英语原文共 9 页,剩余内容已隐藏,支付完成后下载完整资料
无线自组网中的入侵检测
Ybngguang Zhang HRL Laboratories, LLC Malibu, CA 90265 ygz@hrl.com
Wenke Lee Department of Computer Science North Carolina State University Raleigh, NC 27695
摘要:正如最近几个主要的因特网站点所遭受的拒绝或服务攻击所显示的那样,没有一个开放的计算机网络不受入侵的影响。无线自组网由于其开放的介质、动态变化的拓扑结构、协同的算法、缺乏集中的监控和管理点、缺乏明确的防御线等特点,特别容易受到攻击。许多在固定有线网络上发展起来的入侵检测技术在这种新环境中是不适用的。如何以不同的方式有效地进行这一过程是一个具有挑战性的研究课题。在这篇论文中,我们首先研究无线自组网的弱点,为什么我们需要入侵检测的原因,以及为什么目前的方法不能直接应用的原因。然后描述了我们正在为无线自组网开发的新的入侵检测和响应机制。
1.简介
无线自组网由一组“对等”移动节点组成,这些节点能够在没有固定基础设施帮助的情况下相互通信。节点之间的互连可以在连续和任意的基础上改变。在彼此的无线电范围内的节点通过无线链路直接通信,而那些相距遥远的节点则使用其他节点作为中继。节点通常共享相同的物理介质,它们以相同的频带传输和获取信号,并遵循相同的跳变序列或传播码。数据链路层功能管理无线链路资源,协调相邻节点间的媒体接入。媒体访问控制(MAC)协议对于无线自组网是必不可少的,因为它允许移动节点共享一个公共的广播信道。网络层功能维护跨网络的多跳通信路径,所有节点都必须像路由器一样工作,发现并维护到网络中其他节点的路由。移动性和易变性对应用程序是隐藏的,因此任何节点都可以与任何其他节点通信,就像每个人都在一个固定的有线网络中一样。ad-hoc网络的应用范围从军事战术行动到民用快速部署,如紧急搜救任务、数据收集/传感器网络和即时教室/会议室应用。
无线自组网的特性使它们很容易受到恶意攻击。首先,无线链路的使用使无线自组网容易受到从被动窃听到主动干扰等各种攻击。与有线网络不同,在有线网络中,攻击者必须获得对网络线路的物理访问权,或者通过防火墙和网关的几道防线,而对无线自组网的攻击可以来自四面八方,针对任何节点。损害可能包括泄漏机密信息、消息污染和节点模拟。所有这些都意味着无线自组网将没有明确的防御线,每个节点都必须为直接或间接遭遇敌手做好准备。
其次,移动节点是能够独立漫游的自治单元。这意味着物理保护不足的节点很容易被捕获、破坏和劫持。由于在大型自组网中跟踪特定的移动节点不太容易,因此来自网络内部的受损节点的攻击破坏性要大得多,也更难检测到。因此,无线自组网中的任何节点都必须准备在不信任任何对等节点的模式下运行。
- 自组织网络的决策通常是分散的,许多自组织网络算法依赖于所有节点的合作参与。缺乏集中的授权意味着对手可以利用这一漏洞进行新的攻击,从而破坏合作算法。
- 例如,目前的MAC协议fbr无线自组网都是脆弱的。虽然有许多MAC协议,但其基本工作原理是相似的。在基于争用的方法中,每个节点在每次发送消息时都必须争用传输信道的控制权。节点必须严格遵循预先定义的过程,以避免冲突或从冲突中恢复。在无争用方法中,每个节点必须向所有其他节点寻求一致承诺,一次性或重复地独占使用通道资源。不管MAC协议的类型,如果一个节点有恶意行为,MAC协议可能在类似于拒绝服务攻击的场景中崩溃。虽然这种攻击在有线网络中很少见,因为物理网络和MAC层通过第三层网关s/防火墙与外界隔离,但在无线开放介质中,每个移动节点都是完全脆弱的。
- Ad-hoc路由存在另一个漏洞。大多数ad-hoc路由协议在本质上也是协作的。与有线网络不同的是,在有线网络中可以对路由器和网关进行额外的保护,而劫持自组织节点的攻击者可以通过传播错误的路由信息来瘫痪整个无线网络。更糟糕的是,这种错误的路由信息可能导致来自所有节点的消息被发送到被破坏的节点。
诸如加密和身份验证等入侵预防措施可用于自组网以减少入侵,但不能消除它们。例如,加密和身份验证无法防范携带私钥的移动节点受到攻击。使用冗余信息(来自不同节点)的完整性验证(如用于安全路由的信息)也依赖于其他节点的可信度,这对于复杂的攻击来说同样是薄弱环节。
安全研究的历史给我们上了宝贵的一课——不管网络中插入了多少入侵预防措施,总有一些薄弱环节可以被利用来入侵。入侵检测是高生存性网络中必不可少的第二道防线。
综上所述,无线自组网具有不可避免的内在缺陷。为了构建一个高度安全的无线自组网,我们需要部署入侵检测和响应技术,并且需要进一步的研究来使这些技术适应新的环境,从它们在固定有线网络中的最初应用开始。本文提出了一种新的移动自组织无线网络入侵检测与响应模型。我们目前正在研究使用合作统计异常检测模型来保护自组网路由协议、无线MAC协议或无线应用程序和服务免受攻击。我们将它们集成到一个跨层防御系统中,并研究其有效性、效率和可伸缩性。
2.入侵检测的背景
随着基于网络的计算机系统在现代社会中扮演着越来越重要的角色,它们已经成为我们的敌人和罪犯的目标。当发生入侵(定义为“试图破坏完整性、机密性或资源可用性的任何一组操作”)时,加密和身份验证(例如使用密码或生物识别)等入侵预防技术通常是第一道防线。然而,入侵预防本身是不够的,因为系统变得越来越复杂,而安全仍经常回想,总有可利用的系统由于设计的缺陷和编程错误,或各种“社会工程”渗透技术(如最近的“我爱你”病毒)。例如,尽管许多年前就已经有了关于缓冲区溢出的报道,但是在最近的一些系统软件中仍然存在可利用的“缓冲区溢出”、安全漏洞(这些漏洞可能导致未授权的根壳)。此外,最近针对几个主要的互联网站点发起的分布式拒绝服务(DDOS)攻击已经采取了安全措施,这表明,旨在(向公众)提供服务的协议和系统本质上容易受到诸如DDOS之类的攻击。入侵检测可以作为保护网络系统的第二道墙,因为一旦检测到入侵,例如,在DDOS攻击的早期阶段,可以采取相应的措施来最小化损害,收集证据fbr起诉,甚至发起反击。
入侵检测的主要假设是:用户和程序活动是可见的,例如通过系统审计机制;更重要的是,正常行为和入侵行为有着明显的区别。因此,入侵检测包括捕获审计数据和对数据中的证据进行推理,以确定系统是否受到了攻击。根据使用的审计数据类型,可以将入侵检测系统(IDSs)分为基于网络的或基于主机的。基于网络的IDS通常运行在网络的网关上,并对通过网络硬件接口的网络数据包进行“封顶、5和检查”。基于主机的IDS依赖于操作系统审计数据来监视和分析由主机上的程序或用户生成的事件。入侵检测技术可分为误用检测和异常检测。
误用检测系统,例如IDIOT和STAT,使用系统中已知攻击或弱点的模式来匹配和识别已知入侵。例如,“猜测密码攻击”的签名规则可以是“在2分钟内有超过4次失败的登录尝试”。误用检测的主要优点是能够准确、有效地检测出已知攻击的实例。主要的缺点是它缺乏真正创新的能力,没有新发明攻击。
异常检测系统,fbr比如IDES,标记观察到的活动,这些活动明显偏离了建立的正常使用情况,即异常,可能的入侵。例如,用户的正常配置文件可能包含他或她的登录会话中使用的一些系统命令的平均频率。如果正在监视的会话的频率明显降低或升高,则会发出异常警报。异常检测的主要优点是不需要入侵的先验知识,因此可以检测到新的入侵。主要的缺点是它可能无法描述攻击是什么,并且可能有很高的假阳性率。
在概念上,一个入侵检测模型,即一个误用检测规则或一个正常的配置文件,有这两个组成部分:
·特性(或属性、度量),例如“登录失败的次数”,“gcc命令的平均频率”等等,它们共同描述一个逻辑事件,例如用户登录会话;
·建模算法,例如:基于规则的模式匹配,使用特征来识别入侵。
定义一组准确捕获入侵或正常活动的代表性行为的预测特征是建立有效的入侵检测模型的重要步骤,可以独立于建模算法的设计。
1998年,美国国防部高级研究计划局(美国国防高级研究计划局)发起了第一次入侵检测评估,以调查入侵检测的研究现状。结果表明,该研究系统比现有的商业系统要有效得多。然而,即使是最好的研究系统也未能检测到大量的新攻击,包括那些导致未经授权的用户或根访问的攻击。
很明显,敌人知道我们的网络中安装了入侵防御和检测系统,将试图开发和发动新的攻击类型。为了预测这些趋势,IDS研究人员正在设计新的传感器,从而设计新的审计数据源和特征、新的异常检测算法、将异常和误用检测结合起来的技术,以及用于检测分布式和协调入侵的系统架构。
3.当前IDS技术存在的问题
这两个网络之间的巨大差异使得将针对固定有线网络开发的入侵检测技术应用到自组织无线网络非常困难。最重要的区别可能是后者没有固定的基础设施,而今天基于网络的IDSs依赖于实时的流量分析,在新的环境中已经不能很好地工作了。与通常在交换机、路由器和网关进行流量监控的有线网络相比,自组网没有这样的流量集中点,IDS无法收集整个网络的审计数据。因此,在任何时候,唯一可用的审计跟踪将仅限于在无线电范围内发生的通信活动,并且必须使用入侵检测算法来处理这些局部和局部信息。
第二个主要区别是无线自组网中的通信模式。由于较慢的连接、有限的带宽、较高的成本和电池功率的限制,无线用户往往对通信很吝啬。断开连接的操作在无线网络应用程序中非常常见,依赖于位置的计算或其他专门为无线网络设计的技术在有线环境中很少使用。所有这些都表明,有线网络的异常模型不能像在新环境中那样被使用。
此外,在无线自组网中,正常和异常之间可能没有明显的区别。发送错误路由信息的节点可能是被破坏的节点,或者仅仅是由于不稳定的物理移动而暂时不同步的节点。入侵检测可能会发现越来越难以区分假警报和真实入侵。
综上所述,在开发一个可行的无线自组网入侵检测系统时,我们必须回答以下研究问题:
·构建适合无线自组网特性的入侵检测和响应系统的良好系统架构是什么?
·什么是合适的审计数据源?我们如何基于局部的、局部的审计跟踪来检测异常——如果它们是唯一可靠的审计来源的话?
·无线通信环境中,怎样的活动模式能够在受到攻击时将异常从正常状态中分离出来?
在本文的其余部分,我们将讨论这些具有挑战性的问题。
4.新架构的提出
入侵检测和响应系统应该是分布式和协作的,以满足无线自组网的需要。在我们提出的架构中(图1),无线自组网中的每个节点都参与入侵检测和响应。每个节点都独立地负责检测入侵信号,但是相邻节点可以在更大范围内进行协作调查。
在系统方面,各个IDS代理被放置在每个节点上。每个IDS代理独立运行并监视本地活动(包括用户和系统活动,以及无线电范围内的通信活动)。它检测来自本地跟踪的入侵并启动响应。如果在局部数据中检测到异常,或者证据不确定,需要进行更广泛的搜索,相邻的IDS代理将协同参与全局入侵检测操作。这些单独的IDS代理共同组成IDS系统来保护无线自组网。
IDS代理的内部相当复杂,但从概念上讲,它可以构造为6个部分(图2)。数据收集模块负责收集本地审计跟踪和活动日志。接下来,本地检测引擎将使用这些数据来检测本地异常。需要更广泛的数据集或需要IDS代理之间协作的检测方法将使用协作检测引擎。入侵响应操作由本地响应和全局响应模块提供。本地响应模块触发此移动节点的本地操作,例如IDS代理向本地用户发出警报,而全局响应模块协调相邻节点之间的操作,例如网络中的IDS代理选择补救操作。最后,安全通信模块提供了IDS代理之间的高可信通信通道。
4.1 数据采集
图1:无线自组网的IDS体系结构
图2:IDS代理的概念模型
第一个模块,本地数据收集,从各种来源收集实时审计数据流。根据入侵检测算法的不同,这些有用的数据流可以包括移动节点内的系统和用户活动、该节点的通信活动以及该节点可观测到的无线电范围内的通信活动。因此,多个数据收集模块可以共存于一个IDS代理中,为多层集成的入侵检测方法提供多个审计流(第6节)。
4.2 当地检测
本地检测引擎分析由本地数据收集模块收集的本地数据跟踪,以寻找异常的证据。由于可以想象,随着越来越多的网络设备成为无线网络,安装在无线网络上的新创建的攻击类型的数量将迅速增加,我们不能简单地使用一些专家规则,这些规则只能检测少数已知的攻击类型。此外,我们利用以前在固定有线网络[10]上所做的工作,更新了规则库,开发了高效的数据挖掘算法,用于从TCP/IP跟踪数据(即,tcpdump输出),以及用于构建误用和异常检测模型的分类技术。美国国防部高级研究计划局1998年的评估结果表明,由我们的系统产生的探测模型在无线自组网中以安全可靠的方式具有最好的构造规则之一,这绝非易事。因此,我们认为无线自组网的入侵检测应该主要使用统计异常检测技术。一般而言,建立异常检测模型的步骤如下:
bull;普通配置文件(即使用来自“训练”过程的跟踪数据(其中所有活动都是正常的)计算正常行为模式; 剩余内容已隐藏,支付完成后下载完整资料
资料编号:[424408],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
