攻击检测方法、装置及系统制造方法及图纸

本申请实施例提供一种攻击检测方法、装置及系统，可以检测RPL路由协议中的多种安全攻击，降低攻击检测过程中的网络传输开销。该方法中，根节点接收第一信息，该第一信息通过M个监控节点监控N个业务节点的DIO消息获取，该N个业务节点属于第一DODAG，M个监控节点属于第二DODAG，第一DODAG用于业务传输，第二DODAG用于监控第一DODAG，根节点为第一DODAG和第二DODAG的根节点，M、N为正整数；之后，根节点根据第一信息确定N个业务节点中的恶意节点。第一信息确定N个业务节点中的恶意节点。第一信息确定N个业务节点中的恶意节点。

【技术实现步骤摘要】
攻击检测方法、装置及系统


[0001]本申请涉及通信领域，尤其涉及攻击检测方法、装置及系统。

技术介绍

[0002]基于互联网协议的版本6(internet protocol version 6，IPv6)的低功耗有损网络的路由协议(routing protocol for low-power and lossy networks，RPL)，是IPv6无线个人区域网络(IPv6 over Low power wireless personal area network，6LoWPAN)中使用的主要路由协议。使用RPL路由协议建立的网络拓扑可以为一个或多个目标导向的有向无环图(destination oriented directed acyclic graph，DODAG)，网络中的各节点、节点与外网之间均通过DODAG通信。示例性的，基于RPL路由协议建立的网络拓扑可以如图1所示。
[0003]在网络拓扑建立的过程中，首先可以确定一个或多个根节点。根节点工作后向周围节点发送DODAG信息对象(DODAG information object，DIO)消息；网络中除根节点外的其他节点可以根据DIO消息以及目标函数选择父节点，然后计算自身的Rank值向周围节点发送DIO消息，最终构建完整的DODAG。此外，非DODAG根节点选择父节点后，可以通过其父节点发送目的地通告(destination advertisement object，DAO)消息至DODAG根节点，使得根节点获知整个DODAG的拓扑。
[0004]然而，RPL路由协议仍存在安全问题。例如，恶意节点在DIO消息中承载虚假Rank，实现对子节点的吸引，影响DODAG拓扑，从而影响数据传输，增加网络传输开销；或者，恶意节点通过更新DIO消息中的目的地通告触发序列号(DAO trigger sequence number，DTSN)，触发大量无意义的路由更新，增加网络传输开销。

技术实现思路

[0005]本申请实施例提供一种攻击检测方法、装置及系统，可以检测RPL路由协议中的多种攻击，降低攻击检测过程中的网络传输开销。
[0006]为达到上述目的，本申请的实施例采用如下技术方案：
[0007]第一方面，提供了一种攻击检测方法。该方法中，根节点接收第一信息，该第一信息通过M个监控节点监控N个业务节点的DIO消息获取，该N个业务节点属于第一DODAG，M个监控节点属于第二DODAG，第一DODAG用于业务传输，第二DODAG用于监控第一DODAG，根节点为第一DODAG和第二DODAG的根节点，M、N为正整数；根节点根据第一信息确定N个业务节点中的恶意节点。
[0008]基于该方案，通过监控节点来监控业务节点，使得监控节点可以获取业务节点的DIO消息，由于DIO消息中包括Rank值或DTSN等信息，因此监控节点向根节点发送的第二信息可以指示业务节点的Rank值或DTSN，从而使得根节点可以根据一个或多个第二信息确定发起Rank攻击或DTSN攻击的恶意节点，即可以使得根节点检测到Rank攻击或DTSN攻击，从而进行相应处理。综上，本申请的方案可以用于检测RPL中的多种攻击，此外，在攻击检测过
程中不会增加业务网络的传输开销。
[0009]在一些可能的设计中，第一信息包括N个业务节点中每个业务节点的Rank值。基于该可能的设计，可以使得根节点获取每个业务节点的Rank值，从而根据Rank值检测Rank攻击。
[0010]在一些可能的设计中，根节点根据第一信息确定N个业务节点中的恶意节点，可以包括：根节点根据第一信息确定一个或多个潜在恶意节点，该潜在恶意节点为N个业务节点中Rank值与参考Rank值不同的业务节点；根节点将该一个或多个潜在恶意节点中Rank值最小的潜在恶意节点，确定为恶意节点。基于该可能的设计，由于恶意节点发起Rank攻击后可以吸引其他节点选择恶意节点为父节点，因此，选择恶意节点为父节点的业务节点的Rank值不会大于恶意节点的Rank值，从而，潜在恶意节点中Rank值最小的潜在恶意节点即可确定为恶意节点。
[0011]在一些可能的设计中，根节点根据第一信息确定N个业务节点中的恶意节点，包括：在第一业务节点的Rank值小于或等于第二业务节点的Rank值的情况下，根节点将第一节点确定为恶意节点，第一业务节点为N个业务节点中的业务节点，第二业务节点为第一业务节点的父节点。基于该可能的设计，根节点在确定恶意节点时，无需计算个业务节点的Rank值，仅需进行比较运算，可以降低根据节点的计算复杂度。
[0012]在一些可能的设计中，第一信息包括一个或多个潜在恶意节点的Rank值，该潜在恶意节点为N个业务节点中Rank值与参考Rank值不同的业务节点；根节点根据第一信息确定N个业务节点中的恶意节点，包括：根节点将一个或多个潜在恶意节点中Rank值最小的潜在恶意节点，确定为恶意节点。基于该可能的设计，根节点无需确定潜在恶意节点，可以降低根节点的处理压力。
[0013]在一些可能的设计中，第一信息包括一个或多个候选恶意节点的标识，该候选恶意节点为监控节点根据业务节点的Rank值或业务节点的拓扑关系确定的该N个业务节点中的恶意节点。基于该可能的设计，根节点无需进行潜在恶意节点、候选恶意节点等的判断，可以降低根节点的处理压力和功耗。
[0014]在一些可能的设计中，该攻击检测方法还可以包括：根节点向M个监控节点中的每个监控节点分别发送各个监控范围内的属于第一DODAG的业务节点的参考Rank值。基于该可能的设计，可以使得监控节点根据业务节点的参考Rank值确定潜在恶意节点或候选恶意节点，从而减轻根节点的处理压力。
[0015]在一些可能的设计中，该攻击检测方法还可以包括：根节点向M个监控节点中的每个监控节点分别发送各自监控范围内的属于第一DODAG的业务节点的拓扑关系。基于该可能的设计，可以使得监控节点根据业务节点的拓扑关系确定候选恶意节点，从而减轻根节点的处理压力。
[0016]在一些可能的设计中，第一信息包括第三业务节点的标识和第三业务节点的DTSN，第三业务节点为该N个业务节点中的业务节点；根节点根据第一信息确定N个业务节点中的恶意节点，包括：在第三业务节点的DTSN与根节点确定的最新的DTSN不同的情况下，根节点将第三业务节点确定为恶意节点。基于该可能的设计，可以使得根节点检测到DTSN攻击或识别恶意节点。
[0017]第二方面，提供了一种攻击检测方法。该方法中，监控节点根据K个业务节点的DIO
消息确定第二信息，该第二信息用于确定恶意节点，该K个业务节点位于该监控节点的监控范围内，该K个业务节点属于第一DODAG，监控节点属于第二DODAG，第一DODAG用于业务传输，第二DODAG用于监控第一DODAG，第一DODAG的根节点和第二DODAG的根节点相同，K为小于或等于N的正整数，N为第一DODAG包括的业务节点的总数；监控节点向根节点发送第二信息。...

【技术保护点】

【技术特征摘要】
1.一种攻击检测方法，其特征在于，所述方法包括：根节点接收第一信息，所述第一信息通过M个监控节点监控N个业务节点的有向无环图信息对象DIO消息获得，所述N个业务节点属于第一目标导向的有向无环图DODAG，所述M个监控节点属于第二DODAG，所述第一DODAG用于业务传输，所述第二DODAG用于监控所述第一DODAG，所述根节点为所述第一DODAG和所述第二DODAG的根节点，M、N为正整数；所述根节点根据所述第一信息确定所述N个业务节点中的恶意节点。2.根据权利要求1所述的方法，其特征在于，所述第一信息包括所述N个业务节点中每个业务节点的Rank值。3.根据权利要求2所述的方法，其特征在于，所述根节点根据所述第一信息确定所述N个业务节点中的恶意节点，包括：所述根节点根据所述第一信息确定一个或多个潜在恶意节点，所述潜在恶意节点为所述N个业务节点中Rank值与参考Rank值不同的业务节点；所述根节点将所述一个或多个潜在恶意节点中Rank值最小的潜在恶意节点，确定为所述恶意节点。4.根据权利要求2所述的方法，其特征在于，所述根节点根据所述第一信息确定所述N个业务节点中的恶意节点，包括：在第一业务节点的Rank值小于或等于第二业务节点的Rank值的情况下，所述根节点将所述第一业务节点确定为所述恶意节点，所述第一业务节点为所述N个业务节点中的业务节点，所述第二业务节点为所述第一业务节点的父节点。5.根据权利要求1所述的方法，其特征在于，所述第一信息包括一个或多个潜在恶意节点的Rank值，所述潜在恶意节点为所述N个业务节点中Rank值与参考Rank值不同的业务节点；所述根节点根据所述第一信息确定所述N个业务节点中的恶意节点，包括：所述根节点将所述一个或多个潜在恶意节点中Rank值最小的潜在恶意节点，确定为所述恶意节点。6.根据权利要求1所述的方法，其特征在于，所述第一信息包括一个或多个候选恶意节点的标识，所述候选恶意节点为所述监控节点根据所述业务节点的参考Rank值或所述业务节点的拓扑关系确定的所述N个业务节点中的恶意节点。7.根据权利要求5或6所述的方法，其特征在于，所述方法还包括：所述根节点向所述M个监控节点中的每个监控节点分别发送各自监控范围内的属于所述第一DODAG的业务节点的参考Rank值。8.根据权利要求6所述的方法，其特征在于，所述方法还包括：所述根节点向所述M个监控节点中的每个监控节点分别发送各自监控范围内的属于所述第一DODAG的业务节点的拓扑关系。9.根据权利要求1所述的方法，其特征在于，所述第一信息包括第三业务节点的标识和所述第三业务节点的目的地通告触发序列号DTSN，所述第三业务节点为所述N个业务节点中的业务节点；所述根节点根据所述第一信息确定所述N个业务节点中的恶意节点，包括：在所述第三业务节点的DTSN与所述根节点确定的最新DTSN不同的情况下，所述根节点
将所述第三业务节点确定为所述恶意节点。10.一种攻击检测方法，其特征在于，所述方法包括：监控节点根据K个业务节点的有向无环图信息对象DIO消息，确定第二信息，所述第二信息用于确定恶意节点，所述K个业务节点位于所述监控节点的监控范围内，所述K个业务节点属于第一目标导向的有向无环图DODAG，所述监控节点属于第二DODAG，所述第一DODAG用于业务传输，所述第二DODAG用于监控所述第一DODAG，所述第一DODAG的根节点和所述第二DODAG的根节点相同，K为小于或等于N的正整数，N为所述第一DODAG包括的业务节点的总数；所述监控节点向所述根节点发送所述第二信息。11.根据权利...

【专利技术属性】
技术研发人员：王东晖，马吉德，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：