（通信与信息系统专业论文）adhoc网络基于移动代理的入侵检测系统设计与模拟.pdfVIP

东北大学硕士学位论文 a d h o e 网络基于移动代理的入侵检测系统设计与模拟 摘要 a d - h o c 网络是一种不依赖固定基础设施的自治无线多跳网络，它被广泛应用于军 事、救灾等领域，但其介质开放、动态拓扑、分布式协作等特征使得其面l i 函更大的安全 挑战。路由作为组网的关键技术，其安全问题更受到各方的关注，逐渐成为研究的热点 本文对a d - h o c 网络的路由安全问题进行研究，设计了一种基于移动代理的入侵检 测系统，并以a o d v 路由协议为例介绍其工作机制。在该系统中，将移动代理分成监 测代理、追踪代理和测试代理。监测代理主要负责收集一跳范围内的节点通信情况，作 为入侵检测的依据，当监测代理获得的本地信息无法满足检测要求时，派出追踪代理， 通过与其他监测代理交换信息实现联合检测，测试代理用于完成链路、节点状态等测试 任务移动代理的应用减小了系统开销，提高了入侵检测的准确性。 利用模拟软件n s 2 搭建网络模拟平台对所提出的检测系统进行测试，结果表明， 该系统能够快速准确地发现并诊断针对路由协议的攻击行为，提高了a d - h o c 网络的安 全性能。 关键词：a d - h o c 网络；安全；入侵检测；移动代理；网络模拟 一一 东北大学硕士学位论文 d e s i g na n ds i m u l a t i o no fl d sb a s e do nm o b i l ea g e n ti na d h o c n e t w o r k a b s t r a c t a d - h o cn e t w o r ki sas e l f - o r g a n i z e d , m u l t i - b u pa n di n f t a s t r u c t u r e l e s sn e t w o r ka n di t 缸 w i d e l yu s e di nm a r t i a l , e m e r g e n ta r e a s , b u ti t so p e nm e d i u m , d y n a m i ct o p o l o g ya n d d i s t r i b u t e dc o l l a l x n t i o nc h a r a c t e r i s t i c sm a k ei tf a c eg r e a ts e c u r i t yc h a l l e n g e s r o u t i n ga sa c r i t i c a l t e c h n o l o g yi no r g a n i z i n gn e t w o r k , i t ss e c u r i t yp r o b l e ma t t r a c t sm a n yr e s e a r c h e r s a t t e n t i o n , a n do o m f 8t ob e c o m ear e s e a r c hf o c u s i nt h i sp 獬t h ei s s u eo fm u t i n gs e c u r i t yi na d - h o cn e t w o 矗j ss t u d i e d a ni n t r u s i o n d e t e c t i o ns y s t e m0 v s ) b a s e do nm o b i l ea g e mi sa l s od e s i g n e d , a n da d - h o co n - d e m a n d d i s t a n c ev e c t o r ( a o d v ) p r o t o c o li st a k e n 勰a nc 舳p l et oi n t r o d u i t sw o r k i n gr e g u l a t i o n i nt h i ss y s t e m , i n o b i ea g e n t sa r ed i v i d e di n t oi n s p e c ta g e n t , t r a c ea g e n ta n dt e s ta g e n li n s p e c t a g e n tc o l l e c t st h ec o m m u n i c a t i o ni n f o r m a t i o no fn e s r b yn o d e sa sd e t e c t i n ga t t e s t a t i o n w h e n t h ei n f o r m a t i o nc o l l e c t e db yi n s p e c ta g e n ti sn o te n o u g h , t r a c ea g e n ti ss e n tt og e to t h g 吁 i n s p e c ta g e n t s i n f o r m a t i o nt od c t c c i t e s ta g e n ti su s e dt ot e s tl i n k a g ea n db o d es t a t e 啊站 a p p l i c a t i o no f m o b i ea g e n tr e d u c e ss y s t e m o v e r h e a d , a n di m p r o v e sa c o m 扯yo ft h es y s t e m w i t ht h es i m u l a t i o ns o f t w a r en s 2t os e t 叩t h ew o r k b e n c h , t h es i m u l a t i o no nt h ei d si s i m p l e m e n t e d t h es i m u l a t i o nr e s u l t sh a v ep r o v e dt h a tt h ei d ss y s t e mc a nd e t e c ti n t r u s i o n a i m e da tm u t i n gp r o t o c o la n dc a ns i g n i f i c a n t l yi m p r o v et h es e c u r i t yp e r f o r m a n c eo fa d - h o c n e t w o r k k e yw o r d s ：a d - h o cn e t w o 咄s e c u r i t y ；i d s ；m o b i l ea g e n t ；n e t w o r ks i m u l a t i o n l 一 独创性声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的 研究成果除加以标注和致谢的地方外，不包含其他人己经发表或撰写过的 研究成果，也不包括本人为获得其他学位而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢 意。 、一 学位论文作者签名：见兀一 日 期： 2 0 0 年3 月日 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论 文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部 或部分内容编入有关数据库进行检索、交流。 ( 如作者和导师同意网上交流，请在下方签名；否则视为不同意。) 学位论文作者签名：蜀元一 、 签字日期。叫年3 月胡 导师签名：挚鬟 签字日期：2 口0 7 年3 固2 日 东北大学硕士学位论文 第一章引言 第一章绪论 无线网络在计算机领域里蓬勃发展，尤其是最近十年无线移动通信网络的 发展更是一日千里目前存在的无线移动网络有两种：第一种是基于网络基础 设施的网络，这种网络的典型应用为无线局域网( w i r e l e s sl o c a l a r e a n e t w o r k ， w l a n ) ：第二种为无基础设施的网络，一般称之为a d h o c 网。后者是一种有 特殊用途的对等式网络，使用无线通信技术，网络没有固定的路由器，节点可 随意移动并能以任意方式相互通信，在通信过程中网络中的节点互相作为其邻 居( 在其直接通信范围内的节点) 的路由器，通过节点转发实现节点间的通信。 它又被称为多跳网络( m u l t ih o pn e t w o r k ) 或自组织网络( s e l fo r g a n i z e d n e t w o r k ) 1 , 2 , 3 , 4 , s 1 。 近年来，随着i n t e r n e t 和移动通讯技术的日渐成熟及广泛应用，拓展i n t e r n e t 无线应用空间的呼声越来越强烈。目前已有的方案，如g p r s 、e d g e 、移动m 等仅解决了移动端节点和固定端节点间的。单跳”接入问题，对i n t e r n e t 的应用 延伸帮助有限基于上述原因，人们开始关注a d h o c 网络所具有的。多跳”特 征。 ，随着无线通信技术的发展，移动自组网作为一种特殊的移动通信网络在许 多安全敏感性高的领域中的应用逐渐增多，在军事和民用领域都具有非常广泛 的应用前景，它在未来的通信领域将发挥非常重要的作用。在常规网络中，路由 器和主机通常是两个独立的设备，而在a dh o c 网络中，每个用户终端兼具路由 器和主机两种功能，它具有以下主要特征：不依赖现有网络基础设施、动态变 化的网络拓扑结构、网络的分布式控制、链路带宽受限、移动终端的局限性( 如 计算和存储能力以及供电等) 。一方面，构建费用低廉使其应用具有极大的吸引 力；另一方面，它的灵活特性又给其安全性带来了巨大的挑战 1 1 问题的提出 a d h o e 网络中节点之间的通信是在没有固定基础设盍自( 例如基站或路由器) 支持的条件下进行的，系统支持动态配置和动态数据流控制，所有的网络协议均 为分布式的。网络的组织和控制并不依赖于某些重要的节点，所有节点都是平等 的。允许任何节点发生故障、离开或加入网络，另一方面，网络内的所有节点都 必须在一定程度上相互合作以完成网络的功能。无线传输的开放性使得通信更易 一l 一 东北大学硕士学位论文 第一幸引吉 于被侦听和破坏；没有中心管理而只能靠各个节点相互合作的机制给了不合作或 提供虚假合作者以可乘之机；很多传统有线网络的入侵检测功能无法实现；受限 的电源能力也很容易被垃圾数据所耗尽。上述的这些特点也同时决定了a d h o c 网络路由的安全性比传统有线网络的更为脆弱，更容易受到攻击，抵抗和承受攻 击的能力也更弱。 传统的用防火墙和加密软件来保护网络的做法已经不足以解决安全问题。要 抵抗网络中的袭击，可以采用一些传统的入侵预防技术，但是入侵预防技术只能 减少袭击的发生，不能完全消除袭击因此。有必要引入主动入侵检测技术，本 文对a d h o c 网络中应用最广泛的路由协议a o d v 及其可能存在的各种攻击进行 了分析，并且提出了一种基于移动代理的入侵检测系统。 1 1 1a d h o c 网络的特点 与其他通信网络相比，a d h o c 网络具有以下特征： ( 1 ) 网络的自组性。a d h o c 网络可以在任何时刻任何地方构建，而不需要 现有的网络基础设施的支持，形成一个自由移动的通信网络 ( 2 ) 动态的网络拓扑结构。从网络的网络层来看，a d h o c 网络中，移动节 点可以以任意的速度和任意方式在网络中移动，加上无线发送装置发送功率的变 化、无线信道间的相互干扰因素、地形因素等的影响，节点问通过无线信道形成 的网络拓扑结构随时都会发生变化。 ( 3 ) 有限的无线传输带宽。无线信道本身的物理特性使a d h o c 网络的网络 带宽相对有线方式要低的多，另外还要考虑无线信道竞争时所产生的信号衰落、 碰撞、阻塞、噪声干扰等因素，这使得实际带宽要小的多。 ， ( 4 ) 移动节点处理能力的有限性。a d h o c 网络中的移动节点内存小、c p u 处理能力低、所带电源有限使得a d h o c 网络的设计更加困难。 ( 5 ) 安全性差。a d h o c 网络是一种无线方式的分布式结构，所以更加容易 被窃听、入侵、网络攻击等。 ( 6 ) 网络的分布式。a d h o c 网络中的移动节点都兼有独立路由和主机功能， 不存在类似于基站的网络中心控制点，节点地位平等，采用分布式控制方式，增 强了网络健壮性。 ( 7 ) 网络的可扩展性不强。由于采用t c p i p 协议中的子网技术使得 i n t e r n e t 具有网络的可扩展性，而a d h o c 网络动态变化的拓扑结构使得子网 技术所带来的网络可扩展性不能得到应用 ：2 一 东北大学硕士学位论文 第一幸引言 ( 8 ) 存在单向无线信道。生存时间短。组网通常是由于某个特定原因而临 时创建的，使用结束后，网络环境将会自动消失a d h o c 网络的生存时间相对于 固定网络而言是短暂的。 1 1 2 a d h o c 网络的安全问题 a d h o c 网络具有以下显著特点：无中心和自组织性、自动配置、动态变化的 网络拓扑、有限的资源、多跳路由、较低的安全性。另外，a d h o c 网络还有一些 其它的特点，比如终端受限、可扩展性不强以及单向无线信道和特殊信道共享方 式等 基于a d h o c 网络的上述特性，其不仅存在着传统有线网络中存在的安全问 题，同时也面临着许多新的安全威胁。a d h o c 网络的安全问题主要表现在： 第一，使用无线链路使得网络易受到从被动偷听到主动干扰的攻击。无线自 组网络的攻击能够来自各个方向并且可以以任何一个节点为目标。攻击后果可以 包括泄露秘密信息，损害消息，假冒节点这就意味着无线自组网没有清晰的防 线，每一个节点都有可能直接或间接地受到攻击。 第二，移动节点是自治的单元，它们能够独立地游动。这就意味着没有足够 物理保护的节点可能被捕获，损害和入侵。由于在整个网络中跟踪特定的移动节 点很难，位于网络中受损节点的攻击损害性更强且更难被检测。因此，移动节点 和基础设旖必须运行在无对等体信任的模式下。 第三，移动计算环境的决策有时是分散的，一些无线网络算法依赖于所有节 点和基础设施的协同参与。缺少集中权限意味着攻击者能够利用系统的脆弱性开 发新的攻击类型，从而破坏协同算法。 本文所研究的主要内容是路由安全问题。危害a d - h o e 网络路由安全的攻击主 要有被动攻击和主动攻击两类。被动攻击的攻击者并不破坏路由协议的正常运行， 仅通过窃听业务数据发现可以攻击的信息，该攻击方式很难检测。主动攻击的攻 击者通常试图修改数据，或通过获得权限，在网络的数据流中插入虚假数据包 主动攻击又可分为外部攻击和内部攻击。内部攻击的攻击者属于该网络的一部分， 外部攻击的攻击者不属于该网络。内部攻击者的节点也属于该网络，并有部分权 限，对网络的危害更大。 一3 一 东北大学项士学位论文 第幸引言 1 2 有线网络与a d h o c 网络安全策略对比 在传统有线网络中，网络采用层次化体系结构，主机之间的连接是准静态的， 具有较为稳定的拓扑，可以提供多种服务来充分利用网络的现有资源，包括路由 器服务、命名服务、目录服务等。目前已经提出了一系列针对这类环境的安全机 制和策略，如加密、认证、访问控制和权限管理、防火墙等。a d h o c 网络不依赖 固定基础设施，具有灵活的自组织性和较强的健壮性。a d h o e 网络中没有基站或 中心节点，所有节点都可以移动、节点间通过无线信道建立l 临时松散的连接，网 络的拓扑结构动态变化。a d h o c 网络由节点自身充当路由器，也不存在命名服务 器和目录服务器等网络设旖。根据应用领域的不同，a d h o c 网络在体系结构、设 计目标、采用的协议和网络规模上都有很大差别。尽管基本的安全要求，如机密 性和真实性，在a d h o c 网络中仍然适用。但是a d h o c 网络不能牺牲大量功率用于 复杂的计算，并要考虑无线传输的能耗和稀少的无线频谱资源。另外，节点的内 存和c p u 功率很小，安全保护机制难以实现。这些约束在很大程度上限制了能够 用于a d h o c 网络的安全机制，因为安全级别和网络性能是相关的。因此，传统有 线网络中的许多安全策略和机制不能直接用于a d h o c 网络，这主要表现在以下几 个方面： ( i ) 传统有线网络中的加密和认证应该包括一个产生和分配密钥的密钥管理 中心( k m c ) ，一个确认密钥的认证机构，以及分发这些经过认证的公用密钥的 目录服务。a d - h o c 网络缺乏基础设施支持，没有中心授权和认证机构，节点的计 算能力很低，这些都使得传统的加密和认证机制在a d h o c 网络中难以实现，并且 节点之间难以建立起信任关系。 ( 2 ) 传统有线网络中的防火墙技术用来保护网络内部与外界通信时的安全。 由于所有进出该网络的数据都通过某个节点，防火墙技术可以在该节点上实现， 用来控制非授权人员对内部网络的访问、隐藏网络内部信息以及检查出入数据的 合法性等。防火墙技术假设网络内部在物理上是安全的。但是，a d h o c 网络的拓 扑结构动态变化，没有中心节点，进出该网络的数据可以由端用户无法控制的任 意中间节点转发。a d h o c 网络内的节点缺乏足够的保护，很可能被恶意用户利用 而导致来自网络内部的攻击，这使得网络内部和外部的界限非常模糊，因此，防 火墙技术不再适用于a d h o c 网络。 ( 3 ) a d h o c 网络中，由于节点的移动性和无线信道的时变特性，使得网络拓 扑结构、网络成员及其各成员之间的信任关系处于动态变化之中。此外，网络中 一4 一 东北大学硕士学位论文 第一幸引言 产生和传输的数据也具有很大的不确定性。这些数据包括节点的环境信息、关于 网络变化的信息、各种控制消息等，它们都有较高的实时性要求，使得传统有线 网络服务中相对固定的数据库、文件系统和文档服务器不再适用因此，基于静 态配置的传统有线网络的安全方案不能用于a d h o c 网络。 1 3 现有a d h o c 网络路由安全策略及其优缺点 为了建立安全的a d h o c 网络，必须采取一定的安全策略。当然，针对不同的 a d h o c 网络环境。所需要的安全策略也不同。目前针对a d h o c 网络的安全性，已 经提出一些安全策略模型。主要有：密钥管理，安全路由和入侵检测，本文主要 在路由层次研究a d h o c 网络的安全性，包括安全路由协议和入侵检测两个方面， 下面详细介绍a d - h o c 网络路由安全研究的现状。 ( 1 ) 安全路由协议 当前已经提出多种安全路由协议，但这些协议仍然存在很多问题，以飞针对 几种比较典型的协议进行分析。 i ) 安全路由协议( s r p ) 1 6 7 j p a p a d i m i t r a t o s 提出的a d h o c 网络安全路由协议s r p ，s r p 的前提条件是要求 源节点和目标节点之间必须有一个安全连接。该协议的设计思路是：源节点s 初 始化_ 譬个路由发现，先创建一个路由请求包，其中含有一对标识符：查询序列号 s e q ( 源节点s 会对每一个与其进行安全通信的目的节点保存一个查询序列号，目 标节点可以通过该序列号来检测路由请求是否过期) 和随机查询标识o l d ( 对于每 一个进行的查询，源节点会生成一个随机查询标识符，它的作用是让中间节点来 识别查询请求，它是利用一个安全伪随机数发生器产生的，是不可预测的) ；还包 括一个消息认证码m a c ( m a c 的计算方法是以源节点的i p 地址、目标节点的l p 地 址、q i d 和源节点与目标节点之问的共享密钥k s t 作为单向散列函数的输入，单向 散列函数的输出即为m a c ) 路由查询包经过的中间节点的i p 地址将被收集在包 头中。当路由请求包到达目标节点t 时，t 节点生成一个路由答复包，计算和验 证m a c ，并沿着路由请求包中收集到的i p 地址序列的相反顺序返回路由答复包， 查询节点通过验证答复包的有效性来升级拓扑表。该协议可以保证发起路由请求 的节点能够自动放弃错误拓扑信息的路由答复。 然而m a r s h a l l 指出s r p 存在的缺陷，发现其存在漏洞m a r s h a l l 提出恶意节点m 在向前发送路由请求( r r e q ) 时，有意不将自己的地址加到s r p 头的地址字段中， 使得该节点m 对源节点不可见。最终源节点可能会选择隐藏恶意节点的路径而恶 一5 一 东北大学硕士学位论文 第一章引言 意节点将故意延迟发送或丢包，对网络性能带来负面影响因此，s r p 存在两个 安全漏洞：路由不能避免包含恶意节点的路径：拓扑信息将通过路由信息暴露给 敌人和未授权的节点，因为s r p 的含有路由记录的包以明文形式沿着整个路径传 输 2 ) 安全意识的a d h o c 网络路由协议s a r i s , 9 】 文献【8 】介绍了安全意识a d h o c 网络路由协议s a r ，该协议允许用户划分路由 协议的安全等级。节点可以被指定为某个信任值，只有信任节点可以路由数据 源节点发出一个包含安全属性和信任等级的r r e q ，只有满足安全等级的节点可 以参加路由，不满足安全等级的节点则丢弃r r e q 。如果满足所需安全等级的路 由不存在，发起r r e q 的源节点将重新选择其他安全等级，重新发出r r e q 来寻找 路由。为了阻止用户自行获得其他等级的优先权，协议中对用户的身份和信任等 级进行绑定，并且采用加密、公钥证书和共享密钥等技术来保证用户遵守信任等 级。例如，所有属于同一信任等级的用户可以共享一个密钥，利用该密钥对数据 包进行加密，这样其他等级的用户不能解读路由请求包和路由答复包。s a r 可以 用于不同的a d - h o e 网络环境中，灵活性很强。s a r 可以有效地阻止外部恶意节点 的攻击，但是对内部攻击则不能很好的防卫。笔者没有阐述s a r 如何应用在实际 环境中，s a r 没有讨论如何给一个节点设置信任等级，从当前研究结果分析，其 实用性不强。同时，s a r 对于不可视节点的攻击是脆弱的 3 ) 认证路由协议a r a n 1 0 , 1 1 , 1 2 l a r a n 利用加密证书来保证路由安全。a r a n 利用一个可信的服务器，所有 有效节点已知其公钥在加入a d h o e 网络之前，每个节点通过t 的身份认证后， 方可获得一个证书。 从以上过程可知，a r a n 协议中只能接收经过可信服务器认证，并获得有效 证书和密钥的节点发出的数据包，因此可以阻止未授权节点的加入。由于源节点 用自己的私钥对r d p 进行签名，而目的节点利用自己的私钥对r e p 进行签名，保 证只有源节点可以发出路由发现包，而只有目标节点才能响应这个路由发现，这 可以阻止假冒源节点或目标节点发出路由请求或进行路由答复路由信息只能被 有证书的节点伪造，虽然该协议不能阻止这种伪造，但是可以保证防抵赖行为的 发生。r d p 与r e p 包被发起节点进行了签名，因此一旦中间节点对包的内容进行 修改，将会被发现而丢弃，可以阻止恶意节点对路由信息的修改。 4 ) s e a d 协议1 1 3 1 h u 等提出的s e a d 协议同样借助h a s h 链来保护a d h o e 网络d v ( d i s t a n c e v e c t o r ) 路由协议中的路由通告信息s e a d 的缺点在于每个节点都必须事先知道 - - 6 - - 东北大学硕士学位论文第一幸引言 所有其他节点h a s h 链中的最后一个元素及h a s h 链的长度n ，并且要确保这些信 息的正确性，这一要求在有节点随时动态加入和离开网络的情况下是非常难满足 的而这种动态性又恰恰是商用和自发性a d h o e 网络必不可少的特性之一 5 ) 基于复活鸭子的安全模式 在基于a d h o e 网络的传感器应用环境中，在不同的时间段，传感器可能归属 于不同的拥有者，并由拥有者控制它将信息发给授权的接收者传感器和拥有者 之间的联系应该是安全的，同时也是暂时的。以医用无线传感器为例，它在特定 的情况下只能将病人的病况信息传给特定的接收者，否则可能带来不必要的影响 而传感器由于缺乏足够的保护，攻击者既可以容易地修改或冒充拥有者发出的控 制信息，也能够破坏网络环境，使其无法正常通信。另外，因为提供设备能源的 电池有限，c p u 处理能力较差，使得节点难以实现公用密钥加密算法，同时它还 容易受到拒绝服务等攻击f r a n ks t a j a n o 针对此问题提出了一种“复活鸭子”的 安全模式。鸭子破壳而出之后，它会把它见到的第一个移动的物体视为它的母亲。 传感器可以采用同样的策略，也就是把第一个给它发送密钥的实体作为它的拥有 者。在必要时，拥有者可以清除留给传感器的印象，令其。灵魂死亡”，直到等待 下一个拥有者出现时它才“复活”。在传感器“死亡”之前，它只接受其拥有者的 控制，但仍可以与其他节点通信。这种方法同时可以保证在“杀死”传感器时， 并不真正破坏该设备这种方法虽然可以在一定程度上保证拥有者和传感器问的 安全认证，但是不太实用，并且不能防止对拥有者采取的拒绝服务攻击 ( 2 ) 入侵检测 1 ) w a t c h d o g p a t h r a t e r l l 4 , l s l 斯坦福大学的m a r t i 等人提出了一种看门狗和选路人算法。看门狗是指数据包 的发送者在将包发出去之后还要监视他的下一跳的节点，如果下一跳的节点没有 对包进行了转发则说明那个节点可能存在问题。 选路人作为一种响应办法，它评定每一条路的信任等级，使数据包尽量避免 经过那些可能存在恶意节点的路径。 2 ) c o n f i d a n t 1 6 , 1 7 , 1 8 l 是e p f l 提出的一种入侵检测协议。它通过节点自身观察和相互通告的手段来 检测几种已知类型的攻击，使得网络中节点在进行路由时绕过可能的恶意节点。 进而将恶意节点孤立 二3 ) 基： = a g e n t 的入侵检测方案1 1 9 l 扫y o n g g u a n gz h a n g 提出了一个基于a g e n t 的分布式协作入侵检测方案，在该 方案中，每个i d sa g e n t 启动于网络中的任何一个节点，各a g e n t 之间协作检测， 一7 一 东北大学项士学位论文 ，- t 第一幸引言 体现了a d h o c 网络的自组织特性，其缺点在于占用了很多的网络资源和计算资源 4 ) 基于规范入侵检测方案 该方案用有限状态机来描述正确的路由行为，并用一个分布式网络监视器来 实时收集节点路由控制信息，检测偏离行为。具体实现为在路由控制信息中增加 了一个域，采用树型结构来实现检测算法。其优点在于对现有的各种攻击有着很 高的检测率，但缺乏对d o s 攻击的防御能力，且占用计算资源较大。 各种安全路由都是基于预防技术的，以一种被动的方式，来防止来自网络外 部的攻击，没有能够主动地将攻击源隔离出网络。而各种i d s 正处于研究阶段， 没有提出一个可实施的方案本文提出了一种行之有效的i d s 系统，并将在下文 中详细描述。 - 一b 一 东北大学硕士擘位论文第二章入侵检曩4 技术概逑 第二章入侵检测技术概述 2 1 入侵检测技术 2 1 1 入侵检测系统的起源 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m s ，简称i d s ) 可以被定义为对计算机 和网络资源上的恶意使用行为进行识别和响应的处理系统。它通过对计算机系统 进行监视，提供实时的入侵检测并采取相应的防护手段。入侵检测系统的目的在 于检测可能存在的攻击行为 入侵检测系统从最初实验室里的研究课题到目前的商业产品，已经有2 0 多 年的发展历史，可分为两个阶段： ( 1 ) 安全审计( s e c u r i t ya u d i t ) ：审计定义为系统中发生事件的记录和分析 处理过程。与系统日志( 1 0 9 ) 相比，审计更关注安全问题。根据美国国防部( d o d ) “可信计算机系统评估标准”( t c s e c ) 橘皮书规定，审计机制( a u d i tm e c h a n i s m ) 应作为c 2 或c 2 以上安全级别的计算机系统必须具备的安全机制，其功能包括： 能够记录系统被访问的过程以及系统保护机制的运行；能够发现试图绕过保护机 制的行为：能够及时发现用户身份的跃迁；能够报告并阻碍绕过保护机制的行为并 记录相关过程，为灾难恢复提供信息。 ( 2 ) i d s 的诞生：在i d s 的发展史上有几个里程碑：1 9 8 0 年，a n d e r s o n 在报告 - c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ”中提出必须改变现有的系 统审计机制，以便为专职系统安全人员提供安全信息，此文被认为是有关i d s 的 最早论述；1 9 8 4 1 9 8 6 年，d o r o t h yd e n n i n g 和p e t e rn e u m a n n 联合开发了一个实 时入侵检测系统一i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) ，i d e s 采用异常检测和 专家系统的混合结构，d e n n i n g1 9 8 6 年的论文。a ni n t r u s i o nd e t e c t i o nm o d e l ”亦 被公认为i d s 领域的另一篇开山之作；受a n d e r s o n 和i d e s 的影响，在2 0 世纪 年代出现了大量的i d s 原型系统。如：a u d i ta n a l y s i s p r o j c c t 、d i s c o v e r y 、 h a y s t a c k 、m i d a s 、 n a d i r 、n s m 、w i s d o ma n ds e n s ee t c , d 。商业化的i d s 直 到2 0 世纪8 0 年代后期才出现，比如目前较有影响的i s s 公司是在1 9 9 4 年成立的。 一9 一 东北大学硕士学位论文 第二章 侵检测技术概进 2 1 2 入侵检测系统的分类 入侵检测是检测和识别针对计算机系统和网络系统，或者更广泛意义上的信 息系统的非法攻击，或者违反安全策略事件的过程。它从计算机系统或者网络环 境中采集数据，分析数据，发现可疑攻击行为或者异常事件，并采取一定的响应 措施拦截攻击行为，降低可可能的损失。i d s 系统有很多分类标准。首先通过i d s 所监视的活动、网络流量、事务或系统等的类型来分类。基于这个条件，i d s 可 被区分为基于网络、基于主机和分布式三种【2 们 ( 1 ) 网络入侵检测系统( n i d s ) 图2 1 n i d s 网络 f i g 2 1n i d sn e t w o r k n i d s 它监视整个网络中的一部份。正常情况下，计算机的网卡( n i c ) 工作 在非混杂模式，在这种模式中，只有数据包的目的地址是网卡的m a c ( m c d i a 一1 0 东北大学硕士学位论炙 第二章入侵检测技术概述 a c a ：e s sc o n t r 0 1 ) 地址时网卡才会接受这个数据包并处理。n i d s 的混杂模式下监 视不流向自己的m a c 地址的网络流量。在混杂模式中，n i d s 可以得到所有网 络中的数据包。虽然设置混杂模式是为了保护自己的网络流量，但是考虑到可能 会出现秘密泄露，所以监视网络通信一定要得到重视。如图2 1 中所示网络中使 用了三个n i d s ，这些i d s 都被放置在网络最关键的地方，能监视到关键部位处 所有设备的网络流量。这是一个典型的网络保护方案拓扑图，提供公共服务的服 务器子网被n i d s 保护着，子网中的一台服务器被入侵后，这台服务器会变成一 个继续攻击整个子网的跳板。所以为了预防更深沉次危险，必须监视这个子网 ( 2 ) 主机入侵检测系统( h i d s ) h i d s 和n i d s 有两点不同。h i d s 只能保护它所在的计算机，计算机的网卡 设置的是非混杂模式。非混杂模式在有些情况下有其自己的优势，因为不是所有 的网卡都能设置成混杂模式另外，对配置低的计算机来说，混杂模式对c p u 的 占用会很明显地体现出来。h i d s 另一个好处是可以精确的根据自己的需要定制 规则。例如，如果运行h i d s 的计算机上没有运行域名服务( d n s ) ，就不需要加 上那些检测d n s 攻击的规则集。减少了不相关的规则可以提高检测效率和降低 处理器的负荷。 ( 3 ) 分布式入侵检测系统( d i d s ) 典型的d i d s 是管理端，探测器结构。n i d s 作为探测器放置在网络的各个地 方；并向中央管理平台汇报情况。攻击日志定时地传送到管理平台并保存在中央 数据库中，新的攻击特征库能发到各个探测器上。每个探测器能根据所在的网络 需要配置不同的规则集。报警信息能发到管理平台的消息系统，用各种方式通知 i d s 管理员。如图2 2 所示的一个典型的d i d s 拓扑图，它包含四个探测器和一个 中央管理平台。探测器1 和探测器2 工作在隐蔽的混杂模式，保护着提供公共服 务的服务器。探测器3 和探测器4 在可信任的网络区域中保护着里面的计算机。 探测器和管理端之问的网络传输可以在搭建的专用网络中进行，也可以使用现有 的网络结构。当使用现有的网络结构管理数据时最好使用v p n 、加密等方式保障 数据传输的安全 一1 1 东北大学硕士学位论文 第二章入侵检测技术概述 图2 2 d i d s 网络 f i g 2 2d i d sn e t w o r k 2 2 无线自组网中入侵检测技术的研究现状 2 2 1 基于a g e n t 的分布式协作入侵检测 y o n g g u a n gz h a n g 和w e n k el e e 提出了一个基于a g e n t 的分布式协作入侵检测 方案1 2 1 , 2 2 】。在该方案中i d sa g e n t 运行于网络中每一个节点上，拥有六大功能模 块，分为数据收集、本地检测、合作检测、本地入侵响应、全局入侵响应和安全 通信模块。其过程为首先执行本地数据收集和检测。如果本地节点能够确定入侵 已发生，则直接告警。如果只是怀疑有入侵行为，本地节点能够激发多节点的协 作检测，进一步确定是否发生了入侵。如果确定有入侵则激发全网的入侵响应。 同时提出了一个检测路由进攻的异常检测模型，通过提取正常网络运行时的数据， 一1 2 东北大学须士学位论文 g _ - 章入侵检洲技术概逑 进行分类训练，实现对路由入侵的检测为了提高检测效率，入侵检测并不局限 于网络层，而是多层综合检测。该方案的优势有两点：其一，提出了分布式协作 入侵检测的架构，利用分布在每个节点的i d sa g e n t 独立完成本地检测，合作完成 全局检测，适合于移动a d - h o c 网络自组织的特点。其二，采用多层综合入侵检测， 提高了检测效率缺点也有两点：其一，采用异常检测模式，要事先采样数据进 行可i i 练，不适合于移动a d h o c 网络多变的应用场合。其二，每个节点都运行a g e n t ， 占用过多的内存和计算资源。 o l e gk a c h i r s k i 和r a t a ng u h a 对上述入侵检测方案做出改进l “他们认为 y o n g g u a n gz h a n g 的方案每个节点都有a g e n t ，过于占用网络资源，为了节省资源， 只是在某些节点上驻留有监视网络的a g e n t ，并且a g e n t 的数量可按要求进行增 减，这种方案优点为降低了资源消耗，缺点为协议实现比较复杂。 2 2 2 基于规范的入侵检测 c h i n - y a n gt s e n g 等人提出了基于规范入侵检测方案i z 4 1 。该方案利用分布在 网络中的监测点，合作监视在a o d v 路由查询过程中，被监视节点是否按路由规范 进行操作。如果发现不一致则报警。检测过程为，监听节点对查询报文的处理过 程，记录下来形成转发表和操作树，然后用规范形成的有限状态机进行检查，输 出为正常状态、怀疑状态、入侵状态三种结采，再分别进行不同的处理。该方案 优点在于采用了基于规范入侵检测，既不需要事先提取入侵行为特征，也不需要 数据进行训练，有较高的检测率和较低的误报率。缺点为占用节点较多的计算资 源，也未用实验进行验证。 2 2 3 基于时间自动机的入侵检测 易平提出一种基于时间自动机的入侵检测算法1 2 引。其算法为，将整个网络划 分为一个个区域，每个区域随机选出一个节点作为监视节点。然后，按照路由协 议构筑节点正常行为和入侵行为的时间自动机，监视节点收集其邻居节点的行为 信息，利用时间自动机分析节点的行为，确定入侵者。本算法优点为不需要事先 进行数据训练并能够实时检测入侵行为，缺点为占用监视节点资源过多 一1 3 东北大学项士学位论文 第二幸入侵检测技术概逮 2 2 4 看门狗和选路人算法( w a t c h d o g & p a t h r a t e r ) 斯坦福大学的m a r t i 等人提出了一种看门狗和选路人算法【2 们。看门狗是指数 据包的发送者在将包发出去之后还要监视他的下一跳的结点，如果下一跳的结点 没有对包进行了转发说明那个结点可能存在问题。 选路人作为种响应办法，它评定每一条路的信任等级，使数据包尽量避免 经过那些可能存在恶意结点的路径。 2 2 5c o n f l d a n t c o n f i d a n t 2 7 2 8 , 2 9 1 是e p f l 提出的一种入侵检测协议。它通过节点自身观察 和相互通告的手段来检测几种已知类型的攻击，使得网络中节点在进行路由时绕 过可能的恶意节点，进而将恶意节点孤立。模拟结果显示，对于拒绝转发这类攻 击，它可以有效的对付占结点总数一半的恶意结点的攻击 2 2 6 基于游戏理论的c o r e 机制 文献p o l 中提出了一种基于游戏理论的c o r e 机制。结点的协作是通过一种相 互配合的监督技术和一套信誉体系来实现的，每个结点的信誉分为主观信誉，直 接信誉和功能信誉。这些信誉值被加权平均成一个总的信誉值，然后用它来决定 是配合还是逐步孤立一个结点。它的主要目的是对付a d - h o c 网络中的自私结点 2 2 7 基于有限状态机理论的入侵检测 有限状态机又称为有穷自动机( f i n i t es t a t em a c h i n e ) 1 3 1 1 ，已经广泛的应用 在计算模型中和实际应用中。本文空间无中心网络中的入侵检测系统就借鉴了有 限状态机的思想。 有限状态机是由有限的状态和相互之间的转移组成的，在任何时候只能处于 给定数目的状态中的一个。当接收到一个输入事件时，状态机产生一个输出，同 时也可能伴随着状态的转移。它有一个状态集和根据输入符号从一个状态到另一 个状态的规则；有一个输入字母表，指明所有允许的输入符号：有一个起始状态 和一个接受状态集。形式定义把一台有限状态机描述成为以下5 个部分的表：状 一1 4 东北大学硕士学位论文 第二章入侵检测技术概迷 态集、输入字母表、动作规则、起始状态以及接受状态集。用数学语言表达，5 个元素的表通常叫5 元组。 定义l ：有限状态机是一个5 元组( q ，e 6 ，q o ，f ) 。其中 q 是一个有穷集合，叫做状态集。 是一个有穷集合，叫做字母集 6 ：q eq 是转移函数 q o e q 是起始状态 f 包含于q 中，是接受状态集 设：m - - ( q ，e ，6 ，q o ，f ) 是一台有穷自动机，w = w l w 2 w n 是字母表 上的一个字符串。如果存在q 中的状态序列r o ，r l ，r n ，满足下述条件： ( 1 ) r o = q o ( 2 ) 6 ( r i ，w ) = r i + l ，i - - 0 ，1 ，n 1 ( 3 ) r f 则m 接受w 。 条件1 说明从开始状态开始。条件2 说明机器按照转移函数从一个状态到另 一个状态。条件3 说明如果机器结束在接受状态，则接受它的输入。如果a = w i m 接受w ) ，则称m 识别语言a 。 定砧t 如果一个语言被一台有穷自动机识别，则称它是正则语言。 鲁 2 3 入侵检测系统的管理、评价问题 入侵检测系统得管理问题通常是一个敏感而复杂的问题l ，2 】。如果防火墙的管 理一样，入侵检测系统的管理需要同时考虐性能、安全性和复杂度等多个因素。 首先对于大多数的现有商用系统而言，都有一个控制台部件，负责与传感器进行 通信和执行相关的控制和管理工作。对于管理单个传感器而言，需要考虑的主要 问题是对检测性能的影响。以网络型的入侵检测系统为例，目前1 0 0 m 的饱和网 络链路流量就已经使得传感器的工作负荷接近饱和，控制台发出控制和管理命令 将会使得检测引擎的工作线程更加沉重。对于多个传感器部件的管理，则要考虑 到带宽和效率问题分布式的控制架构带来的问题是管理的一致性和网络带宽的 过曳 童另外，对于入侵检测系统的管理而言，设计者的另一个重要考虑就是安全性 因素。大多数的设计者都认为安全设备不应该提供过多的远程控制功能，包括从 控制台发出的控制命令目前的许多系统都提供从控制台进行动态规则