基于Ａｄ ｈｏｃ網絡的入侵檢測技術

摘要：Ad Hoc網絡是一種無固定基礎設施的新型網絡，網絡節點不斷移動，網絡拓撲不斷變化。由于其固有的脆弱性使得它極易受到各種攻擊，Ad Hoc網絡的安全問題給入侵檢測技術帶來更多的挑戰。本文介紹了入侵檢測技術及其分類，總結并分析了現有的適于Ad Hoc網絡的各種入侵檢測技術的優缺點，為今后研究開展研究奠定了理論基礎。

關鍵詞：Ad Hoc網絡；網絡安全；入侵檢測技術

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)28-0084-02

Intrusion Detection based on Ad hoc Network

BI Yuan-yuan，CHEN Jin-ping

(Jinling Institute of Technology，Nanjing 211169，china)

Abstract: Ad Hoc network is a new kind of infrastructureless network.All nodes are moving constantly and the topology of the ad hoc network is ever changing.Because of its inherent vulnerability makes it highly susceptible to all kinds of attacks，Ad Hoc network security issues to the intrusion detection technology with More to the challenge.Intrusion detection technology and its classification is described in this paper.Summary and analysis of the existing Ad Hoc network suitable for the various advantages and disadvantages of intrusion detection technology for future research studies laid a theoretical foundation.

Key words: Ad hoc network;network security;intrusion detection

1 Ad Hoc網絡的特點

Ad Hoc網絡，又稱自組網絡，是一種沒有基站或移動交換中心之類的固定基礎設施的網絡。網絡中的節點是不斷移動的，網絡沒有固定的拓撲結構，節點既作為移動終端，又充當路由器。在彼此通信范圍之內的移動節點之間可以通過無線連接直接通信，對于那些距離很遠的節點則依靠其他的節點作路由進行消息轉發。從理論上說，移動Ad Hoc網絡中的節點可以任意移動、也可以隨機地加入或退出網絡，因此移動Ad Hoc網絡的拓撲結構、范圍和成員是高度動態的。

2 入侵檢測技術

2.1 Ad Hoc網絡存在的安全威脅

由于Ad Hoc網絡高度動態的拓撲結構，會帶來一系列安全問題[1]:

1） 無法使用防火墻技術來保護網絡。移動Ad Hoc 網絡無法設置一條明確的防護線，襲擊可能來自任何方向。因此要求每個節點都必須時刻準備預防和抵抗襲擊。

2） 節點間的信任關系經常變化，因此要求Ad Hoc 網絡的安全措施也應是動態的，不適用傳統網絡采用的靜態配置方案。

3） 入侵檢測困難。錯誤的路由信息可能是拓撲變化引起也可能是入侵者所為，另外一個大規模移動Ad Hoc 網絡中跟蹤一個特定的節點非常困難。

4） 移動Ad Hoc網絡采用多跳的、無線信道，因此Ad Hoc網絡更容易受到鏈路層的攻擊，包括被動竊聽和假冒、重復攻擊和信息篡改、拒絕服務攻擊等主動攻擊，而且這種攻擊是難以檢測出來的。

5） 移動Ad Hoc網絡通常采用分布式決策， 許多網絡算法都是依靠鄰近節點相互協作，節點在漫游時又缺乏物理保護。

6） 無線帶寬有限、電池能量有限、計算能力有限，使得Ad Hoc 網絡無法部署復雜的安全協議和加密算法。

在Ad Hoc網絡的安全問題中，路由協議的安全尤為重要。常見的Ad Hoc網絡的路由協議有表驅動路由協議，如DSDV；按需驅動路由協議，如DSR、AODV、TORA和混合路由協議，如LAR等，這些路由協議極少考慮其安全問題。而Ad Hoc網絡的路由協議卻是網絡攻擊的主要目標。對路由協議的攻擊可分為兩類：被動攻擊和主動攻擊。

2.1.1 被動攻擊

對于被動攻擊，攻擊者并不去干擾正常的路由協議，而僅僅竊聽路由數據。由于Ad Hoc網絡使用的是無線信道，所以這種攻擊比較隱蔽，一般無法檢測到。攻擊者通過分析竊聽到的路由數據就可能得到有用的信息。比如，如果去往某個特定節點的路由請求比到其它節點的路由請求要頻繁，那么攻擊者就可以認為該特定節點比較重要。如果確實如此，那么對該節點的攻擊就會威脅整個網絡的安全和性能。另外，路由數據還會暴露節點的位置，或者說至少會暴露一定的網絡拓撲信息。

2.1.2 主動攻擊

主動攻擊就是網絡攻擊者通過向網絡發送數據包來達到攻擊的目的。比如攻擊者向網絡廣播一些特定的消息，使得別的節點以為經過該節點的路徑最短或代價最小，這樣受到攻擊的節點都會將數據包發送給該節點，從而形成一個吸收數據的“黑洞”；攻擊者也可以通過不停地發送虛假路由信息使得被攻擊的節點的路由表溢出，從而使得正常的路由信息無法及時更新；攻擊者還可以發送錯誤的路由信息和重放舊的路由信息，使網絡出現分割和擁塞。

要建立安全的Ad Hoc網絡， 采取主動的防衛方式來增強網絡的安全性尤為重要。但現有基于固定網絡的入侵檢測系統不能簡單遷移到Ad Hoc 網絡中， 所以必須重新設計一套新的入侵檢測系統來滿足移動Ad Hoc 網絡特定的安全需要。

2.2 入侵檢測技術的作用

入侵檢測可定義為：“識別那些未經授權而使用計算機系統的非法用戶和那些對系統有訪問權限但濫用其特權的用戶。”[2]

入侵檢測技術是為保證系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機系統、網絡系統或更廣泛意義上的信息系統中違反安全策略行為的技術。它根據用戶的歷史行為，基于用戶的當前操作，完成對攻擊的決策并記錄下攻擊證據，為數據恢復與事故處理提供依據。

2.3 入侵檢測技術的分類

根據檢測方法的不同，入侵檢測可以被分為以下2種類別：異常（anomaly）檢測、誤用（misuse）檢測[3]。

異常檢測是根據異常使用計算機、異常使用系統資源或者異常的網絡流量來進行的入侵檢測。首先通過提取審計記錄(如網絡流量和日志文件) 中的特征數據來建立模型，用檢測到的行為模式與建立的模型相比較，如果兩者之差超過一個給定的閾值，則被視為入侵。該算法的特點是可以檢測到之前未發生過的攻擊方式，但定義閥值比較困難，容易產生檢測的誤報和漏報。

誤用檢測是根據事先定義的入侵模式庫，用這些已有的入侵模式和檢測到的入侵模式匹配。該算法的特點是對已知攻擊模式的檢測準確率較高，對未知的攻擊模式檢測效果有限，而且入侵模式庫需要不斷更新。

3 Ad Hoc網絡的入侵檢測技術

3.1 Ad Hoc網絡特性與入侵檢測技術的結合

目前，傳統有線網絡的入侵檢測技術的研究充分而廣泛，但是這種對傳統有線網絡的IDS研究不能直接用于無線Ad Hoc 網絡中。無線Ad Hoc網絡缺乏固定的基礎設施，物理層設施匱乏，無線Ad Hoc 網絡這種本身的脆弱性使得其更容易受到攻擊，給IDS的設計帶來更多挑戰和要求。

由于缺少一個類似于網關，路由器的中心控制節點，無線Ad Hoc的入侵檢測技術受到各節點流量的制約。再則，無線Ad Hoc網絡本身的分布式特性，要求入侵檢測技術也采用一個合適的分布式算法，同時也要考慮到實際應用中的節點所能承載的最大流量。由于無線Ad Hoc 網絡具有動態的拓撲結構，各節點可以靈活游走，這就使得節點容易被捕獲，從而威脅到整個網絡的安全。為了節省有限的帶寬資源，無線Ad Hoc網絡的各節點不可能像有限網絡中的節點一樣隨時隨地自由通信，因此，帶寬和電池容量更加制約了移動網絡的IDS設計。

3.2 Ad Hoc網絡中合格IDS的要求

設計Ad Hoc網絡的IDS時，應盡量滿足以下條件來避免非法的入侵。1) IDS不能給網絡引入新的漏洞，帶來新的安全問題；2)IDS不能消耗系統過多的資源，影響正常的節點工作；3) IDS應該具有高度的可靠性，低誤報率和漏報率；4) IDS應該采用分布式的結構；5) IDS應該不間斷地、持續高效地進行檢測；6) IDS應采用某種方式以標準化入侵檢測信息交換格式，使得多種入侵檢測方案可以互相合作。

3.3 現有Ad Hoc網絡的IDS系統分析

目前國外已經有一些關于無線Ad Hoc網絡的IDS技術的理論研究，其中基于分布式異常檢測的系統模型有：Ad Hoc網絡分布式IDS、基于AODV的入侵檢測和響應模型、反入侵算法技巧集、看門狗及路由選擇器；基于移動代理檢測的系統模型有：靜態安全數據庫的IDS、基于移動代理技術的分布式IDS；基于規范的分布式入侵檢測和基于時間自動機的入侵檢測[4]。

國內的研究方案目前有基于簇的多層分布式入侵檢測技術[5]、可存活性入侵檢測系統[1]和基于規則匹配技術和統計分析技術的混合入侵檢測算法[6]等。

1） 基于簇的多層分布式入侵檢測技術

考慮到網絡節點的處理能力、能量消耗、移動頻率等因素，將Ad Hoc網絡劃分為若干簇，在一個簇內，各節點可與一跳內的任意節點進行直接通信，但是超出了一跳范圍時，必須通過簇頭節點才能進行通信。同時，不在一個簇內的兩個節點，即使它們之間的距離只有一跳，也必須通過簇頭節點才能通信。

基于簇的多層分布式入侵檢測系統由通信接口模塊、本地數據收集模塊、移動代理平臺模塊、移動代理模塊、分析引擎模塊和響應模塊組成。

通信接口模塊采用通用標準定義，以便兼容其它的標準定義入侵檢測系統，提供了協同工作的基礎。本地數據收集模塊負責從本地的不同數據源收集審計數據流。移動代理平臺模塊用于安全地傳輸移動代理模塊，目前支持TCP/IP 協議。移動代理模塊負責收集和處理來自其他簇的數據。全局分析引擎模塊中的響應模塊能夠產生報警信息和對可疑鏈路的斷鏈操作。

2） 可存活性入侵檢測系統

可存活性是指當系統在出現故障、發生意外事件或遭受到攻擊時， 系統具有及時準確地完成預定基本任務的能力。該體系結構按功能分為三層：驅動層、控制層和執行層。在驅動層，對目前入侵特征分析方法的基礎上，增加了數據恢復引擎來提高系統的可存活性；在控制層，從工程技術的角度，對其進行了模塊化設計，實現了該層的可移植性；在執行層，利用新的簇頭選擇算法，極大地減少系統能源消耗，并增強了系統的可存活性。

該方法提高了系統實現時的靈活性，降低了系統實現時的復雜程度。采用代理技術和自學習技術，提高了網絡的可生存性。把監視代理和決策代理分散到幾個動態地選出的節點上， 既降低了整個網絡能源的消耗又提高了入侵檢測系統的效率，還在一定程度上提高了網絡的可存活性。

3） 混合入侵檢測算法

由于異常檢測算法具有較高的虛警率，誤用檢測算法檢測領域有限，不能很好的應用于網絡結構不斷變化、面臨多樣攻擊的Ad Hoc網絡。混合入侵檢測算以規則匹配為基礎，統計分析網絡在未受到攻擊時的異常時間率來為系統設計閾值，避免虛警率和露報情況；在數據分析方面，如果一系列的異常事件都表現為同一種攻擊特征，在單位時間內出現的概率高于閾值，則判定為一次攻擊。該算法不但可以提高檢測的準確性，而且對網絡的性能沒有明顯影響，包括數據包的傳遞時間及系統的反應時間。

4 結束語

隨著移動Ad Hoc網絡的廣泛應用，Ad Hoc網絡的安全性問題已突顯其重要性。基于Ad hoc網絡動態拓撲結構、有限的無線傳輸帶寬、移動節點的有限性(移動用戶終端內存小、CPU 處理能力低、所帶電源有限)和網絡的分布式等特點，本文總結了國內外關于Ad Hoc網絡入侵檢測技術的研究成果，分析了各種檢測技術的特性和優缺點，對今后研究Ad Hoc網絡的入侵檢測技術理論和實踐有一定的參考意義。

參考文獻：

[1] 安德智.Ad Hoc網絡的入侵檢測系統研究[J].PLC應用技術200例，2008:79-81.

[2] Hubaux J P，Buttyan L，Capkun S.The quest for security in mobile Ad Hoc networks [C].Proceedings of the ACM2 Symposium on Mobile Ad Hoc Networking and Computing.[S.l.]:[s.n.]，2001.

[3] Kachirski O， Guha R.Intrusion Detection Using Mobile Agents in Wireless Ad Hoc Networks [C].IEEE，July 2002:10-12.

[4] Amitabh M， Ketan N，Animesh P，et al.Intrusion Detection in Wireless Ad Hoc Networks[J].IEEE Wireless Communications，2004，(02):48-60.

[5] 林亞卓，唐陳峰. Ad Hoc網絡的入侵檢測技術研究[J].通信技術，2008，Vol.01，No.41:99-101.

[6] 代偉，劉敏，余永武.基于Ad Hoc網絡的混合入侵檢測算法[J].重慶工學院學報，2008，Vol.22，No.03:75-77.