Ad Hoc網(wǎng)絡(luò)的入侵檢測系統(tǒng)研究

【摘 要】入侵檢測技術(shù)作為安全防范的第二道設(shè)施，是ad hoc 網(wǎng)絡(luò)獲得高抗毀性的必要手段。本文基于ad hoc 網(wǎng)絡(luò)的分簇結(jié)構(gòu)，運(yùn)用Agent技術(shù)設(shè)計了一個入侵檢測系統(tǒng)。同時，提出采用基于信任的簇劃分機(jī)制，完成對整個網(wǎng)絡(luò)簇的劃分，進(jìn)而對系統(tǒng)的不同Agent進(jìn)行任務(wù)分配，節(jié)省節(jié)點(diǎn)資源。

【關(guān)鍵詞】入侵檢測 ad hoc 網(wǎng)絡(luò) 成簇 信任

一、引言

ad hoc 網(wǎng)絡(luò)是由一組帶有無線收發(fā)裝置的移動主機(jī)組成的一個多跳的臨時性自治系統(tǒng)。由于ad hoc 網(wǎng)絡(luò)可以在任何時刻、任何地點(diǎn)不需要現(xiàn)有的信息基礎(chǔ)設(shè)施的支持，可以快速構(gòu)建一個移動無線網(wǎng)絡(luò)，被廣泛應(yīng)用于軍事戰(zhàn)備、緊急求援及室外會議等多種場合，具有廣闊的應(yīng)用前景。安全問題是移動ad hoc 網(wǎng)絡(luò)需要解決的重要問題，也是限制ad hoc 網(wǎng)絡(luò)向商業(yè)領(lǐng)域發(fā)展的一個絆腳石。

二、系統(tǒng)設(shè)計

Ad Hoc網(wǎng)絡(luò)與傳統(tǒng)有線網(wǎng)絡(luò)相比有著顯著不同的特點(diǎn)和嚴(yán)峻的限制條件，入侵檢測系統(tǒng)的設(shè)計必須滿足這些條件，保證其能有效地工作。借鑒已有Ad Hoc網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究，本文設(shè)計了一個入侵檢測系統(tǒng)。其結(jié)構(gòu)如圖1所示。

本地檢測Agent負(fù)責(zé)本地主機(jī)異常行為的檢測。該代理只有在節(jié)點(diǎn)被激活運(yùn)行時才運(yùn)行，且只處理本地數(shù)據(jù)。全局檢測Agent監(jiān)測鄰居節(jié)點(diǎn)的通信，收集通信范圍內(nèi)的數(shù)據(jù)包及簇內(nèi)成員節(jié)點(diǎn)報告的檢測消息。每一個IDS代理獨(dú)立運(yùn)行，其中本地檢測Agent模塊負(fù)責(zé)所在節(jié)點(diǎn)異常行為的檢測，根據(jù)檢測結(jié)果響應(yīng)入侵，將響應(yīng)結(jié)果存儲在響應(yīng)數(shù)據(jù)庫中，并發(fā)起響應(yīng)行為，如產(chǎn)生報警信息，由用戶采取措施。當(dāng)僅根據(jù)本地數(shù)據(jù)不能確定此節(jié)點(diǎn)是否遭遇入侵時，則將檢測信息向簇頭報告，請求簇頭給予協(xié)助。全局檢測Agent模塊監(jiān)控鄰節(jié)點(diǎn)的行為，收集通信范圍內(nèi)節(jié)點(diǎn)的通信行為及簇內(nèi)成員節(jié)點(diǎn)報告的檢測消息，根據(jù)檢測規(guī)則檢測入侵并響應(yīng)；同時通過安全通信模塊與網(wǎng)絡(luò)中其它簇頭節(jié)點(diǎn)的全局檢測代理通信，協(xié)同檢測復(fù)雜入侵。代理協(xié)同模塊整合存儲在響應(yīng)數(shù)據(jù)庫中的報警信息（節(jié)點(diǎn)的本地和全局檢測代理產(chǎn)生的報警信息），按照特定的格式存儲，方便本節(jié)點(diǎn)IDS代理或其它節(jié)點(diǎn)代理獲??；并與其它節(jié)點(diǎn)IDS代理安全通信，以獲取其它節(jié)點(diǎn)IDS代理產(chǎn)生的報警信息，協(xié)同信息確定入侵。最后，安全通信模塊負(fù)責(zé)為該系統(tǒng)中所有IDS代理間的通信提供一個高度可靠的渠道和環(huán)境。

（一）本地檢測Agent

網(wǎng)絡(luò)中每個移動節(jié)點(diǎn)都要運(yùn)行本地檢測Agent，它在節(jié)點(diǎn)被激活運(yùn)行時運(yùn)行，負(fù)責(zé)對本地主機(jī)異常行為的檢測。由本地監(jiān)視模塊、本地分析模塊和本地反應(yīng)模塊共同完成其功能。其中，本地監(jiān)視模塊主要完成本地原始數(shù)據(jù)（系統(tǒng)級與用戶級數(shù)據(jù)）的收集并對其進(jìn)行特征提取，然后交給本地分析模塊進(jìn)行入侵分析。如有入侵行為發(fā)生，則通知本地反應(yīng)模塊進(jìn)行本地系統(tǒng)保護(hù)；本地反應(yīng)模塊執(zhí)行本地保護(hù)策略，根據(jù)入侵進(jìn)行響應(yīng)，并將響應(yīng)結(jié)果存儲在響應(yīng)數(shù)據(jù)庫中。當(dāng)僅根據(jù)本地數(shù)據(jù)不能確定此節(jié)點(diǎn)是否遭遇入侵時，則將檢測信息向簇頭報告，請求簇頭全局檢測Agent協(xié)助檢測。

（二）全局檢測Agent

同時運(yùn)行所有的全局檢測Agent將極大地消耗網(wǎng)絡(luò)資源。因此只有足夠涵蓋整個網(wǎng)絡(luò)的部分節(jié)點(diǎn)（簇頭）才能同時運(yùn)行全局檢測Agent模塊，它隨著簇頭改變而移動。它負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)包并從中提取特征數(shù)據(jù)，分析并響應(yīng)入侵。

全局檢測Agent收集簇內(nèi)成員節(jié)點(diǎn)報告的檢測消息，與其它簇頭節(jié)點(diǎn)協(xié)同檢測復(fù)雜入侵，保證整個網(wǎng)絡(luò)的安全。

（三）響應(yīng)數(shù)據(jù)庫

每個節(jié)點(diǎn)包含一個響應(yīng)數(shù)據(jù)庫，用于存儲節(jié)點(diǎn)IDS代理產(chǎn)生的報警信息。信息的格式和大小取決于傳感網(wǎng)絡(luò)的屬性，如網(wǎng)絡(luò)協(xié)議等。但一般包含以下屬性：報警創(chuàng)建時間、分類和報警源。

（四）代理協(xié)同

本地和全局檢測Agent駐留在同一主機(jī)節(jié)點(diǎn)上，它們將檢測結(jié)果儲存在同一個響應(yīng)數(shù)據(jù)庫中。當(dāng)一個代理（本地或全局）想獲取可疑節(jié)點(diǎn)以前的行為信息時，它可以利用自己或其它代理產(chǎn)生的結(jié)果，因而達(dá)到了檢測的協(xié)同。在多數(shù)情況下，一個代理必須同其它節(jié)點(diǎn)的代理協(xié)作以獲得攻擊的更準(zhǔn)確信息、節(jié)點(diǎn)的更多信息、或聚合它們的響應(yīng)數(shù)據(jù)庫。因此代理必須通過安全通道與鄰居節(jié)點(diǎn)進(jìn)行安全通信，互換信息。利用已有的密鑰管理方案可容易地獲得ad hoc網(wǎng)絡(luò)鄰節(jié)點(diǎn)間的安全和認(rèn)證通信。

（五）簇劃分機(jī)制

采用基于信任的簇劃分機(jī)制，克服Ad Hoc網(wǎng)絡(luò)沒有清晰物理邊界，信息易于泄漏的嚴(yán)重缺陷。信任是對系統(tǒng)實體的期望行為和實際行為的一致性信賴。信任程度取決于對期望行為和實際行為一致性的相信程度，本系統(tǒng)中簇劃分機(jī)制是依據(jù)下述原則進(jìn)行：①每個簇是由多個主機(jī)組成的公共體，每個簇的成員通過信任程度進(jìn)行定義。②在每個簇中的組成成員的信任可能是持久的，其它主機(jī)能夠配置加入某簇，也能通過動態(tài)定義信任關(guān)系實現(xiàn)簇遷移以便創(chuàng)建自發(fā)區(qū)，一個主機(jī)可以屬于2個簇。③每個簇內(nèi)的各個成員可以安全地交換信息，采用基于策略的方法，保證簇內(nèi)安全。一個主機(jī)在其簇內(nèi)可以實現(xiàn)點(diǎn)到點(diǎn)通信和廣播通信。④每個主機(jī)獨(dú)立地檢測本地信號，在同一簇內(nèi)的鄰居主機(jī)可以協(xié)同檢測。簇之間的信任通過簇頭之間協(xié)同完成。一個主機(jī)對Ad Hoc網(wǎng)絡(luò)的訪問權(quán)限依賴于該主機(jī)是否屬于一個簇。

三、結(jié)束語

本文提出在Ad Hoc網(wǎng)絡(luò)環(huán)境下的入侵檢測技術(shù)的研究，作為其獲得安全特性的有效手段。在已有研究的基礎(chǔ)上，基于Ad Hoc網(wǎng)絡(luò)的分簇結(jié)構(gòu)，運(yùn)用Agent技術(shù)設(shè)計了一個入侵檢測系統(tǒng)，并給出了系統(tǒng)模型；同時，提出采用基于信任的簇劃分機(jī)制完成整個網(wǎng)絡(luò)簇的劃分，對系統(tǒng)的不同Agent進(jìn)行了合理分配，節(jié)省了節(jié)點(diǎn)資源。