无线局域网中抵御DDoS攻击的安全框架

### 无线局域网中抵御 DDoS 攻击的安全框架 #### 1. 引言 如今，互联网已成为日常生活的必需，其用途远超娱乐范畴，还能助力完成诸如资金转账、账单支付、票务预订、教育分析、学习观点交流、商业活动以及媒体报道等日常事务。计算机网络主要分为有线网络和无线网络两种基本类型，其核心目标是实现资源共享。 在计算机网络里，节点借助光纤、双绞线和同轴电缆等线缆建立连接，通过数据链路进行数据交换。而无线网络（WLAN）则无需线缆连接，它通过频率信号搭建网络，利用诸如 WIFI 这类特定区域（范围），让用户无需物理连接就能接入互联网服务（“WIFI”即无线保真）。计算机网络中的节点或主机包括台式电脑、手机和服务器等，每个节点都有一个独特的代码，即 MAC 地址。早期，由于众多网络设备制造商销售交换机、路由器等设备，网络呈现出多样化的发展态势。 根据不同需求，有多种无线网络系统可供选择，如 WLAN、WPAN、WMN 和 WSN 等。然而，无线网络存在显著的安全隐患，特别是一些依赖无线介质的攻击，这是传统网络所没有的。常见的传统 DDoS 攻击包括乒乓效应、中间人攻击、耗尽攻击、碰撞攻击、无线电干扰、信号干扰、噪声干扰、不公平攻击、PAN ID 冲突、捕获攻击和篡改攻击等，这些攻击主要发生在物理层（PHY）和介质访问控制层（MAC）。无线介质带来了一系列攻击，传统防护技术难以有效应对。分布式拒绝服务（DDoS）攻击是其中突出的一类，它针对系统或用户域缓冲区，会阻止合法节点的收发数据。在无线环境中，攻击者可能会抢占通信信道，阻碍合法节点通信。由于无线网络基于开放介质构建，入侵者容易实施此类攻击。简单的 DDoS 攻击就能突破无线网络的加密和密码共享等防御机制，导致整个网络瘫痪。因此，为了抵御攻击影响，必须开发高效的应对措施，增强网络安全性。 #### 2. 相关工作 - **Poongodi 等人**：提出了一种有效保护数据免受选择性丢弃攻击的方法，即抗选择性丢弃攻击（RSDA）技术。在选择性丢弃攻击中，相邻节点可能不会如实将信息传递给下一个节点，恶意节点会阻碍特定转发消息，最终使主机吞吐量降至最低。 - **Shivam Dhuria 和 Sachdeva**：引入了一种有效保护无线传感器网络（WSNs）的模型。该模型包含两种方法，一是轻量级双向认证方法，可使 WSNs 抵御大多数攻击；二是基于流量分析的数据过滤方法，能识别并抵御 DDoS 攻击。通过网络模拟器 2（NS2）的多个性能指标，如吞吐量、延迟、丢包率、能耗和数据包交付率（PDR），验证了该模型的有效性。 - **Qazi 等人**：提出了一种保障无线传感器网络安全的方法。该方法利用椭圆曲线数字签名（ECDSA）算法，不仅确保了节点间的通信安全，还节省了节点内存空间，能正确计算密钥生成时间、“你好”消息数量和数据包大小。同时，无线安全通信算法（ASCW）提供了合适的密钥长度管理，有助于保护节点级通信，增强网络安全性，并通过认证过程降低网络风险和安全成本。 - **Kshirsagar 等人**：为移动自组织网络（MANET）提出了一种模型。MANET 是一种无需预先通信基础设施的移动节点通信网络，该模型与现有路由协议兼容，采用可信列表的概念构建安全通信路径。通过信任和能量模型，分别确定网络的安全性以及节点的自私性和利他性。 - **Kolandaisamy 等人**：介绍了一种检测分布式拒绝服务攻击（DDoS）的方法。该方法综合考虑多种变量确定数据包的可信度，并据此做出决策。所提出的 SPPA 模型基于 CCA 的估计值来检测 DDoS 攻击，评估每个车辆或节点的行为，确定其真实权重，进而判断是否为入侵者。 - **Amrish 等人**：提出了一种检测 DDoS 攻击的解决方案。分布式拒绝服务（DDoS）网络攻击旨在使目标服务器过载，阻止正常流量。该方案使用机器学习方法区分正常流量和 DDoS 攻击流量，采用了四种机器学习分类方法，其中人工神经网络（ANN）在与 KNN、决策树和随机森林的对比中表现最佳。 - **Smys**：引入了一种检测通信网络中 DDoS 攻击的模型。通信网络易受多种网络威胁，其中分布式拒绝服务（DDOS）攻击最常影响用户服务访问。该模型结合神经网络和支持向量机，实现了对通信系统中 DDOS 攻击的检测和分类，并使用 NS2 进行性能评估。 #### 3. 提出的模型 随着互联网使用需求的增长，计算机用户数量急剧增加。笔记本电脑和个人数字助理（PDA）的快速普及，让人们可以在学校、学院、商业中心甚至家中等更多场所进行计算任务。由于无线网络能提供移动性，人们都希望接入。然而，考虑到这类网络的安全性，消息安全是首要问题，因为网络中用户众多，无线网络易受各种攻击，影响网络正常运行。分布式拒绝服务攻击是网络中的主要威胁之一，它会干扰网络服务，在数据路由过程中可能篡改数据，对移动网络构成重大威胁。 为保障网络安全，提出了一种针对无线网络 DDoS 攻击的安全框架。该框架主要分为四个阶段： - **阶段一：DDoS 攻击实施** DoS 攻击是使整个网络瘫痪的常见手段，通过发送恶意请求，DoS 或 DDoS 攻击会耗尽网络资源，影响网络可用性。DDoS 攻击由多个节点协同发起，增加了攻击的威力。为了深入了解 DDoS 攻击对网络的影响，在无线网络中实施攻击模型。初始阶段，在正常的按需距离矢量（AODV）路由协议基础上实施攻击模型，设定 25 个节点，其中 20 个为正常节点，5 个为攻击节点。 - **阶段二：攻击检测** 此阶段基于数据传输过程中的数据包丢弃率来检测 DoS 攻击。每个数据包丢弃时，路由标志设为 1，表示发生丢包。同时，为每个节点设置初始信任值为 0，每当出现正向标志 1 时，信任值增加。当节点的信任值超过特定阈值，该节点将被判定为攻击节点，并保存到文本文件中。 - **阶段三：攻击消除** 检测到攻击节点后，此阶段将其从网络中移除。系统先读取保存攻击