无线网络的分布式入侵检测模型研究

无线网络的分布式入侵检测模型研究

摘要：对无线网络安全方面的问题和无线网络的特点进行了概述，分析了无线网络的入侵检测模型进行了分析，提出了一个分分布式的无线网络入侵检测系统模型，并给出了具体的拓扑结构设计，通过实验，证明这个入侵检测系统的设计和实现具有很好的安全性，其安全保障具有一定的实用性，值得推广。

关键词：无线网络；分布式；入侵检测；检测代理；中心控制台wireless network distributed intrusion detection model study

luo zhuojun,ouyang weihao

(hunan mass media vocational technical

college,changsha410100,china)

abstract:the problem of wireless network security and wireless networking features an overview of wireless network intrusion detection model,a sub-distributed wireless network intrusion detection system,and given the specific topology design,an experiment to prove that the intrusion detection system design and implementation with good security,the security has a certain practicality, and worthy of promotion. keywords:wireless networks;distributed;intrusion detection;

detection agents;center console

一、引言

由于internet已经深入到每一个人的生活中，其信息安全问题就关系到每一个使用它的人，网络信息安全技术就成为一个重要的攻关课题，无线网络作为有线网络的延伸，由于它的便捷性，已经在生活中占据很大的份额，由于无线网络是使用射频发射信号，所以很容易受到攻击，如果非法用户攻破了系统的防火墙，就可以伪装成合法的节点，对系统进行攻击，所以只依靠传统的加密技术和防火墙技术很难对无线网络的安全起到完善的保障作用，一种既能检测内部恶意攻击又能检测外部破坏行为的分布式入侵检测系统

就在无线网络的安全中得到广泛应用。分布式入侵检测系统是通过采集无线网络系统中的信息，并分析其行为是否为合法行为，来判断其是否遭到非法攻击，来做出响应，但这种无线网络的分布式入侵检测系统还有待进一步完善，在技术上有待改进。

二、无线网络的安全问题

由于无线网络是开放的，没有确切的边界，无法集中监视和管理，因此它受到的攻击来自四面八方，每个节点都可能受到攻击，因此带来了如下的安全威胁。

1.无线网络和有线网络只是在传输方式上存在差异，因此所有有线网络存在的安全威胁和隐患在无线网络中都存在，如病毒、木马、漏洞利用、扫描攻击及拒绝服务等都会在无线网络中出现；

2.像包括恶意的媒体访问控制（mac）地址伪装这些攻击方式，都是针对ieee802.11网络采用的有线等效保密协议(wep)存在的漏洞进行破

解攻击的，在无线网络中也会大量使用；3.假冒ap非授权接入,欺骗合法用户，对于含ap模式，攻击者只要接入非授权的假冒ap，就可登录欺骗合法用户；4.网络窃听、密码破解,易被篡改和插入；

5.拒绝服务攻击(dos)和干扰，攻击者可能对ap进行泛洪攻击，使ap拒绝服务，此外，对移动自组网模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作(通常称为能源消耗攻击)；

6.现有的探测和扫描工具使非法接入网络非常方便。由于无线网络存在这些安全问题，我们就要引入相应的安全保障措施，其中，分布式的入侵检测系统就能很好的解决我们在无线网络中遇到的安全问题，保障我们无线网络安全的正常工作。

三、无线网络中入侵检测模型的分析

入侵检测是指发现非授权用户使用系统或企图使用系统的行为

以及发现合法用户滥用其特权行为的过程。完成入侵检测的系统称为入侵检测系统（ids）。入侵检测系统自身的各个模块要具有相当好的安全性，他们之间的通信要不可仿冒，也不可破坏，具有安全性，保密性，完整性，在各种网络环境中都具有很好的鲁棒性。每一个入侵者都会想方设法逃避检测，使用各种伪装技巧，入侵检测系统要具有相当好的入侵检测算法，不会漏报、误报入侵检测数据，真正具有入侵检测能力，能把好入侵检测关，具有很好的防欺骗能力，能捕获每一个非法入侵行为，能给网络的安全使用提供很好的安全保障作用。按照入侵检测系统处理信息的来源的不同，可将入

侵检测系统分为基于网络的入侵检修系统（hids）和侧重于对攻击的事后分析的基于主机的入侵检测系统（nids）。ids根据数据收集、分析、响应方式的分布又可分为集中式nids和分布式nids。基于以上的分析，我们提出一种分布式网络入侵检测系统模型，对基础结构模式的wlan进行保护，可以在很大程度上提高wlan的安全性。

四、无线网络的分布式入侵检测模型的理论设计

无线网络的入侵检测技术主要有两种方式，一种是基于误用的入侵检测技术，它使用的方法就是对系统遭受入侵和攻击的数据进行统计，对他们的相关知识进行分析，提出特征和模式，然后形成入侵行为数据库，对系统中的行为在数据库中进行对比，看是否在数据库中有此行为，若有就是入侵行为，否则就是非法行为，这个入侵行为数据库根据入侵的行为的变化而不断扩大，以适应外围的变化。另外一种就是异常入侵检测模型，就是把网络的正常行为都做成一个参考模型，进行量化，并提取相应的特征值，看网络中的行为是否符合这些参数，如不符合，并偏离一定的值，就判定它是非法的，是入侵行为。我们在这提出的分布式入侵检测系统是基于误用原则的入侵检测系统。

五、无线网络的分布式入侵检测模型的实现

根据无线网络的安全保障的需要，根据上面的分析，我们设计了一个由中心控制台和监测代理组成的分布式无线网络入侵监测系统，这个系统具有很强的入侵监测判断能力，误报率很低，效果很好。