現(xiàn)在位置：范文先生網(wǎng)>商務管理論文>電子商務論文>無線局域網(wǎng)入侵檢測現(xiàn)狀和要點

無線局域網(wǎng)入侵檢測現(xiàn)狀和要點

時間：2023-02-20 08:28:08 電子商務論文我要投稿

相關推薦

隨著無線技術和網(wǎng)絡技術的發(fā)展，無線網(wǎng)絡正成為市場熱點，其中無線局域網(wǎng)（WLAN）正廣泛應用于大學校園、各類展覽會、公司內(nèi)部乃至家用網(wǎng)絡等場合。但是，由于無線網(wǎng)絡的特殊性，攻擊者無須物理連線就可以對其進行攻擊，使WLAN的安全問題顯得尤為突出。對于大部分公司來說，WLAN通常置于防火墻后，黑客一旦攻破防火墻就能以此為跳板，攻擊其他內(nèi)部網(wǎng)絡，使防火墻形同虛設。與此同時，由于WLAN國家標準WAPI的無限期推遲，IEEE 802.11網(wǎng)絡仍將為市場的主角，但因其安全認證機制存在極大安全隱患，無疑讓WLAN的安全狀況雪上加霜。因此，采用入侵檢測系統(tǒng)（IDS——intrusion detection system）來加強WLAN的安全性將是一種很好的選擇。盡管入侵檢測技術在有線網(wǎng)絡中已得到認可，但由于無線網(wǎng)絡的特殊性，將其應用于WLAN尚需進一步研究，本文通過分析WLAN的特點，提出可以分別用于有接入點模式WLAN和移動自組網(wǎng)模式WLAN的兩種入侵檢測模型架構。

上面簡單描述了WLAN的技術發(fā)展及安全現(xiàn)狀。本文主要介紹入侵檢測技術及其應用于WLAN時的特殊要點，給出兩種應用于不同架構WLAN的入侵檢測模型及其實用價值。需要說明的是，本文研究的入侵檢測主要針對采用射頻傳輸?shù)腎EEE802.11a/b/g WLAN，對其他類型的WLAN同樣具有參考意義。

1、WLAN概述

1.1 WLAN的分類及其國內(nèi)外發(fā)展現(xiàn)狀

對于WLAN，可以用不同的標準進行分類。根據(jù)采用的傳播媒質(zhì)，可分為光WLAN和射頻WLAN。光WLAN采用紅外線傳輸，不受其他通信信號的干擾，不會被穿透墻壁偷聽，而早發(fā)射器的功耗非常低；但其覆蓋范圍小，漫射方式覆蓋16m，僅適用于室內(nèi)環(huán)境，最大傳輸速率只有4 Mbit/s，通常不能令用戶滿意。由于光WLAN傳送距離和傳送速率方面的局限，現(xiàn)在幾乎所有的WLAN都采用另一種傳輸信號——射頻載波。射頻載波使用無線電波進行數(shù)據(jù)傳輸，IEEE 802.11采用2.4GHz頻段發(fā)送數(shù)據(jù)，通常以兩種方式進行信號擴展，一種是跳頻擴頻（FHSS）方式，另一種是直接序列擴頻（DSSS）方式。最高帶寬前者為3 Mbit/s，后者為11Mbit/s，幾乎所有的WLAN廠商都采用DSSS作為網(wǎng)絡的傳輸技術。根據(jù)WLAN的布局設計，通常分為基礎結構模式WLAN和移動自組網(wǎng)模式WLAN兩種。前者亦稱合接入點（AP）模式，后者可稱無接入點模式。分別如圖1和圖2所示。

圖1 基礎結構模式WLAN

圖2 移動自組網(wǎng)模式WLAN

1.2 WLAN中的安全問題 WLAN的流行主要是由于它為使用者帶來方便，然而正是這種便利性引出了有線網(wǎng)絡中不存在的安全問題。比如，攻擊者無須物理連線就可以連接網(wǎng)絡，而且任何人都可以利用設備竊聽到射頻載波傳輸?shù)膹V播數(shù)據(jù)包。因此，著重考慮的安全問題主要有：

a）針對IEEE 802.11網(wǎng)絡采用的有線等效保密協(xié)議（WEP）存在的漏洞，進行破解攻擊。

b）惡意的媒體訪問控制（MAC）地址偽裝，這種攻擊在有線網(wǎng)中同樣存在。

C）對于含AP模式，攻擊者只要接入非授權的假冒AP，就可登錄欺騙合法用戶。

d）攻擊者可能對AP進行泛洪攻擊，使AP拒絕服務，這是一種后果嚴重的攻擊方式。此外，對移動自組網(wǎng)模式內(nèi)的某個節(jié)點進行攻擊，讓它不停地提供服務或進行數(shù)據(jù)包轉發(fā)，使其能源耗盡而不能繼續(xù)工作，通常稱為能源消耗攻擊。

e）在移動自組網(wǎng)模式的局域網(wǎng)內(nèi)，可能存在惡意節(jié)點，惡意節(jié)點的存在對網(wǎng)絡性能的影響很大。

2、入侵檢測技術及其在WLAN中的應用

IDS可分為基于主機的入侵檢修系統(tǒng)（HIDS）和基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）。HIDS采用主機上的文件（特別是日志文件或主機收發(fā)的網(wǎng)絡數(shù)據(jù)包）作為數(shù)據(jù)源。HIDS最早出現(xiàn)于20世紀80年代初期，當時網(wǎng)絡拓撲簡單，入侵相當少見，因此側重于對攻擊的事后分析�，F(xiàn)在的HIDS仍然主要通過記錄驗證，只不過自動化程度提高，且能做到精確檢測和快速響應，并融入文件系統(tǒng)保護和監(jiān)聽端口等技術。與HIDS不同，NIDS采用原始的網(wǎng)絡數(shù)據(jù)包作為數(shù)據(jù)源，從中發(fā)現(xiàn)入侵跡象。它能在不影響使用性能的情況下檢測入侵事件，并對入侵事件進行響應。分布式網(wǎng)絡IDS則把多個檢測探針分布至多個網(wǎng)段，最后通過對各探針發(fā)回的信息進行綜合分析來檢測入侵，這種結構的優(yōu)點是管理起來簡單方便，單個探針失效不會導致整個系統(tǒng)失效，但配置過程復雜。基礎結構模式入侵檢測模型將采用這種分布式網(wǎng)絡檢測方法，而對于移動自組網(wǎng)模式內(nèi)的入侵檢測模型將采用基于主機的入侵檢測模型。

當前，對WLAN的入侵檢測大都處于試驗階段，比如開源入侵檢測系統(tǒng)Snort發(fā)布的Snort－wire－less測試版，增加了Wifi協(xié)議字段和選項關鍵字，采用規(guī)則匹配的方法進行入侵檢測，其AP由管理員手工配置，因此能很好地識別非授權的假冒AP，在擴展AP時亦需重新配置。但是，由于其規(guī)則文件無有效的規(guī)則定義，使檢測功能有限，而且不能很好地檢測MAC地址偽裝和泛洪拒絕服務攻擊。2003年下半年，IBM提出WLAN入侵檢測方案，采用無線感應器進行監(jiān)測，該方案需要聯(lián)入有線網(wǎng)絡，應用范圍有限而且系統(tǒng)成本昂貴，要真正市場化、實用化尚需時日。此外，作為概念模型設計的WIDZ系統(tǒng)實現(xiàn)了AP監(jiān)控和泛洪拒絕服務檢測，但它沒有一個較好的體系架構，存在局限性。

在上述基礎上，我們提出一種基于分布式感應器的網(wǎng)絡檢測模型框架，對含AP模式的WLAN進行保護。對于移動自組網(wǎng)模式的WLAN，則由于網(wǎng)絡中主機既要收發(fā)本機的數(shù)據(jù)，又要轉發(fā)數(shù)據(jù)（這些都是加密數(shù)據(jù)），文獻提出了采用異常檢測法對路由表更新異常和其他層活動異常進行檢測，但只提供了模型，沒有實現(xiàn)。此外，我們分析了移動自組網(wǎng)模式中惡意節(jié)點對網(wǎng)絡性能的影響，并提出一種基于聲譽評價機制的安全協(xié)議，以檢測惡意節(jié)點并盡量避開惡意節(jié)點進行路由選擇，其中惡意節(jié)點的檢測思想值得借鑒。Snort－wireless可以作為基于主機的入侵檢測，我們以此為基礎提出一種應用于移動自組網(wǎng)入侵檢測的基于主機的入侵檢測模型架構。

3、WLAN中的入侵檢測模型架構

在含AP模式中，可以將多個WLAN基本服務集（BSS）擴展成擴展服務集（ESS），甚至可以組成一個大型的WLAN。這種網(wǎng)絡需要一種分布式的檢測框架，由中心控制臺和監(jiān)測代理組成，如圖3所示。

圖3 含AP模式的分布式入侵檢測系統(tǒng)框架

網(wǎng)絡管理員中心控制臺配置檢測代理和瀏覽檢測結果，并進行關聯(lián)分析。監(jiān)測代理的作用是監(jiān)聽無線數(shù)據(jù)包、利用檢測引擎進行檢測、記錄警告信息，并將警告信息發(fā)送至中心控制臺。

由此可見，監(jiān)測代理是整個系統(tǒng)的核心部分，根據(jù)網(wǎng)絡布線與否，監(jiān)測代理可以采用兩種模式：一種是使用1張無線網(wǎng)卡再加1張以大網(wǎng)卡，無線網(wǎng)卡設置成“雜湊”模式，監(jiān)聽所有無線數(shù)據(jù)包，以太網(wǎng)卡則用于與中心服務器通信；另一種模式是使用2張無線網(wǎng)卡，其中一張網(wǎng)卡設置成“雜湊”模式，另一張則與中心服務器通信。

分組捕獲完成后，將信息送至檢測引擎進行檢測，目前最常用的IDS主要采用的檢測方法是特征匹配，即把網(wǎng)絡包數(shù)據(jù)進行匹配，看是否有預先寫在規(guī)則中的“攻擊內(nèi)容”或特征。盡管多數(shù)IDS的匹配算法沒有公開，但通常都與著名的開源入侵檢測系統(tǒng)Snort的多模檢測算法類似。另一些IDS還采用異常檢測方法（如Spade檢測引擎等），通常作為一種補充方式。無線網(wǎng)絡傳輸?shù)氖羌用軘?shù)據(jù)，因此，該系統(tǒng)需要重點實現(xiàn)的部分由非授權AP的檢測。通常發(fā)現(xiàn)入侵之后，監(jiān)測代理會記錄攻擊特征，并通過安全通道（采用一定強度的加密算法加密，有線網(wǎng)絡通常采用安全套接層（SSL）協(xié)議，無線網(wǎng)絡通常采用無線加密協(xié)議（WEP））將告警信息發(fā)給中心控制臺進行顯示和關聯(lián)分析等，并由控制臺自動響應（告警和干擾等），或由網(wǎng)絡管理員采取相應措施。

在移動自組網(wǎng)模式中，每個節(jié)點既要收發(fā)自身數(shù)據(jù)，又要轉發(fā)其他節(jié)點的數(shù)據(jù)，而且各個節(jié)點的傳輸范圍受到限制，如果在該網(wǎng)絡中存在或加入惡意節(jié)點，網(wǎng)絡性能將受到嚴重影響。惡意節(jié)點的攻擊方式可以分為主動性攻擊和自私性攻擊。主動性攻擊是指節(jié)點通過發(fā)送錯誤的路由信息、偽造或修改路由信息等方式，對網(wǎng)絡造成干擾；自私性攻擊是指網(wǎng)絡中的部分節(jié)點可能因資源能量和計算能量等緣故，不愿承擔其他節(jié)點的轉發(fā)任務所產(chǎn)生的干擾。因此，對惡意節(jié)點的檢測并在相應的路由選擇中避開惡意節(jié)點，也是該類型WLAN需要研究的問題。

我們的檢測模型建立在HIDS上，甚至可以實現(xiàn)路由協(xié)議中的部分安全機制，如圖4所示。

圖4 移動自組網(wǎng)模式中的入侵檢測架構

當數(shù)據(jù)包到達主機后，如果屬于本機數(shù)據(jù)，數(shù)據(jù)包將被解密，在將它遞交給上層之前，先送至基于主機的誤用檢測引擎進行檢測，根據(jù)檢測結果，對正常數(shù)據(jù)包放行，對攻擊數(shù)據(jù)包則進行記錄，并根據(jù)響應策略進行響應。此外，還可以在誤用檢測模型的基礎上輔以異常檢測引擎，根據(jù)以往的研究成果，可以在網(wǎng)絡層或應用層上進行，也可以將其做入路由協(xié)議中，以便提高檢測速度和檢測效率。

4、結束語

傳統(tǒng)的入侵檢測系統(tǒng)已不能用于WLAN，而WLAN內(nèi)入侵檢測系統(tǒng)的研究和實現(xiàn)才剛剛起步。本文分析了WLAN的特點及其存在的安全問題，提出了兩種入侵檢測系統(tǒng)架構，可以分別用于基礎結構模式WLAN和移動自組網(wǎng)模式WLAN，具有實用價值�；A結構模式WLAN采用分布式網(wǎng)絡入侵檢測，可用于大型網(wǎng)絡；移動自組網(wǎng)中采用基于主機的入侵檢測系統(tǒng)，用于檢測異常的節(jié)點活動和發(fā)現(xiàn)惡意節(jié)點。需要進一步研究的問題有：在框架上實現(xiàn)原型系統(tǒng)來驗證其有效性；在加密的網(wǎng)絡環(huán)境中更加有效地進行入侵檢測。

【無線局域網(wǎng)入侵檢測現(xiàn)狀和要點】相關文章：

無線局域網(wǎng)及應用08-06

入侵檢測概念、過程分析和布署08-05

無線局域網(wǎng)技術概述08-06

基于手機無線局域網(wǎng)的架構與應用08-06

應用藍牙技術組建無線局域網(wǎng)08-06

光纖擾動入侵檢測系統(tǒng)的設計與實現(xiàn)08-06

現(xiàn)代無線通信技術的發(fā)展現(xiàn)狀08-18

《鴻門宴》知識要點與能力檢測08-16

《花未眠》知識要點及能力檢測08-16

午夜成人福利亚洲精品_亚洲熟妇AV无人区一区_亚洲午夜成人精品无码浪潮_极品熟妇无码AV在线少妇

無線局域網(wǎng)入侵檢測現(xiàn)狀和要點