朱彦——基于移动agent的AdHoc网络主动入侵响应要点详解.pptVIP

Ad Hoc网络防范入侵的手段 入侵阻止 密钥的设置与认证 路由安全方案 入侵检测 基于主机 基于网络 基于特征 基于异常 容忍入侵 入侵响应 入侵响应 类别 报警响应（多数） 手工响应（时间） 主动响应 响应方式 基于主机 记录安全事件、限制用户权限、暂停用户进程、封锁用户账号、建立备份系统等。 基于网络 记录安全事件、隔离入侵者、追踪入侵、断开危险连接、反击攻击者IP等。 响应范围 本地响应 协同响应 基于协议增强技术 主要思想 对相关网络协议进行了修改或增加了一些协议，使得网络中的路由器、防火墙等能够支持对入侵者的跟踪与响应。 相关研究 D. Schnackenberg等人提出的一种协同入侵跟踪与响应架构（CITRA） 该架构将入侵检测、防火墙和路由器组成一个整体来追踪入侵源并在入侵者附近阻止入侵行为。其具备的功能为跨越网络边界追踪入侵者、阻止入侵者继续危害网络、报告入侵行为、协调入侵响应。 Dan Sterne对上述架构和协议进行了实验，结果显示其对分布式 DOS 攻击有着良好的防御效果。 基于主动网络技术 主要思想 利用主动网络的功能，实现对入侵者的查找，并在入侵者附近实现封堵。 相关研究 X.Wang 提出一种利用水印技术追踪入侵行为，并将入侵者进行孤立的算法。该算法利用主动网络技术，报文通过路由器时留下一些痕迹－水印，当发现攻击行为时，可以通过激活这些水印，达到实时跟踪入侵者并在当地予以阻断。 上述各种主动响应算法只适用于有线固定网络的入侵检测与主动响应，对于移动 Ad Hoc网络，由于其动态拓扑、无线信道的特点，使得上述方案无法适用。 移动agent技术 主要思想 在对外部环境的相互作用基础上，通过对环境状态的认识以及和其他 agent 的协作，自主地推进问题的解决。 移动agent特点 自主性 agent 拥有内部自治机制和问题解决机制，能够控制自己的行为和内部状态。无需外界的指令即可根据自己的知识和收集到的信息进行判断和行为。 协作性 agent 之间相互通信合作，共同完成某项任务。 反应性 agent 能够根据网络环境的变化做出适当的调整，具有自适应能力。 移动性 agent 能够自主地通过网络从一台主机移动到另一台主机。 入侵响应系统模型 移动 agent具有的特点适用于在移动 Ad Hoc 网络中执行入侵响应任务，我们用它来实现我们的入侵响应系统。 主动入侵响应机制 移动防火墙 在固定网络中，防火墙是安装于整个网络的入口处，负责过滤不安全的报文，以保护内部主机免受外部的攻击。 移动 Ad Hoc 网络由于节点可随意移动，没有明确的网络边界，所以无法使用防火墙。另外，移动节点可能被截获而成为攻击者，导致攻击从内部产生，防火墙是无法对内部攻击的。 因此，我们设计了移动防火墙来阻击内部入侵者。 移动 Ad Hoc网络中的节点都是移动的，入侵者也可以随意移动。 因此，防火墙必须是可以移动的，而且以入侵者的移动为导向，随时将其包围在防火墙之内。 为进一步论述如何实现防火墙的移动，下面举一个例子说明。 阻击 agent 的移动方式 当决策 agent 发现入侵者时， 产生阻击 agent 将入侵者包围并隔离。 但决策 agent并不一定就在入侵者周围，可能会有一段距离，此时如果决策 agent 产生大量阻击agent 同时向入侵者方向移动，会过多占用信道，导致网络拥塞。 开花弹方式 当决策 agent 发现入侵者时，也只产生一个阻击 agent，向入侵者移动，到达入侵者周围的节点时，这个阻击 agent复制许多阻击 agent，散开在入侵者周围，形成移动防火墙将入侵者包围并隔离。 本地修复 入侵者节点在没有被发现之前，在网络中参与路径转发，会成为多个路径的中间节点，当其识别并隔离之后，通过入侵者的路径就要被中断。为了减少路径损失，提出本地修复的策略。即当入侵者被隔离后，被中断路径的上游节点，发起一个路由查询，寻找一条绕过入侵者的路径，如果能够找到这样一条路径，将这条路径替换已经中断的路径，就等于将这条路径修复正常了。如果不能发现绕过入侵者的路径，就只能向源节点发送一条路径中断的消息。由源节点进行路由查询了。