Detectare a intruziunii n reele Mobile Ad-Hoc Abstracte n ultimii ani, mobil reele ad-hoc (MANETs) au devenit un subiect de cercetare

foarte popular. Prin furnizarea de comunicaii n lipsa unei infrastructuri fixe, MANETs sunt o tehnologie atractiv pentru multe aplicaii precum operaiuni de salvare, operaiuni tactice, monitorizarea mediului, conferine i similare. Cu toate acestea, aceast flexibilitate introduce noi riscuri de securitate. Deoarece prevenirea tehnici nu sunt suficiente, efractie sisteme de detectare (IDSs), care monitorizeaz activitile de sistem i detectarea intruziunilor, sunt utilizate n general pentru a completa alte mecanisme de securitate. Detectare a intruziunii pentru MANETs este o activitate complex i dificil n principal din cauza naturii dinamice a MANETs, nodurile lor foarte constrns, i lipsa de punctele centrale de monitorizare. IDSs convenionale nu sunt uor de aplicat pentru a le. Noi abordri trebuie s fie dezvoltate sau altceva abordrile existente trebuie s fie adaptate forMANETs. Acest capitol prezint probleme de detectare a intruziunii pentru MANETs i clieni soluii principale propuse n literatura de specialitate. 17.1 Introducerea Wireless reea acum este mediu de alegere pentru numeroase aplicaii. n plus, tehnici moderne de fabricaie permite funcionalitate ce n ce mai sofisticate de edere n dispozitive care sunt mai mici, i deci tot mai mobile. Reele mobile ad-hoc (MANETs) se combin comunicare wireless cu un grad ridicat de mobilitate de nod. Gam limitat de comunicaii fr fir i mare nod mobilitate nseamn c nodurile trebuie s coopereze cu alte fiecare pentru a furniza reele eseniale, cu reeaua subordonat dinamic schimbarea pentru a asigura nevoile continuu sunt ndeplinite. Caracterul dinamic de protocoale care s permit funcionarea MANET nseamn ele uor sunt potrivite pentru desfurarea n circumstane extreme sau volatili. MANETs au devenit, n consecin, un foarte populare subiect de cercetare i au fost propuse pentru utilizarea n multe domenii precum operaiuni de salvare, operaiuni tactice, monitorizarea mediului, conferine i similare. MANETs prin natura lor sunt mai vulnerabile la atac dect reele cablate. Flexibilitatea deschis mediu de difuzare i cooperativeness de dispozitive mobile (care au, n general, de diferite resurse i capacitile de calcul, i a alerga, de obicei pe baterie) introduce noi riscuri de securitate. Ca parte din managementul riscului raionale, noi trebuie s fie capabil s identifice aceste riscuri i ia msurile corespunztoare. n unele cazuri ne poate fi capabil de a proiecta n special riscurile cost-eficient. n alte cazuri, poate trebuie s acceptm c vulnerabilitile exist i s ncerce s ia msurile corespunztoare atunci cnd credem c cineva este-ne ataca. Ca urmare, detectarea intruziunilor este o parte indispensabil de securitate pentru MANETs. Multe sisteme de detectarea intruziunilor (IDS) au fost propuse n literatura de specialitate pentru reele cablate, dar caracteristicile specifice MANETs' face aplicarea directa a aceste abordri la MANETs imposibil. Noi abordri trebuie s fie dezvoltate sau altceva abordrile existente trebuie s fie adaptate pentru MANETs. n acest capitol, vom examina probleme speciale de ID-uri de MANETs i IDSs propuse pentru sisteme de MANET specifice pentru a afla cum well-proposed sisteme adresa de aceste aspecte. n seciunea urmtoare, este dat o introducere de sisteme de detectare a intruziunii. Apoi, detectarea intruziunilor pe MANETs este discutat mpreun cu IDSs propuse. n concluzie, gnduri pentru practicieni i idei pentru viitoare de cercetare sunt prezentate. 17,2 Intrusion Detection sisteme de intruziune este orice set de aciuni care ncearc s compromit integritatea, confidenialitatea, sau de disponibilitatea unei resurse [6] i un sistem de detectare a intruziunilor (IDS) este un sistem de detectare a intruziunilor astfel. Exist trei componente principale ale unui ID: culegerea datelor, detectarea i rspunsul. Componenta de colectare de date este responsabil pentru colectarea i pre-procesare date sarcini: transferul de date la un format comun, stocarea de date i de a trimite date la modulul de detecie [14]. ID-uri pot utiliza surse de date diferite ca intrri la sistem: sistem, reea de pachete, etc. n detectarea component datele sunt

analizate pentru a detecta tentative de intruziune i indicaiile de detectat intruziuni sunt trimise la componenta de rspuns. n literatura de specialitate, sunt utilizate trei tehnici de detectare a intruziunii. Prima tehnica este de detectare a intruziunilor anomalie, care profile simptome de comportamente normale a sistemului, cum ar fi frecvena de utilizare de comenzi, CPU usage pentru programe i cum. Detecteaz intruziuni ca anomalii, adic abateri de la comportamente normale. Diverse tehnici au fost aplicate pentru detectarea de anomalie, ex. statistice abordari si tehnici de inteligen artificial ca data mining i de reele neuronale. Definirea comportamentul normal este un provocare major. Comportamentul normal poate schimba n timp i sisteme de detectare a intruziunii trebuie s fie pstrate pn la data de. Fals pozitive activitile normale care sunt detectate anomalii de ID-uri poate fi ridicat n detectare bazate pe anomalie. Pe de alt parte, este capabil de a detecta atacurile necunoscut anterior. Acest lucru este foarte important ntr-un mediu n cazul n care noi atacuri i vulnerabilitile noi sisteme sunt anunate n mod constant. Detectare a intruziunilor abuz compar atac cunoscui semnturi cu activitati de sistemul curent. Acesta este, n general, preferat de comerciale IDSs, deoarece este eficient i are o rat sczut fals pozitive. Dezavantajul acestei abordri este c acesta nu poate detecta noi atacuri. Sistemul este doar la fel de puternic ca sa semntur baz de date, iar acest lucru are nevoie de frecvente actualizare pentru noi atacuri. Att anomalie-abuz bazate i abordri au punctele lor forte i punctele slabe. Prin urmare, ambele tehnici sunt n general angajai pentru detectarea intruziunilor eficiente. Tehnica de ultima este de detectare a intruziunilor caietul de sarcini. n aceast abordare, un set de constrngerile pe un program sau un protocol sunt specificate i intruziuni sunt detectate ca runtime nclcrilor acestor specificaii. Acesta este introdus ca o alternativ promitoare, care combin punctele forte ale bazate pe anomalie si abuz-bazate pe tehnici de detectare, furniznd detectarea de cunoscute i necunoscute atacurile cu o mai mic rat fals pozitive [26]. Acesta poate detecta atacuri noi, care nu respect specificaiile sistemului.n plus, se declana nu alarme false atunci cnd programul sau protocol are comportament neobinuit, dar legitim, deoarece foloseste specificaiile legitim al programului sau protocolul [26]. Acesta a fost aplicat la ARP (adresa Resolution Protocol), DHCP (Dynamic Host Configuration Protocol) [25] i multe protocoale de rutare MANET. Definirea specifica iile detaliate pentru fiecare program\/protocolul poate fi un loc de munc foarte consumatoare de timp. Noile specificaii sunt necesare pentru fiecare nou programul\/protocol i abordarea nu poate detecta un fel de atacuri, cum ar fi atacuri DoS (Denial of Service), deoarece acestea nu ncalc programul specificaiile direct [9]. Cnd se detecteaz o intruziune, un rspuns adecvat este declanat conform politicii de rspuns. Rspunsuri la detectat intruziuni pot fi active sau pasive. Pasiv rspunsurile pur i simplu ridica alarme i notific autoritatea corespunztoare. Rspuns la activ ncerca pentru a atenua efectele de intruziuni i sunt mprite n dou grupe: cei care caut de control asupra sistemului de atacat i cei care caut de control asupra sistemului ataca [3]. Fosta ncearc restaurarea sistemului deteriorate de uciderea procese, ncheiere conexiunile de re ea i altele. Acesta din urm ncearc pentru a preveni ncercrile de viitor atacatorului, care pot fi necesare pentru aplicaii militare. 17,3 Intrusion Detection probleme n MANETs diferite caracteristici ale MANETs face IDSs convenionale ineficiente i ineficiente pentru acest nou mediu. Prin urmare, cercetatorii au lucrat recent pe dezvoltarea nou IDSs pentru MANETs sau schimbarea IDSs curent aplicabile la MANETs. Exist probleme noi, care ar trebui s fie luate n considerare atunci cnd un nou ID-uri este proiectat pentru MANETs. Lipsa de puncte centrale: MANETs nu au nici puncte de intrare, cum ar fi routere, gateway-uri, etc. Acestea sunt de obicei prezente n reele cablate i poate fi folosit pentru a monitoriza tot traficul de reea, care trece prin ele. Un nod al unei retele mobile ad-hoc pot vedea doar o parte a unei reele: pachetele de a trimite sau primete cu alte pachete n gama sa de radio. Reele fr fir ad-hoc sunt distribuite i de cooperare, de detectare a intruziunii, sisteme de rspuns n MANETs poate, de asemenea, necesitatea de a fi distribuite i Cooperativa [28]. Aceasta introduce unele dificulti. De exemplu, distribuia i cooperativeness de agenii de ID-uri sunt greu ntr-un mediu n cazul n care resursele precum lime de band, viteza procesorului i

puterea sunt limitate. n plus, stocarea semnturilor de atac ntr-o baz de date central i distribuire a agenilor de ID-uri pentru sisteme de detectare a intruziunilor abuz nu este potrivit pentru acest mediu. Mobilitate: MANET noduri pot lsa i se alture reelei i muta independent, astfel nct topologia reelei poate schimba frecvent. Funcionare extrem de dinamic de o MANET poate provoca tehnicile tradiionale de ID-uri pentru a fi nesigure. De exemplu, este greu pentru abordrile bazate pe anomalie a distinge dac un nod emit expirat informaii au fost compromise sau dac acel nod a fost nc de a primi actualizare informaii [7]. Un alt efect de mobilitate pe ID-uri este c ID-uri de arhitectura poate schimba cu modificri la topologia de reea. Fr fir link-uri: retele Wireless au mai constrns de lime de band dect reele cablate i link-ul de rupere sunt comune. ID-uri de ageni nevoie pentru a comunica cu ali ageni de ID-uri pentru a obine date sau alerte i trebuie s fie contieni de link-uri fr fir. Deoarece ID-urile cu trafic intens ar putea provoca congestie i deci limita normale de trafic, agenii de ID-uri nevoie la spre minimum lor de transferuri de date [18]. Lime de band limitat poate provoca ineficiente ID-uri de funcionare. De exemplu, un ID nu poate fi capabil s rspund la un atac n timp real din comunicare ntrziere. n plus, ID-uri de ageni poate deveni deconectat din cauza link-ul de rupere. Un ID-urile trebuie s poat tolerarea mesajele pierdute, pstrndu-se acurateea rezonabil de detectare [24]. Resurse limitate: Mobile noduri, n general, utilizarea baterie i au capaciti diferite. MANET dispozitive sunt variate, ex. laptop-uri, dispozitive handheld, cum ar fi PDA-uri (personal digital Assistant) i telefoane mobile. Capacitile de calcul i de stocare variaz prea. Varietate de noduri, n general, cu resurse limitate, afecteaz eficiena i eficacitatea agenilor ID ei de sprijin. De exemplu, nodurile pot pictur de pachete pentru a conserva resursele (cauzeaz dificulti n distinctive nu a reuit sau egoist noduri la atacator sau compromis noduri) i constrngerile de memorie poate mpiedica un agent de ID-uri de prelucrare un numr semnificativ de alerte vine de la alii. Algoritmul de detecie trebuie s ia n considerare resursele limitate. De exemplu, misusebased de detectare algoritm trebuie s ia n considerare constrngerile de memorie pentru semnturile i pe baz de anomalie de detectare algoritm trebuie s fie optimizate pentru a reduce utilizarea de resurse. Lipsa de o linie clar de aprare i comunicaii sigure: MANETs nu au o linie clar de aprare; Atacurile pot veni din toate direciile [28]. De exemplu, nu exist nici o central onMANETs de puncte n cazul n care pot fi introduse mecanisme de control acces. Spre deosebire de reele cablate, atacatorii nu nevoie pentru a obine accesul fizic la reea pentru a exploata anumite tipuri de atacuri, precum interceptarea pasiv i activ interferen (acestea necesita doar contact radio) [28]. n plus, ganglionii critice (servere, etc) nu se poate presupune a fi asigurate n dulapuri i nodurile cu protecie inadecvat au risc de compromis i de captare. ID-uri de trafic ar trebui s fie criptate pentru a evita atacatorilor nvare cum ID-urile funcioneaz [18]. Cu toate acestea, criptografie i autentificare sunt sarcini dificile n mediul fr fir amobile deoarece acestea consuma resurse semnificative. n multe cazuri agenii de ID-uri de risc fiind capturat sau compromise cu consecine drastice ntr-un mediu distribuit. Pot trimite alerte fals i face ID-urile ineficiente. ID-uri de comunicare, de asemenea, poate fi mpiedicat prin blocarea i bruiaj de comunicaii n reea. Protocoale de rutare cooperativeness MANET sunt de obicei foarte cooperante. Aceasta le poate face inta atacurilor noi. De exemplu, un nod poate ca un vecin alte noduri i participa la mecanismele de decizie, eventual, care afecteaz pri semnificative de reea. 17.4 Fundal 17.4.1 propus IDSs IDSs pe MANETs utilizeaz o varietate de metode de detectare a intruziunii. Cel mai frecvent propus metoda de detectare a intruziunilor la data este de detectare a bazat pe caietul de sarcini. Acest lucru poate detecta atacurile mpotriva protocoale de rutare cu o rat sczut de alarme false. Cu toate acestea, ea nu poate detecta un fel de atacuri, cum ar fi atacuri DoS. Exist, de asemenea, unele sisteme de detectare bazate pe anomalie puse n aplicare n MANETs. Din pcate, mobilitatea MANETs crete rata de fals pozitive n aceste sisteme. Au

existat cteva IDSs bazate pe utilizarea abuziv, dezvoltat pentru MANETs i pic de cercetare pe semnturi de atacuri mpotriva MANETs. Actualizarea semnturilor de atac este o problem important pentru aceast abordare. Unele sisteme utilizeaz monitorizarea promiscuitate de comunicaii wireless n vecintatea de noduri. Deoarece nodurile inMANETs au numai date locale, o arhitectura de ID-uri distribuite si cooperare este folosit n general pentru a oferi o abordare mai informat de detectare. n aceast arhitectur, fiecare nod are agentul su de ID-uri locale i comunic cu alte noduri ageni pentru a face schimb de informaii, pentru a ajunge la decizii i de a rspunde. Alte arhitecturi de ID-uri din MANETs sunt IDSs de sine stttoare i ierarhice [1]. ID-uri stand-alone de arhitecturi, fiecare nod n reea are un agent de ID-uri i detecteaz atacurile pe cont propriu fara colaborarea cu alte noduri. Deoarece aceast arhitectur nu poate detecta atacurilor de reea (reea a scanda, atacuri distribuite, etc) cu date parial reea nod local, n general, nu este preferat. IDSs ierarhice sunt, de asemenea, un fel de arhitectur distribuit i cooperare. n aceast arhitectur, reeaua se mpart n grupuri clustere, zone unde unele noduri (clusterheads, noduri interzone etc.) au mai mult responsabilitate (furnizarea de comunicare cu alte clustere, zone) decat alte noduri din acelai grup. Fiecare nod n zon de grup desfoar locale de detectare n timp ce clusterheads i noduri de interzone efectueze globale de detectare. Este mai potrivit pentru reele de multi-stratificat [1]. Ageni de ID-uri distribuite (noduri), n general, sunt mprite n grupuri mici precum clustere, zone i unul-hamei departe noduri, permindu-le s fie gestionate ntr-un mod mai eficient. Comunicarea ntre aceti ageni de ID-uri este prevzut prin schimbul de date direct sau prin utilizarea de ageni de mobil. Dou mecanisme diferite de luare a deciziilor sunt utilizate n IDSs distribuite i cooperare: colaborare luare a deciziilor, n cazul n care fiecare nod poate s ia parte activ n procesul de detectare a intruziunii, i independente decizionale, n cazul n care anumite noduri sunt responsabile pentru luarea deciziilor [12]. Ambele mecanisme decizionale au argumente pro i sisteme de luare a deciziilor colaborare consum sunt mai fiabile. Dac toate nodurile contribuie la o decizie, cteva noduri ru intenionat poate perturba uor de luare a deciziilor. Cu toate acestea, n cazul n care orice nod poate declana un rspuns plin de vigoare, poate afecta ntreaga reea i fi vulnerabile la un atac DoS [12]. O abordare colaborativ de luare a deciziilor este, de asemenea, mai rezistente la eecul benigne de noduri. Pe de alt parte, lipsa sau compromis de noduri special n sistemele decizionale independente pot avea efecte drastice. Cu toate acestea, aceste sisteme sunt mai puin predispuse la falsificata intruziune atacuri dect sistemele decizionale colaborare [12]. IDSs principale propuse pentru MANETs n literatura de specialitate sunt descrise mai jos. 17.4.1.1 Distribuite i ID-uri de cooperare [28, 29] prima ID-uri pentru MANETs propuse de Zhang i Lee este un distribuite i cooperare ID-uri. n aceast arhitectur, fiecare nod are un agent de ID-uri, care detecteaz intruziuni la nivel local i colaboreaz cu noduri vecine (prin canale de comunicare ncredere ridicat) pentru detectarea globale, ori de cte ori dovezile disponibile sunt neconcludente i o cutare mai larg este necesar. Cnd se detecteaz o intruziune, un agent de ID-uri fie poate declana un rspuns locale (de exemplu, alertare utilizator local) sau un rspuns globale (care coordoneaz aciunile printre vecine noduri). Deoarece Expertul reguli poate detecta doar atacurile cunoscute i regulilor nu poate fi actualizat cu uurin peste o reea ad-hoc wireless, statistice bazate pe anomalie de detectare este ales de detectare a bazat pe utilizarea abuziv. Datele locale sunt invocate pentru detectarea statistice bazate pe anomalie: nodul pe circulaia (distan, direcie, vitez) i schimbarea de rutare (PCR: procentul de rute de schimbat, PCH: procentajul de modificri n suma de hamei toate rutele). O mai integrate de detectare a intruziunii i rspuns este propus permite atacuri diferite s fie detectat la stratul cel mai eficient. Se crede pentru a realiza o mai mare rata de detectie cu o mai mic rat de fals pozitive. RIPPER i SVM-lumina algoritmi de clasificare sunt utilizate. n cercetarea lor ulterioar [29], aceti algoritmi sunt evaluate pe trei protocoale de rutare: AODV, DSR i DSDV folosind rata de detecie i alarmelor false rata de msurtori. SVM-lumina este indicat s aib o performan mai bun dect RIPPER.

Este indicat, de asemenea, c protocoalele cu o corelaie puternic ntre modificri de tipuri diferite de informaii (locaie, rutare, etc.) au o performan mai bun, astfel nct reactiv (la cerere) protocoalele sunt mai adecvate pentru acest sistem dect proactiv protocoale (bazate pe masa). n plus, se afirm c ID-urile funcioneaz mai bine cu protocoale care includ unele redundan (cum ar fi cale omaj n DSR). Cu toate acestea, efectul de mobilitate nu este discutat. Aceasta este una dintre abordrile cteva lund n considerare mobilitatea de nod micrile de monitorizare. Acest lucru poate reduce eronate care rezult din nodul pe mobilitate. Cu toate acestea, ea doar reflect mobilitatea locale nu al reelei de mobilitate. De asemenea, fiecare nod trebuie s aib un cldire-nuntru GPS (Global Positioning Sistem) pentru a obine aceste date de mobilitate. Este subliniat faptul c acesta poate fi aplicat la toate protocoalele de rutare, deoarece utilizeaz informaiile minime de distribuire. De asemenea, permite adugarea de noi caracteristici pentru un protocol specific. Din punct de vedere al securitii, sistem este fiabil, excepia cazului n care majoritatea de noduri sunt compromise [28]. (Acestea pot trimite date falsificate.) Mai mult, mecanismul de colaborare de detectare poate fi predispuse la negarea serviciului i lingur intruziune atacuri [12]. 17.4.1.2 Cooperativa ID-uri folosind Cross-analiza caracteristic n MANETs [7, 8] Huang et al. folosi tehnici de date-minerit pentru a construi automat un model de detectare anomalie [8]. Ei utilizeaz o tehnic de analiz care vizeaz mai multe caracteristici i care recunoate modele caracteristice de corelaie ntre ele. Presupunerea de baz aici pentru detectarea anomalie este c evenimentele normale i anormale vectori caracteristic diferite care pot fi difereniate. n analiza eco-caracteristica, ei tren urmtorul model de clasificare Ci la normale de date bazat pe explorarea corelaia dintre fiecare caracteristic i toate alte caracteristici [7]:

n practic, fiecare fi caracteristic este analizat i comparat cu valorile estimate a fi. Apoi, numrul mediu meci este evaluat prin mprirea numrului de meciuri adevrate total de toate caracteristicile de L i folosit pentru a detecta anomalii care sunt sub pragul. n loc de numrul de valori, probabiliti, de asemenea, poate fi folosit. Algoritmi de clasificare diferit C4.5, Ripper i NBC sunt investigate pentru a calcula funcia de probabilitate [7]. Deoarece C4.5 prezinta o performan mai bun, este metoda aleas n cercetarea lor ulterioar [8]. Din cauza constrngerilor de resurse n MANETs, se propune o arhitectur de ID-uri bazate pe cluster-ului. Este prezentat o atribuire de cap cluster-ului corecte i sigure. Clusterheads sunt selectate la ntmplare, care faciliteaz, de asemenea, securitatea. Serviciului egal cu timpul se atribuie toate capetele de grup selectat. Reguli simple sunt introduse, de asemenea, pentru a determina tipurile de atac, i, uneori, atacatorii. Regulile sunt executate dup este detectat o anomalie. Acestea se bazeaz pe statistici, cum ar fi numrul de intrare\/ieire pachete pe nodul monitorizate i sunt pre-computed pentru atacurile cunoscute. De exemplu, necondiionat pachete cdere de un nod m este formulat dup cum urmeaz [8]:

n cazul n care numitorul nu este zero i FPm este 0, nseamn c nodemis cdere toate pachetele. Atacatorul este identificat de un vecin de nod m care pot auzi promiscuously nod m trafic. Acesta este implementat pe simulator NS-2 utiliznd legate de trafic i nontraffic legate de caracteristici. Caracteristici legate de trafic sunt pachete de tip, direcia fluxului, perioadele i statistici msuri (conteaz i deviaii standard de inter-packet intervale) de prelevare de probe. Caracteristici legate de non-trafic reprezint topologia de reea i de rutare operaiunile i cuprind informaii cum ar fi numrul de rute adaug prin ruta descoperire, schimbare total traseu i viteza absolut (viteza fizic de un nod). Protocolul de AODV

este orientat i urmtoarele msurtori sunt folosite pentru evaluare: rata de detecie, rata fals pozitive i atac tip detection ritm. Rezultatele sunt promitatoare. Este prima abordare care utilizeaz caracteristica corelaii. Le-au propus s investigheze modul de calcul costul poate fi redus [7]. Identificarea atacatorului i atacuri mpotriva IDS (o problem major pentru o arhitectura cluster-cap) sunt identificate ca viitoare de cercetare [8]. 17.4.1.3 Zona Intrusion Detection sistem bazat pe [22] In[22],o nu se suprapun bazate pe zona ID este propus. n aceast arhitectur, reeaua este mprit n zone, pe baza geografic de partiionare pentru a salva lime de band de comunicare n timp ce mbuntirea performanei de detectare prin obinerea datelor din mai multe noduri. Nodurile ntr-o zon sunt numite intrazone de noduri i nodurile care funcioneaz ca o punte alte zone sunt numite noduri de Papa (poarta). Aa cum se arat n Fig. 17.1 pot exista mai multe gateway-ul nod ntr-o zon, de exemplu, nodurile 1, 6, 7 sunt noduri de poarta de acces n zona 5. Fiecare nod n zona este responsabil pentru locale detection i alerte de trimiterea la nodurile interzone. Cadrul lor i propune s permit utilizarea de tehnici de detectare a diferite n fiecare agent de ID-uri; cu toate acestea, ei folosesc doar Markov lan anomalie detectarea n cercetarea lor. Intrri la IDS ageni sunt rutare actualizri de mas (PCR i PCH) ca n [28, 29].

Fig. 17.1 Zone-based IDS architecture in MANETs

Intrazone noduri se efectueze locale de agregare i coresponden, n timp ce poarta noduri sunt responsabile pentru agregarea globale i corelare a face deciziile finale i trimite alarme. Deci, numai noduri de gatewayul participa la detectarea intruziunilor. Alerte trimise de noduri interzone Arat pur i simplu o evaluare a probabilitatea de intruziune; alarmele generate de gateway-ul noduri sunt bazate pe informaiile combinate primite. n lor algoritm de agregare, noduri de gateway-ul utiliza urmtoarele asemnrile n alerte pentru detectarea intruziunilor: similitudinea de clasificare (clasificarea atacuri), timp similitudinii (timp de atac se ntmpl i ora de atac detectarea) i sursa similitudinii (surse de atac). Sursa similitudinea este similitudinea principale utilizate, astfel nct performan detectare algoritm de agregare ar putea scdea cu creterea numrului de atacatori [22]. Una dintre contribuiile n aceast lucrare este MIDMEF (MANET Intrusion Detection mesaj Exchange Format), care definete formatul de schimb de informaii ntre ageni de ID-uri. Acesta este n concordan cu Intrusion Detection mesaj Exchange Format (IDMEF) propus de Internet Engineering Task Force (IETF) [10]. Anterioare de lucru [21] analizat cum s ia n considerare mobilitatea cnd proiectai o ID-uri. Rata de schimbare link-ul a propus reflect nivelurile diferite de mobilitate. Potrivit profilare normale i pragurile

corespunztoare poate apoi adaptiv adoptate de ageni de ID-uri folosind aceast msur. n plus, se arat c rata de schimbare a link-ul reflect modelul de mobilitate de reea mai bine dect msura viteza de telefonie mobil sunt n general folosite. Link-ul rata de schimbare a un nod este definit ca [21]:

unde N1 este setul vecin al nodului momentul t1 i N2 este setul vecin al nodului momentul t2. ID-urile propuse este simulat pe GlomoSim simulator i evaluate utiliznd urmtoarele msurtorile de performan: rata de pozitiv fals, rata de detectare i timp de alarm prima (este detectat o msur de ct de repede intruziune). Sistemul este instruit i evaluate n cadrul mobilitii diferite niveluri i s-a demonstrat c anomalie bazat pe detectarea efectueaz prost din cauza abaterii de date sub mare mobilitate. n plus, prezena parial victime care nu primesc toate datele falsificat din cauza link-ul de rupere care rezult din mobilitate [22] este susinut pentru a face detectare mai dificil. Avantajele unui algoritm de agregare utiliznd datele din victimele pariale i complete sunt evideniate: rat de fals pozitive i mai mare de detectare mai mic dect ID-uri locale realizeaz. Cu toate acestea, performanele sale poate scdea cu existena de mai mult de un atacator n reea. Ei, de asemenea, concluzia c aeriene de comunicare este crescut proporional cu mobilitate unde locale IDSs genera mai multe fals pozitive i trimite mai multe intruziune alerte gateway-ul noduri. n plus, agregarea datelor si alerte de la interzone noduri pot duce la detectarea i rspunsul latenta, atunci cnd nu exist date suficiente pentru detectarea intruziunilor chiar la intrazone noduri. Autorii planului de a investiga n continuare scenarii de atac la dirijarea i alte straturi, precum i construirea alte caracteristici legate de securitate i abordri bazate pe abuzul de detectare. 17.4.1.4 Generale cooperare Intrusion Detection arhitectura [20] In [20], Sterne et al. prezint o dinamic i cooperare ierarhice ID-uri de arhitectura, care utilizeaz mai multe-stratificarea gruparea. Figura 17.2 arat o reea cu dou nivele clustere. Nodurile adnotat cu '' 1'' sunt clusterului primul nivel-efi, n esen, acionnd ca un accent de gestiune pentru activitatea de ID-uri de imediat invecinate noduri. Aceste grup-capete de nivel 1 poate forma un cluster n jurul nod la nivel nalt '' 2'', al doilea nivel clusterului-cap. Acest proces se duce

Fig. 17.2 IDS hierarchy with two-level clusters

data flow from 1. level cluster nodes to their cluster head data flow from 2. level cluster nodes to their cluster head

pn cnd toate nodurile sunt atribuite un cluster. Pentru a evita singur punct de eec, se propune alegerea mai multe clusterului-cap de nivel superior, cluster-ului. Selecie de cap cluster-ului se bazeaz pe topologia i alte criterii, inclusiv conectivitate, proximitate, rezistenta la compromis, accesibilitatea de reea de securitate specialiti, putere de procesare, capacitate de stocare, energia rmas, capabiliti de lime de band i administrativ desemnat proprieti [20]. n aceast ierarhie dinamic, fluxul de date este n sus, n timp ce fluxul de comand este n jos. Datele sunt achiziionate la frunze de noduri i agregate, redus i analizate ca curge n sus. Ideea esen ial este dat ca detectarea intruziunilor si corelarea cu alte noduri la cele mai mici niveluri pentru reducerea latenta de detectare i susinerea date de reducere, pstrndu-se date suficiente. Aceasta susine att directe de raportare i participanii promiscuitate monitorizarea pentru scopuri de corelare.

Arhitectura detectarea intruziunilor propuse pentru MANETs obiective militare aplicaii. Autorii susin c caracteristica de dinamic ierarhia este foarte scalabil. De asemenea, reduce comunicrii aeriene prin arhitectura ierarhice. Cu toate acestea, costul de configurare de arhitectur n reele dinamice trebuie, de asemenea, considerate. Tehnici de detectare a intruziunii specifice i nici punerea n aplicare a acestei arhitecturi este acoperit. Sprijinirea un spectru larg de tehnici de detectare a intruziunii este reprezentat ca una dintre cerin ele generale de ID-uri. Cu toate acestea, de aplicarea acestor tehnici la reele mobile ad-hoc, care pot avea resurse constrns noduri i nici puncte de conducerea central, nu se adreseaz. Sunt prezentate exemple de scenarii de utilizare, care acoper atacuri MANET specifice i convenionale, indicnd intruziune diferite tehnici de detectare pe arhitectura. Unele atacuri pot fi drastice n aceast arhitectur, de exemplu, captarea de capete de grup sau un nod ru intenionat fiind selectat ca un cap de grup prin trimiterea criteriile de fals. Domenii n curs de investigare sunt comparaia de algoritmi de cluster existente i msurtorile globale de comunicare. Se identifica ca lucrrile viitoare dezvoltarea tehnicilor bizantin-rezistente pentru gruparea i pentru detectarea intruziunilor i corelare. 17.4.1.5 Intrusion Detection folosind senzori Multiple [12] Kachirski si achim s propun o soluie de ID-uri bazate pe tehnologia de agent de telefonie mobil, care reduce sarcina de reea prin mutarea calculul datelor. Aceasta este o caracteristic semnificativ pentru MANETs care au lime de band mai mic dect reele cablate. Este propus o structur modular de ID-uri, care distribuie sarcini funcional prin trei clase de agent de mobil: monitorizare, decizie i aciune-a lua. Avantajele oferite de aceasta structura sunt date ca crescut faulttolerance, reducerea costurilor de comunicare, performan mbuntit de ntreaga reea i scalabilitate [12]. O arhitectura de ID-uri ierarhice si distribuite este dat, care mparte reea n clustere. Capete de grup sunt alese prin vot, cu fiecare nod de vot pentru un nod bazate pe conectivitate sale. Fiecare nod n reea este responsabil pentru

detectare locale folosind sistem i date la nivel de utilizator. Numai capete de cluster-ului sunt responsabile pentru detectarea folosind date la nivel de reea i pentru luarea deciziilor. Cu toate acestea, n funcie de atributul de hamei de clustere, performan de detectare reea intruziune poate modifica. De exemplu, fiecare nod are legtur direct la cel puin un cluster cap ntr-o reea grupate unul-hamei, astfel nct fiecare pachet n reea pot fi monitorizate, aa cum se arat n Fig. 17.3(a), n timp ce trei link-uri n Fig. 17.3(b) nu pot fi monitorizate de capetele de grup ntr-o reea grupate dou-hamei. Cum gradului de monitorizare crete numrul de cluster capete crete prea. Deci, alegerea atributul de hamei de clustere este un compromis ntre securitate i eficien. Cu toate acestea, ganglionii nu n intervalul de comunicare un cluster cap poate muta spre zona de monitorizare de un alt grup-cap datorit mobilit ii. Deci, avnd cteva link-uri care nu pot fi monitorizate de ctre orice clusterhead este considerat ca fiind acceptabil pentru medii foarte dinamice.

Nodurile clusterului poate rspunde la intruziuni direct n cazul n care acestea au dovezi puternice la nivel local. n cazul n care dovezile furnizate sunt insuficiente, ei las de luare a deciziilor s capete de grup prin trimiterea de rapoarte de anomalie pentru a le. n aceast lucrare o IDS scalabile i lime de band-eficiente se propune utiliznd ageni de mobil, dar fr a da orice validare prin simulare sau punerea n aplicare. Pe de alt parte, exist probleme urgente de securitate pentru mobil agenii care sunt setate pentru a fi investigate n cercetare viitoare autorilor. n plus, detalii privind metoda de detectare bazate pe anomalie nu figureaz, cu cercetare pe algoritmi de cooperare detectare mai robuste i mai inteligente lsat ca viitoare de cercetare. 17.4.1.6 Caietul de sarcini-Based ID-uri pentru AODV [25] Primele specificatii bazate pe specificaia ID primul MANETs este propus de Tseng et al. [25]. Ei folosesc monitoare reea (NM), care se presupune c pentru a acoperi toate nodurile. Noduri n micare din reeaua curent zona de monitorizare sunt, de asemenea, presupune s se mute n serie a altor monitoare de reea. Alte ipoteze sunt: (i) de reea monitoare tiu toate nodurile de adrese IP i MAC, i nu pot fi falsificate adrese MAC. monitoare de reea (ii) i mesajele lor sunt sigure. (iii), n cazul n care unele nodurile nu rspund pentru a difuza mesaje, aceasta nu va cauza probleme serioase. Monitoare reea folosesc masini de stare finit (FSM) ca specificaiile opera iuni de AODV, mai ales pentru procesul de descoperire traseu, i menine un tabel de expediere pentru fiecare nod monitorizate. Fiecare cerere de traseu (RREQ) i traseul rspunde (RREP) mesaj n intervalul de la monitorul de reea sunt monitorizate ntr-un flux de cerere-rspuns. Atunci cnd un monitor de reea are nevoie de informaii despre mesajele anterioare sau alte noduri nu n gama sa, acesta poate cere monitoare reea vecine. n condiii de mobilitate nalt, comunicarea dintre reeaua monitorizeaz creteri de monitorizat noduri sau \/ i pachete frecvent muta din gama de nodul de monitorizare. Autorii, de asemenea, modifica Protocolul de rutare AODV prin adugarea unui nou domeniu: nodul anterioare. Deoarece RREQs sunt mesajele difuzate, este necesar pentru a urmri calea RREQ. Nodul anterioar este necesar pentru a detecta un fel de atacuri, cum ar fi trimiterea unui RREP de la un nod care nu este pe ruta invers [25]. Lucrrile viitoare include experimentarea prin simulare de reea NS-2, profilare reea QoS (Quality of Service) pentru a reduce fals pozitive prin separarea pierderi de pachete, pachete de eroare, i generarea de pachete prin definirea rezonabil praguri pentru profilul curent, i refiningNMarchitecture folosind printr-o abordare de P2P (peer-to-peer). Aceasta este o abordare promitoare, care poate detecta att cunoscute i necunoscute atacurile mpotriva protocoale de rutare, care n mod clar definit caietul de sarcini. Se susine pentru a detecta cele mai multe atacuri cu minim aeriene n timp real. Cu toate acestea, unele dintre ipotezele acceptate in aceasta lucrare nu sunt foarte realiste. De exemplu, presupunnd c monitoare reea acoper toate nodurile de reea i au toate nodurile IP andMACaddresses. Scalabilitatea este una dintre caracteristicile importante pe multe aplicaii MANET unde nodurile pot altura i lsai reea independent i circul n mod frecvent. AssumingMACaddresses nu poate fi uor falsificate este nerealist. n plus, cdere de unele mesajele difuzate n reeaua poate afecta toate serviciile de reea n cazul n care nodul cdere mesaje este la un punct critic. n plus, detaliile de arhitectura nu sunt abordate (cum ar fi pozitiile de monitoare de reea n MANETs unde topologia se schimb n mod arbitrar). 17.4.1.7 DEMEM: Distribuite Evidence-Driven mesaj schimbul de ID Model [24] DEMEM este un ID distribuite i de cooperare n care fiecare nod este monitorizat de ctre unul-hamei vecin noduri. n afar de una-hamei vecin monitoare, 2-hamei vecinii pot face schimb de date utiliznd

mesaje de (ID) de detectare a intruziunii [24]. Contribuia principal DEMEMas de autorii este de a introduce aceste mesaje ID pentru a ajuta la detectarea, care au termen bazate pe dovezi mesaj de schimb. Dovada este definit ca informatiile critice (specifice un protocol de rutare) folosit pentru a valida corectitudinea mesajele protocol de rutare, de exemplu, numrul de hamei i nod numrul de ordine n AODV [24]. Pentru a minimiza ID mesaj regiei ID mesajele se trimit numai atunci cnd exist dovezi noi, astfel nct este numit bazate pe dovezi. DEMEM, de asemenea, introduce un strat de ID pentru a procesa aceste mesaje ID i detectarea intruziunilor ntre stratul de IP i stratul de rutare fr modificarea protocol de distribuire, astfel nct acesta poate fi aplicat la toate protocoalele de rutare. DEMEM utilizeaz modelul de ID-uri bazate pe specificaia pentru OLSR a propus n activitatea lor anterioar [23]. n OLSR [11], exist noduri numit multipunct relee (MPRs), care servesc pentru a reduce inundaii de difuzare pachete n reea. Aceste noduri sunt selectate de nodurile lor vecine numit MPR Selectoare. Pachete de anMPR nod MPR Selectoare sunt retransmise numai acel nod MPR. TC (controlul topologiei) mesajele sunt trimise de fiecare nod periodic s declare sale Selectoare MPR. Sistemul bazat pe caietul de sarcini propus utilizeaz urmtoarele constrngerile OLSR pentru detectarea intruziunilor: C1: vecinii din mesajele de salut trebuie reciproce. C2: MPRs trebuie s ajung la toi vecinii de dou-hamei. C3: MPR Selectoare trebuie s potriveasca corespunztor MPRs. C4: fidelitatea de transmisie mesaje TC trebuie s fie meninut. Autorii de stat c sistemul nu poate detecta atacurile de colaborare. De exemplu, doi atacatori care mod fals pretind c sunt vecini nu ar putea fi detectate de constrngerile de mai sus [23]. DEMEM introduce trei mesaje autentificate ID pentru OLSR. Primul este ID-dovezi, care este proiectat pentru dou hamei ndeprtat detectoare schimbul lor dovezi privind o-hamei vecinii, MPRs i MPR Selectoare pe OLSR. Al doilea mesaj, ID-Forward, o cerere de a transmite orice loc ID-dovezi mesaje la alte noduri. Acest lucru nseamn c un nod poate solicita titularului de dovezi pentru a transmite direct, mai degrab dect de a-l trimite n sine, deci reducerea aeriene de mesaj. Ultimul mesaj, ID-cerere, este conceput pentru a tolera pierderea mesaj ID-dovezi cu aeriene de sczut de comunicare. Fals pozitive i detectarea de ntrziere din cauza pierderii de mesaj sunt diminuate de un mesaj ID-cerere. n plus, ei specifica o valoare de prag pentru a micora fals pozitive datorit incoerene temporare care rezult din mobilitate.Atunci cnd un detector detecteaz o intruziune, automat ncearc s corecteze datele falsificat. DEMEM este simulat pe simulator GlomoSim cu modelul de mobilitate aleatoare punct de referin i cu vitez diferit i pauz timp de seturi pentru mobil nodurile. Abordarea este foarte eficient pentru ochiuri de reele n cazul n care nu se deplaseaz nodurile n reea: au existat nici un fals pozitive i nici un fals negative cu mesaj de 0,05% aeriene ntr-o reea cu 150 aeriene de noduri i 3% ntr-o reea cu 10 noduri. Interesant, cheltuieli de mesaj de DEMEM sunt a sczut numrul de noduri din reea crete, deoarece numrul de mesaje de salut i TC este mai mare dect ID mesajelor n reelele de mare [24]. Mesaj aeriene n simulare variaz ntre 2% i 30% n funcie de nivelul de mobilitate. Ei, de asemenea, arat cum detectarea acurateea i laten de detectare a sistemului variaz n funcie de pragurile alese. Aplicabilitatea DEMEM pe celelalte protocoale de rutare, mai ales pe protocoale reactiv, se adreseaz. Deoarece reactiv protocoale produce mai puine mesaje de dirijare cu dimensiuni n general mai mici comparativ cu periodice mesaje rutare protocoalelor proactiv, ID-uri pe protocoale reactiv poate avea un mesaj mai mare aeriene dect protocoale proactiv [24]. n curs de cercetare include punerea n aplicare a DEMEM pe AODV i punerea n aplicare a unui model de rspuns de cooperare ptrunderea reputationbased. 17.4.1.8 Caz-Based ageni pentru detectarea intruziunilor de nivel de pachet [5] Guha a propus un caz bazate pe raionament sistemului de pachete de monitorizare nivel bazat pe o arhitectur ierarhizat ID-uri. n abordarea pe baz de caz raionament, atacurile cunoscute sunt formulate ca cazuri n caz de arhiva, care stocheaz caracteristicile de probleme cunoscute, precum i aciunile pentru a

rezolva aceste probleme. Ideea este de a cuta cazuri similare in arhiva caz cnd detecteaz o problem n reeaua. Cazuri similare returnate sunt utilizate fie ca soluie direct a problemei sau altceva ca baze care s formuleze nou caz. Cazul privind situaia final, eec sau succes, sunt stocate n arhiv. n aceast lucrare, Snort IDS [19] regulile sunt folosite ca cazuri i fiecare nod are baza de date a acestor reguli (care se pretinde a fi de mici dimensiuni). Deoarece Snort reguli trebuie exact potrivire, acest lucru este folosit n loc n cutare de similitudine n cazul Arhiva. ID-uri de funcii (monitorizare, de luare a deciziilor i aciunilor) sunt distribuite pe mai multe agenii de mobil. Unele dintre ele sunt prezentate pe toate gazdele mobil, n timp ce altele sunt distribuite doar o selecta de noduri de grup [5]. Toate nodurile au nivel de sistem i nivel de utilizator de monitorizare care utilizeaz o abordare anomalie. Cu toate acestea, nivel de pachet de monitorizare, care folose te bazate pe caz raionament abordare, i de luare a deciziilor sunt atribuite numai capete de cluster-ului. n simulare lor, este indicat ca numarul pachetelor sczut de capete de clusterul creste ca densitatea de creteri de reea. Folosind att detectare bazate pe anomalie pentru monitorizare nivel de sistem i nivel de utilizator, i de detectare a bazat pe utilizarea abuziv de nivel de pachet monitorizare crete eficiena. Este de asemenea contient de lime de band, deoarece utilizeaz ageni de mobil. Cu toate acestea, securitatea agenilor mobil trebuie nc cercetare. 17.4.1.9 O arhitectura de ID-uri cu date sigure stationare [18] A distribuit arhitectura format din ageni de ID-uri i o staionare (SSD) de date sigure este propus n [18]. Toate nodurile au ID-uri agenii responsabile de detectare locale i colaboreaz cu ali ageni n nevoie. IDuri de ageni au cinci componente: locale de auditare; baza de date locale intruziunilor (capac); modul de comunicare securizat; anomalie detectarea module (argint); i abuz de detectare module (MDMs). Pista de audit locale adun i stocheaz date locale de audit-pachetele de reea i de sistem de date de audit. CAPACUL este o baz de date pe care o pstreaz informaii pentru agenii de ID-uri, cum ar fi atacul de semnturi, modele de utilizator normal comportament, etc. Modulul de comunicaii sigure este utilizat doar de ID-uri de ageni s comunice n siguran cu ali ageni de ID-uri.Argint utiliza tehnici de anomalie pe baz de detectare pentru detectarea intruziunilor. Poate exista mai mult de un modul de ADM ntr-un agent de ID-uri, de exemplu, folosind tehnici diferite pentru diferite tipuri de date de audit. Exist, de asemenea, MDMs responsabil pentru bazate pe abuzul de detectare pentru a detecta atacurile cunoscute. Baza de date securizat staionar (SSD) pstreaz ultimele semnturi de atac i cele mai recente modele de comportamente de utilizator normal. Acesta se va desfura ntr-un mediu securizat.Mobil ageni obine cele mai recente informaii de la transferul SSDand jurnalele lor de la SSD pentru data mining. SSD are mai mult putere de stocare i calcul dect mobil noduri, astfel nct acesta este capabil de a miniere reguli mai repede dect noduri n reea i poate pstra toate nodurile busteni [18]. n plus, actualizare SSD, mai degrab dect toate nodurile n reea este uor. Pe de alt parte, o staionare de date nu este potrivit pentru toate tipurile de retele. Militare tactice medii cu centre de control sunt date ca exemple de arhitectura potrivite pentru SSD. Cu toate acestea, noduri n medii ostile nu poate ataa la SSD. nchirierea nodurile se actualiza cu ajutorul unor alte noduri (care poate consuma semnificative de lime de band) este propus ca o soluie la aceast problem. Implementare i evaluare a acestei arhitecturi sunt planificate pentru viitor. Dei se pare a fi o abordare eficace de a profita de ambele bazate pe anomalie detectarea utilizarea tehnicilor tip data mining i de detectare a bazat pe utilizarea abuziv, ea are un singur punct de eec, SSD.n plus, un nod de staionare merge mpotriva naturii MANETs. 17.4.1.10 Un ID-uri Model integrarea diferite tehnici [9] Huang i Lee propune un model de ID-uri care utilizeaz att caietul de sarcini-anomalie bazate i detectarea abordri pentru a detecta evenimente interesante [9]. Un eveniment de baz (circuit) este definit ca mai mic set de operaiile circuitului ocazional legate ca primirea\/livrarea un pachet, modificarea unui parametru

circuit. Un eveniment aberant este definit ca baz cazul n care nu respect specificaiile sistemului, precum tergerea unei intrri n tabelul de traseu, modificarea traseului mesaje, etc. [9]. O abordare bazat pe caietul de sarcini este utilizat pentru a detecta evenimente anormale care ncalc direct caietul de sarcini al AODV. Detectare bazate pe anomalie este folosit pentru a detecta evenimente care nu ncalc caietul de sarcini de protocol de distribuire direct i impun msuri statistice. n abordarea pe baza de caiet de sarcini extinse finit automate (EFSAs) sunt utilizate pentru a reprezenta caietul de sarcini al AODV. Evenimente care includ doar operaiunile de nod local sunt mapate la tranzi iile de automate. n abordarea pe baz statistic, caracteristici sunt determinate pentru a detecta evenimente anormale, care nu pot fi detectate prin abordri bazate pe caietul de sarcini, i apoi un set de reguli de detectare este generat folosind RIPPER clasificator. Abordarea este evaluat folosind MobiEmu simulator pe unele scenarii (nu inclusiv ridicat un grad de mobilitate). S-a demonstrat c unele atacuri nu sunt detectat n mod eficient aceast abordare. S-a concluzionat c aceste atacuri nu poate fi detectat la nivel local [9]. Autorii propun o taxonomie de atacuri, care descompune un atac ntr-o serie de evenimente de baz, i, de asemenea, propune un model pentru a le detecta. Ei folosesc numai locale de detectare, deoarece nod local este numai sursa de date fiabile. De aceea, ea nu poate detecta un fel de atacuri, care nu a declana evenimente anormale din cauza au nevoie de date fromanother strat, cum ar fi un atac de gaura de vierme sau au nevoie de alte noduri ca reea scanare [9]. Autorii planului s investigheze multi-strat i global de detectare. Extragerea caracteristici de detectare a atacurilor necunoscute automat este o alt problem identificat ca viitoare de cercetare. 17.4.2 De detectare de poznele noduri noduri n MANET se bazeaz pe alte noduri de a transmite lor de pachete. Cu toate acestea, aceste noduri intermediare se pot purta prin eliminarea sau modificarea aceste pachete. Mai multe tehnici propuse pentru a detecta astfel misbehaviours sunt prezentate mai jos 17.4.2.1 Circuit de supraveghere i Pathrater [15] Aceasta este lucrarea principal n detectarea obraznici limfatici Nodurile care nu efectueaz ceea ce ei sunt atribuite pentru a face- i atenuarea efectelor acestora. Deoarece reelele ad-hoc maximiza tranzitat total reea bazat pe cooperativeness de toate nodurile de rutare i expediii, incorect noduri poate fi critic pentru performana reelei dup cum se menioneaz n [15]. n aceast lucrare, cine de paz i pathrater mecanisme DSR sunt propuse pentru a mbunti tranzitat de reea n prezena incorect noduri. Noduri poate se purta, deoarece acestea pot fi suprancrcat, egoist (care doresc s salveze propriile resurse), ru intenionat sau pur i simplu de funcionare [15]. Cine de paz pe munca este de a detecta obraznici noduri de a asculta de noduri n modul de promiscuitate. Atunci cnd un nod transmite un pachet, mecanismul de cine de paz a nod care monitorizeaz nodul urmtoare pentru a confirma c, de asemenea, transmite pachete n mod corespunztor. Pastrand pachetele trimise ntr-un tampon. Cnd pachetele sunt redirecionate de fapt de doua noduri, ele sunt eliminate din buffer. Dac pachetele rmn n zona-tampon mai mare dect unele perioada de timeout, cine de paz incremente numrul de eec al nodului implicate. Atunci cnd numrul de eecul unui nod depete un prag, nodul este identificat ca un nod nu funcioneaz corect i este trimis o notificare la nodul de surs. Este declarat c cine de paz, de asemenea, poate detecta atacurile de reluare o oarecare msur. Cu toate acestea, deoarece foloseste promiscuitate de ascultare, este declarat c ar putea detecta obraznici noduri n existena unor coliziuni de ambigu, receptor coliziuni, noduri care controlul lor putere de transmisie s nele un asculttor s cread un mesaj cu adevrat a fost trimis i noduri care raport fals alte noduri ca incorect. Ea nu poate detecta atacurile de eliminarea parial i atacuri de colaborare care implic cel puin dou noduri consecutiv ru intenionat ntr-un traseu [15].

Pathrater gsete calea cea mai de ncredere prin utilizarea link-ul fiabilitatea datelor i incorect nodurile informaii de cine de paz. n DSR, pot exista mai multe trasee de la surs la destinaie, dar calea cea mai scurt este selectat. De folosind pathrater, calea cea mai fiabil este selectat n loc de calea cea mai scurt n prezena noduri nu funcioneaz corect. SRR (trimite cerere suplimentar traseu) extinderea la DSR pot fi adugate pentru a gsi noi ci atunci cnd toate cile includ incorect noduri. Pathrater d calificative pentru fiecare nod i ofer o cale metrice bazate pe evaluri de noduri pe calea. Autorii de stat c ratingurile a ganglionilor ar trebui s fie rearanjate pentru a preveni permanent excluderea temporar noduri nu funcioneaz corect de rutare i expediii. Cine de paz i Pathrater cu\/fr SRR este evaluat pe simulator NS cu patru nivele diferite de mobilitate prin utilizarea tranzitat, aeriene i fals pozitive ca msurtorile. Rezultatele arat c cine de paz i pathrater crete cantitatea total tranzitat de 17% n prezena 40% incorect noduri n mobilitate moderat cu 917% deasupra capului. Sub extrem mobilitate, acestea sporesc tranzitat 27% cu 1224% deasupra capului. Abordarea detecteaz obraznici noduri eficient utiliznd tehnici simple fr a priori ncrederea relaie informare. n plus, crete cantitatea total tranzitat reelei n existena unor noduri nu funcioneaz corect, i nu att de cu aeriene de sczut. Pe de alt parte, ea nu poate detecta atacurile de colaborare i atacuri de eliminarea parial. n plus, este aplicabil numai sursa de protocoale de rutare, deoarece cine de paz trebuie s tie unde se ntmpl pachete de nodul urmtoare. Mecanismul de cine de paz se aplic alte protocoale necesit adaptarea. DSR trebuie modificare pentru extinderea SRR pentru existen a unor noduri nu funcioneaz corect pe toate cile. n cele din urm, se rspltete i consolideaz noduri ru intenionat n comportamentul lor de lor de pachete de expediere, n timp ce ei nu transmite pentru alte noduri [4]. 17.4.2.2 Noduri poart Grudges [4] Aceasta este o abordare interesant pentru detectarea i rspunznd la incorect noduri, inspirat de conceptul de biologie de reciproce de altruism. Detecteaz obraznici noduri i rspunde de transmiterea nu lor de pachete. Scopul acestei abordari este dat ca creterea corectitudine, robusteea i cooperarea n MANETs. Fiecare nod este responsabil pentru comportamentul de vecinii si urmtoare-hamei de monitorizare i detectare noduri nu funcioneaz corect. Exist ncredere arhitectur i un FSM n fiecare nod cu patru componente principale: monitor, sistem de renume, managerul de cale i managerul de ncredere. Monitorul (cartier ceas) pstreaz o copie a recent trimis pachete. Acesta le poate compara cu pachete de nodul nexthop i poate detecta de rutare i transmiterea misbehaviours ca abateri de la comportamentul normal de ateptat. Tipurile de abaterile care poate fi detectat de acest sistem sunt declarate a fi: nici o expediere, atragerea de trafic neobinuit, ruta de salvare, lipsa de mesaje de eroare, ruta neobinuit frecvente actualizri i tcut ruta schimbare [4]. Atunci cnd este detectat un comportament nu funcioneaz corect, un sistem de reputaie este numit pentru evaluarea nodul nu funcioneaz corect. Sistemul de reputaie (nodul de rating) pstreaz o list locale de rating i\/sau lista neagr, care pot fi schimbate cu prietenii. Rating-ul unui nod poate schimba atunci cnd exist suficiente dovezi, i se bazeaz pe frecvena de apariie de abaterile [15]. n funcie de rata de asemenea, folosete greuti n funcie de surs detectarea comportamentului. Propria experien a greutatea cea mai mare, unde observaiile au relativ mai mici greuti i experienele raportate la alte noduri au greutate bazate pe un nivel de ncredere de aceste noduri. Sistemul de reputaie foloseste experienta doar negativ; cercetare schimbri pozitive i timeout nc are nevoie atenie. Un manager de traseu este numit pentru a lua msuri atunci cnd este obinut suficiente dovezi ale comportamentului. Nivel de ncredere de noduri este gestionat de ncredere Manager, care este distribuit i adaptabile. Este de asemenea responsabil pentru transmiterea alarm mesaje i filtrarea mesajelor primite de la alte noduri. ncrederea unui nod joac un rol semnificativ atunci cnd schimbul de informa ii rutare cu acel nod, folosind-o pentru rutarea sau transmiterea i acceptarea sale cereri de expediere. Manager de cale pot rspunde la o solicitare de poznele noduri ntr-o varietate de moduri, cum ar fi ignorarea cererea, nu un rspuns napoi de la nodul, rspunznd la orice cerere pentru o rut care includ obraznici

noduri prin trimiterea de alerte de la nodul de sursa, re-ranking trasee i tergerea ci inclusiv obraznici noduri [4]. Mesaje de alarm sunt o extensie a DSR i sunt folosite pentru a distribui informaii de avertizare. Un mesaj de alarm conine tipul de protocol de nclcare, numrul de apariii observate, dac mesajul a fost selforiginated de ctre expeditor, adresa a nodului de raportare, adresa nodului observate i destinaia adresa [4].Atunci cnd o alarm primit, acesta este trimis la Manager de ncredere pentru a evalua nivelul de ncredere. Evaluarea acestei abordri utilizeaz simulatorul GlomoSim pentru evaluarea i analiza performanei este n curs de desfurare. n plus, utilizarea de teoria jocului pentru evaluarea analitic este investigat. Un obiectiv de evaluare este de a gsi relaia dintre numrul de noduri din reea, numrul de noduri malitioase, care poate fi tolerat, numrul de noduri de prieten care este necesar pentru detectarea. n plus, ele sunt de planificare pentru a analiza scalabilitatea, costul \/ beneficia raportul, creterea numrul de bii pe unitate de timp transmise la destinaia corect minus orice bii pierdut sau retransmise si cheltuieli pentru realizarea de securitate (un aspect important pentru MANETs). Efectele de mobilitate pe promiscuitate de monitorizare (care poate crete collusions) ar putea fi analizate. Deoarece foloseste un mecanism de prag, util ar putea fi evaluat efectele de pragul de diferite valori pentru mobilitate diferite niveluri. 17.4.2.3 LiPaD: Uoare pachete de pictur de detectare pentru reelele Ad-Hoc Levintsa [2] i Tudor au propus o abordare practic pentru detectarea pachete cdere atacuri [2]. n aceast abordare fiecare nod conteaz pachete c primete i transmite i raporteaz periodic aceste conteaz la un nod de coordonator. Promiscuitate de monitorizare este folosit deoarece aceasta depinde de stratul de legtur .Caracteristici i link-ul strat criptare abordarea [2]. De aceea, fiecare nod este responsabil pentru monitorizarea pachete sale n LiPaD. Algoritmul executate n fiecare nod este foarte simplu, care este bun pentru noduri de resurse limitate. Pe de alt parte, a consumului de lime de band de reea poate fi foarte mare, deoarece fiecare nod trimite rapoarte de fiecare flux definite de IP surs i destinaie IP la nodul de coordonator. Ei sugereaz comprimarea i agregarea rapoartele de mai multe fluxuri n loc s trimit fiecare fluxului ntr-un pachet. Cu toate acestea, nc afecteaz trafic de reea, n special n reelele sute noduri. Va fi o sarcin grea calculul pe nodul de coordonator (care analizeaz toate nodurile rapoarte). Nodul de coordonatorul trebuie s fie un dispozitiv puternic i, de asemenea, trebuie s fie sigure, deoarece poate fi inta atacurilor pentru a dezactiva mecanismul de detectare. De exemplu, poate fi inta atacurilor DoS (de suprancrcarea cu rapoarte). Deoarece nodul de coordonator analizeaz aceluiai flux prin rapoarte de la toate nodurile n traseu, it a putea detect mincinos noduri care trec informaii eronate despre statistici de lor de pachete de la nodul de coordonator [2]. Dac toate nodurile de pe ruta de cooperare i ru intenionat, LiPaD nu poate detecta pachete cdere atacuri pe aceasta ruta. Este declarat c LiPaD detecteaz selectiv expediere atacuri. Aceasta determin o valoare prag pentru pierderi de pachete admisibil. Nodul coordonator implementeaza, de asemenea, recompense i pedepse n funcie de comportamentul nodurilor. Se presupune c mesajele de ID-uri sunt criptate i c nodurile folosesc un mecanism de livrare pentru mesaje ID-uri pentru prevenirea acestora fiind sczut. LiPaD este simulat o reea cu 30 nodurile folosind simulator OP-net. Aceasta demonstreaz c LiPaD detecteaz malware pachete-scaderea noduri chiar n prezena link-ul ruintenionat naturale-pierdere. Pe de alt parte, performana de LiPaD trebuie s fie evaluate sub mare mobilitate i frecvente linkloss. Este necesar evaluarea performanelor LiPaD n creterea reea nod de trafic i mobilitate.
Anjum

17.4.2.4 Intrusion Detection i rspuns pentru MANET [17] Parker et al. extinde snooping pe baz de metode pentru a depista abaterile peste protocoale de rutare. Un nod ascult toate nodurile n gama de transmisie, nu doar pachetele de unul de su urmtor noduri (la fel ca

gardian [15]). Pentru a detecta un nodul ru intenionat n aceast abordare, este declarat c nodul trebuie s fie n apropierea unui nod bun i de a aciona cu rea intenie. Detecteaz atacurile eliminarea i modificarea, care depesc valoarea din tabelul de prag pentru clasa de atac special. Cu toate acestea, se poate presupune un nod n micare din gama de monitorizare nod nainte de a transmite pachete s fie efectuarea de un atac de cdere. Aceast problem vor fi abordate n viitor de ctre autori. De asemenea, aceast abordare poate detecta atacuri misrouting, deoarece nu tiu hamei viitoare de un pachet care se monitorizeaz. Protocolul de detectare a intruziunilor pot da o rspunsul global sau local. ntr-un rspuns locale, nodurile nu funcioneaz corect n tabelul Bad nod sunt izolate. Acesta este subliniat faptul c este mai eficient n reele mai dense, deoarece mai multe noduri detectarea de intruziune comportamentul i de prevenire ru intenionat noduri utilizand resursele reelei. n rspunsul global, maliiozitate de nod este determinat de un vot de toate nodurile ntr-un cluster. Dac majoritatea nodurile sunt de acord c nodul este intruziv, o alert va fi difuzat. Votul este iniiat de capete de cluster-ului. Capete de grup poate fi ru, dar probabilitatea de noduri ru intenionat, fiind ales capete de grup este relativ mic. Abordarea este simulate utilizarea simulatorului de GlomoSim. Efectul de nod densitate (noduri de ru intenionat i normal) pe pozitive false este accentuat. Mecanismul de rspuns, de asemenea, afecteaz rata de fals pozitive. Se pretinde c rspunsul global reduce fals pozitive datorit izolare rapid a ganglionilor intruziv din reea. 17.5 Gnduri pentru practicieni propus IDSs pentru MANETs variaz semnificativ, ex. n tehnica lor de detectare, mecanisme de arhitectura, luarea deciziilor i rspuns. Toate sistemele au avantaje i dezavantaje. Pe de alt parte, fiecare sistem propuse trebuie considerate n propriul context. De exemplu, un sistem folosind o tehnic pe baz de abuz este, n general, nu este potrivit pentru natura de MANETs, deoarece bazele de date de atac nu poate fi actualizat cu uurin fr un punct central. Pe de alt parte, se pot potrivi o reea militare, care are o locaie central n timp de pace. Mobilitate, nod capacitile i infrastructura de retea sunt de obicei principalele caracteristici examinate pentru propuse MANET IDSs. Pentru reelele extrem de mobile, IDSs folosind tehnici de detectare a anomalie pot suferi nalt fals pozitive. n plus, o arhitectur de ID-uri, care este uor de configurat ar trebui s fie preferat pentru aceste reele, ex. id-uri de ageni care colaboreaz cu unul-hamei departe noduri. Pe lng mobilitate, nod capabiliti ar trebui, de asemenea, considerate. Tehnici de detectare a simplu poate fi mai adecvat pentru nodurile cu resurse limitate. ncercarea de a face tehnici simple pot fi o alt abordare. De exemplu, abordarea n [27] utilizeaz un set redus caracteristic fr scdere n mod semnificativ rata de detecie. Evident, infrastructura de retea joac un rol important n selectarea ID-uri. O arhitectur ierarhizat ID-uri ar trebui s fie preferat pentru o infrastructur mai multe straturi, i arhitectura distribuit i cooperare ar trebui s fie preferat pentru infrastructura plat [1]. Reele cu punctele centrale face misusebased i tehnici de detectare bazate pe anomalie mai uor de utilizat prin meninerea semntur baz de date i utilizator comportamentele i analiza ei la aceste puncte. Poate fi o oportunitate de a utiliza aceste tehnici mpreun pentru a spori eficacitatea sistemului. Cerinele de sistem ca ridicat de securitate, lime de band mic, de asemenea, trebuie s le ndeplineasc ID-urile. Pentru reele de nalt-sigur, securitate de ID-uri i ID-uri de trafic trebuie s fie considerat. De exemplu, utilizarea de ageni de telefonie mobil pot fi evitate. n plus, IDSs care sunt capabili de a detecta att cunoscute i necunoscute atacurile ar trebui s fi preferat. C cerinele de securitate ale sistemului se pot schimba n situaii diferite (ex. pace timp Rzboiul timp cerinele i de o reea militare pot diferi) ar trebui s se in seama n timp ce proiectarea un ID. Pentru reelele de lime de band mic, comunicarea ntre agenii de ID-uri ar trebui s fi minimizate. Niciunul dintre sistemele propuse sunt neaprat cea mai bun soluie, lund n considerare diferite aplicaii. Fiecare organizaie ar trebui s aleag ID-uri corespunztoare pentru reeaua sa. n plus, se poate schimba ID-

urile n funcie de cerinele i caracteristicile sale proprii. De exemplu, poate schimba arhitectura a ales IDuri sau tehnici de detectare a intruziunii diferite a pus mpreun. Prin urmare, definirea cerinelor i determinarea caracteristicilor de reea sunt foarte importante factori n determinarea solu ia cea mai adecvat de ID-uri. 17.6 Direcii pentru MANETs de cercetare viitoare sunt un nou tip de reea distribuit, ale caror proprietati sunt complexe i prost neles. Detectare a intruziunii pe aceste sisteme complexe nc este un domeniu de cercetare imature. Exist mult mai puine IDSs propuse pentru MANETs dect pentru reelele de convenionale. Cercettorii se pot concentra asupra fie introducerea unor noi IDSs s se ocupe de MANET caracteristici specifice sau se poate adapta sistemele existente. Hibrid abordri se poate dovedi, de asemenea, de folos semnificativ. Aa cum sa menionat mai devreme, ID-uri de inMANETs ridic probleme speciale. Spectacole tabelul 17.1 fiecare propunere ID-urile revizuite n acest capitol, orice contribuii roman cu indicarea notabile probleme specifice de identificare ei nu adresa. n aceste aspecte specifice, nici unul dintre sistemele sunt complete. Ei, de obicei, sublinia doar cteva probleme specifice MANET. Probleme intervalul de MANET trebuie considerate n timpul proiectrii pentru a se asigura de detectare a intruziunii mai eficient adaptate la mediul de la mn. Vom face urmtoarele observaii despre IDSs propuse: Sistemele acoper, n general, seturi limitate de atacuri. Sisteme de int, de obicei, un protocol specific. Unele propus sisteme de ID-uri nu iau n considerare mobilitate de reea. Inadecvate de confirmare este dat constrngerile legate de resurse pe care multe noduri sunt susceptibile de a fi supus i probabilitatea de nodurile cu diferite capaciti. Mai multe arhitecturi de reea propuse nu stau bine cu caracterul dinamic al MANETs. evaluare mai extinse de multe din sistemele ar prea adecvate.

Sistemele propuse s caute pentru a aborda lipsa de puncte centrale problema pe MANETs prin propunerea de arhitecturi de ID-uri distribuite i cooperare. Aceste arhitecturi ridica ntrebri despre securitate, comunicare i management aspecte. Adecvare a arhitecturii pentru mediu este un aspect important n proiectarea ID-uri. O arhitectura nu ar trebui s introduce noi puncte slabe\/cheltuieli ID-uri. De exemplu, unele arhitecturi propuse ca abordri bazate pe cluster-ului sunt costisitoare pentru a construi i menine pentru reele de nalt-mobilitate. Unele au puncte critice de eec. Greutate corespunztoare se anexeaz la mobilitate, n special pentru anomalybased IDSs. Rata fals pozitive pot fi afectate foarte mult de nivel de mobilitate. Sistemul trebuie s fie contieni de mobilitate i curent topologia de reea. Att caracteristicile avnd informaii despre mobilitate ar trebui s fie inclus n sistemul de detectare a intruziunii fiind conceput. Cum putem obine informaii despre mobilitate de reea i ce caracteristici de noduri sau reeaua sunt legate de mobilitate trebuie s fie investigate. Comunicarea ntre agenii de ID-uri ar trebui s fi minimizate datorit restricionat latime de banda de linkuri fr fir. Acesta este unul din obiectivele de abordarea descris n [24]. Alte sisteme propuse, de obicei, nu acorde atenie la aceast problem. MANET Intrusion Detection mesaj Exchange Format (MIDMEF) cu IDMEF este definit n [22]. Deoarece nodurile sunt sursele de date numai n reea, toate nodurile trebuie s contribuie la ID-uri de efectuarea localmonitoring, detectarea i furnizarea de date locale alte noduri atunci cnd este necesar. Cu toate acestea, nodurile pot avea capaciti diferite de calcul. n plus, unele dintre ele nu poate fi suficient de puternic pentru executarea algoritmi de detectarea intruziunilor complexe sau mari. Par a fi insuficiente de cercetare pe problema resurselor limitate.Cercetatorii considera dezvoltarea de algoritmi diferite pentru

diferite noduri bazat pe resursele lor i \/ sau capaciti de calcul. Pe lng aceasta, algoritmi de detectare mai intens pot fi aplicate pentru a monitoriza noduri critice ca propuse n [13]. Din cauza lipsei de o linie clar de aprare i cooperativeness caracteristici de MANETs, ID-uri de ageni poate deveni cu uurin int de atacatori. Sistemele propuse, de obicei, presupune c agenii de ID-uri i de comunicare ntre ele sunt sigure. Cercettorii ar trebui s adresa de ID-uri de securitate. Detectarea agen ilor de ID-uri de ru intenionat este un obiectiv de cercetare importante. ID-uri de testare este un domeniu de cercetare deschis pentru ambele MANETs i reelele de convenionale. Unele dintre sisteme propuse n MANETs nu au nc fost implementat. Unele dintre ele sunt testate doar pe retele foarte mici i cu cteva scenarii de atac. IDSs ar trebui s fie testate n mobilitate diferite niveluri i cu different reea topologii. Definirea criteriilor de testare pentru IDSs i pregtirea seturi de date de testare nevoie de cercetare. 17.7 Concluziile MANETs sunt o nou tehnologie ce n ce mai folosit n multe aplicaii. Aceste reele sunt mai vulnerabile la atacuri dect reele cablate. Deoarece acestea au caracteristici diferite, tehnicile de securitate convenionale nu sunt direct le sunt aplicabile. Cercettori n prezent se concentreze pe dezvoltarea nou mecanism de prevenire, detectare i rspuns pentru MANETs. n acest capitol, am dat un studiu de cercetare n ID-uri pentru MANETs. Au fost propuse multe MANET IDSs, cu tehnici de detectare a intruziunii diferite arhitecturi i mecanisme de rspuns. Am s-au concentrat pe fiecare aduce contribuia\/Noutatea i au identificat probleme specifice de MANET fiecare nu se adreseaz. Sisteme propuse, n general, subliniaz cteva aspecte de MANET. MANETs au cele mai multe dintre problemele de reele cablate i multe altele pe langa. Prin urmare, detectarea intruziunilor pentru MANETs rmne un subiect complex i provocator pentru securitate cercettori. Va recomandam zona reader pentru investigaia.