劉桐
摘 要 對(duì)MANET入侵檢測(cè)技術(shù)的研究始于20世紀(jì)80年代,隨著網(wǎng)絡(luò)技術(shù)和規(guī)模的不斷發(fā)展,MANET的應(yīng)用領(lǐng)域愈加廣泛,對(duì)它的研究也變的越來(lái)越熱門。
關(guān)鍵詞 MANET 入侵檢測(cè) IDS
對(duì)MANET入侵檢測(cè)的研究一般分為IDS系統(tǒng)架構(gòu)和入侵檢測(cè)方法這兩個(gè)方面。隨著攻擊者的入侵策略的改變,傳統(tǒng)的安全防護(hù)措施,如防火墻技術(shù)等早已不能滿足人們對(duì)于網(wǎng)絡(luò)安全的要求。入侵檢測(cè)技術(shù)彌補(bǔ)了傳統(tǒng)的被動(dòng)防護(hù)技術(shù)的不足,它在攻擊發(fā)生之時(shí),并且沒有對(duì)網(wǎng)絡(luò)造成嚴(yán)重?fù)p害時(shí)就可以采取一定的防護(hù)措施。因此,入侵檢測(cè)技術(shù)得到了越來(lái)越多的應(yīng)用,對(duì)它的性能進(jìn)行完善具有重要的意義。
目前對(duì)移動(dòng)自組網(wǎng)中的入侵檢測(cè)技術(shù)的研究大致可以分為以下幾類:
1單節(jié)點(diǎn)式IDS
單節(jié)點(diǎn)式IDS就是相互獨(dú)立的入侵檢測(cè)模型,是早期對(duì)MANET進(jìn)行研究時(shí)的內(nèi)容。它在僅在網(wǎng)絡(luò)中的節(jié)點(diǎn)上部署本地檢測(cè)模塊,每個(gè)節(jié)點(diǎn)獨(dú)立進(jìn)行入侵檢測(cè),節(jié)點(diǎn)之間沒有合作交流。比較典型的有Sergio Marti等提出的“看門狗——選路人”方法,MANET信息傳遞一般都要進(jìn)行多跳才能完成,也就是兩個(gè)節(jié)點(diǎn)的通信要經(jīng)過(guò)中間節(jié)點(diǎn)的轉(zhuǎn)發(fā)。該方法的思想是:利用“看門狗”機(jī)制在當(dāng)源節(jié)點(diǎn)要發(fā)送消息給目標(biāo)時(shí),對(duì)消息要經(jīng)過(guò)的中間節(jié)點(diǎn)的可靠性進(jìn)行檢查,如果不可靠,則將其記入黑名單,在傳輸數(shù)據(jù)時(shí),不再經(jīng)過(guò)黑名單中的節(jié)點(diǎn)?!斑x路人”機(jī)制的作用是使得源節(jié)點(diǎn)可以對(duì)消息傳輸?shù)穆窂竭M(jìn)行選擇,從而避開黑名單中的節(jié)點(diǎn),完成消息的傳遞。
單節(jié)點(diǎn)式的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)是部署簡(jiǎn)單方便,節(jié)約通信帶寬。但在實(shí)際情況中,入侵攻擊的方式越來(lái)越多樣化,如果只通過(guò)單一節(jié)點(diǎn)自身的檢測(cè),網(wǎng)絡(luò)的安全性就很難保證。
2分布式入侵檢測(cè)系統(tǒng)
MANET入侵檢測(cè)技術(shù)研究的先驅(qū)Y.Zhang和W.Lee為了對(duì)其進(jìn)行更加全面的檢測(cè),提出了一種MANET的分布式對(duì)等合作入侵檢測(cè)系統(tǒng)模型。該模型的思想是在網(wǎng)絡(luò)中的每臺(tái)主機(jī)上都部署IDS代理,獨(dú)立進(jìn)行本地入侵檢測(cè),對(duì)自身的活動(dòng)進(jìn)行監(jiān)測(cè),由于無(wú)線信號(hào)傳播介質(zhì)的開放性,每個(gè)節(jié)點(diǎn)也可以依靠這個(gè)特性對(duì)自己的鄰居節(jié)點(diǎn)進(jìn)行協(xié)作檢測(cè)。比如某臺(tái)主機(jī)無(wú)法判斷自己是不是受到了攻擊,也就是該主機(jī)的知識(shí)庫(kù)中沒有此類攻擊,那么它就向相鄰主機(jī)發(fā)出信號(hào),進(jìn)行協(xié)作檢測(cè)。
本地?cái)?shù)據(jù)收集模塊的任務(wù)是對(duì)自身的日志、記錄、與鄰居節(jié)點(diǎn)的通信等行為進(jìn)行收集。
本地檢測(cè)引擎的功能與傳統(tǒng)網(wǎng)絡(luò)的本地檢測(cè)模塊一樣,它對(duì)本地?cái)?shù)據(jù)收集模塊收集到的各種信息進(jìn)行處理、分析,從而判斷是否有入侵行為。
合作檢測(cè)引擎也就是協(xié)作檢測(cè)模塊,它的功能實(shí)現(xiàn)了相鄰主機(jī)的合作,對(duì)單個(gè)主機(jī)無(wú)法處理的問題進(jìn)行解決。
本地響應(yīng)模塊在檢測(cè)模塊確定有攻擊發(fā)生并報(bào)告后,按照一定的程序進(jìn)行響應(yīng),比如切斷連接、終止用戶賬戶、丟棄入侵?jǐn)?shù)據(jù)等。
全局響應(yīng)模塊在檢測(cè)模塊檢測(cè)到入侵行為并報(bào)告后,對(duì)入侵攻擊的相關(guān)情況及惡意節(jié)點(diǎn)ID在整個(gè)網(wǎng)絡(luò)中進(jìn)行廣播,以便各節(jié)點(diǎn)及時(shí)采取一定措施。
安全通信模塊的作用是當(dāng)網(wǎng)絡(luò)中的主機(jī)之間進(jìn)行數(shù)據(jù)交換時(shí),提供安全的通信保障,保證整個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的安全收發(fā)。
分布式入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)是網(wǎng)絡(luò)每個(gè)節(jié)點(diǎn)可以對(duì)自身及鄰居的行為進(jìn)行檢測(cè),符合MANET的特點(diǎn),也具有較高的檢測(cè)效率。但它的缺點(diǎn)同樣明顯,MANET的節(jié)點(diǎn)由電池供電,在能源方面十分有限,在網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)部署IDS代理會(huì)加速節(jié)點(diǎn)能量的消耗,而且所有節(jié)點(diǎn)對(duì)鄰居節(jié)點(diǎn)進(jìn)行檢測(cè)也造成了共有的鄰居節(jié)點(diǎn)被檢測(cè)兩次或兩次以上,這對(duì)網(wǎng)絡(luò)資源是一種極大的浪費(fèi)。
3基于移動(dòng)Agent的分布式入侵檢測(cè)系統(tǒng)
Kachirski和Guha首次設(shè)計(jì)了一種基于移動(dòng)Agent的入侵檢測(cè)系統(tǒng),將擔(dān)任監(jiān)測(cè)任務(wù)的Agent只運(yùn)行在某些節(jié)點(diǎn)上,且由于移動(dòng)Agent本身的特性,它可以在節(jié)點(diǎn)間漫游。該系統(tǒng)具有分布性和移動(dòng)性,利用移動(dòng)Agent對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理的好處是能分布式地對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行搜集,并依據(jù)一定的技術(shù)進(jìn)行分析處理,從而避免了大量數(shù)據(jù)在網(wǎng)絡(luò)中傳送,節(jié)約網(wǎng)絡(luò)資源。且當(dāng)移動(dòng)Agent當(dāng)前運(yùn)行的節(jié)點(diǎn)發(fā)生故障,它可以漫游到網(wǎng)絡(luò)中的其它節(jié)點(diǎn)上繼續(xù)之前的工作。目前,移動(dòng)Agent技術(shù)已經(jīng)在MANET入侵檢測(cè)系統(tǒng)中得到了廣泛的應(yīng)用。
4分級(jí)的入侵檢測(cè)系統(tǒng)
分級(jí)的入侵檢測(cè)系統(tǒng)將網(wǎng)絡(luò)中的節(jié)點(diǎn)分成不同的級(jí)別,節(jié)點(diǎn)依據(jù)自身級(jí)別執(zhí)行不同的入侵檢測(cè)任務(wù),低級(jí)別的節(jié)點(diǎn)一般進(jìn)行基本的入侵檢測(cè)(如本地檢測(cè))來(lái)確保自身安全,也可能不進(jìn)行檢測(cè),高級(jí)別的節(jié)點(diǎn)則可以利用低級(jí)別節(jié)點(diǎn)收集的信息,進(jìn)行比較完整的入侵檢測(cè),具有較高的檢測(cè)效率。這樣做避免了分布式入侵檢測(cè)中節(jié)點(diǎn)額外的計(jì)算、通信開銷等問題。目前分級(jí)的入侵檢測(cè)系統(tǒng)相關(guān)研究有Yi-an Huang等人提出的MANET中基于簇的入侵檢測(cè);Bo Sun等人提出的基于域的入侵檢測(cè)系統(tǒng)。
5 MANET分簇算法的研究
移動(dòng)Ad Hoc由于有限的能源及動(dòng)態(tài)拓?fù)涞奶攸c(diǎn),對(duì)分簇結(jié)構(gòu)會(huì)造成很大影響,導(dǎo)致整個(gè)系統(tǒng)性能下降。因此,為了保證網(wǎng)絡(luò)分簇結(jié)構(gòu)穩(wěn)定,對(duì)分簇算法的研究也是MANET入侵檢測(cè)系統(tǒng)研究的一個(gè)重要方面。
目前較為典型的幾種適用于MANET的分簇算法有:
最小ID算法(LOWID),分簇時(shí)選舉鄰居節(jié)點(diǎn)中具有最小ID(網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)唯一)號(hào)的節(jié)點(diǎn)為簇首;最大連接度算法(HIGHD),分簇時(shí)選舉鄰居節(jié)點(diǎn)中具有最大連接度(鄰居節(jié)點(diǎn)的數(shù)目)的節(jié)點(diǎn)成為簇首;最小移動(dòng)性算法(WM),分簇時(shí)選舉鄰居節(jié)點(diǎn)中移動(dòng)性最?。ǚ€(wěn)定性最好)的節(jié)點(diǎn)作為簇首;自適應(yīng)按需加權(quán)算法(AOW),利用加權(quán)思想對(duì)節(jié)點(diǎn)依照一定的規(guī)則賦予權(quán)值,分簇時(shí)權(quán)值最小的節(jié)點(diǎn)成為簇首。這幾種典型的分簇算法都有自己的缺點(diǎn),仍需要不斷改進(jìn)。
由此可見,盡管眾多學(xué)者對(duì)MANET入侵檢測(cè)算法進(jìn)行了研究,提出了一些入侵檢測(cè)算法,但是可以看到,這些算法在具有自身特點(diǎn)的同時(shí),也存在著諸多缺點(diǎn)。
參考文獻(xiàn)
[1] 謝康.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)相關(guān)技術(shù)研究[D].山東大學(xué),2016.
[2] 程鈴. MANET入侵檢測(cè)技術(shù)的研究[J].微電子學(xué)與計(jì)算機(jī),2010(06):57-59+63.
[3] Preeti Mishra,Emmanuel S. Pilli,Vijay Varadharajan,Udaya Tupakula. Intrusion detection techniques in cloud environment: A survey[J]. Journal of Network and Computer Applications,2017,77:.