Ad-hoc網(wǎng)絡(luò)入侵檢測(cè)特征值選擇分析研究

王 偉

WANG Wei

（西安財(cái)經(jīng)學(xué)院，西安 710061）

0 引言

近年來，國(guó)內(nèi)外很多研究機(jī)構(gòu)和個(gè)人展開了對(duì)移動(dòng)自組網(wǎng)（mobile ad Hoc network，MANET）中入侵檢測(cè)系統(tǒng)的研究，提出了大量初步設(shè)想，基于異常檢測(cè)技術(shù)由于可以發(fā)現(xiàn)新入侵攻擊，成為入侵檢測(cè)技術(shù)的重要方法。

1 現(xiàn)有異常檢測(cè)方法的問題

目前比較成熟的異常檢測(cè)模型有基于規(guī)則的異常檢測(cè)模型、基于統(tǒng)計(jì)的異常檢測(cè)模型、基于數(shù)據(jù)挖掘技術(shù)的異常檢測(cè)模型和基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)模型。在這些基本的異常檢測(cè)模型基礎(chǔ)上，很多人做了具體的研究。如Yian Huang等在基于規(guī)則的異常檢測(cè)模型基礎(chǔ)上提出了交錯(cuò)特征分析以及在交錯(cuò)特征分析的基礎(chǔ)上提出的的協(xié)作式入侵檢測(cè)。它的優(yōu)點(diǎn)是能較好地處理變化多樣的用戶，特別適用于不同用戶行為之間存在很大差異、而同一用戶行為則表現(xiàn)出很強(qiáng)一致性的系統(tǒng)環(huán)境。基于隱馬爾科夫的檢測(cè)方法采用了基于統(tǒng)計(jì)的異常檢測(cè)手段，該種方法維護(hù)方便，不需對(duì)規(guī)則庫(kù)不斷地更新和維護(hù)。高能等提出的一種基于數(shù)據(jù)挖掘的拒絕服務(wù)攻擊檢測(cè)技術(shù)具有實(shí)時(shí)檢測(cè)、自動(dòng)監(jiān)測(cè)、檢測(cè)所有的數(shù)據(jù)包洪泛DoS攻擊、檢測(cè)效率高和自動(dòng)準(zhǔn)確定位攻擊特征的優(yōu)點(diǎn)。使用神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)方法的優(yōu)勢(shì)在于：不需對(duì)原始數(shù)據(jù)作任何統(tǒng)計(jì)假設(shè)，并且有較好的抗干擾能力；神經(jīng)網(wǎng)絡(luò)具有高度的學(xué)習(xí)和自適應(yīng)能力，能識(shí)別出新的入侵行為特征和己知入侵行為的變種。不過這些檢測(cè)模型都存在以下幾個(gè)主要問題：

1）訓(xùn)練樣本集中數(shù)據(jù)樣本選取困難。這是因?yàn)楫惓z測(cè)技術(shù)大多采用統(tǒng)計(jì)的方法建模，將收集到的數(shù)據(jù)分成正常和異常兩類。在解決分類問題時(shí)，首先需要標(biāo)注樣本的類別用來構(gòu)建訓(xùn)練樣本集；同時(shí)，為了提高分類精度，在學(xué)習(xí)過程中需要完備的訓(xùn)練樣本，這一方面增加了構(gòu)建訓(xùn)練樣本集的成本；另一方面，對(duì)大量樣本的學(xué)習(xí)也需要耗費(fèi)大量的機(jī)器學(xué)習(xí)時(shí)間。因而在實(shí)際應(yīng)用中，要獲取大量的標(biāo)注樣本是比較困難的，如何獲取完備的標(biāo)注樣本成為許多異常檢測(cè)方法的瓶頸。

2）閥值確定比較困難。當(dāng)閥值設(shè)定較高時(shí)，容易引起漏報(bào)，而閥值設(shè)定低時(shí)，容易引起誤報(bào)。由于不可能對(duì)系統(tǒng)內(nèi)的所有用戶進(jìn)行全面的描述，在用戶數(shù)目眾多、用戶行為經(jīng)常動(dòng)態(tài)改變時(shí)，系統(tǒng)誤報(bào)率較高。

3）異常檢測(cè)方法大多訓(xùn)練時(shí)間較長(zhǎng)，在訓(xùn)練期系統(tǒng)不能正常工作；如果入侵者知道系統(tǒng)處于訓(xùn)練期，可以采用逐步更新用戶模型的方式，使得系統(tǒng)將入侵行為也當(dāng)作正常行為來建立正常模式。

因此如何提高訓(xùn)練數(shù)據(jù)的質(zhì)量，選擇合適的判決門限，以及實(shí)時(shí)的檢測(cè)將是異常檢測(cè)研究的重點(diǎn)。本文主要對(duì)黑洞節(jié)點(diǎn)、自私節(jié)點(diǎn)以及錯(cuò)誤節(jié)點(diǎn)等路由攻擊行為進(jìn)行分析，并通過opnet仿真對(duì)存在自私節(jié)點(diǎn)、完全正常節(jié)點(diǎn)以及網(wǎng)絡(luò)高負(fù)載幾種場(chǎng)景的每路由平均跳數(shù)等進(jìn)行比較，證明特征值選擇的可行性。

2 惡意節(jié)點(diǎn)路由攻擊行為分析

MANET的安全威脅主要來自于對(duì)物理層、數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層等，并且路由攻擊最為普遍。一般Ad-hoc網(wǎng)絡(luò)的惡意節(jié)點(diǎn)攻擊有黑洞節(jié)點(diǎn)攻擊、自私節(jié)點(diǎn)攻擊、錯(cuò)誤節(jié)點(diǎn)攻擊、洪泛攻擊以及繞路攻擊和錯(cuò)誤路由攻擊。

黑洞節(jié)點(diǎn)攻擊的特點(diǎn)是1）正確的接受并轉(zhuǎn)發(fā)所有的路由請(qǐng)求，使其能夠被其他節(jié)點(diǎn)列入路由表并誘使其他節(jié)點(diǎn)進(jìn)行數(shù)據(jù)路由；2）當(dāng)某正常節(jié)點(diǎn)將數(shù)據(jù)發(fā)送給惡意節(jié)點(diǎn)并請(qǐng)求路由時(shí)，它將丟棄這些數(shù)據(jù)。

自私節(jié)點(diǎn)攻擊的特點(diǎn)是1）丟棄所有路由請(qǐng)求報(bào)文，使自己永遠(yuǎn)不會(huì)成為路由中繼節(jié)點(diǎn)；2）僅為自己發(fā)送路由請(qǐng)求報(bào)文，以便其他節(jié)點(diǎn)轉(zhuǎn)發(fā)流向自私節(jié)點(diǎn)的數(shù)據(jù)。錯(cuò)誤節(jié)點(diǎn)攻擊的特點(diǎn)是丟棄所有發(fā)來的包。還有一些惡意節(jié)點(diǎn)通過實(shí)施洪泛攻擊，可以洪泛RREQ包、RREP包和數(shù)據(jù)包，目的就是使得網(wǎng)絡(luò)節(jié)點(diǎn)不停地處理這些包，從而影響了正常的服務(wù)，也稱為損耗資源攻擊。

此外，還有Detour Attack（繞路攻擊）和Misrouting Attack（錯(cuò)誤路由攻擊）。前者，惡意節(jié)點(diǎn)在路由發(fā)現(xiàn)過程中增加一定數(shù)量的有效節(jié)點(diǎn)，使得路由轉(zhuǎn)向其它的較短路線，從而達(dá)到節(jié)約攻擊節(jié)點(diǎn)能量的目的。后者，惡意節(jié)點(diǎn)向錯(cuò)誤目標(biāo)發(fā)送數(shù)據(jù)包，使得數(shù)據(jù)包不能正常到達(dá)目的節(jié)點(diǎn)。由于這些惡意行為會(huì)引起網(wǎng)絡(luò)行為的一系列變化，如路由改變數(shù)、平均跳數(shù)、路由請(qǐng)求報(bào)文發(fā)送或接收數(shù)、路由應(yīng)答報(bào)文發(fā)送或接收數(shù)、數(shù)據(jù)包的發(fā)送或接收數(shù)、路由發(fā)現(xiàn)時(shí)間和端到端延時(shí)等，不過惡意行為引起這些特征值的改變狀況很不一樣，這對(duì)于從繁多的特征值選擇最有效的特征值是很重要的。下面通過opnet仿真對(duì)存在自私節(jié)點(diǎn)、完全正常節(jié)點(diǎn)和網(wǎng)絡(luò)高負(fù)載幾種場(chǎng)景的統(tǒng)計(jì)量進(jìn)行比較。

3 仿真及結(jié)果分析

在本節(jié)中，我們以opnet軟件為仿真工具，仿真區(qū)域是50m*50m，25個(gè)節(jié)點(diǎn)在區(qū)域中隨機(jī)分布，移動(dòng)模式是沿正方形路徑勻速移動(dòng)，研究了移動(dòng)Ad-hoc網(wǎng)絡(luò)中正常情況、有20%的自私節(jié)點(diǎn)、有8%的自私節(jié)點(diǎn)以及高負(fù)載（即包間隔減小）四種場(chǎng)景下的網(wǎng)絡(luò)行為。自私節(jié)點(diǎn)模型是在正常節(jié)點(diǎn)模型基礎(chǔ)上修改DSR協(xié)議，使得該節(jié)點(diǎn)收到別的節(jié)點(diǎn)的路由請(qǐng)求包就丟棄。高負(fù)載模型是在正常節(jié)點(diǎn)模型的基礎(chǔ)上減小包間隔。

表1 仿真參數(shù)

為了觀察四種場(chǎng)景下的網(wǎng)絡(luò)行為，我們收集以下統(tǒng)計(jì)量：

1）每路由平均跳數(shù)（DSR.Number of Hops per route）

3）Mac層丟包數(shù)（Wireless LAN.data dropped）

4）路由層丟包數(shù)（DSR.Total packets dropped）

仿真結(jié)果如圖1-圖4所示。

圖1 每路由平均跳數(shù)

圖2 接收端收到的總流量

圖3 Mac層的丟包數(shù)

圖4 路由層的丟包數(shù)

從圖1可以看出，在正常節(jié)點(diǎn)和含有自私節(jié)點(diǎn)的兩種情況下，每路由平均跳數(shù)差別還是比較大的，不過在高負(fù)載的情況下，平均跳數(shù)相比正常情況增大，接近存在自私節(jié)點(diǎn)的情況。因此每路由平均跳數(shù)在高負(fù)載的情況下可能誤判為存在自私節(jié)點(diǎn)。在圖2中，可以看到接收端接收的總流量在四種場(chǎng)景下，變化不是太大，原因在于發(fā)送端可以通過不經(jīng)過自私節(jié)點(diǎn)的路徑發(fā)送包，從而使得接收端的總流量變化不大。因此，對(duì)于自私節(jié)點(diǎn)，接收端總流量不適合作為特征參數(shù)。在圖3和圖4中，Mac層丟包數(shù)和路由層丟包數(shù)在存在自私節(jié)點(diǎn)的場(chǎng)景中變化很明顯，很適合作為特征參數(shù)。

4 結(jié)束語

本文通過對(duì)現(xiàn)有異常檢測(cè)技術(shù)的分析，得出特征值選擇是一個(gè)重要的問題。通過仿真可以看出攻擊行為引起相關(guān)特征值的變化差別很大，從而確定選擇合適的特征值得可行性。這里只統(tǒng)計(jì)了自私節(jié)點(diǎn)的一些特征值，還有另外的幾種攻擊行為還沒有仿真，它們必然存在不盡相同的特征參數(shù)，因此需要構(gòu)造一個(gè)評(píng)價(jià)函數(shù)，對(duì)特征集中的所有特征進(jìn)行分別評(píng)估，這樣每個(gè)特征值都得到一個(gè)評(píng)估分值，然后對(duì)全部的特征按照其分值大小進(jìn)行排序，一般選擇前N個(gè)最佳特征作為結(jié)果。

[1]劉葉卿.移動(dòng)Ad hoc網(wǎng)絡(luò)DSR路由協(xié)議入侵檢測(cè)系統(tǒng)的仿真[D].上海交通大學(xué), 2008.

[2]劉永磊.基于路由信息的Ad Hoc網(wǎng)絡(luò)入侵檢測(cè)研究[D].暨南大學(xué), 2007.

[3]Yi-an Huang.Cross-feature analysis for detecting ad-hoc routing an omalies.Distributed Computing Systems, 2003.Proceedings.23rd International Conference.2003, 5.

[4]高能等.一種基于數(shù)據(jù)挖掘的拒絕服務(wù)攻擊檢測(cè)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào).2006 (6).