陳行，陶軍

(1.東南大學(xué) 計算機網(wǎng)絡(luò)和信息集成教育部重點實驗室，江蘇 南京 210096；2.東南大學(xué) 計算機科學(xué)與工程學(xué)院，江蘇 南京 210096)

1 引言

近年來無線通信技術(shù)在全世界范圍內(nèi)得到了飛速的發(fā)展，由于能夠方便地支持用戶的移動性，無線網(wǎng)絡(luò)成為 Internet的重要發(fā)展方向之一。無線網(wǎng)絡(luò)節(jié)點的計算、存儲、能量資源往往非常有限，無線信道帶寬往往十分有限而且很不穩(wěn)定。無線節(jié)點的移動性、無線信道的開放性更使得無線網(wǎng)絡(luò)的安全性變得非常脆弱[1]，網(wǎng)絡(luò)使用者本能的自私行為很難受到遏制，無線節(jié)點之間的行為往往相互影響并難于集中管理，而博弈理論正是研究無線網(wǎng)絡(luò)安全問題的有力工具[2]。

入侵檢測技術(shù)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的異?，F(xiàn)象，目前已有數(shù)種無線網(wǎng)絡(luò)的入侵檢測部署方案[3～5]?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通過檢測網(wǎng)絡(luò)中的報文，觀察網(wǎng)絡(luò)中發(fā)生的異常行為。網(wǎng)絡(luò)攻擊存在一定的模式，通過分析異常行為發(fā)生的頻率、種類和順序等要素，提取特征值，創(chuàng)建攻擊知識庫，可以判斷網(wǎng)絡(luò)是否遭到攻擊和遭到何種攻擊。然而網(wǎng)絡(luò)攻擊往往會發(fā)生一定的變化，采用固定不變的入侵檢測參數(shù)無法把發(fā)生變化的攻擊檢測出來，必須根據(jù)網(wǎng)絡(luò)受攻擊的狀況不斷對入侵檢測參數(shù)進(jìn)行調(diào)整[6]。本文將貝葉斯博弈理論運用到無線網(wǎng)絡(luò)中的入侵檢測研究中，對入侵檢測參數(shù)調(diào)整問題展開討論。

2 入侵檢測參數(shù)調(diào)整問題描述

由于無線節(jié)點資源的有限性，應(yīng)當(dāng)采用算法復(fù)雜度較低的檢測算法。本文采用誤用檢測的思路[6]：每種網(wǎng)絡(luò)攻擊都由一系列相互關(guān)聯(lián)的異常行為組成，當(dāng)這一系列異常行為連續(xù)以高于正常頻率出現(xiàn)的時候，才判斷系統(tǒng)遭到攻擊并發(fā)出警報。無線網(wǎng)絡(luò)的特點決定網(wǎng)絡(luò)中可能存在著諸如網(wǎng)絡(luò)信道帶寬的無故變化，網(wǎng)絡(luò)連接無故中斷然后又突然恢復(fù)，網(wǎng)絡(luò)節(jié)點無規(guī)律的離開網(wǎng)絡(luò)然后又無規(guī)律的重新加入網(wǎng)絡(luò)等情況[7]。所以即使網(wǎng)絡(luò)沒有遭到攻擊，異常行為也會以一定的概率發(fā)生。因此這里提出“閾值”[8]的概念，只有當(dāng)閾值被超過的時候，才認(rèn)為發(fā)生了攻擊行為。針對不同種類的攻擊，對閾值的定義是不相同的。它可能與異常行為的數(shù)量相關(guān)，可能與異常行為的頻率相關(guān)，可能與異常行為的種類相關(guān)，也可能與異常行為的發(fā)生順序相關(guān)，還可以是多種因素組成的復(fù)合向量。構(gòu)成攻擊行為的一系列惡意異常行為應(yīng)當(dāng)分布在一定的時間間隔內(nèi)，否則會失去攻擊效果，所以入侵檢測系統(tǒng)對于攻擊行為的檢測也應(yīng)當(dāng)被約束在一定的時間間隔之內(nèi)。只要攻擊行為以一定的頻率反復(fù)發(fā)生，便一定會有機會完整地分布在入侵檢測的時間間隔之內(nèi)。

定義 1 在正常情況下異常行為發(fā)生的頻率被稱為正常頻率PN，將入侵檢測的時間間隔稱為TI，將入侵檢測算法調(diào)整的時間間隔稱為T。由攻擊行為引發(fā)的異常行為被稱為惡意異常行為。

每一種攻擊都有一組相關(guān)的異常行為以及與之對應(yīng)的閾值和時間間隔TI。當(dāng)攻擊行為發(fā)生變化，惡意異常行為在時間間隔TI內(nèi)可能沒有越過閾值，攻擊沒有被檢測出來，但是攻擊行為確確實實發(fā)生了。為了能更精確地檢測出攻擊行為，需要對檢測參數(shù)進(jìn)行調(diào)整，增大檢測攻擊的時間間隔TI，即每隔時間T逐步增大時間間隔TI，T＞TI。這使得入侵檢測系統(tǒng)有機會檢測出那些在閾值之下的攻擊活動。當(dāng)入侵檢測系統(tǒng)檢測到攻擊的時候，系統(tǒng)可以對入侵行為進(jìn)行分析，提取其中異常行為的信息，對閾值和時間間隔進(jìn)行修正。這使得入侵檢測系統(tǒng)能夠跟蹤攻擊的變化情況，調(diào)整閾值。

3 基于貝葉斯博弈的入侵檢測博弈模型及其完美均衡

根據(jù)無線節(jié)點的能源、無線連接數(shù)量、所轉(zhuǎn)發(fā)的報文數(shù)量等要素可以判斷這個無線節(jié)點在網(wǎng)絡(luò)中的重要性。將無線節(jié)點的價值設(shè)置為ω，惡意節(jié)點的攻擊獲得成功的收益也為 ω，無線節(jié)點進(jìn)行入侵檢測的代價為Cd，攻擊者發(fā)動攻擊的代價為Ca。當(dāng)惡意節(jié)點進(jìn)行攻擊時，入侵檢測系統(tǒng)能夠以 α的概率發(fā)出正確的警報，當(dāng)網(wǎng)絡(luò)沒有受到攻擊時入侵檢測系統(tǒng)以β的概率發(fā)出誤警，誤警會給系統(tǒng)帶來的損失為r。博弈雙方的收益函數(shù)可以用表1來描述。

表1 博弈收益表

假設(shè)入侵檢測系統(tǒng)以 p的概率對網(wǎng)絡(luò)進(jìn)行檢測，惡意節(jié)點以q的概率對網(wǎng)絡(luò)進(jìn)行攻擊，網(wǎng)絡(luò)中存在惡意節(jié)點的概率為 μ。得到入侵檢測系統(tǒng)的收益期望為公式 Ed=p[ q(μ a ω+μβr )-βr-Cd]+ω-qμω，惡意節(jié)點的收益期望為公式Ea=q(-paω+ω-Ca)。用取導(dǎo)數(shù)的方法可以得到，當(dāng)入侵檢測系統(tǒng)以的概率進(jìn)行網(wǎng)絡(luò)檢測，惡意節(jié)點以的概率進(jìn)行網(wǎng)絡(luò)攻擊時，網(wǎng)絡(luò)安全博弈取得平衡[9]。

將時間間隔TI理解成一個博弈周期，在每一個博弈周期中，根據(jù)上一周期的檢測結(jié)果運用貝葉斯法則對惡意節(jié)點存在概率μ進(jìn)行修正。如果入侵檢測系統(tǒng)發(fā)出警報，用式來對信念進(jìn)行修正。如果入侵檢測系統(tǒng)沒有發(fā)出警報，那就用式進(jìn)行修正。然后重新計算每一個博弈周期中合理的p*和 q*。

命題 1 在基于貝葉斯博弈的入侵檢測博弈模型中存在完美均衡。

證明 這里根據(jù)文獻(xiàn)[9]中的條件5來依次證明完美均衡的存在性。

這里的入侵檢測博弈是一個雙人博弈，只有 2個局中人，網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)安全系統(tǒng)。局中人只有一個博弈對手，所以局中人對博弈對手類型的信念必然是相互獨立的，而且其他局中人對他的信念也是一致的，所以條件1和條件4必然符合。通過觀察信念概率迭代式(1)和式(2)，可以發(fā)現(xiàn)對惡意節(jié)點存在概率的信念μ的修正結(jié)果僅僅取決上一周期的信念本身和網(wǎng)絡(luò)用戶在本周期的行動，因此條件3也成立。在每個回合對博弈對手的信念進(jìn)行修正時引入誤報概率α、β，所以條件2必然符合?？紤]到網(wǎng)絡(luò)安全系統(tǒng)只有一個類型，所以博弈策略集中不需要對網(wǎng)絡(luò)安全系統(tǒng)的類型進(jìn)行判斷，因此條件5也滿足。從上面的證明可以知道，基于貝葉斯博弈的入侵檢測博弈模型的階段均衡策略同時滿足文獻(xiàn)[9]中的條件5，所以它就是此博弈的完美博弈均衡點。

4 基于貝葉斯博弈的入侵檢測調(diào)整

4.1 入侵檢測時間間隔調(diào)整算法

入侵檢測系統(tǒng)并不確切知道網(wǎng)絡(luò)中是否真的存在惡意節(jié)點，它不斷搜集無線網(wǎng)絡(luò)中的報文信息，檢測網(wǎng)絡(luò)中存在的異常行為。為了檢測出可能發(fā)生一定變化的攻擊，需要對入侵檢測算法進(jìn)行一定的調(diào)整，不完全信息動態(tài)博弈理論為這種調(diào)整提供了理論基礎(chǔ)。

在博弈周期內(nèi)惡意節(jié)點的攻擊概率為q*，其攻擊行為引起的惡意異常行為在時間間隔 TI內(nèi)超越閾值的概率也為q*。如果在博弈周期中沒有檢測出攻擊行為，可能是因為沒有惡意節(jié)點發(fā)起攻擊，也可能是因為攻擊引起的惡意異常行為沒有越過閾值。為了檢測出可能存在的攻擊，這里假設(shè)網(wǎng)絡(luò)中必然存在進(jìn)行攻擊的惡意節(jié)點，因為攻擊行為發(fā)生了一定的變化，使得惡意異常行為的時間分布跨度超過了TI，所以入侵檢測系統(tǒng)不能正確地檢測出攻擊行為。于是入侵檢測系統(tǒng)將受到攻擊時正確發(fā)出警報的概率α取為0。將α=0代入式(2)，得到

然而網(wǎng)絡(luò)攻擊者并不清楚入侵檢測系統(tǒng)的調(diào)整情況，所以它將正確報警概率α設(shè)置為初始值，運用式來計算周期t中發(fā)動攻擊的概率qt。

這里設(shè)計基于貝葉斯博弈的入侵檢測時間間隔調(diào)整算法（TSMA-BG,time span modify algorithm based on Bayes game）。

在時間間隔T內(nèi)存在n個TI時間的博弈周期，n=T/TI，周期編號為k,k+1,…,k+n-1。運用迭代式(3)和式(4)，計算各博弈周期中惡意節(jié)點的攻擊概率qt，然后求和，得到時間間隔T內(nèi)攻擊行為發(fā)生次數(shù)的期望值，即攻擊的次數(shù)期望約為將時間間隔T除以攻擊次數(shù)期望，就得到了時間間隔TI的修正值

觀察式(3)，易證得μt+1＞μt，所以得到經(jīng)過這種方法修正的 TI必然比前一個時間間隔T內(nèi)的TI值要大。

4.2 對入侵檢測參數(shù)的修正算法

針對無線網(wǎng)絡(luò)的攻擊多種多樣，可以抽象成多種多樣的特征。為簡單起見，這里將網(wǎng)絡(luò)攻擊抽象成異常行為種類 VoM、異常行為頻率 FoM、時間分布跨度SoA這3個要素。只有當(dāng)檢測到的異常行為包括了足夠的種類，每種異常行為的頻率足夠高，并且在這2個條件能在一定的時間內(nèi)同時被滿足，才認(rèn)為網(wǎng)絡(luò)遭到攻擊，并發(fā)出警報。一旦網(wǎng)絡(luò)攻擊被發(fā)現(xiàn)，網(wǎng)絡(luò)安全系統(tǒng)行動起來對網(wǎng)絡(luò)進(jìn)行全面的分析。分析攻擊源頭，判斷其行為模式，將惡意異常行為的VoM、FoM和SoA整理出來，用得到的新數(shù)據(jù)對攻擊閾值和入侵檢測時間間隔進(jìn)行修正。

這里設(shè)計入侵檢測參數(shù)修正算法(DPMA,detection parameter modify algorithm)，算法如下。

惡意異常行為的種類：VoM={p,q,r,s},保持不變。攻擊時間分布跨度：

惡意異常行為的頻率：

在式(5)、式(6)中，VoM表示攻擊與異常行為p、q、r、s相關(guān)聯(lián)，這不會隨著入侵檢測參數(shù)的調(diào)整而改變。表示在博弈周期t內(nèi)，攻擊相關(guān)的異常行為分布的時間跨度，α、β表示修正參數(shù)。表示在博弈周期t中異常行為r的頻率閾值，PNr表示正常情況下異常行為 r的發(fā)生頻率。表示在剛檢測到的攻擊行為中時間跨度和異常行為 r的頻率。這里應(yīng)該特別指出，每一種攻擊行為都有與之相關(guān)的 VoM和 SoA，與攻擊行為相關(guān)的每一個異常行為都有各自的FoM。

4.3 針對多個異常行為進(jìn)行的檢測時間間隔調(diào)整

經(jīng)過實驗發(fā)現(xiàn)，當(dāng)一種攻擊行為包含有多種惡意異常行為的時候，對閾值的調(diào)整需要變得非常謹(jǐn)慎。入侵檢測系統(tǒng)可以精確地檢測出惡意異常行為的發(fā)生概率并進(jìn)行入侵檢測參數(shù)修正。當(dāng)攻擊只有一種惡意異常行為的時候，閾值和檢測時間間隔TI可以很快調(diào)整至穩(wěn)定狀態(tài)，此時入侵檢測系統(tǒng)能以很高的概率檢測出攻擊行為。而當(dāng)攻擊包含多種異常行為的時候，則必須要求每種異常行為都達(dá)到相應(yīng)的閾值。如果一種異常行為到達(dá)閾值的概率為a，a＜1，那么n種異常行為同時到達(dá)閾值的概率則為an，an會隨著n值的增大而迅速變小。實驗證明，當(dāng)n≥3的時候，根據(jù)攻擊行為信息進(jìn)行參數(shù)調(diào)整，閾值和入侵檢測時間間隔TI無法穩(wěn)定下來，在出現(xiàn)TI值大幅上升后緩緩下降，再大幅上升，反復(fù)震蕩的現(xiàn)象。這是因為對入侵檢測參數(shù)的修正使TI下降到一定程度時，入侵檢測系統(tǒng)無法檢測到發(fā)生的攻擊，于是在時間間隔T后，又進(jìn)行入侵檢測時間間隔調(diào)整。當(dāng)檢測到攻擊行為后，又根據(jù)檢測到的信息進(jìn)行入侵檢測參數(shù)修正，反復(fù)進(jìn)行。

在這樣的情況下，原有的辦法無法完全解決問題，此時應(yīng)當(dāng)對參數(shù)修正的目標(biāo)進(jìn)行調(diào)整，即入侵檢測系統(tǒng)首先根據(jù)檢測到的攻擊行為信息進(jìn)行參數(shù)修正，隨著參數(shù)修正的不斷進(jìn)行，入侵檢測系統(tǒng)開始無法有效地檢測到攻擊行為。此時應(yīng)當(dāng)將最近一次檢測到攻擊行為的入侵檢測參數(shù)作為修正目標(biāo)，而不是直接將檢測到的攻擊行為參數(shù)作為修正目標(biāo)。即在DPMA算法中，用最后一次檢測成功的參數(shù)來取代這種機制被稱為基于回退機制的入侵檢測參數(shù)修正算法(DPMA-DB,detection parameter modify algorithm based on drawback mechanism)。

5 入侵檢測算法的數(shù)據(jù)結(jié)構(gòu)和實現(xiàn)

本節(jié)為入侵檢測參數(shù)調(diào)整設(shè)計數(shù)據(jù)結(jié)構(gòu)和基本算法。首先是攻擊知識庫，它由一個二維數(shù)組和2個一維數(shù)組組成。二維數(shù)組 FoM[voa][vom]表示攻擊行為相關(guān)的異常行為頻率閾值，橫坐標(biāo)vom表示異常行為的種類，縱坐標(biāo)voa表示網(wǎng)絡(luò)攻擊的種類，節(jié)點FoM[i][j]表示在網(wǎng)絡(luò)攻擊 i中異常行為 j的頻率閾值。一維數(shù)組SoA[voa]表示每種網(wǎng)絡(luò)攻擊的時間分布跨度，一維數(shù)組TSA[voa]表示每種網(wǎng)絡(luò)攻擊的算法調(diào)整時間間隔T。

設(shè)置2個時鐘數(shù)組clockI[voa]、clockT[voa]，針對每種網(wǎng)絡(luò)攻擊分別在2個數(shù)組中各保存一個時鐘，分別為入侵檢測時間間隔和算法調(diào)整時間間隔計時。當(dāng)時鐘值到達(dá)時間間隔時將時鐘清零，重新開始計時。clockI[voa]對應(yīng)時間間隔 SoA[voa]，clockT[voa]則對應(yīng)入侵檢測算法調(diào)整時間間隔T。

設(shè)置二維數(shù)組 counter[voa][vom]來保存異常行為計數(shù)器，節(jié)點counter[i][j]保存了網(wǎng)絡(luò)攻擊i中異常行為j的發(fā)生數(shù)量。每當(dāng)異常行為k被發(fā)現(xiàn)一次，數(shù)組的第k列節(jié)點值都增加1。當(dāng)時鐘clockI[l]清零時，要將數(shù)組的第l行節(jié)點清零，重新開始計算異常行為的數(shù)量。當(dāng)?shù)趌行的每一個節(jié)點counter[l][j]的值都滿足 counter[l][j]≥SoA[l]×FoM[l][j]，認(rèn)為網(wǎng)絡(luò)遭到了攻擊，發(fā)出警報。此時也要將數(shù)組的第 l行節(jié)點清零，重新開始計數(shù)，同時將時鐘 clockI[l]和clockT[l]清零，重新開始計時。網(wǎng)絡(luò)診斷模塊也同時啟動，對網(wǎng)絡(luò)攻擊進(jìn)行全面分析，收集網(wǎng)絡(luò)攻擊的詳細(xì)信息，阻止網(wǎng)絡(luò)攻擊的繼續(xù)，并運用式(5)、式(6)對入侵檢測參數(shù)進(jìn)行調(diào)整，將調(diào)整結(jié)果分別保存到數(shù)組 FoM[voa][vom]、SoA[voa]中去。當(dāng)時鐘clockT[l]清零的時候，運用 4.1節(jié)中的 TSMA-BG算法對入侵檢測時間間隔進(jìn)行調(diào)整。

6 模擬實驗及實驗結(jié)果

這里用網(wǎng)絡(luò)模擬軟件 NS2[10]來對算法進(jìn)行仿真，模擬惡意節(jié)點對多跳無線網(wǎng)絡(luò)進(jìn)行攻擊的情景及網(wǎng)絡(luò)安全系統(tǒng)的反應(yīng)。

實驗1 對灰洞攻擊的檢測和分析

惡意節(jié)點以一定的概率丟棄應(yīng)當(dāng)轉(zhuǎn)發(fā)的報文，阻礙多跳無線網(wǎng)絡(luò)中的報文傳輸，這被稱為灰洞攻擊。由于無線通信的特征，正常的無線信道本身也存在著一定的報文傳輸失敗概率。入侵檢測系統(tǒng)通過統(tǒng)計無線鏈路中報文傳輸失敗的概率來發(fā)現(xiàn)灰洞攻擊行為，當(dāng)傳輸失敗概率超過閾值的時候，入侵檢測系統(tǒng)發(fā)出警報。入侵檢測節(jié)點觀察鄰居節(jié)點收到報文和轉(zhuǎn)發(fā)報文的數(shù)量[5]，可以精確地找到惡意節(jié)點及其行為特征。這為惡意節(jié)點行為特征的修正提供了必要的信息。

將網(wǎng)絡(luò)系統(tǒng)的價值ω設(shè)置為500，網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行入侵檢測的代價Cd設(shè)置為100（在移動的無線節(jié)點中進(jìn)行入侵檢測通常要付出很高的代價），惡意節(jié)點發(fā)動攻擊的代價Ca為50，誤警損失r設(shè)置為100，正確發(fā)出警報的概率α為0.9，誤警的概率為 0.2。報文傳輸失敗的攻擊閾值取為 0.95，分別將惡意異常行為的發(fā)生概率取為0.6和0.3。入侵檢測算法調(diào)整的時間間隔T被設(shè)置為50個博弈周期，檢測攻擊的時間間隔TI的初始值被設(shè)置為5個時間單位。時間間隔TI和攻擊閾值的修正參數(shù)α和β都被設(shè)置為 0.5。觀察入侵檢測時間間隔 TI的調(diào)整過程和攻擊閾值的調(diào)整過程。

在圖1中，橫坐標(biāo)表示博弈周期，縱坐標(biāo)表示入侵檢測時間間隔TI。這里不進(jìn)行閾值的修正而只進(jìn)行時間間隔TI的調(diào)整。圖中的實線表示惡意異常行為概率為0.3時入侵檢測時間間隔的變化情況，觀察圖1可以知道，在第50個博弈周期，也就是第一個時入侵檢測算法調(diào)整的時間間隔T結(jié)束的時候，進(jìn)行了第一次入侵檢測時間間隔調(diào)整，TI由 5上升為12。在第100個博弈周期即第2個時間間隔T時進(jìn)行了第二次入侵檢測時間間隔調(diào)整，TI被調(diào)整為22。在第112個博弈周期時，入侵檢測系統(tǒng)檢測到了攻擊行為，隨即根據(jù)檢測到的信息對TI進(jìn)行修正。每檢測出一次攻擊就進(jìn)行一次修正，使得TI不斷下降，逐步穩(wěn)定在 17個時間單位。圖中的虛線表明惡意異常行為概率為0.6時，在第一個時間間隔T中就檢測出了攻擊行為，根據(jù)檢測出的攻擊信息進(jìn)行的調(diào)整結(jié)果反而使得時間間隔 TI逐步上升，最終穩(wěn)定在7個周期的時間內(nèi)。

圖1 單獨進(jìn)行入侵檢測時間間隔調(diào)整

這里研究同時進(jìn)行參數(shù)修正和入侵檢測時間間隔調(diào)整的情況下，閾值和時間間隔 TI的變化情況。圖2和圖3中的2條曲線表示惡意異常行為的發(fā)生概率分別為0.6和0.3時，TI和閾值的變化情況。當(dāng)?shù)谝粋€時間間隔T結(jié)束的時候，TI開始第一次調(diào)整，從第二個時間間隔T開始檢測到攻擊行為，開始根據(jù)檢測到的信息進(jìn)行參數(shù)修正。閾值經(jīng)修正不斷減小，分別穩(wěn)定為0.6和0.3，這和惡意異常行為的發(fā)生概率相符合。當(dāng)發(fā)生概率為0.3時，TI首先上升，然后逐步下降為至 5。而發(fā)生概率為 0.6時，TI直接下降直到5。這是因為TI在調(diào)整的同時，閾值也在不斷下降。隨著閾值的穩(wěn)定，時間間隔回歸到了初始的時間間隔 5，此時入侵檢測系統(tǒng)可以正常的檢測出變化過的攻擊行為。

圖2 時間間隔的變化情況

圖3 攻擊閾值的變化情況

實驗2 針對隧道攻擊的檢測和分析

這里模擬惡意節(jié)點進(jìn)行隧道攻擊的情景，選取3種異常行為進(jìn)行判斷：修改路由控制報文序列號使之失效、發(fā)送錯誤的路由控制報文使報文向惡意節(jié)點匯聚、將收集的報文向特定節(jié)點轉(zhuǎn)發(fā)。將其閾值設(shè)置為{0.95,0.95,0.95}，惡意異常行為的發(fā)生概率為{0.6,0.65,0.7}。其他參數(shù)設(shè)置與實驗1中設(shè)置的相同。

圖4中實線表示對包含3種異常行為的隧道攻擊進(jìn)行入侵檢測時TI的變化情況，虛線表示對只有一種異常行為的灰洞攻擊進(jìn)行入侵檢測時TI的變化情況。這里直接使用了DPMA算法。如圖中所示，當(dāng)只有一種異常行為時，對檢測時間間隔TI的調(diào)整取得了很好的效果，當(dāng)TI穩(wěn)定的時候，入侵檢測系統(tǒng)可以以很高的概率檢測出潛在的攻擊行為。而當(dāng)有 3種異常行為時，TI值出現(xiàn)大幅度的波動，此時入侵檢測系統(tǒng)對攻擊行為的檢測概率也很低，往往低于50%。具體原因參見4.3節(jié)的分析。

圖4 調(diào)整比較

這里針對隧道攻擊進(jìn)行入侵檢測時采用的不同入侵檢測參數(shù)修正算法進(jìn)行研究。圖5中的虛線表示采用DPMA算法進(jìn)行參數(shù)修正，而實線則表示采用DPMA-DB算法進(jìn)行參數(shù)修正。觀察發(fā)現(xiàn)，當(dāng)采用DPMA算法的時候，TI出現(xiàn)了較大的波動，而且這種波動沒有趨向穩(wěn)定的趨勢，會一直持續(xù)下去。采用DPMA-DB算法時，TI值最低為5，然后逐漸回升，并最終穩(wěn)定在8。這表明DPMA-DB算法可以使TI達(dá)到合適的穩(wěn)定值，實驗結(jié)果同時還表明，此算法可以使入侵檢測系統(tǒng)能以大約85%的概率檢測出攻擊行為。

圖5 入侵檢測方式比較

圖6展示了采用DPMA-DP調(diào)整算法后，攻擊閾值的變化情況，3條曲線分別表示3種異常行為的攻擊閾值。實驗結(jié)果表明，算法可以對攻擊閾值進(jìn)行有效的調(diào)整，最終得到穩(wěn)定的結(jié)果。

圖6 攻擊閾值的調(diào)整情況

7 結(jié)束語

本文將貝葉斯博弈理論引入到無線網(wǎng)絡(luò)中的入侵檢測研究中，運用不完全信息動態(tài)博弈中的完美均衡計算多個博弈周期中網(wǎng)絡(luò)攻擊者發(fā)動攻擊的期望，設(shè)計入侵檢測時間間隔調(diào)整算法TSMA-BG，使得入侵檢測系統(tǒng)能夠有效地檢測出發(fā)生變化的攻擊行為。根據(jù)檢測出的攻擊行為特征，對入侵檢測參數(shù)進(jìn)行修正，并設(shè)計入侵檢測參數(shù)修正算法DPMA。實驗發(fā)現(xiàn)，當(dāng)攻擊行為有多個異常行為的時候，單純使用DPMA算法無法使入侵檢測系統(tǒng)達(dá)到穩(wěn)定的狀態(tài)。這里設(shè)計基于回退機制的入侵檢測參數(shù)修正算法DPMA-DB，實驗證明，在入侵檢測系統(tǒng)中使用 TSMA-BG算法和DPMA-DB算法可以對發(fā)生變化的攻擊行為進(jìn)行有效的檢測。

[1] ZHANG Y,LEE W.Intrusion detection in wireless ad hoc networks[A].Proc MobiCom 2000[C].2000.275-283.

[2] JOHARI R,TSITSIKLIS J N.Routing and peering in a competitive Internet[A].Conference on Decision and Control[C].2004.

[3] HIJAZI A,NASSER N.Using mobile agents for intrusion detection in wireless ad-hoc networks[A].Proc of Second IFIP International Conference on Wireless and Optical Communications Networks(WOCN 2005)[C].2005.362-366.

[4] HASSWA A,ZULKERNINE M,HASSANEIN H.Routeguard: an intrusion detection and response system for mobile ad-hoc networks[A].Proc of IEEE International Conference on Wireless and Mobile Computing,Networking and Communications(WiMob’2005)vol 3[C].2005.336-343.

[5] JIANHUA S,FAN H,YAJUN G.A distributed monitoring mechanism for mobile ad-hoc networks[A].Proc of the 8th International Symposium on Parallel Architectures,Algorithms and Networks(ISPAN'05)[C].2005.236-240.

[6] KETAN N,AMITABH M.A novel intrusion detection approach for wireless ad hoc networks[A].Wireless Communications and Networking Conference[C].2004.831-836.

[7] HUBAUX P,GROSS T,LE Y,et al.Towards self-organizing mobile ad-hoc networks: the Terminodes project[J].IEEE Communication Magazine,2001,39(1): 118-124.

[8] MISHRA A,NADKARNI K,PATCHA A.Intrusion detection in wireless ad hoc networks[A].Proc of IEEE Wireless Communications[C].2004.48-60.

[9] 施錫銓.博弈論[M].上海:上海財經(jīng)大學(xué)出版社,2000.SHI Y Q.Game Theory[M].Shanghai: Shanghai University of Finance and Economics Press,2000.

[10] The network simulator ns-2[EB/OL].http://www.isi.edu/nsnam/ns/.2009.