（系统分析与集成专业论文）基于移动ad+hoc网络入侵检测的关联规则算法的研究.pdf

捅斐 移动a dh o c 网络由于其没有固定基础设施、拓扑频繁动态变化、无线信道完全开 放、节点的恶意行为难以检测、网络缺乏自稳定性的特点，特别容易受到各种攻击，它 比传统的无线网络面临更多的安全威胁，同时也更难建立有效的防御措施。入侵检测技 术作为保障移动a dh o c 网络安全的第二道防线，有着十分重要的作用。 通过研究和分析传统入侵检测系统的缺陷，可以得出解决这些缺陷需要处理大量的 数据，而关联规则技术是一个强有力的数据处理工具，从而将关联规则技术应用于传统 的入侵检测系统来处理海量数据，以提高整个系统的检测性能，有效的减少整个系统的 误警率。 本文在a p r i o r i 算法的基础上提出了一种改进的a p r i o r i 算法，在该算法中，对数据 库结构进行了改进，这种新的数据库结构能够使改进的a p r i o r i 算法运行效率更高，同 时提出了水平加权支持度、垂直加权支持度以及混合加权支持度的概念，以此来计算感 兴趣的新的规则，提高了入侵检测的准确率以及降低检测的误警率。 本文提出了一种基于关联规则的分布式移动a dh o c 网络入侵检测模型，在该模型 中，使用信任域的思想将节点分为域内节点和网关节点，域内节点实现初步检测，网关 节点实现进一步的检测，这样既能保证节点性能，又能提高检测的准确性。 关键词：a dh o c 网络；入侵检测；关联规k l l j ；a p r i o r i 算法 a bs t r u c t m o b i l ea dh o cn e t w o r k sa r ev e r ye a s yt ob ea t t a c k e db e c a u s eo ft h e i rc h a r a c t e r i s t i c s s u c ha sl a c ko fi n f r a s t r u c t u r e ，d y n a m i c a lt o p o l o g y , o p e nm e d i u m ，d i f f i c u l t yi n d e t e c t i n g m a l i c i o u sn o d e sa n dl e s ss t a b i l i z a t i o ni nt h e i ro w n t h e r e f o r e c o m p a r e dw i t ht r a d i t i o n a l n e t w o r k s ，t h e yf a c em o r ec h a l l e n g e si ns e c u r i t ya n dh a v em o r ed i f f i c u l t i e si nd e f e n s e a st h e s e c o n dd e f e n s i v el i n eo fm o b i l ea dh o cn e t w o r k s ，i n t r u s i o nd e t e c t i o np l a y sas i g n i f i c a n tr o l e i nt h e i rs e c u r i t y t h r o u g ht h e r e s e a r c ha n da n a l y s i so fs h o r t c o m i n g so ft h et r a d i t i o n a li n t r u s i o n d e t e c t i o ns y s t e m s ，w ek n o wt h a tam a s so fd a t ah a v et ob ep r o c e s s e di no r d e rt os o l v et h e s e p r o b l e m s a n dt h et e c h n o l o g ya b o u ta s s o c i a t i o nr u l e si sp o w e r f u lt op r o c e s sam a s so fd a t a s ot h i st e c h n o l o g ya p p l i e dt ot r a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e m st op r o c e s sd a t ac a n e n h a n c et h ed e t e c t i o np e r f o r m a n c eo ft h ew h o l es y s t e ma n dr e d u c et h er a t i oo ff a l s ea n dm i s s a l a r m i nt h i s p a p e r , a ni m p r o v e da p d o da l g o r i t h mi sp r o p o s e db a s e do nt h ea p r i o r i a l g o r i t h m t h em o d e lo ft h ed a t a b a s es t r u c t u r eh a sb e e ni m p r o v e di nt h ea l g o r i t h m ，w h i c hc a n e n h a n c et h ee f f i c i e n c yo ft h ei m p r o v e da p r i o r ia l g o r i t h m a n dw ep r o p o s et h ec o n c e p t so f l e v e lw e i g h t e ds u p p o r t ，v e r t i c a lw e i g h t e ds u p p o r t ，a sw e l la sm i x e dw e i g h t e ds u p p o r ti no r d e r t oc a l c u l a t en e wr u l e si n t e r e s t e d t h e s ec a ne n h a n c et h ea c c u r a c yo fi n t r u s i o nd e t e c t i o na n d l o w e rf a l s ea l a r mr a t eo fd e t e c t i o n t h i sp a p e rp r o p o s e saa s s o c i a t i o n - r u l e sb a s e dd i s t r i b u t e dm o b i l ea dh o cn e t w o r k i n t r u s i o nd e t e c t i o nm o d e l ，i nw h i c hw eu s et h ec o n c e p to ft r u s tz o n ea n dn o d e sa r e c a t e g o r i z e di n t ot w ot y p e s ：t h ei n t r a - z o n en o d ea n dt h eg a t e w a yn o d e t h ei n t r a z o n en o d e s d e t e c ti n i t i a l l y ，a n dt h eg a t e w a yn o d e sd of u r t h e rd e t e c t i n g t h i sw i l ln o to n l ye n s u r et h e p e r f o r m a n c eo fn o d e s ，b u ta l s oi m p r o v et h ea c c u r a c yo fd e t e c t i o n k e y w o r d ：a dh o cn e t w o r k ；i n t r u s i o nd e t e c t i o n ；a s s o c i a t i o nr u l e s ；a p r i o r ia l g o r i t h m i i 湖北大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 论文作者签名： 日期：年月日 学位论文使用授权说明 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即： 按照学校要求提交学位论文的印刷本和电子版本；学校有权保存并向国家有关 部门或机构送交论文的复印件和电子版，并提供目录检索与阅览服务；学校可以允 许采用影印、缩印、数字化或其它复制手段保存学位论文：在不以赢利为目的的前 提下，学校可以公开学位论文的部分或全部内容。( 保密论文在解密后遵守此规定) 作者签名：妻企 指导教师签名：与传舌 日期： 日期：功p 7 莎i 第一章绪论 第一章绪论 自从意大利物理学家g u g l i e l m om a r c o n i 于1 8 9 7 年发明无线电报通信技术以来，在 无线通信发展的初期，其应用价值首先在军事通信领域得到认可，很快就成为一种重要 的军事通信工具。随着无线通信技术的发展，从二十世纪七十年代以来，无线网络在商 用和民用领域的应用也逐渐增多，从蜂窝语音电话到无线接入i n t e r n e t 和无线区域网络， 无线网络给我们的工作和生活带来了深刻的影响。特别是在经过近十多年呈指数增长 后，今天的无线产业已经成为世界上最大的产业之一1 1 2 】。 无线网络按其通信业务可划分为面向语音的无线网络，典型的例如蜂窝移动通信系 统【3 4 l ；以及面向数据的无线网络，包括广域无线数据网络，如1 9 9 3 年由i b m 和美国的 九家运营公司推出的c d p d ( c e l i u l a rd i g i t a lp a c k e td a t a ) t 5 j 项目，九十年代后期建立在已 经取得广泛成功的g s m ( g l o b a ls y s t e mf o rm o b i l e ) 基础上的g p r s ( g e n e r a lp a c k e tr a d i o s e r v i c e ) i 6 1 数据业务，以及宽带无线局域网【7 】与移动a dh o c 网络。按照网络拓扑结构， 无线网络使用了两种基本拓扑类型【l 】，分别是基础结构集中式拓扑和分布式拓扑。在基 础结构网络拓扑中，固定基础设施用来支持移动终端之间及与固定终端的通信，b s 基 站或a p 接入点作为网络中心，任何终端之间的通信都要通过b s a p ，以用于管理用户 接入网络，像传统的无线语音和数据网络均采用该种拓扑结构。而分布式或称为移动 a dh o c 网络拓扑可用于重组网络，它不需要固定的基础设施就能工作，这种拓扑适于 在移动或固定情况下快速部署无线网络。本文即是围绕移动a dh o c 网络面临的安全问 题，就部分关键问题展开研究。 1 1 研究背景 移动a dh o c 网络技术最早起源于二十世纪六十年代木的a l o h a 网络【8 】和七十年 代初的美国军事通信领域【9 】o 早在1 9 6 8 年，为了使地理上分散的夏威夷地区的教育机构 之间能够通过无线电交换数据，美国夏威夷大学研制成功了世界上第一个分组无线网络 a l o h a ，但是a l o h a 网络需要固定的基站用于数据转发和网络管理，同时a l o h a 网络协议本身是一种单跳网络协议，这意味着它并不支持路由，即该网络的每一个终端 都必须和其它所有终端有直接连接时刁能够互相通讯。 自a l o h a 网络成功研制后，分组无线网受到了美国军方的高度重视，美军制定了 若干分组无线网络相关技术研究计划，并得到了美国国防部d a r p a ( d e f e n s ea d v a n c e d r e s e a r c hp r o j e c t a g e n c y ) 和o n r ( u s a r m ya n do f f i c eo f n a v a lr e s e a r c h ) 1 9 , 1 0 1 雕j 大力赞 湖北人学硕十学位论文 助和支持。1 9 7 2 年，d a r p a 资助了p r n e t ( p a c k e tr a d i on e t w o r k ) 1 1j 研究计划，即 让报文交换技术在不受固定或有限的基础设施限制的环境下运行。其最初的动机之一就 是探索在战术环境下的数据通信网络技术与应用问题，以满足战场生存的军事需求。在 战场恶劣的环境下，通信设备不可能依赖已经敷设的通信基础设施，一方面这些设施可 能根本不存在，另一方面这些设施会随时遭到破坏。因此，能快速装备、自组织的移动 基础设施是这种网络区别于其它商业蜂窝系统的基本要素。在结构上，这种网络是由一 系列移动节点组成，它不依赖于任何已有的网络基础设施，网络中的节点动态变化且任 意分布，节点之间通过无线方式互连，它将分组交换网络的概念引伸到广播网络的范畴。 项目完成之后，d a r p a 又在1 9 8 3 年制定了s u r a n ( s u r v i v a b l ea d a p t i v en e t w o r k ) 1 2 】 研究计划，其目的是进一步拓展p r n e t 的应用技术，以支持可生存与自适应的大型无 线网络的建立，重点研究了战术环境条件下网络拓扑动态变化的自适应网络协议和实现 技术。1 9 9 4 年，为满足战术环境下数据通信与信息系统的应用，d a r p a 又制定了g l o m o ( g l o b a lm o b i l ei n f o r m a t i o ns y s t e m s ) 1 3 j 研究计划，重点研究在快速展开条件下，具有 抗毁性的战术信息系统的若干关键技术，包括网络自组织、自愈算法，平面分层网络结 构下的多跳路由算法等。2 0 0 0 年，d a r p a 又在g l o m o 、a c n ( a i r b o r n ec o m m u n i c a t i o n n o d e ) 、s u o ( s m a l lu n i to p e r a t i o n s ) 研究计划的基础上，制定了m o s a i c ( m o b i l e 、 o n t h e m o v e 、s u r v i v a b l e 、a d a p t i v e 、i n t e g r a t e dc o m m u n i c a t i o n ) 1 1 4 j 研究计划，其目的是 在前期研究计划的基础上，通过本计划相关技术和设备的研制，从系统整体上建立面向 二十一世纪的军事战术无线通信的基础设施。 移动a dh o c 网络技术在军事通信领域发展的同时，也引起了商用领域的极大兴趣。 1 9 9 1 年i e e e 在开发i e e e 8 0 2 1 1 无线局域网( w l a n ) 【7 j 标准时，将分组无线网络改称 为a dh o c 网络。采用新的名字，i e e e 希望a dh o c 网络成为为特定日的而临时组建并 短期存在的网络。需要指出的是，i e e e 8 0 2 1 1 标准定义的移动a dh o c 网络是采用分布 式对等组网方式，仅由那些通过无线介质能够互相进行直接通信的站点组成的网络，即 独立的基本服务集( i b s s ，i n d e p e n d e n tb a s i cs e r v i c es e t ) 7 , 1 5 j ，i b s s 没有无线接入点 a p ，为单跳移动a dh o c 网络，但是目前所研究的移动a dh o c 网络通常足多跳网络。 最早从事商用多跳移动a dh o c 网络技术研究的组织机构是i e t f ( i n t e r n e te n g i n e e r i n g t a s kf o r c e ) ，其研究工作于1 9 9 5 年始于对军用战术网络、军用卫星网和无线局域网的 技术研究，工作重点是研究在高速动态环境下支持i p 业务的网络互联和路由问题，利 用多跳无线分组网构造一个基于i p 的移动互联网，并可通过i p 实现与固定互联网的无 2 第章绪论 缝连接；随着移动a dh o c 网络的研究进展，1 9 9 7 年i e t f 正式成立了移动a dh o c 网 络m a n e t ( m o b i l ea dh o cn e t w o r k s ) 工作组( w g ，w o r k i n g g r o u p ) 1 6 l ，当前i e t f m a n e tw g 的任务重点是移动a dh o c 网络的路由协议标准化和网络接口标准化工作 9 , 1 6 , 1 7 l 。此外瑞士洛桑联邦技术学院t e r m i n o d e 组织也提出了一项长期研究计划，即 t e r m i n o d e s 计划【1 8 , 1 9 】，时间跨度从2 0 0 0 年到2 0 1 0 年，该计划旨在研究和设计一个大范 围、自组织的移动a dh o c 网络，并用于商业以及其它潜在的社会环境中，其研究领域 包括从物理层到应用层的所有层面，以及层问的相互作用，如路由算法、移动性管理、 不使用g p s 的定位、节点相互协作的激励机制和安全策略等。由于移动a dh o c 网络的 独特特性，国际标准化组织3 g p p ( t h i r dp a r t yp a r t n e r s h i pp r o j e c t ) 和3 g p p 2 ( t h i r dp a r t y p a r t n e r s h i pp r o j e c t2 ) 2 0 , 2 1 l 也已经开始将其作为下一代移动通信系统( 4 g ) 2 2 , 2 3 】的一种 应用方案，并将其作为下一步标准化的一项重要工作【2 4 1 。除此之外，目前国际上在移动 a dh o c 网络研究方面比较活跃的机构包括一些著名高校的研究机构如康奈尔大学的 “w i r e l e s sn e t w o r k sl a b o r a t o r y 【2 5 1 、马里兰大学的“t h em o b i l ec o m p u t i n ga n dm u l t i m e d i a l a b o r a t o r y ，【2 6 1 、加州大学洛杉矶分校的“t l l ew i r e l e s sa d a p t i v em o b i l i t yl a b ，【2 7 】、伊利诺 斯大学u r b a n a c h a m p a i g n 分校的“a dh o cn e t w o r k sr e s e a r c hg r o u p ，【2 8 】等，以及美国陆 军、海军和一些企业的研究机构。 1 2 国内外研究现状 由于移动a dh o c 网络特殊的历史背景，在二十世纪七十年代到九十年代早期，人 们很难从公开的出版物上获得有价值的理论和技术成果，特殊的应用环境使得移动a d h o c 网络具有非常重要的战略意义，九十年代中期，随着一些技术的公开，移动a dh o e 网络丌始成为无线网络领域一个公丌的研究热点。与传统网络相比，移动a dh o c 网络 没有固定基础设施，每个节点都可能随时进入和离开网络，整个网络分布式运行。然而， 传统网络中对连接性和业务传输的基本需求，在移动a dh o c 网络中同样需要得到满足。 目前关于移动a dh o e 网络研究中的主要难点问题【1 0 , 1 7 , 2 9 】包括单播和多播路由协议、 m a c 媒介接入控制协议、地址分配、q o s 服务质量保障、电能管理、节点移动性管理、 网络互联、安全性问题等。由于移动a dh o c 网络自身的复杂性，很多问题至今并没有 得到很好的解决，除了i e t fm a n e tw g 公布了一些单播路由协议的相关草案外，目 前a dh o c 网络还没有相应的国际标准，这些开放性的i 、u j 题也为移动a dh o c 网络的深 入研究留下了非常广阔的发展空间。 随着移动a dh o c 网络研究的进展和其潜在的应用日i 景，安全问题讵逐渐成为人们 3 湖北人。z 硕f ：学何沦文 关注的焦点。对于移动a dh o c 网络的安全问题，国内研究者己经进行了大量研究，解 决方案主要分为三大类： ( 1 ) 入侵检测技术。主要目标是使移动a dh o c 网络中的通信节点能检测并防御恶意 节点攻击，尽管有线网络中入侵检测技术应用非常广泛，但将这些技术应用于移动a d h o c 网络仍面临很大挑战，如检测数据局部性、正常异常行为无清晰界定等问题。 ( 2 ) 密码机制和安全认证。由于移动a dh o c 网络的特殊性，密码机制要求的第三方 认证以及相应密钥的安全管理、分发以及更新等方面存在明显技术难点。 ( 3 ) 安全路由。主要目标是实现路由信息的可用性、真实性、完整性以及抗抵赖性， 防止恶意节点对路由协议的破坏。如a r a n ，s a o d v ，s e a d ，s r p 等移动a dh o c 网 络安全路由协议就是通过对己有路由协议增加安全认证等实现安全保护。 安全问题研究历程表明，在移动a dh o c 网络中，尽管加密机制和安全认证等防御 机制能阻止一些网络外部攻击，但传统安全解决方法在移动a dh o c 网络中的局限性仍 会导致网络存在较大安全隐患。因为在移动a dh o c 网络中恶意节点可能属于网络的授 权主体，则受网络安全机制保护，或者网络中某些携带密钥节点成为被俘节点，恶意节 点通过它们能使用网络授权服务发起攻击，这时恶意节点都能有效避开加密、认证防御， 因而我们难于从物理上排除恶意内部节点。但在网络中，用户和程序是可见的，通过入 侵检测定期地监控网络、捕获监控数据，判断网络是否受到入侵，在证实入侵的实际情 况下，采取措施，从而保证网络的安全性。因此，研究移动a dh o c 网络的入侵检测对 于保证路由、通信及高层应用的安全具有重要的意义。 1 3 研究目的及意义 在当今飞速发展的信息科学技术领域，互联网和移动通信技术是目前的两大热点技 术。作为人类历史上影响最为深远的发明之一，以i n t e r n e t 为代表的计算机网络技术为 人们进行信息交流与信息共享提供了一种方便、快捷、高效的途径。随着信息化社会的 发展，人们对计算机网络，尤其是i n t e r n e t 上信息的依赖性的持续增长，对使用信息的 场合、时问、方式和方法也提出了越来越多全新的概念和需求，希望将活动的地点延伸 到广阔的地理区域，随时随地甚至在移动的过程中处理信息，这些都促使了移动计算和 连接技术的发展。此时，需要发展能够摆脱线缆固定接入的无线通信方式来传输信息， 使用户能够在移动的环境下，利用便携式移动设备和无线介质通信，相互协作，并随时 随地都能获得综合的i n t e m e t 信息服务，因此，互联网走向移动成为一种必然的趋势。 同时随着无线通信特别是移动通信技术的发展，移动通信业务和技术呈现出从传统 4 第一1 章绪论 的话音领域向数据领域和宽带多媒体领域转变的态势，因此移动通信和互联网必将走向 结合。移动计算机通信网络正是这两大热点技术的有机融合，是互联网的未来最新发展 方向，通过在网络中提供移动性支持可使网络用户在任何时刻、任何地点收发各种信息， 真正实现人们提出的“a n y w h e r e 、a n y t i m e ，m o b i l en e t w o r ki ny o u rp o c k e t ”的愿望。移 动计算为互联网提供了一个崭新的发展空i u j ，使互联网有着更为广阔的发展前景，同时 移动计算也使互联网面临新的挑战，它要求对传统网络技术从底层进行根本性的变革以 适应这一新的发展方向，移动a dh o c 网络作为移动计算的一种特殊形式，就是在这一 背景下提出的，是一种可适应特殊环境的移动计算机网络。 移动a dh o c 网络通过临时组网方式在各种环境中支持移动节点之间的数据、语音、 图像、图形等业务的无线传输，应用范围可以覆盖工业、商业、医疗、家庭、办公环境、 军事等各种领域，具有广阔的发展前景。移动a dh o c 网络在为人们进行各种事务和商 务活动提供高效便利性服务的同时，由于无线网络天生的脆弱性，在这种丌放性的网络 环境中更易遭受各种安全风险和威胁，带来很多诸如网上身份认证、信息机密性、完整 性、抗抵赖等安全问题，尤其是对安全敏感的应用环境，有效的保障网络信息安全是关 系到移动a dh o c 网络能否顺利实施和应用的重要基础。因此积极开展对移动a dh o c 网络的安全研究，建立有效的安全机制和安全策略，以适应未来高技术民用和军事发展 的需要，不仅具有重要的社会和经济意义，也具有十分重要的战略意义。 移动a dh o c 入侵检测系统的任务就是在提取到的监测数据中找到入侵的痕迹。入 侵分析过程需要将提取的事件与入侵检测规则进行比较，从而发现入侵行为。一方面入 侵检测系统需要将尽可能多地提取数据以获取足够的入侵证据，在数据量庞大的网络数 据中，用传统的方法对这些数据进行分析所耗费的时间是惊人的，另一方面移动a dh o c 网络设备受到能量的限制，有线网中的入侵检测技术不能很好的适用于a dh o c 网络中， 因而有必要开发适用于移动a dh o c 网络专用的入侵检测技术。 所谓数据挖掘是指从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据 中，提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。从 它的定义我们可以得出数据挖掘的目的是从海量数据中找出它们之问潜在的联系并将 这种联系转换成易于理解的形式如文本、表格、图像等提供给用户，便于用户对现实中 的各种情况做出讵确的处理。入侵检测系统所要处理的诉是大量的、不完全的、有噪声 的、模糊的、随机的数据，理解他们己经远远超出人的识别能力，使得其中的大量数据 变成“数据坟墓”从中无法得到有用的知谚 。数据挖掘币是为处理这样的数据而产生 5 湖北人z 硕十学位论文 的一个强有力的分析工具，将它应用于现有的入侵检测系统来处理庞大的检测数据，必 然会发现数据中的潜在联系，从而将“数据坟墓”转换成“知识金块”。随着对数据挖掘技 术的深入研究，将同益提高其应用的广泛性和解决问题的有效性。 本文通过将关联规则技术引入移动a dh o c 网络入侵检测，力图获得更好的检测性 能。本文提出的一种新的数据库结构，改进传统的关联规则a p r i o r i 算法，使之更加有 效的应用于移动a dh o c 网络入侵检测中。同时，本文提出了一种基于关联规则的分御 式移动a dh o c 网络入侵检测模型，采用基于信任域的机制，充分利用网络中的所有节 点共同完成入侵检测过程。 1 4 论文的组织结构 全文共分为六章： 第一章：绪论。介绍了课题背景和研究意义，调研了国内外研究现状，并指出了本 文的结构安排。 第二章：移动a dh o c 网络特性及其入侵检测系统分析。介绍了移动a dh o e 网络和 入侵检测的相关概念，以及移动a dh o c 网络入侵检测的典型技术方案及入侵检测算法。 第三章：首先介绍了a p r i o r i 算法，针对a p r i o r i 算法的缺点以及移动a dh o c 网络 的特性引入了改进的算法。 第四章：提出了一种基于关联规则的分布式移动a dh o c 网络入侵检测模型，采用 基于信任域的机制，充分利用网络中的所有节点共同协作完成网络的入侵检测。 第五章：模拟实验，得出实验结果并分析了算法性能。 文章最后对本文的工作进行了总结与展望，并指出研究中的不足。 6 第二章移动a dl l o c 网络及其入侵检测系统分析 第二章移动a dh o c 网络及其入侵检测系统分析 2 1 移动a dh o c 网络的概念及特性 a dh o c 一词来源于拉丁语，是“特别地、专门地为某一即将发生的特定目标、事 件或局势而不为其它的意思。a dh o c 技术所标称的是一种无线特定的网络结构，强 调的是多跳、自组织和无中心的概念。移动a dh o c 网络是由若干无线移动节点组成的 不依赖于任何固定基础设施和集中式组织管理机构而通过节点l 、h j 的相互协作进行网络 互联的一种多跳自组织临时性自治系统【1 7 , 2 9 】。其继承和发扬了d a r p a 所资助的无线分 组数据网的组网思想，特别是p r n e t 。p r n e t 强调的是在一个广阔的区域中实现多跳 的无线通信，基于这种多跳的无线信道特点，p r n e t 面临着诸如介质接入、寻址、路 由、安全、网络初始化和控制等难题。但p r n e t 所倡导的系统自组织( s e l f - o r g a n i z i n g ) 特性使得p r n e t 网络系统组建灵活、网络的抗破坏性强。 在任一时刻，移动a dh o c 网络中由一些带有无线收发装置的移动节点都可以通过 无线信道连接形成一个任意网状的拓扑结构。节点可以任意移动，从而导致网络拓扑结 构也随之发生变化。在这种环境中，由于终端的无线通信覆盖范围的有限性，两个无法 直接通信的用户终端可以借助其它终端的分组转发进行数据通信。它可以在没有或不便 于利用现有的网络基础设施的情况下提供一种通信网络支撑环境，从而拓宽了移动通信 网络的应用环境。 移动a dh o c 网络即可以在独立的网络环境下运行，也可以通过网关连接到现有的 固定网络基础设施上，如i n t e r n e t 或者蜂窝核心网络【3 0 】。在后面这种情况下，a dh o c 网 络通常是以一个末端网络的方式连接进入现有网络，它只允许产生于或目的地是该自治 系统内部节点的信息进出，而不会让其它信息穿越自治系统【1 7 】。在移动a dh o c 网络中， 节点兼备主机和路由器两种角色。一方面，节点作为主机运行相关的协同应用程序，另 一方面，节点作为路由器需要运行相关的路由协议，进行路由发现、路由维护等常见的 路由操作，对接受到的信宿不是自己的分组需要进行分组转发。图2 1 示意了一个移动 a dh o c 网络，图中由节点a 、b 、c 、d 、e 、f 组成一个a dh o c 网络，虚线代表无线 链路，虚圆代表节点a 的无线电波覆盖范围，网络最初的拓扑结构如图2 1 ( a ) 所示， 其中节点a 和节点d 之间有一条直达链路而能够直接进行通信，当节点d 移动离开了 节点a 的无线电波传输覆盖范围但却在节点f 的无线电波覆盖区域时，尽管节点a 和 节点d 问的直达链路被断开，但网络仍然相连，此时节点a 能够通过节点c 、节点e 7 湖北人学硕f ：学何论文 和节点f 转发分组从而到达节点d ，这时网络拓扑图如图2 1 ( b ) 。 b ) 图2 1 移动a dh o e 网络示意图 作为一种具有全新概念的特殊的无线网络，移动a dh o c 网络与传统的无线网络和 有线网络相比，具有以下特性【9 , 1 0 , 1 7 , 3 0 , 3 1 】： 网络的自组性：移动a dh o c 网络可以在任何时刻任何地点构建，而无需依赖任 何预设的网络基础设施的支持。采用动态自适应组网技术，网络中各节点通过分层协议 和分布式算法协调各自的行为，节点丌机后就可以快速、自动地构成一个独立的自由移 动的通信网络。 多跳路由：当节点要与其无线电波覆盖范围之外的节点进行通信时，需要中问 节点的多跳转发，而传统的无线网络属于单跳网络，移动终端不具有路由功能。同时与 有线网络的多跳不同，a dh o c 网络中的多跳路由是由普通的网络节点完成的，而不是 由专用的路由设备( 如路由器) 完成的。 动态的网络拓扑结构：网络的拓扑结构是指从网络层角度米反映物理网络的逻 辑视图。在移动a dh o e 网络中可采用随机图作为其数学模型，图2 2 中顶点代表移动 节点，顶点问的有向边代表两对应节点问的无线信道。移动节点可以以任意速度和任意 方式在网络中移动，加上无线发送装置发送功率的变化、无线信道i u j 的相互干扰、地形 变化等综合因素的影响，移动节点间通过无线信道形成的网络拓扑结构随时可能发生变 化，而且变化的方式和速度都很难预测，具体体现在随机图模型中就足顶点或有向边的 增加和消失，随机图的分割和合并等等。而对于常舰网络而占，网络拓扑结构则表现较 为稳定。 8 第二章移动a dl l o c 网络及其入侵检测系统分析 图2 2 移动a dh o c 网络的随机图模型 有限的无线传输带宽和信道质量：由于移动a dh o c 网络采用无线传输技术作为 其底层通信手段，而无线信道本身的物理特性，使其所能提供的网络带宽相对于有线信 道要低得多，同时信道质量比有线信道差得多。除此之外，考虑到竞争共享无线信道产 生的碰撞、信号衰减、噪声干扰、信道间干扰等多种因素，移动节点可得到的实际带宽 远远小于理论上的最大带宽。 存在单向的无线信道：a dh o c 网络采用无线信道通信，由于地形环境或发射功 率等因素影响可能产生单向无线信道。如图2 3 所示，节点a 的发射功率较节点b 的大， 所示节点b 可以接收到来自节点a 信号，而节点a 无法接收到来白节点b 的信号，即存在 一条从节点a 到节点b 的单向信道。而在常规网络中，节点间通常基于双向的有线或无 线信道进行通信。 图2 3 移动a dh o c 网络中的单向信道 移动终端能源受限：通常在移动a dh o c 网络用户终端都是依靠电池等可耗尽能 源提供主机的电源。由此在进行系统设计时必须考虑到如何有效节省能源。 网络的分布式控n - 移动a dh o c 网络中的节点都兼有独立路由和主机功能，不 存在类似于基站的网络中心控制点，各节点之间地位平等，网络的控制和管理采用分稚 式控制方式，由网络中的节点协作完成，避免了由于单点的被破坏而影响全网的正常运 行，从而具有很强的鲁棒性和抗毁性。而在常规网络中存在基站、网络控制中心、路由 器、交换机这样一类集中控制没备，用户终端与它们所处的地位是不对等的。 9 湖北人学硕f ：学何论文 有限的安全性：移动a dh o c 网络是一种特殊的无线网络，由于采用无线信道、 有限能源、分布式控制等技术和方式，所以更加容易受到被动窃听、主动入侵、拒绝服 务、剥夺“睡眠”、伪造等各种网络攻击。 网络生存时i 口j 短：移动a dh o c 网络通常是由于某个特定原因而临时创建的，当 使用结束后，网络环境将会自动消失。其生存时间相对于固定网络而言是短暂的。由此 可知，移动a dh o c 网络是一种可适应特殊环境的移动计算机通信网络，是移动通信和 计算机网络的交叉，也是移动互联网的一种构成方式【3 2 】，其表现在一方面网络的信息交 换采用了计算机网络中的分组交换机制，基于t c p i p 协议族，通过若干移动节点构成 一个独立的i p 网络，与固定互联网并行，另一方面，用户终端足便携式的，如笔记本 电脑、个人数字助理( p d a ) 、掌上电脑、车载台等，并配置有相应的无线收发设备， 并且用户终端可以随意移动或处于静止状念。 2 1 1 移动a dh o c 网络面临的安全问题 作为一种特殊形式的计算机网络，在保障网络的信息安全过程中移动a d h o c 网络 的安全目标【3 3 3 4 , 3 5 , 4 0 】与传统有线网络中的安全目标是一致的，它们包括可用性、机密性、 完整性、安全认证和不可否认性，但是两者却具有不同的内涵。在传统有线网络中，主 机之间的连接是固定的，网络采用层次化的体系结构，并具有稳定的拓扑结构。传统网 络提供了多种服务以充分利用网络的现有资源，包括路由器服务、命名服务、目录服务 等，并且在此基础上提出了相关的安全策略，如加密、认证、访问控制和权限管理、防 火墙等。而在移动a dh o c 网络巾没有基站或中心节点，所有节点都是移动的，网络的 拓扑结构动态变化，并且节点间通过质量较差的无线信道相连，没有专门的路由器，节 点自身同时需要充当路由器，也没有命名服务、目录服务等网络功能。这些特点，与有 线网络和蜂窝无线网络相比，移动a dh o c 网络更容易受到袭击，安全问题更为突出。 传输信道方面：移动a dh o c 网络采用无线信号作为传输媒介，其信息在空中传 输，无需像有线网络一样，要切割通信电缆并搭接j 能偷听，任何人都可接收，所以容 易受到诸如被动窃听、主动入侵、信息重放、信息失真等各种方式的攻击。窃听可能使 对手能访问到秘密信息，妨害机密性。主动攻击可能使对手能删除信息，加入错误信息， 修改信息，或伪装成一个网络节点，从而破坏网络的可用性、完整性、安全认证和不可 否认性。 移动节点方面：因为节点是自主移动的，不像固定网络节点可以放在安全的房 间内，特别是当移动a dh o c 网络布置于战场时，其节点本身的安全性是十分脆弱的。 1 0 第：章移动a dh o c 网络及其入侵检测系统分析 节点移动时可能落入敌手，节点内的密钥、报文等信息都会被破获，然后节点又可能以 正常的面目重新加入网络，用来获取秘密和破坏网络的正常功能囚此，移动a dh o c 网 络不仅要防范外部的入侵，而且要对付内部节点的攻击。 动态的拓扑：移动a dh o c 网络中节点的位置是不固定的，可随时移动，造成网 络的拓扑不断变化。一条正确的路由可能由于目的节点移动到通信范闱之外而不可达， 也可能由于路由途经的中间节点移走而中断。因此难于区别一条错误的路由是因为节点 是移动造成的还是虚假路由信息形成的。由于节点的移动性，在某处被识别的攻击者移 动到新的地点，改变标识后，它可重新加入网络。另外由于动态的拓扑，网络没有边界， 防火墙也无法应用。 安全机制方面：在传统的公钥密码体制中，用户采用加密、数字签名、报文鉴别 码等技术来实现信息的机密性、完整性、不可抵赖性等安全服务。然而它需要一个信任 的认证中心来提供密钥管理服务。但在移动a dh o c 网络中不允许存在单一的认证中心， 否则不仅单个认证中心的崩溃将造成整个网络无法获得认证，而且更为严重的是，被攻 破认证中心的私钥可能会泄露给攻击者，攻击者可以使用其私钥来签发错误的证书，假 冒网络中任一个移动节点，或废除所有合法的证书，致使网络完全失去了安全性。若通 过备份认证中心的方法虽然提高了抗毁性，但也增加了被攻击的目标，任一个认证中心 被攻破则整个网络就失去了安全性。 路由协议方面：路由协议的实现也是一个安全的弱点，路由算法都假定网络中 所有节点是相互合作的，共同去完成网络信息的传递如果某些节点为节省本身的资源而 停止转发数据，这就会影响整个网络性能。更可怕的是参与到网络中的攻击者专门广播 假的路由信息，或故意散布大量的无用数据包，从而导致整个网络的崩溃。 2 1 2 移动a dh o c 网络攻击行为分析 网络安全一直是网络普及以来网络技术中的一个重要话题，移动a dh o c 网络除了 面临有线网络上已知的各种攻击威胁外，由于其无线和节点承担路由功能的特点，还要 面临针对a dh o c 网络的攻击，安全的需要变得更加迫切，主要原因如下： ( 1 ) 节点更容易被入侵。一方面，a dh o c 网络节点能自主移动不受限制，这使得 容易在经过的区域中被入侵，且物理上的保护也更加困难；另一方面，恶意节点容易伪 装，可能先进行非法入侵，然后通过断丌操作( d i s c o n n e c to p e r a t i o n ) ，脱离网络后更换 标识，重新加入伪装成，正常节点； ( 2 ) 使用无线连接，天生容易被窃听和干扰，入侵者无需取得对物理链路的访问 湖北人学硕十学位论文 就可以监听数据； ( 3 ) 节点的资源和带宽有限，资源容易被非法操作耗尽； ( 4 ) a dh o c 网络缺乏明显的边界。节点问的连接都足白组织的，区域内的任何节 点间均可通信，没有明显边界，因此没有防火墙之类安全设施，这使得节点直接暴露在 攻击者而前。攻击行为可以通过多种角度进行分类。 按攻击性质可分为： ( 1 ) 被动攻击，攻击者仅窃听开放信道，不对数据包进行任何改变和破坏，从中 发现有价值的信息，如拓扑结构、路由状态、节点位置、流量大小等。由于它没有对网 络状态产生任何变化，一般很难被发现； ( 2 ) 主动攻击，攻击者破坏网络结构，改变网络流量，违反安全协议。 按攻击来源可分为： ( 1 ) 外部攻击，指没有获得认证的网络外节点对网络内部节点的攻击； ( 2 ) 内部攻击，指来自于内部节点的攻击，其威胁远大于外部攻击，变节的 ( c o m p r o m i s e d ) 节点带有私钥，其拜占庭( b y z a n t i n e ) 【5 】式行为不易被发现。 按攻击对象可分为： ( 1 ) 对节点的攻击，类似于有线网络中对主机的攻击； ( 2 ) 对网络的攻击，攻击目标是整个网络或予网，主要通过破坏网络路由协议和 安全机制使网络瘫痪。 按攻击发生的层次可分为在m a c 层、网络层、传输层、应用层等上发起的攻击。 攻击行为的分类如图2 4 所示。 攻击行为可能发生在路由的请求应答阶段，也可能发生在数据传输阶段。根据数据 包类犁的不同，也可把攻击类型分为以下两类【6 】： ( 1 )路由逻辑类通过控制路由信息，达到攻击网络的目的。如： 幻发布虚假的路由应答或路由更新； b 、) 篡改路由信息数据包。 ( 2 ) 流量模式类攻击行为的结果直接改变了正常的网络流量表现。如： a ) 将数据包进行错误路由； b ) 全部或有选择地丢弃数据包： 用其他节点或不存在的源地址发送数据包； d ) 更改数据包内容，包括包头内容和数据内容； 1 2 第：章移动a dh o c 网络及其入侵检测系统分析 e