ج. IDS مبتنی بر منطقه (zone)
بر اساس مدل سان و همکاران [40] که در آن IDS مبتنی بر منطقه است، شبکه به مناطقی که با هم تداخل ندارند تقسیم می شود و هر عامل IDS، هشدارهای محلی درون ناحیه را منتشر می سازد. مناطق دروازه (Gateway)، مسئول تجمع و همبستگی هشدار های محلی هستند. فقط گره های دروازه (Gateway) می توانند آژیر خطر یا آلارم های متداول شبکه را ایجاد کنند. هشدارها نمایانگر حملات احتمالی هستند و توسط عوامل محلی IDS ایجاد می شوند درحالیکه آلارم ها تشخیص نهایی را نشان می دهند و فقط توسط گره های دروازه ایجاد می شوند.
F. Zone based IDS
With Zone based IDS of Sun et al. [40], the network
is divided into non-overlapping zones and each IDS agent
broadcasts locally generated alerts inside the zone. Gateway
zones are responsible for aggregation and correlation of locally
generated alerts. Only gateway nodes can generate network
wide alarms. Alerts indicate possible attacks and are generated
by local IDS agents, while alarms indicate the final detection
and can be generated only by gateway nodes.
قابلیت موتور تجمع و همبستگی محلی پیشنهادی آنها این است که نتایج تشخیص موتورهای شناسایی را به صورت محلی جمع آوری کرده و با هم مرتبط سازد. این در حالی است که قابلیت موتور همبستگی و تجمع فراگیر پیشنهادی آنها در گره های دروازه این است که برای تصمیم گیری نهایی نتایج شناسایی حاصل از گره های محلی را جمع آوری کرده و به هم مربوط سازد.
The functionality of their proposed local aggregation and
correlation engine is to locally aggregate and correlate the detection
results of detection engines. Whereas, the functionality
of their proposed global aggregation and correlation engine
in gateway nodes is to aggregate and correlate the detection
results from local nodes in order to make final decisions.
هشدارهای محلی براساس دو معیار شناسایی ایجاد می شوند: 1) درصد تغییر در ورودی های مسیر (rout entries) که در یک بازه ی زمانی خاص نمایانگر ورودی های مسیریابی حذف شده و ورودی هایی که بتازگی اضافه شده اند است؛ 2) درصد تغییر در تعداد هاپ ها (گره ها) که نمایانگر تغییر در مجموع هاپ های همه ی ورودی های مسیریابی در یک بازه ی زمانی مشخص است.
Local alerts are generated according to two detection criteria:
1) Percentage of change in route entries, which represents
the deleted and newly added routing entries in a certain time
period; 2) Percentage of change in number of hops, which
represents the change of the sum of hops of all routing entries
in a certain time period.
According to the authors’
بر اساس شبیه سازی های این نویسندگان (که در شبیه ساز شبکه ی GloMoSim انجام شد)، مدل آنها با کاهش تحرک با مثبت های کاذب کمتری واکنش نشان می داد. به علاوه، آلگوریتم های تجمع مربوط به گره های دروازه (gateway)، مثبت کاذب پایین تری نسبت به IDS مربوط به گره های محلی به دست آوردند زیرا می توانند اطلاعات را از منطقه ی وسیع تری جمع آوری کنند و تصمیمات صحیح تری بگیرند.
مدل پیشنهادی، نفوذها را در لایه ی مسیریابی پشته یOSI شناسایی می کند اما از لایه های دیگر چشم پوشی می کند. از آنجا که حملاتی که در لایه های دیگر به وقوع می پیوندد با این مدل شناسایی نمی شود می توان گفت که این مدل یک IDS نسبی و ناقص است.
According to the authors’ simulations (performed on Glo-
MoSim network simulator), their model responded with fewer
false positives as the mobility decreased. Besides, aggregation
algorithm of gateway nodes achieved much lower false
positives than the IDS of local nodes, because they can
collect information from a wider area and make more accurate
decisions.
The proposed model detects intrusions in the routing layer
of the OSI stack but it ignores other layers. Since the attacks
happening in other layers would not be detected by this model,
it is a partial IDS.
این طرح پیشنهادی، همه ی گره ها را ملزم به داشتن اطلاعات محیطی پیرامونشان می کند. هرچند این امر با ادغام گیرنده ی سیستم تعیین موقعیت جهانی یا همان GPS با گره ها در شبکه های MANET امکان پذیر است اما در شبکه های WSN ممکن نیست زیرا عموماً اغلب گره های حسگر به خاطر محدودیت های هزینه و انرژی مجهز به GPS نیستند.
The proposed scheme requires each node to have the
geographical information surrounding them. Although this
is possible by integrating global positioning system (GPS)
receiver to the nodes in MANETs, it is not feasible in WSNs,
because most sensor nodes are not generally equipped with
GPS due to the cost and energy restrictions.
/224224