基于Ad hoc网络的入侵检测技术

摘要：Ad Hoc网络是一种无固定基础设施的新型网络，网络节点不断移动，网络拓扑不断变化。由于其固有的脆弱性使得它极易受到各种攻击，Ad Hoc网络的安全问题给入侵检测技术带来更多的挑战。本文介绍了入侵检测技术及其分类，总结并分析了现有的适于Ad Hoc网络的各种入侵检测技术的优缺点，为今后研究开展研究奠定了理论基础。

关键词：Ad Hoc网络；网络安全；入侵检测技术

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)28-0084-02

Intrusion Detection based on Ad hoc Network

BI Yuan-yuan,CHEN Jin-ping

(Jinling Institute of Technology,Nanjing 211169,china)

Abstract: Ad Hoc network is a new kind of infrastructureless network.All nodes are moving constantly and the topology of the ad hoc network is ever changing.Because of its inherent vulnerability makes it highly susceptible to all kinds of attacks,Ad Hoc network security issues to the intrusion detection technology with More to the challenge.Intrusion detection technology and its classification is described in this paper.Summary and analysis of the existing Ad Hoc network suitable for the various advantages and disadvantages of intrusion detection technology for future research studies laid a theoretical foundation.

Key words: Ad hoc network;network security;intrusion detection

1 Ad Hoc网络的特点

Ad Hoc网络，又称自组网络，是一种没有基站或移动交换中心之类的固定基础设施的网络。网络中的节点是不断移动的，网络没有固定的拓扑结构，节点既作为移动终端，又充当路由器。在彼此通信范围之内的移动节点之间可以通过无线连接直接通信，对于那些距离很远的节点则依靠其他的节点作路由进行消息转发。从理论上说，移动Ad Hoc网络中的节点可以任意移动、也可以随机地加入或退出网络，因此移动Ad Hoc网络的拓扑结构、范围和成员是高度动态的。

2 入侵检测技术

2.1 Ad Hoc网络存在的安全威胁

由于Ad Hoc网络高度动态的拓扑结构，会带来一系列安全问题[1]:

1） 无法使用防火墙技术来保护网络。移动Ad Hoc 网络无法设置一条明确的防护线，袭击可能来自任何方向。因此要求每个节点都必须时刻准备预防和抵抗袭击。

2） 节点间的信任关系经常变化，因此要求Ad Hoc 网络的安全措施也应是动态的，不适用传统网络采用的静态配置方案。

3） 入侵检测困难。错误的路由信息可能是拓扑变化引起也可能是入侵者所为，另外一个大规模移动Ad Hoc 网络中跟踪一个特定的节点非常困难。

4） 移动Ad Hoc网络采用多跳的、无线信道，因此Ad Hoc网络更容易受到链路层的攻击，包括被动窃听和假冒、重复攻击和信息篡改、拒绝服务攻击等主动攻击，而且这种攻击是难以检测出来的。

5） 移动Ad Hoc网络通常采用分布式决策, 许多网络算法都是依靠邻近节点相互协作，节点在漫游时又缺乏物理保护。

6） 无线带宽有限、电池能量有限、计算能力有限，使得Ad Hoc 网络无法部署复杂的安全协议和加密算法。

在Ad Hoc网络的安全问题中，路由协议的安全尤为重要。常见的Ad Hoc网络的路由协议有表驱动路由协议，如DSDV；按需驱动路由协议，如DSR、AODV、TORA和混合路由协议，如LAR等，这些路由协议极少考虑其安全问题。而Ad Hoc网络的路由协议却是网络攻击的主要目标。对路由协议的攻击可分为两类：被动攻击和主动攻击。

2.1.1 被动攻击

对于被动攻击，攻击者并不去干扰正常的路由协议，而仅仅窃听路由数据。由于Ad Hoc网络使用的是无线信道，所以这种攻击比较隐蔽，一般无法检测到。攻击者通过分析窃听到的路由数据就可能得到有用的信息。比如，如果去往某个特定节点的路由请求比到其它节点的路由请求要频繁，那么攻击者就可以认为该特定节点比较重要。如果确实如此，那么对该节点的攻击就会威胁整个网络的安全和性能。另外，路由数据还会暴露节点的位置，或者说至少会暴露一定的网络拓扑信息。

2.1.2 主动攻击

主动攻击就是网络攻击者通过向网络发送数据包来达到攻击的目的。比如攻击者向网络广播一些特定的消息，使得别的节点以为经过该节点的路径最短或代价最小，这样受到攻击的节点都会将数据包发送给该节点，从而形成一个吸收数据的“黑洞”；攻击者也可以通过不停地发送虚假路由信息使得被攻击的节点的路由表溢出，从而使得正常的路由信息无法及时更新；攻击者还可以发送错误的路由信息和重放旧的路由信息，使网络出现分割和拥塞。

要建立安全的Ad Hoc网络, 采取主动的防卫方式来增强网络的安全性尤为重要。但现有基于固定网络的入侵检测系统不能简单迁移到Ad Hoc 网络中, 所以必须重新设计一套新的入侵检测系统来满足移动Ad Hoc 网络特定的安全需要。

2.2 入侵检测技术的作用

入侵检测可定义为：“识别那些未经授权而使用计算机系统的非法用户和那些对系统有访问权限但滥用其特权的用户。”[2]

入侵检测技术是为保证系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机系统、网络系统或更广泛意义上的信息系统中违反安全策略行为的技术。它根据用户的历史行为，基于用户的当前操作，完成对攻击的决策并记录下攻击证据，为数据恢复与事故处理提供依据。

2.3 入侵检测技术的分类

根据检测方法的不同，入侵检测可以被分为以下2种类别：异常（anomaly）检测、误用（misuse）检测[3]。

异常检测是根据异常使用计算机、异常使用系统资源或者异常的网络流量来进行的入侵检测。首先通过提取审计记录(如网络流量和日志文件) 中的特征数据来建立模型，用检测到的行为模式与建立的模型相比较，如果两者之差超过一个给定的阈值，则被视为入侵。该算法的特点是可以检测到之前未发生过的攻击方式，但定义阀值比较困难，容易产生检测的误报和漏报。

误用检测是根据事先定义的入侵模式库，用这些已有的入侵模式和检测到的入侵模式匹配。该算法的特点是对已知攻击模式的检测准确率较高，对未知的攻击模式检测效果有限，而且入侵模式库需要不断更新。

3 Ad Hoc网络的入侵检测技术

3.1 Ad Hoc网络特性与入侵检测技术的结合

目前，传统有线网络的入侵检测技术的研究充分而广泛，但是这种对传统有线网络的IDS研究不能直接用于无线Ad Hoc 网络中。无线Ad Hoc网络缺乏固定的基础设施，物理层设施匮乏，无线Ad Hoc 网络这种本身的脆弱性使得其更容易受到攻击，给IDS的设计带来更多挑战和要求。

由于缺少一个类似于网关，路由器的中心控制节点，无线Ad Hoc的入侵检测技术受到各节点流量的制约。再则，无线Ad Hoc网络本身的分布式特性，要求入侵检测技术也采用一个合适的分布式算法，同时也要考虑到实际应用中的节点所能承载的最大流量。由于无线Ad Hoc 网络具有动态的拓扑结构，各节点可以灵活游走，这就使得节点容易被捕获，从而威胁到整个网络的安全。为了节省有限的带宽资源，无线Ad Hoc网络的各节点不可能像有限网络中的节点一样随时随地自由通信，因此，带宽和电池容量更加制约了移动网络的IDS设计。

3.2 Ad Hoc网络中合格IDS的要求

设计Ad Hoc网络的IDS时，应尽量满足以下条件来避免非法的入侵。1) IDS不能给网络引入新的漏洞，带来新的安全问题；2)IDS不能消耗系统过多的资源，影响正常的节点工作；3) IDS应该具有高度的可靠性，低误报率和漏报率；4) IDS应该采用分布式的结构；5) IDS应该不间断地、持续高效地进行检测；6) IDS应采用某种方式以标准化入侵检测信息交换格式，使得多种入侵检测方案可以互相合作。

3.3 现有Ad Hoc网络的IDS系统分析

目前国外已经有一些关于无线Ad Hoc网络的IDS技术的理论研究，其中基于分布式异常检测的系统模型有：Ad Hoc网络分布式IDS、基于AODV的入侵检测和响应模型、反入侵算法技巧集、看门狗及路由选择器；基于移动检测的系统模型有：静态安全数据库的IDS、基于移动技术的分布式IDS；基于规范的分布式入侵检测和基于时间自动机的入侵检测[4]。

国内的研究方案目前有基于簇的多层分布式入侵检测技术[5]、可存活性入侵检测系统[1]和基于规则匹配技术和统计分析技术的混合入侵检测算法[6]等。

1） 基于簇的多层分布式入侵检测技术

考虑到网络节点的处理能力、能量消耗、移动频率等因素，将Ad Hoc网络划分为若干簇，在一个簇内，各节点可与一跳内的任意节点进行直接通信，但是超出了一跳范围时，必须通过簇头节点才能进行通信。同时，不在一个簇内的两个节点，即使它们之间的距离只有一跳，也必须通过簇头节点才能通信。

基于簇的多层分布式入侵检测系统由通信接口模块、本地数据收集模块、移动平台模块、移动模块、分析引擎模块和响应模块组成。

通信接口模块采用通用标准定义，以便兼容其它的标准定义入侵检测系统，提供了协同工作的基础。本地数据收集模块负责从本地的不同数据源收集审计数据流。移动平台模块用于安全地传输移动模块,目前支持TCP/IP 协议。移动模块负责收集和处理来自其他簇的数据。全局分析引擎模块中的响应模块能够产生报警信息和对可疑链路的断链操作。

2） 可存活性入侵检测系统

可存活性是指当系统在出现故障、发生意外事件或遭受到攻击时, 系统具有及时准确地完成预定基本任务的能力。该体系结构按功能分为三层：驱动层、控制层和执行层。在驱动层，对目前入侵特征分析方法的基础上，增加了数据恢复引擎来提高系统的可存活性；在控制层，从工程技术的角度，对其进行了模块化设计，实现了该层的可移植性；在执行层，利用新的簇头选择算法,极大地减少系统能源消耗，并增强了系统的可存活性。

该方法提高了系统实现时的灵活性，降低了系统实现时的复杂程度。采用技术和自学习技术，提高了网络的可生存性。把监视和决策分散到几个动态地选出的节点上, 既降低了整个网络能源的消耗又提高了入侵检测系统的效率，还在一定程度上提高了网络的可存活性。

3） 混合入侵检测算法

由于异常检测算法具有较高的虚警率，误用检测算法检测领域有限，不能很好的应用于网络结构不断变化、面临多样攻击的Ad Hoc网络。混合入侵检测算以规则匹配为基础，统计分析网络在未受到攻击时的异常时间率来为系统设计阈值，避免虚警率和露报情况；在数据分析方面，如果一系列的异常事件都表现为同一种攻击特征，在单位时间内出现的概率高于阈值，则判定为一次攻击。该算法不但可以提高检测的准确性,而且对网络的性能没有明显影响,包括数据包的传递时间及系统的反应时间。

4 结束语

随着移动Ad Hoc网络的广泛应用，Ad Hoc网络的安全性问题已突显其重要性。基于Ad hoc网络动态拓扑结构、有限的无线传输带宽、移动节点的有限性(移动用户终端内存小、CPU 处理能力低、所带电源有限)和网络的分布式等特点，本文总结了国内外关于Ad Hoc网络入侵检测技术的研究成果，分析了各种检测技术的特性和优缺点，对今后研究Ad Hoc网络的入侵检测技术理论和实践有一定的参考意义。

参考文献：

[1] 安德智.Ad Hoc网络的入侵检测系统研究[J].PLC应用技术200例,2008:79-81.

[2] Hubaux J P,Buttyan L,Capkun S.The quest for security in mobile Ad Hoc networks [C].Proceedings of the ACM2 Symposium on Mobile Ad Hoc Networking and Computing.[S.l.]:[s.n.],2001.

[3] Kachirski O, Guha R.Intrusion Detection Using Mobile Agents in Wireless Ad Hoc Networks [C].IEEE,July 2002:10-12.

[4] Amitabh M, Ketan N,Animesh P,et al.Intrusion Detection in Wireless Ad Hoc Networks[J].IEEE Wireless Communications,2004,(02):48-60.

[5] 林亚卓,唐陈峰. Ad Hoc网络的入侵检测技术研究[J].通信技术,2008,Vol.01,No.41:99-101.

[6] 代伟,刘敏,余永武.基于Ad Hoc网络的混合入侵检测算法[J].重庆工学院学报,2008,Vol.22,No.03:75-77.