摘  要： 在研究WLAN入侵檢測技術(shù)的基礎(chǔ)上，給出一種基于數(shù)據(jù)鏈路層的無線局域網(wǎng)入侵檢測方法。該方法使用協(xié)議分析技術(shù)，采用MAC幀分類的方法匹配入侵特征，實(shí)現(xiàn)對WLAN的入侵檢測。
關(guān)鍵詞： 無線局域網(wǎng)；入侵檢測；協(xié)議分析；分類匹配

　無線網(wǎng)絡(luò)依靠其無可比擬的靈活性和可擴(kuò)容性，使其網(wǎng)絡(luò)無線化已是大勢所趨。但由于無線信道的開放性和802.11協(xié)議自身的諸多漏洞[1-2]，無線局域網(wǎng)的安全一直受到各種入侵方式的威脅[3]，這使得無線網(wǎng)絡(luò)的發(fā)展空間受到了嚴(yán)重制約。尤其是隨著無線加密協(xié)議破解技術(shù)的發(fā)展，各種針對無線加密協(xié)議的攻擊平臺層出不窮(如Back Track 3、Back Track 4[4])，國內(nèi)趙春生最近開發(fā)的Beini[5]攻擊平臺，非專業(yè)技術(shù)人員利用這些平臺破解任何一個使用WEP加密的AP點(diǎn)用時不會超過3 min，即使加密協(xié)議使用WPA、WPA2，只要獲得足夠的握手包，暴力破解密鑰也只是時間問題。更何況如今計(jì)算機(jī)運(yùn)算技術(shù)的飛速發(fā)展，單機(jī)的CPU+GPU運(yùn)算可達(dá)100 K keys/s，如果使用云計(jì)算，運(yùn)算時間更會顯著縮短。為確保無線局域網(wǎng)數(shù)據(jù)安全，十分有必要建立WLAN入侵檢測系統(tǒng)。
　本文在研究入侵檢測技術(shù)的基礎(chǔ)上，設(shè)計(jì)了一種基于數(shù)據(jù)鏈路層的WLAN入侵檢測方案，并針對WLAN的特性，在協(xié)議分析[6]的入侵檢測過程中使用MAC幀分類檢測技術(shù)，針對每一種子類型的MAC幀使用與其相對應(yīng)的子類型協(xié)議分析器進(jìn)行分析檢測，使得檢測策略靈活多變，特征碼提取更加準(zhǔn)確、迅捷，可進(jìn)行準(zhǔn)確的分類統(tǒng)計(jì)，提高了匹配效率。
1 系統(tǒng)架構(gòu)
　無線網(wǎng)絡(luò)由若干個AP覆蓋的WLAN組成，WLAN入侵檢測系統(tǒng)包括控制中心和監(jiān)測代理兩部分。每個WLAN中分別設(shè)置一個監(jiān)測代理，每個監(jiān)測代理配置一塊無線網(wǎng)卡和一塊以太網(wǎng)卡。無線網(wǎng)卡設(shè)置成混雜模式，負(fù)責(zé)監(jiān)聽該WLAN中的無線數(shù)據(jù)包，以檢測是否存在針對該無線網(wǎng)絡(luò)相關(guān)節(jié)點(diǎn)的入侵行為，并將檢測到的異常數(shù)據(jù)通過以太網(wǎng)傳送給控制中心。控制中心負(fù)責(zé)處理各監(jiān)測代理發(fā)來的警告信息并進(jìn)行相應(yīng)的處理，如圖1所示。

    檢測代理單元由報文捕獲模塊、協(xié)議分析模塊、入侵檢測模塊、通信模塊和阻斷模塊組成。報文捕獲模塊捕獲相應(yīng)數(shù)據(jù)后，傳給協(xié)議分析模塊，首先進(jìn)行協(xié)議解碼，然后入侵檢測模塊對協(xié)議解碼后的數(shù)據(jù)進(jìn)行檢測，若發(fā)現(xiàn)入侵，將產(chǎn)生報警，記錄攻擊特征，并通過通信模塊將報警信息發(fā)給控制中心，控制中心根據(jù)各檢測代理單元上報的報警信息進(jìn)行綜合分析，判斷入侵情況，通知阻斷模塊進(jìn)行相應(yīng)處理。
　控制中心主要包含配置模塊、通信模塊、數(shù)據(jù)庫管理模塊、人機(jī)交互界面和響應(yīng)模塊。配置模塊可對各個檢測代理進(jìn)行各種配置。通信模塊負(fù)責(zé)與監(jiān)測代理進(jìn)行通信。數(shù)據(jù)庫管理模塊負(fù)責(zé)存儲入侵行為特征。人機(jī)交互界面提供給管理員直觀的圖形界面。響應(yīng)模塊接收各監(jiān)測代理發(fā)送的檢測結(jié)果，并生成報表寫入日志。
WLAN入侵檢測系統(tǒng)工作流程如圖2所示。

2 基于MAC幀分類匹配的入侵檢測
2.1報文捕獲
　本文通過在Linux系統(tǒng)下的射頻監(jiān)聽模式進(jìn)行報文捕獲，通過Libpcap開發(fā)庫實(shí)現(xiàn)開發(fā)。射頻監(jiān)聽模式需要特殊的網(wǎng)卡與特殊的驅(qū)動程序，通過查詢資料，本系統(tǒng)選用Atheros芯片的無線網(wǎng)卡及其相應(yīng)的Madwifi驅(qū)動。操作系統(tǒng)選用對無線網(wǎng)卡驅(qū)動支持較好的Ubuntu Linux。無線網(wǎng)卡在射頻監(jiān)聽模式下不接入任何WLAN，能捕獲網(wǎng)卡接收范圍內(nèi)所有的原始802.11協(xié)議報文。
　Libpcap能捕獲到底層的所有報文，并且通過設(shè)置命令使得Libpcap捕獲到帶prism頭結(jié)構(gòu)的所有802.11原始報文，Prism Monitor Header長度為144 B，這是網(wǎng)卡在捕獲無線幀時添加在802.11MAC幀頭前的數(shù)據(jù)，主要包括信號強(qiáng)度、傳輸速率等信息。報文捕獲命令如表1所示。

2.2 協(xié)議分析及MAC幀分類
　MAC幀分類樹如圖3所示，樹的根節(jié)點(diǎn)是對MAC幀的總體分析，中間節(jié)點(diǎn)根據(jù)Type值進(jìn)行了MAC幀的分類，而每一個葉子節(jié)點(diǎn)代表一種實(shí)現(xiàn)不同子功能的MAC幀。本文針對每一個葉子節(jié)點(diǎn)使用相對應(yīng)的子類型協(xié)議分析器，因?yàn)獒槍P的每一種入侵，不管是AP關(guān)聯(lián)表溢出攻擊、STA各種認(rèn)證攻擊還是最近很“流行”的針對WEP、WPA、WPA2等加密技術(shù)的口令破解攻擊，其最明顯的特征都是在短時間內(nèi)向AP頻繁發(fā)送某一種特定的幀。MAC幀分類的優(yōu)點(diǎn)在于檢測策略靈活多變，特征碼提取更加準(zhǔn)確、迅捷，可進(jìn)行準(zhǔn)確的分類統(tǒng)計(jì)，提高了匹配效率。

    協(xié)議分析的過程就是一條從根節(jié)點(diǎn)到某個葉子節(jié)點(diǎn)的路徑。根部是MAC幀的總體分析，對所有MAC幀，首先提取幀頭信息，提取MAC幀的控制字段以及地址1-4。根據(jù)控制字段中Type值分別分析管理幀、控制幀以及數(shù)據(jù)幀，再根據(jù)Subtype值確定該幀的具體子類型，然后將控制字段及地址1-4提交給相應(yīng)的子類型協(xié)議分析器。在每個子類型協(xié)議分析器中，通過分析檢測得到入侵檢測規(guī)則所需要的幀體元素值，采用模式匹配來檢測攻擊，并且對收到的該子類型MAC幀進(jìn)行來源區(qū)分和目標(biāo)地址的時間段統(tǒng)計(jì)。
2.3 分類匹配檢測
    (1)捕獲802.11原始MAC幀。
    (2)分析幀頭的Frame Control字段，根據(jù)變量Type值判別該幀類型，根據(jù)變量Subtype值進(jìn)一步判斷幀功能，使用相應(yīng)的子類型協(xié)議分析器檢測，其流程如圖4所示。

    (3)特征碼提取。協(xié)議分析技術(shù)利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性，能理解數(shù)據(jù)流，利用網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)字段，從而不再需要匹配整個數(shù)據(jù)包，只需要匹配特殊字段，減少了計(jì)算量，提高了檢測效率，可以快速探測攻擊的存在。由于多數(shù)黑客軟件攻擊時所發(fā)送的報文均為特殊的字符串，所以只要在報文中檢索到此類標(biāo)志性信息便可認(rèn)定存在攻擊。
    (4)特征碼匹配檢測。各檢測模塊在入侵檢測過程中采用MAC幀，分類檢測技術(shù)，針對每一種子類型的MAC幀，使用與其相對應(yīng)的子類型協(xié)議分析器與特征數(shù)據(jù)庫中的攻擊特征碼進(jìn)行匹配檢測。根據(jù)匹配結(jié)果，判別此通信是否屬于網(wǎng)絡(luò)入侵行為，并利用統(tǒng)計(jì)分析檢測所捕獲的報文中可能存在的異常。對于已經(jīng)確定的網(wǎng)絡(luò)入侵行為，通過通信模塊向控制中心傳輸檢測結(jié)果，并由控制中心通知阻斷模塊對其采取相應(yīng)的處理操作。對MAC幀進(jìn)行子類型分類檢測的原因在于，針對AP的每一種入侵，不管是AP關(guān)聯(lián)表溢出攻擊、STA各種認(rèn)證攻擊還是最近很“流行”的針對WEP、WPA、WPA2等加密技術(shù)的口令破解攻擊，其最明顯的特征都是在短時間內(nèi)頻繁發(fā)送某些特定的幀以達(dá)到入侵的目的。MAC幀分類的優(yōu)點(diǎn)在于，檢測策略靈活多變，特征碼提取更加準(zhǔn)確、迅捷，可進(jìn)行準(zhǔn)確分類統(tǒng)計(jì)，提高了匹配效率。
    本系統(tǒng)是在Linux下實(shí)現(xiàn)了一個基于網(wǎng)絡(luò)的WLAN入侵檢測系統(tǒng)，并在Linux下進(jìn)行了模擬實(shí)現(xiàn)。實(shí)驗(yàn)表明，本系統(tǒng)能快速檢測出較常見的WLAN入侵行為，具有實(shí)時處理和低誤報率的特點(diǎn)，對WLAN的安全保障具有一定的實(shí)用價值。利用該系統(tǒng)和其他安全策略，可對無線局域網(wǎng)的安全提供基本的保障。如何進(jìn)一步實(shí)現(xiàn)原型系統(tǒng)來驗(yàn)證其有效性，如何在加密的網(wǎng)絡(luò)環(huán)境中更加有效地進(jìn)行入侵檢測以及有效融合分析結(jié)果等問題還需要進(jìn)一步的研究和探討。
    無線入侵檢測技術(shù)仍處于研究階段，還存在很多不足之處。隨著無線網(wǎng)絡(luò)的普及，人們越來越關(guān)注無線網(wǎng)絡(luò)的安全性，采用入侵檢測技術(shù)加強(qiáng)無線網(wǎng)絡(luò)的安全是非常必要的，無線網(wǎng)絡(luò)入侵檢測技術(shù)必將受到人們的高度重視。
參考文獻(xiàn)
[1] KING J S. An IEEE 802.11 wireless LAN security white paper[R]. U.S. Department of Energy， Lawrence Livermore National Laboratory UCRL-ID-147478， 2001.10.
[2] STUBBLEFIELD A， IOANNIDIS J， RUBIN A D. Using the Fluhrer， Mantin， and Shamir attack to break WEP[C]. Network and Distributed System Security Symposium， 2002： 100-122.
[3] 孫樹峰，石興方，顧君忠.關(guān)于802.11協(xié)議的攻擊研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2002，33(10)：33-36
[4] Muts， Emgent， Pure_hate [CP/OL]. http： //www.backtrack-linux. org/，2010-09-01.
[5] 趙春生.Beini [CP/OL].http：//www.ibeini.com/index.htm，2010-09-01.
[6] 杜建國，郭巧.協(xié)議分析和命令解析在入侵檢測中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用，2004，18：159-162.