張艷　劉翔

摘 要：近年來，在電子科技的發(fā)展下無線網(wǎng)絡快速的應用在企業(yè)和家庭中。然而，無線網(wǎng)絡都卻存在有線網(wǎng)絡所沒有的安全漏洞。因此，無線網(wǎng)絡成為最容易受到攻擊的目標。因此，需要設計出一套切實可行的防御黑客入侵的檢測系統(tǒng)來提高使用無線網(wǎng)絡的安全水平。本文在分析MAP-AM的基礎上，研究基于MAP-AM的可擴展無線網(wǎng)絡入侵檢測系統(tǒng)設計來提高無線網(wǎng)絡的安全性能。

關鍵詞：無線網(wǎng)絡；MAP-AM；可擴展；入侵檢測系統(tǒng)；設計

無線通信存在各方面的因素影響，攻擊者可在無線網(wǎng)絡覆蓋的任何區(qū)域內(nèi)進行攻擊。目前，有一種新型的無線防御系統(tǒng)——入侵檢測系統(tǒng)（Intrusion detection）簡稱：IDS，采用IDS進行防御可在一定程度上提高無線網(wǎng)絡的安全水平。

1 可擴展監(jiān)測網(wǎng)絡系統(tǒng)中存在的問題

⑴在無線網(wǎng)絡的頻帶中有許多的信號通道，而一個無線的空中監(jiān)視器一次僅僅只能監(jiān)測到一個信號通道，極有可能遺漏其他信號通道的攻擊。采用能夠獲得多個信號的無線監(jiān)測設備或者多個單一無線監(jiān)測設備在同一個地方監(jiān)測無線信號的方法。都無法避開龐大的資金開銷。⑵有許多針對介質(zhì)訪問控制子層協(xié)議（簡稱：MAC層）的攻擊，對MAC層的攻擊在檢測中必須在捕獲到一段完整且連續(xù)的介質(zhì)訪問控制子層協(xié)議幀數(shù)據(jù)流才能夠完成。

2 基于MAP-AM的可擴展無線網(wǎng)絡入侵檢測系統(tǒng)設計研究

2.1 系統(tǒng)總體結(jié)構

MAP系統(tǒng)結(jié)構如圖1所示，由AM獲取無線的數(shù)據(jù)幀，將期望轉(zhuǎn)發(fā)數(shù)據(jù)幀的特征發(fā)送至融合中心，再建立一段連續(xù)時間中規(guī)范的數(shù)據(jù)流。分析引擎監(jiān)測網(wǎng)絡流量的插件檢測器，發(fā)送警告給防護系統(tǒng)同時進行系統(tǒng)檢測以及信息的反饋等等。系統(tǒng)控制器主要負責各個AM之間協(xié)調(diào)，根據(jù)分析引擎發(fā)回的各類反饋信息實施對AM的修改行為，完成網(wǎng)絡攻擊防御的行動。防護引擎設備會發(fā)送警告信息至系統(tǒng)管理員并采取自動保護網(wǎng)絡來保護無線網(wǎng)絡。

2.2 空中監(jiān)視器和控制器

2.2.1 AM特征提取

網(wǎng)絡為了降低轉(zhuǎn)發(fā)數(shù)據(jù)的流量，每個幀數(shù)據(jù)的信息都被保留，AM會以一個AMEX 的幀格式進行數(shù)據(jù)轉(zhuǎn)發(fā)。這是一種有損壓縮的特定格式，在每個數(shù)據(jù)幀的MAC頭部中遴選出的網(wǎng)絡流量特征，促使這幾個數(shù)據(jù)幀特征打包為User Datagram Protocol報文，在 AM發(fā)送至融合中心，丟棄數(shù)據(jù)幀體的多余內(nèi)容。

2.2.2 AM信道采樣

MVP將會監(jiān)聽在802.11上的所有信息通道，這是因為這些頻段都可能受到干擾或攻擊，即使是使用網(wǎng)絡基礎設施的一部分信息通道。AM可通過定時的接收設備設置為每一個為信息通道監(jiān)測多個信息通道，這項技術被稱為信道采樣。

2.2.3 重聚集

MAP測量系統(tǒng)原理與望遠鏡結(jié)構相似，MAP測量系統(tǒng)聚集于信息通道、空間等范圍之中。MAP設定在分析元件監(jiān)測到異常行為后采取動態(tài)重聚集測量系統(tǒng)進行維護，這是一種通過收集從單一客戶、AP等區(qū)域內(nèi)大量的數(shù)據(jù)幀，或者在擴展中遴選出的網(wǎng)絡流量特征的集來完成重聚集。鎖定一個正在攻擊的行為，幀數(shù)據(jù)流則會確認MAP進行攻擊或是定位攻擊。

2.3 防護引擎

在日常中常見的非法無線網(wǎng)絡入侵的有兩種方法，一種是人工控制接入點阻塞，而另一種是腳本自動控制接入點阻塞。在系統(tǒng)中的入侵檢測算法發(fā)現(xiàn)無線網(wǎng)絡環(huán)境中存在非法的數(shù)據(jù)入侵現(xiàn)象。例如：非法用戶的訪問和非法的接入點的等等，此時系統(tǒng)會采取以下措施：

2.3.1 人工控制接入點阻塞

當服務器接收到警告信號時，在系統(tǒng)管理人員的手動設定下，程序自動運行將斷開非法數(shù)據(jù)的傳輸和響應，或是在MAC地址的過濾中阻擋非法攻擊的進行，將對無線網(wǎng)絡的損害減低到最小，同時采用排查計算來定位攻擊者。

2.3.2 腳本自動控制接入點阻塞

在系統(tǒng)識別出攻擊者發(fā)動攻擊行為時，將自動啟動程序的修改腳本文件做出調(diào)整來應對，建立與接入點相適應的腳本文件同時實施該腳本文件，這就可達到過濾非法數(shù)據(jù)訪問和切斷非法數(shù)據(jù)讀取等行為來避免數(shù)據(jù)遭受攻擊和毀壞。人工接入點阻塞的原因在通信行情況下都是由于人為影響而造成的，系統(tǒng)的反應時間長或錯誤是難以避免的。這種方法雖然需要無線網(wǎng)絡的接入，但是這種方式和無法實現(xiàn)無線網(wǎng)絡的全面防護。

3 總結(jié)

在計算機網(wǎng)絡的被普遍的應用開來，無線網(wǎng)絡也開始走進千家萬戶，從人們的家庭生活到日常的工作都需要無線網(wǎng)絡的純支持。在無線網(wǎng)絡的廣泛應用帶來的缺失無法避免的安全問題。無線網(wǎng)絡入侵檢測應用在保護無線網(wǎng)絡的重要措施是一項切實有效的保護手段。

[參考文獻]

[1]王新，劉建輝.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)研究[J].計算機與數(shù)字工程，2005，33（11）：88-90.