（无线电物理专业论文）移动ad+hoc网络中一种改进的加权分群算法研究.pdf

摘要 移动a dh o e 网络中一种改进的加权分群算 法研究 专业： 硕士生： 指导教师： 无线电物理 陈剑峰 周杰英副教授 摘要 移动a dh o e 网络m a n e t ( m o b i l ea dh o en e t w o r k ) 正逐渐成为无线网 络研究领域的热点。移动a dh o c 网络独有的特性，使其更容易受到攻击，构造 网络安全体系也更为复杂。因此安全性问题成为移动a dh o e 网络研究的重要内 容，尤其针对安全敏感的服务。入侵检测是安全防范的第二道设施，在任何高抗 毁性网络中都是必须的。因而研究移动a dh o e 网络中入侵检测的相关技术具有 重要的意义。 本文以移动a dh o e 网络中通用的入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m , i d s ) 结构及分群算法为研究重点，在详细分析移动a dh o e 网络的安全需求和总 结当前该领域的研究现状的基础上，综合考虑节点的可信度、通信链路稳定性以 及群首竞争的公平性等方面因素，提出了一种加权的i d s 分群算法，该算法可 以克服当前分群算法的一些不足。通过该分群算法，整个移动a dh o e 网络将被 分成多个i d s 子群，实行全局分散检测、局部集中决策的高效入侵检测系统结 构，能够减少网络中节点的计算量，还能避免移动a dh o e 网络的带宽不足和网 络通信速度有限给检测带来的局限性。 本文通过在模拟器上仿真实现了该i d s 分群算法；接着，通过对几种典型 的分群算法的模拟研究，对比分析了这些算法的优缺点；通过模拟仿真验证了该 算法对动态的移动自组网具有较强的适应性，更适合移动a dh o e 网络的入侵检 测系统。 中出太学硕士学位论文 关键词：移动a d h o e 网络；入侵检测；分群 a b s t r a c t a n i m p r o v e dw e i g h t e dc l u s t e r i n ga l g o r i t h m f o r m o b i l ea dh o cn e t w o r k m o 嚣 r a d i op h y s i c s n a m e ：j i a n f t n gc h e n s u p e r v i s o r ：a s s o c i a t ep r o f e s s o rj i e y i n gz h o u a b s t r a c t m o b i l ea dh o en e t w o r k ( m a n e t ) h a sb e c o m et h ef o c u si nt h er e s e a r c ho f w i r e l e s sn e t w o r k m a n e tw i t hs p e c i a ln a t u r ei sv u l n e r a b l et oa l la d v e r s a r y s m a l i c i o u sa t t a c k s 。m o r e o v e r , t h ec o n s t r u c t i o no ft h es e c u r i t ys y s t e mf o rm a n e ti s m o r ec o m p l i c a t e d s ot h es e c u r i t yi st h ei m p o r t a n ti s s u ei nm o b i l ea dh o en e t w o r k , e s p e c i a l l yt ot h es e r v i c e ss u s c e p t i b l et ot h ei n t r u s i o n i n t r u s i o nd e t e c t i o np r e s e n t sa s e c o n dw a l lo fd e f e n s ea n di ti san e c e s s i t yi na n yh i g h - s u r v i v a b i l i t yn e t w o r k t o s t u d yi n t r u s i o nd e t e c t i o nt e c h n o l o g yf o rm o b i l ea dh o en e t w o r ki sav e r ys i g n i f i c a n t w o r k 羊越sp a p e rw i l ls t u d y0 nt h ei n t r u s i o nd e t e c t i o ns y s t e m ( d s a r c h i t e c t u r e sa n d c o r r e l a t i v ek e yt e c h n o l o g y i tg i v e sat h o m u g la n a l y s i so nt h ei n h e r e n tv u l n e r a b i l i t y o f m a n e ta n ds e c u r i t yr e s e a r c hi n t h ef i e l d ，f u r t h e s ti tt a k e si n t oa c c o u n tm a n yf a c t s ， i n c l u d i n gt h es e c u r i t yo fn o d e , t h es t a b i l i t yo fc o m m u n i c a t i o nr o u t ea n dt h ej u s t i c e c o m p e t i t i o no fc l u s t e r - b e a d ，a n dp r o p o s e sa l li n t r u s i o nd e t e c t i o ns y s t e mc l u s t e r a l g o r i t h mb a s e d0 1 1w e i g h t i tc o u l de l i m i n a t es o m ed i s a d v a n t a g ee x i s t e di no t h e r c l u s t e r i n ga l g o r i t h mf o rm a n e t b y 涮珏gt h i sa l g o r i t h m ，a l lm o b i l en o d e sw i t hi d s i nm a n e tc a nb ed i v i d e di n t os o m es u b e h i s t e r sa n dc a r r yo u tt l l ee f f e c t i v ei n t r u s i o n m e c h a n i s m , w h i c hp e r f o r m sd i s t r i b u t e dd e t e c t i o ni nw h o l ea n d c e n t r a l i z e d d e c i s i o n - m a k i n ga tl o c a l 。羹蛙sa r c h i t e c t u r ec a nr e d u c et h ec o m p u t a t i o na n dc a na l s o a v o i dt h ei i t m t a t i o n sd u et ot h el i m i t e db a n d w i d t ha n df i n i t ec o m m u n i c a t i o ns p e e d 1 1 1 中山大学硕士学位论文 f i n a l l y ，t h ep a p e rd e s i g n sas i m u l a t i v em e t h o dt or e a l i z et h i sc l u s t e r i n ga l g o r i t h m f u r t h e ro n , i ta n a l y z e ss o m eo t h e rk i n d so fc l u s t e r i n ga l g o r i t h m sb ys i m u l a t i o n , a n d c o m p a r e s 也e i rp r o sa n dc o n s t h en o v e la l g o r i t h mi sp r o v e db ys i m u l a t i o nt oh a v e b e t t e ra d a p t a b i l i t yf o rm a n e tw i t hi t st o p o l o g i es t r u c t u r ef r e q u e n t l yv a r i e si nt i m e ， a n db e i n gs u i t a b l ef o ri d so f m a n e t k e y w o r d s ：m o b i l ea dh o en e t w o r k ；i n t r u s i o n ；c l u s t e r 1 1 课题来源 第1 章绪论 本课题为广东省信息安全技术重点实验室2 0 0 5 年开放基金项目无线移动 a dh o c 网络中多重跟踪的异常检测技术研究的子课题。 1 2 移动a d h o c 网络概述1 h 幻 移动a dh o c 网络( m o b i l ea dh o cn e t w o r k ，简称m 姗) 是由一组带有无 线收发装置的移动节点组成的一个多跳的临时性自治系统，可快速适应网络的动 态拓扑变化，具有高抗干扰与抗毁性。在移动a dh o c 网络中，每个移动节点兼 备路由器和主机两种功能：作为主机，终端需要运行面向用户的应用程序；作为 路由器，终端需要运行相应的路由协议，根据路由表与路由策略参与分组转发和 路由维护工作。在移动a dh o c 网络中，节点间的路由通常由多跳( h o p ) 组成。由 于节点的无线传输范围有限，两个无法直接通信的终端节点往往会通过几个中间 节点的转发来实现通信。所以，它又被称为多跳无线网、自组织网。移动a d h o c 网络同时具备移动通信网络和计算机网络的特点，可以看作是一种特殊的移动计 算机网络。 目前移动a dh o c 网络已经广泛用于各个领域。军事上它可支持野外联络、 独立战斗群通信和情报传输。在民用领域它的应用更为广泛，例如在商业活动中， 具有协同工作关系的一组人员之间通过具备无线收发能力的手持式设备交换数 据信息，支持会议等临时交互通信应用。 移动a dh o c 网络的发展趋势“。主要有以下方面：随着各种具备一定通信能 力的手持式终端大量出现，它的民用领域将逐步扩大。在4 g 设想中，移动a dh o c 网络是网络接入的一种解决方案。由于目前只有路由协议方面的标准和草案，所 以今后标准的制订将对推动a dh o c 网络发展起着重要作用，这些标准不仅仅包 括网络层，还要涉及物理层及链路层。 中山大学硕 学位论文 1 3 移动a dh o c 网络的特点嘲 移动a dh o c 网络中的节点任意移动，网络具有高度动态拓扑结构。由于终 端的无线覆盖范围有限，两个( 点对点) 或多个( 组播) 需要通信的节点之间需 要其他节点的多次中继转发，所以也可以称之为“移动多跳网络”。在部分通信 网络遭破坏后，这种分布式控制和无中心的网络结构能维持剩余的通信能力，确 保重要的通信指挥畅通，因而具有很强的鲁棒性和抗毁性。由于m a n e t 网络的 自身特殊性使得它具有一般网络所不具有的以下特点： ( 1 ) 网络自组性。移动a dh o c 网络和其它网络相比最大的区别，也即最大的 优点是可以在任何时刻、任何地点构建。因为不需要现有基础设施，所以能够快 速地形成一个自由移动的通信网络。 ( 2 ) 无中心。因为a dh o c 网络没有控制中心，网络中节点间是对等的，因此 节点可以随时加入和离开网络，节点的加入和离开或者节点故障不会影响到网络 的运行。这也是a dh o c 网络的优势之一，即具有很强的抗毁性。 ( 3 ) 动态的拓扑结构。在移动a dh o c 网络中，节点可以以任意的速度和任意 方式在网络中移动，加上无线发送装置发送功率的变化、无线信道间的相互干扰 因素、地形因素等的影响，节点间通过无线信道形成的网络拓扑结构随时都会发 生变化。 ( 4 ) 有限的无线传输带宽。移动a dh o c 网络采用的是无线传输来进行通信。 无线信道本身的物理特性使得a dh o c 网络的网络带宽相对有线方式要低的多， 另外无线信道竞争会产生信号衰弱、碰撞、阻塞、噪声干扰等因素，这使得实际 带宽比理论带宽更小。 ( 5 ) 移动终端的局限性。由于目前科学技术的局限，移动设备一般内存小、 c p u 处理能力低、所带电源有限。当然，随着科学技术的发展，移动设备的性 能正得到越来越大的提高。不过目前这仍是构建a dh o c 网络时必然考虑的一个 问题。 ( 6 ) 安全性差。由于移动a dh o c 网络采用的是无线通信，网络中节点的能源 和处理能力有好，并且节点间是一种对等关系，因此安全性比其它网络要差一点， 正因为如此，a dh o c 网络的安全问题正被越来越多的人研究。 仃) 单向信道的存在。因为地形环境以及节点本身因素影响，可能会产生单 2 向无线信道。这在研究a dh o c 网络相关技术的时候都要考虑进去。 移动a dh o c 网络的这些特征使得它在体系结构、协议设计等方面都与有线 网、蜂窝移动通信系统存在显著区别。 1 4 移动a dh o c 网络的安全问题及研究现状h 儿朝旧 由于移动a dh o c 网络采用无线信道、有限电源和分布式控制等技术，它的 安全缺陷主要表现在： ( 1 ) 分布式移动计算环境，造成网络无明显边界，网络拓扑不断地变化，节 点易于丢失，可能频繁断线，误报警率高； ( 2 ) 信任关系变化，由于节点移动，节点间信任关系会经常改变，但这种网 络需要所有节点相互充分信任来共同完成路由、自动配置等很多重要协议的决 定，因此容易造成攻击者的趁虚而入： ( 3 ) 无线信道引入不可靠的问题，如竞争无线信道带来的信号冲突衰减以及 节点移动等导致分组丢失、数据传输差错； ( 4 ) 电源限制，一则计算复杂的算法耗电，这要求用于路由算法和路由信息 的加密算法必须简洁高效：二则攻击者能迫使节点不断转发数据包而耗尽节点的 电池能量。 移动a dh o c 网络的上述特性导致在传统网络中能够较好工作的安全机制不 能有效适用于其上，目前，针对移动a dh o c 网络的网络安全已经展开很多研究， 解决方案主要分为三大类： ( 1 ) 入侵检测技术。主要目标是使移动a dh o c 网络中的通信节点能检测并防 御恶意节点攻击，尽管固定网络中入侵检测技术应用非常广泛，但将这些技术应 用于移动自组网仍面临很大挑战。 ( 2 ) 密码机制和安全认证。由于移动a dh o c 网络的特殊性，密码机制要求的 第三方认证以及相应密钥的安全管理、分发以及更新等方面存在明显技术难点。 ( 3 ) 安全路由。主要目标是实现路由信息的可用性、真实性、完整性以及抗 抵赖性，防止恶意节点对路由协议的破坏。如a r a n ，s a o d v ，s e a d ，s r p 等移动a dh o c 网络安全路由协议就是通过对已有路由协议增加安全认证等实现 安全保护。 3 中山大学硕士学位论文 安全问题研究历程表明，在a dh o c 网络中，尽管加密机制和安全认证等防 御机制能阻止一些网络外部攻击，但传统安全解决方法在a dh o c 网络中的局限 性仍会导致网络存在较大安全隐患。因为在a dh o c 网络中恶意节点可能属于网 络的授权主体，则受网络安全机制保护，或者网络中某些携带密钥节点成为被俘 节点，恶意节点通过它们能使用网络授权服务发起攻击，这时恶意节点都能有效 避开加密、认证防御，因而我们难于从物理上排除恶意内部节点。但在网络中， 用户和程序是可见的，通过入侵检测定期地监控网络、捕获监控数据，判断网络 是否受到入侵，在证实入侵的实际情况下，采取措施，从而保证网络的安全性。 因此，研究移动自组网络的入侵检测对于保证a dh o c 网络的路由、通信及高层 应用的安全具有重要的意义。 1 5 本文的选题意义 在移动a dh o c 网络中，由于网络中的用户和程序是可见的，入侵检测技术 作为一种主动防御手段在攻击的早期阶段就收集足够的袭击证据，采取相应的措 施，从而有效地监控网络以确保安全。入侵检测技术的特性和其在有线网中的成 功应用表明它比其它安全技术更适合移动a dh o e 网络这种特殊的网络环境，因 此，入侵检测成为安全性要求较高的移动网络的重要组成部分。由于移动a dh o c 网络与有线网络的差异，现在针对有钱网络开发的入侵检测系统不适用于移动 a d h o e 网络。 移动a dh o c 网络的入侵检测研究尚处于起步阶段，现阶段对a dh o c 网络上 的入侵检测系统主要集中在两个方面： ( 1 ) 入侵检测网络结构的研究。即网络中配置了入侵检测系统的各节点通过 何种网络结构来共同完成入侵检测任务，构造一个合理的网络结构对于入侵检测 具有重要意义。 ( 2 ) 入侵检测方法的研究。即数据分析方法，解决入侵检测系统如何根据日 志等相关信息判断系统是否遭受入侵，包括检测模型的建立和告警技术。 本文主要针对移动a dh o c 网络中入侵检测网络结构方面的研究。由于移动 a dh o c 网络的特殊性，其主要采用全局分散检测、局部集中检测的分布式检测 结构，该结构采用分层的形式，每个节点都参与入侵的检测与响应，独立地进行 4 绪论 本地入侵的检测，若有需要时，则由若干重要节点控制进行联合的检测，以往的 研究经验表明，移动a dh o c 网络中采用划分分群的方式是实现网络分层的有效 途径。研究移动a dh o c 网络中的分群算法对于入侵检测网络结构的研究及移动 a dh o e 安全领域相关技术的发展具有现实性和前瞻性等多重意义。 1 6 本文主要工作 本文的主要内容是设计了一种移动a dh o c 网络中加权入侵检测分群算法， 将整个网络划分成各个子群，实现移动a dh o c 网络中入侵检测的全局分散检测、 局部联合检测的分布式分层网络结构，基本内容如下： 本文针对a dh o c 网络中入侵检测的特点，提出了一种改进的加权i d s 分群 算法，对网络中的每个节点赋予权值来表示其适合充当群首的程度，权值的确定 采用组合加权的思想。本算法综合节点的移动性和安全性因素来确定节点的权 值，而在以往算法中对这些方面的考虑有所不足。通过分群算法的初始化，形成 不交叠群的网络结构，避免采用交叠群时产生的检测信息收集方面的问题。在群 的更新维护过程中依据权值的变化，对分群结构进行动态维护，允许一个节点脱 离原先的群而加入一个更适合的群，同时也允许当节点权值发生变化时，分群内 群首与成员节点之间关系的转换等策略。本算法中还对群的规模做了限制，这主 要是考虑到在入侵检测中群首要承担更多的任务，群规模过大的话，将使群首的 负荷过大。本分群算法既充分考虑了节点的稳定性与安全性，同时又兼顾了公平 性，使之更符合移动a dh o c 网络中入侵检测的特点要求。 本文最后通过模拟实现了该算法，并与其它几种典型分群算法进行了对比分 析，验证了该算法达到设计目标，即可用于实现移动a dh o c 网络的入侵检测系 统分布式协作式体系结构。 1 7 论文的结构 本论文共分五章。 第一章为绪论，简要介绍了移动a dh o e 网络的概念和特点，阐述了移动a d h o e 网络中存在的一些安全问题。并对移动a dh o c 网络安全问题的解决方案、 5 中山大学硕士学位论文 全文的研究内容以及本文的主要工作进行了描述。 第二章介绍了移动a dh o e 网络中入侵检测技术的原理与特点，介绍了移动 a dh o c 网络中典型的入侵检测系统，指出分布式入侵检测是入侵检测技术的发 展方向。 第三章主要介绍了现有的一些典型的分群算法，通过分析这些算法的设计思 路以及它们的存在的一些问题，指出其应用于入侵检测分群的一些不足以及在设 计入侵检测分群算法时应考虑的问题。 第四章阐述了本文的研究重点改进的加权i d s 分群算法设计的细节。 在前面章节分析现有分群算法的基础上，提出了一种针对移动a dh o c 网络入侵 检测的分群算法，在本章中详细的介绍了权值的计算标准、群的初始化以及群的 更新维护过程。 第五章给出了模拟仿真及结果，并通过与其它三种分群算法的分析对比，对 所设计的分群算法的性能进行了评价。 文章最后对本文的工作做了总结并对后继的工作做了展望。 6 入侵检测技术及研究现状 第2 章入侵检测技术及研究现状 2 1 入侵检测概述 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是网络安全防护体系的重要 组成部分。它是一种主动网络防护措施，它从系统内部和各种网络资源中主动采 集信息，从中分析可能存在的网络入侵或攻击行为。 作为一种主动保护自己免受攻击的网络安全技术，入侵检测系统能够帮助系 统对付网络攻击，扩展了系统管理员的安全管理能力( 包括安全审计、监视、攻 击识别和响应) ，提高了信息安全基础结构的完整性。它从计算机网络系统中的 若干关键点收集信息，并分析这些信息，对于系统中存在的或者潜在的安全威胁 提供告警及处理，从而提供针对网络中存在的内部攻击、外部攻击和误操作的实 时保护。入侵检测通常被认为是防火墙之后的第二道安全防线，它可以减轻来自 网络的威胁。因而，构造相应的入侵检测系统结构，研究入侵检测方法和技术对 保证网络安全是非常必要的。 最早的入侵检测模型由美国斯坦福国际研究所( s r i ) 的d o r o t h yd e n n i n g 在 1 9 8 6 年提出的【”，堪称入侵检测技术研究的里程碑，其模型如图2 1 所示。该模 型与具体系统和具体输入无关，因此对以后的大部分入侵检测系统的研究具有较 大的参考价值，现有的入侵检测技术和方法都是在该模型的基础上发展起来的。 图2 - 1 入侵检测经典模型 随着网络安全问题的恶化，作为网络安全解决方案重要环节的入侵检测技术 越来越得到研究界和产业界的重视，为了提高入侵检测产品之间的互操作性，美 7 中山大学硕 学位论文 国国防高级研究计划署( d a r p a ) 和互联网工程任务组( 呻的入侵检测工作组 提出了应用在有线网的公共入侵检测框架( c i d f ) 规范，将入侵检测系统分为四个 基本组件：事件产生器、事件分析器、响应单元和事件数据库，结构如图2 2 所 示。 图2 - 2 公共入侵检测框架( c i d f ) 有线网中的入侵检测系统有多种分类，按照系统结构可分为基于主机 ( h o s t - b a s e d ) 、基于网络( n e t w o r k - b a s e d ) 和混合型三种，按照检测方法又分为异常 检测( a n o m a l yd e t e c t i o n ) f 嗽：用检测( m i s u s ed e t e c t i o n ) 嗍。 早期的入侵检测系统采用基于主机的系统结构，防范对主机本身的入侵。其 检测原理是根据主机操作系统提供的审计数据来发现可疑的入侵事件，再依据一 定的方法判断是否确为入侵。由于基于主机的入侵检测系统依赖于审计数据和系 统日志的准确性和完整性，同时依赖于对入侵事件的定义，若入侵者设法逃避审 计和进行合作入侵，基于主机的入侵检测系统就不能有效检测入侵，特别是在网 络环境下，仅仅依靠基于主机的入侵检测系统不能有效防范对网络系统的入侵。 基于网络的入侵检测系统是当前入侵检测系统的发展主流，其主要策略就是建立 网络通信描述模型，根据网络流量、协议分析等数据来检测入侵。混合型则是综 合了上面两种系统的特点。 异常检测系统就是先总结正常行为应该具有的特征并通过定义各种行为参 数及其阀值来摇述正常用户行为模型，接着分析用户的行为或资源使用状况，当 发现某些行为偏离正常用户模型即认为是入侵。误用检测系统则先收集入侵行为 8 入侵榆测技术及研究现状 特征并建立相关的特征库，若监测的用户行为或系统行为与特征库中的特征代码 是一致的就判为入侵行为。 2 2 移动自组网的入侵检测系统结构研究现状 有关安全的研究和历史表明，不管在网络中采用了多么先进的入侵抑制措 施，总有可被攻击者侵入的薄弱环节。因此作为网络安全的第二道保护措施，入 侵检测在任何的网络中都是必须的。 作为一种无基础设施的网络，移动a dh o c 网络的入侵检测与固定有线网络 的差别很大，其主要表现在： ( 1 ) 无固定基础设施的影响。由于移动a dh o c 网络中没有有线网络那样的业 务集中点，i d s 不能很好的统计数据。在任何时间，统计的数据局限于特定无线 传输范围内的通信活动，这要求i d s 能基于部分的、本地的信息进行工作。 ( 2 ) 通信类型的影响。a dh o c 网络的通信链路具有低速率、有限带宽、高误 码、电源能量受限等特征，断链在无线传输中是十分常见的，基于位置的计算和 为无线网络的设计技术很少在有线网络中采用。因此，用于有线网络的异常检测 在a dh o c 网络中的效果相对较差，不能直接应用于移动a dh o c 网络。 ( 3 ) 移动a dh o c 网络中，正常与异常活动没有明显的差别。如节点因被入侵 而发送了错误的路由信息和节点因移动导致的路由传输出错，这两种现象很难区 分，这也为移动a dh o c 网络中i d s 系统的设计增加了难度。 2 2 1 移动代理( m o b i l ea g e n o a g e n t l 9 l 是人工智能领域发展迅速的一项课题，目前这一术语已被广泛使用， 著名人工智能学者h a y e sr o t h 认为智能a g e n t 能持续地执行三项功能：感知环 境中的动态条件；执行动作影响环境条件；进行推理以解释感知信息、求解问题、 产生推断和决定动作，即a g e n t 应在动作选择过程中进行推理和规划。目前普遍 认同的a g e n t 定义为：a g e n t 是一个具有自主性，反应性和能动性等性质的主要 硬件或基于软件的计算机系统，该定义允许在更大范围中设计a g e n t ，但增大了 通信的需求。 9 中山大学硕士学位论文 移动代理1 9 l 【1 0 l 是一种特殊的代理，它可以在运行期间在不同宿主之间迁移而 无需中止其正常功能的执行。与传统代理相比，移动代理有许多独特的特性： ( 1 ) 在主机间动态迁移。在传统的构架中，代理是固定在特定的主机上的。 工作时，需要将得到的数据发送给上一级处理器，或者其他代理。这样，需要一 个比较复杂的通信过程。而移动代理则可以在运行期间直接进行主机间的迁移， 就是说：可以从一个场地采集所需要的数据并处理之后，不终止进程而直接迁移 到另一台主机上继续运行，保留了原来进程的数据段和堆栈。这样，极大简化了 数据的处理过程，从而使数据的可操纵性和全局性有了根本的改变。 ( 2 ) 智能性。由于移动代理可以自由地在主机之间进行迁移，使得代理的运 行场地不再局限在某一个特定位置，从而比较容易获得全面和有针对性的数据。 在这些数据的基础上，代理可以充分利用现有的人工智能和统计技术，做出更加 及时和准确的判断。这种特性使得移动代理与传统代理相比，可以更有效地自主 完成某一个特定的任务。 ( 3 ) 平台无关性。多数移动代理采用与平台无关的语言，这样的程序可以跨 平台运行。由于主流的平台无关语言( 例如j a v a ) 在各种操作系统上都有其相应 的实现，所以选用这些语言的移动代理可以很容易地完成跨平台的连接。另外， 一般的移动代理体系都建立了与移动代理相配套的平台无关的通信协议。通过这 些协议，代理之间无须建立直接的通信连接，而是利用虚拟机提供相应的消息服 务，简化消息传递的操作。在这个基础上，可以更容易地开发异构平台上的应用 系统。 ( 4 ) 分布的灵活性。移动代理运行在整个分布式系统中，而不是固定在某一 个特定的位置。这样，一旦需要，它可以将自己或者所需的其他移动代理直接发 送到所需的主机现场，进行本地操作。这样，提高了操作的灵活性，同时也消除 了传统代理间通信时对复杂通信协议的依赖性。 ( 5 ) 较低的网络数据流量。由于结构上的特殊性，移动代理可以实时对所采 集到的数据进行过滤，然后将关键数据提出，而无需像传统的代理体系那样，将 各个主机的所有数据都汇集到一个中央服务器中，由这个服务器进行综合处理， 然后再向相关的代理转发。这样，可以明显减少经过网络上的数据流量，提高网 络的总体可用性。 l o 入侵榆测技术及研究现状 ( 6 ) 多代理合作是移动代理的一个重要特性。也就是说，通过虚拟机系统的 通信机制，可以实现多个代理之问的合作。这种合作有多种模式。相同的代理之 间互相协作，可以防止系统和代理失效。一旦有代理失效，其他代理可以采取措 施，通过承担起失效代理的任务或者启动新的代理的办法来进行失效弥补。另外， 异种代理之间也可以进行互补性合作，多个不同功能的代理协作完成共同目标。 这样，有利于将总体功能模块化，减少单个代理所完成的功能，从而降低代码的 复杂度，缩短调试过程。利用这个特性，可以进一步增强代理的可靠性。 在大规模、分布式、跨平台的应用中，移动代理拥有独特的优势。将移动代 理技术应用到网络入侵检测系统中，可具有这样一些优点：能实现全局范围内的 入侵检测功能，具有清晰的系统结构和良好的可扩展性；具有优良的可移植性能； 对网络系统和主机资源的占用较低，减少了出现瓶颈的可能。 2 2 2a dh o c 网络的i d s 体系结构 针对不同应用的移动a dh o c 网络，入侵检测系统结构的研究必须满足下列 要求：1 、能适应网络动态拓扑变化；2 、系统消耗的资源较小，引入新功能不会 降低系统的整体性能；3 、不会给系统带来新的安全缺陷，理想情况是它还能确 保自身的安全；4 、系统具有可扩展性。 一个可行的移动a dh o c 网络入侵检测系统，必须具有如下特点：构建一个 与移动a dh o c 网络特征相适应的可扩展性好的系统体系结构；确定合适的跟踪 数据源，利用基于局部的不完整跟踪信息完成入侵检测；确立合理的检测模型以 区分正常行为和因袭击而导致的异常行为；采用有效的告警信息关联和聚合机 制，实现联合检测，减少系统开销和错误告警率。 目前，移动a dh o c 网络上的入侵检测系统结构可以分为单节点i d s 、协作 式i d s 和应用移动a g e n t 的i d s 三大类。 1 、单节点m s 单节点的i d s 就是移动a dh o c 网络中每个节点独立完成入侵检测的系统结 构，它在早期的研究中占重要地位。 文献【l l l 针对a o d v 路由协议的保护，提出基于单节点有限状态杌的入侵检 测系统结构。它使用有限状态机来规范a o d v 协议正常的路由操作，针对面向 i i 中山大学硕士学位论文 规范的各种潜在攻击设置分布式网络监控点，在协议消息中通过增加了附加域来 实现网络监控动作的激活。该文设计的入侵检测系统结构针对性很强，存在的问 题也很突出。首先该入侵检测的数据只是涵盖了a o d v 协议的消息类型，对于 其他的无线移动网协议没有涉及。如果针对其它协议也采用这种框架进行扩展， 入侵检测系统全局数据结构需要重新设置，消息的判别、互斥和分类处理将带来 新的问题。其实，没有在移动a d h o c 网络中对该结构进行相关测试。 文献1 1 2 1 也提出了一种单机i d s 结构，运用看门狗( w a t c h d o g ) 机制，网络中每 个节点均配备一个单机i d s 系统，但节点问互不报告恶意节点信息，因此该方 案的检测效率有限。 基于单节点的d s 检测效率不高，但是当网络部分不能运行i d s 时，这种 结构比较实用。该结构存在两个缺点：一是要求每一节点上设置m s 子系统， 各个m s 是平等的，检测点分散，且各检测点之间存在检测结果冲突、通信安 全隐患等问题；另一显著缺点就是全民皆兵，功耗大。 2 、协作式i d s 为克服单节点d s 的缺点，研究者开始考虑分布的协作式的入侵检测系统 结构，即协作式d s 。在这种结构中，入侵检测及响应不仅由节点独立执行完成， 而且需要和领居节点交互信息来协作完成。协作式入侵检测系统可分为如下四个 模块【1 3 】： ( 1 ) 数据收集。负责从不同的数据源收集实时的统计数据。根据不同的入侵 检测算法，这些数据包括节点内的系统和用户活动、本节点的通信活动、本节点 可观察到的无线覆盖内的通信活动。团此，i d s 代理可具有多个数据收集模块， 为多层联合的入侵检测提供统计数据。 ( 2 ) 本地检测。负责分析收集到的本地统计数据。在a dh o e 无线网络中，新 的攻击类型很多且登录快，难以采用新的规则，而在无线网络中快速而可靠地更 新规则库也不是一件简单的事情。因此在a dh o c 网络中，本地的检测可以使用 异常检测技术。 ( 3 ) 联合检测。如果本地检测有充分的证据判定入侵或异常行为，它可独立 地做出响应并记录相应信息到事件数据库，如果一个节点的本地检测的证据不是 很充足，就需要发起一个由多个节点参与的入侵检测过程。这个过程通过在相邻 入侵检测技术及研究现状 节点问传播各自的入侵状态信息来进行。 ( 4 ) 入侵响应。入侵响应依赖于入侵的类型、网络协议类型、应用的类型、 入侵检测的信任级别。根据情况不同可能的相应为通信信道重新初始化，重新组 织网络以排除被捕获的节点，由i d s 代理通知终端用户来进行调查来采取确切 的行动以及重新认证网络中的节点。 协作式检测系统结构示意图如下所示： 图2 - 3 协作式检测系统 协作式i d s 根据某种协作机制进行联合检测，能提高检测效率和准确性， 尤其适合作为大型的移动a dh o c 网络的安全解决方案。目前这种系统结构已经 得到了广泛的认可和关注。但是已有的协作式m s 系统结构并未有效解决检测 点间决策权的问题，仍然会产生各检测点之间检测结果冲突、存在通信安全隐患 的情况；而且每个节点都作为检测点，导致每个节点都进行了一部分的重复计算， 会消耗大量单节点电池能量；节点间交换入侵检测相关信息，会占用大量网络带 宽，影响检测效率。 3 、应用移动a g e n t 的i d s 正是由于移动a g e n t 自身的特点，研究者开始探索采用移动a g e n t 技术替代 本地a g e n t 检测，解决移动a dh o c 网络安全方面的问题。因为移动a dh o c 网络 无集中式管理，一些入侵检测处理过程要求以分布式和协作式执行，将分布式与 中山大学硕士学位论文 移动a g e n t 技术结合起来，能有效克服当前存在的一些问题，是当前移动a dh o e 入侵检测的研究热点，国内外的研究工作者基于此做了大量的研究工作。 文献1 1 4 l 在业界首先提出了移动a dh o e 网络中入侵检测系统的分布性和协作 性研究标准，并提出了一种分布式协作检测系统结构。这是一种利用i d sa g e n t 进行本地监测和协同检测的机制。在i d s 协作检测概念模型中，采用两级代理 联合，本地a g e n t 和邻居a g e n t 。本地a g e n t 经过数据收集，本地数据检测形成 本地的响应结果，同时还要通过安全通信模块和领居的a g e n t 进行交互，双方或 者多方交换检测数据，一致得到最终的全局响应结果，并传达这个决议给所有代 理。同时该文还提出运用入侵检测模型来构建基于路由协议信息的入侵检测系 统，采用r i p p e r 和s v ml i g h t 作为异常行为探测器，并结合d s r ，d s d v ， a o d v 三种无线网络路由协议进行入侵检测的模拟实验。未完成工作是针对其 他路由协议的测试和利用测试反馈优化入侵检测系统的结构及新的入侵检测技 术的引入。该文提出的分布性和协作性思想可谓先河之作，之后该领域的研究大 多借鉴了该文的思想，进行了大量的改进和拓展研究。 2 3 入侵检测方案分析比较 目前，已有很多学者围绕移动a dh o e 网络的入侵检测方案作了大量的研究 工作，并取得了许多杰出的成果，以下仅介绍一些比较有代表性的成果。 文献【1 5 】提出的入侵检测系统结构，实现了相邻节点之问联合检测。但是复 杂入侵的检测需要全网节点的参与，因而额外开销较大，扩展性较差。 文献【1 6 1 的基于域的移动a dh o c 网络入侵检测系统z b i d s ( z o n e b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ) 框架，实现了在网络中网关节点上的联合检测。该系 统采用两级层次化结构，属于分布式i d s ，结构如图2 4 所示。 1 4 入侵榆测技术及研究现状 987 零 阖 恂 么 1 i d s i 雹0 4 3 影 2i 图2 - 4 基于域的入侵检测系统结构示意图 该系统根据节点的物理位置和连接性，将网络中的节点分为网关节点和区域 内节点。网络中每个节点可以通过地理定位技术( 比如g p s ) 确定自己的物理位 置，然后根据位置和区域标识符( z o n ei d ) 对照表获得相应的域标识符；通过 领居节点发现机制( 比如脏u d 消息) ，节点可以知道邻居节点信息，从而确 定自己是一个与其他域相连的网关节点还是一个域节点。 z b i d s 系统结构在每个节点上都配置一个自治的i d s 代理，由其共同完成 入侵检测和响应。每一个i d s 代理独立运行，监控所在节点用户行为、系统行 为和无线通信范围内的通信活动等，并根据监控结果检测入侵。域内节点将检测 数据报告给该域内各网关节点，由网关节点完成域内协作检测。相信域的网关节 点也可以相互协作，完成跨域入侵的检测。 由于采用域和网关节点的概念，该入侵检测系统具有良好的可扩展性。另外， 由于只在网关节点进行联合检测，无需邻居节点之间的协作，因此降低了被邻节 点窃听的可能性。但是，分域的前提是域事先已经定义，且各节点要利用g p s 定位，这减弱了该系统结构对于特殊环境的可适应性。 因此，美国乔治亚州理工大学的h y a n 等人分析了分群算法的设计要求， 提出了一种新的分群算法，并在此基础上设计了具有良好扩展性的分布式协作入 侵检测系统结构，基于重叠群的入侵检测系统结构i 切。该系统采用两级层次化 中山大学硕士学位论文 结构，属于分布式i d s ，结构如图2 5 所示。 图2 5 基于重叠群的入侵检测系统结构 该结构依据节点的物理位置，通过文献【1 8 j 的群划分算法和文献【1 7 1 中的群首 选举算法将网络划分成若干个重叠的群，每个群内有个群首节点和若干个群成 员节点。一个节点可能同时属于多个群，而且可能同时扮演群首和群成员的双重 角色。 在该系统结构中每个节点上都配置一个独立的i d sa g e n t ，监控所在节点用 户行为、系统行为和无线通信范围内的通信活动等，并根据监控结果检测入侵。 群内节点将检测数据报告给群首节点，由群首节点完成群内协作检测。相邻居群 的群首节点也可以相互协作，完成跨群入侵的检测。 与文献【1 6 l 的基于域的系统结构相比，分群结构更符合移动a dh o c 网络入侵 检测系统的设计要求，群中节点间距离为一跳，可以减少分组投递时延，提高网 络的通信能力。群首的选举不依赖于节点的信息，随机选出，减少了恶意节点对 选举过程控制的可能性，从而提高了系统的安全性能。 但是该系统结构基于重叠的群，这就给群问和群内入侵消息的汇总带来了麻 烦。另外，由于未考虑负载平衡因素，当群内节点数量过多或者过少时，节点的 入侵检测技术及研究现状 吞吐量和通信信息的利用会受到严重影响，甚至影响系统的性能。而且该系统结 构利用节点间交换检测数据来进行协同检测，这样就加大了通信负担，通讯量大 时会影响网络的正常工作。 文献【1 9 i 在文科1 4 】的基础上提出一种基于移动a g e n t 的入侵检测系统结构。 该文认为每个节点都有a g e n t ，过于占用网络资源，为了节省资源，只是在 某些节点上驻留监视网络的a g e n t ，过于占用网络资源，为了节省资源，只是在 某些节点上驻留有监视网络的a g e n t ，并且a g e n t 的数量可按要求进行增减。移 动a g e n t 是一种能模拟人类行为和关系，具有一定智能并能自主运行和提供相应 服务的程序。当新节点加入网络时，移动a g e n t 通过运行本机i d s 和移动代理平 台立即参与全局协作式入侵检测进程。 该文仅仅描述了移动a g e n t 的层次结构和一个本地i d s 原型的实现，但是由 于该方案需要动态调节a g e n t 数量，协议比较复杂，必须确定如何选择监视节点， 选择多少个节点对整个网络可以进行有效的入侵检测。而且该方案没有考虑移动 a g e n t 平台如何在拓扑结构变化频繁的自组网中合理搭建，以及移动a g e n t 节点 自身的安全性问题。 近两年，国外又有一些研究者将移动a g e n t 应用于移动自组网的入侵检测。 法国的a l b e r s 和c a m p 提出了另外一种引入移动a g e n t 技术的入侵检测框架【刎， 但是没有详细设计移动a g e n t 的生成和管理，并且移动a g e n t 技术也仅仅用于实 现节点问s n m p 请求的传送，存在很大的改进空间。 德国的p u t t i n i 和p e r c h e l 也提出一种入侵检测框架1 2 1 1 ，但没有考虑移动a g e n t 的安全以及移动a g e n t 的计算开销和管理。 这些研究工作的相同点在于认同使用移动a g e n t 可减少网络流量，留下更多 的资源