图书馆无线智能入侵检测代理设计与实现.docVIP

图书馆无线智能入侵检测代理的设计与实现 王了一 （福建师范大学图书馆 福州350007） 文 摘 讨论了图书馆无线网络的非法入侵，介绍了智能入侵检测代理IIDA的设计与实现，分析了智能入侵检测代理的主要功能及网络结构，从底层数据包的捕获和利用数据挖掘技术进行数据包检测等方面详细探讨了IIDA子模块的设计及工作流程。 关键词 智能入侵检测代理 图书馆 无线网络 The Design and Realization of Intelligent Intrusion Detection Agent in Library wireless network Wang Liaoyi （Fujian Normal University Library, Fuzhou 350007） Abstract: This article discusses illegal intrusion in library wireless network. The design and realization of intelligent intrusion detection are presented. The main functions and framework of IIDA are analyzed. According to the capture and detection of the package in low network layer using data mining approach, the sub modules for IIDA is introduced in detail. Key words: Intelligent Intrusion Detection, Library, Wireless Network 1 引言 数字图书馆的信息服务已经由传统的有线网络向无线网络发展。由于WLAN）的国家标准WAPI无限期推迟导致其安全认证机制存在极大安全隐患[1]。图书馆无线网络安全主要通过加密、认证等技术来加强无线网络的安全性[]。但是随着攻击行为的多样化入侵者对系统的了解，。移动计算引入了新的计算和通信行为，这些行为在固定或有线网络中很少出现[]。传统有线网络的入侵检测主要依赖于交换机、路由器和网关等处的实时信息流分析，而移动无线网络中不存在这样的信息流集中点另外，移动无线网络中的应用和服务是弱链接的潜在的攻击目标可能是运行在基站上的开放代理和软件代理[][5]。移动无线网络的脆弱性放缺乏集中监视和管理点。 2 基于IIDA无线网络 基于无线网络通过持续地对终端用户、系统和网络上的行为进行监视，然后根据实际情况由中心决策。AP）和IIDA组成。无线网络由若干个无线AP覆盖的WLAN组成，在每个WLAN中分别设置一个IIDA负责收集和预处理该WLAN中的无线数据包。IIDA通过记录WLAN中的传输封包与流量信息，检测是否存在针对该无线网络区域中相关邻居节点的攻击行为。该邻居节点为所有通过WLAN访问数字图书馆的移动设备（如笔记本电脑、PDA等）。中央控制台负责处理各检测代理发来的警告信息并进行相应的处理。图1中的路由器、防火墙、数据库和核心交换机组成了传统数字图书馆有线网络模式，无线网络用户在经过安全认证之后，通过核心交换机访问图书馆数据库中的信息资源，还可以通过路由器与Internet进行连接。 图1 包含IIDA的图书馆无线网络拓扑结构 由此可见，是整个系统的核心部分，根据网络张无线网卡张以网卡无线网卡设置成杂凑模式，监听所有无线数据包，以太网卡则用于与中心服务器通信美国防高级研究计划署(DARPA)提出公共入侵检测框架CIDF(Common Intrusion Detection Framework)阐述入侵检测系统通用模型[]，智能入侵检测系统结构如图所示从功能逻辑上，由捕获网络流经数据的核心部分从接信息后，运用各种检测法数据判断检测对象的行为是否入侵的将分析结果发送到通讯模块。提供汇总分析结果统一响应和处理显示报警和日志信息处理。 图2 智能入侵检测代理的功能结构 据统计，目前已知的针对图书馆无线网络的入侵方式多是流行攻击方式的改进和变形。在设计IIDA的体系结构时，充分考虑了系统的开放性特点。通过向系统中添加针对流行攻击的数据分析函数，实现动态添加数据分析功能。除了特征数据库中己有的分析方法，还通过及时向入侵特征数据库中添加新的入侵特征，以增强现有模式匹配分析方法的检测能力。 3 IIDA子模块的设计与实现 IIDA以indows2000操作系统为开发平台，利用Winpeap函数库，捕获无线传输，对捕获的数据进行入侵检测。可检测、防范假冒AP攻击、MAC地址欺骗、无线存取点探测、拒绝服务