23這三個步驟:
[0094]一�����、被監(jiān)測節(jié)點A是報文的源節(jié)點����,則進入步驟S421:由狀態(tài)2轉入終止狀態(tài)7�。
[0095]二�����、被監(jiān)測節(jié)點A是中間節(jié)點�,所述中間節(jié)點,是指被監(jiān)測節(jié)點A只是轉發(fā)了報文����。在接收報文時,被監(jiān)測節(jié)點A并不在監(jiān)測節(jié)點B的監(jiān)測區(qū)域內���,而是在轉發(fā)時才移動進入監(jiān)測節(jié)點B的監(jiān)測范圍內����,所以監(jiān)測節(jié)點B只有被監(jiān)測節(jié)點A轉發(fā)報文的狀態(tài)����,進入步驟S422:向相鄰的監(jiān)測節(jié)點查詢,如果相鄰的監(jiān)測節(jié)點收到所述報文�����,則由狀態(tài)2轉入狀態(tài)3,進入步驟S4220:將所述報文發(fā)送到監(jiān)測節(jié)點B�����,由狀態(tài)3轉入終止狀態(tài)7 ��;如果相鄰的監(jiān)測節(jié)點未收到報文�,說明沒有節(jié)點發(fā)送過此報文,是被監(jiān)測節(jié)點A編造了此報文���,則進入步驟S4221:發(fā)出編造告警���。
[0096]三、被監(jiān)測節(jié)點A不在報文地址列表中���,就是說被監(jiān)測節(jié)點A與報文沒有任何關系,但它又發(fā)出該報文��,即被監(jiān)測節(jié)點A假冒其它節(jié)點發(fā)送了這份報文�����,進入步驟S423:發(fā)出假冒告警���,其中�,所述報文地址列表位于報文中,包含源地址�、目標地址和路由中間節(jié)點地址。
[0097]本實施例中��,將整個網絡分為若干個區(qū)域�,并以每個區(qū)域的簇頭作為監(jiān)測節(jié)點,來負責侵入監(jiān)測的計算����,因而,不需要所有節(jié)點參與侵入監(jiān)測的計算��,從而能夠在保證侵入監(jiān)測信息收集完整全面的基礎上�,大大減少節(jié)點資源的消耗,提高監(jiān)測效率���。
[0098]本實施例提供了一種無線自組織網絡侵入監(jiān)測設備�����,包括:監(jiān)測模塊�、判斷模塊和處理模塊��,其中,監(jiān)測模塊�����,用于收集監(jiān)測節(jié)點收集的被監(jiān)測節(jié)點的行為信息�,所述監(jiān)測節(jié)點為網絡中每個區(qū)域的簇頭,監(jiān)測節(jié)點收集監(jiān)測區(qū)域內被監(jiān)測節(jié)點的行為信息;判斷模塊�����,用于根據被監(jiān)測節(jié)點的行為信息�����,判斷被監(jiān)測節(jié)點的行為是否合法�����,所述被監(jiān)測節(jié)點的行為信息包括接收和發(fā)送或轉發(fā)的報文等;處理模塊����,用于根據判斷結果進行處理���,當判斷結果為合法時��,正常結束���,停止對被監(jiān)測節(jié)點的監(jiān)測����,當判斷結果為不合法時���,認為被監(jiān)測節(jié)點的行為是侵入行為�����,發(fā)出告警����。
[0099]本實施例中���,所述監(jiān)測模塊還包括:分析模塊��,用于收集監(jiān)測節(jié)點記錄的被監(jiān)測節(jié)點的侵入次數和類型�����。
[0100]本實施例中�,所述無線自組織網絡侵入監(jiān)測設備,是基于有限狀態(tài)機的監(jiān)測設備����,即所述監(jiān)測設備是根據網絡的路由協(xié)議規(guī)范形成的有限狀態(tài)機,本實施例中所述路由協(xié)議為動態(tài)源路由協(xié)議(The dynamic source routing protocol���,簡稱DSR協(xié)議)�����,當然���,在其他實施例中也可以為其他路由協(xié)議,本發(fā)明并不僅限于此��。在DSR路由協(xié)議中���,節(jié)點可能收到并處理的報文包括:路由查詢報文��、路由回答報文�、路由出錯報文和數據報文����。
[0101]本實施例提供的無線自組織網絡侵入監(jiān)測設備,利用有限狀態(tài)機判斷被監(jiān)測節(jié)點的行為是否為侵入行為��,由于所述有限狀態(tài)機是按照路由協(xié)議形成的����,因而,不需要提取正常網絡運行時的數據進行分類訓練就能夠實時監(jiān)測侵入行為�����,更利于侵入監(jiān)測的實施���。
[0102]對所公開的實施例的上述說明�,使本領域專業(yè)技術人員能夠實現或使用本發(fā)明�。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下����,在其它實施例中實現。因此����,本發(fā)明將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍�。
【主權項】
1.一種無線自組織網絡監(jiān)測侵入的方法���,其特征在于,包括以下步驟: 1)將無線自組織網絡分為多個區(qū)域�,在每個區(qū)域的所有節(jié)點中選擇一個簇頭作為監(jiān)測節(jié)點,其余作為被監(jiān)測節(jié)點�; 2)在每個區(qū)域內,監(jiān)測節(jié)點實時收集被監(jiān)測節(jié)點的行為信息��,并根據行為信息是否符合路由協(xié)議規(guī)范來判斷被監(jiān)測節(jié)點是否受到入侵���,若受到入侵���,則進行報警,若沒有受到入侵�����,則停止對被監(jiān)測節(jié)點的監(jiān)測�; 3)每隔一定時間后更換新的監(jiān)測節(jié)點,并返回步驟2)��。2.根據權利要求1所述的一種無線自組織網絡監(jiān)測侵入的方法����,其特征在于����,所述的步驟1)中通過自由競爭的方法選擇簇頭�,具體包括以下步驟: 11)在第一預設時間內選擇最先向區(qū)域內其他節(jié)點發(fā)送告示報文的節(jié)點作為簇頭��,其他節(jié)點作為被監(jiān)測節(jié)點��,告示報文中含有本節(jié)點的ID; 12)當兩個節(jié)點同時收到對方的告示報文���,則以ID號較小的作為監(jiān)測節(jié)點���,ID較大的為被監(jiān)測節(jié)點; 13)當監(jiān)測節(jié)點離開本區(qū)域時�,重新按照步驟11)選擇新的監(jiān)測節(jié)點。3.根據權利要求1所述的一種無線自組織網絡監(jiān)測侵入的方法�,其特征在于,所述的步驟2)中���,路由協(xié)議規(guī)范包括動態(tài)源路由協(xié)議�����。4.根據權利要求1所述的一種無線自組織網絡監(jiān)測侵入的方法����,其特征在于,所述的步驟2)中�,行為信息為節(jié)點收到和處理的報文,包括路由查詢報文��、路由回答報文����、路由出錯報文和數據報文。5.根據權利要求4所述的一種無線自組織網絡監(jiān)測侵入的方法����,其特征在于,所述的步驟2)包括以下步驟: 21)在被監(jiān)測節(jié)點接收的查詢報文后��,判斷被監(jiān)測節(jié)點轉發(fā)或產生的回答報文是否符合路由協(xié)議規(guī)范���; 22)在被監(jiān)測節(jié)點接收的路由回答報文��、路由出錯或數據報文后��,判斷被監(jiān)測節(jié)點轉發(fā)或產生的回答報文是否符合路由協(xié)議規(guī)范����; 23)在被監(jiān)測節(jié)點發(fā)送報文后,判斷被監(jiān)測節(jié)點轉發(fā)或產生的回答報文是否符合路由協(xié)議規(guī)范���。6.根據權利要求5所述的一種無線自組織網絡監(jiān)測侵入的方法�,其特征在于�,所述的步驟21)具體包括以下步驟: 211)被監(jiān)測節(jié)點接收到路由查詢報文��; 212)被監(jiān)測節(jié)點根據接收到路由查詢報文產生路由回答報文���,并按照路由協(xié)議規(guī)范對路由回答報文進行檢查判斷是否合法�,若是��,則進行步驟217)����,若否,則進行步驟218); 213)當被監(jiān)測節(jié)點收到的是重復的路由查詢報文時���,進行步驟217); 214)當被監(jiān)測節(jié)點轉發(fā)路由查詢報文時����,則按照路由協(xié)議規(guī)范對路由回答報文進行檢查判斷是否合法,若是�,則進行步驟217),若否��,則進行步驟218); 215)當被監(jiān)測節(jié)點超出一定時間沒有動作時�,則向該被監(jiān)測節(jié)點相鄰的監(jiān)測節(jié)點查詢是否收到該被監(jiān)測節(jié)點的報文,若是��,則進行步驟216)�,若否,則進行步驟219); 216)若該報文為路由查詢報文��,則將該路由查詢報文發(fā)送到監(jiān)測節(jié)點��,返回步驟214)���,若該報文為路由回答報文���,則返回步驟212); 217)監(jiān)測正常結束,停止對被監(jiān)測節(jié)點的監(jiān)測���; 218)路由查詢報文部分字段被非法修改����,發(fā)出非法修改告警; 219)被監(jiān)測節(jié)點不參與路由轉發(fā)����,發(fā)出拋棄報文告警。7.根據權利要求5所述的一種無線自組織網絡監(jiān)測侵入的方法����,其特征在于,所述的步驟22)具體包括以下步驟: 221)被監(jiān)測節(jié)點接收到路由回答報文�����、路由出錯或數據報文����; 222)當該被監(jiān)測節(jié)點為報文的目標節(jié)點時�,進行步驟227); 223)當該被監(jiān)測節(jié)點轉發(fā)了報文時,則按照路由協(xié)議規(guī)范對報文進行檢查判斷是否合法��,若是�����,則進行步驟227)�,若否����,則進行步驟228); 224)當被監(jiān)測節(jié)點超出一定時間沒有動作時�����,則向該被監(jiān)測節(jié)點相鄰的監(jiān)測節(jié)點查詢是否收到該被監(jiān)測節(jié)點的報文�����,若是���,則進行步驟226)��,若否����,則進行步驟225); 225)發(fā)出拋棄報文告警���; 226)將該報文發(fā)送到監(jiān)測節(jié)點��,并且按照路由協(xié)議規(guī)范對報文進行檢查判斷是否合法��,若是����,則進行步驟227),若否��,則進行步驟228); 227)監(jiān)測正常結束����,停止對被監(jiān)測節(jié)點的監(jiān)測; 228)報文字段被非法修改��,發(fā)出非法修改告警�����。8.根據權利要求5所述的一種無線自組織網絡監(jiān)測侵入的方法�,其特征在于��,所述的步驟23)具體包括以下步驟: 231)被監(jiān)測節(jié)點發(fā)出報文��; 232)當被監(jiān)測節(jié)點為中間節(jié)點�����,轉發(fā)報文前不在監(jiān)測區(qū)域內��,轉發(fā)時進入監(jiān)測區(qū)域時,則向該被監(jiān)測節(jié)點相鄰的監(jiān)測節(jié)點查詢是否收到該被監(jiān)測節(jié)點的報文����,若是,則進行步驟233)�����,若否����,則進行步驟234); 233)將該報文發(fā)送到監(jiān)測節(jié)點,監(jiān)測正常結束���,停止對被監(jiān)測節(jié)點的監(jiān)測�����; 234)該被監(jiān)測節(jié)點沒有發(fā)出此報文�,判定被監(jiān)測節(jié)點編造了報文�����,發(fā)出編造告警�����; 235)判斷被監(jiān)測節(jié)點的地址是否在報文地址列表中,若是��,則返回步驟233)�,若否,則進行步驟236); 236)該被監(jiān)測節(jié)點假冒其它節(jié)點發(fā)送了這份報文��,發(fā)出假冒告警����。
【專利摘要】本發(fā)明涉及一種無線自組織網絡監(jiān)測侵入的方法,包括以下步驟:1)將無線自組織網絡分為多個區(qū)域�,在每個區(qū)域的所有節(jié)點中選擇一個簇頭作為監(jiān)測節(jié)點,其余作為被監(jiān)測節(jié)點�����;2)在每個區(qū)域內�����,監(jiān)測節(jié)點實時收集被監(jiān)測節(jié)點的行為信息��,并根據行為信息是否符合路由協(xié)議規(guī)范來判斷被監(jiān)測節(jié)點是否受到入侵����,若受到入侵,則進行報警��,若沒有受到入侵�����,則停止對被監(jiān)測節(jié)點的監(jiān)測����;3)每隔一定時間后更換新的監(jiān)測節(jié)點,并返回步驟2)�����。與現有技術相比��,本發(fā)明具有減少節(jié)點資源消耗����、提高監(jiān)測效率等優(yōu)點。
【IPC分類】H04L29/06, H04L12/24
【公開號】CN105491068
【申請?zhí)枴緾N201610017747
【發(fā)明人】陳海波, 鄭健, 王媚, 袁成, 談雪晶, 陳錦華, 陳寧, 謝宏文, 蔡惠萍, 李慕峰
【申請人】國網上海市電力公司
【公開日】2016年4月13日
【申請日】2016年1月12日