《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設(shè)計應用 > 基于MAC幀分類匹配的WLAN入侵檢測
基于MAC幀分類匹配的WLAN入侵檢測
來源:微型機與應用2011年第1期
張紹輝,陳 晨,,韓憲忠
(河北農(nóng)業(yè)大學 信息科學與技術(shù)學院,,河北 保定 071001)
摘要: 在研究WLAN入侵檢測技術(shù)的基礎(chǔ)上,,給出一種基于數(shù)據(jù)鏈路層的無線局域網(wǎng)入侵檢測方法。該方法使用協(xié)議分析技術(shù),,采用MAC幀分類的方法匹配入侵特征,,實現(xiàn)對WLAN的入侵檢測。
Abstract:
Key words :

摘  要: 在研究WLAN入侵檢測技術(shù)的基礎(chǔ)上,,給出一種基于數(shù)據(jù)鏈路層的無線局域網(wǎng)入侵檢測方法,。該方法使用協(xié)議分析技術(shù),,采用MAC幀分類的方法匹配入侵特征,實現(xiàn)對WLAN的入侵檢測,。
關(guān)鍵詞: 無線局域網(wǎng),;入侵檢測;協(xié)議分析,;分類匹配

 無線網(wǎng)絡依靠其無可比擬的靈活性和可擴容性,,使其網(wǎng)絡無線化已是大勢所趨。但由于無線信道的開放性和802.11協(xié)議自身的諸多漏洞[1-2],,無線局域網(wǎng)的安全一直受到各種入侵方式的威脅[3],,這使得無線網(wǎng)絡的發(fā)展空間受到了嚴重制約。尤其是隨著無線加密協(xié)議破解技術(shù)的發(fā)展,,各種針對無線加密協(xié)議的攻擊平臺層出不窮(如Back Track 3,、Back Track 4[4]),國內(nèi)趙春生最近開發(fā)的Beini[5]攻擊平臺,,非專業(yè)技術(shù)人員利用這些平臺破解任何一個使用WEP加密的AP點用時不會超過3 min,,即使加密協(xié)議使用WPA、WPA2,,只要獲得足夠的握手包,,暴力破解密鑰也只是時間問題。更何況如今計算機運算技術(shù)的飛速發(fā)展,,單機的CPU+GPU運算可達100 K keys/s,,如果使用云計算,運算時間更會顯著縮短,。為確保無線局域網(wǎng)數(shù)據(jù)安全,,十分有必要建立WLAN入侵檢測系統(tǒng)。
 本文在研究入侵檢測技術(shù)的基礎(chǔ)上,,設(shè)計了一種基于數(shù)據(jù)鏈路層的WLAN入侵檢測方案,,并針對WLAN的特性,在協(xié)議分析[6]的入侵檢測過程中使用MAC幀分類檢測技術(shù),,針對每一種子類型的MAC幀使用與其相對應的子類型協(xié)議分析器進行分析檢測,,使得檢測策略靈活多變,特征碼提取更加準確,、迅捷,,可進行準確的分類統(tǒng)計,提高了匹配效率,。
1 系統(tǒng)架構(gòu)
 無線網(wǎng)絡由若干個AP覆蓋的WLAN組成,,WLAN入侵檢測系統(tǒng)包括控制中心和監(jiān)測代理兩部分。每個WLAN中分別設(shè)置一個監(jiān)測代理,每個監(jiān)測代理配置一塊無線網(wǎng)卡和一塊以太網(wǎng)卡,。無線網(wǎng)卡設(shè)置成混雜模式,,負責監(jiān)聽該WLAN中的無線數(shù)據(jù)包,以檢測是否存在針對該無線網(wǎng)絡相關(guān)節(jié)點的入侵行為,,并將檢測到的異常數(shù)據(jù)通過以太網(wǎng)傳送給控制中心,。控制中心負責處理各監(jiān)測代理發(fā)來的警告信息并進行相應的處理,,如圖1所示,。

    檢測代理單元由報文捕獲模塊、協(xié)議分析模塊,、入侵檢測模塊,、通信模塊和阻斷模塊組成。報文捕獲模塊捕獲相應數(shù)據(jù)后,,傳給協(xié)議分析模塊,,首先進行協(xié)議解碼,然后入侵檢測模塊對協(xié)議解碼后的數(shù)據(jù)進行檢測,,若發(fā)現(xiàn)入侵,將產(chǎn)生報警,,記錄攻擊特征,,并通過通信模塊將報警信息發(fā)給控制中心,控制中心根據(jù)各檢測代理單元上報的報警信息進行綜合分析,,判斷入侵情況,,通知阻斷模塊進行相應處理。
 控制中心主要包含配置模塊,、通信模塊,、數(shù)據(jù)庫管理模塊、人機交互界面和響應模塊,。配置模塊可對各個檢測代理進行各種配置,。通信模塊負責與監(jiān)測代理進行通信。數(shù)據(jù)庫管理模塊負責存儲入侵行為特征,。人機交互界面提供給管理員直觀的圖形界面,。響應模塊接收各監(jiān)測代理發(fā)送的檢測結(jié)果,并生成報表寫入日志,。
WLAN入侵檢測系統(tǒng)工作流程如圖2所示,。


2 基于MAC幀分類匹配的入侵檢測
2.1報文捕獲
 本文通過在Linux系統(tǒng)下的射頻監(jiān)聽模式進行報文捕獲,通過Libpcap開發(fā)庫實現(xiàn)開發(fā),。射頻監(jiān)聽模式需要特殊的網(wǎng)卡與特殊的驅(qū)動程序,,通過查詢資料,本系統(tǒng)選用Atheros芯片的無線網(wǎng)卡及其相應的Madwifi驅(qū)動。操作系統(tǒng)選用對無線網(wǎng)卡驅(qū)動支持較好的Ubuntu Linux,。無線網(wǎng)卡在射頻監(jiān)聽模式下不接入任何WLAN,,能捕獲網(wǎng)卡接收范圍內(nèi)所有的原始802.11協(xié)議報文。
 Libpcap能捕獲到底層的所有報文,,并且通過設(shè)置命令使得Libpcap捕獲到帶prism頭結(jié)構(gòu)的所有802.11原始報文,,Prism Monitor Header長度為144 B,這是網(wǎng)卡在捕獲無線幀時添加在802.11MAC幀頭前的數(shù)據(jù),,主要包括信號強度,、傳輸速率等信息。報文捕獲命令如表1所示,。

2.2 協(xié)議分析及MAC幀分類
 MAC幀分類樹如圖3所示,,樹的根節(jié)點是對MAC幀的總體分析,中間節(jié)點根據(jù)Type值進行了MAC幀的分類,,而每一個葉子節(jié)點代表一種實現(xiàn)不同子功能的MAC幀,。本文針對每一個葉子節(jié)點使用相對應的子類型協(xié)議分析器,因為針對AP的每一種入侵,,不管是AP關(guān)聯(lián)表溢出攻擊,、STA各種認證攻擊還是最近很“流行”的針對WEP、WPA,、WPA2等加密技術(shù)的口令破解攻擊,,其最明顯的特征都是在短時間內(nèi)向AP頻繁發(fā)送某一種特定的幀。MAC幀分類的優(yōu)點在于檢測策略靈活多變,,特征碼提取更加準確,、迅捷,可進行準確的分類統(tǒng)計,,提高了匹配效率,。

    協(xié)議分析的過程就是一條從根節(jié)點到某個葉子節(jié)點的路徑。根部是MAC幀的總體分析,,對所有MAC幀,,首先提取幀頭信息,提取MAC幀的控制字段以及地址1-4,。根據(jù)控制字段中Type值分別分析管理幀,、控制幀以及數(shù)據(jù)幀,再根據(jù)Subtype值確定該幀的具體子類型,,然后將控制字段及地址1-4提交給相應的子類型協(xié)議分析器,。在每個子類型協(xié)議分析器中,通過分析檢測得到入侵檢測規(guī)則所需要的幀體元素值,,采用模式匹配來檢測攻擊,,并且對收到的該子類型MAC幀進行來源區(qū)分和目標地址的時間段統(tǒng)計,。
2.3 分類匹配檢測
    (1)捕獲802.11原始MAC幀。
    (2)分析幀頭的Frame Control字段,,根據(jù)變量Type值判別該幀類型,,根據(jù)變量Subtype值進一步判斷幀功能,使用相應的子類型協(xié)議分析器檢測,,其流程如圖4所示,。

    (3)特征碼提取。協(xié)議分析技術(shù)利用網(wǎng)絡協(xié)議的高度規(guī)則性,,能理解數(shù)據(jù)流,,利用網(wǎng)絡協(xié)議分析網(wǎng)絡字段,從而不再需要匹配整個數(shù)據(jù)包,,只需要匹配特殊字段,,減少了計算量,提高了檢測效率,,可以快速探測攻擊的存在,。由于多數(shù)黑客軟件攻擊時所發(fā)送的報文均為特殊的字符串,所以只要在報文中檢索到此類標志性信息便可認定存在攻擊,。
    (4)特征碼匹配檢測,。各檢測模塊在入侵檢測過程中采用MAC幀,分類檢測技術(shù),,針對每一種子類型的MAC幀,,使用與其相對應的子類型協(xié)議分析器與特征數(shù)據(jù)庫中的攻擊特征碼進行匹配檢測。根據(jù)匹配結(jié)果,,判別此通信是否屬于網(wǎng)絡入侵行為,并利用統(tǒng)計分析檢測所捕獲的報文中可能存在的異常,。對于已經(jīng)確定的網(wǎng)絡入侵行為,,通過通信模塊向控制中心傳輸檢測結(jié)果,并由控制中心通知阻斷模塊對其采取相應的處理操作,。對MAC幀進行子類型分類檢測的原因在于,,針對AP的每一種入侵,不管是AP關(guān)聯(lián)表溢出攻擊,、STA各種認證攻擊還是最近很“流行”的針對WEP,、WPA、WPA2等加密技術(shù)的口令破解攻擊,,其最明顯的特征都是在短時間內(nèi)頻繁發(fā)送某些特定的幀以達到入侵的目的,。MAC幀分類的優(yōu)點在于,檢測策略靈活多變,,特征碼提取更加準確,、迅捷,,可進行準確分類統(tǒng)計,提高了匹配效率,。
    本系統(tǒng)是在Linux下實現(xiàn)了一個基于網(wǎng)絡的WLAN入侵檢測系統(tǒng),,并在Linux下進行了模擬實現(xiàn)。實驗表明,,本系統(tǒng)能快速檢測出較常見的WLAN入侵行為,,具有實時處理和低誤報率的特點,對WLAN的安全保障具有一定的實用價值,。利用該系統(tǒng)和其他安全策略,,可對無線局域網(wǎng)的安全提供基本的保障。如何進一步實現(xiàn)原型系統(tǒng)來驗證其有效性,,如何在加密的網(wǎng)絡環(huán)境中更加有效地進行入侵檢測以及有效融合分析結(jié)果等問題還需要進一步的研究和探討,。
    無線入侵檢測技術(shù)仍處于研究階段,還存在很多不足之處,。隨著無線網(wǎng)絡的普及,,人們越來越關(guān)注無線網(wǎng)絡的安全性,采用入侵檢測技術(shù)加強無線網(wǎng)絡的安全是非常必要的,,無線網(wǎng)絡入侵檢測技術(shù)必將受到人們的高度重視,。
參考文獻
[1] KING J S. An IEEE 802.11 wireless LAN security white paper[R]. U.S. Department of Energy, Lawrence Livermore National Laboratory UCRL-ID-147478,, 2001.10.
[2] STUBBLEFIELD A,, IOANNIDIS J, RUBIN A D. Using the Fluhrer,, Mantin,, and Shamir attack to break WEP[C]. Network and Distributed System Security Symposium, 2002: 100-122.
[3] 孫樹峰,,石興方,,顧君忠.關(guān)于802.11協(xié)議的攻擊研究[J].網(wǎng)絡安全技術(shù)與應用,2002,,33(10):33-36
[4] Muts,, Emgent, Pure_hate [CP/OL]. http: //www.backtrack-linux. org/,,2010-09-01.
[5] 趙春生.Beini [CP/OL].http://www.ibeini.com/index.htm,,2010-09-01.
[6] 杜建國,郭巧.協(xié)議分析和命令解析在入侵檢測中的應用[J].計算機工程與應用,,2004,,18:159-162.

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。