（计算机应用技术专业论文）无线局域网入侵检测技术研究.pdf

独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究 成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经 发表或撰写过的研究成果，也不包含为获得塑皇堡壅些盘堂或其他教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文作者签名：私1 专荆争 签字日期：f f 年占月7 日 学位论文版权使用授权书 本学位论文作者完全了解塑兰堡盔些盘鲎有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借 阅。本人授权塑皇垦壅些盘堂可以将学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位做作者签名：；心窆妒 签字日期：vf 1 年月7 日 学位论文作者毕业后去向： 工作单位： 通讯地址： 导师签名 签字日期彦叫年6 月7 日 电话： 邮编： 摘要， 随着网络技术的蓬勃发展，计算机网络不再局限于有线架构，无线局域网结合灵 活性与经济性的优点，成为当今通信世界的一道亮丽的风景线。无线局域网技术已迅 速地发展成为计算机网路中一个至关重要的部分，其应用领域在迅速扩大，同时其安 全问题越来越受到人们的关注。 由于无线信道的开放性，无线局域网通过向四周无差别地发送无线信号来实现数 据传输，得到高度灵活性的同时也带来了诸多不安全因素。无线介质的使用免去了有 线网络线缆的物理接入，同时也失去了对入侵者的一层有效隔离。加上无线局域网同 样使用t c p i p 协议和i e e e8 0 2 1 1 协议自身存在缺陷，使得无线局域网不但会受到 与有线局域网相同的针对t c p i p 协议的攻击，还会受到针对无线局域网数据链路层 的入侵威胁。入侵检测技术是抵御入侵的一种有效手段，尽管有线网络的入侵检测系 统研究已经相对成熟，但由于其工作在网络层及更高层，无法对无线局域网的数据链 路层提供有效防护，因此不能将已有的有线网络的入侵检测技术直接运用到无线局域 网中。而无线局域网入侵检测技术研究相对较少，因此需要展开专门针对无线局域网 入侵检测技术的研究。 本文首先对i e e e8 0 2 11 协议帧的功能及结构、无线局域网的工作机制和多种加 密协议进行了详细研究，在此基础上对现有无线局域网入侵检测系统的两种数据信息 来源进行了分析和比较，采用了适于无线网络入侵检测研究的原始帧采集方式。然后 对i e e e8 0 2 1 1 协议无线局域网的脆弱性进行了分析，介绍了攻击者常采用的攻击手 段，通过无线局域网入侵的现状分析研究了入侵的方式及其特征。针对现有的无线局 域网的入侵和防御技术，提出了一种基于数据链路层无线局域网入侵检测的解决方 案，在对接入设备身份检测的基础上设计了一种伪装设备检测方案。根据此方案设计 了一种无线局域网入侵检测系统，对主要功能作了实现，并验证了检测方案的有效性。 实验证明该系统能对m a c 地址欺骗和d o s 攻击等入侵行为起到防范作用，限制 攻击者的攻击效率，减轻网络的负担，进一步提高无线局域网的安全性能，为无线局 域网入侵检测系统进一步研究提供理论参考依据。 关键词：无线局域网；入侵检测；i e e e8 0 2 1 l ：协议分析；伪装设备 r e s e a r c ho fw l a ni n t r u s i o n d e t e c t i o nt e c h n o l o g y n a m e ：z h a n gs h a o h u i m a j o r ：c o m p u t e ra p p l i e dt e c h n o l o g y s u p e r 啊s o r h a nx i a n z h o n g a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fn e t w o r kt e c h n o l o g y , t h ec o m p u t e rn e t w o r ki sn o l o n g e rl i m i t e dt ow i r e da r c h i t e c t u r e ，w i r e l e s sn e t w o r kw i t ht h ea d v a n t a g e so ff l e x i b i l i t y a n de c o n o m yi sc o m b i n e dab e a u t i f u ll a n d s c a p ea tt o d a y sc o m m u n i c a t i o n sw o r l d w i r e l e s s l a n t e c h n o l o g yh a sr a p i d l yd e v e l o p e da n db e c a m e av i t a lp a r to fn e t w o r kn o w , a n di th a s b e e na p p l i e di nt h er a p i d l ye x p a n d i n g , a tt h es a m et i m et h es e c u r i t yi s s u e sr e c e i v e dm o r e a n dm o r ea t t e n t i o n t h eo p e n n e s so ft h ew i r e l e s s c h a n n e l ，w i r e l e s sa p ss e n dw i r e l e s ss i g n a l sn o d i f f e r e n c et ot h ea r o u n dt oa c h i e v ed a t at r a n s f e r , h a v eah i g hd e g r e eo ff l e x i b i l i t y , a n da l s o b r i n g sal o to fi n s e c u r i t y t h eu s eo fw i r e l e s sm e d i ae l i m i n a t i n gt h en e e df o rp h y s i c a lc a b l e a c c e s s ，s a m et i m el o s tal a y e ro fe f f e c t i v ei s o l a t i o nt or e s i s tt h ei n v a d e r s w i r e l e s sl a n s u s et c p i pp r o t o c o lw i t ht h es a m et ow i r e dl a n ，a n dt h ei e e e8 0 2 11 p r o t o c o lh a d s h o r t c o m i n g s ，i tb r o u g h ta t t a c k st ow i r e l e s sl a n ，n o to n l yo nt h et c p i pp r o t o c o lw i t ht h e s a m et ow i r e dl a n ，b u ta l s oo nd a t al i n kl a y e ro ft h ew i r e l e s sl a n i n t r u s i o nd e t e c t i o n t e c h n o l o g yi sa ne f f e c t i v em e t h o dt o r e s i s t t h ei n v a s i o n , a l t h o u g ht h ec a b l en e t w o r k i n t r u s i o nd e t e c t i o ns y s t e mi sr e l a t i v e l ym a t u r e ，b u tc a b l en e t w o r ki n t r u s i o nd e t e c t i o n w o r k e da tt h en e t w o r kl a y e ra n dh i g h e rl e v e l ，t h ew i r e l e s sl a nd a t al i n kl a y e rc a nn o tg e t e f f e c t i v ep r o t e c t i o n , s ot h a tw i r e dn e t w o r ki n t r u s i o nd e t e c t i o nt e c h n o l o g yc a l ln o td i r e c t l y a p p l i e dt ow i r e l e s sl a n t h e r ei sr e l a t i v e l yl i t t l er e s e a r c ha b o u tw i r e l e s sl a n i n t r u s i o n d e t e c t i o nt e c h n o l o g ya n dn e e d e ds p e c i a l i z e dr e s e a r c h t h i sp a p e rf i r s t l ys t u d i e st h ef u n c t i o na n ds t r u c t u r eo ft h ei e e e8 0 2 1 1p r o t o c o lf r a m e ， w o r k i n gm e c h a n i s mo ft h ew i r e l e s sl a n a n dv a r i e t yo fe n c r y p t i o np r o t o c o l s ，a n db a s eo n t h er e s e a r c ha n a l y z e da n dc o m p a r e dt w od a t as o u r c e sf r o mw i r e l e s sl a ni n t r u s i o n d e t e c t i o ns y s t e m ，u s i n gt h eo r i g i n a lf r a m ea c q u i s i t i o nm o d ef o rt h ew i r e l e s sn e t w o r k i n t r u s i o nd e t e c t i o n s e c o n d l ya n a l y s i st h ew i r e l e s sl a nv u l n e r a b i l i t yo fi e e e8 0 2 1 l ， d e s c r i b e dt h ea t t a c k e r sa t t a c km e t h o do f t e nu s e d ，t h r o u g ht h ec u r r e n ts i t u a t i o na n a l y z e d t h ew a ya n dc h a r a c t e r i s t i c so fw i r e l e s si n t r u s i o n b a s e do nt h ee x i s t i n gi n v a s i o na n d d e f e n s et e c h n o l o g ya b o u tw i r e l e s sl a n ，t h i sp a p e rd e s i g n e daw i r e l e s sl a ni n t r u s i o n d e t e c t i o np r o g r a mb a s e do nd a t al i n kl a y e r , p r o p o s e das o l u t i o nb a s e do ni d e n t i t yd e t e c t i o n o fa c c e s se q u i p m e n tt od e t e c tc a m o u f l a g ed e v i c e f i n a l l yd e s i g n e daw i r e l e s sl a n i n t r u s i o nd e t e c t i o ns y s t e mi na c c o r d o x l c ew i t ht h i ss o l u t i o n ，t h em a i nf u n c t i o n sh a sb e e n a c h i e v e d ，t h ee f f e c t i v e n e s so ft h es y s t e mw a s v e r i f i e d e x p e r i m e n t a lr e s u l t ss h o wt h a tt h es y s t e mc a l lp r e v e n tm a c a d d r e s ss p o o f i n ga n d d o sa t t a c k s ，l i m i tt h ee f f i c i e n c yo fa t t a c k e r sa n dr e d u c et h eb u r d e no nt h en e t w o r kw h i c h f u r t h e ri m p r o v et h ep e r f o r m a n c eo fw i r e l e s sl a ns e c u r i t y , c a np r o v i d er e f e r e n c e f o r 触e rw i r e l e s sl a ni n t r u s i o nd e t e c t i o ns y s t e mr e s e a r c hi nt h e o r y k e yw o r d s ：w l a n ；i n t r u s i o nd e t e c t i o n ；i e e e8 0 2 11 ；p r o t o c o la n a l y s i s ； c a m o u f l a g ee q u i p m e n t 2 2 2 数据帧9 2 2 3 控制帧11 2 2 4 管理帧一：1 2 2 3 站点与无线接入点的认证与关联过程1 4 2 4 小结。l5 3w l a n 的安全技术与安全隐患：1 6 3 1 无线局域网的安全技术1 6 3 1 1 服务集标识符( s s i d ) 16 3 1 2m a c 地址过滤：16 3 1 3w e p j 16 3 1 4 1 7 吼1 7 3 1 5i e e e8 0 2 1 1 i 1 7 3 1 6w p a 2 17 3 1 7 ，a p i 18 3 2 无线局域网面对的威胁18 3 2 1 嗅探窃听18 3 2 2 伪装入侵1 9 3 2 3 中间人攻击1 9 3 2 4 拒绝服务攻击1 9 3 2 5 重放攻击2 1 3 3w l a n 入侵检测技术2 l 3 4 小结2 3 4 w l a n 入侵检测系统总体设计与实现。2 4 4 1w i d s 模块和体系结构设计2 4 4 2 设备管理模块2 5 4 3 数据采集模块2 7 4 4 协议分析模块2 9 4 5 入侵检测模块3 6 4 6 响应模块3 8 4 7 小结4 0 5 系统测试4 1 5 1 测试环境4 1 5 2 测试准备。4 2 5 2 1 注册合法接入点“4 2 5 2 2 注册合法站点4 3 5 3 未授权接入点测试4 4 5 4 伪装接入点入侵测试4 5 5 5 未授权站点入侵测试4 6 5 6 伪装站点入侵测试4 7 6 总结与展望4 8 6 1 总结4 8 6 2 展望4 8 参考文献j 4 9 作者简介5 2 致 射5 3 无线局域网入侵检测技术研究 1 1 研究背景 1 引言 随着信息化社会的发展，互联网已经深入人们生活，成为工作、学习、娱乐不可 缺少的部分。作为互联网接入有效手段之一，无线局域网避免了有线线缆对用户的束 缚，凭借其组网时施工快捷、无需大量布线、优秀的可扩展性和站点可灵活移动等便 利优点使得无线技术得到了广泛应用。 无线局域网是计算机网络技术和无线通讯技术相结合的产物，通过收发无线信号 来实现数据通信，实现了媒体终端的移动通信。但空气中的无线信号不能像有线网络 那样通过线缆介质控制其传播路径和方向，信号无方向传输带来的安全隐患截至目前 仍然没有办法有效克服。传输介质的公开性使得无线局域网比有线网络更容易受到攻 击，不但会受到与有线局域网相同的t c p i p 协议攻击，还会受到针对无线局域网i e e e 8 0 2 1 l 协议的特殊威胁，加上大量针对无线局域网的攻击手段，使得非法用户可在无 线信号覆盖范围内任何地方向无线局域网发起攻击，甚至进一步窃取私密信息。 无线局域网安全性的问题在很大程度上影响了其发展速度，其安全问题越来越引 起人们的关注，成为目前无线局域网是否能健康发展的关键问题。 相比有线网络的历史，无线网络发展较晚，基于无线局域网的入侵检测研究较少。 虽然入侵检测技术在有线网络领域的发展已经较为成熟，但有线网络和无线网络存在 较多的差异，不能在无线局域网直接使用有线网络入侵检测技术，并且有线网络入侵 检测系统工作在网络层及更高层，无法对无线局域网的数据链路层提供有效保护。 本文在分析研究i e e e8 0 2 1 1 系列协议和无线局域网数据链路层非法设备入侵行 为特征的基础上，提出了一种基于数据链路层无线局域网入侵检测的解决方案。该方 案在数据链路层上实现了设备的安全接入，在此基础上为无线局域网提供了入侵预警 和防范能力。 1 2 国内外研究现状 无线局域网的安全【l 】1 2 j 一直是计算机网络安全研究领域的热点，入侵检测技术通 过收集和分析通信数据鉴别对无线网络的入侵行为，是无线局域网安全研究的主要方 面之一。 典型无线入侵检测开源系统的主要代表有：英国的f a t b l o c k 工作组【3 】开发的 w i d z 系统，主要实现了对非法接入点、未授权接入点和拒绝服务攻击的检测，该系 统检测准确，操作方便，误报率低，但对中间人攻击和m a c 地址欺骗攻击无能为力； a n d l e wl o c k h a r t 4 】组织研制开发的s n o r t w i r e l e s s 检测系统，该系统基于l i n u x 操作 系统，采用模式匹配和误用检测的方法进行入侵检测，对非授权接入点能很好的识别， 但由于它的规则文件没有有效的规则定义，误报率高，检测精度低，且不能检测拒绝 服务攻击。 河北农业大学硕士学位( 毕业) 论文 商用的主流无线入侵检测系统在架构上多采用单个服务器带多个入侵检测点的 方式，由入侵检测点监测无线网络通信信息，然后将信息转发到服务器，或者在入侵 检测点本地完成部分入侵检测功能。根据入侵检测点的构成方式，可将入侵检测系统 分为两种：覆盖式和嵌入式。覆盖式无线入侵检测系统有a i r d e f e n s e 5 1 、a i r t i g h t 、 a i r m a g n e t 引、n e t w o r kc h e m i s t r y 等，它们使用单独部署的传感器网络；嵌入式无线 入侵检测系统有t r a p e z e 、c i s c o 、a r u b a 等【7 】，它们使用接入点在它的空余时间监测 无线局域网。兼职的接入点势必会影响网络的性能，遗漏攻击行为的检测；全职的传 感器虽可全面监听网络，却增加了投入成本。 在国内，2 0 0 4 年初冠群金辰公司【8 j 推出了基于网络的入侵检测系统，主要针对有 线网络的入侵行为进行识别和响应，但也可以对8 0 2 1 i b 协议的无线局域网进行网络 安全状态判断和分析。该系统使用分布在无线局域网的边缘和关键地点的传感器进行 数据采集，并将收集到的信息统一发送给信息处理平台，由信息处理平台通过对信息 的协议解码和分析实现入侵行为检测。该系统能较好实现非法设备接入检测，可检测 出中间人攻击和拒绝服务攻击。但由于该系统对采集的信息集中在信息处理平台进行 解码和分析，造成了传感器到系统信息处理平台信息传输量巨大、解码过程的运算量 巨大，对传感器和信息处理平台的硬件要求较高。该系统的研究方式和应用对象均侧 重有线网络，在无线网络环境应用有很大的局限性。 目前研究无线局域网入侵检测系统采集分析和研究的数据对象有两类：一种是使 用m o n i t o r 模式的无线网卡捕获的i e e e8 0 2 1 1 协议原始帧，此类帧结合协议分析技 术，在协议分析过程中抛弃与数据链路层安全无关的、体积庞大的帧实体，仅用帧头 信息实现入侵检测，可开发出轻量级运算的基于数据链路层安全的入侵检测系统，在 对接入设备的检测认证基础上实现无线局域网的信息安全；另一种是使用m a n a g e d 模式的无线网卡捕获的i e e e8 0 2 3 协议以太网格式的数据包，此类数据包来源于网 络层，需要经过加密协议( w e p 、w p a 、w p a 2 等) 的解密过程，信息量和运算量 巨大，并且已丢失了原始帧的安全信息，在无线局域网的入侵检测研究方面具有很大 的局限性，仅适用于基于主机的入侵检测，且与有线入侵检测技术多有重合之处。 总体来说，目前无线局域网的入侵检测技术仍然处于初级阶段，检测的新方法和 新技术有待我们去探索。 1 3 研究内容 本文的主要研究工作如下： 1 对i e e e8 0 2 1 1 帧的功能及结构、无线局域网的工作机制和多种加密协议进行 了详细研究。 2 对现有无线局域网入侵检测系统的两种数据信息来源进行了分析和比较，采 用了适于无线网络入侵检测研究的原始帧采集方式。 3 对i e e e8 0 2 1 1 协议无线局域网的脆弱性进行了分析，介绍了攻击者常采用的 攻击手段，通过无线局域网入侵的现状分析研究了入侵的方式及其特征。 2 无线局域网入侵检测技术研究 4 针对现有的无线局域网的入侵和防御技术，提出了一种基于数据链路层无线 局域网入侵检测的解决方案，该方案通过对通信帧的设备身份检测实现入侵行为的检 测与防范，并针对网络内相同m a c 地址、相同s s i d 的伪装设备难以辨别的现状设 计了一种伪装设备检测方案：并基于设备管理，通过对可疑站点行为的统计分析实现 丢包机制，限制了攻击者的攻击效率，减轻了网络的负担，进一步提高了无线局域网 的安全性能。 5 根据此方案设计了一种无线局域网入侵检测系统，并实现了主要功能。 1 4 论文结构 论文共分为6 章，各章安排如下： 第1 章为绪论，对研究背景和内容，及研究现状作了简单介绍。 第2 章为无线局域网技术概述，对无线局域网的结构进行了概述；由于实现无线 局域网数据链路层的安全之根本在于帧，所以在此对无线局域网的帧的结构及功能作 了详细叙述。 第3 章为无线局域网的安全技术与安全隐患，对i e e e 标准化组织和w i f i 联盟 推出的加密协议及接入标准，以及中国自行制定的w a p i 安全接入技术标准进行了简 单介绍，列举了几种严重威胁无线局域网安全的入侵和攻击手段，总结了多种d o s 攻击行为原理和特征，最后对无线局域网入侵检测技术进行了介绍。 第4 章为无线局域网入侵检测系统总体设计与实现，提出了一种基于数据链路层 无线局域网入侵检测的解决方案，设计并部分实现了一种基于数据链路层的无线局域 网入侵检测系统，并对关键技术进行了详细的阐述。 第5 章为系统测试，对系统的关键模块进行了测试与验证。 第6 章为总结与展望。 3 河北农业大学硕士学位( 毕业) 论文 2w l a n 技术概述 无线局域网是计算机技术与现代无线通讯技术相结合的产物，通过射频技术以空 气为介质，替代了有线网络中的双绞线和光纤等有线介质，实现了计算机之间的无线 通信。在提供有线局域网所有功能的同时，避免了有线介质布线、维护等繁琐步骤。 使用无线局域网技术实现宽带接入是目前市场热点之一。 ， 与有线技术相比，无线局域网具有以下特点： 1 移动性和灵活性。在有线局域网中，终端接入的物理位置受网络位置的限制， 而无线站点在无线局域网a p 信号覆盖范围内的任何一个位置都可接入网络。无线局 域网另一个最大的优点在于其移动性，连接到无线局域网的无线站点可以在保持网络 连接状态下随意移动。 2 安装便捷。无线局域网可极大程度地减少甚至免去网络布线的工作量，一般 只要安装一个或多个无线接入点设备，就可建立覆盖整个区域的无线局域网络。 3 易于进行网络规划和调整。对于有线网络来说，办公地点或网络拓扑的改变 通常意味着重新规划和建网。重新布线是一个高投入、耗时、费力和琐碎的过程，甚 至有可能因施工而影响建筑主体安全。无线局域网可以避免或减少以上情况的发生。 4 故障定位容易。有线网络一旦出现物理故障，尤其是由于线路物理故障而造 成的网络传输中断往往很难查明，而且检修线路涉及面广，费时费力，需要付出很大 的代价。无线网络则很容易定位故障位置，只需更换故障设备即可恢复网络连接。 5 易于扩展。无线局域网具有多种配置方式，可以很便捷地从小型局域网扩展 到上千用户的大型网络，并且能够提供节点间漫游等有线局域网无法实现的特性。由 于无线局域网有以上诸多优点，因此发展十分迅速。最近几年，无线局域网技术已经 成为网络接入首选方式之一，在家庭、企业、工厂、医院和学校等场合得到了广泛的 应用。 无线局域网在给网络用户带来便捷的使用和实用的性能的同时，也存在着一些缺 陷。无线局域网的不足之处主要体现在以下几个方面： 1 性能和稳定。无线局域网是依靠无线电波进行传输的。这些电波通过无线发 射装置进行发射，而建筑物、车辆、树木等障碍物都可能阻碍电磁波的传输，同时还 有许多干扰信号的来源，包括微波炉、无绳电话、蓝牙设备、和相邻的无线局域网等 都会对本地无线局域网造成信号干扰，所以会影响网络的性能和稳定。 2 速率。无线信道的传输速率与有线信道相比要低得多。随着无线技术和有线 技术的高速发展，截至目前，有线局域网的最大传输速率已达1 0 g b i t s ，而无线局域 网的最大传输速率仅为3 0 0 m b i t s 。 3 安全性。无线局域网通讯不需要建立物理的连接通道，无线信号是发散的， 使得无线局域网没有明确的防御边界。从理论上讲，入侵者很容易监听到无线网络范 围内的任何信号，每个站点都必须面对入侵者的直接或间接的攻击，很容易造成通信 信息泄漏。 4 无线局域网入侵检测技术研究 2 1 无线局域网的结构 2 1 1 无线局域网的体系结构 i e e e8 0 2 1 l 无线局域网的体系结构组成由无线接入点、站点、基本服务集、独 立基本服务集、扩展服务集、分发系统和无线介质等几部分组成一j 。 1 无线接入点( a c c e s sp o i n t ，a p ) ，是无线局域网的重要组成单元，是一种特 殊的站，通常固定处于基本服务区( b a s i cs e r v i c e a r e a ，b s a ) 的中心。基本功能有： 作为接入点，完成其他非a p 的站的接入访问和同一b s s 中不同站之间的通信；对无 线网络和分发系统的桥接功能；作为基本服务集( b a s i cs e r v i e es e t ，b s s ) 的控制中 心，对其他非a p 站点的控制和管理。 2 站点( s t a t i o n ，s t a ) ，也称主机( h o s t ) 或终端( t e r m i n a l ) ，是无线局域网 的最基本组成单元。可以是笔记本电脑、台式计算机、无线摄像头或者是其他无线终 端设备，如现在流行的中高端手机、i p a d 等( 带有无线网卡) 。无线局域网中的站点 通过无线a p 进行通信，也可以与其他站点直接通信。 3 基本服务集( b a s i cs e r v i c es e t ，b s s ) 。i e e e8 0 2 1 1 协议采用单元结构，将整 个系统分成多个单元，即基本服务集，每个基本服务集有一个服务集标识符( s e r v i c e s e ti d e n t i f i e r ，s s d ) 作为名称，在i e e e8 0 2 1 1 中b s s i d 通常就是无线a p 的m a c 地址。基本服务集由一个中心节点无线a p 和与其相关联的站点组成。由于网络中存 在中心节点，每个站点都与该无线a p 关联，所有站点对网络的访问均由中心节点控 制，当无线网络中站点较多，网络业务量增大时，网络吞吐性能和网络延时性的恶化 并不强烈。由于每个站点只需在无线a p 信号覆盖范围内即可与其他站点通信，因此 这种结构受环境限制很小【l 们。但无线a p 的故障可导致整个网络的瘫痪，因此这种结 构网络的缺点是抗毁性能差。 4 独立基本服务集( i n d e p e n d e n tb a s i cs e r v i c es e t ，i b s s ) ，也是一个基本服务集， 只是该b s s 不含无线a p ，它至少有两个站点。是一种典型的、以自发方式构成的单 区网。由于i b s s 网络不需要太多规划就能被快速建立起来，所以此类网络常被称为 自组织网络( a d h o cn e t w o r k ) 1 l 】。i b s s 网络一般使用公共广播信道，各站点竞争 公用信道，要求网络中任意两站点均可直接通信。这种结构的优点是抗毁性好、灵活 性强且费用低廉。但当网络中站点数量较大时，信道竞争将成为限制网络性能的瓶颈。 因此，i b s s 网络只适用于站点数量较少的群体。该网络用手站点之间的直接通信， 只能独立使用，无法接入有线网络。 5 扩展服务集( e s s ) ，是一种由多个b s s 以及连接他们的分发系统组成的结构 化网络，其中每个无线a p 都必须共享同一个扩展服务标识符( e s si d e n t i f i e r ，e s s i d ) 。 如果一个网络由多个e s s 组成，那么每个e s s 也将被分配一个扩展服务集标识符。 6 分发系统( d i s t r i b u t i o ns y s t e m ，d s ) ，是一个使无线接入点相互连接起来的系 统，可将多个基本服务区连接起来形成一个扩展业务区( e x t e n d e ds e r v i c e a r e a ，e s a ) ， 以使无线局域网覆盖更大的范围。分发系统的作用是连接不同基本服务区的通信信 道，可以是有线信道也可以是无线信道，但目前大多都是以太网。通过分发系统互相 连接起来的属于同一个扩展业务区的所有站点组成一个扩展服务集( e x t e n d e ds e r v i c e 5 河北农业大学硕士学位( 毕业) 论文 s e t ，e s s ) 。 7 无线介质( w i r e l e s sm e d i u m ，w m ) 是无线局域网中站点与站点之间、站点 与无线接入点之间通信的传输介质，无线局域网通过2 4 g h z 或5 g h z 的无线电波传 输信息，其传输介质为空气。 e s si b s s 图2 - 1 基本服务集、扩展服务集和独立服务集 f i g 2 - lb a s i cs e r v i c es e t ，e x t e n d e ds e r v i c es e ta n di n d e p e n d e n ts e to f s e r v i c e s 图2 1 展示了无线局域网中各个组成单元之间的关系。其中a p l 和a p 2 之间的 有线连接构成了一个分发系统。 2 1 2 无线局域网的逻辑结构 无线局域网仅工作在o s i r m ( o p e ns y s t e mi n t e r c o n n e c t i o n r e f e r e n c em o d e l ，开 放系统互连，参考模型) 的下两层 9 1 ，即数据链路层和物理层。如图2 2 所示，数据链 路层又分为逻辑链路控制( l c i 西c a ll i n kc o n t r o l ，l l c ) 子层和媒体访问控制( m c d i u m a c c e s sc o n t r o l ，m a c ) 子层，并加强了数据链路层的功能，将网络层中的寻址、排 序、流量控制和差错控制等功能放在了逻辑链路控制子层实现。媒体访问控制子层主 要完成数据的收发，功能有：从逻辑链路控制子层接收要发送的数据，给发送数据附 加控制信息后装成帧，把数据帧提交给物理层；从物理层接收数据帧，并检查帧的控 制信息，判断数据的完整性；过滤数据帧中的控制信息，把数据提交给逻辑链路控制 子层。 6 l l c d l l m a c 管理 m a c 8 0 2 1 18 0 2 1 l8 0 2 1 1 p l c p p h y 管理8 0 2 1 l a8 0 2 1 l b8 0 2 1 l g8 0 2 1 i n f h s sd s s si rp 肋 图2 - 2i e e e8 0 2 ”协议体系 f i g 2 2p r o t o c o la r c h i t e c t u r eo fi e e e8 0 2 1 1 无线局域网入侵检测技术研究 i e e e8 0 2 11m a c 子层所支持的物理层有以下几种： 1 i e e e 8 0 2 1 l 跳频( f r e q u e n c yh o p p i n gs p r e a ds p e c t r u m ，f s s s ) 物理层，在 2 4 g h z 频段上提供1 - 2 m b i t s 的传输速率。 2 i e e e 8 0 2 1 1 直接序列扩频( d i r e c ts e q u e n c es p r e a ds p e c t r u m ，d s s s ) 物理层， 在2 4 g h z 频段上提供1 - 2 m b i t s 的传输速率。 3 i e e e 8 0 2 1 l b 物理层，在2 4 g h z 频段上提供1 1 1 m b i t s 的传输速率。 4 i e e e 8 0 2 1 1a 物理层，在5 g h z 频段上提供6 5 4 m b i t s 的传输速率。 5 i e e e 8 0 2 1 1g 物理层，在2 4 g h z 频段上提供5 4 m b i t s 的传输速率。 6 i e e e 8 0 2 1l 红外( 瓜) 线物理层，提供1 - 2 m b i t s 的传输速率。 7 i e e e 8 0 2 1 l n 物理层，提供3 0 0 6 0 0 m b i t s 的传输速掣1 2 】。 为了减小碰撞概率，无线局域网通常采用载波监听( c a r t i e rs e n s e ，c s ) 类媒体 访问控制协议如载波侦听冲突避免( c s m a c a ) 协议来控制每个站对无线局域网的 访问。在l l c 层的支持下，m a c 层为物理层提供访问控制功能，如寻址方式、访问 协调和帧校验序列生成的检查等。 i e e e8 0 2 1 1 x 无线局域网的物理层分为两类：一类是i e e e 8 0 2 1 1 基本型w l a n 物理层协议，有三种传输方式，跳频扩展频谱( f h s s ) 、直接序列扩展频谱( d s s s ) 和红外( i n f r a r e d ) ；另一类是高速扩展协议，主要有i e e e8 0 2 1 la b g n 。 无线局域网的安全机制和加密协议用于保证无线站点到无线接入点之间传输链 路的安全性，但服务区标识符、m a c 地址过滤等安全机制以及w e p 、w p a 等加密 协议均存在安全缺陷和漏洞，致使无线局域网的数据链路层成为网络安全的最薄弱之 处，同时也是无线局域网入侵检测技术研究的最关键之处。 2 2 无线局域网帧结构及功能 以太网的成帧( f r a m i n g ) 十分简单，只要为帧加上前导码( p r e a m b l e ) 、寻址信 息以及在结尾加上校验码最0o - i f l 3 】。与以太网相比，i e e e8 0 2 1 l 协议的成帧比较复杂， 因为无线媒介必须将有线网络所没有的帧类型以及各式管理功能纳入考虑。 i e e e8 0 2 1 1 帧分为三种类型【1 4 1 。数据帧( d a t af r a m e ) 负责在站点之间传输数 据，可能会因为所处网络环境不同而有所差异。控制帧( c o n t r o lf r a n l e ) 通常与数据 帧搭配使用，负责区域的清空、信道的取得以及载波监听的维护，并在收到数据时予 以确认，以此提高站点之间数据传输的可靠性。管理帧( m a n a g e m e n tf l a l l l e ) 负责监 督，主要用来加入或退出w l a n 以及处理站点之间关联的转移事宜。 2 2 1 通用帧的结构 每个i e e e8 0 2 1 lm a c 帧均由m a c 帧头、可变长的帧实体和帧校验序列f c s 等三部分组成。 8 0 2 11m a c 帧通用格式和帧控制字段格式【l s 】如图2 3 所示。 7 河北农业大学硕士学位( 毕业) 论文 图2 - 3m a c 帧通用格式及帧控制字段 f i g 2 - 3g e n e r a lm a c f 俺l n ef o r m a ta n df r a m ec o n t r o lf i e l d 其中帧控制字段中包含了如下信剧1 5 】： 1 协议版本( p r o t o c o lv e r s i o n ) 。该字段表示i e e e8 0 2 1 1 版本标准，由2 位组成， 用以识别未来可能的新版本，到目前为止一直保持为0 。 2 类型和子类型。类型( t y p e ) 字段表明当前帧是管理帧、控制帧还是数据帧； 子类型( s u bt y p e ) 字段说明帧的功能。要注意的是，t y p e 字段值的顺序是( b 3b 2 ) ， s u b t y p e 字段则是( b 7b 6 b 5b 4 ) 。 帧功能分类如表2 1 所示。 8 表2 - 18 0 2 1 1 协议的n a c 帧分类及功能 t a b 2 一l8 0 2 1 lm a cp r o t o c o lc l a s s i f i c a t i o na n df u n c t i o no f