陳鈞　張展翔　鐘成琦

摘 要 WMN作為一種適合在開放區(qū)域部署的具有大面積信號覆蓋特點的新型無線網(wǎng)絡(luò)，目前還沒有專門用于保護它的IDS。傳統(tǒng)無線網(wǎng)絡(luò)雖然已有一些高效的無線網(wǎng)絡(luò)IDS，但這些系統(tǒng)的工作原理一般都是通過連續(xù)不斷地監(jiān)視終端用戶、系統(tǒng)和網(wǎng)絡(luò)的行為來收集檢測數(shù)據(jù)，并由一個中心實體專門分析檢測數(shù)據(jù)，本文對無線Mesh網(wǎng)絡(luò)的安全性進行了研究。

關(guān)鍵詞 無線Mesh網(wǎng)絡(luò) 異常檢測 協(xié)作 RBF神經(jīng)網(wǎng)絡(luò) 危險理論

中圖分類號：TP3O9 文獻標(biāo)識碼：A

1無線Mesh網(wǎng)絡(luò)安全面臨的主要威脅

從美國人NikolaTesla于1893年首次公開展示無線電通信至今，針對不同的用途和使用環(huán)境，無線電通信已經(jīng)發(fā)展出多種類型。特別是從20世紀(jì)80年代以來，伴隨著全球移動通信系統(tǒng)的發(fā)展，不同類型的無線網(wǎng)絡(luò)如WLAN、CDMA、Bluetooth和Wi-Fi（本文將些網(wǎng)絡(luò)統(tǒng)稱為傳統(tǒng)無線網(wǎng)絡(luò)）等也相應(yīng)迅猛發(fā)展起來。雖然WMN優(yōu)勢明顯，應(yīng)用廣泛，但其在安全方面仍然受到多種威脅，主要有以下五個方面。

（1）無線鏈路方面。WMN中各節(jié)點通過無線鏈路以廣播方式相互傳輸數(shù)據(jù)，通信范圍內(nèi)的所有節(jié)點都可以接收這條數(shù)據(jù)，因此易被監(jiān)聽。并且由于缺乏像有線網(wǎng)絡(luò)中的物理通道及防火墻等明確的防御線，WMN不能通過網(wǎng)絡(luò)邊界防護設(shè)備來控制客戶端和其它設(shè)備的接入，對主動攻擊的防御能力不足。

（2）動態(tài)拓?fù)浞矫妗９?jié)點進入或退出網(wǎng)絡(luò)都會引起WMN拓?fù)浣Y(jié)構(gòu)的動態(tài)變化。若WMN接入認(rèn)證方案存在漏洞，惡意節(jié)點就能輕易合法化接入網(wǎng)絡(luò)，并發(fā)動攻擊。此外，成功接入WMN的節(jié)點如果缺乏充分的物理保護易被破壞、捕獲和劫持，并用于網(wǎng)絡(luò)攻擊，而追捕它卻很困難。

（3）協(xié)作運算方面。WMN的分布式結(jié)構(gòu)導(dǎo)致其一般采用分散的數(shù)據(jù)處理策略，即絕大多數(shù)WMN算法都依賴于與其他節(jié)點的合作。攻擊者利用沒有中心節(jié)點這一弱點對WMN協(xié)作運算方面實施各種破壞。

（4）路由方面。WMN中所有節(jié)點共同參與完成路由發(fā)現(xiàn)過程。因此惡意節(jié)點很可能會抓住網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化的時機發(fā)動攻擊。它冒充為AP并廣播虛假路由信息，從而吸引大量網(wǎng)絡(luò)流量經(jīng)過它，并隨意竊聽、篡改甚至中斷WMN的通信。

（5）設(shè)備資源方面。WMN中的客戶端移動性強，設(shè)備體積小，處理能力低，多數(shù)為電池供電。而增強型客戶端由于具備路由和數(shù)據(jù)轉(zhuǎn)發(fā)功能，對電池電量、資源占用、通信帶寬等因素非常敏感。因此，客戶端不能使用復(fù)雜的路由或加密算法。

2無線Mesh網(wǎng)絡(luò)主要安全防護技術(shù)

（1）安全認(rèn)證。它能阻止未授權(quán)的節(jié)點接入并利用WMN發(fā)送和接收數(shù)據(jù)，避免網(wǎng)絡(luò)規(guī)模被異常擴大。另外，WMN中各節(jié)點間互相通信和漫游時都需要身份認(rèn)證。認(rèn)證方式分為集中式和分布式兩種。集中式利用AAA服務(wù)器實現(xiàn)，節(jié)點認(rèn)證成功后才能參與后面的密鑰協(xié)商、密鑰交換和路由更新等活動。分布式認(rèn)證主要采用數(shù)字證書或預(yù)分配共享密鑰模式（即PSK）。

（2）安全路由。它的目標(biāo)是確保路由信息的完整性、真實性、可用性和不可抵賴性，而利用加密和數(shù)字簽名技術(shù)就可以實現(xiàn)這些目標(biāo)。雖然各節(jié)點相互通信前都會進行認(rèn)證并協(xié)商密鑰，但被俘獲節(jié)點通過產(chǎn)生錯誤或虛假路由可以繞過這層安全防護。利用安全路由協(xié)議定期更新路由表或利用選舉方式確定安全路由，可以避開被俘獲節(jié)點引入的危險。典型的安全路由協(xié)議有Ad hoc網(wǎng)絡(luò)的SAODV、ARAN、SAR、SEAD和SRP等。

（3）入侵檢測。認(rèn)證、加密等技術(shù)作為WMN的第一道安全防護墻可以抵御外部攻擊，但主動防御內(nèi)部入侵的能力不足。入侵檢測對內(nèi)部入侵非常敏感，因此可以作為WMN的第二道安全防線?，F(xiàn)有的WMN入侵檢測方式有四種：

①獨立入侵檢測。每個節(jié)點都運行檢測實例，并獨立對事件進行響應(yīng)。

②分布式合作入侵檢測。入侵檢測被部署在部分節(jié)點上，各節(jié)點互相協(xié)作完成入侵檢測，并產(chǎn)生相應(yīng)的響應(yīng)。

③層次式入侵檢測。由一個主控節(jié)點管理多個子節(jié)點，子節(jié)點負(fù)責(zé)收集和上傳檢測信息給主控節(jié)點，主控節(jié)點對其分析并做出決策。

④基于移動代理的入侵檢測。每個Agent被指定檢測任務(wù)，之后每個節(jié)點會被分配到一個或多個Agent，由Agent具體分布處理入侵檢測任務(wù)。

3神經(jīng)網(wǎng)絡(luò)和危險理論在入侵檢測中的應(yīng)用

3.1神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用

神經(jīng)網(wǎng)絡(luò)（Neural Networks，簡寫為NN）也稱為人工神經(jīng)網(wǎng)絡(luò)（Artificial Neural Networks，ANN）連接模型，是一種利用機器模仿人腦進行思維活動，進行分布式并行信息處理的數(shù)學(xué)算法模型。作為研究復(fù)雜問題的有力工具，神經(jīng)網(wǎng)絡(luò)技術(shù)近年來在模式識別與分類、自動控制、非線性濾波、預(yù)測等方面已顯示出其非凡的優(yōu)勢。

3.2危險理論在入侵檢測技術(shù)中的應(yīng)用

計算機安全問題與生物免疫系統(tǒng)（Biological Immune System ，BIS）遇到的問題非常相似，即如何在不斷變化的環(huán)境中保持自身穩(wěn)定。近年來由BIS啟發(fā)設(shè)計的人工免疫系統(tǒng)（Artificial Immune System，AIS）在工作原理上與IDS非常相似，因此得到了網(wǎng)絡(luò)安全界的廣泛關(guān)注。AIS的基本特征包括自適應(yīng)、分布式、高頑健性、輕量級、多層次和多樣性等，與IDS相結(jié)合，被認(rèn)為是一條非常重要且有意義的研究方向，現(xiàn)已取得了一定研究成果 。

盡管該理論在生物免疫學(xué)領(lǐng)域尚未成熟，但用作模擬仿真，它比SNS模型更加適用于入侵檢測領(lǐng)域?；谖ｋU理論的入侵檢測模型不再對“自體/非自體”進行區(qū)分，而只識別“危險”信號，以此解決SNS檢測模型因“自體”空間巨大而使檢測效率低下的問題。

參考文獻

[1] YI P，WU Y，CHEN J L.Towards an artificial immune system for detecting anomalies in wireless meshnetworks[J].China Communications，2011，8（3）： 107-117.

[2] 周彥偉，楊波，張文政.安全高效的異構(gòu)無線網(wǎng)絡(luò)可控匿名漫游認(rèn)證協(xié)議[J].軟件學(xué)報，2016，27（2）：451-465.

[3] 黃毅杰，林暉，許力，黃川，周趙斌.認(rèn)知無線網(wǎng)絡(luò)中一種基于VCG的分布式安全頻譜感知策略[J].小型微型計算機系統(tǒng)，2016，37（6）：1228-1233