无线局域网入侵的检测技术
无线局域网中的入侵检测系统研究
⑥ 2 0 S iT e . n n . 0 6 c. e h E g g
无线局域 网中的入侵检测系统研究
黎 喜权 李 肯 立 李 仁 发
( 南 大 学 软 件 学 院 , 算 机 与 通 讯 学 院 长 沙 4 0 8 ) 湖 计 , 10 2
摘
要
入 侵 检 测 系统 对 于保 障无 线 局域 网 ( A 的安 全 十分 重 要 。在 深 入分 析 当 前WL N 全问 题 中 面 临的 主要 问题 后 . WL N) A 安 针
向 : 络安全。 网
系 统 平 台上 使 用 的 Wadi n rr ig软 件 ,如 B D 系 统 v S
标 发 起 。 目前 对 无 线 局 域 网 络 已知 的攻 击 有I 4 l】 一:
嵌 入 式 攻 击 、未 经 授 权 的 无 线 传 输 拦 截 与 监 控 、
人 为 干 扰 、c e t t— l n l n—o c e t攻 击 、 i i 对无 线 存 取 点 密
目前 无 线 网络 安 全 方 面 的研 究 , 主要 集 中在 利 用 加 密 、认 证 等 技 术来 加 强 无 线 网络 协 议 的安 全 性 , 免 可 能 的攻 击 行 为 。无线 网络 安 全 单 纯依 靠 避
展到 主动 的 干涉 。无 线 网络 没有 一个 清 晰的安 全边 界, 网络 中的 任一 节 点都 有 可 能 受 到 间接或 直接 的
攻 击 。
1 WL AN中 的安全 问题及 无线入侵 检测 系
统现 状
无 线 网络 更 容 易 遭 受 到 攻 击 .黑 客 攻 击 无 线
网络 不 像 攻 击 有 线 网络 一 样 必 须 获 得 有 线 网络 的 物 理 通 路 ,或 者 要 通 过 受 防 火 墙 和 网 关 保 护 的边 界 ;而 攻 击 无 线 网 络 可 以 从 任 何 一 个 WL N 的 A A P发 射 频 率 能 及 的 结 点 上 , 向整 个 WL N 或 目 A
分布式无线网络入侵检测系统的设计与实现
0 引 言
随 着无 线 网 络 技 术 发 展 , 线 局 域 网 ( rls 无 Wi es e
L cl raN tok WL N) 各 方 面 得 到 了 广 泛 的 oa A e e r , A 在 w
从 网络 中的若 干个 关键 点 不 问断地 收集 信息 , 分 析 并 这些 信息 , 中发现 网络或 系统 中是 否有 违反安 全 策 从
罗 雪 萍 刘 浩
(. 1解放 军 6 2 0部队 , 93 新疆 鸟 苏 8 30 3 20;2 新疆 医科 大学 医学工程技术 学院, 疆 乌鲁木 齐 8 0 1 ) . 新 30 1
摘 要 : 对 无 线 局 域 网的 特 点 , 用 分 布 式 系统 的 分 布 式检 测 、 中管 理 和 数 据 保 护 范 围 大的 优 点 , 计 一 种 分布 式 无 线 针 利 集 设 网络 入 侵 检 测模 型 。 该模 型 采 用 模 块 化 设 计 和 标 准 的 A I使 得 系统 的 易部 署 性 、 用性 及 可 扩展 性 得 到 保 证 。 P, 可 关 键 词 : 侵 检 测 ;无 线 局 域 网 ;分 布 式 入 中 图分 类 号 :P 9 . 8 T 33 0 文 献标 识 码 : A d i 0 3 6 /. s.0 62 7 .0 2 0 .4 o:1 .99 ji n 10 — 5 2 1 .7 0 3 s 4
LUO Xue p n ,L U o .ig I Ha
(. h 93 n o L , su 300 Cia 2 col ei l niergadTcnl y X M Um  ̄801, h a 1 Te62oA 珂 f A Wuh 30 , h ; .Sho o M d a E g e n n eho g , J U, rr 301 C i ) P 8 n f c n i o n
基于协议分析的无线局域网入侵检测系统研究与设计
理 帧 、控制 帧 和数 据 帧 。根据 帧 类型 的不 同,其 帧头 的格
式 也不 相 同 ,因此 ,解 码 时需 要不 同的处 理 。具体 解码 流
程如 图 4所 示 。
图 3 I E E E 8 0 2 . 1 1 M A C帧一 般 框 架 结 构 图
一
一
一
‘
…
一
’
,
,
臣 口 臣 口 、
,
,
、
~
困
/
De c O de Ⅱ躅 0 2 l l v l  ̄ t
图 1 系 统 架 构
处 理 ,以此 方 便 后 继若 干 处 理 模 块对 数 据 包 的处 理 操 作 。 由于规 则 语 言的 表达 能力 有 限或 对协 议 的分 析 不够 ,如 果
只对每 个 包进 行数 字 和字 符 串 的匹配 ,当攻击 模 式过 于特
殊 时 ,就 会产 生漏 报 。针 对 无线 局域 网的特 定攻 击 ,可 以 通 过书 写相 应 的 预处理 模 块予 以处 理 。针 对基 于 异常 的入
入侵 攻 击 。
入侵 检 测 系统 的核 心 部分 ,包括协 议 解码 模块 和 协议
分析模块 ( 检测引擎 ) 。协议解码模块对捕获 的数据包进
酉
4 无线入侵检测 系统 的设计与实现
4 . 1系统结构设计
传统 的 有线 网络 下 的入 侵检 测 系统 有基 于 主机 和 基 于
入侵检测技术在WLAN中的应用
及 整个 网络 ; 而且 WE P加密算 法过 于简单很 容易 被破解 。 () P 4 W A保 护 访 问 技术 。W A是 继 承 了 WE P P原理
而 又解 决 了 WE P缺 陷 的一 种新 技术 。它 改进 了 WE P的 加 密算法 , 大地提 高 了加 密安 全 强度 , 极 而且 不 同于 WE P 的静 态分配 密钥 , P频繁更 新 主密钥 , WA 确保 每 一个 用 户
随着无 线 网络 技术 的发展 , 线局 域 网 ( A ) 无 WL N 以其 移 动方便 、 网灵活及 成 本 低廉 等 特 点逐 步 应用 到 校 园 、 组 展览 会 、 企事业单 位 内部 以 及家 用 网络 等 市场 , 人 们可 使 以随时随地 获取信 息 。但 是 WL N在 带 给人们 便 利 的 同 A 时, 也存在 着很 大的安全 隐患 。入侵检 测技术 在 有线 网络
第 9卷
第 2期
漯 河职 业 技 术 学 院 学报
J un lo o eVo ain e h ooy C l g o r a fLu h c t a T c n lg ol e ol e
V I 9 No 2 o_ .
Ma . Ol r2 0
21 0 0年 3月
di1 .9 9 ji n 17 -8 4 2 1 .2 0 7 o:0 3 6 /. s .6 17 6 . 0 0 0 .0 s
置 与 网络 中接入 点 A 相 同的 SI , 则 A 将 拒 绝 它通 P SD 否 P 过本 服务 区上 网。但 客 户端 可 以通 过 配 置 SI 非法 接 S D, 入A P以获取信 息 , 且客 户 端不 能对 接入 点 A 而 P进行 认 证, 证A 以保 P的合 法性 。 ( ) P安全 机 制 。有 线 等 效 保 密 ( P 是 IE 3 WE WE ) E E 推 出的第一个 基 于 WL N 的安 全 措 施 , 使 用 R 4加 密 A 它 C
网络安全IDS:无线网络电磁干扰屏蔽技术及应用
网络安全IDS:无线网络电磁干扰屏蔽技术及应用
【电源网】目前的无线网络安全产品是基于入侵检测而开发的,事实上,这类安全产品并不能从源头上杜绝外部攻击,尤其在发生具有针对性和专业性的攻击时,不能保证涉密信息的安全。
对于普通的无线网络用户来说,无线网络的使用需要同时兼顾便携、高速、安全的特性,因此IDS是一个重要的发展方向,但对于类似军队中的保密要求更高的应用来说,则需采用更加稳妥的解决方案。
1.入侵检测系统(IDS)
目前,无线网络(或称无线局域网,即WLAN)统一执行IEEE802.11b标准,在物理层,IEEE802.11b采用2.45GHz的无线频率,最大的位速率达
l1Mbps,使用直接序列扩频(DSSS)传输技术。
在数据链路层的MAC子层,802.11b使用“载波侦听多点接入/冲突避免(CSMA/CA)”媒体访问控制(MAC)
协议。
由于WLAN采用公共的电磁波作为载体,任何人都有条件窃听或干扰信息,因此对越权存取和窃听的行为也更不容易防备。
入侵检测系统(IDS)通过在网络中设定监测代理来监听无线数据包,并利用检测引擎检测非授权AP 和伪装MAC地址进行监测、记录和报告警告信息。
目前最常用的IDS检测方法是特征匹配,即把网络包数据与预先写在规则中的“攻击内容”或特征进行对比,从而判断数据包是否具有攻击性。
多数IDS的匹配算法都与开源入侵检测系统Snort的多模检测算法类似,异常检测方法是另一种IDS检测方法,通常作为特征匹配的补充方式。
面对多样化的网络攻击和入侵,这种技术需要不断完善。
2.电磁干扰和电磁屏蔽技术
电磁干扰(EMI)是干扰电缆信号并降低信号完好性的电子噪音,EMI通常由。
无线局域网入侵检测系统的架构与应用
无线局域 网入侵检测 系统的 寓 — ,
姚 小兵 。! 高媛 ’,
(. 1 中北 大 学 ,山 西 太原 (0 5 ;2 山 西 林 业职 业技 术 学 院 , 山 西 太原 ( 11 1 01 . 3 1)( 3(1 9)
摘分析 ,结合 入 侵检 测 系统 的相 关知 识 ,构 建 了一种 分布 式联 A 动 机制 的 无线 入侵检 测 系统 模 型 ,并对 其进 行 了 简单的 分析 . . 关键 词 :W L N;入侵 检 测 ;无线 入侵 检测 系统 A
12WL N . A 的安全 隐患分 析
WI N具 有 自身开放性等 特点 ,使其更加容易受到恶意的攻击和入侵 ,其安全隐患主要体现 在以下几个方面。 A
121WL N自身 物 理 特 点 带 来 的 安全 隐 患 .. A
WL N由于使用开放 的无 线链路,使得 网络更容易受到各种攻击和入侵 ,无线 网络没有一个 明确的防御边界,攻击者可能来 A 自四面Ah 和任意节 ,无 线网络 的这种开放性带来了非法信息截 取、未授权访 问等一系列的信息安 全问题 。无 线网络接 入终端 -
具 有很 强移动性 , 不仅可 以在 较大范围内移动, 而且 还可以跨 区域漫游 , 移动节点没有足够 的物理防护, 从而易被窃听、 破坏和劫持。 无线 网络拓扑结构 的动态性 ,使其缺乏集中监 视和管理,没有明确的安全 防线 。
●
作者简介 : 小兵 ( 9 4 ) 姚 ]7 - ,男, 讲师, 士, 硕 主要研 究方向 : 局域网组建与管理、网络安 全 ;高媛 ( 9 2 ) 女,副教授 , 17 一 , 硕士, 主要研 究方向:
1W L AN的 安 全 分 析
11WL 概 述 . AN WL N的全称为 Wi l s oa Ae e ok A r e cl ra t r,即无线局域网,它是利用无线通信技术将相关设备互联起来 ,构成一个 网络体系。 e sL N w 无线局域 网按照通信技术分类,主要有红外线 、扩展频谱和窄带微波 _ 二种,其 中以扩展频谱技术应用最 为广泛 。 无线局域 网的标准分为 I E 8 21 标准体系和 HI E A E E 0. 1 P RL N标 准体系,其 中 I E S 21 是 主要面 向数据的局域 网协议 ,而 E E 0 .1 H P RI N是 主要 面向语音 的蜂窝 电话 协议 ,目前在无线 局域 网巾使用较多 的为 I E 8 21 标准体系。IE 8 21 系列标准中 IE A E E0 . 1 E E 0 .1
无线网络入侵检测与对策之浅谈
无线 入 侵 检 测 系统 分 为 集 中式 和 分 散 件 来 。 用 全球 卫星 定 位 系统( lb l o 使 G o a P -
密( r q i a n r a y 都很 脆弱 。 wi d E uv l tP i c ) e e v 在 式 两 种 。 中 式 无 线 入 侵 检 测 系 统 通 常 用 s i nn y tm) 集 i o ig S s t e 来记 录他 们的地 理位 置 。 “ e k s e i he W a ne s s n t Ke Sc dulng y he i A1 一 于连 接 单独 的s n s r , 集 数据 并 转发 到 这 些 工具 正 因 为许 多 网站 对 WAP e — os搜 的地 理支 g r h o RC 4 文档里 就说 明 了WE 存 储 和 处理 数据 的 中央 系 统 中 。 散 式 无线 持 而 变 的 流 行 起 来 。 探 测 扫 描 更 严 重 的 o i m f t -” P 分 比 k y 在 传 输 中通 过 暴 力破 解 攻 击 。 使 入 侵 检测 系统 通 常包 括 多种设 备 来完 成I S 是 , 线 入 侵 检 测 系统 检 测 到 的 D S 击 , e能 即 D 无 o攻 W E J 密 被 用 于 无 线 局 域 网 中 , 客 也 能 的 处 理和 报 告功 能 。 散式 无 线入 侵检 测 系 D S 击 在 网络 上 非 常普 遍 。 S PJ p 黑 分 o攻 Do 攻击 都 是 通 过 解 密 得 到 关 键 数 据 。 客 通 过 欺 骗 统 比 较适 合较 小 规模 的 无 线局 域 网 , 黑 因为 它 因 为 建 筑 物 阻 挡 造 成 信 号 衰 减 而 发 生 的 。 (o u ) A 得 到关 键 数 据 。 线 局域 网的 价 格便 宜 和易 于管 理 。 r g eW P 无 当过 多 的s n o s e s r需要 黑 客也 喜 欢对 无 线 局域 网进行 D S 击 。 o攻 无
无线通信网络安全与攻防技术研究
无线通信网络安全与攻防技术研究随着无线通信网络的普及,人们的生活变得更加方便快捷。
但是,与此同时,无线通信网络安全问题也越来越受到人们的关注。
因为无线通信网络存在许多安全漏洞,如无线局域网(WiFi)的信号容易被截取,无线传感器网络易受到攻击等。
因此,研究无线通信网络安全攻防技术非常重要。
一、无线通信网络安全的问题无线通信网络的安全问题主要包括以下几个方面:1.身份认证问题。
由于无线通信网络的信号容易被截取和篡改,因此网络中的各个节点之间的通信必须经过身份认证,才能保证通信的安全性。
2.数据传输过程中的保护问题。
在无线通信网络中,数据传输过程中容易被窃听和篡改,因此需要通过加密、认证等技术来保护数据传输的安全。
3.网络管理机制的安全问题。
在无线通信网络中,由于存在多个节点,因此网络管理的安全问题也很重要。
网络管理机制的漏洞容易被攻击者利用,导致网络信息泄露和拒绝服务等攻击。
二、无线通信网络攻防技术为了保障无线通信网络的安全,人们研究出了许多攻防技术。
其中,最重要的技术包括以下几个方面:1.身份认证技术。
身份认证技术是保证无线通信网络安全的基础。
它可以防止其他节点的干扰,保证只有经过验证的节点才能访问网络。
常用的身份认证技术有基于密码学的认证、基于生物识别的认证和基于虚拟身份的认证等。
2.加密技术。
加密技术可以保护数据传输的安全。
目前常用的加密技术有对称加密、非对称加密和哈希算法等。
对称加密和非对称加密是最常用的技术,它们都具有保密性和完整性等特点。
3.安全协议技术。
安全协议技术可以保证网络中数据传输过程中的安全。
常用的安全协议技术有WPA、WPA2等。
4.攻击检测技术。
攻击检测技术可以检测网络中存在的攻击行为。
常用的攻击检测技术有入侵检测系统(IDS)和入侵防御系统(IPS)等。
三、发展趋势当前,随着无线通信网络的应用越来越广泛,网络安全问题也越来越复杂。
因此,未来无线通信网络安全将朝着以下几个方面发展:1.智能化发展。
无线局域网中的入侵检测研究与设计
0 概
述
1 无 线局域 网的特点
网络 已成为商业竞 争 的普 遍 战略方 式 , 因特 网和
在线服务 的飞速发展都强有力地证明 了共享数据和资
源 的好处 。无线局域网 的用户不用去寻找插孔就可 以
测 。针对 无线 局域 网 的特点 , 方 案把基 于嵌 入式 的入 侵 检测 系统嵌 入到 移 动 终端 作 为基 于 主 机 的入 侵 检测 系 统 , 该 把基
于移 动 A et gn 的入侵 检测 系统 安装 到 MS ( be uprSao , 持移 动计算 的 固定站 点 ) 于实 现基 于 网络 的入 侵 S Moi pot t i 支 lS tn 上用
入侵检测l 的研究可以追溯到 Jme . nesn在 a s A dr P o 18 90年的工 作 , 他首 次提 出了“ 威胁 ” 等术 语 , 里 所 这 指的“ 威胁 ” 与入 侵 的含义基本 相 同, 入侵 尝试或 威 将 胁定义为 : 潜在 的 、 有预谋的 、 经授权 的访 问企图 , 未 致
维普资讯
第l 7卷 第 6 期
20 0 7年 6月
计 算 机 技 术 与 发 展
C) P t M UTER TECHN OLOGY AND ) IEVEl PMENT
V( . 7 N( 6 ) 1 1 ) .
J n 2 0 u. 07
Re e r h a sg fI r so tc in i LAN s a c nd De i n o ntu i n Dee to n W
Z HU i o g,HUANG n, Hu — n d Ya HUANG n -i Yo g l
WLAN入侵检测与防护系统简析
2 0 1 3 年 9月 2 5日第 3 ( ) 卷 第 5期
】 - :
S e p .2 5,2 0 1 3,Vo 1 .3 0 No . 5
Te l e c o m P o we r Te c h n o l o g y
文章编 号 : 1 0 0 9 — 3 6 6 4 ( 2 0 1 3 ) 0 5 — 0 0 9 6 — 0 2
t e c t i o n a n d p r e v e n t i o n s y s t e ms . Ke y wo r d s :W I AN ;i n t r u s i o n d e t e c t i o n a n d p r o t e c t i o n;u n a u t h o r i z e d a c c e s s p o i n t ;mo n i t o r i n g
自2 0世纪 9 ( ) 年代 起 , 计 算机 网络 、 互联 网等在 我 国得 到 了迅 速 的普及 , 其 发 展 脚 步 的加 快 和用 户 提 出 的更快 、 更 准确 的要求 , 都进 一步地 推 动 了无 线局域 网 ( WI AN) 的发 展 。但 是 无 线 局 域 网存 在 一 些 不 足 之 处, 它 本身 具有很 大 的开放 性 , 其 广播信 号很 容易被 监 听, 在 安全 性方 面存 在 严 重 的缺 陷 。早 期 的无 线 局 域 网中存在 的威 胁是 网络 配 置 错误 等 常 见 的 小 问题 , 如 今演 变成 了一 类 高 级 的主 动攻 击 手 段 , 比如 MAC地 址欺 骗 、 中 间人 攻击 等高端 的侵 人手 段 。因此 , 无 线局 域 网 的安 全 问题 已经 成为 当前 一个 备 受 关 注 的课 题 , 它 的安全 性直 接关 系到企 业 和相关运 营商 的利益 。 目前 , 家 庭 和 小 型 办 公 网络 中 大 多 数 都 引 进 了 I E E E 8 ( ) 2 . 1 1 协 议 的无 线 局 域 网 , 8 0 2 . 1 1 协 议 自身 存 有缺陷, 非法 用户 正 是利 用 其存 在 的漏 洞 发起 对 公 共 网络 的攻击 , 占用 了用户 的网络资 源 , 严 重者还 将窃取 局 域 网 内部 机密 。正 是 这一 安 全 性 问题 的存 在 , 很 多
对未授权无线设备的检测方法-电脑资料
对未授权无线设备的检测方法-电脑资料就目前来说,非法无线访问设备有两种主要的类型:内部非法无线访问设备和外部非法无线访问设备,。
内部非法无线访问设备处于企业内部局域网中的某个位置,它们可能是员工自己建立的无线AP,也可能是攻击者在入侵网络后自己构建的。
例如,攻击者可以通过一些软件加USB无线网卡的方式来构建一个无线AP,这样的软件有HostAP和FakeAP,它们只能在Windows操作系统下运行。
而外部非法无线访问设备是指处于企业网络外部的无线访问设备,这些无线访问设备通常与企业保持在无线信号可以传达的范围之内,大多都是企业外部人员所拥有。
不过,在这样的一个结构复杂的无线网络大环境当中,要区分哪些无线访问设备是安全的,哪些是非法的有时变得很困难。
这是因为我们发现的无线访问设备可能属于企业外部某个家庭用户使用的无线设备;也可能是一个由于企业内部员工为了方便自己而建立的无线AP;它们还可能是一个来自外部的恶意无线访问设备,由攻击者特意安装在接近企业的位置,用来收集企业无线局域网中传输的机密数据。
在本文中,我们所指的非法无线访问设备就是指所有没有经过授权的无线访问设备,无论这个无线访问设备是由谁建立的,也不管建立它的目的是什么,只要是没有经过企业授权的就是非法的无线访问设备。
它们包括:1、邻居家的无线AP2、 AD HOC计算机,进行点对点的直接连接,发送机密文件。
3、非授权AP4、非授权站点,PDA和智能手机5、恶意站点6、恶意无线AP为了能够保护无线局域网的安全,防止非法无线访问设备给无线局域网带来的安全风险,无线局域网所有者或网络管理员必需使用一定的步骤和工具来发现和消灭这些非法的无线访问设备。
但是检测和防范非法无线访问设备是一个持续的长期过期,它应该与无线局域网的整个生命周期相适应。
为此我们必需按一定的最佳做法来构建一个处理非法无线访问设备的处理流程,这个最佳做法包括:检测、阻止、定位和清除非法无线访问点。
无线局域网非法接入点的探测和处理
无线局域网非法接入点的探测和处理摘要:近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。
但是随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁。
本文将深入探讨无线局域网非法接入点对企业及其网络带来的巨大安全威胁,以及如何缓解或消除这种威胁。
关键词:无线局域网探测处理无线局域网具有使用灵活方便,成本较低等优点,但由于无线电波可以轻易穿透墙壁,窗户等屏障,入侵者就可以在户外轻易的利用无线局域网的安全漏洞入侵用户所在的以太网。
无线局域网的发展前景极其广阔,是未来网络发展的一个重要的方向,但是无线局域网的安全问题,成为当今一个非常重要的研究课题,也正是因为这个安全因素,限制了无线局域网的蓬勃发展。
本文将就无线局域网的安全薄弱环节—非法接入点的安全问题进行深入探讨,同时介绍如何使用技术手段防止非法接入点的接入。
1 非法接入点概述无线接入点即无线AP(AccessPoint)它是用于无线网络的无线交换机,也是无线网络的核心[1]。
无线AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米,目前主要技术为802.11系列。
1.1 非法接入点带来的问题非法接入点指的是未经许可而被安装的接入点。
它可能会给安全敏感的企业网络造成一个后门,从而对企业的信息安全带来极大威胁。
攻击者可以通过后门对一个受保护的网络进行访问,从而绕开“前门”的所有安全措施。
无线信号是在空气中进行传播的,因此在大多数情况下没有传输屏障。
它们可以穿过墙壁和屏障,到达公司建筑外很远的地方。
这些无线信号既可能来自非法接入点又可能来自合法接入点。
它们代表的敏感数据或机密信息既可能来自企业内部,也可能来自员工在企业外部使用的移动设备,若入侵者能够连接企业内部的局域网,则将会对企业以太网的安全性造成威胁,若是用户连接了入侵者所设置的非法接入点,则可能造成对用户本身的机密信息丢失。
无线局域网络入侵检测技术
5科技资讯科技资讯S I N &T NOLOGY I NFO RM TI ON 2008NO .15SC I EN CE &TECH NO LOG Y I N FOR M A TI O N 信息技术1无线局域网络的特点无线局域网络是计算机网络与无线通信技术相结合的产物,一个无线局域网可当作有线局域网的扩展来使用,也可以独立作为有线局域网的替代设施,因此无线局域网提供了很强的组网灵活性,能够使用户真正实现随时、随地、随意的接入网络。
与有线网络相比,无线网络的优点,归类起来有以下几点。
1.1移动性在有线网络中,网络设备的安放位置受网络信息点位置的限制。
而无线局域网的通信范围内,不受环境条件的限制,不受空间的限制,用户可在网络中漫游,网络的传输范围大大拓宽。
1.2灵活性无线局域网不受线缆的限制,可以随意增加和配置工作站;无线局域网络有多种配置方式,能够根据需要灵活选择。
所以,无线局域网络就能胜任从只有不多个用户的小型网络到上千用户的大型网络,并且能够拥有像“漫游”(R oa m i ng)等有线网络无法提供的服务。
1.3易安装与有线网络相比,无线局域网的布置,设定和维护更为便利。
无线局域网的安装工作简单,无需施工许可证,不需要布线或开挖沟槽。
2入侵检测技术入侵检测技术虽然可以从不同的角度对其进行分类,但是从技术实现上,一般分为误用检测技术和异常检测技术,下面详细讨论这两类入侵检测技术。
2.1误用入侵检测技术误用入侵检测,又称基于知识的入侵检测,其主要假设是具有能够被精确到按某种方式编码的攻击。
并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。
这种检测是通过按预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测,主要实现技术可分为以下几类:专家系统、入侵签名分析、状态转移分析或模式匹配等。
2.1.1专家系统采用一系列的检测规则分析入侵的特征行为。
专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。
无线局域网中入侵检测系统(IDS)的研究
关 重 要 的 一 个 模 块 ,它 根 据 系统 需 要 在 入 侵 检 测 单 元 之 间进 行协 同 检 测 ,如 果 任 何 节 点 用可 靠 的证 据 检测 到本 地 入 侵或 异常
时, 能独 立 判 断 网络 在 遭 受入 侵 , 并发 起 响 应 。 但如 果 节 点 用 不确 定 的证 据 检测 到 入 侵 或 异 常 时 ,就 启 动 协 作 检 测 模 块 。 协 作 检 测 模 块 的 作 用是 传送 邻 近 节 点之 间 的入 侵 检 测 状 态 信 息 ,利 用 最 近 接 收 到 的 其 它 节 点 的状 态 信 息 ,计 算 出本 节 点 的 入 侵 检
I S I t s n D tc in S se 可分 D ( r i ee t y tm) n u o o 为 基于 主机 的入侵 检测 系统 ( DS 和 基于 HI ) 网络 的入侵 检测 系统 ( D ) NI S 。HI S采 用主 D 机 上 的 文 件 (如 日志 文 件 或 主 机 收 发 的 网 络 数 据 包 ) 为数 据 源 。 能 做 到 精 确 检 测 作 和 快 速 响 应 ,并 融 入 文 件 系 统 保 护 和 监 听 端 口等技 术 ;N I DS 采 用原 始 的 网络 数 据 包 作 为 数 据 源 ,从 中发 现 入 侵 迹 象 。 它 能
1引言
入 侵 检 测 系统 能通 过 对 计 算 机 网络 或 计 算机 系统 中的 若 干 关 键 点 的 信 息 收 集 和 信 息分 析 , 中 发 现 网 络 或 系 统 中是 否 有 从 违 反安 全 策 略 的 行 为 和 被 攻 击 的迹 象 ,并 实 时 作 出安 全 响 应 。 因 为 无 线 网络 与有 线 网 络 之 间 存 在 着 很 大 的 差 异 , 使 得 有 线 网 络 的 入 侵 检 测 这
无线局域网非授权用户入侵行为分析及检测
( . colfI om t nE gnei PA nom t nE gneigU i rt,Z egh u4 0 0 ,C ia . L o 7 7 9U i,hn 一 1Sho fr ai n ier g, I I r ai nier nv sy hn zo 5 0 2 hn ;2 P 4N . 2 4 ntZ eg o n o n f o n ei
t tt c me ma e g tc in r t . ti fecie t lr t e at c s ha he s he k sa hih dee to a e I s e tv o aa m h ta k .
Ke o d :WL N; n u in e ci ; i d e uvln pi c ( P ; etr sl t n sp o e t a hn ( V yw rs A it s t t n w r q ia t r a y WE ) f ue e ci ; u p  ̄v c r c ie S M) r o d e o e e v a e o om
o 4 00 5 0 0.C i 口) hn
Absr c t a t: A c rwiee s c r a d S GLI ha ke r l s a d n me I NK , whih wa be t e e lt EP k y o LAN a c e st ne ne c s a l o r v a he W e nW nd a c s he I tr t
行 为 , 有 实 用价 值 。 具
关键 词 :无 线局 域 网;入 侵检 测 ;有线 等效加 密;特征 选择 ;支持 向量机 中图分 类号 :T 3 3 1 P 9 . 文献标 志码 :A 文章 编 号 :1 0 —6 5 2 1 ) 5 17 — 5 0 1 3 9 ( 0 1 0 — 8 3 0
基于无线局域网的入侵检测系统
{ Nn nes fC/ .aV l Sax 5 0 1 C/ ; 2 S ni o sy T hil og , T ̄a,h x 5 0 9 Ci) 7 o hUiP[ o ha TI a, hni0 0 5 ha h x r t e na l e SV RSa i0 0 0 ,ha t vi y #  ̄ I U # a F e r c c Cl e / U n n
认证 全措 外, 等安 施之 我们引 入侵 进了 检测系 为第 ( 从网 理和维护的角 统作 二 3 ) 络管 度讲, 无线网络 便于扩充, 而一
提供了对内部攻击、外部攻击和误操作的实时保护,在网
络 系统 受到 危 害之 前拦截 和 响应 入侵 。通 过 入侵 检测 技 术 ,
可 定期 地监 控 网络 ,捕获 监 控数 据 ,验证 网络 是 否受 到入
Ab tac : Bae o te n l i f sr t sd n h a ays o WL scrt s AN euiy. i ie U a ie f o t v s S n da o hw t b i a g O ul wi ls i rs n ee t n yse d r es n u i d tc i s tm moe o dsr u e e t o o d l f iti td b lka e i g meh n m o i d n c a i c mbn wih h knwld e f nr s n e eto s se s e t te o eg o i ui d tc in y t m, whc i i l a ayzd n h ril t o ih s mp s y n l e i t e a tc e. Ke w o d y r s: WL AN; tuin I rs Dee to ; rls Ituin e eto S se n o t cin Wi e s nrso D tc i e n ytm
无线局域网MAC地址欺骗攻击的检测
无线局域网MAC地址欺骗攻击的检测第l6卷第2期2006年2月计算机技术与发.展COMPUTERTE【;I-{N()I()(jYA)DEVEI』)P1ENTVL)116N【12Feb.2006无线局域网MAC地址欺骗攻击的检测司纪锋,王美琴2,曹宝香(1.曲阜师范大学计算机科学学院,山东曲阜273165;2.山东省计算中心,山东济南250014)摘要:在无线网络中,攻击者可以修改自己无线网卡的MAC地址为合法站点的地址,从而可以绕过访问控制列表,窃取网络信息,这给无线网络安全带来很大的危害.为了有效地防止和检测MAC地址欺骗攻击,文中在分析无线局域网MAC地址欺骗攻击的基础上,提出一种利用数据包序列号检测MAC地址欺骗攻击的检测方法.该方法不仅能够有效检测MAC地址欺骗攻击,并能迅速查找到入侵源,维护网络的性能和安全.经过试验证明,该方法具有良好的性能.关键词:无线局域网;安全检测;MAC地址欺骗;伪装AP中图分类号:TP393.08文献标识码:A文章编号:1005—3751(2006)02—0232—03 DetectingWirelessLANMACAddressSpoofingAttackSIji—feng,W ANGMei—qin2,CAOBao-xiang(1.DepartnmntofComputerScienceofOufuNomMUniversity,Oufu273165, China;2.ShandongComputerCenter,Jinan250014,China)Al~tract:Inwirelessnetwork,intruderscarlchangetheirMACaddressestolegit imateo nes.Thustheirwirelessfacilitiescarl’tbefoundby accesscontrollist,andtheyCanstealnetworkinformation.Thisisabigthreattow irelessnetwork.InordertoavoidanddetectMACad. dressspoofingattack,bringforwardanewdetectingmethodforthespoofingatta ckbydatapacketsequencenumber.Themethodtofindouttheintruder’Sequipmentisalsobroughtforward.Experimentationprovedt hedetectingmethodbmnghtoutisveryeffective.Keywords:WLAaN;securitydetection;MACaddressspoofing;rogueAP0引言无线局域网(WLAN)技术是无线通信领域最有发展前景的技术之一,其应用已经有了巨大的发展.同时,无线局域网的安全也越来越受到人们的重视.目前应用最广泛的无线局域网标准IEEE802.1ib主要有3个方面的安全措施:a.服务集标识SSID(ServiceSetIdentifier).SSID是一个服务区域的认证ID,只有得到服务区域认证rD,才可以对该服务区域进行访问.b.连线对等保密wEP(wiredEquivalentPrivacy).其在链路层采用RCA对传输的数据进行加密.C.物理(MAC)地址过滤(MediaAccessControlAd—dressFiltering).可以手动地在AP上维护一个MAC地址的访问控制列表,所有被允许访问的MAC地址都被记载在AP上.这3个方面的安全措施对访问控制和网络数据安全收稿日期:2005—05—26基金项目:山东省信息产业专项发展基金项目(20041900048)作者简介:司纪锋(198o__),男,山东淄博人,硕士研究生,研究方向为无线网络,图形图像;曹宝香,教授,研究方向为计算机辅助设计, 数据库.起到了一定的作用,但是其安全防护还是比较脆弱【lJ.由于对流密码算法RCA的不当使用,容易造成初始向量IV重用,使密钥序列重复使用的机会大大增加,而且也没有规定相应的密码分配协议,很容易造成密钥的泄漏.在802.1lb安全措施基础上人们提出了各种加强无线局域网安全的方案,其中比较流行的是采用8o2.1x协议.采用802.Ix协议后解决了一些安全问题,但是还是存在中间人攻击(Man—In—Middleattack)和会话劫持攻击等网络入侵l2J.入侵者之所以能够发起这些攻击,一个重要的原因就是他们利用了MAC地址欺骗攻击.所以,要保证无线网络数据的安全,使用安全性高的协议是一个重要的手段;同时,加强无线局域网的检测,及时发现无线局域网中的安全问题,也是一个重要的方面.在分析MAC地址欺骗攻击的基础上,给出一种利用无线网络数据包序列号的检测方法.这种方法能够检测假冒工作站和伪装AP.最后以伪装AP的检测为例介绍了利用Linux下的Qt语言编程实现的过程.lMAC地址欺骗攻击MAC是一个网络硬件设备的标识,一般是固定的,但是可以通过硬件或软件的方法修改.802.1l无线局域网标准中规定,在MAC层有一个字段用来标识数据帧的源第2期司纪锋等:无线局域网MAC地址欺骗攻击的检测?233? 地址,但是却没有规定对数据帧进行认证操作.接收端不能确定收到的数据帧是MAC地址的拥有者发送的,还是别人盗用地址发送的.攻击者正是利用了这一点,盗用合法用户的地址,同时享用盗用地址的一些权限,从而窃取信息或者破坏网络.MAC地址欺骗主要分为两种:(1)假冒合法的工作站(Station):由于在AP服务范围内的任何无线设备都可以接收到无线局域网的信号,所以通过把自己的网卡设为射频监听模式,攻击者就可以轻易获得网络中合法站点的MAC地址;然后攻击者利用Deauthentication或者Disassociation攻击_3断开合法用户与AP的连接,把自己的网卡MAC地址设置成合法用户的MAC地址,从而可以绕过访问控制列表,使用合法的身份窃取网络信息.(2)伪装AP:由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易利用无线局域网的这个缺陷入侵网络.AP伪装有两种方式_4J:一种是入侵者利用真实的AP,非法放置在被入侵的网络中;另一种假冒AP 的方式是采用一些专用软件将入侵者的计算机伪装成AP.AP伪装入侵方式具有很强的破坏性,可以实施中间人攻击.非法接入的AP,利用Deauthentication攻击,给一个无线工作站发送一个解除认证帧,这样无线工作站断开与它的AP的连接,然后寻找可以利用的AP.工作站在选择AP的时候,一般选择信号质量较好的AP.而攻击者为了吸引工作站,可以让自己的设备采用较大的发射功率,这样工作站就很容易连接到伪装成AP的攻击者的设备.攻击者利用获取的信息,可以连接到合法AP上去.从而无线网络数据就会通过入侵者的设备,他可以任意地截获数据.对于不修改MAC地址的非法AP,可以在安全检测设备上保存一个合法AP的MAC地址列表, 通过网络监听的方式,查看网络中正在使用的AP是否是合法的,但是如果攻击者把自己非法AP的MAC地址改成网络中合法AP的MAC地址,这样的检测方法就不起作用了.备共用一个MAc地址,则检测到的序列号将是时大时小的,不是严格的递增.因此可以根据MSDU序列号来检测无线局域网中是否有人盗用合法地址.要分析序列号,首先要捕获数据包.网卡在捕包的时候,会漏掉一部分数据包,而且在没有入侵者的情况下,检测到的数据包序列号会发生突变:(1)无线网卡重新初始化,数据包的序列号会再次从0开始.(2)数据包的序列号是模4096的,所以当数据包的序列号到4095后,会跳变为0.(3)无线工作站漫游出检测范围,然后又漫游回来.(4)lucent802.1lb无线网卡开始用低的序列号以递增的形式发送数据包,但是其数据包序列号有时会跳到和与其关联的AP的数据包序列号相对应,在经过一个简短的时间后,再跳到其初始值.由于以上情况的存在,不能通过检测源地址相同的MSDU的序列号是否严格加1来进行检测,而且由于一个MSDU可能由几个序列号相同而分段号不同的数据包组成,所以,文中采用的方法是:检测源地址相同的前后两个数据包的序列号是否在同一个范围.当发现了无线局域网中存在非法的工作站或者AP后,下一步的工作就是找出它们的位置了.将网卡设置为监听模式后,网卡捕获数据包的前144个字节是Prism MonitorHeader结构,这是网卡在捕获无线帧时添加在802.11MAC帧头前的数据,主要包括信号强度,传输速率等信息.其中的信号强度是和检测设备和数据包的发送设备之间的距离成正比的:距离远,其值就小;距离近,其值就大,所以可以根据信号强度来找出入侵者的设备.查找方法是:找出入侵者设备的MAC地址后,(如果是盗用合法设备的MAC地址,需暂停使用合法设备)分析源地址是入侵者MAC地址的数据包的信号强度,因为检测系统是集成到PDA中的,所以可以拿着检测设备,沿着信号增强的方向寻找,最终就可以发现入侵者的设备.2MAC地址欺骗攻击检测和入侵者设备定位方法3检测实现在无线局域网标准MAC帧头中有一个序列控制字文中以伪装AP的检测为例,介绍怎样检测网络中是段[5l,如图1所示.否有入侵者盗用合法地址.为了检测的方便,定义以下的Cc1.~fl3.川数据结构:上’:二:二二=L兰■’A(¨.P图lMAC帧头序列控制字段分为分段号子字段和序列号子字段.分段号子字段表明一个特定的介质服务数据单元(MS—DU)的分段号;序列号子字段从0开始,对于每一个发送的MSDU,序列号依次加1.无线网络设备的MAC地址虽然可以修改,但是MSDU序列号是由硬件决定的,用户无法随意修改.如果入侵者盗用合法地址,则会有两个设structfakeapdetstr{QStringmacaddress;//检测AP的MAC地址OStringapssid;/值测AP的SSIDQTimetin1estart;//开始检测的时间tx3olisfakeap;//标志检测的AP是否是伪装AJuim32一tstartmarks;uim16一tintervaltime;uint8一tstartid,endiduim16一tserialnum;uint16一tabserialnum;-?234?计算机技术与发展第l6卷uintl6一tserialerrnum【10J;structfakeapdetstr*next;//指向下一个检测的AP}一attribute一((packed));因为AP发送数据包的序列号根据网络的通信情况,在十分钟左右就可能循环一遍,跳变一次,所以只对最近一段时间内的序列号分析情况进行统计,这段时间用t来表示,是动态改变的.把t细分为相等的10小段,每小段的时间长度用intervaltime来设置;用startmarks来记录t 与开始检测时间的差(以ITIS为单位).serialerrnum数组用来记录在每小段时间内出现的不符合制定的序列号规则的数据包的数目.在这10小段时间中,包括最近捕获数据包的捕包时间的小段内发生的序列号错误累积在se—rialermum[endid],统计时间t中时间最早的小段内发生的序列号错误累积在serialermum[startid].在实际的检测过程中,发现AP可能在准备发送的数据包的时候是严格按照序列号递增的,但是发送出来的数据包不是严格递增的.有时先发送了序列号大的管理帧.然后发送序列号小的数据帧,或者先发送了序列号大的数据帧,然后发送序列号小的管理帧,不同的AP,情况不一样.但是前后两个数据包序列号差值一般在10以内,而且管理帧的序列号是严格增加的,数据帧的序列号也是严格增加的.根据这些情况,确定的检测原则是:设立两个标准,一个是检测管理帧序列号的严格增加,用serialnum记录已经检测到的管理帧的最大序列号,如果当前检测到的数据包是管理帧,且其序列号比serialnum小,则记为一次序列号错误;另一个是,对所有的数据包,用abserialnum记录检测到的数据包序列号最大值,如果当前检测的数据包的序列号值与abserialnum差值的绝对值大于30,则记为一次错误.检测中用到的时间关系如图2所示.段内,如果不在,需要将统计时间f向后移动一个interval—time,对应的endid=(endid+1)%10,如果此时endid=startid,则需要将serialermum[startid]的值清零,同时star—rid=(startid+1)%1O,并将startmarks增加一个imerva[一time.设templmint为指向检测AP数据结构的指针,即: temppoint--”serialermum[temppoint--*startid]=O;temppoint--*startid=(temppoint--*startid+1)%10;temppoint--*starmaarkstemppoint---~starmmrks+temppoint--~in—tervaltime;循环进行,直到当前捕包时间落在统计时间段内.然后分析当前的数据包的序列号是否符合标准.如果不符合,将对应的serialerrnunl数组内容加1.最后统计seri—alermum数组的和,如果大于某个值,将isfakeap置为True,同时向用户报警.考虑到突变情况的存在,经过实验测试,把这个值设为4.4结束语由于目前无线局域网安全的脆弱性,使得无线网络容易被攻击.要保证数据的安全,只采用新的安全措施和标准是不够的.加强无线局域网的检测,及时发现安全问题,并采取措施加以解决,才能更好地维护网络的安全. 通过试验测试,文中提出的MAC地址欺骗的检测方法具有良好的性能.参考文献:[1]李庆,梁学俊,江汉红.无线局域网WEP协议安全漏洞研究[J].微机发展,2004,14(11):133—135.[2]MishraA,ArbaughW A.AnInitialSecurityAnalysisofthe lRg.~802.1xStandard[EB/OL].http://www.meme~- /users/jlm/blogid1785350,2002.。
无线局域网入侵检测技术研究
( P h j n rv c l o C C Z ei gPo i i mmie at S h o,a g h u 3 0 0 ,hn ) a n aC t eP r c o l n z o 10 2C i t y H a
Abta t sw rl sL N WL N)f h ce s g d s ra s, ie sdi h me, o pn e t s t p ss src : i e A ( A o ei rai l wieped ue s d l u e o s h p i c ne , e r e A es t n ny iw y n s g r e ri n
中图分类号 :T 33 8 P 9. 0
文献标识码 :A
文章编号:10 — 59( 0 1 2 — 0 7 0 07 99 2 1 ) 3 03 — 2
W iee sLAN n r so t c i n Te h o o y S u y r l s I t u i n De e t c n l g t d o
a d is t to sa do h rp a e ,o ld wi t eo e n s ta s s i h n l wiee slc l r anewo k r ul r bl n n t ui n t e l c sc up e t h p n e sof i n h r n mi sonc a nes r ls o a e t r mo ev nea e a
径的开放性 ,无线局域网就更容易遭到入侵。入侵检测是较为主动防止入侵的安全防御 系统,它能够在不影响 网络的前提
下对 数据 进行 筛查检 测 ,从 而 防止 外部和 内部 的 攻 击。本 文将 简单介 绍无 线局 域 网的 特征 ,针 对无 线局 域 网入侵 检 测 方法
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无线局域网入侵的检测技术摘要:与有线网络相比无线网络具有可移动性、不受线缆限制、组网灵活等优点,所以无线局域网在日常生活以及工作中都得到了广泛的应用,也所以,WLAN的入侵检测技术受到了使用者的普遍重视。
本文主要研究了无线网所面临的威胁,并对WLAN入侵检测技术的不完整和将来的发展趋势实行了归纳与分析。
关键词:入侵检测;无线网络;有线网络0引言伴着网络的快速发展,无线网络已经成为人们生活中的重要组成元素。
但是无线网络的开放性却使其更易受到非法进攻,从而使得无线网络(WLAN)的安全问题研究日渐受到各方瞩目与重视。
与传统有线网络比起来,WLAN开启研发较晚,发展也略显迟缓,且未构成严整体系,所以基于无线网络的入侵检测研究相对也就并未臻至充分、全面。
本文则特别着重阐述无线局域网面对的主要威胁、入侵检测的技术特征,连同该技术表现的不足以及未来发展目标也一并给出完整论述。
1无线局域网面对的威胁一方面,无线网络与传统有线网络仅仅在传输方式上有区别,所以常规的有线网络中的安全风险如病毒、恶意攻击、非授权访问等在无线网络中也都是并行而共同存有的。
另一方面,无线网络与有线网络在安全上也会带来一定的差异,重点体现在物理层和链路层上,所以无线网络在传输环节将更易受到攻击,可能会遭遇比有线网络更为频密的安全威胁。
当前,针对WLAN的攻击主要有:嗅探窃听、伪装入侵、中间人攻击、拒绝服务攻击、暴力攻击、不法AP等。
在此,则针对各类攻击的原理展开讨论,现分述如下。
1.1嗅探窃听嗅探窃听是无线局域网(WLAN)的首位攻击方法,使用了WLAN信道敞开的不足。
进攻者经常在WLAN信号覆盖领域内截取报文,得到锐敏讯息。
1.2伪装入侵伪装入侵是指进攻者将本身的不法设备伪装成正当设备,是一种隐蔽等级较高的潜藏进攻方法。
如果进攻者顺利诱骗对象网络,而变身为对象网络中的正当站点或正当接入点,进攻者就随即能够获得当地网络赋予的对应考察权力。
1.3中心人攻击中心人攻击是进攻者发动的针对某个网络的主机发配到另外一台主机的包实行操纵的攻击。
这种攻击极具代表性,因为其中包含了当网络数据经过互联网传送时全部可能出现的攻击。
攻击实现过程如图1所示。
1.4拒绝服务进攻拒绝服务(DenialofService,DoS),形成的进攻行为能够称作攻击。
这种进攻不是以得到网络的掌控权限和信息的走访权限当作目的,而是依据将网络、操作系统或应用程序的限定资源消耗,致使计算机或网络无法展开常规工作,同时也无法提供正常的服务。
1.5暴力进攻暴力进攻(Brute-ForceAttack)是通过使用数字、字母和字符的随意结合,估测用户名和口令,屡次完成探索性考察。
同时,凭借其关联系统的速率,每分钟能够发起多达千万次的探索性进攻。
对安全系统实行的暴力进攻将会耗费很长时间,而且进攻的成果多是无望的。
1.6不法APAP是WLAN的主要接入设备,而不法AP则是未经网络管理职员允许或委托的无线接入点。
因为IEEE802.11对AP并未形成严格规定和限制,所以攻击者很容易搭建非法AP,再通过非法AP对网络和无线用户发起攻击。
2WLAN入侵检测技术入侵(Intrusion)是指在非授权下对计算机资源的完备性、机密性、可用性造成威迫的各种预谋设计行为。
入侵检测系统(IntrusionDetectionSystem,IDS)是一种自动对网络安全施行监督,如果发现危险信息就发出提醒或执行阻断措施的网络安全防御设备[1]。
而与其他设备的不同之处在于IDS是一种主动的安全防护设备。
WLAN入侵检测技术即是在常见入侵检测技术上加入了些无线局域网络的检测,固然能够从不同的方向对其实行划分,不过从技术达成上,多数情况下能够将其分为误用检测技术和异常检测技术,下面将详尽研究这2种入侵检测技术。
2.1异常检测异常检测是对以往操作的特征实行总结,得出以往操作的样式,通过其中一些行为与正常行为的表象差别来估计是否为入侵。
主要过程如下:在综合归纳良性操作通常具备的特征之后,建立正常行为的判断指标,当某一行为和正常的行为偏差较大、即达到设定阈值时,就可断定其可归属入侵行为。
2.2误用检测误用检测(也叫滥用检测)是理解、提取入侵行为等不寻常操作的特征,设立特征库。
在检测阶段利用特征库对网罗到的数据实行比对,按照比对成效鉴定是不是入侵行为[2]。
误用检测系统是建立在能够使用某种形式或者特征判定手段而对所有己知的入侵实行科学、精准评析与辨识这个基础事实之上的。
该系统的研究关键是如何明确形成定制的进攻特征样式能够覆盖与真实进攻相关联的全部因素,和对入侵行为特征的标识匹配。
为此,如果要想达成传统概念上针对进攻行为能够获得理想准确检查效率的误用检测系统,就需要保证全部进攻行为均可利用数学语言实行科学规范表达。
误用检测系统的实现手段主要有专家系统、基于模型的入侵检测、状态转换、条件概率技术和键盘监控技术等。
在此,则对其展开进一步说明论述。
2.2.1专家系统专家系统是依据完整的知识库而设立的、基于规则的实用性核心方法。
知识库的完整则有赖于审计记载的全面与实时性。
如果能够制定得到充足、且具普适性的准则,就能检查出任何一个入侵的细小变化。
2.2.2基于模型的入侵检测基于模型的入侵检测系统的实现是利用设定的情景脚本、再根据可观察的活动来执行推断。
经由观测,即可判定一定入侵情景的一连串行为,并且检验得出入侵计划。
基于模型的入侵检测一般是由入侵者、预期者和解释者3个模块而组织构成。
2.2.3状态转移分析技术入侵行为是由进攻者实施的一连串的操作处理,能够控制系统从某种初始情境转变到一个受到威胁的状态。
开始状态是指系统还未受到检测入侵时的情况,而危险状态是指攻击完毕后的情况,此时系统行为可演绎为一张状态转换图,伴着对审计数据的理解,系统实施状态转移[3]。
这种分析研究的关键是了解入侵行为的每个步骤对系统处境的转移作用,从而能够检验出联合进攻者、以及能够使用用户会话对系统实现进攻的各类行为举措。
2.2.4条件概率技术条件概率的入侵检测方法将入侵手段对照一个事件序列,而后凭借观察事件发生的情况来估计产生的入侵。
此种技术是基于事件序列,最终依据贝叶斯定理实施推理。
条件概率的检测方法是基于概率观点的常规方法。
具体是把贝叶斯方法实施了改进,其不足之处则是先验概率不易设定,同时事件的需求也较难满足。
2.2.5键盘监控技术实现时,通过假定入侵与指定的击键序列相对应,而后侦察客户的击键形式,再将此种模式与入侵模式实行匹配,由此能够检验得出当下的入侵行为。
但是该技术仅仅辨别击键,因而检测不到非法恶意程序发起的自主攻击,但是其实现起来却较为简洁、高效。
3防火墙、入侵检测系统、入侵防御系统之间的区别和联系通常在信息安全方面,防火墙、入侵检测系统等都是极其重要的安全防护设备。
具体地,防火墙是根据互联网协议地址或者服务器端口来辨识和筛选数据包。
但其不足则表现在:不能辨别和阻拦内部攻击,也许还会引起准确的数据包出现非预期拦截。
为补充防火墙的不足,能对外部进攻实施全部防御,一般将入侵检测系统连接在防火墙与网络设备中间[4]。
对安全级别较高的网络来说,入侵检测系统是时下的优势选择。
使用入侵检测系统采集网络数据信息,并把这些信息归纳、分析,从而有效识别攻击。
总来说之,防火墙、入侵检测系统、入侵防御系统之间既有区别又有联系,只有将这3种技术予以专业、科学结合、并综合使用,才能实现最佳的安全保障效果。
4WLAN入侵检测的不足现如今,对无线网络的入侵检测大都处于研究阶段,特别是我国仅仅处于加速起步阶段。
所以无线网络领域的防范方面课题依然难以满足现时需求。
综论时下研究背景可知,入侵检测技术主要存有以下不足,具体描述为:1)入侵检测系统滞后于网络的成长速率,所以无法检测出各类新攻击,无法拦截全部数据。
而若拦截网络的所有数据包,并剖析、匹配其中是否含有某种进攻的特性却会消耗很多时间和体系资源[5]。
2)不一样的入侵检测系统配置,即使得在网络有差别时就可能使用了各有不同的入侵检测技术。
而且当下的入侵检测系统之间不允许讯息互换,这就使得察觉到进攻时很难找到进攻的开端,甚至由此而使入侵者获得了攻击的大漏洞。
3)当前各个系统之间的入侵检测不能实时协调合作,缺乏信息的交流,导致寻找入侵行为的源头颇为困难。
甚至,各种系统之间的相互排斥反而有可能给入侵攻击者提供相对应的便利和漏洞。
4)组织结构上还存有问题,现如今很多的入侵检测系统都是由以前的根据网络或计算机的入侵检测系统改进、改良而得来的,在组织构造等方面无法使分布、开放等要求得到圆满解决。
5WLAN入侵检测的发展方向当前,入侵检测的研究已经整合体现了众多新的发展方向。
在技术上,神经网络、遗传算法、数据挖掘、免疫算法、数据融合技术等均能够尝试与传统WLAN入侵检测相结合,以此来实现对无线局域网的更为严密的安全保护。
虽然经过多年的研究进展,无线局域网(WLAN)入侵检测技术已经达到了一定技术水平,但仍然有很多问题需要获得改进与完善[6]。
综合分析后,可得研究结论如下:1)入侵检测分析技术有待增强。
如今的WLAN入侵检测技术所验证的入侵行径存有着很多误报和漏报,难以对WLAN网络做到高端安全保护。
2)网络管制水平有待增强。
伴着网络数据的持续增加,对网络数据的解析和处理正日渐趋于困难,所以需要增强入侵检测系统的处理水平。
3)高度集成。
入侵检测系统不但需要监督互联网上的信息,还要具备对添加配置提供支持的功能。
在网络配置发生非常规状况时,能够对该配置实施管制。
将来的入侵检测系统应该是一个将互联网监控、入侵检测和互联网管制等功能融合联系在一起,并能够对互联网实行全面保护的系统。
6结束语伴着无线网(WLAN)的迅猛成长,人们对其安全问题也愈发提升了重视与注重水准。
入侵检测技术是防御网络进攻的根本手段之一,所以使用入侵检测技术来实现无线局域网不受威胁即已成为当下的重点研究课题[7]。
本文阐述了WLAN入侵检测技术的发体现状及其存有的安全威胁,讨论了WLAN入侵检测技术是WLAN避免受到非法攻击者实施攻击行为的重要手段,分析了WLAN入侵检测的不足及其将来的发展方向。
参考文献:[2]郑洪英,侯梅菊,王渝.入侵检测中的快速特征选择方法[J].计算机工程,2010,36(6):262-264.[3]薛潇,刘以安,魏敏.一种入侵检测的分类方法研究[J].计算机工程与应用,2010,46(30):98-100.[4]魏广科.基于WLAN的入侵检测系统研究与设计[J].计算机与现代化,2010(8):203-206.[5]蒋建春,马恒太,任党恩,等.网络安全入侵检测:研究综述[J].软件学报,2000,11(11):1460-1466.[6]朱会东,黄艳,黄永丽.无线局域网中的入侵检测研究与设计[J].计算机技术与发展,2007,17(6):173-175.[7]穆成坡,黄厚宽,田盛丰,等.自动入侵响应决策技术的研究综述[J].计算机研究与发展,2008,45(8):1290-1298.无线局域网入侵的检测技术。