張艷　劉翔

摘 要：近年來，在電子科技的發(fā)展下無線網(wǎng)絡(luò)快速的應(yīng)用在企業(yè)和家庭中。然而，無線網(wǎng)絡(luò)都卻存在有線網(wǎng)絡(luò)所沒有的安全漏洞。因此，無線網(wǎng)絡(luò)成為最容易受到攻擊的目標(biāo)。因此，需要設(shè)計出一套切實可行的防御黑客入侵的檢測系統(tǒng)來提高使用無線網(wǎng)絡(luò)的安全水平。本文在分析MAP-AM的基礎(chǔ)上，研究基于MAP-AM的可擴(kuò)展無線網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計來提高無線網(wǎng)絡(luò)的安全性能。

關(guān)鍵詞：無線網(wǎng)絡(luò)；MAP-AM；可擴(kuò)展；入侵檢測系統(tǒng)；設(shè)計

無線通信存在各方面的因素影響，攻擊者可在無線網(wǎng)絡(luò)覆蓋的任何區(qū)域內(nèi)進(jìn)行攻擊。目前，有一種新型的無線防御系統(tǒng)——入侵檢測系統(tǒng)（Intrusion detection）簡稱：IDS，采用IDS進(jìn)行防御可在一定程度上提高無線網(wǎng)絡(luò)的安全水平。

1 可擴(kuò)展監(jiān)測網(wǎng)絡(luò)系統(tǒng)中存在的問題

⑴在無線網(wǎng)絡(luò)的頻帶中有許多的信號通道，而一個無線的空中監(jiān)視器一次僅僅只能監(jiān)測到一個信號通道，極有可能遺漏其他信號通道的攻擊。采用能夠獲得多個信號的無線監(jiān)測設(shè)備或者多個單一無線監(jiān)測設(shè)備在同一個地方監(jiān)測無線信號的方法。都無法避開龐大的資金開銷。⑵有許多針對介質(zhì)訪問控制子層協(xié)議（簡稱：MAC層）的攻擊，對MAC層的攻擊在檢測中必須在捕獲到一段完整且連續(xù)的介質(zhì)訪問控制子層協(xié)議幀數(shù)據(jù)流才能夠完成。

2 基于MAP-AM的可擴(kuò)展無線網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計研究

2.1 系統(tǒng)總體結(jié)構(gòu)

MAP系統(tǒng)結(jié)構(gòu)如圖1所示，由AM獲取無線的數(shù)據(jù)幀，將期望轉(zhuǎn)發(fā)數(shù)據(jù)幀的特征發(fā)送至融合中心，再建立一段連續(xù)時間中規(guī)范的數(shù)據(jù)流。分析引擎監(jiān)測網(wǎng)絡(luò)流量的插件檢測器，發(fā)送警告給防護(hù)系統(tǒng)同時進(jìn)行系統(tǒng)檢測以及信息的反饋等等。系統(tǒng)控制器主要負(fù)責(zé)各個AM之間協(xié)調(diào)，根據(jù)分析引擎發(fā)回的各類反饋信息實施對AM的修改行為，完成網(wǎng)絡(luò)攻擊防御的行動。防護(hù)引擎設(shè)備會發(fā)送警告信息至系統(tǒng)管理員并采取自動保護(hù)網(wǎng)絡(luò)來保護(hù)無線網(wǎng)絡(luò)。

2.2 空中監(jiān)視器和控制器

2.2.1 AM特征提取

網(wǎng)絡(luò)為了降低轉(zhuǎn)發(fā)數(shù)據(jù)的流量，每個幀數(shù)據(jù)的信息都被保留，AM會以一個AMEX 的幀格式進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。這是一種有損壓縮的特定格式，在每個數(shù)據(jù)幀的MAC頭部中遴選出的網(wǎng)絡(luò)流量特征，促使這幾個數(shù)據(jù)幀特征打包為User Datagram Protocol報文，在 AM發(fā)送至融合中心，丟棄數(shù)據(jù)幀體的多余內(nèi)容。

2.2.2 AM信道采樣

MVP將會監(jiān)聽在802.11上的所有信息通道，這是因為這些頻段都可能受到干擾或攻擊，即使是使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分信息通道。AM可通過定時的接收設(shè)備設(shè)置為每一個為信息通道監(jiān)測多個信息通道，這項技術(shù)被稱為信道采樣。

2.2.3 重聚集

MAP測量系統(tǒng)原理與望遠(yuǎn)鏡結(jié)構(gòu)相似，MAP測量系統(tǒng)聚集于信息通道、空間等范圍之中。MAP設(shè)定在分析元件監(jiān)測到異常行為后采取動態(tài)重聚集測量系統(tǒng)進(jìn)行維護(hù)，這是一種通過收集從單一客戶、AP等區(qū)域內(nèi)大量的數(shù)據(jù)幀，或者在擴(kuò)展中遴選出的網(wǎng)絡(luò)流量特征的集來完成重聚集。鎖定一個正在攻擊的行為，幀數(shù)據(jù)流則會確認(rèn)MAP進(jìn)行攻擊或是定位攻擊。

2.3 防護(hù)引擎

在日常中常見的非法無線網(wǎng)絡(luò)入侵的有兩種方法，一種是人工控制接入點阻塞，而另一種是腳本自動控制接入點阻塞。在系統(tǒng)中的入侵檢測算法發(fā)現(xiàn)無線網(wǎng)絡(luò)環(huán)境中存在非法的數(shù)據(jù)入侵現(xiàn)象。例如：非法用戶的訪問和非法的接入點的等等，此時系統(tǒng)會采取以下措施：

2.3.1 人工控制接入點阻塞

當(dāng)服務(wù)器接收到警告信號時，在系統(tǒng)管理人員的手動設(shè)定下，程序自動運行將斷開非法數(shù)據(jù)的傳輸和響應(yīng)，或是在MAC地址的過濾中阻擋非法攻擊的進(jìn)行，將對無線網(wǎng)絡(luò)的損害減低到最小，同時采用排查計算來定位攻擊者。

2.3.2 腳本自動控制接入點阻塞

在系統(tǒng)識別出攻擊者發(fā)動攻擊行為時，將自動啟動程序的修改腳本文件做出調(diào)整來應(yīng)對，建立與接入點相適應(yīng)的腳本文件同時實施該腳本文件，這就可達(dá)到過濾非法數(shù)據(jù)訪問和切斷非法數(shù)據(jù)讀取等行為來避免數(shù)據(jù)遭受攻擊和毀壞。人工接入點阻塞的原因在通信行情況下都是由于人為影響而造成的，系統(tǒng)的反應(yīng)時間長或錯誤是難以避免的。這種方法雖然需要無線網(wǎng)絡(luò)的接入，但是這種方式和無法實現(xiàn)無線網(wǎng)絡(luò)的全面防護(hù)。

3 總結(jié)

在計算機網(wǎng)絡(luò)的被普遍的應(yīng)用開來，無線網(wǎng)絡(luò)也開始走進(jìn)千家萬戶，從人們的家庭生活到日常的工作都需要無線網(wǎng)絡(luò)的純支持。在無線網(wǎng)絡(luò)的廣泛應(yīng)用帶來的缺失無法避免的安全問題。無線網(wǎng)絡(luò)入侵檢測應(yīng)用在保護(hù)無線網(wǎng)絡(luò)的重要措施是一項切實有效的保護(hù)手段。

[參考文獻(xiàn)]

[1]王新，劉建輝.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)研究[J].計算機與數(shù)字工程，2005，33（11）：88-90.