陈赵懿，高秀峰，王 帅，韩月明

（陆军工程大学石家庄校区模拟训练中心，石家庄 050003）

0 引言

Ad hoc 网络具有不依赖固定基础设施、节点资源有限等特点，比传统网络更容易遭受各种安全威胁，如窃听、重放、篡改报文和拒绝服务等［1］。部署入侵检测系统，可检测和防御部分攻击，是提高Ad hoc 网络安全常用方法。

入侵检测系统可按照检测位置分为基于主机的和基于网络的检测，按照检测规则分为异常检测和误用检测，按照检测行为方式分为主动检测和被动检测，按照体系结构分为集中检测和分布式检测［2］等。Gao 等人［3］对常见的Ad hoc 网络攻击的检测方法进行了综述，并对各检测方法的优缺点、适用条件进行了对比分析。也有学者根据Ad hoc不同应用场景，提出了一些入侵检测框架，有基于加密认证的，有基于信誉管理的，也有基于博弈论检测和神经网络推断的［4-5］，其中有些框架引入了大量的检测流量，容易给带宽受限的Ad hoc 网络造成拥塞，如复杂的马尔可夫链检测模型［6］。为提高入侵检测率而使检测节点一直处于运行状态，会消耗节点宝贵资源与网络带宽［7］，采用代理节点检测［8］，虽减少了检测节点数量，但容易出现漏检情况。

1 入侵检测模型

采用分布式入侵检测方法，有利于减少网络资源的占用和提高检测系统的鲁棒性［9］。本文提出的入侵检测模型主要分为信誉评估、贝叶斯博弈检测和综合检测3 部分，如图1 所示。

每个网络节点部署入侵检测系统（IDS），它有贝叶斯博弈检测和综合检测两种方式，采用混杂模式监听邻居节点行为。贝叶斯博弈检测为轻量级检测，使用一组基于分组发送率、分组转发率和重复分组率等值的简单规则，来判断邻居节点的恶意行为，独立运行，资源消耗少，功能相对简单，是入侵检测系统的第一道防线。它采用动态监视策略，对高信誉值的节点采取低概率监视，这样可以保持高检测率的同时降低节点资源消耗和减少ID 流量。综合检测为重量级检测，综合利用数据统计、规则判断与关联分析等多种手段，能检测出贝叶斯博弈检测方式无法检测到的一些攻击，它同时激活被测节点的邻居节点进行共同检测，收集邻居节点检测信息，进行交叉验证，可降低误检率，该检测方式具有较高检测率和资源消耗。

2 信誉模型

Ad hoc 网络中的恶意节点可通过信誉评估机制进行判断，节点信誉越高，属于正常节点的概率越大。通过监视节点行为，评估节点信誉，从而可判断节点性质。Quercia［10］提出了一种轻量级分布式信誉框架，该框架能够抵抗Sybil 攻击，保护用户隐私。Ganeriwal［11］提出了基于贝叶斯网络的信誉模型，该模型使用看门狗监视邻居节点行为，但没有与其余节点共享检测信息，容易误检。Amira 等人［12］利用矩阵迭代的方法计算全网节点信誉，计算复杂度较高。本模型采用本地直接信誉和邻居节点间接信誉相结合的方式，综合计算被测节点信誉。

2.1 直接信誉

节点d 为检测者，节点s 为被检测对象，利用贝叶斯方程更新本地直接信誉，其后验概率方程为：

根据监测到的s 动作和后验概率推断公式，可求节点s 的直接信誉。

2.2 间接信誉

为减少无线信道的噪声影响，综合考虑邻居节点的间接信誉，可使信誉评估更科学准确。因大部分ID 信息仅在被测节点邻居区域最有用［13］，所以只需要在被测节点邻居区域共享检测信息，而不传播到整个网络，如图2 所示。

图2 信誉共享

间接信誉计算过程

2.3 综合信誉

对于检测节点d 而言，直接信誉一般比间接信誉更重要，提高直接信誉权重，也可抵御邻居节点的串联攻击［14］。综合信誉公式为：

如果信誉值小于设定阈值，则认为节点s 不可信任，发出告警，需采用高检测率的综合检测；反之，检测节点d 则根据新的信誉值，调整检测概率，继续进行贝叶斯博弈检测。

3 重复贝叶斯博弈检测

大多数基于博弈论的入侵检测模型，都假设所有参与者（节点）知道网络的完整信息，如节点类型（正常或恶意）、检测率等，但是这种假设具有局限性，因为Ad hoc 网络中恶意节点具有隐蔽性，可通过正常行为伪装自己。由于节点性质无法确定，采用贝叶斯博弈论的检测方法更符合实际。Myria 等人提出了分簇结构网络的动态贝叶斯检测模型，但簇头容易出现单节点误检情况［15］。

3.1 模型描述

定义重复贝叶斯博弈检测模型（Repeated Bayesian Game，简称RBG）为一个6 元组：

节点s 攻击成功获利为ga，攻击成本为ca，合作获利和成本为gc和cc，合作可提升节点信誉，恶意节点可采取先合作增加节点信誉，而后再发动攻击的方式。检测节点d 成功检测到攻击获利为gd，检测成本为cd，误检损失为gf。攻防双方效用矩阵如下页表1、表2 所示。

3.2 贝叶斯博弈的均衡分析

检测节点d 检测与不检测的期望效用为：

被测节点s 攻击与不攻击的期望收益为：

表1 s 为恶意节点的效用矩阵

表2 s 为正常节点的效用矩阵

采用贝叶斯博弈检测的方法，通过监测节点分组发送率、分组转发率和重复分组率等参数，可初步检测Ad hoc 网络中的大多数网络攻击［15］，如拒绝服务攻击、黑洞攻击、虫洞攻击和泛洪攻击等。

4 综合检测

相对于轻量级的贝叶斯博弈检测，综合检测具有较高检测率。然而Ad hoc 网络，由于无线信道噪声和节点移动等因素影响，单节点检测的伪告警率有时较高。采用多节点检测与交叉验证，可降低系统伪告警率，且节点的恶意行为通常会被多个邻居节点检测到。设被测节点s 有N 个邻居节点，单节点综合检测的告警正确率为pt（1），伪告警率为pf（1）。交叉验证规则为“至少m 个邻居节点产生告警，则告警事件可信”，该事件发生概率为pht（m），伪告警概率为phf（m），计算公式如下。

根据式（10），当一个节点产生告警，认为s 为恶意节点，此事件可信度较低，因为伪告警率较高；而多个邻居节点都告警，一致认为s 为恶意节点，则该事件的伪告警率低，可信度高；m 越大，伪告警率越低。根据式（9），m 越大，则pht（m）越小，系统检测到恶意节点的时间越长，响应越慢。根据式（9）～式（10），综合检测阶段可依据应用场景灵活设置参数m，以平衡检测响应时间与伪告警率之间关系。

5 实验与分析

为验证模型有效性，利用OMNet++软件进行了仿真实验，在一个矩形平面区域（3 000 m×600 m）内随机分布200 个节点，仿真时间600 s。节点能量相同，发射距离250 m，采用随机游走的移动模型，速度小于5 m/s，网络层路由采用修改的AODV 协议。选取一定比例（5%～20%）的恶意节点，进行丢包攻击。

5.1 信誉评估

被测节点s 为正常节点时，检测节点d 对s 的初始信誉为0.5，直接信誉权重0.6，根据式（1）～式（4）得到s 节点综合信誉，如图3 所示，红色曲线为综合信誉，它综合了邻居节点的信誉评估值，可降低信道噪声和节点移动带来的影响，提高信誉评估准确度和收敛速度。

图3 被测节点信誉

5.2 贝叶斯博弈检测

图4 最优检测概率

5.3 综合检测

当被测节点s 的邻居节点数N=8 时，根据式（9）～式（10），对不同的检测率、误检率和参数m，同时告警发生的概率和交叉验证的伪告警率如图5所示。多节点交叉验证，可降低系统伪告警率。

5.4 开销分析

图5 综合检测

本文入侵检测系统的资源开销主要包括节点存储开销、能源消耗和网络通信开销。存储开销主要来自3 个方面，一是每个节点保存最近一个检测时间段内其监听到的邻居节点的行为（数据分组），大小与设定的检测时间相关；二是每个节点需保存并维护其所有邻居节点的信誉值；三是保存来自邻居节点的间接信誉与告警信息。一般Ad hoc 网络的邻居节点数目不会太大，节点信誉表、间接信誉和告警信息都较小。节点检测的能量消耗与检测时长有关，恶意节点的比例越大，那么基于贝叶斯博弈检测的最优检测概率也就越大，导致检测时长变长。检测系统的通信开销主要是来自间接信誉的查询与综合检测的交叉验证。

5.5 对比分析

以检测时长作为资源消耗依据，从资源消耗、检测率和误检率等多方面，将本文模型与其他文献进行对比分析，如表3 所示。文献［7］中所有节点采用误用检测，资源消耗大，误检率高；由于节点移动等影响，文献［8］选择的检测代理节点可能分布不均衡，导致部分节点漏检；文献［15］网络节点资源消耗不平衡，簇头节点性能与故障对系统整体检测影响较大。

表3 模型对比

6 结论

本文针对Ad hoc 网络特点，提出了基于信誉评估的分布式入侵检测模型，根据被测节点信誉，动态选择检测方式。邻居节点间信誉共享，提高了信誉评估的准确性，控制了信誉信息交换范围，避免全网泛洪，减少了带宽占用。采用贝叶斯博弈检测，检测节点不用一直保持监听状态，可以根据不同信誉值调整检测概率，在确保检测率的前提下减少资源消耗；采用综合检测和交叉验证，可进一步提高入侵检测系统的检测率，并降低误检率。