无线局域网入侵的检测技术

无线局域网入侵的检测技术

摘要：

与有线网络相比无线网络具有可移动性、不受线缆限制、组网灵活等优点，所以无线局域网在日常生活以及工作中都得到了广泛的应用，也所以，WLAN的入侵检测技术受到了使用者的普遍重视。本文主要研究了无线网所面临的威胁，并对WLAN入侵检测技术的不完整和将来的发展趋势实行了归纳与分析。

关键词：

入侵检测;无线网络;有线网络

0引言

伴着网络的快速发展，无线网络已经成为人们生活中的重要组成

元素。但是无线网络的开放性却使其更易受到非法进攻，从而使得无

线网络(WLAN)的安全问题研究日渐受到各方瞩目与重视。与传统有线

网络比起来，WLAN开启研发较晚，发展也略显迟缓，且未构成严整体系，所以基于无线网络的入侵检测研究相对也就并未臻至充分、全面。本文则特别着重阐述无线局域网面对的主要威胁、入侵检测的技术特征，连同该技术表现的不足以及未来发展目标也一并给出完整论述。

1无线局域网面对的威胁

一方面，无线网络与传统有线网络仅仅在传输方式上有区别，所

以常规的有线网络中的安全风险如病毒、恶意攻击、非授权访问等在

无线网络中也都是并行而共同存有的。另一方面，无线网络与有线网

络在安全上也会带来一定的差异，重点体现在物理层和链路层上，所

以无线网络在传输环节将更易受到攻击，可能会遭遇比有线网络更为

频密的安全威胁。当前，针对WLAN的攻击主要有：嗅探窃听、伪装入侵、中间人攻击、拒绝服务攻击、暴力攻击、不法AP等。在此，则针

对各类攻击的原理展开讨论，现分述如下。

1．1嗅探窃听嗅探窃听是无线局域网(WLAN)的首位攻击方法，使用了WLAN信道敞开的不足。进攻者经常在WLAN信号覆盖领域内截取

报文，得到锐敏讯息。

1．2伪装入侵伪装入侵是指进攻者将本身的不法设备伪装成正当设备，是一种隐蔽等级较高的潜藏进攻方法。如果进攻者顺利诱骗对象网络，而变身为对象网络中的正当站点或正当接入点，进攻者就随即能够获得当地网络赋予的对应考察权力。

1．3中心人攻击中心人攻击是进攻者发动的针对某个网络的主机发配到另外一台主机的包实行操纵的攻击。这种攻击极具代表性，因为其中包含了当网络数据经过互联网传送时全部可能出现的攻击。攻击实现过程如图1所示。

1．4拒绝服务进攻拒绝服务(DenialofService，DoS)，形成的进攻行为能够称作攻击。这种进攻不是以得到网络的掌控权限和信息的走访权限当作目的，而是依据将网络、操作系统或应用程序的限定资源消耗，致使计算机或网络无法展开常规工作，同时也无法提供正常的服务。

1．5暴力进攻暴力进攻(Brute-ForceAttack)是通过使用数字、字母和字符的随意结合，估测用户名和口令，屡次完成探索性考察。同时，凭借其关联系统的速率，每分钟能够发起多达千万次的探索性进攻。对安全系统实行的暴力进攻将会耗费很长时间，而且进攻的成果多是无望的。

1．6不法APAP是WLAN的主要接入设备，而不法AP则是未经网

络管理职员允许或委托的无线接入点。因为IEEE802.11对AP并未形

成严格规定和限制，所以攻击者很容易搭建非法AP，再通过非法AP对网络和无线用户发起攻击。

2WLAN入侵检测技术

入侵(Intrusion)是指在非授权下对计算机资源的完备性、机密性、可用性造成威迫的各种预谋设计行为。入侵检测系统(IntrusionDetectionSystem，IDS)是一种自动对网络安全施行监督，

如果发现危险信息就发出提醒或执行阻断措施的网络安全防御设备［1］。而与其他设备的不同之处在于IDS是一种主动的安全防护设备。WLAN入侵检测技术即是在常见入侵检测技术上加入了些无线局域网络

的检测，固然能够从不同的方向对其实行划分，不过从技术达成上，

多数情况下能够将其分为误用检测技术和异常检测技术，下面将详尽

研究这2种入侵检测技术。

2．1异常检测异常检测是对以往操作的特征实行总结，得出以往操作的样式，通过其中一些行为与正常行为的表象差别来估计是否为

入侵。主要过程如下：在综合归纳良性操作通常具备的特征之后，建

立正常行为的判断指标，当某一行为和正常的行为偏差较大、即达到

设定阈值时，就可断定其可归属入侵行为。

2．2误用检测误用检测(也叫滥用检测)是理解、提取入侵行为等不寻常操作的特征，设立特征库。在检测阶段利用特征库对网罗到的

数据实行比对，按照比对成效鉴定是不是入侵行为［2］。误用检测系

统是建立在能够使用某种形式或者特征判定手段而对所有己知的入侵

实行科学、精准评析与辨识这个基础事实之上的。该系统的研究关键

是如何明确形成定制的进攻特征样式能够覆盖与真实进攻相关联的全

部因素，和对入侵行为特征的标识匹配。为此，如果要想达成传统概

念上针对进攻行为能够获得理想准确检查效率的误用检测系统，就需

要保证全部进攻行为均可利用数学语言实行科学规范表达。误用检测

系统的实现手段主要有专家系统、基于模型的入侵检测、状态转换、

条件概率技术和键盘监控技术等。在此，则对其展开进一步说明论述。

2．2．1专家系统专家系统是依据完整的知识库而设立的、基于

规则的实用性核心方法。知识库的完整则有赖于审计记载的全面与实

时性。如果能够制定得到充足、且具普适性的准则，就能检查出任何

一个入侵的细小变化。

2．2．2基于模型的入侵检测基于模型的入侵检测系统的实现是

利用设定的情景脚本、再根据可观察的活动来执行推断。经由观测，

即可判定一定入侵情景的一连串行为，并且检验得出入侵计划。基于

模型的入侵检测一般是由入侵者、预期者和解释者3个模块而组织构