專利名稱：：一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明屬于通信安全領(lǐng)域，涉及一種在Adhoc網(wǎng)絡(luò)中對惡意節(jié)點進(jìn)行檢測的方法，尤其涉及一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測方法及系統(tǒng)。
背景技術(shù)：
：無線Adhoc網(wǎng)絡(luò)是由一組帶有無線收發(fā)裝置的移動終端組成的多跳臨時性自治系統(tǒng)，網(wǎng)絡(luò)的布設(shè)或展開無需依賴任何預(yù)設(shè)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和集中式組織管理機構(gòu)，節(jié)點開機后就可以快速、自動的組成一個獨立的網(wǎng)絡(luò)。由于每個節(jié)點的無線信號傳輸范圍有限，兩個不在彼此信號覆蓋內(nèi)的節(jié)點需要通過多個中間節(jié)點轉(zhuǎn)發(fā)報文來實現(xiàn)通信，所以Adhoc網(wǎng)絡(luò)中的每個節(jié)點既是終端又具有路由轉(zhuǎn)發(fā)功能。但是，移動Adhoc網(wǎng)絡(luò)本身的特性也使其存在著更多的安全問題，主要表現(xiàn)在以下幾方面1.網(wǎng)絡(luò)節(jié)點共享開放的無線信道。Adhoc網(wǎng)絡(luò)采用多跳的無線信道，攻擊者很容易通過無線鏈路竊聽、假冒、篡改和重放網(wǎng)絡(luò)上傳輸?shù)男畔ⅲ阪溌穼訉嵤┚芙^服務(wù)攻擊，這些攻擊難以檢測、追蹤。2.網(wǎng)絡(luò)節(jié)點缺乏物理保護(hù)及路由基礎(chǔ)設(shè)施。Adhoc網(wǎng)絡(luò)節(jié)點無法像傳統(tǒng)網(wǎng)絡(luò)中的服務(wù)器、工作站那樣受到良好的物理保護(hù)，而且所處環(huán)境更加復(fù)雜多樣，例如可能漫游到敵對環(huán)境中。因此，網(wǎng)絡(luò)節(jié)點可能面臨以下幾種安全威脅鄰近的惡意節(jié)點、自私節(jié)點和已經(jīng)變節(jié)的內(nèi)部節(jié)點都可能制造敵意的攻擊或拒絕為其他節(jié)點提供服務(wù)；太多的轉(zhuǎn)發(fā)服務(wù)會消耗掉自己的能量，從而產(chǎn)生拒絕服務(wù)攻擊；路由安全顯得特別脆弱。危及路由安全的行為主要有兩類外部惡意攻擊者攻擊者通過注入錯誤路由信息、轉(zhuǎn)發(fā)過時路由信息，人為造成網(wǎng)絡(luò)分割破壞網(wǎng)絡(luò)的連通性，或者通過產(chǎn)生大量的重發(fā)和無效的路由信息大大加重網(wǎng)絡(luò)中的通信負(fù)載；內(nèi)部不安全節(jié)點這些節(jié)點原本具有合法用戶身份，但是在被攻破后可以廣播不正確的路由信息給其他移動節(jié)點而不被發(fā)現(xiàn)和識別。3.動態(tài)的拓?fù)浜途W(wǎng)絡(luò)節(jié)點。理論上，移動Adhoc網(wǎng)絡(luò)中的節(jié)點可以任意移動，也可以隨意的加入或退出網(wǎng)絡(luò)，因此，移動Adhoc網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、范圍和成員是高度動態(tài)的，這又給Adhoc網(wǎng)絡(luò)安全帶來一系列問題(1)無法使用防火墻技術(shù)來保護(hù)網(wǎng)絡(luò)。移動Adhoc網(wǎng)絡(luò)無法設(shè)置一條明確的防護(hù)線，襲擊可能來自任何方向。因此要求每個節(jié)點都必須時刻準(zhǔn)備預(yù)防和抵抗襲擊；(2)節(jié)點間的信任關(guān)系經(jīng)常變化，因此要求Adhoc網(wǎng)絡(luò)的安全措施也應(yīng)該是動態(tài)的，傳統(tǒng)網(wǎng)絡(luò)采用的靜態(tài)配置方案已經(jīng)不再適用于Adhoc網(wǎng)絡(luò)；(3)入侵檢測困難。錯誤的路由信息可能是拓?fù)渥兓鸬囊部赡苁侨肭终咚鶠椋硗庠谝粋€大規(guī)模的移動Adhoc網(wǎng)絡(luò)中跟蹤一個特定的節(jié)點非常困難。4.有限的資源。無線帶寬有限、電池能量有限、CPU計算能力有限，使得Adhoc網(wǎng)絡(luò)無法部署復(fù)雜的安全協(xié)議和加密算法。因此在設(shè)計Adhoc網(wǎng)絡(luò)安全策略時必須考慮各種資源的占用情況，有時甚至只能提供有限的安全服務(wù)。內(nèi)部攻擊和外部攻擊是Adhoc網(wǎng)絡(luò)中的兩種攻擊模式，目前基于分布式認(rèn)證的安全方案針對的是外部攻擊中的身份偽造類攻擊，然而對于從網(wǎng)絡(luò)內(nèi)部變節(jié)節(jié)點發(fā)起拜占庭類攻擊的防御性能較弱。入侵檢測是一種抵御內(nèi)部攻擊的主動整體防御理念，彌補了傳統(tǒng)安全技術(shù)的不足。其主要是通過監(jiān)控整體網(wǎng)絡(luò)與系統(tǒng)的狀態(tài)，用戶行為以及系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權(quán)使用以及入侵者利用安全缺陷對系統(tǒng)進(jìn)行入侵的企圖，并對入侵采取相應(yīng)的措施。入侵檢測系統(tǒng)(IDS-IntrusionDetectionSystems)己有多種不同類型。根據(jù)跟蹤數(shù)據(jù)類型的不同，IDS可分為基于主機的IDS和基于網(wǎng)絡(luò)的IDS根據(jù)數(shù)據(jù)分析組件的數(shù)目和所在位置不同，IDS可分為集中式IDS和分布式IDS;根據(jù)入侵相應(yīng)方式不同，IDS可分為主動型IDS和被動型IDS。目前，基于網(wǎng)絡(luò)的分布式主動響應(yīng)IDS(NDS)是入侵檢測系統(tǒng)發(fā)展的趨勢所在。根據(jù)檢測方法的不同通常被分為異常檢測，利用預(yù)先建立好的用戶和系統(tǒng)的正常行為模式，來檢測實際發(fā)生的用戶或系統(tǒng)的行為，是否偏離正常行為模式，如偏離超過某個閾值則發(fā)生入侵；誤用檢測，利用已知的攻擊特征來匹配從實際數(shù)據(jù)流中提取出的特征，如匹配則發(fā)生入侵。異常檢測能檢測未知的攻擊，具有良好的通用性，獨立于具體的操作系統(tǒng)和應(yīng)用，但它有較高的錯誤告警率，配置和實現(xiàn)也相對困難；誤用檢測誤報率較低，但攻擊模式必須時常更新，無法檢測模式庫中未收錄的新型攻擊類型，且存在不同系統(tǒng)間攻擊模式描述的通用性問題。傳統(tǒng)的有線網(wǎng)絡(luò)入侵檢測系統(tǒng)大部分都是基于神經(jīng)網(wǎng)絡(luò)與模式匹配算法的，但是這兩種算法對節(jié)點的計算處理能力要求較高，且會大量消耗節(jié)點的能量。無線Adhoc網(wǎng)絡(luò)中節(jié)點的處理能力及能量都很有限，因此保護(hù)無線Adhoc網(wǎng)絡(luò)的入侵檢測系統(tǒng)必須是低耗且簡便易行的。在己有的Adhoc網(wǎng)絡(luò)入侵檢測系統(tǒng)中，還存在的問題是，往往只是考慮了單一的證據(jù)來證明一個節(jié)點是否屬于惡意節(jié)點，比如說節(jié)點之間的數(shù)據(jù)傳送是否成功，如果不成功則說明節(jié)點是惡意的，這樣會造成對節(jié)點的片面評價，造成虛警?？偟膩碚f，目前的入侵檢測技術(shù)還不是一項十分成熟的技術(shù)，還存在如下的問題1)誤報和漏報的矛盾；2)隱私和安全的矛盾；3)被動分析與主動發(fā)現(xiàn)的矛盾；4)海量信息與分析代價的矛盾；5)功能性和可管理性的矛盾；6)單一的產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾。
發(fā)明內(nèi)容為了解決上述現(xiàn)有技術(shù)中存在的問題，本發(fā)明提供了一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測方法，該方法可用"證據(jù)鏈"與"信任抖動"方式來實現(xiàn)。一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測方法，該方法通過"證據(jù)鏈"的方式來實現(xiàn)，包含步驟l:本地節(jié)點偵測被檢測節(jié)點的網(wǎng)絡(luò)行為，通過計算得到被檢測節(jié)點的信任值，并記錄在本地信任表中；步驟2:本地節(jié)點得到鄰居節(jié)點對被檢測節(jié)點的推薦信任值；步驟3:綜合本地計算的信任值與所有可信任的鄰居節(jié)點的推薦信任值，得到節(jié)點的最終信任值，從而確定節(jié)點是否為惡意節(jié)點。一種網(wǎng)絡(luò)入侵檢測方法，步驟1中計算節(jié)點的信任值過程，進(jìn)一步包含a、將監(jiān)測到的被檢測節(jié)點的網(wǎng)絡(luò)行為與惡意行為鏈中的項目進(jìn)行比較，得出相符合的項目數(shù)n;b、查找調(diào)整系數(shù)表得到符合項目數(shù)n所相對應(yīng)的ACO;c、將所有相符合項的WCO相加后再乘以ACO，得到節(jié)點的不信任度；d、節(jié)點不信任度的倒數(shù)即為節(jié)點的信任值。--種網(wǎng)絡(luò)入侵檢測方法，步驟2進(jìn)一步包含a、本地節(jié)點向鄰居節(jié)點發(fā)出節(jié)點信任值査詢信息；b、鄰居節(jié)點在收到查詢信息后，查找自己的信任表得到發(fā)送査詢信息的節(jié)點的信任值，判斷發(fā)送查詢信息的節(jié)點是否可信；如果此節(jié)點可信，則繼續(xù)査找本地信任表，找出被檢測節(jié)點的信任值；如果此節(jié)點不可信，則拒絕査詢請求；c、在發(fā)送查詢信息的節(jié)點可信的情況下，將被檢測節(jié)點的信任值發(fā)送給發(fā)出查詢信息的節(jié)點；d、當(dāng)發(fā)出查詢信息的節(jié)點收到此回應(yīng)信息后，査詢自己的信任表，找到返回回應(yīng)信息的鄰居節(jié)點的本地信任值，判斷此鄰居節(jié)點是否可信；如果可信，將被檢測節(jié)點的信任值與返回回應(yīng)信息的鄰居節(jié)點的本地信任值一并保存在推薦信任表中；如果不可信則放棄保存。一種網(wǎng)絡(luò)入侵檢測方法，步驟3中節(jié)點的最終信任值的計算方法為將鄰居節(jié)點返回的被檢測節(jié)點的信任值按推薦鄰居節(jié)點的本地信任值做加權(quán)和后，除以所有推薦鄰居節(jié)點的本地信任值的和。一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測方法，該方法通過"信任抖動"的方式來實現(xiàn)，包含步驟l:本地節(jié)點偵測被檢測節(jié)點的網(wǎng)絡(luò)行為，通過計算得到被檢測節(jié)點的本地信任值，并記錄在本地信任表中；步驟2:計算出一段連續(xù)時間內(nèi)的小時間段中被偵測節(jié)點信任值的方差；步驟3:如果被檢測節(jié)點的信任值的方差持續(xù)變大，則該被檢測節(jié)點為惡意節(jié)點。一種網(wǎng)絡(luò)入侵檢測方法，步驟3進(jìn)一步包含a、將固定時間段內(nèi)節(jié)點信任值的方差依次存儲在滑動窗口的格子中；b、如果在下一時間段內(nèi)，節(jié)點信任值的方差比滑動窗口的最后一個格子中所存儲的方差值要小，則將滑動窗口的所有格子中存儲的值全部清空，并將該值存儲到滑動窗口的第一格中；如果在下一時間段內(nèi)，節(jié)點信任值的方差繼續(xù)加大，則在滑動窗口中的下一格中存儲該值；C、當(dāng)滑動窗口中所存儲的格子的數(shù)目超過額定值，則判斷此節(jié)點為惡意節(jié)點。本發(fā)明還提供一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測系統(tǒng)，包含用于監(jiān)視并記錄與之通信的節(jié)點行為的行為監(jiān)視器，包括數(shù)據(jù)鏈路層行為監(jiān)視器、網(wǎng)絡(luò)層行為監(jiān)視器、傳輸層數(shù)據(jù)行為監(jiān)視器，分別用于從本地的不同數(shù)據(jù)源收集審計數(shù)據(jù)流；用于發(fā)送、接收和管理其他節(jié)點的推薦信任值信息的信任管理器；通過分析由本地行為監(jiān)視器與鄰居節(jié)點所提供的數(shù)據(jù)計算節(jié)點的最終信任值并保存到節(jié)點的本地信任表中的信任計算器；與外部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行交換的通信接口，采用通用標(biāo)準(zhǔn)定義。本發(fā)明的優(yōu)點在于模型簡單，且能夠在對系統(tǒng)性能影響不大的情況下將惡意節(jié)點及早的檢測出來，同時還考慮了周圍節(jié)點對信任值的影響，誤警率與虛警率都較低，對網(wǎng)絡(luò)的穩(wěn)定性與安全性起了一個很好的保護(hù)作用，且具有良好的可擴展性。圖1為本發(fā)明的被檢測節(jié)點的網(wǎng)絡(luò)行為與"證據(jù)鏈"的比較過程示意圖；圖2為本發(fā)明的計算被檢測節(jié)點的信任值的方法流程圖；圖3為本發(fā)明的信任值與信任等級映射關(guān)系圖；圖4為本發(fā)明的鄰居節(jié)點的推薦過程方法流程圖；圖5為本發(fā)明的信任抖動滑動窗口示意圖；圖6為本發(fā)明的入侵檢測系統(tǒng)結(jié)構(gòu)示意圖；圖7為本發(fā)明的入侵檢測系統(tǒng)在Adhoc網(wǎng)絡(luò)中的應(yīng)用示意圖。具體實施方式有關(guān)本發(fā)明的技術(shù)內(nèi)容及詳細(xì)說明，現(xiàn)配合如下本發(fā)明提供一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測方法，通過節(jié)點自身觀察和相互通告的手段來檢測幾種已知類型的攻擊行為，得出對節(jié)點的一個綜合評價一一信任值，使得網(wǎng)絡(luò)中節(jié)點在進(jìn)行路由時繞過可能的惡意節(jié)點。本發(fā)明提供了一種通過"證據(jù)鏈"的方式來檢測惡意節(jié)點的方法。當(dāng)節(jié)點信任值低于某個閾值時，其它節(jié)點會拒絕為其提供服務(wù)，從而將惡意節(jié)點排除出網(wǎng)絡(luò)。本發(fā)明將節(jié)點的行為與事先規(guī)定的一系列惡意節(jié)點的典型行為作比較來得到一個本地的對節(jié)點的評價。除此之外，為了避免節(jié)點之間的"偏見"，得到對被檢測節(jié)點的一個更加客觀的評價，在考察一個節(jié)點的性質(zhì)的時候，將鄰居節(jié)點對被檢測節(jié)點的評價也考慮在內(nèi)。該方法，包含步驟l:本地節(jié)點通過計算得到被檢測節(jié)點的信任值，并記錄在本地信任表中。圖1為本發(fā)明的被檢測節(jié)點的網(wǎng)絡(luò)行為與"證據(jù)鏈"的比較過程示意圖。本地節(jié)點利用節(jié)點偵測到鄰居節(jié)點的各種通信行為及網(wǎng)絡(luò)中其它節(jié)點的廣播信息為本地節(jié)點評價的基礎(chǔ)數(shù)據(jù)，通過比對"證據(jù)鏈"中的各項攻擊行為，得到對被檢測節(jié)點的一個本地評價。所謂"證據(jù)鏈"，即是指任何證據(jù)在證據(jù)環(huán)未產(chǎn)生之前，都是孤立存在，不具法律效果的，證據(jù)環(huán)是指證據(jù)能夠互相印證。證據(jù)鏈?zhǔn)怯勺C據(jù)環(huán)構(gòu)成的，表現(xiàn)了證據(jù)與待證事實之間的關(guān)聯(lián)性，即這些證據(jù)環(huán)，足以證明案件全部事實。單獨的一個惡意行為并不能說明這個節(jié)點就是惡意節(jié)點，它的產(chǎn)生可能還有很多種其它的原因，比如說某個節(jié)點的加入與退出，節(jié)電的能量不足^，。根據(jù)對網(wǎng)絡(luò)中存在的各種攻擊手段，如泛洪、DoS、黑洞以及灰洞攻擊等等，本發(fā)明總結(jié)出了惡意節(jié)點的一些典型不良行為，按其對信任值的影響程度的大小不同串成一個鏈條，形成一條"證據(jù)鏈"，通過將被檢測節(jié)點的行為與"證據(jù)鏈"中的項進(jìn)行比對，得到符合的項目數(shù)n，如果n的值越大，就說明這個節(jié)點和惡意節(jié)點的特征越匹配，也就有更多的證據(jù)來指證這個節(jié)點屬于惡意節(jié)點。惡意節(jié)點的惡意行為，主要可以歸納為以下幾種1、數(shù)據(jù)包的不正常轉(zhuǎn)發(fā)(NF-NoForwarding):這類攻擊的特征為不轉(zhuǎn)發(fā)路由、數(shù)據(jù)報文或不按路由要求胡亂轉(zhuǎn)發(fā)報文，此類攻擊可能屬于黑洞或灰洞；2、偽造虛假路由(FRI-FalseRoutingInformation):指節(jié)點向網(wǎng)絡(luò)中不停的發(fā)RREP，偽造虛假路由，宣稱自己和某個目的節(jié)點之間存在最短路徑，這樣，希望與目的節(jié)點建立通信的節(jié)點都會將數(shù)據(jù)分組發(fā)送給此惡意節(jié)點，惡意節(jié)點丟棄或部分丟棄這些數(shù)據(jù)分組，從而形成一個吸收數(shù)據(jù)的"黑洞"，造成網(wǎng)絡(luò)擁塞，浪費網(wǎng)絡(luò)中的資源，如CPU處理時間、節(jié)點能量等；3、惡意欺騙(MC-MaliciousCheating):謊報工作正常的路由出現(xiàn)路由錯誤，使得數(shù)據(jù)包無法正常的被傳送到目的節(jié)點；4、缺少錯誤信息(LEM-LackofErrorMessage):當(dāng)路由出現(xiàn)問題時，惡意節(jié)點不將錯誤信息發(fā)送給路由中的其他節(jié)點；5、頻繁路由更新(FRU-Fr叫uentRoutingUpdates):攻擊者通過頻繁的發(fā)送路由更新請求，使整個網(wǎng)絡(luò)充斥著路由請求信息，從而耗費掉寶貴的通信資源；6、私自修改路由信息(SRC-silentroutechange):私自修改路由表的部分表項，比如序列號，跳數(shù)等等，易造成網(wǎng)絡(luò)流量的重定向；"證據(jù)鏈"中證據(jù)的累加和節(jié)點信任值的下降不是線性關(guān)系，期間存在一個可變的調(diào)整系數(shù)(ACO-AdjustingCoefficient)。ACO是用來調(diào)整被檢測節(jié)點的信任值的變化趨勢的，當(dāng)指證節(jié)點是惡意節(jié)點的證據(jù)越多，即證據(jù)項目數(shù)n值越大，調(diào)整系數(shù)ACO也就相應(yīng)地越大，使得給予節(jié)點的信任值也下降得更快，故調(diào)整系數(shù)可以被看作成是一種"獎懲措施"。調(diào)整系數(shù)表由用戶創(chuàng)建，但是必須符合系數(shù)大于l，且當(dāng)證據(jù)項目數(shù)n值越大，調(diào)整系數(shù)越大，上升的幅度也應(yīng)該逐次增加的原則。不同的惡意行為對應(yīng)著不同的危害程度，所以針對不同的惡意行為，我們給予不同的加權(quán)值(WCO-WeightingCoefficient)來表明它們對于節(jié)點信任值的影響程度不同。這些加權(quán)值的選取也必須滿足某些條件，比如說加權(quán)值必須大于1，但也不能夠過大，否則當(dāng)節(jié)點誤做出某項惡意行為以后，它的信任值就馬上降到惡意節(jié)點的信任值范圍內(nèi)。在本發(fā)明中，節(jié)點信任值的取值范圍在0與1之間。如果被檢測節(jié)點的行為沒有一項與"證據(jù)鏈"中的項目相符，既證據(jù)項目數(shù)『0，則節(jié)點的信任值為1;否則節(jié)點的信任值將會反映出其是否符合惡意節(jié)點的范疇。當(dāng)節(jié)點的信任值低于某個閾值的時候，我們就將其劃入惡意節(jié)點中，并采取相應(yīng)的措施將其隔離以避免產(chǎn)生更大的危害。如圖2所示，計算被檢測節(jié)點的信任值的步驟，包含監(jiān)測被檢測節(jié)點的網(wǎng)絡(luò)行為(步驟S101)，將這些行為與"證據(jù)鏈"中的項目進(jìn)行比較，得出相符合的項目數(shù)n(步驟S102);査找調(diào)整系數(shù)表得到符合項目數(shù)n所相對應(yīng)的ACO(步驟S103);將所有相符合項的WCO相加后再乘以ACO，得到節(jié)點的不信任度(步驟S104)，節(jié)點的不信任度越高，就說明這個節(jié)點越不值得被信任；不信任度的倒數(shù)即為節(jié)點的信任值(步驟S105)。步驟2:本地節(jié)點得到鄰居節(jié)點對被檢測節(jié)點的推薦信任值。在本發(fā)明中，不僅考慮了本地節(jié)點對被檢測節(jié)點的評價，同時還考慮到了鄰居節(jié)點對被檢測節(jié)點的看法，這樣就可以避免節(jié)點信任評價的主觀性，能夠更加客觀的得到對被檢測節(jié)點的綜合評價。當(dāng)一個節(jié)點需要考察某個節(jié)點的信任值的時候，它首先根據(jù)本地記錄下來的被檢測節(jié)點的行為做一個本地評價，同時向其鄰居節(jié)點發(fā)出"節(jié)點信任值査詢"信息。當(dāng)接收到鄰居節(jié)點返回的所有信息后，本地節(jié)點再根據(jù)公式計算出目標(biāo)節(jié)點的綜合信任值。當(dāng)惡意節(jié)點在被問到其它節(jié)點的信任值的時候，它可能會將可信節(jié)點的信任描述得很差或者給其它惡意節(jié)點一個很高的信任值，這樣就達(dá)到了對網(wǎng)絡(luò)的穩(wěn)定性或性能造成破壞的作用。所以在返回的回應(yīng)信息中，我們也可以進(jìn)行篩選，只選擇節(jié)點信任值高于設(shè)定級別的節(jié)點。采用這種方案的目的是減少無用的數(shù)據(jù)，大大降低信任值計算的復(fù)雜度，同時也防止了惡意節(jié)點的惡意誣告。為了對節(jié)點的信任值有一個更加形象的認(rèn)識，本發(fā)明將節(jié)點的信任值對應(yīng)到不同的信任等級上，不同的信任等級代表了節(jié)點不同的可信度，信任等級高說明節(jié)點的行為規(guī)范，可以被信任。這樣在進(jìn)行路由選擇的時候，只考慮信任等級在可接受范圍內(nèi)的節(jié)點作為路由的中間結(jié)點。圖3為本發(fā)明的信任值與信任等級映射關(guān)系圖。如果在進(jìn)行信任等級劃分的時候采用線性劃分的方法，那么兩個等級之間的信任值間隔相同，但是在實際情況下，當(dāng)節(jié)點的惡意行為越來越多的時候，它的信任值會越來越小，但是信任值的變化不是線性遞減的。當(dāng)節(jié)點的惡意行為越來越多的時候，它的信任值會聚集在0的周圍，所以在本發(fā)明中采用非線性的方法來劃分信任等級。在靠近o的地方，兩個等級之間的距離逐漸減小，這樣就能夠更加真實地反映出惡意行為的增多對節(jié)點信任等級的影響情況。如圖4所示，鄰居節(jié)點的推薦過程有如下幾個步驟向鄰居節(jié)點發(fā)出"節(jié)點信任值查詢"信息(步驟S201);當(dāng)它的鄰居節(jié)點收到此查詢信息后，首先會査找自己的信任表得到發(fā)送查詢信息的節(jié)點的信任值(步驟S202);判斷發(fā)送查詢信息的節(jié)點是否可以被信任(步驟S203)，如果此節(jié)點可以被信任，則繼續(xù)查找信任表，找出被檢測節(jié)點的信任值，然后將這個值封裝在査詢信息的回應(yīng)信息中，并發(fā)送給査詢節(jié)點(步驟S204);當(dāng)查詢節(jié)點收到此回應(yīng)信息后，查詢自己的信任表，找到返回回應(yīng)信息的鄰居節(jié)點的本地信任值(步驟S205)，判斷此鄰居節(jié)點是否可信(步驟S206)，如果可信，取出信息中攜帶的推薦信任值與返回回應(yīng)信息的節(jié)點的本地信任值一起保存在推薦信任表中(步驟S207);再判斷是否接受到所有鄰居節(jié)點的回應(yīng)信息(步驟S208)，直到接收到所有鄰居節(jié)點的回應(yīng)信息，計算被檢測節(jié)點的最終信任值(步驟S209)。步驟3:綜合本地計算的信任值與推薦信任值，得到節(jié)點的最終信任值，從而確定節(jié)點是否為惡意節(jié)點。當(dāng)收到所有鄰居節(jié)點的回應(yīng)信息后，査詢節(jié)點將鄰居節(jié)點返回的被檢測節(jié)點的信任值與本地計算的信任值綜合，得到被檢測節(jié)點的最終信任值。最終信任值的計算是將推薦信任值按推薦節(jié)點的本地信任值做加權(quán)和后，除以所有推薦節(jié)點的本地信任值的和，除法是為了歸一化信任值而做的。舉例說明，假設(shè)用戶規(guī)定的惡意行為加權(quán)系數(shù)如表1所示，調(diào)整系數(shù)表如表2所示表1.惡意行為加權(quán)系數(shù)表<table>tableseeoriginaldocumentpage15</column></row><table>表2.調(diào)整系數(shù)表<table>tableseeoriginaldocumentpage15</column></row><table>被檢測節(jié)點的行為中包括了數(shù)據(jù)包的不正常轉(zhuǎn)發(fā)、惡意欺騙和缺少錯誤信息這三項。將節(jié)點的行為與"證據(jù)鏈"相比較后，得到有三項與鏈中的行為相符，標(biāo)記下這三項行為，并且得到11=3;再査找調(diào)整系數(shù)表，當(dāng)11=3時，得到調(diào)整系數(shù)ACO=2.0;最后，將所有惡意行為的加權(quán)系數(shù)相加后與調(diào)整系數(shù)相乘，然后取倒數(shù)得到被檢測節(jié)點的本地信任值，其計算公式如下節(jié)點本地信任值=<formula>formulaseeoriginaldocumentpage15</formula>在對一個節(jié)點的信任度進(jìn)行評定的時候，本發(fā)明不僅僅只考慮了由本地存儲的網(wǎng)絡(luò)監(jiān)控信息所得到的目標(biāo)節(jié)點本地信任評價，而且還參考了其周圍節(jié)點對目標(biāo)節(jié)點的信任值意見，并將其推薦的目標(biāo)節(jié)點信任值根據(jù)推薦節(jié)點在本地所存儲的信任值作了一個加權(quán)平均。在返回的推薦信任值信息中，我們也可以進(jìn)行篩選，只選擇節(jié)點信任值高于設(shè)定級別的節(jié)點，在本實例中，將此門限選取為信任等級2。在本實例中由本地存儲的節(jié)點網(wǎng)絡(luò)行為所得到目標(biāo)節(jié)點信任值為0.20。假設(shè)有IO個鄰居節(jié)點返回信任值推薦信息，其本地信任值，信任等級與目標(biāo)節(jié)點的推薦信任值分別如下表所示表3.推薦綜合信息表<table>tableseeoriginaldocumentpage16</column></row><table>由表3可見，由于設(shè)置的門限為信任等級2，則推薦節(jié)點5、8、9的節(jié)點本地信任等級沒有達(dá)到要求，所以它們所提供的推薦信息將不予采納，只剩下其余的7個節(jié)點及本地計算的信任值可供參考。根據(jù)最終節(jié)點信任值的計算公式可以計算得到Tr>1,0.55*0.21+0.24*0.23+0.18*0.20+0.11*0.21+0.22*0.20+0.15*0.22+0.27*0.22+0.20"77F:--^---—-■0.55+0.24+0.18+0.1+0.22+0.15+0.27+12.72由此我們可以得到目標(biāo)節(jié)點的最終信任值為0.208。本發(fā)明還提供了一種通過"信任抖動"的方式來檢測惡意節(jié)點的方法。節(jié)點處于網(wǎng)絡(luò)中，其行為是不斷地在變化的，在其它惡意節(jié)點的不斷攻擊下，它也有可能"變節(jié)"為惡意節(jié)點，所以必須時刻對其行為進(jìn)行監(jiān)控，修改其信任值，盡可能早的發(fā)現(xiàn)其有變壞的趨勢。在相關(guān)參考文獻(xiàn)中，很少有人提到對節(jié)點信任值的變化情況進(jìn)行分析考慮的，但是信任值的變化情況對于分析節(jié)點是否被惡意節(jié)點所攻擊，以及它是否會變?yōu)閻阂夤?jié)點有很重要的意義。本發(fā)明考察節(jié)點信任值的抖動情況，即其信任值的變化情況。信任均值是將以往的可信節(jié)點接入網(wǎng)絡(luò)以后所有的信任值做統(tǒng)計平均而得到的。如果在一段時間內(nèi)，節(jié)點的信任值距離信任均值越來越遠(yuǎn)，則說明節(jié)點的行為己經(jīng)在向惡意節(jié)點靠攏，可能正在被惡意節(jié)點所攻擊，且有變壞的可能。如果超過某個設(shè)定的極限后，就有理由懷疑這個節(jié)點已經(jīng)"變節(jié)"為惡意節(jié)點。如此，可以提前發(fā)現(xiàn)惡意節(jié)點，并且在其做出更大危害前采取合適的措施，避免其對網(wǎng)絡(luò)性能的影響。在概率論中方差是用來刻畫隨機變量的集中程度或分散程度的，故在本發(fā)明中，為了對節(jié)點的信任值變化趨勢有一個定量的分析，將一段時間劃分為很多個小時段，并計算出這些時段內(nèi)節(jié)點信任值的方差。如果一個節(jié)點的信任值在一段時間內(nèi)時好時壞，即信任值的方差達(dá)到一定的閾值，并且有越來越大的趨勢的時候，這個節(jié)點就有可能是受到持續(xù)的攻擊變?yōu)閻阂夤?jié)點。為了更好的利用這個概念，本發(fā)明中采用了滑動窗口來解釋此模型。在這個滑動窗口中，每一格存儲固定的一段時間內(nèi)節(jié)點信任值的方差，大致可以分為兩種情況1、如果在下一個時間段內(nèi)，節(jié)點信任值的方差比當(dāng)前的時間區(qū)域內(nèi)的要小一些，那么將滑動窗口中所存儲的值全部清空并且將這個值存儲到滑動窗口第一格中；2、如果在下一個時間段內(nèi)，節(jié)點信任值的方差繼續(xù)加大，則在滑動窗口中的下一格中存儲此值；這樣，當(dāng)滑動窗口中所存儲的值的數(shù)目超過一定的范圍后，就可以說明此節(jié)點有向惡意節(jié)點發(fā)展的趨勢，我們可以采取及時的措施，避免繼續(xù)遭受此節(jié)點的攻擊。圖5為本發(fā)明的信任抖動滑動窗口示意圖。假設(shè)將一段時間劃分為10個小時間段，并且規(guī)定當(dāng)方差滑動窗口保存的方差數(shù)大于等于5的時候即判斷此節(jié)點為惡意節(jié)點。在前四個小時間段內(nèi)節(jié)點信任值的方差分別為O.l，0.2，0.3，0.4，由于節(jié)點信任值的方差是逐漸增加的，所以這些信任值的方差都被存儲在方差滑動窗口中，并且滑動窗口的窗口數(shù)為4。如果下一時段的信任值方差為0.5，則繼續(xù)將此值壓入滑動窗口中，這個時候我們發(fā)現(xiàn)窗口數(shù)變?yōu)?，達(dá)到規(guī)定的閾值，說明此節(jié)點及有可能正在被惡意節(jié)點持續(xù)攻擊，并且有變?yōu)閻阂夤?jié)點的趨勢。故將這個節(jié)點納入"節(jié)點黑名單"，并對它的行為作出相應(yīng)的限制，以避免它繼續(xù)做出更大的危害。如果下一時段的信任值方差為0.3，則將滑動窗口中的前幾項清空，并將0.3填入滑動窗口的第一項中，這時鏈條的長度變?yōu)閘，入侵檢測系統(tǒng)繼續(xù)對節(jié)點的行為進(jìn)行監(jiān)控。如圖6所示，本發(fā)明還提供了一種基于信任模型的Adhoc網(wǎng)絡(luò)的入侵檢測系統(tǒng)(IDMTM-IntrusionDetectionMechanismbasedonTrustModel)，包含行為監(jiān)視器(AMD-ActionMonitorDevice)、信任管理器(TMD國TrustManageDevice)、信任計算器(TED-TrustEvaluateDevice)以及通信接口模塊(CIM-CommunicationInterface)。行為監(jiān)視器用于監(jiān)視并記錄與之通信的節(jié)點的行為，包括數(shù)據(jù)鏈路層行為監(jiān)視器、網(wǎng)絡(luò)層行為監(jiān)視器、傳輸層數(shù)據(jù)行為監(jiān)視器，分別負(fù)責(zé)從本地的不同數(shù)據(jù)源收集審計數(shù)據(jù)流，并將這些作為評價一個節(jié)點的重要證據(jù)。信任管理器用于發(fā)送、接收、管理其他節(jié)點的信任值推薦信息。信任計算器通過分析由本地行為監(jiān)視器與鄰居節(jié)點所提供的數(shù)據(jù)，來計算、標(biāo)記與管理其他節(jié)點的信任值，并將計算出來的結(jié)果保存到本地信任表中。通信接口是IDMTM與外部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行交換的通信通道，采用通用標(biāo)準(zhǔn)定義，以便兼容其它的標(biāo)準(zhǔn)定義入侵檢測系統(tǒng)，提供了協(xié)同工作的基礎(chǔ)。圖7為本發(fā)明的入侵檢測系統(tǒng)在Adhoc網(wǎng)絡(luò)中的應(yīng)用示意圖。每個節(jié)點監(jiān)視與其通信的節(jié)點的行為，通過通信接口將網(wǎng)絡(luò)數(shù)據(jù)傳送到行為監(jiān)視器上，由行為監(jiān)視器將所有可疑的行為記錄下來，以供信任計算器對節(jié)點做出評價。同時由信任管理器接收鄰居節(jié)點所發(fā)送過來的節(jié)點信任值推薦信息，同樣交由信任計算器進(jìn)行處理。信任計算器綜合考慮本地節(jié)點的信任評價以及鄰居節(jié)點返回的推薦信息，根據(jù)相應(yīng)計算公式計算出目標(biāo)節(jié)點的最終信任值，并劃分其信任等級。在節(jié)點尋找路由的過程中，當(dāng)有其它節(jié)點返回路由信息時，本地節(jié)點通過査找本地信任表得到返回路由信息的節(jié)點的信任值，如果信任值在可以相信范圍之內(nèi)，則建立路由；否則，返回的路由信息將不予采納，即惡意節(jié)點被其它節(jié)點所孤立，它所提供的信息都不被信任。這樣就可以有效地將惡意節(jié)點隔離開，從而實現(xiàn)對網(wǎng)絡(luò)安全的保護(hù)。上述僅為本發(fā)明的較佳實施例而已，并非用來限定本發(fā)明實施范圍。即凡依照本發(fā)明申請專利范圍所做的均等變化與修飾，皆為本發(fā)明專利范圍所涵蓋。權(quán)利要求1、一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測方法，其特征在于，包含步驟1本地節(jié)點偵測被檢測節(jié)點的網(wǎng)絡(luò)行為，通過計算得到被檢測節(jié)點的信任值，并記錄在本地信任表中；步驟2本地節(jié)點得到鄰居節(jié)點對被檢測節(jié)點的推薦信任值；步驟3綜合本地計算的信任值與所有可信任的鄰居節(jié)點的推薦信任值，得到節(jié)點的最終信任值，從而確定節(jié)點是否為惡意節(jié)點。2、根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)入侵檢測方法，其特征在于，步驟1中計算節(jié)點的信任值過程，進(jìn)一步包含a、將監(jiān)測到的被檢測節(jié)點的網(wǎng)絡(luò)行為與惡意行為鏈中的項目進(jìn)行比較，得出相符合的項目數(shù)n;b、查找調(diào)整系數(shù)表得到符合項目數(shù)n所相對應(yīng)的ACO;c、將所有相符合項的WCO相加后再乘以ACO，得到節(jié)點的不信任度；d、節(jié)點不信任度的倒數(shù)即為節(jié)點的信任值。3、根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)入侵檢測方法，其特征在于，步驟2進(jìn)一步包含a、本地節(jié)點向鄰居節(jié)點發(fā)出節(jié)點信任值查詢信息；b、鄰居節(jié)點在收到査詢信息后，查找自己的信任表得到發(fā)送查詢信息的節(jié)點的信任值，判斷發(fā)送査詢信息的節(jié)點是否可信，如果此節(jié)點可信，則繼續(xù)査找信任表，找出被檢測節(jié)點的信任值；如果此節(jié)點不可信，則拒絕査詢請求；c、在發(fā)送查詢信息的節(jié)點可信的情況下，將被查詢節(jié)點的信任值發(fā)送給發(fā)出查詢信息的節(jié)點；d、當(dāng)發(fā)出查詢信息的節(jié)點收到鄰居節(jié)點的回應(yīng)信息后，查詢自己的信任表，找到返回回應(yīng)信息的鄰居節(jié)點的本地信任值，判斷此鄰居節(jié)點是否可信；如果可信，將被檢測節(jié)點的推薦信任值與返回回應(yīng)信息的鄰居節(jié)點的本地信任值一并保存在推薦信任表中；如果不可信則放棄保存。4、根據(jù)權(quán)利要求l所述的一種網(wǎng)絡(luò)入侵檢測方法，其特征在于，步驟3中節(jié)點的最終信任值的計算方法為將鄰居節(jié)點返回的被檢測節(jié)點的信任值按推薦鄰居節(jié)點的本地信任值做加權(quán)和后，除以所有推薦鄰居節(jié)點的本地信任值的和。5、一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測方法，其特征在于，包含步驟h本地節(jié)點偵測被檢測節(jié)點的網(wǎng)絡(luò)行為，通過計算得到被檢測節(jié)點的信任值，并記錄在本地信任表中；步驟2:計算出連續(xù)時間段內(nèi)的小時間段中被偵測節(jié)點信任值的方差；步驟3:如果被檢測節(jié)點的信任值的方差持續(xù)變大，則該被檢測節(jié)點極有可能正在受到惡意節(jié)點的攻擊并且即將轉(zhuǎn)變?yōu)閻阂夤?jié)點。6、根據(jù)權(quán)利要求5所述的一種網(wǎng)絡(luò)入侵檢測方法，其特征在于，步驟3進(jìn)一步包含a、將固定時間段內(nèi)節(jié)點信任值的方差依次存儲在滑動窗口的格子中；b、如果在下一時間段內(nèi)，節(jié)點信任值的方差比滑動窗口的最后一個格子中所存儲的方差值要小，則將滑動窗口的所有格子中存儲的值全部清空，并將該值存儲到滑動窗口的第一格中；如果在下一時間段內(nèi)，節(jié)點信任值的方差繼續(xù)加大，則在滑動窗口中的下一格中存儲該值；c、當(dāng)滑動窗口中所存儲的格子的數(shù)目超過額定值，則判斷此節(jié)點為惡意節(jié)點。7、一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測系統(tǒng)，其特征在于，包用于監(jiān)視并記錄與之通信的節(jié)點行為的行為監(jiān)視器，包括數(shù)據(jù)鏈路層行為監(jiān)視器、網(wǎng)絡(luò)層行為監(jiān)視器、傳輸層數(shù)據(jù)行為監(jiān)視器，分別用于從本地的不同數(shù)據(jù)源收集審計數(shù)據(jù)流；用于發(fā)送、接收和管理其他節(jié)點的推薦信任值信息的信任管理器；通過分析由本地行為監(jiān)視器與鄰居節(jié)點所提供的數(shù)據(jù)計算節(jié)點的最終信任值并保存到節(jié)點的本地信任表中的信任計算器；與外部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行交換的通信接口，采用通用標(biāo)準(zhǔn)定義。全文摘要本發(fā)明提供一種基于信任模型的Adhoc網(wǎng)絡(luò)入侵檢測方法，包含步驟1本地節(jié)點偵測被檢測節(jié)點的網(wǎng)絡(luò)行為，通過與典型惡意行為進(jìn)行比對后計算得到被檢測節(jié)點的信任值，并記錄在本地信任表中；步驟2本地節(jié)點得到鄰居節(jié)點對被檢測節(jié)點的推薦信任值；步驟3綜合本地計算的信任值與所有可信的鄰居節(jié)點所返回的推薦信任值，得到節(jié)點的最終信任值，通過查詢可信節(jié)點的信任值范圍來判定節(jié)點是否為惡意節(jié)點。本發(fā)明的優(yōu)點在于，模型簡單，能夠在對系統(tǒng)性能影響不大的情況下將惡意節(jié)點及早的檢測出來，同時還考慮了周圍節(jié)點對最終節(jié)點信任值的影響，誤警率與虛警率都較低，對網(wǎng)絡(luò)的穩(wěn)定性與安全性起了一個很好的保護(hù)作用，且具有良好的可擴展性。文檔編號H04L12/24GK101217396SQ200710169100公開日2008年7月9日申請日期2007年12月29日優(yōu)先權(quán)日2007年12月29日發(fā)明者來涂,非王,王芙蓉,婧趙,辰黃,黃本雄申請人:華中科技大學(xué)