技术领域
[0001] 本
发明属于
电子对抗技术领域,具体涉及一种基于链路层比特流盲分析的链路层接入机制分析方法。
背景技术
[0002] 本方法主要是在非合作方对链路层接入机制侦察技术进行研究,主要目标对象是无线自组织网络。无线自组织网络并不是由固定的网络
节点构成,其节点的拓扑结构可以随时地发生变化,对于处在移动中的网络节点,在没有布置好网络
基础设施的情况下,依然能够接入到网络中进行通信。因此它具有通信
质量高、传输能
力强等特点,在很多领域应用广泛。特别是在军事通信领域。无线自组织网络的这些特点也使得该类网络在军事通信领域的安全问题得到了重视。
[0003] 无线自组织网络中主要包括链路层多路
访问控制协议和网络层协议,其中链路层多路访问控制协议对网络系统的整体性能有着重要影响。网络节点会通过链路层协议规定的信道资源竞争方式获取信道资源,提高信道的利用率,进而保证网络质量。当节点获取信道资源之后,才可以与目标节点进行通信,作为非合作方,通过侦察获得目标所在网络的链路层接入机制,能够更精确的对目标进行侦察和攻击。
发明内容
[0004] 本研究方法可以通过对链路层比特流盲分析,对链路层接入机制进行分析。如图1所示,该图是方法整体
流程图,主要是描述链路层接入机制识别
算法的具体过程,传统链路层接入机制识别算法对于接入机制识别的研究有一定的限制条件,需要获得通信网络中两个节点的一个完整的通信过程,该过程包括发送方与接收方控制
帧的时间顺序,以及控制帧的方向。本方法针对该方法进行改进,通过对链路层大量比特流数据统计聚类,实现对比特流数据盲分析,找到链路层协议同步头,分割比特流,统计帧长分布,根据帧长区分控制帧和数据帧。通过对物理层提供的时间以及节点的数据信息,分析部分网络拓扑,找到
配对节点,再根据两个配对节点的链路层比特流信息数据,利用最长连续子串获得两个通信节点的控制帧和数据帧。根据获得的两个节点数据,根据控制帧与数据帧的时序关系与方向分析链路层接入机制。
[0005] 为了便于理解,下面对本发明将采用的算法进行说明:
[0006] Apriori算法在挖掘频繁集和关联规则领域中得到了广泛的应用。Apriori算法使用
剪枝算法减少频繁集数目对挖掘频繁集进行优化,大大节省了运算时间。Apriori算法主要分为两部分,如下图所示。第一部分设定最小支持度
阈值,挖掘频繁集,第二部分设定最小
置信度阈值,挖掘关联规则。
[0007] 下面为挖掘频繁集的伪代码。Lk表示包含k项的频繁集,supK表示Lk频繁集各项的支持度,由上述代码可知,包含k项的频繁集是由包含k-1项频繁集经过组合生成的。
[0008]
[0009] return L,supportData;
[0010] generateRules函数挖掘频繁集与之间有趣的关联规则,通过输入频繁项集合以及与之对应的支持度和最小置信度阈值,生成关联规则,伪代码如下:
[0011]
[0012]
[0013] 下面伪代码是计算关联规则置信度:
[0014]
[0015] 本发明的方法主要包括三部分,链路层比特流盲分析、物理层拓扑分析与节点配对以及链路层接入机制分析
[0016] S1、链路层比特流盲分析
[0017] 在通信场景中,可以获得网络节点的发送比特流以及时间戳信息,在链路层接入机制分析中,需要获取到控制帧与数据帧的帧长分布。链路层获得的比特流可能是多个帧连接形成的比特流,若要准确获得链路层帧长分布,区分控制帧和数据帧,在未知协议情况下,需要对链路层比特流进行盲分析,分析链路层帧的频繁集和关联规则,找到同步头分割连续帧,统计帧长分布进而区分控制帧和数据帧。如图2所示,面向比特流分帧主要分为比特流模式串频繁统计、筛选有效的频繁序列,并扩充频繁序列长度与基于
位置差的关联规则验证三个部分。
[0018] 比特流进行频繁统计:在比特流匹配过程中,采用多模式匹配算法只需要对输入的比特流扫描一次就可以获得模式串集的统计次数以及出现的位置。在设置Apriori算法中的最小支持度时,根据比特流模式串在比特流平均出现的次数为
[0019] (n-m+1)/2m
[0020] 把最小支持度设置为该数值,其中n代表比特流长度,m是当前模式串的长度。这样的设定可以保证不会统计过多的“伪频繁序列”,又可以保证特征序列不会被误判为非频繁序列。筛选有效的频繁序列,并扩充频繁序列长度:根据Apriori算法的原理,长频繁序列的子序列必定是频繁的,因此通过序列合并获得长频繁序列就是Apriori算法的一种剪枝思想。根据计算得到的短频繁序列,组合成新的长频繁序列。算法流程如图3所示:基于位置差的关联规则验证:衡量两个位置差为D的频繁序列的置信度公式:
[0021]
[0022] 其中pos(X)表示模式串X在比特流数据中出现的位置,P(pos(X)-pos(Y)==D)表示模式串X与模式串Y在比特流起始位置相差为D在比特流数据中出现的概率。根据最大堆原理,根据关联规则置信度选取前N个关联规则,然后根据关联规则直接切割比特流数据。把找到的关联规则当做同步头,将比特流数据分割成帧。根据分帧结果,得到帧长的分布规律,从而区分控制帧和数据帧。
[0023] S2、挖掘网络拓扑获得网络配对节点信息
[0024] 如图4所示,首先获取输入数据即网络节点的物理层消息序列,初始化各个支持度与置信度阈值,利用Apriori算法挖掘层次关系,组合各个聚类的层次关系,进而挖掘局部网络节点的拓扑。如图5所示,假设网络层次关系如该图所示。如图6所示,该图是各个节点的消息序列图。如表1所示:
[0025] 表1初始化各个节点消息序列
[0026]
[0027]
[0028] 该表是以A节点作为分隔条件的各个节点消息序列。1代表发送
信号,0代表无信号。统计各个节点发送消息的频数,得到频繁项集k-1支持度,如图7所示,该图是k-1频繁项集支持度。统计各个节点发送消息的频数,得到频繁项集k-1支持度,如图7所示,该图是k-1频繁项集支持度。选取合适的阈值之后得到频繁k-1项集:{{A},{B},{C},{D}}。在此基础上寻找候选的频繁k-2项集{{AB},{AC},{AD},{BC},{BD},{CD}}并计算他们的支持度和置信度,得到k-2频繁项集支持度,如图8所示。如图9所示,从该图中大致可以看出,在层次拓扑图中所处层次越高,k-1,k-2项集支持度越高;在层次拓扑中越相近的两个节点(如AB,BC),置信度越高;置信度反映了关联规则的强弱,置信度越高从属关系越明显。当两个节点跨层次时(如:AC),置信度反而下降;在置信度和支持度满足条件的情况下选出频繁k-1项集{{AB},{BC},{BD}},并产生候选频繁k-3项集{{ABC},{ABD}}。计算候选频繁k-3项集的支持度和置信度,如表2所示:
[0029] 表2初始化k-3频繁集支持度和置信度
[0030]
[0031] 由于支持度Support(R)和置信度Confidence(R)都满足:
[0032] Support(R)≥supmin
[0033] Confidence(R)≥confmin
[0034] 所以,可以判断该数据链的层次拓扑中有A->B->C和A->B->D的关系;因为层次比较低的节点在以A时隙为分割点的情况下不满足
[0035] Support(R)≥supmin
[0036] 根据上述方法,计算k-n(k>n)项集的支持度和置信度。根据此信息,可以判断出数据链的层次拓扑为从低层往高层的拓扑结构,如:
[0037] 此时要想获得{{E},{F},{G},{H}}的层次关系,就需要使分割点的层级级别降低并去除比新分割节点层次高的节点。例如,再选择B节点的时隙作为时隙分割点,那么就需要先去除A节点的时隙信息,避免增加挑选频繁项集的复杂度。如果先去除A的时隙信息,以B的时隙作为时隙分割点,得到剩余节点的时隙序列,如图10所示。通过计算,得到频繁k-1项集的支持度,如图11所示。如图12所示,该图是k-2频繁集支持度,由于所有平台的支持度都满足最小支持度的要求,所以继续求解频繁k-2项集的支持度,由于从第一次求解过程中已经求得节点B和节点CD的关系,所以在本次
迭代过程中可以不求B节点和节点CD的关系。从图中可以看出{CE},{CF},{DG},{DH}的支持度满足条件,那么将{{CE},{CF},{DG},{DH}}作为候选频繁k-2项集。得到的置信度如3所示。从表3中可以看出置信度满足条件,即存在层次关系{C->E},{C->F},{D->G},{D->H}:
[0038] 表3去除A k-2置信度
[0039]从属关系 置信度
{C->E} 0.6875
{C->F} 0.675
{D->G} 0.654
{D->H} 0.667
[0040] S3、基于通信行为分析链路层接入机制
[0041] 链路层接入机制控制帧组合方式主要分为:RTR(接收方主动)、RTS(接收方主动)、ACK、RTS/CTS+DS+ACK、RTS/CTS+ACK、RTS/CTS。
[0042] 避免数据帧的冲突是引入控制帧的目的,但是控制帧又会给网络带来一定的开销,因此并不是所有种类的帧都可以作为控制帧应用到链路层接入机制中,上文描述的链路层接入机制基本上涵盖了所有链路层接入机制控制帧的组合方式,从非合作方向分析链路层的接入机制,具有一定的完备性。
[0043] 由于接入机制的主要目的就是利用控制帧避免数据帧的冲突,因此在控制帧前面会出现用于节点接入的控制帧。并且控制帧与数据帧在时间轴上呈现一定的规律性,根据上一节获得配对节点以及链路层帧-时间二维图,可以对其规律性进行解析,进而对链路层的接入机制进行解析。
[0044] 如图13所示,上方表示控制帧由源网络节点发送,下方表示控制帧由目的网络节点发送。根据上面两节获得的两个节点数据帧与控制帧信息。首先分析帧长分布规律,如图14所示,该图是802.11的数据链路层帧长度进行统计。由图5-16可以看出,帧长为46个字节的帧出现的概率约为29%,其出现的概率最大,其次是帧长为52个字节的帧,其出现的概率约为21%。再次是帧长1585个字节的帧。
[0045] 由上述协议帧长度的分布可知,由于节点每一次发送数据帧都需要竞争一次信道。因此控制帧会以比较高的
频率出现在截获的所有数据帧中。由此可以根据数据的帧长度判断一个帧是数据帧还是控制帧。
[0046] 如图15所示,该图是链路层接入机制分析流程图。由该图可知对于前两节的处理结果,可以获得两个配对的网络节点一个时间段上的所有帧,包括控制帧和数据帧,将所有帧按照时间顺序进行排序预处理,首先判断上述帧中是否有控制帧,如果没有,则可以判断该协议的链路层接入机制不需要控制帧,直接接入网络,发送数据。如果有控制帧,将发送数据帧的网络节点当作发送方,并以该数据帧为参照,找到在该数据帧时间戳之前的第一个控制帧,然后判断该控制帧是否是发送方发送的控制帧,如果判断该控制帧是发送方发送,则判断该链路层接入机制为RTS或者RTS/CTS/DS的控制帧组合方式。如果判断该控制帧是接收方发送,则判断链路层接入机制是RTR或者RTS/CTS的控制帧组合方式。在判断出RTS或者RTS/CTS/DS控制帧的组合方式的情况下,找到在数据帧时间戳之间第二个出现的控制帧的方向,如果该控制帧是发送方发送,则判断链路层接入机制是RTS控制帧组合方式,否则就是RTS/CTS/DS控制帧组合方式。经过上述过程对链路层的接入机制有了初步的分析,分析出了所分析网络的链路层协议的接入机制方式,为之后对该网络的干扰和攻击提供了有价值的信息。
[0047] 本发明的有益效果为,从非合作
角度对接收到的网络中物理层和链路层信息进行处理,提取有效信息,分析出网络链路层的接入机制,为非合作方伪装通信和干扰提供基础条件。
附图说明
[0048] 图1链路层接入机制识别改进方法流程图
[0049] 图2比特流盲分析流程图
[0050] 图3拼接有效频繁集流程图
[0051] 图4拓扑分析流程图
[0052] 图5网络层次关系
[0053] 图6初始化各个节点消息序列图
[0054] 图7初始化k-1频繁项集支持度
[0055] 图8初始化k-2频繁项集支持度
[0056] 图9初始化k-2频繁项集置信度
[0057] 图10去除A后节点消息序列
[0058] 图11去除A后k-1频繁项集支持度
[0059] 图12去除A后k-2频繁项集支持度
[0060] 图13控制帧与数据帧时序方向图
[0061] 图14 802.11帧长分布
[0062] 图15链路层接入机制分析流程图
[0063] 图16接入机制分析结果图
具体实施方式
[0064] 下面通过实例详细说明本发明的工作流程:
[0065] 采用802.11链路层接入机制分析方法验证,通过NS2网络仿真
软件设定通信节点产生通信数据。
[0066] 首先需要对NS2中网络节点仿真场景和仿真参数进行设置,编写Tcl脚本方法件。选用场景为两个节点之间的通信行为,两个节点在彼此范围内直接通信。设置两个节点的物理层协议为与802.11协议的物理层协议,MAC层协议为需要验证的802.11MAC协议,网络层协议采用的是AODV路由协议。
[0067] 当上述参数设置完成后,开始仿真,产生通信数据文件,将文件经过处理后,将数据放到上一节算法中,结果如图16所示:
[0068] NS2仿真数据MAC协议采用的是802.11MAC协议,控制帧组合方式为RTS和CTS,上图显示的最终结果也为RTS/CTS,该算法的输出结果与实际结果匹配,说明该分析方法是有效的。
[0069] 图16是链路层接入机制分析结果图,首先统计出通信节点的所有帧,统计帧长分布规律,区分控制帧和数据帧,然后根据链路层接入机制分析算法,通过发送方数据帧之前两个控制帧的方向分析链路层接入机制控制帧的组合方式。由上图可知,该方法可以成功地分析出链路层接入机制控制帧的组合方式。
