基于Snort-Wireless算法的Wlan入侵检测及接入系统设计与实现.pdfVIP

检测及接入系统设计与实现 王海峰舒明磊 吕家亮 陈 静 (山东省计算中心，山东济南，250014) 摘要：由于无线传输的固有特性及IEEE 802．11标准的安全漏洞，无线网络很容易受到攻击， 传统WLAN接入点(A_P)在无线网络安全性方面具有很大的局限性，相关研究却大多局限于算 法分析。本文针对无线攻击的特殊性，设计并实现了分布式的具有入侵检测和防御功能的无线 局域网安全探测系统。该系统工作在B／S模式，探测器硬件基于IntelPXA255处理器开发，软 台统一管理服务器和所有探测器。测试结果表明，该安全探测器的无线接入功能在传输速率和 传输距离方面达到甚至高于商业AP产品，并对无线网络入侵能进行有效的监控和防御．由探测 器组成的分布式系统可为无线局域网的接入和使用安全提供强有力的支持和保障，并为无线局 域网的入侵检测提供出新的解决方案． 关键词：无线局域网；安全探测器；B／S模式；入侵检测；Snort-wireless 1．引言 近年来，针对无线局域网的攻击时有报道，有些造成的经济损失高达几十亿美元。由 此可见，无线局域网安全问题成为制约WLAN向大众化发展的阻碍，无线局域网安全和 管理问题急待解决。 目前国外已有一些WLAN安全管理解决方案、AC控制器等产品，但价格比较昂贵， 国内对WLAN安全问题还主要集中在理论检测模型、加密算法的研究上，没有相关产品 要对安全检测模型框架进行搭建，实质性的无线安全检测分析很少，并没有给用户提供很 好的可操作性和对网络的安全管理。然而这些理论的研究和模型为我们提供了良好的基础 平台，进一步的完善将会在实际工作中得到应用。 从无线局域网安全检测方法来看，国内主要采用特征检测和异常检测两种方法。特征 检测方法基于入侵特征库，采用模式匹配的方法进行安全检测，要求特征库必须及时更新， 由此导致系统升级能力有限，难以扩展。异常检测是基于数据包的统计分析，可以不依赖 于攻击特征，立足于受检测的目标发现入侵行为。而本系统提出采用基于协议分析和异常 检测相结合的方法能够更详细分析网络的安全参刻1l。 分布式系统采用三层式架构(如下图1所示)：即采用无线安全探测器及接入点(AP)、 管理服务器、管理控制台【3】。用户可通过合理放置多个安全探测器及接入点(AV)，实现 WLAN接入并对整个建筑物无线网络安全的监测及实现无线与无线之间通信。 管理服务器集中管理探测器，收集整理安全探测器及接入点(AP)的警讯和数据，建立 专家系统信息库，分析网络的安全状况，提供警讯给上层。 联系作者：王海峰，邮箱：lffwan978723@mail．sdu．edu．en；wanghf@keylab．net 基于snomwifek％算法的Wlan入侵检铡及接入系统设计与实现 管理控制台整合所有探测器的网络信息、替讯内容，利用GIS显示网络分布囝、设各 定位、警报文字及图表、日志文件等。 国内网络安全产品大多数是基于有线网络．仅有的几个无线网络安全产品叉均基于网 络控制器．采用集中式的系统结构，不能全面的检测安全漏洞，难以进行系统的扩展。另 辨，目前无线接入产品不具备入侵检测功能，因此本安全探测系统两方面有机集成在一起 也是本文的创新点之一。 基于以上分析，本项目提出开技具有入侵检测防御功能的WLAN安全探测器，主要 实现无线与无线之间通信、以及无线与有线之间的桥接功能．同时检测无线阿络攻击、定 位攻击源、阻断网络中的非法设备，维护网络的安全，避免由此造成企业不必要的损失。 世 震菇_ 一一；；：手i可 -≮弋量’≮飞量 蕊 …筑。漓～鼍，。≮熏 图1 具有入侵检测防御功能的WLAN接入系统架构 2．安全探测器设计 21硬件设计 Xscale 安全探测器硬件设计方案采用Intel 128MNOR 个；PCMCIA接口2个。安全探测器硬件结构图如图2所示，实物如图3所示。 围中主要模块功能如下： (1)PCMCIA无线网卡模块：该模块支持两块可外接天线的无线网卡同时工作，利用 其中一