（通信与信息系统专业论文）adhoc网络中基于agent的入侵检测系统研究与仿真.pdf

东北大学硕士学位论文 a d h o c 网络中基于a g e n t 的入侵检测系统研究与仿真 摘要 a d h o c 网络是随着无线通信技术的快速发展而出现的一种新型网络。该网络 是一种自治的无线多跳网，整个网络没有固定的基础设施，所有节点都可以任意 移动，并且都能以任意方式动态地保持与其它节点的联系。在这种环境中，由于 终端的无线覆盖范围的有限性，两个无法直接进行通信的用户终端可以借助于其 它节点进行分组转发。每一个节点都可以说是一个路由器，它们要能完成发现和 维持到其它节点路由的功能。目前国内外的科研人员对a d h o c 网络进行了大量的 研究工作，并且已经提出了许多有创建性的路由算法和协议。但是针对a d h o c 网络的安全性问题的研究才刚刚起步。由于a d h o c 网络的无中心性以及介质开放 性等，造成其容易受到攻击，所以针对a d h o c 网络安全问题的研究被提上了日程。 本文对a d h o c 网络的路由安全性问题进行了研究，设计了一种基于智能主体 ( a g e n t ) 的入侵检测系统。文中分析了a d h o c 网络路由协议a o d v ( a d - h o c o n d e m a n d d i s t a n c e v e c t o r ) 特点及其安全性问题，并引入了智能主体的概念，并 将其应用于入侵检测系统之中，利用智能主体，检测到网络中节点的恶意行为， 将恶意节点隔离在网络之外，达到路由安全。 本文利用仿真软件n s 2 搭建网络仿真平台，并且对基于a g e n t 的入侵检测系 统进行了仿真实验。仿真结果证明，运行该系统模型更好地提高了a d h o c 网络的 安全性能。 关键词：a d h o c 网络；入侵检测；智能主体；n s 2 ；网络仿真 i i 东北大学硕士学位论文 a b s t r a c t r e s e a r c ha n ds i m u l a t i o no na g e n tb a s e di d si na d - h o c n e t w o r k a b s t r a c t a d - h o cn e t w o r ki san e wt y p eo fw i r e l e s sn e t w o r ki nw h i c ha l lt h en o d e sc a n m o v er a n d o m l yw i t h o u tf i x e dr e u t e r sf o r w a r d i n gm e s s a g e sa n dc a nm a i n t a i nt h el i n k w i t ho t h e r si ns p i t eo ft h e i rm o v i n g a st h ec o v e r i n ga r e ao ft h et e r m i n a li sl i m i t e d ， t w on o d e sw h i c hc a n n o tc o m m u n i c a t ed i r e c t l yc a ns e tu pt h el i n kv i ao t h e r s e v e r y n o d ei sar o u t e r , s ot h e yc a nd i s c o v e ra n dm a i n t a i nt h er o u t et oo t h e r s a tp r e s e n t ， r e s e a r c h e r sh a v ed o n el o t so fw o r ko na d h o en e t w o r k ，a n dm a n yc o n s t r u c t i v er o u t i n g a l g o r i t h m sa n dp r o t o c o l sh a v eb e e np r o p o s e d b u tr o u t i n gs e c u r i t yi na d - h o en e t w o r k i san e wf i e l do fs t u d y b e c a u s eo fi t so p e nm e d i u ma n di n f r a s t r u c t u r e l e s s ，i ti se a s i l y t ob ea t t a c k e d a sar e s u l t t h er e s e a r c ho ns a f e t yo fa d h o en e t w o r kh a sb e e nb r o u g h t u p t od a t e i nt h i sp a p e r ，t h ei s s u eo fr o u t i n gs e c u r i t yi na d h o cn e t w o r ki ss t u d i e d ，a n da n i d sb a s e do na g e n ti sd e s i g n e d a n dt h ec l a s s i ca d h o en e t w o r kr o u t i n gp r o t o c o l a o d vi sa n a l y z e d ，a n da g e n ti si m p o r t e dt ot h ei d st h a th a sb e e np r o p o s e d i ti su p t ot h ea g e n tt od e t e c tt h ea t t a c ka n di s o l a t et h em a l i c i o u sn o d es oa st oa c h i e v et h e s a f e t yo ft h ew h o l en e t w o r k w ea d a p tt h es i m u l a t i o ns o f t w a r en s 2t os e tu dt h ew o r k b e n c h a n dt h e s i m u l a t i o no nt h ei d si si m p l e m e n t e d t h es i m u l a t i o nr e s u l t sh a v ep r o v e dt h a tt h e i d ss y s t e mh a ss i g n i f i c a n t l yi m p r o v e dt h es e c u d t yp e r f o r m a n c eo ft h en e t w o r k k e yw o r d s ：a d h o en e t w o r k ；i d s ；a g e n t ；n s 2 ；n e t w o r ks i m u l a t i o n i 独创性声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取 得的研究成果除加以标注和致谢的地方外，不包含其他人己经发表或 撰写过的研究成果，也不包括本人为获得其他学位而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确 的说明并表示谢意。 学位论文作者签名：魏湃绩 日期：如莎 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学 位论文的规定：即学校有权保留并向国家有关部门或机构送交论文的 复印件和磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学 位论文的全部或部分内容编入有关数据库进行检索、交流。 ( 如作者和导师同意网上交流，请在下方签名；否则视为不同意。) 学位论文作者签名： 签字日期： 导师签名： 签字日期： 东北大学硕士学位论文 第一章引言 第一章引言 无线网络在计算机领域里蓬勃发展，尤其是最近十年无线移动通信网络的发 展更是一日千里。目前存在的无线移动网络有两种：第一种是基于网络基础设施 的网络，这种网络的典型应用为无线局域网( w i r e l e s sl o c a la r e an e t w o r k ， w l a n ) ；第二种为无基础设施的网络，一般称之为a d h o e 网。后者是一种有特 殊用途的对等式网络，使用无线通信技术，网络没有固定的路由器，节点可随意 移动并能以任意方式相互通信，在通信过程中网络中的节点互相作为其邻居( 在 其直接通信范围内的节点) 的路由器，通过节点转发实现节点间的通信。它又被 称为多跳网络( m u l t ih o pn e t w o r k ) 或自组织网络( s e l fo r g a n i z e dn e t w o r k ) ，3 ，4 ，5 1 。 近年来，随着i n t e r n e t 和移动通讯技术的日渐成熟及广泛应用，拓展i n t e r n e t 无线应用空间的呼声越来越强烈。目前已有的方案，如g p r s 、e d g e 、移动i p 等仅解决了移动端节点和固定端节点间的“单跳”接入问题，对i n t e m e t 的应用 延伸帮助有限。基于上述原因，人们开始关注a d h o e 网络所具有的“多跳”特征。 1 1 问题的提出 a d h o e 网络中节点之间的通信是在没有固定基础设施( 例如基站或路由器) 支持的条件下进行的，系统支持动态配置和动态数据流控制，所有的网络协议均为 分布式的。网络的组织和控制并不依赖于某些重要的节点，所有节点都是平等的。 允许任何节点发生故障、离开或加入网络，另一方面，网络内的所有节点都必须在 一定程度上相互合作以完成网络的功能：上述的这些特点也同时决定了a d - h o e 网络路由的安全性比传统有线网络的更为脆弱。无线传输的开放性使得通信更易 于被侦听和破坏；没有中心管理而只能靠各个节点相互合作的机制给了不合作或 提供虚假合作者以可乘之机；很多传统有线网络的入侵检测功能无法实现；受限 的电源能力也很容易被垃圾数据所耗尽。可见a d - h o c 网络更容易受到攻击，抵抗 和承受攻击的能力也更弱。 传统的用防火墙和加密软件来保护网络的做法已经不足以解决安全问题。要 抵抗网络中的袭击，可以采用一些传统的入侵预防技术，但是入侵预防技术只能 减少袭击的发生，不能完全消除袭击。因此，有必要引入主动入侵检测技术，本 文对a d h o e 网络中应用最广泛的路由协议a o d v 及其可能存在的各种攻击进行 了分析，并且提出了一种基于a g e n t 的入侵检测系统。 东北大学硕士学位论文 第一章引言 1 1 1a d h o c 网络的特点 与其他通信网络相比， a d h o e 网络具有以下特征： ( 1 ) 网络的自组性。a d - h o e 阿络可以在任何时刻任何地方构建，而不需要 现有的网络基础设施的支持，形成一个自由移动的通信网络。 ( 2 ) 动态的网络拓扑结构。从网络的网络层来看，a d - h o c 网络中，移动节 点可以以任意的速度和任意方式在网络中移动，加上无线发送装置发送功率的交 化、无线信道间的相互干扰因素、地形因素等的影响，节点间通过无线信道形成 的网络拓扑结构随时都会发生变化。 ( 3 ) 有限的无线传输带宽。无线信道本身的物理特性使a d h o c 网络的网络 带宽相对有线方式要低的多，另外还要考虑无线信道竞争时所产生的信号衰落、 碰撞、阻塞、噪声干扰等因素，这使得实际带宽要小的多。 ( 4 ) 移动节点处理能力的有限性。a d h o c 网络中的移动节点内存小、c p u 处理能力低、所带电源有限使得a d h o c 网络的设计更加困难。 ( 5 ) 安全性差。a d h o e 网络是一种无线方式的分布式结构，所以更加容易 被窃听、入侵、网络攻击等。 ( 6 ) 网络的分布式。a d h o c 网络中的移动节点都兼有独立路由和主机功能， 不存在类似于基站的网络中心控制点，节点地位平等，采用分布式控俸目方式，增 强了礴络健壮性。 ( 7 ) 网络的可扩展性不强。由于采用t c p i p 协议中的予网技术使得 i n t e r n e t 具有网络的可扩展性，而a d h o c 网络动态变化的拓扑结构使得子嬲 技术所带来的网络可扩展性不能得到应用。 ( 8 ) 存在单向无线信道。 ( 9 ) 生存时间短。组网通常是由于某个特定原因而临时创建的，使用结束 后，网络环境将会自动消失。a d h o c 网络的生存时间相对于固定网络丽言是短暂 的。 1 1 2a d h o c 网络的安全问题 a d h o c 网络具有以下显著特点：无中心和自组织性、自动配鐾、动态交化的 网络拓扑、有限的资源、多跳路由、较低的安全性。另外，a d h o e 网络还有一些 其它的特点，比如终端受限、可扩展性不强以及单向无线信道和特殊信道共事方 式等。 基于a d h o c 网络的上述特性，其不仅存在着传统有线网络中存在的安全问 2 。 东北大学硕士学位论文第一章引言 题，同时也面临着许多新的安全威胁。 a d h o e 网络的安全问题主要从以下几个方面考虑： ( 1 ) 可用性 可用性就是指网络服务对用户而言必须是可用的，也就是确保网络节点在受 到各种网络攻击时仍然能够提供相应的服务。可用性面临的威胁主要是拒绝服务 攻击。 ( 2 ) 机密性 机密性保证敏感信息不会泄漏给未授权的用户或实体。由于a d h o c 网络采用 的是无线信道，所以更容易受到窃听攻击。机密性面临的主要威胁包括窃听和流 量分析。 ( 3 ) 完整性 完黧性保证信息在传输的过程中没有破坏或中断。这种破坏或中断包括网络 上的恶意攻击和无线信号在传播的过程中的衰弱以及人为的干扰。完整性薅临的 威胁主要是篡改。 ( 4 ) 认证 一个移动节点需要通过认证来确保和它通信的通信对端是真正的通信对端， 也就是说要确认通信对端的身份。如果没有认证，网络攻击者就可以伪装攻击假 冒网络中的某个节点来和其它的节点进行通信，也可以通过重放攻击获得那些未 被授权的资源和敏感信息或者使被攻击节点的消息量或任务量超载，并以此威胁 整个网络的安全。 ( 5 ) 不可否认性 不可否认性保证一个节点不能否认其发送出去的信息，也就能保证一个移动 节点不能抵赖它以前的行为。 此外，还有密码系统和口令攻击以及恶意软件等威胁着a d - h o c 网络的安全。 1 2 有线网络与a d h o c 网络安全策略对比 在传统有线网络中，网络采用层次化体系结构，主机之间的连接是准静态的， 具有较为稳定的拓扑，可以提供多种服务来充分利用网络的现有资源，包括路由 器服务、命名服务、目录服务等。目前已经提出了一系列针对这类环境的安全机 制和策略，如加密、认证、访问控制和权限管理、防火墙等。a d h o e 网络不依赖 固定基础设施，具有灵活的自组织性和较强的健壮性。a d h o c 网络中没有基站或 中心节点，所有节点都可以移动、节点间通过无线信道建立临时松散的连接，网 络的拓扑结构动态变化。a d h o c 络由节点自身充当路由器，也不存在命名服务 一3 东北大学硕士学位论文 第一章引言 题，同时也面临着许多新的安全威胁。 a d - h o c 网络的安仝闷题主要从以下几个方面考虑： ( 1 ) 可用性 可用性就是指网络服务对用户而言必须是可用的，也就是确保网络节点在受 到各种网络攻击时仍然能够提供相应的服务。可用性面i 临的威胁主要是拒绝服务 攻击。 ( 2 ) 机密性 机密性保证敏感信息不会泄漏给未授权的用户或实体。由于a d h o e 网络采用 的是无线信道，所以更容易受到窃听攻击。机密性面临的主要威胁包括窃听和流 量分析。 ( 3 ) 完整性 完攘性保证信息在传输的过程中没有破坏或中断。这种破坏或中断包括网络 上的恶意攻击和无线信号在传播的过程中的衰弱以及人为的干扰。完整性面临的 威胁主要是篡改。 ( 4 ) 认证 一个移动节点需要通过认证来确保和它通信的通信对端是真正的通信对端， 也就是说耍确认通信对端的身份。如果没有认证，网络攻击者就可以伪装攻击假 冒网络中的某个节点来和其它的节点进行通信，也可以通过重放攻击获得那些未 被授权的资源和敏感信息或者使被攻击节点的消息量或任务量超载，并以此威胁 整个网络的安全。 ( 5 ) 不可否认性 不可否认性保证个节点不能否认其发送出去的信息，也就能保证一个移动 节点不能抵赖它以前的行为。 此外，还有密码系统和口令攻击以及恶意软件等威胁着a d h o c 网络的安全。 1 2 有线网络与a d h o e 网络安全策略对比 在传统有线网络中，网络采用层次化体系结构，主机之间的连接是准静态的， 具有较为稳定的拓扑，可以提供多种服务来充分利用网络的现有资源，包括路由 器服务、命名服务、目录服务等。目前已经提出了一系列针对这类环境的安全机 制和策略，如加密、认证、访问控制和权隈管理、防火墙等。a d h o c 网络不依赖 固定基础设施，具有灵活的自组织性和较强的健壮性。a d - h o e 网络中没有基站或 中心节点，所有节点都可以移动、节点间通过无线信道建立临时松散的连接，网 络的拓扑结构动态变化。a d - h o c 网络由节点自身充当路由器，也不存在命名服务 络的拓扑结构动态变化。a d - h o c 网络由节点自身充当路由器，也不存在命名服务 东北大学硕士学位论文第一幸；l 言 器和目录服务器等网络设施。根据应用领域的不同，a d h o e 网络在体系结构、设 计目标、采用的协议和网络规模上都有很大差别。尽管基本的安全要求，如机密 性和真实性，在a d h o e 网络中仍然适用。但是a d h o e 网络不能牺牲大量功率用于 复杂的计算，并要考虑无线传输的能耗和稀少的无线频谱资源。另外，节点的内 存和c p u 功率很小，安全保护机制难以实现。这些约束在很大程度上限制了能够 用于a d h o c 网络的安全机制，因为安全级别和网络性能是相关的。因此，传统有 线网络中的许多安全策略和机制不能直接用于a d h o c 网络，这主要表现在以下几 个方面： ( 1 ) 传统有线网络中的加密和认证应该包括一个产生和分配密钥的密钥管理 中心( k m c ) ，一个确认密钥的认证机构，以及分发这些经过认证的公用密钥的 目录服务。a d - h o e 网络缺乏基础设施支持，没有中心授权和认证机构，节点的计 算能力很低，这些都使得传统的加密和认证机制在a d h o c 网络中难以实现，并且 节点之间难以建立起信任关系。 ( 2 ) 传统有线网络中的防火墙技术用来保护网络内部与外界通信时的安全。 由于所有进出该网络的数据都通过某个节点，防火墙技术可以在该节点上实现， 用来控制非授权人员对内部网络的访问、隐藏网络内部信息以及检查出入数据的 合法性等。防火墙技术假设网络内部在物理上是安全的。但是，a d h o e 网络的拓 扑结构动态变化，没有中心节点，进出该网络的数据可以由端用户无法控制的任 意中间节点转发。a d - h o e 网络内的节点缺乏足够的保护，很可能被恶意用户利用 而导致来自网络内部的攻击，这使得网络内部和外部的界限非常模糊，因此，防 火墙技术不再适用于a d h o e 网络。 ( 3 ) a d - h o c 网络中，由于节点的移动性和无线信道的时变特性，使得网络拓 扑结构、网络成员及其各成员之间的信任关系处于动态变化之中。此外，网络中 产生和传输的数据也具有很大的不确定性。这些数据包括节点的环境信息、关于 网络变化的信息、各种控制消息等，它们都有较高的实时性要求，使得传统有线 网络服务中相对固定的数据库、文件系统和文档服务器不再适用。因此，基于静 态配置的传统有线网络的安全方案不能用于a d h o c 网络。 1 3 现有a d h o c 网络路由安全策略及其优缺点 为了建立安全的a d h o e 网络，必须采取一定的安全策略。当然，针对不同的 a d h o c 网络环境，所需要的安全策略也不同。目前针对a d h o c 网络的安全性，目 前已经提出一些安全策略模型。主要有：密钥管理，安全路由和入侵检测，本文 主要在路由层次研究a d h o e 网络的安全性，下面详细介绍a d h o c 网络路由安全研 4 - 东北大学顾士学位论文 第一章引言 究的现状。 ( 1 ) 安全路由 当前已经提出多种安全路由协议，但这些协议仍然存在很多问题，以下针对 几种比较典型的协议进行分析。 1 ) 安全路由协议( s r p ) 1 6 , 7 j p a p a d i m i t r a t o s 提出的a d - h o c 网络安全路由协议s r p ，s r p 的前提条件是要求 源节点和目标节点之问必须有一个安全连接。该协议的设计思路是：源节点s 初 始化一个路由发现，先刨建一个路由请求包，其中含有一对标识符：查询序列号 s e q ( 源节点s 会对每一个与其进行安全通信的目的节点保存一个查询序列号，目 标节点可以通过该序列号来检测路由请求是否过期) 和随机查询标识q i d ( 对于每 一个进行的查询，源节点会生成一个随机查询标识符，它的作用是让中间节点来 识别查询请求，它是乖j 甩一个安全伪随机数发生器产生的，是不可预测的) ：还包 括个消息认证码m a c ( m a c 的计算方法是以源节点的i p 地址、目标节点的i p 地 址、q i d 和源节点与目标节点之间的共享密钥k s t 作为单向散列函数的输入，单向 散列函数的输出即为m a c ) 。路由查询包经过的中间节点的i p 地址将被收集在包 头中。当路由请求包到达目标节点t 时，t 节点生成个路由答复包，计算和验 证m a c ，并沿着路由请求包中收集到的i p 地址序列的相反顺序返回路由答复包， 查询节点通过验证答复包的有效性来秀级拓扑表。该协议可以保证发起路由请求 的节点能够自动放弃错误拓扑信息的路由答复。 然面m a r s h a l l 指出s r p 存在的缺陷，发现其存在潺洞m a r s h a l l 提出恶意节点m 在向前发送路由请求( r r e q ) 时，有意不将自己的地址加到s r p 头的地址字段中， 使得该节点m 对源节点不可见。最终源节点可能会选择隐藏恶意节点的路径丙恶 意节点将故意延迟发送或丢包，对网络性能带来负面影响。因此，s r p 存在两个 安全漏漏：路由不能避免包含恶意节点的路径；拓扑信息将通过路由信息暴露给 敌人和未授权的节点，因为s r p 的含有路由记录的包以明文形式沿着整个路径传 输。 2 ) 安全意识的a d h o c 网络路由协议s a r t a , 9 文献【8 】介绍了安全意识a d h o c 网络路由协议s a r ，该协议允许用户划分路由 协议的安全等级。节点可以被指定为某个信任值，只有信任节点可以路由数据。 源节点发出一个包含安全属性和信任等级的r r e q ，只有满足安全等级的节点可 以参加路由，不满足安全等级的节点则丢弃r r e q 。如果满足所需安全等级的路 由不存在，发起r r e q 的源节点将重薪选择其德安全等级，重新发出砌t e q 来寻找 路由。为了阻止用户自行获得其他等级的优先权，协议中对用户的身份和信任等 。5 东北大学硕士学位论文 第一章弓l 吉 级进行绑定，并且采用加密、公钥证书和共享密钥等技术来保证用户遵守信任等 级。例如，所有属于同一信任等级的用户可以共享一个密钥，利用该密钥对数据 包进行加密，这样其他等级的用户不能解读踌由请求包和路由答复包。s a r 可以 用于不同的a d - h o c 网络环境中，灵活性很强。s a r 可以有效地阻止外部恶意节点 的攻击，但是对内部攻击贝f j 不能很好的防卫。笔者没有阐述s a r 如何应用在实际 环境中，s a r 没有讨论如何给一个节点设置信任等级，从当前研究结果分析，其 实用性不强。同时，s a r 对于不可视节点的攻击是脆弱的。 3 ) 认证路由协议a r a n 1 0 , 1 1 , 1 2 a r a n 利用加密证书来保证路由安全。a r a n 利用一个可信的服务器，所有 有效节点已知其公钥。在加入a d h o c 两络之前，每个节点通过t 的身份认证后， 方可获得一个证书。 从以上过程可知，a r a n 协议中只能接收经过可信服务器认证，并获得有效 证书和密钥的节点发出的数据包，因此可以阻止未授权节点的加入。由于源节点 用自己的私钥对r d p 进行签名，而目的节点利用自己的私钥对r e p 进行签名，保 证只有源节点可以发出路由发现包，而只有目标节点才能嗡应这个路由发现，这 可以阻止假冒源节点或目标节点发出路由请求或进行路由答复。路由信息只能被 有证书的节点伪遣，虽然该协议不能阻止这种伪造，但是可以保证防抵赖行为的 发生。r d p 与r e p 包被发起节点进行了签名，因此一旦中闻节点对包的内容进行 修改，将会被发现而丢弃，可以阻止恶意节点对路由信息的修改。 4 ) s e a d 协议【1 3 l h u 等提出的s e a d 协议同样借助h a s h 链来保护a d h o c 网络d v ( d i s t a n c e v e c t o r ) 路由协议中的路由通告信息。s e a d 的缺点在于每个节点都必须事先知道 所有其他节点h a s h 链中的最后一个元素及h a s h 链的长度n ，并且要确保这些信 息的正确性，这一要求在有节点随时动态加入和离开网络的情况下是非常难满足 的。而这种动态性又恰恰是商用和自发性a d h o c 网络必不可少的特性之一。 5 ) 基于复活鸭子的安全模式 在基于a d h o c 网络的传感器应用环境中，在不同的时闻段，传感器可能归属 于不同的拥有者，并由拥有者控制它将信息发给授权的接收者。传感器和拥有者 之间的联系应该是安全的，同时也是暂时的。以医用无线传感器为例，它在特定 的情况下只能将病人的病况信息传给特定的接收者，否则可能带来不必要的影响。 而传感器由于缺乏足够的保护，攻击耆既可蛆容易地修改或冒充拥有者发出的控 制信息，也能够破坏网络环境，使其无法正常通信。另外，因为提供设备能源的 电池有限，c p u 处理能力较差，使得节点难以实现公用密钥加密算法，同时它还 - 6 - 东北大学硕士学位论文 第一章引言 容易受到拒绝服务等攻击。f r a n ks t a j a n o 针对此问题提出了一种“复活鸭子”的 安全模式。鸭子破壳而出之后，它会把它见到的第一个移动的物体视为它的母亲， 传感器可以采用同样的策略，也就是把第一个给它发送密钥的实体作为它的拥有 者。在必要时，拥有者可以清除留给传感器的印象，令其“灵魂死亡”，直到等待 下一个拥有者出现时它才“复活”。在传感器“死亡”之前，它只接受其拥有者的 控制，但仍可以与其他节点通信。这种方法同时可以保证在“杀死”传感器时， 并不真正破坏该设备。这种方法虽然可以在一定程度上保证拥有者和传感器间的 安全认证，但是不太实用，并且不能防止对拥有者采取的拒绝服务攻击 ( 2 ) 入侵检测 1 ) w a t c h d o g & p a t h r a t e r 1 4 ，1 5 】 斯坦福大学的m a r t i 等人提出了一种看门狗和选路人算法。看门狗是指数据包 的发送者在将包发出去之后还要监视他的下一跳的节点，如果下一跳的节点没有 对包进行了转发则说明那个节点可能存在问题。 选路入作为一种响应办法，它评定每一条路的信任等级，使数据包尽量避免 经过那些可能存在恶意节点的路径。 2 ) c o n f i d a n t 1 6 , 1 7 , 1 5 是e p f l 提出的一种入侵检测协议。它通过节点自身观察和相互通告的手段来 检测几种已知类型的攻击，使得网络中节点在进行路由时绕过可能的恶意节点， 进而将恶意节点孤立。 3 ) 基于a g e n t 的入侵检测方案【1 9 f l y o n gg u y i n gz h a n g 提出了一个基于a g e n t 的分布式协作入侵检测方案，在 该方案中，每个i d sa g e n t 启动于网络中的任何一个节点，各a g e n t 之间协作检测， 体现了a d - h o c 网络的自组织特性，其缺点在于占用了很多的网络资源和计算资源。 4 ) 基于规范入侵检测方案 该方案用有限状态机来描述正确的路由行为，并用一个分布式网络监视器来 实时收集节点路由控制信息，检测偏离行为。具体实现为在路由控制信息中增加 了一个域，采用树型结构来实现检测算法。其优点在于对现有的各种攻击有着很 高的检测率，但缺乏对d o s 攻击的防御能力，且占用计算资源较大。 各种安全路由都是基于预防技术的，以一种被动的方式，来防止来自网络外 部的攻击，没有能够主动地将攻击源隔离出网络。而各种i d s 正处于研究阶段， 没有提出一个可实施的方案。本文提出了一种行之有效的i d s 系统，并将在下文 中详细描述。 7 东北大学硕士学位论文 第一章i i 言 1 4 本文提出的解决方案 本文提出的基于a g e n t 的i d s 系统，是在研究了a d - h o e 的经典路由协议 a o d v 基础之上，引入了a g e n t 的概念，针对各种攻击的检测功能由a g e n t 完成。 对于相对简单的攻击，在所有的节点上启动相应的a g e n t ，并把它定义为主机 a g e n t 。而对于算法相对复杂的判定，只在某些节点上启动相应的a g e n t ，并把它 定义为网络a g e n t 。这里，系统引入了离散数学里连通度的概念，将网络a g e n t 启动于连通度较大的节点之上，达到了很好的优化配置效果。 1 5 论文结构 本论文共分为五章，第一章为引言；第二章为a g e n t 模型，主要讲述a g e n t 的概念，及其国内外研究现状；第三章引入了基于a g e n t 的入侵检测模型，它是 在a o d v 协议基础之上建立的；在第四章中对此系统性能在n s 上进行了评估， 并在第五章中做出了总结。 8 第二章a g e n t 模型 2 1a g e n t 技术概述 a g e n t ( 智能主体) 技术是一个迅速发展的领域。无论是a g e n t 概念、属性， 还是现有的研究方法等，均是从人工智能领域发展来的。因此，有关a g e n t 的研究 可以借鉴人工智能的研究，研究人工智能的方法也可以应用到a g e n t 的研究中来。 但是a g e n t 并不等同于专家系统和大多数以知识为基础的应用系统 2 0 , 2 1 。 2 1 1a g e n t 概念 a g e n t 是一个快速发展的领域。是分布式人工智能和现代计算机、通信技术发 展的必然结果。就像给人工智能下一个确切的定义一样，要想给a g e n t 下一个确切 的定义也很困难。有关a g e n t 的定义产生于很多的学派。无论是哪个学派的定义， 均有其自身的需要和理由。有关a g e n t 的概念可以追溯到2 0 世纪7 0 年代早期的 d a i 研究中c a r l h e w i t t 的并发演员模型。在模型中，h e w i t t 给出了一个具有自组织、 交互性和并行执行的术语一一a c t o r 。最经典和被光为接受的是w o o l d r i d g e 等人的 “弱定义”和“强定义”。弱定义：a g e n t 一般用以说明一个具有自主能力、社交能 力、反映能力和预动能力的软硬件系统。强定义：a g e n t 不仅具有以上特性，而且 具有知识、信念、目的、义务等人类才具有的特性。a g e n t 还具有流动性、诚实性、 仁慈性、理性等【2 2 1 。 计算机科学工作者更多地从广义角度，认为a g e n t 表示基于硬件或者( 更常见 的是) 基于软件的计算机系统，并具有自主性 a u t o n o m o u s ) 、反应性( r e a c t i v i t y ) 、 社会性( s o c i a la b i l i t y ) 与主动性( p r o a c t i v e n e s s ) 等特征，如自包含的软件进程或 软硬件机器人等；并从软件设计范式的演化提出了从面向对象的软件工程到基于 a g e n t 的软件工程，对于复杂软件系统的分解与抽象，强调主动、灵活的分布计算 能力，交互、协作机制，计算模型与软件体系结构、设计模式等 2 3 , 2 4 , 2 5 】。 a i 研究者则更倾向于从狭义角度出发，认为除上述属性外，还应对a g e n t 赋 予更特定的含义，并采用通常用于描述人的概念，如心智状态中的信念、意图、承 诺等。a g e n t 强定义试图模拟人的思维方式与智能的表现，如意志( w h a t t h e a g e n t i sd o i n g ) 、信念( w h a tt h ea g e n tk n o w s ) 、期望( w h a tt h ea g e n tw a n t s ) 等。这 种定义的基础是基于符号a i ，认为a g e n t 是一个符号推理系统，包括关于环境与期 望的行为的符号表示，如s h o h a m a g e n t 。 9 东北大学硕士学位论文 第二章a g e n t 模型 一般而言，可以认为a g e n t 是一类特定环境下能感知环境，并能灵活、自主地 运行以实现一系列设计目标的、自主的计算实体或程序【7 ，8 ，9 1 0 , 1 1 】。a g e n t 作为自主 的个体在一定的目标驱动下并具有某种对其自身行为和内部状态的自我控铷能力， 能够不受人和其他a g e n t 的直接干预，并尽可能准确地理解用户的真实意图，包括 帮助用户方便、准确地描述和表达任务意图，采取各种由目标驱动的、积极主动的 行为，如社交、学习、推理、合作等，感知、适应并运行于复杂的和不断变化的 动态环境，有效地利用环境中各种可以利用的数据、知识、信息和计算资源，为用 户提供迅捷、准确和满意的服务。 国际上有关a g e n t 的研究主要可以分为两个时期： ( 1 ) 1 9 7 7 至1 9 9 0 年，主要集中于智能a g e n t ( s m a r ta g e n t ) 研究。1 9 9 5 年 w o o l d r i d g e 总结了慎恩a g e m ( d e l i b e r a t i v e a g e n t ) ：具有明确的可描述、形式化模 型且决策借助于形式化推理决定的a g e n t 此阶段主要集中于a g e n t 之间的交互和 通信，任务的分解和分布，协调和协同，通过判断解决冲突等焦点闯题。目标是确 定、分析、设计和综合多个协作a g e n t 组成的系统。典型的系统有a c t o r 模型、 m a c e 、d v m t 、m i c e 等( 共有约2 0 个系统) 。当然，除了一些典型的焦点问题 之外，还有理论、构建和语言等问题上的研究和发展。这些在文献中进行了很好的 总结。 ( 2 ) 1 9 9 0 年以来，有关a g e n t 的研究和应用更广泛，并出现了系列达到实用 的系统。如s y c a r a 在c m u 中的旅游者接待系统，任务a g e n t 和信息a g e n t 相互协 作以产生每一个旅游者的日程安排表。为了达到这个目的，首先a g e n t 通过在线信 息源得到旅游者的兴趣、姓名和组织，还要得到旅游者的工作和他在组织中的地位 等更多的信息；第二，借助于得到的信息，通过查询个人数据库来决定合适的接待 ( 如接待人员等) ；第三，旅游者接待a g e n t 选择一些最初的接待人员，通过接触 和总结日程安排a g e n t 的信息，询问他们在何时会见旅游者，如果某一人员没有日 程安排a g e n t ，一封e m a i l 被发出：第四，核对所有的回应：第五，旅游者接待 a g e n t 为每一个旅游者生成一个包含不同种类的预定房间和接待人员名单；最后系 统与组织者联系和验证确认或拒绝、建议等。 2 1 2a g e n t 的属性 对于a g e n t ，一个经典的理解是：一个a g e n t 可以通过传感器感知并通过感应器 影响和作用起所处环境的任何事物。这种理解包括3 个要素：所处环境、用于接收 输入的传感器和用于形成输出的感应器。h a y e r s r o t h 认为a g e n t 能持续地执行3 项功能：感知环境中地动态条件；执行动作影响环境条件；推理以解释感知信息、 1 0 求解问题、产生推断和决定动作，因此，a g e n t 应在动作选择过程中进行推理和规 划。a g e n t 研究的先去之一m a l e s 在起a g e n t 定义中增加了一项现在被认为在a g e n t 理论中居核心地位的关键要素：自主性。他认为：a g e n t 是指那些宿主于复杂动态 环境中，自治地感知环境中地信息，自主采取行动。并实现一系列预先设定的目标 或任务地计算系统。著名a g e n t 理论研究者w o o l d f i d g e 和j e n n i n g s 等认为：a g e n t 是一个具有自主性、社会能力、反应性和能动性等性质地基于硬件或基于软件地计 算机系统。该定于允许在更宽范围地环境中设计a g e n t ，而且其中增加了通信地要 求。上述各种看法，都反映了a g e n t 技术的一些特征和侧面。 总结起来，a g e n t 技术有一下几个关键的属性： ( 1 ) 自主性：a g e n t 能自行控制其状态和行为，能独立地运行于网络环境中， 能在没有人或其它程序介入时操作和运行。 ( 2 ) 反应性或感知能力：a g e n t 能即使地感知和响应其所处环境地变化。 ( 3 ) 能动性：a g e n t 主动表现出目标驱动的行为，能自行选择合适时机采取适 宜动作，且a g e n t 的行为应与其初始目标或调攘后的目标相一致。 ( 4 ) 持续性( 或时间连续性) ：a g e n t 是持续或连续运行的过程，其状态在运 行过程中应保持一致； ( 5 ) 通信能力：a g e n t 能用某种通信语言与其他a g e m 或实体交换信息和相互 作用。 ( 6 ) 推理和规划能力：a g e n t 具有基于当前知识和经验，考虑环境的变化的能 力，以一种类似于人的思想方式进行推理和预测，其中主要是模糊逻辑和模糊推理。 ( 7 ) 适当性和进化性：a g e n t 应能积累并学习经验与知识，并修改自己的行为 以适应新形式。 ( 8 ) 可靠性、诚实性和理智性：a g e n t 采取的动作及产生的结果应是可靠的和 符合用户利益的。 ( 9 ) 机动性或可移动性：a g e n t 应具有在分布式网络中移动的能力，且在此过 程中保持状态一致。 ( 1 0 ) 协作、合作、协同及协商能力：a g e n t 应能在多a g e n t 环境中协同工作 和消解冲突，以执行和完成一些互相变益且自身无法独立求解的复杂任务。 2 2a g e n t 的三种结构 针对如何克服资源有限问题实现智能行为，人们提出了各种a g e n t 的理论。大 致可以分为三类：慎思型a g e n t 、反应型a g e n t 和混合型a g e n t 。 ( 1 ) 慎思型a g e n t ：慎思型a g e n t ( 又称理性a g e n t ) 就是指a g e n t 的任何行为 1 l 一 都经过内部“思考”。它由感知器、推理器、规划器、效应器等组成。 其中：感知器感知外部环境的状态和变化；推理器和规划器是系统的中心，负 责“思考”：效应器产生行动对外部环境产生影响。这类a g e n t 的共同特点是：第 一，都通过符号系统表达出世界模型和目标；第二，任何行为都是根据一定的目标 和当前世界的状态推理、规划后产生的。因此，可以认为慎恿型a g e n t 的理论源于 人工智能的符号主义。慎思型a g e n t 又可以分为两类：面向目标的慎思型a g e n t 和 面向效用的慎思型a g e n t 。 圈2 1 慎思型智能a g e n t f i g 2 1 c a u t i o na g e n t ( 2 ) 反应型a g e n t 反应型a g e n t 的理论源于人工智能的行为主义。b r o o k s 是行为主义的主要代表 人物之一。与慎思型a g e m 的结构不同，反映型a g e n t 中有一个或者多个模块，每 个模块都能各自独立地完成从感知到行动的整个过程。 图2 2 反应型a g e n t f i g 2 2 a c t i v ea g e n t 整个系统没有一个控制中心，各个模块之间是相互独立的，每个模块产生的行 为相互竞争，都试图控制系统，最终的行为通常是由一个仲裁器协调产生的。最为 1 2 东北大学硕士学位论文 第二章a g e n t 模型 重要的是，每个模块从感知到行动并不需要经过推理或规划，而只是匹配一些条件 动作规则，当符合某种条件则产生相应的动作，类似于一个简单的反应过程，“反 应型a g e n t ”由此得名。 ( 3 ) 混合型a g e n t 慎思型a g e n t 和反应型a g e n t 各有优缺点，因此有人提出混合型a g e n t 力图结 合前两者的优点。混合型a g e n t 有两种实现方式：一种采用层状结构；另一种则在 规划机制内部完全融合。 以上三类a g e n t 基于不同的理论，具有不同的结构，同时有各自的优缺点。从 实际运用的角度看，选用哪种a g e n t ，使用哪种结构，在很大程度上取决于a g e n t 所在环境的性质。如果环境是开放的、动态的、连续的，那么就必须选用具有足够 反应能力的a g e n t ；如果环境是封闭的，各种环境是可预知的，也不需要很高的响 应速度，这时往往慎思型a g e n t 更加适合。 2 3 多a g e n t 系统 a g e n t