【摘 要】入侵檢測技術作為安全防范的第二道設施，是ad hoc 網(wǎng)絡獲得高抗毀性的必要手段。本文基于ad hoc 網(wǎng)絡的分簇結構，運用Agent技術設計了一個入侵檢測系統(tǒng)。同時，提出采用基于信任的簇劃分機制，完成對整個網(wǎng)絡簇的劃分，進而對系統(tǒng)的不同Agent進行任務分配，節(jié)省節(jié)點資源。

　　【關鍵詞】科學通報,入侵檢測,ad,hoc,網(wǎng)絡,成簇,信任

　　一、引言

　　ad hoc 網(wǎng)絡是由一組帶有無線收發(fā)裝置的移動主機組成的一個多跳的臨時性自治系統(tǒng)。由于ad hoc 網(wǎng)絡可以在任何時刻、任何地點不需要現(xiàn)有的信息基礎設施的支持，可以快速構建一個移動無線網(wǎng)絡，被廣泛應用于軍事戰(zhàn)備、緊急求援及室外會議等多種場合，具有廣闊的應用前景。安全問題是移動ad hoc 網(wǎng)絡需要解決的重要問題，也是限制ad hoc 網(wǎng)絡向商業(yè)領域發(fā)展的一個絆腳石。

　　二、系統(tǒng)設計

　　Ad Hoc網(wǎng)絡與傳統(tǒng)有線網(wǎng)絡相比有著顯著不同的特點和嚴峻的限制條件，入侵檢測系統(tǒng)的設計必須滿足這些條件，保證其能有效地工作。借鑒已有Ad Hoc網(wǎng)絡入侵檢測系統(tǒng)的研究，本文設計了一個入侵檢測系統(tǒng)。其結構如圖1所示。

　　本地檢測Agent負責本地主機異常行為的檢測。該代理只有在節(jié)點被激活運行時才運行，且只處理本地數(shù)據(jù)。全局檢測Agent監(jiān)測鄰居節(jié)點的通信，收集通信范圍內的數(shù)據(jù)包及簇內成員節(jié)點報告的檢測消息。每一個IDS代理獨立運行，其中本地檢測Agent模塊負責所在節(jié)點異常行為的檢測，根據(jù)檢測結果響應入侵，將響應結果存儲在響應數(shù)據(jù)庫中，并發(fā)起響應行為，如產生報警信息，由用戶采取措施。當僅根據(jù)本地數(shù)據(jù)不能確定此節(jié)點是否遭遇入侵時，則將檢測信息向簇頭報告，請求簇頭給予協(xié)助。全局檢測Agent模塊監(jiān)控鄰節(jié)點的行為，收集通信范圍內節(jié)點的通信行為及簇內成員節(jié)點報告的檢測消息，根據(jù)檢測規(guī)則檢測入侵并響應;同時通過安全通信模塊與網(wǎng)絡中其它簇頭節(jié)點的全局檢測代理通信，協(xié)同檢測復雜入侵。代理協(xié)同模塊整合存儲在響應數(shù)據(jù)庫中的報警信息(節(jié)點的本地和全局檢測代理產生的報警信息)，按照特定的格式存儲，方便本節(jié)點IDS代理或其它節(jié)點代理獲取;并與其它節(jié)點IDS代理安全通信，以獲取其它節(jié)點IDS代理產生的報警信息，協(xié)同信息確定入侵。最后，安全通信模塊負責為該系統(tǒng)中所有IDS代理間的通信提供一個高度可靠的渠道和環(huán)境。

　　(一)本地檢測Agent

　　網(wǎng)絡中每個移動節(jié)點都要運行本地檢測Agent，它在節(jié)點被激活運行時運行，負責對本地主機異常行為的檢測。由本地監(jiān)視模塊、本地分析模塊和本地反應模塊共同完成其功能。其中，本地監(jiān)視模塊主要完成本地原始數(shù)據(jù)(系統(tǒng)級與用戶級數(shù)據(jù))的收集并對其進行特征提取，然后交給本地分析模塊進行入侵分析。如有入侵行為發(fā)生，則通知本地反應模塊進行本地系統(tǒng)保護;本地反應模塊執(zhí)行本地保護策略，根據(jù)入侵進行響應，并將響應結果存儲在響應數(shù)據(jù)庫中。當僅根據(jù)本地數(shù)據(jù)不能確定此節(jié)點是否遭遇入侵時，則將檢測信息向簇頭報告，請求簇頭全局檢測Agent協(xié)助檢測。

　　(二)全局檢測Agent

　　同時運行所有的全局檢測Agent將極大地消耗網(wǎng)絡資源。因此只有足夠涵蓋整個網(wǎng)絡的部分節(jié)點(簇頭)才能同時運行全局檢測Agent模塊，它隨著簇頭改變而移動。它負責監(jiān)視網(wǎng)絡數(shù)據(jù)包并從中提取特征數(shù)據(jù)，分析并響應入侵。

　　全局檢測Agent收集簇內成員節(jié)點報告的檢測消息，與其它簇頭節(jié)點協(xié)同檢測復雜入侵，保證整個網(wǎng)絡的安全。

　　(三)響應數(shù)據(jù)庫

　　每個節(jié)點包含一個響應數(shù)據(jù)庫，用于存儲節(jié)點IDS代理產生的報警信息。信息的格式和大小取決于傳感網(wǎng)絡的屬性，如網(wǎng)絡協(xié)議等。但一般包含以下屬性：報警創(chuàng)建時間、分類和報警源。

　　(四)代理協(xié)同

　　本地和全局檢測Agent駐留在同一主機節(jié)點上，它們將檢測結果儲存在同一個響應數(shù)據(jù)庫中。當一個代理(本地或全局)想獲取可疑節(jié)點以前的行為信息時，它可以利用自己或其它代理產生的結果，因而達到了檢測的協(xié)同。在多數(shù)情況下，一個代理必須同其它節(jié)點的代理協(xié)作以獲得攻擊的更準確信息、節(jié)點的更多信息、或聚合它們的響應數(shù)據(jù)庫。因此代理必須通過安全通道與鄰居節(jié)點進行安全通信，互換信息。利用已有的密鑰管理方案可容易地獲得ad hoc網(wǎng)絡鄰節(jié)點間的安全和認證通信。

　　(五)簇劃分機制

　　采用基于信任的簇劃分機制，克服Ad Hoc網(wǎng)絡沒有清晰物理邊界，信息易于泄漏的嚴重缺陷。信任是對系統(tǒng)實體的期望行為和實際行為的一致性信賴。信任程度取決于對期望行為和實際行為一致性的相信程度，本系統(tǒng)中簇劃分機制是依據(jù)下述原則進行：①每個簇是由多個主機組成的公共體，每個簇的成員通過信任程度進行定義。②在每個簇中的組成成員的信任可能是持久的，其它主機能夠配置加入某簇，也能通過動態(tài)定義信任關系實現(xiàn)簇遷移以便創(chuàng)建自發(fā)區(qū)，一個主機可以屬于2個簇。③每個簇內的各個成員可以安全地交換信息，采用基于策略的方法，保證簇內安全。一個主機在其簇內可以實現(xiàn)點到點通信和廣播通信。④每個主機獨立地檢測本地信號，在同一簇內的鄰居主機可以協(xié)同檢測。簇之間的信任通過簇頭之間協(xié)同完成。一個主機對Ad Hoc網(wǎng)絡的訪問權限依賴于該主機是否屬于一個簇。

　　三、結束語

　　本文提出在Ad Hoc網(wǎng)絡環(huán)境下的入侵檢測技術的研究，作為其獲得安全特性的有效手段。在已有研究的基礎上，基于Ad Hoc網(wǎng)絡的分簇結構，運用Agent技術設計了一個入侵檢測系統(tǒng)，并給出了系統(tǒng)模型;同時，提出采用基于信任的簇劃分機制完成整個網(wǎng)絡簇的劃分，對系統(tǒng)的不同Agent進行了合理分配，節(jié)省了節(jié)點資源。

轉載請注明來自：http://www.jinnzone.com/jisuanjiwangluolw/48591.html