Применение мягких вычислений для обнаружения атак на маршрутизацию в самоорганизующихся беспроводных сетях

Размещено на http://www.allbest.ru/

Применение мягких вычислений для обнаружения атак на маршрутизацию в самоорганизующихся беспроводных сетях

А.Н. Аверкин

А.С. Заруцкий

Аннотация

Одной из основных проблем использования самоорганизующихся беспроводных сетей является безопасность. Применение стандартных подходов к защите передачи данных осложняется открытостью каналов связи и низкой производительностью узлов сети. В данной работе авторы рассматривают возможность применения мягких вычислений для обнаружения атак на маршрутизацию в самоорганизующихся беспроводных сетях.

Ключевые слова и выражения: самоорганизующиеся беспроводные сети, маршрутизация, сетевые атаки, искусственные иммунные системы, протоколы маршрутизации.

Введение

Самоорганизующаяся беспроводная сеть (ad-hoc network) представляет собой децентрализованный набор мобильных узлов, способный самостоятельно сформировать и динамически изменять сеть передачи данных. Благодаря этим качествам самоорганизующиеся сети используются в различных сферах, требующих быстрое развертывание сети, быструю адаптацию к перемещению и исключению узлов, низкую стоимость обслуживания.

Одна из основных проблем ad-hoc сетей - безопасность. Поскольку вся информация передается через открытые каналы связи, а узлы, как правило, имеют ограниченные вычислительные ресурсы, что не позволяет использовать в полной мере криптографические методы защиты, безопасность обеспечивается компромиссными решениями.

Протоколы маршрутизации

Протоколы маршрутизации принято подразделять на проактивные (заранее создающие таблицы маршрутизации) и реактивные (создающие новые маршруты только при необходимости).

Протокол DSDV (Destination-Sequenced Distance-Vector) - проактивный протокол, основанный на таблицах маршрутизации и алгоритме Беллмана-Форда для поиска кратчайшего пути [Perkins et al., 1994]. В отличие от классического алгоритма Беллмана-Форда в протоколе DSDV исключены циклы. Каждый узел сети содержит таблицу маршрутизации для всех возможных направлений, а также номер версии маршрута, привязанный к узлу назначения. Таким образом, если во время передачи информации произойдет смена таблиц маршрутизации, появление цикла все равно будет невозможно, потому что по версии маршрута можно будет определить, какой из них устарел. Обновления таблицы маршрутизации периодически распространяются по сети. Чтобы сэкономить сетевой трафик обновления передаются в двух видах: полная копия таблицы или только обновленные данные.

Реактивный протокол AODV (Ad-hoc On-Demand Distance Vector) основан на алгоритме протокола DSDV [Perkins et al., 1999]. В отличие от DSDV в протоколе AODV узлы не хранят полную таблицу маршрутизации, а запрашивают маршруты только при необходимости, что позволяет экономить сетевой трафик. Если узел-отправитель хочет отправить сообщение узлу-получателю и не имеет готового маршрута до него, то он запускает процесс поиска пути для определения других узлов. Рассылается сообщение с запросом всем соседним узлам, которые затем передают его дальше, пока запрос не достигнет узла-получателя или узла, у которого имеется свежий маршрут до узла-получателя. Протокол использует номера версий маршрутов, что позволяет избежать циклов при передаче сообщений между узлами.

Когда через узел проходит сообщение с запросом маршрута, он записывает в таблицу маршрутизации адрес соседнего узла, от которого пришла первая копия запроса, таким образом выявляя обратный маршрут. Если в дальнейшем узел получит дополнительные копии запроса, они будут проигнорированы. Когда запрос возвращается от узла назначения или от узла, у которого есть маршрут до узла-назначения, узлы на обратном пути записывают этот маршрут в свои таблицы маршрутизации. Маршруту присваивается определенное "время жизни", в течении которого он считается активным. В случае изменения топологии сети узлы инициируют новый поиск маршрута.

Для определения активности соседних узлов в протоколе используются сообщения-приветствия. Актуальная информация о состоянии соседних узлов важна, потому что весь обмен информацией происходит через них.

Протокол ABR (Associativity-Based Routing) основан на метрике, учитывающей стабильность узла. Протокол исключает возможность появления циклов и дубликатов пакетов данных [Royer, et al., 1999]. Каждый узел периодически рассылает соседним узлам сообщение, уведомляющее о его нормальном функционировании, соседние узлы при получении такого сообщения обновляют свои таблицы маршрутизации, повышая коэффициент стабильности узла. Высокие коэффициенты стабильности узлов позволяют выявить надежные маршруты, которые редко меняются с течением времени. Протокол выполняет три основные функции: создание маршрута, обслуживание маршрута и его удаление.

Атаки на маршрутизацию

Сетевые атаки подразделяются на два вида: пассивные и активные. Пассивные атаки подразумевают несанкционированный доступ нарушителя к передаваемой по сети информации без вмешательства в процесс ее передачи. В беспроводных сетях пассивные атаки обнаружить особенно сложно, поскольку информация передается по открытому каналу. Активные атаки подразумевают вмешательство злоумышленника в работу сети с целью искажения информации или нарушения работы сети.

Атака "Черная дыра". Злоумышленник, выступая в качестве одного из узлов сети, отправляет ложную информацию соседним узлам, о наличии кратчайшего маршрута до некоторого узла (узлов), тем самым вынуждая передавать информацию через себя. Например, в протоколе AODV злоумышленник может отправить ложный ответ на запрос нового маршрута, установив более высокий номер версии. В итоге узел-отправитель начнет передавать данные через скомпрометированный узел.

Для предотвращения этой атаки были предложены различные методы. Один из них - использование запроса к узлу, следующему за предполагаемым злоумышленником в цепочке маршрута.

Также возможно определение нарушителя методами статистического анализа, с помощью которых можно определить аномалии в выборе номеров версий маршрутов. Такой подход не требует увеличения объемов сетевого трафика и внесения изменений в протокол, но также приводит к нарушению маршрутизации из-за ложных срабатываний.

Атака многочисленными запросами основана на создании нагрузки на вычислительные ресурсы узлов и каналы связи сети и способна ускорить разрядку элементов питания мобильных узлов и замедлить передачу информации по сети [Yi et al., 2005]. Например, в протоколе AODV примером такой атаки может служить отправка запроса на поиск маршрута к несуществующему узлу - такой запрос обязательно обойдет всю сеть. Многочисленные запросы способны привести систему в неработоспособное состояние, поскольку узлы будут заняты поиском несуществующих маршрутов.

Один из вариантов защиты от этой атаки - ведение статистики запросов на каждом узле. Если от одного из узлов поступает слишком много запросов, его идентификатор заносится в "черный список" и все дальнейшие сообщения блокируются. Одна из проблем этого подхода - узел злоумышленника может использовать идентификаторы узлов сети и заставлять их блокировать друг друга.

Как и в случае с защитой от атаки "черной дыры", для защиты от многочисленных запросов применяется статистический анализ, который позволяет устанавливать лимиты на частоту запросов в зависимости от текущей загруженности сети, что уменьшает вероятность занесения в "черный список" обычных узлов сети.

Атака короткого пути - самая сложная из атак на маршрутизацию в беспроводных сетях [Khokhar et al., 2008]. Для проведения атаки злоумышленник добавляет два дополнительных узла, располагая их в разных частях сети. Эти два узла связываются дополнительным каналом, отличным от основного канала сети и превышающим его в скорости передачи данных. Таким образом, в сети образуется короткий путь.

Узел-отправитель рассылает запрос на построение нового маршрута до некоторого узла-получателя, когда этот запрос доходит до одного из узлов злоумышленника, он передается второму узлу, но не по обычному каналу связи, а другому, более быстрому. Таким образом запрос, проходя через узлы злоумышленника дойдет до получателя быстрее, чем через другие узлы. В итоге ответ от получателя с новым маршрутом пройдет обратно через узлы злоумышленника и будет выбран в качестве маршрута всеми остальными узлами.

Испытание "бессонницей". Атака может использоваться в тех сетях, в которых узлы большую часть времени находятся в режиме ожидания, экономя заряд батареи. Постоянно отправляя запросы узлу злоумышленник вынуждает его расходовать энергию для обработки информации. Для узлов, участвующих в маршрутизации, защититься от такой атаки не представляется возможным - узел не может определить отправителя информации пока её не получит.

Обнаружение атак с помощью искусственных иммунных систем

Модель атак на маршрутизацию с помощью многочисленных запросов (DoS) имеет много общего с моделью иммунной системы [Akyazi et al., 2010], [Shafiq et al., 2007]. Атака производится путем отправки служебных сообщений, имитирующих настоящие сообщения, пересылаемые во время нормального функционирования сети. Задача защиты от этой атаки состоит в определений аномальных запросов. При этом алгоритм должен работать децентрализовано на всех узлах сети.

Авторы предлагают алгоритм обнаружения атак на основе идеи иммунной системы. Биологическая иммунная система представляет собой сложную распределенную адаптивную систему интеллектуальной обработки информации. ИС защищает организм от инородных вирусов и инфекций. Иммунная система способна к обучению, обладает памятью, решает задачи поиска и классификации. ИС обрабатывает огромные объемы информации, поэтому алгоритмы, созданные природой, оказались эффективными и в математических задачах поиска и распознавания.

Чужеродные агенты, находясь в организме, производят молекулы, называемые антигенами. Большая часть антигенов может быть распознана специальными клетками - B-лимфоцитами, которые циркулируют в кровеносной и лимфатической системах в ожидании столкновения с антигенами. B-лимфоциты имеют рецепторы, а точнее специальные молекулы, называемые антителами, на своей поверхности для распознавания антигенов, каждый вид которых имеет уникальную форму. Для распознавания каждого вида антигенов в системе циркулируют соответствующие виды B-лимфоцитов. После того как антиген взаимодействует с антителами B-лимфоцита, стимулируется процесс клонирования лимфоцита. Этот процесс называется клональным отбором. Полученные в результате клонирования лимфоциты могут незначительно отличаться от исходного. Лимфоциты, не взаимодействующие с антигенами постепенно отмирают. Процесс клонирования B-лимфоцитов в результате взаимодействия с антигенами называется иммунным ответом.

Также в функционировании иммунной системы участвуют два процесса - положительный и отрицательный отбор. В результате положительного отбора уничтожаются лимфоциты, которые не могут распознавать собственные молекулы. Отрицательный отбор заключается в выборе лимфоцитов, хорошо распознающих собственные молекулы. В результате этих двух процессов поддерживается необходимое состояние и разнообразие рецепторов B-лимфоцитов.

Децентрализованность и распределенность иммунной системы позволяет рационально выделять вычислительные ресурсы и память на противодействие каждому виду угроз. Чем актуальнее угроза в данный момент времени, тем больше ресурсов будет выделено на борьбу с ней. При изменении угроз иммунная система способна быстро перераспределять ресурсы.

Иммунная система опирается на информацию о враждебных организмах, которую хранят антитела, в случае с сетевой маршрутизацией разумнее опираться на информацию о нормальном функционировании сети (состояние узлов, передаваемые сообщения), поскольку большая часть этой информации уже хранится и обрабатывается большинством протоколов.

Возьмем за основу любой реактивный протокол с метриками узлов. Идея предлагаемого алгоритма состоит в поддержании каждым узлом таблицы характеристик активности других узлов сети, на основе которых можно оценить вероятность того, что пришедшее от некоторого узла сообщение является атакой. В качестве характеристик активности узла предлагается использовать: текущее местонахождение в сети (список идентификаторов соседних узлов), частота отправки запросов на поиск нового маршрута, частота передачи данных, частота отправки сообщений, вычисленная для каждого направления (или несколько наиболее часто используемых). Каждой характеристики назначается определенный вес, значение которого зависит от особенностей структуры и динамики сети.

Характеристики обновляются при каждом взаимодействии с узлом. Периодически узлы рассылают по сети таблицы характеристик - получившие их узлы, корректируют или дополняют собственные таблицы.

В случае резкого увеличения сетевого трафика и невозможности обработать все сообщения от соседних узлов - запускается механизм обнаружения атак. Для каждого входящего сообщения рассчитывается метрика на основе имеющихся характеристик узла-отправителя. Чем выше отклонение метрики, тем выше вероятность того, что сообщение было отправлено злоумышленником, а не обычным узлом сети. Сообщения, метрика которых превышает некоторое пороговое значение, игнорируются. Пороговое значение понижается до тех пор, пока не будет восстановлена работоспособность сети.

Поскольку алгоритм обнаружения атак запускается только в случаях сильной загруженности сети, небольшие изменения в структуре сети (например, перемещение узла) не приведут к его блокировке. Через некоторое время характеристики узла во всех таблицах подстроятся под новое местонахождение и поведение.

В результате проведенного предварительного компьютерного моделирования алгоритм показал свою эффективность в обнаружении и фильтрации сообщений от атакующих узлов, не позволяя нарушить нормальную работу сети.

Заключение

Самоорганизующиеся беспроводные сети обладают рядом преимуществ перед классическими сетями: высокая скорость развертывания, быстрая адаптируемость, высокая стойкость к аппаратным сбоям. Однако, открытые беспроводные каналы связи открывают множество уязвимостей. Стандартные методы защиты передачи данных с использованием шифрования, цифровой подписи, аутентификации не всегда могут быть использованы из-за аппаратных особенностей узлов сети.

Применение мягких вычислений для выявления атак на маршрутизацию способно увеличить надежность сети при незначительном увеличении потребления ресурсов.

Благодарности. Работа поддерживается грантом РФФИ 10-01-00851-а "Интеллектуальные гибридные системы поддержки принятия решений на основе нечеткого когнитивного моделирования и иерархической модели оценивания". связь маршрутизация беспроводный

Список литературы

1. [Стефанюк, 2004]. Стефанюк В.Л., Локальная организация интеллектуальных систем: модели и приложения. - М.: Физматлит, 2004.

2. [Akyazi et al., 2010] Akyazi, Uyar, Detection of DDoS Attacks via an Artificial Immune System-Inspired Multiobjective Evolutionary Algorithm// Apps. of Ev. Computation, 2010.

3. [Khokhar et al., 2008] Khokhar, Ngadi, Mandala. A Review of Current Routing Attacks in Mobile Ad Hoc Networks // The International Journal of Computer Science and Security, 2008.

4. [Perkins et al., 1994] Perkins, Bhagwat. Highly Dynamic Destination-Sequenced Distance-Vector Routing (DSDV) for Mobile Computers // Conf. on Comm. Architectures, Prot. and Apps., 1994.

5. [Perkins et al., 1999] Perkins, Royer. Ad Hoc On-Demand Distance Vector Routing, 2nd IEEE Wksp. Mobile Comp. Sys. and Apps., 1999.

6. [Royer, et al., 1999] Royer, Toh. A Review of Current Routing Protocols in Mobile Ad Hoc Networks // IEEE Personal Communications, 1999.

7. [Shafiq et al., 2007] Shafiq, Farooq. Defence Against 802.11 DoS Attacks Using Artificial Immune System, Lecture notes in CS, 2007.

8. [Stefanuk, 1973] Stefanuk V.L. 'Mutual Assistance' in an Aggregate of Radio Stations. Problems of Information Transmission. - Plenum Publishing Corporation, N.Y. 1973. V.7. N.3.

9. [Yi et al., 2005] Yi et al., A New Routing Attack in Mobile Ad Hoc Networks, Intl. J. Info. Tech., 2005. Vol. № 11.

Размещено на Allbest.ru