基于Agent的安全协议对抗Ad Hoc网络下的拒绝服务攻击

D0I:10.13374/1.issnl00103.2007.s2.100 第29卷增刊2 北京科技大学学报 Vol.29 Suppl.2 2007年12月 Journal of University of Science and Technology Beijing Dec.2007 基于Agent的安全协议对抗Ad Hoc网络下的 拒绝服务攻击 陈红松王昭顺宁淑荣 北京科技大学信息工程学院计算机系，北京100083 摘要拒绝服务攻击是Ad Hoc网络安全领域中的难题，本文提出一种新型的基于Agent的安全路由协议，Agent可根据其 邻节点的可信度定期更新以适应AdHc分布式路由计算环境，有效提高网络的可信性，降低网络安全计算的复杂度：根据拒 绝服务攻击的特征抽取出Ag安全规则与检测算法.采用NS2网络模拟器的仿真结果表明，该方法能有效的检测出拒绝服 务攻击并进行及时响应，使网络性能迅速恢复正常· 关键词Ad Hoc路由协议；智能体；入侵检测：网络安全 分类号TP393.08 Ad Hoc网络技术是近年来十分活跃的研究领 因缺乏足够的保护很可能被攻击、占领而导致网络 域，该网络结构不依赖于现有的网络基础设施，由移 瘫痪.因此研究新的适合于自主网的安全协议具有 动节点组成的临时性自治系统，具有自组织、自适 非常重要的理论和现实意义 应、无中心、多跳通信、动态变化的拓扑结构等特点， 可应用于军事通信、紧急搜救、智能大厦、智能家居、 1AODW路由协议简介 航天深空探测设备通信等重要领域，有着巨大而广 AODV (Ad Hoc on demand distance vector rout- 阔的应用前景[3] ing)是一种典型而又重要的Ad Hoc网络按需路由 作为一种无线移动网络，Ad Hoc网络和传统的 协议，只当源节点需要往目的节点发送数据时才发 移动网络有着许多不同，其中一个主要的区别就是 起路由过程山，AODV路由协议以其网络开销、算 Ad Hoc网络不依赖于任何固定的网络设施，每个移 法复杂度等大部分性能指标优于其它同类而受到广 动节点既是终端又是路由器，能够提供包的存储转 泛关注，被认为是最有实用前景的Ad Hoc网络路 发功能.通过移动节点间的相互协作来进行网络互 由协议之一，目前已被IETF标准化，本研究针对 联，由于无须固定通信设施的支持，因此，无线自组 AODV路由协议进行安全性方面的研究，探讨了该 织网络具有很高的可靠性和灵活性，但是正是由于 协议存在的安全问题和漏洞.并在分析和对比各种 这种网络的特点，使得Ad Hoc网络的安全问题尤 已有安全策略的基础上提出了一种基于Agent的入 为突出，其安全问题和安全策略便日益受到重视， 侵检测及响应机制 它相对与传统网络更容易受到攻击，而且防范更加 困难，在传统网络中，网络采用层次化的体系结构， 2 Ad Hoc及AODV路由协议的安全 具有相对稳定的拓扑.传统的集中式网络管理模 研究现状 式，包括相关的安全策略，如加密、认证、访问控制和 早期的安全Ad Hoc路由协议使用公钥管理系 权限管理、防火墙、入侵检测等，适合稳定的网络环 统来保护Ad Hoc路由消息.Capkun等提出了异步 境和应用程序，但面对移动Ad Hoc网络等新兴应 的、分布式密钥管理策略)，采用加密机制如数字 用则缺乏智能、主动和动态的信息处理能力，相比 签名来保护路由信息和数据交换，每个节点都有一 之下，自组网由于节点的移动性和网络拓扑结构的 个公有/私有密钥对，所需的密钥管理服务由一组节 动态变化，不具有上述网络功能，从而导致传统网络 点来完成，管理的实现采用了阀值加密算法(，k) 中的安全机制不再适用于自组网，网络内部的节点 表示在n个节点的网络中，任何≥k个节点的集合 收稿日期：2007-09-01 都能够执行加密操作；反之任何<k个节点的集合 作者简介：陈红松(1977一)男，讲师，博士 则不可以，该策略还采用了私有密钥定时更新的方

基于 Agent 的安全协议对抗 Ad Hoc 网络下的 拒绝服务攻击 陈红松 王昭顺 宁淑荣 北京科技大学信息工程学院计算机系‚北京100083 摘 要 拒绝服务攻击是 Ad Hoc 网络安全领域中的难题‚本文提出一种新型的基于 Agent 的安全路由协议‚Agent 可根据其 邻节点的可信度定期更新以适应 Ad Hoc 分布式路由计算环境‚有效提高网络的可信性‚降低网络安全计算的复杂度；根据拒 绝服务攻击的特征抽取出 Agent 安全规则与检测算法．采用 NS2网络模拟器的仿真结果表明‚该方法能有效的检测出拒绝服 务攻击并进行及时响应‚使网络性能迅速恢复正常． 关键词 Ad Hoc 路由协议；智能体；入侵检测；网络安全 分类号 TP393∙08 收稿日期：2007-09-01 作者简介：陈红松（1977—）‚男‚讲师‚博士 Ad Hoc 网络技术是近年来十分活跃的研究领 域‚该网络结构不依赖于现有的网络基础设施‚由移 动节点组成的临时性自治系统‚具有自组织、自适 应、无中心、多跳通信、动态变化的拓扑结构等特点． 可应用于军事通信、紧急搜救、智能大厦、智能家居、 航天深空探测设备通信等重要领域‚有着巨大而广 阔的应用前景［1—3］． 作为一种无线移动网络‚Ad Hoc 网络和传统的 移动网络有着许多不同‚其中一个主要的区别就是 Ad Hoc 网络不依赖于任何固定的网络设施‚每个移 动节点既是终端又是路由器‚能够提供包的存储转 发功能．通过移动节点间的相互协作来进行网络互 联．由于无须固定通信设施的支持‚因此‚无线自组 织网络具有很高的可靠性和灵活性．但是正是由于 这种网络的特点‚使得 Ad Hoc 网络的安全问题尤 为突出‚其安全问题和安全策略便日益受到重视． 它相对与传统网络更容易受到攻击‚而且防范更加 困难．在传统网络中‚网络采用层次化的体系结构‚ 具有相对稳定的拓扑．传统的集中式网络管理模 式‚包括相关的安全策略‚如加密、认证、访问控制和 权限管理、防火墙、入侵检测等‚适合稳定的网络环 境和应用程序‚但面对移动 Ad Hoc 网络等新兴应 用则缺乏智能、主动和动态的信息处理能力．相比 之下‚自组网由于节点的移动性和网络拓扑结构的 动态变化‚不具有上述网络功能‚从而导致传统网络 中的安全机制不再适用于自组网．网络内部的节点 因缺乏足够的保护很可能被攻击、占领而导致网络 瘫痪．因此研究新的适合于自主网的安全协议具有 非常重要的理论和现实意义． 1 AODV 路由协议简介 AODV （Ad Hoc on demand distance vector rout￾ing）是一种典型而又重要的 Ad Hoc 网络按需路由 协议‚只当源节点需要往目的节点发送数据时才发 起路由过程［1］．AODV 路由协议以其网络开销、算 法复杂度等大部分性能指标优于其它同类而受到广 泛关注‚被认为是最有实用前景的 Ad Hoc 网络路 由协议之一‚目前已被 IETF 标准化．本研究针对 AODV 路由协议进行安全性方面的研究‚探讨了该 协议存在的安全问题和漏洞．并在分析和对比各种 已有安全策略的基础上提出了一种基于 Agent 的入 侵检测及响应机制． 2 Ad Hoc 及 AODV 路由协议的安全 研究现状 早期的安全 Ad Hoc 路由协议使用公钥管理系 统来保护 Ad Hoc 路由消息．Capkun 等提出了异步 的、分布式密钥管理策略［2］．采用加密机制如数字 签名来保护路由信息和数据交换．每个节点都有一 个公有／私有密钥对‚所需的密钥管理服务由一组节 点来完成．管理的实现采用了阀值加密算法（ n‚k） 表示在 n 个节点的网络中‚任何≥k 个节点的集合 都能够执行加密操作；反之任何＜ k 个节点的集合 则不可以．该策略还采用了私有密钥定时更新的方 第29卷 增刊2 2007年 12月 北 京 科 技 大 学 学 报 Journal of University of Science and Technology Beijing Vol．29Suppl．2 Dec．2007 DOI:10．13374／j．issn1001－053x．2007．s2．100

Vol.29 Suppl.2 陈红松等：基于Agent的安全协议对抗Ad Hoc网络下的拒绝服务攻击 .167 法，使攻击者很难同时获取到k个节点的有效密 报文RREQ和路由应答报文RREP在路由的建立 钥.然而，由于公共密钥繁重的计算量，该协议对于 过程中起重要作用，所以恶意节点主要针对这两种 Ad Hoc网络中节点计算的代价过大， 报文进行伪造以达到攻击目的，在本研究过程中恶 美国CMU大学的Hu、Perrig和Rice大学的 意节点采用主动伪造数据包进行拒绝服务(DS)攻 Johnson等提出用数字签名来保障路由协议的安全 击 性.文献[3]中提出了一种基于DSR的安全按需路 拒绝服务DoS(denial of service)攻击指使节点 由协议一Ariadne, 无法提供对其他合法节点所需的正常服务，它能够 SEAD是Hu、Johnson和Perrig提出的一种基 在自组网的各层进行，在物理层和MAC层，攻击者 于距离矢量路由协议DSDV的安全路由协议，通 通过拥塞无线信道来干扰通信；在网络层，攻击者能 过让哈希值和路由信息中的权值以及序列号相关 破坏路由信息，使网络无法互连：在更高层，攻击者 联，使用单向哈希函数来防止恶意节点减小路由信 通过伪造使高层服务紊乱，本文主要针对由RREQ 息中对应目的节点的权值或者增加它的序列号， 泛洪引起的拒绝服务， 我国国防科大的况晓辉、卢锡城等提出移动自 在RREQ泛洪攻击中，一个攻击节点可以通过 组网络分布式组密钥更新算法一CDGR(cluster 广播大量伪造的RREQ消息占用网络带宽，消耗其 distributed group rekeying)算法可，该算法能够利用 它节点的计算和存储资源，使网络连接几乎中断， 局部密钥信息更新组密钥，适合拓扑结构变化频繁、 如图1所示 连接短暂且带宽有限的移动自组网络，采用NS2 模拟器验证了算法在移动自组网络中的有效性，但 是当节点加入或退出过于频繁时，将导致组密钥过 D 度更新，从而造成网络拥塞，如何利用定时更新机制 解决移动自组网络中组密钥过度更新的问题仍然需 图1由恶意节点进行RREQ泛洪造成的攻击·(a)泛洪攻击 要进一步研究， 前：(b)泛洪攻击后 我国清华大学的林闯教授等提出可信网络的概 念6们：过去的研究以追求高效行为为目标，而今天 由图1可知，恶意节点A不断的发出大量的伪 的计算机系统需要建立高可信的网络服务，可信性 造RREQ路由请求广播信息进行泛洪攻击，其它节 必须成为可以衡量和验证的性能，文章指出无线移 点对突然出现的大量RREQ进行检查与应答，泛洪 动环境下的网络可信性问题面临着更严重的威胁， 对其它节点的存储和计算资源带来了巨大的冲击， 相关的代表性工作主要有可信传感器网络、Ad Hoc 消耗了大量的传输带宽，使源节点$到目的节点D 网络的信任评估和移动IPv6的信任管理.可见提 的网络连接几乎中断 高Ad Hoc网络的安全及可信性研究是目前网络安 4 基于智能Agent的安全路由协议描 全领域研究的重要内容， 都柏林大学的Elizabeth Gray教授提出了Ad 述 Hoc网络下的可信计算框架[们.作者指出信任是所 由Ad Hoc网络安全研究现状可知，采用加密 有人际关系的基础，该策略模仿人类社会中人际关 等传统的安全机制对Ad Hoc网络计算复杂度过 系的信任建立过程，并依据信任度来进行局部的基 大；采用集中式安全控制则中心节点容易受到攻击 于角色的访问控制.可信框架包括执行的检查、可 而导致瘫痪，容错及容侵性能比较差；而Wenke Lee 信度的计算与存储、信息交互的监督、动态访问控 的完全分布式安全机制则要求每个节点都参与安全 制、可信计算的形式化等，文中以无线Ad Hoc网络 协议，如果有N个节点，则计算及存储代价随N线 中的扑克牌游戏为示例介绍了该框架的可行性·该 性增加一代价过大.本研究提出了基于智能A 方案的缺点是没有针对Ad Hoc网络设计节点可信 gent更新的安全扩展协议，充分吸收了现有安全机 度的定量的评估方法· 制的优点，又克服其缺点， 3 AODW路由协议下拒绝服务攻击的 Agent技术是目前计算机科学领域中一个非常 重要、研究活跃的内容之一，特别是近年来随着计算 形成过程 机网络技术的发展和广泛应用，Agent技术引起了 由AODV路由协议的运行机制可知，路由请求 学术界和工业界的高度关注和重视.本研究将A~

法‚使攻击者很难同时获取到 k 个节点的有效密 钥．然而‚由于公共密钥繁重的计算量‚该协议对于 Ad Hoc 网络中节点计算的代价过大． 美国 CMU 大学的 Hu、Perrig 和 Rice 大学的 Johnson 等提出用数字签名来保障路由协议的安全 性．文献［3］中提出了一种基于 DSR 的安全按需路 由协议—Ariadne． SEAD 是 Hu、Johnson 和 Perrig 提出的一种基 于距离矢量路由协议 DSDV 的安全路由协议［4］．通 过让哈希值和路由信息中的权值以及序列号相关 联‚使用单向哈希函数来防止恶意节点减小路由信 息中对应目的节点的权值或者增加它的序列号． 我国国防科大的况晓辉、卢锡城等提出移动自 组网络分布式组密钥更新算法———CDGR （cluster distributed group rekeying）算法［5］‚该算法能够利用 局部密钥信息更新组密钥‚适合拓扑结构变化频繁、 连接短暂且带宽有限的移动自组网络．采用 NS2 模拟器验证了算法在移动自组网络中的有效性．但 是当节点加入或退出过于频繁时‚将导致组密钥过 度更新‚从而造成网络拥塞‚如何利用定时更新机制 解决移动自组网络中组密钥过度更新的问题仍然需 要进一步研究． 我国清华大学的林闯教授等提出可信网络的概 念［6］：过去的研究以追求高效行为为目标‚而今天 的计算机系统需要建立高可信的网络服务‚可信性 必须成为可以衡量和验证的性能．文章指出无线移 动环境下的网络可信性问题面临着更严重的威胁‚ 相关的代表性工作主要有可信传感器网络、Ad Hoc 网络的信任评估和移动 IPv6的信任管理．可见提 高 Ad Hoc 网络的安全及可信性研究是目前网络安 全领域研究的重要内容． 都柏林大学的 Elizabeth Gray 教授提出了 Ad Hoc 网络下的可信计算框架［7］．作者指出信任是所 有人际关系的基础‚该策略模仿人类社会中人际关 系的信任建立过程‚并依据信任度来进行局部的基 于角色的访问控制．可信框架包括执行的检查、可 信度的计算与存储、信息交互的监督、动态访问控 制、可信计算的形式化等‚文中以无线 Ad Hoc 网络 中的扑克牌游戏为示例介绍了该框架的可行性．该 方案的缺点是没有针对 Ad Hoc 网络设计节点可信 度的定量的评估方法． 3 AODV 路由协议下拒绝服务攻击的 形成过程 由 AODV 路由协议的运行机制可知‚路由请求 报文 RREQ 和路由应答报文 RREP 在路由的建立 过程中起重要作用‚所以恶意节点主要针对这两种 报文进行伪造以达到攻击目的．在本研究过程中恶 意节点采用主动伪造数据包进行拒绝服务（DoS）攻 击． 拒绝服务 DoS（denial of service）攻击指使节点 无法提供对其他合法节点所需的正常服务‚它能够 在自组网的各层进行．在物理层和 MAC 层‚攻击者 通过拥塞无线信道来干扰通信；在网络层‚攻击者能 破坏路由信息‚使网络无法互连；在更高层‚攻击者 通过伪造使高层服务紊乱．本文主要针对由 RREQ 泛洪引起的拒绝服务． 在 RREQ 泛洪攻击中‚一个攻击节点可以通过 广播大量伪造的 RREQ 消息占用网络带宽‚消耗其 它节点的计算和存储资源‚使网络连接几乎中断． 如图1所示． 图1 由恶意节点进行 RREQ 泛洪造成的攻击．（a） 泛洪攻击 前；（b） 泛洪攻击后 由图1可知‚恶意节点 A 不断的发出大量的伪 造 RREQ 路由请求广播信息进行泛洪攻击‚其它节 点对突然出现的大量 RREQ 进行检查与应答‚泛洪 对其它节点的存储和计算资源带来了巨大的冲击‚ 消耗了大量的传输带宽‚使源节点 S 到目的节点 D 的网络连接几乎中断． 4 基于智能 Agent 的安全路由协议描 述 由 Ad Hoc 网络安全研究现状可知‚采用加密 等传统的安全机制对 Ad Hoc 网络计算复杂度过 大；采用集中式安全控制则中心节点容易受到攻击 而导致瘫痪‚容错及容侵性能比较差；而 Wenke Lee 的完全分布式安全机制则要求每个节点都参与安全 协议‚如果有 N 个节点‚则计算及存储代价随 N 线 性增加———代价过大．本研究提出了基于智能 A￾gent 更新的安全扩展协议‚充分吸收了现有安全机 制的优点‚又克服其缺点． Agent 技术是目前计算机科学领域中一个非常 重要、研究活跃的内容之一‚特别是近年来随着计算 机网络技术的发展和广泛应用‚Agent 技术引起了 学术界和工业界的高度关注和重视．本研究将 A￾Vol．29Suppl．2 陈红松等： 基于 Agent 的安全协议对抗 Ad Hoc 网络下的拒绝服务攻击 ·167·

.168 北京科技大学学报 2007年增刊2 gent技术应用于AODV安全路由协议设计里，提出 度的确定是根据数据包被节点成功转发的概率来决 了一种新型的基于Agent更新的安全检测及响应算 定的，即成功转发率越高，节点的可信度也越高， 法，能有效针对以上两种典型攻击进行检测及响应， 智能化的Agent创建及更新机制能适应AODV 显著提高协议的安全性能.Agent在人工智能领域 分布式路由计算环境，通过构造会话树列表对路由 被称为智能代理或智能主体，它具有以下特征， 请求RREQ和路由应答RREP流进行实时跟踪与 (1)自主性，亦称自治性，即能够在没有人或 统计，不断的建立、查找与更新会话树列表，根据其 别的Agent的干预下，主动地、自发的控制自身的行 方向和数据的一致性进行安全性能分析，通过对所 为和内部状态，并且还有自己的目标或意图， 有流的监测达到对整个网络的监测，并根据Agent (2)反应性，即能够感知环境，并通过行为改 中的安全检测算法进行攻击的检测及响应.Agent 变环境 可以根据网络和邻节点的信息来动态规划下一个新 (3)面向目标性.一个Agent有能力处理复杂 的Agent以替换当前Agent,由于新的Agent是原 和高水平的任务，它应该自己决定如何将任务很好 Agent的邻居节点，会话树列表的拷贝和转换速度 地分解并处理为多个小的子任务，以及这些子任务 很快.在任一时刻，网络中每一个流对应一个Agent 处理的顺序和方法等. 执行安全协议，而在一段连续时间内则有多个高可 (4)适应性·即能根据目标，环境等的要求和 信节点轮流作为Agent执行安全协议，相当于A- 制约做出行为计划，并根据环境的变化呈现灵活解 gent里的智能化检测与响应程序在不同高可信节点 决问题的行为，修改自己的目标和计划， 上分布、分时的运行，既满足了自组织网络的开放特 Agent作为智能化主体可以根据网络运行情况 征，又保证了系统的安全性， 改变自身状态，为了避免Agent本身如果受到攻击 在基于Agent更新的安全协议中作了以下假 以及单一Agent节点执行安全检测算法而过早耗尽 设：(l)Agent一开始是位于源节点和目的节点之间 电能，本研究提出Agent动态转换及更新的新机制： 的一个随机选择的内部节点，随着时间变化定期进 Agent不仅执行协议代码、收集数据，而且还有自己 行更新，它有能力访问其它节点的路由表，(2)A- 的动态生命状态；由于AODV是按需路由协议，只 gent可以侦听并获取它所对应路由请求一应答流的 有在源节点需要向目的节点传输数据时才发起路由 路由信息，对获取的信息进行智能处理，并且有能力 请求，Agent随路由的建立而建立，随路由的完成而 对节点进行安全访问控制，(3)Agent根据安全目 释放，随路由请求一应答流的状态变化而动态的产 标执行特定的任务，根据需要在高可信节点间移 生、执行、更新与消亡.因此，网络里有多少个路由 动，可将一个流的安全计算负荷分散到网络的多个 请求应答流，也就对应多少个Agent来进行实时的 高可信节点上，使小系统具有处理大规模、复杂问题 安全检测与响应 的能力 安全协议每隔一段时间探测网络中是否有路由 基于Agent的安全机制如图2所示. 请求应答流产生，如果没有数据包传输，说明现在 一段周期后 网络相对稳定，不需要进行安全检测，也就没有A~ 更新 gent 2 gent产生；如果有路由请求一应答流产生，则在源节 点和目的节点之间随机选择一个节点作为Agent执 行安全路由协议；经过一段时间周期后，如果该流中 仍然有路由请求应答包，Agent将从它的邻居节点 列表中选取一个可信度最高的邻居节点作为网络中 图2基于Agent的安全机制 下一个安全Agent来更新替换现在的Agent,并将 由于一个AODV路由请求回复流可以被源IP 会话树列表拷贝到新的Agent中，使每一个可信度 地址、目的P地址和广播D号唯一的鉴别，源和目 高的邻节点都有机会成为安全Agent来执行安全协 的序列号分别在请求和应答过程中保持不变，Agent 议，同时也平摊了执行网络安全检测带来的计算开 可以由它们来建立会话树列表表头以标示一个路由 销：由于每个流对应一个安全Agent,其计算及存储 的建立，为了对RREQ泛洪进行检测，在会话树列 代价比完全分布式安全协议大大减少，通过Agent 表里增加了单位时间内的源节点发出的RREQ个 定期更新也降低了Agent本身被恶意攻击的概率， 数一RREQCount,为泛洪的检测提供了有效的检 以此来保证Agent本身的公平和安全性.节点可信 测数据

gent 技术应用于 AODV 安全路由协议设计里‚提出 了一种新型的基于 Agent 更新的安全检测及响应算 法‚能有效针对以上两种典型攻击进行检测及响应‚ 显著提高协议的安全性能．Agent 在人工智能领域 被称为智能代理或智能主体‚它具有以下特征． （1） 自主性‚亦称自治性．即能够在没有人或 别的 Agent 的干预下‚主动地、自发的控制自身的行 为和内部状态‚并且还有自己的目标或意图． （2） 反应性．即能够感知环境‚并通过行为改 变环境． （3） 面向目标性．一个 Agent 有能力处理复杂 和高水平的任务‚它应该自己决定如何将任务很好 地分解并处理为多个小的子任务‚以及这些子任务 处理的顺序和方法等． （4） 适应性．即能根据目标‚环境等的要求和 制约做出行为计划‚并根据环境的变化呈现灵活解 决问题的行为‚修改自己的目标和计划． Agent 作为智能化主体可以根据网络运行情况 改变自身状态．为了避免 Agent 本身如果受到攻击 以及单一 Agent 节点执行安全检测算法而过早耗尽 电能‚本研究提出 Agent 动态转换及更新的新机制： Agent 不仅执行协议代码、收集数据‚而且还有自己 的动态生命状态；由于 AODV 是按需路由协议‚只 有在源节点需要向目的节点传输数据时才发起路由 请求‚Agent 随路由的建立而建立‚随路由的完成而 释放‚随路由请求—应答流的状态变化而动态的产 生、执行、更新与消亡．因此‚网络里有多少个路由 请求—应答流‚也就对应多少个 Agent 来进行实时的 安全检测与响应． 安全协议每隔一段时间探测网络中是否有路由 请求—应答流产生‚如果没有数据包传输‚说明现在 网络相对稳定‚不需要进行安全检测‚也就没有 A￾gent 产生；如果有路由请求—应答流产生‚则在源节 点和目的节点之间随机选择一个节点作为 Agent 执 行安全路由协议；经过一段时间周期后‚如果该流中 仍然有路由请求—应答包‚Agent 将从它的邻居节点 列表中选取一个可信度最高的邻居节点作为网络中 下一个安全 Agent 来更新替换现在的 Agent‚并将 会话树列表拷贝到新的 Agent 中‚使每一个可信度 高的邻节点都有机会成为安全 Agent 来执行安全协 议‚同时也平摊了执行网络安全检测带来的计算开 销；由于每个流对应一个安全 Agent‚其计算及存储 代价比完全分布式安全协议大大减少‚通过 Agent 定期更新也降低了 Agent 本身被恶意攻击的概率‚ 以此来保证 Agent 本身的公平和安全性．节点可信 度的确定是根据数据包被节点成功转发的概率来决 定的‚即成功转发率越高‚节点的可信度也越高． 智能化的 Agent 创建及更新机制能适应 AODV 分布式路由计算环境‚通过构造会话树列表对路由 请求 RREQ 和路由应答 RREP 流进行实时跟踪与 统计‚不断的建立、查找与更新会话树列表‚根据其 方向和数据的一致性进行安全性能分析‚通过对所 有流的监测达到对整个网络的监测‚并根据 Agent 中的安全检测算法进行攻击的检测及响应．Agent 可以根据网络和邻节点的信息来动态规划下一个新 的 Agent 以替换当前 Agent‚由于新的 Agent 是原 Agent 的邻居节点‚会话树列表的拷贝和转换速度 很快．在任一时刻‚网络中每一个流对应一个 Agent 执行安全协议‚而在一段连续时间内则有多个高可 信节点轮流作为 Agent 执行安全协议‚相当于 A￾gent 里的智能化检测与响应程序在不同高可信节点 上分布、分时的运行‚既满足了自组织网络的开放特 征‚又保证了系统的安全性． 在基于 Agent 更新的安全协议中作了以下假 设：（1） Agent 一开始是位于源节点和目的节点之间 的一个随机选择的内部节点‚随着时间变化定期进 行更新‚它有能力访问其它节点的路由表．（2） A￾gent 可以侦听并获取它所对应路由请求—应答流的 路由信息‚对获取的信息进行智能处理‚并且有能力 对节点进行安全访问控制．（3） Agent 根据安全目 标执行特定的任务．根据需要在高可信节点间移 动‚可将一个流的安全计算负荷分散到网络的多个 高可信节点上‚使小系统具有处理大规模、复杂问题 的能力． 基于 Agent 的安全机制如图2所示． 图2 基于 Agent 的安全机制 由于一个 AODV 路由请求—回复流可以被源 IP 地址、目的 IP 地址和广播 ID 号唯一的鉴别‚源和目 的序列号分别在请求和应答过程中保持不变‚Agent 可以由它们来建立会话树列表表头以标示一个路由 的建立‚为了对 RREQ 泛洪进行检测‚在会话树列 表里增加了单位时间内的源节点发出的 RREQ 个 数———RREQCount‚为泛洪的检测提供了有效的检 测数据． ·168· 北 京 科 技 大 学 学 报 2007年 增刊2

Vol.29 Suppl.2 陈红松等：基于Aget的安全协议对抗Ad Hoc网络下的拒绝服务攻击 .169. Agent针对RREQ路由请求消息的安全检测及 响应算法如图3所示 (开始 比较路由源地址 N 与消息源地址 、是否相等 在会话树列表表头中记录 步路由的关键信息： RREQCount++ Agent根据收到的RREQ 查找会话树列表中是香 建立了相应的会话树 If(RREQCount++> Y Threshold) RREQ泛洪被动检测出 在对应的会话树列表 N 发送该RREQ的节点 被动隔离：该节点的 转发该RREQ 中查找发送该消息 在 的前驱节点 D号被记入黑名单 验证此消息的目的序列号和跳记 数与前驱节点收到的RREQ消息 的相应信息的一致性 Y 把该消息对应的关键 伪造的RREQ消息，该包 信息记录到相应的 被丢弃，发送该RREQ的 会话树列表中： 节点被隔离：该节点的D 转发RREQ 号被记人黑名单 结束 图3基于Agent的入侵检测及响应算法 当节点收到一个RREQ节点时，Agent首先比 5 较发送这个消息的节点地址和路由源地址是否相 仿真与分析 等，若相等，则建立这个新发起路由的会话树的表 5.1 仿真环境的建立 头，并在此表头中记录此次路由的源地址、目的地 利用NS2网络仿真平台，对AODV的攻击及安 址、广播D、源序列号等关键信息，用于记录源节 全改进算法进行仿真.使用Tl语言对网络场景进 点发送RREQ数目的RREQCount值加1，如果 行配置，定义了诸如各个移动节点的网络物理接口 RREQCount大于阈值，则Agent判定这次路由请求 类型、天线类型、无线射频参数、无线电波传输范围、 是RREQ泛洪，通过发送包含该节点目的IP地址 媒体访问控制层(MAC)使用协议、移动场景文件、 不可达的RERR消息使发送该RREQ的节点被隔 通信场景文件，移动节点类型及数目、仿真时间等. 离，该节点的ID号被记入黑名单，如果RREQ 模拟参数如表1所示，暂停时间为节点两次运 Count小于阈值，则正常转发该RREQ消息，由于 动之间的停留时间。 网络中的节点数目会随着节点的加入和退出而动态 从表1中可以看出，本次场景在1000m×600 变化，每隔一段时间安全协议将通过安全Agent发 m的范围内有20个节点，建立了5对通信连接，通 出活动节点探测包，获得当前网络中活动节点的数 信节点每秒发送4个分组，节点的通信半径为250 目N,并将RREQCount阈值设为(N-1);因为在 m·本次模拟总共持续时间是300s, 单位时间内，除了发送此RREQ消息的源节点外， 5.2仿真结果及性能评价 当前最多只能有(N一1)个节点接受到该消息，从而 由于每次仿真结束后均生成Trace文件来记录 实现了泛洪检测阈值的动态设定， 仿真过程，通过对该文件的分析就可以得到网络的

Agent 针对 RREQ 路由请求消息的安全检测及 响应算法如图3所示． 图3 基于 Agent 的入侵检测及响应算法 当节点收到一个 RREQ 节点时‚Agent 首先比 较发送这个消息的节点地址和路由源地址是否相 等．若相等‚则建立这个新发起路由的会话树的表 头‚并在此表头中记录此次路由的源地址、目的地 址、广播 ID、源序列号等关键信息．用于记录源节 点发送 RREQ 数目的 RREQCount 值加 1‚如果 RREQCount 大于阈值‚则 Agent 判定这次路由请求 是 RREQ 泛洪‚通过发送包含该节点目的 IP 地址 不可达的 RERR 消息使发送该 RREQ 的节点被隔 离‚该节点的 ID 号被记入黑名单．如果 RREQ￾Count 小于阈值‚则正常转发该 RREQ 消息．由于 网络中的节点数目会随着节点的加入和退出而动态 变化‚每隔一段时间安全协议将通过安全 Agent 发 出活动节点探测包‚获得当前网络中活动节点的数 目 N‚并将 RREQCount 阈值设为（ N—1）；因为在 单位时间内‚除了发送此 RREQ 消息的源节点外‚ 当前最多只能有（ N—1）个节点接受到该消息‚从而 实现了泛洪检测阈值的动态设定． 5 仿真与分析 5∙1 仿真环境的建立 利用 NS2网络仿真平台‚对 AODV 的攻击及安 全改进算法进行仿真．使用 Tcl 语言对网络场景进 行配置‚定义了诸如各个移动节点的网络物理接口 类型、天线类型、无线射频参数、无线电波传输范围、 媒体访问控制层（MAC）使用协议、移动场景文件、 通信场景文件‚移动节点类型及数目、仿真时间等． 模拟参数如表1所示‚暂停时间为节点两次运 动之间的停留时间。 从表1中可以看出‚本次场景在1000m×600 m 的范围内有20个节点‚建立了5对通信连接‚通 信节点每秒发送4个分组‚节点的通信半径为250 m．本次模拟总共持续时间是300s． 5∙2 仿真结果及性能评价 由于每次仿真结束后均生成 Trace 文件来记录 仿真过程‚通过对该文件的分析就可以得到网络的 Vol．29Suppl．2 陈红松等： 基于 Agent 的安全协议对抗 Ad Hoc 网络下的拒绝服务攻击 ·169·

,170 北京科技大学学报 2007年增刊2 表1模拟参数 全问题更加突出 参量 类型及数值 (1)本文提出了一种基于Agent更新机制的 业务流类型 CBR AODV安全路由协议，每个Agent对应一个路由请 媒体访问控制 802.11 求（应答流，Aget本身具有动态的生命周期，有多 节点个数 20 少个流就有多少个Agent实时跟踪路由请求（应答 仿真区域 1000m×600m 流.该安全性扩展协议在原有的AODV路由协议 仿真时间 3005 的基础上通过Agent构造一个与该流对应的会话树 暂停时间 2s 列表，根据攻击特征抽取出Agent安全规则，Agent 分组速率 4pkt/s 根据智能检测算法和安全规则检验网络中RREQ、 连接数目 RREP消息的合法性，动态设定泛洪检测阈值，动态 传输范围 250m 建立和更新相应的会话树，以到达检测攻击、及时响 数据链路带宽 2 Mbps 应的目的 攻击节点数目 1 (2)基于Agent的安全机制中，本文首次提出 了节点可信度的概念，使Agent邻居节点里可信度 关键性能度量指标，如分组转发率、平均传输速度 高的节点有机会成为新的安全Agent,也使安全A- 等，并根据拒绝服务攻击里泛洪和环路攻击的特征 gent可以在自组织网的多个可信节点之间分布、分 而定义了一些新的性能评价指标，由于在泛洪攻击 时运行，比单纯的集中式安全方案提高了容侵性，比 里RREQ数目急剧增加，分组转发率则急剧下降， 完全分布式安全方案降低了计算复杂性、提高了网 本文以此作为对泛洪检测算法评价的度量指标，仿 络可信性，既适应了Ad Hoc网络的动态多跳特征， 真结果如图4所示， 均摊了安全检测的计算代价，又保证了Agent本身 100 的公平及安全性 80 本文对AODV路由协议的攻击、安全机制的分 60 析与研究及定量性能评价，对于Ad Hoc网络将来 的安全性改进及应用具有一定的理论和现实意义， 参考文献 10 [1]Perkins ES.Ad Hoc on-demand distance vector (AODV)routing (Internet draft).http://moment.cs.ucsb-edu/AODV/drafti- 正常 受攻击安全协议保护 etf-manet-aody-13.txt,2003 图4路由泛洪攻击及防御结果 [2]Capkun S.Buttyan L:Hubaux J.Self-organized public-key man- agement for mobile Ad Hoc networks.IEEE Transactions on Mo- 由图4可知，在正常情况下分组传输率为 bile Computing.2003.2(1):52 100%,受到RREQ泛洪攻击后，网络受到大量 [3]Hu Y,Perrig A.Johnson D B.Ariadne:a secure on demand RREQ广播的冲击导致网络拥塞使部分包丢失，分 routing protocol for Ad Hoc networks//Proceedings of the Eighth Annual International Conference on Mobile Computing and Net- 组传输率下降到38%，而在Agent的安全协议下分 working (MobiCom'02).Atlanta.2002:12 组传输率又恢复到98%，接近正常水平，可见由于 [4]Hu Y.Johnson D B.Perrig A.SEAD:secure efficient distance Agent里的安全检测算法通过对请求（应答的跟踪 vector routing for mobile wireless Ad Hoe networks//Fourth 统计，并与RREQCount阈值进行比较，及时检测到 IEEE Workshop on Mobile Computing Systems and Applications 泛洪攻击并对恶意节点进行隔离，使网络免受 (WMCSA'02).Washington DC.2002:3 [5)况晓辉，朱培栋，卢锡城，移动自组网络分布式组密钥更新算 RREQ泛洪攻击的危害，网络的性能迅速恢复到接 法.软件学报，2004,15(5)：357 近正常水平，通过实验验证了本研究提出的安全协 [6]林闯，彭雪海.可信网络研究.计算机学报，2005,28(5)：751 议的正确及有效性， [7]Gray E,Jensen C.Trust evolution policies for security in collabo- rative Ad Hoc applications.Electronic Notes in Theoretical Com- 6 结论 puter Science.2006,157(3):95 Ad Hoc网络通过无线信道在节点间通信，传送 的信息非常容易受到篡改、伪造等各种攻击，网络安

表1 模拟参数 参量 类型及数值 业务流类型 CBR 媒体访问控制 802．11 节点个数 20 仿真区域 1000m×600m 仿真时间 300s 暂停时间 2s 分组速率 4pkt／s 连接数目 5 传输范围 250m 数据链路带宽 2Mbps 攻击节点数目 1 关键性能度量指标‚如分组转发率、平均传输速度 等‚并根据拒绝服务攻击里泛洪和环路攻击的特征 而定义了一些新的性能评价指标．由于在泛洪攻击 里 RREQ 数目急剧增加‚分组转发率则急剧下降‚ 本文以此作为对泛洪检测算法评价的度量指标‚仿 真结果如图4所示． 图4 路由泛洪攻击及防御结果 由图 4 可知‚在正常情况下分组传输率为 100％‚受到 RREQ 泛洪攻击后‚网络受到大量 RREQ 广播的冲击导致网络拥塞使部分包丢失‚分 组传输率下降到38％‚而在 Agent 的安全协议下分 组传输率又恢复到98％‚接近正常水平‚可见由于 Agent 里的安全检测算法通过对请求（应答的跟踪 统计‚并与 RREQCount 阈值进行比较‚及时检测到 泛洪攻击并对恶意节点进行隔离‚使网络免受 RREQ 泛洪攻击的危害‚网络的性能迅速恢复到接 近正常水平‚通过实验验证了本研究提出的安全协 议的正确及有效性． 6 结论 Ad Hoc 网络通过无线信道在节点间通信‚传送 的信息非常容易受到篡改、伪造等各种攻击‚网络安 全问题更加突出． （1） 本文提出了一种基于 Agent 更新机制的 AODV 安全路由协议‚每个 Agent 对应一个路由请 求（应答流．Agent 本身具有动态的生命周期‚有多 少个流就有多少个 Agent 实时跟踪路由请求（应答 流．该安全性扩展协议在原有的 AODV 路由协议 的基础上通过 Agent 构造一个与该流对应的会话树 列表．根据攻击特征抽取出 Agent 安全规则‚Agent 根据智能检测算法和安全规则检验网络中 RREQ、 RREP 消息的合法性‚动态设定泛洪检测阈值‚动态 建立和更新相应的会话树‚以到达检测攻击、及时响 应的目的． （2） 基于 Agent 的安全机制中‚本文首次提出 了节点可信度的概念‚使 Agent 邻居节点里可信度 高的节点有机会成为新的安全 Agent‚也使安全 A￾gent 可以在自组织网的多个可信节点之间分布、分 时运行‚比单纯的集中式安全方案提高了容侵性‚比 完全分布式安全方案降低了计算复杂性、提高了网 络可信性‚既适应了 Ad Hoc 网络的动态多跳特征‚ 均摊了安全检测的计算代价‚又保证了 Agent 本身 的公平及安全性． 本文对 AODV 路由协议的攻击、安全机制的分 析与研究及定量性能评价‚对于 Ad Hoc 网络将来 的安全性改进及应用具有一定的理论和现实意义． 参 考 文 献 ［1］ Perkins E S．Ad Hoc on-demand distance vector （AODV） routing （Internet draft ）．http：∥moment．cs．ucsb．edu／AODV／draft-i￾etf-manet-aodv-13．txt‚2003 ［2］ Capkun S‚Buttyan L‚Hubaux J．Self-organized public-key man￾agement for mobile Ad Hoc networks．IEEE Transactions on Mo￾bile Computing‚2003‚2（1）：52 ［3］ Hu Y‚Perrig A‚Johnson D B．Ariadne：a secure on-demand routing protocol for Ad Hoc networks∥Proceedings of the Eighth Annual International Conference on Mobile Computing and Net￾working （MobiCom’02）‚Atlanta‚2002：12 ［4］ Hu Y‚Johnson D B‚Perrig A‚SEAD：secure efficient distance vector routing for mobile wireless Ad Hoc networks ∥ Fourth IEEE Workshop on Mobile Computing Systems and Applications （WMCSA’02）‚Washington DC‚2002：3 ［5］ 况晓辉‚朱培栋‚卢锡城．移动自组网络分布式组密钥更新算 法．软件学报‚2004‚15（5）：357 ［6］ 林闯‚彭雪海．可信网络研究．计算机学报‚2005‚28（5）：751 ［7］ Gray E‚Jensen C．Trust evolution policies for security in collabo￾rative Ad Hoc applications．Electronic Notes in Theoretical Com￾puter Science‚2006‚157（3）：95 ·170· 北 京 科 技 大 学 学 报 2007年 增刊2

Vol.29 Suppl.2 陈红松等：基于Agent的安全协议对抗Ad Hoc网络下的拒绝服务攻击 171 Agent -based security protocol against DoS attack in Ad Hoc network CHEN Hongsong,WA NG Zhaoshun,NING Shurong Department of Computer Science,School of Information Engineering University of Science and Technology Beijing,Beijing 100083,China ABSTRACI Denial-of-Service (DoS)attacks are the main puzzles in the security of Ad Hoc network.A novel agent-based security routing protocol scheme was proposed to block DoS attacks.Agent can update itself at some interval by the trustworthiness of the neighbor nodes to fit the Ad Hoc distributed routing computing environ- ment.It can efficiently improve trustworthiness and decrease computing complexity.Agent security specifica- tions were extracted by the feature of the attacks.NS2 simulator is expanded to validate the security routing protocol.Simulation results show that agent-based security scheme is highly effective to detect and block DoS at- tacks. KEY WORDS Ad Hoc routing protocol;agent;intrusion detection;network security

Agent-based security protocol against DoS attack in Ad Hoc network CHEN Hongsong‚WA NG Zhaoshun‚NING Shurong Department of Computer Science‚School of Information Engineering‚University of Science and Technology Beijing‚Beijing100083‚China ABSTRACT Denia-l of-Service （DoS） attacks are the main puzzles in the security of Ad Hoc network．A novel agent-based security routing protocol scheme was proposed to block DoS attacks．Agent can update itself at some interval by the trustworthiness of the neighbor nodes to fit the Ad Hoc distributed routing computing environ￾ment．It can efficiently improve trustworthiness and decrease computing complexity．Agent security specifica￾tions were extracted by the feature of the attacks．NS2simulator is expanded to validate the security routing protocol．Simulation results show that agent-based security scheme is highly effective to detect and block DoS at￾tacks． KEY WORDS Ad Hoc routing protocol；agent；intrusion detection；network security Vol．29Suppl．2 陈红松等： 基于 Agent 的安全协议对抗 Ad Hoc 网络下的拒绝服务攻击 ·171·