基于无线网络的入侵检测系统研究
|
摘要
近几年来网络技术蓬勃发展,网络不再局限于有线的架构,在这个追求自由的时代里,无线网络自然成为人们关注的焦点。无线网络有方便快捷的特性,英特尔迅驰技术的发布,让“无线你的无限”之概念进一步深入人心。同时,无线网络的出现,也给IT业带来了新的安全问题。因为许多传统的安全措施对解决WLAN不适应。例如,很难通过防火墙和代理服务器那样的边界防范设备来控制用户对无线网络的访问。一个无线访问点对内部的所有用户都是公开的,入侵者及不受信任的用户可以很容易的进入无线网络访问各种资源。随着黑客入侵的技术水平不断提高,攻击规模日益扩大,信息安全已逐渐发展成为信息系统的关键问题。
理想入侵检测系统的功能主要有:监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用日志记录入侵行为等。但是现有的入侵检测技术不能有效的应用于无线网络。当前,对WLAN的入侵检测大都处于试验阶段,比如开放源代码的入侵检测系统Snort发布的Snort-wireless测试版,增加了Wi-Fi协议字段和选项关键字,采用规则匹配的方法进行入侵检测,其AP由管理员手工配置,因此能很好地识别假冒AP,在扩展AP时亦需重新配置。但是,由于其规则文件无有效的规则定义,使检测功能有限,而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击。
本文首先介绍了无线网络的概念、分类,并与有线网络就安全性进行了比较,总结了无线网络存在的安全风险。然后对无线局域网协议进行了研究,重点介绍了IEEE802.11b、IEEE802.11i及中国的WAPI协议,对它们的优缺点进行了比较分析。随后介绍了入侵检测的概念及分类方法,简要介绍了神经网络、分布处理技术等几种智能化入侵检测方法;进而研究无线入侵检测技术的概念体系结构等基本理论;然后对实现无线入侵检测系统的几个关键模块进行设计,主要包括数据采集模块、协议解码模块、预处理模块、检测分析模块、规则解析模块等等;最后根据计算机技术和无线网络技术发展的方向,对无线入侵检测技术进行了展望。
Network technology is developing flourishingly recently, it doesn't localize in wired framework, wireless network is a focus that is concerned about by people in pursueing automatization age. Wireless network is convenient and fast.The issuance of Intel technology makes the concept of "wireless, limitless" penetrate with people's heart more and more. At the same time the coming of wireless network bring new security problem to IT. Because many traditional security way is not fit in with WLAN. For example, it is difficult to control user to access wireless network by firewall and agent server. Because a wireless access point is public to all inside user, intruder and distrustful user can enter wireless network to access all kinds of source easily. With the ceaseless improvement of Hacker's intrusion skill and the enlarging increasingly of attack area, information security has became a important problem concerning with information system.The function of Ideal IDS include watching and analyzing the action of user and system, auditing configuration and leak of system, evaluating susceptive and integrality of data, distinguishing from attack action, Statisticing unconventional action, collecting automatically mend that is interrelated with system, auditing, following and distinguishing from action that disobey security strategy, making log to record Intrusion action and so on. But existing IDS is not fit in with WLAN. Currently it is at the testing moment to detect the Intrusion to WLAN, for example, IDS-Snort that open source code has issued alpha stage Snort-wireless, this edition add Wi-F protocol field and optional keyword, adopt rule-suited way to detect Intrusion, its AP is configured handmadely by Administrator, so it can distinguish from fake AP, and we needs reconfigure it when we extend AP. Because these regular files have not effective rule to define, its detection function is limited and it can not detect these attack including MAC address disguise and flooding service resistance.At first this article introduces the concept and class of wireless network, compares security to wired network, and summarizes existent security risk of wireless network. Then this article research protocol of WLAN, introduce
emphatically ffiEE802.11bx IEEE802.11i and Chinese WAPI protocol, and compare and analyse their excellence and defect. Subsequently this article introduce the concept and taxonomy, and introduce some intelligentize Intrusion briefly Detection way including NN, distributed disposal technology;more research concept system framework of wireless IDS. And then design some pivotal module to realize wireless IDS, including data collecting module, protocol decoding module, pretreatment module, detection and analyse module, rule parsing module and so on. At last based on developmental direction of computer and wireless network technology, this article expect wireless IDS.
理想入侵检测系统的功能主要有:监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用日志记录入侵行为等。但是现有的入侵检测技术不能有效的应用于无线网络。当前,对WLAN的入侵检测大都处于试验阶段,比如开放源代码的入侵检测系统Snort发布的Snort-wireless测试版,增加了Wi-Fi协议字段和选项关键字,采用规则匹配的方法进行入侵检测,其AP由管理员手工配置,因此能很好地识别假冒AP,在扩展AP时亦需重新配置。但是,由于其规则文件无有效的规则定义,使检测功能有限,而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击。
本文首先介绍了无线网络的概念、分类,并与有线网络就安全性进行了比较,总结了无线网络存在的安全风险。然后对无线局域网协议进行了研究,重点介绍了IEEE802.11b、IEEE802.11i及中国的WAPI协议,对它们的优缺点进行了比较分析。随后介绍了入侵检测的概念及分类方法,简要介绍了神经网络、分布处理技术等几种智能化入侵检测方法;进而研究无线入侵检测技术的概念体系结构等基本理论;然后对实现无线入侵检测系统的几个关键模块进行设计,主要包括数据采集模块、协议解码模块、预处理模块、检测分析模块、规则解析模块等等;最后根据计算机技术和无线网络技术发展的方向,对无线入侵检测技术进行了展望。
Network technology is developing flourishingly recently, it doesn't localize in wired framework, wireless network is a focus that is concerned about by people in pursueing automatization age. Wireless network is convenient and fast.The issuance of Intel technology makes the concept of "wireless, limitless" penetrate with people's heart more and more. At the same time the coming of wireless network bring new security problem to IT. Because many traditional security way is not fit in with WLAN. For example, it is difficult to control user to access wireless network by firewall and agent server. Because a wireless access point is public to all inside user, intruder and distrustful user can enter wireless network to access all kinds of source easily. With the ceaseless improvement of Hacker's intrusion skill and the enlarging increasingly of attack area, information security has became a important problem concerning with information system.The function of Ideal IDS include watching and analyzing the action of user and system, auditing configuration and leak of system, evaluating susceptive and integrality of data, distinguishing from attack action, Statisticing unconventional action, collecting automatically mend that is interrelated with system, auditing, following and distinguishing from action that disobey security strategy, making log to record Intrusion action and so on. But existing IDS is not fit in with WLAN. Currently it is at the testing moment to detect the Intrusion to WLAN, for example, IDS-Snort that open source code has issued alpha stage Snort-wireless, this edition add Wi-F protocol field and optional keyword, adopt rule-suited way to detect Intrusion, its AP is configured handmadely by Administrator, so it can distinguish from fake AP, and we needs reconfigure it when we extend AP. Because these regular files have not effective rule to define, its detection function is limited and it can not detect these attack including MAC address disguise and flooding service resistance.At first this article introduces the concept and class of wireless network, compares security to wired network, and summarizes existent security risk of wireless network. Then this article research protocol of WLAN, introduce
emphatically ffiEE802.11bx IEEE802.11i and Chinese WAPI protocol, and compare and analyse their excellence and defect. Subsequently this article introduce the concept and taxonomy, and introduce some intelligentize Intrusion briefly Detection way including NN, distributed disposal technology;more research concept system framework of wireless IDS. And then design some pivotal module to realize wireless IDS, including data collecting module, protocol decoding module, pretreatment module, detection and analyse module, rule parsing module and so on. At last based on developmental direction of computer and wireless network technology, this article expect wireless IDS.
引文
[1] 莫足琴.入侵检测技术综述.计量与测试技术,2005,(12)
[2] 吴庆涛,邵志清.入侵检测研究综述.计算机应用研究,2005,(12)
[3] 何永明.浅析入侵检测系统(IDS).甘肃科技,2005,(07)
[4] 李阳,刘广,杜为民.入侵检测系统在网络安全中面临的挑战及对策.网络安全技术与应用,2005,(11)
[5] 蔡立斌,刘红军,周星,张浩.入侵检测技术在数字化校园网中的应用.现代计算机,2005,(10)
[6] 黄美琼.浅谈网络安全中的入侵检测系统.临沧教育学院学报,2005,(03)
[7] 兰义华,张颍江,钱涛.入侵检测技术的分析与发展趋势研究.网络安全技术与应用,2005,(08)
[8] 尉永青,.数据挖掘技术在入侵检测系统中的应用研究.信息技术与信息化,2005,(06)
[9] 梁志荣.网络入侵检测模型及其体系结构[J].网络安全技术与应用,2005,(1).
[10] 王立新,李渤,洪东明.持续发展的入侵检测技术[J].网络安全技术与应用,2005, (4).
[11] 上官晓丽.基于移动代理的分布式入侵检测系统[D].太原理工大学,2003.
[12] 汪静.入侵检测与防御技术研究[D].华东师范大学,2003.
[13] 张富斌.智能入侵检测技术研究[D].西安电子科技大学,2004.
[14] 郑慧.基于入侵检测系统的校园网络安全模型设计[D].吉林大学,2004.
[15] 李笑雪.分布式入侵检测系统的研究[D].郑州大学,2004.
[160] 张玉才.大型电信运营商集中计费系统设计及系统集成研究[D].电子科技大学,2004.
[17] 杨鹏.基于TCP/IP协议分析的网络入侵检测系统的研究与设计[D].兰州理工大学,2005.
[18] 田春阳.基于协同入侵检测技术的应用-入侵检测与管理系统(IMS)[D].武汉理工大学,2005.
[19] 刘文,.入侵检测系统的分析和使用.中国科技信息,2006,(02)
[20] 颜辉,曾大可.IDS中的黑客信息提取.长春工业大学学报(自然科学版),2003,(04)
[21] 李锦伟.防火墙和入侵检测系统的异同点分析.现代电子技术,2005,(17)
[22] 薛开平,洪佩琳,李津生.防火墙与入侵检测系统的自动协同.安徽电子信息职业技术学院学报,2005,(02)
[23] 黄人薇.浅析入侵检测技术有关问题.大众科技,2006,(01)
[24] 兰昆,周安民,岳亮.无线局域网的通信安全研究[J].信息安全与通信保密,2005,(2).
[25] 李庆超,邵志清.无线网络的安全架构与入侵检测的研究[J].计算机工程,2005,(3).
[26] 王鹏卓,张尧弼.802.11WLAN的安全缺陷及其对策[J].计算机工程,2004,(5).
[27] 李成严,张大珂,李慧慧.无线网络中信息安全加密技术的研究[J].信息技术,2004,(4).
[28] 杨磊,高海锋,张根度.应用于IEEE802.1x的可扩展认证协议的安全分析[J].计算机工程,2004,(10).
[29] 斯进,.无线局域网技术安全性现状分析及探讨.网络安全技术与应用,2006,(01)
[30] 杨寅春,张世明,张瑞山,陈克非.WAPI安全机制分析.计算机工程,2005,(10)
[31] 宋宇波,胡爱群,杨晓辉,王质礼.无线接入点WAPI认证机制的研究与实现.中国工程科学,2005,(09)
[32] 张江.无线以太网IEEE802.1x接入安全性分析[J].中南林学院学报,2005,(2).
[33] 王曼珠,何文才,杨亚涛,魏占祯.无线局域网IEEE802.11的安全缺陷分析[J].微电子学与计算机,2005,(7).
[34] 李之棠,武洋,.一种基于无线网络的动态加密方法[J].大连理工大学学报,2005,(S1).
[35] 蒋武,胡昌振,.无线局域网环境中 分布式入侵检测系统研究[J].计算机安全,2006,(1).
[36] 张栋毅,范跃华,.无线网络安全性研究[J].现代电子技术,2006,(1).
[37] 栗勇.无线局域网链路安全研究与设计[D].湖南大学,2005.
[38] 赖荣东.WLAN嵌入式VPN网关研究[D].武汉理工大学,2005.
[39] 侯方明.无线网络中入侵检测系统的研究与设计[D].山东大学,2005.
[40] 蒋天发.INTRANET无线局域网扩频技术的应用[J].计算机系统应用,2001,(9).
[41] 张栋毅,范跃华,.无线网络安全性研究.现代电子技术,2006,(01)
[42] 熊虎.防止黑客入侵无线网络的十大对策.信息系统工程,2002,(03)
[43] 李庆超,邵志清.无线网络的安全架构与入侵检测的研究.计算机工程,2005,(03)
[44] 曹秀英,耿嘉,沈平等编著 无线局域网安全系统 电子工业出版社,2004.3
[45] http://www. snort-wireless, org
[46] 王育民,刘建伟:通信网的安全理论与技术 西安电子科技大学出版社,1999年
[47] 唐正军:黑客入侵防护系统源代码分析 机械工业出版社,2002.3
[48] 徐胜波,马文平,王新梅编著:无线通信网中的安全技术 人民邮电出版社,2003.7
[49] Scott Fluhrer , Itsik Mantin , Adi Shamir. Weaknesses in the Key Scheduling Algorithm of RC4
[50] R S Boyer. J S Moore. A fast string searching algorithn[J]. Com ACM. 1977;20 (0): 762-772
[51] Dorothy E. Denning, D. L. Edwards, R. Jagannathan, etc. "A Prototype IDES: A Real-Time Intrusion Detection Expert System". Technical report, Computer Science Laboratory, SRI International, 1987.
[52] Stuart Stamford Chen, Common intrusion detection framework . http://seclab. cs. ucdavid. edu/cidf/
[53] EXACT STRING MATCHING ALGORITHMS. http://www-igm. univ-mlv. fr/~lecroq/string/index, html
[54] RS Boyer. J S Moore. A fast string searching algorithn[J]. Comm ACM. 1977;20 (0): 762-772
[2] 吴庆涛,邵志清.入侵检测研究综述.计算机应用研究,2005,(12)
[3] 何永明.浅析入侵检测系统(IDS).甘肃科技,2005,(07)
[4] 李阳,刘广,杜为民.入侵检测系统在网络安全中面临的挑战及对策.网络安全技术与应用,2005,(11)
[5] 蔡立斌,刘红军,周星,张浩.入侵检测技术在数字化校园网中的应用.现代计算机,2005,(10)
[6] 黄美琼.浅谈网络安全中的入侵检测系统.临沧教育学院学报,2005,(03)
[7] 兰义华,张颍江,钱涛.入侵检测技术的分析与发展趋势研究.网络安全技术与应用,2005,(08)
[8] 尉永青,.数据挖掘技术在入侵检测系统中的应用研究.信息技术与信息化,2005,(06)
[9] 梁志荣.网络入侵检测模型及其体系结构[J].网络安全技术与应用,2005,(1).
[10] 王立新,李渤,洪东明.持续发展的入侵检测技术[J].网络安全技术与应用,2005, (4).
[11] 上官晓丽.基于移动代理的分布式入侵检测系统[D].太原理工大学,2003.
[12] 汪静.入侵检测与防御技术研究[D].华东师范大学,2003.
[13] 张富斌.智能入侵检测技术研究[D].西安电子科技大学,2004.
[14] 郑慧.基于入侵检测系统的校园网络安全模型设计[D].吉林大学,2004.
[15] 李笑雪.分布式入侵检测系统的研究[D].郑州大学,2004.
[160] 张玉才.大型电信运营商集中计费系统设计及系统集成研究[D].电子科技大学,2004.
[17] 杨鹏.基于TCP/IP协议分析的网络入侵检测系统的研究与设计[D].兰州理工大学,2005.
[18] 田春阳.基于协同入侵检测技术的应用-入侵检测与管理系统(IMS)[D].武汉理工大学,2005.
[19] 刘文,.入侵检测系统的分析和使用.中国科技信息,2006,(02)
[20] 颜辉,曾大可.IDS中的黑客信息提取.长春工业大学学报(自然科学版),2003,(04)
[21] 李锦伟.防火墙和入侵检测系统的异同点分析.现代电子技术,2005,(17)
[22] 薛开平,洪佩琳,李津生.防火墙与入侵检测系统的自动协同.安徽电子信息职业技术学院学报,2005,(02)
[23] 黄人薇.浅析入侵检测技术有关问题.大众科技,2006,(01)
[24] 兰昆,周安民,岳亮.无线局域网的通信安全研究[J].信息安全与通信保密,2005,(2).
[25] 李庆超,邵志清.无线网络的安全架构与入侵检测的研究[J].计算机工程,2005,(3).
[26] 王鹏卓,张尧弼.802.11WLAN的安全缺陷及其对策[J].计算机工程,2004,(5).
[27] 李成严,张大珂,李慧慧.无线网络中信息安全加密技术的研究[J].信息技术,2004,(4).
[28] 杨磊,高海锋,张根度.应用于IEEE802.1x的可扩展认证协议的安全分析[J].计算机工程,2004,(10).
[29] 斯进,.无线局域网技术安全性现状分析及探讨.网络安全技术与应用,2006,(01)
[30] 杨寅春,张世明,张瑞山,陈克非.WAPI安全机制分析.计算机工程,2005,(10)
[31] 宋宇波,胡爱群,杨晓辉,王质礼.无线接入点WAPI认证机制的研究与实现.中国工程科学,2005,(09)
[32] 张江.无线以太网IEEE802.1x接入安全性分析[J].中南林学院学报,2005,(2).
[33] 王曼珠,何文才,杨亚涛,魏占祯.无线局域网IEEE802.11的安全缺陷分析[J].微电子学与计算机,2005,(7).
[34] 李之棠,武洋,.一种基于无线网络的动态加密方法[J].大连理工大学学报,2005,(S1).
[35] 蒋武,胡昌振,.无线局域网环境中 分布式入侵检测系统研究[J].计算机安全,2006,(1).
[36] 张栋毅,范跃华,.无线网络安全性研究[J].现代电子技术,2006,(1).
[37] 栗勇.无线局域网链路安全研究与设计[D].湖南大学,2005.
[38] 赖荣东.WLAN嵌入式VPN网关研究[D].武汉理工大学,2005.
[39] 侯方明.无线网络中入侵检测系统的研究与设计[D].山东大学,2005.
[40] 蒋天发.INTRANET无线局域网扩频技术的应用[J].计算机系统应用,2001,(9).
[41] 张栋毅,范跃华,.无线网络安全性研究.现代电子技术,2006,(01)
[42] 熊虎.防止黑客入侵无线网络的十大对策.信息系统工程,2002,(03)
[43] 李庆超,邵志清.无线网络的安全架构与入侵检测的研究.计算机工程,2005,(03)
[44] 曹秀英,耿嘉,沈平等编著 无线局域网安全系统 电子工业出版社,2004.3
[45] http://www. snort-wireless, org
[46] 王育民,刘建伟:通信网的安全理论与技术 西安电子科技大学出版社,1999年
[47] 唐正军:黑客入侵防护系统源代码分析 机械工业出版社,2002.3
[48] 徐胜波,马文平,王新梅编著:无线通信网中的安全技术 人民邮电出版社,2003.7
[49] Scott Fluhrer , Itsik Mantin , Adi Shamir. Weaknesses in the Key Scheduling Algorithm of RC4
[50] R S Boyer. J S Moore. A fast string searching algorithn[J]. Com ACM. 1977;20 (0): 762-772
[51] Dorothy E. Denning, D. L. Edwards, R. Jagannathan, etc. "A Prototype IDES: A Real-Time Intrusion Detection Expert System". Technical report, Computer Science Laboratory, SRI International, 1987.
[52] Stuart Stamford Chen, Common intrusion detection framework . http://seclab. cs. ucdavid. edu/cidf/
[53] EXACT STRING MATCHING ALGORITHMS. http://www-igm. univ-mlv. fr/~lecroq/string/index, html
[54] RS Boyer. J S Moore. A fast string searching algorithn[J]. Comm ACM. 1977;20 (0): 762-772
© 2004-2018 中国地质图书馆版权所有 京ICP备05064691号 京公网安备11010802017129号 地址:北京市海淀区学院路29号 邮编:100083 电话:办公室:(+86 10)66554848;文献借阅、咨询服务、科技查新:66554700 |