分级护理质量改进措施 [分级的Ad Hoc网络入侵检测系统改进]
摘要:随着无线网络的快速发展和移动计算应用的快速增加,移动无线网络安全问题愈加突出。入侵检测作为保证网络安全的一种有效手段已经从保护固定有线网络扩展到移动无线网络。作为无线移动网络众多实现方式之一的移动Ad Hoc网络分为平面和分级两种结构。由于其与有线网络存在很大差别,现有针对有线网络开发的入侵检测系统很难适用于移动Ad Hoc网络。本文在描述入侵检测相关技术的基础上改进了分级的Ad Hoc网络入侵检测系统体系结构,并给出了该系统的分簇算法,使之更好地应用于分级的Ad Hoc网络。
关键词:Ad Hoc网络;入侵检测;簇
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)18-31548-04
Improvement of Hierarchical Wireless Ad Hoc Network Intrusion Detection System
LIU Yong-lei
(Dept. of Electron & Information Engineering, Tianjin Institute of Urban Construction, Tianjin 300384, China)
Abstract: With the rapid increasing of wireless network and mobile computing,the safety of wireless networks becomes more important. As an effective method of protecting networks" safety, the application of Intrusion detection has extended from fixed wired networks to wireless mobile networks. Wireless mobile networks have plane or hierarchical structure. Due to the different network characteristics and transmission media, intrusion detection techniques used in wired networks are not well applied in mobile ad hoc networks. The paper describes intrusion detection techniques, improve the hierarchical wireless ad hoc network intrusion detection system and advance a new algorithm for dividing clusters in details, applying to hierarchical wireless ad hoc network better.
Key words: Ad Hoc Networks;Intrusion Detection;Cluster
1 引言
Ad Hoc网络是一种无组织的对等网络,使用无线通信技术。网络中没有固定的基础设施(如接入点),各节点自主连接,组成网络。相邻的节点间一般可以直接通信,共享同样的物理频段;而非相邻的节点间采用多跳(Multi-hops)的方式进行通信,即通过中间节点进行转发。这种无组织的连接方式具有极大的灵活性,很适合应用在战场、灾难救援现场等地方,因为此时网络通信不能依赖于任何基础设施,也没有节点进行集中控制。由于其重要应用前景,特别是随着蓝牙、IEEE 802.11等新技术引进以来,Ad Hoc网络在研究领域引起了广泛的关注[1]。网络安全一直是网络技术应用中的一个非常重要话题,而在Ad Hoc网络中,安全的需要变得更加迫切,主要原因如下[2,3,4]:
(1)节点更容易被入侵。一方面,Ad Hoc网络节点能自主移动不受限制,这使得容易在经过的区域中被入侵,且物理上的保护也更加困难;另一方面,恶意节点容易伪装,可能先进行非法入侵,然后通过断开操作(Disconnect Operation),脱离网络后更换标示,重新加入伪装成正常节点;
(2)使用无线连接,信号容易被窃听和干扰,入侵者无需取得对物理链路的访问就可以监听数据;
(3)节点的资源和带宽有限,有限资源容易被非法操作耗尽;
(4)Ad Hoc网络缺乏明显的边界。节点间的连接都是自组织的,区域内的任何节点间均可通信,没有明显边界,因此没有防火墙之类安全设施,这使得节点直接暴露在攻击者面前。
已经有了一些学者针对Ad Hoc网络的安全路由进行的一些研究工作[5,6,7,8],但是它们只是防范措施,在有线网络中已经证明安全的网络应该是具有逐步防御的(Defense-in-Depth)多层设施,入侵检测是在入侵发生后的一层上。从获取数据手段上入侵检测可分为基于网络(Network-based)和基于主机(Host-based)两种[3,9];从使用的检测技术上又可分为基于误用的检测(Misuse-based)和基于异常的检测(Anomaly-based)。基于误用的检测,如STAT,通过检测是否匹配预定义的一些指示入侵的特性来进行,因此具有较低的误报率,但不能检测出未定义其特性的未来可能出现的入侵;基于异常的检测如IDES则是建立用户在正常行为下的使用模式,如果发现现行情况异于此模式,则认为发生了入侵,这种方法误报率比较高,但是能够检测出一些未来新的入侵。入侵检测是保障网络安全的一个重要手段,对于保障Ad Hoc网络的安全也是必需的。
2 背景
2.1 Ad Hoc网络体系结构
Ad Hoc网络一般有两种结构:平面结构(如图1所示)和分级结构(如图2、图3所示)。在平面结构中,所有结点的地位平等,所以又可以称为对等式结构。而分级结构中,网络被划分为簇。每个簇由一个簇头和多个簇成员组成。这些簇头形成了高一级的网络。在高一级网络中,又可以分簇,再次形成更高一级的网络,直至最高级。
图1 平面结构
分级结构中,簇头结点负责簇间数据的转发。簇头可以预先指定,也可以由结点使用算法选举产生。分级结构的网络又可以被分为单频分级和多频分级两种。单频率分级网络(如图2所示)中,所有结点使用同一个频率通信。为了实现簇头之间的通信,要有网关结点(同时属于两个簇的结点)的支持。而在多频率分级网络中(如图3所示),不同级采用不同的通信频率。低级结点的通信范围较小,而高级结点要覆盖较大的范围。高级的结点同时处于多个级中,有多个频率, 用不同的频率实现不同级的通信。在图3所示的两级网络中,簇头结点有两个频率。频率1用于簇头与簇成员的通信。而频率2用于簇头之间的通信。分级网络的每个结点都可以成为簇头,所以需要适当的簇头选举算法,算法要能根据网络拓扑的变化重新分簇。
图2 单频分级结构
图3 多频分级结构
2.2 研究现状
由于Ad Hoc网络移动性强,网络拓扑和通信均不稳定,使得怎样部署IDS系统以及它们之间是否有数据交换、如何交换数据、相互协作等成为比较关键的问题。已提出的体系结构中,按照各个节点IDS间的关系,可以大致分为3种不同类型的体系结构。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文 2.2.1 相互独立的IDS体系
体系结构如下:每个节点都安装有IDS系统,它们各自独立进行入侵检测,之间并不互相交流、合作,因此各节点检测所采取的方法也可以不一样,检测结果也只是通知本地的管理员而不会告知其他的节点。典型工作如:Sergio Marti提出的Watchdog[12]。
2.2.2 对等合作的IDS体系
由于每个节点都只有一部分监测数据,而某些入侵的数据、场景可能分散在很多地方,如两个分散的恶意节点可能通过不同路径对目标进行攻击。而且,Ad Hoc网络中节点容易被俘获,通过多个节点共同合作,可以更容易隔离被入侵,防止节点处于“孤岛”的境地。对等合作的体系结构如下:每个节点独立地对入侵进行检测,在检测某些入侵需要其他节点的信息或帮助时可以进行合作,各个节点间不存在层次关系。
Yongguang Zhang在文[3,4]中提出了一种IDS结构。
Patrick Albers等人采用了与Yongguang Zhang类似的框架[10],但较特别的是他们提出了使用移动Agent作为各个节点的IDS间交换数据、警报等的媒介。
2.2.3 分级的IDS体系
为了避免每个节点同时都运行IDS带来的计算额外计算开销,以及各个子IDS间进行合作产生通信开销,提出了分级的IDS体系。它的体系结构如下:采取多级的方式,对IDS功能进行分布,处于底层的部分可能进行初级的IDS检测或者不进行检测,高层的可以综合利用底层获取的信息进行判断,提供更好的准确性并减少开销。
典型工作如下:
Oleg Kachirski等人提出了一个基于Agent的多层的IDS体系[13];Yi-an Huang等人提出了MANET中基于簇的入侵检测(Cluster-based Intrusion Detection)[14],他们首先采用文[15]中的簇生成算法;Bo Sun等人提出了一个基于区域的入侵检测体系(ZBIDS)[16],它将网络分为多个不同的区域,区域的大小与节点移动性、密集度等有关,采用Joa-Ng等人在文[17]提出的算法来划分和维持区域。
2.2.4 三种体系的比较
这三种体系中,从实现上看,各自独立的体系实现最简单,但是没有利用其他节点或全局的网络信息,这限制了它的检测能力。对等合作的体系次之,因为它虽各自独立进行检查但还牵涉到多个IDS的协作。分级的体系由于牵涉到不同级节点(比如簇头)的选择和维持,实现最为复杂。从开销上看,各自独立的体系由于节点间没有额外的通信,通信开销较小,但每个节点均需要运行IDS系统,有一定的计算开销;对等合作的体系在协作时各个子IDS间相当于进行了全连接的方式进行信息交换,通信开销较大,而且同样每个节点均需运行IDS系统;分级体系中典型的如基于簇的分级体系,在协作时只是进行了簇头节点间的全连接,与对等合作的体系相比减少了通信开销,而且也不需要每个节点运行IDS子系统,因此计算开销也较小。其实对等合作体系相当于分级体系中一级的特例,比如基于簇的分级体系中单个节点为一个簇的情况。目前提出的框架在体系选择上一般倾向于选择这两种体系,因为这样能最大限度地利用审计数据。
2分级的Ad Hoc网络入侵检测系统体系结构的不足,由于平面结构的Ad Hoc网络没有簇头,因此分级的IDS体系应用于平面结构的Ad Hoc网络有较好的适用性。
应用于分级结构的Ad Hoc网络时,需要通过算法产生簇头,而分级的IDS也要通过算法划分入侵检测域以及产生IDS的簇头(全局检测节点),因此,导致Ad Hoc网络分簇和入侵检测域划分的分离,要执行两个算法并且可能会出现簇头和IDS全局检测节点(IDS簇头)重合的情况,加重了一些节点的工作负担。
下一节中笔者将首先介绍自适应按需加权算法(AOW),并以此为基础提出分级的IDS体系结构的改进分簇算法。
3 分级的Ad Hoc IDS体系改进
3.1 自适应按需加权算法(AOW)
算法采用一种组合加权算法来选举簇头以改善分簇网络的性能。每个节点分配一个权值(W)指示它适合充当簇头的程度,W = am+bd+cp+fe+x 其中,m表示节点的移动性;d表示节点度;p表示节点的传输功率;e表示节点剩余的能量;x表示其它可能的因素对组合权重的影响Z参数a、b、c 、f为权重因子,可动态调整。自适应按虚加权(AOW)算法选举簇头时综合考虑4种因素[19]:节点度、节点的传输功率、节点的移动性和节点的剩余能量。另外, 簇的维护采用按需更新簇头的策略:只有当节点移出统治集覆盖范围时才重新选举簇头。
AOW算法选举簇头的过程描述如下:
(1)初始化时,每个节点都处于未决定状态。通过周期性地交互“hello”探测信息,每个节点n可以确定各自的邻居结点数,作为它的度数dn;
(2)节点n计算其度数dn与理想度数M之差, 即Dn=�dn- M�;
(3)节点n计算其到所有邻居节点的距离总和Pn;
(4)根据节点n的平均移动速度来表示其移动性Mn;
(5)统计节点n作为簇头的时间Tn来表示已经消耗的电池能量;
(6)计算每个节点n的组合权重In=c1Dn+C2Pn+C3Mn+C4Tn。其中, C1~C4为权重因子, 某个参数越重要, 权重因子越大, 并满足c1+c2+c3+c4=1。然后,每个节点将得到的In和其节点ID放置在周期性的“hello”消息中向邻居节点广播;
(7)选择相邻节点中In最小的节点为簇头, 如果In相同, 选择ID较小的节点为簇头。成为簇头的节点将广播一个簇消息,宣布自己是簇头节点。第一次收到簇头广播的簇消息的邻居节点将成为该簇头所在簇的成员节点,并且它通过广播一个分簇消息宣布自己是该簇的成员节点,而不再参与分簇;
(8)重复步骤(2)~(7),直到所有的节点属于某个簇。
在步骤七中算法可以采用不同的分簇策略来实现交叠簇和非交叠簇。如果规定已经属于某个簇的成员不能再属于其他簇,那么得到的簇是非交叠簇,否则是交叠簇。交叠簇结构中同时存在网关节点和分布式网关,而非交叠簇结构则只存在分布式网关。
AOW分簇算法通常应满足以下通用的假设:
(1)节点使用全向天线,工作在半双工模式;
(2)存在理想的信道接入协议,一个节点发出的消息能够被其所有的邻居节点在很短的时间内正确收到;
(3)每个节点具有唯一的ID,在网络初始化时,每个节点可以通过交互控制消息知道其邻居节点的组合权重和ID;
(4)在分簇算法执行期间(簇结构建立时),网络的拓扑不发生改变。如果在簇建立时允许网络拓扑变化,则要求节点持续跟踪邻居节点的状态和链路的情况并做出及时的处理,即将分簇过程和簇维护过程统一进行考虑。考虑到分簇算法执行得很快,这种情况通常出现在节点移动性很高的时候,而此时分簇算法会带来过多的开销,分簇的意义会受到削弱。
3.2 改进分簇算法描述
(1)根据AOW算法生成普通簇头(非交叠簇),普通簇头不再参与IDS簇头的选举。
(2)普通簇头将簇内成员数L广播给簇内成员,簇内成员节点重新计算In=c1Fn+C2Qn+C3Mn+C4Tn;其中, C1~C4为权重因子,Fn为不在该节点通信范围内该簇内的节点的数目。Qn为其到所有簇内邻居节点的距离总和。由于在AOW算法生成普通簇头普通簇头过程中,节点会通过广播一个分簇消息宣布自己是该簇的成员节点,因此每个节点确切知道自己的每一个邻居属于哪个簇,因此簇内邻居很好确定,加上普通簇头发送的簇内成员数L可以求出Fn。每个节点将新得到的In和其节点ID放置在周期性的“hello”消息中发送给普通簇头。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文 (3)普通簇头选择成员节点中In最小的节点为IDS簇头, 如果In相同, 选择ID较小的节点为IDS簇头。普通簇头发送“任命”信息给IDS簇头。
(4)IDS簇头向邻居广播自己成为IDS簇头的消息,收到IDS簇头广播的簇消息的邻居节点将成为该IDS簇头的监视节点,没有收到IDS簇头消息的普通节点向簇头注册成为普通簇头的监视节点。(缓解了IDS簇头对于簇内节点覆盖率不足100%的问题)。普通簇头工作压力重时也可放弃监视。算法流程图如图4所示。
3.3 网络初始化和簇维护策略
初始时,网络中的所有节点都处于未决定状态,并周期性地广播其ID号,位于每个节点传输范围内的邻居节点将收到消息。假设相邻节点可以根据收到的广播消息的信号强度来估计他们之间的距离,或者通过三角测量法[22](尽管借助于GPS系统更为方便,但要求每个节点都配置GPS接收器,增加了节点的成本并且有时不能配置GPS)来获得位置坐标,并通过交互位置信息来计算节点之间的距离。因此每个节点可以了解其邻居节点的数量和距离。由于考虑的是同质Ad Hoc网络,初始时所有节点的处理能力和电池量相同。一旦节点获得了邻居节点列表,AOW算法开始工作并将网络划分为簇。在此过程中,每个节点应知道它扮演的角色(簇头和普通节点),并且普通节点需要知道它所属的簇和簇头。普通节点和簇头的移动都会影响系统的稳定性,因此系统需要不断进行更新。更新的结果可能会产生新簇和删除旧簇;也可能不需要重新分簇,而只是普通节点从一个簇移动到另一个簇。如果系统采用周期性更新簇头的方法来维护簇结构,当更新频率较高时,可以维护较准确的网络拓扑信息和较好的分簇结构,但是计算开销和能源耗费过大。而当更新频率较低时有会导致拓扑信息过时,甚至造成会话中途终止。为此,采用更加灵活的动态簇维护机制。
当改进分簇算法形成簇结构后,簇内普通节点需要监视收到来自普通簇头和IDS簇头的信号强度,以此来观察它与普通簇头,IDS簇头的分离程度。
(1)当来自普通簇头信号强度低于一定门限值时,节点通知普通簇头它将离开此簇,然后设法加入其他邻居簇,同时簇头相应地更新其成员列表,如果加入邻居簇成功,此节点再试着加入新邻居簇的IDS簇,如果失败,此节点由邻居簇的普通簇头监视。由AOW算法可知,网络中的所有簇头将构成一个统治集,当节点移动到一个没有被当前统治集覆盖的区域时,意味着现存的分簇结构已不能满足系统的要求,此时需要重新调度簇头选举算法来获得新的统治集,此过程称为统治集更新。
(2)当来自IDS簇头信号强度低于一定门限值,来自普通簇头信号强度未低于一定门限值,节点通知IDS簇头它将离开此IDS簇,并由普通簇头监视。
(3)普通簇头周期性检测自己监视的节点率(监视的簇内节点数目和簇内总节点数目的百分比),当它高于一定的门限值,就重新选举IDS簇头。
当然(1)中,如果节点无法加入其他邻居簇,移动出当前统治集覆盖的区域,也可不触发统治集的更新,而是形成新簇,那么一旦簇形成,只需进行动态的簇维护而不需在整个网络范围内重新分簇。但是这种方法可能会导致过多的孤立簇,分簇结果不够优化,并且统治集的变化更加随机。
图4 改进分簇算法流程图
3.4 算法示例
假设一个Ad Hoc网络某时刻的拓扑结构如图5所示,节点的理想度数Dideal=4,各个节点的Mn和Tn在[0,5]的范围内随机选取,C1=0.7,C2=0.2,C3=C4=0.05。应用本改进分簇算法后最终网络结构如图6所示。
图5 网络的初始拓扑结构
4 总结
(1)作为IDS簇头要监视周围邻居的活动,普通簇头要负责簇内节点和簇外节点之间的通信。这都要额外消耗节点的资源。从最终形成该Ad Hoc网络入侵检测系统体系结构中,我们可以看出普通簇头和IDS簇头未发生重合情况。本算法将负担更未合理的分配到节点中,加强了节点间的合作。
图6 最终网络拓扑图
(2)也暴露了算法的缺陷,IDS簇头的覆盖率不足100%,从图6可以看出,节点9,12不在IDS簇头通信范围内是由普通簇头代为监视的。IDS簇头覆盖率为83.33%。
5 结束语
Ad Hoc网络中的入侵检测研究目前还处于起步阶段,主要集中在路由协议上的检测上[5,8,10,14]。在Ad Hoc网络中的入侵检测也没有一些通用的数据集,而且大部分都是仅限于模拟(Simulation),缺乏实验(Experiment)验证[20]。在Ad Hoc网络中还有很多需要进一步研究的问题:
(1)各子IDS系统之间的合作问题
在对等合作和分级的体系中,IDS驻留在不同的节点,需要解决它们之间如何有效进行信息交换。文[9]中提出的各节点通过投票的方法进行合作,无疑是比较初级的合作方式;另外,分级时簇的形成与簇头的选择需要各个节点合作进行。由于已有工作大部分没有深入考虑节点资源不同和移动情况下的问题,因此有待提出合理、健壮的分簇算法以及簇头选择算法。本文提出的改进体系结构就是希望在这方面有所改进。
(2)IDS子系统的检测算法
基于异常的检测算法中,特征属性如何选取,还没有一个很好的方案。文[5]中选取了141个属性,可是对某些攻击的检测不理想。在基于人工免疫的检测中,更好地模拟人体免疫来派别自我,可以缓解误报问题。在应用多层联合检测时还需要上层与下层间进行协调[9]。
(3)IDS系统自身的安全
IDS系统间通信应该保密和节点间进行认证,防止伪造IDS命令或它们之间的通信。而目前Ad Hoc网络的大部分研究中,对IDS的安全只是提及[9],或者放在下一步工作中[20]。另外,由于Ad Hoc网络的特殊性,网络节点也容易被俘获,因此密码等设施也可能被敌对者得知。可以引入信任,如Matri在文[10]中提到的使用先验信任(Apriori trust),不过这种静态给定的信任度显然不能适应Ad Hoc网络的环境,可以采用动态改变信任度的方法。
参考文献:
[1] Chlamtac I ,Conti M ,Liu J. Mobile Ad Hoc Networking : Imperatives and Challenges, Ad-Hoc Networks Journal,2003,1(1).
[2] Brutch P, Ko C. Challenges in Intrusion Detection for Wireless Ad-Hoc Network. In:2003 Symposium on Applications and the Internet Workshops(SAINT’03 Workshops),2003.
[3] Zhang Y,Lee W. Intrusion detection in wireless ad hoc networks In:Proc. Of the sixth annual Intl.conf.on Mobile computer and networking,MOBICOM’2000,ACM Press New York,USA,2000,275-283.
[4] Zhang Y G,Lee W,Huang Yi-An. Intrusion detection techniques for mobile wireless networks. Wireless Networks 2003.
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文 [5] Hu YC,Johnson D,Perrig A. SEAD:Secure efficient distance vector routing for mobile wireless ad hoc networks. In: Fourth IEEE Workshop on Mobile Computing System and Applications(WMCSA"02),2002, 3-13.
[6] Buttyan L,Hubaux J P. Report on a Working Session on Security in Wireless Ad Hoc Networks Mobile Computing and Communications Review,2002,6(4).
[7] Hu Y,Perrig A,Johnson D B. Ariadne: A secure on-demand routing protocol for ad hoc networks.In:Proceedings of the Eighth Annual International Conference on Mobile Computing and Networking(MobiCom 2002),2002.
[8] Zapata M G. Secure ad hoc on-demand distance vector(SAODV)routing. IETF Internet Draft,
draft-guerrero-manet-saodv-00.txt,August 2001(Work in Progress).
[9] Lippmann R,Fried D,Graf I,et al. Evaluating intrusion detection systems:The 1998 darpa online intrusion detection evaluation.In:Proceedings of the 2000 DARPA Information Survivability Conference and Exposition,January 2000.
[10] Albers P,Camp O,Percher J-M,et al. Security in Ad Hoc Networks: a General Intrusion Detection Architecture Enhancing Trust Based Approaches. In: The 1st Intl. Workshop on Wireless Information Systems,Proc.of the 4th International Conf. on Enterprise Information Systems,2002 .
[11] Zhou L,Hass Z J. Securing ad hoc networks. IEEE Network Magazine,1999,13(6):24-30.
[12] Marti S,Giuli T J,Lai K,et al. Mitigating routing misbehavior in mobile ad hoc networks.In:Proc.of the Sixth Annual Intl.Conf.on Mobile Computing and Networking,2000.255-265.
[13] Kachirski O,Guha R. Effective Intrusion Detection Using Multiple Sensors in Wireless Ad Hoc Networks. In: Proc.of the 36th Hawaii Intl.Conf.on System Science
IEEE(HICSS"03),2002.
[14] Huang Yi-an,Lee W. A Cooperative Intrusion Detection System for Ad Hoc Networks.In:2003 ACM Workshop on Security of Ad Hoc and Sensor Networks(SASN"03),2003.
[15] Krishna P, Vaidya N H, Chatterjee M,et al. A cluster-based approach for routing in dynamic networks. ACM SIGCOMM Computer Communication Review,1997,27(2):49-64.
[16] Sun B,Wu K,Pooch W,et al. Alert Aggregation in Mobile Ad Hoc networks. In: WiSE’03.San Diego, California,2003
[17] Joa-Ng M,Lu I. A Peer-to-Peer zone-based two-level link state routing for mobile Ad Hoc Networks. IEEE Journal on Selected Areas in Communications,1999,17(8):1415-1425.
[18] Zhang Y, Lee W , Huang Y A. Security in ad hoc network: a general intrusion detection architecture enhancing trust based approaches . Mobile Networks and Applications, 2001, 1(16):1216.
[19] Mainak Chatterjee, Sajal K Das, Dam la Turgut. An weighted clustering algorithm (WCA) for Ad hoc networks. IEEE Globecom 2000. 1697-1701.
[20] Giovanni Vigna,Sumit Gwalani,kavitha Srinivasan An intrusion Detection Tool for AODV-based Ad hoc Wireless Networks.In:Proceedings of the Annual Computer Security Applications Conference(ACSAC) Tucson,AZ December 2004.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文