（计算机科学与技术专业论文）移动自组织网络入侵检测技术研究.pdf

国防科学技术大学研究生院硕士学位论文 摘要 移动自组网因自身的固有特点而容易受到入侵和攻击，许多在传统固定网络 中可靠的安全措施在移动自组网中已不再有效。入侵检测技术作为网络安全的第 二道防线，正逐渐成为移动自组网研究领域的热点。 本文首先结合移动自组网的特点和安全现状，分析了入侵检测技术在移动自 组网中面临的挑战。接着，在对典型的移动自组网入侵检测模型进行分析研究的 基础上，提出基于簇的分布式入侵检测系统模型c b d i d s 。在模型中，根据入侵 检测职能的不同，将节点分为簇首、副簇首和普通成员三类。其中，普通成员承 担本地检测等较少的检测任务；簇首除了进行本地检测之外，还负责对本簇进行 管理并承担协作检测、邻居节点检测等相对复杂的检测任务；副簇首的设计是为 了对簇首的行为进行监听和检测。这样的设计能保证检测效率、降低检测开销， 并能从一定程度上提升检测系统的可靠性。 与簇结构相关的研究中，生成簇方法的设计是一个重要环节。本文针对 c b d i d s 模型提出了基于簇首可靠性和簇结构稳定性的生成簇方法。簇首可靠性 是指选择簇首要以节点的可靠性评级为依据，评级高于选举门限值的节点才能参 选簇首。簇结构稳定性是指在参选的节点中，选举相对移动性最小的节点作为簇 首。文中对节点的可靠性评级和相对移动性分别给出了定义和计算方法，并使用 n s 2 进行了仿真实验，实验中从产生的平均簇个数和簇首更换次数两个方面将所 设计的生成簇方法与最小i d 生成簇算法进行了比较。 此外，鉴于网络内部恶意节点的攻击已成为日益严重的问题，在c b d i d s 模 型的设计中，提出了节点可靠性评级和匹配规则相结合的邻居节点检测技术，用 于及时发现并定位网络内部的恶意节点。文中给出了邻居节点检测技术的原理与 实现过程，研究了节点的可靠性评级在检测过程中的更新和维护机制，并进行了 匹配规则的设计。在理论分析的基础上，以具体的攻击为例对邻居节点检测进行 了仿真实验。实验结果表明，基于节点可靠性评级的检测技术能够弥补单独使用 匹配规则进行检测的局限性。 文中提出的节点可靠性评级，是能够较为全面地评价节点的指标。它应用于 c b d i d s 模型中，既可直接参与入侵和攻击的检测，也有助于选择最能保障正确 性和安全性的节点执行相应的功能。 本文研究的入侵检测模型为今后在此模型上实现完善的入侵检测系统奠定了 ：基础。 主题词：移动自组网，入侵检测，簇，安全，可靠性 第i 页 国防科学技术大学研究生院硕士学位论文 a b s t r a c t t h en a t u r eo fm o b i l ea dh o cn e t w o r km a k e si tv e r yv u l n e r a b l et oa na d v e r s a r y s i n t r u s i o n sa n da t t a c k s ，a n dy e tm a n yo ft h ep r o v e ns e c u r i t ym e a s u r e si naf i x e dw i r e d n e t w o r kt u r no u tt ob ei n e f f e c t i v ei nm o b i l ea dh o cn e t w o r k t h et e c h n o l o g yo f i n t r u s i o nd e t e c t i o np r e s e n t sas e c o n dw a l lo fd e f e n s ea n dh a sb e c o m et h eh o t s p o to f r e s e a r c ho nm o b i l ea dh o cn e t w o r k f i r s t l y , t h i st h e s i sa n a l y z e st h ec h a l l e n g e st h a tt h et e c h n o l o g yo fi n t r u s i o nd e t e c t i o n f a c e si nm o b i l ea dh o cn e t w o r ka l o n gw i t ht h ef e a t u r e sa n ds e c u r i t ys t a t u so fm o b i l ea d h o cn e t w o r k a f t e rt y p i c a lm o d e l so fi n t r u s i o nd e t e c t i o nf o rm o b i l ea dh o cn e t w o r kh a v e b e e na n a l y z e da n dr e s e a r c h e d t h em o d e lo fc l u s t e r - b a s e dd i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m ，“c b d - i d s ”i sp u tf o r w a r d i nt h i sm o d e l ，n o d e sa r ed i v i d e di n t oc l u s t e rh e a d s ， a s s i s t a n tc l u s t e rh e a d sa n dc o m m o nm e m b e r sb yt h ef u n c t i o no fi n t r u s i o nd e t e c t i o n c o m m o nm e m b e r sa r ec h a r g e dw i t has p o to ft a s k ss u c ha sl o c a ld e t e c t i o n c l u s t e r h e a d sa r ec h a r g e dw i t hm a n a g e m e n to ft h ew h o l ec l u s t e ra n dm o r ec o m p l e xt a s k so f i n t r u s i o nd e t e c t i o ns u c ha sc o o p e r a t i v ed e t e c t i o na n dn e i g h b o r i n gn o d e sd e t e c t i o n b e s i d e sl o c a ld e t e c t i o n a s s i s t a n tc l u s t e rh e a d sa r e d e s i g n e df o rm o n i t o r i n ga n d d e t e c t i n gt h ea c t i o n so fc l u s t e rh e a d s t l l i sd e s i g nc a ne n s u r et h ee f f i c i e n c yo fd e t e c t i o n ， r e d u c et h eo v e r h e a do fd e t e c t i o na n de n h a n c et h er e l i a b i l i t yo fd e t e c t i o ns y s t e mt oa c e r t a i ne x t e n t t h ed e s i g na p p r o a c ho fh o wt og e n e r a t ec l u s t e r si sa ni m p o r t a n tp a r to fr e s e a r c ho n c l u s t e rs t r u c t u r e t h i st h e s i sp u t sf o r w a r dam e t h o dt og e n e r a t ec l u s t e r sb a s e do nt h e r e l i a b i l i t yo fc l u s t e rh e a da n dt h es t a b i l i t yo fc l u s t e rs t r u c t u r ei nt h em o d e lo fc b d i d s t h er e l i a b i l i t yo fc l u s t e rh e a dm e a n sc l u s t e rh e a de l e c t i o nd e p e n d so nt h er e l i a b i l i t y g r a d eo fn o d e s 1 1 1 a ti st os a y , t h eo n ew h o s er e l i a b i l i t yg r a d e sa r eg r e a t e rt h a nt h e e l e c t i o nt h r e s h o l dc a nt a k ep a r ti nt h ee l e c t i o n t h em e a n i n go ft h es t a b i l i t yo fc l u s t e r s t r u c t u r ei st oe l e c tt h en o d ew h o s er e l a t i v em o b i l i t yi st h e1 0 w e s ti nn o d e st a k i n gp a r ti n e l e c t i o n t h ed e f i n i t i o na n da l g o r i t h mo ft h er e l i a b i l i t yg r a d ea n dt h er e l a t i v em o b i l i t y o fn o d e sa r ep r e s e n t e d t h ep r o p o s e dm e t h o do fc l u s t e rg e n e r a t i o ni sc o m p a r e dw i t ht h e l o w e s ti da l g o r i t h mi nt e r m so fa v e r a g en u m b e ro fc l u s t e r sa n dt h en u m b e ro fc l u s t e r h e a dc h a n g e si nt h es i m u l a t i o nb vn s 2 i na d d i t i o n ，a t t a c k sf r o mm a l i c i o u sn o d e so fi n n e rn e t w o r kh a v eb e c o m ea n i m p o r t a n tp r o b l e m t h ed e s i g n o fc b d i d sm o d e lp r e s e n t st h et e c h n o l o g yo f n e i g h b o r i n gn o d e sd e t e c t i o nb a s e do nt h er e l i a b i l i t yg r a d eo fn o d e sc o m b i n i n gw i t h m a t c h i n gr u l e s ，w h i c hd e a l sw i t hd e t e c t i n ga n dl o c a t i n gt h em a l i c i o u sn o d e s 1 1 1 et h e s i s b r i n g sf o r w a r dt h ep r i n c i p l ea n dp r o c e s so ft h et e c h n o l o g yo fn e i g h b o r i n gn o d e s d e t e c t i o n ，a sw e l la st h em e c h a n i s mo fu p d a t i n ga n dm a i n t a i n i n gt h er e l i a b i l i t yg r a d eo f n o d e si nt h ep r o c e s so fd e t e c t i o na n dd e s i g no fm a t c h i n gr u l e s s i m u l a t i o no f 第i i 页 国防科学技术大学研究生院硕士学位论文 n e i g h b o r i n gn o d e sd e t e c t i o ni sb a s e do na c a d e m i ca n a l y s i sa c c o r d i n gt oa c t u a la t t a c k s t h er e s u l to fs i m u l a t i o ni n d i c a t e st h a tt h et e c h n o l o g yo fd e t e c t i o nb a s e do nt h e r e l i a b i l i t yg r a d eo fn o d e sc a l lm a k eu pt h el i m i t a t i o nw h i l eu s i n gm a t c h i n gr u l e ss o l e l y t h er e l i a b i l i t yg r a d eo fn o d e si nt h i st h e s i si sag e n e r a lm e t r i cw h i c hi sa b l et o e v a l u a t en o d e s i tc a nb eu s e df o rd e t e c t i n gi n t r u s i o n sa n da t t a c k sd i r e c t l y , a sw e l la s s e l e c t i n go u tt h en o d e st h a th a v ed e s i r e dg r a d e so fv a l i d i t ya n ds e c u r i t yt oc a r r yo u t r e l e v a n tf u n c t i o n si nc b d i d sm o d e l t h ei n t r u s i o nd e t e c t i o nm o d e lp r o p o s e di nt h i st h e s i sl a y saf o u n d a t i o nf o rt h e r e a l i z a t i o no fb e t t e ri n t r u s i o nd e t e c t i o ns y s t e mi nt h ef u t u r e k e yw o r d s ：m o b i l ea dh o cn e t w o r k s ，i n t r u s i o nd e t e c t i o n ，c l u s t e r ，s e c u r i t y ， r e l i a b i l i t y 第i i i 页 国防科学技术大学研究生院硕士学位论文 表目录 表3 1 三种典型的移动自组网入侵检测模型的优缺点比较。1 7 表3 2 移动自组网协议栈各层次中可用于异常检测的备选指标。2 2 表4 1经典的生成簇算法优缺点比较。2 9 表4 2 簇首选举过程中使用的变量定义。3 3 表4 3簇首选举过程中使用的函数说明。3 3 表5 1第一个检测周期不同的不良行为次数对应的r g 值变化示例4 2 表5 2 第二个检测周期不同的不良行为次数对应的r g 值变化示例4 3 第1 v 页 国防科学技术大学研究生院硕士学位论文 图 目录 图1 1基础结构网络和自组织网络1 图1 2 移动自组网的分级结构2 图2 1移动自组网协议栈各层在可用性方面的要求6 图2 2c i d f 模型9 图3 1 w a t c h d o g 的工作原理1 3 图3 2 分布式对等合作的移动自组网入侵检测模型一1 4 图3 3i d s 代理的概念模型15 图3 4c b d i d s 模型的组织结构19 图3 5c b d i d s 模型的入侵检测单元2 0 图3 6 邻居节点信息表的记录字段一2 1 图3 7 簇内节点信息表的记录字段2 1 图3 8 全局簇信息表的记录字段2 1 图3 9 协作检测流程。2 5 图3 1 0 本地入侵响应报警消息的有效字段一2 6 图4 1簇首选举及划定统治集的算法3 4 图4 2 平均簇个数随节点传输半径的变化情况3 7 图4 3 簇首更换总次数随节点运动速度最大值的变化情况一3 8 图4 4 簇首更换总次数随节点传输半径的变化情况。3 8 图5 1邻居节点检测的工作机制4 5 图5 2 针对特定节点的选择性包丢弃攻击的模式一4 6 图5 3正检率和检测反应时间随匹配规则中门限值的变化情况一4 7 图5 4 误报率随匹配规则中门限值的变化情况4 8 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文题目：整边自塑堡圈缝堡拴测挞苤亟窒 学位论文作者签名：丛赵日期： o j 。谚年，奠月。7 日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文 ( 保密学位论文在解密后适用本授权书) 学位论文作者签名：虏及 作者指导教师签名：斟 日期： 少憎年脚月一7 日 日期聊年口月如日 国防科学技术大学研究生院硕士学位论文 第一章绪l 人, g s 帚一早珀 1 1 课题研究背景 近些年来，随着个人手提电脑、p d a 和其它嵌入式移动终端的迅速发展，无 线局域网技术的重要性和发展潜力已然显现。无线局域网按照布局设计，可分为 如图1 1 所示的基础结构网络和自组织网络两种类型。基础结构网络包括工作站 s t a ( s t a t i o n ) 和接入点a p ( a c c e s sp o i n t ) ，其中，无线a p 相当于有线网络中的交换 机，起着集中连接和数据交换的作用，周边的s t a 接入a p 并只与a p 进行通信 和数据交互；而自组织网络仅包含若干个s t a ，因此又被称为无接入点模式，也 即本文所研究的移动自组织网络，以下简称为移动自组网。 7 一、 ， 基础结构网络 图1 1 基础结构网络和自组织网络 移动自组网是由一组带有无线收发装置的移动主机组成的一个多跳的临时性 自治系统【l 】。移动自组网的前身是分组无线网，与之相关的研究开始于2 0 世纪7 0 年 代美国d a r p a ( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c ta g e n c y ) 的p r n e t ( p a c k e tr a d i o n e t w o r k ) b j 项目，该项目研究分组无线网在战场环境下数据通信中的应用。成立于 1 9 9 1 年5 月的i e e e 8 0 2 11 标准委员会采用了“a dh o c 网络 一词来描述这种特殊的 自组织对等式多跳移动通信网络，a dh o c 网络就此诞生。i e t f 也将a dh o c 网络称 为m a n e t ( 移动自组织网络) 。 在移动自组网中，每个节点兼备路由器和主机两种功能：作为主机，节点上 需要运行面向用户的应用程序，像普通终端那样具备一定的计算和控制功能；作 为路由器，节点上需要运行相应的路由协议，根据路由策略和路由表参与分组转 发和路由维护工作。与固定网络和基础结构的无线网络相比，移动自组网的主要 特点有1 3 】：无固定基础设施，无中心，自组织，多跳路由，动态拓扑，有限能量。 无中心和自组织等特点使得移动自组网具有快速部署的能力；多跳路由等特点使 得在不降低网络覆盖范围的条件下可以减少网络中每个终端的发射范围，从而降 第1 页 国防科学技术大学研究生院硕七学位论文 低了相关发射、接收部件的设计难度，也降低了设备功耗，为移动终端小型化和 低功耗的实现提供了可能。目前，移动自组网不仅应用于教育、商务等民用领域， 为人们的生活提供便捷；更重要的是，它还能满足战场上部队快速展开和推进、 地震或水灾营救等不依赖于任何预设网络设施的通信应用场合的需求【4 j 。 按照拓扑结构不同，可以将移动自组网划分为平面结构和层次结构【4 j 。 在平面结构中，所有的节点处于平等地位，不存在任何的等级和层次差异。 平面结构的优点在于，通信中的源节点与目的节点之间存在多条路径，不仅可以 均衡负载，而且可以针对不同的业务提供不同的路由。可是，当节点数目增多时， 平面结构容易暴露出可扩展性较差的弱点。 与平面结构对应的是层次结构，网络一般被划分为若干个簇，因此也被称为 分级网络。所谓簇，就是具有某种关联的网络节点组成的集合【5 】。在簇内，由一个 按一定的规则选举产生的簇首节点管理本簇所有成员节点并负责簇问消息的转 发。根据通信频率的不同，还可以将分级结构的网络划分为如图1 2 所示的单频分 级网络和多频分级网络。在单频分级网络中，只有一个通信频率，所有的网络节 点都使用该频率进行数据通信，为了实现簇首节点间的通信，必须依赖网关节点 的支持，簇首节点与网关节点形成了高一级的网络，被称为虚拟骨干网【4 】；在多频 分级网络中，不同的层次级别采用不同的通信频率，即簇首节点使用两个频率分 别与本簇内节点和同一级的其它簇首节点通信。多个簇的簇首节点可以形成高一 级的网络，在高一级的网络中又可以再分簇，形成更高一级的网络。层次结构能 够优化网络带宽的利用、减少路由维护的代价并提高应用的可扩展性，在路由、 安全和网络管理等方面都具有重要的应用。 一乒：器彩蔫o - ? 。茸天j 羚 单频分级网络 一- i ： 簇簇首 o i i 一0 琴 多频分级网络 簇成员网关 图1 2 移动自组网的分级结构1 4 1 与传统固定网络类似，移动自组网在迅速发展和广泛应用的同时，也面临着 一系列的安全问题。开放的传输介质、动态改变的网络拓扑、节点问作决策时的 协作机制、无集中的监控中心或管理中心、没有明显的安全防御边界等弱点，都 第2 页 国防科学技术大学研究生院硕士学位论文 可能被攻击者利用，采取恶意手段进行入侵( 任何试图危害特定资源的完整性、 机密性和可用性的行为都可被称作“入侵”1 6 1 ) 和攻击，扰乱移动自组网的正常工 作，影响网络性能，甚至使网络陷入瘫痪。 上世纪9 0 年代以来，随着移动自组网从无线网络领域中的一个小分支逐渐扩 大到相对独立的领域，在世界范围内掀起了移动白组网安全技术研究的热潮，研 究内容主要集中在安全信道接入技术、安全路由技术和入侵检测技术三个方面。 而本课题研究的正是移动自组网的入侵检测技术。 1 2 课题研究意义 当前，网络安全技术普遍采用防护和入侵检测相结合的方法。防护手段相当 于防御入侵的第一道防线，并在一定程度上起到了基本的安全保护作用。 然而，著名的墨菲定律告诉我们： “如果你担心某种情况发生，那么它就更 有可能发生。将它用在安全领域的含义就是：无论加入多少保护措施，总存在 可能被突破的薄弱环节，入侵者会利用一切可以利用的漏洞，实施攻击和入侵。 历史上许多对系统和网络的安全研究与应用实践的经验教训恰恰证实了这一点。 在移动自组网中，由于系统及外界环境的复杂性和攻击手段的多样性，这种被入 侵的可能性要比在传统固定网络中大得多。因此，为了增加防御纵深，使用入侵 检测技术作为移动自组网的另一道安全防线势在必行。 入侵检测能及时发现网络攻击并做出响应，在一定程度上弥补了网络中潜在 的漏洞，是网络安全体系中的重要组成部分。可由于以往入侵检测技术的研究基 本都建立在传统固定网络上，而移动自组网具有自身特点和安全需求，因此需要 开发与之相适应的入侵检测体系结构和相关技术。 国际上对移动自组网入侵检测的研究已有了一些进展，并提出了几种入侵检 测体系结构，研究了相关的检测技术。可是，这些技术各有不同的适用条件，大 多在理论上有效却在应用时不能产生预期的效果。因此，需要从分析入侵行为开 始，筛选出表征入侵行为特征的监测信息，研究与移动自组网的特点紧密结合的 入侵检测技术，有效地鉴别入侵和攻击行为，并采取有效的响应与防御措施。 国内学者对本领域的研究起步较晚，在这方面取得的研究成果也不多。近几 年，随着人们对自由通信需求的日益增长和移动技术的不断发展，国内越来越多 的大学与科研机构都更加重视与移动自组网安全相关的研究领域。更重要的是， 如果能在现有移动自组网上结合优化的入侵检测技术开发出更安全可靠的体系结 构，无疑有助于移动自组网在关键部门领域或者高端应用场合发挥更大的作用。 总之，研究适合移动自组网的入侵检测技术，对提升移动自组网的安全级别、 保证网络正常的功能和性能有着重要的理论和实践意义。 第3 页 国防科学技术大学研究生院硕十学位论文 1 3 课题研究的主要工作 论文分析了移动自组网的固有特征，对与其相适应的入侵检测技术进行了深 入的研究，取得了一些研究成果。 课题研究的主要工作分为以下几个方面： 1 ) 在对典型移动自组网入侵检测模型进行了分析研究的基础上，提出了基于 簇的分布式入侵检测模型c b d i d s ，首先研究了模型的组织结构，然后对模型中 节点上运行的入侵检测单元中的各个模块进行了功能设计。 2 ) 生成簇方法研究，针对c b d i d s 模型提出了基于簇首可靠性和簇结构稳定 性的生成簇方法，该方法选举簇首有两个主要步骤：首先，参考节点的可靠性评 级，评级高于选举门限值的节点才有被选为簇首的资格；而后，在有选举资格的 节点中，选举相对移动性最小的节点作为簇首。 3 ) 提出了节点可靠性评级的概念，给出了计算、使用和管理的方法，研究了 基于节点可靠性评级和匹配规则的邻居节点检测技术，给出了检测的基本原理和 实现过程，并以几种有代表性的攻击方式为例，分析并产生了检测规则。 4 ) 对设计的生成簇方法和邻居节点检测功能进行了仿真实验，并对实验结果 进行了分析。 5 ) 综合理论分析与仿真实验，评价了c b d i d s 模型的特点和局限性。 1 4 论文的组织 本文共分为六章： 第一章，绪论。首先分析了课题研究的背景及意义，然后介绍了课题的研究 内容和主要工作，最后给出了论文的内容安排。 第二章，本论文研究的背景结构。首先分析了移动自组网的安全目标，然后 介绍了入侵检测和入侵检测系统，最后结合移动自组网自身特点分析了入侵检测 技术在移动自组网中面临的挑战。 第三章，移动自组网的入侵检测模型研究。在分析典型的入侵检测模型的基 础上，提出了基于簇的分布式入侵检测模型c b d i d s ，给出了模型的设计依据和 组织结构，介绍了节点入侵检测单元中各个模块的功能设计。 第四章，入侵检测模型的生成簇方法研究。在分析和借鉴了已有经典的生成 簇算法的基础上，提出了应用于c b d i d s 模型的生成簇方法，该方法充分考虑到 簇首可靠性和簇结构稳定性。仿真实验中将该方法与最小i d 成簇算法进行了比较， 并对实验结果进行了分析。 第五章，邻居节点检测技术研究。提出了节点可靠性评级的概念，对其给出 第4 页 国防科学技术大学研究生院硕士学位论文 了定性和定量描述，介绍了在c b d i d s 模型中的基于节点可靠性评级和匹配规则 的邻居节点检测技术，并以具体的攻击方式为例，分析了攻击模式对应的规则， 并进行了仿真实验。 第六章，总结了c b d i d s 模型的特点和局限性，指明了下一步研究工作的方 向。 第5 页 国防科学技术大学研究生院硕十学位论文 第二章移动自组网与入侵检测技术 本章的主要任务是分析入侵检测技术在移动自组网中的特定需求和实现难 度，是按照以下顺序进行阐述的：首先介绍了网络安全的五大目标在移动自组网 中的内涵，然后简述了入侵检测技术和入侵检测系统的基本概念，最后结合移动 自组网自身特点分析了入侵检测技术面临的挑战。 2 1 移动自组网的安全目标 众所周之，传统网络的安全目标包括五大方面：可用性( a v a i l a b i l i t y ) 、机密 性( c o n f i d e m i a l i t y ) 、完整性( i n t e g r i t y ) 、可控性( c o n t r o l l a b i l i t y ) 和不可否认 性( n o n r e p u d i a t i o n ) 。在移动自组网中，这些基本的安全目标与传统网络是相通 的，可由于移动自组网在设计目标、体系结构、网络规模和采用的协议上都与传 统网络有很大差别，因此这些安全目标在移动自组网中的内涵与其在传统网络中 稍有不同，本节将对此做出分析。 2 1 1可用性 可用性是移动自组网中基本的安全目标，它是指合法用户可访问网络服务并 按要求顺利使用其功能的特性。 在移动自组网中，入侵者攻击的途径多种多样，攻击行为或转瞬即逝、或频 繁进行。在受到攻击之后，如果某些节点的计算能力或路由转发能力瘫痪，那么 将会影响各节点协同工作，进一步影响到整个网络的功能和性能。如果受破坏节 点的数目过大，使得网络无法提供基本的服务，移动自组网就无法存活。 可用性确保网络节点在受到各种攻击时仍有基本的容忍故障能力，它在移动 自组网的协议栈各层有着具体的要求，图2 1 列举了其中三个层次的要求： 第6 页 国防科学技术大学研究生院硕十学位论文 2 1 2 机密性 机密性是指信息不泄漏给非授权的用户和实体，不被其利用的特性。 由于传输介质的开放性和节点位置的不确定性，移动自组网更容易受到窃听 攻击，窃听者可能来自周围环境的任何地方。无论是与经济利益紧密相关的商业 秘密还是与战场胜负紧密相关的军事敏感信息，都必须保证机密性，这些信息一 旦被窃听者获取，后果将不堪设想。除此之外，在某些应用场合，还需要保证路 由信息的机密性，例如在战场上，路由信息一旦泄漏，就有可能被敌方判断出移 动节点的标识和位置，而危及到移动节点( 战场个体) 的安全，甚至会造成整个 任务失败。总之，在移动自组网中，机密性就要保证未被认证的节点不能访问消 息内容。 2 1 3 完整性 完整性是指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、 不延迟、不乱序和不丢失的特性。 在移动自组网中，完整性关键的是保证真实的信息从真实的信源无失真地到 达真实的信宿。无线传输时，由于既有来自网络内部节点之间的冲突，又有来自 外界环境的干扰，因此信息失真的可能性相比有线固定网络更大。偶然发生的完 整性缺失可以通过消息确认和重传等方式弥补，可是如果这种冲突和干扰频发， 或者信息在传递和转发的过程中被人为改动，就很可能是攻击者的恶意行为所致。 完整性就要确保在节点间传递的信息没有被任何途径改动过。 2 1 4 可控性 可控性是指网络和信息系统时刻处于合法所有者或使用者的有效掌控之下。 在移动自组网中，不能信任传输介质，必须借助密钥建立适当的认证机制， 在没有全局认证机构的情况下实施对用户的鉴别，确保当与某个节点通信时，那 个节点正是我们期望的，并且消息内容是合法的。另外，还需要对节点的访问行 为进行控制，保证非法节点或未授权用户不能访问和使用服务。如果可控性没有 保证，攻击者很容易冒充合法节点的身份、加入网络并访问服务，从而获取重要 的资源和信息，并干扰其他节点的正常通信。 2 1 5 不可否认性 在移动自组网中，不可否认性首先是用来防止发送节点或接收节点抵赖所传 输的消息。即当发送一个消息时，接收节点能够证实该消息的确是由所宣称的发 第7 页 国防科学技术大学研究生院硕士学位论文 送节点发送的；类似地，当接收到一个消息时，发送节点能够证实该消息的确是 由所宣称的接收节点接收的。另外，不可否认性还包括中间节点不能否认自己的 转发行为，这是由移动自组网采用的多跳路由方式所决定的。不可否认性对检查 和孤立恶意节点具有特别重要的意义。当f 常节点a 接收到来自恶意节点b 的错 误信息时，不可否认性保证节点a 能够利用该信息告知其他节点：b 是恶意节点 或是被入侵者控制的节点。 2 2 入侵检测技术与入侵检测系统概述 2 2 1 定义与功能 入侵检测是指从计算机网络或计算机系统中的若干关键点搜集信息并对其进 行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的 一种机制【7 1 。 入侵检测技术是保护网络免受入侵者攻击的关键技术之一，而入侵检测系统 i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 使用入侵检测技术对网络与网络上的系统进行监 视，并根据监视结果进行不同的安全工作，最大限度地降低可能的入侵危害【8 】。它 可以通过检测和分析系统事件以及用户行为、分析网络通信行为、跟踪对系统安 全的修改操作等方式，判定是否发生了对目标系统的入侵，并确定入侵攻击的类 型，通过适当的方式进行适当的报警处理。 入侵检测一般采用旁路侦听的机制，因此不会大量占用网络带宽，系统的使 用对网内外的用户来说是透明的，不会有任何的影响。入侵检测系统的单独使用 不能起到保护网络的作用，也不能独立地防止任何一种攻击，但它是整个网络安 全系统的一个重要的组成部分，它所扮演的是网络安全系统中侦查与预警的角色， 协助网络管理员发现并处理任何已知的入侵【7 】。可以说，入侵检测系统是对其它安 全系统有力的补充，网络管理员可以处理入侵检测系统发出的警报、有效地配置 其它的安全产品，尽可能降低因攻击而带来的损失。 2 2 2 评价标准与通用模型 衡量入侵检测系统性能的两个重要指标是正检率和误报率【8 1 。 假设i 与1 分别表示对目标系统的入侵行为和正常行为，a 表示入侵检测系统 发出了入侵报警， a 表示入侵检测系统未发出入侵报警。 正检率是指目标系统受到入侵攻击时，入侵检测系统能够发出正确报警的概 率，可以表示为p ( a i i ) 。 误报率是指目标系统没有受到入侵，而入侵检测系统却发出错误报警的概率， 第8 页 国防科学技术大学研究生院硕+ 学位论文 可以表示为p ( a i i ) 。 好的入侵检测系统应该在达到较高的正检率的同时，保证较低的误报率。 c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 阐述了一个如图2 2 所示的入 侵检测系统的通用模型【9 j 。 事件产生器事件分析器 事件数据库响应单元 图2 2c i d f 模型【9 1 c i d f 将入侵检测系统需要分析的数据统称为事件 9 1 ( 事件可以是网络中的数 据包，也可以是从系统日志等其它途径得到的信息) ，它将入侵检测系统分为以 下4 个组件：用e 盒表示的事件产生器( e v e n tg e n e r a t o r s ) ，用a 盒表示的事件 分析器( e v e n ta n a l y z e r s ) ，用r 盒表示的响应单元( r e s p o n s eu n i t s ) ，用d 盒 表示的事件数据库( e v e n td a t a b a s e s ) 。各组件的功能简述如下： 事件产生器采集和监视被保护系统的数据，并将这些数据进行保存，一般是 保存到数据库中。这些数据可以是网络数据包，也可以是从系统日志等其它途径 搜集到的信息。 事件分析器的功能主要分为两个方面：一是针对事件产生器搜集到的数据， 分析数据的正确性，如果发现非法的或者具有潜在危险的、异常的数据现象，就 通知响应单元做出入侵防范；二是定期地对数据库保存的数据进行统计分析，如 果发现某段时期内的异常表现，就对该时期内的异常数据进行详细分析。 响应单元与事件分析器协同工作。一旦事件分析器发现反映出入侵企图的异 常数据并通知响应单元，响应单元就要发挥作用，对具有入侵企图的行为施以拦 截、阻断、反追踪等手段，一方面保护系统免受进一步的攻击和破坏，另一方面 通知其它管理程序或用户对已经发现的攻击造成的破坏采取一定的补救措施。 事件数据库记录事件分析单元提供的分析结果，同时记录下所有来自于事件 产生器的事件，为以后的分析与检查做准备。 第9 页 国防科学技术大学研究生院硕士学位论文 2 2 3分类 根据入侵检测系统的检测对象和工作方式的不同，学术界早先把入侵检测系 统分为基于主机的入侵检测系统、基于网络的入侵检测系统以及两者结合的入侵 检测系统，后来又发展出了基于内核的入侵检测系统和分布式的入侵检测系统。 入侵检测分析技术主要分为异常检测技术和误用检测技术两大类p j 。异常检测 ( a n o m a l yd e t e c t i o n ) 技术也称为基于行为的检测技术，是指根据用户的行为和系 统资源的使用状况判断是否存在网络入侵。误用检测( m i s u s ed e t e c t i o n ) 技术也 称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻 击行为和攻击方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的 特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网 络行为特征与入侵信息库中的特征信息相比较，如果匹配，则认定当前行为是入 侵行为。两种检测技术各有优缺点，异常检测技术的优点主要在于能够检测出新 的攻击行为和攻击方法，并且较少地依赖于特定的主机操作系统；缺点在于它与 误用检测技术相比误报率较高，检测使用的行为模型建立困难，并且难以对入侵 行为进行分类和命名。误用检测技术的优点在于误报率低，技术相对成熟，便于 进行系统防护；缺点在于不能检测出新的入侵行为，对入侵特征库的依赖性太强， 维护特征库的工作量巨大，并且难以检测到来自内部用户的攻击。因此，在目前 许多入侵检测系统的设计实现中，采取了异常检测与误用检测相结合的技术。 2 3 入侵检测技术在移动自组网中面临的挑战 2 3 1 移动自组网本身的脆弱性 移动自组网的脆弱性是由于其开放的传输介质、动态变化的网络拓扑结构、 节点间的协作机制缺乏集中管理等特点造成的。主要有以下五个方面体现【1 0 , 1 1 ： 1 ) 开放的无线传输介质，使得移动自组网没有明确的防御边界，不像有线网 络接入时在物理连接的基础上还需要经过网关和防火墙等几道防线，移动自组网 中的每个节点都有可能时刻面对着入侵者直接或间接进行的各种攻击。 2 ) 移动节点具有自治性，可以独立移动，这就在客观上增加了节点被劫持或 被破坏的可能。当节点被攻击者劫持和控制后，入侵就深入到移动自组网内部。 对于入侵者来说，实施攻击的效果会更好、攻击的破坏力会更大；对于防护方来 说，防护和检测的难度也就更大。 3 ) 移动环境中，每个节点单独做出的决策具有本地局部性和全局分散性，而 网络中许多功能的实现必须依赖多数甚至所有节点的共同参与和协作，例如路由 功能需要源节点到目的节点之间的多点合作才能完成，缺乏集中管理机制和集中 第1 0 页 国防科学技术大学研究生院硕士学位论文 控制节点意味着攻击者可能针对节点问协作机制的薄弱环节实施攻击。 4 ) 移动节点只有有限的计算资源、传输带宽和能量储备。由于安全级别和网 络性能具有相关性，因此，在节点可用的计算资源和传输带宽较少的情况下，强 安全保护机制难以实现；此外，节点的能量有限，一般都使用电池供电，不能在 实现计算和通信的同时耗费过多的能量，这一弱点易于被攻击者利用，以耗尽节 点能量为目的进行攻击。 5 ) 移动自组网中现有的路由协议大多没有考虑安全方面的内容，而入侵者针 对路由协议的攻击越来越多。攻击者通过发送错误的路由信息、破坏路由信息和 重放过期的路由信息等手段，造成网络发生拥塞和出现分割，并最终导致网络崩 溃；攻击者还可以通过分析路由业务流量来获取有用信息。总之，针对路由协议 的攻击方式多种多样，安全威胁日趋严重。 2 3 2 入侵检测在移动自组网中的实现难点 移动自组网和传统固定网络的巨大差别，使得在传统固定网络中研究已日趋 成