Ａｄ ｈｏｃ網絡入侵檢測體系結構

摘要：分析了當前主流Ad hoc網絡入侵檢測體系結構，給出了一種新的劃分簇的策略和簇頭選擇方法。分析和實驗表明該方法可以減少簇頭節點的數量，延長網絡的生存時間。

關鍵詞：自組織網絡； 入侵檢測； 多層入侵檢測系統； 簇

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001-3695(2007)11-0114-03

移動Ad hoc網絡是由具有無線通信能力的移動節點組成的，具有任意和臨時性網絡拓撲的動態自組織網絡系統，適合于戰場、災難救援和臨時應急通信等場合。與有線網絡相比，Ad hoc網絡面臨更為嚴峻的安全問題：節點更容易被入侵；無線連接容易被竊聽和干擾；節點的能源、計算資源和帶寬有限；缺乏明顯的邊界和防火墻之類的安全設施；所有節點均直接暴露在攻擊者面前。目前，Ad hoc網絡安全的研究大多集中在安全路由方面，旨在通過認證、完整性確認等手段排除攻擊的干擾，建立正確的路由。但是攻擊手段層出不窮，再安全的協議也有被突破的可能，所以保證Ad hoc網絡的安全不能單純依靠這種被動防御的方法。網絡安全理論和實踐證明，一個有效網絡安全策略應符合P2DR模型，入侵檢測及響應能夠及時發現入侵行為并采取應對措施，是保障網絡安全的一個重要手段，在Ad hoc網絡中也是必需的。

與有線網絡環境下相比，入侵檢測在Ad hoc網絡中的應用面臨更多的困難：Ad hoc網絡沒有集中網絡流量的地方，無法集中進行監控；正常節點與惡意節點之間行為區別不夠明顯；移動設備只有有限的資源和帶寬，入侵檢測系統要考慮節省資源和帶寬。可見，攻擊Ad hoc網絡要比攻擊有線網絡容易且有效得多，而傳統的防御方式并不能很好地發揮作用。所以必須根據Ad hoc網絡的特點在已有的入侵檢測技術的基礎上建立新的入侵檢測體系結構，選取適合Ad hoc網絡的審計數據和檢測算法。

1相關研究

目前關于Ad hoc網絡入侵檢測的研究主要集中在體系結構和檢測算法兩個方面。

Ad hoc網絡入侵檢測體系結構方面典型的研究包括S. Marti提出的watchdog[1]。該方法的優點是實現和部署簡單，但是每個節點只有本地數據，因此將影響檢測效率，資源消耗比較大。Zhang Yong－guang等人在文獻[2]中提出了一個入侵檢測的體系結構，其中使用投票機制實現節點間的協同檢測。該結構能夠利用各個節點共同檢測到的入侵信息，檢測能力有了提高，但資源消耗仍然較大。Huang Yi－an等人[3]提出了MANET中基于簇的入侵檢測(cluster－based intrusion detection)。在一個簇中同時只有一個節點(即簇頭)在進行入侵檢測，而所有節點在一般情況下被選為簇頭的概率是相同的；但是沒有考慮到各個節點間的資源不同、可信性不同等情況。

Ad hoc網絡人侵檢測算法方面的研究主要有：Zhang Yong－guang等人提出的一種基于RIPPER分類器的檢測方法；Deng Hong－mei等人[4]提出的基于支撐向量機(SVM)的檢測算法；Sarafijanovic等人[5]引入了人工免疫系統(artificial immune system)用于檢測DSR路由協議；Vigna等人[6]提出的基于STAT的方法AODVSTAT。基于RIPPER分類器和SVM的方法屬于異常檢測，可以檢測到復雜的新出現的攻擊，但特征屬性的選取是其核心問題；AODVSTA方法屬于誤用檢測，對已知攻擊的檢測率高，誤報情況少，但需要頻繁地更新特征庫，并且不能檢測未知攻擊。

2一種基于簇的IDS體系

2．1基于agent的多層IDS體系

文獻[7]提出了一個基于agent的多層IDS體系，采用四種agent分別進行主機監控(host monitoring)、響應(action)、網絡監控(network monitoring)、決策(decision－making)。前兩種agent必須在每個節點都安裝并運行，后兩種agent則有選擇的運行在簇頭節點。四種agent組成如圖1所示的多層移動agent體系結構。

e)根節點從返回的結果中按R值由大到小選出V個節點做候選節點，并將候選節點ID通過生成樹告知所有節點。

簇頭節點只允許在候選節點中產生，這樣可以保證資源相對較多的節點承擔較重的檢測任務，平衡使用節點資源，從整體上延長網絡的生存時間。

令節點的優先級(priority)P為節點的鄰居節點中沒有被簇頭節點覆蓋的節點數量。下面給出在候選節點中選擇簇頭的貪婪算法。

a)每個候選節點計算自己的優先級P;

b)每個候選節點廣播自己的優先級P;

c)若候選節點k的優先級Pk滿足以下條件，則將其標記為簇頭：

Pk>0 且Pk>Pi；i∈(1，2，…，V)，i≠k

d)簇頭脫離候選節點集合，與簇頭距離為2以內的所有節點重新計算優先級;

e)當所有候選節點優先級為0時，算法結束，否則轉b)。

貪婪算法每迭代一次在候選節點中選擇一個節點做簇頭。由于每次選擇的均是優先級最高的節點，可以保證選出的簇頭數量最少。貪婪算法的問題在于每選出一個簇頭均需要在選擇前廣播節點的優先級，當節點數量較多時，這種廣播將消耗較多的網絡帶寬。為此，本文給出一種改進的選擇算法。

該算法分為兩個階段，即準簇頭選擇階段和簇頭優化選擇階段。這里節點優先級P被定義為節點的鄰居節點中沒有被準簇頭節點覆蓋的節點數量。

2．4監控和響應代理

入侵檢測體系結構中主要包括主機監控代理和網絡監控代理。主機監控代理通過對系統調用行為、應用層行為、網絡訪問行為的監控來保證節點的本地進程安全。網絡檢測代理通過對網絡中節點間的通信行為進行分析來保證網絡的安全。

主機監控代理可以采用諸如支撐向量機、遺傳算法、人工免疫算法等基于異常的檢測算法，通過自學習過程建立進程的系統調用序列、應用層行為和網絡訪問行為的正常模型，并用這個正常模型對進程的系統調用行為和網絡訪問行為進行檢測。

網絡監控代理通過將網絡接口置于混雜模式來監視簇內成員發送的包，并將包插入一個隊列中由代理的入侵檢測推理引擎來處理。檢測引擎可以采用基于規則的檢測算法。這種算法對已知攻擊的檢測率高，并且誤報情況少。監控代理的檢測結果通過決策代理處理后生成響應命令，由響應代理負責執行這些命令并完成對入侵的阻截。響應的動作主要包括終止進程、隔離文件、重啟系統、恢復系統等本地響應動作和拒絕轉發的數據包、停止路由交換等網絡響應動作。

3分析和實驗

本文改進了一種基于簇的入侵檢測體系結構，通過采用新的簇頭選擇策略和簇頭選擇算法，可以有效地降低簇頭節點的數量，延長網絡的生存時間。筆者使用NS-2網絡模擬器對簇頭選擇算法進行了模擬分析。模擬實驗參數分別設置為：節點運動范圍為1 000 m×1 000 m的矩形區域，節點間通信信道帶寬為2 Mbps，節點電磁波的輻射范圍為250 m，節點數量為10~1 000個，節點移動選用常用的random waypoint模型，節點移動速率1 m/s，模擬時間為1 800 s。模擬結果如圖3所示。縱坐標表示網絡中擔任簇頭的節點數目占節點總數的百分比；橫坐標表示單位面積節點的數量。圖中虛線為文獻[7]中算法的結果；實線為本文改進算法的結果。

實驗顯示，隨著網絡中節點密度的增加，網絡中簇頭節點的比例將會降低，相應的網絡生存時間也會延長。但是采用本文的方法，如果密度超過一定范圍將會導致簇頭節點的比例上升。分析其原因在于本算法對節點擔任簇頭節點作了限制。某些能覆蓋較多節點的簇頭節點由于負擔較重造成資源減少而不能繼續擔任簇頭；一些覆蓋較少節點的節點就被選為簇頭，從而導致簇頭節點所占的比例有所上升。

分析和實驗均表明，候選率p值將影響入侵檢測系統的檢測效果和網絡生存時間。如果p值太低，會導致網絡監控節點無法完全覆蓋整個網絡，使入侵檢測系統的漏報率上升；如果p值接近1，則會使部分節點資源較低的節點承擔網絡監控任務，導致這些節點過早失效，從而影響了網絡的生存時間。實驗表明，當p>0．65時，網絡的覆蓋率可以達到97%以上，基本不會影響檢測效果；當p>0．85后，簇頭節點的選擇結果與p=1時的結果非常接近，不能體現出引入候選節點的優勢。所以一般情況下p的取值為0．65~0．85。

4結束語

由于節點計算資源和能源的局限性，Ad hoc網絡的安全問題要比有線網絡的安全問題復雜得多，采取安全措施的同時必然要消耗本來就匱乏的資源。解決Ad hoc網絡安全問題需要在安全等級和資源消耗上尋找平衡點。

本文改進的Ad hoc網絡入侵檢測體系結構能夠在保證檢測效果的同時有效地減少對資源的消耗，并可以通過調整候選率p的大小來滿足不同的安全需求。但是本文給出的簇頭選擇算法只能應用在節點運動速率較低、網絡拓撲結構變化不太快的情況下。若拓撲結構發生了變化，就必須重新選擇簇頭，而選擇簇頭也需要消耗一定的資源，拓撲結構變化得過于頻繁將會導致選擇簇頭的過程消耗過多資源，從而影響網絡的生存時間。下一步的研究將考慮如何在拓撲結構變化的情況下使用比較小的代價重新選擇簇頭。

參考文獻：

［1］MARTI S，GIULI T J，LAI K，et al.Mitigating routing misbehavior in mobile Ad hoc networks[C]//Proc of the 6th Annual International Conference on Mobile Computing and Networking.New York:ACM Press，2000:255-265.

［2］ZHANG Yong－guang，LEE W.Intrusion detection in wireless Ad hoc networks[C]//Proc of the 6th Annual International Conference on Mobile Computing and Networking.New York:ACM Press，2000:275-283.

［3］HUANG Yi－an，LEE W.A cooperative intrusion detection system for Ad hoc networks[C]//Proc of the 1st ACM Workshop on Security of Ad hoc and Sensor Net works.New York:ACM Press，2003:135-147.

［4］DENG Hong－mei，ZENG Q A，AGRAWAL D P.SVM－based intrusion detection system for wireless Ad hoc networks[C]//Proc of the IEEE Vehicular Technology Conference(VTC’03).Washington DC:IEEE Computer Society，2003:2147-2151.

［5］SARAFIJANOVIC S，LE B J Y.An artificial immune system for misbehavior detection in mobile Ad hoc networks with virtual thymus， clustering， danger signal and memory detectors[J].Artificial Immune Systems， 2004，3239:342-356.

［6］VIGNA G，GWALANI S，SRINIVASAN K，et al.An intrusion detection tool for AODV－based Ad hoc wireless networks[C]//Proc of the 20th Annual Computer Security Applications Conference(ACSAC’04). Washington DC:IEEE Computer Society，2004:16-27.

［7］KACHIRSKI O，GUHA R.Effective intrusion detection using multiple sensors in wireless Ad hoc networks[C]//Proc of the 36th Annual Hawaii International Conference on System Sciences(HICSS’03).Washington DC:IEEE Computer Society，2003:571-578.

[8］SUBHADRABANDHU D，SARKAR S，ANJUM F.Efficacy of misuse detection in Ad hoc networks[C]//Proc of the 4th Annual IEEE Communications Society Conference on Sensor and Ad hoc Communications and Networks (SECON 2004).Washington DC: IEEE Computer Society，2004:97-107.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”