wlan是无线局域网技术 [无线局域网入侵检测技术研究]
时间:2020-03-11 07:32:00 来源:雅意学习网 本文已影响 人 
摘要:随着无线局域网(WLAN)的用途日益广泛,正广泛应用于家庭、商场、企事业机关等场所,加之其传输途径的开放性,无线局域网就更容易遭到入侵。入侵检测是较为主动防止入侵的安全防御系统,它能够在不影响网络的前提下对数据进行筛查检测,从而防止外部和内部的攻击。本文将简单介绍无线局域网的特征,针对无线局域网入侵检测方法进行探讨,得出一些具体针对无线局域网入侵检测的实用方法。
关键词:无线局域网;入侵检测;接入点;无线入侵检测
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-02
Wireless LAN Intrusion Detection Technology Study
Chen Shujiang
(CPC Zhejiang Provincial Committee Party School,Hangzhou 310002,China)
Abstract:As wireless LAN(WLAN)of the increasingly widespread use,is widely used in homes,shopping centers,enterprises and institutions and other places,coupled with the openness of its transmission channels,wireless local area network more vulnerable to invasion.Intrusion detection is a more active security defense system against invasion,it can not affect the network in the data under the premise of screening test,to prevent external and internal attacks.This article briefly describes the characteristics of the wireless LAN for wireless LAN intrusion detection methods were discussed,specifically to draw some practical wireless LAN intrusion detection methods.
Keywords:Wireless LAN;Intrusion detection;Access points;Wireless intrusion detection
引言:随着无线局域网WLAN(Wireless LAN)的蓬勃发展,它的信息保密和应用安全等问题受到了用户们的关注和重视。由于互联网本身的开放性和脆弱性,加之无线局域网所特有的无线传播途径,入侵者不需要物理连接就可以入侵。无线局域网的安全危险是双重性的,即要面对有线网络存在的安全危险,还要面对无线网络入侵的危险。
由于无线局域网具有不同的传播方式,以前针对有线网络的防御措施已无法适应无线局域网,比如无法适应无线局域网的IEEE 802.11协议和有线等价保密协议WEP等。大部分的入侵都是网络的内部攻击,比如,AP(Access Point)访问点隐藏的入侵攻击能识别无线网络到有线网络的连接,但是不能识别局域网内部的危险。无线局域网入侵检测系统弥补了传统入侵检测的不足,但还没有发展成熟,需要进一步的研究和探讨。
一、无线局域网入侵检测技术的发展和研究现状
(一)无线局域网入侵检测技术正在渐渐趋于成熟。在有线网络入侵检测系统中,公共入侵检测框架得到了极大的应用,安全专家大量研究神经网络、模式匹配、数据融合等技术,取得了不错的防御效果。无线局域网和有限网络的最根本特征在于MAC层和物理层,保持无线局域网的安全,主要是管理和控制MAC层上的特殊帧。无线局域网的入侵检测是由无线局域网的飞速发展和入侵隐患带动发展的,和有线网络的入侵检测相比,无线局域网的入侵检测还非常稚嫩。不久以后,结合检测系统和异常检查,合理应用分析统计方法,将入侵模式和行为特征完全解析,建立一个比较完善先进的检测模式,入侵检测系统的精准度将大大提高。
(二)国外已经出现了许多无线局域网的安全检测工具,比如Ethereal、kismet、Airopeek和AirDefense等,这些技术工具大都可以捕获入侵数据包,具有通信协议分析功能,能够对常见的入侵进行特征匹配检测。但是离完备的入侵检测系统还有一段距离。
(三)WIDZ系统是由FATBLOKE开发的能够对未授权AP、非法AP和拒绝服务攻击实施检测,能简单分析了802.11系统,它操作简单,但检测依旧不够精确,像中间人攻击都无法检测。继IBM之后,一套更具有意义的无线局域网入侵检测工具由英国的Red-M公司推出,它和WIDZ系统最大的不同是能对无线空间进行全面连续扫描,突破无线空间检测的技术难题。
二、无线局域网入侵检测机制
无线局域网的安全机制,可以简单地从三个方面进行简单的概括。
(一)数据机密性。数据机密性就是数据信息在传输的过程中,不能被不合法的用户截取或者偷看,只能被授权的合法用户读取使用,保证信息的机密和准确。加密算法对数据加密是防止数据被窃取或者偷看的主要方法。
(二)数据完整性。数据完整性就是要防止信息数据在传输过程中丢失和被非法篡改。由于无线局域网的开放性,无线网络比有线网络容易丢失数据或被入侵者修改窃取,因此需要能够检查数据完整性和准确性的消息鉴别技术。
(三)身份认证。身份认证机制就是通过验证用户登陆的合法性,来有效地防止非法用户登录的技术。身份认证主要有两个目标:一是建立更加准确稳定的身份认证机制;二是实现双向身份认证,也就是用户想要登录网络只有双方均认证成功后才能成功。这种技术在很大程度上保证了用户信息的安全和隐私。
三、入侵检测技术的相关原理
(一)入侵检测系统是帮助计算机系统预备和处理攻击的防御系统。它收集不同网络信息,对系统和收集到的信息进行安全分析,完成入侵检测的目的。入侵检测系统组成原理如图1。
图1:入侵检测系统组成原理图
图2:入侵检测技术的原理图
(二)入侵检测的过程是检测工具(机器)和黑客(人)之间的对抗分析过程。这个过程是基于用户的历史操作和当前操作,完成对入侵的决策,将入侵证据保留下来,为后来的数据恢复提供依据,其技术原理是知识的智能推理,用冗余知识和冗余推理方法的信息融合技术来提高入侵检测率。入侵检测技术的原理如图2。
事后入侵检检测和实时入侵检测是入侵检测的两种不同方法。实时入侵检测是在网络连接过程中进行检测,一旦发现入侵迹象,会马上断开攻击者和主机的连接,并实施数据恢复。事后入侵检测需要由人员进行主动检测管理,在设计入侵检测系统时一般都采用人机交互的综合集成技术。
四、入侵检测技术的实际应用
(一)对假冒AP的检测,可先建立一个列表,将无线局域网中收集到的所有合法AP和各种信息记录下来,如将MAC地址、频道、SSID值等信息纳入表格中。当合法AP和捕获的AP的配置信息无法匹配时,我们就判定为非法AP,相关信息会发送至控制中心并告警。分析序列号检测假冒MAC地址是一项检测MAC的重要方法。如果对比有所偏差,则可能是数据包丢失了,但不会相差太远,如果远远偏离了序列号基线,那么该帧就可以确定是伪造的帧。
(二)一般入侵检测技术多采用主动检测或射频监听这两种比较实用的检测模式。下面我们以NetStumbler的入侵检测为例进行分析。NetStumbler是基于Windows的GUI工具,大约每秒发送一个Probe Request帧来主动检测,通过AP的回应,无线网络的相关信息会被Probe Response帧得到,在检测到AP后,就会发送一个数据包,它具有以下几个特征:①LLC的OUI值为0x00601d,②它的协议类型标识为0x0001,③数据负载值为58B,④不同版本的Netstumbler包含的特殊字符串是不同的。因此,只要满足以下几个条件就可以判断为Netstumbler入侵:①帧控制字段的类型/子类型字段值是10/0000,②LLC的OUI值是0x00601d,③LLC的协议类型字段是0x0001。
(三)校园无线局域网的入侵检测:(1)H3C WX5000系列多业务无线控制器的应用,可以很大程度上保护无线网络。它能够自动监测WLAN网络中的非法设备,实时向网管中心报告。它支持静态配置白名单和多种攻击的检测功能,能大大减少非法AP对校园无线局域网的冲击;它支持MAC地址认证,对那些手持终端(WiFi手机)采取电脑的认证很不方便,通过MAC地址认证方式能够很容易地解决这个问题。更重要的是,它支持Portal认证,比如一些校园外的客户在校园内,想使用该校的无线网络来访问Internet,如果没有安装像802.1x这样的客户端,这时Portal就发挥了作用,它能够为用户提供认证方式。(2)学校内的各个部门对网络需求有所不同,这时入侵检测系统就需要针对不同级别的部门采取不同的入侵检测。比如,像无线客户端比较少的部门,我们就可以采用AP认证进行入侵检测。像资料库这样存放重要数据资源的部门,我们就需要考虑到终端用户数量,针对AP和用户数量的变化,入侵检测也要随之调整,当用户增加时,入侵检测系统就要增加,当AP减少时,入侵检测也可以随之减少。这是因为AP用户数量越多,入侵风险就越大。由于校园网在认证方式上多采用的是基于用户,而不是采用基于MAC地址的认证机制,这时如果采用较为高级无线局域网安全标准IEEE802.11i,在很大程度上能提高校园无线网络入侵检测的成功率。这种认证方式的优点是,一是网内的MAC地址数据库可以自行管理,二是AP能自动维护所有的验证工作。因此,我们在规划校园无线网络时应将AP部署好,在具体实施的时候应注意以下几个方面:一是采用符合802.11标准的无线网络产品,核心安全架构采用WPA标准;二是禁止SSID进行广播;三是校园无线局域网的安全接入产品最好使用H3C WX5000系列无线网络接入控制器,为网络安全和以后的扩展提供保证;四是建立一套入侵检测软件,对不同的用户使用不同的路由,提供合适的接入认证方式。
五、结束语
将来,无线局域网的入侵肯定不会局限于现在的这些问题,各种新的入侵方式会不断出现,因此无线局域网入侵检测方法和工具需要不断改进。首先,要对现在存在的入侵攻击方式进行深入的探究,掌握它的异常行为的变化,对新的入侵方式进行详细了解和细致研究,以便研究出更强的有针对性的检测手段。其次,对现有的检测方法进行更新,完善检测性能。最后,不仅要检测入侵,还要对入侵进行主动的防御,这将是一项非常庞大的工程。无线局域网入侵检测系统关系到无线局域网的未来发展,只有安全得到保障,无线局域网的应用和产生的效益才能最大化,这方面值得花大力气进行研究。
参考文献:
[1]刘宁,赵建华.应用免疫原理的无线传感器网络入侵检测系统[J].计算机工程与应用,2011,15:80-82
[2]刘宁.一种新型无线传感器网络入侵检测系统[J].价值工程,2011,3:286
[3]闫慎,白凤娥.一种无线传感器网络混合入侵检测模型[J].电脑开发与应用,2011,7:41-43
推荐访问:技术研究 入侵 无线局域网 无线局域网入侵检测技术研究 无线局域网和wifi区别 苹果无线局域网和wifi
