Ad-hoc網絡入侵檢測特征值選擇分析研究

王 偉

WANG Wei

（西安財經學院，西安 710061）

0 引言

近年來，國內外很多研究機構和個人展開了對移動自組網（mobile ad Hoc network，MANET）中入侵檢測系統的研究，提出了大量初步設想，基于異常檢測技術由于可以發現新入侵攻擊，成為入侵檢測技術的重要方法。

1 現有異常檢測方法的問題

目前比較成熟的異常檢測模型有基于規則的異常檢測模型、基于統計的異常檢測模型、基于數據挖掘技術的異常檢測模型和基于神經網絡的異常檢測模型。在這些基本的異常檢測模型基礎上，很多人做了具體的研究。如Yian Huang等在基于規則的異常檢測模型基礎上提出了交錯特征分析以及在交錯特征分析的基礎上提出的的協作式入侵檢測。它的優點是能較好地處理變化多樣的用戶，特別適用于不同用戶行為之間存在很大差異、而同一用戶行為則表現出很強一致性的系統環境。基于隱馬爾科夫的檢測方法采用了基于統計的異常檢測手段，該種方法維護方便，不需對規則庫不斷地更新和維護。高能等提出的一種基于數據挖掘的拒絕服務攻擊檢測技術具有實時檢測、自動監測、檢測所有的數據包洪泛DoS攻擊、檢測效率高和自動準確定位攻擊特征的優點。使用神經網絡的異常檢測方法的優勢在于：不需對原始數據作任何統計假設，并且有較好的抗干擾能力；神經網絡具有高度的學習和自適應能力，能識別出新的入侵行為特征和己知入侵行為的變種。不過這些檢測模型都存在以下幾個主要問題：

1）訓練樣本集中數據樣本選取困難。這是因為異常檢測技術大多采用統計的方法建模，將收集到的數據分成正常和異常兩類。在解決分類問題時，首先需要標注樣本的類別用來構建訓練樣本集；同時，為了提高分類精度，在學習過程中需要完備的訓練樣本，這一方面增加了構建訓練樣本集的成本；另一方面，對大量樣本的學習也需要耗費大量的機器學習時間。因而在實際應用中，要獲取大量的標注樣本是比較困難的，如何獲取完備的標注樣本成為許多異常檢測方法的瓶頸。

2）閥值確定比較困難。當閥值設定較高時，容易引起漏報，而閥值設定低時，容易引起誤報。由于不可能對系統內的所有用戶進行全面的描述，在用戶數目眾多、用戶行為經常動態改變時，系統誤報率較高。

3）異常檢測方法大多訓練時間較長，在訓練期系統不能正常工作；如果入侵者知道系統處于訓練期，可以采用逐步更新用戶模型的方式，使得系統將入侵行為也當作正常行為來建立正常模式。

因此如何提高訓練數據的質量，選擇合適的判決門限，以及實時的檢測將是異常檢測研究的重點。本文主要對黑洞節點、自私節點以及錯誤節點等路由攻擊行為進行分析，并通過opnet仿真對存在自私節點、完全正常節點以及網絡高負載幾種場景的每路由平均跳數等進行比較，證明特征值選擇的可行性。

2 惡意節點路由攻擊行為分析

MANET的安全威脅主要來自于對物理層、數據鏈路層，網絡層等，并且路由攻擊最為普遍。一般Ad-hoc網絡的惡意節點攻擊有黑洞節點攻擊、自私節點攻擊、錯誤節點攻擊、洪泛攻擊以及繞路攻擊和錯誤路由攻擊。

黑洞節點攻擊的特點是1）正確的接受并轉發所有的路由請求，使其能夠被其他節點列入路由表并誘使其他節點進行數據路由；2）當某正常節點將數據發送給惡意節點并請求路由時，它將丟棄這些數據。

自私節點攻擊的特點是1）丟棄所有路由請求報文，使自己永遠不會成為路由中繼節點；2）僅為自己發送路由請求報文，以便其他節點轉發流向自私節點的數據。錯誤節點攻擊的特點是丟棄所有發來的包。還有一些惡意節點通過實施洪泛攻擊，可以洪泛RREQ包、RREP包和數據包，目的就是使得網絡節點不停地處理這些包，從而影響了正常的服務，也稱為損耗資源攻擊。

此外，還有Detour Attack（繞路攻擊）和Misrouting Attack（錯誤路由攻擊）。前者，惡意節點在路由發現過程中增加一定數量的有效節點，使得路由轉向其它的較短路線，從而達到節約攻擊節點能量的目的。后者，惡意節點向錯誤目標發送數據包，使得數據包不能正常到達目的節點。由于這些惡意行為會引起網絡行為的一系列變化，如路由改變數、平均跳數、路由請求報文發送或接收數、路由應答報文發送或接收數、數據包的發送或接收數、路由發現時間和端到端延時等，不過惡意行為引起這些特征值的改變狀況很不一樣，這對于從繁多的特征值選擇最有效的特征值是很重要的。下面通過opnet仿真對存在自私節點、完全正常節點和網絡高負載幾種場景的統計量進行比較。

3 仿真及結果分析

在本節中，我們以opnet軟件為仿真工具，仿真區域是50m*50m，25個節點在區域中隨機分布，移動模式是沿正方形路徑勻速移動，研究了移動Ad-hoc網絡中正常情況、有20%的自私節點、有8%的自私節點以及高負載（即包間隔減小）四種場景下的網絡行為。自私節點模型是在正常節點模型基礎上修改DSR協議，使得該節點收到別的節點的路由請求包就丟棄。高負載模型是在正常節點模型的基礎上減小包間隔。

表1 仿真參數

為了觀察四種場景下的網絡行為，我們收集以下統計量：

1）每路由平均跳數（DSR.Number of Hops per route）

3）Mac層丟包數（Wireless LAN.data dropped）

4）路由層丟包數（DSR.Total packets dropped）

仿真結果如圖1-圖4所示。

圖1 每路由平均跳數

圖2 接收端收到的總流量

圖3 Mac層的丟包數

圖4 路由層的丟包數

從圖1可以看出，在正常節點和含有自私節點的兩種情況下，每路由平均跳數差別還是比較大的，不過在高負載的情況下，平均跳數相比正常情況增大，接近存在自私節點的情況。因此每路由平均跳數在高負載的情況下可能誤判為存在自私節點。在圖2中，可以看到接收端接收的總流量在四種場景下，變化不是太大，原因在于發送端可以通過不經過自私節點的路徑發送包，從而使得接收端的總流量變化不大。因此，對于自私節點，接收端總流量不適合作為特征參數。在圖3和圖4中，Mac層丟包數和路由層丟包數在存在自私節點的場景中變化很明顯，很適合作為特征參數。

4 結束語

本文通過對現有異常檢測技術的分析，得出特征值選擇是一個重要的問題。通過仿真可以看出攻擊行為引起相關特征值的變化差別很大，從而確定選擇合適的特征值得可行性。這里只統計了自私節點的一些特征值，還有另外的幾種攻擊行為還沒有仿真，它們必然存在不盡相同的特征參數，因此需要構造一個評價函數，對特征集中的所有特征進行分別評估，這樣每個特征值都得到一個評估分值，然后對全部的特征按照其分值大小進行排序，一般選擇前N個最佳特征作為結果。

[1]劉葉卿.移動Ad hoc網絡DSR路由協議入侵檢測系統的仿真[D].上海交通大學, 2008.

[2]劉永磊.基于路由信息的Ad Hoc網絡入侵檢測研究[D].暨南大學, 2007.

[3]Yi-an Huang.Cross-feature analysis for detecting ad-hoc routing an omalies.Distributed Computing Systems, 2003.Proceedings.23rd International Conference.2003, 5.

[4]高能等.一種基于數據挖掘的拒絕服務攻擊檢測技術[J].計算機學報.2006 (6).