基于可編程移動代理的MANETs分布式入侵檢測方法

張雙 周森鑫

摘要： [目的/意義]隨著互聯(lián)網(wǎng)和大數(shù)據(jù)的迅猛發(fā)展，網(wǎng)絡(luò)安全問題成為了當(dāng)下人們關(guān)注的熱點。為了更好的防御主要的網(wǎng)絡(luò)安全攻擊，提出了一種基于可編程移動代理的MANETs分布式自適應(yīng)入侵檢測系統(tǒng)的方法。[方法]首先，把通用的入侵檢測模型結(jié)合到入侵檢測系統(tǒng)中，考慮到（MANETs）無線自組織網(wǎng)系統(tǒng)的關(guān)鍵功能，然后提出了基于規(guī)則和基于行為的入侵檢測模型。[結(jié)果]方案的提出解決了MANETs中入侵檢測系統(tǒng)安裝面臨的固有挑戰(zhàn)。用移動代理的可篡改性去檢測任何潛在的試圖破壞他們所攜帶的攻擊相關(guān)的數(shù)據(jù)。

Abstract： [Objective/significance] With the rapid development of Internet and big data， network security has become the focus of attention. In order to better defend the main network security attacks， a method of MANETs distributed adaptive intrusion detection system based on programmable mobile agent is proposed. [Method] Firstly， it integrates the common intrusion detection model with intrusion detection system and takes into account the key function of wireless ad hoc network system， and then puts forward rule-based and behavior-based intrusion detection model.[Result] The proposed scheme solves the inherent challenge of intrusion detection system installation in MANETs. It uses the tampered nature of mobile agents to detect the any data with potential attempt.

關(guān)鍵詞： MANETs；移動代理；入侵檢測系統(tǒng)；可篡改性

Key words： MANETs；mobile agent；intrusion detection system；tampered nature

中圖分類號：TP393.0 文獻標(biāo)識碼：A 文章編號：1006-4311（2018）11-0079-03

0 引言

隨著互聯(lián)網(wǎng)和大數(shù)據(jù)的迅猛發(fā)展，網(wǎng)絡(luò)安全問題成為了當(dāng)下人們關(guān)注的熱點。在最近幾十年中，無線自組織網(wǎng)絡(luò)系統(tǒng)已被廣泛應(yīng)用于許多關(guān)鍵應(yīng)用中且這一突出的技術(shù)的廣泛使用的安全性成為一個具有挑戰(zhàn)性的問題。這主要是由于自組織網(wǎng)絡(luò)的設(shè)計特性，像無基礎(chǔ)結(jié)構(gòu)的對等多跳網(wǎng)絡(luò)體系、共享無線介質(zhì)、嚴(yán)格的功率和帶寬的限制，最重要的是，頻繁變化的信道接入和路由決策的高度動態(tài)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。相比于以有線網(wǎng)絡(luò)為基礎(chǔ)的傳統(tǒng)的基礎(chǔ)設(shè)施來說無線自組織網(wǎng)絡(luò)面臨更多的安全問題。因此，高效率的安全機制是時刻需要的。本文集中從入侵檢測系統(tǒng)方面考慮，因為它始終是抵御攻擊的一個主要的防線和一種廣泛接受的主動防御策略。

該方案的設(shè)計考慮動態(tài)特性的MANETs及其各種相關(guān)約束。它提供了一個基于可編程移動代理的重量輕，低開銷的入侵檢測方案。這個方案的好處是基于行為和基于規(guī)則的計劃?；谛袨榈姆椒ㄊ且来渭由细咝У哪：壿嬘?xùn)練計劃以顯著減少誤報和提高檢出率。它的亮點是通過使其可編程來確保其代理的安全性。這種方法的美觀性和有效性是整個IDS計劃圍繞使用編程和動態(tài)的移動代理來實現(xiàn)所有的功能。

1 入侵檢測系統(tǒng)的概述

1.1 網(wǎng)絡(luò)入侵檢測技術(shù)的簡要概述系

根據(jù)監(jiān)視的對象不同，入侵檢測系統(tǒng)分為[1]基于主機入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)入侵檢測系統(tǒng)和基于應(yīng)用入侵檢測系統(tǒng)?；诰W(wǎng)絡(luò)入侵檢測系統(tǒng)[2]指通過捕獲并分析出現(xiàn)在共享網(wǎng)段[3]上的網(wǎng)絡(luò)分組來檢測入侵行為，目前隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)規(guī)模的不斷擴大，在市場上處于主導(dǎo)地位。

按照功能劃分，網(wǎng)絡(luò)入侵檢測系統(tǒng)包括四個基本組件[4]，即事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫。網(wǎng)絡(luò)入侵檢測系統(tǒng)框架如圖1所示。

1.2 入侵檢測系統(tǒng)方案的方向

一種常用的入侵檢測系統(tǒng)分類方案是基于行為的檢測，它是建立在長期監(jiān)測和分類的預(yù)期/正?；虍惓！Ｓ捎趧討B(tài)性質(zhì)導(dǎo)致隨機通信模式使這個計劃去實施是非常具有挑戰(zhàn)性的。另一種方法是基于規(guī)則的模型，該模型需要維護一個廣泛的數(shù)據(jù)庫的所有攻擊模式，并需要定期在每個節(jié)點進行更新。這種方法不能獨立實施，因為它會帶來更多的計算成本和可能無法有效地檢測新的攻擊。

入侵檢測系統(tǒng)分類的另一個方向是分布式Vs集中式方案。分布式入侵檢測系統(tǒng)計劃使用合作的檢測策略去確定一個攻擊，而在集中式的方法決定是單方面采取的。還有一個分類與功能的分布有關(guān)的平面和分層的方法。在扁平體系結(jié)構(gòu)中，網(wǎng)絡(luò)中的每個節(jié)點共享相同的責(zé)任、在入侵檢測中的任務(wù)和決定的制定，而層次結(jié)構(gòu)，節(jié)點具有用一個根節(jié)點控制決策的不同的功能。

1.3 MANETs相關(guān)的研究進展

對于MANETs的入侵檢測系統(tǒng)的設(shè)計中已經(jīng)做了一些努力，但其中大多數(shù)不能提供一個涵蓋MANET安全的各個方面高效的和可靠的方案。這一領(lǐng)域的開拓性工作之一是由Zhang and Lee在他們描述的一個分布式和協(xié)作的入侵檢測系統(tǒng)的MANETs[5]。在這個模型中，他們使用了一個扁平的體系結(jié)構(gòu)和部署在移動節(jié)點的入侵檢測系統(tǒng)代理是同等重要的。然而，它們在各自的節(jié)點尋找惡意活動且它只在沒有確鑿證據(jù)的情況下，入侵檢測采用合作投票方法進行。入侵檢測是在分布式和合作的方式，但在核心上它的功能在一個扁平結(jié)構(gòu)上。

另一個相關(guān)的結(jié)構(gòu)是由史米斯提出的基于移動代理的入侵檢測系統(tǒng)結(jié)構(gòu)的MANETS[6]。史米斯的工作方向與前一個相類似，一個扁平的體系結(jié)構(gòu)和分布式協(xié)作方式用于入侵檢測中。這種模式和文獻[1]中解釋的區(qū)別在于它對通信來說使用的代理是靜態(tài)的，遵循RPC計劃，而史米斯利用的是移動代理。

本文提出的工作中，已經(jīng)從提出的優(yōu)化設(shè)計的安全領(lǐng)導(dǎo)者選舉算法[7]中畫出了移動網(wǎng)絡(luò)邏輯劃分的概念和從工作中選擇簇頭的思路，用于部署各種網(wǎng)絡(luò)監(jiān)控代理的網(wǎng)絡(luò)節(jié)點選擇。

1.4 方案的相關(guān)工作及動機的比較分析

這一部分從有效性、效率、自我安全和適應(yīng)性、自我學(xué)習(xí)等多方面要求上對相關(guān)方法進行了廣泛的分析。

有效性：研究工作遵循一個扁平架構(gòu)的入侵檢測和中層次結(jié)構(gòu)。入侵檢測系統(tǒng)模型的有效性是高度依賴于所使用的ID算法和算法的執(zhí)行方法。雖然采用分布式和協(xié)作的方法，它患有扁平架構(gòu)的缺點。任何缺陷或錯誤的參與節(jié)點的功能可以在一個扁平的和集中式架構(gòu)中嚴(yán)格地劃分有效性。由于這一點，對于補償有效性入侵檢測來說分層和模塊化的方法將是一個更好的選擇。

效率：一個有效的入侵檢測系統(tǒng)模型應(yīng)盡量減少網(wǎng)絡(luò)的使用和主機資源，如CPU功率、帶寬和電池電量。一個平面結(jié)構(gòu)相比于分層方案在以下兩個方面遭受潛在的挫折。有相當(dāng)大的帶寬消耗相關(guān)的所有參與節(jié)點之間的數(shù)據(jù)交換和過度利用的節(jié)點資源，由于復(fù)制ID功能在每一個節(jié)點上而不是專門的任務(wù)分布在分層方案。

自安全性和適應(yīng)性：入侵檢測系統(tǒng)計劃設(shè)計對MANETS來說應(yīng)該是有免疫攻擊，應(yīng)該能夠?qū)W習(xí)新的攻擊，在動態(tài)和異構(gòu)MANET環(huán)境。此外，由于偽造或惡意輸入，入侵檢測系統(tǒng)可能有被損壞的機會。

總之，對移動自組網(wǎng)來說所有這些因素在設(shè)計與實現(xiàn)入侵檢測系統(tǒng)方案的時候應(yīng)該被考慮到。通過分析可以看出，在相關(guān)工作中討論的入侵檢測系統(tǒng)模型中沒有一個完全滿足上述要求。這促使本文用安全的移動代理對MANET設(shè)計一個分布式入侵檢測系統(tǒng)。該方案試圖掩蓋現(xiàn)有系統(tǒng)的缺點，通過使用基于規(guī)則和基于行為的計劃相結(jié)合的。首先，有一個動態(tài)學(xué)習(xí)模塊，它采用先進的人工神經(jīng)網(wǎng)絡(luò)和模糊邏輯算法開發(fā)新的攻擊庫。這可以幫助在很大程度上減少誤報，并確定新的攻擊模式。

2 分布式IDS的體系結(jié)構(gòu)與工作

移動代理中java編程的使用執(zhí)行入侵檢測任務(wù)使該計劃有效。當(dāng)新規(guī)則需要在本地節(jié)點規(guī)則庫更新時，漫游代理將由學(xué)習(xí)模塊發(fā)送。在追加模式中，移動代理是篡改明顯的代理被編程為只讀和信息可以寫入到代理。此外，每一個漫游代理承擔(dān)的時間戳和加密數(shù)據(jù)的哈希值僅知道一個關(guān)鍵的學(xué)習(xí)模塊。當(dāng)漫游代理返回到學(xué)習(xí)模塊時加密的時間戳和數(shù)據(jù)的哈希值可以使用密鑰進一步解密，數(shù)據(jù)的哈?？梢灾匦掠嬎愫蜋z查任何可能的數(shù)據(jù)修改。因此，任何數(shù)據(jù)的損壞都可以被檢測到，這使得該計劃自安全和篡改明顯。

規(guī)則庫和基于行為的混合方案提高了檢測率。任何自私或惡意節(jié)點可以被過濾掉，因為該方案采用集體監(jiān)測和在測試床分析。因此，虛假規(guī)則不被添加到規(guī)則庫和入侵檢測系統(tǒng)計劃免受規(guī)則庫的損壞。

把入侵檢測系統(tǒng)的工作可以分為兩個階段：①初始化設(shè)置和學(xué)習(xí)階段；②代理部署和入侵檢測。

①初始化設(shè)置和學(xué)習(xí)階段：在初始化和建立階段，收集代理部署從不同的審計源收集數(shù)據(jù)，如網(wǎng)絡(luò)，主機或應(yīng)用程序級。最初收集的原始數(shù)據(jù)將存儲在測試床的主數(shù)據(jù)庫中，然后送入預(yù)處理器進行過濾。過濾和預(yù)處理的數(shù)據(jù)將被用于各種攻擊規(guī)則的形成。在這個階段中，處理后的數(shù)據(jù)被組織成原子事件，可以進一步結(jié)合以創(chuàng)建復(fù)雜的攻擊規(guī)則。這可以有效地被做通過模式匹配算法，從而攻擊庫正在逐步地安裝。攻擊庫不斷建立一個學(xué)習(xí)模塊實現(xiàn)測試床的一部分。最初，該系統(tǒng)對簡單的洪水攻擊試圖建立規(guī)則且這些規(guī)則作為構(gòu)建其他網(wǎng)絡(luò)層攻擊規(guī)則的基石如蟲洞、黑洞和灰洞攻擊。因此，一個全面的攻擊數(shù)據(jù)庫正在建立。

在學(xué)習(xí)階段正在進行中，集群節(jié)點選擇算法被用來選擇節(jié)點部署網(wǎng)絡(luò)監(jiān)測代理。由于物理拓?fù)涞淖兓汗?jié)點動態(tài)地更新。因此，在集群中，很少有節(jié)點監(jiān)視網(wǎng)絡(luò)和其他節(jié)點監(jiān)視系統(tǒng)級事件去尋找入侵。該方案有助于減少節(jié)點的功耗，每個節(jié)點都執(zhí)行一個簡單的子集的入侵檢測任務(wù)。

②代理部署和入侵檢測：提出的入侵檢測系統(tǒng)是建立一個分層系統(tǒng)的多代理體系結(jié)構(gòu)。下列類型的代理主要用于建議的系統(tǒng)。

網(wǎng)絡(luò)監(jiān)控代理：只有少數(shù)節(jié)點在集群中部署代理監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)包。這些代理負(fù)責(zé)收集入侵檢測系統(tǒng)所需的網(wǎng)絡(luò)相關(guān)參數(shù)。

主機監(jiān)控代理：移動ad-hoc網(wǎng)絡(luò)上的每個節(jié)點由主機監(jiān)控代理內(nèi)部監(jiān)控。它監(jiān)控系統(tǒng)級和應(yīng)用級活動。

決策代理：每個節(jié)點根據(jù)個人的閾值威脅級別分配入侵的決定。如果從學(xué)習(xí)模塊到達成決定有任何歧義，可以采取建議。學(xué)習(xí)模塊具有確定性因子理論的推理邏輯。決策代理人利用簡單的關(guān)聯(lián)規(guī)則找出異常行為。

數(shù)據(jù)庫代理：數(shù)據(jù)庫代理有3種類型。主數(shù)據(jù)庫是學(xué)習(xí)模塊的一部分，它通過移動監(jiān)視代理連續(xù)地收集網(wǎng)絡(luò)和主機的信息，由學(xué)習(xí)模塊按預(yù)定的時間間隔發(fā)送。主機信息數(shù)據(jù)庫和網(wǎng)絡(luò)信息數(shù)據(jù)庫代理分別存儲主機和網(wǎng)絡(luò)相關(guān)事件和日志。此外，數(shù)據(jù)庫具有預(yù)定的攻擊規(guī)則庫，每當(dāng)移動代理訪問節(jié)點時，將定期更新該攻擊規(guī)則庫。

通訊代理：該代理作為主機和網(wǎng)絡(luò)身份證構(gòu)建的一部分。每當(dāng)漫游/移動代理訪問任何節(jié)點，通信代理讀取移動代理的信息，如果發(fā)現(xiàn)是一個新的攻擊規(guī)則，它將被添加到攻擊數(shù)據(jù)庫的數(shù)據(jù)庫代理。

警告代理：任何新的攻擊或可疑事件的檢測，任何節(jié)點可以發(fā)出警告代理通知學(xué)習(xí)模塊。學(xué)習(xí)模塊可以通過推理引擎驗證告警的可信度和真實性。如果它發(fā)現(xiàn)事件是一個新的攻擊，它通知其他節(jié)點也對新的攻擊和更新攻擊數(shù)據(jù)庫。

3 實驗設(shè)置和實施細節(jié)

原型系統(tǒng)正在開發(fā)使用WADE3.3，JADE擴展。JADE框架提供了兩個庫來開發(fā)各種代理模塊且運行時環(huán)境提供執(zhí)行代理所需要的必要服務(wù)。JADE有其他幾個關(guān)鍵功能，為分布式移動代理的發(fā)展提供了一個較好的選擇。代理平臺可以分布在具有不同操作系統(tǒng)的機器上，并且配置可以通過遠程GUI來控制。當(dāng)需要時，該配置可以在運行時改變移動代理通過從一臺機器到另一個機器。添加這個WADE為根據(jù)工作流隱喻定義的任務(wù)的執(zhí)行提供了支持。

當(dāng)需要駐留在同一節(jié)點上進行通信時使用共享內(nèi)存的概念進行代理，因為它被證明優(yōu)于其他技術(shù)，如管道和消息隊列。然而，為了實現(xiàn)不同節(jié)點之間的通信，使用可擴展的標(biāo)記語言（XML）和通過JADE框架的代理管理系統(tǒng)（AMS）。

一個多代理的編程方法被用來開發(fā)原型系統(tǒng)。在第一步驟中創(chuàng)建各種合作代理和在一個全局的文件中注冊。每個代理分配一個唯一的標(biāo)識符，并在每個節(jié)點中復(fù)制全局文件的副本。第二步包括設(shè)置每個代理的行為和參數(shù)。此步驟隨后定義要執(zhí)行的每個代理的任務(wù)的方法。該系統(tǒng)利用各種標(biāo)志來檢查代理的狀態(tài)和訪問代理的可用性。使用標(biāo)志以控制各種代理的活動各種代理的活動有助于在節(jié)點中保持電池電量。

在實現(xiàn)過程中的重要步驟之一是攻擊庫的開發(fā)。為基本MANET的攻擊創(chuàng)建了與JADE兼容的攻擊庫。這些通過學(xué)習(xí)和自適應(yīng)算法開發(fā)復(fù)雜的攻擊規(guī)則去進一步的完善。整個系統(tǒng)的邏輯實現(xiàn)是在JADE和通過API調(diào)用集成的各種關(guān)鍵功能模塊。

4 結(jié)論

通過本文，提出了一種基于可編程移動代理的MANETs分布式入侵檢測方案。這種方法的顯著特點是，它使用的輕量移動代理非常適合于資源受限的移動節(jié)點。該方案的另一個突出亮點是網(wǎng)絡(luò)和主機監(jiān)控代理之間的入侵檢測任務(wù)的劃分并利用學(xué)習(xí)模塊為系統(tǒng)注入新的攻擊規(guī)則。此外，內(nèi)置模糊推理機的學(xué)習(xí)模塊使用關(guān)聯(lián)映射規(guī)則和決策樹算法去檢測新的攻擊模式，這些最終被輸入到個體主機的規(guī)則庫中，因此誤報減少了對IDS配置的補償?shù)倪m應(yīng)性。使用通信代理從主機和網(wǎng)絡(luò)數(shù)據(jù)庫收集信息。收集到的數(shù)據(jù)進行過濾和處理，在學(xué)習(xí)模塊，以確定攻擊模式。因此，節(jié)點被解除處理負(fù)擔(dān)，從而節(jié)省電力和其他資源，解決了MANETs中入侵檢測系統(tǒng)安裝面臨的固有挑戰(zhàn)。

參考文獻：

[1]唐洪英，付國瑜.入侵檢測的原理與方法[J].重慶工學(xué)院學(xué)報，2002，16（2）：71-73.

[2]LUNT T F.ASurvey of Intrusion Detection Techniques[J].Computer & Security，1993，12（4）：405-418.

[3]DENNING D E. An Intrusion Detection Model[J]. IEEE Transaction on Software Engineering，1987，13（2）：222-232.

[4]落紅衛(wèi).網(wǎng)絡(luò)入侵檢測系統(tǒng)及性能指標(biāo)[J].電信網(wǎng)技術(shù)，2005（11）：24-26.

[5]Y. Zhang and W. Lee. Intrusion Detection in Wireless Ad-hoc Networks. In： Proceedings of the 6th Annual International Conference on Mobile Computing and Networking Mobil Com 2000. p 275-83.

[6]B Smith. An examination of an Intrusion Detection Architecture for Wireless Ad-Hoc Networks. In： Proceedings of 5th National Colloquium for Information System 2001.

[7]Kachirski and R. Guha. Intrusion Detection Using Mobile agents in Wireless Ad-hoc Networks. In： Proceedings IEEE Workshop on Knowledge Media Networking： 2002 July 10-12； CRL Kyoto， Japan. p 153-58.