移动自组网中的入侵检测：贝叶斯博弈模型

工程科学与技术，国际期刊19（2016）782完整文章移动Ad-hoc网络中的入侵检测：贝叶斯博弈模型Basant Subba，Santosh Biswas*，Sushanta Karmakar印度理工学院计算机科学工程系，Guwahati，Assam 781039，印度A R T I C L E I N F OA B S不 R 一C T文章历史记录：接收日期：2015年4月14日接收日期：2015年2015年11月4日接受2015年12月18日在线发布保留字：移动自组网（MANET）入侵检测系统（IDS）博弈论贝叶斯纳什均衡目前的入侵检测系统（IDS）的移动自组网需要持续的监测，这导致一个节点的电池寿命的快速耗尽。为了解决这个问题，我们提出了一个新的IDS计划，包括一个新的簇头选举过程和混合IDS。簇首选举过程采用Vickrey-Clarke该混合入侵检测系统包括一个基于阈值的轻量级模块和一个功能强大的基于异常的重量级模块.最初，只有轻量级模块被激活。通过将入侵检测过程建模为选出的领导节点和潜在恶意节点之间的不完全信息非合作博弈，来做出激活重量级模块的决策仿真结果表明，该方案在保持较高的检测率和准确率的同时，显著降低了入侵检测系统的吞吐量和整体功耗。© 2016，Karabuk University.出版社：Elsevier B.V.1. 介绍移 动 自 组 织 网 络 （ MobileAd-hocNetworks ，MANNETWORK）是一组异构的、无基础设施的、自组织的、电池供电的、具有不同资源可用性和计算能力的移动节点的集合。移动自组网的动态和分布式特性使其适合在极端和不稳定的环境条件下部署。他们已经发现在不同的领域，如军事行动，环境监测，救援行动等的应用。在一个移动自组网中的每个节点都配备了一个无线发射机和接收机，这使得它能够与其他节点在其无线传输范围内进行通信。然而，由于无线通信范围和节点移动性的限制，移动自组网中的节点必须相互协作，以提供网络服务。因此，MANET中的每个节点既充当主机又充当路由器。移动局域网的动态性和分布式特性使其容易受到各种类型的攻击，如黑洞攻击、传输失真、IP欺骗、DoS攻击等。恶意节点可以对其他正常节点发起攻击，并降低整个网络的整体性能[1与有线网络不同，在MANN中没有像路由器和交换机那样的固定检查点，可以部署入侵检测系统（IDS）[4，5]。因此，移动自组网中的节点必须在多个方面进行协作* 通讯作者。联系电话：+91 9957561026，+91-361-2583000。电子邮件地址：santosh_biswas@iitg.ernet.in（S.Biswas）。由Karabuk大学负责进行同行审查http://dx.doi.org/10.1016/j.jestch.2015.11.0012215-0986/© 2016，Karabuk University.出版社：Elsevier B.V.包括入侵检测，为他们的福祉[6IDS已经在不同的领域取得了很大程度的成功，如无线Ad-hoc网络[5，9]，MANNETWORK[10 -12] ， 无 线 传 感 器 网 络 [13] ， 网 络 物 理 系 统 [14] ， 云 计 算[15]，大规模复杂的关键基础设施[16]等。由于没有任何集中的监测实体在移动自组网中，每个节点运行自己的IDS，通常在一个混杂的模式。然而，由于电池寿命有限，这是不可行的，以保持IDS在移动自组网节点上连续运行。大多数当前的MANET IDS方案没有考虑到它们所操作的环境的性质，因此它们最终以相等的概率监视所有节点，而不管被监视的节点是否具有恶意的历史轮廓。这导致不良的监控策略，其中操作IDS的节点最终浪费了其大部分能量来监控正常节点。许多MANET IDS方案[17与有线网络不同，移动局域网具有有限的带宽，因此，大量的与入侵检测相关的流量会导致网络严重拥塞，限制正常流量。此外，繁重的入侵检测任务也会导致MANET节点间更多的能量消耗。设计了一种能量高效的移动自组网入侵检测方案，在保持高准确性和检测率的同时，降低IDS的传输率是一个活跃的研究领域在本文中，我们模型的入侵检测过程中，在移动局域网使用博弈论的框架。基于博弈论的MANET IDS[20出版社：Karabuk University，PressUnit ISSN（印刷版）：1302-0056 ISSN（在线）：2215-0986 ISSN（电子邮件）：1308-2043主 办可 在 www.sciencedirect.com上 在 线ScienceDirect可在ScienceDirect上获得目录列表工程科学与技术国际期刊杂志主页：http://www.elsevier.com/locate/jestchB. Subba等人/工程科学与技术，国际期刊19（2016）782-799783通过应用动态和经济的监测策略。基于博弈论的入侵检测系统将入侵检测问题建模为两个竞争参与者（攻击者和防御者）之间的非合作博弈，其中防御者（簇首节点）试图通过增加其成功检测入侵的概率来最大化其收益，而攻击者（恶意节点）则试图最小化其被入侵检测系统检测到的概率。基于博弈论的入侵检测系统方案允许入侵检测系统评估被监控节点的类型并采取相应的监控策略。节点根据其观察到的操作的历史配置文件被分配恶意值与大多数传统IDS采用混杂监控策略导致高IDS流量生成不同，基于博弈论的IDS使用动态监控策略，其中与具有低恶意值的节点相比，具有高恶意值的节点被更频繁地这有助于IDS保存其能量并最小化总体IDS传输生成。在博弈论的入侵检测系统框架中，如果入侵检测系统所处的环境是敌对的，那么入侵检测系统将采取严格的监控策略。另一方面，如果环境不那么恶劣，IDS就采用不那么严格的监视策略。在文献[19它们隐含地假设各种网络参数，如网络节点的能量水平和类型（正常或恶意）、IDS的准确性和检测率等。是所有节点先验已知的。但是，这样的假设具有局限性，因为在大多数真实网络设置中，每个节点仅具有关于网络参数的有限信息因此，为了解决这个问题的不完全信息博弈，我们提出了一个贝叶斯博弈论的MANET IDS方案，模型之间的相互作用的攻击者（恶意节点）和防御者（节点操作IDS）在移动自组织网络作为一个两个人的多阶段，非合作和不完全信息博弈。贝叶斯模型[19]允许操作IDS的节点通过检查被监视节点的恶意历史概况并通过评估博弈的贝叶斯纳什均衡来在不完全信息博弈设置综上所述，本文提出了一个MANET IDS方案，以下目标：1. 由于移动局域网中的节点只知道网络的部分信息，因此将移动局域网中的入侵检测过程建模为不完全信息贝叶斯博弈。2. 最小化在移动局域网中运行IDS的功耗。3. 移动局域网中入侵检测相关流量的最小化4. 提出了一种具有高准确率和高检测率的移动自组网入侵检测方案。为了实现这些目标，我们提出了一个新的MANET IDS计划，包括以下两个组成部分：1. MANET领导者选举机制：该组件使用VCG机制[24]选举集群领导者节点，并委托其负责在预定义的时间段内向所有其他集群节点簇领导选举定期举行，这确保了统一的能源消耗之间的各个集群节点运行的IDS。2. 一个混合的MANET IDS：该组件包括一个轻量级模块和一个重量级模块.轻型模块功率较小，但运行所需的能量较少。另一方面，重量级模块比轻量级模块更强大，但需要更多的能量为了它的运作。最初只有轻量级模块被激活。如果被轻量级模块监视的节点的动作被确定为恶意的，则激活重量级模块，否则激活重量级模块的决定由所选领导节点和被监视的节点之间进行的非合作博弈的纳什均衡来确定。选出的领导者节点操作混合MANET IDS。最初，只有轻量级模块的混合MANET IDS被激活，计算被监视的潜在恶意节点的分组转发速率（PFR）任何给定节点的PFR被定义为在给定时间段内接收的数据包总数与节点转发的数据包总数的比率如果被监视节点的PFR小于阈值，则假定其动作是恶意的，并且激活重量级模块以进行更严格的分析。然而，如果发现节点的动作是正常的，则通过将入侵检测过程建模为两个竞争玩家之间的多阶段贝叶斯游戏来确定激活重量级模块的决定，其中游戏的玩家是集群领导者节点和潜在的恶意节点。簇首节点对对手节点的类型（正常或恶意）和以下两种策略的信息不完全：监视和不监视。这里，策略Monitor对应于重量级模块的激活。同样，攻击方也有两种策略：攻击和不攻击。博弈的贝叶斯纳什均衡（Bayesian Nash Equilibrium，BNE）是博弈双方的策略对，它对应于领导节点采取监控/不监控策略的概率和攻击方采取攻击/不攻击策略的概率。移动自组网中的入侵检测过程通常是一个不完全信息博弈，节点只知道网络参数的部分信息贝叶斯博弈模型允许集群领导者节点基于其关于被监视的节点的类型（恶意的或正常的）的信念来制定其监视策略， 它还通过采用非混杂的监视策略来最小化总体IDS流量。NS-2[25]中的仿真结果表明，与随机模型相比，所提出的MANET IDS方案显著降低了在MANET节点之间运行IDS的功耗15此外，该方案还保持了较高的检测率，对路由妥协，流量失真和黑洞攻击，而不引入任何显着的流量。本文件其余部分的结构如下。第二部分介绍了移动自组网中入侵检测的背景和相关工作。第3节介绍了我们提出的MANET IDS方案的整体描述。在3.1节中讨论了用于开发节能IDS监控策略的贝叶斯博弈模型。在3.2节中讨论了一种分布式的能量高效的MANET领导选举机制。一个混合的MANET IDS及其主要组成部分将在3.3节中讨论。实验结果和性能评估建议的混合MANET IDS和MANET领导选举机制，在第4节中提供。最后，第5节给出了结论和未来的工作。2. 背景和相关工作在本节中，我们提供了一个简短的背景研究不同类型的MANETIDS的基础上，他们的检测机制和操作模式。然后，我们讨论了各种入侵检测在移动网络中的问题，并分析了相关的工作，已被归类为非博弈论和博弈论的基础上。最后，与相关工作相关的缺点有：784B. Subba等人/工程科学与技术，国际期刊19（2016）782-799这为我们开展工作解决这些问题提供了动力根据其操作模式，移动代理中的IDS可以大致分为基于异常、基于签名和基于规范的IDS。基于异常的入侵检测系统包括训练阶段和测试阶段。在训练阶段开发网络的正常传输特性，然后学习模型 用于分析当前网络流量，以便在测试阶段发现故障迹象。已经开发了许多异常检测方法，如统计方法[26，27]，数据挖掘方法[28]和基于机器学习的方法[29]基于异常的IDS的主要优点是它们能够检测在训练阶段没有看到的先前未知的攻击。然而，基于异常的IDS的主要缺点是它们的高误报（FP）警报率。基于特征的IDS[30]使用已知攻击特征的数据库，并在存在与数据库中的一个或多个攻击特征匹配的恶意交易时发出警报它们对已知的攻击有很高的检测率，但不能检测新的攻击。他们需要频繁更新其特征数据库以检测新的攻击。基于规范的IDS[31]指定了对网络传输或协议的一组约束，任何违反这些规范的行为都被视为入侵。它们提供对已知和未知攻击的检测，误报率低。然而，基于规范的IDS的主要缺点是它们需要针对每个程序/协议的详细规范，这是非常耗时且计算昂贵的过程。基于其操作模式，移动局域网中的IDS可以分为独立IDS、分布式IDS和分布式IDS。在独立IDS体系结构中，每个节点独立运行自己的IDS来确定入侵。网络中的节点之间没有合作，节点所做的每一个入侵决策都是完全基于自己收集的信息。由于每个节点上的部分信息可能不足以检测网络扫描等攻击，因此这类IDS不适合并且通常不适用于MANNETWORK。在分布式IDS体系结构中，每个节点通过运行一个IDS代理来参与入侵检测过程。IDS代理收集本地事件数据以检测和识别本地网络入侵。然而，当局部入侵检测证据不确定时，相邻的IDS代理合作执行全局入侵检测。在分布式入侵检测体系结构中，网络被划分为多个集群。每个集群节点都运行自己的IDS代理，该代理监视和检测给定集群节点的本地入侵，而集群头既为自己的节点本地运行IDS代理，又为整个集群节点集全局运行IDS代理。传统的入侵检测系统在有线网络中使用是无效的，因为它们的底层特性和架构的差异，移动自组网效率低下。在开发用于MANNETWORK的IDS时遇到的主要问题是：• 缺乏中央监控点：与有线网络不同，在城域网中没有像路由器和网关这样的中央监控点来监控网络传输。移动网络中的入侵检测系统需要具有分布式和协作性。然而，有限的带宽，低能量水平，不同的计算能力的移动自组网节点，恶意节点的存在等提出了一个严重的限制移动自组网节点之间的合作。• 移动性：由于移动节点可以任意退出或加入网络，因此MANET的拓扑结构可能会频繁变化。这使得IDS很难区分发送过时路由信息的节点是否只是不同步。与其他MANET节点的同步或节点是否已被损害。• 无线链接：无线网络具有有限的带宽COM-连接到有线网络。与入侵检测相关的大量流量可能导致网络拥塞并限制正常流量。因此，移动自组网入侵检测系统需要尽量减少其数据流，以避免网络拥塞。但是，限制入侵检测系统的流量可能会导致入侵检测系统的性能下降，它们可能无法实时响应入侵• 有限的资源：移动网络中的移动节点由各种具有不同计算能力和能量资源的移动设备。因此，基于特征的入侵检测系统必须考虑存储攻击特征的内存限制，而基于异常的MANET入侵检测系统需要优化，以减少网络流量与学习的IDS模型的相关性的能量使用。• 不安全的通信链路：MANN容易受到各种被动攻击，如窃听和干扰。因此，需要对入侵检测系统的传输进行加密，以防止攻击者了解入侵检测系统的工作原理。然而，在移动自组织网络中采用加密和认证机制是不可行的，因为它们消耗大量的能量并且计算昂贵。2.1. 相关作品Shakshuki 等 人 。 [18] 提 出 了 一 种 名 为 增 强 自 适 应 确 认（EAACK）的IDS用于MANNETWORK。他们的方案要求所有的确认数据包都由发送方进行数字签名，并由接收方进行验证。他们使用DSA和RSA作为数字签名，并表明他们的方案能够检测宽范围的攻击。然而，他们的计划的缺点是，需要数字签名的所有数据，这增加了计算开销。Marti等人[32]提出了一种用于MANET的IDS方案，该方案由两个不同的模块组成，即Watchdog和Pathrater。在该方案中，看门狗作为一个入侵检测系统的移动自组织网络和检测恶意节点的行为，通过混杂监听其下一跳如果看门狗注意到它的下一个节点在给定的时间段内未能转发数据包，则它递增节点如果被监视节点的故障计数器超过阈值，则监视器报告该节点行为不正常。然后采用Pathrater通知路由协议以避免报告的节点进行进一步的数据传输。这个方案的缺点是它需要看门狗的持续监视来检测入侵。Lui等人[17]提出了一种TWOACK MANET IDS方案，该方案要求沿着源到目的地路径在三个连续节点上传输的每个数据包都路由上的每个节点都必须将确认数据包发送回路由中距离它两跳计数的节点。TWOACK分组到达第一个节点X（在沿着路由的三个连续节点中）指示分组经由中间节点Y从节点X到节点Z的成功传输然而，如果在给定的预定义时间间隔内没有接收到该TWOACK分组，则节点Y和Z都被报告为恶意的。该方案的缺点是由于频繁的TWOACK分组生成而引入路由开销。Misra等人[33]提出了一种用于无线传感器网络入侵检测的分布式自学习、能量感知和低复杂度协议该协议采用基于随机学习的数据包采样机制来获得一个能量高效的入侵检测系统。他们表明，他们的方法在检测和删除来自WSN的恶意数据包方面是成功的该方案的缺点是LA在变得有效之前需要多轮学习Haddadi和Sarram[34]提出了一种用于无线局域网（WLAN）的混合IDS模型，该模型使用基于误用和异常的IDS子模块来检测入侵。这种方法的缺点是，B. Subba等人/工程科学与技术，国际期刊19（2016）782-799785基于异常的IDS和基于异常的IDS是不同的。由于两个不同的IDS处理相同的数据传输，它还引入了显著的计算开销参考文献[35]中Mohanapartum和Krishnamurthi提出了一种轻量级、能量高效且非加密的MANET中针对灰洞攻击的入侵检测解决方案。然而，他们的方案要求IDS在混杂模式下操作以检测入侵，这导致用于操作IDS的高功耗。在参考文献[36，37]中讨论了一种用于Ad-hoc网络的博弈论解决方案，该解决方案对网络的合作和自我性进行了建模。在这些方案中，每个节点基于与网络中的其他节点协作所涉及的成本（能耗）和收益（网络吞吐量）中的权衡来决定是否转发分组。因此，强制执行合作机制确保不遵守网络规则的自适应该方案的缺点是它假设了完全信息博弈，其中节点完全知道网络参数。Lui等人。[19]提出了一个博弈论框架，使用贝叶斯公式分析无线Ad-hoc网络中攻击/防御节点对之间的相互作用。他们为防御者提出了一种贝叶斯混合检测方法，其中使用功能较弱的轻量级模块来估计对手的类型，而更强大的重量级模块则作为最后一道防线。他们分析了静态和动态设置下攻击者/防御者贝叶斯博弈的可获得纳什均衡（NE），并得出结论，动态方法是一个更现实的模型，因为它允许防御者随着游戏的发展不断更新其对对手恶意的信念。他们的工作的缺点是，它是困难的，以确定一个合理的先验概率的恶意攻击的球员。Liu[38]提出了一种基于博弈理论形式化的通用激励方法来建模攻击者作者开发了一个基于激励的AIOS建模概念框架，该框架可以捕获AIOS与防御者目标和策略之间的内在相互依赖关系AIOS模型使防御者能够预测攻击者比其他人更有可能采取哪种策略，甚至在这种攻击发生之前。AIOS的推论导致更精确的该方案的缺点是假设了完全信息博弈。Chen等人[39]提出了一个应用两种博弈策略的入侵检测代理经济部署框架。在第一个方案中，攻击者和入侵检测代理之间的交互在非合作博弈论环境中建模和分析。然后使用混合策略纳什均衡第二个方案使用第一个方案得出的安全风险值来计算入侵检测代理的Shapley值，同时考虑到各种威胁级别。这使得网络管理员能够定量评估每个IDS代理的安全风险该方案的缺点是计算入侵检测代理的Shapley值所涉及的计算开销Kodialam和Lakshman[23]提出了一个博弈理论框架，将服务提供商和攻击者之间的交互建模为入侵检测博弈。在该方案中，博弈被表示为两个人的零和博弈，其中服务提供者试图通过增加其成功检测的概率来最大化其收益，而攻击者试图最小化其被IDS检测到的概率最优解就是采用极大极小策略该模型的缺点是假设双方（攻方和防守方）都有关于网络拓扑和网络中所有链路的完整信息，这使得双方可以选择最优路径进行最小化最大策略。然而，这种假设通常是无效的真实网络中的球员有一个关于网络参数的不完整的信息Agah等人[20]和Alpcan和Basar[21]将传感器网络中的攻击-在他们的模型中，游戏被假定为具有完全信息，对手玩家的支付函数决定每个玩家的最优策略。他们的工作的缺点是假设玩家有关于游戏的完整信息。总之，我们发现文献中提出的大多数基于非博弈论的IDS方案在计算上是昂贵的，并且需要连续的监视，从而导致用于操作IDS的更多功耗。文献中提出的基于博弈论的入侵检测系统在一定程度上解决了这个问题。然而，大多数基于博弈论的MANET IDS的先前的作品但是这样的假设在真实网络中通常是不成立的，因为所有的网络参数都不是先验已知的，每个节点只具有关于网络的部分信息。我们还发现，大多数游戏本质上是静态的，玩家的策略和这种方法在动态环境中失败了，在这个环境中，玩家在游戏的不同阶段采取不同的策略。我们还发现，文献中提出的大多数入侵检测系统都是针对特定类别的攻击，如黑洞攻击，虫洞攻击等。[32、40]。这些问题的存在为我们提出一种基于不完全信息博弈的移动自组网入侵检测方案提供了动力。在本文中，我们提出了一种新的入侵检测方案的移动台通信-提出了两个不同的组成部分，即MANET领导选举机制和混合MANET IDS。前一个组件通过将入侵检测任务分配给不同的集群节点，最大限度地降低了运行IDS所需的总功耗它根据节点的信誉和能量水平来选举簇首节点。选出的领导节点被指定负责在预定义的时间段内向所有其他集群节点提供入侵检测服务建议的IDS计划的第二个组成部分是基于博弈论的混合MANETIDS，它执行实际的入侵检测操作。由选举机制选出的领导节点运行混合MANET IDS。该混合式MANET IDS包括一个轻量级模块和一个重量级模块。轻量级模块功能较弱，使用基于阈值的简单分析另一方面，重量级模块更强大，使用复杂的关联挖掘规则技术来检测异常。最初，只有轻量级模块被激活。是否激活重量级模块取决于轻量级模块的输出。如果轻量级模块检测到入侵，则会激活重量级模块进行更严格的分析。然而，如果没有恶意活动被检测到的轻量级模块，那么网络入侵检测问题被建模为一个非合作的领导者节点和潜在的恶意节点之间的游戏。在这种情况下，游戏的BNE决定激活重量级IDS模块的概率3. 建议的MANET IDS方案在本节中，我们将描述各种假设和方面我们提出的MANETIDS方案。第一，786B. Subba等人/工程科学与技术，国际期刊19（2016）782-799提出的方案，然后它的组成部分，即移动自组网簇头选举机制和混合移动自组网入侵检测系统的描述。混合式MANET IDS由轻量级IDS和重量级IDS模块组成。我们提出了以下建议，有关我们提出的MANET IDS计划：• 使用标准的集群算法将MANET划分为一组集群[41]。给定集群中的每个节点都在彼此的传输范围内。• 给定MANET集群中的每个节点ni具有以下关联参数：恶意值（pi）、信誉值（Ri）和能量值（El）。• 选定的集群节点（CL）通过操作IDS在预定义的时间段内向所有其他集群节点提供入侵检测图1显示了我们提出的MANET IDS方案的流程图。最初，使用VCG机制[24]来选举集群领导者节点CL。CL获委托负责在预定期间内为整个群集节点提供入侵检测服务。CL向任何给定的集群节点nj提供的入侵检测服务取决于nj的信誉值（R j）。与具有较低信誉的节点相比，具有较高信誉的节点有权从CL获得更多的服务。由CL向节点nj提供的服务包括监视由nj从其邻居接收的传入业务以及监视nj的传出业务。 CL在被选为领导节点后可能会表现不佳，向其他集群节点提供入侵检测服务，或者将正常节点报告为恶意节点。因此，选择一组检查器节点来监视C L的操作。如果检查器节点发现CL行为不端，则通过降低其信誉值来惩罚它。MANET领导者选举和惩罚机制的详细描述在第3.2节中提供。在被选为簇首之后，CL为被监控的簇节点ni分配初始恶意置信值（pi），并激活其轻量级IDS模块来确定ni的动作. 轻量级IDS模块使用n i的数据包转发率（PFR）作为参数来确定ni的行为是攻击还是正常。n i的PFR被定义为在给定时间间隔内由n i接收的数据包总数与由n i转发的数据包总数的比率。 如果n i的PFR小于阈值T PFR，则假设n i的动作是攻击。然后使用贝叶斯规则更新n i的p i值，并激活C L的重量级IDS模块以进行更严格的分析。然而，如果n i的PFR大于或等于阈值T PFR，则n i的动作被假定为正常。同样在这种情况下，使用贝叶斯规则更新ni的pi值，但是通过将CL和ni之间的相互作用表示为两个竞争玩家之间的非合作游戏并计算游戏的贝叶斯纳什均衡（BNE）来确定激活重量级IDS模块的决定。该游戏的BNE对应于策略组合（q*，p*），其中q * 是CL激活其重量级IDS模块的概率，p* 是ni进行游戏的概率Fig. 1. 提出的MANET IDS方案的流程图。B. Subba等人/工程科学与技术，国际期刊19（2016）782-799787战略进攻。任何一个参与人（CL或ni）单方面偏离BNE策略都会减少以下收益（CL的监控成本增加或ni被抓的概率增加）：表1参与人Pi恶意时的收益矩阵。监视器不监视器偏离的玩家因此，在这种情况下，采取行动的决定攻击1wkCa ，−wkvate重量级IDS是概率性的，并且取决于游戏的BNE。重量级IDS模块的概率激活是通过使用随机数生成器来实现的，该随机数生成器生成0和1之间的随机数如果生成的数字K不攻击0，不攻击k，不攻击mkK K0，0个大于或等于q * 的值，则激活重量级IDS模块;否则，不激活它。重量级模块是一个基于异常的入侵检测系统，它使用关联规则挖掘技术来确定n i的行为是攻击还是正常。如果重量级模块发现n i的动作是正常的，则n i的pi值被重置为pi/2;否则，n i的pi值被保留。提出的混合IDS方案的基本思想是，数据包可以在移动台由于各种原因，如网络拥塞，耗尽节点的资源，恶意节点的存在等被丢弃然而，过多的分组丢弃是网络中存在恶意节点的强烈指示。因此，轻量级IDS模块对节点n i的PFR值的计算提供了对n i是否是恶意的强有力的洞察。因此，如果轻量级模块确定节点ni是恶意的，则执行重量级模块是合理的。然而，节点可以是恶意的，但仍然通过执行监听和探测类型的攻击来将其PDR保持在阈值以上。因此，重量级IDS模块的概率激活确保了对此类恶意节点的监控。由于操作重量级IDS模块所需的能量相对高于操作轻量级IDS模块所需的能量，因此在激活重量级IDS模块之前使用轻量级IDS模块作为前驱降低了操作IDS所需的总功耗在3.3节中提供了关于建议的混合MANETIDS的更详细的细节。在下一节中，我们将介绍博弈论的原理，这是一个先决条件，发展监测战略的建议混合MANET IDS。3.1. 移动自组网入侵检测系统的贝叶斯博弈模型博弈论允许我们研究两个或多个理性决策者（玩家）之间的冲突和合作事件，这些决策者具有不同的目标集，并为同一组资源而竞争。因此，博弈论关注的是在这种情况下为个人决策者找到最佳行动，并识别稳定的结果。移动自组网中监控节点和潜在恶意节点之间的交互可以表示为两个参与者的静态贝叶斯博弈，其中一个参与者Pi是潜在攻击者，另一个参与者Pj是防御者. 参与者P i的私有信息是其类型θi（正常或恶意）。如果玩家Pi是正常的，则类型θ i = 1，如果是恶意的，则θ i = 0。关于玩家P i的类型的这个私人信息对于防御者玩家P j是未知的。防守球员的类型总是正常的，用θj = 1表示，这是双方球员都知道的常识。类型为θi= 0的攻击方有两个纯策略：{攻击，不攻击}，而θi= 1的普通玩家只有一个纯策略：{不攻击}。同样，防守方Pj有两个纯策略：{监视，不监视}。两个参与者在游戏开始时同时选择他们的策略，事先知道监视和攻击网络中任何给定节点的成本以及对对手类型的信念。两个参与者Pi和Pj之间的这种非合作不完全信息博弈可以表示为三元组GN，S，U，其中• N= {Pi，Pj}是博弈的两个参与者。• S = Si× Sj是博弈的策略空间，Si和Sj分别是参与人Pi和Pj的策略空间。• U=Ui ×Uj是对应于策略空间的支付效用S. Ui和Uj分别是参与人Pi和Pj对应于其策略空间Si和Sj在后面的章节中，术语玩家和节点指的是同一个实体，我们可以互换使用它们。设C = {n1，n2，.. .，nt}是给定MANET集群中的t个节点的集合。考虑任意给定的节点nk∈ C，其中k（1 ≤ k ≤ t）是nk的指数，nk的资产值为wk.因此，n k中的符号k是指给定集群中第k个节点的索引号，wk是指节点n k的相关资产值。 当攻击者Pi成功地利用节点nk时资产的损失表示损失，其值等于损害程度，诸如信誉损失、数据完整性的妥协、控制损害的成本等。防御者Pj是簇领导者节点。Pj配备了一个入侵检测系统，负责为集群中的所有其他节点提供入侵检测服务。设Pj的入侵检测系统的检测率和虚警率让攻击所涉及的成本由Pi表示的节点nk由Cak表示，并且由Pj表示的监视节点nk所涉及的成本由Cmk表示。表1和2显示了对应于参与者Pi和Pj之间在节点n k上的交互的收益矩阵，节点n k的资产值为wk，当P i的类型是恶意的和正常的时，重新分配。这些表定义了防御者和攻击者/正常参与者在节点n k上交互时获得的各种收益。当玩家P1的类型是恶意的时，可以从表1中得出以下结论。• 当恶意玩家Pi攻击并且防御玩家Pj监视器，即，对于策略组合S1=（攻击，不监视），防守方玩家Pj获得收益U S wk其表示资产价值W k的损失。另一方面，对于这种策略，恶意参与者Pi获得的收益是其从成功利用节点n k中获得的收益减去攻击节点n k所涉及的成本（C ak）。因此，采用策略S1的参与人Pi的收益效用为US1wkCak• 对于策略组合S2=（Attack，Monitor），防御方参与人Pj的收益是成功检测到节点nk的攻击所获得的收益减去监控成本Cmk。然而，对节点nk的成功检测依赖于IDS对节点nk的检测率（α）。因此，防守球员Pj采用策略S2的收益效用为表2参与人Pi正常时的收益矩阵。监视器不监视器不攻击0，攻击wCmk0，0788B. Subba等人/工程科学与技术，国际期刊19（2016）782-799年2年2年2US2wkCmk2 1wk Cmk其中（1-α）表示IDS的假阴性率。另一方面，恶意局中人Pi被抓后的损失等于局中因此，参与人PiUS21wkCak• 对于策略S3=（Not Attack，Monitor），防御者Pj因此，采用策略S3的参与人Pj和Pi的收益效用为US3wkCmkU S0• 对于策略S4=（不攻击，不监视），两个参与者的收益都是0，即，Uj（S4）= Ui（S4）= 0。类似地，从表2中，我们观察到，当参与人P i的类型为正常时，参与人P i的收益总是0。防守者Pj的纯策略（非监控策略）收益为0. 另一方面，如果它采取纯策略（Monitor），则其收益效用为w kC mk，这是由于错误的IDS警报和监视成本而产生的成本。3.1.1. 贝叶斯纳什均衡（BNE）分析图2显示了前一节中描述的贝叶斯博弈的扩展形式。这个博弈也是一个不完全信息博弈，因为防守方玩家Pj在选择自己的行动（监视，不监视）时不知道玩家P i的类型（正常，恶意）和行动（攻击，不攻击）。在图2中，N是确定玩家P i的类型的自然节点。设po为参与人Pi恶意的先验概率. 我们做了一个隐含的假设，即双方都是理性的，他们的主要目标是最大化各自的收益。攻击者将防御者希望采取一种策略，使其被IDS检测到的概率最小化，而防御者希望采取一种策略，使其成功检测攻击的概率最大化。在随后的部分中，我们分析了博弈的BNE，假设参与者Pj关于参与者Pi是恶意的先验信念（po）是一个公共先验，即，参与者Pi（攻击者）知道参与者Pj（防守者）关于参与者Pi是恶意的信念。 我们对表1、表2和图3所描述的贝叶斯博弈进行了以下观察。 二、• 如果参与人Pi的类型是恶意的，如果它采用纯策略Attack，那么参与人Pj采用纯策略Monitor的预期收益是：U jMonito1wkCmpwCmk当它采用纯策略“不监视”时，它的预期收益是：Uj Not Monitor监视器• 当防御方参与人Pj采取纯策略Monitor时，恶意参与人Pi采取纯策略Attack和Not Attack的预期收益为：UAtt ac  2wkCak和UiNotAttack0。• 因此，如果Uj（Monitor）>Uj（Not Monitor），即，如果powkCmk，参与人P j的最佳对策是采用其纯策略Monitor。然而，当参与人Pj采取纯策略Monitor时，参与人P i的最佳对策是采取纯策略Not Attack. 因此，策略（（Attack if malicious ，NotAttack if normal），Monitor，p o）不是BNE，当p owkCmk时。同样如果U j（监视器）

下载后可阅读完整内容，剩余1页未读，立即下载