無(wú)線網(wǎng)絡(luò)中基于貝葉斯博弈模型的入侵檢測(cè)算法研究

陳行，陶軍

(1.東南大學(xué) 計(jì)算機(jī)網(wǎng)絡(luò)和信息集成教育部重點(diǎn)實(shí)驗(yàn)室，江蘇 南京 210096；2.東南大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京 210096)

1 引言

近年來(lái)無(wú)線通信技術(shù)在全世界范圍內(nèi)得到了飛速的發(fā)展，由于能夠方便地支持用戶的移動(dòng)性，無(wú)線網(wǎng)絡(luò)成為 Internet的重要發(fā)展方向之一。無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)的計(jì)算、存儲(chǔ)、能量資源往往非常有限，無(wú)線信道帶寬往往十分有限而且很不穩(wěn)定。無(wú)線節(jié)點(diǎn)的移動(dòng)性、無(wú)線信道的開(kāi)放性更使得無(wú)線網(wǎng)絡(luò)的安全性變得非常脆弱[1]，網(wǎng)絡(luò)使用者本能的自私行為很難受到遏制，無(wú)線節(jié)點(diǎn)之間的行為往往相互影響并難于集中管理，而博弈理論正是研究無(wú)線網(wǎng)絡(luò)安全問(wèn)題的有力工具[2]。

入侵檢測(cè)技術(shù)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的異?，F(xiàn)象，目前已有數(shù)種無(wú)線網(wǎng)絡(luò)的入侵檢測(cè)部署方案[3～5]?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過(guò)檢測(cè)網(wǎng)絡(luò)中的報(bào)文，觀察網(wǎng)絡(luò)中發(fā)生的異常行為。網(wǎng)絡(luò)攻擊存在一定的模式，通過(guò)分析異常行為發(fā)生的頻率、種類和順序等要素，提取特征值，創(chuàng)建攻擊知識(shí)庫(kù)，可以判斷網(wǎng)絡(luò)是否遭到攻擊和遭到何種攻擊。然而網(wǎng)絡(luò)攻擊往往會(huì)發(fā)生一定的變化，采用固定不變的入侵檢測(cè)參數(shù)無(wú)法把發(fā)生變化的攻擊檢測(cè)出來(lái)，必須根據(jù)網(wǎng)絡(luò)受攻擊的狀況不斷對(duì)入侵檢測(cè)參數(shù)進(jìn)行調(diào)整[6]。本文將貝葉斯博弈理論運(yùn)用到無(wú)線網(wǎng)絡(luò)中的入侵檢測(cè)研究中，對(duì)入侵檢測(cè)參數(shù)調(diào)整問(wèn)題展開(kāi)討論。

2 入侵檢測(cè)參數(shù)調(diào)整問(wèn)題描述

由于無(wú)線節(jié)點(diǎn)資源的有限性，應(yīng)當(dāng)采用算法復(fù)雜度較低的檢測(cè)算法。本文采用誤用檢測(cè)的思路[6]：每種網(wǎng)絡(luò)攻擊都由一系列相互關(guān)聯(lián)的異常行為組成，當(dāng)這一系列異常行為連續(xù)以高于正常頻率出現(xiàn)的時(shí)候，才判斷系統(tǒng)遭到攻擊并發(fā)出警報(bào)。無(wú)線網(wǎng)絡(luò)的特點(diǎn)決定網(wǎng)絡(luò)中可能存在著諸如網(wǎng)絡(luò)信道帶寬的無(wú)故變化，網(wǎng)絡(luò)連接無(wú)故中斷然后又突然恢復(fù)，網(wǎng)絡(luò)節(jié)點(diǎn)無(wú)規(guī)律的離開(kāi)網(wǎng)絡(luò)然后又無(wú)規(guī)律的重新加入網(wǎng)絡(luò)等情況[7]。所以即使網(wǎng)絡(luò)沒(méi)有遭到攻擊，異常行為也會(huì)以一定的概率發(fā)生。因此這里提出“閾值”[8]的概念，只有當(dāng)閾值被超過(guò)的時(shí)候，才認(rèn)為發(fā)生了攻擊行為。針對(duì)不同種類的攻擊，對(duì)閾值的定義是不相同的。它可能與異常行為的數(shù)量相關(guān)，可能與異常行為的頻率相關(guān)，可能與異常行為的種類相關(guān)，也可能與異常行為的發(fā)生順序相關(guān)，還可以是多種因素組成的復(fù)合向量。構(gòu)成攻擊行為的一系列惡意異常行為應(yīng)當(dāng)分布在一定的時(shí)間間隔內(nèi)，否則會(huì)失去攻擊效果，所以入侵檢測(cè)系統(tǒng)對(duì)于攻擊行為的檢測(cè)也應(yīng)當(dāng)被約束在一定的時(shí)間間隔之內(nèi)。只要攻擊行為以一定的頻率反復(fù)發(fā)生，便一定會(huì)有機(jī)會(huì)完整地分布在入侵檢測(cè)的時(shí)間間隔之內(nèi)。

定義 1 在正常情況下異常行為發(fā)生的頻率被稱為正常頻率PN，將入侵檢測(cè)的時(shí)間間隔稱為T(mén)I，將入侵檢測(cè)算法調(diào)整的時(shí)間間隔稱為T(mén)。由攻擊行為引發(fā)的異常行為被稱為惡意異常行為。

每一種攻擊都有一組相關(guān)的異常行為以及與之對(duì)應(yīng)的閾值和時(shí)間間隔TI。當(dāng)攻擊行為發(fā)生變化，惡意異常行為在時(shí)間間隔TI內(nèi)可能沒(méi)有越過(guò)閾值，攻擊沒(méi)有被檢測(cè)出來(lái)，但是攻擊行為確確實(shí)實(shí)發(fā)生了。為了能更精確地檢測(cè)出攻擊行為，需要對(duì)檢測(cè)參數(shù)進(jìn)行調(diào)整，增大檢測(cè)攻擊的時(shí)間間隔TI，即每隔時(shí)間T逐步增大時(shí)間間隔TI，T＞TI。這使得入侵檢測(cè)系統(tǒng)有機(jī)會(huì)檢測(cè)出那些在閾值之下的攻擊活動(dòng)。當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到攻擊的時(shí)候，系統(tǒng)可以對(duì)入侵行為進(jìn)行分析，提取其中異常行為的信息，對(duì)閾值和時(shí)間間隔進(jìn)行修正。這使得入侵檢測(cè)系統(tǒng)能夠跟蹤攻擊的變化情況，調(diào)整閾值。

3 基于貝葉斯博弈的入侵檢測(cè)博弈模型及其完美均衡

根據(jù)無(wú)線節(jié)點(diǎn)的能源、無(wú)線連接數(shù)量、所轉(zhuǎn)發(fā)的報(bào)文數(shù)量等要素可以判斷這個(gè)無(wú)線節(jié)點(diǎn)在網(wǎng)絡(luò)中的重要性。將無(wú)線節(jié)點(diǎn)的價(jià)值設(shè)置為ω，惡意節(jié)點(diǎn)的攻擊獲得成功的收益也為 ω，無(wú)線節(jié)點(diǎn)進(jìn)行入侵檢測(cè)的代價(jià)為Cd，攻擊者發(fā)動(dòng)攻擊的代價(jià)為Ca。當(dāng)惡意節(jié)點(diǎn)進(jìn)行攻擊時(shí)，入侵檢測(cè)系統(tǒng)能夠以 α的概率發(fā)出正確的警報(bào)，當(dāng)網(wǎng)絡(luò)沒(méi)有受到攻擊時(shí)入侵檢測(cè)系統(tǒng)以β的概率發(fā)出誤警，誤警會(huì)給系統(tǒng)帶來(lái)的損失為r。博弈雙方的收益函數(shù)可以用表1來(lái)描述。

表1 博弈收益表

假設(shè)入侵檢測(cè)系統(tǒng)以 p的概率對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，惡意節(jié)點(diǎn)以q的概率對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，網(wǎng)絡(luò)中存在惡意節(jié)點(diǎn)的概率為 μ。得到入侵檢測(cè)系統(tǒng)的收益期望為公式 Ed=p[ q(μ a ω+μβr )-βr-Cd]+ω-qμω，惡意節(jié)點(diǎn)的收益期望為公式Ea=q(-paω+ω-Ca)。用取導(dǎo)數(shù)的方法可以得到，當(dāng)入侵檢測(cè)系統(tǒng)以的概率進(jìn)行網(wǎng)絡(luò)檢測(cè)，惡意節(jié)點(diǎn)以的概率進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，網(wǎng)絡(luò)安全博弈取得平衡[9]。

將時(shí)間間隔TI理解成一個(gè)博弈周期，在每一個(gè)博弈周期中，根據(jù)上一周期的檢測(cè)結(jié)果運(yùn)用貝葉斯法則對(duì)惡意節(jié)點(diǎn)存在概率μ進(jìn)行修正。如果入侵檢測(cè)系統(tǒng)發(fā)出警報(bào)，用式來(lái)對(duì)信念進(jìn)行修正。如果入侵檢測(cè)系統(tǒng)沒(méi)有發(fā)出警報(bào)，那就用式進(jìn)行修正。然后重新計(jì)算每一個(gè)博弈周期中合理的p*和 q*。

命題 1 在基于貝葉斯博弈的入侵檢測(cè)博弈模型中存在完美均衡。

證明 這里根據(jù)文獻(xiàn)[9]中的條件5來(lái)依次證明完美均衡的存在性。

這里的入侵檢測(cè)博弈是一個(gè)雙人博弈，只有 2個(gè)局中人，網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)安全系統(tǒng)。局中人只有一個(gè)博弈對(duì)手，所以局中人對(duì)博弈對(duì)手類型的信念必然是相互獨(dú)立的，而且其他局中人對(duì)他的信念也是一致的，所以條件1和條件4必然符合。通過(guò)觀察信念概率迭代式(1)和式(2)，可以發(fā)現(xiàn)對(duì)惡意節(jié)點(diǎn)存在概率的信念μ的修正結(jié)果僅僅取決上一周期的信念本身和網(wǎng)絡(luò)用戶在本周期的行動(dòng)，因此條件3也成立。在每個(gè)回合對(duì)博弈對(duì)手的信念進(jìn)行修正時(shí)引入誤報(bào)概率α、β，所以條件2必然符合?？紤]到網(wǎng)絡(luò)安全系統(tǒng)只有一個(gè)類型，所以博弈策略集中不需要對(duì)網(wǎng)絡(luò)安全系統(tǒng)的類型進(jìn)行判斷，因此條件5也滿足。從上面的證明可以知道，基于貝葉斯博弈的入侵檢測(cè)博弈模型的階段均衡策略同時(shí)滿足文獻(xiàn)[9]中的條件5，所以它就是此博弈的完美博弈均衡點(diǎn)。

4 基于貝葉斯博弈的入侵檢測(cè)調(diào)整

4.1 入侵檢測(cè)時(shí)間間隔調(diào)整算法

入侵檢測(cè)系統(tǒng)并不確切知道網(wǎng)絡(luò)中是否真的存在惡意節(jié)點(diǎn)，它不斷搜集無(wú)線網(wǎng)絡(luò)中的報(bào)文信息，檢測(cè)網(wǎng)絡(luò)中存在的異常行為。為了檢測(cè)出可能發(fā)生一定變化的攻擊，需要對(duì)入侵檢測(cè)算法進(jìn)行一定的調(diào)整，不完全信息動(dòng)態(tài)博弈理論為這種調(diào)整提供了理論基礎(chǔ)。

在博弈周期內(nèi)惡意節(jié)點(diǎn)的攻擊概率為q*，其攻擊行為引起的惡意異常行為在時(shí)間間隔 TI內(nèi)超越閾值的概率也為q*。如果在博弈周期中沒(méi)有檢測(cè)出攻擊行為，可能是因?yàn)闆](méi)有惡意節(jié)點(diǎn)發(fā)起攻擊，也可能是因?yàn)楣粢鸬膼阂猱惓Ｐ袨闆](méi)有越過(guò)閾值。為了檢測(cè)出可能存在的攻擊，這里假設(shè)網(wǎng)絡(luò)中必然存在進(jìn)行攻擊的惡意節(jié)點(diǎn)，因?yàn)楣粜袨榘l(fā)生了一定的變化，使得惡意異常行為的時(shí)間分布跨度超過(guò)了TI，所以入侵檢測(cè)系統(tǒng)不能正確地檢測(cè)出攻擊行為。于是入侵檢測(cè)系統(tǒng)將受到攻擊時(shí)正確發(fā)出警報(bào)的概率α取為0。將α=0代入式(2)，得到

然而網(wǎng)絡(luò)攻擊者并不清楚入侵檢測(cè)系統(tǒng)的調(diào)整情況，所以它將正確報(bào)警概率α設(shè)置為初始值，運(yùn)用式來(lái)計(jì)算周期t中發(fā)動(dòng)攻擊的概率qt。

這里設(shè)計(jì)基于貝葉斯博弈的入侵檢測(cè)時(shí)間間隔調(diào)整算法（TSMA-BG,time span modify algorithm based on Bayes game）。

在時(shí)間間隔T內(nèi)存在n個(gè)TI時(shí)間的博弈周期，n=T/TI，周期編號(hào)為k,k+1,…,k+n-1。運(yùn)用迭代式(3)和式(4)，計(jì)算各博弈周期中惡意節(jié)點(diǎn)的攻擊概率qt，然后求和，得到時(shí)間間隔T內(nèi)攻擊行為發(fā)生次數(shù)的期望值，即攻擊的次數(shù)期望約為將時(shí)間間隔T除以攻擊次數(shù)期望，就得到了時(shí)間間隔TI的修正值

觀察式(3)，易證得μt+1＞μt，所以得到經(jīng)過(guò)這種方法修正的 TI必然比前一個(gè)時(shí)間間隔T內(nèi)的TI值要大。

4.2 對(duì)入侵檢測(cè)參數(shù)的修正算法

針對(duì)無(wú)線網(wǎng)絡(luò)的攻擊多種多樣，可以抽象成多種多樣的特征。為簡(jiǎn)單起見(jiàn)，這里將網(wǎng)絡(luò)攻擊抽象成異常行為種類 VoM、異常行為頻率 FoM、時(shí)間分布跨度SoA這3個(gè)要素。只有當(dāng)檢測(cè)到的異常行為包括了足夠的種類，每種異常行為的頻率足夠高，并且在這2個(gè)條件能在一定的時(shí)間內(nèi)同時(shí)被滿足，才認(rèn)為網(wǎng)絡(luò)遭到攻擊，并發(fā)出警報(bào)。一旦網(wǎng)絡(luò)攻擊被發(fā)現(xiàn)，網(wǎng)絡(luò)安全系統(tǒng)行動(dòng)起來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行全面的分析。分析攻擊源頭，判斷其行為模式，將惡意異常行為的VoM、FoM和SoA整理出來(lái)，用得到的新數(shù)據(jù)對(duì)攻擊閾值和入侵檢測(cè)時(shí)間間隔進(jìn)行修正。

這里設(shè)計(jì)入侵檢測(cè)參數(shù)修正算法(DPMA,detection parameter modify algorithm)，算法如下。

惡意異常行為的種類：VoM={p,q,r,s},保持不變。攻擊時(shí)間分布跨度：

惡意異常行為的頻率：

在式(5)、式(6)中，VoM表示攻擊與異常行為p、q、r、s相關(guān)聯(lián)，這不會(huì)隨著入侵檢測(cè)參數(shù)的調(diào)整而改變。表示在博弈周期t內(nèi)，攻擊相關(guān)的異常行為分布的時(shí)間跨度，α、β表示修正參數(shù)。表示在博弈周期t中異常行為r的頻率閾值，PNr表示正常情況下異常行為 r的發(fā)生頻率。表示在剛檢測(cè)到的攻擊行為中時(shí)間跨度和異常行為 r的頻率。這里應(yīng)該特別指出，每一種攻擊行為都有與之相關(guān)的 VoM和 SoA，與攻擊行為相關(guān)的每一個(gè)異常行為都有各自的FoM。

4.3 針對(duì)多個(gè)異常行為進(jìn)行的檢測(cè)時(shí)間間隔調(diào)整

經(jīng)過(guò)實(shí)驗(yàn)發(fā)現(xiàn)，當(dāng)一種攻擊行為包含有多種惡意異常行為的時(shí)候，對(duì)閾值的調(diào)整需要變得非常謹(jǐn)慎。入侵檢測(cè)系統(tǒng)可以精確地檢測(cè)出惡意異常行為的發(fā)生概率并進(jìn)行入侵檢測(cè)參數(shù)修正。當(dāng)攻擊只有一種惡意異常行為的時(shí)候，閾值和檢測(cè)時(shí)間間隔TI可以很快調(diào)整至穩(wěn)定狀態(tài)，此時(shí)入侵檢測(cè)系統(tǒng)能以很高的概率檢測(cè)出攻擊行為。而當(dāng)攻擊包含多種異常行為的時(shí)候，則必須要求每種異常行為都達(dá)到相應(yīng)的閾值。如果一種異常行為到達(dá)閾值的概率為a，a＜1，那么n種異常行為同時(shí)到達(dá)閾值的概率則為an，an會(huì)隨著n值的增大而迅速變小。實(shí)驗(yàn)證明，當(dāng)n≥3的時(shí)候，根據(jù)攻擊行為信息進(jìn)行參數(shù)調(diào)整，閾值和入侵檢測(cè)時(shí)間間隔TI無(wú)法穩(wěn)定下來(lái)，在出現(xiàn)TI值大幅上升后緩緩下降，再大幅上升，反復(fù)震蕩的現(xiàn)象。這是因?yàn)閷?duì)入侵檢測(cè)參數(shù)的修正使TI下降到一定程度時(shí)，入侵檢測(cè)系統(tǒng)無(wú)法檢測(cè)到發(fā)生的攻擊，于是在時(shí)間間隔T后，又進(jìn)行入侵檢測(cè)時(shí)間間隔調(diào)整。當(dāng)檢測(cè)到攻擊行為后，又根據(jù)檢測(cè)到的信息進(jìn)行入侵檢測(cè)參數(shù)修正，反復(fù)進(jìn)行。

在這樣的情況下，原有的辦法無(wú)法完全解決問(wèn)題，此時(shí)應(yīng)當(dāng)對(duì)參數(shù)修正的目標(biāo)進(jìn)行調(diào)整，即入侵檢測(cè)系統(tǒng)首先根據(jù)檢測(cè)到的攻擊行為信息進(jìn)行參數(shù)修正，隨著參數(shù)修正的不斷進(jìn)行，入侵檢測(cè)系統(tǒng)開(kāi)始無(wú)法有效地檢測(cè)到攻擊行為。此時(shí)應(yīng)當(dāng)將最近一次檢測(cè)到攻擊行為的入侵檢測(cè)參數(shù)作為修正目標(biāo)，而不是直接將檢測(cè)到的攻擊行為參數(shù)作為修正目標(biāo)。即在DPMA算法中，用最后一次檢測(cè)成功的參數(shù)來(lái)取代這種機(jī)制被稱為基于回退機(jī)制的入侵檢測(cè)參數(shù)修正算法(DPMA-DB,detection parameter modify algorithm based on drawback mechanism)。

5 入侵檢測(cè)算法的數(shù)據(jù)結(jié)構(gòu)和實(shí)現(xiàn)

本節(jié)為入侵檢測(cè)參數(shù)調(diào)整設(shè)計(jì)數(shù)據(jù)結(jié)構(gòu)和基本算法。首先是攻擊知識(shí)庫(kù)，它由一個(gè)二維數(shù)組和2個(gè)一維數(shù)組組成。二維數(shù)組 FoM[voa][vom]表示攻擊行為相關(guān)的異常行為頻率閾值，橫坐標(biāo)vom表示異常行為的種類，縱坐標(biāo)voa表示網(wǎng)絡(luò)攻擊的種類，節(jié)點(diǎn)FoM[i][j]表示在網(wǎng)絡(luò)攻擊 i中異常行為 j的頻率閾值。一維數(shù)組SoA[voa]表示每種網(wǎng)絡(luò)攻擊的時(shí)間分布跨度，一維數(shù)組TSA[voa]表示每種網(wǎng)絡(luò)攻擊的算法調(diào)整時(shí)間間隔T。

設(shè)置2個(gè)時(shí)鐘數(shù)組clockI[voa]、clockT[voa]，針對(duì)每種網(wǎng)絡(luò)攻擊分別在2個(gè)數(shù)組中各保存一個(gè)時(shí)鐘，分別為入侵檢測(cè)時(shí)間間隔和算法調(diào)整時(shí)間間隔計(jì)時(shí)。當(dāng)時(shí)鐘值到達(dá)時(shí)間間隔時(shí)將時(shí)鐘清零，重新開(kāi)始計(jì)時(shí)。clockI[voa]對(duì)應(yīng)時(shí)間間隔 SoA[voa]，clockT[voa]則對(duì)應(yīng)入侵檢測(cè)算法調(diào)整時(shí)間間隔T。

設(shè)置二維數(shù)組 counter[voa][vom]來(lái)保存異常行為計(jì)數(shù)器，節(jié)點(diǎn)counter[i][j]保存了網(wǎng)絡(luò)攻擊i中異常行為j的發(fā)生數(shù)量。每當(dāng)異常行為k被發(fā)現(xiàn)一次，數(shù)組的第k列節(jié)點(diǎn)值都增加1。當(dāng)時(shí)鐘clockI[l]清零時(shí)，要將數(shù)組的第l行節(jié)點(diǎn)清零，重新開(kāi)始計(jì)算異常行為的數(shù)量。當(dāng)?shù)趌行的每一個(gè)節(jié)點(diǎn)counter[l][j]的值都滿足 counter[l][j]≥SoA[l]×FoM[l][j]，認(rèn)為網(wǎng)絡(luò)遭到了攻擊，發(fā)出警報(bào)。此時(shí)也要將數(shù)組的第 l行節(jié)點(diǎn)清零，重新開(kāi)始計(jì)數(shù)，同時(shí)將時(shí)鐘 clockI[l]和clockT[l]清零，重新開(kāi)始計(jì)時(shí)。網(wǎng)絡(luò)診斷模塊也同時(shí)啟動(dòng)，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行全面分析，收集網(wǎng)絡(luò)攻擊的詳細(xì)信息，阻止網(wǎng)絡(luò)攻擊的繼續(xù)，并運(yùn)用式(5)、式(6)對(duì)入侵檢測(cè)參數(shù)進(jìn)行調(diào)整，將調(diào)整結(jié)果分別保存到數(shù)組 FoM[voa][vom]、SoA[voa]中去。當(dāng)時(shí)鐘clockT[l]清零的時(shí)候，運(yùn)用 4.1節(jié)中的 TSMA-BG算法對(duì)入侵檢測(cè)時(shí)間間隔進(jìn)行調(diào)整。

6 模擬實(shí)驗(yàn)及實(shí)驗(yàn)結(jié)果

這里用網(wǎng)絡(luò)模擬軟件 NS2[10]來(lái)對(duì)算法進(jìn)行仿真，模擬惡意節(jié)點(diǎn)對(duì)多跳無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊的情景及網(wǎng)絡(luò)安全系統(tǒng)的反應(yīng)。

實(shí)驗(yàn)1 對(duì)灰洞攻擊的檢測(cè)和分析

惡意節(jié)點(diǎn)以一定的概率丟棄應(yīng)當(dāng)轉(zhuǎn)發(fā)的報(bào)文，阻礙多跳無(wú)線網(wǎng)絡(luò)中的報(bào)文傳輸，這被稱為灰洞攻擊。由于無(wú)線通信的特征，正常的無(wú)線信道本身也存在著一定的報(bào)文傳輸失敗概率。入侵檢測(cè)系統(tǒng)通過(guò)統(tǒng)計(jì)無(wú)線鏈路中報(bào)文傳輸失敗的概率來(lái)發(fā)現(xiàn)灰洞攻擊行為，當(dāng)傳輸失敗概率超過(guò)閾值的時(shí)候，入侵檢測(cè)系統(tǒng)發(fā)出警報(bào)。入侵檢測(cè)節(jié)點(diǎn)觀察鄰居節(jié)點(diǎn)收到報(bào)文和轉(zhuǎn)發(fā)報(bào)文的數(shù)量[5]，可以精確地找到惡意節(jié)點(diǎn)及其行為特征。這為惡意節(jié)點(diǎn)行為特征的修正提供了必要的信息。

將網(wǎng)絡(luò)系統(tǒng)的價(jià)值ω設(shè)置為500，網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行入侵檢測(cè)的代價(jià)Cd設(shè)置為100（在移動(dòng)的無(wú)線節(jié)點(diǎn)中進(jìn)行入侵檢測(cè)通常要付出很高的代價(jià)），惡意節(jié)點(diǎn)發(fā)動(dòng)攻擊的代價(jià)Ca為50，誤警損失r設(shè)置為100，正確發(fā)出警報(bào)的概率α為0.9，誤警的概率為 0.2。報(bào)文傳輸失敗的攻擊閾值取為 0.95，分別將惡意異常行為的發(fā)生概率取為0.6和0.3。入侵檢測(cè)算法調(diào)整的時(shí)間間隔T被設(shè)置為50個(gè)博弈周期，檢測(cè)攻擊的時(shí)間間隔TI的初始值被設(shè)置為5個(gè)時(shí)間單位。時(shí)間間隔TI和攻擊閾值的修正參數(shù)α和β都被設(shè)置為 0.5。觀察入侵檢測(cè)時(shí)間間隔 TI的調(diào)整過(guò)程和攻擊閾值的調(diào)整過(guò)程。

在圖1中，橫坐標(biāo)表示博弈周期，縱坐標(biāo)表示入侵檢測(cè)時(shí)間間隔TI。這里不進(jìn)行閾值的修正而只進(jìn)行時(shí)間間隔TI的調(diào)整。圖中的實(shí)線表示惡意異常行為概率為0.3時(shí)入侵檢測(cè)時(shí)間間隔的變化情況，觀察圖1可以知道，在第50個(gè)博弈周期，也就是第一個(gè)時(shí)入侵檢測(cè)算法調(diào)整的時(shí)間間隔T結(jié)束的時(shí)候，進(jìn)行了第一次入侵檢測(cè)時(shí)間間隔調(diào)整，TI由 5上升為12。在第100個(gè)博弈周期即第2個(gè)時(shí)間間隔T時(shí)進(jìn)行了第二次入侵檢測(cè)時(shí)間間隔調(diào)整，TI被調(diào)整為22。在第112個(gè)博弈周期時(shí)，入侵檢測(cè)系統(tǒng)檢測(cè)到了攻擊行為，隨即根據(jù)檢測(cè)到的信息對(duì)TI進(jìn)行修正。每檢測(cè)出一次攻擊就進(jìn)行一次修正，使得TI不斷下降，逐步穩(wěn)定在 17個(gè)時(shí)間單位。圖中的虛線表明惡意異常行為概率為0.6時(shí)，在第一個(gè)時(shí)間間隔T中就檢測(cè)出了攻擊行為，根據(jù)檢測(cè)出的攻擊信息進(jìn)行的調(diào)整結(jié)果反而使得時(shí)間間隔 TI逐步上升，最終穩(wěn)定在7個(gè)周期的時(shí)間內(nèi)。

圖1 單獨(dú)進(jìn)行入侵檢測(cè)時(shí)間間隔調(diào)整

這里研究同時(shí)進(jìn)行參數(shù)修正和入侵檢測(cè)時(shí)間間隔調(diào)整的情況下，閾值和時(shí)間間隔 TI的變化情況。圖2和圖3中的2條曲線表示惡意異常行為的發(fā)生概率分別為0.6和0.3時(shí)，TI和閾值的變化情況。當(dāng)?shù)谝粋€(gè)時(shí)間間隔T結(jié)束的時(shí)候，TI開(kāi)始第一次調(diào)整，從第二個(gè)時(shí)間間隔T開(kāi)始檢測(cè)到攻擊行為，開(kāi)始根據(jù)檢測(cè)到的信息進(jìn)行參數(shù)修正。閾值經(jīng)修正不斷減小，分別穩(wěn)定為0.6和0.3，這和惡意異常行為的發(fā)生概率相符合。當(dāng)發(fā)生概率為0.3時(shí)，TI首先上升，然后逐步下降為至 5。而發(fā)生概率為 0.6時(shí)，TI直接下降直到5。這是因?yàn)門(mén)I在調(diào)整的同時(shí)，閾值也在不斷下降。隨著閾值的穩(wěn)定，時(shí)間間隔回歸到了初始的時(shí)間間隔 5，此時(shí)入侵檢測(cè)系統(tǒng)可以正常的檢測(cè)出變化過(guò)的攻擊行為。

圖2 時(shí)間間隔的變化情況

圖3 攻擊閾值的變化情況

實(shí)驗(yàn)2 針對(duì)隧道攻擊的檢測(cè)和分析

這里模擬惡意節(jié)點(diǎn)進(jìn)行隧道攻擊的情景，選取3種異常行為進(jìn)行判斷：修改路由控制報(bào)文序列號(hào)使之失效、發(fā)送錯(cuò)誤的路由控制報(bào)文使報(bào)文向惡意節(jié)點(diǎn)匯聚、將收集的報(bào)文向特定節(jié)點(diǎn)轉(zhuǎn)發(fā)。將其閾值設(shè)置為{0.95,0.95,0.95}，惡意異常行為的發(fā)生概率為{0.6,0.65,0.7}。其他參數(shù)設(shè)置與實(shí)驗(yàn)1中設(shè)置的相同。

圖4中實(shí)線表示對(duì)包含3種異常行為的隧道攻擊進(jìn)行入侵檢測(cè)時(shí)TI的變化情況，虛線表示對(duì)只有一種異常行為的灰洞攻擊進(jìn)行入侵檢測(cè)時(shí)TI的變化情況。這里直接使用了DPMA算法。如圖中所示，當(dāng)只有一種異常行為時(shí)，對(duì)檢測(cè)時(shí)間間隔TI的調(diào)整取得了很好的效果，當(dāng)TI穩(wěn)定的時(shí)候，入侵檢測(cè)系統(tǒng)可以以很高的概率檢測(cè)出潛在的攻擊行為。而當(dāng)有 3種異常行為時(shí)，TI值出現(xiàn)大幅度的波動(dòng)，此時(shí)入侵檢測(cè)系統(tǒng)對(duì)攻擊行為的檢測(cè)概率也很低，往往低于50%。具體原因參見(jiàn)4.3節(jié)的分析。

圖4 調(diào)整比較

這里針對(duì)隧道攻擊進(jìn)行入侵檢測(cè)時(shí)采用的不同入侵檢測(cè)參數(shù)修正算法進(jìn)行研究。圖5中的虛線表示采用DPMA算法進(jìn)行參數(shù)修正，而實(shí)線則表示采用DPMA-DB算法進(jìn)行參數(shù)修正。觀察發(fā)現(xiàn)，當(dāng)采用DPMA算法的時(shí)候，TI出現(xiàn)了較大的波動(dòng)，而且這種波動(dòng)沒(méi)有趨向穩(wěn)定的趨勢(shì)，會(huì)一直持續(xù)下去。采用DPMA-DB算法時(shí)，TI值最低為5，然后逐漸回升，并最終穩(wěn)定在8。這表明DPMA-DB算法可以使TI達(dá)到合適的穩(wěn)定值，實(shí)驗(yàn)結(jié)果同時(shí)還表明，此算法可以使入侵檢測(cè)系統(tǒng)能以大約85%的概率檢測(cè)出攻擊行為。

圖5 入侵檢測(cè)方式比較

圖6展示了采用DPMA-DP調(diào)整算法后，攻擊閾值的變化情況，3條曲線分別表示3種異常行為的攻擊閾值。實(shí)驗(yàn)結(jié)果表明，算法可以對(duì)攻擊閾值進(jìn)行有效的調(diào)整，最終得到穩(wěn)定的結(jié)果。

圖6 攻擊閾值的調(diào)整情況

7 結(jié)束語(yǔ)

本文將貝葉斯博弈理論引入到無(wú)線網(wǎng)絡(luò)中的入侵檢測(cè)研究中，運(yùn)用不完全信息動(dòng)態(tài)博弈中的完美均衡計(jì)算多個(gè)博弈周期中網(wǎng)絡(luò)攻擊者發(fā)動(dòng)攻擊的期望，設(shè)計(jì)入侵檢測(cè)時(shí)間間隔調(diào)整算法TSMA-BG，使得入侵檢測(cè)系統(tǒng)能夠有效地檢測(cè)出發(fā)生變化的攻擊行為。根據(jù)檢測(cè)出的攻擊行為特征，對(duì)入侵檢測(cè)參數(shù)進(jìn)行修正，并設(shè)計(jì)入侵檢測(cè)參數(shù)修正算法DPMA。實(shí)驗(yàn)發(fā)現(xiàn)，當(dāng)攻擊行為有多個(gè)異常行為的時(shí)候，單純使用DPMA算法無(wú)法使入侵檢測(cè)系統(tǒng)達(dá)到穩(wěn)定的狀態(tài)。這里設(shè)計(jì)基于回退機(jī)制的入侵檢測(cè)參數(shù)修正算法DPMA-DB，實(shí)驗(yàn)證明，在入侵檢測(cè)系統(tǒng)中使用 TSMA-BG算法和DPMA-DB算法可以對(duì)發(fā)生變化的攻擊行為進(jìn)行有效的檢測(cè)。

[1] ZHANG Y,LEE W.Intrusion detection in wireless ad hoc networks[A].Proc MobiCom 2000[C].2000.275-283.

[2] JOHARI R,TSITSIKLIS J N.Routing and peering in a competitive Internet[A].Conference on Decision and Control[C].2004.

[3] HIJAZI A,NASSER N.Using mobile agents for intrusion detection in wireless ad-hoc networks[A].Proc of Second IFIP International Conference on Wireless and Optical Communications Networks(WOCN 2005)[C].2005.362-366.

[4] HASSWA A,ZULKERNINE M,HASSANEIN H.Routeguard: an intrusion detection and response system for mobile ad-hoc networks[A].Proc of IEEE International Conference on Wireless and Mobile Computing,Networking and Communications(WiMob’2005)vol 3[C].2005.336-343.

[5] JIANHUA S,FAN H,YAJUN G.A distributed monitoring mechanism for mobile ad-hoc networks[A].Proc of the 8th International Symposium on Parallel Architectures,Algorithms and Networks(ISPAN'05)[C].2005.236-240.

[6] KETAN N,AMITABH M.A novel intrusion detection approach for wireless ad hoc networks[A].Wireless Communications and Networking Conference[C].2004.831-836.

[7] HUBAUX P,GROSS T,LE Y,et al.Towards self-organizing mobile ad-hoc networks: the Terminodes project[J].IEEE Communication Magazine,2001,39(1): 118-124.

[8] MISHRA A,NADKARNI K,PATCHA A.Intrusion detection in wireless ad hoc networks[A].Proc of IEEE Wireless Communications[C].2004.48-60.

[9] 施錫銓.博弈論[M].上海:上海財(cái)經(jīng)大學(xué)出版社,2000.SHI Y Q.Game Theory[M].Shanghai: Shanghai University of Finance and Economics Press,2000.

[10] The network simulator ns-2[EB/OL].http://www.isi.edu/nsnam/ns/.2009.