（通信与信息系统专业论文）分级ad+hoc网基于节点行为的入侵检测机制研究与仿真.pdf

1一1 at h e s i si nc o m m u n i c a t i o na n di n f o r m a t i o ns y s t e m s r e s e a r c ha n ds i m u l a t i o no ni n t r u s i o nd e t e c t i o n m e c h a n i s mb a s e do nb e h a v i o ro fn o d e si n h i e r a r c h i c a la dh o cn e t w o r k s b yw a n gd o n g y a n s u p e r v i s o r ：a s s o c i a t ep r o f e s s o rs o n gq i n g y a n g n o r t h e a s t e r nu n i v e r s i t y j u n e2 0 0 9 r 独创性声明 本人声明，所呈交的学位论文是在导师的指导下完成的。论文中取得 的研究成果除加以标注和致谢的地方外，不包含其他人己经发表或撰写过 的研究成果，也不包括本人为获得其他学位而使用过的材料。与我一同工 作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢 ：电 思。 学位论文作者签名：主壕耘 日 期：吲 1 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论 文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部 或部分内容编入有关数据库进行检索、交流。 作者和导师同意网上交流的时间为作者获得学位后： 半年口一年口一年半口两年曰 学位论文作者签名：王禾抱 签字日期： 如口z 导师签名： 签字日期： 宋淆坪 w 0 7 、6 t ，、p ， 、 东北大学硕士学位论文 摘要 分级a dh o c 网络基于节点行为的入侵检测机制研究与仿真 摘要 a dh o e 网络因其易于搭建和任意移动等内在优势，能够灵活适用于各种特殊场合而 成为研究热点，随着应用范围和网络规模的不断扩大，分级结构网络得到了越来越广泛 的关注。在分级结构的a dh o e 网络中，担负绝大部分网络任务的簇首和网关节点组成骨 干网络，其独有的特性使其容易受到攻击。因此安全性问题成为一个至关重要并亟需解 决的问题。 针对分级a dh o e 网络的结构特点及安全需求，提出一种基于节点行为的入侵检测 机制，由节点行为模型、数据采集、入侵检测和入侵响应四个模块组成。根据路由协议 中节点处理不同报文的行为建立标准的节点行为模型；数据采集模块通过移动a g e n t 监 测、收集节点的行为信息；入侵检测模块将簇首节点周期提取的节点行为相关信息与标 准行为模型进行行为匹配判断异常节点，进而借助模糊方法定位攻击节点；入侵响应模 块通过记入黑名单、隔离出网、路由重构一系列响应动作遏制攻击节点对网络的危害， 以保障网络的正常通信。 利用n s 2 仿真软件对基于节点行为的入侵检测机制的检测性能和面临路由攻击行 为时的网络性能进行仿真测试。仿真结果证明：无论是在静态还是动态环境下，该安全 机制都能够快速地检测到网络中的攻击节点，误报率较低。同时在存在攻击节点的情况 下，加入该入侵检测机制后网络表现出较好的路由性能，从而有效地保障了分级a dh o e 网络的安全和稳定。 关键字：分级a dh o c 网络；入侵检测；节点行为；移动a g e n t ；响应 i i t ，li。- ， j 一 东北大学硕士学位论文 a b s t r a c t r e s e a r c ha n dsi m u l a t i o no ni n t r u s i o nd e t e c t i o n m e c h a n i s mba s e do nbe h a v i o ro fn o d e si n h i e r a r c h i c a la dh o cn e t w o r k s a bs t r a c t a sak i n do fc e n t r e l e s s ，s e l g o r g a n i z e dn e t w o r k s ，a dh o en e t w o r k sb e c o m e sah o t s p o t ， b e c a u s ei th a si n h e r e n ta d v a n t a g e ss u c ha se a s eo fs e t u pa n dm o b i l i t ya n di ti ss u i t a b l ef o r v a r i o u s s p e c i a l o c c a s i o n s w i t ht h e e x p a n s i o no fa p p l i c a t i o n a n ds c a l eo fn e t w o r k s ， h i e r a r c h i c a ln e t w o r kh a v eb e e np l a y e dm o r ea n dm o r ea t t e n t i o nt o i nh i e r a r c h i c a la dh o e n e t w o r k s ，c l u s t e rh e a d e ra n dg a t e w a yw h i c ht a k eo nt h em a j o r i t yt a s k sc o m p o s eo fb a c k b o n e n e t w o r k ，i ti sv u l n e r a b l et ob ea t t a c k e dd u et oi t su n i q u ec h a r a c t e r i s t i c s t h e r e f o r et h es e c u r i t y q u e s t i o nb e c o m e sa ni m p o r t a n tp r o b l e mt ob es o l v e d a c c o r d i n gt ot h ec h a r a c t e r i s t i c sa n ds a f e t yr e q u i r e m e n t so fh i e r a r c h i c a la dh o en e t w o r k s ， a ni n t r u s i o nd e t e c t i o nm e c h a n i s mb a s e do nt h eb e h a v i o ro fn o d e si sp r o p o s e d ，c o n s i s t i n go f f o u rm o d e l s ，n o d eb e h a v i o rm o d e l ，d a t ac o l l e c t i o n ，i n t r u s i o nd e t e c t i o na n di n t r u s i o nr e s p o n s e d e p e n d i n go nt h eb e h a v i o ro fn o d e sd e a l i n gw i t l ld i f f e r e n tp a c k e t si nr o u t i n gp r o t o c 0 1 a s t a n d a r db e h a v i o rm o d e lo fn o d e si se s t a b l i s h e d i nd a t ac o l l e c t i o nm o d e lt h eb e h a v i o ro f n o d e sa r em o n i t o r e da n dc o l l e c t e db yt h em o b i l ea g e n t t h e nr e l a t e di n f o r m a t i o no fn o d e b e h a v i o ri s p e r i o d i c a l l y e x t r a c t e da n dm a t c h e dw i t ht h es t a n d a r db e h a v i o rm o d e lt o d i s t i n g u i s ht h em i s b e h a v i o rn o d e sb yc l u s t e rh e a d e r , a n df u r t h e r m o r e ，t ol o c a t ea t t a c k i n g n o d e su s i n gf u z z ym e t h o di ni n t r u s i o nd e t e c t i o nm o d e l 1 1 1 er e s p o n s em o d e ll i m i t st h eh a r m o fa t t a c k i n ga c t i v i t i e st ot h en e t w o r kb yas e r i e so fa c t i o n s ，s u c ha sb l a c kl i s t ，i s o l a t i o na n d r o u t i n gr e c o n s t r u c t i o ns oa st og u a r a n t e et h en o r m a lc o m m u n i c a t i o n d e t e c t i n gp e r f o r m a n c ea n dn e t w o r kp e r f o r m a n c ec o n f r o n t e dw i t l la t t a c k sa r es i m u l a t e d i nn e t w o r ks i m u l a t o rs o f t w a r ef o ri n t r u s i o nd e t e c t i o nm e c h a n i s mb a s e do nt h en o d eb e h a v i o r b o t hi nt h es t a t i ca n dd y n a m i ce n v i r o n m e n t ，t h es i m u l a t i o nr e s u l t ss h o wt h a tt h i ss e c u r i t y m e c h a n i s mc a nr a p i d l yd e t e c ta t t a c k i n gn o d e si nan e t w o r k ，w i t ht h el o wf a l s ea l i ar a t e a n d t h en e t w o r ks h o w sg o o dr o u t i n gp e r f o r m a n c ea f t e rj o i n i n gt h ei n t r u s i o nd e t e c t i o nm e c h a n i s m w h i c he f f e c t i v e l yp r o t e c t ss e c u r i t ya n ds t a b i l i t yo fh i e r a r c h i c a la dh o cn e t w o r k s k e y w o r d s ：h i e r a r c h i c a la d h o cn e t w o r k s ；i n t r u s i o nd e t e c t i o n ；n o d eb e h a v i o r ；m o b i l ea g e n t ； r e s p o n s e 1 l i ，j 一1 j 东北大学硕士学位论文目录 目录 声明i 中文摘要i i a b s t r a c t i i i 第l 章绪论1 1 1 研究背景1 1 2 研究目的及意义7 1 3 论文的组织结构8 第2 章a dh o c 网络入侵检测技术的研究9 2 1 入侵检测技术9 2 1 1 入侵检测的定义9 2 1 2 入侵检测系统的组成和特点1 0 2 1 - 3 入侵检测系统的分类一1 l 2 1 4 常见的入侵检测方法1 4 2 2 入侵检测技术在a dh o c 网络中的应用1 6 2 2 1 看门狗和选路人算法1 6 2 2 2 基于游戏理论的c o r e 机制17 2 2 3 基于时间自动机的入侵检测算法1 7 2 2 4 基于规范入侵检测1 7 2 2 5c o n f i d a n t 17 2 2 6 基于移动a g e n t 的入侵检测1 7 2 3 移动a g e n t 简介l8 2 4 分级a dh o e 网络入侵检测技术面临的问题19 2 5 本章小结2 0 第3 章基于节点行为的入侵检测机制设计与实现2 1 3 1 设计要求。：2 1 3 2 总体设计思想2 1 3 3 建立节点行为模型2 3 3 3 1 分级a o d v 路由协议2 3 i v 东北大学硕士学位论文目录 3 3 2 建立标准的节点行为模型。：2 6 3 4 数据采集模块3 0 3 5 入侵检测模块31 3 5 1 异常行为分析检测。31 3 5 2 模糊攻击行为检测3 2 3 6 入侵响应模块3 3 3 6 1 响应要求3 3 3 6 2 响应方式3 3 3 7 基于节点行为的入侵检测机制的实现3 6 3 7 1 节点行为信息采集3 6 3 7 2 异常行为分析检测3 6 3 7 - 3 攻击检测3 7 3 7 4 入侵响应3 7 3 8 本章小结3 9 第4 章基于节点行为的入侵检测机制性能仿真4 1 4 1 仿真环境4 1 4 2 节点的恶意行为和自私行为实现4 2 4 2 1 伪造簇首的恶意节点攻击4 2 4 2 2 伪造网关的恶意节点攻击4 4 4 2 3 自私节点攻击4 5 4 3 仿真测试及性能分析4 5 4 3 1 静态环境一4 6 4 3 2 动态环境一5 2 4 4 本章小结6l 第5 章结束语6 3 5 1 论文工作总结6 3 5 2 未来工作展望6 4 参考文献6 5 致j 射6 9 v 东北大学硕士学位论文第1 章绪论 第1 章绪论 1 1 研究背景 随着微电子技术与通信理论的迅速发展，无线通讯网络获得了跨越式的发展，已经 成为全球通信网络的主要组成部分，最根本的原因在于无线通信网络使人们摆脱了通信 线路的束缚，能够快速、灵活、方便地支持用户的移动性，更接近于个人通信的需要。 按照移动通信系统是否有基础设施，可以把移动无线网络分为两类：第一类是具有 移动基础设施的网络。移动节点借助于通信范围内最近的基站实现通信。如蜂窝无线系 统、办公室无线局域网等。但对于某些特殊场合，比如说战场上部队快速展开和推进， 发生自然灾害后的营救，野外科学考察，临时会议等，不可能预先部署可用的固定基础 设施。在这种情况下，就需要一种能够临时快速自动组网的移动通信技术。正是这种需 求推动了属于第二类移动通信系统的无线自组网的飞速发展。a dh o e 网络1 1 捌，也被称为 多跳无线网，是由一组带有无线通信收发装置的移动终端节点组成的一个多跳临时性无 中心网络，具有自组性、移动性、容易部署及无基础设施要求等特点，可以广泛应用于 军事战场信息系统、紧急灾后营救、临时会议、家电网络等众多领域，具有重大的军事 价值和广阔的商业应用前景。由于其重要应用前景，特别是随着蓝牙、i e e e 8 0 2 1 1 等新 技术引进以来，a dh o e 网络在研究领域引起了广泛的关注【3 】。网络安全一直是网络技术 应用中的一个非常重要话题，而在a dh o e 网络中，安全的需要变得更加迫切。 1 1 1a dh o e 网络的组成和特点 a dh o e 网络由是由一些具有无线网络接口的移动主机构成多跳的临时性移动网络， 是一种不需要现有固定通信网络基础设施的、能够迅速展开使用的网络体系，是没有任 何中心实体、自组织、自愈的网络；网络中的节点利用自身的无线收发设备交换信息， 当相互之间不在彼此的通信范围内的时候，可以借助其他节点中继实现多跳通信，实现 信息和服务的共享；网络中的节点能够动态的、随意的、频繁的加入和离开网络，而且 不会破坏网络中其他节点的通信。a dh o e 网络中的节点既是主机也是路由器，由这些 节点组成的网络是一种能够在任意通信环境下迅速展开使用、并对网络拓扑变化做出及 时响应的通信网络。 a dh o c 网络作为种特殊的无线网络，与其它通信网络相比，具有其自身明显的 特点1 4 7 】： 1 东北大学硕士学位论文第1 章绪论 ( 1 ) 网络的自组织性。a dh o c 网络是一种具有自组织、自配置、自管理功能的网 络，它可以在任何时间、任何地点不依赖现有网络基础设施，通过节点之间的自我组织， 快速、灵活地构建一个移动通信网络。 ( 2 ) 动态拓扑结构。动态变化的网络拓扑是移动a dh o e 网络的一个显著特点。由 于用户终端的随机移动、无线发信装置发送功率的变化、无线信道间的互相干扰以及地 形等综合因素的影响，移动终端间通过无线信道形成的网络拓扑结构随时都有可能发生 变化，而且变化的方式和速度都是不可预测的。 ( 3 ) 多跳通信。由于网络中节点相互辐射覆盖范围有限，移动自组网要求支持多 跳路由通信。a dh o e 网络中节点在寻找路由和传输数据的过程中分组通常都要经过多 个路由器进行中继才能到达目的地，即借助中间节点转发通信。多跳的特点也给工作在 同频共享时分复用无线信道的移动a dh o e 网络带来了“隐藏终端”、“暴露终端”、“入 侵终端”等问题。 ( 4 ) 分布式控制。a dh o e 网络中各节点兼备独立路由和主机功能，没有网络中心 控制点，节点间处于平等地位，网络路由协议通常采用分布式控制方式，因此它比采用 集中式控制的网络具有更强的健壮性和抗毁性。 ( 5 ) 传输带宽有限。a dh o e 网络采用无线传输技术作为底层通信手段，相对于有 线信道，无线信道具有较低的容量，并且由于多路访问、多径衰落、噪声和信道干扰等 多种因素，使得移动节点实际带宽小于理论最大带宽值，使在技术要求相当高的i e e e 标准中，最高速率也只能达到5 4 m b p s 。 ( 6 ) 信道容量不稳定。网络节点竞争同频共享时分复用无线信道所带来的碰撞、 干扰、信号衰减等因素以及“隐藏终端”、“暴露终端”和“入侵终端”的存在，不仅使 节点可得到的有效信息传输带宽远小于传输信道的最大带宽，而且也导致了无线链路容 量的动态变化，从而造成了信道容量的不稳定。 ( 7 ) 单向信道。由于各个无线终端发射功率的不同以及地形环境的影响，a dh o e 网络中可能产生单向链路，使相邻两节点只能进行单向通信。单向信道为移动a dh o e 网络带来三个严重影响：认知单向性、路由单向性和目的节点不可达。 ( 8 ) 移动终端资源的自主性和局限性。移动终端同时承担主机和路由器的角色， 每个终端都将承担为其他终端进行分组转发的义务。由于其固有特点，要求算法一定要 简单实用，要考虑如何节省电源等，而不能像通常路由器那样复杂精巧。 ( 9 ) 有限的网络安全。a dh o e 网络工作在无线共享广播信道，与有线网络相比， - o - 东北大学硕士学位论文第1 章绪论 存在更加严重的安全性问题。在设计网络时，需要仔细考虑窃听、欺骗和拒绝服务攻击 等。 ( 1 0 ) 较短的生存时间移动a dh o e 网络多用于战场、救灾等特殊场合，通常是由 于某个特定原因而临时构建的，使用结束后，网络环境将会自动消失。因此，相对于固 定网络而言，移动a dh o e 网络的生存时间较为短暂。 ( 1 1 ) 供电限制。节点是依靠电池供电，如何能减少功耗是一个重要问题。 1 1 2a dh o e 网络的结构 a dh o e 网络的拓扑结构通常划分为两种【8 ，9 1 ：平面结构和分级结构。 平面结构如图1 1 所示。在平面结构中，a dh o e 网络的所有节点都是处在平等位置 的一些对等实体，因此该结构也称为对等式结构。平面结构的网络相对来说比较简单， 无需进行任何网络结构的维护工作。节点间进行数据通信，可能存在多条路径，从而使 得网络能够负载均衡，并且根据业务的不同，提供不同的路由选择。在这种网络拓扑结 构中，所有节点在网络控制、路由选择和流量管理上是平等的，原则上是不存在瓶颈， 网络比较健壮。但在用户很多，特别是在移动的情况下，存在处理能力弱、控制开销大， 路由经常中断等缺点，因此它主要用于中小型网络。 与平面结构网络 中，网络被划分为簇 ( c l u s t e rh e a d e r ，c h ) 、 由一个簇首和多个簇 一3 东北大学硕士学位论文第1 章绪论 簇成员簇首 网关 图1 2 分级结构 f i g 1 2h i e r a r c h ys t r u c t u r e 为了提高网络的可扩展性，大型a dh o e 网络通常采用分级结构【1 0 , 1 1 】。与平面结构 相比，具有分级结构的a dh o e 网络有许多突出的特点： ( 1 ) 网络的可扩展性好，必要时可以通过增加簇的个数或层数来提高网络的容量， 这种层次结构使路由信息呈现局域化，簇内节点无须知道其它簇的拓扑结构，这无疑大 大减小了路由控制报文的开销。因为簇首节点不仅需要维护到达其它簇首的路由，而且 还要知道节点与簇的隶属关系，所以尽管它相对复杂，但总的来说，相同网络规模的条 件下路由开销要比平面结构小的多。 ( 2 ) 节点易于控制。在平面结构的网络中，如果想定位某节点，必须在全网中执行 查询操作，而在分级结构的网络中，节点定位要相对简单。由于簇首掌握其簇内成员的 定位信息，因此只要查询簇首就可以获得该节点的位置信息。 ( 3 ) 具有层次结构的a dh o e 网络，可以看作是基于有中心结构和无中心结构网络 的综合体，因此可以采用两种结构的技术优势。虽然采用层次结构后有了相对的控制中 心簇首，但簇首与其成员是动态变化的，节点依然是动态组网。 ( 4 ) 分级结构通过路由信息的局部化提高了系统的吞吐量1 1 2 1 。随着对移动a dh o c 网络中服务质量要求的提高，采用基于有中心的技术可能是最佳的选择，因此随着应用 的增加，a dh o c 网络将逐渐呈现出分级化的趋势。然而在这些优势的背后，关于如何 实现网络分簇等就构成了a dh o e 网络中复杂和棘手的问题。 1 1 3a dh o c 网络的安全问题 1 1 - 3 1a dh o e 网络安全目标 a dh o e 网络的安全目标主要有以下四方面1 1 3 - 1 6 】：包括数据可用性、机密性、完整 性、安全认证和抗抵赖性。 ( 1 ) 可用性：保证网络在任何情况下，即使受到攻击都可靠运行，为合法用户提 4 东北大学硕士学位论文第1 章绪论 供服务。可用性面临的威胁主要是拒绝服务攻击。无线环境下保证可靠性比有线环境下 困难得多，拒绝服务攻击可能在任何层次发起。在物理层、数据链路层，攻击者填满有 限的通信信道就能导致网络或服务瘫痪；在网络层，攻击者破坏路由协议也能导致网络 不可用。网络拓扑频繁变化，节点间信道的不可靠也对可靠性提出了严峻挑战。 ( 2 ) 保密性：限制信息不泄露给任何未经授权的实体。由于a dh o e 网络采用的是 无线信道，由于无线信号的传播特性，敌方可以简单地选择侦听获取信息。机密性面临 的主要威胁包括窃听和流量分析。 ( 3 ) 完整性：信息在存储或传输过程中不被篡改。这种破坏或中断包括网络上的 恶意攻击和无线信号在传播的过程中的衰弱以及人为的干扰。可以使用同频发射装置， 直接在无线信号中加注攻击信息。此外，无线信号在传播过程中逐步衰减，也能破坏信 息的完整性。 ( 4 ) 验证性：节点接入和操作权限的合法性。每个节点需要能够确认与其通信的 节点身份，同时要能够在没有全局认证机构的情况下实施对用户的鉴别。检验节点合法 性，可以剔除网络中的敌方节点，从而将攻击行为限制在网络之外。如果没有认证，攻 击者很容易俘获某一节点，从而得以获取重要资源和信息，并干扰其它节点的通信。验 证性的另一项内容是检验节点的操作是否具有相关权限。这能有效制止网络中叛变节点 的危害行为，降低网络内部的风险性。 ( 5 ) 抗抵赖性：抗抵赖性指发送方不能否认他在历史上所发出的信息和做出的动 作，利于事后审计、检测入侵，还可预防内部攻击。 1 1 3 2a dh o e 网络的安全威胁 由于a dh o e 网络自身的组网特点使得它所受到的安全威胁复杂而且多样【17 1 ，并且 固定网络的安全机制无法应用到a dh o e 网络环境中去。a dh o c 网络系统可能存在的安 全漏洞和入侵行为是非常复杂的。 a dh o c 网络的路由协议是网络攻击的主要目标，因此在a dh o e 网络的安全问题中 路由协议的安全显得尤为重要。针对a dh o e 网络的攻击可以分为两类【1 8 , 1 9 】：被动攻击 和主动攻击。被动攻击并不破坏路由协议的执行。只是窃听路由链路，试图获得有用信 息，所以这种攻击难以检测。主动攻击是把错误的报文插入到数据流中或修改通过网络 的报文传输，企图非法修改数据、获得授权。主动攻击又可以进一步分为外部攻击和内 部攻击。顾名思义，外部攻击就是由网络外部的节点发起的一种攻击，可以通过防火墙、 5 - 东北大学硕士学位论文第1 章绪论 加密等标准安全机制来防止这种攻击。内部攻击就是由网络内部的恶意节点发起的一种 攻击，由于非法节点是作为被授权一方属于网络内部的，所以内部攻击往往难以检测， 其造成的损失更为严重。 常见的路由攻击类型主要有以下几种： ( 1 ) 资源消耗攻击 恶意节点利用a dh o e 网络资源和节点能力受限的特点，向网络中插入包试图消耗 宝贵的网络或者节点资源，试图使网络资源和正常节点的能量被耗尽。但从节点的角度 来看，网络的运行是正常的。 ( 2 ) 假冒攻击 一个节点在发送控制报文时，可能扮演成另外的节点，这样产生一个非法的更新信 息。假冒攻击在a dh o e 网络各层均能够成严重的安全威胁。假如没有一个适当的认证 体系，节点就可能在不被检测到的情况下加入网络，或者冒充其他节点发布信息。从网 络管理上看，攻击者可以冒充管理员来配置网络。 ( 3 ) 信息泄露攻击 在交换机密信息时，必须保证通信的内容不被窃取，未授权的用户也不能访问关键 数据。在a dh o e 网络中，这些敏感数据包括节点的状态及位置信息、公钥、私钥、口 令等等。有时候控制数据比实际交换的数据更为重要。在战场上，恶意节点可能泄露机 密信息给敌方。比如泄露路由信息或者位置信息，敌方知道了目标路由上的节点后就更 容易攻破目标。 ( 4 ) 黑洞攻击 黑洞攻击是指非法节点利用a dh o e 网络节点频繁随机移动，网络各节点对于网络 拓扑的了解不完全只了解部分或者更少的拓扑信息的特点，向网络广播一些欺骗性 的消息，使得其它一些节点以为经过该节点的路径最短或代价最小而将数据包发送给 它，而实际上攻击节点并不再转发这些数据包，从而在网络上形成一个吸收( 只进不出) 数据的“黑洞”。如果仅是吸收部分数据，则形成灰洞攻击。更为严重的是，这些信息 会被分析，从而引发其他类型的攻击。 ( 5 ) 网络分割攻击 由于a dh o c 网络中的节点可以随机的移动，已经建立的路径可能会因为中间某个 节点移出通信范围而造成链路失效。因此a dh o e 网络具有通知上游节点链路失效和链 路修复的功能。恶意节点利用a dh o e 网络的这一特点，通过插入路由包，产生路由环， 6 东北大学硕士学位论文第1 章绪论 引起无效路由，或破坏有效路由，造成网络分割。或者发送虚假的链路失效报文，破坏 其邻居的路由，使网络造成分割降低网络的性能。 ( 6 ) 自私节点【2 0 1 目前提出的a dh o e 网络的路由协议都是基于以下假设：每个节点都具有完好的协 作性，都愿意为其他节点提供网络服务，但实际上这种假设不总成立。节点的协作性指 节点参与提供网络服务的程度。缺乏协作性的节点只要表现为没有提供尽力而为的、正 确的网络层服务( 包括路由服务、数据包转发服务) 。 自私因素是节点缺乏协作性的最主要潜在动机。移动节点本身要受到各种资源的限 制，自私节点为了逃避转发数据包的义务，可以采用各种策略使自己的转发功能失效。 根据自私节点参与网络功能的程度和采取的行为，可以将自私节点分成以下两类： 参与路由服务，不提供数据包的转发服务 自私节点采取直接丢弃全部或者部分其它节点请求转发的数据包来躲避转发义务。 一方面，自私节点由于减少大量的转发业务而节省了大量能量；另一方面，由于经过自 私节点的数据包大量丢失，网络的可靠性和吞吐率将严重降低。 不愿参与路由服务 自私节点操纵路由协议，阻止网络中存在以本节点为中间节点的转发路径，这样自 私节点自然就不用参与任何数据包的转发工作。自私节点可以采取直接忽略其它节点的 路由请求，当收到其它节点的路由请求包时，若请求包中的目标节点不是本节点，则将 其丢弃。这种自私节点只为自己消耗能量，因此网络其它协作性好的节点将承受更大的 负载。 1 2 研究目的及意义 在任何网络的建设中，安全性一直是研究的热点话题。作为无中心结构的a dh o e 网络，移动节点、动态拓扑结构以及节点间通过无线信道相连，同时没有专用路由器、 命名服务、目录服务等网络功能的支持，势必导致了传统安全机制的无法适用性。就分 级a dh o e 网络而言，其独有的网络特性在实现包括可用性、保密性、完整性、安全认 证和抗抵赖性等安全目标时，不得不面对诸多挑战。 入侵检测技术作为一种主动防御手段在攻击的早期阶段就收集足够的袭击证据，采 取相应的抵抗措施，从而可以使侵害损失大大降低并有效地监控网络以确保安全。入侵 检测技术的特性和其在有线网中的成功应用表明它比其它安全技术更适合a dh o c 这种 7 - 东北大学硕士学位论文第1 章绪论 特殊网络环境，因此，入侵检测逐渐成为安全性要求较高的移动网络的重要组成部分。 由于分级结构的a dh o e 网络自身安全脆弱性和入侵技术的不断提高，单纯的被动 防御还是远远不能保证网络安全通信的要求，所以必须加强主动防御措施入侵检测 系统。因此在分级的a dh o c 网络中建立入侵检测系统己经成为该网络安全研究刻不容 缓的任务，并且具有重要的意义和实际应用价值。 1 3 论文的组织结构 全文共分五章。 本章介绍了a dh o c 网络的组成、特点及结构，分析了由a dh o c 网络特点所引发的 安全问题，在此基础上介绍了本课题研究目的及意义。 第2 章对入侵检测技术进行分析研究。基于入侵检测技术的发展，详细讨论了入侵 检测技术的定义及其分类，以及入侵检测技术在a dh o c 网络中的应用；总结分级a dh o c 网络中入侵检测技术所面临的问题，为课题的深入开展作铺垫。 第3 章针对分级a dh o c 网络的安全需求，提出了一种基于节点行为的入侵检测机 制，详细介绍了各模块工作原理与实现方法。 第4 章利用n s 2 ( n e t w o r ks i m u l a t o r ) 网络模拟软件该入侵检测机制的检测性能以 及采用该机制后的网络性能进行仿真实现。根据仿真结果分析、验证了攻击检测机制的 有效性。 第5 章总结了研究工作，并对下一步的研究作了介绍。 一8 - 东北大学硕士学位论文第2 章a dh o c 网络入侵检测技术的研究 第2 章a dh o c 网络入侵检测技术的研究 a dh o c 网络的不依赖于任何固定的基础设施，网络拓扑结构变化频繁，节点间的 通信完全依靠无线链路等些特点，使其受到更多的安全威胁，所面临的安全挑战比传 统网络更加严峻，传统的解决方案己经不再合适，现有的解决方案主要有：加密与认证、 安全路由和入侵检测三种1 2 l l 。 加密是保证网络安全的基本手段。无论是路由、组播还是单播，均需要利用加密和 认证机制来保证其安全性。由于a dh o c 网络的特殊性，密码机制要求的第三方认证以 及相应密钥的安全管理、分发以及更新等方面存在明显的技术难点。 由于目前对于安全需求的增加，对于路由协议的安全方面的考虑也成了路由协议一 个很重要的方面，其目标就是要实现路由协议的可用性、真实性、完整性和抗诋毁能力， 防止恶意节点对路由协议的破坏。当前已经提出多种安全路由协议，如a r a n 、s a o d v 、 s e a d 、s r p 等安全路由协议【2 2 】，主要是通过对路由协议中的报文提供完整性校验、身 份认证等安全措施，防止恶意篡改的发生，实现安全保护的。 要抵抗a dh o c 网络中的攻击，可以采用一些传统的入侵预防技术，比如加密和鉴 权，但是这些入侵预防技术并不能完全消除攻击。因此，作为网络安全的第二道防护线 的入侵检测技术正日益成为任何安全性要求较高的网络必不可少的组成部分。该安全技 术在攻击的早期阶段收集足够的证据分析并及时判断是否有攻击行为，采取相应的抵抗 措施，从而有效地降低入侵的损失程度。本章将着重论述移动a dh o c 网络中的入侵检 测技术。 2 1 入侵检测技术 2 1 1 入侵检测的定义 入侵检测技术( i n t r u s i o nd e t e c t i o n ) 是为保证系统的安全而设计与配置的一种能够及 时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机系统、网络系统 或更广泛意义上的信息系统中违反安全策略行为的技术【2 3 】。它主要通过查看各种日志文 件、网络流量数据或者网络行为来识别被检测系统中是否存在违背安全策略或危及系统 安全的行为或活动，在保障网络系统安全中起着关键作用。 9 东北大学硕士学位论文第2 章a dh o c 网络入侵检测技术的研究 2 1 2 入侵检测系统的组成和特点 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m s ，i d s ) 可以被定义为对计算机和网络资源 上的恶意使用行为进行识别和响应的处理系统。它通过对计算机系统进行监视，提供实 时的入侵检测并采取相应的防护手段。入侵检测系统是一种主动的网络防护措施，其目 的在于检测可能存在的攻击行为。 入侵检测系统是一种主动网络防护措施。一般的入侵检测系统包含两个部分：入侵 检测部分和入侵响应部分。 入侵检测【2 4 】是通过从计算机网络或系统中的若干关键点收集信息并对其进行分析， 从中发现网络或系统中是否有违反安全策略的行为和遭到入侵迹象的一种安全技术。入 侵检测是防火墙的合理补充，被认为是防火墙之后的第二道安全闸门，在不影响网络性 能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 为了建立一个更加安全的a dh o c 网络，采用了加密和鉴别等入侵预防技术来保护网络 并将入侵检测作为第二道防御屏障。因网络中的用户和程序是可见的，通过入侵检测技 术，可定期地监控网络，捕获监控数据，验证网络是否受到入侵。在证实入侵的情况下， 修改网络，保证网络的安全性。 入侵响应指的是当检测到入侵或攻击时，采取的阻止入侵和攻击进行的措施。实 施入侵响应的系统就称为入侵响应系统。它可以隔离入侵节点，使正常节点重新处于一 个较安全的通信环境。由于网络攻击的破坏性和严重性日趋严重，对入侵响应技术的要 求也越来越高，一个好的入侵响应系统除了可以及时、有效地阻止入侵行为的延续，并 且要能够最大程度地降低系统损失。 入侵检测系统的基本的组成结构如图2 1 所示： i 事件产生器i叫 事件分析器，i响应单元 jl 1 r 事件数据库 入侵检测 i ! 入侵响应 图2 1 入侵检测系统的基本组成结构 f i g 2 1b a s i cs t r u c t u r eo fi n t r u s i o nd e t e c t i o ns y s t e m 1 0 东北大学硕士学位论文第2 章a dh o c 网络入侵检测技术的研究 ( 1 ) 事件产生器是入侵检测系统中负责原始数据采集的部分。它对数据流、目志 文件等进行追踪，然后将搜集到的原始数据转换为事件，并向系统的其它部分提供此事 件。 ( 2 ) 事件分析器接收数据信息，然后对它们进行处理分析，判断是否是异常现象。 最后将判断的结果转换为警告信息。用现有的入侵检测方法对事件进行分析，确定该事 件是否是攻击，如果是则产生报警，如果不能确定，也要给出一个怀疑值。 ( 3 ) 事件数据库是存放各种中间和最终数据的地方，从事件产生器或事件分析器 接收数据，一般将数据进行较长时间的保存。 ( 4 ) 响应单元根据入侵检测模块的信息做出反应，它可以做出切断连接、改变文 件属性等强烈反应，也可以只是简单地报警。 2 1 3 入侵检测系统的分类 入侵检测的发展是从多方面进行的，根据检测系统的特性，从不同的角度可将入侵 检测系统i d s 进行分类。 ( 一) 按实现方式： 分为基于主机的i d s 禾i 基于网络的i d s | 2 6 ，2 7 1 。 ( 1 ) 基于主机的i d s 基于主机的i d s ( h o s t b a s e di d s ，简称h i d s ) ，通常是在主机上运行的一个应用程序， 它利用操作系统产生的日志记录( a u d i tt r a i l s ) 、进程记帐信息、或用户行为信息等作为主 要信息源，通过对其进行审计，检测入侵行为。一旦发现这些文件发生任何变化，i d s 将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话，检测系统就向管 理员发出入侵报警并且采取相应行动。基于主机i d s 不对网络数据包或扫描配置进行检 查。早期的系统多为基于主机的，主要用来检测内部网络的入侵攻击。 由于基于主机的i d s 依赖于审计数据或系统日志的准确性和完整性以及安全事件的 定义，若入侵者设法逃避审计或进行合作入侵，则基于主机的检测系统就暴露出其弱点。 特别是在现在的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全 的需求。这主要表现在： 主机的审计信息弱点，如易受攻击、入侵者可通过使用某些系统特权或调用比审 计本身更低级的操作来逃避审计。 不能通过分析主机的审计记录来检测网络攻击( 域名欺骗、端1 ：3 扫描等) 。因此， 东北大学硕士学位论文第2 章h dh o c 网络入侵检测技术的研究 基于网络的入侵检测系统对网络安全是必要的，这