无线自组织网络入侵检测与防范研究综述

摘要

多跳网络二十年来，通过其在大多数领域的广泛应用，我们一直在以这样或那样的方式为我们服务。由于其具有敌意部署、高机动性、资源有限和物理不安全等特点，它们处于攻击者的第一线。第一道防线（加密技术、防火墙等）阻止了这些攻击。但是，如果攻击者突破这个防御系统，会发生什么？第二道防线也称为入侵检测系统（IDS），将在这些威胁损害网络或其资源之前阻止并缓解这些威胁。已经提出了各种方案来提供高质量的IDS，以缓解自组网中的最新威胁。在这篇综述文章中，我们从一开始就详细概述了adhoc网络。我们探讨了自组织网络的安全性，然后介绍了IDS。接下来，我们详细介绍了IDS的分类，其中包含基于大量参数的IDS类型。在后面的部分中，我们比较了基于不同方法/技术的各种IDS方案，以表明它们在以下领域的重要性和性能入侵检测最后，我们总结了该论文，并给出了最新研究领域的信息丰富的未来研究方向，这将为该领域的研究人员开辟道路。

介绍

无线网络在全球通信中具有令人难忘的重要性。过去二十年来，在这个通信时代，技术的快速发展使我们的地球成为一个更好的生活场所。无线网络使用无线媒体在实体（节点或设备）之间进行通信。过去，无论是家庭、办公室还是商业设备，我们都使用了十多种不同的无线技术，如蓝牙、Wi-Fi、WiMAX、HSPA（High

速度数据包访问），3 G、 4个 G、 5个 G、 ZigBee、卫星、NFC（Nera现场通信）等等。此外，以无线技术补充节能设计，便携式设备导致了一些重要应用的出现，如家庭网络、实时多媒体应用和监控[1,2]。

无线网络可分为两类：基于基础设施的无线网络和无基础设施无线网络或无线自组织网络。

如所示，基于基础设施的无线网络依赖于固定基础设施，其中节点通过预定义的路由将数据路由到基站。它们相对昂贵，不适用于敌对应用，如主动灾害管理应用（火山预测、地震预测、极端天气预测、龙卷风预测）和军事应用（战场监视、武装部队保护、敌人监测）。

第二类是无线自组织网络或所谓的无基础设施无线网络（IWN），因为这些网络中的通信节点没有预定义的基础设施。从研究角度来看，它是无线网络中最有前途的领域。任何节点都可以连接到通信范围内的任何其他依赖节点，并通过这种方式将数据转发到目标节点。这些节点共享通用的无线信道，并且它们是自我配置和自组织的。

以下列出了ad-hoc网络与其他网络的显著区别。

• 缺乏固定基础设施

• 动态拓扑

• 多跳路由

• 节点异质性和链路可变性

• 稀缺资源（电源、内存、计算）

• 有限的物理安全

IWN中的节点可以是移动的或固定的。基于移动性的观点，将ad-hoc网络分为两类；移动自组织网络或MANET和无线传感器网络（WSN）。通常，在移动自组网中，参与节点是移动的，并不占据固定位置。另一方面，WSN中的节点是非移动的，并停留在部署位置。表1列出了这些网络之间的一些众所周知的差异。

除了IWN的优点外，在设计和实施方面也存在许多挑战。尤其是节点的移动性、有限的节点资源和分散的网络结构，在协议栈的几乎每一层都带来了许多研究挑战[4]。此外，IWN也容易受到其他传统网络的挑战。以下列出了IWN比其他网络更容易受到攻击的原因，并作了简要解释。

• 基础设施缺失：这些网络中的所有节点都具有协作性质，不一定假设存在先验安全关联（SA）。节点可以在不预先通知的情况下自由加入或退出网络。在底层协议设计中，参与节点之间必须有相当大的相互信任。

• 无线链接：这些网络中无线链路的不安全特性为对手自由访问网络开辟了途径。无线链路不像有线链路那样为数据传输提供同等的保护级别。没有有效的防线。因此，非法用户可以从任何方向进行攻击。

• 有限的物理保护：物理上，在这样的网络中，节点本身要么没有受到保护，要么受到松散保护，这使得这些网络更容易受到攻击。动态性和移动性特征使这些网络的安全性更具挑战性，并且更容易打开插入恶意节点的大门。

• 缺乏中央管理：缺乏中央权威可能会通过设计新型攻击来破坏IWN中的合作算法，从而使对手受益。安全机制可能具有自适应性和可扩展性，以补偿网络拓扑的动态变化和节点的频繁增加。

• 资源限制：这些网络中的节点具有有限的计算资源和电源。攻击者可能发起拒绝服务攻击（DoS），通过创建额外传输或大量计算，耗尽节点的有限电源。

在自组织网络中，找不到应用安全机制的中心位置。由于这个原因，恶意节点，无论是内部还是外部，都可能试图危害潜在网络的隐私和安全机制[5]。安全攻击根据其性质分为两类：被动攻击和主动攻击。

• 被动攻击旨在破坏数据机密性。此处的攻击者不会直接危害网络，而是静默地侦听链路或通道上正在进行的通信。他们获得有用的数据，并基于这些数据；他们稍后会准备一次强烈的有害攻击。这些攻击无法识别或难以识别。

• 主动攻击是针对数据完整性和机密性的。与被动攻击不同，它们会修改、阻止、回复或丢弃通过网络传输的数据包。网络的各种功能被用来成功发动这些攻击。

此外，根据使用的域，安全攻击又分为两类：内部攻击和外部攻击。

• 内部攻击由属于同一网络域的受损节点执行，目的是影响系统或网络的正常工作。

• 外部攻击由不属于同一网络域的外部未授权节点/用户执行。

根据[6]，特设网络的安全解决方案包括两个主要机制。

• 安全攻击预防：它是使用加密技术抵御任何外部攻击的第一道防线。它涉及数据源真实性和数据完整性。但是，如果内部攻击者拥有有效的加密密钥并使用它们设计攻击，则此机制将失败。

• 安全攻击检测和缓解：如果攻击预防失败，第二道防线；也就是说，入侵检测系统（IDS）始终可用于防范安全攻击。IDS的目标是在网络中发现的异常活动破坏通信网络之前搜索并保持这些活动[7]。缓解提供了消除检测到的攻击的有效方法。

入侵是指在通信系统和网络中合法或非法执行的行为，它显示出与该系统的常规活动的偏离。入侵检测系统（IDS）是一种配置完善的基于硬件或软件的系统，用于在入侵的早期阶段捕获入侵。它是工具、资源和方法的组合，有助于识别入侵并及时消除它们。根据[8]，“IDS不是一种独立的保护措施，而是围绕单个设备或整个网络构建的整体保护系统的一部分”。

根据[9]，第一道防线是防止入侵的技术，如真实性、加密、安全路由和访问控制。如果入侵突破了第一道防线，那么第二道防线就是IDS，它可以防止内部和外部攻击直接或间接地损害网络资源。入侵者从网络中获取机密和敏感信息，如安全密钥，并向入侵者报告。IDS的目的是在此类入侵以无法恢复的强大攻击形式出现之前，对其进行公开和阻止。在网络空间中，IDS类似于物理安全系统中使用的防盗报警系统[10]。IDS可用于有线和无线自组织网络，但为有线网络设计的IDS方案由于以下原因不适用于无线自组织网。

• 无线自组织网络中不提供静态基础设施

• 完全或部分支持移动性

• 使用的无线传输完全暴露于窃听攻击

• 正常和异常活动之间缺乏区别

• 范例中不允许存在交通集中点

已经为adhoc网络中的IDS开发了各种方案，但它们使用了不同的方法/技术，例如基于统计的、基于启发式的、基于状态的、基于规则的和基于信誉的。我们将重点介绍所有这些方法，并将在本文后面的部分中逐一详细解释。

人们提出了各种调查，如[7,9,30,37,42,45]，以研究自组网中的入侵检测及其技术。所有这些调查都详细介绍了入侵检测及其技术。然而，他们没有把所有的知识都放在一个知识里。将我们的调查与[45]进行比较，我们考虑了自组网（MANET和WSN），而调查[45]只考虑了WSN。在我们的调查中，我们简要介绍了无线自组织网络、其类型和面临的挑战。我们详细阐述了特设网络安全挑战、安全要求和可能的攻击及其类型。在同一项调查中，我们通过简要介绍重点介绍了自组网各层的攻击。然后解释了入侵检测系统的工作图、规则、面临的挑战（与自组织网络有关）及其要求。最后，对IDS分类法进行了概述，并描述了为adhoc网络开发的大量IDS方案，这些方案根据使用的各种方法/技术进行了分类。

本文的其余部分组织如下：第2节介绍了Ad hoc无线网络安全挑战、安全要求和攻击类型。第3节介绍了IDS、其工作布局、规则和与自组网相关的挑战。第4节包含关于IDS分类法的详细描述。第5节介绍了IDS方案所基于的各种方法/技术。第6节包含开放问题和未来研究方向，第7节总结了本文。