1

از طريق تقاضاي زياد مسيريابي DoSسامانه تشخيص نفوذ براي مقابله با حمله

مهرداد ابوعلي، محمود صالح اصفهاني

، دانشكده برق و فناوري اطالعات و ارتباطات)ع(دانشگاه امام حسين

msaleh@ihu.ac.ir, aboali@kavatelecom.com

اين توجه موجب بوجود آمدن زمينه هاي . سيم به طور چشم گيري مورد توجه قرار گرفته است در سال هاي اخير تكنولوژي بي - چكيده

باشد كه گره مي Ad hocسيم يكي از اين زمينه هاي كاري، شبكه هاي بي. فعاليت جديدي در عرصه شبكه هاي كامپيوتري گرديده است

، تغييرات توپولوژيكي Ad hocدر حقيقت طبيعت شبكه هاي . كنند هاي شبكه براي برقراري ارتباطات از هيچگونه زيرساختي استفاده نمي

ذاتي به دليل طبيعت متغير ارتباطات بين گره ها و همچنين مشكالت امنيتي. باشد مداوم و عدم وابستگي گره ها به يك واحد مركزي مي

.باشد سيم، برقراي امنيت در اينگونه شبكه ها كار بسيار مشكلي مي شبكه هاي بي

اين سامانه . گردد ارائه مي Ad hocدر اين مقاله، يك سامانه تشخيص نفوذ جديد براي تشخيص حمالت فعال عليه مسيريابي در شبكه هاي

حسن عملكرد . ل رسانده و عملكرد شبكه را در حد قابل قبولي نگه خواهد داشتپس از تشخيص حمله با اتخاذ تدابيري، اثر حمله را به حداق

سامانه تشخيص نفوذ پيشنهادي، منجر . باشد اين سامانه تشخيص نفوذ، مقابله آني آن با گره هاي حمله كننده و خنثي كردن حمله آن ها مي

ما در نهايت كار خود . گيرد ترافيك شبكه و پروتكل مسيريابي قرار مي به تغير پروتكل مسيريابي نخواهد گرديد بلكه به عنوان يك واسط بين

.باشد نتايج شبيه سازي بيانگره عملكرد موثر روش ما مي. كنيم شبيه سازي مي OPNETرا با استفاده از نرم افزار قدرتمند

Adhoc، اقتضايي، IDSتشخيص نفوذ، - كليد واژه

مقدمه - 1

استفاده مكانهاييدر اغلب Ad hocسيم هاي بي شبكه

ييا سلولكابلي شبكه مناسبي براي ساخت زير د كه وش مي

مهم شبكه ي هاي از ويژگي يك .ه باشدوجود نداشتدر آنجا

شبكه بدون نياز به ي اينست كه گره ها Ad hocي ها

شبكه با هم ارتباط برقراري هرگونه زير ساخت قبل

قتدر حقي Ad hocسيم بي يشبكه ها. ]3[كنند مي

باشند كه قادرند مي سيم بي يها از گرهي مجموعه ا

را بدون نياز به زير ي راديويي پرشبسرعت يك شبكه چند

.]4[ تشكيل دهندي خاص يا مديريت مركز ساخت

Ad hocي امنيت در شبكه هاي ديگر بر قراري از سو

آن، كزتمركامالً غير مي بخاطر طبيعت متغير و توپولوژ

يشبكه هاي ها و محدوديت هاي رمزيد بر آسيب پذي

يشبكه هاي از مشخصه هاي يك. سيم گرديده است بي

بايد در امر اين است كه همه گره ها Ad hocسيم بي

ي ها از اين رو روش .]6، 5، 1[ شركت داده شوندي مسيرياب

شبكه . در اين شبكه ها قابل استفاده نيستي سنت يمسيرياب

در مقايسه با شبكه ي كمتر سيم به مراتب از امنيت بي يها

سيم بي يدر شبكه ها رايز .برخوردارندي سيمي ها

Ad hocشود هر گره مي ، از آنجا كه اطالعات در هوا پخش

به ي تواند آن اطالعات را شنود كرده و يا حت مي نيزي سوم

در حقيقت در اينگونه شبكه ها تشخيص گره . شبكه بپيوندد

ي بنابراين شبكه ها. دگرد مي بدخواه بسيار مشكلي ها

2

Ad hoc دارند كه همواره با ي بخصوصي مخاطرات امنيت

قابل ي سيمي مخصوص شبكه هاي امنيتي استفاده از روشها

.]7[ باشند نميحل

به مسئله Ad hocسيم بي يامنيت در شبكه هاي برقرار

در سرتاسر دنيا ي تبديل شده است كه محققان بسياري بزرگ

محققان ي اصلي رويكرد ها. ه استرا بخود مشغول داشت

توان به دو مي حل مسئله امنيت در اين شبكه ها راي برا

و استفاده ي طراحاول رويكرد ؛]8[ تقسيم كردي دسته اصل

. باشد مي امن در اينگونه شبكه هاي مسيريابي از روشها

معموال بر پايه استفاده از ي مسيريابي اين روشهاي مبنا

اما از . باشد مي اين گونه شبكه هادر ي رمزنگاري روشها

، Ad hocي آنجا كه بخاطر ساختار غير متمركز شبكه ها

مديريت كليد و ي امكان استفاده از مراكز قابل اعتماد برا

مورد استقبال قرار ي احراز هويت وجود ندارد، اين روش بخوب

حل مشكل ي محققان براي رويكرد دوم و اصل. نگرفته است

ي ، استفاده از سيستم هاAd hocي اامنيت در شبكه ه

با استفاده از اين روشها، امكان . باشد مي تشخيص نفوذ

محققي احتمالي مشكوك و حمله هاي رفتارهاي شناساي

ايتشخص نفوذ معموال ي سيستم ها هدف.گردد مي

تشخيص حمالت شناخته اي مشكوك وي تشخيص رفتارها

شكوك، مي در روش تشخيص رفتارها. ]9[دباش مي شده

يا ي عصبي مثل شبكه هاي معموال با استفاده از روش هاي

ي غير نرمال را از رفتار هاي رفتارها 1استخراج اطالعات

از خود ي را كه رفتار مشكوكي كنند؛ و گره ا مي نرمال جدا

يدهد را به عنوان گره حمله كننده معرف مي نشان

از اين رو اين روشها معموال با قطعيت عمل. كنند مي

نرمال را به ي اوقات به اشتباه گره هاي كنند و گاه نمي

گونه دوم . كنند مي يخالف كار معرفي عنوان گره ها

كنند كه مي تشخيص نفوذ به اينصورت كاري سيستم ها

عملكرد حمالت شناخته شده را به سيستم خود آموزش

يدات الزم هدهند تا در مواقع رخداد حمله در شبكه تم مي

له با حمله كننده اتخاذ كرده و تا حد ممكن را جهت مقاب

بخاطر قطعيت بيشتر اين روش در . آثار حمله را كاهش دهد

1 Data mining

از شركت ها از اين ي خالف كار، بسياري تشخيص گره ها

خود ي تشخيص حمالت در محصوالت تجاري روش برا

.]8[ [8] كنند مي استفاده

، Ad hocي امنيت در شبكه هاي جهت برقرار ن تحقيقدر اي

ي يك سامانه تشخيص نفوذ با استفاده از روش دوم، يعن

. گرديده استي تشخيص حمالت شناخته شده، طراح

تشخيص حمله صدد شده دري سامانه تشخيص نفوذ طراح

به عبارت ديگر در . دباش مي گره ها به هدر دادن منابع

ه در صدد به اشباع رساندن كه شخص حمله كنندي زمان

باشد؛ سامانه تشخيص نفوذ، مي شبكه و تحليل منابع شبكه

را از شبكه ي كرده و گره خاطي گره حمله كننده را شناساي

.اخراج نمايد

باشد؛ در بخش مي رين مقاله بصورت زبعدي اي يبخش ها

نه يصورت گرفته در زمي قات و كارهاياز تحقي پاره ا 2

مورد Ad hocي ص نفوذ در شبكه هايتشخي ستم هايس

شبكه ي تيمخاطرات امن 3بخش . قرار خواهد گرفتي بررس

در . دارد مي انيرا ب آنهامقابله ي و روشها Ad hocي ها

ارائه ي شنهاديپص نفوذ يسامانه تشخطراحي 4بخش

به شبكه ي ن سامانه حمله اعماليبا استفاده از ا .گرديده است

ي ه سازيج شبينتا. شود مي ابلهبا آن مقشده و ي يشناسا

ي ابيمورد ارز 5ص نفوذ در بخش ين سامانه تشخيعملكرد ا

عملكرد روش ي ز به جمع بندين 6بخش . قرار خواهد گرفت

.نده اختصاص داده شده استيآي و كارهاي شنهاديپ

قيتحق سابقه -2

يت برقرايو اهم Ad hoc يگسترش استفاده از شبكه ها

قات يها باعث شده است كه تحق نگونه شبكهيت در ايامن

ي ا اولين مقاله] 8[ مقاله. ردينه صورت پذين زميدر ا يفراوان

تشخيص نفوذ ي سيستم هاي است كه بطور خاص به بررس

نكته اين اين مقاله به .پرداخته است Ad hocي درشبكه ها

از نفوذي جلوگيري كه اولين سطح امنيت ه استشداشاره

دراين . دگرد مي خط دفاع محسوبدومين IDSباشد و مي

تشخيص حمالت شناخته شده و ي مقاله به دو تكنيك اصل

مشكوك اشاره شده و بر اساس يك ي تشخيص رفتارها

مجهز ساخته IDSساختار توزيع شده همه گره ها را به

3

تشخيص حمالت از روشي همچنين در نهايت برا. است

ده از مشكوك بهره جسته و با استفاي تشخيص رفتارها

چون سرعت گره، درصد تغيير مسير، درصد ي معيارهاي

يمشكوك را شناسايي رفتارها... ، فاصله و پرشتغيير تعدا

ي مسيريابي درباره قابليت پروتكلها] 8[ مقاله. كند مي

ي مختلف در جهت تسهيل عمليات تشخيص نفوذ در زمان

باشد، صحبت مي كه هدف تشخيص حمالت شناخته شده

از گره ي تعدادي فقط رو IDSي ين مطالعه با اجراا. كند مي

اين مطالعه . دركم كردن استفاده از منابع داردي ها، سع

داشته IDSنيست همه گروه ها مزالدهد كه مي نشان

IDSاز گره ها را به ي توان بطور رندم تعداد مي باشند؛ بلكه

ي امنيت دراليه شبكه مورد بررس ]8[ در مقاله .مجهز كرد

جهت تشخيص ي بعنوان ابزار IDSاز .ر گرفته استقرا

آن ها به .استفاده شده است SVM1حمالت بر اساس يك

ي اين نتيجه رسيدند كه يك سامانه تشخيص نفوذ سلسه ا

يك ]8[ مقاله. دارد ييباالبسيار ي توزيع شده كارايي مراتب

تشخيص ي از تحقيقات جديد درباره سيستم ها مرور كامل

در حقيقت . كند مي را ارائه Ad hocي كه هانفوذ در شب

ي بر امضاء، مبتني ها را به سه دسته مبتن IDSنويسندگان،

كرده ي بر مشخصه ها تقسيم بندي بر رفتار مشكوك و مبتن

يافتن ي امضاء، ترافيك شبكه را براي تشخيص بر مبنا. اند

بنابراين اين روش . كند مي يحمالت شناخته شده بررس

ي تشخيص مبتن. كندي حمالت جديد را شناسايتواند نمي

ي بر رفتار مشكوك، با توجه به رفتار نرمال شبكه، رفتارها

كنند؛ بنابراين با استفاده از اين مي يغير نرمال را شناساي

در روش . شوندي روش ممكن است حمالت جديد شناساي

از ي بر مشخصه ها، مجموعه اي تشخيص مبتني سوم يعن

گردد و انحراف از مي صحيح مشخص يحدود عملكردها

بنابراين اين . شود مي اين حدود به عنوان حمله شناخته

. تواند منجر به تشخيص حمالت جديد گردد مي روش نيز

ي براي ، نويسندگان يك ماشين حالت متناه]8[ در مقاله

ي طراح AODVي مشخص كردن عملكرد صحيح مسيرياب

ده شده در هر گره، كردند؛ و با استفاده از ترافيك مشاه

. كردند مي انحرافات گره ها را از عملكرد صحيح مشخص

1 Support Vector Machime

خود خواه در ي گره هاي شناسايي را براي روش [8] مقاله

ي در مسيريابي شبكه با استفاده از يك ماشين حالت متناه

AODV ين حالت رفتار با استفاده از اين ماش. دهد مي ارائه

گرفت و در نهايت گره مي قراري شبكه مورد بررسي گره ها

نرمال ي خودخواه و گره هاي شبكه در دو دسته گره هاي ها

انيزم با استفاده از مك [8] [16] مقاله. گرفتند مي قرار

Watchdog داده را حذفي را كه پاكت هاي گره هاي

كرد و با استفاده از مكانيزم مي يكردند شناساي مي

Pathrater كه شامل گره خطا كار بود پرهيزي از مسيرهاي

.كرد مي

Ad hocي شبكه هاي تيمخاطرات امن - 3

ي توان درباره مخاطرات امنيت مي كهي يك تقسيم بند

ام داد از نقطه نظر هدف حملهانج Ad hocي شبكه ها

از حمالت يك گره ي باشد؛ بدين صورت كه هدف برخ مي

ديگر با هدف از كار انداختن كل ي باشد و برخ مي خاص

حالت دوم خود به سه دسته . كنند مي شبكه شروع بكار

حمله به مسيريابي، به هدر دادن منابع و حمله به اطالعات

به طور كامل ي اين دسته بند. [8] گردد مي يتقسيم بند

در زمان حمله به . نشان داده شده است 1شكل در

ي تواند اقدام به حذف پاكتها مي گره خطا كاري مسيرياب

. اشتباه را در شبكه ترويج دهدي كرده و يا مسير هاي كنترل

خواهد منابع شبكه را به هدر دهد، مي كهي حمله كننده ا

ي مكرر مسيريابي ممكن است اقدام به ارسال درخواست ها

را در شبكه حذف ي خاصي تواند پاكتها مي همچنين. نمايد

از .نمايندي همسايه مرتبا اقدام به مسيريابي كند تا گره ها

ت، ؛ حمالIEEE 802.11xطرف ديگر بر اساس استاندارد

سيم خطرها و ريسك هاي موجود در شبكه هاي محلي بي

.[8] گردند به دو دسته فعال و غيرفعال تقسيم مي

4

كل شبكهي حمالت با هدف از كار اندازي دسته بند. 1شكل

به منابع ي ر به نحوكه نفوذگند ن صورتيبدرفعال يغحمالت

اطالعات منبع را تغيير ي محتواي يابد،ول مي دستي اطالعات

از اشكال شنود ي تواند به يك مي اين نوع حمالت. دهد نمي

، برخالف فعال در حمالت .[8] ساده يا آناليز ترافيك باشد

مورد نظر را، كه از منابع حمالت غيرفعال، نفوذگر اطالعات

دهد، كه تبعاً انجام اين تغييرات مي آيد، تغيير مي به دست

كه در اين نوع حمالت اطالعات ي از آن جاي. مجاز نيست

امكان ي رخ داد حمالت فرايندي كنند، شناساي مي تغيير

در اين حمالت به چهار دسته مرسوم زير تقسيم . پذير است

تغيير ، ي جعلي پاسخ ها،تغيير هويت :[8] گردند مي يبند

نفوذگر يا ،DoSاز نوع يدر حمالت 1DoS ي حمله هاو پيام

تغيير نحوه كاركرد يا مديريت يك سامانه ي حمله كننده برا

ي ساده ترين نمونه سع. كند مي اقدامي يا اطالعاتي ارتباط

يو سخت افزاري نرم افزاري الينت هادر از كارانداختن ك

نفوذگر پس از از كارانداختن پيرو چنين حمالتي، . باشد مي

ي براي ست كه مشكالتيايك سامانه، كه معموالً سامانه

به اطالعات فراهم كرده است، اقدام ي دسترسي نفوذگر برا

ي در برخ. كند مي يبه سرقت، تغيير يا نفوذ به منبع اطالعات

حمله انجام شده، سرويس مورد نظر به ي در پ از حاالت،

آن مختلي گردد و تنها كاراي نميطور كامل قطع

تواند با سوءاستفاده از مي در اين حالت نفوذگر. گردد مي

به همان سرويس نيز /اختالل ايجاد شده به نفوذ از طريق

از حمله به هدر ي م گونه اين مقاله قصد داريدر ا.اقدام كند

1 Denial-of-Service

كه جزء ن حملهيا. ميقرار دهي را مورد برس دادن منابع

ش از حد يگردد، با ارسال ب مي حمالت فعال محسوب

ي ، در صدد به هدر دادن منابع گره هايابيريمسي تقاضا

در دسترس بودنت به خطر انداختن يگر و در نهايد گره ها 2

.باشد مي

مورد ي رمزنگاري، تعيين هويت، و مديريت كليد بطور وسيع

ي جلوگيري بيروني ها گيرند تا از حمله ه قرار مياستفاد

ي ها در شبكهي اين روش ها با مشكالت گوناگون. كنند

Ad hoc ي ابتدا با در نظر گرفتن توپولوژ. مواجه هستند

يابيم كه متغير در ارتباطات و روابط قابل اعتماد در مي

شود به يك گره اعتماد كرد يا نه تشخيص اينكه آيا مي

دوم اينكه ما بايد نبود زير ساخت در . ه زمان استوابسته ب

هر طرح متمركز : را مد نظر داشته باشيم Ad hocي ها شبكه

ها مواجه گرهي در آرايش و قرارگيري ممكن است با مشكالت

ي ها گرهي از دخالت و خرابكاري جلوگيري براي گروه.باشد

ي هاي ابيريمسي طراحي ، براديگر از ساختار كليد عمومي

كنند؛ اما متاسفانه اين روش بسيار گران استفاده مي امن،

ي گر استفاده از سيستمهايرويكرد د. [8] شود تمام مي

ي ، ميباشد كه هدف آن تجهيز گره هاIDSتشخيص نفوذ،

ي و مقابله با رفتارهاي موجود درشبكه جهت شناساي

يا زيرساخت ي مسيريابي ن تغيير در پروتكلهابدخواهانه بدو

از ي مقصود از نفوذ، هرمجموعه ا باشد مي مورد استفاده

2 Availability

5

است كه در صدد به مخاطره انداخت تماميت، ي كارهاي

. [8] باشد مي ييا در دسترس بودن منابع اطالعاتي محرمانگ

از حمالت بعنوان اولين خط دفاع يجلوگيري تكنيك ها

از ي است كه جلوگيري شوند اين درحال مي محسوب

باشد زيرا نميي امنيت كافي جهت برقراري حمالت به تنهاي

علل خصوص در زمينه شبكه ي امينت كامل در هيچ سيستم

آن وجود ي ذاتي هاي بخاطر آسيب پذير Ad hocي ها

توانند بعنوان مي تشخيص نفوذي درنتيجه سيستم ها. ندارد

دومين خط دفاع در نظر گرفته شوند كه كار آن ها جمع

تشخيص ي اطالعات و تجزيه و تحليل ترافيك براي آور

به محض تشخيص يك حمله در . [8] باشد مي حمالت

تمحيدات الزم جهت كاهش اثر حمله صورت ،مراحل اوليه

توان از نظر مي را تشخيص نفوذي سيستم ها .د گرفتخواه

دهد به دو دسته مي كه مورد استفاده قراري نوع اطالعات

IDSيك .تقسيم كرد 2بر ميزباني و مبتن 1بر شبكهي مبتن

دروازه ي شود كه بر رو مي بر شبكه خواندهي مبتني وقت

كه از آنجا عبوري ا شبكه نصب شود و ترافيك شبكه

ي مسلماً اين رويكرد برا. قرار دهدي مورد بررس كند را مي

زيرا هيچ نقطه . باشد نميمناسب Ad hocي شبكه ها

Ad hocي اطالعات درشبكه هاي جمع آوري براي مركز

ي جمع آوري زبان بر مبنايبر مي مبتن IDSيك . وجود ندارد

مختلف شبكه عملي گره هاي شبكه روي اطالعات ترافيك

بطور جداگانه درون هرگره تجزيه كند اين اطالعات مي

امن كردن ي شوند و از نتايج آن هم برا مي وتحليل

شود و هم ممكن است از مي گره مذكور استفادهي فعاليتها

ديگر شبكه از وجود ي دادن گره هاي آگاهي اين نتايج برا

ك سامانه ين مقاله يما در ا .گره حمله كننده استفاده شود

ه هدر بكشف حمله ي برا زبان،يبر مي مبتن ص نفوذيتشخ

ص ين سامانه تشخياي طراح .دم دايارائه خواه ،دادن منابع

.ان خواهد شديل بينفوذ در بخش بعد به تفص

ص نفوذيسامانه تشخي طراح -4

به منظور تشخيص حمالت ،سامانه تشخيص نفوذ ارائه شده

1 Network based

2 Host based

و بخصوص در هنگام Ad hocسيم بي يدر شبكه ها

با اين . شده استي طراح ،DSR [8]ي استفاده از مسيرياب

ي حال با اعمال تغييرات اندك اين سيستم در همه پروتكلها

يقابل پياده ساز AODVبنابه درخواست از جمله ي مسيرياب

اين سيستم در حقيقت با گوش سپردن به ترافيك . باشد مي

تواند وجود حمله را درشبكه مي آني به گره و بررسي ورود

از آنجا كه . تشخيص داده و درصدد مقابله با آن برآيد

تشخيص حمله نيازمند ارسال هيچ گونه داده ي سيستم برا

به شبكه ي منجر به اعمال هيچگونه سربار ،باشد نميي ا

را به خود اختصاص نخواهد ي باندي نخواهد شد؛ و هيچ پهنا

ه اين سيستم هيچگونه عمليات بعالوه از آنجا ك. داد

بد خواه اعمال ي محافظت دربرابر گره هاي را براي رمزنگار

را نيز به گره ها ي خاصي دارد، بنابر اين سربار محاسبات نمي

ي از آنجا كه واحد تشخيص نفوذ بر رو. اعمال نخواهد كرد

شبكه نصب ميگردد سيستم مايك سيستم ي همه گره ها

و گره ها مستقالً حمالت را . اشدب مي كامالً توزيع شده

گرياز طرف د. پردازند مي تشخيص داده و به مقابله با آن

ي تشخيص حمالت شناخته شده طراحي اين سيستم برا

ي تشخيص مبتني شده است؛ بنابراين جزء دسته سيستم ها

ن صورت يستم بديعملكرد س .گردد مي بردانش محسوب

به گره را ي ورودي واحد شنود، اطالعات ترافيكاست كه

ي كند كه چه پاكتهاي مي قرار داده و مشخصي مورد بررس

واحد شنود، اطالعات مشكوك را .بيشتر دارندي نياز به بررس

وظيفه واحد ثبت .دهد مي ليبه واحد ثبت رخداد تحو

رخداد تهيه اطالعات مورد نياز واحد تشخيص حمله

رافات گره در حقيقت واحد ثبت رخداد تعداد انح. باشد مي

كند و واحد مي يهمسايه ازعملكرد نرمال را جمع آوري ها

تشخيص حمله با استفاده از اين اطالعات نوع حمله را

در . دارد مي تشخيص داده و به واحد مقابله با حمله اعالن

پايان واحد مقابله با حمله تمحيدات الزم جهت كاهش اثر

ي قت هدف اصلير حقد .نمايد مي حمله و مقابله با آنرا اتخاذ

Ad hocي شبكه هاي ما ارائه يك سامانه تشخيص نفوذ برا

كه به محض تشخيص حمله، ي باشد؛ به نحو مي سيم بي

مقابله با ي برارا ي گره تشخيص دهنده بايد واكنش مناسب

شبكه در حد قابل قبول، ي حفظ كاراي گره حمله كننده و

ص يامانه تشخعملكرد سي ش چگونگينماي برا .دياتخاذ نما

6

يطراح FSMي يك ماشين حالت متناه ،يشنهادينفوذ پ

شود كه آيا گره همسايه مي در اينجا مشخص. ميكن مي

ي البته بخاطر رفتار ها. همان گره حمله كننده است يا نه

موارد به ي ممكن است در برخ Ad hocي متفاوت شبكه ها

در مثالً. شودي به عنوان گره خطاكار شناسايي اشتباه گره

گرفته رقراي در جايي كه يك گره از نظر جغرافياي شرايط

كنار هم باشد، ي باشد كه تنها واسط بين دو گروه از گره ها

ارسال كند؛ يا در RREQپاكتي ممكن است تعداد زياد

ي متعددي ارتباط با گره هاي مجبور به برقراري شرايط خاص

وان گره در اين صورت اگر سيستم اين گره را بعن. باشد

. بزرگ رخ داده استي از شبكه طرد كند، يك خطاي خاط

ي طراحي كم كردن اينگونه خطا ها، سيستم به گونه اي برا

را دريك مدت زمان محدود قابل ي شده است كه گره خاط

نمودار 2شكل .كند مي دقيقه از شبكه طرد 1تنظيم مثالً

حالت زماندار سامانه تشخيص حمله را نشان ماشين

گردد؛ هر زمان كه يك مي آنچنان كه مشاهده. دهد مي

همسايه دريافت شود ي از گره هاي از يك RREQپيام

ي شود گره مشاهد كننده ليست مي يماشين حالت راه انداز

فرستاده اند تهيه RREQكه اخيراً پيام ي كساني از تمام

ي ارسال RREQي ارنده تعدد پاكتهاكرده و بوسيله يك شم

همچنين عالوه بر تهيه . توسط هر گره را محاسبه نمايد

. باشد مي ليست و شمارش تعداد تقاضا،به يك تايمر نيز نياز

است كه در آن مدت ي وظيفه اين تايمر تعيين مدت زمان

هرگره نبايد از يك حد ي ارسال RREQي زمان تعداد پاكتها

ها به گونه IDSي مثال درشبكه اي برا. آستانه بيشتر گردد

ي ها RREQكه تعداد ي تنظيم شده اند كه درصورتي ا

10ثانيه بيش از 1مدت زمان ي توسط يك گره طي ارسال

پاكت باشد آن گره به عنوان گره خالف كار در نظر گرفته

تشخيص داده ي خواهد شد و در غير اينصورت حمله ا

.شود نمي

شوند ودر ها به همراه تايمر صفر مي در اين صورت شمارنده

ها را شمارش RREQثانيه بعدي دوباره شمارنده ها تعداد

نشان داده شده است؛ 2شكل آنچنان كه در. كنند مي

شمارنده مربوط RREQماشين حالت با دريافت هر پاكت

و تا . دهد فزايش ميبه گره فرستنده پيام را يك واحد ا

ماشين (t< tck)زماني كه دوره تناوب به پايان نرسيده است

باقي خواهد ماند و همچنين در صورت 2حالت در مرحله

شمارنده مربوط به گره فرستنده افزايش RREQدريافت

پس از پايان يافتن زمان تايمر مقدار شمارنده هاي . يابد مي

شود و در صورتي مي مربوط به گره هاي مختلف محاسبه

كه هر يك از اين مقادير ازيك حد آستانه قابل تنظيم

ها، بعنوان گره خاطي RREQبزرگتر باشد گره فرستنده اين

و ماشين حالت به وضعيت اعالن . شود در نظر گرفته مي

از گره خاطي هيچ پيامي Toutخطر رفته و به مدت

ي گره خطا Toutپس از گذشت زمان . شود پذيرفته نمي

شود كه خاطي بخشيده شده و به آن گره اجازه داده مي

.دوباره به شبكه بپيوندد

نمودار ماشين حالت سامانه تشخيص نفوذ. 2شكل

7

عملكردي ابيو ارزي ه سازيشب - 5

سامانه تشخيص نفوذ ي و پياده سازي شبيه سازي برا

نرم افزار . تفاده كرديماس OPNETما از نرم افزار پيشنهادي،

OPNET ي شبيه سازي يك نرم افزار بسيار قدرتمند برا

كه ما در OPNETنرم افزار 10نسخه .باشد مي شبكه

استفاده در ي را برا DSRي اختيار داشتيم پروتكل مسيرياب

ه يشب يپارامتر ها. فراهم آورده بود Ad hocي شبكه ها

آنچنان كه مالحظه .بيان شده است 1جدول در يساز

متر مربع، تعداد 2000گردد، در يك فضا به مساحت مي

گره در نظر گرفته شده است كه هر كدام ترافيكي در 30

در . كنند بايت بر ثانيه را به شبكه اعمال مي 1024حدود

ر ادامه ميزان ترافيك دريافتي در حاالت مختلف شبكه را د

وضعيتي كه ترافيك ارسالي آنها در هر سه حالت با هم برابر

باشد را در يك نمودار با كيلو بايت بر ثانيه مي 28و معادل

كنيم هم مقايسه مي

شبيه سازيي پارامترها. 1جدول

OPNET_v10 شبيه ساز

ثانيه 400 مدت زمان شبيه سازي

2000* 2000 پياده سازيي مساحت فضا m

30 تعداد گره ها

m 400 برد راديويي

CBR (UDP) نوع ترافيك

بايت 512 حجم اطالعات هر پاكت

پاكت در ثانيه 2 نرخ ارسال

1 مخربي تعداد گره ها

در شرايط ي مقايسه ميزان ترافيك داده دريافت .3شكل .

اين شكل به خوبي . كند را با هم مقايسه مي مختلف شبكه

. دهد تاثير وجود سامانه تشخيص نفوذ در شبكه را نشان مي

نمودار آبي رنگ عملكرد شبكه را در حالت نرمال نشان

نمودار قرمز رنگ نيز كه در پايين ترين وضعيت .دهد مي

دهد و قرار دارد، عملكرد شبكه را در زمان حمله نشان مي

ين حالت گره هاي شبكه، مجهز به سامانه البته در ا

در نهايت نمودار سبز رنگ بيانگر . باشند تشخيص نفوذ نمي

.باشد عملكرد سامانه تشخيص نفوذ مي

در شرايط مختلف شبكهي مقايسه ميزان ترافيك داده دريافت. 3شكل

3شكل مقادير متوسط نمودارهاي ترسيم شده در 4شكل

نمودار مشكي رنگ كه در باالي همه قرار . دهد مي را نشان

. دهد مي دارد، مقدار متوسط اطالعات ارسالي را نشان

نمودار آبي رنگ مقدار متوسط اطالعات دريافتي درحالت

به ترتيب قرمزو سبزداده و نمودارهاي نرمال شبكه را نشان

داده هاي دريافتي در وضعيت استفاده از سامانه تشخيص

با استفاده از . دهند مي نفوذ و شبكه تحت حمله را نشان

شود كه؛ بازده شبكه در مي اين شكل در نهايت مشاهده

و % 25، در شرايط حمله حدود %94شرايط نرمال در حدود

%95ه تشخيص نفوذ وجود دارد معادل كه ساماني در شرايط

ما، به ي در نتيجه سامانه تشخيص نفوذ پيشنهاد. باشد مي

شبكه در زمان حملهي موجب افزايش كارآي% 70ميزان

شده است

شبكه در حاالت مختلفي و دريافتي ارسالي متوسط ترافيك ها. 4شكل

وپيشنهاداتي نتيجه گير - 6

مشخص گرديد، سامانه تشخيص ي از نتايج ارزياب آنچنان كه

8

در ي ما موجب افزايش عملكرد چشمگيري نفوذ پيشنهاد

.گردد مي زمان وقوع حمله

بر نتايج حاصله ي نتايج بدست آمده در اين ارزيابي، تصديق

امانه س. باشد مي RIDAN [8]از سامانه تشخيص نفوذ

ي مشابه البته در مسيريابي نيز با روش RIDANتشخيص

AODV را كه اقدام به ارسال مكرر ي گره خرابكارRREQ

نرمال سيستم در ي كاراي. كند مي و طردي شناساي كرد، مي

بود، اما % 94نيز در حدود [8] شده در ي شبيه سازي سناريو

سيستم را ي شده بود، كارايي كه در آنجا پياده سازي مله اح

است كه حمله ي اين در حال. كرد مي كم% 50فقط تا حد

كه ي تر بود بطوري شده در روش ما بسيار قوي پياده ساز

ديگر ي از سو. رسانيد مي %25عملكرد شبكه را به حدود

، با RIDANمجهز به سامانه تشخيص نفوذ ي گره ها

رساند؛ و مي %78شبكه را به ي گره مخرب كارايي شناساي

شبكه ي است كه سامانه تشخيص نفوذ ما كارايي اين در حال

. رساند مي %95به % 25تحت حمله را از

ما، ي با وجود عملكرد خوب سامانه تشخيص نفوذ پيشنهاد

از اين رو . شناخت همه حمالت را نداردي اين سيستم تواناي

تم تشخيص نفوذ، ما يك سيستم در جهت تكميل اين سيس

كامل تر را پيشنهاد خواهيم داد؛ كه اين سيستم در حقيقت

به عبارت ديگر . باشد مي يك سيستم تشخيص نفوذ هايبريد

Watchdogاين سيستم با شنود ترافيك شبكه در بخش

خود، با توجه به عملكرد گره ها به هر گره يك امتياز خواهد

ي هش امتياز گره توسط الگوريتم هاداد، تعيين افزايش يا كا

. گيرد مي صورت Intrusion detectionدر بخش ي ويژه ا

مختلف اين سيستم را نشاني ارتباطات بخش ها 5شكل

يين امتياز پس از تع Intrusion detectionبخش . دهد مي

به گرهها را به ي ايمذكور، امتياز اعتي توسط الگوريتم ها

اين بخش در واقع . دهد مي تحويل Node raterبخش

كه ي زمان. باشد مي جهت ثبت امتياز گره هاي جدولي حاو

Path managerباشد، بخش مي يك پاكت داده آماده ارسال

و جدول امتيازت گره ي با استفاده از حافظه پنهان مسيرياب

د كرد كه ممكن ها، بهترين مسير ممكن را انتخاب خواه

.است همواره كوتاه ترين مسير نباشد

كه امتياز يك گره از يك حد قابل ي از طرف ديگر در صورت

پس از ارتباط با بخش Node raterقبول كمتر گرديد، بخش

بر ي مبني ، پيغامAlarm Generatorو I/O Managerي ها

و متقابال. خطا كار بودن اين گره در شبكه ارسال خواهد كرد

بر احتمال خطا كار بودن ي از شبكه،مبني دريافتي پيغام ها

ي مورد بررس I/O Managerيك گره خاص، را نيز در بخش

كه از بخش ي اين بخش، با توجه به اطالعات. دهد مي قرار

Node rater كند؛ بسته به اعتبار گره فرستنده مي دريافت

او اعالن كه احتمال خطاكار بودن ي گرهي براي پيام، امتياز

اعالن Node raterشده است، در نظر گرفته و به بخش

رسد اين سيستم تشخيص نفوذ تا حد مي به نظر .كند مي

يك سيستم تشخيص نفوذ كامل را ي نياز هاي قابل قبول

.فراهم كند

���� ���� �� (Intrusion detection)

���� ��������� ���(Node rater)

���� ���� �(Alarm Generator)

���� ����� ����(Send)

���� ����/���(I/O Manager)

������ ����(Path manager)

����� ����� �� ��(Route Cache)

���� ����(Watch dog)

���!�" ����#(Data Traffic)

�$%& '(������#)(Global Alarm

���� ��(Alarm)

سامانه تشخيص نفوذ پيشنهادي. 5شكل

9

جعمرا

[1] Joseph Borg, “A Comparative Study of Ad hoc & Peer to Peer Networks”, University College London, AUGUST 2003

[2] P. MOHAPATRA, SRIKANTH V. KRISHNAMURTHY, “AD HOC NETWORKS Technologies and Protocols”,Springer science 2005

[3] SIREESH GAVINI, “ DETECTING PACKET-DROPPING FAULTS IN MOBILE AD-HOC NETWORKS”, WASHINGTON STATE UNIVERSITY, DECEMBER 2004

[4] M. Corson and A. Ephremides, "A distributed routing algorithm for mobile radio networks", in Proceedings of Military Communication Conference, 1989.

[5] R. Ramanathan and J. Redi, "A Brief Overview of Ad hoc Networks: Challenges and Directions," IEEE Communications, no. 50th Anniversary Commemorative Issue, pp. 20-22, May 2002.

[6] G. Kortuem, "When Peer-to-Peer comes Face-to-Face: Collaborative Peer-to-Peer Computing in Mobile Ad hoc Networks," in First IEEE International Conference on Peer-to-Peer Computing, 2001, pp. 75-91.

[7] P. Albers, O. Camp, J. M. Parcher, B. Jouga, L. Me, R. Puttini, "Security in Ad hoc Networks: a General Intrusion Detection Architecture Enhancing Trust Based Approaches", The 1st International workshop on Wireless Information Systems" (WIS 2002), in the 4rth International Conference on Enterprise Information Systems, 2002.

[8] Ioanna Stamouli , “Real-time Intrusion Detection for Ad hoc Networks”, University of Dublin , September 12, 2003

[9] A.Patwardhan, J. Parker, A.Joshi, “ Secure Routing and Intrusion detection in Ad hoc Networks”, Uni. Of Maryland 2003.

[10] Y. Zhang, W. Lee, “Intrusion Detection on Wireless Ad hoc Networks”, in Proceedings 6th Annual International

Conference on Mobile Computing and Networking (MobiCom’00), August 2000.

[11] Farooq Anjum, Dhanant Subhadrabandhu, Saswati Sarkar. “Signature-based Intrusion Detection for Wireless Ad-Hoc Networks.” In Proceedings of Vehicular Technology Conference, Wireless Security Symposium, Orlando, Florida, Oct (2003)

[12] H. Deng, Q.-A. Zeng, and D. P. Agrawal. “SVM-based Intrusion Detection System for Wireless Ad hoc Networks.” In Proceedings of the IEEE Vehicular Technology Conference, Oct. (2003)

[13] Paul Brutch and Calvin Ko. “Challenges in Intrusion Detection for Wireless Ad hoc Networks.” Proceedings of the Workshop on Security and Assurance in Ad-hoc Networks in Orlando, Jan (2003)

[14] C.-Y. Tseng, P. Balasubramanyam, C. Ko, R. Limprasittiporn, J. Rowe, and K. Levitt. “A specification based intrusion detection system for AODV”. In Proceedings of the 1st ACM workshop on Security of Ad hoc and sensor networks, pp. 125–134. ACM Press, 2003.

[15] Bo Wang, Sohraab Soltani, Jonathan K. Shapiro, Pang-Ning Tan,” Local Detection of Selfish Routing Behavior in Ad hoc Networks”, Department of Computer Science and Engineering, Michigan State University,2004

[16] S. Marti, T. J. Giuli, K. Lai, and M. Baker. Mitigating routing misbehavior in mobile Ad hoc networks. In Proceedings MobiCom 2000, pages 255–265, 2000.

[17] http://www.ircert.com/articles/IRCAR-251104.htm [18] R. Heady, G. Luger, A. Maccade, M. Servilla, “The

architecture of a Network Level Intrusion Detection System”, Technical report, Computer science Department, University of New Mexico, August 1990.

[19] D. Johnson, Y. Hu,” The Dynamic Source Routing Protocol (DSR)for Mobile Ad hoc Networks for IPv4”, Copyright (C) The IETF Trust (2007).