关键字 |
| MANET, IP欺骗,DDoS(分布式拒绝服务),TTL(生存时间),UHCF(更新的跳数过滤器),(VT)可变阈值; |
介绍 |
| 网络按其通信支持质量的类型来划分,即有线或无线介质。在有线通信中,网络依赖于固定的设备和操作位置,而无线通信则是位置自由运动感知技术。以设备的移动性为主要因素,如今不同的网络为终端用户提供了独特的实用工具。该系统根据它们的传输介质工作,就像无线电波一样,是一种从10米到几百米/公里不等的短波。这些是GSM, MANET, WSN,蓝牙,Zigbee等等。无线移动自组织网络由一组移动主机组成,它们通过无线电传输进行通信,而不支持固定的路由基础设施。由于其简单的安排,它在军事和公民的情况下有很多请求。 |
| 这些用于信息交换的短期通信系统属于临时通信系统。自组织网络已经出现在研究台上很长一段时间了,但最近得到了更多的关注。各种无线接入技术的激增,完美的连接和无处不在,随时随地的计算通常被用作服务移动网络用户的范例。此外,宽带无线接入被描述为解决最后一英里问题的灵丹妙药。虽然无缝连接和宽带无线互联网接入的愿景很有吸引力,但它离现实还很遥远。由于行政性、专业性、效率性等原因,无线接入系统总体上无法满足持续、高传输容量、适度管理的保证。 |
| 中断识别或入侵检测框架是用来区分影响系统执行或造成不必要信息损失的异常活动结构和异常流量的工具。他们从源头、目标或一些有组织的小工具检查客户的练习,并重新设计他们的活动概要,让系统在不久的将来下降。在MANET中被认为是一个重要的部分,因为在这个中心的发展中,在系统管理拓扑中推出了快速的改进,从中衡量信息和中心的合法性是一个基本问题。大多数情况下,系统会受到各种攻击,它们的疏散都安排在这样的框架中。它们的本质是为信息传播的进展提供安全和保证信息的可访问性、保密性和可尊重性。入侵检测与移除系统一般分为误用检测和异常检测两类。它们被部署为基于网络的系统或[1]建议的基于主机设备的系统。 |
背景 |
| 考虑到入侵者的行为,这类攻击中最受利用的是IP欺骗。在这种情况下,正常流量通过输入一些发散的数据包被恶意修改,这些数据包的实际内容可能被修改。现在,在这些数据包进入所需事件和操作的操作之后,正式的请求或响应受到影响并开始拒绝服务。它也属于拒绝服务攻击的类别。他们管理洪水活动,解剖它们,让行政部门拒绝。IP恶搞经常与恶意行为联系在一起。它涉及到资产,否认了传播的真实征求。因此,以发送方或收集方对被嘲笑的IP包从诚实到善良的能力作为规避系统。通常情况下,攻击者可以通过改变包裹无法实现其目标枢纽的跳跃量(跳数)来篡改发送方或接收方数据。 |
| 此跳转包含数据的类型是IP头中可访问的TTL(生存时间)值。这里执行从其TTL值到其IP头和跳数[2]的映射。这样,服务器可以通过分析评估正常情况下跳数值的差异来识别真实信息和欺骗数据包。为了实现这一功能,实现或设计的功能被称为跳数过滤器(HCF)[3]。但也有一些问题需要解决才能彻底解决。由于TTL机制不受保护,恶意节点可以将收到的报文中的TTL人为地降低到较低的值[4]。报文可能达不到目的地址,导致DoS类攻击成功执行。本文提出了一种新颖的滤波方法,利用改进后的HCF函数进行滤波,并提出了一些新的假设,这是前人所没有采用的。 |
| 它从复杂的算法到基于TTL域的轻量级计算不等。跳数字段与IP报头[5]的TTL (Time to Live)字段有间接关系。现有的机制工作在接收端,可以推断生存时间(TTL)值,并可以检查一致性。如果TTL字段在单个会话中为不同的数据包给出不同的值,则不规则性普遍存在,可以怀疑入侵者试图与接收者建立连接。下面是[6]的一些TTL条件: |
| 平均TTL(简单TTL平均值),用于各种检测方法。 |
| •TTL的标准差。 |
| •不同TTL值的个数。 |
| •TTL变化数。 |
| 特定TTL范围的使用百分比{恶意流量倾向于将其TTL值设置为较低的值} |
| 跳数过滤器(Hop Count Filter, HCF)基于此TTL计算,并在两种状态下运行。在学习状态下,HCF监视异常TTL行为,不丢弃任何报文。当检测到攻击时,HCF会切换到过滤状态,丢弃跳数不匹配的IP报文[7]。本工作的目的是设计新的HCF机制,更新字段来处理现有的问题。 |
| 这项工作的目标是生成一个轻量级方案,在不使用任何加密方法或路由器支持的情况下,在移动网关处验证传入的网络数据包。目标不是实现完美的身份验证,而是在几乎没有附带损害的情况下筛选出大多数虚假流量。其基本思想是利用每个数据包携带的固有网络信息(攻击者无法轻易伪造这些信息)来区分假冒数据包和合法数据包。它可以被建模为一个多商品流动问题,易于实现。仿真结果表明,该算法具有较好的性能,为实现移动网络中的多媒体应用提供了有效的解决方案。 |
相关的研究 |
| 目前的工作涉及与安全和信息投放有关的不同问题。在这些问题中,有大量的创造者尝试着放弃捆绑包并提出各种方法去解决这些问题。目前所创建的组件主要存在计算时间长、非法包裹识别率低的问题。此外,在论文[8]中给出的方法中,作者提出了一种基于分布式概率的跳数过滤(DPHCF-RTT)策略,通过提高恶意包的识别率和缩短处理时间来增强上述限制。所给出的方法对于确定传输能力问题和利用往返时间(RTT)的资产利用率有一定的积极意义。RTT的结合提供了有价值的数据,提高了完全依赖跳数的概率DHCF程序的有效性。拟议计划的后续效应通过其巨大的识别率得到了证明。 |
| 传达了上述推荐的HCF和RTT的一部分创作者已经给出了更安全的系统针对每一个通信组件。这可以通过利用秘密渠道来实现。因此,论文[9]在IP头的生存时间(TTL)字段中给出了一个新的秘密通道。在这种情况下,发送方可以升级或更改将秘密数据传输到收集方的后续包裹的ttl。目前,为了提高安全性,需要对TTL升级数据进行成功的分解,以实现实时和精确的识别。创建者还讨论了通过一个新的IP头的生存时间(TTL)字段来免除和定位这个秘密通道的系统。早期的计算和ID证明了推荐方法的真实性和有效性。 |
| 目前经过上述思考,对包裹层面的剖析和观察是必要的,代表着更安全。这种在客户端服务器附近通道讽刺IP包的能力为Ddos攻击区分证明提供了一种进化方法。重点是观察IP头和时间相关的字段来计算反弹计数。攻击者可以升级IP头的任何字段,但他不能调整反弹记录到目标。更重要的是,由于跳数质量是不同的,攻击者不能随意模仿IP位置,同时保持可靠的跳数。基于这种认识,论文[10]提出了一种新的筛选过程,称为跳数过滤(HCF),它生成一个精确的IP到跳计数(Ip2hc)映射表,以发现和丢弃漫画IP包。HCF并不难表达,因为它不需要底层系统的任何支持。 |
| 上面的方法后来被创建者在[13]中提出的方法扩展,即在即兴系统(SAFE)中保护包裹转发,该方法利用基于臭名性的信任模型解决恶意包丢弃问题。它提供了两个基本的基本功能: |
| (i)监测系统中邻近枢纽的行为和 |
| (ii)计算它们的恶名质量,重点围绕观测提供的数据。 |
| 它还研究了如何在系统内部以可行的方式监督恶名数据。创建者同样也对不同的系统参数评估了所提议的方法。在入门级的工作中,方法是区分包级别的假。他们目不转睛地观察着彼此的行为,想找出闯入者的中心的证据。 |
| 漫画还可以用来识别有害的知识产权地块和位置。随后,一些组件需要计划,以加强这种包裹掉落情况和黑客。在此基础上,本文提出了一种新的组件,给出了一种区分活动检测和分离的方法。所提出的框架是用于检查系统及其运动,以定位不均匀演习的任何不良行为。如果不对服务器进行端口检查,IP欺骗是不够的。端口扫描可以识别所有端口在特定时间是否都是动态的,并可以通过捆绑后的噱头来批准攻击的存在。推荐的程序可以征用,另外同样组织,并在两端都有很好的效果。 |
| 在对不同的作品进行考察之后,本文将讨论部分关注的重点,并将以跳数和TTL入口为基础,概述减少恶意设计或入侵者造成的包裹掉落的新仪器。它提供了捕获和建议,即Internet服务器可以毫不费力地从Time-to-Live (TTL)字段收集跳转检查数据。上述字段来自IP头和识别哪个服务器可以从真正的蓝色客户端或集线器中分离被欺骗的IP数据包。 |
问题识别 |
| 在过去几年中,问题是使用TTL值和跳数的基础来解决的。但仍有一些需要更多的关注。让我们来看看由IP (Internet protocol header)的TTL字段直接或间接反映的跳数值。在此情况下,阻断路由设备在将数据包转发到下一跳后使值递减。在数据包到达目的地之前,当它们从一个节点或跳转移到另一个节点或跳时,跳数值每次都递减。传统的抗欺骗机制有跳数滤波(hop count filtering, HCF)等。但也有这种方法行不通的情况。 |
| 攻击的情况 |
| 由于对HCF设计和机制的各种调查和工作,发现大多数时候所有路由的TTL值都在30之间。此值是可还原性更改,但不超过最大限制。根据[16]的观察,部分IP报文的TTL (time-to-live)值出现异常,比初始TTL值下降了30个以上。这些数据包很可能是由特殊软件生成的。假设TTL值奇怪的IP报文是恶意报文。 |
| 这个HC值可以从IP报文中的TTL (Time to Live)字段推断出来。但HCF的工作存在以下问题,[17]尚未解决: |
| (i)忽略多路径可能性。 |
| (二)建立HC表的方法必须更加安全。 |
| (iii)缺乏能够检测网络变化的良好更新程序。 |
| (iv)减少预过滤功能后的包过滤和验证次数,降低计算成本[18]。 |
| (v)重量轻,易于检测,减少开销。 |
| 因此,上述所有问题都没有得到解决,并为各种研究人员开辟了工作领域。在此基础上,进一步研究了如何设计计算量更轻、计算量更小的新型HCF机制。建议的方法将通过最大限度地减少误报数量来提高网络的服务质量 |
提出工作 |
| 在[19]中提出UHCF后,UHCF的实施阶段涉及到系统的实际建设和安装。它是将设计转换为可执行软件系统的过程,并陷入不同的设计问题中。该工作需要对模型进行多次迭代才能产生一个工作程序。执行也会影响已开发的系统。通过观察恶意报文的生存时间(TTL)字段值及其与网络协议(IP)的映射关系,提出了一种检测恶意报文的新方法。它的工作原理是简单地假设一个IP包通过不到30个路由设备到达目的节点的最大时间。但并非每一种情况都是如此,有时由于组播路由或一些较长的路由,TTL值可能会超过30。在这种情况下,现有的HCF方法无法考虑这些情况,欺骗报文的检测是错误的。采用HCF方法的关键问题是TTL值反映数据必须通过的总跳数。以此为基础,提出了一种独特的解决方案,改进了现有方法的不同问题。 It performs the packet discrimination as a legitimate or spoofed. |
| 更新后的UHCF (hop count filtering)机制用于从大量合法报文中识别出欺骗报文。它有四个组成部分: |
| (i)源节点 |
| (ii)目的节点 |
| (3)网络 |
| (iv)更新的Hop Count Filter (UHCF)机制 |
| 该方法能够从大量的正常数据包中识别出欺骗数据包。现在的任务是提高方法的准确性。为此,进行了各种实验,并得到了规律的结果。在这项研究的初级层面上,这种方法似乎比任何现有的方法都能提供更好的结果。每当源想要评估任何数据包的真实性时,它就启动验证模块。最初源节点希望与目的节点通信,然后检查其路由表。如果找到条目,则在初始消息中更新TTL字段。如果没有找到条目,则发送多播探测RREQ消息到目的地。目的地在探测rerep消息中回复其IP地址、映射和所需的详细信息。路由表正在更新组播路由表项。 Total number of hops is the number of devices traversed during this data communications. A timer counter is attached with probe message so as to get the validity on time which verifies the route existence. |
| 到源节点的跳数= 255(默认初始值或通过表- i)-当前TTL值收到报文的跳数计算为t0-t。计算出跳数后,根据条件检查路径 |
| 检测路径长度(探测报文计算的存储跳数生存时间-当前报文测量的跳数生存时间)=可变阈值(0到组播路径数)&& <=30; |
| 此条件是验证TTL值,如果差分值小于30,则该路由为合法路由。但在某些情况下,也可以计算出组播路径各跳之间的平均可变阈值。因此,如果多播应答来了,那么这个条件被激活,它应该高于一个阈值。从这种多路径解决方案到更大的跳点也是可行的,这与过时的HCF机制不同。现在,如果上述条件被发现是正确的,那么这个数据包就被视为一个合法的数据包,否则它就是一个欺骗数据包。然后,这些信息被转发到每个邻居,以便在每个节点和设备上更新路由表和HCF值。 |
| 为了实现所需的系统,首先使用节点和上面定义的模拟所需的配置创建网络。系统内容是移动节点,它们之间可以自由地进行通信。每次路由发现开始时,网络中的节点都会向其邻居节点发送和接收RREQ报文。第一个时间节点向邻居节点发送RREQ报文,当节点向发送RREQ报文的节点发送RREQ报文时,创建第一个会话。为了实现上述开发的解决方案,使用了NS2模拟器,其详细的过程算法如下所示。 |
算法 |
| (i)发送组播探测报文 |
| (ii)应答组播探测报文(Route Hop Counts 1, Route Hop Count 2,.....路由跳数3) |
| (iii)在主机上创建跳数表(IP地址、跳数和低电平中断定时器) |
| (iv)探测消息应答以“时间限制(路径存在)”或“无效路径”形式出现 |
| (v)应用跳数过滤(是否检测欺骗报文) |
| (vi)跳数=初始TTL值-最终TTL值 |
| (vii)根据端口服务检查跳数 |
| (viii)在“当前TTL”中选择“TTL最小大于大于大于”的端口号 |
| (ix)对于接收到的报文,可以计算出跳数(hop count) = t0−t,例如,当主机收到一个TTL值为120 (t = 120)的报文时,表1中大于t的最小值为128 (t0 = 128)。因此跳数为8(128−120 = 8)。 |
| (x)到源节点的跳距= 255(默认初始值)-当前TTL值 |
| (xi)检测路径长度(探测报文计算的存储跳数生存时间-当前报文测量的跳数生存时间)=可变阈值(0到多重Cast路径数)&& <=30;报文合法; |
| (十二)其他 |
| 数据包被欺骗; |
| (xiv)通过更新告警信息通知他人(攻击确认) |
| (xv)如果差异<30数据包是合法的或其他欺骗 |
| (xvi)通过更新告警信息通知他人(攻击确认) |
绩效评价因素 |
| 为了衡量和比较所提出的UHCF方案的性能,本工作继续采用三个性能指标,首先是数据包交付比(PDR),定义了目的节点接收的数据包数量与源节点发送的数据包数量的比率。其次是路由开销(RO),它定义了与路由相关的传输(如RREQ、RREP、ACK、2ACK、S-ACK等)的数量的比例。第三是吞吐量,它提供了系统传输数据包的有效性。该机制能够根据攻击类型识别攻击。这可以在任何损坏或数据包掉落之前防止。根据网络密度的不同,可以进一步扩展到更多的参数。该算法还可以扩展到识别和防止更多的网络层攻击。为了模拟所提出的方法,通过编写TCL (Tool Command Language,工具命令语言)脚本创建场景,在脚本中创建15个节点,并指定覆盖范围和传输功率。脚本文件中还定义了其他组件,如天线类型、路由协议和队列类型。每个节点分配百分之百的能量。 |
表一:仿真环境 |
| 今后的研究结果将证明所提方案的有效性。对于网络仿真,有几种性能指标可以用来评估网络仿真的性能。在未来的模拟目的中,这项工作将使用七个性能指标来显示预期的结果。使用NS2的Xgraph实用程序绘制结果。 |
图1:UHCF仿真环境与场景 |
PDR (Packet Delivery Ratio)图 |
| 报文发送比是指从目的端接收的报文数与从源端发送的报文数的比值。数据包投递比越高,性能越好。 |
图1:建议与现有UHCF的PDR比率比较 |
| 图概述:由于PDR比率是用来识别使用数据包交付配给的方法的性能。它是发送的包数与接收的包数的比值。在理想情况下,它应该尽可能高。为了比较UHCF的建议工作,上图将结果解释为比现有方法更好的PDR比值。 |
| 吞吐量-这是网络的一个维度参数,它给出了用于有用传输的通道容量的一部分,在模拟开始时选择一个目的地,即数据包是否正确地交付到目的地的信息。 |
图2:拟建的超健康设施吞吐量与现有的超健康设施吞吐量的比较 |
| 图概述:作为吞吐量衡量传输效率在单位时间内成功交付数据包在指定的通道带宽。上面的图表显示了所建议的方法的有效性,并将其与现有的方法进行比较。该图解释了几个证明该方法正确的情况下的恒定吞吐量。 |
| 路由开销负载—路由负载是指路由报文总数与目的地接收的数据包总数的比值。生成的控制流量(以比特为单位)与交付的数据流量(以比特为单位)的数量。应考虑在执行建议方法时启动的额外负载比系统正常协议负载多的因素。 |
图3:提议的UHCF与现有AODV路由开销的比较 |
| 图摘要:上图通过与建议方法相关的最小路由开销来验证其结果。结果表明,与现有方法相比,该方法的复杂度大大降低。 |
| 由上述结果图可以看出,与现有机制相比,所提方法的能量需求要小得多。此外,该方法还证明了模拟的总体能量需求。通过减少能源消耗,整个网络的寿命也得到了提高。 |
结果分 |
| 1.UHCF的检出率始终在99%的最优值上下波动,是包过滤技术发展的良好标志。这是HCF和TTL相结合的结果,最大限度地防止了IP欺骗攻击。 |
| 2.大量的报文泛滥可能导致网络堵塞和服务器瘫痪,不能使受害服务器过载。但是,UHCF技术可以处理包泛洪,因为可以使用多达30个中间跳的分布式方式实现。 |
| 3.在现有的HCF技术中,并不是所有的数据包都在受害服务器上进行了检查。但是,在本文提出的UHCF技术中,对所有的数据包都进行了概率性的中间跳数检查。的行为。 |
工作的好处 |
| 主要工作将自己归类在MANET的IP欺骗领域。IP欺骗通常与恶意网络活动相关联,例如分布式拒绝服务(DDoS)攻击,通过耗尽受害者服务器或饱和到Internet的存根网络访问链路来阻止合法访问。通过IP地址和跳数之间的映射关系,服务器可以区分假冒IP报文和合法IP报文。在此基础上,本文提出了一种新的过滤技术,称为跳数过滤(Hop-Count filtering, HCF),它可以建立一个精确的IP到跳数映射表来检测和丢弃欺骗的IP数据包。 |
| 应用上述建议的方法后,有一些预期的好处措施: |
| •基于已识别的参数,早期有效地检测恶意行为。 |
| •耐延迟检测,降低数据丢失的概率。 |
| •使用性能检查操作及时触发攻击检测,降低路由开销。 |
| •之前没有参与网络的新节点的行为分析。 |
| •定期监控突然转换识别和误导性节点检测。 |
| •恶意节点在初始阶段本身被识别,并立即删除,使其不能参加进一步的过程。 |
结论 |
| 本文提出了一种新颖的更新跳数过滤(UHCF)系统,以解决IP包被解释和嘲笑所带来的问题。HCF分离能力的概述采用了实际包与被嘲笑包的分离状态。推荐的方法用于在信息交换的早期阶段区分DDoS攻击及其变体,从而降低不幸和攻击事件的可能性。该方法将TTL考虑作为工作的关键参数,并对当前的问题进行了改进,例如组播课程、制造等。这里的弹跳计数尊重是最后TTL尊重和开始TTL尊重的区别。无论如何,目前很少有问题没有解决,其结果是建议的方法。在工作的初始阶段,该方法似乎具有较高的准确性和较低的计算多面性来识别欺骗IP包。 |
参考文献 |
- 金灿灿,王海辉,申国光,â ' Â跳数过滤:有效防御DDoS欺骗流量Ãⅱ ' Â,在ACM, doi: 1581137389/03/0010, 2003年10月。
- S. S. Rana1和T. M. Bansod, â ' Â基于路由信息的IP欺骗攻击检测ÃⅱÂ′Â,《国际计算机工程与技术学报》,ISSN: 2278 - 1323,第1卷第4期,2012年6月。
- 3 .华培文,胡淑娟,â ' Â针对自组织网络路由协议的恶意攻击â ' Â,伦敦大学皇家霍洛威学院。
- B. R. Swain, B. Sahoo, â ' Â利用概率方法和HCF方法减少DDoS攻击和节省计算时间Ã①Â′Â, ieee国际先进计算会议(IACC 2009, doi: 978-1-4244-1888-6/08/, 2008。
- P. Sanjeevi, M.K.Nallakaruppan, U. SenthilKumaran, â ' Â移动互联网协议节点拒绝服务攻击的检测ÃⅱÂ′Â, inIJARCSSE, ISSN: 2277 128X,第3卷,第5期,2013年5月。pp 214-217
- E. K.约翰,S.塔辛,â ' Â网络中IP欺骗的有效防御系统Ã①Â′Â′,in ICAIT, doi: 0.5121/csit.2012.2416, 2012。185 - 193页
- V. Keermic, ÃⅱÂ ' Â检测DNS流量,检测僵尸网络ÃⅱÂ′Â, as GEANT3 JRA2 T4内部交付,2011。
- R. Maheshwari和C. R. Krishna博士,â ' Â利用基于概率的分布式跳数过滤和循环旅行时间来缓解DDoS攻击ÃⅱÂ′Â,《工程技术学报》(IJERT), ISSN: 2278-0181,第2卷第7期,2013年7月- 2013。1135 - 1140页
- S.詹德尔,G.阿米蒂奇,P.布兰奇,â ' ÂIP存活时间字段中的隐蔽通道Ãⅱ Â,斯威本科技大学。
- 王海华,陈昌明,申国光,Ã①Â′Â基于跳数过滤的IP欺骗流量防御â ' Â, IEEE/ACM网络事务,doi:10.1109/TNET.2006.890133,卷15,No..2007年2月1日Pp 40-53
- S.梅迪迪,M.梅迪迪,S.加维尼,â ' Â移动Ad-hoc网络中数据包错误处理的检测â ' Â,美国华盛顿州立大学,国家科学基金资助项目:CNS 0454416。
- Gergely, L. butyan, L. Dora, â ' Â无线网状网络链路状态路由中的错误行为路由器检测Ãⅱ‘’,IEEE学报,doi:978-1-4244-7265-9/10, 2010。
- Y.热巴希,V.E Mujica, C. Simons, D. Sisalem, â ' Â安全:安全的pAcketForwarding在ad hoc网络Ãⅱ ' Â,,德国柏林夫琅和费福库。
- S. J.邓普顿,K. E.列维特,â ' Â检测欺骗报文â ' Â, DARPA IA&S授权号:30602-00-C-0201,加州大学戴维斯分校计算机科学系。
- S. Akhter, J. Myers, C. Bowen, S. Ferzetti, P. Belko和V. Hnatyshin, â ' Â使用OPNET Modeler对带有IP欺骗和跳数防御措施的DDoS攻击建模â ' Â,罗文大学计算机科学系。
- 山田良,后藤良,â ' Â通过异常TTL值检测恶意IP报文ÃⅱÂ′Â,亚太先进网络学报(APAN), ISSN 2227-3026, doi:10.7125/APAN.34.4,卷34,2013年。27-34。
- S.拉吉舍提,P.萨布,K.斯里纳坦,â ' ÂDMIPS -防御IP欺骗的机制Ã①Â′Â,《中国科学院科学院学报》,2011。页276 - 291,
- 陈荣荣,朴俊明,R. Marchany, â ' ÂTRACK:一种防御分布式拒绝服务攻击的新方法ÃⅱÂ′Â′,见技术报告TR-ECE-06-02,电气与计算机工程系,2006年2月。
- G M Poddar和N Rastogi教授,â ' ÂUHCF:更新的跳数过滤器使用TTL探测和可变阈值欺骗数据包分离ÃⅱÂ′Â,《国际管理与技术新兴研究》ISSN: 2278-9359,第3卷第4期,2014年4月。
|
菜单
