[发明专利]基于信号探测的无线MESH网络入侵的主动防护方法

权利要求书

1.一种基于信号探测的无线MESH网络入侵的主动防护方法，其特征在于：入侵攻击节点MC接入的网状路由器MR采用入侵检测技术发现入侵MC发动攻击后，该MR就进入相应的检测响应状态：将该入侵MC记入自己的黑名单并阻断其的接入，再向外传播该入侵MC信息；周围的MR接收到黑名单广播后，进入持续监听状态和采取相应措施；当入侵MC逃逸时，处于持续监听状态的部分MR会继续向外传播该入侵MC的信息，从而使得该入侵MC的攻击行为一旦被发现后，无论其如何逃逸，都会始终被移动的防火墙所包围；从而最大限度地消除该入侵MC对网络的不利影响，使得网络能够保持正常运转，同时，大大减少主动防护所需消耗的网络资源。

2.根据权利要求1所述的方法，其特征在于，所述方法至少包括下述步骤：

(1)入侵攻击节点MC接入的MR通过入侵检测技术，检测出该入侵MC，就将该入侵MC信息记录于自己的黑名单和阻断该入侵MC的接入，使得该入侵MC的攻击得到暂时的阻止；

(2)所述MR采用一跳广播黑名单，将该入侵MC信息告知邻居MR，同时该MR进入持续监听状态，以便发现该入侵MC再次发动攻击时，立刻进行阻击和避免二次检测的开销和时延；

(3)邻居MR接收到广播的黑名单后，将该入侵MC信息记录于自己的灰名单，并进入持续监听状态，开始监测该入侵MC的信号强度，以便预先对该入侵MC的攻击进行提防，并在其靠近后执行主动防御；此时，该入侵MC周围的MR都已处于持续监听状态，即各个MR都将该入侵MC放入自己的黑名单或灰名单，使得该入侵MC被其四周的防火墙所包围，无法实施其攻击行为。

3.根据权利要求2所述的方法，其特征在于：所述方法在入侵MC移动后，进一步包括下述步骤：

(5)所述入侵MC移动进入某个处于持续监听状态的MR通信范围后，该MR监测到该入侵MC的信号时，就根据持续监听状态的要求，将其转入自己的黑名单，并主动对其攻击进行阻击；

(6)该MR一跳广播发送黑名单，将该入侵MC信息预警告知自己周围的邻居路由器MR；

(7)各个邻居路由器MR都将该入侵MC放入自己的灰名单，并进入持续监听状态，从而预先对该入侵MC采取提防措施，并在其靠近后执行主动防御；这样，移动后的入侵MC周围的各个MR都将该入侵MC放入各自的黑名单或灰名单，并处于持续监听状态，从而在该移动的入侵MC外侧形成移动防火墙。

4.根据权利要求1所述的方法，其特征在于：所述方法是由无线MESH网络中的路由器MR执行检测及其相应措施，对于终端节点MC没有任何要求和不产生任何影响；每个MR负责维护两个恶意攻击节点名单：黑名单和灰名单。

5.根据权利要求4所述的方法，其特征在于：所述黑名单用于记录MR检测到的所有入侵MC，这些入侵MC包括两类：该MR自己检测出来的，或者是通过接收其它MR广播的黑名单而获知、再由自身检测到其入侵信号而确认的；所述灰名单用于记录MR通过接收其它MR的黑名单广播而获知、但暂时尚未检测到其入侵攻击信号的入侵MC。

6.根据权利要求4所述的方法，其特征在于：所述方法根据MC是否位于该MR的黑名单或灰名单，MR对于该MC分别采取两种防御方法：检测响应状态或持续监听状态；

所述检测响应状态是MR对于检测出入侵MC后的响应及其接收到广播的黑名单后的响应；当MR检测出与它连接的某个MC存在恶意攻击时，先将该MC记入自己的黑名单并阻断它的接入，然后一跳广播发送黑名单，以告知周围的邻居MR；当邻居MR接收到该广播的黑名单时，将广播报告的入侵MC记录到自己的灰名单，若其灰名单已经列有该MC，则不作变动并进入持续监听状态；

所述持续监听状态是MR对于自己黑名单和/或灰名单中的入侵MC的监测和检测到入侵信号后的响应：MR实时监听周围信号，当发现接收或监听的数据包是源自位于黑名单和/或灰名单中的入侵MC，则不给予其接入；而且，如果该入侵MC的来源是灰名单，就将其转入黑名单，并一跳广播发送黑名单，以通知自己周围的邻居MR。