基于可编程移动代理的MANETs分布式入侵检测方法

张双 周森鑫

摘要： [目的/意义]随着互联网和大数据的迅猛发展，网络安全问题成为了当下人们关注的热点。为了更好的防御主要的网络安全攻击，提出了一种基于可编程移动代理的MANETs分布式自适应入侵检测系统的方法。[方法]首先，把通用的入侵检测模型结合到入侵检测系统中，考虑到（MANETs）无线自组织网系统的关键功能，然后提出了基于规则和基于行为的入侵检测模型。[结果]方案的提出解决了MANETs中入侵检测系统安装面临的固有挑战。用移动代理的可篡改性去检测任何潜在的试图破坏他们所携带的攻击相关的数据。

Abstract： [Objective/significance] With the rapid development of Internet and big data， network security has become the focus of attention. In order to better defend the main network security attacks， a method of MANETs distributed adaptive intrusion detection system based on programmable mobile agent is proposed. [Method] Firstly， it integrates the common intrusion detection model with intrusion detection system and takes into account the key function of wireless ad hoc network system， and then puts forward rule-based and behavior-based intrusion detection model.[Result] The proposed scheme solves the inherent challenge of intrusion detection system installation in MANETs. It uses the tampered nature of mobile agents to detect the any data with potential attempt.

关键词： MANETs；移动代理；入侵检测系统；可篡改性

Key words： MANETs；mobile agent；intrusion detection system；tampered nature

中图分类号：TP393.0 文献标识码：A 文章编号：1006-4311（2018）11-0079-03

0 引言

随着互联网和大数据的迅猛发展，网络安全问题成为了当下人们关注的热点。在最近几十年中，无线自组织网络系统已被广泛应用于许多关键应用中且这一突出的技术的广泛使用的安全性成为一个具有挑战性的问题。这主要是由于自组织网络的设计特性，像无基础结构的对等多跳网络体系、共享无线介质、严格的功率和带宽的限制，最重要的是，频繁变化的信道接入和路由决策的高度动态的网络拓扑结构。相比于以有线网络为基础的传统的基础设施来说无线自组织网络面临更多的安全问题。因此，高效率的安全机制是时刻需要的。本文集中从入侵检测系统方面考虑，因为它始终是抵御攻击的一个主要的防线和一种广泛接受的主动防御策略。

该方案的设计考虑动态特性的MANETs及其各种相关约束。它提供了一个基于可编程移动代理的重量轻，低开销的入侵检测方案。这个方案的好处是基于行为和基于规则的计划。基于行为的方法是依次加上高效的模糊逻辑训练计划以显著减少误报和提高检出率。它的亮点是通过使其可编程来确保其代理的安全性。这种方法的美观性和有效性是整个IDS计划围绕使用编程和动态的移动代理来实现所有的功能。

1 入侵检测系统的概述

1.1 网络入侵检测技术的简要概述系

根据监视的对象不同，入侵检测系统分为[1]基于主机入侵检测系统、基于网络入侵检测系统和基于应用入侵检测系统。基于网络入侵检测系统[2]指通过捕获并分析出现在共享网段[3]上的网络分组来检测入侵行为，目前随着网络技术的发展和网络规模的不断扩大，在市场上处于主导地位。

按照功能划分，网络入侵检测系统包括四个基本组件[4]，即事件产生器、事件分析器、响应单元、事件数据库。网络入侵检测系统框架如图1所示。

1.2 入侵检测系统方案的方向

一种常用的入侵检测系统分类方案是基于行为的检测，它是建立在长期监测和分类的预期/正常或异常。由于动态性质导致随机通信模式使这个计划去实施是非常具有挑战性的。另一种方法是基于规则的模型，该模型需要维护一个广泛的数据库的所有攻击模式，并需要定期在每个节点进行更新。这种方法不能独立实施，因为它会带来更多的计算成本和可能无法有效地检测新的攻击。

入侵检测系统分类的另一个方向是分布式Vs集中式方案。分布式入侵检测系统计划使用合作的检测策略去确定一个攻击，而在集中式的方法决定是单方面采取的。还有一个分类与功能的分布有关的平面和分层的方法。在扁平体系结构中，网络中的每个节点共享相同的责任、在入侵检测中的任务和决定的制定，而层次结构，节点具有用一个根节点控制决策的不同的功能。

1.3 MANETs相关的研究进展

对于MANETs的入侵检测系统的设计中已经做了一些努力，但其中大多数不能提供一个涵盖MANET安全的各个方面高效的和可靠的方案。这一领域的开拓性工作之一是由Zhang and Lee在他们描述的一个分布式和协作的入侵检测系统的MANETs[5]。在这个模型中，他们使用了一个扁平的体系结构和部署在移动节点的入侵检测系统代理是同等重要的。然而，它们在各自的节点寻找恶意活动且它只在没有确凿证据的情况下，入侵检测采用合作投票方法进行。入侵检测是在分布式和合作的方式，但在核心上它的功能在一個扁平结构上。

另一个相关的结构是由史米斯提出的基于移动代理的入侵检测系统结构的MANETS[6]。史米斯的工作方向与前一个相类似，一个扁平的体系结构和分布式协作方式用于入侵检测中。这种模式和文献[1]中解释的区别在于它对通信来说使用的代理是静态的，遵循RPC计划，而史米斯利用的是移动代理。

本文提出的工作中，已经从提出的优化设计的安全领导者选举算法[7]中画出了移动网络逻辑划分的概念和从工作中选择簇头的思路，用于部署各种网络监控代理的网络节点选择。

1.4 方案的相关工作及动机的比较分析

这一部分从有效性、效率、自我安全和适应性、自我学习等多方面要求上对相关方法进行了广泛的分析。

有效性：研究工作遵循一个扁平架构的入侵检测和中层次结构。入侵检测系统模型的有效性是高度依赖于所使用的ID算法和算法的执行方法。虽然采用分布式和协作的方法，它患有扁平架构的缺点。任何缺陷或错误的参与节点的功能可以在一個扁平的和集中式架构中严格地划分有效性。由于这一点，对于补偿有效性入侵检测来说分层和模块化的方法将是一个更好的选择。

效率：一个有效的入侵检测系统模型应尽量减少网络的使用和主机资源，如CPU功率、带宽和电池电量。一个平面结构相比于分层方案在以下两个方面遭受潜在的挫折。有相当大的带宽消耗相关的所有参与节点之间的数据交换和过度利用的节点资源，由于复制ID功能在每一个节点上而不是专门的任务分布在分层方案。

自安全性和适应性：入侵检测系统计划设计对MANETS来说应该是有免疫攻击，应该能够学习新的攻击，在动态和异构MANET环境。此外，由于伪造或恶意输入，入侵检测系统可能有被损坏的机会。

总之，对移动自组网来说所有这些因素在设计与实现入侵检测系统方案的时候应该被考虑到。通过分析可以看出，在相关工作中讨论的入侵检测系统模型中没有一个完全满足上述要求。这促使本文用安全的移动代理对MANET设计一个分布式入侵检测系统。该方案试图掩盖现有系统的缺点，通过使用基于规则和基于行为的计划相结合的。首先，有一个动态学习模块，它采用先进的人工神经网络和模糊逻辑算法开发新的攻击库。这可以帮助在很大程度上减少误报，并确定新的攻击模式。

2 分布式IDS的体系结构与工作

移动代理中java编程的使用执行入侵检测任务使该计划有效。当新规则需要在本地节点规则库更新时，漫游代理将由学习模块发送。在追加模式中，移动代理是篡改明显的代理被编程为只读和信息可以写入到代理。此外，每一个漫游代理承担的时间戳和加密数据的哈希值仅知道一个关键的学习模块。当漫游代理返回到学习模块时加密的时间戳和数据的哈希值可以使用密钥进一步解密，数据的哈希可以重新计算和检查任何可能的数据修改。因此，任何数据的损坏都可以被检测到，这使得该计划自安全和篡改明显。

规则库和基于行为的混合方案提高了检测率。任何自私或恶意节点可以被过滤掉，因为该方案采用集体监测和在测试床分析。因此，虚假规则不被添加到规则库和入侵检测系统计划免受规则库的损坏。

把入侵检测系统的工作可以分为两个阶段：①初始化设置和学习阶段；②代理部署和入侵检测。

①初始化设置和学习阶段：在初始化和建立阶段，收集代理部署从不同的审计源收集数据，如网络，主机或应用程序级。最初收集的原始数据将存储在测试床的主数据库中，然后送入预处理器进行过滤。过滤和预处理的数据将被用于各种攻击规则的形成。在这个阶段中，处理后的数据被组织成原子事件，可以进一步结合以创建复杂的攻击规则。这可以有效地被做通过模式匹配算法，从而攻击库正在逐步地安装。攻击库不断建立一个学习模块实现测试床的一部分。最初，该系统对简单的洪水攻击试图建立规则且这些规则作为构建其他网络层攻击规则的基石如虫洞、黑洞和灰洞攻击。因此，一个全面的攻击数据库正在建立。

在学习阶段正在进行中，集群节点选择算法被用来选择节点部署网络监测代理。由于物理拓扑的变化，集群节点动态地更新。因此，在集群中，很少有节点监视网络和其他节点监视系统级事件去寻找入侵。该方案有助于减少节点的功耗，每个节点都执行一个简单的子集的入侵检测任务。

②代理部署和入侵检测：提出的入侵检测系统是建立一个分层系统的多代理体系结构。下列类型的代理主要用于建议的系统。

网络监控代理：只有少数节点在集群中部署代理监测网络数据包。这些代理负责收集入侵检测系统所需的网络相关参数。

主机监控代理：移动ad-hoc网络上的每个节点由主机监控代理内部监控。它监控系统级和应用级活动。

决策代理：每个节点根据个人的阈值威胁级别分配入侵的决定。如果从学习模块到达成决定有任何歧义，可以采取建议。学习模块具有确定性因子理论的推理逻辑。决策代理人利用简单的关联规则找出异常行为。

数据库代理：数据库代理有3种类型。主数据库是学习模块的一部分，它通过移动监视代理连续地收集网络和主机的信息，由学习模块按预定的时间间隔发送。主机信息数据库和网络信息数据库代理分别存储主机和网络相关事件和日志。此外，数据库具有预定的攻击规则库，每当移动代理访问节点时，将定期更新该攻击规则库。

通讯代理：该代理作为主机和网络身份证构建的一部分。每当漫游/移动代理访问任何节点，通信代理读取移动代理的信息，如果发现是一个新的攻击规则，它将被添加到攻击数据库的数据库代理。

警告代理：任何新的攻击或可疑事件的检测，任何节点可以发出警告代理通知学习模块。学习模块可以通过推理引擎验证告警的可信度和真实性。如果它发现事件是一个新的攻击，它通知其他节点也对新的攻击和更新攻击数据库。

3 实验设置和实施细节

原型系统正在开发使用WADE3.3，JADE扩展。JADE框架提供了两个库来开发各种代理模块且运行时环境提供执行代理所需要的必要服务。JADE有其他几个关键功能，为分布式移动代理的发展提供了一个较好的选择。代理平台可以分布在具有不同操作系统的机器上，并且配置可以通过远程GUI来控制。当需要时，该配置可以在运行时改变移动代理通过从一台机器到另一个机器。添加这个WADE为根据工作流隐喻定义的任务的执行提供了支持。

当需要驻留在同一节点上进行通信时使用共享内存的概念进行代理，因为它被证明优于其他技术，如管道和消息队列。然而，为了实现不同节点之间的通信，使用可扩展的标记语言（XML）和通过JADE框架的代理管理系统（AMS）。

一个多代理的编程方法被用来开发原型系统。在第一步骤中创建各种合作代理和在一个全局的文件中注册。每个代理分配一个唯一的标识符，并在每个节点中复制全局文件的副本。第二步包括设置每个代理的行为和参数。此步骤随后定义要执行的每个代理的任务的方法。该系统利用各种标志来检查代理的状态和访问代理的可用性。使用標志以控制各种代理的活动各种代理的活动有助于在节点中保持电池电量。

在实现过程中的重要步骤之一是攻击库的开发。为基本MANET的攻击创建了与JADE兼容的攻击库。这些通过学习和自适应算法开发复杂的攻击规则去进一步的完善。整个系统的逻辑实现是在JADE和通过API调用集成的各种关键功能模块。

4 结论

通过本文，提出了一种基于可编程移动代理的MANETs分布式入侵检测方案。这种方法的显著特点是，它使用的轻量移动代理非常适合于资源受限的移动节点。该方案的另一个突出亮点是网络和主机监控代理之间的入侵检测任务的划分并利用学习模块为系统注入新的攻击规则。此外，内置模糊推理机的学习模块使用关联映射规则和决策树算法去检测新的攻击模式，这些最终被输入到个体主机的规则库中，因此误报减少了对IDS配置的补偿的适应性。使用通信代理从主机和网络数据库收集信息。收集到的数据进行过滤和处理，在学习模块，以确定攻击模式。因此，节点被解除处理负担，从而节省电力和其他资源，解决了MANETs中入侵检测系统安装面临的固有挑战。

参考文献：

[1]唐洪英，付国瑜.入侵检测的原理与方法[J].重庆工学院学报，2002，16（2）：71-73.

[2]LUNT T F.ASurvey of Intrusion Detection Techniques[J].Computer & Security，1993，12（4）：405-418.

[3]DENNING D E. An Intrusion Detection Model[J]. IEEE Transaction on Software Engineering，1987，13（2）：222-232.

[4]落红卫.网络入侵检测系统及性能指标[J].电信网技术，2005（11）：24-26.

[5]Y. Zhang and W. Lee. Intrusion Detection in Wireless Ad-hoc Networks. In： Proceedings of the 6th Annual International Conference on Mobile Computing and Networking Mobil Com 2000. p 275-83.

[6]B Smith. An examination of an Intrusion Detection Architecture for Wireless Ad-Hoc Networks. In： Proceedings of 5th National Colloquium for Information System 2001.

[7]Kachirski and R. Guha. Intrusion Detection Using Mobile agents in Wireless Ad-hoc Networks. In： Proceedings IEEE Workshop on Knowledge Media Networking： 2002 July 10-12； CRL Kyoto， Japan. p 153-58.