无线网络的分布式入侵检测模型研究

无线网络的分布式入侵检测模型研究无线网络的分布式入侵检测模型研究 摘要 对无线网络安全方面的问题和无线网络的特点进行了概 述 分析了无线网络的入侵检测模型进行了分析 提出了一个分 分布式的无线网络入侵检测系统模型 并给出了具体的拓扑结构 设计 通过实验 证明这个入侵检测系统的设计和实现具有很好 的安全性 其安全保障具有一定的实用性 值得推广 关键词 无线网络 分布式 入侵检测 检测代理 中心控制 台 wireless network distributed intrusion detection model study luo zhuojun ouyang weihao hunan mass media vocational technical college changsha410100 china abstract the problem of wireless network security and wireless networking features an overview of wireless network intrusion detection model a sub distributed wireless network intrusion detection system and given the specific topology design an experiment to prove that the intrusion detection system design and implementation with good security the security has a certain practicality and worthy of promotion keywords wireless networks distributed intrusion detection detection agents center console 一 引言 由于 internet 已经深入到每一个人的生活中 其信息安全问题 就关系到每一个使用它的人 网络信息安全技术就成为一个重要 的攻关课题 无线网络作为有线网络的延伸 由于它的便捷性 已经在生活中占据很大的份额 由于无线网络是使用射频发射信 号 所以很容易受到攻击 如果非法用户攻破了系统的防火墙 就可以伪装成合法的节点 对系统进行攻击 所以只依靠传统的 加密技术和防火墙技术很难对无线网络的安全起到完善的保障作 用 一种既能检测内部恶意攻击又能检测外部破坏行为的分布式 入侵检测系统就在无线网络的安全中得到广泛应用 分布式入侵 检测系统是通过采集无线网络系统中的信息 并分析其行为是否 为合法行为 来判断其是否遭到非法攻击 来做出响应 但这种 无线网络的分布式入侵检测系统还有待进一步完善 在技术上有 待改进 二 无线网络的安全问题 由于无线网络是开放的 没有确切的边界 无法集中监视和管 理 因此它受到的攻击来自四面八方 每个节点都可能受到攻击 因此带来了如下的安全威胁 1 无线网络和有线网络只是在传输方式上存在差异 因此所有 有线网络存在的安全威胁和隐患在无线网络中都存在 如病毒 木马 漏洞利用 扫描攻击及拒绝服务等都会在无线网络中出现 2 像包括恶意的媒体访问控制 mac 地址伪装这些攻击方式 都 是针对 ieee802 11 网络采用的有线等效保密协议 wep 存在的漏 洞进行破解攻击的 在无线网络中也会大量使用 3 假冒 ap 非授 权接入 欺骗合法用户 对于含 ap 模式 攻击者只要接入非授权 的假冒 ap 就可登录欺骗合法用户 4 网络窃听 密码破解 易被 篡改和插入 5 拒绝服务攻击 dos 和干扰 攻击者可能对 ap 进 行泛洪攻击 使 ap 拒绝服务 此外 对移动自组网模式内的某个 节点进行攻击 让它不停地提供服务或进行数据包转发 使其能 源耗尽而不能继续工作 通常称为能源消耗攻击 6 现有的探测 和扫描工具使非法接入网络非常方便 由于无线网络存在这些安 全问题 我们就要引入相应的安全保障措施 其中 分布式的入 侵检测系统就能很好的解决我们在无线网络中遇到的安全问题 保障我们无线网络安全的正常工作 三 无线网络中入侵检测模型的分析 入侵检测是指发现非授权用户使用系统或企图使用系统的行为 以及发现合法用户滥用其特权行为的过程 完成入侵检测的系统 称为入侵检测系统 ids 入侵检测系统自身的各个模块要具有 相当好的安全性 他们之间的通信要不可仿冒 也不可破坏 具 有安全性 保密性 完整性 在各种网络环境中都具有很好的鲁 棒性 每一个入侵者都会想方设法逃避检测 使用各种伪装技巧 入侵检测系统要具有相当好的入侵检测算法 不会漏报 误报入 侵检测数据 真正具有入侵检测能力 能把好入侵检测关 具有 很好的防欺骗能力 能捕获每一个非法入侵行为 能给网络的安 全使用提供很好的安全保障作用 按照入侵检测系统处理信息的 来源的不同 可将入侵检测系统分为基于网络的入侵检修系统 hids 和侧重于对攻击的事后分析的基于主机的入侵检测系统 nids ids 根据数据收集 分析 响应方式的分布又可分为集 中式 nids 和分布式 nids 基于以上的分析 我们提出一种分布式 网络入侵检测系统模型 对基础结构模式的 wlan 进行保护 可以 在很大程度上提高 wlan 的安全性 四 无线网络的分布式入侵检测模型的理论设计 无线网络的入侵检测技术主要有两种方式 一种是基于误用的 入侵检测技术 它使用的方法就是对系统遭受入侵和攻击的数据 进行统计 对他们的相关知识进行分析 提出特征和模式 然后 形成入侵行为数据库 对系统中的行为在数据库中进行对比 看 是否在数据库中有此行为 若有就是入侵行为 否则就是非法行 为 这个入侵行为数据库根据入侵的行为的变化而不断扩大 以 适应外围的变化 另外一种就是异常入侵检测模型 就是把网络 的正常行为都做成一个参考模型 进行量化 并提取相应的特征 值 看网络中的行为是否符合这些参数 如不符合 并偏离一定 的值 就判定它是非法的 是入侵行为 我们在这提出的分布式 入侵检测系统是基于误用原则的入侵检测系统 五 无线网络的分布式入侵检测模型的实现 根据无线网络的安全保障的需要 根据上面的分析 我们设计 了一个由中心控制台和监测代理组成的分布式无线网络入侵监测 系统 这个系统具有很强的入侵监测判断能力 误报率很低 效 果很好 中心控制台是由决策响应模块和和管理模块组成 并对监测代 理单元进行配置 对监测结果进行智能分析 并判断是否为入侵 行为 中心控制台收到监测代理发来的消息 就发送到决策响应 模块 由决策响应模块对发来的信息进行进一步的分析 看他是 否是入侵信息 对他的真实身份进行智能分析 以免误报或者漏 报 对网络的安全形成不好的影响 为了提高决策的准确率 在 决策响应模块中设置了一个判断机构 投票机 投票机使用的判 定规则就是对同一上报来的数据行为 只有当大多数检测代理都 判定其为入侵时 并设定一个固定的值 并超过这个设定的固定值 时 才认定这种行为是入侵行为 这时 决策代理机构就发出入 侵行为的警告消息 各个监测代理就会收到入侵行为的确认消息 说明网络收到入侵行为的干扰 决策代理把收到的入侵行为的信 息进行智能化分析 并把各个监测代理的分析结果进行研究 判 断 并做出进一步的分析 进一步进行态势评估 从而对整网络区 域的安全情况进行评价 做出是否受到入侵的结论 另外 它还 可以对入侵行为进行物理定位 具有响应功能 管理员界面的信 息通过决策模块提供的与管理模块进行联系的通信接口进行通信 实现对信息的接受和发送 管理模块可以通过这个通信接口对监 测代理进行通信 达到对监测代理的监控作用 对它的行为和状 态进行控制 管理模块功能主要是由进行人机对话 控制管理 入 侵信息的数据库更新等组成 我们使用具有误用的原则的入侵监测技术来设置监测代理 我们 把无线网络入侵监测系统由数据采集模块 数据分析模块和响应 日志模块组成 其中 数据捕获子模块和数据解码子模块组成数 据采集模块 数据捕获模块的作用是负责收集无线数据包 捕获 流经网卡的数据包 数据解码模块的功能是利用网络协议的有序性 将数据捕获模块捕获的数据从下到上进行分层解码并存到一个数 据结构里 作为数据分析模块的数据源 并将数据提交分析检测模 块进行检测分析 同时将数据存储于数据缓冲区中 规则处理子 模块和规则匹配子模块构成数据分析模块 规则处理模块的功能 主要负责将规则文件按照一定顺序生成规则链表 作为规则匹配时 的模式 规则匹配就是将数据采集模块送来的数据在规则链表中进 行查找 数据分析模块是入侵检测的核心 对无线数据包进行分 析 完成对入侵行为的发现和识别 产生告警信息 并将告警信 息发给中心控制台 分析检测模块采用误用检测和异常检测相结 合的方法 整个分析过程由误用检测和异常检测两个部分组成 误用检测采用基于特征库的模式匹配技术 匹配算法采用改进的 boyer moore 算法 该算法在性能 效率和资源消耗等方面都有 很好的表现 此部分非常适合对已知入侵的检测 并且非常有效 异常检测采用统计分析方法 对未知入侵的异常行为进行统计分 析 和安全策略库中定义的正常值比较 如果超出正常值范围 则认为系统受到未知入侵攻击 同时 这两个部分又是相互补充 的 在检测出新的入侵种类后 可以通过对安全策略库的分析总 结出新入侵的特征格式 并将其增加到入侵特征库中 响应 日 志模块的作用为检测到入侵时 进行报警 日志记录等操作 六 小结 通过对无线网络的特点和安全性的详细的论述 以及对入侵检 测系统的分析 我们提出了一个基于误用准则的无线网络入侵检 测系统的具体的系统模型架构 我们充分验证了基于分布式的 wlan 入侵检测系统的可行性 随着无线局域网的使用越来越普及 使用面越来越广 对无线局域