專(zhuān)利名稱(chēng):一種無(wú)線傳感器網(wǎng)絡(luò)中DDoS攻擊的追蹤方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域����,尤其是一種針對(duì)無(wú)線傳感器網(wǎng)絡(luò)中分布式拒絕服務(wù)攻擊(DDoS)攻擊的攻擊源追蹤方法。
背景技術(shù):
無(wú)線傳感器網(wǎng)絡(luò)作為計(jì)算機(jī)����、通信和傳感器三項(xiàng)技術(shù)結(jié)合的產(chǎn)物,在國(guó)防軍事����、環(huán)境檢測(cè)、交通管理等眾多領(lǐng)域極具應(yīng)用前景�����。近來(lái)倍受世人關(guān)注且成為未來(lái)五大網(wǎng)絡(luò)趨勢(shì)之一的物聯(lián)網(wǎng),其關(guān)鍵的實(shí)現(xiàn)技術(shù)之一就是無(wú)線傳感器網(wǎng)絡(luò)��,這也使得無(wú)線傳感器網(wǎng)絡(luò)成為計(jì)算機(jī)科學(xué)領(lǐng)域一個(gè)活躍的研究分支�。無(wú)線傳感器網(wǎng)絡(luò)是由大量部署在監(jiān)測(cè)區(qū)域內(nèi)的微型傳感器節(jié)點(diǎn)組成,通過(guò)無(wú)線通信方式形成的一個(gè)多跳的自組織網(wǎng)絡(luò)系統(tǒng)����。無(wú)線傳感器網(wǎng)絡(luò)中的網(wǎng)絡(luò)模型主要有分布式和層次式兩大類(lèi)。當(dāng)無(wú)線傳感器網(wǎng)絡(luò)規(guī)模較大時(shí)一般采用層次式網(wǎng)絡(luò)模型�。在層次式網(wǎng)絡(luò)模型中,整個(gè)網(wǎng)絡(luò)被分為很多簇���,其結(jié)構(gòu)如圖2(a)所示��。該網(wǎng)絡(luò)以簇為基本單位�,一個(gè)簇相當(dāng)于一個(gè)子網(wǎng)絡(luò)�,它由簇頭節(jié)點(diǎn)和普通傳感器節(jié)點(diǎn)組成。簇頭節(jié)點(diǎn)需要協(xié)調(diào)簇內(nèi)節(jié)點(diǎn)的工作�����,負(fù)責(zé)數(shù)據(jù)的融合和轉(zhuǎn)發(fā)���。每一個(gè)簇頭節(jié)點(diǎn)可以定義一個(gè)標(biāo)記�����,記為ID�����,這些簇頭ID不能相同��,每個(gè)簇內(nèi)的普通傳感器節(jié)點(diǎn)也可標(biāo)識(shí)其ID���,在一個(gè)簇內(nèi)這些ID也是唯一的。由于無(wú)線傳感器網(wǎng)絡(luò)往往被部署在無(wú)人職守的開(kāi)放式環(huán)境中���,同時(shí)單個(gè)傳感器節(jié)點(diǎn)的能量和存儲(chǔ)空間有限����,因此它很容易受到攻擊者的惡意攻擊�,而分布式拒絕服務(wù)攻擊(DDoS)則是一種無(wú)線傳感器網(wǎng)絡(luò)中常見(jiàn)并危害極大的攻擊手段。通常����,攻擊者通過(guò)干擾無(wú)線信道,大量插入或丟棄報(bào)文等手段發(fā)起攻擊,消耗傳感器節(jié)點(diǎn)有限的資源����,使得網(wǎng)絡(luò)部分或者全部癱瘓。因此�,當(dāng)傳感器網(wǎng)絡(luò)被用于具有重要使命的場(chǎng)景中時(shí),如軍事上的戰(zhàn)場(chǎng)監(jiān)視�、商業(yè)上的小區(qū)無(wú)線防護(hù)等等,如何對(duì)DDoS攻擊采取有效措施就非常重要��。
目前國(guó)內(nèi)外已對(duì)DDoS攻擊檢測(cè)和溯源進(jìn)行了大量的研究���,提出了很多方法�,基本上分成“單獨(dú)生成追蹤信息專(zhuān)用數(shù)據(jù)包”和“數(shù)據(jù)包標(biāo)記”兩大類(lèi)�。前者會(huì)增加傳感器節(jié)點(diǎn)的帶寬負(fù)擔(dān),消耗傳感器節(jié)點(diǎn)資源�����,實(shí)際使用效果不佳���。后者都是在2000年Savage等人提出的“邊采樣”標(biāo)記方法的基礎(chǔ)上發(fā)展起來(lái)的��。Savage等人提出的“邊采樣”概率包標(biāo)記方法���,適用于傳統(tǒng)的IP網(wǎng)絡(luò)中�����,路由器以一定的概率對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記,標(biāo)記內(nèi)容包括攻擊路徑上任兩個(gè)路由器的地址����,即攻擊路徑上的“邊”以及“邊”到攻擊目標(biāo)的距離。被攻擊者根據(jù)受到的標(biāo)記過(guò)的數(shù)據(jù)包中的相應(yīng)信息進(jìn)行攻擊路徑的恢復(fù)���。這種傳統(tǒng)的“邊采樣”標(biāo)記方法要想移植到無(wú)線傳感器網(wǎng)絡(luò)中�,存在以下兩個(gè)問(wèn)題:
I)傳統(tǒng)的“邊”由路由器地址構(gòu)成��,無(wú)線傳感器網(wǎng)絡(luò)中是不存在路由器的���,取而代之的是傳感器節(jié)點(diǎn)���。傳統(tǒng)的“邊采樣”標(biāo)記方法無(wú)法直接在無(wú)線傳感器網(wǎng)絡(luò)中使用。2)傳統(tǒng)的“邊采樣”標(biāo)記方法效率不高��,特別是存在多條攻擊路徑時(shí)��。事實(shí)上,DDoS攻擊必定會(huì)當(dāng)存在多條攻擊路徑�����,每條路徑發(fā)起的DDoS攻擊的強(qiáng)度是不等的�。如何在眾多的攻擊路徑中找出威脅最大的攻擊源并最先對(duì)其處理,降低誤報(bào)率�,是尚未解決的問(wèn)題。
發(fā)明內(nèi)容
基于現(xiàn)有技術(shù)中的上述問(wèn)題�����,本發(fā)明提出了一種新穎的無(wú)線傳感器網(wǎng)絡(luò)中的數(shù)據(jù)包標(biāo)記方法�����,該方法將數(shù)據(jù)包進(jìn)行標(biāo)記�,并利用標(biāo)記過(guò)的數(shù)據(jù)包進(jìn)行溯源追蹤,找出惡意攻擊節(jié)點(diǎn)���。本發(fā)明的技術(shù)方案是:一種無(wú)線傳感器網(wǎng)絡(luò)中DDoS攻擊的追蹤方法���,依次進(jìn)行標(biāo)記方法和路徑重構(gòu)方法,其特征在于:
所述標(biāo)記方法是在數(shù)據(jù)包中設(shè)置六個(gè)標(biāo)記域的標(biāo)記信息(first, top, tail, start, end�����,distance),其中first字段表示攻擊數(shù)據(jù)包所經(jīng)過(guò)的第一個(gè)簇頭節(jié)點(diǎn)的ID ;top字段表示攻擊數(shù)據(jù)包被標(biāo)記后,經(jīng)過(guò)的第一個(gè)簇頭節(jié)點(diǎn)的ID ���;tail字段表示top的下一個(gè)簇頭節(jié)點(diǎn)ID ; start字段表示在分簇內(nèi)存放邊的起始點(diǎn)的普通節(jié)點(diǎn)ID ; end字段表示在分簇內(nèi)存放邊的終點(diǎn)的普通節(jié)點(diǎn)ID !distance字段表示start字段和最近的簇頭節(jié)點(diǎn)top字段的距離�����;其標(biāo)記步驟包括簇頭節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記方法和普通節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記方法; 所述簇頭節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記方法的步驟為:
步驟1-1收到數(shù)據(jù)包的簇頭節(jié)點(diǎn)�,首先檢查標(biāo)記信息中的first字段,如果不為0�,就將該簇頭節(jié)點(diǎn)的ID寫(xiě)入first字段,并且first字段不能被后續(xù)的節(jié)點(diǎn)重新標(biāo)記:
步驟1-2當(dāng)決定以簇頭節(jié)點(diǎn)標(biāo)記概率標(biāo)記數(shù)據(jù)包時(shí)���,簇頭節(jié)點(diǎn)將數(shù)據(jù)包中的first字段外的全部字段清空��,并將其ID寫(xiě)入top字段和start字段���;
步驟1-3當(dāng)決定不標(biāo)記該數(shù)據(jù)包時(shí),需檢查top字段和start字段����,如果top字段為0而start字段不為0,那么該簇頭節(jié)點(diǎn)就將其ID寫(xiě)入top字段同時(shí)將distance的值加I ;如果top和start字段都不為0并且tail字段為0��,該簇頭節(jié)點(diǎn)就將其ID寫(xiě)入tail字段���;如果start字段不為0且end字段為0,該簇頭節(jié)點(diǎn)就將其ID寫(xiě)入end字段�;
所述普通節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記方法的步驟為:
步驟2-1當(dāng)決定以普通節(jié)點(diǎn)標(biāo)記概率示記數(shù)據(jù)包時(shí),將first字段以外的其它字段都設(shè)置為0�����,并將該節(jié)點(diǎn)的ID寫(xiě)入start字段�;
步驟2-2如果決定不標(biāo)記數(shù)據(jù)包,需檢查top字段和start字段���,如果top字段為0而start字段不為0,則將distance的值加I ;如果end字段也為0,則將該節(jié)點(diǎn)ID寫(xiě)入end字段����;
所述路徑重構(gòu)方法的步驟為:
步驟3-1將收集到的攻擊數(shù)據(jù)包根據(jù)first字段進(jìn)行分組����,形成first字段不同的攻擊數(shù)據(jù)包集合;
步驟3-2首先先找到tail字段等于0的攻擊數(shù)據(jù)包集合中的數(shù)據(jù)包�,取出其top字段,得到所有距離基站距離為0的簇頭節(jié)點(diǎn)ID集合Stl ����;
步驟3-3在集合Stl中選取簇頭節(jié)點(diǎn)標(biāo)記IDtl�,查找以其作為tail字段的數(shù)據(jù)包�����,得到所有距離基站距離為I的簇頭節(jié)點(diǎn)標(biāo)記ID1, ID0和ID1就構(gòu)成了攻擊主干路徑上一條以ID1為起點(diǎn)����,ID0為終點(diǎn)的邊,并以此方法得出所有的邊����,重構(gòu)出候選攻擊路徑��;
步驟3-4對(duì)上一步驟中得到的候選攻擊路徑�����,計(jì)算其權(quán)重�����;并和無(wú)攻擊時(shí)的路徑權(quán)重進(jìn)行比較����,找出攻擊主干路徑����。步驟3-5在涉及攻擊路徑的分簇內(nèi)�,實(shí)施以簇頭節(jié)點(diǎn)作為根節(jié)點(diǎn)進(jìn)行寬度優(yōu)先搜索,按distance值分成不同的集合,從距離distance = 0開(kāi)始,檢查數(shù)據(jù)包的start字段和end字段,構(gòu)成離簇頭節(jié)點(diǎn)最近的一條邊;重復(fù)邊的構(gòu)造直到distance達(dá)到可能的最大值為止����,從而構(gòu)造出該分簇內(nèi)的全部攻擊路徑信息。進(jìn)一步����,所述簇頭節(jié)點(diǎn)標(biāo)記概率/7的取值為/7=7/6 其中/7為該無(wú)線傳感器網(wǎng)絡(luò)中的分組數(shù),A是一個(gè)常數(shù)�����。進(jìn)一步,所述普通節(jié)點(diǎn)標(biāo)記概率Z7的取值為其中》分簇內(nèi)普通節(jié)點(diǎn)數(shù)���。進(jìn)一步,所述first字段����、top字段�����、tail字段、start字段�、end字段、distance字段各占兩個(gè)字節(jié)����。本發(fā)明主要用于在發(fā)生DDoS攻擊時(shí),能快速高效地追蹤到攻擊源�����,從而在源頭抑止攻擊的繼續(xù)以及為追究攻擊者的責(zé)任提供證據(jù)等��,其有益效果是:
1.優(yōu)良的收斂性��;以往的一些方案�,在重構(gòu)路徑時(shí)需要接收大量的數(shù)據(jù)包�����,不僅浪費(fèi)了寶貴的時(shí)間���,也增加了網(wǎng)絡(luò)的負(fù)擔(dān)���。本發(fā)明通過(guò)在標(biāo)記數(shù)據(jù)包中設(shè)置六個(gè)標(biāo)記字段�,并選取了合適的標(biāo)記概率��,使得重構(gòu)路徑時(shí)數(shù)據(jù)包量大大減少��,得到理想的收斂效果����。2.降低了攻擊源的不確定性;在分簇節(jié)點(diǎn)和普通節(jié)點(diǎn)選用不同的標(biāo)記概率�����,本發(fā)明降低了攻擊源的不確定性����,使得攻擊源易于定位。3.抗干擾能力提高�;在攻擊路徑的重構(gòu)方法中把權(quán)重信息加入到候選攻擊路徑中,通過(guò)和正常情況下的候選攻擊路徑權(quán)重進(jìn)行比較����,可更好地分析真正的攻擊源,起到降低誤報(bào)率的效果。
圖1是本發(fā)明的追蹤方法的流程示意 圖2(a)是無(wú)線傳感器網(wǎng)絡(luò)中層次`式的網(wǎng)絡(luò)模型 (b)是攻擊路徑示意 圖3是數(shù)據(jù)包重載格式示意 圖4是普通節(jié)點(diǎn)的標(biāo)記方法流程 圖5是簇頭節(jié)點(diǎn)的標(biāo)記方法流程 圖6是基站上的路徑重構(gòu)方法流程圖�。
具體實(shí)施例方式下面結(jié)合具體的實(shí)例對(duì)本發(fā)明作進(jìn)一步的闡述。如圖1所示��,追蹤方法的步驟包括按一定概率對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記��,通過(guò)基站提取數(shù)據(jù)包信息�����,重構(gòu)攻擊路徑并確認(rèn)攻擊并采取措施��。數(shù)據(jù)包的標(biāo)記信息(first, top, tail, start, end, distance)包含六個(gè)標(biāo)記域��。這六個(gè)標(biāo)記域分成兩層��。第一層由(first����,top, tail)組成,主要用來(lái)重構(gòu)路徑的主干部分�。第二層由(start, end, distance)組成,用來(lái)重構(gòu)分簇內(nèi)普通節(jié)點(diǎn)start到簇頭節(jié)點(diǎn)top的局部路徑。這六個(gè)標(biāo)記字段的含義:first字段表示攻擊數(shù)據(jù)包所經(jīng)過(guò)的第一個(gè)簇頭節(jié)點(diǎn)的ID, first字段標(biāo)記過(guò)后不能被后續(xù)的簇頭節(jié)點(diǎn)標(biāo)記����;top字段表示攻擊數(shù)據(jù)包被標(biāo)記后,經(jīng)過(guò)的第一個(gè)簇頭節(jié)點(diǎn)的ID��,它可以被后續(xù)的簇頭節(jié)點(diǎn)重復(fù)標(biāo)記�,它的值用來(lái)和tail字段構(gòu)成主干路徑上的“邊”信息;tail字段表示top的下一個(gè)簇頭節(jié)點(diǎn)ID���,也可重復(fù)標(biāo)記��;start字段表示在分簇內(nèi)存放邊的起始點(diǎn)的普通節(jié)點(diǎn)ID,可重復(fù)標(biāo)記,它和end字段構(gòu)成簇內(nèi)局部路徑上的“邊”信息�;end字段表示在分簇內(nèi)存放邊的終點(diǎn)的普通節(jié)點(diǎn)ID����,這個(gè)字段也可重復(fù)標(biāo)記!distance字段表示start字段和最近的簇頭節(jié)點(diǎn)top字段的距離�����。如圖5所示����,簇頭節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記方法的步驟為:
步驟1-1收到數(shù)據(jù)包的簇頭節(jié)點(diǎn),首先檢查標(biāo)記信息中的first字段���,如果不為0�����,就將該簇頭節(jié)點(diǎn)的ID寫(xiě)入first字段���,并且first字段不能被后續(xù)的節(jié)點(diǎn)重新標(biāo)記:
步驟1-2當(dāng)決定以概率p標(biāo)記數(shù)據(jù)包時(shí)�����,簇頭節(jié)點(diǎn)將數(shù)據(jù)包中的first字段外的全部字段清空����,并將其ID寫(xiě)入top字段和start字段����;
步驟1-3當(dāng)決定不標(biāo)記該數(shù)據(jù)包時(shí),需檢查top字段和start字段�����,如果top字段為0而start字段不為0,那么該簇頭節(jié)點(diǎn)就將其ID寫(xiě)入top字段同時(shí)將distance的值加I ;如果top和start字段都不為0并且tail字段為0����,該簇頭節(jié)點(diǎn)就將其ID寫(xiě)入tail字段;如果start字段不為0且end字段為0�,該簇頭節(jié)點(diǎn)就將其ID寫(xiě)入end字段��;
如圖4所示,普通節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記方法的步驟為:
步驟2-1當(dāng)決定以概率P標(biāo)記數(shù)據(jù)包時(shí)����,將first字段以外的其它字段都設(shè)置為0,并將該節(jié)點(diǎn)的ID寫(xiě)入start字段��;
步驟2-2如果決定不標(biāo)記數(shù)據(jù)包�����,需檢查top字段和start字段�����,如果top字段為0而start字段不為0,則將distance的值加I ;如果end字段也為0,則將該節(jié)點(diǎn)ID寫(xiě)入end字段���;
數(shù)據(jù)包的重載格式
數(shù)據(jù)包的重載格式如圖3所示 ���。IEEE 802.15.4的數(shù)據(jù)包格式包括五個(gè)數(shù)據(jù)報(bào)域,分別是巾貞控制(frame control)��、數(shù)據(jù)序列號(hào)(data sequence number)���、地址域(addressingfields)�����、數(shù)據(jù)負(fù)載(data payload)和巾貞校驗(yàn)序列(frame check sequence)��。其中巾貞控制域長(zhǎng)度固定為2個(gè)字節(jié)����;數(shù)據(jù)序列號(hào)長(zhǎng)度固定為I個(gè)字節(jié);地址域長(zhǎng)度固定為4 一 20個(gè)字節(jié)����;數(shù)據(jù)負(fù)載域長(zhǎng)度可變,幀校驗(yàn)序列長(zhǎng)度固定為2個(gè)字節(jié)��,也就是說(shuō)除了數(shù)據(jù)負(fù)載(datapayload)這個(gè)數(shù)據(jù)報(bào)域外�����,另外的四個(gè)數(shù)據(jù)報(bào)域都無(wú)法更改���,所以標(biāo)記信息加入datapayload 域��。數(shù)據(jù)包標(biāo)記信息包括六個(gè)字段(first, top, tail, start, end, distance),除了 distance字段外都用來(lái)標(biāo)識(shí)節(jié)點(diǎn)信息��,每個(gè)字段用2個(gè)字節(jié)就足夠了���,distance字段是一個(gè)表示距離的正整數(shù)�,用2個(gè)字節(jié)就同樣也足夠了�����,這樣可表示的長(zhǎng)度最大值達(dá)到217 —
1標(biāo)記概率的選取
數(shù)據(jù)包標(biāo)記概率的選取與能否迅速找到攻擊源有著至關(guān)重要的聯(lián)系�,標(biāo)記概率選取過(guò)大可以減弱攻擊者隱藏來(lái)源的能力�����,卻影響網(wǎng)絡(luò)的吞吐能力�����,消耗了節(jié)點(diǎn)的能量和帶寬�����;標(biāo)記概率選取過(guò)小可以減少網(wǎng)絡(luò)的負(fù)載���,但是基站卻可能因?yàn)闃?biāo)記數(shù)據(jù)包太少而不能重構(gòu)攻擊路徑�����。設(shè)一條攻擊路徑中�,從攻擊者到基站的距離是d+1,即從攻擊者處出發(fā)�,數(shù)據(jù)包需經(jīng)過(guò)J個(gè)節(jié)點(diǎn)后到達(dá)基站。設(shè)中間的節(jié)點(diǎn)按順序?yàn)镚�����,C2,…��,‘其中G離攻擊者最近��,G離基站最近�����。數(shù)據(jù)包被節(jié)點(diǎn)G標(biāo)記的概率
A = -JOm,那么每個(gè)數(shù)據(jù)包經(jīng)過(guò)^/個(gè)節(jié)點(diǎn)被標(biāo)記概率的至少是辦由不平
均概率coupon collector問(wèn)題可知�����,¢/個(gè)等概率項(xiàng)中的每一個(gè)都能被選中一次所需的次_ h(i0+O(I)
福^‘_�。師翻1女制獅纖勺W舖顏-錄:竭=。
rfp(d)+0 )#P-FJ
也就是說(shuō)數(shù)據(jù)包被哪個(gè)節(jié)點(diǎn)標(biāo)記的概率都是7/J時(shí),路徑重構(gòu)所需的數(shù)據(jù)包最少�����?��?紤]到無(wú)線傳感器網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和標(biāo)記字段的設(shè)置����,簇頭節(jié)點(diǎn)和普通節(jié)點(diǎn)設(shè)置不同的標(biāo)記概率��。簇頭節(jié)點(diǎn):設(shè)該無(wú)線傳感器網(wǎng)絡(luò)中有/7個(gè)分組����,則簇頭節(jié)點(diǎn)的標(biāo)記概率是/7=7/Cn +V�����。其中左是一個(gè)常數(shù)����。普通節(jié)點(diǎn):這分簇內(nèi)有個(gè)普通節(jié)點(diǎn),考慮到一般攻擊路徑不可能遍歷全部的內(nèi)部節(jié)點(diǎn)����,所以取標(biāo)記的概率產(chǎn)二//(m/3),即P=3/m�。以圖2(b)為例��,具體的標(biāo)記過(guò)程如下:
1.簇頭節(jié)點(diǎn)A收到數(shù)據(jù)包后����,首先檢查標(biāo)記信息中的first字段,如果不是為0��,就把該簇頭節(jié)點(diǎn)的ID寫(xiě)入first字段���。接著取0 — I之間的隨機(jī)數(shù)u,并將其與簇頭節(jié)點(diǎn)標(biāo)記概率P比較��,如果大于則不標(biāo)記���,如果小于則標(biāo)記。這里選擇不標(biāo)記該數(shù)據(jù)包���。此時(shí)簇頭節(jié)點(diǎn)A更新數(shù)據(jù)包標(biāo)記信息(A, 0, 0�����,0��,0��,O)����。2.普通節(jié)點(diǎn)a2收到數(shù)據(jù)包后,先取隨機(jī)數(shù)u (u在0 — I之間)��,并將其與普通節(jié)點(diǎn)標(biāo)記概率P比較��,如果大于則不標(biāo)記�,如果小于則標(biāo)記。若a2決定標(biāo)記數(shù)據(jù)包��,除了 first字段以外的其它全部字段都設(shè)置為0���,并將該節(jié)點(diǎn)的信息寫(xiě)入start字段,數(shù)據(jù)包標(biāo)記信息CA, 0����,0,a2, 0��,O)�����。
3.簇頭節(jié)點(diǎn)B收到數(shù)據(jù)包后,不能修改標(biāo)記信息中的first字段�����。依然選取隨機(jī)數(shù)與簇頭節(jié)點(diǎn)標(biāo)記概率P比較����。如果小于則標(biāo)記數(shù)據(jù)包,將數(shù)據(jù)包中的除first字段全部清空��,并將自己的ID寫(xiě)入top字段和start字段�����,此時(shí)簇頭節(jié)點(diǎn)B更新數(shù)據(jù)包標(biāo)記信息(A, B���,0����,B�,0,O)����。4.普通節(jié)點(diǎn)bl收到數(shù)據(jù)包后�����,先取隨機(jī)數(shù)U����,并將其與普通節(jié)點(diǎn)標(biāo)記概率P比較�,如果大于則不標(biāo)記,此時(shí)需檢查top字段和start字段,如果此時(shí)top字段為0而start字段不為0,那么將distance的值加I,同時(shí)如果end字段為0,就將該節(jié)點(diǎn)信息寫(xiě)入end字段��。此時(shí)普通節(jié)點(diǎn)bl更新數(shù)據(jù)包標(biāo)記信息(A, B��,0��,B���,bl, O)。5.普通節(jié)點(diǎn)b2收到數(shù)據(jù)包后����,先取隨機(jī)數(shù)U,并將其與普通節(jié)點(diǎn)標(biāo)記概率P比較����,如果大于則不標(biāo)記�,此時(shí)需檢查top字段和start字段,如果此時(shí)top字段為0而start字段不為0,那么將distance的值加I,同時(shí)如果end字段為0,就將該節(jié)點(diǎn)信息寫(xiě)入end字段����。此時(shí)數(shù)據(jù)包標(biāo)記信息依然是(A, B,0, B����,bl, 0)。6.簇頭節(jié)點(diǎn)C收到數(shù)據(jù)包后����,不能修改標(biāo)記信息中的first字段。依然選取隨機(jī)數(shù)與簇頭節(jié)點(diǎn)標(biāo)記概率P比較�����。如果大于則不標(biāo)記����,檢查top字段和start字段,如果top字段為0而start字段不為0,那么就將自己的ID寫(xiě)入top字段同時(shí)將distance的值加
I;如果top和start字段都不為0并且tail字段為0�,就將自己的ID寫(xiě)入tail字段;如果start字段不為0且end字段為0����,就將自己的ID寫(xiě)入end字段��。此時(shí)簇頭節(jié)點(diǎn)C更新數(shù)據(jù)包標(biāo)記信息(A�����,B�,C���,B�,bl�,0)。7.普通節(jié)點(diǎn)Cl收到數(shù)據(jù)包后��,先取隨機(jī)數(shù)U���,并將其與普通節(jié)點(diǎn)標(biāo)記概率p比較�����,如果大于則不標(biāo)記,此時(shí)需檢查top字段和start字段,如果此時(shí)top字段為0而start字段不為0,那么將distance的值加I,同時(shí)如果end字段為0,就將該節(jié)點(diǎn)信息寫(xiě)入end字段���。此時(shí)數(shù)據(jù)包標(biāo)記信息依然是(A, B����,C,B�,bl, O)。普通節(jié)點(diǎn)采用的標(biāo)記方法流程圖如圖4所示����,偽代碼如下:
//Marking procedure at normal sensor node N: // 普通節(jié)點(diǎn)的標(biāo)記方法 for each packet P
let u be a random number from [0, I)
if u<= q,
place 0 into all fields except for P.first write N into P.start else
if (P.top=0) & (P.start !=0)
P.distance+=Iif (P.end=0)write N into P.end分簇節(jié)點(diǎn)采用的標(biāo)記方法流程圖如圖5所示����,偽代碼如下:
//Marking procedure at cluster head C: // 分族節(jié)點(diǎn)的標(biāo)記方法 for each packet P if (P.first=。)
write C into P.first
let u be a random number from [0��, I)
if u<= 9i
place 0 into all fields except for P.first write C into P.top write C into P.start else
if (P.top=0) &then (P.start !=0)
P.distance+=Iwrite C into P.topif (P.tail=0)write C into P.tailif (P.end=0) &then (P.start !=0)write C into P.end下面將描述在重構(gòu)中實(shí)現(xiàn)的具體步驟�。路徑重構(gòu)包括兩個(gè)部分。第一部分構(gòu)造出由簇頭節(jié)點(diǎn)構(gòu)成的主干路徑�����,第二部分
構(gòu)造出每個(gè)分簇內(nèi)的局部轉(zhuǎn)發(fā)路徑�。具體的路徑重構(gòu)方法流程圖如圖6所示。1.將收集到的攻擊數(shù)據(jù)包根據(jù)first字段進(jìn)行分組����,形成first字段不同的攻擊
數(shù)據(jù)包集合��。2.將在不同的分組中�����,先找到tail字段等于0的攻擊數(shù)據(jù)包集合中的數(shù)據(jù)包�,取 出其top字段�,得到所有距離基站距離為0的簇頭節(jié)點(diǎn),即與基站距離最近的簇頭節(jié)點(diǎn)ID集合S����。。3.在集合Stl中選取距離基站距離為0的簇頭節(jié)點(diǎn)標(biāo)記IDtl,查找以其作為tail字段的數(shù)據(jù)包�,得到所有距離基站距離為I的簇頭節(jié)點(diǎn)標(biāo)記ID115這樣,IDci和ID1就構(gòu)成了攻擊主干路徑上一條以ID1為起點(diǎn)��,ID0為終點(diǎn)的邊�,以此類(lèi)推,得出所有的邊�,就重構(gòu)出攻擊的主干路徑。4.計(jì)算各個(gè)候選攻擊路徑的權(quán)重����,并和無(wú)攻擊時(shí)的路徑權(quán)重進(jìn)行比較���,找出真正的攻擊主干路徑�����。設(shè)一候選攻擊路徑
權(quán)利要求
1.一種無(wú)線傳感器網(wǎng)絡(luò)中DDoS攻擊的追蹤方法��,依次進(jìn)行標(biāo)記方法和路徑重構(gòu)方法����,其特征在于: 所述標(biāo)記方法是在數(shù)據(jù)包中設(shè)置六個(gè)標(biāo)記域的標(biāo)記信息(first, top, tail, start, end,distance),其中first字段表示攻擊數(shù)據(jù)包所經(jīng)過(guò)的第一個(gè)簇頭節(jié)點(diǎn)的ID ;top字段表示攻擊數(shù)據(jù)包被標(biāo)記后����,經(jīng)過(guò)的第一個(gè)簇頭節(jié)點(diǎn)的ID ;tail字段表示top的下一個(gè)簇頭節(jié)點(diǎn)ID ; start字段表示在分簇內(nèi)存放邊的起始點(diǎn)的普通節(jié)點(diǎn)ID ; end字段表示在分簇內(nèi)存放邊的終點(diǎn)的普通節(jié)點(diǎn)ID !distance字段表示start字段和最近的簇頭節(jié)點(diǎn)top字段的距離�����;其標(biāo)記步驟包括簇頭節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記方法和普通節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記方法��; 所述簇頭節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記方法的步驟為: 步驟1-1收到數(shù)據(jù)包的簇頭節(jié)點(diǎn)���,首先檢查標(biāo)記信息中的first字段���,如果不為0��,就將該簇頭節(jié)點(diǎn)的ID寫(xiě)入first字段�����,并且first字段不能被后續(xù)的節(jié)點(diǎn)重新標(biāo)記: 步驟1-2當(dāng)決定以簇頭節(jié)點(diǎn)標(biāo)記概率標(biāo)記數(shù)據(jù)包時(shí)��,簇頭節(jié)點(diǎn)將數(shù)據(jù)包中的first字段外的全部字段清空�,并將其ID寫(xiě)入top字段和start字段���; 步驟1-3當(dāng)決定不標(biāo)記該數(shù)據(jù)包時(shí)�����,需檢查top字段和start字段����,如果top字段為0而start字段不為0,那么該簇頭節(jié)點(diǎn)就將其ID寫(xiě)入top字段同時(shí)將distance的值加I ;如果top和start字段都不為0并且tail字段為0�����,該簇頭節(jié)點(diǎn)就將其ID寫(xiě)入tail字段;如果start字段不為0且end字段為0�����,該簇頭節(jié)點(diǎn)就將其ID寫(xiě)入end字段���; 所述普通節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記方法的步驟為: 步驟2-1當(dāng)決定以普通節(jié)點(diǎn)標(biāo)記 概率示記數(shù)據(jù)包時(shí),將first字段以外的其它字段都設(shè)置為0����,并將該節(jié)點(diǎn)的ID寫(xiě)入start字段; 步驟2-2如果決定不標(biāo)記數(shù)據(jù)包�,需檢查top字段和start字段,如果top字段為0而start字段不為0,則將distance的值加I ;如果end字段也為0,則將該節(jié)點(diǎn)ID寫(xiě)入end字段����; 所述路徑重構(gòu)方法的步驟為: 步驟3-1將收集到的攻擊數(shù)據(jù)包根據(jù)first字段進(jìn)行分組,形成first字段不同的攻擊數(shù)據(jù)包集合��; 步驟3-2首先先找到tail字段等于0的攻擊數(shù)據(jù)包集合中的數(shù)據(jù)包���,取出其top字段�����,得到所有距離基站距離為0的簇頭節(jié)點(diǎn)ID集合Stl �����; 步驟3-3在集合Stl中選取簇頭節(jié)點(diǎn)標(biāo)記IDtl��,查找以其作為tail字段的數(shù)據(jù)包�,得到所有距離基站距離為I的簇頭節(jié)點(diǎn)標(biāo)記ID1, ID0和ID1就構(gòu)成了攻擊主干路徑上一條以ID1為起點(diǎn),ID0為終點(diǎn)的邊�����,并以此方法得出所有的邊����,重構(gòu)出候選攻擊路徑; 步驟3-4對(duì)上一步驟中得到的候選攻擊路徑�����,計(jì)算其權(quán)重���;并和無(wú)攻擊時(shí)的路徑權(quán)重進(jìn)行比較���,找出攻擊主干路徑�����; 步驟3-5在涉及攻擊路徑的分簇內(nèi)����,實(shí)施以簇頭節(jié)點(diǎn)作為根節(jié)點(diǎn)進(jìn)行寬度優(yōu)先搜索����,按distance值分成不同的集合,從距離distance = 0開(kāi)始,檢查數(shù)據(jù)包的start字段和end字段,構(gòu)成離簇頭節(jié)點(diǎn)最近的一條邊;重復(fù)邊的構(gòu)造直到distance達(dá)到可能的最大值為止����,從而構(gòu)造出該分簇內(nèi)的全部攻擊路徑信息���。
2.根據(jù)權(quán)利要求1所述的一種無(wú)線傳感器網(wǎng)絡(luò)中DDoS攻擊的追蹤方法�,其特征在于���,所述簇頭節(jié)點(diǎn)標(biāo)記概率P的取值為/7=7/ & 人其中/7為該無(wú)線傳感器網(wǎng)絡(luò)中的分組數(shù)����,A是一個(gè)常數(shù)�。
3.根據(jù)權(quán)利要求1所述的一種無(wú)線傳感器網(wǎng)絡(luò)中DDoS攻擊的追蹤方法��,其特征在于���,所述普通節(jié)點(diǎn)標(biāo)記概率/7的取值為其中 分簇內(nèi)普通節(jié)點(diǎn)數(shù)。
4.根據(jù)權(quán)利要求1所述的一種無(wú)線傳感器網(wǎng)絡(luò)中DDoS攻擊的追蹤方法��,其特征在于����,所述first字段、to p字段����、tail字段、start字段�����、end字段�����、distance字段各占兩個(gè)字節(jié)���。
全文摘要
本發(fā)明公開(kāi)一種無(wú)線傳感器網(wǎng)絡(luò)中DDoS攻擊的追蹤方法���,該方法將數(shù)據(jù)包進(jìn)行標(biāo)記�,并利用標(biāo)記過(guò)的數(shù)據(jù)包進(jìn)行溯源追蹤��,找出惡意攻擊節(jié)點(diǎn)�����,所述標(biāo)記方法是在數(shù)據(jù)包中設(shè)置六個(gè)標(biāo)記域的標(biāo)記信息(first���,top����,tail���,start,end��,distance)�,并對(duì)簇頭節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記和普通節(jié)點(diǎn)數(shù)據(jù)包標(biāo)記,然后通過(guò)路徑重構(gòu)發(fā)現(xiàn)攻擊路徑并進(jìn)行相應(yīng)處理��。該方法具有優(yōu)良的收斂性����,降低了攻擊源的不確定性����,并提高了抗干擾能力��。
文檔編號(hào)H04L29/06GK103249177SQ201210285818
公開(kāi)日2013年8月14日 申請(qǐng)日期2012年8月13日 優(yōu)先權(quán)日2012年8月13日
發(fā)明者倪彤光, 顧曉清, 李玉 申請(qǐng)人:常州大學(xué)