MANET入侵檢測技術國內外研究現狀

劉桐

摘 要 對MANET入侵檢測技術的研究始于20世紀80年代，隨著網絡技術和規模的不斷發展，MANET的應用領域愈加廣泛，對它的研究也變的越來越熱門。

關鍵詞 MANET 入侵檢測 IDS

對MANET入侵檢測的研究一般分為IDS系統架構和入侵檢測方法這兩個方面。隨著攻擊者的入侵策略的改變，傳統的安全防護措施，如防火墻技術等早已不能滿足人們對于網絡安全的要求。入侵檢測技術彌補了傳統的被動防護技術的不足，它在攻擊發生之時，并且沒有對網絡造成嚴重損害時就可以采取一定的防護措施。因此，入侵檢測技術得到了越來越多的應用，對它的性能進行完善具有重要的意義。

目前對移動自組網中的入侵檢測技術的研究大致可以分為以下幾類：

1單節點式IDS

單節點式IDS就是相互獨立的入侵檢測模型，是早期對MANET進行研究時的內容。它在僅在網絡中的節點上部署本地檢測模塊，每個節點獨立進行入侵檢測，節點之間沒有合作交流。比較典型的有Sergio Marti等提出的“看門狗——選路人”方法，MANET信息傳遞一般都要進行多跳才能完成，也就是兩個節點的通信要經過中間節點的轉發。該方法的思想是：利用“看門狗”機制在當源節點要發送消息給目標時，對消息要經過的中間節點的可靠性進行檢查，如果不可靠，則將其記入黑名單，在傳輸數據時，不再經過黑名單中的節點。“選路人”機制的作用是使得源節點可以對消息傳輸的路徑進行選擇，從而避開黑名單中的節點，完成消息的傳遞。

單節點式的入侵檢測系統的優點是部署簡單方便，節約通信帶寬。但在實際情況中，入侵攻擊的方式越來越多樣化，如果只通過單一節點自身的檢測，網絡的安全性就很難保證。

2分布式入侵檢測系統

MANET入侵檢測技術研究的先驅Y.Zhang和W.Lee為了對其進行更加全面的檢測，提出了一種MANET的分布式對等合作入侵檢測系統模型。該模型的思想是在網絡中的每臺主機上都部署IDS代理，獨立進行本地入侵檢測，對自身的活動進行監測，由于無線信號傳播介質的開放性，每個節點也可以依靠這個特性對自己的鄰居節點進行協作檢測。比如某臺主機無法判斷自己是不是受到了攻擊，也就是該主機的知識庫中沒有此類攻擊，那么它就向相鄰主機發出信號，進行協作檢測。

本地數據收集模塊的任務是對自身的日志、記錄、與鄰居節點的通信等行為進行收集。

本地檢測引擎的功能與傳統網絡的本地檢測模塊一樣，它對本地數據收集模塊收集到的各種信息進行處理、分析，從而判斷是否有入侵行為。

合作檢測引擎也就是協作檢測模塊，它的功能實現了相鄰主機的合作，對單個主機無法處理的問題進行解決。

本地響應模塊在檢測模塊確定有攻擊發生并報告后，按照一定的程序進行響應，比如切斷連接、終止用戶賬戶、丟棄入侵數據等。

全局響應模塊在檢測模塊檢測到入侵行為并報告后，對入侵攻擊的相關情況及惡意節點ID在整個網絡中進行廣播，以便各節點及時采取一定措施。

安全通信模塊的作用是當網絡中的主機之間進行數據交換時，提供安全的通信保障，保證整個網絡中數據的安全收發。

分布式入侵檢測系統的優點是網絡每個節點可以對自身及鄰居的行為進行檢測，符合MANET的特點，也具有較高的檢測效率。但它的缺點同樣明顯，MANET的節點由電池供電，在能源方面十分有限，在網絡中每個節點部署IDS代理會加速節點能量的消耗，而且所有節點對鄰居節點進行檢測也造成了共有的鄰居節點被檢測兩次或兩次以上，這對網絡資源是一種極大的浪費。

3基于移動Agent的分布式入侵檢測系統

Kachirski和Guha首次設計了一種基于移動Agent的入侵檢測系統，將擔任監測任務的Agent只運行在某些節點上，且由于移動Agent本身的特性，它可以在節點間漫游。該系統具有分布性和移動性，利用移動Agent對網絡數據進行處理的好處是能分布式地對網絡中的數據進行搜集，并依據一定的技術進行分析處理，從而避免了大量數據在網絡中傳送，節約網絡資源。且當移動Agent當前運行的節點發生故障，它可以漫游到網絡中的其它節點上繼續之前的工作。目前，移動Agent技術已經在MANET入侵檢測系統中得到了廣泛的應用。

4分級的入侵檢測系統

分級的入侵檢測系統將網絡中的節點分成不同的級別，節點依據自身級別執行不同的入侵檢測任務，低級別的節點一般進行基本的入侵檢測（如本地檢測）來確保自身安全，也可能不進行檢測，高級別的節點則可以利用低級別節點收集的信息，進行比較完整的入侵檢測，具有較高的檢測效率。這樣做避免了分布式入侵檢測中節點額外的計算、通信開銷等問題。目前分級的入侵檢測系統相關研究有Yi-an Huang等人提出的MANET中基于簇的入侵檢測；Bo Sun等人提出的基于域的入侵檢測系統。

5 MANET分簇算法的研究

移動Ad Hoc由于有限的能源及動態拓撲的特點，對分簇結構會造成很大影響，導致整個系統性能下降。因此，為了保證網絡分簇結構穩定，對分簇算法的研究也是MANET入侵檢測系統研究的一個重要方面。

目前較為典型的幾種適用于MANET的分簇算法有：

最小ID算法（LOWID），分簇時選舉鄰居節點中具有最小ID（網絡中每個節點唯一）號的節點為簇首；最大連接度算法（HIGHD），分簇時選舉鄰居節點中具有最大連接度（鄰居節點的數目）的節點成為簇首；最小移動性算法（WM），分簇時選舉鄰居節點中移動性最小（穩定性最好）的節點作為簇首；自適應按需加權算法（AOW），利用加權思想對節點依照一定的規則賦予權值，分簇時權值最小的節點成為簇首。這幾種典型的分簇算法都有自己的缺點，仍需要不斷改進。

由此可見，盡管眾多學者對MANET入侵檢測算法進行了研究，提出了一些入侵檢測算法，但是可以看到，這些算法在具有自身特點的同時，也存在著諸多缺點。

參考文獻

[1] 謝康.基于神經網絡的入侵檢測相關技術研究[D].山東大學，2016.

[2] 程鈴. MANET入侵檢測技術的研究[J].微電子學與計算機，2010（06）：57-59+63.

[3] Preeti Mishra，Emmanuel S. Pilli，Vijay Varadharajan，Udaya Tupakula. Intrusion detection techniques in cloud environment： A survey[J]. Journal of Network and Computer Applications，2017，77：.