本章主要討論運作於無基礎行動網路的入侵偵測系統有哪些需求,與系統設 計之考量,規劃偵測模組間溝通與協調方式,並藉由聯合防禦機制,以達到系統 安全之目的。另依據先前所提之分散分析式架構進行修改,實作一個運用於無基 礎行動網路環境下聯合防禦式的入侵偵測系統。
3.1 建構於無基礎行動網路的入侵偵測系統需求
無基礎行動網路因為沒有固定裝置支援,完全由各行動機互相傳遞資料,連 結成為一個動態網路架構,網路的每一個節點都參與資料通訊的過程。特色是不 需要事先設置固定式裝置,如基地台,集線器裝置即可互相通訊,設置成本低廉,
擁有極佳的便利性,透過無線傳輸不需受到環境地形限制。其特色也是發展於無 基礎行動網路的應用系統所面臨最大挑戰,由於其動態架構,固定式的網路概念 無法適用於此特殊型態的網路,以下我們便根據文獻探討中所提的無基礎行動網 路特性[7],分析其所需的入侵偵測系統需求:
表 3-1 無基礎行動網路與入侵偵測設計分析表
無基礎行動網路特性 入侵偵測系統面臨的問題
沒有固定裝置可提供 權責控管或集中管理 的功能
無法採取階層式或集中式管理系統架構,傳統的分散式 入侵偵測系統架構,採取由中控伺服器負責收集與分析 記錄,並通知使用者。此種方式便無法適用於無基礎行 動網路。此外,如何處理節點間的溝通與運作,提高偵 測效率也是一重要課題。
網路拓樸動態改變 節點的移入移出可能相當迅速,也不會固定在網路中的 某個位置,因此當網路中有某個節點加入或離開時,系 統需要不受影響地持續運作,保持整體入侵偵測防護機 制正常。
無線裝置本身也負責 路由傳遞
節點本身也有可能成為攻擊來源,或入侵攻擊的跳板,
因此防禦機制中,需有排除內部網路有問題節點的技 術,與偵測方式。
無線裝置的能源供給 有限
由於無線裝置所能使用的電力有限,面對消耗性和癱瘓 系統的攻擊方式,需有快速有效的應對方法。
從上表分析可以發現,傳統只仰賴單一節點進行偵測的主機型或網路型入侵 偵測系統,收集資料來源有限。通訊可能只在某些節點之間進行,而非傳遞於整 體網路,收集某一主機的系統資訊,或收集某一節點的網路封包,不足以達到監 控整體網路的目標。因此架構方面需朝向分散式系統架構設計,將偵測器佈置於 網路中各節點,才能達到完整的監控功能。
其次,入侵反應防禦機制的考量,由固定式網路的觀點出發,固定式的網路 防護是由入侵偵測裝置,與防火牆共同組成,偵測裝置發現入侵問題,透過入侵 反應元件通知前端防火牆對攻擊來源進行過濾與監視,而達到防護效果。採取此 種防禦策略,因為固定式網路架構乃是透過實體的網路線,與路由器,橋接器,
防火牆等網路裝置所組成,偵測系統只是網路的子節點,發現入侵行為時,偵測 系統本身不具備防護其他電腦裝置的能力,必須透過外圍的防禦裝置執行防禦策 略。其架構圖如圖 3-1
圖 3-1 固定式網路入侵偵測與反應系統
現行的分散式 式管理,或架構
考慮 路環境為例,每台主機一天約可偵測到 5000-20000 次異常入侵,若每個節點在 偵測到異常情況後發出訊息通知其他節點,每個節點送出一次通知,造成的網路
之差異,我們將警告分為三大類,其分類表 3-2 如下所示: 包,造成安全性問題。所以本論文中參考" Voting methods for multiple autonomous agents "[13] 所討論的多數決投票方法(Majority Vote) 作為協 模組的決策根據。
多數決投票的觀念應用於無基礎行 路,所有的節點都有機會發出是否針 對某個入侵來源進行阻擋的警告訊息,考量到可能有偽造警告訊息,不能只接受 一個節點的訊息即做出判斷,若發出警告的節點超過網路全部節點的半數,才接 受此訊息。假設在最少網路節點數的情況,由兩個節點組成的無基礎行動網路也 需要兩個節點都發出通知才會超過半數。因此單一攻擊來源無法偽造訊息讓系統 判斷錯誤,能防止入侵偵測機制受不正確的資訊所誤導。此外,多數投票決的方 法當網路節點數量改變時,投票結果也會隨之修正,能因應無基礎行動網路節點 動態加入或離開的特性,維持正常運作.
.3 小結
中,我們依照無基礎行動網路的特性,深入探討系統建構的特殊需 求,與安全性議題。根據過去研究所提出的成功概念,與實際運作入侵偵測系統 所得到的結論,提出一個具備可行性的入侵偵測系統架構,規劃運作流程與系統 模組,以期得到預期的實驗成果。
動網
3
在本章節