基于可編程移動代理的MANETs分布式入侵檢測方法

張雙 周森鑫

摘要： [目的/意義]隨著互聯網和大數據的迅猛發展，網絡安全問題成為了當下人們關注的熱點。為了更好的防御主要的網絡安全攻擊，提出了一種基于可編程移動代理的MANETs分布式自適應入侵檢測系統的方法。[方法]首先，把通用的入侵檢測模型結合到入侵檢測系統中，考慮到（MANETs）無線自組織網系統的關鍵功能，然后提出了基于規則和基于行為的入侵檢測模型。[結果]方案的提出解決了MANETs中入侵檢測系統安裝面臨的固有挑戰。用移動代理的可篡改性去檢測任何潛在的試圖破壞他們所攜帶的攻擊相關的數據。

Abstract： [Objective/significance] With the rapid development of Internet and big data， network security has become the focus of attention. In order to better defend the main network security attacks， a method of MANETs distributed adaptive intrusion detection system based on programmable mobile agent is proposed. [Method] Firstly， it integrates the common intrusion detection model with intrusion detection system and takes into account the key function of wireless ad hoc network system， and then puts forward rule-based and behavior-based intrusion detection model.[Result] The proposed scheme solves the inherent challenge of intrusion detection system installation in MANETs. It uses the tampered nature of mobile agents to detect the any data with potential attempt.

關鍵詞： MANETs；移動代理；入侵檢測系統；可篡改性

Key words： MANETs；mobile agent；intrusion detection system；tampered nature

中圖分類號：TP393.0 文獻標識碼：A 文章編號：1006-4311（2018）11-0079-03

0 引言

隨著互聯網和大數據的迅猛發展，網絡安全問題成為了當下人們關注的熱點。在最近幾十年中，無線自組織網絡系統已被廣泛應用于許多關鍵應用中且這一突出的技術的廣泛使用的安全性成為一個具有挑戰性的問題。這主要是由于自組織網絡的設計特性，像無基礎結構的對等多跳網絡體系、共享無線介質、嚴格的功率和帶寬的限制，最重要的是，頻繁變化的信道接入和路由決策的高度動態的網絡拓撲結構。相比于以有線網絡為基礎的傳統的基礎設施來說無線自組織網絡面臨更多的安全問題。因此，高效率的安全機制是時刻需要的。本文集中從入侵檢測系統方面考慮，因為它始終是抵御攻擊的一個主要的防線和一種廣泛接受的主動防御策略。

該方案的設計考慮動態特性的MANETs及其各種相關約束。它提供了一個基于可編程移動代理的重量輕，低開銷的入侵檢測方案。這個方案的好處是基于行為和基于規則的計劃。基于行為的方法是依次加上高效的模糊邏輯訓練計劃以顯著減少誤報和提高檢出率。它的亮點是通過使其可編程來確保其代理的安全性。這種方法的美觀性和有效性是整個IDS計劃圍繞使用編程和動態的移動代理來實現所有的功能。

1 入侵檢測系統的概述

1.1 網絡入侵檢測技術的簡要概述系

根據監視的對象不同，入侵檢測系統分為[1]基于主機入侵檢測系統、基于網絡入侵檢測系統和基于應用入侵檢測系統。基于網絡入侵檢測系統[2]指通過捕獲并分析出現在共享網段[3]上的網絡分組來檢測入侵行為，目前隨著網絡技術的發展和網絡規模的不斷擴大，在市場上處于主導地位。

按照功能劃分，網絡入侵檢測系統包括四個基本組件[4]，即事件產生器、事件分析器、響應單元、事件數據庫。網絡入侵檢測系統框架如圖1所示。

1.2 入侵檢測系統方案的方向

一種常用的入侵檢測系統分類方案是基于行為的檢測，它是建立在長期監測和分類的預期/正常或異常。由于動態性質導致隨機通信模式使這個計劃去實施是非常具有挑戰性的。另一種方法是基于規則的模型，該模型需要維護一個廣泛的數據庫的所有攻擊模式，并需要定期在每個節點進行更新。這種方法不能獨立實施，因為它會帶來更多的計算成本和可能無法有效地檢測新的攻擊。

入侵檢測系統分類的另一個方向是分布式Vs集中式方案。分布式入侵檢測系統計劃使用合作的檢測策略去確定一個攻擊，而在集中式的方法決定是單方面采取的。還有一個分類與功能的分布有關的平面和分層的方法。在扁平體系結構中，網絡中的每個節點共享相同的責任、在入侵檢測中的任務和決定的制定，而層次結構，節點具有用一個根節點控制決策的不同的功能。

1.3 MANETs相關的研究進展

對于MANETs的入侵檢測系統的設計中已經做了一些努力，但其中大多數不能提供一個涵蓋MANET安全的各個方面高效的和可靠的方案。這一領域的開拓性工作之一是由Zhang and Lee在他們描述的一個分布式和協作的入侵檢測系統的MANETs[5]。在這個模型中，他們使用了一個扁平的體系結構和部署在移動節點的入侵檢測系統代理是同等重要的。然而，它們在各自的節點尋找惡意活動且它只在沒有確鑿證據的情況下，入侵檢測采用合作投票方法進行。入侵檢測是在分布式和合作的方式，但在核心上它的功能在一個扁平結構上。

另一個相關的結構是由史米斯提出的基于移動代理的入侵檢測系統結構的MANETS[6]。史米斯的工作方向與前一個相類似，一個扁平的體系結構和分布式協作方式用于入侵檢測中。這種模式和文獻[1]中解釋的區別在于它對通信來說使用的代理是靜態的，遵循RPC計劃，而史米斯利用的是移動代理。

本文提出的工作中，已經從提出的優化設計的安全領導者選舉算法[7]中畫出了移動網絡邏輯劃分的概念和從工作中選擇簇頭的思路，用于部署各種網絡監控代理的網絡節點選擇。

1.4 方案的相關工作及動機的比較分析

這一部分從有效性、效率、自我安全和適應性、自我學習等多方面要求上對相關方法進行了廣泛的分析。

有效性：研究工作遵循一個扁平架構的入侵檢測和中層次結構。入侵檢測系統模型的有效性是高度依賴于所使用的ID算法和算法的執行方法。雖然采用分布式和協作的方法，它患有扁平架構的缺點。任何缺陷或錯誤的參與節點的功能可以在一個扁平的和集中式架構中嚴格地劃分有效性。由于這一點，對于補償有效性入侵檢測來說分層和模塊化的方法將是一個更好的選擇。

效率：一個有效的入侵檢測系統模型應盡量減少網絡的使用和主機資源，如CPU功率、帶寬和電池電量。一個平面結構相比于分層方案在以下兩個方面遭受潛在的挫折。有相當大的帶寬消耗相關的所有參與節點之間的數據交換和過度利用的節點資源，由于復制ID功能在每一個節點上而不是專門的任務分布在分層方案。

自安全性和適應性：入侵檢測系統計劃設計對MANETS來說應該是有免疫攻擊，應該能夠學習新的攻擊，在動態和異構MANET環境。此外，由于偽造或惡意輸入，入侵檢測系統可能有被損壞的機會。

總之，對移動自組網來說所有這些因素在設計與實現入侵檢測系統方案的時候應該被考慮到。通過分析可以看出，在相關工作中討論的入侵檢測系統模型中沒有一個完全滿足上述要求。這促使本文用安全的移動代理對MANET設計一個分布式入侵檢測系統。該方案試圖掩蓋現有系統的缺點，通過使用基于規則和基于行為的計劃相結合的。首先，有一個動態學習模塊，它采用先進的人工神經網絡和模糊邏輯算法開發新的攻擊庫。這可以幫助在很大程度上減少誤報，并確定新的攻擊模式。

2 分布式IDS的體系結構與工作

移動代理中java編程的使用執行入侵檢測任務使該計劃有效。當新規則需要在本地節點規則庫更新時，漫游代理將由學習模塊發送。在追加模式中，移動代理是篡改明顯的代理被編程為只讀和信息可以寫入到代理。此外，每一個漫游代理承擔的時間戳和加密數據的哈希值僅知道一個關鍵的學習模塊。當漫游代理返回到學習模塊時加密的時間戳和數據的哈希值可以使用密鑰進一步解密，數據的哈希可以重新計算和檢查任何可能的數據修改。因此，任何數據的損壞都可以被檢測到，這使得該計劃自安全和篡改明顯。

規則庫和基于行為的混合方案提高了檢測率。任何自私或惡意節點可以被過濾掉，因為該方案采用集體監測和在測試床分析。因此，虛假規則不被添加到規則庫和入侵檢測系統計劃免受規則庫的損壞。

把入侵檢測系統的工作可以分為兩個階段：①初始化設置和學習階段；②代理部署和入侵檢測。

①初始化設置和學習階段：在初始化和建立階段，收集代理部署從不同的審計源收集數據，如網絡，主機或應用程序級。最初收集的原始數據將存儲在測試床的主數據庫中，然后送入預處理器進行過濾。過濾和預處理的數據將被用于各種攻擊規則的形成。在這個階段中，處理后的數據被組織成原子事件，可以進一步結合以創建復雜的攻擊規則。這可以有效地被做通過模式匹配算法，從而攻擊庫正在逐步地安裝。攻擊庫不斷建立一個學習模塊實現測試床的一部分。最初，該系統對簡單的洪水攻擊試圖建立規則且這些規則作為構建其他網絡層攻擊規則的基石如蟲洞、黑洞和灰洞攻擊。因此，一個全面的攻擊數據庫正在建立。

在學習階段正在進行中，集群節點選擇算法被用來選擇節點部署網絡監測代理。由于物理拓撲的變化，集群節點動態地更新。因此，在集群中，很少有節點監視網絡和其他節點監視系統級事件去尋找入侵。該方案有助于減少節點的功耗，每個節點都執行一個簡單的子集的入侵檢測任務。

②代理部署和入侵檢測：提出的入侵檢測系統是建立一個分層系統的多代理體系結構。下列類型的代理主要用于建議的系統。

網絡監控代理：只有少數節點在集群中部署代理監測網絡數據包。這些代理負責收集入侵檢測系統所需的網絡相關參數。

主機監控代理：移動ad-hoc網絡上的每個節點由主機監控代理內部監控。它監控系統級和應用級活動。

決策代理：每個節點根據個人的閾值威脅級別分配入侵的決定。如果從學習模塊到達成決定有任何歧義，可以采取建議。學習模塊具有確定性因子理論的推理邏輯。決策代理人利用簡單的關聯規則找出異常行為。

數據庫代理：數據庫代理有3種類型。主數據庫是學習模塊的一部分，它通過移動監視代理連續地收集網絡和主機的信息，由學習模塊按預定的時間間隔發送。主機信息數據庫和網絡信息數據庫代理分別存儲主機和網絡相關事件和日志。此外，數據庫具有預定的攻擊規則庫，每當移動代理訪問節點時，將定期更新該攻擊規則庫。

通訊代理：該代理作為主機和網絡身份證構建的一部分。每當漫游/移動代理訪問任何節點，通信代理讀取移動代理的信息，如果發現是一個新的攻擊規則，它將被添加到攻擊數據庫的數據庫代理。

警告代理：任何新的攻擊或可疑事件的檢測，任何節點可以發出警告代理通知學習模塊。學習模塊可以通過推理引擎驗證告警的可信度和真實性。如果它發現事件是一個新的攻擊，它通知其他節點也對新的攻擊和更新攻擊數據庫。

3 實驗設置和實施細節

原型系統正在開發使用WADE3.3，JADE擴展。JADE框架提供了兩個庫來開發各種代理模塊且運行時環境提供執行代理所需要的必要服務。JADE有其他幾個關鍵功能，為分布式移動代理的發展提供了一個較好的選擇。代理平臺可以分布在具有不同操作系統的機器上，并且配置可以通過遠程GUI來控制。當需要時，該配置可以在運行時改變移動代理通過從一臺機器到另一個機器。添加這個WADE為根據工作流隱喻定義的任務的執行提供了支持。

當需要駐留在同一節點上進行通信時使用共享內存的概念進行代理，因為它被證明優于其他技術，如管道和消息隊列。然而，為了實現不同節點之間的通信，使用可擴展的標記語言（XML）和通過JADE框架的代理管理系統（AMS）。

一個多代理的編程方法被用來開發原型系統。在第一步驟中創建各種合作代理和在一個全局的文件中注冊。每個代理分配一個唯一的標識符，并在每個節點中復制全局文件的副本。第二步包括設置每個代理的行為和參數。此步驟隨后定義要執行的每個代理的任務的方法。該系統利用各種標志來檢查代理的狀態和訪問代理的可用性。使用標志以控制各種代理的活動各種代理的活動有助于在節點中保持電池電量。

在實現過程中的重要步驟之一是攻擊庫的開發。為基本MANET的攻擊創建了與JADE兼容的攻擊庫。這些通過學習和自適應算法開發復雜的攻擊規則去進一步的完善。整個系統的邏輯實現是在JADE和通過API調用集成的各種關鍵功能模塊。

4 結論

通過本文，提出了一種基于可編程移動代理的MANETs分布式入侵檢測方案。這種方法的顯著特點是，它使用的輕量移動代理非常適合于資源受限的移動節點。該方案的另一個突出亮點是網絡和主機監控代理之間的入侵檢測任務的劃分并利用學習模塊為系統注入新的攻擊規則。此外，內置模糊推理機的學習模塊使用關聯映射規則和決策樹算法去檢測新的攻擊模式，這些最終被輸入到個體主機的規則庫中，因此誤報減少了對IDS配置的補償的適應性。使用通信代理從主機和網絡數據庫收集信息。收集到的數據進行過濾和處理，在學習模塊，以確定攻擊模式。因此，節點被解除處理負擔，從而節省電力和其他資源，解決了MANETs中入侵檢測系統安裝面臨的固有挑戰。

參考文獻：

[1]唐洪英，付國瑜.入侵檢測的原理與方法[J].重慶工學院學報，2002，16（2）：71-73.

[2]LUNT T F.ASurvey of Intrusion Detection Techniques[J].Computer & Security，1993，12（4）：405-418.

[3]DENNING D E. An Intrusion Detection Model[J]. IEEE Transaction on Software Engineering，1987，13（2）：222-232.

[4]落紅衛.網絡入侵檢測系統及性能指標[J].電信網技術，2005（11）：24-26.

[5]Y. Zhang and W. Lee. Intrusion Detection in Wireless Ad-hoc Networks. In： Proceedings of the 6th Annual International Conference on Mobile Computing and Networking Mobil Com 2000. p 275-83.

[6]B Smith. An examination of an Intrusion Detection Architecture for Wireless Ad-Hoc Networks. In： Proceedings of 5th National Colloquium for Information System 2001.

[7]Kachirski and R. Guha. Intrusion Detection Using Mobile agents in Wireless Ad-hoc Networks. In： Proceedings IEEE Workshop on Knowledge Media Networking： 2002 July 10-12； CRL Kyoto， Japan. p 153-58.