無線局域網入侵檢測技術研究

韓 璐，張 軍

（哈爾濱師范大學計算機科學與信息工程學院，哈爾濱　150025）

無線局域網入侵檢測技術研究

韓 璐，張 軍

（哈爾濱師范大學計算機科學與信息工程學院，哈爾濱150025）

與有線網絡相比無線網絡具有可移動性、不受線纜限制、組網靈活等優點，因此無線局域網在日常生活以及工作中都得到了廣泛的應用，也因此，WLAN的入侵檢測技術受到了使用者的普遍重視。本文主要研究了無線網所面臨的威脅，并對WLAN入侵檢測技術的不完整和將來的發展趨勢進行了歸納與分析。

入侵檢測；無線網絡；有線網絡

0　引 言

伴著網絡的快速發展，無線網絡已經成為人們生活中的重要組成元素。但是無線網絡的開放性卻使其更易受到非法進攻，從而使得無線網絡（WLAN）的安全問題研究日漸受到各方矚目與重視。與傳統有線網絡比起來，WLAN開啟研發較晚，發展也略顯遲緩，且未構成嚴整體系，因此基于無線網絡的入侵檢測研究相對也就并未臻至充分、全面。本文則特別著重闡述無線局域網面對的主要威脅、入侵檢測的技術特征，連同該技術呈現的不足以及未來發展目標也一并給出完整論述。

1　無線局域網面對的威脅

一方面，無線網絡與傳統有線網絡只是在傳輸方式上有區別，因此常規的有線網絡中的安全風險如病毒、惡意攻擊、非授權訪問等在無線網絡中也都是并行而共同存在的。另一方面，無線網絡與有線網絡在安全上也會帶來一定的差異，重點體現在物理層和鏈路層上，因此無線網絡在傳輸環節將更易受到攻擊，可能會遭遇比有線網絡更為頻密的安全威脅。目前，針對WLAN的攻擊主要有：嗅探竊聽、偽裝入侵、中間人攻擊、拒絕服務攻擊、暴力攻擊、不法AP等。在此，則針對各類攻擊的原理展開討論，現分述如下。

1.1嗅探竊聽

嗅探竊聽是無線局域網（WLAN）的首位攻擊方法，運用了WLAN信道敞開的不足。進攻者經常在WLAN信號覆蓋領域內截取報文，得到銳敏訊息。

1.2偽裝入侵

偽裝入侵是指進攻者將本身的不法設備偽裝成正當設備，是一種隱蔽等級較高的潛藏進攻方法。如果進攻者順利誘騙對象網絡，而變身為對象網絡中的正當站點或正當接入點，進攻者就隨即可以獲得當地網絡賦予的對應考察權力。

1.3中心人攻擊

中心人攻擊是進攻者發動的針對某個網絡的主機發配到另外一臺主機的包實行操縱的攻擊。這種攻擊極具代表性，由于其中包含了當網絡數據經過互聯網傳送時全部可能出現的攻擊。攻擊實現過程如圖1所示。

圖1　中心人攻擊Fig.1 Middle attacks

1.4拒絕服務進攻

拒絕服務（Denial of Service，DoS），形成的進攻行為可以稱作攻擊。這種進攻不是以得到網絡的掌控權限和信息的走訪權限當作目的，而是依據將網絡、操作系統或應用程序的限定資源消耗，致使計算機或網絡無法展開常規工作，同時也無法提供正常的服務。

1.5 暴力進攻

暴力進攻（Brute-Force Attack）是通過運用數字、字母和字符的隨意結合，估測用戶名和口令，屢次完成探索性考察。同時，憑借其關聯系統的速率，每分鐘可以發起多達千萬次的探索性進攻。對安全系統進行的暴力進攻將會耗費很長時間，而且進攻的成果多是無望的。

1.6不法AP

AP是WLAN的主要接入設備，而不法AP則是未經網絡管理職員允許或委托的無線接入點。由于IEEE802.11對AP并未形成嚴格規定和限制，因此攻擊者很容易搭建非法AP，再通過非法AP對網絡和無線用戶發起攻擊。

2　WLAN入侵檢測技術

入侵（Intrusion）是指在非授權下對計算機資源的完備性、機密性、可用性造成威迫的各種預謀設計行為。入侵檢測系統（Intrusion Detection System，IDS）是一種自動對網絡安全施行監督，如果發現危險信息就發出提醒或執行阻斷措施的網絡安全防御設備［1］。而與其他設備的不同之處在于IDS是一種主動的安全防護設備。WLAN入侵檢測技術即是在常見入侵檢測技術上加入了些無線局域網絡的檢測，固然可以從不同的方向對其進行劃分，然而從技術達成上，多數情況下可以將其分為誤用檢測技術和異常檢測技術，下面將詳盡研究這2種入侵檢測技術。

2.1異常檢測

異常檢測是對以往操作的特征進行總結，得出以往操作的樣式，通過其中一些行為與正常行為的表象差距來估計是否為入侵。主要過程如下：在綜合歸納良性操作通常具備的特征之后，建立正常行為的判斷指標，當某一行為和正常的行為偏差較大、即達到設定閾值時，就可斷定其可歸屬入侵行為。

2.2誤用檢測

誤用檢測（也叫濫用檢測）是理解、提取入侵行為等不尋常操作的特征，設立特征庫。在檢測階段利用特征庫對網羅到的數據進行比對，按照比對成效鑒定是不是入侵行為［2］。誤用檢測系統是建立在可以運用某種形式或者特征判定手段而對所有己知的入侵實行科學、精準評析與辨識這一基礎事實之上的。該系統的研究關鍵是如何明確形成定制的進攻特征樣式可以覆蓋與真實進攻有關聯的全部因素，和對入侵行為特征的標識匹配。為此，如果要想達成傳統概念上針對進攻行為能夠獲得理想準確檢查效率的誤用檢測系統，就需要保證全部進攻行為均可利用數學語言進行科學規范表達。誤用檢測系統的實現手段主要有專家系統、基于模型的入侵檢測、狀態轉換、條件概率技術和鍵盤監控技術等。在此，則對其展開進一步說明論述。

2.2.1專家系統

專家系統是依據完整的知識庫而設立的、基于規則的實用性核心方法。知識庫的完整則有賴于審計記載的全面與實時性。如果能夠制定得到充足、且具普適性的準則，就能檢查出任何一個入侵的細小變化。

2.2.2基于模型的入侵檢測

基于模型的入侵檢測系統的實現是利用設定的情景腳本、再根據可觀察的活動來執行推斷。經由觀測，即可判定一定入侵情景的一連串行為，并且檢驗得出入侵計劃。基于模型的入侵檢測一般是由入侵者、預期者和解釋者3個模塊而組織構成。

2.2.3狀態轉移分析技術

入侵行為是由進攻者實施的一連串的操作處理，能夠控制系統從某種初始情境轉變到一個受到威脅的狀態。開始狀態是指系統還未受到檢測入侵時的情況，而危險狀態是指攻擊完畢后的情況，此時系統行為可演繹為一張狀態轉換圖，伴著對審計數據的理解，系統實施狀態轉移［3］。這種分析研究的關鍵是了解入侵行為的每個步驟對系統處境的轉移作用，從而能夠檢驗出聯合進攻者、以及能夠運用用戶會話對系統實現進攻的各類行為舉措。

2.2.4條件概率技術

條件概率的入侵檢測方法將入侵手段對照一個事件序列，而后憑借觀察事件發生的情況來估計產生的入侵。此種技術是基于事件序列，最終依據貝葉斯定理實施推理。條件概率的檢測方法是基于概率觀點的常規方法。具體是把貝葉斯方法實施了改進，其不足之處則是先驗概率不易設定，同時事件的需求也較難滿足。

2.2.5鍵盤監控技術

實現時，通過假定入侵與指定的擊鍵序列相對應，而后偵察客戶的擊鍵形式，再將此種模式與入侵模式進行匹配，由此可以檢驗得出當下的入侵行為。但是該技術只是辨別擊鍵，因而檢測不到非法惡意程序發起的自主攻擊，但是其實現起來卻較為簡潔、高效。

3　防火墻、入侵檢測系統、入侵防御系統之間的區別和聯系

通常在信息安全方面，防火墻、入侵檢測系統等都是極其重要的安全防護設備。具體地，防火墻是根據互聯網協議地址或者服務器端口來辨識和篩選數據包。但其不足則表現在：不能辨別和阻攔內部攻擊，也許還會引起正確的數據包出現非預期攔截。為彌補防火墻的不足，能對外部進攻實施全部防御，一般將入侵檢測系統連接在防火墻與網絡設備中間［4］。對安全級別較高的網絡來說，入侵檢測系統是時下的優勢選擇。使用入侵檢測系統采集網絡數據信息，并把這些信息歸納、分析，從而有效識別攻擊。

總之，防火墻、入侵檢測系統、入侵防御系統之間既有區別又有聯系，只有將這3種技術予以專業、科學結合、并綜合運用，才能實現最佳的安全保障效果。

4　WLAN入侵檢測的不足

現如今，對無線網絡的入侵檢測大都處于研究階段，特別是我國僅僅處于加速起步階段。所以無線網絡領域的防范方面課題依然難以滿足現時需求。綜論時下研究背景可知，入侵檢測技術主要存在以下不足，具體描述為：

1）入侵檢測系統滯后于網絡的成長速率，所以無法檢測出各類新攻擊，無法攔截全部數據。而若攔截網絡的所有數據包，并剖析、匹配其中是否含有某種進攻的特性卻會消耗不少時間和體系資源［5］。

2）不一樣的入侵檢測系統配置，即使得在網絡有差別時就可能運用了各有不同的入侵檢測技術。而且當下的入侵檢測系統之間不允許訊息互換，這就使得察覺到進攻時很難找到進攻的開端，甚至由此而使入侵者獲得了攻擊的大漏洞。

3）目前各個系統之間的入侵檢測不能實時協調合作，缺乏信息的交流，導致尋找入侵行為的源頭頗為困難。甚至，各種系統之間的相互排斥反而有可能給入侵攻擊者提供相應的便利和漏洞。

4）組織結構上還存在問題，現如今許多的入侵檢測系統都是由曾經的根據網絡或計算機的入侵檢測系統改進、改良而得來的，在組織構造等方面無法使分布、開放等要求得到圓滿解決。

5　WLAN入侵檢測的發展方向

目前，入侵檢測的研究已經整合展現了眾多新的發展方向。在技術上，神經網絡、遺傳算法、數據挖掘、免疫算法、數據融合技術等均可以嘗試與傳統WLAN入侵檢測相結合，以此來實現對無線局域網的更為嚴密的安全保護。雖然經過多年的研究進展，無線局域網（WLAN）入侵檢測技術已經達到了一定技術水平，但仍然有許多問題需要獲得改進與完善［6］。綜合分析后，可得研究結論如下：

1）入侵檢測分析技術有待加強。如今的WLAN入侵檢測技術所驗證的入侵行徑存在著許多誤報和漏報，難以對WLAN網絡做到高端安全保護。

2）網絡管制能力有待加強。伴著網絡數據的不斷增加，對網絡數據的解析和處理正日漸趨于困難，因此需要加強入侵檢測系統的處理能力。

3）高度集成。入侵檢測系統不僅需要監督互聯網上的信息，還要具備對添加配置提供支持的功能。在網絡配置發生非常規狀況時，能夠對該配置實施管制。將來的入侵檢測系統應該是一個將互聯網監控、入侵檢測和互聯網管制等功能融合聯系在一起，并可以對互聯網進行全面保護的系統。

6　結束語

伴著無線網（WLAN）的迅猛成長，人們對其安全問題也愈發提升了重視與關注程度。入侵檢測技術是防御網絡進攻的根本手段之一，所以使用入侵檢測技術來實現無線局域網不受威脅即已成為當下的重點研究課題［7］。本文闡述了WLAN入侵檢測技術的發展現狀及其存在的安全威脅，討論了WLAN入侵檢測技術是WLAN避免受到非法攻擊者實施攻擊行為的重要手段，分析了WLAN入侵檢測的不足及其將來的發展方向。

［1］CAM-WINGET N，HOUSLEY R，WAGNER D，et al.Communications of the ACM［J］.Security flaws in 802.11 data link protocols，2003，46（5）：35-39.

［2］鄭洪英，侯梅菊，王渝.入侵檢測中的快速特征選擇方法［J］.計算機工程，2010，36（6）：262-264.

［3］薛瀟，劉以安，魏敏.一種入侵檢測的分類方法研究［J］.計算機工程與應用，2010，46（30）：98-100.

［4］魏廣科.基于WLAN的入侵檢測系統研究與設計［J］.計算機與現代化，2010（8）：203-206.

［5］蔣建春，馬恒太，任黨恩，等.網絡安全入侵檢測：研究綜述［J］.軟件學報，2000，11（11）：1460-1466.

［6］朱會東，黃艷，黃永麗.無線局域網中的入侵檢測研究與設計［J］.計算機技術與發展，2007，17（6）：173-175.

［7］穆成坡，黃厚寬，田盛豐，等.自動入侵響應決策技術的研究綜述［J］.計算機研究與發展，2008，45（8）：1290-1298.

Research on wireless local area network intrusion detection technology

HAN Lu，ZHANG Jun
（Computer Science and Information Engineering College，Harbin Normal University，Harbin 150025，China）

Compared with the wired network，wireless network has good mobility，flexible networking，and unrestriction by the cable，etc，so the wireless local area network（WLAN）in daily life and work has been widely used.Based on this situation，WLAN intrusion detection technology has aroused great attention of the user.This paper studies the threats faced by the wireless network，summarizes and analyzes the underdevelopment and the future trend of the WLAN intrusion detection technology.

intrusion detection；wireless network；wired network

TP393

A

2095-2163（2016）03-0135-03

2016-04-20

韓 璐（1991-），女，碩士研究生，主要研究方向：網絡安全；張 軍（1964-），男，學士，教授，主要研究方向：網絡安全。

張 軍 Email：547967870@qq.com