论文部分内容阅读
摘要:随着无线网络的快速发展和移动计算应用的快速增加,移动无线网络安全问题愈加突出。入侵检测作为保证网络安全的一种有效手段已经从保护固定有线网络扩展到移动无线网络。作为无线移动网络众多实现方式之一的移动Ad Hoc网络分为平面和分级两种结构。由于其与有线网络存在很大差别,现有针对有线网络开发的入侵检测系统很难适用于移动Ad Hoc网络。本文在描述入侵检测相关技术的基础上改进了分级的Ad Hoc网络入侵检测系统体系结构,并给出了该系统的分簇算法,使之更好地应用于分级的Ad Hoc网络。
关键词:Ad Hoc网络;入侵检测;簇
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)18-31548-04
Improvement of Hierarchical Wireless Ad Hoc Network Intrusion Detection System
LIU Yong-lei
(Dept. of Electron & Information Engineering, Tianjin Institute of Urban Construction, Tianjin 300384, China)
Abstract: With the rapid increasing of wireless network and mobile computing,the safety of wireless networks becomes more important. As an effective method of protecting networks' safety, the application of Intrusion detection has extended from fixed wired networks to wireless mobile networks. Wireless mobile networks have plane or hierarchical structure. Due to the different network characteristics and transmission media, intrusion detection techniques used in wired networks are not well applied in mobile ad hoc networks. The paper describes intrusion detection techniques, improve the hierarchical wireless ad hoc network intrusion detection system and advance a new algorithm for dividing clusters in details, applying to hierarchical wireless ad hoc network better.
Key words: Ad Hoc Networks;Intrusion Detection;Cluster
1 引言
Ad Hoc网络是一种无组织的对等网络,使用无线通信技术。网络中没有固定的基础设施(如接入点),各节点自主连接,组成网络。相邻的节点间一般可以直接通信,共享同样的物理频段;而非相邻的节点间采用多跳(Multi-hops)的方式进行通信,即通过中间节点进行转发。这种无组织的连接方式具有极大的灵活性,很适合应用在战场、灾难救援现场等地方,因为此时网络通信不能依赖于任何基础设施,也没有节点进行集中控制。由于其重要应用前景,特别是随着蓝牙、IEEE 802.11等新技术引进以来,Ad Hoc网络在研究领域引起了广泛的关注[1]。网络安全一直是网络技术应用中的一个非常重要话题,而在Ad Hoc网络中,安全的需要变得更加迫切,主要原因如下[2,3,4]:
(1)节点更容易被入侵。一方面,Ad Hoc网络节点能自主移动不受限制,这使得容易在经过的区域中被入侵,且物理上的保护也更加困难;另一方面,恶意节点容易伪装,可能先进行非法入侵,然后通过断开操作(Disconnect Operation),脱离网络后更换标示,重新加入伪装成正常节点;
(2)使用无线连接,信号容易被窃听和干扰,入侵者无需取得对物理链路的访问就可以监听数据;
(3)节点的资源和带宽有限,有限资源容易被非法操作耗尽;
(4)Ad Hoc网络缺乏明显的边界。节点间的连接都是自组织的,区域内的任何节点间均可通信,没有明显边界,因此没有防火墙之类安全设施,这使得节点直接暴露在攻击者面前。
已经有了一些学者针对Ad Hoc网络的安全路由进行的一些研究工作[5,6,7,8],但是它们只是防范措施,在有线网络中已经证明安全的网络应该是具有逐步防御的(Defense-in-Depth)多层设施,入侵检测是在入侵发生后的一层上。从获取数据手段上入侵检测可分为基于网络(Network-based)和基于主机(Host-based)两种[3,9];从使用的检测技术上又可分为基于误用的检测(Misuse-based)和基于异常的检测(Anomaly-based)。基于误用的检测,如STAT,通过检测是否匹配预定义的一些指示入侵的特性来进行,因此具有较低的误报率,但不能检测出未定义其特性的未来可能出现的入侵;基于异常的检测如IDES则是建立用户在正常行为下的使用模式,如果发现现行情况异于此模式,则认为发生了入侵,这种方法误报率比较高,但是能够检测出一些未来新的入侵。入侵检测是保障网络安全的一个重要手段,对于保障Ad Hoc网络的安全也是必需的。
2 背景
2.1 Ad Hoc网络体系结构
Ad Hoc网络一般有两种结构:平面结构(如图1所示)和分级结构(如图2、图3所示)。在平面结构中,所有结点的地位平等,所以又可以称为对等式结构。而分级结构中,网络被划分为簇。每个簇由一个簇头和多个簇成员组成。这些簇头形成了高一级的网络。在高一级网络中,又可以分簇,再次形成更高一级的网络,直至最高级。
图1 平面结构
分级结构中,簇头结点负责簇间数据的转发。簇头可以预先指定,也可以由结点使用算法选举产生。分级结构的网络又可以被分为单频分级和多频分级两种。单频率分级网络(如图2所示)中,所有结点使用同一个频率通信。为了实现簇头之间的通信,要有网关结点(同时属于两个簇的结点)的支持。而在多频率分级网络中(如图3所示),不同级采用不同的通信频率。低级结点的通信范围较小,而高级结点要覆盖较大的范围。高级的结点同时处于多个级中,有多个频率, 用不同的频率实现不同级的通信。在图3所示的两级网络中,簇头结点有两个频率。频率1用于簇头与簇成员的通信。而频率2用于簇头之间的通信。分级网络的每个结点都可以成为簇头,所以需要适当的簇头选举算法,算法要能根据网络拓扑的变化重新分簇。
图2 单频分级结构
图3 多频分级结构
2.2 研究现状
由于Ad Hoc网络移动性强,网络拓扑和通信均不稳定,使得怎样部署IDS系统以及它们之间是否有数据交换、如何交换数据、相互协作等成为比较关键的问题。已提出的体系结构中,按照各个节点IDS间的关系,可以大致分为3种不同类型的体系结构。
关键词:Ad Hoc网络;入侵检测;簇
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)18-31548-04
Improvement of Hierarchical Wireless Ad Hoc Network Intrusion Detection System
LIU Yong-lei
(Dept. of Electron & Information Engineering, Tianjin Institute of Urban Construction, Tianjin 300384, China)
Abstract: With the rapid increasing of wireless network and mobile computing,the safety of wireless networks becomes more important. As an effective method of protecting networks' safety, the application of Intrusion detection has extended from fixed wired networks to wireless mobile networks. Wireless mobile networks have plane or hierarchical structure. Due to the different network characteristics and transmission media, intrusion detection techniques used in wired networks are not well applied in mobile ad hoc networks. The paper describes intrusion detection techniques, improve the hierarchical wireless ad hoc network intrusion detection system and advance a new algorithm for dividing clusters in details, applying to hierarchical wireless ad hoc network better.
Key words: Ad Hoc Networks;Intrusion Detection;Cluster
1 引言
Ad Hoc网络是一种无组织的对等网络,使用无线通信技术。网络中没有固定的基础设施(如接入点),各节点自主连接,组成网络。相邻的节点间一般可以直接通信,共享同样的物理频段;而非相邻的节点间采用多跳(Multi-hops)的方式进行通信,即通过中间节点进行转发。这种无组织的连接方式具有极大的灵活性,很适合应用在战场、灾难救援现场等地方,因为此时网络通信不能依赖于任何基础设施,也没有节点进行集中控制。由于其重要应用前景,特别是随着蓝牙、IEEE 802.11等新技术引进以来,Ad Hoc网络在研究领域引起了广泛的关注[1]。网络安全一直是网络技术应用中的一个非常重要话题,而在Ad Hoc网络中,安全的需要变得更加迫切,主要原因如下[2,3,4]:
(1)节点更容易被入侵。一方面,Ad Hoc网络节点能自主移动不受限制,这使得容易在经过的区域中被入侵,且物理上的保护也更加困难;另一方面,恶意节点容易伪装,可能先进行非法入侵,然后通过断开操作(Disconnect Operation),脱离网络后更换标示,重新加入伪装成正常节点;
(2)使用无线连接,信号容易被窃听和干扰,入侵者无需取得对物理链路的访问就可以监听数据;
(3)节点的资源和带宽有限,有限资源容易被非法操作耗尽;
(4)Ad Hoc网络缺乏明显的边界。节点间的连接都是自组织的,区域内的任何节点间均可通信,没有明显边界,因此没有防火墙之类安全设施,这使得节点直接暴露在攻击者面前。
已经有了一些学者针对Ad Hoc网络的安全路由进行的一些研究工作[5,6,7,8],但是它们只是防范措施,在有线网络中已经证明安全的网络应该是具有逐步防御的(Defense-in-Depth)多层设施,入侵检测是在入侵发生后的一层上。从获取数据手段上入侵检测可分为基于网络(Network-based)和基于主机(Host-based)两种[3,9];从使用的检测技术上又可分为基于误用的检测(Misuse-based)和基于异常的检测(Anomaly-based)。基于误用的检测,如STAT,通过检测是否匹配预定义的一些指示入侵的特性来进行,因此具有较低的误报率,但不能检测出未定义其特性的未来可能出现的入侵;基于异常的检测如IDES则是建立用户在正常行为下的使用模式,如果发现现行情况异于此模式,则认为发生了入侵,这种方法误报率比较高,但是能够检测出一些未来新的入侵。入侵检测是保障网络安全的一个重要手段,对于保障Ad Hoc网络的安全也是必需的。
2 背景
2.1 Ad Hoc网络体系结构
Ad Hoc网络一般有两种结构:平面结构(如图1所示)和分级结构(如图2、图3所示)。在平面结构中,所有结点的地位平等,所以又可以称为对等式结构。而分级结构中,网络被划分为簇。每个簇由一个簇头和多个簇成员组成。这些簇头形成了高一级的网络。在高一级网络中,又可以分簇,再次形成更高一级的网络,直至最高级。
图1 平面结构
分级结构中,簇头结点负责簇间数据的转发。簇头可以预先指定,也可以由结点使用算法选举产生。分级结构的网络又可以被分为单频分级和多频分级两种。单频率分级网络(如图2所示)中,所有结点使用同一个频率通信。为了实现簇头之间的通信,要有网关结点(同时属于两个簇的结点)的支持。而在多频率分级网络中(如图3所示),不同级采用不同的通信频率。低级结点的通信范围较小,而高级结点要覆盖较大的范围。高级的结点同时处于多个级中,有多个频率, 用不同的频率实现不同级的通信。在图3所示的两级网络中,簇头结点有两个频率。频率1用于簇头与簇成员的通信。而频率2用于簇头之间的通信。分级网络的每个结点都可以成为簇头,所以需要适当的簇头选举算法,算法要能根据网络拓扑的变化重新分簇。
图2 单频分级结构
图3 多频分级结构
2.2 研究现状
由于Ad Hoc网络移动性强,网络拓扑和通信均不稳定,使得怎样部署IDS系统以及它们之间是否有数据交换、如何交换数据、相互协作等成为比较关键的问题。已提出的体系结构中,按照各个节点IDS间的关系,可以大致分为3种不同类型的体系结构。