王智

（上海市公安邊防總隊，上海 200336）

1 ad-hoc網絡簡介

按照無線通信系統(tǒng)是否具有基礎設施，一般可以把無線網絡分為兩類。第一種類型是具有基礎設施的網絡，也就是一般模式的無線局域網。無線網絡的另一種類型是無基礎設施的網絡，也就是ad-hoc網絡（一群計算機接上無線網絡卡，即可相互連接，資源共享，無需透過access Point）。這是一種自組織的無線多跳網，整個網絡中沒有固定的基礎設施，也沒有固定的路由器，所有節(jié)點都是可移動的，并且能以任意的方式動態(tài)地保持與其它節(jié)點之間的聯系。正是由于ad-hoc網絡不需要任何的固定基礎設施，所以要組建這種網絡是非常靈活和方便的。它不僅適用于普通情況下，而且在一些特殊場合（比如說地形受限，無法使用傳統(tǒng)的有線網絡和無線網絡的情況）也有著極為廣泛的應用。尤其在軍事上，緊急搜索和救援中的應用比較常見。

2 ad-hoc面臨的安全威脅和常規(guī)解決辦法

任何事物都具有兩面性。在ad-hoc網絡帶給我們方便靈活的無線接入能力的同時，也給我們帶來了網絡安全方面的一系列難題，adhoc網絡的主機難以攜帶具有功能強大的防火墻，主機的資源限制了不能對入侵實時監(jiān)控，而且ad-hoc網絡的帶寬資源也十分有限，同時，ad-hoc網絡因其特殊的傳輸方式，因此對網絡的QoS要求很高。DoS（Denial of Service，即拒絕服務）攻擊成為了造成ad-hoc網絡瓶頸的最大威脅。DoS攻擊可以降低ad-hoc網絡的QoS，從而使整個網絡癱瘓。針對ad-hoc網絡的DoS攻擊手段很多，根據發(fā)起攻擊的位置不同，我們可以把攻擊分為兩類：內部攻擊和外部攻擊。內部攻擊是由網絡內部的惡意節(jié)點引起的攻擊。它一般更為嚴重，這是由于惡意節(jié)點作為被授權的一方屬于網絡內部，它們受網絡及其服務所提供的安全機制的保護。要檢測出內部攻擊是非常困難的；外部攻擊對網絡造成的網絡擁塞，阻止網絡正常服務的特點。無論內部攻擊或外部攻擊，用傳統(tǒng)的防火墻機制時很難檢測到和防護的，因此需要一種智能化的檢測機制來保護網絡，基于主動防護的入侵檢測系統(tǒng)就能十分有效的解決了這個問題。

入侵檢測技術目前被認為是一種比較有效的防護DoS攻擊的手段。入侵檢測技術是一種主動保護自己免受攻擊的一種網絡安全技術。作為防火墻的合理補充，它從計算機網絡系統(tǒng)中的若干關鍵節(jié)點收集信息，并分析這些信息。入侵檢測技術能夠幫助系統(tǒng)應對網絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應），提高了信息安全基礎結構的完整性。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下對網絡進行監(jiān)測。

3 傳統(tǒng)入侵檢測系統(tǒng)防護方法及其缺點

3.1 基于神經網絡的入侵檢測系統(tǒng)

將神經網絡引入入侵檢測系統(tǒng)在1998年就得到了很大的關注，這方面比較突出的是Cannady和Machaffey教授。1998年Canndy提出用基于神經網絡的入侵檢測系統(tǒng)來防護DoS攻擊。使IDS對DoS攻擊的防護能力提高了一大步。雖然他提出的入侵檢測系統(tǒng)利用了神經網絡的預測能力，但是沒有將自適應性應用于神經網絡，同時仿真實現仿真的是單一主機的抗DoS攻擊能力，沒有將整體網絡考慮進去，各個主機的入侵檢測系統(tǒng)缺少合作，不能從整體上提高整個網絡的防護能力。

3.2 基于智能體的入侵檢測系統(tǒng)

將分布式多智能體技術引入IDS比較典型的是一個由Purdue大學提出的基于智能體(agent)的入侵檢測系統(tǒng)，指出利用agent用來收集信息并且進行一些基本的處理和判斷，然后向上傳遞，起到了收集、過濾和判斷的作用。實際上這種分布式入侵檢測系統(tǒng)的機理是單智能體的檢測結果分布網絡中的傳遞作用。而智能體的檢測功能仍局限在防火墻的機制下。

下一代入侵檢測系統(tǒng)的發(fā)展就是要實現對分布式檢測的支持。即對實現三個方面的協同：數據采集協同、數據分析協同以及響應協同。agent技術為我們提供了一種在分布與開放環(huán)境中開發(fā)、運行軟件系統(tǒng)的全新模式。agent本身所具有的基本特性，如：自治性、適應性、交互性，使得agent非常適合用于分布式入侵檢測系統(tǒng)的開發(fā)，而正如前文介紹的神經網絡技術在發(fā)現入侵跡象方面有著良好的特性。因此目前入侵檢測技術的發(fā)展方向是將agent技術與神經網絡技術結合，搭建新的檢測機制。

4 基于神經網絡和智能體的無線網絡入侵檢測系統(tǒng)

從上文中我們可以看出要提高入侵檢測系統(tǒng)地能力，應從以下幾方面進行改進:

分布式，這里我認為指的不僅僅是單一主機的入侵檢測系統(tǒng)是分布式agent結構，而應該將整個網絡的每個節(jié)點入侵檢測系統(tǒng)布局設計是分布式的，這樣一來，節(jié)點與節(jié)點之間就不是孤立的，而是聯合的，那么針對前文說的DoS攻擊，入侵檢測系統(tǒng)就會有效的進行防護。

多智能體技術，考慮的不緊緊是單一主機的入侵檢測系統(tǒng)的agent合作，而應將其應用在網絡的每個節(jié)點的入侵檢測系統(tǒng)，將每個節(jié)點的入侵檢測系統(tǒng)視為一個agent，通過檢測系統(tǒng)的合作來保護整個網絡。

將智能體和神經網絡技術結合。從考慮整體網絡的QoS和人工認知的角度出發(fā)，在改進了Canndy教授提出的基于神經網絡的入侵檢測系統(tǒng)和基于智能體的入侵檢測系統(tǒng)基礎之上，提出基于神經網絡和智能體的ad-hoc網絡入侵檢測系統(tǒng)。該系統(tǒng)主要解決ad-hoc網絡整體防護DoS攻擊的問題。應用神經網絡預測功能，運用智能體的特性將行為和效果達成自適應的一致性。

在OMNET模擬平臺上進行了模擬仿真，通過對仿真結果的分析，可以看出基于神經網絡和智能體的入侵檢測系統(tǒng)不僅可以起到保護網絡安全的作用，同時也盡量減少了網絡QoS的損失。

在對基于傳統(tǒng)神經網絡入侵檢測系統(tǒng)模型分析的基礎之上，針對其存在基于防火墻孤立防護的不足，考慮網絡整體性能指標下的局部優(yōu)化策略，提出了基于神經網絡和智能體的入侵檢測系統(tǒng)模型，旨在為智能化ad-hoc網絡入侵檢測系統(tǒng)提供新的思路和方向。網絡仿真工具OMNET+＋對基于人工認知BP-CT的入侵檢測系統(tǒng)進行了人工實驗，實驗結果達到了兩個預期效果：提高了入侵檢測的智能化和有效的提高了整個網絡的QoS。

可以看出將人工認知BP-CT應用于adhoc網絡入侵檢測系統(tǒng)不僅是可行的，而且增強的入侵檢測系統(tǒng)的檢測自適應能力和網絡的QoS。本文從理論上給出了基于人工認知BP-CT入侵檢測系統(tǒng)成功的可能性，但是在實際應用中還有待更深入的開發(fā)。同時，如何能在不降低網絡整體的QoS基礎上更有效的提高入侵檢測系統(tǒng)的準確性應是下一步解決的問題。

[1]周學廣.無線網絡入侵初探.通信技術 2002-11-30.