无线局域网入侵检测技术的研究和应用
ถ摘要: WLAN无处不在,开放的特性使其易受攻击,网络安全性急待加强。该文介绍了无线网络的安全问题,及其加强方法,并在此基础上提出了解决方案。
关键词:无线网络;WLAN;入侵检测;分布式
Abstract: With the open nature of the WLAN,it is easy to be attacked, we must strengthen the security of network urgently. In this paper, the security issues and their strengtheฎning ways of wireless networks were presented , on this basis, the solutions were proposed .
Key words: wireless network; WLAN; intrusion detection; distributed
1 无线局域网背景
无线局域网(WLAN)是在有线网络的基础上,通过添加无线访问点、无线路由器、无线网卡等硬件设备来实现对有线网络的扩充,与有线网络相比,无线网络具有可移动性,只要有无线信号,可以随时随地的上网;同时,无需施工布线,省时省力,既节约成本又能灵活配置,故障易于查找和解决。基于上述优点,WLAN成了新一代网络的发展趋势。目前,无线局域网(WLAN)广泛应用于大学、商场、家庭、宾馆、车站等场合。但是,由于无线网络的开放这一特性,使得其更容易受到攻击,无线局域网采用IEEE 802.11标准,该标准只对无线终端和设备进行认证,却不对用户进行认真,所以存在安全隐患。因此,采用入侵检测系统(IDS)来加强WLAN的安全性就具有了必要性和紧迫性。
2 无线局域网
2.✪1 无线局域网概述
无线局域网,英文名为Wireless Local Area Networks,简称为WLAN,是一种采用射频技术,使用电磁波进行数据传输的网络,它因为成本低廉,架构简单,一个无线网卡和一个无线AP就可以轻松实现“信息随身化”,因此发展迅猛。相比有线的网线拖放距离,无线网络的信号覆盖范围更广,有阻碍的区域能传输35~50M,在视野空旷的区域能传输250M。
通常WLAN接入有三种模式:基站模式、接入点模式、混合模式。
基站模式是最单位和家庭最常用的模式,主要设备是无线路由器,网速由无线路由器的速度决定。
接入点模式是连接无线网卡,可以当做接入点使用,网速由无线网卡的速率决定。
混合模式是既能与无线路由器连接,又能与无线网卡连接,这种模式可以适应不能的无线网络环境。
2.2 WLAN的安全隐患
WLAN因为其开放便捷的可移动特性被大力发展并广泛使用,然而也正是因为这种开放便捷性导致了无线网络的安全问题。因为没有一个明确的防御边界,它更容易受到攻击,攻击者可以来自四面八方和任意节点,不需要任何的网线接入就可以入侵网络,截取数据包、窃取用户信息等一系列问题使得WLAN的安全问题显得尤为突出。无线漏洞主∞要有:
a)未经许可的AP是信息泄漏最大的安全隐患,它连最基本的加密功能都没有。
b)未经许可的无线笔记本网络,这类笔记本的无线装置没有任何的防护侦查功能,很容易连接到恶意WLAN。
c)入侵者通过AP时无需认证即能畅通无阻。
d)在无线AP中,存在恶意节点。
3 加强无线网络安全的方法
3.1采用WAPI协议
与WIFI的单向加密认证不同,WAPI采用双向认证,从而有效的保证了传输的安全性。WAPI安全协议标准采用的是密钥管理技术,通过安装的鉴别服务器对申请无线网络的客户端和节点颁发证书,当无线客户端请求节点时,鉴别服务器对客户端和节点进行身份验证,根据验证的结果来确定是否访问权限给予通行。
3.2 入侵检测技术的应用
入侵检测,英文全称Intrusion Detection,简称为ID,就是发现入侵行为并收集数据信息进行分析,并对此做出处理的过程。而入侵检测系统(IDS)则是实现这些功能的系统。
目前,在安全市场上,按照数据来源不同将入侵检测系统分为主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。
主机入侵检测系统采用主机上的文件作为数据源,早期的HIDS关注的是到达主机系统的各种安全威胁,对此进行数据分析,得出检测报告,但对网络安全并不关注。现行的HIDS虽然还是着重于监视计算机系统状态并对内部的数据检测,但是发展多年,其♫检测精度、响应速度和文件系统方面都得到了很大的提升。
而NIDS则是对网络入侵行为进行检测,通过对网络运行状态的分析来发现入侵对象。它的来源数据是网络数据包,通过对收集来的数据信息进行分析,与入侵特征比对,从而识别出哪些是正常访问者,哪些是入侵攻击者,并对入侵攻击者采取措施及时响应,
很多应用场合里HIDS和NIDS这两种入侵检测系统其实是互补的,一个好的网络安全解决方案通常是既采用了基于主机的HIDS又采用了基于网络的NIDS。在使用IDS时都配置了基于网络的入侵检测,但网络监测不能保证并防止所有的攻击,特别是一些加密包的攻击,网络中的DNS、Email和Web等服务器经常是首要的攻击目标,因为这些服务器要与外部网络进行交互,不能对其进行数据包的屏蔽,所以,在这类服务器上安装基于主机的入侵检测系统就尤为必要。所以,即使是规模再小的网络架构也常常是两种入侵检测系统同时使用,也就是分布式入侵检测系统。
4 WLAN中的分布式入侵检测系统及其模型架构
4.1系统结构的分析和设计
WLAN中的分布式入侵检测系统(Wireless Distributed Intrusion Detection System,WDIDS)是特别针对WLAN的全面、综合、多层次的安检系统。通过对WLAN的IEEE802.11协议进行分析,抓取到设定区域内的数据包,跟踪并识别其来源和特征,监听并分析其危险性,从而判断是否对WLAN产生威胁,分析其危害性提供有效的解决方案,这一系统在WLAN的规划、设计、安装、运维等方面起到了重要的作用。
4.2 分布式入侵检测系统的模型架构
分布式入侵检测系统通常采用三层管理架构,即分布式安全探测器、管理服务器、管理控制台。如图1所示:
安全探测器:分布于各个无线AP中,负责对整个无线网络的安全进行探测,它的作用是追踪数据包并进行分析,及时发现入侵对象并排除安全隐患。
管理服务器:对无线AP中的安全探测器进行管理,并对收集来的数据和警告进行合并整理,记入相关信息数据库中。
管理控制台:对相应的管理服务器集群和安全探测器进行集中管理和配置,实现数据和检测报告的本地下载,实时显示安全警告信息、GIS网络分布图、数据库查询等,供管理员分析网络中的潜在威胁,并及时排除故障和网络运维。
三层模型架构的入侵检测系统将安全探测、管理和控制融为一体,能够捕捉并防止更多的入侵,形成了一个完整的网络防御体系。
5 结束语
文章分析了无线局域网的传播特性及其存在的安全隐患,提出了加强网络安全的方法,详细阐述了两种入侵检测系统,提出根据入侵数据来源不同采用不同检测系统的方法。在入侵检测系统部分重点介绍了分布式网络入侵检测系统,采用三层模型架构,构筑全方位防御体系,用于无线网络检测异常的节点活动和发现恶意节点。