科学通报杂志Ad Hoc网络的入侵检测系统研究

所属栏目：计算机网络论文
发布时间：2015-01-22 14:54:50  更新时间：2015-01-22 14:25:50

　　【摘 要】入侵检测技术作为安全防范的第二道设施，是ad hoc 网络获得高抗毁性的必要手段。本文基于ad hoc 网络的分簇结构，运用Agent技术设计了一个入侵检测系统。同时，提出采用基于信任的簇划分机制，完成对整个网络簇的划分，进而对系统的不同Agent进行任务分配，节省节点资源。

　　【关键词】科学通报,入侵检测,ad,hoc,网络,成簇,信任

　　一、引言

　　ad hoc 网络是由一组带有无线收发装置的移动主机组成的一个多跳的临时性自治系统。由于ad hoc 网络可以在任何时刻、任何地点不需要现有的信息基础设施的支持，可以快速构建一个移动无线网络，被广泛应用于军事战备、紧急求援及室外会议等多种场合，具有广阔的应用前景。安全问题是移动ad hoc 网络需要解决的重要问题，也是限制ad hoc 网络向商业领域发展的一个绊脚石。

　　二、系统设计

　　Ad Hoc网络与传统有线网络相比有着显著不同的特点和严峻的限制条件，入侵检测系统的设计必须满足这些条件，保证其能有效地工作。借鉴已有Ad Hoc网络入侵检测系统的研究，本文设计了一个入侵检测系统。其结构如图1所示。

　　本地检测Agent负责本地主机异常行为的检测。该代理只有在节点被激活运行时才运行，且只处理本地数据。全局检测Agent监测邻居节点的通信，收集通信范围内的数据包及簇内成员节点报告的检测消息。每一个IDS代理独立运行，其中本地检测Agent模块负责所在节点异常行为的检测，根据检测结果响应入侵，将响应结果存储在响应数据库中，并发起响应行为，如产生报警信息，由用户采取措施。当仅根据本地数据不能确定此节点是否遭遇入侵时，则将检测信息向簇头报告，请求簇头给予协助。全局检测Agent模块监控邻节点的行为，收集通信范围内节点的通信行为及簇内成员节点报告的检测消息，根据检测规则检测入侵并响应;同时通过安全通信模块与网络中其它簇头节点的全局检测代理通信，协同检测复杂入侵。代理协同模块整合存储在响应数据库中的报警信息(节点的本地和全局检测代理产生的报警信息)，按照特定的格式存储，方便本节点IDS代理或其它节点代理获取;并与其它节点IDS代理安全通信，以获取其它节点IDS代理产生的报警信息，协同信息确定入侵。最后，安全通信模块负责为该系统中所有IDS代理间的通信提供一个高度可靠的渠道和环境。

　　(一)本地检测Agent

　　网络中每个移动节点都要运行本地检测Agent，它在节点被激活运行时运行，负责对本地主机异常行为的检测。由本地监视模块、本地分析模块和本地反应模块共同完成其功能。其中，本地监视模块主要完成本地原始数据(系统级与用户级数据)的收集并对其进行特征提取，然后交给本地分析模块进行入侵分析。如有入侵行为发生，则通知本地反应模块进行本地系统保护;本地反应模块执行本地保护策略，根据入侵进行响应，并将响应结果存储在响应数据库中。当仅根据本地数据不能确定此节点是否遭遇入侵时，则将检测信息向簇头报告，请求簇头全局检测Agent协助检测。

　　(二)全局检测Agent

　　同时运行所有的全局检测Agent将极大地消耗网络资源。因此只有足够涵盖整个网络的部分节点(簇头)才能同时运行全局检测Agent模块，它随着簇头改变而移动。它负责监视网络数据包并从中提取特征数据，分析并响应入侵。

　　全局检测Agent收集簇内成员节点报告的检测消息，与其它簇头节点协同检测复杂入侵，保证整个网络的安全。

　　(三)响应数据库

　　每个节点包含一个响应数据库，用于存储节点IDS代理产生的报警信息。信息的格式和大小取决于传感网络的属性，如网络协议等。但一般包含以下属性：报警创建时间、分类和报警源。

　　(四)代理协同

　　本地和全局检测Agent驻留在同一主机节点上，它们将检测结果储存在同一个响应数据库中。当一个代理(本地或全局)想获取可疑节点以前的行为信息时，它可以利用自己或其它代理产生的结果，因而达到了检测的协同。在多数情况下，一个代理必须同其它节点的代理协作以获得攻击的更准确信息、节点的更多信息、或聚合它们的响应数据库。因此代理必须通过安全通道与邻居节点进行安全通信，互换信息。利用已有的密钥管理方案可容易地获得ad hoc网络邻节点间的安全和认证通信。

　　(五)簇划分机制

　　采用基于信任的簇划分机制，克服Ad Hoc网络没有清晰物理边界，信息易于泄漏的严重缺陷。信任是对系统实体的期望行为和实际行为的一致性信赖。信任程度取决于对期望行为和实际行为一致性的相信程度，本系统中簇划分机制是依据下述原则进行：①每个簇是由多个主机组成的公共体，每个簇的成员通过信任程度进行定义。②在每个簇中的组成成员的信任可能是持久的，其它主机能够配置加入某簇，也能通过动态定义信任关系实现簇迁移以便创建自发区，一个主机可以属于2个簇。③每个簇内的各个成员可以安全地交换信息，采用基于策略的方法，保证簇内安全。一个主机在其簇内可以实现点到点通信和广播通信。④每个主机独立地检测本地信号，在同一簇内的邻居主机可以协同检测。簇之间的信任通过簇头之间协同完成。一个主机对Ad Hoc网络的访问权限依赖于该主机是否属于一个簇。

　　三、结束语

　　本文提出在Ad Hoc网络环境下的入侵检测技术的研究，作为其获得安全特性的有效手段。在已有研究的基础上，基于Ad Hoc网络的分簇结构，运用Agent技术设计了一个入侵检测系统，并给出了系统模型;同时，提出采用基于信任的簇划分机制完成整个网络簇的划分，对系统的不同Agent进行了合理分配，节省了节点资源。