王智

（上海市公安邊防總隊，上海 200336）

1 ad-hoc網(wǎng)絡(luò)簡介

按照無線通信系統(tǒng)是否具有基礎(chǔ)設(shè)施，一般可以把無線網(wǎng)絡(luò)分為兩類。第一種類型是具有基礎(chǔ)設(shè)施的網(wǎng)絡(luò)，也就是一般模式的無線局域網(wǎng)。無線網(wǎng)絡(luò)的另一種類型是無基礎(chǔ)設(shè)施的網(wǎng)絡(luò)，也就是ad-hoc網(wǎng)絡(luò)（一群計算機(jī)接上無線網(wǎng)絡(luò)卡，即可相互連接，資源共享，無需透過access Point）。這是一種自組織的無線多跳網(wǎng)，整個網(wǎng)絡(luò)中沒有固定的基礎(chǔ)設(shè)施，也沒有固定的路由器，所有節(jié)點(diǎn)都是可移動的，并且能以任意的方式動態(tài)地保持與其它節(jié)點(diǎn)之間的聯(lián)系。正是由于ad-hoc網(wǎng)絡(luò)不需要任何的固定基礎(chǔ)設(shè)施，所以要組建這種網(wǎng)絡(luò)是非常靈活和方便的。它不僅適用于普通情況下，而且在一些特殊場合（比如說地形受限，無法使用傳統(tǒng)的有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的情況）也有著極為廣泛的應(yīng)用。尤其在軍事上，緊急搜索和救援中的應(yīng)用比較常見。

2 ad-hoc面臨的安全威脅和常規(guī)解決辦法

任何事物都具有兩面性。在ad-hoc網(wǎng)絡(luò)帶給我們方便靈活的無線接入能力的同時，也給我們帶來了網(wǎng)絡(luò)安全方面的一系列難題，adhoc網(wǎng)絡(luò)的主機(jī)難以攜帶具有功能強(qiáng)大的防火墻，主機(jī)的資源限制了不能對入侵實時監(jiān)控，而且ad-hoc網(wǎng)絡(luò)的帶寬資源也十分有限，同時，ad-hoc網(wǎng)絡(luò)因其特殊的傳輸方式，因此對網(wǎng)絡(luò)的QoS要求很高。DoS（Denial of Service，即拒絕服務(wù)）攻擊成為了造成ad-hoc網(wǎng)絡(luò)瓶頸的最大威脅。DoS攻擊可以降低ad-hoc網(wǎng)絡(luò)的QoS，從而使整個網(wǎng)絡(luò)癱瘓。針對ad-hoc網(wǎng)絡(luò)的DoS攻擊手段很多，根據(jù)發(fā)起攻擊的位置不同，我們可以把攻擊分為兩類：內(nèi)部攻擊和外部攻擊。內(nèi)部攻擊是由網(wǎng)絡(luò)內(nèi)部的惡意節(jié)點(diǎn)引起的攻擊。它一般更為嚴(yán)重，這是由于惡意節(jié)點(diǎn)作為被授權(quán)的一方屬于網(wǎng)絡(luò)內(nèi)部，它們受網(wǎng)絡(luò)及其服務(wù)所提供的安全機(jī)制的保護(hù)。要檢測出內(nèi)部攻擊是非常困難的；外部攻擊對網(wǎng)絡(luò)造成的網(wǎng)絡(luò)擁塞，阻止網(wǎng)絡(luò)正常服務(wù)的特點(diǎn)。無論內(nèi)部攻擊或外部攻擊，用傳統(tǒng)的防火墻機(jī)制時很難檢測到和防護(hù)的，因此需要一種智能化的檢測機(jī)制來保護(hù)網(wǎng)絡(luò)，基于主動防護(hù)的入侵檢測系統(tǒng)就能十分有效的解決了這個問題。

入侵檢測技術(shù)目前被認(rèn)為是一種比較有效的防護(hù)DoS攻擊的手段。入侵檢測技術(shù)是一種主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點(diǎn)收集信息，并分析這些信息。入侵檢測技術(shù)能夠幫助系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測。

3 傳統(tǒng)入侵檢測系統(tǒng)防護(hù)方法及其缺點(diǎn)

3.1 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)

將神經(jīng)網(wǎng)絡(luò)引入入侵檢測系統(tǒng)在1998年就得到了很大的關(guān)注，這方面比較突出的是Cannady和Machaffey教授。1998年Canndy提出用基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)來防護(hù)DoS攻擊。使IDS對DoS攻擊的防護(hù)能力提高了一大步。雖然他提出的入侵檢測系統(tǒng)利用了神經(jīng)網(wǎng)絡(luò)的預(yù)測能力，但是沒有將自適應(yīng)性應(yīng)用于神經(jīng)網(wǎng)絡(luò)，同時仿真實現(xiàn)仿真的是單一主機(jī)的抗DoS攻擊能力，沒有將整體網(wǎng)絡(luò)考慮進(jìn)去，各個主機(jī)的入侵檢測系統(tǒng)缺少合作，不能從整體上提高整個網(wǎng)絡(luò)的防護(hù)能力。

3.2 基于智能體的入侵檢測系統(tǒng)

將分布式多智能體技術(shù)引入IDS比較典型的是一個由Purdue大學(xué)提出的基于智能體(agent)的入侵檢測系統(tǒng)，指出利用agent用來收集信息并且進(jìn)行一些基本的處理和判斷，然后向上傳遞，起到了收集、過濾和判斷的作用。實際上這種分布式入侵檢測系統(tǒng)的機(jī)理是單智能體的檢測結(jié)果分布網(wǎng)絡(luò)中的傳遞作用。而智能體的檢測功能仍局限在防火墻的機(jī)制下。

下一代入侵檢測系統(tǒng)的發(fā)展就是要實現(xiàn)對分布式檢測的支持。即對實現(xiàn)三個方面的協(xié)同：數(shù)據(jù)采集協(xié)同、數(shù)據(jù)分析協(xié)同以及響應(yīng)協(xié)同。agent技術(shù)為我們提供了一種在分布與開放環(huán)境中開發(fā)、運(yùn)行軟件系統(tǒng)的全新模式。agent本身所具有的基本特性，如：自治性、適應(yīng)性、交互性，使得agent非常適合用于分布式入侵檢測系統(tǒng)的開發(fā)，而正如前文介紹的神經(jīng)網(wǎng)絡(luò)技術(shù)在發(fā)現(xiàn)入侵跡象方面有著良好的特性。因此目前入侵檢測技術(shù)的發(fā)展方向是將agent技術(shù)與神經(jīng)網(wǎng)絡(luò)技術(shù)結(jié)合，搭建新的檢測機(jī)制。

4 基于神經(jīng)網(wǎng)絡(luò)和智能體的無線網(wǎng)絡(luò)入侵檢測系統(tǒng)

從上文中我們可以看出要提高入侵檢測系統(tǒng)地能力，應(yīng)從以下幾方面進(jìn)行改進(jìn):

分布式，這里我認(rèn)為指的不僅僅是單一主機(jī)的入侵檢測系統(tǒng)是分布式agent結(jié)構(gòu)，而應(yīng)該將整個網(wǎng)絡(luò)的每個節(jié)點(diǎn)入侵檢測系統(tǒng)布局設(shè)計是分布式的，這樣一來，節(jié)點(diǎn)與節(jié)點(diǎn)之間就不是孤立的，而是聯(lián)合的，那么針對前文說的DoS攻擊，入侵檢測系統(tǒng)就會有效的進(jìn)行防護(hù)。

多智能體技術(shù)，考慮的不緊緊是單一主機(jī)的入侵檢測系統(tǒng)的agent合作，而應(yīng)將其應(yīng)用在網(wǎng)絡(luò)的每個節(jié)點(diǎn)的入侵檢測系統(tǒng)，將每個節(jié)點(diǎn)的入侵檢測系統(tǒng)視為一個agent，通過檢測系統(tǒng)的合作來保護(hù)整個網(wǎng)絡(luò)。

將智能體和神經(jīng)網(wǎng)絡(luò)技術(shù)結(jié)合。從考慮整體網(wǎng)絡(luò)的QoS和人工認(rèn)知的角度出發(fā)，在改進(jìn)了Canndy教授提出的基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于智能體的入侵檢測系統(tǒng)基礎(chǔ)之上，提出基于神經(jīng)網(wǎng)絡(luò)和智能體的ad-hoc網(wǎng)絡(luò)入侵檢測系統(tǒng)。該系統(tǒng)主要解決ad-hoc網(wǎng)絡(luò)整體防護(hù)DoS攻擊的問題。應(yīng)用神經(jīng)網(wǎng)絡(luò)預(yù)測功能，運(yùn)用智能體的特性將行為和效果達(dá)成自適應(yīng)的一致性。

在OMNET模擬平臺上進(jìn)行了模擬仿真，通過對仿真結(jié)果的分析，可以看出基于神經(jīng)網(wǎng)絡(luò)和智能體的入侵檢測系統(tǒng)不僅可以起到保護(hù)網(wǎng)絡(luò)安全的作用，同時也盡量減少了網(wǎng)絡(luò)QoS的損失。

在對基于傳統(tǒng)神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)模型分析的基礎(chǔ)之上，針對其存在基于防火墻孤立防護(hù)的不足，考慮網(wǎng)絡(luò)整體性能指標(biāo)下的局部優(yōu)化策略，提出了基于神經(jīng)網(wǎng)絡(luò)和智能體的入侵檢測系統(tǒng)模型，旨在為智能化ad-hoc網(wǎng)絡(luò)入侵檢測系統(tǒng)提供新的思路和方向。網(wǎng)絡(luò)仿真工具OMNET+＋對基于人工認(rèn)知BP-CT的入侵檢測系統(tǒng)進(jìn)行了人工實驗，實驗結(jié)果達(dá)到了兩個預(yù)期效果：提高了入侵檢測的智能化和有效的提高了整個網(wǎng)絡(luò)的QoS。

可以看出將人工認(rèn)知BP-CT應(yīng)用于adhoc網(wǎng)絡(luò)入侵檢測系統(tǒng)不僅是可行的，而且增強(qiáng)的入侵檢測系統(tǒng)的檢測自適應(yīng)能力和網(wǎng)絡(luò)的QoS。本文從理論上給出了基于人工認(rèn)知BP-CT入侵檢測系統(tǒng)成功的可能性，但是在實際應(yīng)用中還有待更深入的開發(fā)。同時，如何能在不降低網(wǎng)絡(luò)整體的QoS基礎(chǔ)上更有效的提高入侵檢測系統(tǒng)的準(zhǔn)確性應(yīng)是下一步解決的問題。

[1]周學(xué)廣.無線網(wǎng)絡(luò)入侵初探.通信技術(shù) 2002-11-30.