MANET網(wǎng)絡(luò)中一種基于移動Agent的入侵檢測系統(tǒng)＊

張 毅 張秀梅

（武漢數(shù)字工程研究所 武漢 430074）

移動自組織網(wǎng)絡(luò)（mobile Ad Hoc network，MANET）是由一組帶有無線收發(fā)裝置的移動節(jié)點組成的一個支持多跳的臨時性的網(wǎng)絡(luò)自治系統(tǒng)［1］.MANET網(wǎng)絡(luò)無線信道、動態(tài)拓撲、合作的路由算法、缺乏集中的監(jiān)控等特點都使得它的安全更加脆弱，特別是移動節(jié)點缺乏物理保護，容易被偷竊、捕獲，落入敵手后又重新加入網(wǎng)絡(luò).而采用密碼學(xué)理論的網(wǎng)絡(luò)安全方案無法完全對抗此類攻擊，入侵檢測系統(tǒng)就成為安全方案之后的第二道防護墻.移動Agent是一個能在異構(gòu)網(wǎng)絡(luò)中自主從一臺主機遷移到另一臺主機，并可與其他Agent或資源進行交互的程序，實際上它是Agent技術(shù)與分布式計算技術(shù)的結(jié)合體，具有移動性和自主性等特點［2－3］.將移動Agent應(yīng)用到 MANET網(wǎng)絡(luò)入侵檢測系統(tǒng)中是一種十分新穎的方法.

1 入侵檢測系統(tǒng)的基礎(chǔ)算法

1.1 相關(guān)概念

1）最壞存活期（aij）

定義1 在節(jié)點n傳輸范圍R內(nèi)的節(jié)點為節(jié)點n的鄰居.

定義2 節(jié)點i和j之間的最壞存活期aij的大小為：aij＝（R－d）／2 M （R＞d）；aij＝0（R≤d）.式中：R為傳輸范圍；d為節(jié)點i，j之間的距離；M為節(jié)點平均速度.最壞存活期aij用以度量節(jié)點i和j之間連接可以有效維持的最短時間.

2）計數(shù)器 每個節(jié)點上設(shè)置一個計數(shù)器，網(wǎng)絡(luò)剛開始運行時，所有計數(shù)器為零.Agent從一個節(jié)點跳到另一個節(jié)點收集分布節(jié)點的信息，當一個Agent完成信息交換任務(wù)離開節(jié)點時，就將該節(jié)點的計數(shù)器增加1.計數(shù)器的大小代表了該節(jié)點被Agent訪問過的次數(shù).

3）Agent的數(shù)據(jù)結(jié)構(gòu) 一個Agent由下列幾部分組成：Agent標識符id；Agent程序P；Agent數(shù)據(jù)包.Agent數(shù)據(jù)包里包含了一些狀態(tài)參數(shù)，如aij、計數(shù)器等，Agent能夠與其他Agent和節(jié)點分享數(shù)據(jù)包里的內(nèi)容.

1.2 基于移動Agent節(jié)點連接矩陣表構(gòu)建算法

Agent的首要任務(wù)是傳送每個節(jié)點的信息到另一些節(jié)點.為使開銷達到最小，采用“最先訪問‘訪問次數(shù)最少的節(jié)點’”的Agent移動策略.

任意Agent到達目的節(jié)點i后，Agent內(nèi)的程序?qū)⑼瓿梢韵碌墓ぷ鞑襟E.

1）Agent到達節(jié)點i，將Agent里數(shù)據(jù)包里存儲的節(jié)點的計數(shù)器值與存在當前節(jié)點中的所有其他節(jié)點的計數(shù)器值進行比較，計數(shù)器值大的數(shù)據(jù)會更新，于是將數(shù)據(jù)包里更新的節(jié)點的行列信息保存到節(jié)點的cache上.

2）該Agent排在cache隊列的最后，在等待TM時間后選擇路由路徑，并發(fā)送.

3）在該節(jié)點的cache上比較所有鄰居的計數(shù)器值，取最小值，該值的節(jié)點就是下一個可能要訪問的節(jié)點.

4）如果被選擇的節(jié)點最近3次沒有被訪問過，該節(jié)點就是Agent下一個要訪問的節(jié)點；如果被選的節(jié)點在最近三次被訪問過，則選擇下一個最少訪問的鄰居，以此類推.

5）將節(jié)點i的計數(shù)器值加1，即將訪問的節(jié)點加入到節(jié)點i的歷史信息中.

6）Agent離開前，將節(jié)點i里cache上的內(nèi)容存儲到Agent的數(shù)據(jù)包里.

7）Agent繼續(xù)訪問下一個節(jié)點.

1.3 數(shù)據(jù)報文的路徑選擇算法

數(shù)據(jù)報文的路徑選擇算法采用廣度優(yōu)先搜索算法，以目的節(jié)點為樹的根節(jié)點，每一跳形成樹的一層，該樹的最大層數(shù)為網(wǎng)絡(luò)節(jié)點的數(shù)量.

設(shè)節(jié)點i是源節(jié)點，節(jié)點j是目的節(jié)點，則節(jié)點j是樹的根.數(shù)據(jù)報文的路徑選擇算法如下.

1）節(jié)點i查看本節(jié)點矩陣表中節(jié)點i和節(jié)點j之間是否有連接，即查看aij是否為零，如果不是零，說明有連接，則信號直接發(fā)送，路由結(jié)束；如是零，說明不存在一跳操作，則進入2）.

2）查看矩陣表中j節(jié)點的列式aj，找出aj列中所有的非零項.如果aj列中所有值都為零，則節(jié)點i和j不存在有效的路徑，路由結(jié)束；否則非零項就是節(jié)點j的子節(jié)點，記錄其子節(jié)點，進入3）.

3）將上述子節(jié)點根據(jù)其相應(yīng)的列繼續(xù)找出其子節(jié)點.若這層子節(jié)點中存在節(jié)點i，則刪除不包括節(jié)點i的路徑，對包括i的剩余的多條路徑對其各自路徑的權(quán)值進行相加，得到各路徑的權(quán)值和，比較各權(quán)值和，和最大者為首選路徑，次大者為第一備用路徑，依此類推，記錄路徑走法，路由結(jié)束；若這層子節(jié)點中不存在節(jié)點i，則進入4）.

4）這層子節(jié)點繼續(xù)根據(jù)其相應(yīng)的列找出其子節(jié)點，同樣判斷這些子節(jié)點是否存在節(jié)點i，存在則如步驟3）記錄路徑，路由結(jié)束；若不存在節(jié)點i則繼續(xù)查找其子節(jié)點，這樣就形成一個循環(huán)，若在n次循環(huán)中找到了i節(jié)點，則記錄路徑，路由結(jié)束；若循環(huán)次數(shù)超過了n依舊未找到i節(jié)點，則路由路徑不存在，i和j不通，路由結(jié)束.

2 基于移動Agent的入侵檢測系統(tǒng)

2.1 入侵檢測系統(tǒng)的組成

1）監(jiān)視器子系統(tǒng)（鄰居監(jiān)視） 當節(jié)點中有數(shù)據(jù)包要傳輸時，通過數(shù)據(jù)報文路由算法，可以迅速得到數(shù)據(jù)包的路由路徑.在數(shù)據(jù)包傳輸?shù)耐瑫r，在節(jié)點的cache中留一個路徑備份，如果在某個固定時間內(nèi)，該其鄰居節(jié)點按正常路徑轉(zhuǎn)發(fā)數(shù)據(jù)包，則說明一切正常，刪除節(jié)點cache中的備份；如果數(shù)據(jù)包到達鄰居節(jié)點后，在某個固定時間內(nèi)未能轉(zhuǎn)發(fā)，則說明該節(jié)點有可能有故障，按cache中的備份重新發(fā)送，若連續(xù)三次重新發(fā)送依然不正確，記錄結(jié)論傳輸給“本地判斷子系統(tǒng)”做出判斷，并下命令給“路徑處理子系統(tǒng)”，采用選用備用路徑或其他措施.

2）本地判斷子系統(tǒng) 管理一個表格，包括各節(jié)點的信譽值.信譽值只有在由明顯證據(jù)表明某節(jié)點有可能存在問題，而且有大量重復(fù)的數(shù)據(jù)表明該問題重復(fù)發(fā)生時，才會有變化.榮譽值變化的權(quán)重也不同，本節(jié)點觀察到的權(quán)重最大，其次是鄰居節(jié)點發(fā)送過來的消息，權(quán)重最小的是遠處匯報來的消息.

該子系統(tǒng)采用貝葉斯方法.當某鄰居節(jié)點的榮譽值超出一定“懷疑”范圍時，向“路徑處理子系統(tǒng)”給出本地意見，“路徑處理子系統(tǒng)”可采用繞路的策略；當某節(jié)點“本地判斷子系統(tǒng)”的榮譽值超出了可以容忍的范圍時，信息會傳送給“綜合判斷子系統(tǒng)”.“本地判斷子系統(tǒng)”單元內(nèi)部保存有各種異常行為的模型，將鄰居節(jié)點的異常和模型進行比較，得出故障類型.

3）綜合判斷子系統(tǒng) 首先收集“本地判斷子系統(tǒng)”給出的本地意見，同時也收集從其他節(jié)點收集來的告警信號，利用收集的綜合信息，利用拜占庭將軍算法來進行綜合識別得出最后的結(jié)論給“路徑處理子系統(tǒng)”.“綜合判斷子系統(tǒng)”由以下部分組成：告警信息表（包含收到的警告及發(fā)出的警告）；信任表（每個節(jié)點的信任等級）；節(jié)點列表；發(fā)送和接收告警.

4）通信子系統(tǒng) 該子系統(tǒng)處理輸入和輸出告警信號.當“綜合判斷子系統(tǒng)”利用拜占庭將軍算法，得出結(jié)論確認某節(jié)點故障時，向“通信子系統(tǒng)”發(fā)出告警，“通信子系統(tǒng)”由 Mobile Agent攜帶該信息向鄰居節(jié)點發(fā)出故障告警信號；當“通信子系統(tǒng)”從鄰居節(jié)點收到告警信號時，將其傳遞給“綜合判斷子系統(tǒng)”，用拜占庭將軍算法進行處理.

5）路徑處理子系統(tǒng) 當“本地判斷單元”給出本地告警意見時，采用“繞路”的方式，即繞開問題節(jié)點；當“綜合判斷單元”給出確認故障時，采用“隔離”的策略.

2.2 工作原理

如圖1所示，每個節(jié)點根據(jù)系統(tǒng)基礎(chǔ)算法監(jiān)視它的下一跳鄰居.如果一個可疑的節(jié)點監(jiān)測到，首先給到“本地判斷子系統(tǒng)”，結(jié)合鄰居的觀察，根據(jù)貝葉斯方法，如果超出一定的域值，則向“綜合判斷子系統(tǒng)”給出本地意見，并通知“路徑處理子系統(tǒng)”，采用繞開該節(jié)點的路徑的方法；若節(jié)點監(jiān)視重新恢復(fù)正常，發(fā)出故障恢復(fù)信號給“綜合判斷子系統(tǒng)”，并同時取消繞路命令.

圖1 入侵檢測系統(tǒng)體系結(jié)構(gòu)

“綜合判斷子系統(tǒng)”同時還通過“通信子系統(tǒng)”接受來自其他節(jié)點的告警信息，收到告警信號后，結(jié)合本節(jié)點的“本地判斷子系統(tǒng)”信息，采用拜占庭將軍算法，采用簽名后繼續(xù)發(fā)送，最后得到某節(jié)點是否是故障節(jié)點，確認后觸發(fā)“路徑處理子系統(tǒng)”采用隔離的方法，將該故障節(jié)點從cache中的矩陣表中，將包含該節(jié)點的行和列都刪除掉，徹底從網(wǎng)絡(luò)中剔除該節(jié)點.

3 仿真實驗

3.1 仿真環(huán)境

利用NS－2仿真平臺進行仿真實驗，在仿真中，網(wǎng)絡(luò)環(huán)境范圍設(shè)置為1 000m×1 000m，節(jié)點隨機分布.設(shè)定該網(wǎng)絡(luò)內(nèi)有30個移動節(jié)點，每個節(jié)點的通信傳輸范圍400m.每個節(jié)點的移動速度范圍為1m／s到10m／s.每個節(jié)點隨機選擇一個方向作為其目標方向，采用統(tǒng)一的移動速度和行為策略：一旦指定的節(jié)點到達了目的地，在那等待特定的時間后，然后再隨機地選擇另一個方向，開始下一次移動.

3.2 “黑洞”的仿真

“黑洞”是MANET網(wǎng)絡(luò)中極易出現(xiàn)的入侵方式.惡意節(jié)點偽裝此路徑為最佳路徑，使得數(shù)據(jù)包都流向此節(jié)點，就在網(wǎng)絡(luò)中形成了一個“黑洞”.從而對網(wǎng)絡(luò)進行攻擊［4－6］.圖2說明了 AODV 協(xié)議和基于Agent入侵檢測系統(tǒng)關(guān)于“黑洞”問題對比的仿真圖.

圖2 “黑洞”仿真圖

從圖2可以看出，在網(wǎng)絡(luò)正常情況下，AODV協(xié)議與基于Agent路由算法的傳輸率相差不大，在90%左右.當仿真一個惡意“黑洞”節(jié)點產(chǎn)生時，AODV協(xié)議下傳輸率大幅度下降（在30%左右），而基于移動Agent的入侵檢測系統(tǒng)仍保持較高的傳輸率（在80%左右），可以很好地解決“黑洞”的安全問題.

3.3 “蟲洞”的仿真

“蟲洞”攻擊也稱為隧道攻擊，是一種針對MANET路由協(xié)議的嚴重攻擊，它是在兩個串謀惡意結(jié)點間建立一條私有通道，攻擊者在網(wǎng)絡(luò)中的一個位置上記錄數(shù)據(jù)包或信息，通過此私有通道將竊取的信息傳遞到網(wǎng)絡(luò)的另外一個位置.圖3是AODV協(xié)議和基于Agent入侵檢測系統(tǒng)關(guān)于“蟲洞”問題對比的仿真圖.

圖3 蟲洞仿真圖

從圖3可以看出，在網(wǎng)絡(luò)正常情況下，AODV協(xié)議與基于Agent路由算法的傳輸率相差不大，在90%左右.當仿真兩個串通惡意蟲洞節(jié)點時，AODV協(xié)議下傳輸率大幅度下降（在65%左右），而基于移動Agent的入侵檢測系統(tǒng)仍保持較高的傳輸率（在85%左右），可以很好地解決“蟲洞”問題.

4 結(jié)束語

本文提出了一種在MANET網(wǎng)絡(luò)中基于移動Agent的入侵檢測系統(tǒng).該系統(tǒng)的基礎(chǔ)算法是基于移動Agent的路由算法.入侵檢測系統(tǒng)通過監(jiān)視器、本地判斷、綜合判斷、通信、路徑處理等子系統(tǒng)協(xié)同工作，當判斷出可疑行為超出了預(yù)警范圍時，發(fā)出告警信號，并采用繞路的措施；當可疑行為超出可容忍的范圍時，綜合考慮來自各個節(jié)點的告警信號，得出最終可靠的結(jié)論，并從網(wǎng)絡(luò)中徹底刪除該節(jié)點.在NS－2網(wǎng)絡(luò)仿真系統(tǒng)中對入侵檢測系統(tǒng)進行了仿真實驗.仿真結(jié)果顯示，本系統(tǒng)僅使用很少的Agent便獲得較多的全局信息，大大地減少維持節(jié)點信息而產(chǎn)生的開銷，具有很高的效率和魯棒性.

［1］Ramanathan R，Jason R.A brief overview of mobile Ad Hoc networks：challenges and directions［J］.IEEE Communications Magazine 50th anniversary issue，2002（5）：20－22.

［2］Lange D B.Mobile objects and mobile Agents：the future of distributed computing？［M］.Addison－Wesley，1998.

［3］Kachirski O，Guha R.Intrusion detection using mobile Agents in wireless Ad Hoc networks［C］／／IEEE Workshop on Knowledge Media Networking，Kyoto，JAPAN，2005.

［4］Tseng ChinYang，Balasubramanyam P.A specificationbased intrusion detection system for AODV［C］／／2003ACM Workshop on Security of Ad Hoc and Sensor Networks（SASN’03），F(xiàn)airfax，USA，October 2003.

［5］Michiardi P，Molva R.Core：a collaborative reputation mechanism to enforce node cooperation in mobile Ad Hoc networks［C］／／Sixth IFIP conference on security communications and multimedia，Slovenia，2004.

［6］Venkatraman L，Agrawal D P.Strategies for enhancing routing security in protocols for mobile Ad Hoc networks［J］.Journal of Parallel and Distributed Computing，2003，63（2）：214－227.