2024年无线局域网入侵检测现状和要点VIP免费

无线局域网入侵检测现状和要点随着无线技术和网络技术的发展，无线网络正成为市场热点，其中无线局域网（wlan）正广泛应用于大学校园、各类展览会、公司内部乃至家用网络等场合。但是，由于无线网络的特殊性，攻击者无须物理连线就可以对其进行攻击，使wlan的安全问题显得尤为突出。对于大部分公司来说，wlan通常置于防火墙后，黑客一旦攻破防火墙就能以此为跳板，攻击其他内部网络，使防火墙形同虚设。与此同时，由于wlan国家标准wapi的无限期推迟，ieee802.11网络仍将为市场的主角，但因其安全认证机制存在极大安全隐患，无疑让wlan的安全状况雪上加霜。因此，采用入侵检测系统（ids——intrusiondetectionsystem）来加强wlan的安全性将是一种很好的选择。尽管入侵检测技术在有线网络中已得到认可，但由于无线网络的特殊性，将其应用于wlan尚需进一步研究，本文通过分析wlan的特点，提出可以分别用于有接入点模式wlan和移动自组网模式wlan的两种入侵检测模型架构。上面简单描述了wlan的技术发展及安全现状。本文主要介绍入侵检测技术及其应用于wlan时的特殊要点，给出两种应用于不同架构wlan的入侵检测模型及其实用价值。需要说明的是，本文研究的入侵检测主要针对采用射频传输的ieee802.11a/b/gwlan，对其他类型的wlan同样具有参考意义。1、wlan概述1.1wlan的分类及其国内外发展现状对于wlan，可以用不同的标准进行分类。根据采用的传播媒质，可分为光wlan和射频wlan。光wlan采用红外线传输，不受其他通信信号的干扰，不会被穿透墙壁偷听，而早发射器的功耗非常低；但其覆盖范围小，漫射方式覆盖16m，仅适用于室内环境，最大传输速率只有4mbit/s，通常不能令用户满意。由于光wlan传送距离和传送速率方面的局限，现在几乎所有的wlan都采用另一种传输信号——射频载波。射频载波使用无线电波进行数据传输，ieee802.11采用2.4ghz频段发送数据，通常以两种方式进行信号扩展，一种是跳频扩频（fhss）方式，第1页共5页另一种是直接序列扩频（dsss）方式。最高带宽前者为3mbit/s，后者为11mbit/s，几乎所有的wlan厂商都采用dsss作为网络的传输技术。根据wlan的布局设计，通常分为基础结构模式wlan和移动自组网模式wlan两种。前者亦称合接入点（ap）模式，后者可称无接入点模式。分别如图1和图2所示。图1基础结构模式wlan图2移动自组网模式wlan1.2wlan中的安全问题wlan的流行主要是由于它为使用者带来方便，然而正是这种便利性引出了有线网络中不存在的安全问题。比如，攻击者无须物理连线就可以连接网络，而且任何人都可以利用设备窃听到射频载波传输的广播数据包。因此，着重考虑的安全问题主要有：a）针对ieee802.11网络采用的有线等效保密协议（wep）存在的漏洞，进行破解攻击。b）恶意的媒体访问控制（mac）地址伪装，这种攻击在有线网中同样存在。c）对于含ap模式，攻击者只要接入非授权的假冒ap，就可登录欺骗合法用户。d）攻击者可能对ap进行泛洪攻击，使ap拒绝服务，这是一种后果严重的攻击方式。此外，对移动自组网模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常称为能源消耗攻击。e）在移动自组网模式的局域网内，可能存在恶意节点，恶意节点的存在对网络性能的影响很大。2、入侵检测技术及其在wlan中的应用ids可分为基于主机的入侵检修系统（hids）和基于网络的入侵检测系统（nids）。hids采用主机上的文件（特别是日志文件或主机收发的网络数据包）作为数据源。hids最早出现于20世纪80年代初期，当时网络拓扑简单，入侵相当少见，因此侧重于对攻击的事后分析。现在的hids仍然主要通过记录验证，只不过自动化程度提高，且能做到精确检测和快速响应，并融入文件系统保护和监听端口等技术。与hids不同，nids采第2页共5页用原始的网络数据包作为数据源，从中发现入侵迹象。它能在不影响使用性能的情况下检测入侵事件，并对入侵事件进行响应。分布式网络ids则把多个检测探针分布至多个网段，最后通过对各探针发回的信息进行综合分析来检测入侵，这种结构的优点是管理起来简单方便，单个探针失效不会导致整个系统失效，但配置...