[发明专利]一种混合型自适应移动网络入侵检测系统

说明书

技术领域

 本发明涉及网络入侵检测技术，尤其是移动Ad hoc网络的入侵检测，具体地说是一种混合型自适应移动网络入侵检测系统。

 

背景技术

移动Ad Hoc网络是一种完全由移动主机构成的网络，其主要特点为：无线信道、动态拓扑、合作的路由方法、缺乏集中的监控等，这些特点使得移动Ad Hoc网络安全非常脆弱，最大的特性表现为路由协议的脆弱性和入侵行为的多样性。因此，入侵检测将成为安全方案之后的第二道防护墙。

目前，国内外针对移动Ad Hoc网络的入侵检测方案主要存在以下几种：

方案1：基于agent的分布式协作入侵检测方案。该方案较早提出的一种基于异常检测的IDS模型，它采用的是参数异常检测技术。IDS代理运行于每个节点上，执行数据收集和本地分析功能，这样可保证节点移动时，网络结构的改变不会影响到整个网络的数据收集；同时，当收到相邻节点的异常报告时，它会触发节点间的合作检测和全局响应。该方案缺点是误检率高，效率不高，运算和网络通信开销过高。

方案2：Oleg Kachirski 和Ratan Guha 提出了基于移动Agent 的入侵检测方案，他们认为基于agent的分布式协作入侵检测方案中每个节点都有Agent，过于占用网络资源，为了节省资源，只需在某些节点上驻留有监视网络的Agent，并且 Agent 的数量可按要求进行增减。但此方案还没有人通过实验证实。

方案3：由 Huang 和 Lee 在 2003 年提出，将入侵检测限定在某一些节点来降低 IDS 资源使用，从而提高IDS的有效性，它的实现证明了该方法能达到较为满意的检测率。这种结构也被应用于安全需求中等而有效性要求较高的网络环境中，同时，这种方法也很容易被扩展到多层MANET 系统中。

 

发明内容

本发明的目的是针对上述问题，提出一种混合型自适应移动网络入侵检测系统，提高入侵检测的效率和降低误检率。

本发明的技术方案是：

一种混合型自适应移动网络入侵检测系统，它包括本地检测单元和网络检测单元，所述的本地检测单元和网络检测单元分别用于检测网络数据和本地数据，本地检测单元和网络检测单元的检测信号输出端分别与安全加密模块的对应信号输入端相连，本地检测单元和网络检测单元的响应信号输出端分别输出相应的检测结果。

本发明的本地检测单元包括本地数据采集模块、本地检测模块和ARM控制模块，所述的本地数据采集模块作为本地检测单元的信号输入采集本地数据，本地数据采集模块的信号输出端与本地检测模块的信号输入端相连，本地检测模块的信号输出端与ARM控制模块的信号输入端相连，ARM控制模块与安全加密模块双相连接，安全加密模块和ARM控制模块的信号输出端分别输出相应的本地检测结果。

本发明的网络检测单元包括网络数据采集模块、网络检测模块和自适应检测模块，所述的网络数据采集模块作为网络检测单元的信号输入采集网络数据，网络数据采集模块的信号输出端与网络检测模块的信号输入端相连，网络检测模块的信号输出端与自适应检测模块的信号输入端相连，自适应检测模块与安全加密模块双相连接，安全加密模块和自适应检测模块的信号输出端分别输出相应的网络检测结果。

本发明的有益效果：

本发明在网络中每个节点运行本地检测模块以监视本地系统和应用层的活动。在本地检测单元中，本地数据收集模块采集本地原始数据并进行特征提取，然后交给本地检测模块进行入侵分析以寻找可疑的活动。如有明显异常迹象，本地响应可终止可疑进程，屏蔽用户并通过安全通道广播给相邻的网络簇首节点，相邻簇首节点收到警报后则屏蔽此节点并采取其他的响应措施；而对于迹象不明显的异常活动，报告给簇首节点，此时，如果簇首节点侦测到更明显的入侵迹象，就可以判断为入侵并采取响应措施。通过在本地检测模块中加入相关运算控制模块，根据攻击特征的相似程度对收集到的攻击事件进行有针对性的计算，以减少其发送至网络IDS和本地响应模块的冗余信息，显著减少无线节点的运算负荷与通信负荷，提高警报的准确度。