当前位置: 首页 > >

最新-无线局域网入侵检测现状和要点 精品

发布时间:

无线局域网入侵检测现状和要点 随着无线技术和网络技术的发展,无线网络正成为市场热点,其中无线局域 网正广泛应用于大学校园、各类展览会、公司内部乃至家用网络等场合。 但是,由于无线网络的特殊性,攻击者无须物理连线就可以对其进行攻击, 使的安全问题显得尤为突出。 对于大部分公司来说, 通常置于防火墙后,黑客一旦攻破防火墙就能以此为 跳板,攻击其他内部网络,使防火墙形同虚设。 与此同时,由于国家标准的无限期推迟,80211 网络仍将为市场的主角,但 因其安全认证机制存在极大安全隐患,无疑让的安全状况雪上加霜。 因此,采用入侵检测系统——来加强的安全性将是一种很好的选择。 尽管入侵检测技术在有线网络中已得到认可,但由于无线网络的特殊性,将 其应用于尚需进一步研究, 本文通过分析的特点,提出可以分别用于有接入点模 式和移动自组网模式的两种入侵检测模型架构。 上面简单描述了的技术发展及安全现状。 本文主要介绍入侵检测技术及其应用于时的特殊要点, 给出两种应用于不同 架构的入侵检测模型及其实用价值。 需要说明的是,本文研究的入侵检测主要针对采用射频传输的 80211,对其 他类型的同样具有参考意义。 1、概述 11 的分类及其国内外发展现状对于,可以用不同的标准进行分类。 根据采用的传播媒质,可分为光和射频。 光采用红外线传输,不受其他通信信号的干扰,不会被穿透墙壁偷听,而早 发射器的功耗非常低; 但其覆盖范围小, 漫射方式覆盖 16, 仅适用于室内环境, 最大传输速率只有 4,通常不能令用户满意。 由于光传送距离和传送速率方面的局限, 现在几乎所有的都采用另一种传输 信号——射频载波。 射频载波使用无线电波进行数据传输,80211 采用 24 频段发送数据,通常 以两种方式进行信号扩展,一种是跳频扩频方式,另一种是直接序列扩频方式。 最高带宽前者为 3, 后者为 11, 几乎所有的厂商都采用作为网络的传输技术。 根据的布局设计,通常分为基础结构模式和移动自组网模式两种。 前者亦称合接入点模式,后者可称无接入点模式。 分别如图 1 和图 2 所示。 图 1 基础结构模式图 2 移动自组网模式 12 中的安全问题的流行主要是由于 它为使用者带来方便, 然而正是这种便利性引出了有线网络中不存在的安全问题。 比如, 攻击者无须物理连线就可以连接网络,而且任何人都可以利用设备窃 听到射频载波传输的广播数据包。 因此, 着重考虑的安全问题主要有针对 80211 网络采用的有线等效保密协议 存在的漏洞,进行*夤セ鳌 恶意的媒体访问控制地址伪装,这种攻击在有线网中同样存在。 对于含模式,攻击者只要接入非授权的假冒,就可登录欺骗合法用户。 攻击者可能对进行泛洪攻击,使拒绝服务,这是一种后果严重的攻击方式。 此外, 对移动自组网模式内的某个节点进行攻击,让它不停地提供服务或进 行数据包转发,使其能源耗尽而不能继续工作,通常称为能源消耗攻击。 在移动自组网模式的局域网内,可能存在恶意节点,恶意节点的存在对网络 性能的影响很大。 2、入侵检测技术及其在中的应用可分为基于主机的入侵检修系统和基于网 络的入侵检测系统。 采用主机上的文件特别是日志文件或主机收发的网络数据包作为数据源。 最早出现于 20 世纪 80 年代初期,当时网络*思虻ィ肭窒嗟鄙偌虼 侧重于对攻击的事后分析。 现在的仍然主要通过记录验证,只不过自动化程度提高,且能做到精确检测 和快速响应,并融入文件系统保护和监听端口等技术。 与不同,采用原始的网络数据包作为数据源,从中发现入侵迹象。 它能在不影响使用性能的情况下检测入侵事件,并对入侵事件进行响应。 分布式网络则把多个检测探针分布至多个网段, 最后通过对各探针发回的信 息进行综合分析来检测入侵, 这种结构的优点是管理起来简单方便,单个探针失 效不会导致整个系统失效,但配置过程复杂。 基础结构模式入侵检测模型将采用这种分布式网络检测方法, 而对于移动自 组网模式内的入侵检测模型将采用基于主机的入侵检测模型。 当前, 对的入侵检测大都处于试验阶段,比如开源入侵检测系统发布的-- 测试版,增加了协议字段和选项关键字,采用规则匹配的方法进行入侵检测,其 由管理员手工配置,因此能很好地识别非授权的假冒,在扩展时亦需重新配置。 但是,由于其规则文件无有效的规则定义,使检测功能有限,而且不能很好 地检测地址伪装和泛洪拒绝服务攻击。 2019 年下半年,提出入侵检测方案,采用无线感应器进行监测,该方案需 要联入有线网络,应用范围有限而且系统成本昂贵,要真正市场化、实用化尚需 时日。 此外, 作为概念模型设计的系统实现了监控和泛洪拒绝服务检测,但它没有 一个较好的体系架构,存在局限性。 在上述基础上, 我们提出一种基于分布式感应器的网络检测模型框架,对含 模式的进行保护。 对于移动自组网模式的, 则由于网络中主机既要收发本机的数据,又要转发 数据这些都是加密数据, 文献提出了采用异常检测法对路由表更新异常和其他层 活动异常进行检测,但只提供了模型,没有实现。 此外, 我们分析了移动自组网模式中恶意节点对网络性能的影响,并提出一 种基于声誉评价机制的安全协议, 以检测恶意节点并尽量避开恶意节点进行路由 选择,其中恶意节点的检测思想值得借鉴。 -可以作为基于主机的入侵检测, 我们以此为基础提出一种应用于移动自组 网入侵检测的基于主机的入侵检测模型架构。 3、中的入侵检测模型架构在含模式中,可以将多个基本服务集扩展成扩展 服务集,甚至可以组成一个大型的。 这种网络需要一种分布式的检测框架,由中心控制台和监测代理组成,如图 3 所示。 图 3 含模式的分布式入侵检测系统框架网络管理员中心控制台配置检测代 理和浏览检测结果,并进行关联分析。 监测代理的作用是监听无线数据包、 利用检测引擎进行检测、 记录警告信息, 并将警告信息发送至中心控制台。 由此可见,监测代理是整个系统的核心部分,根据网络布线与否,监测代理 可以采用两种模式一种是



友情链接: