可入侵檢測的移動Ad Hoc網(wǎng)絡(luò)安全綜合評價

黃雁，鄧元望，王志強，陳韜

?

可入侵檢測的移動Ad Hoc網(wǎng)絡(luò)安全綜合評價

黃雁1, 2，鄧元望1，王志強3，陳韜1

(1. 湖南大學(xué)機械與運載工程學(xué)院，湖南長沙，410082；2. 湖南現(xiàn)代物流職業(yè)技術(shù)學(xué)院，湖南長沙，410131；3. 湖南科技大學(xué)信息和電氣工程學(xué)院，湖南湘潭，411201)

為提高移動Ad Hoc網(wǎng)絡(luò)安全性能，將混沌免疫聚類算法嵌入移動Ad Hoc網(wǎng)絡(luò)，設(shè)計具有入侵檢測功能的移動Ad Hoc網(wǎng)絡(luò)，并據(jù)此構(gòu)建移動Ad Hoc網(wǎng)絡(luò)安全評價指標(biāo)體系。采用模糊理論改進指標(biāo)權(quán)重判斷矩陣建立模糊權(quán)重確定方法，同時采用將模糊理論和層次分析法相結(jié)合的方法建立可入侵檢測的移動Ad Hoc網(wǎng)絡(luò)安全綜合評價模型。研究結(jié)果表明：移動Ad Hoc網(wǎng)絡(luò)安全評價實例結(jié)果與入侵檢測仿真分析結(jié)果一致，可入侵檢測的移動Ad Hoc網(wǎng)絡(luò)安全性能較好，說明移動Ad Hoc網(wǎng)絡(luò)安全性能綜合評價方法是一種有效的評價方法。

移動Ad Hoc網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；模糊理論；層次分析方法；入侵檢測

移動Ad Hoc網(wǎng)絡(luò)(mobile Ad Hoc networks, MANETs)[1?2]作為一種新型的移動多跳無線網(wǎng)絡(luò)，最初應(yīng)用于軍事領(lǐng)域，如戰(zhàn)場上坦克之間和海面上艦艇之間的組網(wǎng)，但是由于其具有建網(wǎng)方式靈活、配置快捷方便、構(gòu)造成本較低等優(yōu)勢，逐漸運用于商業(yè)和民用環(huán)境之中，如會議數(shù)據(jù)交換、緊急援救、偏遠地區(qū)等一些需要臨時組網(wǎng)的應(yīng)用中[3?4]。由于移動Ad Hoc網(wǎng)絡(luò)中節(jié)點可任意移動，當(dāng)網(wǎng)絡(luò)處于敵對環(huán)境時，節(jié)點可能被截獲而泄露密鑰，攻擊方節(jié)點可持密鑰冒充合法節(jié)點加入網(wǎng)絡(luò)進行攻擊。與傳統(tǒng)的無線網(wǎng)絡(luò)和固定有線網(wǎng)絡(luò)相比，移動Ad Hoc網(wǎng)絡(luò)安全性更差，更容易遭受各種安全的威脅，如竊聽、偽造身份、重放、篡改報文和拒絕服務(wù)等。因此，移動Ad Hoc網(wǎng)絡(luò)更需要安全保障。為保障移動Ad Hoc網(wǎng)絡(luò)的安全，至今已提出密鑰分配與認(rèn)證[5?7]、路由安全算法[8?11]等安全方案，但這些方案并不能有效檢測及清除入侵者。而移動Ad Hoc網(wǎng)絡(luò)入侵檢測算法研究[12?14]為具有檢測和清除入侵者功能的移動Ad Hoc網(wǎng)絡(luò)的安全設(shè)計提供了很好的手段。目前，如何采用有效的異常檢測算法以及評價方法[15?18]對具有檢測和清除入侵者功能的移動Ad Hoc網(wǎng)絡(luò)的安全性能進行評價亟待解決。考慮到混沌優(yōu)化算法具有全局空間搜索的遍歷性特性和免疫聚類算法所具有全局搜索過程中的計算效率高、聚類能力強和并行性好等優(yōu)點，融合該2種算法的混沌免疫聚類算法則綜合了混沌優(yōu)化算法和免疫聚類算法的優(yōu)點，具有收斂速度快，搜索能力強的特點，為此，本文作者將混沌免疫聚類算法作為異常檢測算法嵌入移動Ad Hoc網(wǎng)絡(luò)，設(shè)計具有入侵檢測功能的移動Ad Hoc網(wǎng)絡(luò)，并據(jù)此構(gòu)建移動Ad Hoc網(wǎng)絡(luò)安全評價指標(biāo)體系，采用變權(quán)重模糊層次綜合評價方法對其安全性能進行評估。

1 可入侵檢測的移動Ad Hoc網(wǎng)絡(luò)

1.1 可入侵檢測的移動Ad Hoc網(wǎng)絡(luò)結(jié)構(gòu)

可入侵檢測的移動Ad Hoc網(wǎng)絡(luò)示意圖如圖1所示。為提高移動Ad Hoc網(wǎng)絡(luò)的安全性，在移動Ad Hoc網(wǎng)絡(luò)每個節(jié)點都配置1個自治的IDS Agent，以完成入侵檢測和響應(yīng)，從而可將移動Ad Hoc網(wǎng)絡(luò)所受入侵攻擊限制在較小范圍內(nèi)。獨立運行的任何IDS Agent可監(jiān)控所在節(jié)點的行為(包括用戶行為、入侵行為和網(wǎng)絡(luò)通信活動等)，并根據(jù)對移動Ad Hoc網(wǎng)絡(luò)的監(jiān)控結(jié)果進行入侵檢測。而任何獨立的節(jié)點可將入侵檢測的結(jié)果報告給相鄰的各節(jié)點，由相鄰節(jié)點完成異常預(yù)警的關(guān)聯(lián)和聚合。相鄰節(jié)點也可以相互協(xié)作，完成移動Ad Hoc網(wǎng)絡(luò)跨節(jié)點的入侵檢測。

圖1 可入侵檢測的移動Ad Hoc網(wǎng)絡(luò)

1.2 可入侵檢測的IDS Agent模型

移動Ad Hoc網(wǎng)絡(luò)的IDS Agent模型如圖 2所示。具有入侵檢測功能的移動Ad Hoc網(wǎng)絡(luò)的IDS Agent模型非常復(fù)雜，一般包括本地數(shù)據(jù)采集模塊、本地檢測引擎、關(guān)聯(lián)檢測引擎、混沌免疫聚類算法、本地響應(yīng)模塊、全局響應(yīng)模塊和安全通信模塊共7個模塊。

圖2 移動Ad Hoc網(wǎng)絡(luò)的IDS Agent模型

1)本地數(shù)據(jù)采集模塊。移動Ad Hoc網(wǎng)絡(luò)的IDS Agent包含1個本地數(shù)據(jù)采集模塊，所采集的數(shù)據(jù)信息主要包括網(wǎng)絡(luò)數(shù)據(jù)和日志數(shù)據(jù)。本地數(shù)據(jù)采集模塊采集并處理移動Ad Hoc網(wǎng)絡(luò)所處環(huán)境中各種信息源的跟蹤數(shù)據(jù)，并將輸出結(jié)果作為本地檢測引擎模塊的輸入。本地數(shù)據(jù)采集模塊主要包括數(shù)據(jù)過濾子層(其功能是選擇與入侵檢測相關(guān)的用戶和系統(tǒng)行為信息，如從日志記錄中選擇與路由變化相關(guān)的信息)和數(shù)據(jù)預(yù)處理子層(其功能是通過格式轉(zhuǎn)換或統(tǒng)計計算將過濾后的數(shù)據(jù)轉(zhuǎn)變?yōu)槿肭謾z測引擎模塊可用的信息)。

2) 本地檢測引擎模塊。本地檢測引擎模塊分析來自于移動Ad Hoc網(wǎng)絡(luò)中的本地數(shù)據(jù)采集模塊所傳輸?shù)漠惓Ｐ袨樾畔?，它既可分析移動Ad Hoc網(wǎng)絡(luò)誤用檢測，也可入侵檢測移動Ad Hoc網(wǎng)絡(luò)。

3) 關(guān)聯(lián)檢測引擎模塊。關(guān)聯(lián)檢測引擎模塊可實現(xiàn)移動Ad Hoc網(wǎng)絡(luò)各相鄰節(jié)點間傳播入侵檢測狀態(tài)信息的入侵檢測。顯然，任何節(jié)點都可獨立地決定移動Ad Hoc網(wǎng)絡(luò)是否處于被攻擊的狀態(tài)并啟動入侵響應(yīng)策略。若某節(jié)點檢測到某種異常入侵，并允許更廣范圍的調(diào)查，則該節(jié)點就可以啟動關(guān)聯(lián)全局入侵檢測 程序。

4) 混沌免疫聚類算法。采用混沌免疫聚類算法作為異常檢測算法對MANETs的AODV協(xié)議(Ad Hoc on demand distance vector routing, AODV)的黑洞攻擊、拒絕服務(wù)攻擊、重放攻擊和蟲洞攻擊等樣本數(shù)據(jù)進行聚類分析，可較好地實現(xiàn)對MANETs的AODV協(xié)議的攻擊量化分析。

5) 本地響應(yīng)模塊。本地響應(yīng)模塊的功能因移動Ad Hoc網(wǎng)絡(luò)中入侵攻擊類型、網(wǎng)絡(luò)協(xié)議類型、應(yīng)用場合以及入侵攻擊證據(jù)的可信度不同而不同：識別出被俘節(jié)點，并將該節(jié)點排除在移動Ad Hoc網(wǎng)絡(luò)外；在IDS的界面上給出告警指示。

6) 全局響應(yīng)模塊。全局響應(yīng)模塊負(fù)責(zé)調(diào)整移動Ad Hoc網(wǎng)絡(luò)中相鄰節(jié)點之間的行為，若發(fā)生入侵攻擊，則發(fā)送“重新鑒定”的請求提示給移動Ad Hoc網(wǎng)絡(luò)中其他節(jié)點，并對移動Ad Hoc網(wǎng)絡(luò)采取相應(yīng)的補救措施。

7) 安全通信模塊。安全通信模塊在移動Ad Hoc網(wǎng)絡(luò)中各個IDS Agent之間提供可靠的通信通道。通過各個ID Agent之間的商議，只有那些響應(yīng)了“重新鑒定”的移動Ad Hoc網(wǎng)絡(luò)節(jié)點之間的通信才被認(rèn)定為合法的通信。

1.3 混沌免疫聚類算法

混沌免疫聚類算法終止條件為：迭代次數(shù)超過設(shè)定的最大進化代數(shù)或者相鄰2代免疫網(wǎng)絡(luò)細胞的距離均值和網(wǎng)絡(luò)規(guī)模不再變化或者變化足夠小?；煦缑庖呔垲愃惴ǖ木唧w步驟如下。

Step 1輸入個抗原{g}，進行標(biāo)準(zhǔn)化處理。選擇式(1)作為產(chǎn)生(0, 1)間的個混沌變量作為初始化抗體。

Step 2對個抗原gj和個抗原bi操作如下。

Step 2.1分別計算第個抗體bi與抗原g的親和力α。

Step 2.2選擇親和力最高的個抗體作為網(wǎng)絡(luò)細胞。

Step 2.3對個被選擇的網(wǎng)絡(luò)細胞進行克隆操作。親和力越高的網(wǎng)絡(luò)細胞，克隆數(shù)d越多。

Step 2.4對克隆后的細胞應(yīng)用方程=?(?)進行變異操作(其中，為克隆抗體細胞，為克隆抗原細胞，為變異率)。

Step 2.5重新計算變異操作后的親和力。

Step 2.6選擇其中親和力最高的，作為部分記憶細胞數(shù)據(jù)集p。

Step 2.7計算第個抗體bi與第個抗體bj的相似度S，淘汰部分記憶細胞數(shù)據(jù)集p中相似度大于域值max的個體。

Step 3合并p到已經(jīng)得到的記憶數(shù)據(jù)集s中。

Step 4淘汰記憶數(shù)據(jù)集s中相似度大于max的個體。

Step 5選擇式(1)作為產(chǎn)生個(0, 1)間的個體，替換親和力低的個體，與上次免疫計算得到的記憶數(shù)據(jù)集s作為下一代免疫計算的抗體，并返回Step 2，直到達到網(wǎng)絡(luò)收斂為止。

2 移動Ad Hoc網(wǎng)絡(luò)安全綜合評價模型的建立

2.1 移動Ad Hoc網(wǎng)絡(luò)安全評價指標(biāo)體系

移動Ad Hoc網(wǎng)絡(luò)安全評價的目的是確保信息的完整性、可控性、保密性、可用性和信息行為的不可否認(rèn)性，因此，建立有效的移動Ad Hoc網(wǎng)絡(luò)安全評價指標(biāo)體系是對移動Ad Hoc網(wǎng)絡(luò)進行有效評價的必要條件。圖3所示移動Ad Hoc網(wǎng)絡(luò)安全評價體系分為目標(biāo)層、一級指標(biāo)層u和二級指標(biāo)層u，其中一級指標(biāo)層由管理安全1、數(shù)據(jù)安全2、軟件安全3、環(huán)境安全4、硬件安全5和安全措施6共6個子目標(biāo)組成，而二級目標(biāo)包括20個因素u。

圖3 移動Ad Hoc網(wǎng)絡(luò)安全評價指標(biāo)體系

2.2 移動Ad Hoc網(wǎng)絡(luò)安全指標(biāo)權(quán)重構(gòu)建

在傳統(tǒng)的評價模型中，一般通過專家咨詢的方法用1~9之間的整數(shù)表示同層指標(biāo)A與A兩兩因素之間的相對重要性程度。盡管該方法在一定程度上能很好地表征兩兩因素之間的關(guān)系，但該方法將定性判斷直接轉(zhuǎn)變?yōu)槎糠治?，未體現(xiàn)人類大腦判斷上的模糊性。為此，利用模糊理論構(gòu)建移動Ad Hoc網(wǎng)絡(luò)安全指標(biāo)權(quán)重的模糊判斷矩陣，突出體現(xiàn)專家評判過程中的不確定性(模糊性)。

2.2.1 模糊判斷矩陣的構(gòu)造

模糊判斷矩陣的優(yōu)勢在于對于每一個指標(biāo)的評判結(jié)果都有1個模糊評判區(qū)間：e=u?l(其中，u為評判結(jié)果的最大值，l為評判結(jié)果的最小值)。該評判區(qū)間反映專家評判結(jié)果的可信度，e越小，則判可信度越高。

移動Ad Hoc網(wǎng)絡(luò)安全指標(biāo)權(quán)重模糊評斷矩陣中的元素w可定義為

w=[l,m,u] (4)

式中：≤m≤u；為模糊評斷結(jié)果的中值。

當(dāng)有位專家進行評斷時，評斷矩陣中各指標(biāo)的下限、中值和上限可分別表示為：

l=min(w) (5)

u=max(w) (6)

式中：為第個專家對A與A相對重要程度的判斷。根據(jù)移動Ad Hoc網(wǎng)絡(luò)安全專家組進行模糊評價，構(gòu)建移動Ad Hoc網(wǎng)絡(luò)安全指標(biāo)權(quán)重模糊判斷矩陣。

2.2.2 去模糊化處理

模糊判斷矩陣是專家針對評判指標(biāo)重要程度的模糊判斷，不能直接用于對評判系統(tǒng)進行定量分析，因而，要將模糊判斷矩陣轉(zhuǎn)化為非模糊判斷矩陣(去模糊化)，使其能在評判系統(tǒng)中直接運用。為此，采用以下4式進行去模糊化處理。

式中：為決策者的偏好系數(shù)，0≤≤1，反映判斷的不確定性，越小，則反映不確定性越大；為決策者的風(fēng)險容忍度，0≤≤1，越小，則表明決策者越樂觀；為決策者的偏好系數(shù)為時對A與A兩因素相對重要程度的判斷；為決策者的偏好系數(shù)為時評判結(jié)果的最大值；為的轉(zhuǎn)置矩陣；為決策者的偏好系數(shù)為時評判結(jié)果的最小值。

經(jīng)去模糊化后可得到移動Ad Hoc網(wǎng)絡(luò)安全指標(biāo)權(quán)重模糊評斷矩陣()。

2.2.3 權(quán)重計算

根據(jù)去模糊化后的移動Ad Hoc網(wǎng)絡(luò)安全指標(biāo)權(quán)重模糊評斷矩陣()計算其最大特征值max和特征向量，對其進行歸一化處理得到同層次相應(yīng)元素對上一層次某指標(biāo)的相對重要性的權(quán)重。

由于專家對各個指標(biāo)的重要性判斷存在差異，為確保評價中思維判斷的一致性，需要對判斷()進行一致性檢驗。判斷矩陣的一致性指標(biāo)(I)和一致性比率(R)分別由以下公式確定：

I=(max?)/(?1) (13)

R=I/I(14)

式中：為判斷矩陣階數(shù)；I為平均隨機一致性指標(biāo)，其值可以通過查閱平均隨機一致性指標(biāo)表得到。當(dāng)R＜0.10時，判斷矩陣具有滿意的一致性，專家判斷結(jié)果可以接受；反之，則認(rèn)為專家判斷結(jié)果一致性較差，需要重新進行新一輪判斷，構(gòu)建新的判斷矩陣，直到R＜0.10時才停止。

2.3 模糊層次評價方法

模糊評價方法可將一些邊界不清、不易量化的因素定量化，經(jīng)模糊轉(zhuǎn)化后對其進行評價。層次分析可將評判因素按相關(guān)屬性從高層向低層逐級分解細化，使其形成多層次的隸屬關(guān)系，將復(fù)雜的決策問題分解構(gòu)建成若干個簡單的決策系統(tǒng)。模糊層次綜合評價就是將二者有機結(jié)合在一起，其基本思想是用層次分析法確定各級指標(biāo)對目標(biāo)的影響權(quán)重，以分層的形式確定各層對上層模糊聚類因子的權(quán)重，采用合成法確定低層對高層的權(quán)重，從最低層向高層逐層進行單層次綜合評判，最后完成對評價對象的綜合評判。

移動Ad Hoc網(wǎng)絡(luò)安全模糊層次評價模型涉及3個基本要素，即評價指標(biāo)體系、評語等級和模糊矩陣。基于移動Ad Hoc網(wǎng)絡(luò)安全指標(biāo)體系通過構(gòu)造等級模糊子集把反映移動Ad Hoc網(wǎng)絡(luò)安全評價對象的模糊指標(biāo)量化，然后利用模糊變換原理對移動Ad Hoc網(wǎng)絡(luò)安全各指標(biāo)進行評價。

2.3.1 評語等級論域的建立

評語等級論域為對評價對象的評價結(jié)果的等級集合，每個評語等級可對應(yīng)1個模糊子集，評語等級論域中模糊子集個數(shù)一般根據(jù)評價指標(biāo)體系的不同取3~7的整數(shù)。

={1,2,…,v} (15)

將移動Ad Hoc網(wǎng)絡(luò)安全等級分為A，B，C和D共4個等級，分別對應(yīng)移動Ad Hoc網(wǎng)絡(luò)安全級別為很高、較高、一般和較低，將安全級別總分設(shè)為100分，則安全等級對應(yīng)安全分值和安全級別如表1所示。

表1 移動Ad Hoc網(wǎng)絡(luò)安全等級

2.3.2 移動Ad Hoc網(wǎng)絡(luò)安全模糊評價矩陣的構(gòu)建

移動Ad Hoc網(wǎng)絡(luò)安全評價指標(biāo)體系的第1層評價指標(biāo)集為{1,2,3,4,5,6}，第2層評價指標(biāo)集為u={u1,u2,…,u}?；诘?層評價指標(biāo)中各個因素對評語集的隸屬度r(x)，得到單層單因素模糊矩陣[(x)1(x)2…,(x)](表示u中第個因素的評價結(jié)果)，構(gòu)建移動Ad Hoc網(wǎng)絡(luò)安全單層模糊評價矩陣：

式中：r(x)為u中第1層項指標(biāo)的第個因素對評語集中v的隸屬度。

2.3.3 隸屬度確定

模糊評價關(guān)系矩陣的構(gòu)建關(guān)鍵在于選擇適合的隸屬函數(shù)，并計算移動Ad Hoc網(wǎng)絡(luò)安全各指標(biāo)因素相對評語集的隸屬度，即確定影響移動Ad Hoc網(wǎng)絡(luò)安全第2層指標(biāo)的各因素對應(yīng)評語集的隸屬度。以降半與升半的隸屬度函數(shù)為例進行說明(見圖4)，計算公式如下：

式中：x為第個質(zhì)量指標(biāo)的測度；x0，x1，x2，x3，x4和x5為第個質(zhì)量指標(biāo)的界限值。

第個質(zhì)量指標(biāo)的測度x和第個質(zhì)量指標(biāo)的界限值x0，x1，x2，x3，x4和x-5的取值根據(jù)各質(zhì)量評價指標(biāo)的特點和性質(zhì)確定。對于越大越好的指標(biāo)，從大到小排列順序；對于越小越好的指標(biāo)，排列順序從小到大；對于定量參數(shù)，可直接取它的實際值。對于非定量參數(shù)，可采取打分衡量的形式確定。

2.3.4 綜合評價

采用去模糊化后的移動Ad Hoc網(wǎng)絡(luò)安全指標(biāo)權(quán)重模糊評斷矩陣()和模糊評價矩陣R評價移動Ad Hoc網(wǎng)絡(luò)安全的等級。首先需要對第2層指標(biāo)進行評價，再根據(jù)第2層評價結(jié)果對整個移動Ad Hoc網(wǎng)絡(luò)安全評價指標(biāo)進行綜合評價，其移動Ad Hoc網(wǎng)絡(luò)安全綜合評價模型如圖5所示。

圖5 移動Ad Hoc網(wǎng)絡(luò)安全綜合評價模型

先對移動Ad Hoc網(wǎng)絡(luò)安全指標(biāo)u的下屬各因素u進行模糊權(quán)重判斷得到權(quán)重向量，再根據(jù)模糊隸屬函數(shù)得到下屬各因素的模糊評價矩陣，從而可以獲得該指標(biāo)的模糊評價矩陣。

[1·1,2·2, …,·] (21)

根據(jù)移動Ad Hoc網(wǎng)絡(luò)安全指標(biāo)u的模糊評價矩陣和權(quán)重向量可對移動Ad Hoc網(wǎng)絡(luò)安全的等級進行評價，求得某方案的安全等級在評語論域中的隸屬情況，并基于此對該方案的安全等級進行判定。

=·=[1,2,3,4] (22)

移動Ad Hoc網(wǎng)絡(luò)安全評估值可表示為

=T(23)

式中：為評價集中對應(yīng)的分?jǐn)?shù)向量。評分表如表1所示。

2.4 實例評價

依據(jù)建立的移動Ad Hoc網(wǎng)絡(luò)安全評價模型對某移動Ad Hoc網(wǎng)絡(luò)進行安全評估?；诮⒌囊苿覣d Hoc網(wǎng)絡(luò)安全安全指標(biāo)體系，利用式(8)中網(wǎng)絡(luò)安全領(lǐng)域內(nèi)專家的賦值構(gòu)建模糊判斷矩陣，并計算各指標(biāo)的權(quán)重。表2所示為管理安全指標(biāo)下屬因素的權(quán)重模糊判斷矩陣。

表2 管理安全指標(biāo)的模糊判斷矩陣

根據(jù)式(9)~(12)可以得到上述模糊判斷矩陣的去模糊化判斷矩陣，并通過計算得到各因素的權(quán)重，如表3所示。

表3 去模糊化后判斷矩陣及權(quán)重

移動Ad Hoc網(wǎng)絡(luò)安全評價指標(biāo)體系中的二級指標(biāo)既有能定量評價的指標(biāo)，也有只能定性分析的指標(biāo)，因此，需要采用專家打分和模糊隸屬度函數(shù)相結(jié)合的方法來計算其隸屬度，即首先確定評價指標(biāo)的界限值，然后根據(jù)二級指標(biāo)的狀態(tài)打分法，通過模糊隸屬度函數(shù)計算其隸屬度。管理安全指標(biāo)1的模糊評價矩陣1為

根據(jù)管理安全指標(biāo)1的模糊評價矩陣1以及權(quán)重向量1可以得到管理安全指標(biāo)的模糊評價向量。基于同樣的方法可以計算其他一級指標(biāo)的模糊評價向量，從而得到移動Ad Hoc網(wǎng)絡(luò)安全總的模糊評價矩陣。

此外，利用網(wǎng)絡(luò)安全領(lǐng)域內(nèi)專家的賦值構(gòu)建模糊判斷矩陣，并計算移動Ad Hoc網(wǎng)絡(luò)安全總指標(biāo)的權(quán)重向量，從而可以得到移動Ad Hoc網(wǎng)絡(luò)安全綜合評價結(jié)果。

=·=[0.457 5, 0.220 0, 0.170 6, 0.045 7] (26)

移動Ad Hoc網(wǎng)絡(luò)安全評價值=T=72.44。

根據(jù)移動Ad Hoc網(wǎng)絡(luò)安全等級對應(yīng)安全分值和安全級別可知該網(wǎng)絡(luò)安全方案的評價屬于B級“較高”的水平，并與實際結(jié)果較吻合。

由式(25)可知：軟件安全3、硬件安全5和安全措施6的評價值較低，應(yīng)該從操作系統(tǒng)、應(yīng)用軟件、防毒軟件、漏洞掃描、防火墻、入侵檢測、容錯備份、應(yīng)急響應(yīng)和應(yīng)變措施等方面提高可入侵檢測的移動Ad Hoc網(wǎng)絡(luò)安全程度。

3 移動Ad Hoc網(wǎng)絡(luò)入侵檢測分析

3.1 黑洞攻擊

在移動Ad Hoc網(wǎng)絡(luò)入侵檢測中，黑洞攻擊的特點是惡意節(jié)點向環(huán)境中周圍所有的節(jié)點廣播它有最短路徑，是最典型的移動Ad Hoc網(wǎng)絡(luò)入侵行為。因此，本文以MANETs的AODV協(xié)議(Ad Hoc on demand distance vector routing)為例，將黑洞攻擊作為針對AODV的典型DoS攻擊。在 AODV中，惡意的節(jié)點對選定的源節(jié)點和目的廣播擁有假的最大序列號的 ROUTE_REQUEST。若該惡意節(jié)點選定其他源節(jié)點發(fā)送 ROUTE_REQUEST，則最終它將攻陷整個移動Ad Hoc網(wǎng)絡(luò)，導(dǎo)致移動Ad Hoc網(wǎng)絡(luò)上形成1個吸收(只進不出)數(shù)據(jù)的黑洞。

3.2 流量特征數(shù)據(jù)預(yù)處理

在 AODV路由協(xié)議中，移動Ad Hoc網(wǎng)絡(luò)入侵檢測中和流量相關(guān)的所有特征有100多個，選取表4中與DoS攻擊相關(guān)的4個流量特征數(shù)據(jù)進行預(yù)處理，并采用10-folder cross validation方法分割訓(xùn)練數(shù)據(jù)和檢測數(shù)據(jù)，取得多次檢測的檢測率平均值。

表4 移動Ad Hoc網(wǎng)絡(luò)中相鄰節(jié)點流量特征

3.3 移動Ad Hoc網(wǎng)絡(luò)入侵檢測實驗結(jié)果及分析

在移動Ad Hoc網(wǎng)絡(luò)入侵檢測實驗中，AODV協(xié)議及黑洞攻擊的仿真平臺為ns22.3.0，仿真時間為900 s。

檢測率是移動Ad Hoc網(wǎng)絡(luò)入侵檢測性能的重要指標(biāo)。當(dāng)訓(xùn)練數(shù)據(jù)集數(shù)目最大為100，噪聲為5%和15%時，混沌免疫聚類算法、文獻[19]中算法和文獻[20]中算法的檢測率如圖6所示。

(a) 5%噪聲；(b) 15%噪聲1—混沌免疫聚類算法；2—文獻[19]中算法；3—文獻[20]中算法。

從圖6(a)可以看出：當(dāng)候選樣本較小時，混沌免疫聚類算法的檢測率變化范圍比文獻[19]中算法和[20]中算法的檢測率變化范圍大。但隨著樣本集樣本數(shù)的增加，混沌免疫聚類算法的檢測率迅速收斂并達到一個穩(wěn)定值，性能比文獻[19]和[20]中算法要高，且具有收斂速度快、搜索能力強的特點。從圖6(b)可以看出：雖然增大了噪聲，但混沌免疫聚類算法的檢測率在訓(xùn)練數(shù)據(jù)集達到一定數(shù)目后穩(wěn)定收斂，并且檢測率比文獻[19]和文獻[20]中算法的高。同時，達到一定的檢測率對訓(xùn)練樣本的要求減少，意味著計算延遲降低。可見，本文檢測率計算值明顯高于文獻[19]和[20]中算法的檢測率仿真值。

4 結(jié)論

1) 將混沌免疫聚類算法作為異常檢測算法嵌入移動Ad Hoc網(wǎng)絡(luò)，設(shè)計具有入侵檢測功能的移動Ad Hoc網(wǎng)絡(luò)。移動Ad Hoc網(wǎng)絡(luò)具有收斂速度快、搜索能力強的可入侵檢測功能。

2) 構(gòu)建了移動Ad Hoc網(wǎng)絡(luò)安全評價指標(biāo)體系，采用模糊理論改進指標(biāo)權(quán)重判斷矩陣并建立了模糊權(quán)重確定方法，同時采用模糊理論和層次分析相結(jié)合的方法建立了可入侵檢測的移動Ad Hoc網(wǎng)絡(luò)安全綜合評價模型。該移動Ad Hoc網(wǎng)絡(luò)安全等級屬于“較高”的水平，并與實際結(jié)果較吻合。

[1] KOK G X, CHOW C O, XU Y H, et al. Sensor-free route stability metric for mobile Ad Hoc networks[J]. Computer Networks, 2016, 100: 166?178.

[2] CARVALHO T, JúNIOR J J, FRANCêS R. A new cross-layer routing with energy awareness in hybrid mobile Ad Hoc networks: a fuzzy-based mechanism[J]. Simulation Modelling Practice and Theory, 2016, 63: 1?22.

[3] SARKAR S, DATTA R. A secure and energy-efficient stochastic multipath routing for self-organized mobile Ad Hoc networks[J]. Ad Hoc Networks, 2016, 37(2): 209?227.

[4] XIA Hui, YU Jia, TIAN Chengliang, et al. Light-weight trust-enhanced on-demand multi-path routing in mobile Ad Hoc networks[J]. Journal of Network and Computer Applications, 2016, 62: 112?127.

[5] NARULA P, DHURANDHER S K, MISRA S, et al. Security in mobile Ad Hoc networks using soft encryption and trust-based multi-path routing[J]. Computer Communications, 2008, 31(4): 760?769.

[6] KOMNINOS N, VERGADOS D D, DOULIGERIS C. Authentication in a layered security approach for mobile ad Hoc networks[J]. Computers & Security, 2007, 26(5): 373?380.

[7] FENG Li, LI Zili, ZHANG Yi. Security bootstrap model of key pre-sharing by polynomial group in mobile Ad Hoc Network[J]. Journal of Network and Computer Applications, 2009, 32(4): 781?787.

[8] VIJAYAKUMAR A, SELVAMANI K, KUMAR A P. Reputed packet delivery using efficient audit misbehaviour detection and monitoring method in mobile Ad Hoc networks[J]. Procedia Computer Science, 2015, 48: 489?496.

[9] KRISHNAN D. A distributed self-adaptive intrusion detection system for mobile Ad-Hoc networks using tamper evident mobile agents[J]. Procedia Computer Science, 2015, 46: 1203?1208.

[10] KUMAR V, KUMAR R. An adaptive approach for detection of blackhole attack in mobile Ad Hoc network[J]. Procedia Computer Science, 2015, 48: 472?479.

[11] LAL N, KUMAR S, SAXENA A, et al. Detection of malicious node behaviour via I-watchdog protocol in mobile Ad Hoc network with DSDV routing scheme[J]. Procedia Computer Science, 2015, 49: 264?273.

[12] 楊春, 楊海東, 鄧飛其. 移動自組網(wǎng)絡(luò)入侵檢測中主動學(xué)習(xí)算法的應(yīng)用[J]. 計算機工程與應(yīng)用, 2007, 43(31): 16?18. YANG Chun, YANG Haidong, DENG Feiqi. Application of active learning algorithms to intrusion detection of mobile Ad-Hoc Networks[J]. Computer Engineering and Applications, 2007, 43(31): 16?18.

[13] 楊海東, 鄂加強. 自適應(yīng)變尺度混沌免疫優(yōu)化算法及其應(yīng)用[J]. 控制理論與應(yīng)用, 2009, 26(10): 1069?1074. YANG Haidong, E Jiaqiang. An adaptive chaos immune optimization algorithm with mutative scale and its application[J]. Control Theory and Applications, 2009, 26(10): 1069?1074.

[14] 郭建華, 楊海東. 基于支持向量機免疫集成預(yù)測的電信網(wǎng)絡(luò)性能監(jiān)控[J]. 中南大學(xué)學(xué)報(自然科學(xué)版), 2012, 43(3): 1020?1026. GUO Jianhua, YANG Haidong. Telecom networks performance monitoring based on artificial immune support vector regression[J]. Journal of Central South University (Science and Technology), 2012, 43(3): 1020?1026.

[15] 高翔, 祝躍飛, 劉勝利. 應(yīng)用三角模糊矩陣博弈的網(wǎng)絡(luò)安全評估研究[J]. 西安交通大學(xué)學(xué)報, 2013, 47(8): 49?53. GAO Xiang, ZHU Yuefei, LIU Shengli. Networks security assessment based on triangular fuzzy matrix game[J]. Journal of Xi’an Jiao Tong University, 2013, 47(8): 49?53.

[16] SHI Jiaoli. Security risk assessment about enterprise networks on the base of simulated attacks[J]. Procedia Engineering, 2011, 24: 272?277.

[17] CHENG Xiaorong, LANG Su, LI Mingxuan. Research of network security situational assessment quantization based on mobile agent[J]. Physics Procedia, 2012, 25: 1701?1707.

[18] SEKHAR P, MOHANTY S. An online power system static security assessment module using multi-layer perception and radial basis function network[J]. International Journal of Electrical Power & Energy Systems, 2016, 76: 165?173.

[19] WANG Shuangying, ZUO Hongyan. Safety diagnosis on coal mine production system based on fuzzy logic inference[J]. Journal of Central South University, 2012, 19(2): 477?481.

[20] WOSNIACK M E, RAPOSO E P, VISWANATHAN G M, et al. A parallel algorithm for random searches[J]. Computer Physics Communications, 2015, 196: 390?397.

Comprehensive evaluation of security of mobile Ad Hoc network with intrusion detection

HUANG Yan1, 2, DENG Yuanwang1, WANG Zhiqiang3, CHEN TAO1

(1. College of Mechanical and Vehicle Engineering, Hunan University, Changsha 410082, China; 2. Hunan Vocational College of Modern Logistics, Changsha 410131, China; 3. College of Informational and Electrical Engineering, Hunan University of Science and Technology, Xiangtan 411201, China)

In order to enhance the performance security of mobile Ad Hoc network, a mobile Ad Hoc network with intrusion detection was designed after a chaotic immune clustering algorithm was embedded into mobile Ad Hoc network and the security evaluation index system of the mobile Ad Hoc network was built. Moreover, fuzzy weight judgment matrix with fuzzy theory was used to establish fuzzy weight determination method, and a comprehensive evaluation of the security of mobile Ad Hoc network with intrusion detection was established based on fuzzy theory and analytic hierarchy. The results show that the security evaluation example results and intrusion detection simulation results of the mobile Ad Hoc network are consistent, the security performance of mobile Ad Hoc network with the intrusion detection is fine, which shows that the comprehensive evaluation of the security of mobile Ad Hoc network with intrusion detection is a kind of effective comprehensive evaluation method for network security.

mobile Ad Hoc network; network security; fuzzy theory; analytic hierarchy process; intrusion detection

10.11817/j.issn.1672-7207.2016.09.017

TP390；TP393

A

1672?7207(2016)09?3031?09

2016?04?08；

2016?06?28

國家自然科學(xué)基金資助項目(51176045)；湖南省教育廳科技項目(12C0123,11C0403) (Project(51176045) supported by the National Natural Science Foundation of China; Projects(12C0123, 11C0403) supported by Scientific Research Foundation of Department of Education of Hunan Province)

黃雁，講師，湖南大學(xué)訪問學(xué)者，從事智能算法與信息安全技術(shù)研究；E-mail: hnhuangyan2016@126.com

(編輯 陳燦華)