[发明专利]检测对移动网络的攻击的系统、方法和计算机可读介质

说明书

描述了一种用于检测对移动网络的攻击的系统、方法和计算机可读介质。该系统包括用于执行各种操作的相关硬件和部件，所述操作包括连续测量网络中各节点处的时变信号。所述系统确定网络中所有节点的时变信号上的网络流量，并且如果网络流量超过预定的阈值，则检测到网络攻击。此外，如果网络流量超过预定的阈值，则启动反应式协议。

政府权利

本发明是在美国政府合同号AFRL-FA875014-C-0017下凭借政府支持进行的。政府对本发明享有一定权利。

相关申请的交叉引用

这是2015年3月18日提交的美国临时申请第62/135151号的非临时专利申请，其整体通过引用并入本文。

技术领域

本发明涉及一种用于检测对移动ad hoc网络(MANET)的攻击的系统，更具体地，涉及一种用于通过识别网络中发出可疑活动信号的动态结构依赖性变化来检测攻击的系统。

背景技术

MANET是使用对等通信和协作来跨网络(从源节点到目的地节点)中继数据的移动无线网络。由于移动无线网络拓扑的动态性质，在控制信息的隐式信任和共享的模型上建立管理如何跨网络中继数据的协议，这使得它们特别难以抵御对该控制信息的攻击。虽然当前网络协议栈通常为在节点对之间传输的数据提供安全(例如，加密)，但网络控制信息必须对协作的节点可见，这使得网络很难安全(即，网络无法避免“网络知情人”攻击)。被俘节点(compromised node)可以(例如，通过将自己宣传为到达网络中的每个其它节点的最快路由，但是丢弃其获得的每个分组，这被称为黑洞攻击)发送不良信息来破坏网络的操作。这种攻击通常可以在不违反协议的情况下执行，因此用常规技术难以检测。

为了检测对这样的网络的攻击，已经采用了各种技术。例如，签名检测是使用先验已知的特定攻击模式的技术(这对于未知攻击无效)。异常检测使用分类器；然而，有效的分类器由于网络动态而难以构建，并且它们具有低至中等精度。免疫是学习识别外来行为的另一种技术。免疫的问题是该方法是协议特定的，难以制定，并且具有高计算开销。被称为扩展有限状态机(FSM)模型的另一种技术检测协议状态转换中的显式违规；然而，扩展FSM方法是协议和实现特定的。

值得注意的是，没有其它方法使用图形理论和信息动态分析来识别不良行为节点。在信息动态领域中，由Argollo de Meneze等人发表的出版物示出了基于网络中节点处的信号的值计算的特定度量的计算(参见所并入的参考文献的列表，参考文献1)。该度量与信号的外部和内部波动有关，但与移动ad hoc网络(MANET)的机制(machinery)无关，也与攻击检测无关。

移动无线网络中不良行为节点的检测的当前研究仍然主要集中在调整和优化专注于网络栈的较低层处的行为的常规网络防御策略。对策略(诸如签名检测、统计异常检测以及基于规范的检测)的研究已经证明对于特定的攻击和网络情况是有效的，但对于更一般的情况的适用性已经证明是难以捉摸的。网络科学在网络安全方面的应用只是最近在对逻辑和物理网络两者的建模方法(参见参考文献2)的突破之后才被意识到，其中，连接性和动态根本不同。将这项突破性工作扩展到移动无线网络的挑战性环境(特别是在规模和复杂性的现实世界假设下)尚未得到研究。

由此，持续需要一种用于通过识别网络中发出可疑活动信号的动态结构依赖性变化来检测对移动ad hoc网络的攻击的系统。

发明内容

本公开提供了一种用于检测对移动网络的攻击的系统。在一些方面，该系统包括一个或更多个处理器和存储器，该存储器是具有编码在其上的可执行指令的非临时性计算机可读介质。在执行指令时，一个或更多个处理器执行若干操作，包括：连续测量网络中各节点处的时变信号；确定网络中所有节点的时变信号上的网络流量(network flux)；如果网络流量超过预定阈值，则检测到网络攻击；以及如果网络流量超过预定阈值，则启动反应式协议。