[发明专利]一种无线传感器网络中DDoS攻击的追踪方法

说明书

技术领域

    本发明属于网络安全技术领域，尤其是一种针对无线传感器网络中分布式拒绝服务攻击（DDoS）攻击的攻击源追踪方法。

背景技术

无线传感器网络作为计算机、通信和传感器三项技术结合的产物，在国防军事、环境检测、交通管理等众多领域极具应用前景。近来倍受世人关注且成为未来五大网络趋势之一的物联网，其关键的实现技术之一就是无线传感器网络，这也使得无线传感器网络成为计算机科学领域一个活跃的研究分支。

无线传感器网络是由大量部署在监测区域内的微型传感器节点组成，通过无线通信方式形成的一个多跳的自组织网络系统。无线传感器网络中的网络模型主要有分布式和层次式两大类。当无线传感器网络规模较大时一般采用层次式网络模型。在层次式网络模型中，整个网络被分为很多簇，其结构如图2(a)所示。该网络以簇为基本单位，一个簇相当于一个子网络，它由簇头节点和普通传感器节点组成。簇头节点需要协调簇内节点的工作，负责数据的融合和转发。每一个簇头节点可以定义一个标记，记为ID，这些簇头ID不能相同，每个簇内的普通传感器节点也可标识其ID，在一个簇内这些ID也是唯一的。

由于无线传感器网络往往被部署在无人职守的开放式环境中，同时单个传感器节点的能量和存储空间有限，因此它很容易受到攻击者的恶意攻击，而分布式拒绝服务攻击（DDoS）则是一种无线传感器网络中常见并危害极大的攻击手段。通常，攻击者通过干扰无线信道，大量插入或丢弃报文等手段发起攻击，消耗传感器节点有限的资源，使得网络部分或者全部瘫痪。因此，当传感器网络被用于具有重要使命的场景中时，如军事上的战场监视、商业上的小区无线防护等等，如何对DDoS攻击采取有效措施就非常重要。

目前国内外已对DDoS攻击检测和溯源进行了大量的研究，提出了很多方法，基本上分成“单独生成追踪信息专用数据包”和“数据包标记”两大类。前者会增加传感器节点的带宽负担，消耗传感器节点资源，实际使用效果不佳。后者都是在2000年Savage等人提出的“边采样”标记方法的基础上发展起来的。Savage等人提出的“边采样”概率包标记方法，适用于传统的IP网络中，路由器以一定的概率对数据包进行标记，标记内容包括攻击路径上任两个路由器的地址，即攻击路径上的“边”以及“边”到攻击目标的距离。被攻击者根据受到的标记过的数据包中的相应信息进行攻击路径的恢复。这种传统的“边采样”标记方法要想移植到无线传感器网络中，存在以下两个问题：

1）传统的“边”由路由器地址构成，无线传感器网络中是不存在路由器的，取而代之的是传感器节点。传统的“边采样”标记方法无法直接在无线传感器网络中使用。

2）传统的“边采样”标记方法效率不高，特别是存在多条攻击路径时。事实上，DDoS攻击必定会当存在多条攻击路径，每条路径发起的DDoS攻击的强度是不等的。如何在众多的攻击路径中找出威胁最大的攻击源并最先对其处理，降低误报率，是尚未解决的问题。

发明内容

基于现有技术中的上述问题，本发明提出了一种新颖的无线传感器网络中的数据包标记方法，该方法将数据包进行标记，并利用标记过的数据包进行溯源追踪，找出恶意攻击节点。

本发明的技术方案是：一种无线传感器网络中DDoS攻击的追踪方法，依次进行标记方法和路径重构方法，其特征在于：

所述标记方法是在数据包中设置六个标记域的标记信息（first,top,tail,start,end,distance），其中first字段表示攻击数据包所经过的第一个簇头节点的ID；top字段表示攻击数据包被标记后，经过的第一个簇头节点的ID；tail字段表示top的下一个簇头节点ID；start字段表示在分簇内存放边的起始点的普通节点ID；end字段表示在分簇内存放边的终点的普通节点ID；distance字段表示start字段和最近的簇头节点top字段的距离；其标记步骤包括簇头节点数据包标记方法和普通节点数据包标记方法；

所述簇头节点数据包标记方法的步骤为：

步骤1-1 收到数据包的簇头节点，首先检查标记信息中的first字段，如果不为0，就将该簇头节点的ID写入first字段，并且first字段不能被后续的节点重新标记：

步骤1-2 当决定以簇头节点标记概率p标记数据包时，簇头节点将数据包中的first字段外的全部字段清空，并将其ID写入top字段和start字段；