您的位置：首页 → 网络冲浪 → 网络技术 → 无线局域网入侵检测现状和要点分析

无线局域网入侵检测现状和要点分析

时间：2008/12/31 9:28:00来源：本站整理作者：我要评论(0)

 

 

随着无线技术和网络技术的发展，无线网络正成为市场热点，其中无线局域网(WLAN)正广泛应用于大学校园、各类展览会、公司内部乃至家用网络等场合。但是，由于无线网络的特殊性，攻击者无须物理连线就可以对其进行攻击，使 WLAN的安全问题显得尤为突出。对于大部分公司来说，WLAN通常置于防火墙后，黑客一旦攻破防火墙就能以此为跳板，攻击其他内部网络，使防火墙形同虚设。与此同时，由于WLAN国家标准WAPI的无限期推迟，IEEE 802.11网络仍将为市场的主角，但因其安全认证机制存在极大安全隐患，无疑让WLAN的安全状况雪上加霜。因此，采用入侵检测系统(IDS—— intrusion detection system)来加强WLAN的安全性将是一种很好的选择。尽管入侵检测技术在有线网络中已得到认可，但由于无线网络的特殊性，将其应用于WLAN尚需进一步研究，本文通过分析WLAN的特点，提出可以分别用于有接入点模式WLAN和移动自组网模式WLAN的两种入侵检测模型架构。

上面简单描述了WLAN的技术发展及安全现状。本文主要介绍入侵检测技术及其应用于WLAN时的特殊要点，给出两种应用于不同架构 WLAN的入侵检测模型及其实用价值。需要说明的是，本文研究的入侵检测主要针对采用射频传输的IEEE802.11a/b/g WLAN，对其他类型的WLAN同样具有参考意义。

1、WLAN概述

1.1 WLAN的分类及其国内外发展现状

对于WLAN，可以用不同的标准进行分类。根据采用的传播媒质，可分为光WLAN和射频WLAN。光WLAN采用红外线传输，不受其他通信信号的干扰，不会被穿透墙壁偷听，而早发射器的功耗非常低;但其覆盖范围小，漫射方式覆盖16m，仅适用于室内环境，最大传输速率只有4 Mbit/s，通常不能令用户满意。由于光WLAN传送距离和传送速率方面的局限，现在几乎所有的WLAN都采用另一种传输信号——射频载波。射频载波使用无线电波进行数据传输，IEEE 802.11采用2.4GHz频段发送数据，通常以两种方式进行信号扩展，一种是跳频扩频(FHSS)方式，另一种是直接序列扩频(DSSS)方式。最高带宽前者为3 Mbit/s，后者为11Mbit/s，几乎所有的WLAN厂商都采用DSSS作为网络的传输技术。根据WLAN的布局设计，通常分为基础结构模式WLAN和移动自组网模式WLAN两种。前者亦称合接入点(AP)模式，后者可称无接入点模式。分别如图1 和图2所示。

图1 基础结构模式WLAN

 
图2 移动自组网模式WLAN 

 

网络管理员中心控制台配置检测代理和浏览检测结果，并进行关联分析。监测代理的作用是监听无线数据包、利用检测引擎进行检测、记录警告信息，并将警告信息发送至中心控制台。

由此可见，监测代理是整个系统的核心部分，根据网络布线与否，监测代理可以采用两种模式：一种是使用1张无线网卡再加1张以大网卡，无线网卡设置成“杂凑”模式，监听所有无线数据包，以太网卡则用于与中心服务器通信;另一种模式是使用2张无线网卡，其中一张网卡设置成“杂凑”模式，另一张则与中心服务器通信。

分组捕获完成后，将信息送至检测引擎进行检测，目前最常用的IDS主要采用的检测方法是特征匹配，即把网络包数据进行匹配，看是否有预先写在规则中的“攻击内容”或特征。尽管多数IDS的匹配算法没有公开，但通常都与著名的开源入侵检测系统Snort的多模检测算法类似。另一些IDS还采用异常检测方法(如Spade检测引擎等)，通常作为一种补充方式。无线网络传输的是加密数据，因此，该系统需要重点实现的部分由非授权AP的检测。通常发现入侵之后，监测代理会记录攻击特征，并通过安全通道(采用一定强度的加密算法加密，有线网络通常采用安全套接层(SSL)协议，无线网络通常采用无线加密协议(WEP))将告警信息发给中心控制台进行显示和关联分析等，并由控制台自动响应(告警和干扰等)，或由网络管理员采取相应措施。

在移动自组网模式中，每个节点既要收发自身数据，又要转发其他节点的数据，而且各个节点的传输范围受到限制，如果在该网络中存在或加入恶意节点，网络性能将受到严重影响。恶意节点的攻击方式可以分为主动性攻击和自私性攻击。主动性攻击是指节点通过发送错误的路由信息、伪造或修改路由信息等方式，对网络造成干扰;自私性攻击是指网络中的部分节点可能因资源能量和计算能量等缘故，不愿承担其他节点的转发任务所产生的干扰。因此，对恶意节点的检测并在相应的路由选择中避开恶意节点，也是该类型WLAN需要研究的问题。

我们的检测模型建立在HIDS上，甚至可以实现路由协议中的部分安全机制，如图4所示。

 
图4 移动自组网模式中的入侵检测架构

当数据包到达主机后，如果属于本机数据，数据包将被解密，在将它递交给上层之前，先送至基于主机的误用检测引擎进行检测，根据检测结果，对正常数据包放行，对攻击数据包则进行记录，并根据响应策略进行响应。此外，还可以在误用检测模型的基础上辅以异常检测引擎，根据以往的研究成果，可以在网络层或应用层上进行，也可以将其做入路由协议中，以便提高检测速度和检测效率。

4、结束语

传统的入侵检测系统已不能用于WLAN，而WLAN内入侵检测系统的研究和实现才刚刚起步。本文分析了WLAN的特点及其存在的安全问题，提出了两种入侵检测系统架构，可以分别用于基础结构模式WLAN和移动自组网模式WLAN，具有实用价值。基础结构模式WLAN采用分布式网络入侵检测，可用于大型网络;移动自组网中采用基于主机的入侵检测系统，用于检测异常的节点活动和发现恶意节点。需要进一步研究的问题有：在框架上实现原型系统来验证其有效性;在加密的网络环境中更加有效地进行入侵检测。

 

1.2 WLAN中的安全问题 WLAN的流行主要是由于它为使用者带来方便，然而正是这种便利性引出了有线网络中不存在的安全问题。比如，攻击者无须物理连线就可以连接网络，而且任何人都可以利用设备窃听到射频载波传输的广播数据包。因此，着重考虑的安全问题主要有：

a)针对IEEE 802.11网络采用的有线等效保密协议(WEP)存在的漏洞，进行破解攻击。

b)恶意的媒体访问控制(MAC)地址伪装，这种攻击在有线网中同样存在。