Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken

Weitere Magazine

Empfehlungen

Info

KAPITEL 3. INTRUSION DETECTION die Motivation zur Bestrafung böswilliger, bzw. egoistischer Knoten her. Ohne Gegenmaßnahmen, argumentiert sie, werden egoistische Knoten überhand nehmen und dadurch die korrekte Funktionsfähigkeit des Netzwerkes unterminieren. Um dem entgegen zu steuern skizziert sie das Grudger Protokoll. In diesem kontrollieren sich die Knoten gegenseitig in ihrer Nachbarschaft durch Overhearing der Nachrichten. Sie glaubt dadurch Änderungen und das Nicht-Weiterleiten von Paketen erkennen zu können. Die Knoten kommunizieren ihre Beobachtungen untereinander und intern mit Alarm Nachrichten. Eine Alarm Nachricht warnt vor einem erkannten bösartigen Knoten und wird an alle Knoten in der Freundesliste geschickt. Diese Liste umfasst alle Knoten, denen dieser Knoten traut. Path Manager (Pfade anpassen) Alarm Nachricht Trust Manager (Alarm Tabelle) Toleranz überschritten überwachen Ihr System besteht aus den folgenden Komponenten: Reputation System (Alarm- und Ereignisanalyse) Ereignis Toleranzbereich Monitor Abbildung 3.4: Trust Architektur des Grudger Protokolls • Monitor erfasst Pakete der Nachbarn im Promiscuous Mode und versucht potentiell bösartiges Verhalten zu erkennen. Der Monitor erzeugt dann ein Ereignis für das Reputation System. 26
KAPITEL 3. INTRUSION DETECTION • Reputation System ordnet den Knoten einzelnen Ratings zu. Diese werden aus eigener Beobachtung (hohes Gewicht) und von fremden Alarm Nachrichten (nach Vertrauenswürdigkeit der Quelle gewichtet; immer geringer als eigene Beobachtung) erzeugt. Wenn die Schwelle der zu tolerierenden Erkennungen eines Angriffs überschritten ist, wird der Path Manager benachrichtigt. • Trust Manager fasst die Alarm Nachrichten zu einer Bewertung zusammen. Der Trust Manager nimmt auch von anderen Knoten empfangene Ratings in die Bewertung auf. Er sendet Alarm Nachrichten zu allen Knoten aus seiner Freundesliste. • Path Manager soll entsprechend der Ratings Pfade mit böswilligen Knoten vermeiden und seinerseits keinen Datenverkehr böswilliger Knoten weiterleiten. Die Quelle von Paketen, die über einen böswilligen Knoten gehen, werden durch eine Alarm Nachricht informiert; ist diese Quelle der böswillige Knoten, wird das Paket verworfen. Die Einteilung des Systems von Buchegger war richtungsweisend durch die Aufteilung in die verschiedenen Module. Der Ansatz böswillige Knoten zu bestrafen, indem ihre Pakete verworfen werden, ist eine effektive Motivation zur Kooperation. Allerdings ist das System nicht praktisch implementiert und lässt deshalb viele zentrale Problemstellungen unbeantwortet. Das konkrete Rating der Knoten wird nicht spezifiziert. Es werden keine Mechanismen angedacht, wie das IDS seinerseits sicher gegen Angreifer gemacht werden kann. Sie verlässt sich zur Erkennung von Böswilligkeit einzig auf den Promiscuous Mode, der, wie in [MGB00] gesehen, viele Probleme mit sich bringt und keine sichere Erkennung gewährleisten kann. Das Aufstellen der Freundesliste geschieht willkürlich und ist weder auf Sicherheit noch auf Performance abgestimmt. Zusammenfassend bleibt festzustellen, dass Buchegger’s System interessant ist, aber auch, dass nicht gezeigt wurde, dass das System auf diese Weise funktioniert. Bisher ist sie die Simulationsergebnisse und auch Beweise grundlegender Algorithmen schuldig geblieben. 3.4.2.3 CORE CORE ist ein Akronym für ’Collaborative Reputation Mechanism’. Dies kann ins Deutsche übersetzt in etwa als ”Gemeinschaftlicher Bewertungsmechanismus” wiedergegeben werden. Michardi und Molva haben in [MM01] diesen Ansatz umrissen. Bei diesem bewerten sich die Knoten im Netzwerk gegenseitig und tauschen diese Bewertungen aus. Werden Knoten schlecht bewertet, werden diese bestraft; Knoten, die kooperieren, werden durch eine gute Bewertung belohnt. Durch Bestrafung soll Kooperation der Knoten erzwungen werden. Michardi stellte ein allgemeines System auf, bei dem mit dem Promiscuous Mode die Ausführung einer bestimmten Funktion von dem überwachten Knoten kontrolliert wird. Wird die überwachte Funktion anders als erwartet ausgeführt oder gar nicht ausgeführt, wird die Bewertung deutlich verschlechtert. Eine solche Funktion stellt beispielsweise das Weiterleiten eines Paketes oder die Teilnahme am Routingprotokoll dar. Der Funktionswert ist dann die resultierende Bewertung für das beobachtete Verhalten. 27
Seite 1: UNIVERSITÄT ULM · SCIENDO · DOCE
Seite 4 und 5: INHALTSVERZEICHNIS 3.3.1.5 Der Anfa
Seite 6 und 7: INHALTSVERZEICHNIS 7 Fazit von MobI
Seite 8 und 9: KAPITEL 1. EINLEITUNG den Teilnehme
Seite 10 und 11: KAPITEL 2. AD HOC ROUTING, EINE NEU
Seite 16 und 17: KAPITEL 3. INTRUSION DETECTION 3.2
Seite 18 und 19: KAPITEL 3. INTRUSION DETECTION Dies
Seite 20 und 21: KAPITEL 3. INTRUSION DETECTION - Ve
Seite 22 und 23: KAPITEL 3. INTRUSION DETECTION Verb
Seite 24 und 25: KAPITEL 3. INTRUSION DETECTION Date
Seite 26 und 27: KAPITEL 3. INTRUSION DETECTION •
Seite 28 und 29: KAPITEL 3. INTRUSION DETECTION Eine
Seite 30 und 31: KAPITEL 3. INTRUSION DETECTION Anfo
Seite 34 und 35: KAPITEL 3. INTRUSION DETECTION Ein
Seite 36 und 37: KAPITEL 3. INTRUSION DETECTION auch
Seite 38 und 39: KAPITEL 3. INTRUSION DETECTION Es w
Seite 40 und 41: KAPITEL 3. INTRUSION DETECTION die
Seite 42 und 43: KAPITEL 3. INTRUSION DETECTION vorh
Seite 44 und 45: KAPITEL 3. INTRUSION DETECTION 38
Seite 46 und 47: KAPITEL 4. VERWUNDBARKEITEN DES DSR
Seite 54 und 55: KAPITEL 5. SIMULATION VON AD HOC NE
Seite 64 und 65: KAPITEL 6. MOBIDS, EIN INTRUSION DE
Seite 82 und 83:
KAPITEL 6. MOBIDS, EIN INTRUSION DE
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
KAPITEL 7. FAZIT VON MOBIDS durchdr
Seite 106 und 107:
ANHANG A. SIMULATIONSARCHITEKTUR In
Seite 108 und 109:
ANHANG B. GLOSSAR Overhead bezeichn
Seite 110 und 111:
ABBILDUNGSVERZEICHNIS 6.6 Aktivitä
Seite 112 und 113:
LITERATURVERZEICHNIS [BdSM00] M. C.
Seite 114 und 115:
LITERATURVERZEICHNIS [Joh94] David
Seite 116 und 117:
LITERATURVERZEICHNIS [PH02b] Panagi
Seite 119:
Andreas Klenk Matrikelnummer 372292
Alle anzeigen

Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?