[发明专利]无线Mesh网络入侵检测系统及其检测方法

说明书

技术领域

本发明涉及的是一种网络安全技术领域的装置及方法，具体是一种无线Mesh网络入侵检测系统及其检测方法。

背景技术

无线Mesh网络(Wireless Mesh Network，WMN)，是一个动态自组织的网络。网络中的节点自动建立并保持与其他节点间的连接。这些特点给WMN网络带来了许多特点，诸如较低的前期成本、鲁棒性和可靠的服务覆盖范围。然而，无线Mesh网络因其开放的无线信道、合作的路由算法、缺乏集中监控等特点导致其受到网络入侵的风险性和机会急剧增多，设计安全措施来发现并清除入侵者是无线Mesh网络安全领域的一个十分重要而迫切的问题。然而要想完全避免网络受到攻击并不现实，因此要通过入侵检测系统来发现入侵行为，以便采取合适的措施来修复受到入侵的网络。

传统的入侵检测方法依赖于已知的异常行为方式，并根据监测到的事件特征进行检测。如果攻击者的行为是检测系统已知的，那么这种方法具有较高的检测率和较低的虚警率。但是随着攻击种类的多样化，很多新的攻击行为不能为这种系统检测出来。

经对现有技术的文献检索发现，易平等(易平、吴越、柳宁等，基于有限状态机的入侵检测技术，无线自组织网络入侵检测方法，中国，发明专利，200810041454，2009.1.7)提出了一种基于有限状态机的无线自组织网络入侵检测系统。发明者设计了一种将检测者的监听状态定义为有限状态机的入侵检测算法。检测节点根据其所监听到的被检测节点的报文进行自身的监听状态转移，若监听过程中检测节点转移到异常状态，则怀疑此时被检测节点为嫌疑恶意节点，并产生相应的告警。这种检测方法能够发现未知攻击方式，但是由于路由协议描述的是被检测节点的行为，因此在此发明中，必须将描述被检测节点合法行为的路由协议转译为描述检测者监听状态的有限状态机，将不可避免产生失真，影响检测的效果。

发明内容

本发明针对现有技术存在的上述不足，提供一种无线Mesh网络入侵检测系统及其检测方法，通过建立节点假人使得路由协议状态机能合适地运用于入侵检测中，为检测节点进行检测提供检测依据；通过采取入侵检测系统部署策略，解决由于无线Mesh网路中入侵检测不准确的问题；通过开启检测系统时机的选择，可以减少整体入侵检测对网络的资源消耗。

本发明是通过以下技术方案实现的：

本发明涉及一种无线Mesh网络入侵检测系统，包括：数据收集模块、检测记录模块、节点假人管理模块、特征检测模块和响应模块，其中：数据收集模块将检测节点的收发报文和监听报文生成副本并输出至节点假人管理模块，检测记录模块记录检测节点的所属区域检测情况记录并通过维护检测记录识别已检测节点并据策略可减少检测范围，节点假人管理模块产生状态转移事件并输出至特征检测模块，响应模块与特征检测模块相连接并接收特征检测模块发出的告警信息并在网络中检测出恶意节点时启动，检测记录模块与数据收集模块相连接并接收数据收集模块发出的已检测节点的信息，所述的节点假人是指：用于入侵检测需要而创建出的虚拟网络节点，用于判断被检测节点是否在网络中有异常行为。

所述的节点假人管理模块包括：资源模拟子模块、事件生成子模块、状态机管理子模块和异常处理子模块，其中：资源模拟子模块接收数据收集模块发出的检测节点的收发报文副本和监听报文副本并模拟节点假人资源使用情况，状态机管理子模块接收事件生成模块发出的状态转移事件，异常处理子模块接收状态机管理子模块发出的异常告警信号。

所述的资源模拟子模块采用有限状态机的方式对模拟节点假人的行为建模并模拟资源使用情况以及对异常行为进行检测；该有限状态机由一个有向图形，由一组节点和一组相应的转移函数组成。

本发明涉及上述系统的检测方法，包括如下步骤：

步骤一，首先根据无线Mesh网络的路由协议形成有限状态机，具体是指：为网络中每个检测节点创建节点假人，然后由节点假人加载路由协议产生的有限状态机程序并利用检测节点感知到的检测对象的报文作为状态转移的条件，当节点假人每次行为后仍处于正常状态范围内则其映射的被检测节点没有发生异常，当转移到异常状态，表明其映射的被检测节点进行了不符合协议的异常行为；

步骤二，部署入侵检测系统，确定进行入侵检测的节点，具体是指：使用分布式协作入侵检测，对每个节点设置入侵检测代理，以便为与该节点有相邻报文交互的临近节点建立节点假人或建立基于移动Agent的入侵检测架构；然后在状态机入侵检测网络中划分区域，每个区域内含有一个以上装载有入侵检测代理的节点。