一种基于信任模型的Ad hoc网络入侵检测方法及系统

摘要

本发明提供一种基于信任模型的Ad hoc网络入侵检测方法，包含：步骤1：本地节点侦测被检测节点的网络行为，通过与典型恶意行为进行比对后计算得到被检测节点的信任值，并记录在本地信任表中；步骤2：本地节点得到邻居节点对被检测节点的推荐信任值；步骤3：综合本地计算的信任值与所有可信的邻居节点所返回的推荐信任值，得到节点的最终信任值，通过查询可信节点的信任值范围来判定节点是否为恶意节点。本发明的优点在于，模型简单，能够在对系统性能影响不大的情况下将恶意节点及早的检测出来，同时还考虑了周围节点对最终节点信任值的影响，误警率与虚警率都较低，对网络的稳定性与安全性起了一个很好的保护作用，且具有良好的可扩展性。

说明书

技术领域

本发明属于通信安全领域，涉及一种在Ad hoc网络中对恶意节点进行检测的方法，尤其涉及一种基于信任模型的Ad hoc网络入侵检测方法及系统。

背景技术

无线Ad hoc网络是由一组带有无线收发装置的移动终端组成的多跳临时性自治系统，网络的布设或展开无需依赖任何预设的网络基础设施和集中式组织管理机构，节点开机后就可以快速、自动的组成一个独立的网络。由于每个节点的无线信号传输范围有限，两个不在彼此信号覆盖内的节点需要通过多个中间节点转发报文来实现通信，所以Ad hoc网络中的每个节点既是终端又具有路由转发功能。但是，移动Ad hoc网络本身的特性也使其存在着更多的安全问题，主要表现在以下几方面：

1.网络节点共享开放的无线信道。Ad hoc网络采用多跳的无线信道，攻击者很容易通过无线链路窃听、假冒、篡改和重放网络上传输的信息，在链路层实施拒绝服务攻击，这些攻击难以检测、追踪。

2.网络节点缺乏物理保护及路由基础设施。Ad hoc网络节点无法像传统网络中的服务器、工作站那样受到良好的物理保护，而且所处环境更加复杂多样，例如可能漫游到敌对环境中。因此，网络节点可能面临以下几种安全威胁：

邻近的恶意节点、自私节点和已经变节的内部节点都可能制造敌意的攻击或拒绝为其他节点提供服务；

太多的转发服务会消耗掉自己的能量，从而产生拒绝服务攻击；

路由安全显得特别脆弱。危及路由安全的行为主要有两类：

外部恶意攻击者：攻击者通过注入错误路由信息、转发过时路由信息，人为造成网络分割破坏网络的连通性，或者通过产生大量的重发和无效的路由信息大大加重网络中的通信负载；

内部不安全节点：这些节点原本具有合法用户身份，但是在被攻破后可以广播不正确的路由信息给其他移动节点而不被发现和识别。

3.动态的拓扑和网络节点。理论上，移动Ad hoc网络中的节点可以任意移动，也可以随意的加入或退出网络，因此，移动Ad hoc网络的拓扑结构、范围和成员是高度动态的，这又给Ad hoc网络安全带来一系列问题：

(1)无法使用防火墙技术来保护网络。移动Ad hoc网络无法设置一条明确的防护线，袭击可能来自任何方向。因此要求每个节点都必须时刻准备预防和抵抗袭击；

(2)节点间的信任关系经常变化，因此要求Ad hoc网络的安全措施也应该是动态的，传统网络采用的静态配置方案已经不再适用于Adhoc网络；

(3)入侵检测困难。错误的路由信息可能是拓扑变化引起的也可能是入侵者所为，另外在一个大规模的移动Ad hoc网络中跟踪一个特定的节点非常困难。

4.有限的资源。无线带宽有限、电池能量有限、CPU计算能力有限，使得Ad hoc网络无法部署复杂的安全协议和加密算法。因此在设计Adhoc网络安全策略时必须考虑各种资源的占用情况，有时甚至只能提供有限的安全服务。

内部攻击和外部攻击是Ad hoc网络中的两种攻击模式，目前基于分布式认证的安全方案针对的是外部攻击中的身份伪造类攻击，然而对于从网络内部变节节点发起拜占庭类攻击的防御性能较弱。入侵检测是一种抵御内部攻击的主动整体防御理念，弥补了传统安全技术的不足。其主要是通过监控整体网络与系统的状态，用户行为以及系统的使用情况，来检测系统用户的越权使用以及入侵者利用安全缺陷对系统进行入侵的企图，并对入侵采取相应的措施。

入侵检测系统(IDS-Intrusion Detection Systems)已有多种不同类型。根据跟踪数据类型的不同，IDS可分为基于主机的IDS和基于网络的IDS；根据数据分析组件的数目和所在位置不同，IDS可分为集中式IDS和分布式IDS；根据入侵相应方式不同，IDS可分为主动型IDS和被动型IDS。目前，基于网络的分布式主动响应IDS(NDS)是入侵检测系统发展的趋势所在。根据检测方法的不同通常被分为：

异常检测，利用预先建立好的用户和系统的正常行为模式，来检测实际发生的用户或系统的行为，是否偏离正常行为模式，如偏离超过某个阈值则发生入侵；

误用检测，利用已知的攻击特征来匹配从实际数据流中提取出的特征，如匹配则发生入侵。

异常检测能检测未知的攻击，具有良好的通用性，独立于具体的操作系统和应用，但它有较高的错误告警率，配置和实现也相对困难；误用检测误报率较低，但攻击模式必须时常更新，无法检测模式库中未收录的新型攻击类型，且存在不同系统间攻击模式描述的通用性问题。

传统的有线网络入侵检测系统大部分都是基于神经网络与模式匹配算法的，但是这两种算法对节点的计算处理能力要求较高，且会大量消耗节点的能量。无线Ad hoc网络中节点的处理能力及能量都很有限，因此保护无线Ad hoc网络的入侵检测系统必须是低耗且简便易行的。在已有的Ad hoc网络入侵检测系统中，还存在的问题是，往往只是考虑了单一的证据来证明一个节点是否属于恶意节点，比如说节点之间的数据传送是否成功，如果不成功则说明节点是恶意的，这样会造成对节点的片面评价，造成虚警。

总的来说，目前的入侵检测技术还不是一项十分成熟的技术，还存在如下的问题：1)误报和漏报的矛盾；2)隐私和安全的矛盾；3)被动分析与主动发现的矛盾；4)海量信息与分析代价的矛盾；5)功能性和可管理性的矛盾；6)单一的产品与复杂的网络应用的矛盾。

发明内容

为了解决上述现有技术中存在的问题，本发明提供了一种基于信任模型的Ad hoc网络入侵检测方法，该方法可用“证据链”与“信任抖动”方式来实现。

一种基于信任模型的Ad hoc网络入侵检测方法，该方法通过“证据链”的方式来实现，包含：

步骤1：本地节点侦测被检测节点的网络行为，通过计算得到被检测节点的信任值，并记录在本地信任表中；

步骤2：本地节点得到邻居节点对被检测节点的推荐信任值；

步骤3：综合本地计算的信任值与所有可信任的邻居节点的推荐信任值，得到节点的最终信任值，从而确定节点是否为恶意节点。

一种网络入侵检测方法，步骤1中计算节点的信任值过程，进一步包含：

a、将监测到的被检测节点的网络行为与恶意行为链中的项目进行比较，得出相符合的项目数n；

b、查找调整系数表得到符合项目数n所相对应的ACO；

c、将所有相符合项的WCO相加后再乘以ACO，得到节点的不信任度；

d、节点不信任度的倒数即为节点的信任值。

一种网络入侵检测方法，步骤2进一步包含：

a、本地节点向邻居节点发出节点信任值查询信息；

b、邻居节点在收到查询信息后，查找自己的信任表得到发送查询信息的节点的信任值，判断发送查询信息的节点是否可信；

如果此节点可信，则继续查找本地信任表，找出被检测节点的信任值；如果此节点不可信，则拒绝查询请求；

c、在发送查询信息的节点可信的情况下，将被检测节点的信任值发送给发出查询信息的节点；

d、当发出查询信息的节点收到此回应信息后，查询自己的信任表，找到返回回应信息的邻居节点的本地信任值，判断此邻居节点是否可信；

如果可信，将被检测节点的信任值与返回回应信息的邻居节点的本地信任值一并保存在推荐信任表中；如果不可信则放弃保存。

一种网络入侵检测方法，步骤3中节点的最终信任值的计算方法为：将邻居节点返回的被检测节点的信任值按推荐邻居节点的本地信任值做加权和后，除以所有推荐邻居节点的本地信任值的和。

一种基于信任模型的Ad hoc网络入侵检测方法，该方法通过“信任抖动”的方式来实现，包含：

步骤1：本地节点侦测被检测节点的网络行为，通过计算得到被检测节点的本地信任值，并记录在本地信任表中；

步骤2：计算出一段连续时间内的小时间段中被侦测节点信任值的方差；

步骤3：如果被检测节点的信任值的方差持续变大，则该被检测节点为恶意节点。

一种网络入侵检测方法，步骤3进一步包含：

a、将固定时间段内节点信任值的方差依次存储在滑动窗口的格子中；

b、如果在下一时间段内，节点信任值的方差比滑动窗口的最后一个格子中所存储的方差值要小，则将滑动窗口的所有格子中存储的值全部清空，并将该值存储到滑动窗口的第一格中；

如果在下一时间段内，节点信任值的方差继续加大，则在滑动窗口中的下一格中存储该值；

c、当滑动窗口中所存储的格子的数目超过额定值，则判断此节点为恶意节点。

本发明还提供一种基于信任模型的Ad hoc网络入侵检测系统，包含：

用于监视并记录与之通信的节点行为的行为监视器，包括数据链路层行为监视器、网络层行为监视器、传输层数据行为监视器，分别用于从本地的不同数据源收集审计数据流；

用于发送、接收和管理其他节点的推荐信任值信息的信任管理器；

通过分析由本地行为监视器与邻居节点所提供的数据计算节点的最终信任值并保存到节点的本地信任表中的信任计算器；

与外部网络数据进行交换的通信接口，采用通用标准定义。

本发明的优点在于：模型简单，且能够在对系统性能影响不大的情况下将恶意节点及早的检测出来，同时还考虑了周围节点对信任值的影响，误警率与虚警率都较低，对网络的稳定性与安全性起了一个很好的保护作用，且具有良好的可扩展性。

附图说明

图1为本发明的被检测节点的网络行为与“证据链”的比较过程示意图；

图2为本发明的计算被检测节点的信任值的方法流程图；

图3为本发明的信任值与信任等级映射关系图；

图4为本发明的邻居节点的推荐过程方法流程图；

图5为本发明的信任抖动滑动窗口示意图；

图6为本发明的入侵检测系统结构示意图；

图7为本发明的入侵检测系统在Ad hoc网络中的应用示意图。

具体实施方式

有关本发明的技术内容及详细说明，现配合附图说明如下：

本发明提供一种基于信任模型的Ad hoc网络入侵检测方法，通过节点自身观察和相互通告的手段来检测几种已知类型的攻击行为，得出对节点的一个综合评价——信任值，使得网络中节点在进行路由时绕过可能的恶意节点。

本发明提供了一种通过“证据链”的方式来检测恶意节点的方法。当节点信任值低于某个阈值时，其它节点会拒绝为其提供服务，从而将恶意节点排除出网络。本发明将节点的行为与事先规定的一系列恶意节点的典型行为作比较来得到一个本地的对节点的评价。除此之外，为了避免节点之间的“偏见”，得到对被检测节点的一个更加客观的评价，在考察一个节点的性质的时候，将邻居节点对被检测节点的评价也考虑在内。该方法，包含：

步骤1：本地节点通过计算得到被检测节点的信任值，并记录在本地信任表中。

图1为本发明的被检测节点的网络行为与“证据链”的比较过程示意图。本地节点利用节点侦测到邻居节点的各种通信行为及网络中其它节点的广播信息为本地节点评价的基础数据，通过比对“证据链”中的各项攻击行为，得到对被检测节点的一个本地评价。所谓“证据链”，即是指任何证据在证据环未产生之前，都是孤立存在，不具法律效果的，证据环是指证据能够互相印证。证据链是由证据环构成的，表现了证据与待证事实之间的关联性，即这些证据环，足以证明案件全部事实。单独的一个恶意行为并不能说明这个节点就是恶意节点，它的产生可能还有很多种其它的原因，比如说某个节点的加入与退出，节电的能量不足等等。

根据对网络中存在的各种攻击手段，如泛洪、DoS、黑洞以及灰洞攻击等等，本发明总结出了恶意节点的一些典型不良行为，按其对信任值的影响程度的大小不同串成一个链条，形成一条“证据链”，通过将被检测节点的行为与“证据链”中的项进行比对，得到符合的项目数n，如果n的值越大，就说明这个节点和恶意节点的特征越匹配，也就有更多的证据来指证这个节点属于恶意节点。恶意节点的恶意行为，主要可以归纳为以下几种：

1、数据包的不正常转发(NF-No Forwarding)：这类攻击的特征为不转发路由、数据报文或不按路由要求胡乱转发报文，此类攻击可能属于黑洞或灰洞；

2、伪造虚假路由(FRI-False Routing Information)：指节点向网络中不停的发RREP，伪造虚假路由，宣称自己和某个目的节点之间存在最短路径，这样，希望与目的节点建立通信的节点都会将数据分组发送给此恶意节点，恶意节点丢弃或部分丢弃这些数据分组，从而形成一个吸收数据的“黑洞”，造成网络拥塞，浪费网络中的资源，如CPU处理时间、节点能量等；

3、恶意欺骗(MC-Malicious Cheating)：谎报工作正常的路由出现路由错误，使得数据包无法正常的被传送到目的节点；

4、缺少错误信息(LEM-Lack of Error Message)：当路由出现问题时，恶意节点不将错误信息发送给路由中的其他节点；

5、频繁路由更新(FRU-Frequent Routing Updates)：攻击者通过频繁的发送路由更新请求，使整个网络充斥着路由请求信息，从而耗费掉宝贵的通信资源；

6、私自修改路由信息(SRC-silent route change)：私自修改路由表的部分表项，比如序列号，跳数等等，易造成网络流量的重定向；

“证据链”中证据的累加和节点信任值的下降不是线性关系，期间存在一个可变的调整系数(ACO-Adjusting Coefficient)。ACO是用来调整被检测节点的信任值的变化趋势的，当指证节点是恶意节点的证据越多，即证据项目数n值越大，调整系数ACO也就相应地越大，使得给予节点的信任值也下降得更快，故调整系数可以被看作成是一种“奖惩措施”。调整系数表由用户创建，但是必须符合系数大于1，且当证据项目数n值越大，调整系数越大，上升的幅度也应该逐次增加的原则。

不同的恶意行为对应着不同的危害程度，所以针对不同的恶意行为，我们给予不同的加权值(WCO-Weighting Coefficient)来表明它们对于节点信任值的影响程度不同。这些加权值的选取也必须满足某些条件，比如说加权值必须大于1，但也不能够过大，否则当节点误做出某项恶意行为以后，它的信任值就马上降到恶意节点的信任值范围内。

在本发明中，节点信任值的取值范围在0与1之间。如果被检测节点的行为没有一项与“证据链”中的项目相符，既证据项目数n＝0，则节点的信任值为1；否则节点的信任值将会反映出其是否符合恶意节点的范畴。当节点的信任值低于某个阈值的时候，我们就将其划入恶意节点中，并采取相应的措施将其隔离以避免产生更大的危害。

如图2所示，计算被检测节点的信任值的步骤，包含：

监测被检测节点的网络行为(步骤S101)，将这些行为与“证据链”中的项目进行比较，得出相符合的项目数n(步骤S102)；查找调整系数表得到符合项目数n所相对应的ACO(步骤S103)；将所有相符合项的WCO相加后再乘以ACO，得到节点的不信任度(步骤S104)，节点的不信任度越高，就说明这个节点越不值得被信任；不信任度的倒数即为节点的信任值(步骤S105)。

步骤2：本地节点得到邻居节点对被检测节点的推荐信任值。

在本发明中，不仅考虑了本地节点对被检测节点的评价，同时还考虑到了邻居节点对被检测节点的看法，这样就可以避免节点信任评价的主观性，能够更加客观的得到对被检测节点的综合评价。当一个节点需要考察某个节点的信任值的时候，它首先根据本地记录下来的被检测节点的行为做一个本地评价，同时向其邻居节点发出“节点信任值查询”信息。当接收到邻居节点返回的所有信息后，本地节点再根据公式计算出目标节点的综合信任值。

当恶意节点在被问到其它节点的信任值的时候，它可能会将可信节点的信任描述得很差或者给其它恶意节点一个很高的信任值，这样就达到了对网络的稳定性或性能造成破坏的作用。所以在返回的回应信息中，我们也可以进行筛选，只选择节点信任值高于设定级别的节点。采用这种方案的目的是减少无用的数据，大大降低信任值计算的复杂度，同时也防止了恶意节点的恶意诬告。

为了对节点的信任值有一个更加形象的认识，本发明将节点的信任值对应到不同的信任等级上，不同的信任等级代表了节点不同的可信度，信任等级高说明节点的行为规范，可以被信任。这样在进行路由选择的时候，只考虑信任等级在可接受范围内的节点作为路由的中间结点。

图3为本发明的信任值与信任等级映射关系图。如果在进行信任等级划分的时候采用线性划分的方法，那么两个等级之间的信任值间隔相同，但是在实际情况下，当节点的恶意行为越来越多的时候，它的信任值会越来越小，但是信任值的变化不是线性递减的。当节点的恶意行为越来越多的时候，它的信任值会聚集在0的周围，所以在本发明中采用非线性的方法来划分信任等级。在靠近0的地方，两个等级之间的距离逐渐减小，这样就能够更加真实地反映出恶意行为的增多对节点信任等级的影响情况。

如图4所示，邻居节点的推荐过程有如下几个步骤：

向邻居节点发出“节点信任值查询”信息(步骤S201)；当它的邻居节点收到此查询信息后，首先会查找自己的信任表得到发送查询信息的节点的信任值(步骤S202)；判断发送查询信息的节点是否可以被信任(步骤S203)，如果此节点可以被信任，则继续查找信任表，找出被检测节点的信任值，然后将这个值封装在查询信息的回应信息中，并发送给查询节点(步骤S204)；当查询节点收到此回应信息后，查询自己的信任表，找到返回回应信息的邻居节点的本地信任值(步骤S205)，判断此邻居节点是否可信(步骤S206)，如果可信，取出信息中携带的推荐信任值与返回回应信息的节点的本地信任值一起保存在推荐信任表中(步骤S207)；再判断是否接受到所有邻居节点的回应信息(步骤S208)，直到接收到所有邻居节点的回应信息，计算被检测节点的最终信任值(步骤S209)。

步骤3：综合本地计算的信任值与推荐信任值，得到节点的最终信任值，从而确定节点是否为恶意节点。

当收到所有邻居节点的回应信息后，查询节点将邻居节点返回的被检测节点的信任值与本地计算的信任值综合，得到被检测节点的最终信任值。最终信任值的计算是将推荐信任值按推荐节点的本地信任值做加权和后，除以所有推荐节点的本地信任值的和，除法是为了归一化信任值而做的。

举例说明，假设用户规定的恶意行为加权系数如表1所示，调整系数表如表2所示：

表1.恶意行为加权系数表

  恶意行为    NF  UTA  MC  LEM  FRU  SRC  加权系数    1.8  1.6  1.5  1.4  1.2  1.1

表2.调整系数表

相符项目数    1    2    3    4    5    6调整系数    1.0    1.5    2.0    3.0    6.0    10.0

被检测节点的行为中包括了数据包的不正常转发、恶意欺骗和缺少错误信息这三项。将节点的行为与“证据链”相比较后，得到有三项与链中的行为相符，标记下这三项行为，并且得到n＝3；再查找调整系数表，当n＝3时，得到调整系数ACO＝2.0；最后，将所有恶意行为的加权系数相加后与调整系数相乘，然后取倒数得到被检测节点的本地信任值，其计算公式如下：

在对一个节点的信任度进行评定的时候，本发明不仅仅只考虑了由本地存储的网络监控信息所得到的目标节点本地信任评价，而且还参考了其周围节点对目标节点的信任值意见，并将其推荐的目标节点信任值根据推荐节点在本地所存储的信任值作了一个加权平均。在返回的推荐信任值信息中，我们也可以进行筛选，只选择节点信任值高于设定级别的节点，在本实例中，将此门限选取为信任等级2。

在本实例中由本地存储的节点网络行为所得到目标节点信任值为0.20。假设有10个邻居节点返回信任值推荐信息，其本地信任值，信任等级与目标节点的推荐信任值分别如下表所示：

表3.推荐综合信息表

    推荐节点序列号  1  2    3    4    5    6    7    8    9    10    推荐节点信任值  0.55  0.24    0.18    0.11    0.08    0.22    0.15    0.07    0.006    0.27    推荐节点信任等级  4  3    2    2    1    3    2    1    0    3    推荐信任值  0.21  0.23    0.20    0.21    0.15    0.20    0.22    0.14    0.08    0.22

由表3可见，由于设置的门限为信任等级2，则推荐节点5、8、9的节点本地信任等级没有达到要求，所以它们所提供的推荐信息将不予采纳，只剩下其余的7个节点及本地计算的信任值可供参考。

根据最终节点信任值的计算公式可以计算得到：

$\mathrm{TRV}=\frac{0.55*0.21+0.24*0.23+0.18*0.20+0.11*0.21+0.22*0.20+0.15*0.22+0.27*0.22+0.20*1}{0.55+0.24+0.18+0.11+0.22+0.15+0.27+1}$

$=\frac{0.5662}{2.72}=0.208$

由此我们可以得到目标节点的最终信任值为0.208。

本发明还提供了一种通过“信任抖动”的方式来检测恶意节点的方法。节点处于网络中，其行为是不断地在变化的，在其它恶意节点的不断攻击下，它也有可能“变节”为恶意节点，所以必须时刻对其行为进行监控，修改其信任值，尽可能早的发现其有变坏的趋势。在相关参考文献中，很少有人提到对节点信任值的变化情况进行分析考虑的，但是信任值的变化情况对于分析节点是否被恶意节点所攻击，以及它是否会变为恶意节点有很重要的意义。本发明考察节点信任值的抖动情况，即其信任值的变化情况。

信任均值是将以往的可信节点接入网络以后所有的信任值做统计平均而得到的。如果在一段时间内，节点的信任值距离信任均值越来越远，则说明节点的行为已经在向恶意节点靠拢，可能正在被恶意节点所攻击，且有变坏的可能。如果超过某个设定的极限后，就有理由怀疑这个节点已经“变节”为恶意节点。如此，可以提前发现恶意节点，并且在其做出更大危害前采取合适的措施，避免其对网络性能的影响。

在概率论中方差是用来刻画随机变量的集中程度或分散程度的，故在本发明中，为了对节点的信任值变化趋势有一个定量的分析，将一段时间划分为很多个小时段，并计算出这些时段内节点信任值的方差。如果一个节点的信任值在一段时间内时好时坏，即信任值的方差达到一定的阈值，并且有越来越大的趋势的时候，这个节点就有可能是受到持续的攻击变为恶意节点。

为了更好的利用这个概念，本发明中采用了滑动窗口来解释此模型。在这个滑动窗口中，每一格存储固定的一段时间内节点信任值的方差，大致可以分为两种情况：

1、如果在下一个时间段内，节点信任值的方差比当前的时间区域内的要小一些，那么将滑动窗口中所存储的值全部清空并且将这个值存储到滑动窗口第一格中；

2、如果在下一个时间段内，节点信任值的方差继续加大，则在滑动窗口中的下一格中存储此值；

这样，当滑动窗口中所存储的值的数目超过一定的范围后，就可以说明此节点有向恶意节点发展的趋势，我们可以采取及时的措施，避免继续遭受此节点的攻击。

图5为本发明的信任抖动滑动窗口示意图。假设将一段时间划分为10个小时间段，并且规定当方差滑动窗口保存的方差数大于等于5的时候即判断此节点为恶意节点。在前四个小时间段内节点信任值的方差分别为0.1，0.2，0.3，0.4，由于节点信任值的方差是逐渐增加的，所以这些信任值的方差都被存储在方差滑动窗口中，并且滑动窗口的窗口数为4。

如果下一时段的信任值方差为0.5，则继续将此值压入滑动窗口中，这个时候我们发现窗口数变为5，达到规定的阈值，说明此节点及有可能正在被恶意节点持续攻击，并且有变为恶意节点的趋势。故将这个节点纳入“节点黑名单”，并对它的行为作出相应的限制，以避免它继续做出更大的危害。

如果下一时段的信任值方差为0.3，则将滑动窗口中的前几项清空，并将0.3填入滑动窗口的第一项中，这时链条的长度变为1，入侵检测系统继续对节点的行为进行监控。

如图6所示，本发明还提供了一种基于信任模型的Ad hoc网络的入侵检测系统(IDMTM-Intrusion Detection Mechanism based on TrustModel)，包含：行为监视器(AMD-Action Monitor Device)、信任管理器(TMD-Trust Manage Device)、信任计算器(TED-Trust Evaluate Device)以及通信接口模块(CIM-Communication Interface)。

行为监视器：用于监视并记录与之通信的节点的行为，包括数据链路层行为监视器、网络层行为监视器、传输层数据行为监视器，分别负责从本地的不同数据源收集审计数据流，并将这些作为评价一个节点的重要证据。

信任管理器：用于发送、接收、管理其他节点的信任值推荐信息。

信任计算器：通过分析由本地行为监视器与邻居节点所提供的数据，来计算、标记与管理其他节点的信任值，并将计算出来的结果保存到本地信任表中。

通信接口：是IDMTM与外部网络数据进行交换的通信通道，采用通用标准定义，以便兼容其它的标准定义入侵检测系统，提供了协同工作的基础。

图7为本发明的入侵检测系统在Ad hoc网络中的应用示意图。每个节点监视与其通信的节点的行为，通过通信接口将网络数据传送到行为监视器上，由行为监视器将所有可疑的行为记录下来，以供信任计算器对节点做出评价。同时由信任管理器接收邻居节点所发送过来的节点信任值推荐信息，同样交由信任计算器进行处理。信任计算器综合考虑本地节点的信任评价以及邻居节点返回的推荐信息，根据相应计算公式计算出目标节点的最终信任值，并划分其信任等级。在节点寻找路由的过程中，当有其它节点返回路由信息时，本地节点通过查找本地信任表得到返回路由信息的节点的信任值，如果信任值在可以相信范围之内，则建立路由；否则，返回的路由信息将不予采纳，即恶意节点被其它节点所孤立，它所提供的信息都不被信任。这样就可以有效地将恶意节点隔离开，从而实现对网络安全的保护。

上述仅为本发明的较佳实施例而已，并非用来限定本发明实施范围。即凡依照本发明申请专利范围所做的均等变化与修饰，皆为本发明专利范围所涵盖。