一种基于无线网络的动态主动防御系统设计方法

一种基于无线网络的动态主动防御系统设计方法 邵成军摘要：随着无线网络的应用程度的深入，随之引起的安全问题已经成为现代网络安全研究的一个重要领域。本文从无线网络应用的特点入手，提出主动防御的“动态形态”的陷阱网络体系结构，并设计了原型系统的主要算法。通过仿真实验证明，应用该动态主动防御体系，大大提高了无线网络主动防御能力和安全性。 0引言无线局域网利用电磁波传送和接受数据，不需要专门架设物理联接设备。因此可以灵活多变的适应各种网络环境的需求，对有线网络是个补充和扩展，网络中的节点具有很好的可移动性。目前无线网络一些标准、规范不断成熟，终端用户程序和服务不断被开发。无线网络由于传输介质的公开性，导致更容易遭到入侵者的攻击，不仅会受到与有线网络相同的TCPIP攻击，而且还会受到 80211协议标准的攻击。因此无线网络的安全性受到了更严重的威胁。1动态形态的陷阱网络构架 1.1陷阱网络防御原理 “陷阱项目组”(The HoneynetProject)的创始人LanceSpitzner 给出了对陷阱的权威定义：“陷阱是一种安全资源，其价值在于被扫描、攻击和攻陷”。这个定义表明陷阱并无其他实际作用，因此所有流流出陷阱的网络流量都可能预示了扫描、攻击和攻陷。而陷阱的核心价值就在于对这些攻击活动进行监视、检测和分析12I。它不会直接提高计算机网络的安全，但是它却是其它安全策略所不可替代的一种主动防御技术。 1.2动态形态的陷阱网络结构提出 目前的安全工具有防火墙、入侵检测、反病毒软件等，其建立的网络安全防御体系为网络提供了基本的安全保障，但仍有许多弱点和欠缺，特别是应用在无线网络领域中。本文提出设计的无线陷阱体系，动态生成陷阱节点利用虚假接体系结构入点吸引入侵者，研究分析入侵者的攻击行为和技术、工具。同时利用有限的系统节点资源构建动态的陷阱网络体系，不仅迷惑入侵者，主要可以消耗入侵者的攻击力量，从而起到保护无线网络的安全。同时可以将陷阱系统、防火墙和IDS整合在一起，协调动作，构建一种动态主动防御体系。 1.3动态形态的陷阱网络结构实现 “动态形态”功能系统由转发器、预处理机、主控节点、网络节点拓扑模板库、后端分析模块、客户端模拟节点、服务器端模拟节点等模块组成。1.4动态形态的陷阱网络实现关键技术 1.4.1陷阱点的配置模板文件 动态改变陷阱网络的拓扑结构，主要是建立在开源Honeyd项目上。Honeyd提供了丰富的脚本语言，利用该脚本语言编写模拟多种操作系统或者不同拓朴结构的虚拟主机。利用脚本语言开发出各种类型的陷阱点的配置模板文件，然后在一个算法下动态加载， 以此技术来实现动态形态的改变的生成。 以下给出使用虚拟路由器的模板配置文件。该拓扑模板实现了稍微复杂的网络结构。Create router Set router personality“Cisco IOS115一l20” Set router default tcp action reset Set router default udp action reset Add router tcp port23 Set router uid 32765 gid 32765 Set router uptime 1.4.2特征码生成算法 黑客被诱骗进入陷阱网络后，短时间内陷阱机会流入大量携带恶意代码的网络数据包，因此当接收流入数据包的缓冲区在t时间段内充满时就会生成一条特征码161。首先将每个数据包负载划分为变长字符串因子。然后利用字符串编辑距离计算字符串之间的相似度，相似度小于d的字符串因子就编为一个候选因子队列。最后对候选因子按出现频率进行排序，应用贪婪法选择高频候选因子组成检测码。具体描述如下： P表示数据包负载pi的集合；R表示字符串因子ri的集合；S 表示候选因子si的集合；Qi表示与候选因子si相似的字符串因子队列；C表示特征码ci的集合。AutoGenerate_Signature(P，m，M，d，1) P：数据包负载集合； m，M：宇符串因子大小阈值； d： 编辑距离阈值；l： 检测码最大长度 ；S一/候选因子集合赋空字符串 Found一falseRepentIf SizeP0 and DelayTimet thenRepent for every pi in P=pi,i=1,2,. ri (pi divided into a small block )If length(ri) then R Repeat for every ri in R =RI,I=1,2,.Repeat for every si in Sif Editdistance(ri,si)d thenAdd(qi,ri);Found trueuntil Found =true If Found =false then S Found =alse;算法首先将数据包负载划分为多个字符串因子，在此改进Autograph系统基于内Rabin fingerprint划分方法。fingerprint可以将长字符串转化为等价短字符指纹，并且计算效率高。使用随机多休止标志。分析已知入侵检测码，根据专家经验选取检测码中出现频率最高的字符作为待选休止标志，然后在整个划分过程中随机选择多休止标志。2仿真结果及分析 2.1仿真实验方案 在校园网中建立无限陷阱网络，在陷阱机后端安装IDS和ACID系统。Snon捕获的数据包经按规则过滤后存入MySQL数据库中，便于以后提取数据包作为入侵活动检测码提取实验该方案设计实践中发现MySQI数据库中存在大量普通反映入侵活动的网络数据包，对入侵检测码实验影响很大，于是改变思路，将常见恶意代码程序的机器码提取出存入文本文件，然后使用一个文本文件模拟网络数据包负载，再使用Perl程序提取文本文件中的3结束语特征串。该方案可以去除冗余数据，提高实验的精度。 2.2实验结果与分析 首先，讨论陷阱网络采集时间间隔与特征码生成的关系，寻找最佳时间间隔。实验环境是校园网，在校园网内模拟几种常见漏洞的溢出攻击程序，来实现黑客攻击行为的仿真实验。字符串因子长度限制为【16，64】，滑动窗口k=4；检测码长度限制1=100；编辑距离。阈值d=07；采用变休止标志划分字符串因子。当采集时间间隔过小或者过大时，检测码很难生成，而间隔时间为1220分钟时可生成大量检测码。实验结果与黑客攻击行为相适 应，黑客在一定时间内迅速做出攻击网络的行为，堆栈在规定时间内充满，将激活检测码生成引擎工作。时间过短或者过长，堆栈不能充满就被清除了，因此几乎不能生成特征码。检测码自动提取与编辑距离阈值d的关系是第二个实验重点，在其它参数不变的前提下，不断修改编辑距离阈值d。拐点出现在0.7附近，当小于0.7时，检测码生成速度慢；而当大于0.9时，检测码生成速度过快，检测码质量明显下降。所以实验中编辑距离阈值d一般选0.7-0.8之间。网络数据包数为n；所有包含入侵行为的数据包数为m，其余不包含入侵行为的数据包数为v，则检测码敏感度定义为S=jl_。因此敏感度越高，检测能力越好。选取10000数据包作为测试集，其中取检测码越长，敏感度越高。但是如果检测码过长，检测效率降低。字符串因子控制在64128之间，效果比较理想。3结束语 通过文章的阐述及实验验证，本文提出的动态形态陷阱网络是新型的陷阱网络体系。动态陷阱节点的生成，根据一定的算法在不同时间段虚拟不同拓扑结构的网络或PC机，将陷阱系统、防火墙和 IDS整合在一起，协调动作，构建了一种动态主动防御体系，提高无线网络主动防御能力。参考文献： 【1】JimGeter无线局域网【M】王群，译北京：人民邮电出版社，2000 【2】徐再庆，张尧弼基于智能代理的网络监测系统【J】计算机工程，2000，26(9)：132一134【3】楼颖明无线局域网安全技术分析与研究【D】上海：上海交通大学， 2003 【4】 B.Schneier Honeypots and thn;Honeynet Project 2001(15)【5】Lance Spitzner;邓云佳 Honeynet;追踪黑客 2004【6】ECr宪网络陷阱的研究与实现【D】大连：大连海事大学，2006，3【7】T Destri