韓 璐，張 軍

（哈爾濱師范大學(xué)計(jì)算機(jī)科學(xué)與信息工程學(xué)院，哈爾濱　150025）

無線局域網(wǎng)入侵檢測技術(shù)研究

韓 璐，張 軍

（哈爾濱師范大學(xué)計(jì)算機(jī)科學(xué)與信息工程學(xué)院，哈爾濱150025）

與有線網(wǎng)絡(luò)相比無線網(wǎng)絡(luò)具有可移動性、不受線纜限制、組網(wǎng)靈活等優(yōu)點(diǎn)，因此無線局域網(wǎng)在日常生活以及工作中都得到了廣泛的應(yīng)用，也因此，WLAN的入侵檢測技術(shù)受到了使用者的普遍重視。本文主要研究了無線網(wǎng)所面臨的威脅，并對WLAN入侵檢測技術(shù)的不完整和將來的發(fā)展趨勢進(jìn)行了歸納與分析。

入侵檢測；無線網(wǎng)絡(luò)；有線網(wǎng)絡(luò)

0　引 言

伴著網(wǎng)絡(luò)的快速發(fā)展，無線網(wǎng)絡(luò)已經(jīng)成為人們生活中的重要組成元素。但是無線網(wǎng)絡(luò)的開放性卻使其更易受到非法進(jìn)攻，從而使得無線網(wǎng)絡(luò)（WLAN）的安全問題研究日漸受到各方矚目與重視。與傳統(tǒng)有線網(wǎng)絡(luò)比起來，WLAN開啟研發(fā)較晚，發(fā)展也略顯遲緩，且未構(gòu)成嚴(yán)整體系，因此基于無線網(wǎng)絡(luò)的入侵檢測研究相對也就并未臻至充分、全面。本文則特別著重闡述無線局域網(wǎng)面對的主要威脅、入侵檢測的技術(shù)特征，連同該技術(shù)呈現(xiàn)的不足以及未來發(fā)展目標(biāo)也一并給出完整論述。

1　無線局域網(wǎng)面對的威脅

一方面，無線網(wǎng)絡(luò)與傳統(tǒng)有線網(wǎng)絡(luò)只是在傳輸方式上有區(qū)別，因此常規(guī)的有線網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)如病毒、惡意攻擊、非授權(quán)訪問等在無線網(wǎng)絡(luò)中也都是并行而共同存在的。另一方面，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)在安全上也會帶來一定的差異，重點(diǎn)體現(xiàn)在物理層和鏈路層上，因此無線網(wǎng)絡(luò)在傳輸環(huán)節(jié)將更易受到攻擊，可能會遭遇比有線網(wǎng)絡(luò)更為頻密的安全威脅。目前，針對WLAN的攻擊主要有：嗅探竊聽、偽裝入侵、中間人攻擊、拒絕服務(wù)攻擊、暴力攻擊、不法AP等。在此，則針對各類攻擊的原理展開討論，現(xiàn)分述如下。

1.1嗅探竊聽

嗅探竊聽是無線局域網(wǎng)（WLAN）的首位攻擊方法，運(yùn)用了WLAN信道敞開的不足。進(jìn)攻者經(jīng)常在WLAN信號覆蓋領(lǐng)域內(nèi)截取報(bào)文，得到銳敏訊息。

1.2偽裝入侵

偽裝入侵是指進(jìn)攻者將本身的不法設(shè)備偽裝成正當(dāng)設(shè)備，是一種隱蔽等級較高的潛藏進(jìn)攻方法。如果進(jìn)攻者順利誘騙對象網(wǎng)絡(luò)，而變身為對象網(wǎng)絡(luò)中的正當(dāng)站點(diǎn)或正當(dāng)接入點(diǎn)，進(jìn)攻者就隨即可以獲得當(dāng)?shù)鼐W(wǎng)絡(luò)賦予的對應(yīng)考察權(quán)力。

1.3中心人攻擊

中心人攻擊是進(jìn)攻者發(fā)動的針對某個網(wǎng)絡(luò)的主機(jī)發(fā)配到另外一臺主機(jī)的包實(shí)行操縱的攻擊。這種攻擊極具代表性，由于其中包含了當(dāng)網(wǎng)絡(luò)數(shù)據(jù)經(jīng)過互聯(lián)網(wǎng)傳送時全部可能出現(xiàn)的攻擊。攻擊實(shí)現(xiàn)過程如圖1所示。

圖1　中心人攻擊Fig.1 Middle attacks

1.4拒絕服務(wù)進(jìn)攻

拒絕服務(wù)（Denial of Service，DoS），形成的進(jìn)攻行為可以稱作攻擊。這種進(jìn)攻不是以得到網(wǎng)絡(luò)的掌控權(quán)限和信息的走訪權(quán)限當(dāng)作目的，而是依據(jù)將網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用程序的限定資源消耗，致使計(jì)算機(jī)或網(wǎng)絡(luò)無法展開常規(guī)工作，同時也無法提供正常的服務(wù)。

1.5 暴力進(jìn)攻

暴力進(jìn)攻（Brute-Force Attack）是通過運(yùn)用數(shù)字、字母和字符的隨意結(jié)合，估測用戶名和口令，屢次完成探索性考察。同時，憑借其關(guān)聯(lián)系統(tǒng)的速率，每分鐘可以發(fā)起多達(dá)千萬次的探索性進(jìn)攻。對安全系統(tǒng)進(jìn)行的暴力進(jìn)攻將會耗費(fèi)很長時間，而且進(jìn)攻的成果多是無望的。

1.6不法AP

AP是WLAN的主要接入設(shè)備，而不法AP則是未經(jīng)網(wǎng)絡(luò)管理職員允許或委托的無線接入點(diǎn)。由于IEEE802.11對AP并未形成嚴(yán)格規(guī)定和限制，因此攻擊者很容易搭建非法AP，再通過非法AP對網(wǎng)絡(luò)和無線用戶發(fā)起攻擊。

2　WLAN入侵檢測技術(shù)

入侵（Intrusion）是指在非授權(quán)下對計(jì)算機(jī)資源的完備性、機(jī)密性、可用性造成威迫的各種預(yù)謀設(shè)計(jì)行為。入侵檢測系統(tǒng)（Intrusion Detection System，IDS）是一種自動對網(wǎng)絡(luò)安全施行監(jiān)督，如果發(fā)現(xiàn)危險(xiǎn)信息就發(fā)出提醒或執(zhí)行阻斷措施的網(wǎng)絡(luò)安全防御設(shè)備［1］。而與其他設(shè)備的不同之處在于IDS是一種主動的安全防護(hù)設(shè)備。WLAN入侵檢測技術(shù)即是在常見入侵檢測技術(shù)上加入了些無線局域網(wǎng)絡(luò)的檢測，固然可以從不同的方向?qū)ζ溥M(jìn)行劃分，然而從技術(shù)達(dá)成上，多數(shù)情況下可以將其分為誤用檢測技術(shù)和異常檢測技術(shù)，下面將詳盡研究這2種入侵檢測技術(shù)。

2.1異常檢測

異常檢測是對以往操作的特征進(jìn)行總結(jié)，得出以往操作的樣式，通過其中一些行為與正常行為的表象差距來估計(jì)是否為入侵。主要過程如下：在綜合歸納良性操作通常具備的特征之后，建立正常行為的判斷指標(biāo)，當(dāng)某一行為和正常的行為偏差較大、即達(dá)到設(shè)定閾值時，就可斷定其可歸屬入侵行為。

2.2誤用檢測

誤用檢測（也叫濫用檢測）是理解、提取入侵行為等不尋常操作的特征，設(shè)立特征庫。在檢測階段利用特征庫對網(wǎng)羅到的數(shù)據(jù)進(jìn)行比對，按照比對成效鑒定是不是入侵行為［2］。誤用檢測系統(tǒng)是建立在可以運(yùn)用某種形式或者特征判定手段而對所有己知的入侵實(shí)行科學(xué)、精準(zhǔn)評析與辨識這一基礎(chǔ)事實(shí)之上的。該系統(tǒng)的研究關(guān)鍵是如何明確形成定制的進(jìn)攻特征樣式可以覆蓋與真實(shí)進(jìn)攻有關(guān)聯(lián)的全部因素，和對入侵行為特征的標(biāo)識匹配。為此，如果要想達(dá)成傳統(tǒng)概念上針對進(jìn)攻行為能夠獲得理想準(zhǔn)確檢查效率的誤用檢測系統(tǒng)，就需要保證全部進(jìn)攻行為均可利用數(shù)學(xué)語言進(jìn)行科學(xué)規(guī)范表達(dá)。誤用檢測系統(tǒng)的實(shí)現(xiàn)手段主要有專家系統(tǒng)、基于模型的入侵檢測、狀態(tài)轉(zhuǎn)換、條件概率技術(shù)和鍵盤監(jiān)控技術(shù)等。在此，則對其展開進(jìn)一步說明論述。

2.2.1專家系統(tǒng)

專家系統(tǒng)是依據(jù)完整的知識庫而設(shè)立的、基于規(guī)則的實(shí)用性核心方法。知識庫的完整則有賴于審計(jì)記載的全面與實(shí)時性。如果能夠制定得到充足、且具普適性的準(zhǔn)則，就能檢查出任何一個入侵的細(xì)小變化。

2.2.2基于模型的入侵檢測

基于模型的入侵檢測系統(tǒng)的實(shí)現(xiàn)是利用設(shè)定的情景腳本、再根據(jù)可觀察的活動來執(zhí)行推斷。經(jīng)由觀測，即可判定一定入侵情景的一連串行為，并且檢驗(yàn)得出入侵計(jì)劃?；谀Ｐ偷娜肭謾z測一般是由入侵者、預(yù)期者和解釋者3個模塊而組織構(gòu)成。

2.2.3狀態(tài)轉(zhuǎn)移分析技術(shù)

入侵行為是由進(jìn)攻者實(shí)施的一連串的操作處理，能夠控制系統(tǒng)從某種初始情境轉(zhuǎn)變到一個受到威脅的狀態(tài)。開始狀態(tài)是指系統(tǒng)還未受到檢測入侵時的情況，而危險(xiǎn)狀態(tài)是指攻擊完畢后的情況，此時系統(tǒng)行為可演繹為一張狀態(tài)轉(zhuǎn)換圖，伴著對審計(jì)數(shù)據(jù)的理解，系統(tǒng)實(shí)施狀態(tài)轉(zhuǎn)移［3］。這種分析研究的關(guān)鍵是了解入侵行為的每個步驟對系統(tǒng)處境的轉(zhuǎn)移作用，從而能夠檢驗(yàn)出聯(lián)合進(jìn)攻者、以及能夠運(yùn)用用戶會話對系統(tǒng)實(shí)現(xiàn)進(jìn)攻的各類行為舉措。

2.2.4條件概率技術(shù)

條件概率的入侵檢測方法將入侵手段對照一個事件序列，而后憑借觀察事件發(fā)生的情況來估計(jì)產(chǎn)生的入侵。此種技術(shù)是基于事件序列，最終依據(jù)貝葉斯定理實(shí)施推理。條件概率的檢測方法是基于概率觀點(diǎn)的常規(guī)方法。具體是把貝葉斯方法實(shí)施了改進(jìn)，其不足之處則是先驗(yàn)概率不易設(shè)定，同時事件的需求也較難滿足。

2.2.5鍵盤監(jiān)控技術(shù)

實(shí)現(xiàn)時，通過假定入侵與指定的擊鍵序列相對應(yīng)，而后偵察客戶的擊鍵形式，再將此種模式與入侵模式進(jìn)行匹配，由此可以檢驗(yàn)得出當(dāng)下的入侵行為。但是該技術(shù)只是辨別擊鍵，因而檢測不到非法惡意程序發(fā)起的自主攻擊，但是其實(shí)現(xiàn)起來卻較為簡潔、高效。

3　防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)之間的區(qū)別和聯(lián)系

通常在信息安全方面，防火墻、入侵檢測系統(tǒng)等都是極其重要的安全防護(hù)設(shè)備。具體地，防火墻是根據(jù)互聯(lián)網(wǎng)協(xié)議地址或者服務(wù)器端口來辨識和篩選數(shù)據(jù)包。但其不足則表現(xiàn)在：不能辨別和阻攔內(nèi)部攻擊，也許還會引起正確的數(shù)據(jù)包出現(xiàn)非預(yù)期攔截。為彌補(bǔ)防火墻的不足，能對外部進(jìn)攻實(shí)施全部防御，一般將入侵檢測系統(tǒng)連接在防火墻與網(wǎng)絡(luò)設(shè)備中間［4］。對安全級別較高的網(wǎng)絡(luò)來說，入侵檢測系統(tǒng)是時下的優(yōu)勢選擇。使用入侵檢測系統(tǒng)采集網(wǎng)絡(luò)數(shù)據(jù)信息，并把這些信息歸納、分析，從而有效識別攻擊。

總之，防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)之間既有區(qū)別又有聯(lián)系，只有將這3種技術(shù)予以專業(yè)、科學(xué)結(jié)合、并綜合運(yùn)用，才能實(shí)現(xiàn)最佳的安全保障效果。

4　WLAN入侵檢測的不足

現(xiàn)如今，對無線網(wǎng)絡(luò)的入侵檢測大都處于研究階段，特別是我國僅僅處于加速起步階段。所以無線網(wǎng)絡(luò)領(lǐng)域的防范方面課題依然難以滿足現(xiàn)時需求。綜論時下研究背景可知，入侵檢測技術(shù)主要存在以下不足，具體描述為：

1）入侵檢測系統(tǒng)滯后于網(wǎng)絡(luò)的成長速率，所以無法檢測出各類新攻擊，無法攔截全部數(shù)據(jù)。而若攔截網(wǎng)絡(luò)的所有數(shù)據(jù)包，并剖析、匹配其中是否含有某種進(jìn)攻的特性卻會消耗不少時間和體系資源［5］。

2）不一樣的入侵檢測系統(tǒng)配置，即使得在網(wǎng)絡(luò)有差別時就可能運(yùn)用了各有不同的入侵檢測技術(shù)。而且當(dāng)下的入侵檢測系統(tǒng)之間不允許訊息互換，這就使得察覺到進(jìn)攻時很難找到進(jìn)攻的開端，甚至由此而使入侵者獲得了攻擊的大漏洞。

3）目前各個系統(tǒng)之間的入侵檢測不能實(shí)時協(xié)調(diào)合作，缺乏信息的交流，導(dǎo)致尋找入侵行為的源頭頗為困難。甚至，各種系統(tǒng)之間的相互排斥反而有可能給入侵攻擊者提供相應(yīng)的便利和漏洞。

4）組織結(jié)構(gòu)上還存在問題，現(xiàn)如今許多的入侵檢測系統(tǒng)都是由曾經(jīng)的根據(jù)網(wǎng)絡(luò)或計(jì)算機(jī)的入侵檢測系統(tǒng)改進(jìn)、改良而得來的，在組織構(gòu)造等方面無法使分布、開放等要求得到圓滿解決。

5　WLAN入侵檢測的發(fā)展方向

目前，入侵檢測的研究已經(jīng)整合展現(xiàn)了眾多新的發(fā)展方向。在技術(shù)上，神經(jīng)網(wǎng)絡(luò)、遺傳算法、數(shù)據(jù)挖掘、免疫算法、數(shù)據(jù)融合技術(shù)等均可以嘗試與傳統(tǒng)WLAN入侵檢測相結(jié)合，以此來實(shí)現(xiàn)對無線局域網(wǎng)的更為嚴(yán)密的安全保護(hù)。雖然經(jīng)過多年的研究進(jìn)展，無線局域網(wǎng)（WLAN）入侵檢測技術(shù)已經(jīng)達(dá)到了一定技術(shù)水平，但仍然有許多問題需要獲得改進(jìn)與完善［6］。綜合分析后，可得研究結(jié)論如下：

1）入侵檢測分析技術(shù)有待加強(qiáng)。如今的WLAN入侵檢測技術(shù)所驗(yàn)證的入侵行徑存在著許多誤報(bào)和漏報(bào)，難以對WLAN網(wǎng)絡(luò)做到高端安全保護(hù)。

2）網(wǎng)絡(luò)管制能力有待加強(qiáng)。伴著網(wǎng)絡(luò)數(shù)據(jù)的不斷增加，對網(wǎng)絡(luò)數(shù)據(jù)的解析和處理正日漸趨于困難，因此需要加強(qiáng)入侵檢測系統(tǒng)的處理能力。

3）高度集成。入侵檢測系統(tǒng)不僅需要監(jiān)督互聯(lián)網(wǎng)上的信息，還要具備對添加配置提供支持的功能。在網(wǎng)絡(luò)配置發(fā)生非常規(guī)狀況時，能夠?qū)υ撆渲脤?shí)施管制。將來的入侵檢測系統(tǒng)應(yīng)該是一個將互聯(lián)網(wǎng)監(jiān)控、入侵檢測和互聯(lián)網(wǎng)管制等功能融合聯(lián)系在一起，并可以對互聯(lián)網(wǎng)進(jìn)行全面保護(hù)的系統(tǒng)。

6　結(jié)束語

伴著無線網(wǎng)（WLAN）的迅猛成長，人們對其安全問題也愈發(fā)提升了重視與關(guān)注程度。入侵檢測技術(shù)是防御網(wǎng)絡(luò)進(jìn)攻的根本手段之一，所以使用入侵檢測技術(shù)來實(shí)現(xiàn)無線局域網(wǎng)不受威脅即已成為當(dāng)下的重點(diǎn)研究課題［7］。本文闡述了WLAN入侵檢測技術(shù)的發(fā)展現(xiàn)狀及其存在的安全威脅，討論了WLAN入侵檢測技術(shù)是WLAN避免受到非法攻擊者實(shí)施攻擊行為的重要手段，分析了WLAN入侵檢測的不足及其將來的發(fā)展方向。

［1］CAM-WINGET N，HOUSLEY R，WAGNER D，et al.Communications of the ACM［J］.Security flaws in 802.11 data link protocols，2003，46（5）：35-39.

［2］鄭洪英，侯梅菊，王渝.入侵檢測中的快速特征選擇方法［J］.計(jì)算機(jī)工程，2010，36（6）：262-264.

［3］薛瀟，劉以安，魏敏.一種入侵檢測的分類方法研究［J］.計(jì)算機(jī)工程與應(yīng)用，2010，46（30）：98-100.

［4］魏廣科.基于WLAN的入侵檢測系統(tǒng)研究與設(shè)計(jì)［J］.計(jì)算機(jī)與現(xiàn)代化，2010（8）：203-206.

［5］蔣建春，馬恒太，任黨恩，等.網(wǎng)絡(luò)安全入侵檢測：研究綜述［J］.軟件學(xué)報(bào)，2000，11（11）：1460-1466.

［6］朱會東，黃艷，黃永麗.無線局域網(wǎng)中的入侵檢測研究與設(shè)計(jì)［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2007，17（6）：173-175.

［7］穆成坡，黃厚寬，田盛豐，等.自動入侵響應(yīng)決策技術(shù)的研究綜述［J］.計(jì)算機(jī)研究與發(fā)展，2008，45（8）：1290-1298.

Research on wireless local area network intrusion detection technology

HAN Lu，ZHANG Jun
（Computer Science and Information Engineering College，Harbin Normal University，Harbin 150025，China）

Compared with the wired network，wireless network has good mobility，flexible networking，and unrestriction by the cable，etc，so the wireless local area network（WLAN）in daily life and work has been widely used.Based on this situation，WLAN intrusion detection technology has aroused great attention of the user.This paper studies the threats faced by the wireless network，summarizes and analyzes the underdevelopment and the future trend of the WLAN intrusion detection technology.

intrusion detection；wireless network；wired network

TP393

A

2095-2163（2016）03-0135-03

2016-04-20

韓 璐（1991-），女，碩士研究生，主要研究方向：網(wǎng)絡(luò)安全；張 軍（1964-），男，學(xué)士，教授，主要研究方向：網(wǎng)絡(luò)安全。

張 軍 Email：547967870@qq.com