張耀元，郭淑明，汪小雨

(國家數(shù)字交換工程技術研究中心，河南 鄭州 450000)

?

基于入侵檢測技術的MANET安全研究

張耀元，郭淑明，汪小雨

(國家數(shù)字交換工程技術研究中心，河南 鄭州 450000)

入侵檢測系統(tǒng)可顯著提高移動自組網(wǎng)絡的安全水平。文中分析了MANET的IDS的特點，并對IDS一些典型安全方案的研究現(xiàn)狀進行分類闡述，分析了各種方案的優(yōu)點和缺點。闡明目前研究存在的問題，并提出了相應的改進方法,且討論了后續(xù)的研究方向。

MANET；入侵檢測；看門狗；博弈論

MANET(Mobile Hoc Networks)由帶有收發(fā)裝置移動節(jié)點組成的無線網(wǎng)絡，在缺乏網(wǎng)絡基礎設施或集中管理時可快速組網(wǎng)，應用領域廣泛。MANET的無線信道具有開發(fā)性，節(jié)點間相互交換信息時易受到欺騙、惡意丟包、中間人、隱私與保密等攻擊。因此，如何快速準確地檢測到網(wǎng)絡中的入侵行為對保障MANET的安全具有重大意義。

MANET中節(jié)點動態(tài)的加入、移動、消失，因此產(chǎn)生網(wǎng)絡拓撲的動態(tài)性。由于無線鏈路的不可靠性，要求MANET網(wǎng)絡配置的高度靈活性。此外由于單個節(jié)點的可用性無法保障，要求網(wǎng)絡服務不能依賴于一個統(tǒng)一的中央實體，必須滿足分布式和自適應。傳統(tǒng)有線網(wǎng)絡入侵檢測技術存在的問題在MANET中依然存在，此外這種網(wǎng)絡的特殊性又出現(xiàn)許多新問題。

1 MANET入侵檢測系統(tǒng)

1.1 攻擊類型

由于MANET本身特點和特殊的工作模式，MANET網(wǎng)絡的安全威脅是復雜、多樣的，因此對攻擊行為的分析顯得至關重要。MANET的攻擊類型主要有兩種[1]：主動攻擊和被動攻擊。主動攻擊主要包含欺騙攻擊、蟲洞攻擊、拒絕服務攻擊、Sinkhole攻擊和Sybil攻擊。被動攻擊主要包括竊聽攻擊、流量分析攻擊和監(jiān)視攻擊。主動攻擊主要是針對路由協(xié)議的攻擊，攻擊者主動破壞網(wǎng)絡協(xié)議。而被動攻擊主要是MANET中節(jié)點共享開放信道造成的，攻擊不發(fā)送任何信息，僅企圖發(fā)現(xiàn)有用的信息。

(1)孤立IDS。每個節(jié)點都有IDS可以獨立進行檢測，依靠本地節(jié)點，節(jié)點間相互獨立工作。優(yōu)點是當部分節(jié)點不可用時依然可以正常工作，但缺點是效率較低[2-3]；(2)分布式協(xié)作IDS。所有節(jié)點相互協(xié)作參與全局的入侵檢測，適用于平面MANET；(3)層次IDS。主要是選取簇頭節(jié)點提供IDS功能，適用于多層MANET。

2 入侵檢測技術方案及比較

2.1 典型IDS技術方案

方案1 分布式協(xié)作方案，解決網(wǎng)絡脆弱性問題。

Silva[4]等人提出了分布式IDS，入侵檢測功能由網(wǎng)絡中的監(jiān)視節(jié)點來實現(xiàn)，每個節(jié)點單獨運行監(jiān)測算法。為克服MANET的脆弱性，Zhang和Lee 提出了基于Agent 的分布式協(xié)作入侵檢測方案[5]，充分利用網(wǎng)絡中節(jié)點協(xié)作的優(yōu)勢。在該方案中 IDS Agent 運行于網(wǎng)絡中每一個節(jié)點上，擁有數(shù)據(jù)收集、本地檢測、協(xié)作檢測、本地響應、全局響應、安全通信6大模塊。此方案中節(jié)點在監(jiān)控自身行為的同時也可監(jiān)控相鄰節(jié)點的行為。該方案的優(yōu)點：(1)充分利用每個節(jié)點上的agent獨自對本地的異常進行檢測；(2)采用多點協(xié)作的入侵檢測方案，提升整個網(wǎng)絡的檢測效率。Zhang 在后續(xù)文獻[6]中對上述方案進行了詳細的論述，建立了一個 IDS 模型并用網(wǎng)絡模擬器進行了模擬實驗。Tanya[7]對比MANET網(wǎng)絡中應用IDS agent對抗各種黑洞攻擊的解決方案，分析其優(yōu)劣性，為后續(xù)研究提供指導。

方案2 看門狗方案，主要解決惡意節(jié)點發(fā)現(xiàn)問題，針對協(xié)議主動攻擊問題。

為解決惡意節(jié)點快速發(fā)現(xiàn)問題，Marti等人提出Watchdog方案[8]，旨在通過減少惡意節(jié)點參與路由的機會來增加網(wǎng)絡吞吐量。此方案中每個節(jié)點均有負責監(jiān)控的Watchdog和路徑選擇的Pathrater。通過監(jiān)聽網(wǎng)絡下一跳傳輸中混雜的鏈路來檢測網(wǎng)絡中惡意節(jié)點的不端行為。Watchdog中有一個用于存放自身發(fā)送的數(shù)據(jù)包的緩沖區(qū)，若檢測到相鄰節(jié)點發(fā)送的數(shù)據(jù)包有與之匹配的包，則標記此節(jié)點行為良好；若在規(guī)定的計時周期內(nèi)未檢測到相匹配的數(shù)據(jù)包，則將該節(jié)點標記行為異常，Pathrater降低該相鄰節(jié)點的等級，并在選擇路由時盡量避免這些不安全的節(jié)點。但在實際應用中，Pathrater對Watchdog過于依賴，Watchdog本身對惡意節(jié)點的判定又過于模糊。因此該方案具有如下不足：(1)節(jié)點接收信息的相互碰撞；(2)對惡意節(jié)點行為定義的模糊碰撞；(3)缺乏有效的協(xié)作，使Ad hoc網(wǎng)絡中節(jié)點傳輸功率受限的問題凸顯；(4)錯誤的行為報告，導致合法節(jié)點利益受損；(5)當局部檢測能力下降時將影響整個檢測系統(tǒng)的效率。

針對錯誤的行為報告問題的解決，Nasser[9]等提出了Ex-Watchdog入侵檢測系統(tǒng)，對Watchdog方案進行補充。該系統(tǒng)的主要特點是能夠發(fā)現(xiàn)惡意節(jié)點可分區(qū)錯誤報告其他節(jié)點的網(wǎng)絡行為不端和顯著降低開銷。但其具有以下缺點：(1)為解決網(wǎng)絡吞吐量問題；(2)對源節(jié)點和目的節(jié)點的所有路徑上惡意節(jié)點不具有容忍性，當惡意節(jié)點存在時會導致整個網(wǎng)絡崩潰。

根據(jù)物理檢測結果，其配制的水泥需水量、凝結時間等重要性能均達到要求，水泥3d、28d強度開始偏低，后經(jīng)微調(diào)熟料、石膏和混合材料的配比，配制水泥的SO3和MgO含量、需水量、凝結時間、3d、28d強度等物理化學性能，符合國家標準要求。說明該石膏礦石經(jīng)加工后可作為生產(chǎn)水泥用緩凝劑使用。

TWOACK[10]是為了解決Watchdog中節(jié)點的接收碰撞和傳輸功率受限問題，其通過確認連續(xù)3次沿著從源節(jié)點到目的節(jié)點路徑上的每個數(shù)據(jù)包來檢測有不端行為的鏈接。檢索一個數(shù)據(jù)包，路徑上的每個節(jié)點需要發(fā)回一個應答信息確認數(shù)據(jù)包下兩跳的路徑。但同時每一個數(shù)據(jù)包在傳輸過程中反復為網(wǎng)絡帶來大量的開銷，由于Ad Hoc網(wǎng)絡中能量受限，過多的冗余傳輸將降低整個網(wǎng)絡生存周期。

Sheltami[11]等人基于TWOACK提出自適應確認(AACK)方案，解決了增加網(wǎng)絡吞吐量需增加網(wǎng)絡開銷的問題。其采用混合方案的概念AACK大幅降低了網(wǎng)絡開銷。缺點是AACK無法檢測到存在虛假行為報告的惡意節(jié)點，無法避免欺騙攻擊。

TWOACK和AACK方案實現(xiàn)的前提是在確保認證數(shù)據(jù)包的有效性和真實性的前提下，解決認證數(shù)據(jù)包真實有效的問題，Elhadi M等提出針對檢測惡意攻擊者的增強型自適應確認(EAACK)方案[12]。EAACK由3個主要部分組成，即ACK、安全ACK(S-ACK)、不當行為報告認證(MRA)。當網(wǎng)絡中無不端行為時使用ACK降低網(wǎng)絡開銷。引入S-ACK的目的是檢測存在接收碰撞和傳輸能量受限的網(wǎng)絡中行為不端的節(jié)點。MRA方案的核心是通過不同的路線來驗證目的節(jié)點是否已收到丟包報告。

EAACK技術是基于確認，EAACK中確保所有確認數(shù)據(jù)包是真實可信的。因此，在MANET中 EAACK要求所有確認數(shù)據(jù)包在發(fā)送之前進行數(shù)字簽名來確保IDS的完整性。數(shù)字簽名技術成為EAACK方案的核心，主要用來降低網(wǎng)絡開銷。為解決數(shù)據(jù)尺寸和密鑰長度問題的ECDSA加密算法[13]，使數(shù)據(jù)丟失的概率最小化，來減少碰撞并保證安全性。混合密碼方案[14]是為了提高數(shù)據(jù)包的安全水平，進而減少網(wǎng)絡中的額外開銷。

方案3 博弈論的方案，主要是解決對攻擊類型的自適應調(diào)整問題。

為解決多點攻擊源時系統(tǒng)反應滯后的問題，Xu[15]等人通過博弈理論框架來對他們提出的DDOS防御系統(tǒng)的性能進行分析，防御系統(tǒng)隨攻擊的改變而進行防御策略的調(diào)整。李奕男[16]等人將博弈理論引入到移動Ad hoc 網(wǎng)絡的入侵檢測系統(tǒng)中，針對多攻擊節(jié)點和不同強度的攻擊源，建立一個非協(xié)作博弈入侵檢測模型。N節(jié)點的入侵模型表示為：Γ= {{A,D},{SA,SD},{PA,PD},{IA,ID},{RA,RD}}，其中A表示入侵者，D表示相應的響應策略；{SA,SD}、{PA,PD}、{IA,ID}、{RA,RD}分別表示局中人策略空間、探測器概率分布矩陣、攻防雙方信息集與效用函數(shù)，同時通過納什均衡進行求解。上述方案將攻防雙方的網(wǎng)絡入侵和響應的過程抽象成一個非合作、完全信息、有限次重復的對抗性博弈。Myria[17]等人將博弈論引入MANET 的IDS，通過數(shù)據(jù)包抽樣策略解決了安全機制的有效性問題。

方案4 基于自動機方案，主要解決的是多層次MANET的IDS問題。

易平等人[18]提出一種基于時間自動機的入侵檢測算法，提出了基于簇頭的分布式合作的入侵檢測架構，通過隨機選舉的簇頭作為監(jiān)視節(jié)點，并周期性地重新選舉簇頭，既節(jié)省網(wǎng)絡資源又保證了入侵檢測系統(tǒng)的安全性。且該算法不需要事先進行數(shù)據(jù)訓練并能夠實時檢測入侵行為。通過表1的仿真結果表明，該算法是有效的。

同時一些研究者已將機器學習[19]等概念引入MANET安全研究的領域。由于缺乏統(tǒng)一數(shù)據(jù)集上不同檢測算法的比較問題，文獻[20]提出一種基于機器學習的IDS評估模型，利用機器學習算法進行模型訓練從而找出最佳方案。該方法證明了層次IDS、邏輯回歸和支持向量機的方案效果最佳。

表1 4種攻擊方式的入侵檢測率

2.2 入侵檢測方案比較與分析

通過對比現(xiàn)行MANET入侵檢測技術的研究現(xiàn)狀，分布式IDS綜合了狀態(tài)監(jiān)視、信息共享、節(jié)點間相互協(xié)作從而對入侵行為的檢測是有效的?？撮T狗方案中易受MANET自身性能影響，相鄰節(jié)點信息檢測是個難點，則針對MANET路由協(xié)議的IDS研究將成為未來的研究熱點。博弈論方案中將大量消耗網(wǎng)絡資源，降低整個網(wǎng)絡生存周期。基于時間自動機的入侵檢測復雜度較高，計算量過大，在MANET中不易實現(xiàn)。針對以上論述的入侵檢測技術的不足，MANET入侵檢測技術進行重點研究的方向可總結為幾點：(1)惡意節(jié)點不端行為的快速發(fā)現(xiàn)，現(xiàn)有的方法對惡意節(jié)點的延遲過多，不利于IDS系統(tǒng)工作；(2)盡量少的使用監(jiān)視節(jié)點，過多的監(jiān)視節(jié)點將消耗較多的系統(tǒng)資源，如何確保在減少系統(tǒng)開銷的同時增強系統(tǒng)的安全性；(3)新算法強以高效辨別節(jié)點的虛假行為報告，隨著計算機技術的發(fā)展節(jié)點的運算能力越來越強，可運行難度較大的算法；(4)綜合方案的研究，一個合格的安全方案應該融合密鑰管理、路由安全、入侵檢測等各方面的內(nèi)容, 形成一個整體的安全方案，但安全綜合方案的論證預評估將是一個復雜的問題，需要更好的模型進行研究。

3 結束語

通過對MANET的IDS研究現(xiàn)狀的調(diào)研，下一步發(fā)展應包括以下方面：

(1)大規(guī)模MANET的IDS設計。在MANET的IDS設計中，主要采用分布式的認證過程，從而進一步增加了控制信息的開銷，過多的通信開銷不僅不利于網(wǎng)絡規(guī)模的擴大，且降低了MANET網(wǎng)絡的生存周期。當MANET達一定規(guī)模時[21]，該問題尤為突出。IDS中應該設計和采用一些對資源要求少的算法，例如如何降低相互間認證時的消耗,用對稱密鑰取代公開密鑰、大規(guī)模MANET的服務質量保證等；

(2)IDS中攻擊者身份識別問題。在一些研究中[22]，對攻擊者身份識別主要通過對所有數(shù)據(jù)包的強制認證，效率低下。同時一些針對路由的攻擊的啟動無需隱藏或欺騙，因IDS對惡意攻擊行為的認定具有滯后性。如何快速識別攻擊者的身份問題急需解決；

(3)攻擊預測模型的研究。由以上研究可知，大部分IDS方案是基于被動響應，這種情況會降低入侵檢測系統(tǒng)的響應速度和工作效率，需要對MANET的入侵行為做出主動響應，并對入侵者的攻擊行為進行準確建模。例如，嚴輝[23]等提出一種基于重復博弈(QRE)的攻擊預測模型，通過建立入侵者和入侵檢測系統(tǒng)之間的階段博弈模型，給出階段博弈的納什均衡，并求出重復博弈情況下的子博弈精煉納什均衡。根據(jù)圖1仿真結果得到的節(jié)點防御成功率可看出，QRE 的博弈防御模型對于節(jié)點防御的成功率在相同的時間內(nèi)能穩(wěn)定在較為理想的水平；

圖1 節(jié)點防御成功率

(4)MANET網(wǎng)絡與蜂窩網(wǎng)絡融合的IDS設計。MANET與蜂窩網(wǎng)絡融合時，可利用MANET網(wǎng)絡中節(jié)點的多跳轉發(fā)能力來擴展蜂窩網(wǎng)絡的覆蓋范圍，同時可均衡小區(qū)內(nèi)業(yè)務的負載，提升小區(qū)邊緣終端的數(shù)據(jù)速率，是MANET網(wǎng)絡發(fā)展的方向。但MANET網(wǎng)絡與蜂窩網(wǎng)絡融合時面臨的安全風險會增加，則IDS就必不可缺。如何設計融合網(wǎng)絡的IDS需要進一步研究。

[1] Mishra A,Nadkarni K,Patcha A.Intrusion detection in wireless ad hoc networks[J].IEEE Wireless Communications,2004,11(1):48-60.

[2] 易平,蔣嶷川,張世永,等.移動Ad hoc網(wǎng)絡安全綜述[J].電子學報,2005,33(5):893-899.

[3] 卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測技術研究綜述[J].通信學報,2004,25(7):19-29.

[4] Silva A P R D,Martins M H T,Rocha B P S,et al.Decentralized intrusion detection in wireless sensor networks[J].Proceedings of ACM International Workshop on Quality of Service & Security in Wireless & Mobile Networks,2005,7(8):16-23.

[5] Zhang Y,Lee W.Intrusion detection in wireless Ad-hoc networks[C].Boston:Proceedings of the 6th Annual International Conference on Mobile Computing and Networking,2000.

[6] Zhang Y,Lee W,Huang Y A.Intrusion detection techniques for mobile wireless networks[J].Wireless Networks,2003,9(5):545-556.

[7] Araghi T K,Zamani M,Manaf A B A,et al.A survey for prevention of black hole attacks in wireless mobile Ad Hoc networks using cryptographic techniques[C].Malaysia:12th WSEAS International Conference on Applied Computer and Applied Computational Science (ACACOS’13), 2013.

[8] Marti S,Giuli T J,Lai K,et al.Mitigating routing misbehavior in mobile ad hoc networks[C].Boston:Proceedings of the ACM/IEEE International Conference on Mobile Computing and Networking (Mobicom),2000.

[9] Nasser N,Chen Y.Enhanced intrusion detection system for discovering malicious nodes in mobile Ad Hoc networks[C].Scotland:IEEE International Conference on Communications,2007.

[10] Balakrishnan K,Deng J,Varshney P K.TWOACK:preventing selfishness in mobile ad hoc networks[J].IEEE,2005,4(4):2137-2142.

[11] Sheltami T,Al-Roubaiey A,Shakshuki E,et al.Video transmission enhancement in presence of misbehaving nodes in MANETs[J].Multimedia Systems,2009,15(5):273-282.

[12] Shakshuki E M,Kang N,Sheltami T R.EAACK—a secure intrusion-detection system for MANETs[J].IEEE Transactions on Industrial Electronics,2013,60(3):1089-1098.

[13] Vijayakumar R,Raja S,Prabakaran M.ECDSA-performance improvements of intrusion detection in mobile Ad-Hoc networks[J].Compusoft International Journal of Advanced Computer Technology,2014,3(1):484-486.

[14] Chaudhari D A,Javheri S B.An intrusion detection system for MANET using hybrid cryptography[J].International Journal of Advance Research in Computer Science and Management Studies,2015,3(1):347-352.

[15] Xu J,Lee W.Sustaining availability of Web services under distributed denial of service attacks[J].IEEE Transactions on Computer,2003,52(4):195-208.

[16] 李奕男,錢志鴻,劉影,等.基于博弈論的移動 Ad Hoc 網(wǎng)絡入侵檢測模型[J].電子與信息學報,2010,32(9):2245-2248.

[17] Bouhaddi M,Radjef M S,Adi K.A game approach for an efficient intrusion detection system in mobile Ad Hoc networks[M].Canada:Foundations and Practice of Security,Springer International Publishing,2014.

[18] 易平,柳寧,吳越.基于時間自動機的Ad Hoc網(wǎng)絡入侵檢測[J].電子與信息學報,2009,31(10):2310-2315.

[19] Pietro R D,Guarino S,Verde N V,et al.Security in wireless Ad-Hoc networks-a survey[J].Computer Communications,2014,40(10):1-20.

[20] 蔣一波,王雨晨,王萬良,等.一種基于機器學習的MANET網(wǎng)絡入侵檢測性能評估方法研究[J].計算機科學,2013,40(S2):170-174.

[21] 胡華平,胡光明,董攀.大規(guī)模移動自組網(wǎng)絡安全技術綜述[J].計算機研究與發(fā)展,2007,44(4):545-552.

[22] Huang Y,Lee W.A cooperative intrusion detection system for ad hoc networks[C].USA:Proceedings of the 1st ACM Workshop on Security of Ad Hoc and Sensor Networks,2003.

[23] Wu Y,Tang S,Xu P,et al.Dealing with selfishness and moral hazard in noncooperative wireless networks[J].IEEE Transactions on Mobile Computing,2010,9(3):420-434.

Research on MANET Security Based on Intrusion Detection Technology

ZHANG Yaoyuan, GUO Shuming, WANG Xiaoyu

(National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450000, China)

The intrusion detection system (IDS) can significantly improve the security of the mobile ad hoc network (MANET). This paper analyzes the characteristics of the IDS MANET, reviews the research status of some typical IDS security programs, and analyzes their advantages and disadvantages. Some existing problems in the research are clarified, the corresponding improvement methods are put forward, and the future research direction is discussed.

MANET; intrusion detection; watchdog; game theory

2016- 01- 11

張耀元(1987-)，男，碩士研究生。研究方向：移動通信網(wǎng)絡。郭淑明(1977-)，男，博士，副研究員，碩士生導師。研究方向：移動通信網(wǎng)絡。汪小雨(1991-)，男，碩士研究生。研究方向：無線通信網(wǎng)絡。

10.16180/j.cnki.issn1007-7820.2016.11.044

TN916;TP302

A

1007-7820(2016)11-157-04