用于移动Ad Hoc网络的路由入侵检测系统的制作方法
【技术领域】
[0001]本发明涉及移动Ad Hoc网络领域,具体是涉及一种用于移动AdHoc网络的路由入侵检测系统。
【背景技术】
[0002]移动Ad Hoc网络是一种无需基础设施、自组织、网络拓扑动态变化的无线多跳对等网络,具有快速组网、配置方便、成本低、抗毁性能好等优点,移动Ad Hoc网络中每个节点同时是一个路由器。在战术通信、商业民用领域、抢险救灾等场合的应用越来越广泛。然而,和其他网络相比,正是由于其独有的特性给移动自组网带来了节点间协作、路由、安全等多种新问题。其中,选择合适的路由及路由信息的维护是提供正常网络服务的基础,对网络拓扑的维护尤为重要。移动Ad Hoc网络中任何节点都可能参与路由,很容易遭受外部或内部的攻击,因此路由安全研宄是移动Ad Hoc网络进一步发展的关键问题之一。作为入侵防御机制的加密、认证等技术虽然在自组网路由安全中广泛应用,但是对来自网络内部的攻击却无能为力,这就需要将行为检测和响应技术与之互为补充,共同保障路由安全。
【发明内容】
[0003]本发明的目的是为了克服上述【背景技术】的不足,提供一种用于移动Ad Hoc网络的路由入侵检测系统,能够快速、准确检测出攻击,节省节点的资源开销,缩短恶意节点在AdHoc网络中的驻留时间,有效提高整个Ad Hoc网络的安全性。
[0004]本发明提供一种用于移动Ad Hoc网络的路由入侵检测系统,包括本地入侵检测装置和全局入侵检测装置,
[0005]所述本地入侵检测装置包括本地收集单元、本地检测单元、本地响应单元和本地轮廓数据库;所述本地检测单元包括本地审计模块、本地异常检测模块、本地误用检测模块和本地反馈模块;
[0006]所述全局入侵检测装置包括全局检测接口、全局收集单元、全局检测单元、全局响应单元、全局投票单元和全局轮廓数据库;所述全局检测单元包括全局审计模块、全局异常检测模块、全局误用检测模块和全局反馈模块;
[0007]所述本地收集单元用于:监控基于Ad Hoc网络的数据源,收集入侵检测所需的原始数据,并将收集的原始数据发送给本地审计模块;
[0008]所述本地审计模块用于:对本地收集单元发来的原始数据进行特征提取和预处理,将原始数据的格式转换为本地异常检测模块和本地误用检测模块需求的格式,并将转换格式后的数据发送给本地异常检测模块、本地误用检测模块和本地反馈模块;
[0009]所述本地异常检测模块用于:根据支持向量机SVM算法对本地审计模块发来的数据进行异常测试,并将测试结果发送给本地反馈模块;
[0010]所述本地误用检测模块用于:根据SVM算法对本地审计模块发来的数据进行误用测试,并将测试结果发送给本地反馈模块;
[0011]所述本地反馈模块用于:根据本地异常检测模块和本地误用检测模块发来的测试结果,判断Ad Hoc网络中是否存在恶意节点,当AdHoc网络中存在恶意节点时,向本地响应单元发送入侵报警,并生成初级朋友列表,将初级朋友列表和本地审计模块发来的数据发送给全局轮廓数据库;
[0012]所述本地响应单元用于:将本地反馈模块发来的入侵报警在AdHoc网络中广播,并将恶意节点从Ad Hoc网格中移除;
[0013]所述本地轮廓数据库用于:将本地反馈模块发来的初级朋友列表和数据发送给全局检测接口;
[0014]所述全局检测接口用于:将本地轮廓数据库发来的初级朋友列表和数据发送给全局收集单元;
[0015]所述全局收集单元用于:将全局检测接口发来的初级朋友列表和数据发送给全局审计模块;
[0016]所述全局审计模块用于:对全局收集单元发来的数据进行特征提取和预处理,将数据的格式转换为全局异常检测模块和全局误用检测模块需求的格式,并将转换格式后的数据发送给全局异常检测模块和全局误用检测模块,将全局收集单元发来的初级朋友列表发送给全局反馈模块;
[0017]所述全局异常检测模块用于:根据SVM算法对全局审计模块发来的数据进行异常测试,并将测试结果发送给全局反馈模块;
[0018]所述全局误用检测模块用于:根据SVM算法对全局审计模块发来的数据进行误用测试,并将测试结果发送给全局反馈模块;
[0019]所述全局反馈模块用于:根据全局异常测试模块和全局误用检测模块发来的测试结果,判断Ad Hoc网络中是否存在恶意节点,当AdHoc网络中存在恶意节点时,向全局响应单元发送入侵报警,并生成直接朋友列表,同时根据全局审计模块发来的初级朋友列表中各节点间的信任关系生成间接朋友列表,将直接朋友列表和间接朋友列表发送给全局投票单元;
[0020]所述全局响应单元用于:将全局反馈模块发来的入侵报警在AdHoc网络中广播,并将恶意节点从Ad Hoc网格中移除;
[0021]所述全局投票单元用于:接收全局反馈模块发来的直接朋友列表和间接朋友列表,根据直接朋友和间接朋友的关系对每个节点投票,决定每个节点最终的信任等级,并生成信任等级表,将信任等级表发送给全局轮廓数据库;
[0022]所述全局轮廓数据库用于:存储全局投票单元发来的信任等级表。
[0023]在上述技术方案的基础上,所述本地反馈模块根据本地异常检测模块和本地误用检测模块发来的测试结果,判断Ad Hoc网络中是否存在恶意节点,当Ad Hoc网络中不存在恶意节点时,生成初级朋友列表,并将初级朋友列表和本地审计模块发来的数据发送给全局轮廓数据库。
[0024]在上述技术方案的基础上,所述全局反馈模块根据全局异常测试模块和全局误用检测模块发来的测试结果,判断Ad Hoc网络中是否存在恶意节点,当Ad Hoc网络中不存在恶意节点时,生成直接朋友列表,同时根据全局审计模块发来的初级朋友列表中各节点间的信任关系生成间接朋友列表,将直接朋友列表和间接朋友列表发送给全局投票单元。
[0025]与现有技术相比,本发明的优点如下:
[0026](I)本发明先通过本地入侵检测装置快速识别初级朋友节点,再通过全局入侵检测装置对初级朋友节点进行综合检测,最终确定节点是否为真正的朋友节点,并生成每个朋友节点的信任等级,能够快速检测出攻击,节省节点的资源开销,缩短恶意节点在A d Ho c网络中的驻留时间,有效提高整个Ad Hoc网络的安全性。
[0027](2)本发明采用朋友机制,将网络中的节点分为直接朋友和间接朋友,通过直接朋友和间接朋友的互通合作关系,有效抵御节点间各持己见引起的决策权问题及网络中自私节点和共谋欺骗节点的恶意行为,有效提高检测的可靠性。
[0028](3)本发明在检测时不需要签名管理、信任管理和检测引擎预定义等复杂技术的支持,通过使用SVM(Support Vector Machine,支持向量机)算法和朋友机制,能够快速高效的从大量冗余数据中选择出相关性特征,系统计算资源消耗较低,实时性强,灵活性高。
【附图说明】
[0029]图1是本发明实施例中用于移动Ad Hoc网络的路由入侵检测系统的结构框图。
【具体实施方式】
[0030]下面结合附图及具体实施例对本发明作进一步详细描述。
[0031]参见图1所示,本发明实施例提供一种用于移动Ad Hoc网络的路由入侵检测系统,包括本地入侵检测装置和全局入侵检测装置。
[0032]本地入侵检测装置包括本地收集单元、本地检测单元、本地响应单元和本地轮廓数据库;本地检测单元包括本地审计模块、本地异常检测模块、本地误用检测模块和本地反馈模块。
[0033]全局入侵检测装置包括全局检测接口、全局收集单元、全局检测单元、全局响应单元、全局投票单元和全局轮廓数据库;全局检测单元包括全局审计模块、全局异常检测模块、全局误用检测模块和全局反馈模块。
[0034]本地收集单元用于:监控基于Ad Hoc网络的数据源,收集入侵检测所需的原始数据,并将收集的原始数据发送给本地审计模块。
[0035]本地审计模块用于:对本地收集单元发来的原始数据进行特征提取和预处理,将原始数据的格式转换为本地异常检测模块和本地误用检测模块需求的格式,并将转换格式后的数据发送给本地异常检测模块、本地误用检测模块和本地反馈模块。
[0036]本地异常检测模块用于:根据支持向量机SVM算法对本地审计模块发来的数据进行异常测试,并将测试结果发送给本地反馈模块。
[0037]本地误用检测模块