【摘 要】入侵檢測技術(shù)作為安全防范的第二道設(shè)施，是ad hoc 網(wǎng)絡(luò)獲得高抗毀性的必要手段。本文基于ad hoc 網(wǎng)絡(luò)的分簇結(jié)構(gòu)，運(yùn)用Agent技術(shù)設(shè)計(jì)了一個(gè)入侵檢測系統(tǒng)。同時(shí)，提出采用基于信任的簇劃分機(jī)制，完成對整個(gè)網(wǎng)絡(luò)簇的劃分，進(jìn)而對系統(tǒng)的不同Agent進(jìn)行任務(wù)分配，節(jié)省節(jié)點(diǎn)資源。

　　【關(guān)鍵詞】科學(xué)通報(bào),入侵檢測,ad,hoc,網(wǎng)絡(luò),成簇,信任

　　一、引言

　　ad hoc 網(wǎng)絡(luò)是由一組帶有無線收發(fā)裝置的移動(dòng)主機(jī)組成的一個(gè)多跳的臨時(shí)性自治系統(tǒng)。由于ad hoc 網(wǎng)絡(luò)可以在任何時(shí)刻、任何地點(diǎn)不需要現(xiàn)有的信息基礎(chǔ)設(shè)施的支持，可以快速構(gòu)建一個(gè)移動(dòng)無線網(wǎng)絡(luò)，被廣泛應(yīng)用于軍事戰(zhàn)備、緊急求援及室外會(huì)議等多種場合，具有廣闊的應(yīng)用前景。安全問題是移動(dòng)ad hoc 網(wǎng)絡(luò)需要解決的重要問題，也是限制ad hoc 網(wǎng)絡(luò)向商業(yè)領(lǐng)域發(fā)展的一個(gè)絆腳石。

　　二、系統(tǒng)設(shè)計(jì)

　　Ad Hoc網(wǎng)絡(luò)與傳統(tǒng)有線網(wǎng)絡(luò)相比有著顯著不同的特點(diǎn)和嚴(yán)峻的限制條件，入侵檢測系統(tǒng)的設(shè)計(jì)必須滿足這些條件，保證其能有效地工作。借鑒已有Ad Hoc網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究，本文設(shè)計(jì)了一個(gè)入侵檢測系統(tǒng)。其結(jié)構(gòu)如圖1所示。

　　本地檢測Agent負(fù)責(zé)本地主機(jī)異常行為的檢測。該代理只有在節(jié)點(diǎn)被激活運(yùn)行時(shí)才運(yùn)行，且只處理本地?cái)?shù)據(jù)。全局檢測Agent監(jiān)測鄰居節(jié)點(diǎn)的通信，收集通信范圍內(nèi)的數(shù)據(jù)包及簇內(nèi)成員節(jié)點(diǎn)報(bào)告的檢測消息。每一個(gè)IDS代理獨(dú)立運(yùn)行，其中本地檢測Agent模塊負(fù)責(zé)所在節(jié)點(diǎn)異常行為的檢測，根據(jù)檢測結(jié)果響應(yīng)入侵，將響應(yīng)結(jié)果存儲(chǔ)在響應(yīng)數(shù)據(jù)庫中，并發(fā)起響應(yīng)行為，如產(chǎn)生報(bào)警信息，由用戶采取措施。當(dāng)僅根據(jù)本地?cái)?shù)據(jù)不能確定此節(jié)點(diǎn)是否遭遇入侵時(shí)，則將檢測信息向簇頭報(bào)告，請求簇頭給予協(xié)助。全局檢測Agent模塊監(jiān)控鄰節(jié)點(diǎn)的行為，收集通信范圍內(nèi)節(jié)點(diǎn)的通信行為及簇內(nèi)成員節(jié)點(diǎn)報(bào)告的檢測消息，根據(jù)檢測規(guī)則檢測入侵并響應(yīng);同時(shí)通過安全通信模塊與網(wǎng)絡(luò)中其它簇頭節(jié)點(diǎn)的全局檢測代理通信，協(xié)同檢測復(fù)雜入侵。代理協(xié)同模塊整合存儲(chǔ)在響應(yīng)數(shù)據(jù)庫中的報(bào)警信息(節(jié)點(diǎn)的本地和全局檢測代理產(chǎn)生的報(bào)警信息)，按照特定的格式存儲(chǔ)，方便本節(jié)點(diǎn)IDS代理或其它節(jié)點(diǎn)代理獲取;并與其它節(jié)點(diǎn)IDS代理安全通信，以獲取其它節(jié)點(diǎn)IDS代理產(chǎn)生的報(bào)警信息，協(xié)同信息確定入侵。最后，安全通信模塊負(fù)責(zé)為該系統(tǒng)中所有IDS代理間的通信提供一個(gè)高度可靠的渠道和環(huán)境。

　　(一)本地檢測Agent

　　網(wǎng)絡(luò)中每個(gè)移動(dòng)節(jié)點(diǎn)都要運(yùn)行本地檢測Agent，它在節(jié)點(diǎn)被激活運(yùn)行時(shí)運(yùn)行，負(fù)責(zé)對本地主機(jī)異常行為的檢測。由本地監(jiān)視模塊、本地分析模塊和本地反應(yīng)模塊共同完成其功能。其中，本地監(jiān)視模塊主要完成本地原始數(shù)據(jù)(系統(tǒng)級與用戶級數(shù)據(jù))的收集并對其進(jìn)行特征提取，然后交給本地分析模塊進(jìn)行入侵分析。如有入侵行為發(fā)生，則通知本地反應(yīng)模塊進(jìn)行本地系統(tǒng)保護(hù);本地反應(yīng)模塊執(zhí)行本地保護(hù)策略，根據(jù)入侵進(jìn)行響應(yīng)，并將響應(yīng)結(jié)果存儲(chǔ)在響應(yīng)數(shù)據(jù)庫中。當(dāng)僅根據(jù)本地?cái)?shù)據(jù)不能確定此節(jié)點(diǎn)是否遭遇入侵時(shí)，則將檢測信息向簇頭報(bào)告，請求簇頭全局檢測Agent協(xié)助檢測。

　　(二)全局檢測Agent

　　同時(shí)運(yùn)行所有的全局檢測Agent將極大地消耗網(wǎng)絡(luò)資源。因此只有足夠涵蓋整個(gè)網(wǎng)絡(luò)的部分節(jié)點(diǎn)(簇頭)才能同時(shí)運(yùn)行全局檢測Agent模塊，它隨著簇頭改變而移動(dòng)。它負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)包并從中提取特征數(shù)據(jù)，分析并響應(yīng)入侵。

　　全局檢測Agent收集簇內(nèi)成員節(jié)點(diǎn)報(bào)告的檢測消息，與其它簇頭節(jié)點(diǎn)協(xié)同檢測復(fù)雜入侵，保證整個(gè)網(wǎng)絡(luò)的安全。

　　(三)響應(yīng)數(shù)據(jù)庫

　　每個(gè)節(jié)點(diǎn)包含一個(gè)響應(yīng)數(shù)據(jù)庫，用于存儲(chǔ)節(jié)點(diǎn)IDS代理產(chǎn)生的報(bào)警信息。信息的格式和大小取決于傳感網(wǎng)絡(luò)的屬性，如網(wǎng)絡(luò)協(xié)議等。但一般包含以下屬性：報(bào)警創(chuàng)建時(shí)間、分類和報(bào)警源。

　　(四)代理協(xié)同

　　本地和全局檢測Agent駐留在同一主機(jī)節(jié)點(diǎn)上，它們將檢測結(jié)果儲(chǔ)存在同一個(gè)響應(yīng)數(shù)據(jù)庫中。當(dāng)一個(gè)代理(本地或全局)想獲取可疑節(jié)點(diǎn)以前的行為信息時(shí)，它可以利用自己或其它代理產(chǎn)生的結(jié)果，因而達(dá)到了檢測的協(xié)同。在多數(shù)情況下，一個(gè)代理必須同其它節(jié)點(diǎn)的代理協(xié)作以獲得攻擊的更準(zhǔn)確信息、節(jié)點(diǎn)的更多信息、或聚合它們的響應(yīng)數(shù)據(jù)庫。因此代理必須通過安全通道與鄰居節(jié)點(diǎn)進(jìn)行安全通信，互換信息。利用已有的密鑰管理方案可容易地獲得ad hoc網(wǎng)絡(luò)鄰節(jié)點(diǎn)間的安全和認(rèn)證通信。

　　(五)簇劃分機(jī)制

　　采用基于信任的簇劃分機(jī)制，克服Ad Hoc網(wǎng)絡(luò)沒有清晰物理邊界，信息易于泄漏的嚴(yán)重缺陷。信任是對系統(tǒng)實(shí)體的期望行為和實(shí)際行為的一致性信賴。信任程度取決于對期望行為和實(shí)際行為一致性的相信程度，本系統(tǒng)中簇劃分機(jī)制是依據(jù)下述原則進(jìn)行：①每個(gè)簇是由多個(gè)主機(jī)組成的公共體，每個(gè)簇的成員通過信任程度進(jìn)行定義。②在每個(gè)簇中的組成成員的信任可能是持久的，其它主機(jī)能夠配置加入某簇，也能通過動(dòng)態(tài)定義信任關(guān)系實(shí)現(xiàn)簇遷移以便創(chuàng)建自發(fā)區(qū)，一個(gè)主機(jī)可以屬于2個(gè)簇。③每個(gè)簇內(nèi)的各個(gè)成員可以安全地交換信息，采用基于策略的方法，保證簇內(nèi)安全。一個(gè)主機(jī)在其簇內(nèi)可以實(shí)現(xiàn)點(diǎn)到點(diǎn)通信和廣播通信。④每個(gè)主機(jī)獨(dú)立地檢測本地信號，在同一簇內(nèi)的鄰居主機(jī)可以協(xié)同檢測。簇之間的信任通過簇頭之間協(xié)同完成。一個(gè)主機(jī)對Ad Hoc網(wǎng)絡(luò)的訪問權(quán)限依賴于該主機(jī)是否屬于一個(gè)簇。

　　三、結(jié)束語

　　本文提出在Ad Hoc網(wǎng)絡(luò)環(huán)境下的入侵檢測技術(shù)的研究，作為其獲得安全特性的有效手段。在已有研究的基礎(chǔ)上，基于Ad Hoc網(wǎng)絡(luò)的分簇結(jié)構(gòu)，運(yùn)用Agent技術(shù)設(shè)計(jì)了一個(gè)入侵檢測系統(tǒng)，并給出了系統(tǒng)模型;同時(shí)，提出采用基于信任的簇劃分機(jī)制完成整個(gè)網(wǎng)絡(luò)簇的劃分，對系統(tǒng)的不同Agent進(jìn)行了合理分配，節(jié)省了節(jié)點(diǎn)資源。

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/jisuanjiwangluolw/48591.html