Ad Hoc分布式协作入侵检测系统（ADC_IDS）安全通信机制的研究

【摘要】： Ad Hoc网络是一种无中心控制、高度动态拓扑、多跳通信的自组织网络,依靠节点间的相互协作在移动、复杂多变的无线环境中自行成网。它的应用领域非常宽广,涉及到生活中的很多方面,如军事领域、抢险救灾场合、无线传感网络等。但由于Ad Hoc网络自身的这些特点,它更容易受到攻击,并且许多依赖于固定有线网络的安全技术(如防火墙等)在这种新的环境中并不适用。为了提高其安全性,许多研究人员将入侵检测技术应用到Ad Hoc网络中来。然而,传统的入侵检测方案主要是针对有线网络或者非对等的蜂窝网络而提出的,在Ad Hoc网络中并不适用,Ad Hoc网络的特点决定了其入侵检测方案必须与协作与通信等技术相关。目前针对Ad Hoc网络入侵检测系统(IDS)的研究还处于起步阶段,现有的一些研究方案并不成熟,不是存在着自身的不足,就是还停留在理论研究阶段,尤其是针对Ad Hoc网络协作入侵检测通信机制的研究更是很少,目前的研究工作主要还集中在体系结构和检测算法两个方面。 本文在深入研究了现有Ad Hoc入侵检测方案的基础上,参照文献[4]中提出的IDS体系结构,设计了一种基于代理(Agent)的Ad Hoc分布式协作入侵检测系统(ADC IDS)方案,其中重点设计了各Agent之间的安全通信机制,且在Linux环境下,使用C语言对系统安全通信模块进行了编码实现。 在该安全通信机制的设计过程中,应用了多种技术,(一)参照入侵检测消息交换格式(IDMEF),采用面向对象技术,设计了一种AdHoc入侵检测消息数据模型,用以描述入侵检测的消息数据,并利用了XML语言对其进行形式化描述;(二)基于块可扩展交换协议(BEEP)框架,结合XML加密技术,设计了一种端到端的应用层Ad Hoc入侵检测安全通信协议,并采用安全透明的隧道机制,基于TCP/IP协议来完成入侵检测消息的传输;(三)基于Ad Hoc组播路由协议,实现了Agent协作通信时“一到多”的数据传输。 论文最后在实验环境下,对包含4台固定主机的ADC IDS系统进行了测试,测试结果表明,该安全通信机制是可行的。为了进一步验证在大规模Ad Hoc网络环境下组播技术的应用是否会带来新的网络负担,本文应用OPENT仿真软件对包含50个移动节点的Ad Hoc网络进行了仿真,从分组投递率、端到端平均延迟、协议开销三个方面对Agent通信时的网络性能进行了分析,结果表明,在大规模的Ad Hoc网络环境中,组播技术的应用并未带来新的网络负担,并且在整个通信过程中一直保持较好的网络性能。