MANET入侵检测技术国内外研究现状

刘桐

摘 要 对MANET入侵检测技术的研究始于20世纪80年代，随着网络技术和规模的不断发展，MANET的应用领域愈加广泛，对它的研究也变的越来越热门。

关键词 MANET 入侵检测 IDS

对MANET入侵检测的研究一般分为IDS系统架构和入侵检测方法这两个方面。随着攻击者的入侵策略的改变，传统的安全防护措施，如防火墙技术等早已不能满足人们对于网络安全的要求。入侵检测技术弥补了传统的被动防护技术的不足，它在攻击发生之时，并且没有对网络造成严重损害时就可以采取一定的防护措施。因此，入侵检测技术得到了越来越多的应用，对它的性能进行完善具有重要的意义。

目前对移动自组网中的入侵检测技术的研究大致可以分为以下几类：

1单节点式IDS

单节点式IDS就是相互独立的入侵检测模型，是早期对MANET进行研究时的内容。它在仅在网络中的节点上部署本地检测模块，每个节点独立进行入侵检测，节点之间没有合作交流。比较典型的有Sergio Marti等提出的“看门狗——选路人”方法，MANET信息传递一般都要进行多跳才能完成，也就是两个节点的通信要经过中间节点的转发。该方法的思想是：利用“看门狗”机制在当源节点要发送消息给目标时，对消息要经过的中间节点的可靠性进行检查，如果不可靠，则将其记入黑名单，在传输数据时，不再经过黑名单中的节点。“选路人”机制的作用是使得源节点可以对消息传输的路径进行选择，从而避开黑名单中的节点，完成消息的传递。

单节点式的入侵检测系统的优点是部署简单方便，节约通信带宽。但在实际情况中，入侵攻击的方式越来越多样化，如果只通过单一节点自身的检测，网络的安全性就很难保证。

2分布式入侵检测系统

MANET入侵检测技术研究的先驱Y.Zhang和W.Lee为了对其进行更加全面的检测，提出了一种MANET的分布式对等合作入侵检测系统模型。该模型的思想是在网络中的每台主机上都部署IDS代理，独立进行本地入侵检测，对自身的活动进行监测，由于无线信号传播介质的开放性，每个节点也可以依靠这个特性对自己的邻居节点进行协作检测。比如某台主机无法判断自己是不是受到了攻击，也就是该主机的知识库中没有此类攻击，那么它就向相邻主机发出信号，进行协作检测。

本地数据收集模块的任务是对自身的日志、记录、与邻居节点的通信等行为进行收集。

本地检测引擎的功能与传统网络的本地检测模块一样，它对本地数据收集模块收集到的各种信息进行处理、分析，从而判断是否有入侵行为。

合作检测引擎也就是协作检测模块，它的功能实现了相邻主机的合作，对单个主机无法处理的问题进行解决。

本地响应模块在检测模块确定有攻击发生并报告后，按照一定的程序进行响应，比如切断连接、终止用户账户、丢弃入侵数据等。

全局响应模块在检测模块检测到入侵行为并报告后，对入侵攻击的相关情况及恶意节点ID在整个网络中进行广播，以便各节点及时采取一定措施。

安全通信模块的作用是当网络中的主机之间进行数据交换时，提供安全的通信保障，保证整个网络中数据的安全收发。

分布式入侵检测系统的优点是网络每个节点可以对自身及邻居的行为进行检测，符合MANET的特点，也具有较高的检测效率。但它的缺点同样明显，MANET的节点由电池供电，在能源方面十分有限，在网络中每个节点部署IDS代理会加速节点能量的消耗，而且所有节点对邻居节点进行检测也造成了共有的邻居节点被检测两次或两次以上，这对网络资源是一种极大的浪费。

3基于移动Agent的分布式入侵检测系统

Kachirski和Guha首次设计了一种基于移动Agent的入侵检测系统，将担任监测任务的Agent只运行在某些节点上，且由于移动Agent本身的特性，它可以在节点间漫游。该系统具有分布性和移动性，利用移动Agent对网络数据进行处理的好处是能分布式地对网络中的数据进行搜集，并依据一定的技术进行分析处理，从而避免了大量数据在网络中传送，节约网络资源。且当移动Agent当前运行的节点发生故障，它可以漫游到网络中的其它节点上继续之前的工作。目前，移动Agent技术已经在MANET入侵检测系统中得到了广泛的应用。

4分级的入侵检测系统

分级的入侵检测系统将网络中的节点分成不同的级别，节点依据自身级别执行不同的入侵检测任务，低级别的节点一般进行基本的入侵检测（如本地检测）来确保自身安全，也可能不进行检测，高级别的节点则可以利用低级别节点收集的信息，进行比较完整的入侵检测，具有较高的检测效率。这样做避免了分布式入侵检测中节点额外的计算、通信开销等问题。目前分级的入侵检测系统相关研究有Yi-an Huang等人提出的MANET中基于簇的入侵检测；Bo Sun等人提出的基于域的入侵检测系统。

5 MANET分簇算法的研究

移动Ad Hoc由于有限的能源及动态拓扑的特点，对分簇结构会造成很大影响，導致整个系统性能下降。因此，为了保证网络分簇结构稳定，对分簇算法的研究也是MANET入侵检测系统研究的一个重要方面。

目前较为典型的几种适用于MANET的分簇算法有：

最小ID算法（LOWID），分簇时选举邻居节点中具有最小ID（网络中每个节点唯一）号的节点为簇首；最大连接度算法（HIGHD），分簇时选举邻居节点中具有最大连接度（邻居节点的数目）的节点成为簇首；最小移动性算法（WM），分簇时选举邻居节点中移动性最小（稳定性最好）的节点作为簇首；自适应按需加权算法（AOW），利用加权思想对节点依照一定的规则赋予权值，分簇时权值最小的节点成为簇首。这几种典型的分簇算法都有自己的缺点，仍需要不断改进。

由此可见，尽管众多学者对MANET入侵检测算法进行了研究，提出了一些入侵检测算法，但是可以看到，这些算法在具有自身特点的同时，也存在着诸多缺点。

参考文献

[1] 谢康.基于神经网络的入侵检测相关技术研究[D].山东大学，2016.

[2] 程铃. MANET入侵检测技术的研究[J].微电子学与计算机，2010（06）：57-59+63.

[3] Preeti Mishra，Emmanuel S. Pilli，Vijay Varadharajan，Udaya Tupakula. Intrusion detection techniques in cloud environment： A survey[J]. Journal of Network and Computer Applications，2017，77：.