Detectare a intruziunii în reţele Mobile Ad-Hoc

Abstracte în ultimii ani, mobil reţele ad-hoc (MANETs) au devenit un subiect de cercetare foarte popular. Prin furnizarea de comunicaţii în lipsa unei infrastructuri fixe, MANETs sunt o tehnologie atractiv pentru multe aplicaţii precum operaţiuni de salvare, operaţiuni tactice, monitorizarea mediului, conferinţe şi similare. Cu toate acestea, această flexibilitate introduce noi riscuri de securitate.Deoarece prevenirea tehnici nu sunt suficiente, efractie sisteme de detectare (IDSs), care monitorizează activităţile de sistem şi detectarea intruziunilor, sunt utilizate în general pentru a completa alte mecanisme de securitate.Detectare a intruziunii pentru MANETs este o activitate complexă şi dificil în principal din cauza naturii dinamice a MANETs, nodurile lor foarte constrânsă, şi lipsa de punctele centrale de monitorizare. IDSs convenţionale nu sunt uşor de aplicat pentru a le. Noi abordări trebuie să fie dezvoltate sau altceva abordările existente trebuie să fie adaptate forMANETs. Acest capitol prezintă probleme de detectare a intruziunii pentru MANETs şi clienţi soluţii principale propuse în literatura de specialitate.

17.1 Introducerea Wireless reţea acum este mediu de alegere pentru numeroase aplicaţii. În plus, tehnici moderne de fabricaţie permite funcţionalitate ce în ce mai sofisticate de şedere în dispozitive care sunt mai mici, şi deci tot mai mobile. Reţele mobile ad-hoc (MANETs) se combină comunicare wireless cu un grad ridicat de mobilitate de nod. Gamă limitată de comunicaţii fără fir şi mare nod mobilitate înseamnă că nodurile trebuie să coopereze cu alte fiecare pentru a furniza reţele esenţiale, cu reţeaua subordonată dinamic schimbarea pentru a asigura nevoile continuu sunt îndeplinite. Caracterul dinamic de protocoale care să permită funcţionarea MANET înseamnă ele uşor sunt potrivite pentru desfăşurarea în circumstanţe extreme sau volatili. MANETs au devenit, în consecinţă, un foarte populare subiect de cercetare şi au fost propuse pentru utilizarea în multe domenii precum operaţiuni de salvare, operaţiuni tactice, monitorizarea mediului, conferinţe şi similare.MANETs prin natura lor sunt mai vulnerabile la atac decât reţele cablate. Flexibilitatea deschis mediu de difuzare şi cooperativeness de dispozitive mobile (care au, în general, de diferite resurse şi capacităţile de calcul, şi a alerga, de obicei pe baterie) introduce noi riscuri de securitate. Ca parte din managementul riscului raţionale, noi trebuie să fie capabil să identifice aceste riscuri şi ia măsurile corespunzătoare. În unele cazuri ne poate fi capabil de a proiecta în special riscurile cost-eficient. În alte cazuri, poate trebuie să acceptăm că vulnerabilităţile există şi să încerce să ia măsurile corespunzătoare atunci când credem că cineva este-ne ataca. Ca urmare, detectarea intruziunilor este o parte indispensabilă de securitate pentru MANETs.Multe sisteme de detectarea intruziunilor (IDS) au fost propuse în literatura de specialitate pentru reţele cablate, dar caracteristicile specifice MANETs' face aplicarea directa a aceste abordări la MANETs imposibil. Noi abordări trebuie să fie dezvoltate sau altceva abordările existente trebuie să fie adaptate pentru MANETs. În acest capitol, vom examina probleme speciale de ID-uri de MANETs şi IDSs propuse pentru sisteme de MANET specifice pentru a afla cum well-proposed sisteme adresa de aceste aspecte. În secţiunea următoare, este dat o introducere de sisteme de detectare a intruziunii. Apoi, detectarea intruziunilor pe MANETs este discutat împreună cu IDSs propuse. În concluzie, gânduri pentru practicieni şi idei pentru viitoare de cercetare sunt prezentate.

17,2 Intrusion Detection sisteme de intruziune este orice set de acţiuni care încearcă să compromită integritatea, confidenţialitatea, sau de disponibilitatea unei resurse [6] şi un sistem de detectare a intruziunilor (IDS) este un sistem de detectare a intruziunilor astfel. Există trei componente principale ale unui ID: culegerea datelor, detectarea şi răspunsul.Componenta de colectare de date este responsabil pentru colectarea şi pre-procesare date sarcini: transferul de date la un format comun, stocarea de date şi de a trimite date la modulul de detecţie [14]. ID-uri pot utiliza surse de date diferite ca intrări la sistem: sistem, reţea de pachete, etc. În detectarea componentă datele sunt

analizate pentru a detecta tentative de intruziune şi indicaţiile de detectat intruziuni sunt trimise la componenta de răspuns.În literatura de specialitate, sunt utilizate trei tehnici de detectare a intruziunii. Prima tehnica este de detectare a intruziunilor anomalie, care profile simptome de comportamente normale a sistemului, cum ar fi frecvenţa de utilizare de comenzi, CPU usage pentru programe şi cum. Detectează intruziuni ca anomalii, adică abateri de la comportamente normale. Diverse tehnici au fost aplicate pentru detectarea de anomalie, ex. statistice abordari si tehnici de inteligenţă artificială ca data mining şi de reţele neuronale. Definirea comportamentul normal este un provocare majoră. Comportamentul normal poate schimba în timp şi sisteme de detectare a intruziunii trebuie să fie păstrate până la data de. Fals pozitive – activităţile normale care sunt detectate anomalii de ID-uri – poate fi ridicat în detectare bazate pe anomalie. Pe de altă parte, este capabil de a detecta atacurile necunoscut anterior. Acest lucru este foarte important într-un mediu în cazul în care noi atacuri şi vulnerabilităţile noi sisteme sunt anunţate în mod constant.Detectare a intruziunilor abuz compară atac cunoscuţi semnături cu activitati de sistemul curent. Acesta este, în general, preferat de comerciale IDSs, deoarece este eficientă şi are o rată scăzută fals pozitive. Dezavantajul acestei abordări este că acesta nu poate detecta noi atacuri. Sistemul este doar la fel de puternic ca sa semnătură bază de date, iar acest lucru are nevoie de frecvente actualizare pentru noi atacuri. Atât anomalie-abuz bazate şi abordări au punctele lor forte şi punctele slabe. Prin urmare, ambele tehnici sunt în general angajaţi pentru detectarea intruziunilor eficiente.Tehnica de ultima este de detectare a intruziunilor caietul de sarcini. În această abordare, un set de constrângerile pe un program sau un protocol sunt specificate şi intruziuni sunt detectate ca runtime încălcărilor acestor specificații. Acesta este introdus ca o alternativă promiţătoare, care combină punctele forte ale bazate pe anomalie si abuz-bazate pe tehnici de detectare, furnizând detectarea de cunoscute şi necunoscute atacurile cu o mai mică rată fals pozitive [26]. Acesta poate detecta atacuri noi, care nu respectă specificaţiile sistemului.În plus, se declanşa nu alarme false atunci când programul sau protocol are comportament neobişnuit, dar legitimă, deoarece foloseste specificațiile legitim al programului sau protocolul [26]. Acesta a fost aplicat la ARP (adresa Resolution Protocol), DHCP (Dynamic Host Configuration Protocol) [25] şi multe protocoale de rutare MANET. Definirea specificațiile detaliate pentru fiecare program\/protocolul poate fi un loc de muncă foarte consumatoare de timp. Noile specificaţii sunt necesare pentru fiecare nou programul\/protocol şi abordarea nu poate detecta un fel de atacuri, cum ar fi atacuri DoS (Denial of Service), deoarece acestea nu încalcă programul specificaţiile direct [9].Când se detectează o intruziune, un răspuns adecvat este declanşat conform politicii de răspuns. Răspunsuri la detectat intruziuni pot fi active sau pasive. Pasiv răspunsurile pur şi simplu ridica alarme și notifică autoritatea corespunzătoare.Răspuns la activ încerca pentru a atenua efectele de intruziuni şi sunt împărţite în două grupe: cei care caută de control asupra sistemului de atacat şi cei care caută de control asupra sistemului ataca [3]. Fosta încearcă restaurarea sistemului deteriorate de uciderea procese, încheiere conexiunile de rețea și altele. Acesta din urmă încearcă pentru a preveni încercările de viitor atacatorului, care pot fi necesare pentru aplicaţii militare.

17,3 Intrusion Detection probleme în MANETs

diferite caracteristici ale MANETs face IDSs convenţionale ineficiente şi ineficiente pentru acest nou mediu. Prin urmare, cercetatorii au lucrat recent pe dezvoltarea nou IDSs pentru MANETs sau schimbarea IDSs curent aplicabile la MANETs. Există probleme noi, care ar trebui să fie luate în considerare atunci când un nou ID-uri este proiectat pentru MANETs.Lipsa de puncte centrale: MANETs nu au nici puncte de intrare, cum ar fi routere, gateway-uri, etc. Acestea sunt de obicei prezente în reţele cablate şi poate fi folosit pentru a monitoriza tot traficul de reţea, care trece prin ele. Un nod al unei retele mobile ad-hoc pot vedea doar o parte a unei reţele: pachetele de a trimite sau primeşte cu alte pachete în gama sa de radio. Reţele fără fir ad-hoc sunt distribuite şi de cooperare, de detectare a intruziunii, sisteme de răspuns în MANETs poate, de asemenea, necesitatea de a fi distribuite și Cooperativa [28]. Aceasta introduce unele dificultăţi. De exemplu, distribuţia şi cooperativeness de agenţii de ID-uri sunt greu într-un mediu în cazul în care resursele precum lăţime de bandă, viteza procesorului şi

puterea sunt limitate. În plus, stocarea semnăturilor de atac într-o bază de date centrală şi distribuire a agenţilor de ID-uri pentru sisteme de detectare a intruziunilor abuz nu este potrivit pentru acest mediu.Mobilitate: MANET noduri pot lăsa şi se alăture reţelei şi muta independent, astfel încât topologia reţelei poate schimba frecvent. Funcţionare extrem de dinamic de o MANET poate provoca tehnicile tradiţionale de ID-uri pentru a fi nesigure.De exemplu, este greu pentru abordările bazate pe anomalie a distinge dacă un nod emit expirată informaţii au fost compromise sau dacă acel nod a fost încă de a primi actualizare informaţii [7]. Un alt efect de mobilitate pe ID-uri este că ID-uri de arhitectura poate schimba cu modificări la topologia de reţea.Fără fir link-uri: retele Wireless au mai constrânsă de lăţime de bandă decât reţele cablate şi link-ul de rupere sunt comune. ID-uri de agenţi nevoie pentru a comunica cu alţi agenţi de ID-uri pentru a obţine date sau alerte şi trebuie să fie conştienţi de link-uri fără fir. Deoarece ID-urile cu trafic intens ar putea provoca congestie şi deci limita normale de trafic, agenţii de ID-uri nevoie la spre minimum lor de transferuri de date [18]. Lăţime de bandă limitată poate provoca ineficiente ID-uri de funcţionare. De exemplu, un ID nu poate fi capabil să răspundă la un atac în timp real din comunicare întârziere.În plus, ID-uri de agenţi poate deveni deconectat din cauza link-ul de rupere.Un ID-urile trebuie să poată tolerarea mesajele pierdute, păstrându-se acurateţea rezonabilă de detectare [24].Resurse limitate: Mobile noduri, în general, utilizarea baterie şi au capacităţi diferite. MANET dispozitive sunt variate, ex. laptop-uri, dispozitive handheld, cum ar fi PDA-uri (personal digital Assistant) şi telefoane mobile. Capacităţile de calcul şi de stocare variază prea. Varietate de noduri, în general, cu resurse limitate, afectează eficiența și eficacitatea agenţilor ID ei de sprijin. De exemplu, nodurile pot picătură de pachete pentru a conserva resursele (cauzează dificultăţi în distinctive nu a reuşit sau egoist noduri la atacator sau compromisă noduri) şi constrângerile de memorie poate împiedica un agent de ID-uri de prelucrare un număr semnificativ de alerte vine de la alţii. Algoritmul de detecţie trebuie să ia în considerare resursele limitate. De exemplu, misusebased de detectare algoritm trebuie să ia în considerare constrângerile de memorie pentru semnăturile și pe bază de anomalie de detectare algoritm trebuie să fie optimizate pentru a reduce utilizarea de resurse.Lipsa de o linie clară de apărare şi comunicaţii sigure: MANETs nu au o linie clară de apărare; Atacurile pot veni din toate direcţiile [28]. De exemplu, nu există nici o centrală onMANETs de puncte în cazul în care pot fi introduse mecanisme de control acces. Spre deosebire de reţele cablate, atacatorii nu nevoie pentru a obţine accesul fizic la reţea pentru a exploata anumite tipuri de atacuri, precum interceptarea pasivă şi activă interferenţă (acestea necesita doar contact radio) [28].În plus, ganglionii critice (servere, etc) nu se poate presupune a fi asigurate în dulapuri şi nodurile cu protecţie inadecvată au risc de compromis şi de captare. ID-uri de trafic ar trebui să fie criptate pentru a evita atacatorilor învăţare cum ID-urile funcţionează [18]. Cu toate acestea, criptografie şi autentificare sunt sarcini dificile în mediul fără fir amobile deoarece acestea consuma resurse semnificative.În multe cazuri agenţii de ID-uri de risc fiind capturat sau compromise cu consecinţe drastice într-un mediu distribuit. Pot trimite alerte fals şi face ID-urile ineficiente. ID-uri de comunicare, de asemenea, poate fi împiedicată prin blocarea şi bruiaj de comunicaţii în reţea.Protocoale de rutare cooperativeness MANET sunt de obicei foarte cooperante.Aceasta le poate face ţinta atacurilor noi. De exemplu, un nod poate ca un vecin alte noduri şi participa la mecanismele de decizie, eventual, care afectează părţi semnificative de reţea.

17.4 Fundal 17.4.1 propus IDSs IDSs pe MANETs

utilizează o varietate de metode de detectare a intruziunii. Cel mai frecvent propusă metoda de detectare a intruziunilor la data este de detectare a bazat pe caietul de sarcini. Acest lucru poate detecta atacurile împotriva protocoale de rutare cu o rată scăzută de alarme false. Cu toate acestea, ea nu poate detecta un fel de atacuri, cum ar fi atacuri DoS. Există, de asemenea, unele sisteme de detectare bazate pe anomalie puse în aplicare în MANETs. Din păcate, mobilitatea MANETs creşte rata de fals pozitive în aceste sisteme. Au

existat câteva IDSs bazate pe utilizarea abuzivă, dezvoltat pentru MANETs şi pic de cercetare pe semnături de atacuri împotriva MANETs.Actualizarea semnăturilor de atac este o problemă importantă pentru această abordare. Unele sisteme utilizează monitorizarea promiscuitate de comunicaţii wireless în vecinătatea de noduri.Deoarece nodurile inMANETs au numai date locale, o arhitectura de ID-uri distribuite si cooperare este folosit în general pentru a oferi o abordare mai informat de detectare. În această arhitectură, fiecare nod are agentul său de ID-uri locale şi comunică cu alte noduri agenţi pentru a face schimb de informaţii, pentru a ajunge la decizii şi de a răspunde. Alte arhitecturi de ID-uri din MANETs sunt IDSs de sine stătătoare şi ierarhice [1]. ID-uri stand-alone de arhitecturi, fiecare nod în reţea are un agent de ID-uri şi detectează atacurile pe cont propriu fara colaborarea cu alte noduri. Deoarece această arhitectură nu poate detecta atacurilor de reţea (reţea a scanda, atacuri distribuite, etc) cu date parţială reţea nod locală, în general, nu este preferat. IDSs ierarhice sunt, de asemenea, un fel de arhitectură distribuită şi cooperare. În această arhitectură, reţeaua se împart în grupuri clustere, zone unde unele noduri (clusterheads, noduri interzone etc.) au mai multă responsabilitate (furnizarea de comunicare cu alte clustere, zone) decat alte noduri din același grup. Fiecare nod în zonă de grup desfășoară locale de detectare în timp ce clusterheads şi noduri de inter-zone efectueze globale de detectare. Este mai potrivit pentru reţele de multi-stratificat [1]. Agenţi de ID-uri distribuite (noduri), în general, sunt împărţite în grupuri mici precum clustere, zone şi unul-hamei departe noduri, permiţându-le să fie gestionate într-un mod mai eficient.Comunicarea între aceşti agenţi de ID-uri este prevăzută prin schimbul de date direct sau prin utilizarea de agenţi de mobil.Două mecanisme diferite de luare a deciziilor sunt utilizate în IDSs distribuite şi cooperare: colaborare luare a deciziilor, în cazul în care fiecare nod poate să ia parte activă în procesul de detectare a intruziunii, şi independente decizionale, în cazul în care anumite noduri sunt responsabile pentru luarea deciziilor [12]. Ambele mecanisme decizionale au argumente pro şi sisteme de luare a deciziilor colaborare consum sunt mai fiabile. Dacă toate nodurile contribuie la o decizie, câteva noduri rău intenţionat poate perturba uşor de luare a deciziilor. Cu toate acestea, în cazul în care orice nod poate declanşa un răspuns plin de vigoare, poate afecta întreaga reţea şi fi vulnerabile la un atac DoS [12]. O abordare colaborativ de luare a deciziilor este, de asemenea, mai rezistente la eşecul benigne de noduri. Pe de altă parte, lipsa sau compromis de noduri special în sistemele decizionale independente pot avea efecte drastice. Cu toate acestea, aceste sisteme sunt mai puţin predispuse la falsificata intruziune atacuri decât sistemele decizionale colaborare [12].IDSs principale propuse pentru MANETs în literatura de specialitate sunt descrise mai jos.

17.4.1.1 Distribuite şi ID-uri de cooperare [28, 29]

prima ID-uri pentru MANETs propuse de Zhang şi Lee este un distribuite şi cooperare ID-uri. În această arhitectură, fiecare nod are un agent de ID-uri, care detectează intruziuni la nivel local şi colaborează cu noduri vecine (prin canale de comunicare încredere ridicat) pentru detectarea globale, ori de câte ori dovezile disponibile sunt neconcludente şi o căutare mai largă este necesar. Când se detectează o intruziune, un agent de ID-uri fie poate declanşa un răspuns locale (de exemplu, alertare utilizator local) sau un răspuns globale (care coordonează acţiunile printre vecine noduri).Deoarece Expertul reguli poate detecta doar atacurile cunoscute şi regulilor nu poate fi actualizat cu uşurinţă peste o reţea ad-hoc wireless, statistice bazate pe anomalie de detectare este ales de detectare a bazat pe utilizarea abuzivă. Datele locale sunt invocate pentru detectarea statistice bazate pe anomalie: nodul pe circulaţia (distanţă, direcţie, viteză) şi schimbarea de rutare (PCR: procentul de rute de schimbat, PCH: procentajul de modificări în suma de hamei toate rutele).O mai integrate de detectare a intruziunii şi răspuns este propus permite atacuri diferite să fie detectată la stratul cel mai eficient. Se crede pentru a realiza o mai mare rata de detectie cu o mai mică rată de fals pozitive.RIPPER şi SVM-lumina algoritmi de clasificare sunt utilizate. În cercetarea lor ulterioară [29], acești algoritmi sunt evaluate pe trei protocoale de rutare: AODV, DSR şi DSDV folosind rata de detecţie şi alarmelor false rata de măsurători. SVM-lumina este indicat să aibă o performanţă mai bună decât RIPPER.

Este indicat, de asemenea, că protocoalele cu o corelaţie puternică între modificări de tipuri diferite de informaţii (locaţie, rutare, etc.) au o performanţă mai bună, astfel încât reactivă (la cerere) protocoalele sunt mai adecvate pentru acest sistem decât proactivă protocoale (bazate pe masa). În plus, se afirmă că ID-urile funcţionează mai bine cu protocoale care includ unele redundanţă (cum ar fi cale şomaj în DSR). Cu toate acestea, efectul de mobilitate nu este discutat.Aceasta este una dintre abordările câteva luând în considerare mobilitatea de nod mişcările de monitorizare. Acest lucru poate reduce eronate care rezultă din nodul pe mobilitate.Cu toate acestea, ea doar reflectă mobilitatea locale nu al rețelei de mobilitate. De asemenea, fiecare nod trebuie să aibă un clădire-înăuntru GPS (Global Positioning Sistem) pentru a obţine aceste date de mobilitate. Este subliniat faptul că acesta poate fi aplicat la toate protocoalele de rutare, deoarece utilizează informaţiile minime de distribuire. De asemenea, permite adăugarea de noi caracteristici pentru un protocol specific. Din punct de vedere al securităţii, sistem este fiabil, excepţia cazului în care majoritatea de noduri sunt compromise [28]. (Acestea pot trimite date falsificate.) Mai mult, mecanismul de colaborare de detectare poate fi predispuse la negarea serviciului şi lingură intruziune atacuri [12].

17.4.1.2 Cooperativa ID-uri folosind Cross-analiza caracteristică în MANETs [7, 8]

Huang et al. folosi tehnici de date-minerit pentru a construi automat un model de detectare anomalie [8]. Ei utilizează o tehnică de analiză care vizează mai multe caracteristici şi care recunoaşte modele caracteristice de corelaţie între ele. Presupunerea de bază aici pentru detectarea anomalie este că evenimentele normale şi anormale vectori caracteristică diferite care pot fi diferenţiate.În analiza eco-caracteristica, ei tren următorul model de clasificare Ci la normale de date bazat pe explorarea corelaţia dintre fiecare caracteristică şi toate alte caracteristici [7]:

În practică, fiecare fi caracteristică este analizat şi comparat cu valorile estimate a fi. Apoi, numărul mediu meci este evaluată prin împărţirea numărului de meciuri adevărate totală de toate caracteristicile de L şi folosit pentru a detecta anomalii care sunt sub pragul. În loc de numărul de valori, probabilităţi, de asemenea, poate fi folosit.Algoritmi de clasificare diferită C4.5, Ripper şi NBC sunt investigate pentru a calcula funcţia de probabilitate [7]. Deoarece C4.5 prezinta o performanţă mai bună, este metoda aleasă în cercetarea lor ulterioară [8].Din cauza constrângerilor de resurse în MANETs, se propune o arhitectură de ID-uri bazate pe cluster-ului. Este prezentată o atribuire de cap cluster-ului corecte şi sigure. Clusterheads sunt selectate la întâmplare, care facilitează, de asemenea, securitatea. Serviciului egală cu timpul se atribuie toate capetele de grup selectat.Reguli simple sunt introduse, de asemenea, pentru a determina tipurile de atac, şi, uneori, atacatorii. Regulile sunt executate după este detectată o anomalie. Acestea se bazează pe statistici, cum ar fi numărul de intrare\/ieşire pachete pe nodul monitorizate şi sunt pre-computed pentru atacurile cunoscute. De exemplu, necondiţionată pachete cădere de un nod m este formulat după cum urmează [8]:

În cazul în care numitorul nu este zero şi FPm este 0, înseamnă că nodemis cădere toate pachetele. Atacatorul este identificat de un vecin de nod m care pot auzi promiscuously nod m trafic.Acesta este implementat pe simulator NS-2 utilizând legate de trafic şi nontraffic legate de caracteristici. Caracteristici legate de trafic sunt pachete de tip, direcţia fluxului, perioadele şi statistici măsuri (contează şi deviaţii standard de inter-packet intervale) de prelevare de probe. Caracteristici legate de non-trafic reprezintă topologia de reţea şi de rutare operaţiunile şi cuprind informaţii cum ar fi numărul de rute adaugă prin ruta descoperire, schimbare totală traseu şi viteza absolută (viteza fizic de un nod). Protocolul de AODV

este orientată şi următoarele măsurători sunt folosite pentru evaluare: rata de detecţie, rata fals pozitive şi atac tip detection ritm. Rezultatele sunt promitatoare.Este prima abordare care utilizează caracteristica corelaţii. Le-au propus să investigheze modul de calcul costul poate fi redusă [7]. Identificarea atacatorului şi atacuri împotriva IDS (o problemă majoră pentru o arhitectura cluster-cap) sunt identificate ca viitoare de cercetare [8].

17.4.1.3 Zona Intrusion Detection sistem bazat pe [22]

In[22],o nu se suprapun bazate pe zona ID este propus. În această arhitectură, reţeaua este împărţită în zone, pe baza geografică de partiţionare pentru a salva lăţime de bandă de comunicare în timp ce îmbunătăţirea performanţei de detectare prin obţinerea datelor din mai multe noduri. Nodurile într-o zonă sunt numite intrazone de noduri şi nodurile care funcţionează ca o punte alte zone sunt numite noduri de Papa (poarta). Aşa cum se arată în Fig. 17.1 pot exista mai multe gateway-ul nod într-o zonă, de exemplu, nodurile 1, 6, 7 sunt noduri de poarta de acces în zona 5. Fiecare nod în zona este responsabil pentru locale detection şi alerte de trimiterea la nodurile interzone.Cadrul lor îşi propune să permită utilizarea de tehnici de detectare a diferite în fiecare agent de ID-uri; cu toate acestea, ei folosesc doar Markov lanţ anomalie detectarea în cercetarea lor. Intrări la IDS agenţi sunt rutare actualizări de masă (PCR şi PCH) ca în [28, 29].

Fig. 17.1 Zone-based IDS architecture in MANETs

Intrazone noduri se efectueze locale de agregare şi corespondenţă, în timp ce poarta noduri sunt responsabile pentru agregarea globale şi corelare a face deciziile finale şi trimite alarme. Deci, numai noduri de gateway-ul participa la detectarea intruziunilor. Alerte trimise de noduri interzone Arată pur şi simplu o evaluare a probabilitatea de intruziune; alarmele generate de gateway-ul noduri sunt bazate pe informaţiile combinate primite. În lor algoritm de agregare, noduri de gateway-ul utiliza următoarele asemănările în alerte pentru detectarea intruziunilor: similitudinea de clasificare (clasificarea atacuri), timp similitudinii (timp de atac se întâmplă şi ora de atac detectarea) şi sursa similitudinii (surse de atac). Sursa similitudinea este similitudinea principale utilizate, astfel încât performanţă detectare algoritm de agregare ar putea scădea cu creşterea numărului de atacatori [22].Una dintre contribuţiile în această lucrare este MIDMEF (MANET Intrusion Detection mesaj Exchange Format), care defineşte formatul de schimb de informaţii între agenţi de ID-uri. Acesta este în concordanţă cu Intrusion Detection mesaj Exchange Format (IDMEF) propus de Internet Engineering Task Force (IETF) [10].Anterioare de lucru [21] analizat cum să ia în considerare mobilitatea când proiectaţi o ID-uri. Rata de schimbare link-ul a propus reflectă nivelurile diferite de mobilitate. Potrivit profilare normale și pragurile

corespunzătoare poate apoi adaptiv adoptate de agenţi de ID-uri folosind această măsură. În plus, se arată că rata de schimbare a link-ul reflectă modelul de mobilitate de reţea mai bine decât măsura viteza de telefonie mobilă sunt în general folosite. Link-ul rata de schimbare a un nod este definit ca [21]:

unde N1 este setul vecin al nodului momentul t1 şi N2 este setul vecin al nodului momentul t2.ID-urile propuse este simulat pe GlomoSim simulator și evaluate utilizând următoarele măsurătorile de performanţă: rata de pozitiv fals, rata de detectare şi timp de alarmă prima (este detectată o măsură de cât de repede intruziune). Sistemul este instruit şi evaluate în cadrul mobilităţii diferite niveluri şi s-a demonstrat că anomalie bazată pe detectarea efectuează prost din cauza abaterii de date sub mare mobilitate. În plus, prezenţa parţială victime care nu primesc toate datele falsificat din cauza link-ul de rupere care rezultă din mobilitate [22] este susţinut pentru a face detectare mai dificil. Avantajele unui algoritm de agregare utilizând datele din victimele parţiale şi complete sunt evidenţiate: rată de fals pozitive şi mai mare de detectare mai mică decât ID-uri locale realizează. Cu toate acestea, performanţele sale poate scădea cu existenţa de mai mult de un atacator în reţea. Ei, de asemenea, concluzia că aeriene de comunicare este crescut proporţional cu mobilitate unde locale IDSs genera mai multe fals pozitive şi trimite mai multe intruziune alerte gateway-ul noduri. În plus, agregarea datelor si alerte de la interzone noduri pot duce la detectarea şi răspunsul latenta, atunci când nu există date suficiente pentru detectarea intruziunilor chiar la intrazone noduri. Autorii planului de a investiga în continuare scenarii de atac la dirijarea şi alte straturi, precum şi construirea alte caracteristici legate de securitate şi abordări bazate pe abuzul de detectare.

17.4.1.4 Generale cooperare Intrusion Detection arhitectura [20]

In [20], Sterne et al. prezintă o dinamică şi cooperare ierarhice ID-uri de arhitectura, care utilizează mai multe-stratificarea gruparea. Figura 17.2 arată o reţea cu două nivele clustere. Nodurile adnotat cu '' 1'' sunt clusterului primul nivel-şefi, în esenţă, acţionând ca un accent de gestiune pentru activitatea de ID-uri de imediat invecinate noduri. Aceste grup-capete de nivel 1 poate forma un cluster în jurul nod la nivel înalt '' 2'', al doilea nivel clusterului-cap. Acest proces se duce

Fig. 17.2 IDS hierarchy with two-level clusters data flow from 1. level cluster nodes to their cluster head data flow from 2. level cluster nodes to their cluster head

până când toate nodurile sunt atribuite un cluster. Pentru a evita singur punct de eşec, se propune alegerea mai multe clusterului-cap de nivel superior, cluster-ului. Selecţie de cap cluster-ului se bazează pe topologia şi alte criterii, inclusiv conectivitate, proximitate, rezistenta la compromis, accesibilitatea de reţea de securitate specialişti, putere de procesare, capacitate de stocare, energia rămasă, capabilităţi de lăţime de bandă şi administrativ desemnat proprietăţi [20].În această ierarhie dinamic, fluxul de date este în sus, în timp ce fluxul de comandă este în jos. Datele sunt achiziționate la frunze de noduri şi agregate, redusă şi analizate ca curge în sus. Ideea esențială este dat ca detectarea intruziunilor si corelarea cu alte noduri la cele mai mici niveluri pentru reducerea latenta de detectare şi susţinerea date de reducere, păstrându-se date suficiente. Aceasta susţine atât directe de raportare şi participanţii promiscuitate monitorizarea pentru scopuri de corelare.

Arhitectura detectarea intruziunilor propuse pentru MANETs obiective militare aplicaţii. Autorii susţin că caracteristica de dinamic ierarhia este foarte scalabil. De asemenea, reduce comunicării aeriene prin arhitectura ierarhice. Cu toate acestea, costul de configurare de arhitectură în reţele dinamice trebuie, de asemenea, considerate.Tehnici de detectare a intruziunii specifice și nici punerea în aplicare a acestei arhitecturi este acoperit. Sprijinirea un spectru larg de tehnici de detectare a intruziunii este reprezentată ca una dintre cerințele generale de ID-uri. Cu toate acestea, de aplicarea acestor tehnici la reţele mobile ad-hoc, care pot avea resurse constrânsă noduri şi nici puncte de conducerea centrală, nu se adresează. Sunt prezentate exemple de scenarii de utilizare, care acoperă atacuri MANET specifice şi convenţionale, indicând intruziune diferite tehnici de detectare pe arhitectura. Unele atacuri pot fi drastice în această arhitectură, de exemplu, captarea de capete de grup sau un nod rău intenţionat fiind selectat ca un cap de grup prin trimiterea criteriile de fals. Domenii în curs de investigare sunt comparaţia de algoritmi de cluster existente şi măsurătorile globale de comunicare. Se identifica ca lucrările viitoare dezvoltarea tehnicilor bizantin-rezistente pentru gruparea şi pentru detectarea intruziunilor şi corelare.

17.4.1.5 Intrusion Detection folosind senzori Multiple [12]

Kachirski si achim să propună o soluţie de ID-uri bazate pe tehnologia de agent de telefonie mobilă, care reduce sarcina de reţea prin mutarea calculul datelor. Aceasta este o caracteristică semnificativă pentru MANETs care au lăţime de bandă mai mică decât reţele cablate.Este propusă o structură modulară de ID-uri, care distribuie sarcini funcţional prin trei clase de agent de mobil: monitorizare, decizie şi acţiune-a lua. Avantajele oferite de aceasta structura sunt date ca crescut faulttolerance, reducerea costurilor de comunicare, performanţă îmbunătăţită de întreaga reţea şi scalabilitate [12].O arhitectura de ID-uri ierarhice si distribuite este dat, care împarte reţea în clustere. Capete de grup sunt alese prin vot, cu fiecare nod de vot pentru un nod bazate pe conectivitate sale. Fiecare nod în reţea este responsabil pentru

detectare locale folosind sistem şi date la nivel de utilizator. Numai capete de cluster-ului sunt responsabile pentru detectarea folosind date la nivel de reţea şi pentru luarea deciziilor. Cu toate acestea, în funcţie de atributul de hamei de clustere, performanţă de detectare reţea intruziune poate modifica. De exemplu, fiecare nod are legătură directă la cel puţin un cluster cap într-o reţea grupate unul-hamei, astfel încât fiecare pachet în reţea pot fi monitorizate, aşa cum se arată în Fig. 17.3(a), în timp ce trei link-uri în Fig. 17.3(b) nu pot fi monitorizate de capetele de grup într-o reţea grupate două-hamei.Cum gradului de monitorizare creşte numărul de cluster capete creşte prea. Deci, alegerea atributul de hamei de clustere este un compromis între securitate şi eficienţă. Cu toate acestea, ganglionii nu în intervalul de comunicare un cluster cap poate muta spre zona de monitorizare de un alt grup-cap datorită mobilității. Deci, având câteva link-uri care nu pot fi monitorizate de către orice clusterhead este considerată ca fiind acceptabil pentru medii foarte dinamice.

Nodurile clusterului poate răspunde la intruziuni direct în cazul în care acestea au dovezi puternice la nivel local. În cazul în care dovezile furnizate sunt insuficiente, ei lasă de luare a deciziilor să capete de grup prin trimiterea de rapoarte de anomalie pentru a le.În această lucrare o IDS scalabile şi lăţime de bandă-eficiente se propune utilizând agenţi de mobil, dar fără a da orice validare prin simulare sau punerea în aplicare.Pe de altă parte, există probleme urgente de securitate pentru mobil agenţii care sunt setate pentru a fi investigate în cercetare viitoare autorilor. În plus, detalii privind metoda de detectare bazate pe anomalie nu figurează, cu cercetare pe algoritmi de cooperare detectare mai robuste şi mai inteligente lăsat ca viitoare de cercetare.

17.4.1.6 Caietul de sarcini-Based ID-uri pentru AODV [25]

Primele specificatii bazate pe specificaţia ID primul MANETs este propus de Tseng et al. [25].Ei folosesc monitoare reţea (NM), care se presupune că pentru a acoperi toate nodurile. Noduri în mişcare din reţeaua curentă zona de monitorizare sunt, de asemenea, presupune să se mute în serie a altor monitoare de reţea. Alte ipoteze sunt: (i) de reţea monitoare ştiu toate nodurile de adrese IP şi MAC, şi nu pot fi falsificate adrese MAC. monitoare de reţea (ii) şi mesajele lor sunt sigure. (iii), în cazul în care unele nodurile nu răspund pentru a difuza mesaje, aceasta nu va cauza probleme serioase.Monitoare reţea folosesc masini de stare finită (FSM) ca specificaţiile operațiuni de AODV, mai ales pentru procesul de descoperire traseu, şi menţine un tabel de expediere pentru fiecare nod monitorizate. Fiecare cerere de traseu (RREQ) şi traseul răspunde (RREP) mesaj în intervalul de la monitorul de reţea sunt monitorizate într-un flux de cerere-răspuns. Atunci când un monitor de reţea are nevoie de informaţii despre mesajele anterioare sau alte noduri nu în gama sa, acesta poate cere monitoare reţea vecine. În condiţii de mobilitate înaltă, comunicarea dintre reţeaua monitorizează creşteri de monitorizat noduri sau \/ şi pachete frecvent muta din gama de nodul de monitorizare.Autorii, de asemenea, modifica Protocolul de rutare AODV prin adăugarea unui nou domeniu: nodul anterioare. Deoarece RREQs sunt mesajele difuzate, este necesar pentru a urmări calea RREQ. Nodul anterioară este necesară pentru a detecta un fel de atacuri, cum ar fi trimiterea unui RREP de la un nod care nu este pe ruta inversă [25].Lucrările viitoare include experimentarea prin simulare de reţea NS-2, profilare reţea QoS (Quality of Service) pentru a reduce fals pozitive prin separarea pierderi de pachete, pachete de eroare, şi generarea de pachete prin definirea rezonabil praguri pentru profilul curent, şi refiningNMarchitecture folosind printr-o abordare de P2P (peer-to-peer).Aceasta este o abordare promiţătoare, care poate detecta atât cunoscute şi necunoscute atacurile împotriva protocoale de rutare, care în mod clar definit caietul de sarcini. Se susţine pentru a detecta cele mai multe atacuri cu minim aeriene în timp real.

Cu toate acestea, unele dintre ipotezele acceptate in aceasta lucrare nu sunt foarte realiste.De exemplu, presupunând că monitoare reţea acoperă toate nodurile de reţea şi au toate nodurile IP andMACaddresses. Scalabilitatea este una dintre caracteristicile importante pe multe aplicaţii MANET unde nodurile pot alătura şi lăsaţi reţea independent şi circulă în mod frecvent. AssumingMACaddresses nu poate fi uşor falsificate este nerealist. În plus, cădere de unele mesajele difuzate în reţeaua poate afecta toate serviciile de rețea în cazul în care nodul cădere mesaje este la un punct critic. În plus, detaliile de arhitectura nu sunt abordate (cum ar fi pozitiile de monitoare de reţea în MANETs unde topologia se schimbă în mod arbitrar).

17.4.1.7 DEMEM: Distribuite Evidence-Driven mesaj schimbul de ID Model [24]

DEMEM este un ID distribuite şi de cooperare în care fiecare nod este monitorizată de către unul-hamei vecin noduri. În afară de una-hamei vecin monitoare, 2-hamei vecinii pot face schimb de date utilizând

mesaje de (ID) de detectare a intruziunii [24]. Contribuţia principală DEMEMas de autorii este de a introduce aceste mesaje ID pentru a ajuta la detectarea, care au termen bazate pe dovezi mesaj de schimb. Dovada este definit ca informatiile critice (specifice un protocol de rutare) folosit pentru a valida corectitudinea mesajele protocol de rutare, de exemplu, numărul de hamei şi nod numărul de ordine în AODV [24]. Pentru a minimiza ID mesaj regiei ID mesajele se trimit numai atunci când există dovezi noi, astfel încât este numit bazate pe dovezi. DEMEM, de asemenea, introduce un strat de ID pentru a procesa aceste mesaje ID şi detectarea intruziunilor între stratul de IP şi stratul de rutare fără modificarea protocol de distribuire, astfel încât acesta poate fi aplicat la toate protocoalele de rutare.DEMEM utilizează modelul de ID-uri bazate pe specificaţia pentru OLSR a propus în activitatea lor anterioară [23]. În OLSR [11], există noduri numit multipunct relee (MPRs), care servesc pentru a reduce inundaţii de difuzare pachete în reţea. Aceste noduri sunt selectate de nodurile lor vecine numit MPR Selectoare. Pachete de anMPR nod MPR Selectoare sunt retransmise numai acel nod MPR. TC (controlul topologiei) mesajele sunt trimise de fiecare nod periodic să declare sale Selectoare MPR. Sistemul bazat pe caietul de sarcini propus utilizează următoarele constrângerile OLSR pentru detectarea intruziunilor:

C1: vecinii din mesajele de salut trebuie reciproce.C2: MPRs trebuie să ajungă la toţi vecinii de două-hamei.C3: MPR Selectoare trebuie să potriveasca corespunzător MPRs.C4: fidelitatea de transmisie mesaje TC trebuie să fie menţinută.

Autorii de stat că sistemul nu poate detecta atacurile de colaborare. De exemplu, doi atacatori care mod fals pretind că sunt vecini nu ar putea fi detectate de constrângerile de mai sus [23].DEMEM introduce trei mesaje autentificate ID pentru OLSR. Primul este ID-dovezi, care este proiectat pentru două hamei îndepărtat detectoare schimbul lor dovezi privind o-hamei vecinii, MPRs şi MPR Selectoare pe OLSR. Al doilea mesaj, ID-Forward, o cerere de a transmite orice loc ID-dovezi mesaje la alte noduri. Acest lucru înseamnă că un nod poate solicita titularului de dovezi pentru a transmite direct, mai degrabă decât de a-l trimite în sine, deci reducerea aeriene de mesaj. Ultimul mesaj, ID-cerere, este conceput pentru a tolera pierderea mesaj ID-dovezi cu aeriene de scăzut de comunicare. Fals pozitive și detectarea de întârziere din cauza pierderii de mesaj sunt diminuate de un mesaj ID-cerere. În plus, ei specifica o valoare de prag pentru a micşora fals pozitive datorită incoerenţe temporare care rezultă din mobilitate.Atunci când un detector detectează o intruziune, automat încearcă să corecteze datele falsificat.DEMEM este simulat pe simulator GlomoSim cu modelul de mobilitate aleatoare punct de referinţă şi cu viteză diferită şi pauză timp de seturi pentru mobil nodurile. Abordarea este foarte eficient pentru ochiuri de reţele în cazul în care nu se deplasează nodurile în reţea: au existat nici un fals pozitive şi nici un fals negative cu mesaj de 0,05% aeriene într-o reţea cu 150 aeriene de noduri şi 3% într-o reţea cu 10 noduri. Interesant, cheltuieli de mesaj de DEMEM sunt a scăzut numărul de noduri din reţea creşte, deoarece numărul de mesaje de salut şi TC este mai mare decât ID mesajelor în reţelele de mare [24].Mesaj aeriene în simulare variază între 2% și 30% în funcţie de nivelul de mobilitate. Ei, de asemenea, arată cum detectarea acurateţea şi latenţă de detectare a sistemului variază în funcţie de pragurile alese.Aplicabilitatea DEMEM pe celelalte protocoale de rutare, mai ales pe protocoale reactivă, se adresează. Deoarece reactivă protocoale produce mai puţine mesaje de dirijare cu dimensiuni în general mai mici comparativ cu periodice mesaje rutare protocoalelor proactivă, ID-uri pe protocoale reactivă poate avea un mesaj mai mare aeriene decât protocoale proactiv [24]. În curs de cercetare include punerea în aplicare a DEMEM pe AODV şi punerea în aplicare a unui model de răspuns de cooperare pătrunderea reputationbased.

17.4.1.8 Caz-Based agenți pentru detectarea intruziunilor de nivel de pachet [5]

Guha a propus un caz bazate pe raţionament sistemului de pachete de monitorizare nivel bazat pe o arhitectură ierarhizată ID-uri. În abordarea pe bază de caz raţionament, atacurile cunoscute sunt formulate ca cazuri în caz de arhiva, care stochează caracteristicile de probleme cunoscute, precum şi acţiunile pentru a

rezolva aceste probleme. Ideea este de a căuta cazuri similare in arhiva caz când detectează o problemă în reţeaua. Cazuri similare returnate sunt utilizate fie ca soluţie directă a problemei sau altceva ca baze care să formuleze nou caz. Cazul privind situaţia finală, eşec sau succes, sunt stocate în arhivă. În această lucrare, Snort IDS [19] regulile sunt folosite ca cazuri şi fiecare nod are baza de date a acestor reguli (care se pretinde a fi de mici dimensiuni). Deoarece Snort reguli trebuie exactă potrivire, acest lucru este folosit în loc în căutare de similitudine în cazul Arhiva.ID-uri de funcţii (monitorizare, de luare a deciziilor şi acţiunilor) sunt distribuite pe mai multe agenţii de mobil. Unele dintre ele sunt prezentate pe toate gazdele mobil, în timp ce altele sunt distribuite doar o selecta de noduri de grup [5]. Toate nodurile au nivel de sistem şi nivel de utilizator de monitorizare care utilizează o abordare anomalie.Cu toate acestea, nivel de pachet de monitorizare, care folosește bazate pe caz raţionament abordare, şi de luare a deciziilor sunt atribuite numai capete de cluster-ului. În simulare lor, este indicat ca numarul pachetelor scăzut de capete de clusterul creste ca densitatea de creşteri de reţea.Folosind atât detectare bazate pe anomalie pentru monitorizare nivel de sistem şi nivel de utilizator, şi de detectare a bazat pe utilizarea abuzivă de nivel de pachet monitorizare creşte eficienţa.Este de asemenea conştient de lăţime de bandă, deoarece utilizează agenţi de mobil. Cu toate acestea, securitatea agenţilor mobil trebuie încă cercetare.

17.4.1.9 O arhitectura de ID-uri cu date sigure stationare [18]

A distribuit arhitectura format din agenţi de ID-uri şi o staţionare (SSD) de date sigure este propus în [18]. Toate nodurile au ID-uri agenţii responsabile de detectare locale şi colaborează cu alţi agenţi în nevoie. ID-uri de agenţi au cinci componente: locale de auditare; baza de date locale intruziunilor (capac); modul de comunicare securizat; anomalie detectarea module (argint); şi abuz de detectare module (MDMs). Pista de audit locale adună şi stochează date locale de audit-pachetele de reţea şi de sistem de date de audit. CAPACUL este o bază de date pe care o păstrează informaţii pentru agenţii de ID-uri, cum ar fi atacul de semnături, modele de utilizator normal comportament, etc. Modulul de comunicaţii sigure este utilizat doar de ID-uri de agenţi să comunice în siguranţă cu alţi agenţi de ID-uri.Argint utiliza tehnici de anomalie pe bază de detectare pentru detectarea intruziunilor. Poate exista mai mult de un modul de ADM într-un agent de ID-uri, de exemplu, folosind tehnici diferite pentru diferite tipuri de date de audit. Există, de asemenea, MDMs responsabil pentru bazate pe abuzul de detectare pentru a detecta atacurile cunoscute.Baza de date securizată staţionară (SSD) păstrează ultimele semnături de atac şi cele mai recente modele de comportamente de utilizator normal. Acesta se va desfăşura într-un mediu securizat.Mobil agenţi obţine cele mai recente informaţii de la transferul SSDand jurnalele lor de la SSD pentru data mining. SSD are mai multă putere de stocare şi calcul decât mobil noduri, astfel încât acesta este capabil de a miniere reguli mai repede decât noduri în reţea şi poate păstra toate nodurile busteni [18]. În plus, actualizare SSD, mai degrabă decât toate nodurile în reţea este uşor. Pe de altă parte, o staţionare de date nu este potrivit pentru toate tipurile de retele. Militare tactice medii cu centre de control sunt date ca exemple de arhitectura potrivite pentru SSD.Cu toate acestea, noduri în medii ostile nu poate ataşa la SSD. Închirierea nodurile se actualiza cu ajutorul unor alte noduri (care poate consuma semnificative de lăţime de bandă) este propus ca o soluţie la această problemă.Implementare şi evaluare a acestei arhitecturi sunt planificate pentru viitor. Deşi se pare a fi o abordare eficace de a profita de ambele bazate pe anomalie detectarea utilizarea tehnicilor tip data mining şi de detectare a bazat pe utilizarea abuzivă, ea are un singur punct de eşec, SSD.În plus, un nod de staţionare merge împotriva naturii MANETs.

17.4.1.10 Un ID-uri Model integrarea diferite tehnici [9]

Huang şi Lee propune un model de ID-uri care utilizează atât caietul de sarcini-anomalie bazate şi detectarea abordări pentru a detecta evenimente interesante [9]. Un eveniment de bază (circuit) este definit ca mai mic set de operaţiile circuitului ocazional legate ca primirea\/livrarea un pachet, modificarea unui parametru

circuit. Un eveniment aberant este definit ca bază cazul în care nu respectă specificaţiile sistemului, precum ştergerea unei intrări în tabelul de traseu, modificarea traseului mesaje, etc. [9]. O abordare bazată pe caietul de sarcini este utilizat pentru a detecta evenimente anormale care încalcă direct caietul de sarcini al AODV. Detectare bazate pe anomalie este folosit pentru a detecta evenimente care nu încalcă caietul de sarcini de protocol de distribuire direct şi impun măsuri statistice.În abordarea pe baza de caiet de sarcini extinse finit automate (EFSAs) sunt utilizate pentru a reprezenta caietul de sarcini al AODV. Evenimente care includ doar operaţiunile de nod locală sunt mapate la tranzițiile de automate. În abordarea pe bază statistică, caracteristici sunt determinate pentru a detecta evenimente anormale, care nu pot fi detectate prin abordări bazate pe caietul de sarcini, şi apoi un set de reguli de detectare este generată folosind RIPPER clasificator.Abordarea este evaluată folosind MobiEmu simulator pe unele scenarii (nu inclusiv ridicat un grad de mobilitate). S-a demonstrat că unele atacuri nu sunt detectat în mod eficient această abordare. S-a concluzionat că aceste atacuri nu poate fi detectat la nivel local [9].Autorii propun o taxonomie de atacuri, care descompune un atac într-o serie de evenimente de bază, şi, de asemenea, propune un model pentru a le detecta. Ei folosesc numai locale de detectare, deoarece nod locală este numai sursa de date fiabile. De aceea, ea nu poate detecta un fel de atacuri, care nu a declanşa evenimente anormale din cauza au nevoie de date fromanother strat, cum ar fi un atac de gaura de vierme sau au nevoie de alte noduri ca reţea scanare [9]. Autorii planului să investigheze multi-strat şi global de detectare. Extragerea caracteristici de detectare a atacurilor necunoscute automat este o altă problemă identificată ca viitoare de cercetare.

17.4.2 De detectare de poznele noduri noduri în MANET

se bazează pe alte noduri de a transmite lor de pachete. Cu toate acestea, aceste noduri intermediare se pot purta prin eliminarea sau modificarea aceste pachete. Mai multe tehnici propuse pentru a detecta astfel misbehaviours sunt prezentate mai jos

17.4.2.1 Circuit de supraveghere şi Pathrater [15]

Aceasta este lucrarea principală în detectarea obraznici limfatici – Nodurile care nu efectuează ceea ce ei sunt atribuite pentru a face- şi atenuarea efectelor acestora. Deoarece reţelele ad-hoc maximiza tranzitată totală reţea bazat pe cooperativeness de toate nodurile de rutare şi expediţii, incorect noduri poate fi critică pentru performanţa reţelei după cum se menţionează în [15]. În această lucrare, câine de pază şi pathrater mecanisme DSR sunt propuse pentru a îmbunătăţi tranzitată de reţea în prezenţa incorect noduri. Noduri poate se purta, deoarece acestea pot fi supraîncărcat, egoist (care doresc să salveze propriile resurse), rău intenţionat sau pur şi simplu de funcţionare [15].Câine de pază pe munca este de a detecta obraznici noduri de a asculta de noduri în modul de promiscuitate. Atunci când un nod transmite un pachet, mecanismul de câine de pază a nod care monitorizează nodul următoare pentru a confirma că, de asemenea, transmite pachete în mod corespunzător. Pastrand pachetele trimise într-un tampon. Când pachetele sunt redirecţionate de fapt de doua noduri, ele sunt eliminate din buffer. Dacă pachetele rămân în zona-tampon mai mare decât unele perioada de timeout, câine de pază incremente numărul de eşec al nodului implicate. Atunci când numărul de eşecul unui nod depăşeşte un prag, nodul este identificat ca un nod nu funcţionează corect şi este trimis o notificare la nodul de sursă. Este declarat că câine de pază, de asemenea, poate detecta atacurile de reluare o oarecare măsură. Cu toate acestea, deoarece foloseste promiscuitate de ascultare, este declarat că ar putea detecta obraznici noduri în existenţa unor coliziuni de ambiguă, receptor coliziuni, noduri care controlul lor putere de transmisie să înşele un ascultător să creadă un mesaj cu adevărat a fost trimis şi noduri care raport fals alte noduri ca incorect. Ea nu poate detecta atacurile de eliminarea parţială şi atacuri de colaborare care implică cel puţin două noduri consecutiv rău intenţionat într-un traseu [15].

Pathrater găseşte calea cea mai de încredere prin utilizarea link-ul fiabilitatea datelor şi incorect nodurile informaţii de câine de pază. În DSR, pot exista mai multe trasee de la sursă la destinaţie, dar calea cea mai scurtă este selectat. De folosind pathrater, calea cea mai fiabilă este selectat în loc de calea cea mai scurtă în prezenţa noduri nu funcţionează corect. SRR (trimite cerere suplimentar traseu) extinderea la DSR pot fi adăugate pentru a găsi noi căi atunci când toate căile includ incorect noduri. Pathrater dă calificative pentru fiecare nod şi oferă o cale metrice bazate pe evaluări de noduri pe calea. Autorii de stat că ratingurile a ganglionilor ar trebui să fie rearanjate pentru a preveni permanent excluderea temporară noduri nu funcţionează corect de rutare şi expediţii.Câine de pază şi Pathrater cu\/fără SRR este evaluată pe simulator NS cu patru nivele diferite de mobilitate prin utilizarea tranzitată, aeriene şi fals pozitive ca măsurătorile. Rezultatele arată că câine de pază şi pathrater creşte cantitatea totală tranzitată de 17% în prezenţa 40% incorect noduri în mobilitate moderată cu 9–17% deasupra capului. Sub extremă mobilitate, acestea sporesc tranzitată 27% cu 12–24% deasupra capului.Abordarea detectează obraznici noduri eficient utilizând tehnici simple fără a priori încrederea relaţie informare. În plus, creşte cantitatea totală tranzitată reţelei în existenţa unor noduri nu funcţionează corect, şi nu atât de cu aeriene de scăzut. Pe de altă parte, ea nu poate detecta atacurile de colaborare şi atacuri de eliminarea parţială. În plus, este aplicabil numai sursa de protocoale de rutare, deoarece câine de pază trebuie să ştie unde se întâmplă pachete de nodul următoare. Mecanismul de câine de pază se aplică alte protocoale necesită adaptarea. DSR trebuie modificare pentru extinderea SRR pentru existența unor noduri nu funcţionează corect pe toate căile. În cele din urmă, se răsplăteşte şi consolidează noduri rău intenţionat în comportamentul lor de lor de pachete de expediere, în timp ce ei nu transmite pentru alte noduri [4].

17.4.2.2 Noduri poartă Grudges [4]

Aceasta este o abordare interesantă pentru detectarea şi răspunzând la incorect noduri, inspirat de conceptul de biologie de reciproce de altruism. Detectează obraznici noduri şi răspunde de transmiterea nu lor de pachete. Scopul acestei abordari este dat ca creşterea corectitudine, robusteţea şi cooperarea în MANETs.Fiecare nod este responsabil pentru comportamentul de vecinii săi următoare-hamei de monitorizare şi detectare noduri nu funcţionează corect. Există încredere arhitectură şi un FSM în fiecare nod cu patru componente principale: monitor, sistem de renume, managerul de cale şi managerul de încredere.Monitorul (cartier ceas) păstrează o copie a recent trimis pachete. Acesta le poate compara cu pachete de nodul nexthop şi poate detecta de rutare şi transmiterea misbehaviours ca abateri de la comportamentul normal de aşteptat. Tipurile de abaterile care poate fi detectat de acest sistem sunt declarate a fi: nici o expediere, atragerea de trafic neobişnuit, ruta de salvare, lipsa de mesaje de eroare, ruta neobişnuit frecvente actualizări şi tăcut ruta schimbare [4]. Atunci când este detectat un comportament nu funcţionează corect, un sistem de reputaţie este numit pentru evaluarea nodul nu funcţionează corect.Sistemul de reputaţie (nodul de rating) păstrează o listă locale de rating şi\/sau lista neagră, care pot fi schimbate cu prietenii. Rating-ul unui nod poate schimba atunci când există suficiente dovezi, şi se bazează pe frecvenţa de apariţie de abaterile [15]. În funcţie de rata de asemenea, foloseşte greutăţi în funcţie de sursă detectarea comportamentului. Propria experienţă a greutatea cea mai mare, unde observaţiile au relativ mai mici greutăţi şi experienţele raportate la alte noduri au greutate bazate pe un nivel de încredere de aceste noduri. Sistemul de reputaţie foloseste experienta doar negativ; cercetare schimbări pozitive şi timeout încă are nevoie atenţie. Un manager de traseu este numit pentru a lua măsuri atunci când este obţinut suficiente dovezi ale comportamentului.Nivel de încredere de noduri este gestionat de încredere Manager, care este distribuit şi adaptabile. Este de asemenea responsabil pentru transmiterea alarmă mesaje şi filtrarea mesajelor primite de la alte noduri. Încrederea unui nod joacă un rol semnificativ atunci când schimbul de informații rutare cu acel nod, folosind-o pentru rutarea sau transmiterea şi acceptarea sale cereri de expediere.Manager de cale pot răspunde la o solicitare de poznele noduri într-o varietate de moduri, cum ar fi ignorarea cererea, nu un răspuns înapoi de la nodul, răspunzând la orice cerere pentru o rută care includ obraznici

noduri prin trimiterea de alerte de la nodul de sursa, re-ranking trasee şi ştergerea căi inclusiv obraznici noduri [4].Mesaje de alarmă sunt o extensie a DSR şi sunt folosite pentru a distribui informaţii de avertizare. Un mesaj de alarmă conţine tipul de protocol de încălcare, numărul de apariţii observate, dacă mesajul a fost selforiginated de către expeditor, adresa a nodului de raportare, adresa nodului observate și destinația adresa [4].Atunci când o alarmă primit, acesta este trimis la Manager de încredere pentru a evalua nivelul de încredere.Evaluarea acestei abordări utilizează simulatorul GlomoSim pentru evaluarea şi analiza performanţei este în curs de desfăşurare. În plus, utilizarea de teoria jocului pentru evaluarea analitică este investigat. Un obiectiv de evaluare este de a găsi relaţia dintre numărul de noduri din reţea, numărul de noduri malitioase, care poate fi tolerată, numărul de noduri de prieten care este necesar pentru detectarea. În plus, ele sunt de planificare pentru a analiza scalabilitatea, costul \/ beneficia raportul, creşterea numărul de biţi pe unitate de timp transmise la destinaţia corectă minus orice biţi pierdut sau retransmise si cheltuieli pentru realizarea de securitate (un aspect important pentru MANETs). Efectele de mobilitate pe promiscuitate de monitorizare (care poate creşte collusions) ar putea fi analizate. Deoarece foloseste un mecanism de prag, util ar putea fi evaluat efectele de pragul de diferite valori pentru mobilitate diferite niveluri.

17.4.2.3 LiPaD: Uşoare pachete de picătură de detectare pentru reţelele Ad-Hoc Levintsa [2]

Anjum şi Tudor au propus o abordare practică pentru detectarea pachete cădere atacuri [2]. În această abordare fiecare nod contează pachete că primeşte şi transmite şi raportează periodic aceste contează la un nod de coordonator. Promiscuitate de monitorizare este folosit deoarece aceasta depinde de stratul de legătură .Caracteristici şi link-ul strat criptare abordarea [2]. De aceea, fiecare nod este responsabil pentru monitorizarea pachete sale în LiPaD. Algoritmul executate în fiecare nod este foarte simplu, care este bun pentru noduri de resurse limitate.Pe de altă parte, a consumului de lăţime de bandă de reţea poate fi foarte mare, deoarece fiecare nod trimite rapoarte de fiecare flux definite de IP sursă şi destinaţie IP la nodul de coordonator. Ei sugerează comprimarea şi agregarea rapoartele de mai multe fluxuri în loc să trimită fiecare fluxului într-un pachet. Cu toate acestea, încă afectează trafic de reţea, în special în rețelele sute noduri. Va fi o sarcină grea calculul pe nodul de coordonator (care analizează toate nodurile rapoarte). Nodul de coordonatorul trebuie să fie un dispozitiv puternic şi, de asemenea, trebuie să fie sigure, deoarece poate fi ţinta atacurilor pentru a dezactiva mecanismul de detectare.De exemplu, poate fi ţinta atacurilor DoS (de supraîncărcarea cu rapoarte).Deoarece nodul de coordonator analizează aceluiași flux prin rapoarte de la toate nodurile în traseu, it a putea detect mincinos noduri care trec informaţii eronate despre statistici de lor de pachete de la nodul de coordonator [2]. Dacă toate nodurile de pe ruta de cooperare şi rău intenţionat, LiPaD nu poate detecta pachete cădere atacuri pe aceasta ruta. Este declarat că LiPaD detectează selectiv expediere atacuri. Aceasta determină o valoare prag pentru pierderi de pachete admisibilă. Nodul coordonator implementeaza, de asemenea, recompense şi pedepse în funcţie de comportamentul nodurilor.Se presupune că mesajele de ID-uri sunt criptate şi că nodurile folosesc un mecanism de livrare pentru mesaje ID-uri pentru prevenirea acestora fiind scăzut.LiPaD este simulat o reţea cu 30 nodurile folosind simulator OP-net.Aceasta demonstrează că LiPaD detectează malware pachete-scaderea noduri chiar în prezenţa link-ul rău-intenţionat naturale-pierdere. Pe de altă parte, performanţa de LiPaD trebuie să fie evaluate sub mare mobilitate şi frecvente linkloss.Este necesară evaluarea performanţelor LiPaD în creşterea reţea nod de trafic şi mobilitate.

17.4.2.4 Intrusion Detection şi răspuns pentru MANET [17]

Parker et al. extinde snooping pe bază de metode pentru a depista abaterile peste protocoale de rutare. Un nod ascultă toate nodurile în gama de transmisie, nu doar pachetele de unul de său următor noduri (la fel ca

gardian [15]). Pentru a detecta un nodul rău intenţionat în această abordare, este declarat că nodul trebuie să fie în apropierea unui nod bun şi de a acţiona cu rea intenţie. Detectează atacurile eliminarea şi modificarea, care depășesc valoarea din tabelul de prag pentru clasa de atac special. Cu toate acestea, se poate presupune un nod în mişcare din gama de monitorizare nod înainte de a transmite pachete să fie efectuarea de un atac de cădere.Această problemă vor fi abordate în viitor de către autori. De asemenea, această abordare poate detecta atacuri misrouting, deoarece nu ştiu hamei viitoare de un pachet care se monitorizează.Protocolul de detectare a intruziunilor pot da o răspunsul global sau local.Într-un răspuns locale, nodurile nu funcţionează corect în tabelul Bad nod sunt izolate. Acesta este subliniat faptul că este mai eficient în rețele mai dense, deoarece mai multe noduri detectarea de intruziune comportamentul şi de prevenire rău intenţionat noduri utilizand resursele reţelei. În răspunsul global, maliţiozitate de nod este determinată de un vot de toate nodurile într-un cluster. Dacă majoritatea nodurile sunt de acord că nodul este intruziv, o alertă va fi difuzat. Votul este iniţiată de capete de cluster-ului.Capete de grup poate fi rău, dar probabilitatea de noduri rău intenţionat, fiind ales capete de grup este relativ mic.Abordarea este simulate utilizarea simulatorului de GlomoSim. Efectul de nod densitate (noduri de rău intenţionat şi normal) pe pozitive false este accentuat. Mecanismul de răspuns, de asemenea, afectează rata de fals pozitive. Se pretinde că răspunsul global reduce fals pozitive datorită izolare rapidă a ganglionilor intruziv din reţea.

17.5 Gânduri pentru practicieni

propus IDSs pentru MANETs variază semnificativ, ex. în tehnica lor de detectare, mecanisme de arhitectura, luarea deciziilor şi răspuns. Toate sistemele au avantaje şi dezavantaje. Pe de altă parte, fiecare sistem propuse trebuie considerate în propriul context. De exemplu, un sistem folosind o tehnică pe bază de abuz este, în general, nu este potrivit pentru natura de MANETs, deoarece bazele de date de atac nu poate fi actualizat cu uşurinţă fără un punct central. Pe de altă parte, se pot potrivi o reţea militare, care are o locaţie centrală în timp de pace.Mobilitate, nod capacităţile şi infrastructura de retea sunt de obicei principalele caracteristici examinate pentru propuse MANET IDSs. Pentru reţelele extrem de mobile, IDSs folosind tehnici de detectare a anomalie pot suferi înaltă fals pozitive.În plus, o arhitectură de ID-uri, care este uşor de configurat ar trebui să fie preferat pentru aceste reţele, ex. id-uri de agenţi care colaborează cu unul-hamei departe noduri.Pe lângă mobilitate, nod capabilităţi ar trebui, de asemenea, considerate. Tehnici de detectare a simplu poate fi mai adecvat pentru nodurile cu resurse limitate. Încercarea de a face tehnici simple pot fi o altă abordare. De exemplu, abordarea în [27] utilizează un set redus caracteristică fără scădere în mod semnificativ rata de detecţie. Evident, infrastructura de retea joacă un rol important în selectarea ID-uri. O arhitectură ierarhizată ID-uri ar trebui să fie preferat pentru o infrastructură mai multe straturi, şi arhitectura distribuită şi cooperare ar trebui să fie preferată pentru infrastructura plat [1]. Reţele cu punctele centrale face misusebased şi tehnici de detectare bazate pe anomalie mai uşor de utilizat prin menţinerea semnătură bază de date şi utilizator comportamentele şi analiza ei la aceste puncte.Poate fi o oportunitate de a utiliza aceste tehnici împreună pentru a spori eficacitatea sistemului.Cerinţele de sistem ca ridicat de securitate, lăţime de bandă mică, de asemenea, trebuie să le îndeplinească ID-urile. Pentru reţele de înaltă-sigur, securitate de ID-uri şi ID-uri de trafic trebuie să fie considerat. De exemplu, utilizarea de agenţi de telefonie mobilă pot fi evitate.În plus, IDSs care sunt capabili de a detecta atât cunoscute şi necunoscute atacurile ar trebui să fi preferat. Că cerinţele de securitate ale sistemului se pot schimba în situaţii diferite (ex. pace timp Războiul timp cerinţele şi de o reţea militare pot diferi) ar trebui să se țină seama în timp ce proiectarea un ID. Pentru reţelele de lăţime de bandă mică, comunicarea între agenţii de ID-uri ar trebui să fi minimizate.Niciunul dintre sistemele propuse sunt neapărat cea mai bună soluţie, luând în considerare diferite aplicaţii. Fiecare organizaţie ar trebui să aleagă ID-uri corespunzătoare pentru reţeaua sa. În plus, se poate schimba ID-

urile în funcţie de cerinţele şi caracteristicile sale proprii. De exemplu, poate schimba arhitectura a ales ID-uri sau tehnici de detectare a intruziunii diferite a pus împreună. Prin urmare, definirea cerinţelor şi determinarea caracteristicilor de reţea sunt foarte importante factori în determinarea soluția cea mai adecvată de ID-uri.

17.6 Direcţii pentru MANETs de cercetare viitoare

sunt un nou tip de reţea distribuită, ale caror proprietati sunt complexe şi prost înţeles. Detectare a intruziunii pe aceste sisteme complexe încă este un domeniu de cercetare imature. Există mult mai puţine IDSs propuse pentru MANETs decât pentru reţelele de convenţionale. Cercetătorii se pot concentra asupra fie introducerea unor noi IDSs să se ocupe de MANET caracteristici specifice sau se poate adapta sistemele existente.Hibrid abordări se poate dovedi, de asemenea, de folos semnificativ.Aşa cum sa menţionat mai devreme, ID-uri de inMANETs ridică probleme speciale. Spectacole tabelul 17.1 fiecare propunere ID-urile revizuite în acest capitol, orice contribuţii roman cu indicarea notabile probleme specifice de identificare ei nu adresa. În aceste aspecte specifice, nici unul dintre sistemele sunt complete. Ei, de obicei, sublinia doar câteva probleme specifice MANET. Probleme intervalul de MANET trebuie considerate în timpul proiectării pentru a se asigura de detectare a intruziunii mai eficient adaptate la mediul de la mână.Vom face următoarele observaţii despre IDSs propuse:

Sistemele acoperă, în general, seturi limitate de atacuri. Sisteme de ţintă, de obicei, un protocol specific. Unele propus sisteme de ID-uri nu iau în considerare mobilitate de reţea. Inadecvate de confirmare este dat constrângerile legate de resurse pe care multe noduri sunt

susceptibile de a fi supus și probabilitatea de nodurile cu diferite capacităţi. Mai multe arhitecturi de reţea propuse nu stau bine cu caracterul dinamic al MANETs. evaluare mai extinse de multe din sistemele ar părea adecvate.

Sistemele propuse să caute pentru a aborda lipsa de puncte centrale problema pe MANETs prin propunerea de arhitecturi de ID-uri distribuite şi cooperare. Aceste arhitecturi ridica întrebări despre securitate, comunicare şi management aspecte. Adecvare a arhitecturii pentru mediu este un aspect important în proiectarea ID-uri. O arhitectura nu ar trebui să introduce noi puncte slabe\/cheltuieli ID-uri. De exemplu, unele arhitecturi propuse ca abordări bazate pe cluster-ului sunt costisitoare pentru a construi şi menţine pentru reţele de înaltă-mobilitate. Unele au puncte critice de eşec.Greutate corespunzătoare se anexează la mobilitate, în special pentru anomalybased IDSs. Rata fals pozitive pot fi afectate foarte mult de nivel de mobilitate.Sistemul trebuie să fie conştienţi de mobilitate şi curent topologia de reţea. Atât caracteristicile având informaţii despre mobilitate ar trebui să fie inclus în sistemul de detectare a intruziunii fiind conceput. Cum putem obţine informaţii despre mobilitate de reţea şi ce caracteristici de noduri sau reţeaua sunt legate de mobilitate trebuie să fie investigate.Comunicarea între agenţii de ID-uri ar trebui să fi minimizate datorită restricţionată latime de banda de link-uri fără fir. Acesta este unul din obiectivele de abordarea descrisă în [24]. Alte sisteme propuse, de obicei, nu acorde atenţie la această problemă. MANET Intrusion Detection mesaj Exchange Format (MIDMEF) cu IDMEF este definită în [22].Deoarece nodurile sunt sursele de date numai în reţea, toate nodurile trebuie să contribuie la ID-uri de efectuarea localmonitoring, detectarea şi furnizarea de date locale alte noduri atunci când este necesar. Cu toate acestea, nodurile pot avea capacităţi diferite de calcul. În plus, unele dintre ele nu poate fi suficient de puternic pentru executarea algoritmi de detectarea intruziunilor complexe sau mari. Par a fi insuficiente de cercetare pe problema resurselor limitate.Cercetatorii considera dezvoltarea de algoritmi diferite pentru diferite noduri bazat pe resursele lor şi \/ sau capacităţi de calcul. Pe lângă aceasta, algoritmi de detectare mai intensă pot fi aplicate pentru a monitoriza noduri critice ca propuse în [13].

Din cauza lipsei de o linie clară de apărare şi cooperativeness caracteristici de MANETs, ID-uri de agenţi poate deveni cu uşurinţă ţintă de atacatori. Sistemele propuse, de obicei, presupune că agenţii de ID-uri şi de comunicare între ele sunt sigure. Cercetătorii ar trebui să adresa de ID-uri de securitate. Detectarea agenților de ID-uri de rău intenţionat este un obiectiv de cercetare importante.ID-uri de testare este un domeniu de cercetare deschis pentru ambele MANETs şi reţelele de convenţionale. Unele dintre sisteme propuse în MANETs nu au încă fost implementat. Unele dintre ele sunt testate doar pe retele foarte mici şi cu câteva scenarii de atac. IDSs ar trebui să fie testate în mobilitate diferite niveluri și cu different reţea topologii. Definirea criteriilor de testare pentru IDSs şi pregătirea seturi de date de testare nevoie de cercetare.

17.7 Concluziile MANETs

sunt o nouă tehnologie ce în ce mai folosit în multe aplicaţii. Aceste reţele sunt mai vulnerabile la atacuri decât reţele cablate. Deoarece acestea au caracteristici diferite, tehnicile de securitate convenţionale nu sunt direct le sunt aplicabile. Cercetători în prezent se concentreze pe dezvoltarea nou mecanism de prevenire, detectare şi răspuns pentru MANETs.În acest capitol, am dat un studiu de cercetare în ID-uri pentru MANETs.Au fost propuse multe MANET IDSs, cu tehnici de detectare a intruziunii diferite arhitecturi și mecanisme de răspuns. Am s-au concentrat pe fiecare aduce contribuţia\/Noutatea şi au identificat probleme specifice de MANET fiecare nu se adresează. Sisteme propuse, în general, subliniază câteva aspecte de MANET. MANETs au cele mai multe dintre problemele de reţele cablate şi multe altele pe langa. Prin urmare, detectarea intruziunilor pentru MANETs rămâne un subiect complex şi provocator pentru securitate cercetători. Va recomandam zona reader pentru investigaţia.