EDN China > 设计实例 > 通信 > 正文
?

无线局域网入侵检测现状和要点分析

2009年03月30日 ?? 收藏0

?  当前,对WLAN的入侵检测大都处于试验阶段,比如开源入侵检测系统Snort发布的Snort-wire-less测试版,增加了 Wifi协议字段和选项关键字,采用规则匹配的方法进行入侵检测,其AP由管理员手工配置,因此能很好地识别非授权的假冒AP,在扩展AP时亦需重新配置。但是,由于其规则文件无有效的规则定义,使检测功能有限,而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击。2003年下半年,IBM提出 WLAN入侵检测方案,采用无线感应器进行监测,该方案需要联入有线网络,应用范围有限而且系统成本昂贵,要真正市场化、实用化尚需时日。此外,作为概念模型设计的WIDZ系统实现了AP监控和泛洪拒绝服务检测,但它没有一个较好的体系架构,存在局限性。

  在上述基础上,我们提出一种基于分布式感应器的网络检测模型框架,对含AP模式的WLAN进行保护。对于移动自组网模式的WLAN,则由于网络中主机既要收发本机的数据,又要转发数据(这些都是加密数据),文献提出了采用异常检测法对路由表更新异常和其他层活动异常进行检测,但只提供了模型,没有实现。此外,我们分析了移动自组网模式中恶意节点对网络性能的影响,并提出一种基于声誉评价机制的安全协议,以检测恶意节点并尽量避开恶意节点进行路由选择,其中恶意节点的检测思想值得借鉴。Snort-wireless可以作为基于主机的入侵检测,我们以此为基础提出一种应用于移动自组网入侵检测的基于主机的入侵检测模型架构。

  3、WLAN中的入侵检测模型架构

  在含AP模式中,可以将多个WLAN基本服务集(BSS)扩展成扩展服务集(ESS),甚至可以组成一个大型的WLAN。这种网络需要一种分布式的检测框架,由中心控制台和监测代理组成,如图3所示。

含AP模式的分布式入侵检测系统框架

图3 含AP模式的分布式入侵检测系统框架

  网络管理员中心控制台配置检测代理和浏览检测结果,并进行关联分析。监测代理的作用是监听无线数据包、利用检测引擎进行检测、记录警告信息,并将警告信息发送至中心控制台。

  由此可见,监测代理是整个系统的核心部分,根据网络布线与否,监测代理可以采用两种模式:一种是使用1张无线网卡再加1张以大网卡,无线网卡设置成“杂凑”模式,监听所有无线数据包,以太网卡则用于与中心服务器通信;另一种模式是使用2张无线网卡,其中一张网卡设置成“杂凑”模式,另一张则与中心服务器通信。

  分组捕获完成后,将信息送至检测引擎进行检测,目前最常用的IDS主要采用的检测方法是特征匹配,即把网络包数据进行匹配,看是否有预先写在规则中的“攻击内容”或特征。尽管多数IDS的匹配算法没有公开,但通常都与着名的开源入侵检测系统Snort的多模检测算法类似。另一些IDS还采用异常检测方法(如Spade检测引擎等),通常作为一种补充方式。无线网络传输的是加密数据,因此,该系统需要重点实现的部分由非授权AP的检测。通常发现入侵之后,监测代理会记录攻击特征,并通过安全通道(采用一定强度的加密算法加密,有线网络通常采用安全套接层(SSL)协议,无线网络通常采用无线加密协议 (WEP))将告警信息发给中心控制台进行显示和关联分析等,并由控制台自动响应(告警和干扰等),或由网络管理员采取相应措施。

  在移动自组网模式中,每个节点既要收发自身数据,又要转发其他节点的数据,而且各个节点的传输范围受到限制,如果在该网络中存在或加入恶意节点,网络性能将受到严重影响。恶意节点的攻击方式可以分为主动性攻击和自私性攻击。主动性攻击是指节点通过发送错误的路由信息、伪造或修改路由信息等方式,对网络造成干扰;自私性攻击是指网络中的部分节点可能因资源能量和计算能量等缘故,不愿承担其他节点的转发任务所产生的干扰。因此,对恶意节点的检测并在相应的路由选择中避开恶意节点,也是该类型WLAN需要研究的问题。

?  我们的检测模型建立在HIDS上,甚至可以实现路由协议中的部分安全机制,如图4所示。


?? ?? ??


打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮

1.扫描左侧二维码
2.点击右上角的分享按钮
3.选择分享给朋友
?? ??

无线局域网? 入侵检测? WLAN?

相关文章

我来评论
美国的游客
美国的游客 ??? (您将以游客身份发表,请登录 | 注册)
?
有问题请反馈