王 伟

WANG Wei

（西安财经学院，西安 710061）

0 引言

近年来，国内外很多研究机构和个人展开了对移动自组网（mobile ad Hoc network，MANET）中入侵检测系统的研究，提出了大量初步设想，基于异常检测技术由于可以发现新入侵攻击，成为入侵检测技术的重要方法。

1 现有异常检测方法的问题

目前比较成熟的异常检测模型有基于规则的异常检测模型、基于统计的异常检测模型、基于数据挖掘技术的异常检测模型和基于神经网络的异常检测模型。在这些基本的异常检测模型基础上，很多人做了具体的研究。如Yian Huang等在基于规则的异常检测模型基础上提出了交错特征分析以及在交错特征分析的基础上提出的的协作式入侵检测。它的优点是能较好地处理变化多样的用户，特别适用于不同用户行为之间存在很大差异、而同一用户行为则表现出很强一致性的系统环境。基于隐马尔科夫的检测方法采用了基于统计的异常检测手段，该种方法维护方便，不需对规则库不断地更新和维护。高能等提出的一种基于数据挖掘的拒绝服务攻击检测技术具有实时检测、自动监测、检测所有的数据包洪泛DoS攻击、检测效率高和自动准确定位攻击特征的优点。使用神经网络的异常检测方法的优势在于：不需对原始数据作任何统计假设，并且有较好的抗干扰能力；神经网络具有高度的学习和自适应能力，能识别出新的入侵行为特征和己知入侵行为的变种。不过这些检测模型都存在以下几个主要问题：

1）训练样本集中数据样本选取困难。这是因为异常检测技术大多采用统计的方法建模，将收集到的数据分成正常和异常两类。在解决分类问题时，首先需要标注样本的类别用来构建训练样本集；同时，为了提高分类精度，在学习过程中需要完备的训练样本，这一方面增加了构建训练样本集的成本；另一方面，对大量样本的学习也需要耗费大量的机器学习时间。因而在实际应用中，要获取大量的标注样本是比较困难的，如何获取完备的标注样本成为许多异常检测方法的瓶颈。

2）阀值确定比较困难。当阀值设定较高时，容易引起漏报，而阀值设定低时，容易引起误报。由于不可能对系统内的所有用户进行全面的描述，在用户数目众多、用户行为经常动态改变时，系统误报率较高。

3）异常检测方法大多训练时间较长，在训练期系统不能正常工作；如果入侵者知道系统处于训练期，可以采用逐步更新用户模型的方式，使得系统将入侵行为也当作正常行为来建立正常模式。

因此如何提高训练数据的质量，选择合适的判决门限，以及实时的检测将是异常检测研究的重点。本文主要对黑洞节点、自私节点以及错误节点等路由攻击行为进行分析，并通过opnet仿真对存在自私节点、完全正常节点以及网络高负载几种场景的每路由平均跳数等进行比较，证明特征值选择的可行性。

2 恶意节点路由攻击行为分析

MANET的安全威胁主要来自于对物理层、数据链路层，网络层等，并且路由攻击最为普遍。一般Ad-hoc网络的恶意节点攻击有黑洞节点攻击、自私节点攻击、错误节点攻击、洪泛攻击以及绕路攻击和错误路由攻击。

黑洞节点攻击的特点是1）正确的接受并转发所有的路由请求，使其能够被其他节点列入路由表并诱使其他节点进行数据路由；2）当某正常节点将数据发送给恶意节点并请求路由时，它将丢弃这些数据。

自私节点攻击的特点是1）丢弃所有路由请求报文，使自己永远不会成为路由中继节点；2）仅为自己发送路由请求报文，以便其他节点转发流向自私节点的数据。错误节点攻击的特点是丢弃所有发来的包。还有一些恶意节点通过实施洪泛攻击，可以洪泛RREQ包、RREP包和数据包，目的就是使得网络节点不停地处理这些包，从而影响了正常的服务，也称为损耗资源攻击。

此外，还有Detour Attack（绕路攻击）和Misrouting Attack（错误路由攻击）。前者，恶意节点在路由发现过程中增加一定数量的有效节点，使得路由转向其它的较短路线，从而达到节约攻击节点能量的目的。后者，恶意节点向错误目标发送数据包，使得数据包不能正常到达目的节点。由于这些恶意行为会引起网络行为的一系列变化，如路由改变数、平均跳数、路由请求报文发送或接收数、路由应答报文发送或接收数、数据包的发送或接收数、路由发现时间和端到端延时等，不过恶意行为引起这些特征值的改变状况很不一样，这对于从繁多的特征值选择最有效的特征值是很重要的。下面通过opnet仿真对存在自私节点、完全正常节点和网络高负载几种场景的统计量进行比较。

3 仿真及结果分析

在本节中，我们以opnet软件为仿真工具，仿真区域是50m*50m，25个节点在区域中随机分布，移动模式是沿正方形路径匀速移动，研究了移动Ad-hoc网络中正常情况、有20%的自私节点、有8%的自私节点以及高负载（即包间隔减小）四种场景下的网络行为。自私节点模型是在正常节点模型基础上修改DSR协议，使得该节点收到别的节点的路由请求包就丢弃。高负载模型是在正常节点模型的基础上减小包间隔。

表1 仿真参数

为了观察四种场景下的网络行为，我们收集以下统计量：

1）每路由平均跳数（DSR.Number of Hops per route）

3）Mac层丢包数（Wireless LAN.data dropped）

4）路由层丢包数（DSR.Total packets dropped）

仿真结果如图1-图4所示。

图1 每路由平均跳数

图2 接收端收到的总流量

图3 Mac层的丢包数

图4 路由层的丢包数

从图1可以看出，在正常节点和含有自私节点的两种情况下，每路由平均跳数差别还是比较大的，不过在高负载的情况下，平均跳数相比正常情况增大，接近存在自私节点的情况。因此每路由平均跳数在高负载的情况下可能误判为存在自私节点。在图2中，可以看到接收端接收的总流量在四种场景下，变化不是太大，原因在于发送端可以通过不经过自私节点的路径发送包，从而使得接收端的总流量变化不大。因此，对于自私节点，接收端总流量不适合作为特征参数。在图3和图4中，Mac层丢包数和路由层丢包数在存在自私节点的场景中变化很明显，很适合作为特征参数。

4 结束语

本文通过对现有异常检测技术的分析，得出特征值选择是一个重要的问题。通过仿真可以看出攻击行为引起相关特征值的变化差别很大，从而确定选择合适的特征值得可行性。这里只统计了自私节点的一些特征值，还有另外的几种攻击行为还没有仿真，它们必然存在不尽相同的特征参数，因此需要构造一个评价函数，对特征集中的所有特征进行分别评估，这样每个特征值都得到一个评估分值，然后对全部的特征按照其分值大小进行排序，一般选择前N个最佳特征作为结果。

[1]刘叶卿.移动Ad hoc网络DSR路由协议入侵检测系统的仿真[D].上海交通大学, 2008.

[2]刘永磊.基于路由信息的Ad Hoc网络入侵检测研究[D].暨南大学, 2007.

[3]Yi-an Huang.Cross-feature analysis for detecting ad-hoc routing an omalies.Distributed Computing Systems, 2003.Proceedings.23rd International Conference.2003, 5.

[4]高能等.一种基于数据挖掘的拒绝服务攻击检测技术[J].计算机学报.2006 (6).