无线网络的分布式入侵检测模型研究

1、无线网络的分布式入侵检测模型研究摘要：对无线网络安全方面的问题和无线网络的特点进行了概述，分析了无线网络的入侵检测模型进行了分析，提出了一个分分布式的无线网络入侵检测系统模型，并给出了具体的拓扑结构设计，通过实验，证明这个入侵检测系统的设计和实现具有很好的安全性，其安全保障具有一定的实用性，值得推广。关键词：无线网络；分布式；入侵检测；检测代理；中心控制台wireless network distributed intrusion detection model studyluo zhuojun,ouyang weihao(hunan mass media vocational technic

2、al college,changsha410100,china)abstract:the problem of wireless network security and wireless networking features an overview of wireless network intrusion detection model,a sub-distributed wireless network intrusion detection system,and given the specific topology design,an experiment to prove tha

3、t the intrusion detection system design and implementation with good security,the security has a certain practicality, and worthy of promotion.keywords:wireless networks;distributed;intrusion detection;detection agents;center console一、引言由于internet已经深入到每一个人的生活中，其信息安全问题就关系到每一个使用它的人，网络信息安全技术就成为一个重要的攻关课

4、题，无线网络作为有线网络的延伸，由于它的便捷性，已经在生活中占据很大的份额，由于无线网络是使用射频发射信号，所以很容易受到攻击，如果非法用户攻破了系统的防火墙，就可以伪装成合法的节点，对系统进行攻击，所以只依靠传统的加密技术和防火墙技术很难对无线网络的安全起到完善的保障作用，一种既能检测内部恶意攻击又能检测外部破坏行为的分布式入侵检测系统就在无线网络的安全中得到广泛应用。分布式入侵检测系统是通过采集无线网络系统中的信息，并分析其行为是否为合法行为，来判断其是否遭到非法攻击，来做出响应，但这种无线网络的分布式入侵检测系统还有待进一步完善，在技术上有待改进。二、无线网络的安全问题由于无线网络是开放

5、的，没有确切的边界，无法集中监视和管理，因此它受到的攻击来自四面八方，每个节点都可能受到攻击，因此带来了如下的安全威胁。1.无线网络和有线网络只是在传输方式上存在差异，因此所有有线网络存在的安全威胁和隐患在无线网络中都存在，如病毒、木马、漏洞利用、扫描攻击及拒绝服务等都会在无线网络中出现；2.像包括恶意的媒体访问控制（mac）地址伪装这些攻击方式，都是针对ieee802.11网络采用的有线等效保密协议(wep)存在的漏洞进行破解攻击的，在无线网络中也会大量使用；3.假冒ap非授权接入,欺骗合法用户，对于含ap模式，攻击者只要接入非授权的假冒ap，就可登录欺骗合法用户；4.网络窃听、密码破解,易

6、被篡改和插入；5.拒绝服务攻击(dos)和干扰，攻击者可能对ap进行泛洪攻击，使ap拒绝服务，此外，对移动自组网模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作(通常称为能源消耗攻击)；6.现有的探测和扫描工具使非法接入网络非常方便。由于无线网络存在这些安全问题，我们就要引入相应的安全保障措施，其中，分布式的入侵检测系统就能很好的解决我们在无线网络中遇到的安全问题，保障我们无线网络安全的正常工作。三、无线网络中入侵检测模型的分析入侵检测是指发现非授权用户使用系统或企图使用系统的行为以及发现合法用户滥用其特权行为的过程。完成入侵检测的系统称为入侵检测系统（

7、ids）。入侵检测系统自身的各个模块要具有相当好的安全性，他们之间的通信要不可仿冒，也不可破坏，具有安全性，保密性，完整性，在各种网络环境中都具有很好的鲁棒性。每一个入侵者都会想方设法逃避检测，使用各种伪装技巧，入侵检测系统要具有相当好的入侵检测算法，不会漏报、误报入侵检测数据，真正具有入侵检测能力，能把好入侵检测关，具有很好的防欺骗能力，能捕获每一个非法入侵行为，能给网络的安全使用提供很好的安全保障作用。按照入侵检测系统处理信息的来源的不同，可将入侵检测系统分为基于网络的入侵检修系统（hids）和侧重于对攻击的事后分析的基于主机的入侵检测系统（nids）。ids根据数据收集、分析、响应方式的

8、分布又可分为集中式nids和分布式nids。基于以上的分析，我们提出一种分布式网络入侵检测系统模型，对基础结构模式的wlan进行保护，可以在很大程度上提高wlan的安全性。四、无线网络的分布式入侵检测模型的理论设计无线网络的入侵检测技术主要有两种方式，一种是基于误用的入侵检测技术，它使用的方法就是对系统遭受入侵和攻击的数据进行统计，对他们的相关知识进行分析，提出特征和模式，然后形成入侵行为数据库，对系统中的行为在数据库中进行对比，看是否在数据库中有此行为，若有就是入侵行为，否则就是非法行为，这个入侵行为数据库根据入侵的行为的变化而不断扩大，以适应外围的变化。另外一种就是异常入侵检测模型，就是把

9、网络的正常行为都做成一个参考模型，进行量化，并提取相应的特征值，看网络中的行为是否符合这些参数，如不符合，并偏离一定的值，就判定它是非法的，是入侵行为。我们在这提出的分布式入侵检测系统是基于误用原则的入侵检测系统。五、无线网络的分布式入侵检测模型的实现根据无线网络的安全保障的需要，根据上面的分析，我们设计了一个由中心控制台和监测代理组成的分布式无线网络入侵监测系统，这个系统具有很强的入侵监测判断能力，误报率很低，效果很好。中心控制台是由决策响应模块和和管理模块组成，并对监测代理单元进行配置，对监测结果进行智能分析，并判断是否为入侵行为。中心控制台收到监测代理发来的消息，就发送到决策响应模块，由

10、决策响应模块对发来的信息进行进一步的分析，看他是否是入侵信息，对他的真实身份进行智能分析，以免误报或者漏报，对网络的安全形成不好的影响。为了提高决策的准确率，在决策响应模块中设置了一个判断机构投票机，投票机使用的判定规则就是对同一上报来的数据行为，只有当大多数检测代理都判定其为入侵时,并设定一个固定的值，并超过这个设定的固定值时，才认定这种行为是入侵行为，这时，决策代理机构就发出入侵行为的警告消息，各个监测代理就会收到入侵行为的确认消息，说明网络收到入侵行为的干扰，决策代理把收到的入侵行为的信息进行智能化分析，并把各个监测代理的分析结果进行研究，判断，并做出进一步的分析，进一步进行态势评估,从

11、而对整网络区域的安全情况进行评价，做出是否受到入侵的结论。另外，它还可以对入侵行为进行物理定位，具有响应功能；管理员界面的信息通过决策模块提供的与管理模块进行联系的通信接口进行通信，实现对信息的接受和发送，管理模块可以通过这个通信接口对监测代理进行通信，达到对监测代理的监控作用，对它的行为和状态进行控制。管理模块功能主要是由进行人机对话,控制管理,入侵信息的数据库更新等组成。我们使用具有误用的原则的入侵监测技术来设置监测代理,我们把无线网络入侵监测系统由数据采集模块、数据分析模块和响应日志模块组成。其中，数据捕获子模块和数据解码子模块组成数据采集模块。数据捕获模块的作用是负责收集无线数据包，捕

12、获流经网卡的数据包;数据解码模块的功能是利用网络协议的有序性将数据捕获模块捕获的数据从下到上进行分层解码并存到一个数据结构里,作为数据分析模块的数据源，并将数据提交分析检测模块进行检测分析，同时将数据存储于数据缓冲区中。规则处理子模块和规则匹配子模块构成数据分析模块。规则处理模块的功能主要负责将规则文件按照一定顺序生成规则链表,作为规则匹配时的模式;规则匹配就是将数据采集模块送来的数据在规则链表中进行查找。数据分析模块是入侵检测的核心，对无线数据包进行分析，完成对入侵行为的发现和识别，产生告警信息，并将告警信息发给中心控制台。分析检测模块采用误用检测和异常检测相结合的方法，整个分析过程由误用检

13、测和异常检测两个部分组成。误用检测采用基于特征库的模式匹配技术，匹配算法采用改进的boyer-moore 算法，该算法在性能、效率和资源消耗等方面都有很好的表现，此部分非常适合对已知入侵的检测，并且非常有效。异常检测采用统计分析方法，对未知入侵的异常行为进行统计分析，和安全策略库中定义的正常值比较，如果超出正常值范围，则认为系统受到未知入侵攻击。同时，这两个部分又是相互补充的，在检测出新的入侵种类后，可以通过对安全策略库的分析总结出新入侵的特征格式，并将其增加到入侵特征库中。响应、日志模块的作用为检测到入侵时,进行报警、日志记录等操作。六、小结通过对无线网络的特点和安全性的详细的论述，以及对入侵检测系统的分析，我们提出了一个基于误用准则的无线网络入侵检测系统的具体的系统模型架构，我们充分验证了基于分布式的wlan入侵检测系统的可行性，随着无线局域网的使用越来越普及，使用面越来越广,对无线