基于入侵检测技术的MANET安全研究

张耀元，郭淑明，汪小雨

(国家数字交换工程技术研究中心，河南 郑州 450000)



基于入侵检测技术的MANET安全研究

张耀元，郭淑明，汪小雨

(国家数字交换工程技术研究中心，河南 郑州 450000)

入侵检测系统可显著提高移动自组网络的安全水平。文中分析了MANET的IDS的特点，并对IDS一些典型安全方案的研究现状进行分类阐述，分析了各种方案的优点和缺点。阐明目前研究存在的问题，并提出了相应的改进方法,且讨论了后续的研究方向。

MANET；入侵检测；看门狗；博弈论

MANET(Mobile Hoc Networks)由带有收发装置移动节点组成的无线网络，在缺乏网络基础设施或集中管理时可快速组网，应用领域广泛。MANET的无线信道具有开发性，节点间相互交换信息时易受到欺骗、恶意丢包、中间人、隐私与保密等攻击。因此，如何快速准确地检测到网络中的入侵行为对保障MANET的安全具有重大意义。

MANET中节点动态的加入、移动、消失，因此产生网络拓扑的动态性。由于无线链路的不可靠性，要求MANET网络配置的高度灵活性。此外由于单个节点的可用性无法保障，要求网络服务不能依赖于一个统一的中央实体，必须满足分布式和自适应。传统有线网络入侵检测技术存在的问题在MANET中依然存在，此外这种网络的特殊性又出现许多新问题。

1 MANET入侵检测系统

1.1 攻击类型

由于MANET本身特点和特殊的工作模式，MANET网络的安全威胁是复杂、多样的，因此对攻击行为的分析显得至关重要。MANET的攻击类型主要有两种[1]：主动攻击和被动攻击。主动攻击主要包含欺骗攻击、虫洞攻击、拒绝服务攻击、Sinkhole攻击和Sybil攻击。被动攻击主要包括窃听攻击、流量分析攻击和监视攻击。主动攻击主要是针对路由协议的攻击，攻击者主动破坏网络协议。而被动攻击主要是MANET中节点共享开放信道造成的，攻击不发送任何信息，仅企图发现有用的信息。

(1)孤立IDS。每个节点都有IDS可以独立进行检测，依靠本地节点，节点间相互独立工作。优点是当部分节点不可用时依然可以正常工作，但缺点是效率较低[2-3]；(2)分布式协作IDS。所有节点相互协作参与全局的入侵检测，适用于平面MANET；(3)层次IDS。主要是选取簇头节点提供IDS功能，适用于多层MANET。

2 入侵检测技术方案及比较

2.1 典型IDS技术方案

方案1 分布式协作方案，解决网络脆弱性问题。

Silva[4]等人提出了分布式IDS，入侵检测功能由网络中的监视节点来实现，每个节点单独运行监测算法。为克服MANET的脆弱性，Zhang和Lee 提出了基于Agent 的分布式协作入侵检测方案[5]，充分利用网络中节点协作的优势。在该方案中 IDS Agent 运行于网络中每一个节点上，拥有数据收集、本地检测、协作检测、本地响应、全局响应、安全通信6大模块。此方案中节点在监控自身行为的同时也可监控相邻节点的行为。该方案的优点：(1)充分利用每个节点上的agent独自对本地的异常进行检测；(2)采用多点协作的入侵检测方案，提升整个网络的检测效率。Zhang 在后续文献[6]中对上述方案进行了详细的论述，建立了一个 IDS 模型并用网络模拟器进行了模拟实验。Tanya[7]对比MANET网络中应用IDS agent对抗各种黑洞攻击的解决方案，分析其优劣性，为后续研究提供指导。

方案2 看门狗方案，主要解决恶意节点发现问题，针对协议主动攻击问题。

为解决恶意节点快速发现问题，Marti等人提出Watchdog方案[8]，旨在通过减少恶意节点参与路由的机会来增加网络吞吐量。此方案中每个节点均有负责监控的Watchdog和路径选择的Pathrater。通过监听网络下一跳传输中混杂的链路来检测网络中恶意节点的不端行为。Watchdog中有一个用于存放自身发送的数据包的缓冲区，若检测到相邻节点发送的数据包有与之匹配的包，则标记此节点行为良好；若在规定的计时周期内未检测到相匹配的数据包，则将该节点标记行为异常，Pathrater降低该相邻节点的等级，并在选择路由时尽量避免这些不安全的节点。但在实际应用中，Pathrater对Watchdog过于依赖，Watchdog本身对恶意节点的判定又过于模糊。因此该方案具有如下不足：(1)节点接收信息的相互碰撞；(2)对恶意节点行为定义的模糊碰撞；(3)缺乏有效的协作，使Ad hoc网络中节点传输功率受限的问题凸显；(4)错误的行为报告，导致合法节点利益受损；(5)当局部检测能力下降时将影响整个检测系统的效率。

针对错误的行为报告问题的解决，Nasser[9]等提出了Ex-Watchdog入侵检测系统，对Watchdog方案进行补充。该系统的主要特点是能够发现恶意节点可分区错误报告其他节点的网络行为不端和显著降低开销。但其具有以下缺点：(1)为解决网络吞吐量问题；(2)对源节点和目的节点的所有路径上恶意节点不具有容忍性，当恶意节点存在时会导致整个网络崩溃。

根据物理检测结果，其配制的水泥需水量、凝结时间等重要性能均达到要求，水泥3d、28d强度开始偏低，后经微调熟料、石膏和混合材料的配比，配制水泥的SO3和MgO含量、需水量、凝结时间、3d、28d强度等物理化学性能，符合国家标准要求。说明该石膏矿石经加工后可作为生产水泥用缓凝剂使用。

TWOACK[10]是为了解决Watchdog中节点的接收碰撞和传输功率受限问题，其通过确认连续3次沿着从源节点到目的节点路径上的每个数据包来检测有不端行为的链接。检索一个数据包，路径上的每个节点需要发回一个应答信息确认数据包下两跳的路径。但同时每一个数据包在传输过程中反复为网络带来大量的开销，由于Ad Hoc网络中能量受限，过多的冗余传输将降低整个网络生存周期。

Sheltami[11]等人基于TWOACK提出自适应确认(AACK)方案，解决了增加网络吞吐量需增加网络开销的问题。其采用混合方案的概念AACK大幅降低了网络开销。缺点是AACK无法检测到存在虚假行为报告的恶意节点，无法避免欺骗攻击。

TWOACK和AACK方案实现的前提是在确保认证数据包的有效性和真实性的前提下，解决认证数据包真实有效的问题，Elhadi M等提出针对检测恶意攻击者的增强型自适应确认(EAACK)方案[12]。EAACK由3个主要部分组成，即ACK、安全ACK(S-ACK)、不当行为报告认证(MRA)。当网络中无不端行为时使用ACK降低网络开销。引入S-ACK的目的是检测存在接收碰撞和传输能量受限的网络中行为不端的节点。MRA方案的核心是通过不同的路线来验证目的节点是否已收到丢包报告。

EAACK技术是基于确认，EAACK中确保所有确认数据包是真实可信的。因此，在MANET中 EAACK要求所有确认数据包在发送之前进行数字签名来确保IDS的完整性。数字签名技术成为EAACK方案的核心，主要用来降低网络开销。为解决数据尺寸和密钥长度问题的ECDSA加密算法[13]，使数据丢失的概率最小化，来减少碰撞并保证安全性。混合密码方案[14]是为了提高数据包的安全水平，进而减少网络中的额外开销。

方案3 博弈论的方案，主要是解决对攻击类型的自适应调整问题。

为解决多点攻击源时系统反应滞后的问题，Xu[15]等人通过博弈理论框架来对他们提出的DDOS防御系统的性能进行分析，防御系统随攻击的改变而进行防御策略的调整。李奕男[16]等人将博弈理论引入到移动Ad hoc 网络的入侵检测系统中，针对多攻击节点和不同强度的攻击源，建立一个非协作博弈入侵检测模型。N节点的入侵模型表示为：Γ= {{A,D},{SA,SD},{PA,PD},{IA,ID},{RA,RD}}，其中A表示入侵者，D表示相应的响应策略；{SA,SD}、{PA,PD}、{IA,ID}、{RA,RD}分别表示局中人策略空间、探测器概率分布矩阵、攻防双方信息集与效用函数，同时通过纳什均衡进行求解。上述方案将攻防双方的网络入侵和响应的过程抽象成一个非合作、完全信息、有限次重复的对抗性博弈。Myria[17]等人将博弈论引入MANET 的IDS，通过数据包抽样策略解决了安全机制的有效性问题。

方案4 基于自动机方案，主要解决的是多层次MANET的IDS问题。

易平等人[18]提出一种基于时间自动机的入侵检测算法，提出了基于簇头的分布式合作的入侵检测架构，通过随机选举的簇头作为监视节点，并周期性地重新选举簇头，既节省网络资源又保证了入侵检测系统的安全性。且该算法不需要事先进行数据训练并能够实时检测入侵行为。通过表1的仿真结果表明，该算法是有效的。

同时一些研究者已将机器学习[19]等概念引入MANET安全研究的领域。由于缺乏统一数据集上不同检测算法的比较问题，文献[20]提出一种基于机器学习的IDS评估模型，利用机器学习算法进行模型训练从而找出最佳方案。该方法证明了层次IDS、逻辑回归和支持向量机的方案效果最佳。

表1 4种攻击方式的入侵检测率

2.2 入侵检测方案比较与分析

通过对比现行MANET入侵检测技术的研究现状，分布式IDS综合了状态监视、信息共享、节点间相互协作从而对入侵行为的检测是有效的。看门狗方案中易受MANET自身性能影响，相邻节点信息检测是个难点，则针对MANET路由协议的IDS研究将成为未来的研究热点。博弈论方案中将大量消耗网络资源，降低整个网络生存周期。基于时间自动机的入侵检测复杂度较高，计算量过大，在MANET中不易实现。针对以上论述的入侵检测技术的不足，MANET入侵检测技术进行重点研究的方向可总结为几点：(1)恶意节点不端行为的快速发现，现有的方法对恶意节点的延迟过多，不利于IDS系统工作；(2)尽量少的使用监视节点，过多的监视节点将消耗较多的系统资源，如何确保在减少系统开销的同时增强系统的安全性；(3)新算法强以高效辨别节点的虚假行为报告，随着计算机技术的发展节点的运算能力越来越强，可运行难度较大的算法；(4)综合方案的研究，一个合格的安全方案应该融合密钥管理、路由安全、入侵检测等各方面的内容, 形成一个整体的安全方案，但安全综合方案的论证预评估将是一个复杂的问题，需要更好的模型进行研究。

3 结束语

通过对MANET的IDS研究现状的调研，下一步发展应包括以下方面：

(1)大规模MANET的IDS设计。在MANET的IDS设计中，主要采用分布式的认证过程，从而进一步增加了控制信息的开销，过多的通信开销不仅不利于网络规模的扩大，且降低了MANET网络的生存周期。当MANET达一定规模时[21]，该问题尤为突出。IDS中应该设计和采用一些对资源要求少的算法，例如如何降低相互间认证时的消耗,用对称密钥取代公开密钥、大规模MANET的服务质量保证等；

(2)IDS中攻击者身份识别问题。在一些研究中[22]，对攻击者身份识别主要通过对所有数据包的强制认证，效率低下。同时一些针对路由的攻击的启动无需隐藏或欺骗，因IDS对恶意攻击行为的认定具有滞后性。如何快速识别攻击者的身份问题急需解决；

(3)攻击预测模型的研究。由以上研究可知，大部分IDS方案是基于被动响应，这种情况会降低入侵检测系统的响应速度和工作效率，需要对MANET的入侵行为做出主动响应，并对入侵者的攻击行为进行准确建模。例如，严辉[23]等提出一种基于重复博弈(QRE)的攻击预测模型，通过建立入侵者和入侵检测系统之间的阶段博弈模型，给出阶段博弈的纳什均衡，并求出重复博弈情况下的子博弈精炼纳什均衡。根据图1仿真结果得到的节点防御成功率可看出，QRE 的博弈防御模型对于节点防御的成功率在相同的时间内能稳定在较为理想的水平；

图1 节点防御成功率

(4)MANET网络与蜂窝网络融合的IDS设计。MANET与蜂窝网络融合时，可利用MANET网络中节点的多跳转发能力来扩展蜂窝网络的覆盖范围，同时可均衡小区内业务的负载，提升小区边缘终端的数据速率，是MANET网络发展的方向。但MANET网络与蜂窝网络融合时面临的安全风险会增加，则IDS就必不可缺。如何设计融合网络的IDS需要进一步研究。

[1] Mishra A,Nadkarni K,Patcha A.Intrusion detection in wireless ad hoc networks[J].IEEE Wireless Communications,2004,11(1):48-60.

[2] 易平,蒋嶷川,张世永,等.移动Ad hoc网络安全综述[J].电子学报,2005,33(5):893-899.

[3] 卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报,2004,25(7):19-29.

[4] Silva A P R D,Martins M H T,Rocha B P S,et al.Decentralized intrusion detection in wireless sensor networks[J].Proceedings of ACM International Workshop on Quality of Service & Security in Wireless & Mobile Networks,2005,7(8):16-23.

[5] Zhang Y,Lee W.Intrusion detection in wireless Ad-hoc networks[C].Boston:Proceedings of the 6th Annual International Conference on Mobile Computing and Networking,2000.

[6] Zhang Y,Lee W,Huang Y A.Intrusion detection techniques for mobile wireless networks[J].Wireless Networks,2003,9(5):545-556.

[7] Araghi T K,Zamani M,Manaf A B A,et al.A survey for prevention of black hole attacks in wireless mobile Ad Hoc networks using cryptographic techniques[C].Malaysia:12th WSEAS International Conference on Applied Computer and Applied Computational Science (ACACOS’13), 2013.

[8] Marti S,Giuli T J,Lai K,et al.Mitigating routing misbehavior in mobile ad hoc networks[C].Boston:Proceedings of the ACM/IEEE International Conference on Mobile Computing and Networking (Mobicom),2000.

[9] Nasser N,Chen Y.Enhanced intrusion detection system for discovering malicious nodes in mobile Ad Hoc networks[C].Scotland:IEEE International Conference on Communications,2007.

[10] Balakrishnan K,Deng J,Varshney P K.TWOACK:preventing selfishness in mobile ad hoc networks[J].IEEE,2005,4(4):2137-2142.

[11] Sheltami T,Al-Roubaiey A,Shakshuki E,et al.Video transmission enhancement in presence of misbehaving nodes in MANETs[J].Multimedia Systems,2009,15(5):273-282.

[12] Shakshuki E M,Kang N,Sheltami T R.EAACK—a secure intrusion-detection system for MANETs[J].IEEE Transactions on Industrial Electronics,2013,60(3):1089-1098.

[13] Vijayakumar R,Raja S,Prabakaran M.ECDSA-performance improvements of intrusion detection in mobile Ad-Hoc networks[J].Compusoft International Journal of Advanced Computer Technology,2014,3(1):484-486.

[14] Chaudhari D A,Javheri S B.An intrusion detection system for MANET using hybrid cryptography[J].International Journal of Advance Research in Computer Science and Management Studies,2015,3(1):347-352.

[15] Xu J,Lee W.Sustaining availability of Web services under distributed denial of service attacks[J].IEEE Transactions on Computer,2003,52(4):195-208.

[16] 李奕男,钱志鸿,刘影,等.基于博弈论的移动 Ad Hoc 网络入侵检测模型[J].电子与信息学报,2010,32(9):2245-2248.

[17] Bouhaddi M,Radjef M S,Adi K.A game approach for an efficient intrusion detection system in mobile Ad Hoc networks[M].Canada:Foundations and Practice of Security,Springer International Publishing,2014.

[18] 易平,柳宁,吴越.基于时间自动机的Ad Hoc网络入侵检测[J].电子与信息学报,2009,31(10):2310-2315.

[19] Pietro R D,Guarino S,Verde N V,et al.Security in wireless Ad-Hoc networks-a survey[J].Computer Communications,2014,40(10):1-20.

[20] 蒋一波,王雨晨,王万良,等.一种基于机器学习的MANET网络入侵检测性能评估方法研究[J].计算机科学,2013,40(S2):170-174.

[21] 胡华平,胡光明,董攀.大规模移动自组网络安全技术综述[J].计算机研究与发展,2007,44(4):545-552.

[22] Huang Y,Lee W.A cooperative intrusion detection system for ad hoc networks[C].USA:Proceedings of the 1st ACM Workshop on Security of Ad Hoc and Sensor Networks,2003.

[23] Wu Y,Tang S,Xu P,et al.Dealing with selfishness and moral hazard in noncooperative wireless networks[J].IEEE Transactions on Mobile Computing,2010,9(3):420-434.

Research on MANET Security Based on Intrusion Detection Technology

ZHANG Yaoyuan, GUO Shuming, WANG Xiaoyu

(National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450000, China)

The intrusion detection system (IDS) can significantly improve the security of the mobile ad hoc network (MANET). This paper analyzes the characteristics of the IDS MANET, reviews the research status of some typical IDS security programs, and analyzes their advantages and disadvantages. Some existing problems in the research are clarified, the corresponding improvement methods are put forward, and the future research direction is discussed.

MANET; intrusion detection; watchdog; game theory

2016- 01- 11

张耀元(1987-)，男，硕士研究生。研究方向：移动通信网络。郭淑明(1977-)，男，博士，副研究员，硕士生导师。研究方向：移动通信网络。汪小雨(1991-)，男，硕士研究生。研究方向：无线通信网络。

10.16180/j.cnki.issn1007-7820.2016.11.044

TN916;TP302

A

1007-7820(2016)11-157-04