趙金夢(mèng)，張靜，蘇蓓蓓，劉欣渝，尚智婕

（國(guó)家電網(wǎng)有限公司 信息通信分公司，北京，100000）

0 引言

隨著無(wú)線局域網(wǎng)發(fā)展越來(lái)越快，產(chǎn)生了許多網(wǎng)絡(luò)安全問(wèn)題，IEEE 802.11協(xié)議存在固有漏洞，產(chǎn)生了許多網(wǎng)絡(luò)安全問(wèn)題[1]。在企業(yè)中，網(wǎng)絡(luò)安全問(wèn)題關(guān)系著企業(yè)的機(jī)密，也決定企業(yè)的發(fā)展，因此設(shè)計(jì)企業(yè)黑客入侵防護(hù)系統(tǒng)對(duì)企業(yè)發(fā)展來(lái)說(shuō)非常重要[2]。目前，黑客可以通過(guò)多種方法入侵企業(yè)網(wǎng)絡(luò)，竊取企業(yè)內(nèi)部機(jī)密，例如無(wú)線電干擾等入侵，可導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓，甚至無(wú)法使用。人工神經(jīng)網(wǎng)絡(luò)可以使用BP算法快速識(shí)別黑客入侵信息，及時(shí)進(jìn)行防護(hù)，因此，基于人工神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)了企業(yè)黑客入侵防護(hù)系統(tǒng)。

1 硬件設(shè)計(jì)

1.1 X8AT數(shù)據(jù)采集器

企業(yè)的網(wǎng)絡(luò)中可能有來(lái)自不同廠商的多種安全信息，因此，每個(gè)網(wǎng)絡(luò)安全設(shè)備都有自己的數(shù)字終端，可以生成各種事件信息，包括日志和警報(bào)信息[3]。因此，在設(shè)計(jì)企業(yè)的黑客入侵防護(hù)系統(tǒng)時(shí)，需要選取一個(gè)能夠有效整合來(lái)自各種網(wǎng)絡(luò)的信息數(shù)據(jù)采集器。因此本文選取X8AT作為本文設(shè)計(jì)系統(tǒng)的核心數(shù)據(jù)采集器，X8AT核心數(shù)據(jù)采集器不僅可以從網(wǎng)絡(luò)的各個(gè)部分收集安全事件信息，也可以對(duì)采集到的異構(gòu)網(wǎng)絡(luò)安全事件進(jìn)行歸一化，對(duì)各個(gè)設(shè)備發(fā)送的重復(fù)信息進(jìn)行聚合過(guò)濾，合成一個(gè)綜合信息，其分辨率較高，具有高速轉(zhuǎn)運(yùn)性能，可高速處理各種各樣的任務(wù)指令，該數(shù)據(jù)采集器的參數(shù)如表1所示。

表1 X8AT數(shù)據(jù)采集器參數(shù)

由表1可知，該數(shù)據(jù)采集器的相關(guān)參數(shù)符合本文設(shè)計(jì)的入侵防護(hù)系統(tǒng)的需求，但由于網(wǎng)絡(luò)安全事件管理和分析的完整實(shí)現(xiàn)必須依賴于安全的數(shù)據(jù)交互。因此，在應(yīng)用數(shù)據(jù)采集器時(shí)，需要將采集的數(shù)據(jù)轉(zhuǎn)換為CIDF標(biāo)準(zhǔn)格式，便于進(jìn)行數(shù)據(jù)加密。

1.2 Portocol協(xié)議解析器

協(xié)議解析器可以監(jiān)控和接收來(lái)自網(wǎng)絡(luò)上各種協(xié)議的安全事件，并進(jìn)行綜合分析和處理[4]。因此其支持協(xié)議資源配置，可以使用初始化配置文件處理來(lái)自人工人精網(wǎng)絡(luò)的入侵事件，為了提高入侵防護(hù)系統(tǒng)的防護(hù)等級(jí)，協(xié)議解析器可以統(tǒng)一將事件規(guī)范化，將規(guī)范化后的事件發(fā)送到過(guò)濾模塊，再由過(guò)濾模塊根據(jù)預(yù)定義策略過(guò)濾安全事件或用合并標(biāo)志標(biāo)記重復(fù)發(fā)生的事件，來(lái)將多個(gè)安全事件合理化，提高檢測(cè)精度。

本文選取Portocol協(xié)議解析器作為入侵防護(hù)系統(tǒng)的核心解析器，該解析器支持長(zhǎng)度為7的報(bào)文，內(nèi)部包括若干個(gè)功能碼，因此其能在超過(guò)8個(gè)數(shù)據(jù)域應(yīng)用，當(dāng)來(lái)自人工神經(jīng)網(wǎng)絡(luò)的企業(yè)黑客入侵?jǐn)?shù)據(jù)傳入后，該協(xié)議解析器可以立即使用快速處理鍵修改不必要的配置文件，輸入合理的解析協(xié)議進(jìn)行解析，解析后的文件再傳輸?shù)饺肭謾z測(cè)通道完成基礎(chǔ)檢測(cè)，最大程度上提高了入侵防護(hù)系統(tǒng)的防護(hù)安全性。在解析過(guò)程中，還需要使用File檢查解析格式的正確性，確保解析的入侵內(nèi)容符合檢測(cè)通道的檢測(cè)要求。

1.3 TCP過(guò)濾端口

為了保證企業(yè)黑客入侵防護(hù)系統(tǒng)的防護(hù)穩(wěn)定性和檢測(cè)靈敏性，本文在該系統(tǒng)內(nèi)部添加了TCP過(guò)濾端口，通過(guò)該端口的數(shù)據(jù)可以被端口內(nèi)部設(shè)置的數(shù)據(jù)管理模塊有效識(shí)別處理，再結(jié)合端口內(nèi)部邏輯進(jìn)行數(shù)據(jù)過(guò)濾。為了保證系統(tǒng)的入侵防護(hù)效果，本文設(shè)計(jì)的過(guò)濾接口添加了有效的IP處理包，即數(shù)據(jù)輸入后可以根據(jù)數(shù)據(jù)地址和數(shù)據(jù)傳輸需求設(shè)置TCP過(guò)濾端口內(nèi)部的過(guò)濾因子，經(jīng)源IP地址傳輸?shù)侥康腎P地址，再輸入源TCP/UDP端口從而實(shí)現(xiàn)目的TCP/UDP端口的轉(zhuǎn)化。

在實(shí)際黑客入侵時(shí)，可能存在數(shù)據(jù)包長(zhǎng)度過(guò)高導(dǎo)致的檢測(cè)異常問(wèn)題，此時(shí)可以使用該TCP過(guò)濾端口內(nèi)部的TCP/IP網(wǎng)絡(luò)將輸入系統(tǒng)中的數(shù)據(jù)包進(jìn)行分割，檢查發(fā)送IP和接收IP地址，完成入侵過(guò)濾，實(shí)現(xiàn)高效入侵防護(hù)檢測(cè)。

2 軟件設(shè)計(jì)

2.1 設(shè)計(jì)入侵防護(hù)控制中心

控制中心通過(guò)監(jiān)控代理和無(wú)線AP實(shí)現(xiàn)入侵檢測(cè)與防護(hù)。由于無(wú)線AP要提供接入服務(wù)，如果需要大量時(shí)間進(jìn)行入侵檢測(cè)和防護(hù)，勢(shì)必會(huì)影響接入性能。因此，無(wú)線AP的入侵檢測(cè)和防護(hù)只能在正常無(wú)線連接的情況下檢測(cè)并響應(yīng)黑客入侵。

與無(wú)線AP相比，監(jiān)控代理需要做更多的工作，才能實(shí)現(xiàn)入侵檢測(cè)與防護(hù)。監(jiān)控代理必須不斷地切換工作通道，如果在特定通道上工作，必須檢測(cè)該通道的特定入侵行為，并做出適當(dāng)?shù)捻憫?yīng)才能實(shí)現(xiàn)入侵檢測(cè)?？刂茣r(shí)，監(jiān)控代理和無(wú)線AP必須分工協(xié)作，才能保護(hù)網(wǎng)絡(luò)不受侵犯。

控制中心對(duì)硬件沒(méi)有特殊要求，可以是普通PC，但必須配置網(wǎng)卡，只要能和無(wú)線路由器通信就可以上網(wǎng)，控制中心可以部署在任何地方，采用TCP/IP與路由器通信，無(wú)線路由器將無(wú)線AP檢測(cè)到的入侵和違規(guī)行為上報(bào)給控制中心，再由控制中心上報(bào)最新認(rèn)證的AP信息，經(jīng)認(rèn)證的AP 安全行為準(zhǔn)則再由控制中心分發(fā)給無(wú)線路由器?？刂浦行牡淖饔檬潜O(jiān)控整個(gè)WLAN的安全狀態(tài)，并與無(wú)線AP和監(jiān)控代理即時(shí)通信，收集各個(gè)無(wú)線AP上報(bào)的入侵或異常事件，可以讓管理員及時(shí)了解WLAN的安全狀態(tài)，建立相應(yīng)的安全策略[5]。

控制中心維護(hù)WLAN 內(nèi)每個(gè)授權(quán)AP 的信息。在授權(quán)AP的情況下，控制中心需要存儲(chǔ)的信息包括MAC地址、SSID名稱、物理位置等?？刂浦行倪€可以維護(hù)關(guān)鍵Intranet 客戶信息，要實(shí)現(xiàn)內(nèi)網(wǎng)客戶端的非法檢測(cè)，必須先在控制中心注冊(cè)內(nèi)網(wǎng)客戶端?？刂浦行奶峁┝艘环N機(jī)制來(lái)授權(quán)AP行為準(zhǔn)則，網(wǎng)絡(luò)管理員可以指定WLAN中AP必須遵守的安全標(biāo)準(zhǔn)實(shí)現(xiàn)數(shù)據(jù)加密。

2.2 捕獲無(wú)線分組

無(wú)線數(shù)據(jù)捕獲由監(jiān)控代理和無(wú)線AP 完成，監(jiān)控代理需要專用的無(wú)線網(wǎng)卡來(lái)進(jìn)行無(wú)線通信。再捕獲時(shí)，無(wú)線AP必須開(kāi)啟混雜模式，再捕獲初期，需要打開(kāi)無(wú)線網(wǎng)卡對(duì)應(yīng)無(wú)線接口的原始socket，得到網(wǎng)卡的原始MAC。監(jiān)控代理還必須捕獲所有可用信道上的無(wú)線電數(shù)據(jù)包。因此，為了達(dá)到較高的入侵檢測(cè)精度，監(jiān)控代理必須擁有足夠的監(jiān)控時(shí)間，每100毫秒發(fā)送一個(gè)正常的信標(biāo)幀，如果監(jiān)控時(shí)間太短，則檢測(cè)不到入侵?jǐn)?shù)據(jù)。

如果單個(gè)通道的監(jiān)控時(shí)間過(guò)長(zhǎng)，入侵檢測(cè)延遲會(huì)增加，入侵檢測(cè)可能會(huì)失敗，在發(fā)起攻擊之前，入侵者可能是警覺(jué)的，可能存在足夠的時(shí)間來(lái)破壞網(wǎng)絡(luò)。因此，考慮到檢測(cè)精度和延遲，對(duì)每個(gè)通道進(jìn)行150毫秒地監(jiān)控。無(wú)線AP不需要切換信道，在正常的無(wú)線接入操作后可以捕獲無(wú)線數(shù)據(jù)包。

在無(wú)線分組捕獲過(guò)程中存在Wire Shark抓包關(guān)系，本文設(shè)計(jì)的系統(tǒng)為了避免該抓包關(guān)系造成的入侵防護(hù)漏洞進(jìn)行了抓包捕獲處理，首先打開(kāi)入侵防護(hù)界面，選擇相應(yīng)的抓包選項(xiàng)，再使用自動(dòng)捕獲技術(shù)進(jìn)行抓包，此時(shí)的數(shù)據(jù)包列表中可以顯示全部被捕獲的入侵?jǐn)?shù)據(jù)包信息，根據(jù)各個(gè)信息的摘要即可進(jìn)行捕獲分類，降低數(shù)據(jù)包捕獲難度。上述步驟完畢后可以打開(kāi)cmd接口，找到自己的網(wǎng)關(guān)，點(diǎn)擊捕獲分組按鈕，抓取相應(yīng)的入侵?jǐn)?shù)據(jù)包，直至ping結(jié)束，即可點(diǎn)擊停止按鈕，完成抓取。

將上述抓取到的數(shù)據(jù)包放入TCP中進(jìn)行分析，輸入TCP源碼，再以相同的方法輸入ICMP源碼，完成ICMP數(shù)據(jù)包識(shí)別。為了保證入侵防護(hù)系統(tǒng)的防護(hù)有效性，本文設(shè)計(jì)的系統(tǒng)在準(zhǔn)備工作初期就完成了sudo的安裝，后續(xù)僅需要點(diǎn)擊捕獲按鈕，抓取相應(yīng)的入侵?jǐn)?shù)據(jù)包，即可完成無(wú)線分組高效捕獲。

2.3 基于人工神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)入侵防護(hù)功能模塊

使用人工神經(jīng)網(wǎng)絡(luò)，可以將入侵檢測(cè)模塊按照抽象的連接方式連接，并進(jìn)行合理運(yùn)算，判斷各個(gè)防護(hù)節(jié)點(diǎn)之間的入侵防護(hù)連接關(guān)系，再結(jié)合信息處理法進(jìn)行抽象化處理，建立有效的入侵防護(hù)模型，設(shè)計(jì)入侵防護(hù)模塊。流氓AP的存儲(chǔ)方式和操作方式與授權(quán)AP相同，流氓AP的BSSID地址具有6個(gè)八位字節(jié)。如果流氓AP在系統(tǒng)規(guī)定的時(shí)間內(nèi)沒(méi)有出現(xiàn)，則將其從鏈接列表中刪除，并在流氓AP的操作模式、信道等信息發(fā)生變化時(shí)更新鏈表。流氓AP可以向控制中心發(fā)送告警信息，防止控制中心被告警信息淹沒(méi)。

如果接收到的幀被無(wú)線AP 捕獲，并且該幀的BSSID 與無(wú)線AP 的MAC 地址相同，則代表流氓AP 正在欺騙本地AP的MAC 地址。根據(jù)首次發(fā)現(xiàn)流氓AP的時(shí)間，將流氓AP 添加到流氓AP 列表，并進(jìn)行標(biāo)記，從而完成入侵防護(hù)，基于此，本文設(shè)計(jì)了幾個(gè)不同的入侵防護(hù)功能模塊。

首先是入侵防護(hù)轉(zhuǎn)發(fā)模塊，該模塊主要由Linux內(nèi)核進(jìn)行支撐，且配備了專屬編譯碼，可以根據(jù)系統(tǒng)的安全狀態(tài)完成源碼轉(zhuǎn)換，配置有效的入侵檢測(cè)防護(hù)網(wǎng)橋。第二是入侵檢測(cè)防護(hù)系統(tǒng)的檢測(cè)模塊，該模塊可以在IDS基礎(chǔ)上完成入侵檢測(cè)，一旦檢測(cè)到相關(guān)的入侵因子，會(huì)立即報(bào)警，最大程度上避免黑客入侵，本文設(shè)計(jì)的檢測(cè)模塊內(nèi)部添加了特征匹配、異常檢測(cè)等檢測(cè)中心，可以最大程度上完成異常檢測(cè)，提高入侵檢測(cè)效率，保證系統(tǒng)的防護(hù)有效性。

響應(yīng)模塊是本文設(shè)計(jì)的入侵防護(hù)系統(tǒng)的核心，其可以及時(shí)分析由檢測(cè)模塊傳輸?shù)臋z測(cè)數(shù)據(jù)，完成攻擊源碼提取，再結(jié)合攻擊特征設(shè)置相應(yīng)參數(shù)，完成入侵告警，該模塊主要以系統(tǒng)日志、Full、UNIX、Tcpdump等輸出方式進(jìn)行告警輸出，可以實(shí)時(shí)采取入侵防護(hù)行動(dòng)，控制異常信息，提高入侵防護(hù)系統(tǒng)的防護(hù)可靠性。

3 系統(tǒng)測(cè)試

為了檢測(cè)本文設(shè)計(jì)的企業(yè)黑客入侵防護(hù)系統(tǒng)的性能，以及其在正常情況下的入侵檢測(cè)防護(hù)狀態(tài)，搭建了測(cè)試平臺(tái)，進(jìn)行系統(tǒng)測(cè)試，如下。

3.1 測(cè)試準(zhǔn)備

整個(gè)測(cè)試環(huán)境由兩部分組成，即入侵檢測(cè)防護(hù)網(wǎng)絡(luò)和入侵者。測(cè)試環(huán)境中入侵檢測(cè)防護(hù)網(wǎng)絡(luò)包括一個(gè)控制中心和兩個(gè)無(wú)線路由器，測(cè)試環(huán)境的結(jié)構(gòu)如圖1所示。

圖1 測(cè)試結(jié)構(gòu)

由圖1可知，將演示的入侵檢測(cè)類型包括：拒絕服務(wù)攻擊、惡意AP、Ad Hoc 網(wǎng)絡(luò)、授權(quán)AP 和Intranet 客戶端違規(guī)，測(cè)試環(huán)境中將要用到的各組件的作用及其相應(yīng)的參數(shù)如表2所示。

表2 測(cè)試環(huán)境參數(shù)

根據(jù)表2的測(cè)試環(huán)境參數(shù)，需要在控制中心注冊(cè)三個(gè)授權(quán)AP，此時(shí)的參數(shù)比率需要進(jìn)行預(yù)先設(shè)定，保證測(cè)試環(huán)境的穩(wěn)定性，參數(shù)比率計(jì)算的公式如下（1）所示。

公式（1）中，S代表參數(shù)比率，F(xiàn)代表信道系數(shù)，D代表環(huán)境指數(shù)，Q代表參數(shù)初始值，在設(shè)計(jì)的測(cè)試平臺(tái)輸入計(jì)算的參數(shù)比率，即可開(kāi)始測(cè)試。

3.2 測(cè)試結(jié)果與討論

在上文測(cè)試準(zhǔn)備搭建的測(cè)試條件下，模擬流氓AP對(duì)設(shè)計(jì)的系統(tǒng)進(jìn)行入侵攻擊，觀察設(shè)計(jì)系統(tǒng)此時(shí)的運(yùn)行界面，如圖2所示。由圖2可知，設(shè)計(jì)的入侵檢測(cè)系統(tǒng)能成功抵御流氓AP的攻擊，實(shí)現(xiàn)入侵防護(hù)，接下來(lái)檢測(cè)設(shè)計(jì)的企業(yè)黑客入侵檢測(cè)系統(tǒng)的綜合性能，測(cè)試在不同用戶登入情況下設(shè)計(jì)系統(tǒng)的登入延時(shí)與傳統(tǒng)的入侵防護(hù)系統(tǒng)的登入延時(shí)，檢測(cè)結(jié)果如表3所示。

圖2 測(cè)試界面

表3 企業(yè)黑客入侵防護(hù)系統(tǒng)性能測(cè)試

由表3可知，隨著用戶數(shù)量的增加，設(shè)計(jì)的企業(yè)黑客入侵防護(hù)系統(tǒng)的時(shí)延未明顯增加，且比傳統(tǒng)的入侵防護(hù)系統(tǒng)的時(shí)延低，因此設(shè)計(jì)的基于人工神經(jīng)網(wǎng)絡(luò)的企業(yè)黑客入侵防護(hù)系統(tǒng)的性能良好，有一定的應(yīng)用價(jià)值。

4 結(jié)束語(yǔ)

綜上所述，硬件型入侵檢測(cè)成本高，人工神經(jīng)網(wǎng)絡(luò)技術(shù)在發(fā)展中為入侵防護(hù)系統(tǒng)提供了技術(shù)支持。為了及時(shí)發(fā)現(xiàn)網(wǎng)站安全隱患，需要結(jié)合人工神經(jīng)網(wǎng)絡(luò)，提高防護(hù)性能，因此本文設(shè)計(jì)了基于人工神經(jīng)網(wǎng)絡(luò)的企業(yè)黑客入侵防護(hù)系統(tǒng)，經(jīng)過(guò)系統(tǒng)測(cè)試，結(jié)果表明設(shè)計(jì)的入侵檢測(cè)系統(tǒng)性能良好，能成功抵御流氓AP的攻擊，實(shí)現(xiàn)入侵防護(hù)，有一定的應(yīng)用價(jià)值。