无线组网 频道

基于无线局域网入侵检测现状和要点分析

    三、WLAN中的入侵检测模型架构

    在含AP模式中,可以将多个WLAN基本服务集(BSS)扩展成扩展服务集(ESS),甚至可以组成一个大型的WLAN。这种网络需要一种分布式的检测框架,由中心控制台和监测代理组成,如图3所示。

含AP模式的分布式入侵检测系统框架
含AP模式的分布式入侵检测系统框架

    网络管理员中心控制台配置检测代理和浏览检测结果,并进行关联分析。监测代理的作用是监听无线数据包、利用检测引擎进行检测、记录警告信息,并将警告信息发送至中心控制台。

    由此可见,监测代理是整个系统的核心部分,根据网络布线与否,监测代理可以采用两种模式:一种是使用1张无线网卡再加1张以大网卡,无线网卡设置成“杂凑”模式,监听所有无线数据包,以太网卡则用于与中心服务器通信;另一种模式是使用2张无线网卡,其中一张网卡设置成“杂凑”模式,另一张则与中心服务器通信。

    分组捕获完成后,将信息送至检测引擎进行检测,目前最常用的IDS主要采用的检测方法是特征匹配,即把网络包数据进行匹配,看是否有预先写在规则中的“攻击内容”或特征。尽管多数IDS的匹配算法没有公开,但通常都与着名的开源入侵检测系统Snort的多模检测算法类似。

    另一些IDS还采用异常检测方法(如Spade检测引擎等),通常作为一种补充方式。无线网络传输的是加密数据,因此,该系统需要重点实现的部分由非授权AP的检测。通常发现入侵之后,监测代理会记录攻击特征,并通过安全通道(采用一定强度的加密算法加密,有线网络通常采用安全套接层(SSL)协议,无线网络通常采用无线加密协议(WEP))将告警信息发给中心控制台进行显示和关联分析等,并由控制台自动响应(告警和干扰等),或由网络管理员采取相应措施。

    在移动自组网模式中,每个节点既要收发自身数据,又要转发其他节点的数据,而且各个节点的传输范围受到限制,如果在该网络中存在或加入恶意节点,网络性能将受到严重影响。恶意节点的攻击方式可以分为主动性攻击和自私性攻击。主动性攻击是指节点通过发送错误的路由信息、伪造或修改路由信息等方式,对网络造成干扰;自私性攻击是指网络中的部分节点可能因资源能量和计算能量等缘故,不愿承担其他节点的转发任务所产生的干扰。因此,对恶意节点的检测并在相应的路由选择中避开恶意节点,也是该类型WLAN需要研究的问题。

    我们的检测模型建立在HIDS上,甚至可以实现路由协议中的部分安全机制,如下图所示。

移动自组网模式中的入侵检测架构
移动自组网模式中的入侵检测架构

    当数据包到达主机后,如果属于本机数据,数据包将被解密,在将它递交给上层之前,先送至基于主机的误用检测引擎进行检测,根据检测结果,对正常数据包放行,对攻击数据包则进行记录,并根据响应策略进行响应。此外,还可以在误用检测模型的基础上辅以异常检测引擎,根据以往的研究成果,可以在网络层或应用层上进行,也可以将其做入路由协议中,以便提高检测速度和检测效率。

    四、结束语

    传统的入侵检测系统已不能用于WLAN,而WLAN内入侵检测系统的研究和实现才刚刚起步。本文分析了WLAN的特点及其存在的安全问题,提出了两种入侵检测系统架构,可以分别用于基础结构模式WLAN和移动自组网模式WLAN,具有实用价值。基础结构模式WLAN采用分布式网络入侵检测,可用于大型网络;移动自组网中采用基于主机的入侵检测系统,用于检测异常的节点活动和发现恶意节点。需要进一步研究的问题有:在框架上实现原型系统来验证其有效性;在加密的网络环境中更加有效地进行入侵检测。

0
相关文章