基于无线MESH网络的IDS研究.ppt

基于无线MESH网络的IDS研究 无线网络与移动计算课程报告 提纲 1.无线MESH网络概述 “最后一公里” 如何突破WLAN设备有线互联的限制，提供大面积无线“热区”覆盖？ 如何改变WLAN的传统“热点”结构, 拥有真正平滑漫游能力? 如何同时做到安全、经济、高效的扩展？ 1.无线MESH网络概述 1.无线MESH网络概述 两种无线接入Internet的方式 WiFi 网络: 为成功覆盖指定区域需要若干个无线热点; 无线Mesh网络 (WMN): 通过提供一个无线热点以及若干AP，同样可以覆盖（a）中区域，这些AP基于无线热点来对Internet收发数据。 1.无线MESH网络概述 1.无线MESH网络概述 MESH的特征（1/5） MESH的特征（2/5） 由于无线通信覆盖范围有限，一个无法直接接入路由器的节点可以借助其他节点转发数据，通过移动节点间的协作来保持网络连接，从而拓展了移动无线通讯网络的应用范围。 容易导致中断服务和窃听攻击 MESH的特征（3/5） 根据当前系统节点情况动态来改变体系结构，可以自动维护网络的可用性，系统的健壮性强，配置灵活。 破坏网络可用性，DOS攻击、路由欺骗 MESH的特征（4/5） 本身无线信道具有开放性，任何人任何地点都可以接入此无线网络 使用的频段易受干扰 进入网络从内部攻击、不同种类设备互相干扰 MESH的特征（5/5） 合理利用现有带宽资源，将针对某项无线应用要占用的频谱均限制在一定的带宽内。 自身主动进行防护，但以牺牲性能为代价。 提纲 2. IDS简介 2. IDS简介 IDS存在的问题 1．误/漏报率高 IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷，从而导致检测效率较低，误报/漏报率高。 2．没有主动防御能力 IDS技术采用了一种预设置式、特征分析式工作原理，所以检测规则的更新总是落后于攻击手段的更新。 3．缺乏准确定位和处理机制 IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。 4．性能普遍不足 现在市场上的IDS产品大多采用的是特征检测技术，这种IDS产品已不能适应交换技术和高带宽环境的发展，在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包，形成DoS攻击。 提纲 3.1 MESH_IDS解决方案 3.1 MESH_IDS解决方案 分层：MESH_IDS是一个监测体系而不是一台单独的主机。在MESH路由一级主要针对路由信息进行防护；在AD-HOC、WLAN数据通信一级主要针对各种具体攻击，如DOS，ARP欺骗等 分类：在数据传输层面，以一个MESH路由器的辖域为考虑对象，有来自网内的攻击和网外的攻击。来自网外的攻击可以通过部署FireWall来处理，并且技术已经相对成熟。MESH_IDS主要考虑来自网内的攻击 主/被动结合：MESH_IDS不再是传统意义上的被动检测系统，还会采取主动的控制、隔离措施 3.2.1 MESH路由层的安全威胁 3.2.1 MESH路由层的安全威胁 3.2.1 MESH路由层的安全威胁 3.2.1 MESH路由层的安全威胁 3.2.2 无线MESH路由层威胁的根源 路由协议本身存在漏洞，协作式算法易受攻击 路由的扩散、传播基于不安全的链路 路由信息的正确性缺乏验证 无线MESH网络中路由变化频繁 节点易被捕获，攻击者拥有合法身份 3.2.3 MESH路由层IDS思想（一） 构建路由层IDS的需求 尽可能少的影响路由协议的正常工作 尽可能少的影响无线节点的正常工作 尽可能少的影响网络的生存周期 尽可能多的对路由信息的正确性进行验证 尽可能快的对路由信息的错误予以感知 尽可能快的对路由信息的错误予以纠正 3.2.3 MESH路由层IDS思想（二） 路由表机制：路由协议多样，但均基于路由表进行数据转发 特征判别：虚假路由具有某些可以判别的特征 多跳：一条路径涉及多跳，为多点监测提供了可能 3.2.3 MESH路由层IDS思想（三） 基本思想：Collect?Detect?React（NIDSHIDS） 布置：在无线MESH网络中布置多个Collector，采集路由表。（可参与数据转发，也可不参与） 收集：数据采集代理负责与Collector通信，收集数据 检测：监测服务器对多点采集到的数据进行集中运算，发现拓扑上的不一致性 处理：根据检测到的异常，从管理层面上采取措施 3.2.4 MESH路由层IDS结构 3.3.1 无线MESH网络数据传输层面的威胁（