范来判断被监测节点是否受到入侵,若受到入侵,则进行报警,若没有受到入侵,则停止对被监测节点的监测; 3)每隔一定时间后更换新的监测节点,并返回步骤2)。2.根据权利要求1所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤1)中通过自由竞争的方法选择簇头,具体包括以下步骤: 11)在第一预设时间内选择最先向区域内其他节点发送告示报文的节点作为簇头,其他节点作为被监测节点,告示报文中含有本节点的ID; 12)当两个节点同时收到对方的告示报文,则以ID号较小的作为监测节点,ID较大的为被监测节点; 13)当监测节点离开本区域时,重新按照步骤11)选择新的监测节点。3.根据权利要求1所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤2)中,路由协议规范包括动态源路由协议。4.根据权利要求1所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤2)中,行为信息为节点收到和处理的报文,包括路由查询报文、路由回答报文、路由出错报文和数据报文。5.根据权利要求4所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤2)包括以下步骤: 21)在被监测节点接收的查询报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范; 22)在被监测节点接收的路由回答报文、路由出错或数据报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范; 23)在被监测节点发送报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范。6.根据权利要求5所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤21)具体包括以下步骤: 211)被监测节点接收到路由查询报文; 212)被监测节点根据接收到路由查询报文产生路由回答报文,并按照路由协议规范对路由回答报文进行检查判断是否合法,若是,则进行步骤217),若否,则进行步骤218); 213)当被监测节点收到的是重复的路由查询报文时,进行步骤217); 214)当被监测节点转发路由查询报文时,则按照路由协议规范对路由回答报文进行检查判断是否合法,若是,则进行步骤217),若否,则进行步骤218); 215)当被监测节点超出一定时间没有动作时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤216),若否,则进行步骤219); 216)若该报文为路由查询报文,则将该路由查询报文发送到监测节点,返回步骤214),若该报文为路由回答报文,则返回步骤212); 217)监测正常结束,停止对被监测节点的监测; 218)路由查询报文部分字段被非法修改,发出非法修改告警; 219)被监测节点不参与路由转发,发出抛弃报文告警。7.根据权利要求5所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤22)具体包括以下步骤: 221)被监测节点接收到路由回答报文、路由出错或数据报文; 222)当该被监测节点为报文的目标节点时,进行步骤227); 223)当该被监测节点转发了报文时,则按照路由协议规范对报文进行检查判断是否合法,若是,则进行步骤227),若否,则进行步骤228); 224)当被监测节点超出一定时间没有动作时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤226),若否,则进行步骤225); 225)发出抛弃报文告警; 226)将该报文发送到监测节点,并且按照路由协议规范对报文进行检查判断是否合法,若是,则进行步骤227),若否,则进行步骤228); 227)监测正常结束,停止对被监测节点的监测; 228)报文字段被非法修改,发出非法修改告警。8.根据权利要求5所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤23)具体包括以下步骤: 231)被监测节点发出报文; 232)当被监测节点为中间节点,转发报文前不在监测区域内,转发时进入监测区域时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤233),若否,则进行步骤234); 233)将该报文发送到监测节点,监测正常结束,停止对被监测节点的监测; 234)该被监测节点没有发出此报文,判定被监测节点编造了报文,发出编造告警; 235)判断被监测节点的地址是否在报文地址列表中,若是,则返回步骤233),若否,则进行步骤236); 236)该被监测节点假冒其它节点发送了这份报文,发出假冒告警。
【专利摘要】本发明涉及一种无线自组织网络监测侵入的方法,包括以下步骤:1)将无线自组织网络分为多个区域,在每个区域的所有节点中选择一个簇头作为监测节点,其余作为被监测节点;2)在每个区域内,监测节点实时收集被监测节点的行为信息,并根据行为信息是否符合路由协议规范来判断被监测节点是否受到入侵,若受到入侵,则进行报警,若没有受到入侵,则停止对被监测节点的监测;3)每隔一定时间后更换新的监测节点,并返回步骤2)。与现有技术相比,本发明具有减少节点资源消耗、提高监测效率等优点。
【IPC分类】H04L29/06, H04L12/24
【公开号】CN105491068
【申请号】CN201610017747
【发明人】陈海波, 郑健, 王媚, 袁成, 谈雪晶, 陈锦华, 陈宁, 谢宏文, 蔡惠萍, 李慕峰
【申请人】国网上海市电力公司
【公开日】2016年4月13日
【申请日】2016年1月12日
【技术领域】
[0001]本发明涉及一种网络监测方法,尤其是涉及一种无线自组织网络监测侵入的方法。
【背景技术】
[0002]虚拟现实环境下,利用无线网络交互数据,有被侵入的风险。为保证交互过程的安全性、高效性,我们研究一套无线自组织网络监测侵入的分析方法。与现有无线网络技术中基于agent的分布式协作侵入监测方案不同,agent运行于网络中的每个节点上,过于占用网络资源,监测效率低,不利于侵入监测方案的有力实施。本方法是一种通过收集被监测节点的行为信息,监测侵入计算,不需要所有节点参与监测侵入的计算,能够在保证侵入监测信息充分收集的基础上,大大减少节点资源的消耗,提高监测效率,便于监测的实施。无线自组织网络是通过移动节点间的相互协作和自我组织,来实现网络的连接和数据的传递,因而不依赖于任何固定的基础设施和管理中心。当前,基于密钥的分配与认证,以及路由安全算法的无线网络安全保障方案,仅能在无线自组织网络中发挥一定的安全防范作用,这是因为无线自组织网络中的节点可以任意移动。
【发明内容】
[0003]本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种减少节点资源消耗、提高监测效率的无线自组织网络监测侵入的方法。
[0004]本发明的目的可以通过以下技术方案来实现:
[0005]—种无线自组织网络监测侵入的方法,包括以下步骤:
[0006]1)将无线自组织网络分为多个区域,在每个区域的所有节点中选择一个簇头作为监测节点,其余作为被监测节点;
[0007]2)在每个区域内,监测节点实时收集被监测节点的行为信息,并根据行为信息是否符合路由协议规范来判断被监测节点是否受到入侵,若受到入侵,则进行报警,若没有受到入侵,则停止对被监测节点的监测;
[0008]3)每隔一定时间后更换新的监测节点,并返回步骤2)。
[0009]所述的步骤1)中通过自由竞争的方法选择簇头,具体包括以下步骤:
[0010]11)在第一预设时间内选择最先向区域内其他节点发送告示报文的节点作为簇头,其他节点作为被监测节点,告示报文中含有本节点的ID;
[0011]12)当两个节点同时收到对方的告示报文,则以ID号较小的作为监测节点,ID较大的为被监测节点;
[0012]13)当监测节点离开本区域时,重新按照步骤11)选择新的监测节点。
[0013]所述的步骤2)中,路由协议规范包括动态源路由协议。
[0014]所述的步骤2)中,行为信息为节点收到和处理的报文,包括路由查询报文、路由回答报文、路由出错报文和数据报文。
[0015]所述的步骤2)包括以下步骤:
[0016]21)在被监测节点接收的查询报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范;
[0017]22)在被监测节点接收的路由回答报文、路由出错或数据报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范;
[0018]23)在被监测节点发送报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范。
[0019]所述的步骤21)具体包括以下步骤:
[0020]211)被监测节点接收到路由查询报文;
[0021]212)被监测节点根据接收到路由查询报文产生路由回答报文,并按照路由协议规范对路由回答报文进行检查判断是否合法,若是,则进行步骤217),若否,则进行步骤218);
[0022]213)当被监测节点收到的是重复的路由查询报文时,进行步骤217);
[0023]214)当被监测节点转发路由查询报文时,则按照路由协议规范对路由回答报文进行检查判断是否合法,若是,则进行步骤217),若否,则进行步骤218);
[0024]215)当被监测节点超出一定时间没有动作时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤216),若否,则进行步骤219);
[0025]216)若该报文为路由查询报文,则将该路由查询报文发送到监测节点,返回步骤
214),若该报文为路由回答报文,则返回步骤212);
[0026]217)监测正常结束,停止对被监测节点的监测;
[0027]218)路由查询报文部分字段被非法修改,发出非法修改告警;
[0028]219)被监测节点不参与路由转发,发出抛弃报文告警。
[0029]所述的步骤22)具体包括以下步骤:
[0030]221)被监测节点接收到路由回答报文、路由出错或数据报文;
[0031]222)当该被监测节点为报文的目标节点时,进行步骤227);
[0032]223)当该被监测节点转发了报文时,则按照路由协议规范对报文进行检查判断是否合法,若是,则进行步骤227),若否,则进行步骤228);
[0033]224)当被监测节点超出一定时间没有动作时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤226),若否,则进行步骤225);
[0034]225)发出抛弃报文告警;
[0035]226)将该报文发送到监测节点,并且按照路由协议规范对报文进行检查判断是否合法,若是,则进行步骤227),若否,则进行步骤228);
[0036]227)监测正常结束,停止对被监测节点的监测;
[0037]228)报文字段被非法修改,发出非法修改告警。
[0038]所述的步骤23)具体包括以下步骤:
[0039]231)被监测节点发出报文;
[0040]232)当被监测节点为中间节点,转发报文前不在监测区域内,转发时进入监测区域时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤233),若否,则进行步骤234);
[0041]233)将该报文发送到监测节点,监测正常结束,停止对被监测节点的监测;
[0042]234)该被监测节点没有发出此报文,判定被监测节点编造了报文,发出编造告警;
[0043]235)判断被监测节点的地址是否在报文地址列表中,若是,则返回步骤233),若否,则进行步骤236);
[0044]236)该被监测节点假冒其它节点发送了这份报文,发出假冒告警。
[0045]与现有技术相比,本发明具有以下优点:
[0046]本发明通过监测节点收集被监测节点的行为信息,即采用每个区域的簇头作为监测节点,负责侵入检测的计算,因而,不需要所有节点参与侵入检测的计算,从而能够在保证侵入检测信息收集完整全面的基础上,大大减少节点资源的消耗,提高检测效率。并且,本发明不需要提取正常网络运行时的数据进行分类训练就能够实时检测侵入行为,从而更利于侵入检测的实施。
【附图说明】
[0047]图1为本发明实施例中监测节点、被监测节点以及监测区域分布示意图;
[0048]图2为本发明实施例中被监测节点收到路由查询报文后的侵入监测流程示意图;
[0049]图3为本发明实施例中被监测节点收到路由回答报文、路由出错或数据报文后的侵入监测流程示意图;
[0050]图4我本发明实施例中被监测节点发送报文后的侵入监测流程示意图。
【具体实施方式】
[0051 ]下面结合附图和具体实施例对本发明进行详细说明。
[0052]实施例:
[0053]如【背景技术】所述,现有的无线自组织网络侵入监测方案过于占用网络资源、监测效率低。发明人研究发现,造成这种问题的原因主要是,现有技术中agent运行于网络中的每个节点上,即每个节点都负责信息的收集和侵入的计算。
[0054]基于此,本发明提供了一种无线自组织网络监测侵入的方法,以克服现有技术存在的上述问题,包括:
[0055]收集监测节点收集的被监测节点的行为信息,所述监测节点为网络中各个区域的簇头;根据所述行为信息判断被监测节点的行为是否合法,如果是,正常结束,如果否,发出生敬口目。
[0056]本发明还提供了一种无线自组织网络监测侵入的设备,包括:
[0057]监测模块,用于收集监测节点收集的被监测节点的行为信息;
[0058]判断模块,用于根据被监测节点的行为信息,判断被监测节点的行为是否合法。
[0059]处理模块,用于根据判断结果进行处理,判断结果为合法时,正常结束,判断结果为不合法时,发出告警。
[0060]本发明所提供的无线自组织网络侵入监测方法,通过监测节点收集被监测节点的行为信息,即采用每个区域的簇头作为监测节点,负责侵入监测的计算,因而,不需要所有节点参与侵入监测的计算,从而能够在保证侵入监测信息收集完整全面的基础上,大大减少节点资源的消耗,提高监测效率。并且,本发明提供的无线自组织网络侵入监测方法,不需要提取正常网络运行时的数据进行 分类训练就能够实时监测侵入行为,从而更利于侵入监测的实施。
[0061]以上是本发明的核心思想,为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的【具体实施方式】做详细的说明。
[0062]在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
[0063]本发明实施例提供了一种无线自组织网络监测侵入的方法,具体包括以下步骤:
[0064]步骤101:收集监测节点收集的被监测节点的行为信息,所述监测节点为网络中各个区域的簇头。
[0065]如图1所示,在无线自组织网络中,节点的资源是非常有限的,因此,为了更好地利用资源,本发明将整个网络分为了若干个区域,并通过自由竞争的方法,选出每个区域的一个簇头作为监测节点,即监测节点为网络中每个区域的簇头,被监测节点为每个区域内的其他节点。通过收集监测节点收集的被监测节点的行为信息,监测每个区域的侵入行为。监测节点B、被监测节点A以及监测区域的分布示意图。
[0066]本实施例中,选出监测节点的过程是公平而随机的,所谓公平是指,每个节点都能有机会成为监测节点,且每个监测节点的服务时间是相同的,监测节点的服务时间到期后,就要周期性地、随机地选举新的监测节点,以保证侵入监测的安全性。当监测节点成为侵入节点时,虽然在其作为监测节点的期间不会被发现,但是,当其服务时间到期选出新的监测节点之后,就会被发现,从而可以阻止侵入行为的发生,保证网络的安全性。
[0067]最初时,整个网络没有监测节点,每个区域需在一定时间内选出一个监测节点。在第一预设时间内,任一节点都可以自动以广播的形式发送一份告示报文。在第一预设时间内,如果第一节点(第一区域内的任一节点)先向第一区域内的其他节点发送告示报文,则第一节点即为第一区域的监测节点,收到所述告示报文的其他节点即为第一区域的被监测节点。其中,报文只能在一跳范围内传播,不能被转发。并且,在监测节点的服务时间到期之前,成为被监测节点的其他节点,不能再发送告示报文。
[0068]由此可知,各个区域选出监测节点的过程为:在第一预设时间内,第一节点先向第一区域内的其他节点发送告示报文,则第一节点为监测节点,第一区域内的其他节点为被监测节点。如果两个节点同时收到了对方发送的告示报文,则比较这两个节点的ID,ID较小的节点作为监测节点,ID较大的节点作为被监测节点,其中,节点的ID位于告示报文中。
[0069]由于无线自组织网络中的节点可以任意移动,监测节点和被监测节点都可能离开原来的区域,因此,当任一节点在第一预设时间内未接收到告示报文时,这一节点就可以发送告示报文,所述节点即为监测节点。成为监测节点后,在第二预设时间内,监测节点需周期性地向监测区域内的被监测节点发送告示报文,以维持其监测节点的地位,所述第二预设时间即为监测节点的服务时间。当监测节点的服务时间到期后,就需重新选出一个监测节点,为了保证公平和随机性,所述监测节点将不能作为下一次的监测节点,除非整个区域只有这一个节点。监测节点的服务时间到期后,监测节点停止发送告示报文,在第一预设时间内,其他节点中的任一节点都可以发送告示报文,确定其监测节点的地位。
[0070]由于通信是双向的,监测节点能够发送报文,也能够接收报文,因此,监测节点能够接收报文传播范围内,即被监测区域内,被监测节点发送或转发的报文,因而,监测节点可以通过接收被监测节点发送或转发的报文,收集被监测节点的包括报文的路径信息以及报文固定内容是否被更改等行为信息,来监测被监测区域内所有被监测节点的行为。
[0071]步骤102:根据所述行为信息判断被监测节点的行为是否合法,如果是,正常结束,如果否,发出告警。
[0072]根据监测节点收集的行为信息判断被监测节点的行为是否合法,判断被监测节点的行为是否合法,包括:判断被监测节点的行为是否符合路由协议规范,如果符合,正常结束,停止对所述被监测节点的监测,如果不符合,则认为被监测节点的行为是侵入行为,发出告警。其中,被监测节点按照路由协议的规范正常的接收和转发报文,则认为所述行为是合法行为;被监测节点的行为不符合路由协议规范,例如,接收报文后不进行转发,则认为被监测节点的行为不合法。
[0073]判断被监测节点的行为是否合法的方法,还包括:根据被监测节点接收的报文,判断被监测节点转发或产生的回答报文是否符合路由协议规范;根据被监测节点发送的报文,判断被监测节点是否为报文的源节点或判断被监测节点是否在报文的地址列表中;当被监测节点是中间节点时,根据被监测节点转发的报文,判断相邻区域的监测节点是否收到所述报文。
[0074]本实施例中所述路由协议为动态源路由协议(The dynamic source routingprotocol,简称DSR协议),当然,在其他实施例中也可以为其他路由协议,本发明并不仅限于此。在DSR路由协议中,节点可能收到并处理的报文包括:路由查询报文、路由回答报文、路由出错报文和数据报文。
[0075]以监测节点B和被监测节点A为例,按照被监测节点A接收或发送报文以及接收到的报文类型的不同,详细描述本实施例提供的侵入监测方法。
[0076]被监测节点A接收到路由查询报文后的侵入监测流程如图2所示。
[0077]被监测节点A接收到报文后,进入步骤S21:由状态1转入状态2。
[0078]被监测节点A收到的是路由查询报文,进入步骤S22:由状态2转入状态3。
[0079]被监测节点A在状态3时,按照以下四种情况分别进入S231-S234这四个步骤:
[0080]一、被监测节点A产生了路由回答报文,则进入步骤S231:由状态3转入状态4,按照路由协议规范对路由回答报文进行检查,如果合法,则进入步骤S2310:被监测节点A由状态4转入终止状态7,正常结束,停止对被监测节点A的监测,如果不合法,如报文有些字段被非法修改了,则进入步骤S2311:发出非法修改告警。
[0081]二、被监测节点A收到的是重复的路由查询报文,即所述路由查询报文之前收到过,则进入步骤S232:直接由状态3转入终止状态7。
[0082]三、被监测节点A转发了路由查询报文,则进入步骤S233:由状态3转入状态5,按照路由协议规范对转发的路由查询报文进行检查,如果合法,则进入步骤S2330:被监测节点A由状态5转入终止状态7,正常结束,如果不合法,例如修改了一些不能变化的字段,则进入步骤S2331:发出非法修改告警。
[0083]四、被监测节点A超出一定时间没有动作,被监测节点A可能离开了监测区域,则进入步骤S234:向相邻的监测节点查询是否收到被监测节点A的报文,并由状态3转入状态6,如果相邻的监测节点未收到报文,说明被监测节点A不参与路由转发,则进入步骤S2340:发出抛弃报文告警,如果相邻的监测节点收到报文,则进入步骤S2341:由状态6转入状态8,如果收到的是路由查询报文,则进入步骤S2342:将所述路由查询报文发送到监测节点B,由状态8转入状态5,进行后续的监测判断,如果接收到的是路由回答报文,则由状态8转入状态4,进行后续的监测判断。
[0084]被监测节点A收到路由回答报文、路由出错或数据报文后的侵入监测流程如图3所不ο
[0085]被监测节点Α接收到报文后,进入步骤S31:由状态1转入状态2。
[0086]被监测节点A收到的是路由回答、路由出错或数据报文,进入步骤S32:由状态2转入状态3。
[0087]被监测节点A在状态3时,按照以下三种情况分为进入S331-S333这三个步骤:
[0088]—、被监测节点A是报文的目标节点,则进入步骤S331:直接进入终止状态7。
[0089]二、被监测节点A转发了报文,则进入步骤S332:由状态3转入状态4,按照路由协议规范对报文进行检查,如果合法,则进入步骤S3320:由状态4转入终止状态7,正常结束,如果不合法,则进入步骤S3321:发出非法修改告警。由于在DSR路由协议中,节点对路由回答报文、路由出错、数据报文这三种报文只能原样转发不能进行修改,因此,只要比对转发前后的报文是否相同,如果不同,则发出非法修改告警。
[0090]三、被监测节点A超出一定时间没有动作,进入步骤S333:向相邻的监测节点查询是否收到被监测节点A的报文,并由状态3转入状态5,如果相邻的监测节点未收到报文,则进入步骤S3330:发出抛弃报文告警,如果相邻的监测节点收到报文,则进入步骤S3331:将所述报文发送到监测节点B,由状态5转入状态4,进行后续的监测判断。
[0091]被监测节点A发出报文后,侵入监测的流程如图4所示。
[0092]被监测节点A发出报文后,进入步骤S41:由状态1转入状态2。
[0093]被监测节点A在状态2时,按照以下三种情况分别进入S421-S4 23这三个步骤:
[0094]一、被监测节点A是报文的源节点,则进入步骤S421:由状态2转入终止状态7。
[0095]二、被监测节点A是中间节点,所述中间节点,是指被监测节点A只是转发了报文。在接收报文时,被监测节点A并不在监测节点B的监测区域内,而是在转发时才移动进入监测节点B的监测范围内,所以监测节点B只有被监测节点A转发报文的状态,进入步骤S422:向相邻的监测节点查询,如果相邻的监测节点收到所述报文,则由状态2转入状态3,进入步骤S4220:将所述报文发送到监测节点B,由状态3转入终止状态7 ;如果相邻的监测节点未收到报文,说明没有节点发送过此报文,是被监测节点A编造了此报文,则进入步骤S4221:发出编造告警。
[0096]三、被监测节点A不在报文地址列表中,就是说被监测节点A与报文没有任何关系,但它又发出该报文,即被监测节点A假冒其它节点发送了这份报文,进入步骤S423:发出假冒告警,其中,所述报文地址列表位于报文中,包含源地址、目标地址和路由中间节点地址。
[0097]本实施例中,将整个网络分为若干个区域,并以每个区域的簇头作为监测节点,来负责侵入监测的计算,因而,不需要所有节点参与侵入监测的计算,从而能够在保证侵入监测信息收集完整全面的基础上,大大减少节点资源的消耗,提高监测效率。
[0098]本实施例提供了一种无线自组织网络侵入监测设备,包括:监测模块、判断模块和处理模块,其中,监测模块,用于收集监测节点收集的被监测节点的行为信息,所述监测节点为网络中每个区域的簇头,监测节点收集监测区域内被监测节点的行为信息;判断模块,用于根据被监测节点的行为信息,判断被监测节点的行为是否合法,所述被监测节点的行为信息包括接收和发送或转发的报文等;处理模块,用于根据判断结果进行处理,当判断结果为合法时,正常结束,停止对被监测节点的监测,当判断结果为不合法时,认为被监测节点的行为是侵入行为,发出告警。
[0099]本实施例中,所述监测模块还包括:分析模块,用于收集监测节点记录的被监测节点的侵入次数和类型。
[0100]本实施例中,所述无线自组织网络侵入监测设备,是基于有限状态机的监测设备,即所述监测设备是根据网络的路由协议规范形成的有限状态机,本实施例中所述路由协议为动态源路由协议(The dynamic source routing protocol,简称DSR协议),当然,在其他实施例中也可以为其他路由协议,本发明并不仅限于此。在DSR路由协议中,节点可能收到并处理的报文包括:路由查询报文、路由回答报文、路由出错报文和数据报文。
[0101]本实施例提供的无线自组织网络侵入监测设备,利用有限状态机判断被监测节点的行为是否为侵入行为,由于所述有限状态机是按照路由协议形成的,因而,不需要提取正常网络运行时的数据进行分类训练就能够实时监测侵入行为,更利于侵入监测的实施。
[0102]对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【主权项】
1.一种无线自组织网络监测侵入的方法,其特征在于,包括以下步骤: 1)将无线自组织网络分为多个区域,在每个区域的所有节点中选择一个簇头作为监测节点,其余作为被监测节点; 2)在每个区域内,监测节点实时收集被监测节点的行为信息,并根据行为信息是否符合路由协议规范来判断被监测节点是否受到入侵,若受到入侵,则进行报警,若没有受到入侵,则停止对被监测节点的监测; 3)每隔一定时间后更换新的监测节点,并返回步骤2)。2.根据权利要求1所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤1)中通过自由竞争的方法选择簇头,具体包括以下步骤: 11)在第一预设时间内选择最先向区域内其他节点发送告示报文的节点作为簇头,其他节点作为被监测节点,告示报文中含有本节点的ID; 12)当两个节点同时收到对方的告示报文,则以ID号较小的作为监测节点,ID较大的为被监测节点; 13)当监测节点离开本区域时,重新按照步骤11)选择新的监测节点。3.根据权利要求1所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤2)中,路由协议规范包括动态源路由协议。4.根据权利要求1所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤2)中,行为信息为节点收到和处理的报文,包括路由查询报文、路由回答报文、路由出错报文和数据报文。5.根据权利要求4所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤2)包括以下步骤: 21)在被监测节点接收的查询报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范; 22)在被监测节点接收的路由回答报文、路由出错或数据报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范; 23)在被监测节点发送报文后,判断被监测节点转发或产生的回答报文是否符合路由协议规范。6.根据权利要求5所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤21)具体包括以下步骤: 211)被监测节点接收到路由查询报文; 212)被监测节点根据接收到路由查询报文产生路由回答报文,并按照路由协议规范对路由回答报文进行检查判断是否合法,若是,则进行步骤217),若否,则进行步骤218); 213)当被监测节点收到的是重复的路由查询报文时,进行步骤217); 214)当被监测节点转发路由查询报文时,则按照路由协议规范对路由回答报文进行检查判断是否合法,若是,则进行步骤217),若否,则进行步骤218); 215)当被监测节点超出一定时间没有动作时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤216),若否,则进行步骤219); 216)若该报文为路由查询报文,则将该路由查询报文发送到监测节点,返回步骤214),若该报文为路由回答报文,则返回步骤212); 217)监测正常结束,停止对被监测节点的监测; 218)路由查询报文部分字段被非法修改,发出非法修改告警; 219)被监测节点不参与路由转发,发出抛弃报文告警。7.根据权利要求5所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤22)具体包括以下步骤: 221)被监测节点接收到路由回答报文、路由出错或数据报文; 222)当该被监测节点为报文的目标节点时,进行步骤227); 223)当该被监测节点转发了报文时,则按照路由协议规范对报文进行检查判断是否合法,若是,则进行步骤227),若否,则进行步骤228); 224)当被监测节点超出一定时间没有动作时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤226),若否,则进行步骤225); 225)发出抛弃报文告警; 226)将该报文发送到监测节点,并且按照路由协议规范对报文进行检查判断是否合法,若是,则进行步骤227),若否,则进行步骤228); 227)监测正常结束,停止对被监测节点的监测; 228)报文字段被非法修改,发出非法修改告警。8.根据权利要求5所述的一种无线自组织网络监测侵入的方法,其特征在于,所述的步骤23)具体包括以下步骤: 231)被监测节点发出报文; 232)当被监测节点为中间节点,转发报文前不在监测区域内,转发时进入监测区域时,则向该被监测节点相邻的监测节点查询是否收到该被监测节点的报文,若是,则进行步骤233),若否,则进行步骤234); 233)将该报文发送到监测节点,监测正常结束,停止对被监测节点的监测; 234)该被监测节点没有发出此报文,判定被监测节点编造了报文,发出编造告警; 235)判断被监测节点的地址是否在报文地址列表中,若是,则返回步骤233),若否,则进行步骤236); 236)该被监测节点假冒其它节点发送了这份报文,发出假冒告警。
【专利摘要】本发明涉及一种无线自组织网络监测侵入的方法,包括以下步骤:1)将无线自组织网络分为多个区域,在每个区域的所有节点中选择一个簇头作为监测节点,其余作为被监测节点;2)在每个区域内,监测节点实时收集被监测节点的行为信息,并根据行为信息是否符合路由协议规范来判断被监测节点是否受到入侵,若受到入侵,则进行报警,若没有受到入侵,则停止对被监测节点的监测;3)每隔一定时间后更换新的监测节点,并返回步骤2)。与现有技术相比,本发明具有减少节点资源消耗、提高监测效率等优点。
【IPC分类】H04L29/06, H04L12/24
【公开号】CN105491068
【申请号】CN201610017747
【发明人】陈海波, 郑健, 王媚, 袁成, 谈雪晶, 陈锦华, 陈宁, 谢宏文, 蔡惠萍, 李慕峰
【申请人】国网上海市电力公司
【公开日】2016年4月13日
【申请日】2016年1月12日
最新回复(0)