Fraunhofer-Gesellschaft

Publica

Hier finden Sie wissenschaftliche Publikationen aus den Fraunhofer-Instituten.

Auswertung von Positionsdaten, Funkcharakteristika und des Verbindungsgraphen für die Angriffserkennung in mobilen Ad-hoc-Netzen

 
: Sommer, Martin
: Ebinger, Peter

Darmstadt, 2007, 100 pp.
Darmstadt, TU, Dipl.-Arb., 2007
German
Thesis
Fraunhofer IGD ()
mobile ad-hoc network (MANETs); intrusion detection; network topology; Wireless communication protocols; simulation

Abstract
In dieser Diplomarbeit wird untersucht, wie Positionsdaten, Funkcharakteristika und Routinginformationen für die Erkennung aktiver Routingangriffe in mobilen Ad-hoc-Netzwerken (MANETs), wie Blackhole-Angriffe, verwendet werden können. Die angeführten Daten werden analysiert und auf gegenseitige Koheränz untersucht, um Anomalien, die auf einen möglichen Angriff zurückzuführen sind, zu erkennen. Erwartete Kommunikationsbeziehungen, die aus Knotenpositionierung und Funksignalstärke abgeleitet werden, werden dabei mit tatsächlichen Netzwerkverbindung, gegeben durch die Routing-Informationen der einzelnen Knoten, verglichen. Abweichungen von einem erwarteten Normalverhalten können somit als Indiz für Routingangriffe gewertet werden.
Die Arbeit ist in drei Abschnitte unterteilt. Der erste Teil der Arbeit bietet einen Einblick in MANETs und die Grundlagen der mit dieser Arbeit verbundenen Themengebiete wie Routing, Sicherheit, Angreifer und Angriffserkennung. In Kapitel 2 wird zuerst das Routing in MANETs und die besonderen Eigenschaften von Routingprotokollen erläutert, während in Kapitel 3 die in dieser Arbeit relevanten Informationen Geoposition, Funksignalstärke und Topologieinformationen im Zusammenhang mit MANETs vorgestellt werden. Das Kapitel 4 beschäftigt sich mit Angriffen in Computernetzwerken und deren Erkennung. Dabei wird ein Bogen von allgemeinen Schutzzielen im informationstechnischen Bereich über mögliche Angriffsformen hin zu IDS in MANETs geschlagen.
Aufbauend auf den vorgestellten Ansätzen und Erkenntnissen der Grundlagen-Kapitel, werden im zweiten Teil der Arbeit Konzepte für die Angriffserkennung basierend auf Geopositionen, Funksignalstärken und Topologieinformationen vorgestellt. Das Modell wird in Kapitel 5 beschrieben, die im Rahmen dieser Arbeit darauf aufbauende Implementierung in Kapitel 6 erläutert. Dabei wird bei der Modellierung auf die dem IDS zugrunde liegenden Ideen und Analyse-Algorithmen eingegangen, während das Implementierungskapitel Details zur Umsetzung liefert, um vor allem den Weg für weitere Entwicklungen basierend auf dieser Implementierung zu vereinfachen.
Im letzten Teil der Arbeit geht es um die Evaluation des entwickelten IDS anhand von Simulationen. Dazu wird in Kapitel 7 zuerst die dafür verwendete Simulationsumgebung JiST/MobNet eingeführt. Besonders die Integration der entwickelten IDS-Komponente in den Simulationsablauf sowie die Datengewinnung aus dem Simulator werden ausführlich behandelt. Im Kapitel 8 werden im Anschluss die verschiedenartigen Simulationsparameter und die letztendlich simulierten Szenarios vorgestellt. Darauf folgt die Auswertung, in welcher die gewonnenen Simulationsdaten analysiert und die Effektivität des entworfenen IDS detailiert besprochen werden.
Dabei zeigen die Simulationsergebnisse einen sehr deutlicher Unterschied in der Anzahl der Warnungen der einzelnen Analyseverfahren in Netzwerken mit Angreifer und ohne Angreifer. So erkannte das IDS Angreifer nicht nur mit einer Genauigkeit von über 95% korrekt, es liegt auch die Wahrscheinlichkeit der Falsch-Positive Meldung bei Versuchsreihen ohne Angreifer für einen Knoten unter 1%. Dies zeigt, dass die Auswertung von direkten und indirekten Positionsdaten im Zusammenhang mit der zugrunde liegenden Netzwerktopologie verwertbare Hinweise zu Angriffen auf das Routing in MANETs liefert. Eine Zusammenfassung der Ergebnisse sowie eine Aussicht auf Möglichkeiten anschließender und darauf auf- bauender Arbeiten wird im abschließenden Kapitel 9 gegeben.

 

This diploma thesis examines how positioning data, radio signal characteristics and routing information can be used to detect active attacks (such as the black hole attack) in mobile ad hoc networks (MANETs). Various data sets are analysed and compared to check their consistency in order to detect anomalies that might indicate an attack.
Direct positioning data (such as GPS coordinates) and other sources of information (such as radio signal strength) are taken into account from which conclusions can be drawn about the distance between individual nodes. Expected communication relationships derived from node localization are compared to the actual network connectivity graph given by the routing tables. This comparison can detect suspicious properties (divergent values) which could indicate an attack in progress.
The thesis is divided into three parts. The first part gives an overview to MANETs, routing, security, attackers and attack detection. In Chapter 2, the routing in MANETs and the special characteristics of routing protocols is explained. Chapter 3 presents the relevant information about GPS, radio signal strength and topology information while Chapter 4 deals with attacks on computer networks and their detection, focusing on MANETs.
Based on the above approaches and findings, the second part introduces the models for the attack detection based on positioning data, radio signal strength and topology information. In Cahpter 5 The model is described mathematically. In Chapter 6 an overview of the implementation is given to simplify further developments based on this work.
The last part describes the evaluation of the developed model using the simulator JiST/MobNet (Chapter 7) and Ad hoc On-demand Distance Vector Routing (AODV) as the underlying routing protocol. In Chapter 8 various simulation scenarios and the corresponding results are presented. In this evaluation part the obtained simulation data are analysed and the effectiveness of the developed IDS is discussed in detail.
Simulation results show that the developed IDS component detect attacks on a MANET with high probability for various set-ups. Significant differences between the number of warnings in a network with one or more attacker compared to a network without malicious nodes could be derived. The accuracy of the IDS detecting blackhole attacker within a MANET is above 95% in average. On the other hand the probability of false positive warnings for a benign node is below 1%. A summary of all results and a prospect of further work improving this new concept of intrusion detection in MANETs can be found in the final Chapter 9.

: http://publica.fraunhofer.de/documents/N-65790.html