基于MAP—AM的可擴(kuò)展無(wú)線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)研究

張艷　劉翔

摘 要：近年來(lái)，在電子科技的發(fā)展下無(wú)線網(wǎng)絡(luò)快速的應(yīng)用在企業(yè)和家庭中。然而，無(wú)線網(wǎng)絡(luò)都卻存在有線網(wǎng)絡(luò)所沒(méi)有的安全漏洞。因此，無(wú)線網(wǎng)絡(luò)成為最容易受到攻擊的目標(biāo)。因此，需要設(shè)計(jì)出一套切實(shí)可行的防御黑客入侵的檢測(cè)系統(tǒng)來(lái)提高使用無(wú)線網(wǎng)絡(luò)的安全水平。本文在分析MAP-AM的基礎(chǔ)上，研究基于MAP-AM的可擴(kuò)展無(wú)線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)來(lái)提高無(wú)線網(wǎng)絡(luò)的安全性能。

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；MAP-AM；可擴(kuò)展；入侵檢測(cè)系統(tǒng)；設(shè)計(jì)

無(wú)線通信存在各方面的因素影響，攻擊者可在無(wú)線網(wǎng)絡(luò)覆蓋的任何區(qū)域內(nèi)進(jìn)行攻擊。目前，有一種新型的無(wú)線防御系統(tǒng)——入侵檢測(cè)系統(tǒng)（Intrusion detection）簡(jiǎn)稱：IDS，采用IDS進(jìn)行防御可在一定程度上提高無(wú)線網(wǎng)絡(luò)的安全水平。

1 可擴(kuò)展監(jiān)測(cè)網(wǎng)絡(luò)系統(tǒng)中存在的問(wèn)題

⑴在無(wú)線網(wǎng)絡(luò)的頻帶中有許多的信號(hào)通道，而一個(gè)無(wú)線的空中監(jiān)視器一次僅僅只能監(jiān)測(cè)到一個(gè)信號(hào)通道，極有可能遺漏其他信號(hào)通道的攻擊。采用能夠獲得多個(gè)信號(hào)的無(wú)線監(jiān)測(cè)設(shè)備或者多個(gè)單一無(wú)線監(jiān)測(cè)設(shè)備在同一個(gè)地方監(jiān)測(cè)無(wú)線信號(hào)的方法。都無(wú)法避開龐大的資金開銷。⑵有許多針對(duì)介質(zhì)訪問(wèn)控制子層協(xié)議（簡(jiǎn)稱：MAC層）的攻擊，對(duì)MAC層的攻擊在檢測(cè)中必須在捕獲到一段完整且連續(xù)的介質(zhì)訪問(wèn)控制子層協(xié)議幀數(shù)據(jù)流才能夠完成。

2 基于MAP-AM的可擴(kuò)展無(wú)線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)研究

2.1 系統(tǒng)總體結(jié)構(gòu)

MAP系統(tǒng)結(jié)構(gòu)如圖1所示，由AM獲取無(wú)線的數(shù)據(jù)幀，將期望轉(zhuǎn)發(fā)數(shù)據(jù)幀的特征發(fā)送至融合中心，再建立一段連續(xù)時(shí)間中規(guī)范的數(shù)據(jù)流。分析引擎監(jiān)測(cè)網(wǎng)絡(luò)流量的插件檢測(cè)器，發(fā)送警告給防護(hù)系統(tǒng)同時(shí)進(jìn)行系統(tǒng)檢測(cè)以及信息的反饋等等。系統(tǒng)控制器主要負(fù)責(zé)各個(gè)AM之間協(xié)調(diào)，根據(jù)分析引擎發(fā)回的各類反饋信息實(shí)施對(duì)AM的修改行為，完成網(wǎng)絡(luò)攻擊防御的行動(dòng)。防護(hù)引擎設(shè)備會(huì)發(fā)送警告信息至系統(tǒng)管理員并采取自動(dòng)保護(hù)網(wǎng)絡(luò)來(lái)保護(hù)無(wú)線網(wǎng)絡(luò)。

2.2 空中監(jiān)視器和控制器

2.2.1 AM特征提取

網(wǎng)絡(luò)為了降低轉(zhuǎn)發(fā)數(shù)據(jù)的流量，每個(gè)幀數(shù)據(jù)的信息都被保留，AM會(huì)以一個(gè)AMEX 的幀格式進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。這是一種有損壓縮的特定格式，在每個(gè)數(shù)據(jù)幀的MAC頭部中遴選出的網(wǎng)絡(luò)流量特征，促使這幾個(gè)數(shù)據(jù)幀特征打包為User Datagram Protocol報(bào)文，在 AM發(fā)送至融合中心，丟棄數(shù)據(jù)幀體的多余內(nèi)容。

2.2.2 AM信道采樣

MVP將會(huì)監(jiān)聽(tīng)在802.11上的所有信息通道，這是因?yàn)檫@些頻段都可能受到干擾或攻擊，即使是使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分信息通道。AM可通過(guò)定時(shí)的接收設(shè)備設(shè)置為每一個(gè)為信息通道監(jiān)測(cè)多個(gè)信息通道，這項(xiàng)技術(shù)被稱為信道采樣。

2.2.3 重聚集

MAP測(cè)量系統(tǒng)原理與望遠(yuǎn)鏡結(jié)構(gòu)相似，MAP測(cè)量系統(tǒng)聚集于信息通道、空間等范圍之中。MAP設(shè)定在分析元件監(jiān)測(cè)到異常行為后采取動(dòng)態(tài)重聚集測(cè)量系統(tǒng)進(jìn)行維護(hù)，這是一種通過(guò)收集從單一客戶、AP等區(qū)域內(nèi)大量的數(shù)據(jù)幀，或者在擴(kuò)展中遴選出的網(wǎng)絡(luò)流量特征的集來(lái)完成重聚集。鎖定一個(gè)正在攻擊的行為，幀數(shù)據(jù)流則會(huì)確認(rèn)MAP進(jìn)行攻擊或是定位攻擊。

2.3 防護(hù)引擎

在日常中常見(jiàn)的非法無(wú)線網(wǎng)絡(luò)入侵的有兩種方法，一種是人工控制接入點(diǎn)阻塞，而另一種是腳本自動(dòng)控制接入點(diǎn)阻塞。在系統(tǒng)中的入侵檢測(cè)算法發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)環(huán)境中存在非法的數(shù)據(jù)入侵現(xiàn)象。例如：非法用戶的訪問(wèn)和非法的接入點(diǎn)的等等，此時(shí)系統(tǒng)會(huì)采取以下措施：

2.3.1 人工控制接入點(diǎn)阻塞

當(dāng)服務(wù)器接收到警告信號(hào)時(shí)，在系統(tǒng)管理人員的手動(dòng)設(shè)定下，程序自動(dòng)運(yùn)行將斷開非法數(shù)據(jù)的傳輸和響應(yīng)，或是在MAC地址的過(guò)濾中阻擋非法攻擊的進(jìn)行，將對(duì)無(wú)線網(wǎng)絡(luò)的損害減低到最小，同時(shí)采用排查計(jì)算來(lái)定位攻擊者。

2.3.2 腳本自動(dòng)控制接入點(diǎn)阻塞

在系統(tǒng)識(shí)別出攻擊者發(fā)動(dòng)攻擊行為時(shí)，將自動(dòng)啟動(dòng)程序的修改腳本文件做出調(diào)整來(lái)應(yīng)對(duì)，建立與接入點(diǎn)相適應(yīng)的腳本文件同時(shí)實(shí)施該腳本文件，這就可達(dá)到過(guò)濾非法數(shù)據(jù)訪問(wèn)和切斷非法數(shù)據(jù)讀取等行為來(lái)避免數(shù)據(jù)遭受攻擊和毀壞。人工接入點(diǎn)阻塞的原因在通信行情況下都是由于人為影響而造成的，系統(tǒng)的反應(yīng)時(shí)間長(zhǎng)或錯(cuò)誤是難以避免的。這種方法雖然需要無(wú)線網(wǎng)絡(luò)的接入，但是這種方式和無(wú)法實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的全面防護(hù)。

3 總結(jié)

在計(jì)算機(jī)網(wǎng)絡(luò)的被普遍的應(yīng)用開來(lái)，無(wú)線網(wǎng)絡(luò)也開始走進(jìn)千家萬(wàn)戶，從人們的家庭生活到日常的工作都需要無(wú)線網(wǎng)絡(luò)的純支持。在無(wú)線網(wǎng)絡(luò)的廣泛應(yīng)用帶來(lái)的缺失無(wú)法避免的安全問(wèn)題。無(wú)線網(wǎng)絡(luò)入侵檢測(cè)應(yīng)用在保護(hù)無(wú)線網(wǎng)絡(luò)的重要措施是一項(xiàng)切實(shí)有效的保護(hù)手段。

[參考文獻(xiàn)]

[1]王新，劉建輝.基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)研究[J].計(jì)算機(jī)與數(shù)字工程，2005，33（11）：88-90.