基于智能体和神经网路的无线网络入侵检测系统

王智

（上海市公安边防总队，上海 200336）

1 ad-hoc网络简介

按照无线通信系统是否具有基础设施，一般可以把无线网络分为两类。第一种类型是具有基础设施的网络，也就是一般模式的无线局域网。无线网络的另一种类型是无基础设施的网络，也就是ad-hoc网络（一群计算机接上无线网络卡，即可相互连接，资源共享，无需透过access Point）。这是一种自组织的无线多跳网，整个网络中没有固定的基础设施，也没有固定的路由器，所有节点都是可移动的，并且能以任意的方式动态地保持与其它节点之间的联系。正是由于ad-hoc网络不需要任何的固定基础设施，所以要组建这种网络是非常灵活和方便的。它不仅适用于普通情况下，而且在一些特殊场合（比如说地形受限，无法使用传统的有线网络和无线网络的情况）也有着极为广泛的应用。尤其在军事上，紧急搜索和救援中的应用比较常见。

2 ad-hoc面临的安全威胁和常规解决办法

任何事物都具有两面性。在ad-hoc网络带给我们方便灵活的无线接入能力的同时，也给我们带来了网络安全方面的一系列难题，adhoc网络的主机难以携带具有功能强大的防火墙，主机的资源限制了不能对入侵实时监控，而且ad-hoc网络的带宽资源也十分有限，同时，ad-hoc网络因其特殊的传输方式，因此对网络的QoS要求很高。DoS（Denial of Service，即拒绝服务）攻击成为了造成ad-hoc网络瓶颈的最大威胁。DoS攻击可以降低ad-hoc网络的QoS，从而使整个网络瘫痪。针对ad-hoc网络的DoS攻击手段很多，根据发起攻击的位置不同，我们可以把攻击分为两类：内部攻击和外部攻击。内部攻击是由网络内部的恶意节点引起的攻击。它一般更为严重，这是由于恶意节点作为被授权的一方属于网络内部，它们受网络及其服务所提供的安全机制的保护。要检测出内部攻击是非常困难的；外部攻击对网络造成的网络拥塞，阻止网络正常服务的特点。无论内部攻击或外部攻击，用传统的防火墙机制时很难检测到和防护的，因此需要一种智能化的检测机制来保护网络，基于主动防护的入侵检测系统就能十分有效的解决了这个问题。

入侵检测技术目前被认为是一种比较有效的防护DoS攻击的手段。入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，它从计算机网络系统中的若干关键节点收集信息，并分析这些信息。入侵检测技术能够帮助系统应对网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下对网络进行监测。

3 传统入侵检测系统防护方法及其缺点

3.1 基于神经网络的入侵检测系统

将神经网络引入入侵检测系统在1998年就得到了很大的关注，这方面比较突出的是Cannady和Machaffey教授。1998年Canndy提出用基于神经网络的入侵检测系统来防护DoS攻击。使IDS对DoS攻击的防护能力提高了一大步。虽然他提出的入侵检测系统利用了神经网络的预测能力，但是没有将自适应性应用于神经网络，同时仿真实现仿真的是单一主机的抗DoS攻击能力，没有将整体网络考虑进去，各个主机的入侵检测系统缺少合作，不能从整体上提高整个网络的防护能力。

3.2 基于智能体的入侵检测系统

将分布式多智能体技术引入IDS比较典型的是一个由Purdue大学提出的基于智能体(agent)的入侵检测系统，指出利用agent用来收集信息并且进行一些基本的处理和判断，然后向上传递，起到了收集、过滤和判断的作用。实际上这种分布式入侵检测系统的机理是单智能体的检测结果分布网络中的传递作用。而智能体的检测功能仍局限在防火墙的机制下。

下一代入侵检测系统的发展就是要实现对分布式检测的支持。即对实现三个方面的协同：数据采集协同、数据分析协同以及响应协同。agent技术为我们提供了一种在分布与开放环境中开发、运行软件系统的全新模式。agent本身所具有的基本特性，如：自治性、适应性、交互性，使得agent非常适合用于分布式入侵检测系统的开发，而正如前文介绍的神经网络技术在发现入侵迹象方面有着良好的特性。因此目前入侵检测技术的发展方向是将agent技术与神经网络技术结合，搭建新的检测机制。

4 基于神经网络和智能体的无线网络入侵检测系统

从上文中我们可以看出要提高入侵检测系统地能力，应从以下几方面进行改进:

分布式，这里我认为指的不仅仅是单一主机的入侵检测系统是分布式agent结构，而应该将整个网络的每个节点入侵检测系统布局设计是分布式的，这样一来，节点与节点之间就不是孤立的，而是联合的，那么针对前文说的DoS攻击，入侵检测系统就会有效的进行防护。

多智能体技术，考虑的不紧紧是单一主机的入侵检测系统的agent合作，而应将其应用在网络的每个节点的入侵检测系统，将每个节点的入侵检测系统视为一个agent，通过检测系统的合作来保护整个网络。

将智能体和神经网络技术结合。从考虑整体网络的QoS和人工认知的角度出发，在改进了Canndy教授提出的基于神经网络的入侵检测系统和基于智能体的入侵检测系统基础之上，提出基于神经网络和智能体的ad-hoc网络入侵检测系统。该系统主要解决ad-hoc网络整体防护DoS攻击的问题。应用神经网络预测功能，运用智能体的特性将行为和效果达成自适应的一致性。

在OMNET模拟平台上进行了模拟仿真，通过对仿真结果的分析，可以看出基于神经网络和智能体的入侵检测系统不仅可以起到保护网络安全的作用，同时也尽量减少了网络QoS的损失。

在对基于传统神经网络入侵检测系统模型分析的基础之上，针对其存在基于防火墙孤立防护的不足，考虑网络整体性能指标下的局部优化策略，提出了基于神经网络和智能体的入侵检测系统模型，旨在为智能化ad-hoc网络入侵检测系统提供新的思路和方向。网络仿真工具OMNET+＋对基于人工认知BP-CT的入侵检测系统进行了人工实验，实验结果达到了两个预期效果：提高了入侵检测的智能化和有效的提高了整个网络的QoS。

可以看出将人工认知BP-CT应用于adhoc网络入侵检测系统不仅是可行的，而且增强的入侵检测系统的检测自适应能力和网络的QoS。本文从理论上给出了基于人工认知BP-CT入侵检测系统成功的可能性，但是在实际应用中还有待更深入的开发。同时，如何能在不降低网络整体的QoS基础上更有效的提高入侵检测系统的准确性应是下一步解决的问题。

[1]周学广.无线网络入侵初探.通信技术 2002-11-30.