سیستم های IDS برای شبکه های MANET بخوبی بررسی شده اند و در اینجا به اختصار توضیحاتی برای کمک به کسانی که می خواهند درک بهتری از این مقوله داشته باشند ارائه می دهیم. پس از هر بررسی، درمورد کاربردپذیری هریک از IDS های ارائه شده برای شبکه های WSN بحث می کنیم.
III. IDSS PROPOSED FOR MANETS AND THEIR
APPLICABILITY TO WSNS
The IDSs for MANETs are very well investigated and here
a summary of the literature is provided, in order to help the
reader with a better understanding of the current state of the
art. Following each review, we will discuss about each of the
proposed IDSs on their applicability to WSNs.
آ. سیستم های IDS مشارکتی و توزیع شده مبتنی بر عامل (نماینده)
اولین مقاله در خصوص MANETها توسط لی و ژانگ [33] نوشته شد. آنها سیستم IDS مشارکتی و توزیع شده ی مبتنی بر عامل (نماینده) را ارائه کردند که با شرایط عملیاتی شبکه ی بی سیم موقت سازگار است.
همانطور که در مرجع [14] ذکر شده، عامل IDS موجود در مرجع [33] از شش بخش تشکیل شده که در شکل 3 نشان داده شده است: بخش جمع آوری اطلاعات محلی مسئول جمع آوری داده های ممیزی در زمان واقعی و در محدوده ی گیرنده ی رادیویی آن است (فعالیت های کاربر، فعالیت های فراخوانی سیستم، فعالیت های ارتباطی و غیره). این داده های ممیزی در زمان واقعی، برای شناسایی هر نوع ناهنجاری با موتور تشخیص محلی تجزیه و تحلیل می شوند. در صورت شناسایی هر نوع ناهنجاری، این بخش با توجه به نوع حمله به یکی از بخش های واکنش محلی و جهانی و یا هر دو اطلاع رسانی می کند تا پاسخی دربرابر این ناهنجاری که یک نفوذ احتمالی است دریافت کند. اگر شناسایی قطعی نباشد و به شواهد بیشتری نیاز باشد، بخش موتور شناسایی همکار وارد عمل می شود و ارتباطات با عاملان مجاور که برای همکاری مورد نیازند از طریق بخش ارتباط امن برقرار می شود.
A. Agent based distributed and collaborative IDSs
The first article on intrusion detection for MANETs was
written by Zhang and Lee [33]. They proposed an agent based
distributed and collaborative IDS which is compliant with the
Wireless Ad Hoc Network operating conditions.
As also mentioned in [14], the IDS agent described in [33]
is composed of six blocks as shown in Fig. 3: The local data
collection block is responsible for collecting real-time audit
data (user activities, system call activities, communication
activities, and other traces) within its radio receiver range.
This real-time audit data is analyzed by the local detection
engine for the evidence of any kind of anomaly. In case of any
anomaly detection, this block informs the local response and
global response blocks (either one of them or both, depending
the type of attack) in order to take a response against the
anomaly (a possible intrusion). If the detection is inconclusive
and needs more evidence, cooperation is conducted by the
cooperative detection engine block and the communications
with the neighboring agents needed for this cooperation is
done through the secure communication block.
هر عامل (نماینده) یک مقیاس برای شناسایی ناهنجاری دارد که به آن "موتور شناسایی محلی" می گویند. این مقیاس ها دو جزء دارند:
· ویژگی ها: یک رویداد منطقی را در شبکه وصف می کند نظیر درصد تغییر مسیر یک جدول مسیریابی گره.
· آلگوریتم مدل سازی: از ویژگی ها به عنوان یک ورودی برای آلگوریتم تطابق الگوی مبتنی بر قانون استفاده می کند و سپس بر اساس معیارهای تطابق از پیش تعیین شده مشخص می کند که آیا این رویداد طبیعی است یا نه.
For each agent, there is a module to detect anomalies,
called the "local detection engine”. These modules have two
components, namely:
• features: describes a logical event in the network such as
the percentage of the route changes of a node’s routing
table.
• modeling algorithm: uses features as an input to the
rule based pattern matching algorithm and then specifies
whether the incidence is a normal or not according to the
predefined matching criterion.
در این مدل، هر گره در یک پروسه ی تصمیم گیری شرکت می کند. پس از یک حد آستانه ی مشخص، سیستم های IDS محلی باعث تحریک IDS جهانی می شود که تصمیم مشترک گره های مجاور گره ی نشان دار را ایجاب می کند. این تصمیم در یک فرآیند رأی گیری اکثریتی اتخاذ می شود. تشخیص با استفاده از "آنتروپی" انجام می گیرد: هرچه آنتروپی بالاتر باشد، احتمال ناهنجاری بیشتر است. روش پیشنهادی فقط برای شناسایی حملات وارده به پروتکل مسیریابی کارایی دارد که عبارتند از مسیریابی اشتباه، بروز رسانی نادرست مسیر، حذف بسته و داس.
In their model, every node participates in the decision
making process. After a certain threshold, the local IDSs
trigger the global IDS which necessitate collaborative decision
of the nodes neighboring the flagged node. This decision is
made through a majority voting process. Detection is made
by using the means of "entropy”: The higher the entropy, the
higher is the probability of anomaly. The proposed method is
useful to detect only the attacks against the routing protocols;
i.e., mis-routing, false route updating, packet dropping, DoS.
پس از اینکه ناهنجاری ها شناسایی شدند، بسته به سطح ناهنجاری، یک واکنش محلی یا واکنش مشارکتی جهانی در میان گره های مجاور شکل می گیرد. و ارتباطات مربوط به این واکنش جهانی از طریق لینک های ارتباطی امن در میان گره ها ارزیابی می شود. طبق آنچه مقاله نویسان می گویند، تعیین ویژگی هایی که باعث می شود آلگوریتم مدل سازی، ناهنجاری ها را با درصد پایینی از مقادیر شناسایی مثبت کاذب تشخیص دهد یک امر غیربدیهی و مهم است.
After anomalies are detected, depending on the level of the
anomaly, either a local response is created or a global (collaborative)
response is created among with the neighboring nodes.
And communications pertaining to this global response should
be assessed through secure communication links among the
nodes. According to the authors, determining the features that
would lead the modeling algorithm to detect anomalies with
low percentage of false positive detection rates is a non-trivial
task.
نویسندگان از دو نوع طبقه بندی استفاده کرده اند: درخت تصمیم و ماشین بردار پشتیبان. بروز رسانی جدول های مسیریابی به عنوان داده ی ردیابی به سه روش انتخاب می شوند: درصد مسیرهای تغییر کرده، درصد تغیرات در مجموع گره ها یا هاپ های همه ی مسیرها و درصد میسرهایی که به تازگی اضافه شده اند. آنالیز ردیابی و شناسایی ناهمجاری دو روش اساسی برای IDS هستند که نویسندگان از آنها بهره برده اند. اطلاعات جمع آوری شده از عملیات مسیریابی عادی شبکه از آلگوریتم های آموزشی برای دستیابی به مقادیر مرجع طبقه بندی ها بهره می برد. آنگاه انحراف از طبقه بندی های طبیعی پروفایل برای تعیین ناهنجاری های موجود در مسیریابی شبکه مورد استفاده قرار می گیرد.
The authors used two types of classifiers: Decision tree
and Support Vector Machine. Updates of the routing tables
are chosen as a trace data in three ways: percentage of the
changed routes, percentage of changes in the sum of hops of
all the routes, and the percentage of newly added routes. Trace
analysis and anomaly detection are the two main methods
for the IDS that are used by the authors. Data obtained
from normal network routing operation is fed to the training
algorithm to obtain reference values of the classifiers. Then
deviations (correlate) from normal profile classifiers are used
to determine the anomalies in the network routing.
روش ابداعی روی شبیه ساز ns-2 برای پروتکل های مسیریابی MANET زیر آزمایش شد: DSR (مسیریابی منبع پویا؛ یک پروتکل مسیریابی درخواستی انفعالی است که از منبع نشأت می گیرد)، AODV (بردار فاصله ی درخواستی موقت؛ یک پروتکل مسیریابی درخواستی انفعالی است که از منبع نشأت می گیرد) و سرانجام DSDV (بردار فاصله به همراه متوالی مقصد؛ یک پروتکل مسیریابی فعال تحت جدول است). طبق نتایج حاصله هیچ یک از آلگوریتم ها برای پروتکل های درخواستی (on-demand) نسبت به پروتکل های فعال بهتر عمل نکردن، زیرا مشاهده ی ارتباط بین الگوهای ترافیک و جریان پیام های موجود در پروتکل درخواستی (on-demand) ساده تر است.
The devised method was tested on the ns-2 simulator for
the following MANET routing protocols: DSR (Dynamic
Source Routing; a reactive, source initiated, on-demand routing
protocol), AODV (Ad-hoc On-demand Distance Vector;
a reactive, source initiated, on-demand routing protocol), and
DSDV (Destination Sequenced Distance Vector; a proactive,
table-driven, routing protocol). According to the results, their
algorithm performs better for on-demand protocols than proactive
protocols, because it is easier to observe the correlation
between the traffic patterns and routing message flows in ondemand
protocols.
ژانگ و همکاران یه عنوان بخشی که ادامه ی کارهای قبلی آنها است [10]، ایده ی تشخیص نفوذ ادغام شده ی چندلایه را ارائه دادند که بر اساس سیستم IDS مبتنی بر عامل توزیع شده و مشارکتی (همکار) ساخته شده است [33]. در ارائه ی اخیر، مقیاس شناسایی نفوذ در هر لایه بایستی عملکرد صحیحی داشته باشد اما شواهد و مدارکی از لایه های دیگر می توانند به شناسایی در یک لایه کمک کنند. نویسندگان با این شیوه اظهار می دارند که سیستم IDS آنها می تواند عملکرد بهتری درخصوص مقادیر مثبت واقعی بالا و مثبت کاذب پایین داشته باشد. طرح های پیشنهادی ممکن است برای شبکه های WSN مناسب باشند زیرا باید توجه مخصوصی به آن داشت: به عنوان مثال، این طرح ها را می توان به شبکه های سلسله مراتبی WSN اعمال کرد، که در این شبکه ها CHها می توانند این طرح ها را در یک واکنش جهانی و گره های حسگر را در یک واکنش محلی (تقسیم کارگر) اجرا کنند.
As an extension to their previous work, Zhang et al.
[10] introduced the idea of multi-layer integrated intrusion
detection and response, which is built upon the distributed
and collaborative agent based IDS proposed in [33]. In the
latest proposal, the intrusion detection module at each layer
still needs to function properly, but detection on one layer
can be initiated or aided by evidence from other layers. By
this way, the authors claim that their IDS can achieve better
performance in terms of both higher true positive and lower
false positive detection rates. The proposed schemes might be
applicable to WSNs in a sense that special care needs to be
taken: As an example, they might be applied to a hierarchical
WSN, where CHs might run the proposed schemes in a global
sense and the sensor nodes in a local sense (division of labor).
در ادامه ی کارهای ژانگ و همکاران [10] و [33]، آلبرز و همکاران [15] سیستم IDS توزیع شده را با گنجاندن عوامل سیار در طراحی ارتقا دادند. عوامل سیار، برخلاف روش های قدیمی که داده ها به محل محاسبات منتقل می شدند، کد را به داده منتقل می کنند. با این روش اجرای ناهمگام یک عامل بر روی یک هاست راه دور انجام می گیرد. این امر ترافیک داده (که شامل عامل ها می شود) را در شبکه بسیار کم می کند. از سوی دیگر فشار کار هر گره را افزایش می کدهد که در شبکه های WSN مطلوب نیست. به علاوه، انتقال کد سیار پهنای باند WSN را کاهش می دهد (بخش اجرایی IDS برای پردازش داده در سایت به گره ها منتقل می شود). بنابراین اگر کارایی پهنای باند از اهمیت زیادی برخوردار باشد این روش مناسب نیست.
Following the works of Zhang et al. ([10],[33]), Albers et
al. [15] improved the distributed IDS structure by including
mobile agents with the design. Mobile agents bring the code
to the data, as opposed to traditional approaches where data
is conveyed towards the computation location. By this way,
asynchronous execution of the agent is performed on a remote
host. This decreases the amount of data traffic (involving the
agents) in the network significantly. On the other hand, it
increases the individual work load of each node, which is not
desirable in WSNs. Besides, transmission of mobile code (an
executable portion of the IDS is transferred to the nodes for
on-site data processing) would decrease the bandwidth of the
WSN. So, this approach is not suitable if bandwidth efficiency
is of prime importance.
کاشیرسکی و گوها [34]، مفهوم عامل سیار موجود مرجع [15] را با ارائه ی تسک های خاص IDS برای توزیع مناسب عوامل متحرک بر اساس کارایی آنها در شبکه ی موقت بی سیم ارتقا دادند. این تسک های مخصوص عبارتند از نظارت بر شبکه، نظارت بر هاست، تصمیم گیری و عمل کردن. در این روش فشار کار سیستم IDS پیشنهادی در میان گره ها توزیع می شود تا مصرف انرژی و زمان پردازش مربوط به IDS را کاهش دهد. بنابراین این طرح برای شبکه های WSN قابل اجرا است. پیشرفت دیگری که انجام گرفته در واقع محدود کردن تجزیه و تحلیل محاسبات فشرده ی ایمنی کلی شبکه فقط برای چند گره است.
Kachirski and Guha [34] further improved the mobile agent
notion of [15] by providing efficient distribution of mobile
agents with specific IDS tasks (network monitoring, host
monitoring, decision making and action taking) according
to their functionality across the wireless ad hoc network.
This way, the workload of the proposed IDS is distributed
among the nodes to minimize the power consumption and IDS
related processing times by all nodes. Therefore, this scheme
is applicable to WSNs. Another improvement is to restrict
computation-intensive analysis of overall network security to
a few nodes only.