（计算机科学与技术专业论文）基于聚类和关联规则的无线网络入侵检测系统研究.pdf

又k ，l r e s e a r c ho ni n t r u s i o nd e t e c t i o n s y s t e mo fw i r e l e s s n e t w o r kb a s e do nc l u s t e ra n d a s s o c i a t i o nr u l e s s p e c i a l t y ：c o m p u t e rs c i e n c ea n dt e c h n o l o g y m a s t e r d e g r e ec a n d i d a t e ： s u p e r v i s o r ：p r o f w a n gx i a o l i n g c o l l e g eo fi n f o r m a t i o ns c i e n c e & e n g i n e e r i n g 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得中南 大学或其他单位的学位或证书而使用过的材料。与我共同工作的同志对本 研究所作的贡献均已在论文中作了明确的说明。 作者签名：日期：竺l 年上月监日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校有权 保留学位论文并根据国家或湖南省有关部门规定送交学位论文，允许学位 论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以采用 复印、缩印或其它手段保存学位论文。同时授权中国科学技术信息研究所 将本学位论文收录到中国学位论文全文数据库，并通过网络向社会公 众提供信息服务。 作者签名： 一名础嗍衅年5 竹 摘要 随着无线网络的应用和发展，无线网络的安全问题近来越来越受到人 们的关注。由此无线网络的各种安全措施与技术都相继产生，而其中最为 活跃的领域是入侵检测及响应策略。 无线网络由于自身信号传输的特点是无线信号向四周无差别地发送， 虽然方便灵活，但也因此导致了无线网络的不安全性。在无线信号的覆盖 范围，任何未知的和非法的用户都可以通过无线a p 进入内部网络。本文 对无线网络的脆弱性进行了分析，介绍了其存在的严重缺陷，以及攻击者 通常采用的攻击手段。 基于8 0 2 1 1 协议的m a c 层比以前的i e e e8 0 2 协议的媒体访问控制层 ( m a c ) 要复杂，故可以根据其帧头建立无线网络用户的行为模式，并根 据它来判断用户的入侵行为。本文把m a c 帧帧头数据作为入侵检测的数据 源，提出了针对无线网络的入侵检测模型以及网络异常行为检测策略。 本文通过对关联规则算法进行详细分析，提出了一种高效的基于项集 矩阵和聚类矩阵的关联规则算法( i s m c m ) 。算法不但提高了入侵日志事 务数据库关联规则挖掘的效率，还解决了当最小支持度改变以及事务数据 库动态更新时相应的关联规则的更新问题。 本文根据i s m c m 算法构建了一个无线入侵异常检测模型，并在仿真实 验中成功检测到针对于无线网络的攻击，能够基本满足实时入侵检测系统 的需要。 在无线入侵检测领域，本文的研究工作在理论和应用方面具有一定的 价值，能够为无线入侵检测系统的设计提供参考。 关键词入侵检测，无线网络，关联规则，聚类矩阵( c m a ) ，项集矩阵( i s m ) a b s t r a c t w t ht h ed e v e l o p m e n ta n da p p l i c a t i o no fw i r e l e s sn e t w o r k s m o r ea n d m o r ep e o p l er e c e n t l yp a ya t t e n t i o nt of o c u so nt h es e c u r i t ya s p e c t so fw i r e l e s s n e t w o r ks y s t e m s s om a n ys e c u r i t yt e c h n o l o g i e so fw i r e l e s sn e t w o r kh a v e b e e np r o d u c e do n ea f t e rt h eo t h e r i nt h e s et e c h n o l o g i e s ，t h em o s ta c t i v ea r e a i si n t r u s i o nd e t e c t i o na n dc o u n t e r m e a s u r e s r e s p o n s e t h ec h a r a c t e r i s t i co fw i r e l e s sn e t w o r k st h e m s e l v et r a n s m i t i n gs i g n a li s w i r e l e s ss i g n a li n d i s t i n g u i s h a b l ys p r e a da r o u n d i ti sc o n v e n i e n tb u t i n s e c u r i t y i nt h er a n g eo fw i r e l e s sc o v e r a g e a n yu n k n o w na n dd i s t r u s t f u lu s e ra l lc a n e n t e ri n n e rn e t w o r kt h r o u g hw i r e l e s sa c c e s sp o i n t t h i sp a p e rg e t st h ea n a l y s i s f o r t h ew i r e l e s sn e t w o r k s f r a n g i b i l i t y , a n di n t r o d u c e st h e i re x i s t i n gt h es e r i o u s d i s a d v a n t a g ea n d t h ea t t a c k e ru s u a l l yu s i n gt h ea t t a c k i n gm e t h o d t h em a cl a y e rb a s e do n8 0 2 1 1 p r o t o c o l si sm o r ec o m p l e xt h a n p r e v i o u si e e e8 0 2p r o t o c o l sm a c ( m e d i aa c c e s sc o n t r 0 1 ) l a y e r s ow ec a n b a s et h ef r a m eh e a d e rt ob u i l dt h eb e h a v i o rp a t t e mo ft h ew i r e l e s sn e t w o r k u s e ra n dt h e nb a s et h ep a t t e r nt od i s t i n g u i s ht h eu s e r st h ei n t r u s i v eb e h a v i o r t h i sp a p e rt a k et h ed a t ao ft h em a cf l a m eh e a d e ra st h ed a t as o u r c eo ft h e i n t r u s i o nd e t e c t i o na l g o r i t h m ，a n dp r o v i d et h ep a t t e r no fi n t r u s i o nd e t e c t i o n a n dt h ed e t e c t i v es t r a t e g i e so f a n o m a l yb e h a v i o rf o rw i r e l e s sn e t w o r k t l l i sp a p e rd e t a i l e d l ya n a l y z e st h ea s s o c i a t i o nm i n i n ga l g o r i t h mt h e n p r o p o s e s ah i 曲l ye m c i e n ta s s o c i a t i o nm i n i n ga l g o r i t h mb a s e do ni t e m s e t m a t r i xa n dc l u s t e rm a t r i x ( i s m c m ) t h ea l g o r i t h mn o to n l yi m p r o v e st h e e f f i c i e n c yo ft h ea s s o c i a t i o nm i n i n gb u t a l s or e s o l v et h eu p d a t i n gp r o b l e m s o ft h ea s s o c i a t i o nr u l e sw h e nm i n i m u ms u p p o r tc h a n g e do rn e wt r a n s a c t i o n s a r ea d d e dt ot h ed a t a b a s e t h i sp a p e rb u i l d sap a t t e r no fw i r e l e s si n t r u s i o nd e t e c t i o nb yu s i n g i s m c ma l g o r i t h m ，a n d s u c c e s s f u l l y d e t e c t ss o m ew i r e l e s sa t t a c ki n e m u l a t i o n a le x p e r i m e n t 1 1 1 es y s t e mc a nf u l f i l lt h er e q u e s to ft h er e a lt i m e s y s t e m i nt h ef i e l do fw i r e l e s si n t r u s i o nd e t e c t i o n ，t h er e s e a r c hi nt h i sp a p e rh a s d e f i n i t ev a l u ea tt h es i d eo ft h e o r i e sa n dp r a c t i c e i tc a np r o v i d eau s e f u l r e f e r e n c ef o rd e s i g n i n gt h ew i r e l e s si n t r u s i o nd e t e c t i o ns y s t e m k e yw o r d si n t r u s i o nd e t e c t i o n ，w i r e l e s sn e t w o r k ， a s s o c i a t i o nr u l e ， c l u s t e rm a t r i x e s ( c m a ) ，i t e m s e tm a t r i x ( i s m ) i i 一， 目录 摘要蕈i a b s t r a c t i i 目录i i i 第一章绪论1 1 1 课题研究背景。1 1 2 国内外研究现状及水平2 - 1 2 1 无线网络的安全现状2 1 2 2 无线网络的攻击检测方法6 1 2 3 入侵检测技术在无线网络的引入8 1 3 论文研究内容及组织结构。9 第二章数据挖掘算法研究1 1 2 1 数据挖掘算法概述1 1 2 1 1 聚类分析1 1 2 1 2 关联规则1 2 2 2 关联规则算法分析1 3 2 3 算法优化及其性能比较1 4 2 4 本章小结1 7 第三章改进关联规则的算法( i s m c m ) 。1 8 3 1 算法的数据描述与划分1 8 3 1 1 关联规则数据描述1 8 3 1 2 数据事务集的聚类划分1 9 3 2i s m c m 算法的思想与实现2 0 3 2 1 算法思想2 0 3 2 2 算法的实例应用2 l 3 2 3 算法实现2 4 3 3i s m c m 算法分析与仿真实验2 7 3 4 本章小结2 8 第四章基于i s m c m 算法的无线入侵检测系统2 9 4 1 无线入侵检测系统2 9 4 1 1 无线入侵检测模型2 9 4 1 2 无线入侵检测的决策机制3 1 4 2 数据挖掘在入侵检测系统中的引入31 4 - 3 基于i s m c m 算法的无线网络入侵检测系统3 2 4 1 1 系统的基本思想3 2 4 1 2 数据预处理和数据描述3 3 4 1 3 聚类划分和关联规则挖掘3 4 4 1 4 系统的仿真实验3 4 4 4 本章小结3 6 第五章总结与展望3 7 5 1 总结3 7 5 2 研究展望3 7 i h 参考文献3 9 致谢4 3 攻读硕士学位期间发表的论文4 4 中南大学硕士学位论文第一章绪论 1 1 课题研究背景 第一章绪论 我们的社会已经进入了一个崭新的时代，传统的商务活动、事物处理以及政 府服务已经越来越多地将要通过开放的计算机和通信网。计算机与移动通信的结 合，使得移动无所不在，任何人在任何时候、在任何地方与任何人能够进行任何 形式的通信成为可能。 无线网络是一种以无线电波为载体来实现用户之间通信的网络。由于无线通 信不需要在通信双方之间架设通信电缆，这就方便了网络建设，也给用户移动和 漫游带来了便利，这也是无线网络不断发展的直接原因。与有线网络相比，无线 网络更灵活、更方便，故随着无线技术和网络技术相结合，无线网络正在成为市 场中的热点，其中无线局域网( w l a n ) 正在广泛地应用于各个领域。但是，有 别于有线网络的数据通过电缆来传输，只有物理链路遭到破坏，数据才有可能被 泄露，无线网络的数据不需要任何介质是在空中传输的，只要在无线接入点( a p ) 。 所覆盖的范围内，任何无线终端都可以接收到无线信号，无线接入点( a p ) 不 能将信号定向到一个特定的接收设备上【l 】，所以它的安全更容易受到威胁：攻击 者不需要进行物理连接就可以对它进行攻击，使整个无线网络的安全问题显得特 别突出。由于无线局域网通常放在防火墙的后面，防火墙一旦被攻破，攻击者就 能以此为攻击基点，攻击它的内部局域网络，让防火墙不但形同虚设，而且成为 攻击的大门。 目前市场上基于i e e e8 0 2 1 1 协议的无线网络仍将是市场的主流，但是因为 它自身的安全认证机制存在很大的安全隐患【2 一钉，让人们不禁对无线网络的安全 状况更是忧心忡忡。故而，现在国内外为了提高和加强无线网络的安全防御性大 都采用入侵检测系统 5 4 ( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 。尽管在有线网络中入 侵检测技术已得到大家地认可，但是入侵检测仍不是个完善的技术【9 】，而且由于 无线网络的特殊性，将其应用于无线网络仍需进一步研究。 无线网络的脆弱性是由于它开放性的传输媒体、网络拓扑结构的动态变化 性、移动性的无线终端、协作算法、没有可以集中监视和管理的端点以及防线的 不明确性造成的l 儿。在有线环境中安全有效的防御措施，由于这些在其环境中 并不存在的脆弱性，已经大都变得无效。所以传统的防火墙和加密技术等安全机 制变得已不再能发挥功能，故需针对无线网络和移动计算应用发展新的体系结构 和机制来保护其安全。因此各种无线网络安全措施与技术都应运而生，而入侵检 测和响应策略是其中的一个活跃领域。故而如何构建一个有效的无线网络入侵检 中南大学硕士学位论文第一章绪论 测系统成为当前研究的热点。 在众多无线网络安全技术中，数据挖掘技术尤为突出。随着信息技术不断发 展而形成了一门新学科数据挖掘，它已成为近年来数据库领域的新兴研究热 点之一。经过十几年的研究，许多新的概念和方法在数据挖掘技术领域不断产生， 而因吸收了众多学科最新研究成果的数据挖掘技术形成了它独特的一个研究领 域。因此对其进行研究和应用对所有研究者来说都是个很大的挑战。而其正在广 泛的应用于入侵检测技术当中，故将数据挖掘技术应用到无线网络入侵检测系统 当中成为一种新的尝试。 1 2 国内外研究现状及水平 针对无线网络，国内外的研究者对其安全现状和攻击检测方法都进行了深入 研究，并将入侵检测技术也引入到无线网络安全技术中，以提高无线网络的安全 性。 钞 1 2 1 无线网络的安全现状 1 ) 无线网络的威胁 由于无线网络发送对象的无法确定性，使得它的无线电波信号是无差别地向 周围发送地，这导致了无线网络环境的安全性非常低。攻击者可以轻易地使用无 线嗅探器( 如n e t s t u m b l e r 、k i s m e t 等) 来接收无线网络中传播的数据。无线网络 是通过w e p 协议【l l 】来保证无线传播信号的安全，而w e p 协议则是采用r c 4 1 2 1 1 1 a 】 算法来加密从接入点a p 或无线网卡发送出去的无线数据包。但是经过研究人们 发现，( 初始向量) 由于位数太短和初始化复位设计，容易出现重用现象，从 而被人破解密钥，最终可能会导致整个安全防线全面崩溃。由于无线网络活动频 繁，故攻击者只要捕捉到足够多的数据帧，在5 分钟之内就能破解w e p 加密信 号。 所谓无线威胁，就是指用户在通过( 无线接入点a p ) 身份认证后进入其所 在网络环境的安全状况。无线网络的安全威胁主要表现在以下几个方面f l o l ： 第一，由于开放性的无线通信信道，使得要防止窃听、恶意篡改和转发是不 可能的。因为有线网络的边界确定性，所以攻击者除了要通过物理线路接入网络， 还要绕过或欺骗防火墙和网关等诸多防线才能进入，因此要控制非法用户接入只 要通过管理接入端口就可以了。与之相反，无线网络防御边界的不确定性，使得 每个a p 覆盖的范围都是一个通向网络的便捷通道。由于无线信号自身传输的特 点，要确定地将数据传送给指定目标是完全不可能的，故在无线信号覆盖的有效 范围之内，只要用户具有相同的接收频率就能接收接入点a p 传送的数据，或者 2 中南大学硕士学位论文第一章绪论 通过接入点a p 访问上级网络。这导致每个网络节点都会面临直接或间接的攻击 和破坏，从而带来了数据信号的非法截取、未经授权的网络信息服务等一系列的 信息安全问题。 第二，无线网络的移动性使得网络的安全管理更加困难，也使得移动节点和 网络体系结构的脆弱性更加明显。无线网络有别于有线网络必须通过线缆连接， 摆脱了线缆的束缚，节点可以移动，但是在用户终端管理方面就不如有线网络， 则比较困难，这也意味着移动节点不可能有足够的物理防护，从而易被窃听、破 坏和劫持。所以攻击者无论在何处都能通过移动设备进行攻击，而要确定和跟踪 某个移动节点在全球范围内是天方夜谭；而已被入侵的节点对网络造成的危害可 能会更大，甚至可能导致网络完全瘫痪。 第三，无线网络拓扑结构的动态变化使得实施安全方案更加困难。有别于有 线网络固定的网络拓扑结构，无线网络由于动态变化网络拓扑结构，从而无法集 中管理，以致实施安全技术和方案更为复杂。此外，由于无线网络的分散决策机 制，使得许多依赖所有节点共同参与协作的网络算法无法有效的进行。缺乏一个 集中的管理机制意味着攻击者能利用这一弱点实施新的攻击来破坏共同协作的 算法。集中管理机制的缺乏使得入侵者能利用此弱点进行攻击和破坏。 第四，无线网络不稳定的无线信号传送造成它的生存性差。有别于有线网络 固定的传输环境、稳定的信号质量，无线网络由于用户的移动性，造成信道的不 稳定性和变化性，且信号干扰、衰弱等各种原因都会影响无线信道的正常工作， 造成信号质量波动或发生信息衰减，进而导致信息丢失无法进行通信。 第五，无线网络传输带宽的有限性使其服务和性能都受到诸多限制。无线网 络的实际最高有效吞吐量由于物理层的开销，使得它仅为标准的一半，并且接入 点( a p ) 的所有用户共享带宽。而且无限带宽还可能被恶意吞噬：如果攻击者 从以太局域网发送大量的p i n g 流量，这些源于有线网络却远超过无线带宽的网 络流量，就会把a p 有限的带宽轻易地吞噬掉；攻击者如果发送广播流量，多个 a p 就会同时阻塞；在与无线网络相同的无线信道内攻击者也可以通过发送信号 让被攻击的网络进行自动适应，同样会影响到无线网络的传输功能。 2 ) 无线网络的攻击方式 因无线网络的兴起，各国的黑客针对无线网络的脆弱性，发现了许多无线网 络攻击方法，这些方法主要分为主动攻击和被动攻击。被动攻击只能被动接收无 线信号而不会主动发送任何信号；而主动攻击则既能探测网络状况，也能主动向 网络发送恶意的网络数据流。 以空气为传播媒介和可移动的设备是无线网络的两个主要特点。但是让无线 网络安全管理员头痛的是，那些传统的针对有线网络的攻击方法同样适用于无线 中南大学硕士学位论文第一章绪论 网络。因此针对无线网络这些特有的安全漏洞，许多专门针对无线网络的攻击方 法【1 4 】层出不穷，如图1 1 所示。 图1 1 无线网络攻击方法 目前，无线网络主要需面对的攻击被分为两类，一类是关于网络访问控制、 数据机密性保护和数据完整性保护进行的攻击。这类攻击在有线环境下也会发 生；另一类则是由无线介质本身的特性决定的，基于无线通信网络设计、部署和 维护的独特方式而进行的攻击。 1 无线探测( w i r e l e s sd e t e c t i n g ) 要定位一个无线网络方法有很多，其中“无线探测 是最基本的方式。必须 先获得一些额外的信息，是想访问或攻击网络的攻击者的第一要务，而理想方案 就是无线探测。类似于有线网络嗅探器的无线探测，能够捕捉到访问点a p 发送 的信标帧。a p 通过信标帧来广播自己的存在，并检测区域内其它a p 的存在。 据统计，有超过5 0 的无线网络是不使用加密功能的。通常即使加密功能处于 活动状态，a p 广播信息中仍然包括许多可以用来推断出w e p 密钥的明文信息。 无线嗅探软件可以对信标帧进行格式化、收集并显示它包括的基本服务集i d 、 是否w e p 使用、设备类型、无线设备的m a c 地址等基本信息。通过无线探测， 攻击者可以发现可能存在的无线网络并获得一些必要的信息，为进一步侵入网络 4 中南大学硕士学位论文 第一章绪论 做准备。 2 拒绝服务攻击( d o s ) 拒绝服务攻击d o s t ”l ( d e m mo fs e r v i c e ) 是指攻击者恶意占用主机或网络 几乎所有的资源，使得合法用户无法获得这些资源。无线信号传输的特性和专门 使用扩频技术，使得无线网络特别容易受到拒绝服务攻击的威胁。攻击者可以通 过多种方式来实现无线网络的拒绝服务攻击( d o s ) 。 无线电波是无线网络设备之间实现通信的介质。由美国联邦通信委员会 ( f c c ) 负责管制和分配无线电频率资源，并将8 0 2 1 1 b 无线网络设定工作在u h f ( 超高频) 2 4 g h z 频段。无线通讯如果受到一些物理上的威胁就会造成信号衰 减，这些威胁包括：树、建筑物、雷雨和山峰等破坏无线通讯的物体。而且8 0 2 1 l b 网络不旦要面对攻击者实施的外部干扰，还可能要面对网络内部自己产生的干 扰，因为很多商用设备就可以轻松的干扰到无线网络。只要在8 0 2 1 1 b 设备1 0 米范围之内放置2 4 g h z 的无线应用设备，就能对无线网络产生干扰，从而实现 拒绝服务攻击( d o s ) 。另一个可能的攻击手段是发送大量非法( 或合法) 的身 份验证请求。而攻击者通过无线基站发起的恶意的拒绝服务攻击( d o s ) 会造成系 统重起。 3 恶意访问点 所谓恶意访问点是指那些没有经过网管规划或许可就直接接入网络的a p 。 这些a p 可能是网络内部用户为了自身方便和实现移动办公而自己私自放置的， 虽然本意不是恶意的，但是因为没有纳入内部网络的安全防御体系而使其成为网 络的漏洞。而即使只使用w e p ，无线网络受攻击的可能性也会降低到3 5 以下， 但是由于无线网络的安全问题并没有被大部分用户意识到，连这个基本措施，也 很少有人实施。防火墙的检测很容易就被攻击者利用该a p 绕开，从而可以连接 到网络的任何位置，进而发动攻击。 有些恶意a p 是攻击者为了攻击和干扰无线网络而特意部署的。当某个客户 端用户无意中连接到这些a p 并通过它意图访问内部服务器时，该a p 就能捕捉 到客户端用户的合法信息，并可在以后用于发起网络攻击。如图1 1 中的虚假 a p 。 g 会话劫持攻击( s e s s i o nh i j a c k ) 任何网络设备都拥有一个标志用户身份的唯一的m a c 地址。但是，因为 t c p i p ( t r a n s m i s s i o nc o n t r o lp r o t o c o l i n t e r a c tp r o t o c o l ，传输控制协议，网际协 议) 的设计原因，m a c i p 地址欺骗几乎无法防止，用户要修改自己的m a c 地 址是很容易的。大多数攻击者为了隐藏自己的身份，发动攻击的第一步就是修改 自己的m a c 地址。很多工具都可以伪造m a c 地址，假冒一个已授权无线a p 中南大学硕士学位论文第一章绪论 或者客户端，再通过其他途径使得合法用户不能工作。因为此时先前的合法终端 机已处于认证状态，因此攻击者得以享有合法的权限，可以发起拒绝服务攻击、 逃避接入控制机制，提供虚假服务给客户端等攻击。图1 1 中，攻击者对目标3 和目标5 进行的攻击模式就是会话劫持攻击。 5 中间人攻击 所谓中间人攻击是一种“间接”的入侵攻击。图1 1 中，攻击者对目标1 和 目标4 进行的攻击就是中间人攻击。在此种攻击模式中，攻击者将自己伪装成 a p ，欺骗合法用户在毫无防范的情况下输入自己的身份验证信息，使其在假冒 a p 进行身份认证，而攻击者则利用这些身份验证信息通过合法a p 。我们将虚拟 地放置在网络连接中的两台通信终端之间的计算机称为“中间人”。这样攻击者 就与两个原始终端建立了活动连接，由于其允许原始终端读取或修改传递的信 息，故两个原始终端用户不自知仍以为是他们彼此在互相通信。 1 2 2 无线网络的攻击检测方法 1 ) m a c 地址检测 目前无线网络中最基本的入侵检测方法就是m a c 地址过滤。任何无线终端 想要与无线网络通信，必须首先和无线a p 进行连接和身份认证。在连接之前， a p 会将终端用户的m a c 地址与已存地址控制列表进行比对，如果发现地址存 在于黑名单内，则认为用户是入侵者。 但在大型无线网络中，如果网络管理不完善，让用户可以使用自己的无线终 端进行访问连接，使得在a p 无法预先准备m a c 地址控制列表。而且用户通过 某些软件或直接修改网卡的设置可以很方便的改动自己的m a c 地址，从而可以 绕过访问控制列表，窃取网络信息。因此通过简单的m a c 地址过滤想要有效的 阻止入侵是不可能的。 虽然攻击者可随意修改自己的m a c 地址，但是合法的m a c 地址并不完全 是随机的。由于任何一个许可生产网卡的硬件厂商都从i e e e 获得了一个3 字节 的全球唯一组织标志，而m a c 地址从厂商标志开始，所以通过比较m a c 地址 的前缀和厂商标志列表，可以判断m a c 地址是否非法。从而检查出部分非法地 址和伪造m a c 地址，减少i d s 的输入数据，缓减其后续处理的压力。 但由于标志列表是公开的，任何人都可以获得。故攻击者仍可以以厂商标志 为前缀与通过程序随机获得的剩余比特位组成完整的m a c 地址来规避这种检 测；另外，攻击者也可以通过“无线探测”将自己的m a c 地址修改为合法用户 的m a c 地址来绕过检测。对于这两种情况，上述方法则无效【1 4 】。 尽管如此，由于8 0 2 1 1 体系结构的m a c 子层规范比之前的i e e e8 0 2 协议 的m a c 子层要复杂i l6 j 。对于伪造的m a c 地址，还是可以通过分析w l a n 序 6 中南大学硕士学位论文 第一章绪论 列号检测出来。 根据8 0 2 1 l b 协议，m a c 帧分为控制帧、管理帧和数据帧，其数据格式如 图1 - 2 所示。由于在传送过程中大数据报容易被破坏，故为了减少重传概率提高 整体性能，协议允许大数据报被分片传送，而m a c 子层负责将其进行分片和组 装。8 0 2 1 1 的m a c 头增加序列控制字段来实现分片功能，它包括分段号和序列 号两个子字段。在同一分段号内，每发送一帧序列号字段值就自动加1 。用户是 不能随意修改硬件决定的m s d u 序列号的【1 7 t ，因此系统可以通过检查相同源 m a c 地址的m s d u 序列号是否连续，来识别d o s 和中间人攻击。 卜卜一m a c ：头叫 li i 2266626 id 2 3 1 2 6 帧控持续序列 制时间 地址1地址2地址3地址4帧体f c s 控制 b i t s 互1 2 x 分段号序列号 图1 28 0 2 1 1m a c 帧格式 虽然可以通过判断m s d u 序列号是否连续来识别假冒m a c 地址，但是此 方法仍然存在一些漏洞使入侵检测出现误报： ( 1 ) 无线网卡重新初始化，数据包的序列号会再次从o 开始。 ( 2 ) 数据包的序列号是模4 0 9 6 的，所以当数据包的序列号到4 0 9 5 后，会跳 变为0 。 ( 3 ) 无线工作站漫游出检测范围，然后又漫游回来。 ( 4 ) 某些没有完全遵守8 0 2 1 1 协议关于序列控制规定的网卡会从自己的序列 号队列跳变为a p 发送帧的序列号，短时间内与a p 发送帧序列号保持一致，然 后又跳回到自己的原来的序列号队列中。 由于上述情况的存在，不能通过简单的检测m a c 地址相同的m s d u 序列 号是否连续来判断。 2 ) 有向天线检测 由于无线网络信号的实际覆盖范围会大于其所希望配置的物理覆盖范围，因 此攻击者可以利用信号泄漏的漏洞连接到内部网络。利用有向天线检测无线入侵 的基本是在无线网络的物理边界上安插若干“守卫”，使其无法进入设定的边界 【1 8 】。如图1 3 所示，将使用普通全向天线的a p 放置在中央，将朝向外面的有向 天线a p 放在边界处，用以防御和检测无线入侵，实现无线入侵检测系统【1 4 l 。 7 中南大学硕士学位论文第一章绪论 图l - 3 有向天线检测入侵者 使用此方法能在攻击者进入无线信号覆盖范围之前对其入侵行为预先发现， 并制定入侵响应策略阻止攻击者连接到无线网络，保护无线网络的安全。并且根 据接收信号a p 的位置、有向天线的角度以及信号的强弱来判断入侵者的大概的 物理位置，此方法还可以为安全响应系统提供帮助。 但是在实际应用中此方法存在明显缺点。第一，此方法首先假定边界内部是 安全的，认为攻击者进入边界内部连接到无线网络是不可能的，这在很多实际架 设无线局域网的地方是无法实现的。第二，由于多径反射和周边物理环境的散射 效应，会导致攻击者的具体位置无法准确判吲1 4 】。第三，此方法需要在无线网 络的物理边界部署多个带有有向天线的a p ，导致i d s 的成本增加，特别是无线 边界很长或无线网络含有多个a p ，而a p 却不在一块连续的地域时。 1 2 3 入侵检测技术在无线网络的引入 入侵检测的概念是由j a m e sa n d e r s o n 1 9 】于19 8 4 年最先提出来的。入侵检测 系统( d s ) 是一种为了保护自身网络和系统免遭非法攻击而采取的一种网络安 全主动防御技术，它是一种动态的安全防护技术，是继“防火墙”和“数据加密 等传统安全保护措施后的又一项新的安全保障技术，它通过检测并响应网络系统 中的恶意行为来提高系统的可靠性与生存性【1 4 】。 由于网络技术的日益复杂化，再加上网络攻击手段的日益专业化，目前的 i d s 产品尤其是简单基于c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 2 0 】模型 的i d s 系统已经远远不能满足网络安全的要求了，更不用说是满足无线网络安 全的要求了。 虽然加密和身份认证等安全技术能够减少无线网络的入侵，但并不能排除入 8 中南大学硕士学位论文第一章绪论 侵，所以入侵检测就成为抵御攻击的第二道防线。在无线网络领域，很多理论上 高效的入侵检测系统已经被设计出来了。它们的基本原理通常都是通过持续不断 的对终端、系统以及网络行为进行监控，而且通常由专门的中心实体作决策。尽 管它们的体系结构在理论上是有效的，但由于无线网络自身固有的缺陷，当实际 运用这些理论技术到无线网络上时并不能达到预期的效果。 “ 无线环境下的入侵检测与固有网络不同，目前的研究还相对比较少，其最大 的不同在于没有固定的网络体系结构。由于无线网络开放性的特点，其比有线网 络的安全性要低很多，曾有少数入侵检测系统用数据挖掘技术挖掘数据源与数据 库中数据的关联性，而检测出异常，但有效性并不高，仍有许多入侵无法检测出 来。 目前，大多数学者认为针对数据挖掘技术的研究仍然处于广泛研究和探索阶 段，它在基础理论、系统构架、应用模式以及挖掘算法和语言等诸多方面迫切需 要创新发展。经过研究人员多年的努力，数据挖掘在继承和发展相关基础学科方 面取得了令人欣喜的进步，探索出许多独具特色的理论体系。这些理论体系让研 究者有了更为丰富的理论课题和研究方向，也让数据挖掘理论的探索越来越深 入，从而促进新挖掘算法的诞生。而这些算法可能会扩展数据挖掘的有效性，进 而提高数据挖掘应用领域的有效性，特别是入侵检测系统检测的有效性。 目前，针对关联规贝l j ( a s s o c i a t i o nr u l e ) 的研究已经成为数据挖掘领域重要的研 究方向之一。研究者们在数据挖掘关联规则算法的研究上已取得了一些惊人进 展。如19 9 4 ，a g r a w a l 2 1 】瞄1 等人在以前工作的基础上，完善了一个称为a p r i o r i 2 3 1 的关联规则基本挖掘算法。此算法一直作为经典的关联规则挖掘算法被大量引 用。但是该算法有两个致命的性能瓶颈【2 4 】： ( 1 ) 需多次扫描事务数据库，造成i o 负载很大。 ( 2 ) 可能会产生庞大的侯选集。 为了改善这两个缺陷，国内外研究者都在a p r i o r i 基本算法的基础上发现了 更有效的改进算法。如文献【2 5 】提出了i s s d m 算法以进一步减少对数据库的访 问，它只需一趟扫描就能完成对关联规则的挖掘。文献 2 6 1 、文献 2 7 1 和文献 2 8 】 则分析了概念格与关联规则提取之间的关系。 只是不管是查找完整的频繁项集集合，还是精简集，以及最大频繁项集集合， 都存在算法的效率问题，而且对于实时豹入侵检测日志数据库还没有什么快速有 效的算法。所以对于基于关联规则的入侵检测系统，提高关联规则的挖掘效率就 是提高入侵检测的检测率。 1 3 论文研究内容及组织结构 9 中南大学硕士学位论文第一章绪论 在广泛参考和研究相关资料的基础上，我们采取理论分析、算法实现和仿真 试验相结合的方法。首先对无线网络入侵检测系统研究的现状进行了概述，接着 对关联规则数据挖掘算法进行了概述，并对基本算法a p r i o r i 进行了详细的描述， 然后比较了在此算法之上的几个改进算法的优缺点。探讨了应用项集矩阵( i s 蛐 和聚类矩阵( c m a ) 来改进数据预处理、数据划分和关联规则挖掘的方法，提出了 基于i s m c m 的关联规则改进算法，并进行了相关的试验。 全文共分四章，各章内容如下： 第一章首先分析了无线网络的安全现状，包括无线网络存在的威胁和入侵者 的攻击方式，以及针对无线攻击现有的检测方法，提出了在无线网络引入入侵检 测技术的意义以及仍存在的问题，同时给出了国内外研究中对数据挖掘关联规则 算法的研究现状，并指出了课题研究的意义； 第二章首先对聚类分析和关联规则进行了简单概述，然后对关联规则算法进 行了深入研究，包括以及基本关联规则算法a p r i o r i 的定义、基本挖掘模型，并 对在a p r i o r i 算法之上的几个改进算法进行了比较。 第三章为了提高关联规则挖掘的效率，提出了一种改进算法( i s m c m ) ，将聚 类划分的理念运用到关联规则挖掘的数据事务集中，即用项集矩阵( i s m ) 和聚类 矩阵( c m a ) 改进关联规则算法的基本原理，并对算法进行了实例应用和实现，然 后在此基础上对算法的效率进行了验证实验，实验结果与原a p r i o r i 算法相比效 率有了显著提高。 第四章提出了无线入侵检测系统的代理模型和决策机制，以及入侵检测系统 在数据挖掘算法上的引入，并将改进的算法( i s m c m ) 应用到无线网络入侵检测系 统，包括入侵检测系统的基本思想、采用的数据源和关联规则挖掘的思想，以及 在此之上做的无线入侵检测系统的仿真实验，实验结果同样表明新的系统是有效 的，可以检测出几种常见的无线攻击。 第五章将研究工作进行了总结，给出了基于i s m c m 算法进行无线入侵检测 的结论，并指出当前存在的问题和后续研究的方向和工作重心。 1 0 中南大学硕士学位论文第二章数据挖掘算法研究 第二章数据挖掘算法研究 目前，数据挖掘理论以被应用到各个领域，因此对数据挖掘算法的研究越来 越深入，其中在入侵检测领域应用得最为广泛地是聚类分析和关联规则算法。 2 1 数据挖掘算法概述 从不同的角度出发，数据挖掘可按照以下三种方式分类：根据挖掘的对象数 据库分类、根据挖掘的知识类型分类和根据挖掘的技术分类。而我们通常的数据 挖掘算法是根据知识类型进行论述，主要包括关联规则分析、聚类分析、分类规 则分析和序列模式分析。 2 1 1 聚类分析 聚类是将物理或抽象对象的集合分组成为由类似的对象组成的多个类的过 程。聚类分析则是根据指定的相似度准则，对由聚类所生成的一组数据对象的集 合进行划分，同一聚类簇中的对象尽可能相近，不同聚类簇之间的对象尽可能相 异【2 9 。3 1 1 。 ( 1 ) 聚类分析的数据类型 假设要聚类的数据集合包含1 1 个数据对象，这些数据对象可能表示人、房子、 文档、入侵检测日志记录。虽然要聚类的数据集合可能会出现多种数据类型，但 在此我们只研究在聚类分析中经常出现的数据类型数据矩阵瞄】。 数据矩阵( d a t am a t r i x ，或称为对象与变量结构) ，它用p 个变量( 也称为度 量或属性) 来表现n 个对象，例如用帧类型、基本服务区标识符( b s s t d ) 、目标 地址( d a ) 、源地址( s a ) 、持续时间和序列号变化等属性来表现对象“入侵日志记 录 。这种数据结构是关系表的形式，或者看成1 i p ( n 个对象p 个变量) 的 矩阵。 x l f 石l j 口 x 矿x 睁 x 矿 x 印 公式( 2 1 ) 聚