摘要：Ad Hoc網(wǎng)絡(luò)是一種無固定基礎(chǔ)設(shè)施的新型網(wǎng)絡(luò)，網(wǎng)絡(luò)節(jié)點(diǎn)不斷移動(dòng)，網(wǎng)絡(luò)拓?fù)洳粩嘧兓?。由于其固有的脆弱性使得它極易受到各種攻擊，Ad Hoc網(wǎng)絡(luò)的安全問題給入侵檢測(cè)技術(shù)帶來更多的挑戰(zhàn)。本文介紹了入侵檢測(cè)技術(shù)及其分類，總結(jié)并分析了現(xiàn)有的適于Ad Hoc網(wǎng)絡(luò)的各種入侵檢測(cè)技術(shù)的優(yōu)缺點(diǎn)，為今后研究開展研究奠定了理論基礎(chǔ)。

關(guān)鍵詞：Ad Hoc網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；入侵檢測(cè)技術(shù)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)28-0084-02

Intrusion Detection based on Ad hoc Network

BI Yuan-yuan，CHEN Jin-ping

(Jinling Institute of Technology，Nanjing 211169，china)

Abstract: Ad Hoc network is a new kind of infrastructureless network.All nodes are moving constantly and the topology of the ad hoc network is ever changing.Because of its inherent vulnerability makes it highly susceptible to all kinds of attacks，Ad Hoc network security issues to the intrusion detection technology with More to the challenge.Intrusion detection technology and its classification is described in this paper.Summary and analysis of the existing Ad Hoc network suitable for the various advantages and disadvantages of intrusion detection technology for future research studies laid a theoretical foundation.

Key words: Ad hoc network;network security;intrusion detection

1 Ad Hoc網(wǎng)絡(luò)的特點(diǎn)

Ad Hoc網(wǎng)絡(luò)，又稱自組網(wǎng)絡(luò)，是一種沒有基站或移動(dòng)交換中心之類的固定基礎(chǔ)設(shè)施的網(wǎng)絡(luò)。網(wǎng)絡(luò)中的節(jié)點(diǎn)是不斷移動(dòng)的，網(wǎng)絡(luò)沒有固定的拓?fù)浣Y(jié)構(gòu)，節(jié)點(diǎn)既作為移動(dòng)終端，又充當(dāng)路由器。在彼此通信范圍之內(nèi)的移動(dòng)節(jié)點(diǎn)之間可以通過無線連接直接通信，對(duì)于那些距離很遠(yuǎn)的節(jié)點(diǎn)則依靠其他的節(jié)點(diǎn)作路由進(jìn)行消息轉(zhuǎn)發(fā)。從理論上說，移動(dòng)Ad Hoc網(wǎng)絡(luò)中的節(jié)點(diǎn)可以任意移動(dòng)、也可以隨機(jī)地加入或退出網(wǎng)絡(luò)，因此移動(dòng)Ad Hoc網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、范圍和成員是高度動(dòng)態(tài)的。

2 入侵檢測(cè)技術(shù)

2.1 Ad Hoc網(wǎng)絡(luò)存在的安全威脅

由于Ad Hoc網(wǎng)絡(luò)高度動(dòng)態(tài)的拓?fù)浣Y(jié)構(gòu)，會(huì)帶來一系列安全問題[1]:

1） 無法使用防火墻技術(shù)來保護(hù)網(wǎng)絡(luò)。移動(dòng)Ad Hoc 網(wǎng)絡(luò)無法設(shè)置一條明確的防護(hù)線，襲擊可能來自任何方向。因此要求每個(gè)節(jié)點(diǎn)都必須時(shí)刻準(zhǔn)備預(yù)防和抵抗襲擊。

2） 節(jié)點(diǎn)間的信任關(guān)系經(jīng)常變化，因此要求Ad Hoc 網(wǎng)絡(luò)的安全措施也應(yīng)是動(dòng)態(tài)的，不適用傳統(tǒng)網(wǎng)絡(luò)采用的靜態(tài)配置方案。

3） 入侵檢測(cè)困難。錯(cuò)誤的路由信息可能是拓?fù)渥兓鹨部赡苁侨肭终咚鶠椋硗庖粋€(gè)大規(guī)模移動(dòng)Ad Hoc 網(wǎng)絡(luò)中跟蹤一個(gè)特定的節(jié)點(diǎn)非常困難。

4） 移動(dòng)Ad Hoc網(wǎng)絡(luò)采用多跳的、無線信道，因此Ad Hoc網(wǎng)絡(luò)更容易受到鏈路層的攻擊，包括被動(dòng)竊聽和假冒、重復(fù)攻擊和信息篡改、拒絕服務(wù)攻擊等主動(dòng)攻擊，而且這種攻擊是難以檢測(cè)出來的。

5） 移動(dòng)Ad Hoc網(wǎng)絡(luò)通常采用分布式?jīng)Q策， 許多網(wǎng)絡(luò)算法都是依靠鄰近節(jié)點(diǎn)相互協(xié)作，節(jié)點(diǎn)在漫游時(shí)又缺乏物理保護(hù)。

6） 無線帶寬有限、電池能量有限、計(jì)算能力有限，使得Ad Hoc 網(wǎng)絡(luò)無法部署復(fù)雜的安全協(xié)議和加密算法。

在Ad Hoc網(wǎng)絡(luò)的安全問題中，路由協(xié)議的安全尤為重要。常見的Ad Hoc網(wǎng)絡(luò)的路由協(xié)議有表驅(qū)動(dòng)路由協(xié)議，如DSDV；按需驅(qū)動(dòng)路由協(xié)議，如DSR、AODV、TORA和混合路由協(xié)議，如LAR等，這些路由協(xié)議極少考慮其安全問題。而Ad Hoc網(wǎng)絡(luò)的路由協(xié)議卻是網(wǎng)絡(luò)攻擊的主要目標(biāo)。對(duì)路由協(xié)議的攻擊可分為兩類：被動(dòng)攻擊和主動(dòng)攻擊。

2.1.1 被動(dòng)攻擊

對(duì)于被動(dòng)攻擊，攻擊者并不去干擾正常的路由協(xié)議，而僅僅竊聽路由數(shù)據(jù)。由于Ad Hoc網(wǎng)絡(luò)使用的是無線信道，所以這種攻擊比較隱蔽，一般無法檢測(cè)到。攻擊者通過分析竊聽到的路由數(shù)據(jù)就可能得到有用的信息。比如，如果去往某個(gè)特定節(jié)點(diǎn)的路由請(qǐng)求比到其它節(jié)點(diǎn)的路由請(qǐng)求要頻繁，那么攻擊者就可以認(rèn)為該特定節(jié)點(diǎn)比較重要。如果確實(shí)如此，那么對(duì)該節(jié)點(diǎn)的攻擊就會(huì)威脅整個(gè)網(wǎng)絡(luò)的安全和性能。另外，路由數(shù)據(jù)還會(huì)暴露節(jié)點(diǎn)的位置，或者說至少會(huì)暴露一定的網(wǎng)絡(luò)拓?fù)湫畔ⅰ?/p>

2.1.2 主動(dòng)攻擊

主動(dòng)攻擊就是網(wǎng)絡(luò)攻擊者通過向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包來達(dá)到攻擊的目的。比如攻擊者向網(wǎng)絡(luò)廣播一些特定的消息，使得別的節(jié)點(diǎn)以為經(jīng)過該節(jié)點(diǎn)的路徑最短或代價(jià)最小，這樣受到攻擊的節(jié)點(diǎn)都會(huì)將數(shù)據(jù)包發(fā)送給該節(jié)點(diǎn)，從而形成一個(gè)吸收數(shù)據(jù)的“黑洞”；攻擊者也可以通過不停地發(fā)送虛假路由信息使得被攻擊的節(jié)點(diǎn)的路由表溢出，從而使得正常的路由信息無法及時(shí)更新；攻擊者還可以發(fā)送錯(cuò)誤的路由信息和重放舊的路由信息，使網(wǎng)絡(luò)出現(xiàn)分割和擁塞。

要建立安全的Ad Hoc網(wǎng)絡(luò)， 采取主動(dòng)的防衛(wèi)方式來增強(qiáng)網(wǎng)絡(luò)的安全性尤為重要。但現(xiàn)有基于固定網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)不能簡(jiǎn)單遷移到Ad Hoc 網(wǎng)絡(luò)中， 所以必須重新設(shè)計(jì)一套新的入侵檢測(cè)系統(tǒng)來滿足移動(dòng)Ad Hoc 網(wǎng)絡(luò)特定的安全需要。

2.2 入侵檢測(cè)技術(shù)的作用

入侵檢測(cè)可定義為：“識(shí)別那些未經(jīng)授權(quán)而使用計(jì)算機(jī)系統(tǒng)的非法用戶和那些對(duì)系統(tǒng)有訪問權(quán)限但濫用其特權(quán)的用戶?！盵2]

入侵檢測(cè)技術(shù)是為保證系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)或更廣泛意義上的信息系統(tǒng)中違反安全策略行為的技術(shù)。它根據(jù)用戶的歷史行為，基于用戶的當(dāng)前操作，完成對(duì)攻擊的決策并記錄下攻擊證據(jù)，為數(shù)據(jù)恢復(fù)與事故處理提供依據(jù)。

2.3 入侵檢測(cè)技術(shù)的分類

根據(jù)檢測(cè)方法的不同，入侵檢測(cè)可以被分為以下2種類別：異常（anomaly）檢測(cè)、誤用（misuse）檢測(cè)[3]。

異常檢測(cè)是根據(jù)異常使用計(jì)算機(jī)、異常使用系統(tǒng)資源或者異常的網(wǎng)絡(luò)流量來進(jìn)行的入侵檢測(cè)。首先通過提取審計(jì)記錄(如網(wǎng)絡(luò)流量和日志文件) 中的特征數(shù)據(jù)來建立模型，用檢測(cè)到的行為模式與建立的模型相比較，如果兩者之差超過一個(gè)給定的閾值，則被視為入侵。該算法的特點(diǎn)是可以檢測(cè)到之前未發(fā)生過的攻擊方式，但定義閥值比較困難，容易產(chǎn)生檢測(cè)的誤報(bào)和漏報(bào)。

誤用檢測(cè)是根據(jù)事先定義的入侵模式庫(kù)，用這些已有的入侵模式和檢測(cè)到的入侵模式匹配。該算法的特點(diǎn)是對(duì)已知攻擊模式的檢測(cè)準(zhǔn)確率較高，對(duì)未知的攻擊模式檢測(cè)效果有限，而且入侵模式庫(kù)需要不斷更新。

3 Ad Hoc網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)

3.1 Ad Hoc網(wǎng)絡(luò)特性與入侵檢測(cè)技術(shù)的結(jié)合

目前，傳統(tǒng)有線網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的研究充分而廣泛，但是這種對(duì)傳統(tǒng)有線網(wǎng)絡(luò)的IDS研究不能直接用于無線Ad Hoc 網(wǎng)絡(luò)中。無線Ad Hoc網(wǎng)絡(luò)缺乏固定的基礎(chǔ)設(shè)施，物理層設(shè)施匱乏，無線Ad Hoc 網(wǎng)絡(luò)這種本身的脆弱性使得其更容易受到攻擊，給IDS的設(shè)計(jì)帶來更多挑戰(zhàn)和要求。

由于缺少一個(gè)類似于網(wǎng)關(guān)，路由器的中心控制節(jié)點(diǎn)，無線Ad Hoc的入侵檢測(cè)技術(shù)受到各節(jié)點(diǎn)流量的制約。再則，無線Ad Hoc網(wǎng)絡(luò)本身的分布式特性，要求入侵檢測(cè)技術(shù)也采用一個(gè)合適的分布式算法，同時(shí)也要考慮到實(shí)際應(yīng)用中的節(jié)點(diǎn)所能承載的最大流量。由于無線Ad Hoc 網(wǎng)絡(luò)具有動(dòng)態(tài)的拓?fù)浣Y(jié)構(gòu)，各節(jié)點(diǎn)可以靈活游走，這就使得節(jié)點(diǎn)容易被捕獲，從而威脅到整個(gè)網(wǎng)絡(luò)的安全。為了節(jié)省有限的帶寬資源，無線Ad Hoc網(wǎng)絡(luò)的各節(jié)點(diǎn)不可能像有限網(wǎng)絡(luò)中的節(jié)點(diǎn)一樣隨時(shí)隨地自由通信，因此，帶寬和電池容量更加制約了移動(dòng)網(wǎng)絡(luò)的IDS設(shè)計(jì)。

3.2 Ad Hoc網(wǎng)絡(luò)中合格IDS的要求

設(shè)計(jì)Ad Hoc網(wǎng)絡(luò)的IDS時(shí)，應(yīng)盡量滿足以下條件來避免非法的入侵。1) IDS不能給網(wǎng)絡(luò)引入新的漏洞，帶來新的安全問題；2)IDS不能消耗系統(tǒng)過多的資源，影響正常的節(jié)點(diǎn)工作；3) IDS應(yīng)該具有高度的可靠性，低誤報(bào)率和漏報(bào)率；4) IDS應(yīng)該采用分布式的結(jié)構(gòu)；5) IDS應(yīng)該不間斷地、持續(xù)高效地進(jìn)行檢測(cè)；6) IDS應(yīng)采用某種方式以標(biāo)準(zhǔn)化入侵檢測(cè)信息交換格式，使得多種入侵檢測(cè)方案可以互相合作。

3.3 現(xiàn)有Ad Hoc網(wǎng)絡(luò)的IDS系統(tǒng)分析

目前國(guó)外已經(jīng)有一些關(guān)于無線Ad Hoc網(wǎng)絡(luò)的IDS技術(shù)的理論研究，其中基于分布式異常檢測(cè)的系統(tǒng)模型有：Ad Hoc網(wǎng)絡(luò)分布式IDS、基于AODV的入侵檢測(cè)和響應(yīng)模型、反入侵算法技巧集、看門狗及路由選擇器；基于移動(dòng)代理檢測(cè)的系統(tǒng)模型有：靜態(tài)安全數(shù)據(jù)庫(kù)的IDS、基于移動(dòng)代理技術(shù)的分布式IDS；基于規(guī)范的分布式入侵檢測(cè)和基于時(shí)間自動(dòng)機(jī)的入侵檢測(cè)[4]。

國(guó)內(nèi)的研究方案目前有基于簇的多層分布式入侵檢測(cè)技術(shù)[5]、可存活性入侵檢測(cè)系統(tǒng)[1]和基于規(guī)則匹配技術(shù)和統(tǒng)計(jì)分析技術(shù)的混合入侵檢測(cè)算法[6]等。

1） 基于簇的多層分布式入侵檢測(cè)技術(shù)

考慮到網(wǎng)絡(luò)節(jié)點(diǎn)的處理能力、能量消耗、移動(dòng)頻率等因素，將Ad Hoc網(wǎng)絡(luò)劃分為若干簇，在一個(gè)簇內(nèi)，各節(jié)點(diǎn)可與一跳內(nèi)的任意節(jié)點(diǎn)進(jìn)行直接通信，但是超出了一跳范圍時(shí)，必須通過簇頭節(jié)點(diǎn)才能進(jìn)行通信。同時(shí)，不在一個(gè)簇內(nèi)的兩個(gè)節(jié)點(diǎn)，即使它們之間的距離只有一跳，也必須通過簇頭節(jié)點(diǎn)才能通信。

基于簇的多層分布式入侵檢測(cè)系統(tǒng)由通信接口模塊、本地?cái)?shù)據(jù)收集模塊、移動(dòng)代理平臺(tái)模塊、移動(dòng)代理模塊、分析引擎模塊和響應(yīng)模塊組成。

通信接口模塊采用通用標(biāo)準(zhǔn)定義，以便兼容其它的標(biāo)準(zhǔn)定義入侵檢測(cè)系統(tǒng)，提供了協(xié)同工作的基礎(chǔ)。本地?cái)?shù)據(jù)收集模塊負(fù)責(zé)從本地的不同數(shù)據(jù)源收集審計(jì)數(shù)據(jù)流。移動(dòng)代理平臺(tái)模塊用于安全地傳輸移動(dòng)代理模塊，目前支持TCP/IP 協(xié)議。移動(dòng)代理模塊負(fù)責(zé)收集和處理來自其他簇的數(shù)據(jù)。全局分析引擎模塊中的響應(yīng)模塊能夠產(chǎn)生報(bào)警信息和對(duì)可疑鏈路的斷鏈操作。

2） 可存活性入侵檢測(cè)系統(tǒng)

可存活性是指當(dāng)系統(tǒng)在出現(xiàn)故障、發(fā)生意外事件或遭受到攻擊時(shí)， 系統(tǒng)具有及時(shí)準(zhǔn)確地完成預(yù)定基本任務(wù)的能力。該體系結(jié)構(gòu)按功能分為三層：驅(qū)動(dòng)層、控制層和執(zhí)行層。在驅(qū)動(dòng)層，對(duì)目前入侵特征分析方法的基礎(chǔ)上，增加了數(shù)據(jù)恢復(fù)引擎來提高系統(tǒng)的可存活性；在控制層，從工程技術(shù)的角度，對(duì)其進(jìn)行了模塊化設(shè)計(jì)，實(shí)現(xiàn)了該層的可移植性；在執(zhí)行層，利用新的簇頭選擇算法，極大地減少系統(tǒng)能源消耗，并增強(qiáng)了系統(tǒng)的可存活性。

該方法提高了系統(tǒng)實(shí)現(xiàn)時(shí)的靈活性，降低了系統(tǒng)實(shí)現(xiàn)時(shí)的復(fù)雜程度。采用代理技術(shù)和自學(xué)習(xí)技術(shù)，提高了網(wǎng)絡(luò)的可生存性。把監(jiān)視代理和決策代理分散到幾個(gè)動(dòng)態(tài)地選出的節(jié)點(diǎn)上， 既降低了整個(gè)網(wǎng)絡(luò)能源的消耗又提高了入侵檢測(cè)系統(tǒng)的效率，還在一定程度上提高了網(wǎng)絡(luò)的可存活性。

3） 混合入侵檢測(cè)算法

由于異常檢測(cè)算法具有較高的虛警率，誤用檢測(cè)算法檢測(cè)領(lǐng)域有限，不能很好的應(yīng)用于網(wǎng)絡(luò)結(jié)構(gòu)不斷變化、面臨多樣攻擊的Ad Hoc網(wǎng)絡(luò)?；旌先肭謾z測(cè)算以規(guī)則匹配為基礎(chǔ)，統(tǒng)計(jì)分析網(wǎng)絡(luò)在未受到攻擊時(shí)的異常時(shí)間率來為系統(tǒng)設(shè)計(jì)閾值，避免虛警率和露報(bào)情況；在數(shù)據(jù)分析方面，如果一系列的異常事件都表現(xiàn)為同一種攻擊特征，在單位時(shí)間內(nèi)出現(xiàn)的概率高于閾值，則判定為一次攻擊。該算法不但可以提高檢測(cè)的準(zhǔn)確性，而且對(duì)網(wǎng)絡(luò)的性能沒有明顯影響，包括數(shù)據(jù)包的傳遞時(shí)間及系統(tǒng)的反應(yīng)時(shí)間。

4 結(jié)束語

隨著移動(dòng)Ad Hoc網(wǎng)絡(luò)的廣泛應(yīng)用，Ad Hoc網(wǎng)絡(luò)的安全性問題已突顯其重要性。基于Ad hoc網(wǎng)絡(luò)動(dòng)態(tài)拓?fù)浣Y(jié)構(gòu)、有限的無線傳輸帶寬、移動(dòng)節(jié)點(diǎn)的有限性(移動(dòng)用戶終端內(nèi)存小、CPU 處理能力低、所帶電源有限)和網(wǎng)絡(luò)的分布式等特點(diǎn)，本文總結(jié)了國(guó)內(nèi)外關(guān)于Ad Hoc網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究成果，分析了各種檢測(cè)技術(shù)的特性和優(yōu)缺點(diǎn)，對(duì)今后研究Ad Hoc網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)理論和實(shí)踐有一定的參考意義。

參考文獻(xiàn)：

[1] 安德智.Ad Hoc網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)研究[J].PLC應(yīng)用技術(shù)200例，2008:79-81.

[2] Hubaux J P，Buttyan L，Capkun S.The quest for security in mobile Ad Hoc networks [C].Proceedings of the ACM2 Symposium on Mobile Ad Hoc Networking and Computing.[S.l.]:[s.n.]，2001.

[3] Kachirski O， Guha R.Intrusion Detection Using Mobile Agents in Wireless Ad Hoc Networks [C].IEEE，July 2002:10-12.

[4] Amitabh M， Ketan N，Animesh P，et al.Intrusion Detection in Wireless Ad Hoc Networks[J].IEEE Wireless Communications，2004，(02):48-60.

[5] 林亞卓，唐陳峰. Ad Hoc網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)研究[J].通信技術(shù)，2008，Vol.01，No.41:99-101.

[6] 代偉，劉敏，余永武.基于Ad Hoc網(wǎng)絡(luò)的混合入侵檢測(cè)算法[J].重慶工學(xué)院學(xué)報(bào)，2008，Vol.22，No.03:75-77.