用于攻击检测的分布式投票机制制造技术

在一个实施例中，网络节点从相邻节点接收指示了可能的网络攻击的投票请求。网络节点基于投票请求来确定被用作分类器输入的特征值集。网络节点还通过使用作为本地分类器输入的特征值集来确定是否存在可能的网络攻击。网络节点还将指示可能的网络攻击是否被确定为存在的投票发送到相邻节点。

【技术实现步骤摘要】
【国外来华专利技术】本申请要求由Vasseur等于2014年5月9日递交的、美国专利申请号14/273,676、题为“DISTRIBUTEDVOTINGMECHANISMFORATTACKDETECTION(用于攻击检测的分布式投票机制)”的权益，其内容被通过引用结合于此。
本公开一般地涉及计算机网络，更具体地涉及使用分布式投票机制来执行攻击检测。
技术介绍
低功耗且有损网络(LLN)(例如，传感器网络)具有大量的应用(诸如，智能电网和智能城市)。LLN呈现出各种挑战(例如，有损链路、低带宽、电池操作、低存储器和/或设备的处理能力等)。改变环境条件还可能影响设备通信。例如，物理障碍(诸如，附近树木的树叶密度的改变、开门和关门等)、(诸如，来自其它无线网络或设备的)干扰的改变、介质的传播特性(诸如，温度或湿度的改变等)等等还呈现了对LLN的独特的挑战。在LLN情境下特别关注的一种类型的网络攻击是拒绝服务(DoS)攻击。通常，DoS攻击通过试图耗尽可用的服务资源(例如带宽、存储器等)来进行操作，从而防止合理的流量使用该资源。DoS攻击还可以是分布式的以对存在攻击进行隐藏。例如，分布式DoS(DDoS)攻击可以涉及多个发送恶意请求的攻击者，使得当攻击进行时更难进行区分。附图说明本文中的实施例可以通过结合附图参考以下描述而被更好地理解，其中，相似标号指示相同或功能上相似的元件，其中：图1示出了示例通信网络；图2示出了示例网络设备/节点；图3示出了示例消息；图4示出了图1的通信网络中的示例有向非循环图(DAG)；图5A-5B示出了检测并报告可能的网络攻击的示例；图6A-6E示出了使用分布式投票的攻击检测的示例；图7示出了用于使用分布式投票来检测攻击的示例简化过程；并且图8示出了参与用于攻击检测的分布式投票的示例简化过程。具体实施方式概述根据本公开的一个或多个实施例，第一网络设备通过执行分类器来检测可能的网络攻击。分类器被配置为基于输入特征集来从多个标签中选择标签。第一网络设备将投票请求发送到多个相邻的网络设备。投票请求标识可能的网络攻击。特定的相邻网络设备确定本地分类器的输入特征，并且使用本地分类器来生成关于可能的网络攻击的投票。第一网络设备从相邻网络设备中的一个或多个来接收关于可能的网络攻击的投票。然后，第一网络设备确认存在网络攻击，并生成攻击已经被检测的警报。根据各种实施例，网络节点从相邻节点接收指示了可能的网络攻击的投票请求。网络节点基于投票请求来确定被用作分类器输入的特征值集。网络节点还通过使用特征值集作为分类器输入来确定是否存在可能的网络攻击。网络节点还将指示可能的网络攻击是否被确定为存在的投票发送到相邻节点。详细说明计算机网络是由通信链路互连的节点和用于在末端节点(例如，个人计算机和工作站，或者诸如传感器等之类的其他设备)之间传输数据的区段的地理上分布式集合。许多网络类型是可用的，范围从局域网(LAN)到广域网(WAN)。LAN通常通过专用的私有通信链路来连接位于相同的一般物理位置(例如，建筑或校园)中的节点。另一方面，WAN通常通过长距离通信链路(例如，公用运营商电话线、光学光路、同步光学网络(SONET)、同步数字体系(SDH)链路或电力线通信(PLC)(诸如IEEE61334、IEEEP1901.2及其他))来连接地理上分散的节点。此外，移动Ad-Hoc网络(MANET)是一种无线ad-hoc网络，其一般地被认为是由无线链路连接的移动路由器(和相关联的主机)的自配置的网络，其联合形成了任意拓扑。具体地，智能对象网络(例如，传感器网络)是特定类型的网络，该网络具有空间上分布式的自主设备(例如，传感器、制动器等)，该空间上分布式的自主设备以合作的方式来对不同位置处的物理或环境条件，例如，诸如能量/功率消耗、资源消耗(诸如用于高级计量基础设施或“AMI”应用的水/气等)、温度、压力、振动、声音、辐射、运动、污染等进行监控。其他类型的智能对象包括，例如负责打开/关断发动机或执行任意其他动作的制动器。传感器网络(一种类型的智能对象网络)通常是共享介质网络(例如，无线网络或PLC网络)。就是说，除了一个或多个传感器，传感器网络中的每个传感器设备(节点)可以一般地被装备有无线电收发机或其他通信端口(例如，PLC、微控制器和诸如电池之类的能量来源。智能对象网络经常被认为是场域网(FAN)、邻域网(NAN)、个人局域网(PAN)等。一般地，智能对象节点(例如，传感器)上的尺寸和成本约束导致相应的资源(诸如，能量、存储器、计算速度和带宽)上的约束。图1是示例计算机网络100的示意框图，该示例计算机网络100示意性地包括由各种通信方法互连的节点/设备110(例如，如以下图2中所示出和描述的，被称为“根”、“11”、“12”…“45”)。例如，链路105可以是有线链路或共享介质(诸如，无线链路、PLC链路等)，其中，某些节点110(例如，诸如路由器、传感器、计算机等)可以(例如，基于距离、信号强度、当前操作状态、位置等来)与其他节点110进行通信。示意性的根节点(例如，FAN的场区域路由器(FAR))可以将局域网与WAN130进行互连，该WAN130可以容纳一个或多个其他相关的设备(例如，诸如网络管理服务器(NMS)、动态主机配置协议(DHCP)服务器、约束应用协议(CoAP)服务器等之类的管理设备或服务器150)。本领域技术人员将知道，任意数量的节点、设备、链路等可以被用于计算机网络，并且本文中所示出的视图是为了简单起见。此外，本领域技术人员还将知道，尽管网络以某一方向(具体地，用“根”节点)被示出，但网络100只是不意图限制本公开的示例图示。数据分组140(例如，流量和/或消息)可以使用预定义的网络通信协议(诸如，某些已知的有线协议、无线协议(例如，IEEEStd.802.15.4、WiFi、蓝牙等)、PLC协议或者合适情况下的其他共享介质协议)来在计算机网络100的节点/设备间进行交换。在该情况下，协议包括定义了节点如何彼此间进行交互的规则集。图2是可以被用以本文中所描述的一个或多个实施例(例如，如以上图1中所示的任意节点或设备)的示例节点/设备200的示意框图。设备可以包括由系统总线250互连的一个或多个网络接口210(例如，有线的、无线的、PLC等)、至少一个处理器220和存储器240、以及电源260(例如，电池、插件等)。(一个或多个)网络接口210包含用于通过耦合到网络100的链路105来传输数据的机械线路、电子电路和信令电路。网络接口可以被配置为使用各种不同的通信协议来发送和/或接收数据。还注意到，节点可以具有两种不同类型的网络连接210(例如，无线连接和有线/物理连接)，并且本文中的视图只是用于图示。此外，尽管网络接口210从电源260中单独被示出，但针对PLC(其中，PLC信号可以被耦合到注入电源的功率线)的网络接口210可以通过电源260进行通信，或者可以是电源的完整组件。存储器240包括多个可由处理器220和网络接口210寻址的存储位置以用于存储与本文中所描述的实施例相关联的软件程序和数据结构。注意到，某些设备可能具有有限的存储器或者没有存储器(例如，没有除了用于在设备和本文档来自技高网...

【技术保护点】
一种方法，包括：在第一网络设备处通过执行分类器来检测可能的网络攻击，其中，所述分类器被配置为基于输入特征集来从多个标签中选择标签；发送投票请求，所述投票请求标识了对多个相邻网络设备的所述可能的网络攻击，其中，特定的相邻网络设备确定本地分类器的输入特征，并且使用所述本地分类器来生成关于所述可能的网络攻击的投票；从所述相邻网络设备中的一个或多个中的每一个接收关于所述可能的网络攻击的投票；由所述第一网络设备，基于所述所接收的投票来确认存在所述网络攻击；以及由所述第一网络设备，生成攻击已经被检测的警报。

【技术特征摘要】
【国外来华专利技术】2014.05.09 US 14/273,6761.一种方法，包括：在第一网络设备处通过执行分类器来检测可能的网络攻击，其中，所述分类器被配置为基于输入特征集来从多个标签中选择标签；发送投票请求，所述投票请求标识了对多个相邻网络设备的所述可能的网络攻击，其中，特定的相邻网络设备确定本地分类器的输入特征，并且使用所述本地分类器来生成关于所述可能的网络攻击的投票；从所述相邻网络设备中的一个或多个中的每一个接收关于所述可能的网络攻击的投票；由所述第一网络设备，基于所述所接收的投票来确认存在所述网络攻击；以及由所述第一网络设备，生成攻击已经被检测的警报。2.如权利要求1所述的方法，其中，所述投票请求包括所述输入特征集的值的集，所述输入特征被用于在所述第一网络设备处检测所述可能的攻击。3.如权利要求2所述的方法，其中，特定的投票由特定的相邻网络设备使用所述输入特征集的值来生成，所述输入特征由所述相邻网络节点进行观测。4.如权利要求2所述的方法，其中，特定的投票由特定的相邻网络设备使用所述输入特征集的值的集来生成，所述输入特征被包括在所述投票请求中。5.如权利要求1所述的方法，其中，所述网络攻击在计时器超时之后被确认。6.一种方法，包括：在网络节点处，从相邻节点接收指示了可能的网络攻击的投票请求；基于所述投票请求，确定被用作本地分类器输入的特征值集；由所述网络节点，通过使用所确定的特征值集作为所述本地分类器的输入来确定是否存在所述可能的网络攻击；以及由所述网络节点，将指示可能的网络攻击是否被确定为存在的投票发送到所述相邻节点。7.如权利要求6所述的方法，还包括：确定所述分类器与由所述投票请求指示的分类器的类型相匹配。8.如权利要求6所述的方法，还包括：通过对到所述相邻节点的通信链路进行观测来生成特定的特征值。9.如权利要求6所述的方法，其中，所述投票请求包括所述一个或多个特征值集。10.如权利要求6所述的方法，其中，所述投票指示了所述投票是基于由所述网络节点所观测的特征值还是基于被包括在所述投票请求中的特征值。11.一种装置，包括：一个或多个网络接口，所述一个或多个网络接口与低功耗且有损网络(LLN)进行通信；处理器，所述处理器被耦合到所述网络接口并且适应于执行一个或多个处理；和存储器，所述存储器被配置为存储可由所述处理器执行的处理，当所述处理被执行时，可操作为：通过执行分类器来检测可能的网络攻击，其中，所述分类器被配置为基于输入特征集来从多个标签中选择标签；发送投票请求，所述投票请求标识了对多个相邻网络设备的所述可能的网络攻击，其中，特定的相邻网络设备确定本地分类器的输入特征，并且使用所述本地分类器来生成关于所述可能的网络攻击的投票；从所述相邻网络设备中的一个或多个中的每一个接收关于所述可能的网络攻击的投票；基于...

【专利技术属性】
技术研发人员：让菲利普·瓦瑟尔，安德里亚·蒂·彼得罗，哈维尔·克鲁兹·摩塔，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国;US