Diese Dissertation beschäftigt sich mit der Angriffserkennung in drahtlosen Multihop-Netzen. Drahtlose Netze haben fraglos eine der wichtigsten Revolutionen persönlicher Kommunikation in den letzten Jahrzehnten ermöglicht. Abermillionen von Geräten mit drahtlosen Kommunikationsfähigkeiten werden jedes Jahr an Endnutzer verkauft: Smartphones, die den Internetzugriff fast überall erlauben, Computer mit drahtloser Konnektivität, Uhren, Sportschuhe, Fotokameras und sogar Brillen mit drahtloser Verbindungsmöglichkeit. Das heute vorherrschende Kommunikationsparadigma für drahtlose Netze basiert auf der direkten Verbindung von Endgeräten mit Funk-Basisstationen (sog. Single Hop Netze). Die Zukunft und die Vision für die drahtlose Kommunikation besteht darin, dass mobile Endgeräte zusätzlich zu der Single Hop Kommunikation darüber hinaus in der Lage sind, indirekte Verbindungen über mehrere Zwischenknoten aufzubauen (sog. Multihop Netze). Solche drahtlosen Multihop Netze können in verschiedenen Szenerien nützlich sein: Sie können beispielsweise bei der Suche und der Rettung von Menschen in Katastrophengebieten eingesetzt werden, wenn infrastrukturbasierte Kommunikation nicht mehr zur Verfügung steht. In diesem Kontext ist die Sicherheit des Netzes und konkret die Erkennung von Angriffen von hoher Relevanz.

Der heutige Stand der Technik zur Angriffserkennung für drahtlose Multihop Netze weist eine Reihe Einschränkungen auf. Rein zentralisierte Angriffserkennungssysteme sind für drahtlose Multihop Netze nicht geeignet, da diese wegen ihrer verteilten Natur keine klare Verteidigungslinie bieten. Die Angriffserkennungsmethode, die bisher am häufigsten für drahtlose Multihop Netze vorgeschlagen wurde, ist die verteilte Angriffserkennung. Diese basiert auf dem Einsatz von Erkennungssensoren in einzelnen oder in sämtlichen Netzknoten. In der Literatur werden eine Vielzahl verschiedener theoretischer Ansätze vorgeschlagen, die diesem Erkennungsparadigma folgen. Eine zufriedenstellende praktische Implementierung fehlt bisher jedoch. Resultate für die wenigen vorhandenen praktisch umgesetzten Systeme zeigen, dass der Aufwand zu hoch für einen regulären Betrieb ist. Die verteilte Erkennung ist für Netze, die mit ressourceneingeschränkten Geräten operieren, daher nicht geeignet. Des Weiteren macht das bei bisherigen Lösungen überwiegend vorgeschlagene passive Lauschen im drahtlosen Medium die Erkennung einiger Angriffe schwer oder gar unmöglich. Andere vorgeschlagene Angriffserkennungs- oder Angriffsminderungssysteme erfordern Änderungen an den Routing-Protokollen. Dies führt zum Kompatibilitätsverlust mit bestehenden Systemen.

In dieser Dissertation schlagen wir eine innovative Angriffserkennungsmethode vor, die die Einschränkungen aktueller Methoden aufhebt. Anstatt des Einsatzes von Angriffserkennungssystemen auf den einzelnen Knoten im Multihop, nutzt unsere Lösung dedizierte Angriffserkennungsknoten. Diese sind vertrauenswürdig und besitzen hinreichende Ressourcen (Rechenleistung, Energieressourcen, steuerbare Mobilität). Im Gegensatz zu verteilten Angriffserkennungssystemen in der Literatur, erkennen die Angriffserkennungsknoten in unserem Schema die Angriffe nicht ausschließlich lokal, sondern untersuchen die Netzknoten von außen. Für diesen Zweck haben wir eine neuartige Technik auf Basis aktiver Angriffsanalyse entwickelt. Diese Technik nutzt ein Vorgehen, das dem klassischen 'Ping' oder dem aktiven erstellen von Geräteprofilen (sog. Fingerprinting) ähnlich ist. Die aktive Angriffsanalyse sendet sogenannte Testpakete zu dem zu analysierenden Netzknoten, zeichnet dessen Reaktion auf und analysiert diese. Darüber hinaus erlauben wir den Angriffserkennungsknoten sich durch das Netzwerk zu bewegen und so alle Knoten zu analysieren. Die Innovation unseres Ansatzes besteht darin, dass unsere aktive Technik im Gegensatz zum Fingerprint oder anderen klassischen aktiven Techniken die Knoten nicht charakterisiert, sondern analysiert, ob die Knoten entsprechend der Protokoll-Spezifikationen funktionieren bzw. ob von ihnen bösartige Aktivitäten ausgehen.

In dieser Dissertation schlagen wir eine Technik zur aktiven Angriffsanalyse für die Angriffserkennungen in drahtlosen Multihop Netzen vor und beschreiben ihre Konzeption, ihr Design und ihre Evaluierung. Ohne Beschränkung der Allgemeinheit testen wir unsere aktive Angriffsanalyse in einer drahtlosen vermaschten Testumgebung, die dem neuen Standard für Multihop Netze IEEE 802.11s entspricht. Wir führen eine ausführliche Evaluierung unserer Technik und ihrer Parameter durch.

Ergebnisse unserer Untersuchung sind, dass das wiederholte Versenden von Testpaketen in verschiedenen Netzwerkzuständen von Vorteil ist; mit dieser Technik können Falsch-Positiv-Raten von unter 1.3% erzielt werden. Wir zeigen, wie unsere aktive Angriffsanalyse Angriffe wie beispielsweise fortgeschrittene "selective dropping of packets", "black hole" und "colluding misrelay" mit Erkennungsraten über 90% erkennt. Wir modellieren einen temporär-selektiven Bayes-Entscheider, um daraus den Zustand des getesteten Netzwerkknotens zu schlussfolgern. Dieser Entscheider ist auch für andere Systeme nutzbar. In unserer Anwendung klassifiziert er aus einer Menge von aktiven Proben, ob ein Knoten bösartig agiert. Wir entwickeln ein rekursives Probeauswahlschema, das auf dem aktuellen Posterior und der Vorhersage basiert. Es ermöglicht die Minimierung der Anzahl von aktiven Proben, während die Erkenntnisse aus der Menge von den ausgeführten Proben maximiert werden können. Wir zeigen zudem, dass andere passive Techniken ein aktives Angriffserkennungssystem ergänzen können. Wir schlagen eine leichtgewichtige Metrik für die Anomalieerkennungen vor, die sogenannte "neighbor variation rate". Wir erforschen, wie sich die Nachbarschaft während der Zeit verändert und drücken diese Veränderungen in einer quantitativ messbaren Metrik aus. Wir entwickeln ein Erkennunsmodell, das auf dieser Metrik basiert, und benutzen es für die Anomalie- und Angriffserkennung. Abschließend stellen wir eine modulare Implementierung unseres Systems zur aktiven Angriffsanalyse als Open-Source-Software zur Verfügung.