MANET分簇IDS報文丟棄攻擊全局感知方案

靳倩慧，姚國祥，李 佩

(暨南大學 信息科學技術(shù)學院，廣東 廣州 510632)

移動自組織網(wǎng)絡MANET(Mobile Ad Hoc Networks)由眾多節(jié)點以自組織的方式組成，網(wǎng)絡中不存在中心控制節(jié)點，較遠距離節(jié)點間以多跳的方式進行通信。然而，在大規(guī)模無線自組織網(wǎng)絡中，部分節(jié)點為了保護自身較少的資源，可能不轉(zhuǎn)發(fā)其他節(jié)點請求轉(zhuǎn)發(fā)的數(shù)據(jù)包，產(chǎn)生自私節(jié)點問題[1]，特別場景下(如戰(zhàn)爭環(huán)境)合法節(jié)點被攻陷后將成為惡意節(jié)點。

在數(shù)據(jù)報文傳輸過程中，自私節(jié)點和惡意節(jié)點可以故意隨機丟棄部分需要自身轉(zhuǎn)發(fā)的數(shù)據(jù)報文來對網(wǎng)絡通信實施破壞，這就是內(nèi)部節(jié)點丟棄報文攻擊，它導致網(wǎng)絡吞吐率下降、報文重傳率增高，嚴重時會造成網(wǎng)絡報文傳輸無法進行。然而，由于無線自組織網(wǎng)絡中節(jié)點性質(zhì)的不確定性，現(xiàn)有的適用于Ad Hoc網(wǎng)絡的路由協(xié)議無法應對這種在網(wǎng)絡層發(fā)起的攻擊。報文丟棄攻擊難以檢測和防范，嚴重影響到了無線自組織網(wǎng)絡的通信性能和實際應用。

目前，針對報文丟棄攻擊的研究多數(shù)集中在基于鄰居節(jié)點監(jiān)測方法[2]對現(xiàn)有路由協(xié)議(如 DSR)的改進，希望構(gòu)造一個安全的路由協(xié)議或模型來抵抗攻擊。然而，鄰居節(jié)點監(jiān)測算法本身存在一些局限性，此類方案增加了MANET網(wǎng)絡路由協(xié)議的復雜度，監(jiān)測效果卻不理想。

本文在分析現(xiàn)有解決方案的基礎上，提出了一種基于簇首協(xié)作的報文丟棄攻擊全局感知算法，在MANET入侵檢測系統(tǒng)中利用分簇IDS的簇首節(jié)點協(xié)作進行全局監(jiān)測。該方案將安全檢測從路由協(xié)議中獨立出來，由IDS來實現(xiàn)報文丟棄攻擊的檢測，簡化了Ad Hoc路由協(xié)議的設計，同時彌補了鄰居節(jié)點監(jiān)測算法的不足，在報文丟棄攻擊的檢測率、誤報率和檢測響應速率方面有較好的性能。

1 鄰居節(jié)點檢測算法分析

1.1 報文丟棄攻擊相關(guān)研究

為對抗內(nèi)部節(jié)點在網(wǎng)絡層發(fā)起的報文丟棄攻擊，M ARTI S等人提出了Watchdog算法[3]，節(jié)點在混雜模式下工作，當節(jié)點把報文轉(zhuǎn)發(fā)給下一跳節(jié)點后，利用無線信號暴露在空中的特性來監(jiān)聽下一跳節(jié)點是否繼續(xù)轉(zhuǎn)發(fā)該報文。LEE S和CHOI Y采用了類似Watchdog的鄰居節(jié)點監(jiān)測系統(tǒng)(NWS)來獲取鄰居節(jié)點的報文狀況，但是局部管理的方法增加了節(jié)點能量耗費，降低了網(wǎng)絡帶寬使用效率。參考文獻[4]中提出兩種不合作的節(jié)點形式，并提出用CCS中央控制系統(tǒng)給每個節(jié)點分配信用值，如果節(jié)點A為節(jié)點B轉(zhuǎn)發(fā)了到目的節(jié)點D數(shù)據(jù)報，則D要給A一些信用幣，哪個節(jié)點用完了信用，可以向CCS要求補充。由于每次都是目的節(jié)點支付信用幣，這就為DOS攻擊提供了方便。參考文獻[5]希望利用有限自動機構(gòu)造自組網(wǎng)的入侵檢測算法，此方案能夠監(jiān)測節(jié)點發(fā)送的報文，但在如何監(jiān)測節(jié)點收到的報文方面沒有給出有效的解決方法。

1.2 鄰居節(jié)點監(jiān)測算法介紹

上述研究大多以鄰居節(jié)點監(jiān)測算法為基礎對節(jié)點的收發(fā)報文情況進行監(jiān)聽，從而達到判斷入侵節(jié)點的目的。當一個節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)報時，鄰居監(jiān)測系統(tǒng)會確認路由的下一跳節(jié)點是否轉(zhuǎn)發(fā)了該報文。鄰居監(jiān)測系統(tǒng)監(jiān)聽下一跳節(jié)點采取的行為，并依此判斷下一跳節(jié)點是否有惡意行為。

如圖1所示，假設S到D有通路，中間節(jié)點為A、B、C，節(jié)點A不能直接和C通信，但A可以監(jiān)聽到B發(fā)送的報文。A可以辨認B是否轉(zhuǎn)發(fā)了報文。A緩存下剛發(fā)送的數(shù)據(jù)報，和監(jiān)聽到的B轉(zhuǎn)發(fā)的數(shù)據(jù)報比較，看是否一致。如果一致，表明此數(shù)據(jù)報已經(jīng)發(fā)送，A移除緩存的數(shù)據(jù)報，這一過程結(jié)束；如果不一致，表明B有篡改信息的惡意行為；如果數(shù)據(jù)報在緩存區(qū)保留的時間超過一個門限，則認為B沒有正常工作。對于后兩種情況，A會給這個沒有盡責的節(jié)點記過。如果B被記過的次數(shù)超過一個門限值，A確定此節(jié)點有惡意行為，它向源節(jié)點S發(fā)送路由出錯報文(RRER)通知B是惡意節(jié)點。在從A回到S節(jié)點過程中，路由到的節(jié)點都會記錄下B是惡意節(jié)點，在以后的路由選擇過程中會將B節(jié)點從路由鏈路中排除。

圖1 A監(jiān)聽B正常轉(zhuǎn)發(fā)數(shù)據(jù)報給C

1.3 鄰居節(jié)點監(jiān)測算法的缺陷

鄰居節(jié)點算法利用無線網(wǎng)絡信號暴露在空間中而且信號多向傳播的特性來實現(xiàn)對鄰居節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)報的監(jiān)測，然而這種方法卻存在以下的局限性：

(1)鄰居監(jiān)測系統(tǒng)需要每個節(jié)點監(jiān)督其鄰居節(jié)點，并緩存有用的狀態(tài)信息，要求節(jié)點的存儲和計算功能得到加強。而且由于每個節(jié)點均被其所有鄰居節(jié)點監(jiān)視，導致監(jiān)測信息存在大量冗余，浪費了節(jié)點電池能量和計算資源。

(2)節(jié)點A只能孤立地監(jiān)測其鄰居節(jié)點的轉(zhuǎn)發(fā)報文狀態(tài)，并根據(jù)自身的監(jiān)測記錄判斷鄰居節(jié)點B是否有惡意丟包行為，不能綜合B的其他鄰居節(jié)點(如C)對節(jié)點B的監(jiān)測結(jié)果。因此，這種判斷帶有很大的片面性，容易得出錯誤的監(jiān)測結(jié)論。

(3)惡意節(jié)點可以把無辜節(jié)點作為惡意節(jié)點放在RRER數(shù)據(jù)報中，發(fā)送給源節(jié)點S，比如，節(jié)點A可以向S打虛假報告B沒有轉(zhuǎn)發(fā)報文，使S認為B是惡意節(jié)點，這個問題的發(fā)現(xiàn)就需要依賴消息正常發(fā)送到D，節(jié)點D反饋消息給S，則S會認為路由是正常的。如果在消息給B傳遞后未能到達目的節(jié)點D，或者D的反饋消息沒有正常到達A，則節(jié)點B就會被當作惡意節(jié)點，從而造成誤報，本文稱這種攻擊為虛假丟報文丟棄攻擊。

2 報文丟棄攻擊全局感知方案

2.1 分簇IDS

移動自組網(wǎng)的組網(wǎng)特點決定了相應的入侵檢測系統(tǒng)必須要采取分簇架構(gòu)。分簇結(jié)構(gòu)IDS典型層次如圖2所示，整個MANET系統(tǒng)以簇為單位分成多IDS簇，每個簇選出簇頭，IDS功能模塊按需要置于簇頭或簇成員節(jié)點上。

圖2 分簇IDS結(jié)構(gòu)

在鄰居節(jié)點檢測算法中，每個節(jié)點都監(jiān)測其鄰居節(jié)點的行為，產(chǎn)生大量冗余監(jiān)測信息，耗費了節(jié)點資源。本文提出基于簇首的監(jiān)測模式，即整個網(wǎng)絡劃分為簇，每個區(qū)域選出一個簇頭作為監(jiān)視節(jié)點，負責整個區(qū)域的入侵檢測。該簇頭收集整個區(qū)域內(nèi)節(jié)點的行為信息，并按檢測算法進行分析，確定入侵行為。IDS簇首節(jié)點周期性地廣播告示報文，以維持簇首監(jiān)測節(jié)點的地位。簇首節(jié)點服務時間到了后，就重新啟動一個新的選舉過程。為了保證公平和隨機性，防止惡意節(jié)點一直占據(jù)簇首位置，發(fā)動虛假報文丟棄攻擊，IDS分簇算法要求上一分簇周期的簇首節(jié)點將不能參加下一周期簇首節(jié)點的選舉，除非整個區(qū)域只有一個節(jié)點存在。

2.2 簇首節(jié)點協(xié)作實現(xiàn)監(jiān)測節(jié)點報文收發(fā)狀態(tài)

不同于傳統(tǒng)有線網(wǎng)絡中的IDS，MANET中的簇首節(jié)點并不能像在有線網(wǎng)絡中那樣監(jiān)測到節(jié)點的報文收發(fā)狀態(tài)。由于無線網(wǎng)絡的傳播特性，分簇結(jié)構(gòu)IDS中的簇首節(jié)點只能監(jiān)測到其簇成員節(jié)點發(fā)送的報文，而對于簇成員接收到的數(shù)據(jù)包只能部分監(jiān)測到，因此，在應對報文丟棄攻擊之類的被動攻擊時顯得無能為力。圖2中，節(jié)點 C、E為簇首，節(jié)點 A、S為 C的簇成員，節(jié)點B、D為E的簇成員。簇首節(jié)點E只能監(jiān)測到節(jié)點B發(fā)送了數(shù)據(jù)包，如果節(jié)點A轉(zhuǎn)發(fā)給B一個數(shù)據(jù)包，并要求B轉(zhuǎn)發(fā)給D，如果節(jié)點B此時發(fā)動報文丟棄攻擊，這時，簇首節(jié)點E并不能監(jiān)測到B接收了這樣一個數(shù)據(jù)包，因此，并不能發(fā)現(xiàn)B丟棄了應轉(zhuǎn)發(fā)給節(jié)點D的數(shù)據(jù)包。

為了解決這個缺陷，本文提出了基于簇首協(xié)作監(jiān)測的方案，利用各簇首節(jié)點間相互通信協(xié)作檢測的方法實現(xiàn)對報文丟棄攻擊的檢測。圖2中，雖然節(jié)點E不能夠監(jiān)測到B應該轉(zhuǎn)發(fā)一個數(shù)據(jù)包，但節(jié)點A在給B轉(zhuǎn)發(fā)數(shù)據(jù)包時，節(jié)點A的簇首節(jié)點C能夠監(jiān)測到節(jié)點A給節(jié)點B轉(zhuǎn)發(fā)了數(shù)據(jù)包，并通過查詢數(shù)據(jù)包中下一跳路由信息得知B接收了這個數(shù)據(jù)報并應該轉(zhuǎn)發(fā)該數(shù)據(jù)包給D，如果E和C進行通信，交換彼此監(jiān)測信息，節(jié)點B的簇首節(jié)點E就能夠借助和C交換的消息來全面監(jiān)測節(jié)點B應發(fā)的數(shù)據(jù)報和已發(fā)數(shù)據(jù)報狀態(tài)。下面利用這一方法給出詳細解決方案。

2.3 基于簇首協(xié)作的報文丟棄攻擊全局感知方案

首先，為了監(jiān)測節(jié)點收發(fā)報文狀態(tài)，各IDS簇首節(jié)點需要為網(wǎng)絡中所有節(jié)點維護一個數(shù)據(jù)結(jié)構(gòu)，記錄各節(jié)點收到報文的數(shù)量和發(fā)送報文的數(shù)量。數(shù)據(jù)結(jié)構(gòu)定義偽碼表示如下：

typedef struct{Long Receive； Long Send；}Record；其中，Record表示此數(shù)據(jù)結(jié)構(gòu)，下文簡記為 Recd；Send表示監(jiān)聽到節(jié)點轉(zhuǎn)發(fā)一個數(shù)據(jù)報文；Receive表示根據(jù)監(jiān)聽到的報文中的路由信息，該數(shù)據(jù)報文下一跳節(jié)點應該轉(zhuǎn)發(fā)此數(shù)據(jù)報文，其值為負，下文簡記為Rece。

假設 S到 D有通路，中間節(jié)點為 A、B，此時節(jié)點 S轉(zhuǎn)發(fā)數(shù)據(jù)報文到A，因為節(jié)點S處于簇首C的簇內(nèi)，C能夠監(jiān)聽到節(jié)點S轉(zhuǎn)發(fā)了一個數(shù)據(jù)報文，同時，從該數(shù)據(jù)報文路由信處表中查得一下跳地址為節(jié)點A，則執(zhí)行操作S.Recd.Send+1和A.Recd.Rece-1，表示節(jié)點A需要轉(zhuǎn)發(fā)一個數(shù)據(jù)報文。如果節(jié)點A也正常轉(zhuǎn)發(fā)了該數(shù)據(jù)報文，其簇首節(jié)點C會監(jiān)聽到該數(shù)據(jù)報文，執(zhí)行操作A.Recd.Send+1和B.Recd.Rece-1。節(jié)點B并不在簇首C的監(jiān)控范圍內(nèi)，但如果節(jié)點B正常轉(zhuǎn)發(fā)此數(shù)據(jù)報文到節(jié)點D，則其簇首節(jié)點E會監(jiān)聽到該數(shù)據(jù)報文并執(zhí)行操作B.Recd.Send+1和 C.Recd.Rece-1。

在MANET網(wǎng)絡中，各簇首節(jié)點在監(jiān)測周期結(jié)束時多播Hello消息，彼此交換監(jiān)測的簇內(nèi)節(jié)點報文轉(zhuǎn)發(fā)狀態(tài)表，其中，服務周期的長短由系統(tǒng)根據(jù)需要設定。通過檢測算法就可以對網(wǎng)絡中是否存在報文攻擊及惡意節(jié)點號做出檢測。

2.4 報文丟棄攻擊全局感知算法詳細實現(xiàn)

記節(jié)點i在一個Hello周期內(nèi)加入和退出簇的次數(shù)為Chi，其值可以在簇首節(jié)點中得到，換簇次數(shù)越多，系統(tǒng)記錄丟包率也就越大；節(jié)點移動速度Mi，其值在簇生成算法中可以獲得，移動越快，丟包率就越高；此外，節(jié)點的吞吐量也會對丟包率產(chǎn)生影響，單位時間內(nèi)到達的包越多，就越容易產(chǎn)生碰撞，碰撞會使簇首節(jié)點監(jiān)聽不到節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)報。由于文中節(jié)點應發(fā)報文數(shù)量用負值表示，因此節(jié)點吞吐量可表示為：

本文將這種由于節(jié)點移動速率、吞吐量及出入簇次數(shù)對簇首節(jié)點監(jiān)測節(jié)點丟包率造成的影響定義為平衡因子μ。本模型采用的平衡因子函數(shù)為：

其中λ為系統(tǒng)歸一化系數(shù)，對MiThpiChi作歸一化處理，其值由MiThpiChi值最大的節(jié)點決定。μ隨節(jié)點MiThpiChi的變化情況如圖3所示。

圖3 μ隨節(jié)點MiThpiChi變化情況

定義了平衡因子，就可以對節(jié)點的收發(fā)報文狀態(tài)Statusi做一個比較精確的描述：

2.5 惡意丟棄報文節(jié)點判定

本方案采用狄克遜準則對惡意節(jié)點進行判定。狄克遜準則是通過極差比判定和剔除異常數(shù)據(jù)。與一般比較簡單的極差方法不同，該準則為了提高判斷效率，對不同的實驗量測定數(shù)應用不同的極差比進行計算。該準則認為異常數(shù)據(jù)應該是最大數(shù)據(jù)和最小數(shù)據(jù)，因此其基本方法是將數(shù)據(jù)按大小排隊，檢驗最大數(shù)據(jù)和最小數(shù)據(jù)是否是異常數(shù)據(jù)。

依式(4)分別計算各節(jié)點的Status值，從小到大排列為 Status(1)，≤Status(2)，……≤Status(n)，因為丟包率大的節(jié)點才有可能是惡意節(jié)點，所以這里舍棄最小值，僅取最大值，應用狄克遜準則進行節(jié)點類型進行判定。如果f0＞f(n，α)就 可以判 定該值 所對 應節(jié)點 為 可 疑 節(jié) 點 。 f(n，α)可 以查表獲得，其中n是節(jié)點個數(shù)，α為檢驗水平，根據(jù)檢測精度需要可以取0.01或是0.05。fo的計算如下：

為防止惡意簇首節(jié)點發(fā)送虛假報文丟棄通告對正常節(jié)點進行攻擊，節(jié)點i連續(xù)在兩個系統(tǒng)監(jiān)測周期內(nèi)都被判定為可疑節(jié)點后，系統(tǒng)即判定該節(jié)點為惡意節(jié)點，發(fā)出告警并通過Hello消息廣播將該節(jié)點隔離出網(wǎng)絡后，重新進行報文丟棄惡意節(jié)點檢測。

如果簇首節(jié)點j在自己的監(jiān)測周期內(nèi)發(fā)動虛假報文丟棄攻擊，使正常節(jié)點i在該監(jiān)測周期內(nèi)被判定為可疑節(jié)點，但下一監(jiān)測周期中，由于更改了IDS簇頭，節(jié)點 i將不再被判定為可疑節(jié)點，則系統(tǒng)記錄節(jié)點j為可疑節(jié)點，認為j在自己的監(jiān)測周期內(nèi)可能發(fā)動了虛假報文丟棄攻擊，如果在節(jié)點j再次當選為IDS簇首周期內(nèi)，再次有發(fā)送虛假報文丟棄攻擊嫌疑，則系統(tǒng)認為節(jié)點j為惡意節(jié)點，發(fā)出告警并通過Hello消息廣播將該節(jié)點隔離出網(wǎng)絡。

為便于算法實現(xiàn)，需要定義節(jié)點狀態(tài)數(shù)據(jù)結(jié)構(gòu)：

算法偽碼表示如下：當系統(tǒng)一個監(jiān)測周期結(jié)束后，對每個節(jié)點執(zhí)行如下算法，設節(jié)點i的上一周期IDS簇首節(jié)點為 j。

3 實驗與性能分析

本文使用Qualnet[6]作為模擬仿真實驗平臺。在2 000×2 000的區(qū)域內(nèi)隨機布置100個節(jié)點。仿真時間為1 000 s，節(jié)點使用 Random Waypoint移動模型，以 0～20 m/s的速度運動。通信模型采用CBR(Continuous Bit Rat)流，CBR流大小為512 B。每秒鐘發(fā)10個數(shù)據(jù)包，從源節(jié)點到目的節(jié)點有不間斷的數(shù)據(jù)包發(fā)送，網(wǎng)絡層采用AODV路由協(xié)議，實驗中采用不同數(shù)量的惡意節(jié)點發(fā)動報文丟棄攻擊和虛假報文丟棄攻擊。影響仿真結(jié)果的因素很多，主要是環(huán)境的設置，如節(jié)點間發(fā)報的速率、節(jié)點移動速度、IDS簇首監(jiān)測周期大小、節(jié)點活動的范圍。

評價算法性能的主要指標是惡意節(jié)點的檢測率和惡意節(jié)點的誤檢率。檢測率是指被檢測出來的惡意節(jié)點個數(shù)占網(wǎng)絡中實際的全部惡意節(jié)點個數(shù)的比例。誤檢率是指正常節(jié)點被誤檢為惡意節(jié)點的個數(shù)占整個網(wǎng)絡中正常節(jié)點的比例。對檢測率和誤檢率各做10次實驗，然后取平均值。

圖4表示了不同惡意節(jié)點數(shù)量下，全局感知算法的檢測率。無論是否存在虛假報文丟棄攻擊，算法對惡意節(jié)點的檢測率均隨著惡意節(jié)點在網(wǎng)絡中所占比例的增加有所下降，因為惡意節(jié)點的增加導致了網(wǎng)絡中節(jié)點報文轉(zhuǎn)發(fā)率的異常數(shù)據(jù)增多，干擾了統(tǒng)計分析過程。圖5表示了不同惡意節(jié)點數(shù)量下，全局感知算法對惡意節(jié)點的誤測率。從圖5可以看出，無論是否存在虛假報文丟棄攻擊，算法的誤檢率都較低，雖然隨惡意節(jié)點數(shù)量的增大而有小幅上升，但最高不超過3%。

圖4 不同惡意節(jié)點數(shù)量下的檢測率

實驗表明，本文算法的惡意節(jié)點檢測率和誤檢率性能良好。在惡意節(jié)點所占比例較低的情況下，檢測率接近100%，誤檢率接近0%。隨著惡意節(jié)點所占比例的提高和惡意節(jié)點發(fā)送虛假的鄰居節(jié)點報文轉(zhuǎn)發(fā)率信息，惡意節(jié)點的檢測率有所下降，但仍保持在90%以上；誤檢率有所上升，但仍保持在3%范圍內(nèi)。

圖5 不同惡意節(jié)點數(shù)量下的誤檢率

惡意簇首節(jié)點發(fā)送虛假的簇內(nèi)節(jié)點，節(jié)點報文轉(zhuǎn)發(fā)率信息對檢測率造成了一定的影響，這主要是由于實驗時指定的惡意節(jié)點并不一定會被選舉為簇首。本算法對于發(fā)送虛假報文丟棄攻擊，需要在節(jié)點兩次當選為監(jiān)測簇首才做出判定，但這并不會影響網(wǎng)絡的性能。因為算法是基于簇結(jié)構(gòu)的，惡意節(jié)點只有連續(xù)兩次當選簇首才能對一個正常節(jié)點發(fā)動虛假報文誣陷攻擊，而算法在成簇階段已經(jīng)阻止了此類攻擊發(fā)生，所以節(jié)點無法發(fā)動虛假報文丟棄攻擊，因此表現(xiàn)為檢測率降低。在虛假報文丟棄攻擊惡意節(jié)點比例較高的情況下，檢測率平均降低了2%左右。

本文分析了現(xiàn)有依據(jù)鄰居節(jié)點檢測算法對報文丟棄攻擊和虛假報文丟棄攻擊進行檢測算法存在的不足，在此基礎上，設計了一種基于簇首協(xié)作的報文丟棄攻擊全局感知算法。仿真實驗表明，該算法通過對報文丟棄攻擊節(jié)點進行全局監(jiān)測，減輕了網(wǎng)絡各節(jié)點資源和網(wǎng)絡帶寬的消耗；利用狄克遜準則進行惡意節(jié)點判定，提高了報文丟棄攻擊的檢測精確度；同時，由于使用了基于簇首的監(jiān)測方式，惡意節(jié)點在作為簇成員的時候無法發(fā)動虛假報文丟棄攻擊，很大程度上抑制了虛擬報文丟棄攻擊在網(wǎng)絡中發(fā)生的頻率。由于算法基于全局監(jiān)測周期進行消息交換，在周期結(jié)束的時候進行惡意節(jié)點的檢測，因此，在提高入侵檢測響應速率和改進Hello消息傳播方式節(jié)省網(wǎng)絡帶寬方面需要進一步優(yōu)化。

[1]PAUL K，WESTHOFF D. Contextawaredetection of selfish Nodes in DSR based Ad hoc networks[C].IEEE Global Telecommunications Conference， 2002： 178-182.

[2]LEE S，CHOI Y.A resilient packet-forwarding scheme against maliciously packet-dropping nodes in sensor networks[C].Proceedings of the 4th ACM Workshop on Security ofAd Hoc and Sensor Networks (SASN’06).Alexandria， USA， 2006：59-70.

[3]MARTI S， GIULI T， LAI K， et al.Mitigating routing misbehavior in mobile Ad Hoc networks[C].Proceedings of the 6th International Conference on Mobile Computing and Networking(Mobicom’00).Boston， USA， 2000： 255-265.

[4]ZHONG S， CHEN J， YANG Y R.Sprite： a simple cheatproof credit-Based system for mobile ad hoc networks[C].INFOCOM 2003，twenty Second Annual Joint Conference of theIEEE Computer and Communications.San Francisco，CA， USA， April， 2003：1987-1997.

[5]王芳，易平，吳越，等.基于規(guī)范的移動 Ad Hoc網(wǎng)絡分布式入侵檢測[J].計算機科學，2010，37(10)：118-122.

[6]JAIKAEO C，SHEN C C.Qualnet Tutorial[R].Scalable Network Technologies， University of Delaware， 2007：21-46.