martes, 21 de mayo de 2013

Resumen de Paper

Effective Intrusion Detection Using Multiple Sensors in Wireless Ad Hoc Networks 






Introducción

Con el rápido desarrollo de las aplicaciones de red inalámbrica, la seguridad se convirtió en uno de los principales problemas que las redes inalámbricas se enfrentan hoy en día. Mientras que los cortafuegos pueden llegar a ser un eficaz primera línea de defensa. Sin hilos transmisiones están sujetos a espionaje y bloqueo de la señal.
La seguridad física de cada nodo es importante para mantener la seguridad integral de la toda la red. Redes inalámbricas ad hoc son totalmente dependientes de la participación colectiva de todos los nodos en encaminamiento de la información a través de la red. Estos son algunos de los principales problemas que se enfrentan a las redes inalámbricas hoy en día. Como el uso de estas redes crecen, los usuarios exigir comunicaciones seguras y de baja latencia y eficiente.

Detección de intrusiones es una de las técnicas clave para proteger una red de los intrusos. Un Sistema de detección es un sistema que intenta detectar y alertar en intentos de intrusión en un sistema o red, donde una intrusión es considerado como no autorizada o cualquier actividad no deseada en ese sistema o de la red. Extenso investigación se ha hecho en este campo [1, 2, 4, 5, 7, 8] y sistemas IDS eficientes han sido diseñados para cable redes. Estos sistemas suelen supervisar usuario, el sistema y las actividades a nivel de red continua y normalmente tener una entidad de toma de decisiones centralizada. Si bien estos arquitecturas han demostrado ser eficaces [1], la mayor parte de la técnicas no producirán los resultados esperados cuando se aplica a redes inalámbricas, debido a algunas propiedades inherentes que los redes inalámbricas poseen, como se ha mencionado más

IDS clasificación

Tradicionalmente, los sistemas IDS para redes fijas se divide en dos categorías: basados ​​en la red y basados en host IDS.
Los sistemas basados ​​en red (NIDS) o pasivamente escuchan de forma activa en la red, y capturar y examinar paquetes individuales que fluye a través de una red. En contraste a los cortafuegos, NIDS puede analizar todo el paquete, no sólo Direcciones IP y puertos. Son capaces de mirar el carga dentro de un paquete, para ver qué especial acogida Se está accediendo a la aplicación, y con que opciones y para generar alertas cuando un atacante intenta explotar un bug en dicho código, mediante la detección de firmas de ataques conocidos. Red IDS es independiente del host, y se puede ejecutar como "cuadro negro" monitores para cubrir las redes enteras de sistemas.

En la práctica, la exploración activa ralentiza la red considerablemente, y se puede analizar de forma eficaz una limitada ancho de banda de red. NIDS menudo requieren hosts dedicados o equipo especial, y por lo tanto pueden ser propensos a la ataque a la red. Algunas intrusiones basado en red fiable sistemas de detección se describen en [1, 5, 7, 8]. Mientras IDS basados ​​en red miran todo el tráfico en un redes, sistemas basados ​​en host de detección de intrusiones [1, 2, 3, 6] tienen que ver con lo que está sucediendo en cada host individual. Ellos son capaces de detectar las acciones tales como intentos de acceso fallidos repetidos o cambios críticos archivos del sistema, y normalmente actúan por acceder a los archivos de registro o supervisar el uso de sistema en tiempo real. Para garantizar la efectiva clientes operación, Host IDS tienen que ser instalado en todos los alojar en la red, a la medida de host específico configuración. IDS basados ​​en host no dependen de la red ancho de banda, sino que se utilizan para redes más pequeñas, donde cada uno anfitrión dedica poder de procesamiento a la tarea de supervisión del sistema. Como se ha mencionado, estos sistemas son en host dependiente, y puede ralentizar considerablemente los hosts que tienen clientes IDS instalados.

Sistemas IDS son funcionalmente dividido en dos clases - sistemas de detección de mal uso de la detección de anomalías y. La detección de anomalías basa sus ideas sobre el comportamiento estadístico modelado. Inicialmente, un modelo estadístico se basa en el tiempo que puede ser usado para predecir con precisión el comportamiento del usuario en base los patrones de uso del sistema anterior (o un tráfico de red sobre la base de los patrones de tráfico anteriores). Este modelo detecta detecciones de intrusión de una manera muy precisa y consistente, y tiene un nivel bajo de falsas alarmas, bajo condición de que el sistema sigue bajo vigilancia estática comportamiento patrones. Esta clase de sistemas IDS está bien adaptado para detectar desconocida o previamente no encontrado ataques. El mal uso sistemas de detección de monitorear redes y hosts para conocer patrones de ataque. Esta clase de sistemas IDS es útil en redes con los patrones de comportamiento muy dinámicas, y es una selección de muchos productos comerciales IDS. Sin embargo, una base de datos se actualiza con frecuencia (y grandes) de ataque conocido firmas deben mantenerse. Ambas clases de IDS puede ser utilizado en sistemas IDS basados ​​en host y en red.

Los problemas relacionados con las redes inalámbricas

Un número de problemas generales con los sistemas IDS incluir los costos elevados debido a la gestión local, el fracaso a escalabilidad exposición, los requisitos de ajuste basado en características específicas de un sistema en particular, la necesidad de frecuentes actualizaciones de base de datos y el comportamiento pasivo (incapacidad para hacer las decisiones sobre el tipo de medidas que deben tomarse). Poco la investigación se ha hecho en el ámbito de los sistemas IDS diseñado para redes inalámbricas.

El estructural y diferencias de comportamiento entre alámbrico e inalámbrico móvil redes hacen diseños IDS existentes inaplicable al redes inalámbricas. Como se discutió anteriormente, las redes inalámbricas no tienen una comunicación fija, bien protegida medio - en su lugar, toda la comunicación se lleva a cabo en un abrir ambiente de aire. Esto hace que sea imposible controlar el tráfico de red en los cuellos de botella (la captura y por lo tanto analizar mayoría de los paquetes que pasan a través de la de red). Por lo tanto, el monitoreo de la red inalámbrica en el anuncio redes hoc se realiza en cada nodo de la red. Este enfoque es ineficiente en términos de ancho de banda de red y el aumento de consumo de potencia de cálculo - recursos que son muy limitados en una red inalámbrica. Supervisión basada en host también contribuye a una mayor cantidad de procesamiento en cada host, reduciendo los tiempos de duración de la batería y ralentizar el anfitrión. Móvil Física seguridad del host es un problema, ya que cada host contiene pública y claves privadas usadas para cifrar la información sobre el red, y si son capturados, la red está sujeta a espionaje.

IDS basados ​​en agentes para inalámbrica ad hoc redes

Una implementación de agente móvil es elegido, para apoyar tales características del sistema de IDS como movilidad de los sensores, enrutamiento inteligente de los datos de intrusión a lo largo de la red y la aplicación de peso ligero.


Arquitectura Modular IDS

El Sistema de Detección de Intrusos propuesta (IDS) es construido sobre un marco de agentes móviles. Es un no monolítica sistema y emplea varios tipos de sensores que realizan ciertas funciones específicas, tales como:

  • Supervisión de la red: Sólo ciertos nodos tener agentes sensor de paquetes de red vigilancia, ya que estamos interesados ​​en la preservación total de potencia de cálculo y la energía de la batería de hosts móviles. 
  • Control Host: Cada nodo en la publicidad móvil red hoc será controlado internamente por una agente de host de supervisión. Esto incluye la supervisión actividades a nivel de aplicación del sistema-nivel. 
  • Toma de decisiones: Cada nodo decidirá sobre la nivel de alerta de intrusión en una base de nivel de host. Ciertos nodos recopilar información de intrusos y tomar decisiones colectivas sobre la red intrusiones nivel. 
  • Acción: Cada nodo tendrá un módulo de acción que se encarga de resolver las intrusiones situación en un host (por ejemplo, bloqueo de salida de un nodo, matar un proceso, etc.)

Referencias


Kay Romer and Friedemann Mattern Institute for Pervasive Computing
http://cps.cse.wustl.edu/images/8/8c/Wsn-design04.pdf