移动自组织网络中的入侵检测技术

随着无线网络的发展和移动计算应用的快速增加，网络安全问题更加突出。移动性和无线环境导致了固定有线网络中一些本不存在的安全问题的产生，同时也使得原本十分有效的安全措施失效。传统的用防火墙和加密软件来保护网络的方法已经不足以解决安全问题，需要寻找更为有效的安全机制，构建新的安全体系结构来保护无线网络和移动计算应用。

　　由于移动自组织(Ad Hoc)网络具有介质开放和拓扑结构高度动态、采用分布式协作、缺乏集中监控机制和明确的防护线以及节点功能有限等特征，网络非常脆弱，较之有线网络和蜂窝无线网络更容易遭受袭击。为了抵抗移动Ad Hoc网络中的袭击，可以采用一些传统的入侵预防技术，比如加密和鉴权，但是入侵预防技术只能减少袭击的发生，不可能完全消除袭击。比如，采用加密和鉴权不能防备被俘节点发动的袭击，因为这些节点通常拥有私钥；利用不同节点的冗余信息进行信息完整性验证需要与其他节点之间存在充分的信赖关系，而这往往成为一些袭击的突破口。另外，网络安全问题研究的历史也表明无论在网络中采用多少入侵预防技术，总会存在一些可能为袭击者利用的缺陷。比如，利用“缓冲区溢出”袭击在很多年前就有报道，但新近开发的一些系统软件仍然难以避免这类袭击；一些Internet站点的协议和系统虽然已对利用分布式操作系统袭击采取了相应安全性措施，但最近仍然遭受了该类袭击。在这种情况下，如果采用入侵检测(ID)技术，在袭击的早期阶段就收集足够的袭击证据，采取相应的抵抗措施，则可以使侵害损失大大降低。作为网络安全的第2道防护线的入侵检测技术正日益成为任何安全性要求较高的网络必不可少的组成部分。本文着重论述移动Ad Hoc网络中的入侵检测技术，提出一种基于域的移动Ad Hoc网络入侵检测系统。

　　1 入侵检测技术

　　入侵检测的研究源于Anderson[1]的报告，Denning[2]的论文则是现有大多数入侵检测原型的基础。Denning论文中所提出的模型基于这样一个假设：由于袭击者使用系统的模式不同于正常用户的使用模式，通过监控系统的跟踪记录，可以识别袭击者异常使用系统的模式，从而检测出袭击者违反系统安全性的情况。

　　入侵检测可定义为“识别那些未经授权而使用计算机系统的非法用户(即解密高手)和那些对系统有访问权限但滥用其特权的用户”[3]。从这个定义可以看出，入侵检测其实包含外部入侵检测和内部误用检测两方面的内容，我们用“入侵检测”同时表示这两个方面。由于入侵检测需要依据跟踪数据进行推理以决定这个系统是否遭受袭击，它的一个基本要求是用户和系统的行为是可观察的，例如可以通过系统跟踪机制进行跟踪，而且更为重要的是，正常行为和异常行为的特征要有明显的区别。

　　入侵检测系统(IDS)是一种网络安全工具，它动态地监控某个网络环境中发生的事件并决定这些事件是表征一个袭击还是表征这个网络的正常工作。宏观上，可以将IDS看作是一个被保护系统的信息检测器，如图1所示。检测器处理3类信息：与采用的入侵检测技术有关的长期信息，比如袭击模式库和系统正常行为描述；与系统当前状态有关的配置信息；描述系统中所发生的事件的跟踪信息。检测器的主要目的是剔除跟踪数据中的次要信息，得到与系统安全性有关的用户和系统行为的综合评价，然后决定这些行为是否构成对系统的入侵。依据袭击检测方法、跟踪数据类型、数据分析方法和入侵响应方式的不同，现有的IDS可分类为4种，介绍如下。

图1 入侵检测系统示意图

　　1.1 袭击检测方法

　　袭击检测方法是指入侵检测引擎如何检测系统是否存在入侵。依据袭击检测方法的不同，可以将IDS系统分成基于模式的IDS和基于异常的IDS两类。基于模式的IDS是建立在袭击模式库基础上的，当系统行为与袭击模式库中的某条记录匹配时，基于模式的IDS就产生一个告警。基于模式的IDS的优点主要包括具有较高的告警检测率和较低的错误告警率，告警包含丰富的诊断信息等；缺点包括袭击模式的分析和构造非常耗时，袭击模式需要经常更新，无法检测未包含在模式库中的袭击类型，存在因不同操作系统和应用对同一袭击模式描述的差异而导致的通用性问题等。基于模式的IDS系统的实例有入侵检测专家系统（IDES）[4]、下一代入侵检测专家系统（NIDES）[5]和基于染色Petri网的入侵检测系统（IDIOT）[6]等。基于异常的IDS是建立在系统正常行为描述基础上的，当系统行为与正常行为描述发生一定程度的偏离时，就产生一个告警。基于异常的IDS的优点包括能够检测新型袭击，具有良好的通用性，独立于具体的操作系统和应用等；缺点包括具有较高的错误告警率，配置和实现困难，需要不断对系统正常行为描述进行更新等。基于异常检测的实例有可对异常干扰进行响应的事件监控系统（EMERALD）[7]和基于图的入侵检测系统（GrIDS）[8]等。

　　1.2 跟踪数据类型

　　现有IDS的数据收集组件主要收集两类跟踪数据：单个主机(节点)跟踪记录和网络传送的数据分组。相应于这两类跟踪数据类型，可以将IDS分为基于主机(节点)的IDS和基于网络的IDS。基于主机(节点)的IDS利用来自单个主机(节点)的系统跟踪信息分析用户和系统行为是否构成袭击。基于主机的IDS的实例有IDES和“草堆”系统（HayStack）[9]等。基于网络的IDS通过分析从网络硬件接口上收集到的网络分组信息来进行入侵检测。基于网络的IDS的实例有EMERALD和监控Web服务器的网络安全器（Stalker）[10]等。随着Internet网络技术的发展，入侵检测系统的检测目标正日益从单个主机(节点)转向整个网络。

　　1.3 数据分析模式

　　根据数据分析组件的数目和所在位置不同，可将对数据收集组件收集到的数据分析方法分为集中式和分布式两种。相应于这两种分析方法，可以将IDS分为集中式IDS和分布式IDS。集中式IDS采用单个数据分析组件进行数据分析，因此其扩展性较差，存在单点故障问题，同时也耗费大量的通信和处理资源。集中式IDS的实例有IDES和NIDES等。分布式IDS则将数据分析任务分配给多个处于不同位置的数据分析组件，这些组件采用完全分布方式[11]或分层方式[7，8]进行协作。因此，分布式IDS的可扩展性较好。分布式IDS的实例有EMERALD、GrIDS和基于自动代理的入侵检测系统（AAFID）[12]等。

　　1.4 入侵响应方式

　　IDS对入侵的响应方式可分为主动方式和被动方式。现有大多数IDS采用的是被动方式，即当IDS检测到袭击时，它只产生告警而不采取任何措施来抵抗袭击。因此，这种方式需要人工干预。随着入侵检测技术的发展，越来越多的IDS开始采用主动方式来抵抗袭击，比如丢弃可疑数据分组，隔离发动袭击的节点，重新配置网络环境等。

　　2 入侵检测技术在移动Ad Hoc网络中面临的挑战

　　由于移动Ad Hoc网络与有线网络存在很大差别，现有针对有线网络开发的入侵检测系统很难适用于移动Ad Hoc网络。

　　最主要的差别是现有基于网络的IDS都是建立在有线网络基础上的，它们大都依赖于交换机、路由器或网关处的实时业务流的监控和分析；而移动Ad Hoc网络环境中没有这种收集整个网络跟踪数据的业务集中点，可供入侵检测使用的数据只限于与无线电通信范围内的直接通信活动有关的局部数据信息，入侵检测算法必须利用这些局部的不完整信息来完成入侵检测。

　　移动Ad Hoc网络中的通信模式也与有线网络有很大差别。由于移动Ad Hoc网络的链路速度较慢，带宽有限，节点依靠电池供应能量，它对通信的要求非常严格，无法采用那些为有线IDS定义的通信协议[14]。另外，在移动Ad Hoc网络环境中正常和异常之间也没有比较明确的界限。发出错误路由信息的节点，可能是被俘节点，也可能是由于移动性而暂时失去同步的节点，入侵检测很难识别真正的入侵和系统的暂时性故障。

　　因此，开发一个可行的移动Ad Hoc网络入侵检测系统，必须完成如下任务：

• 构建一个与移动Ad Hoc网络特征相适应的可扩展性好的系统体系结构；
  
• 确定合适的跟踪数据源，利用基于局部的不完整跟踪信息完成入侵检测；
  
• 建立合理的检测模型以区分正常行为和因袭击而导致的异常行为；
  
• 采用有效的告警信息关联和聚合机制，实现联合检测，减少系统开销和错误告警率。
  

　　3 基于域的移动Ad Hoc网络入侵检测系统

　　我们为移动Ad Hoc网络提出并开发了一种基于域的移动Ad Hoc网络入侵检测系统(ZBIDS)。该系统采用两级层次化结构，属于分布式IDS。与分布式入侵检测系统（DIDS）[15]和协作安全管理（CSM）[16]类似，该系统同时收集节点跟踪数据信息和网络业务流信息，综合采用基于主机和基于网络的入侵检测。该系统综合了基于模式的入侵检测系统和基于异常的入侵检测系统的检测能力。就基于异常的入侵检测而言，基于域的移动Ad Hoc网络的入侵检测系统既可以通过预分类器检测出无序列化特征的简单入侵，也可以通过基于马尔可夫链的分类器检测出具有序列化特征的入侵。另外，基于域的移动Ad Hoc网络的入侵检测系统也通过采用本地和全局关联聚合引擎实现联合检测。

　　3.1 基于域的移动Ad Hoc网络的入侵检测系统的分层结构

　　基于域的移动Ad Hoc网络的入侵检测系统的分层结构如图2所示。鉴于分层网络结构更容易将故障和袭击限制在较小的范围内，以实现系统的安全性，我们采用域的概念将整个网络划分为多个域，形成两级分层结构。依据节点的物理位置和连接性，网络中的节点被分为网关节点和域内节点。网络中的每个节点可以通过地理定位技术(比如GPS)确定自己的物理位置，然后根据物理位置和域标识符(Zone_ID)对照表获得相应的域标识符；通过邻节点发现机制(比如Hello消息)，节点可以知道邻节点信息，从而确定自己是一个与其他域相连的网关节点还是一个域内节点。

图2 基于域的移动Ad Hoc网络入侵检测系统的分层结构

　　鉴于移动Ad Hoc网络环境中的入侵检测系统应是分布式协作系统，图2中的每个节点都配置一个自治的IDS代理，这些代理共同完成入侵检测和响应。每一个IDS代理独立运行，监控所在节点的行为，包括用户行为、系统行为和无线通信范围内的通信活动等，并根据监控结果检测入侵。域内节点可以将检测出的结果报告给该域的各个网关节点，由网关节点完成域内告警的关联和聚合。相邻域的网关节点也可以相互协作，完成跨域入侵的检测。文献[13]也为移动Ad Hoc网络提出了一种入侵检测系统的体系结构。在该体系结构中，联合检测只限于相邻节点之间，复杂入侵的检测需要全网节点的参与，因而额外开销较大，扩展性较差。与文献[13]相比，由于采用了域和网关节点的概念，基于域的移动Ad Hoc网络的入侵检测系统具有良好的可扩展性。另外，由于只在网关节点进行联合检测，不需要邻节点之间的协作，因此降低了被邻节点窃听的可能性。

　　3.2 基于域的移动Ad Hoc网络的入侵检测系统代理的概念模型

　　基于域的移动Ad Hoc网络的入侵检测系统的IDS代理的内部结构非常复杂，但从概念来讲，可以分为6个模块，如图3所示。数据收集模块主要负责收集本地跟踪数据和日志信息。基于模式的入侵检测引擎和基于异常的入侵检测引擎使用数据收集模块收集的数据来检测本地入侵。本地关联聚合引擎(LACE)对基于模式的入侵检测和基于异常的入侵检测引擎的检测结果进行关联和聚合。全局关联聚合引擎(GACE)的功能与节点的类型有关：如果节点是域内节点，则GACE只是将LACE的结果发送给域内各网关节点的GACE；如果节点是网关节点，则GACE则对LACE的结果与域内其他节点的结果或邻近域网关节点的GACE的结果进行关联和聚合。告警响应模块完成对告警的响应和处理。下面具体描述各个模块的功能。

图3 入侵检测系统代理的概念模型

　　(1)数据收集模块

　　数据收集模块收集来自各种信息源的跟踪数据并进行处理，处理的结果被用作检测引擎的输入。一个IDS代理可以包含多个数据收集模块，每一个数据收集模块监视不同的信息源。数据收集模块收集的数据信息主要有两类：第1类是网络数据，比如数据分组；第2类是日志数据，就路由选择协议的安全性而言，主要包括与路由选择协议有关的日志数据，比如路由表变化信息、节点移动性信息等。数据收集模块主要由两个部分组成：数据过滤子层和数据预处理子层。数据过滤子层的主要功能是选择与入侵检测相关的用户和系统行为信息，比如从日志记录中选择与路由变化相关的信息；数据预处理子层的功能是通过格式转换或统计计算将过滤后的数据转变为入侵检测引擎可用的信息。

　　(2)基于异常的入侵检测引擎

　　基于异常的入侵检测引擎的主要功能是根据数据收集模块收集到的信息建立系统正常行为的模型，比如路由表变化的正常情况，然后依据这个模型判断用户或系统的行为是否为异常，异常行为即可能的入侵。基于异常的入侵检测引擎由两部分构成：预分类器和基于马尔可夫链的分类器。预分类器的基本工作过程是：根据数据收集模块收集到的数据，利用分类规则学习程序产生出一些描述用户或系统行为正常情况的规则，用于识别一些无序列化特征的简单异常；基于马尔可夫链的分类器的基本工作过程是：在预分类的基础上，用一些抽象符号来描述数据收集模块收集到的数据信息，并根据这些抽象符号的序列化特征产生出一个分类器，利用此分类器检测出具有序列化特征的异常。

　　(3)基于模式的入侵检测引擎

　　基于模式的入侵检测引擎采用将用户或系统行为与一些已知袭击的模式或系统缺陷进行匹配的方式来识别袭击。基于模式的入侵检测需要和各种具体袭击场景结合起来，检测方法类似于有线网络。

　　(4)本地关联聚合引擎

　　本地关联聚合引擎(LACE)通过关联聚合(AC)算法创建一定的关联和聚合关系，将基于模式的入侵检测引擎和基于异常的入侵检测引擎的检测结果形成组，发送给GACE。

　　(5)全局关联聚合引擎

　　若节点为网关节点，全局关联聚合引擎(GACE)通过关联聚合(AC)算法创建一定的关联和聚合关系，将域内其他节点或相邻域网关节点的检测结果综合起来报告给入侵响应模块并发送给相邻域的网关节点；若节点为域内节点，GACE只是将LACE的检测结果传送给本域的所有网关节点的GACE并报告给入侵响应模块。我们假定各个节点GACE之间的通信具有高度的可靠性和安全性，暂不考虑IDS系统本身的安全性问题。

　　(6)入侵响应模块

　　入侵响应模块的功能因入侵的类型、网络协议的类型、应用的场合以及入侵证据的确凿程度不同而不同。它可能是识别出被俘节点并重新组织网络将这个节点排除在外，也可能只是简单地在IDS的界面上给出告警指示。

　　从上面的描述可以看出，IDS代理综合了基于模式和基于异常两类入侵检测技术的检测能力，并将二者有机地结合在一起，同时也通过本地关联聚合引擎(LACE)和全局关联聚合引擎(GACE)两级告警关联聚合机制完成了联合检测，减少了系统的开销。

　　4 结束语

　　网络安全是一个影响网络实用化的极其重要的因素，在移动Ad Hoc网络中更是如此。在移动Ad Hoc网络中，通过采用加密、鉴权和认证等入侵预防措施来实现保密性、完整性、服务有效性等安全需求的方法面临着极大的挑战，有必要考虑如何采用入侵检测和响应技术开发出适合移动Ad Hoc网络环境的入侵检测系统(IDS)。目前，国际上对于移动Ad Hoc网络中的IDS的研究和开发尚处于初级阶段，有待进一步深入。

　　参考文献

　　1 Anderson J, James P. Computer Security Threat Monitoring and Surveillance. Fort Washington, PA: James P Anderson Co., 1980
　　2 Denning D E. An Intrusion-Detection Model. IEEE Trans on Software Engineering, 1987,13(2):222-254
　　3 Mukherjee B, Heberlein T L, Levitt K N. Network Intrusion Detection. IEEE Network, 1994,8(3):26-41
　　4 Lunt T F, Jagannathan R, Lee R, et al. IDES: The Enhanced Prototype - a Real-Time Intrusion-Detection Expert System. Technical Report SRI-CSL-88-12, CA: SRI International, 1988
　　5 Teresa F Lunt, Debra Anderson. Software Requirements Specification: Next Generation Intrusion Detection Expert System. Final Report A00l, CA: SRI International, 1994
　　6 Kumar S, Spafford E. A Pattern Matching Model for Misuse Intrusion Detection. In: Proceedings of the 17th National Computer Security Conf, 1994:11-21
　　7 Porras P A, Valdes A. Live Traffic Analysis of TCP/IP Gateways. In: Proc of ISOC Symp on Network and Distributed System Security (NDSS´98), San Diego, CA, March 1998
　　8 Staniford-Chen S, Cheung S, Crawford R, et al. GrIDS: a Graph Based Intrusion Detection System for Large Networks. In: National Institute of Standards and Technology. Proceedings of the 19th National Information Systems Security Conference, Oct 1996,(1):361-370
　　9 Smaha S. Haystack: An Intrusion Detection System. In: Proceedings of the 4th Aerospace Computer Security Applications Conf, Orlando, 1988:37-44
　　10 Haystack Labs. Stalker. 1997. http://www.haystack.com/stalk.html
　　11 Krugel C, Toth T. Distributed Pattern Detection for Intrusion Detection. ISOC Symp on Network and Distributed System Security (NDSS´2002) (Internet Society), 2002
　　12 Spafford E H, Zamboni D. Intrusion Detection Using Autonomous Agents. Computer Networks, 2000, 34(6):547-570
　　13 Zhang Y, Lee W. Intrusion Detection in Wireless Ad Hoc Networks. In: Proc of the 6th International Conference on Mobile Computing and Networking (MobiCom´2000), 2000:275-283
　　14 Wood M, Erlinger M. Intrusion Detection Message Exchange Requirements. Internet-Draft, draft-ietf-idwg-requirements-06, 2001
　　15 Snapp S R, Brentano J. DIDS (Distributed Intrusion Detection System)-Motivation, Architecture and an Early Prototype. The 14th National Computer Security Conf, Oct 1991:167-176
　　16 White M G B, Fisch E A, Pooch U W. Cooperating Security Managers: A Peer-Based Intrusion Detection System. IEEE Network, 2001,10(1):20-23

[摘要] 文章介绍了入侵检测技术及其分类，指出了入侵检测技术在移动自组织网络中面临的挑战，提出了一种基于域的移动自组织（Ad Hoc）网络入侵检测系统，并给出了其网络分层结构和代理概念模型。

[关键词] 移动自组织网络；入侵检测；代理；本地关联聚合引擎；全局关联聚合引擎

[Abstract] The classified intrusion detection technologies are introduced and the challenges they are facing are analyzed. A zone-based mobile intrusion detection system (ZBIDS) is described in the paper with emphasis on its network architecture and its agent concept model.

[Keywords] Mobile Ad Hoc network; Intrusion detection; Agent;LACE;GACE