摘  要： 在研究WLAN入侵檢測(cè)技術(shù)的基礎(chǔ)上，給出一種基于數(shù)據(jù)鏈路層的無(wú)線局域網(wǎng)入侵檢測(cè)方法。該方法使用協(xié)議分析技術(shù)，采用MAC幀分類(lèi)的方法匹配入侵特征，實(shí)現(xiàn)對(duì)WLAN的入侵檢測(cè)。
關(guān)鍵詞： 無(wú)線局域網(wǎng)；入侵檢測(cè)；協(xié)議分析；分類(lèi)匹配

　無(wú)線網(wǎng)絡(luò)依靠其無(wú)可比擬的靈活性和可擴(kuò)容性，使其網(wǎng)絡(luò)無(wú)線化已是大勢(shì)所趨。但由于無(wú)線信道的開(kāi)放性和802.11協(xié)議自身的諸多漏洞[1-2]，無(wú)線局域網(wǎng)的安全一直受到各種入侵方式的威脅[3]，這使得無(wú)線網(wǎng)絡(luò)的發(fā)展空間受到了嚴(yán)重制約。尤其是隨著無(wú)線加密協(xié)議破解技術(shù)的發(fā)展，各種針對(duì)無(wú)線加密協(xié)議的攻擊平臺(tái)層出不窮(如Back Track 3、Back Track 4[4])，國(guó)內(nèi)趙春生最近開(kāi)發(fā)的Beini[5]攻擊平臺(tái)，非專(zhuān)業(yè)技術(shù)人員利用這些平臺(tái)破解任何一個(gè)使用WEP加密的AP點(diǎn)用時(shí)不會(huì)超過(guò)3 min，即使加密協(xié)議使用WPA、WPA2，只要獲得足夠的握手包，暴力破解密鑰也只是時(shí)間問(wèn)題。更何況如今計(jì)算機(jī)運(yùn)算技術(shù)的飛速發(fā)展，單機(jī)的CPU+GPU運(yùn)算可達(dá)100 K keys/s，如果使用云計(jì)算，運(yùn)算時(shí)間更會(huì)顯著縮短。為確保無(wú)線局域網(wǎng)數(shù)據(jù)安全，十分有必要建立WLAN入侵檢測(cè)系統(tǒng)。
　本文在研究入侵檢測(cè)技術(shù)的基礎(chǔ)上，設(shè)計(jì)了一種基于數(shù)據(jù)鏈路層的WLAN入侵檢測(cè)方案，并針對(duì)WLAN的特性，在協(xié)議分析[6]的入侵檢測(cè)過(guò)程中使用MAC幀分類(lèi)檢測(cè)技術(shù)，針對(duì)每一種子類(lèi)型的MAC幀使用與其相對(duì)應(yīng)的子類(lèi)型協(xié)議分析器進(jìn)行分析檢測(cè)，使得檢測(cè)策略靈活多變，特征碼提取更加準(zhǔn)確、迅捷，可進(jìn)行準(zhǔn)確的分類(lèi)統(tǒng)計(jì)，提高了匹配效率。
1 系統(tǒng)架構(gòu)
　無(wú)線網(wǎng)絡(luò)由若干個(gè)AP覆蓋的WLAN組成，WLAN入侵檢測(cè)系統(tǒng)包括控制中心和監(jiān)測(cè)代理兩部分。每個(gè)WLAN中分別設(shè)置一個(gè)監(jiān)測(cè)代理，每個(gè)監(jiān)測(cè)代理配置一塊無(wú)線網(wǎng)卡和一塊以太網(wǎng)卡。無(wú)線網(wǎng)卡設(shè)置成混雜模式，負(fù)責(zé)監(jiān)聽(tīng)該WLAN中的無(wú)線數(shù)據(jù)包，以檢測(cè)是否存在針對(duì)該無(wú)線網(wǎng)絡(luò)相關(guān)節(jié)點(diǎn)的入侵行為，并將檢測(cè)到的異常數(shù)據(jù)通過(guò)以太網(wǎng)傳送給控制中心。控制中心負(fù)責(zé)處理各監(jiān)測(cè)代理發(fā)來(lái)的警告信息并進(jìn)行相應(yīng)的處理，如圖1所示。

    檢測(cè)代理單元由報(bào)文捕獲模塊、協(xié)議分析模塊、入侵檢測(cè)模塊、通信模塊和阻斷模塊組成。報(bào)文捕獲模塊捕獲相應(yīng)數(shù)據(jù)后，傳給協(xié)議分析模塊，首先進(jìn)行協(xié)議解碼，然后入侵檢測(cè)模塊對(duì)協(xié)議解碼后的數(shù)據(jù)進(jìn)行檢測(cè)，若發(fā)現(xiàn)入侵，將產(chǎn)生報(bào)警，記錄攻擊特征，并通過(guò)通信模塊將報(bào)警信息發(fā)給控制中心，控制中心根據(jù)各檢測(cè)代理單元上報(bào)的報(bào)警信息進(jìn)行綜合分析，判斷入侵情況，通知阻斷模塊進(jìn)行相應(yīng)處理。
　控制中心主要包含配置模塊、通信模塊、數(shù)據(jù)庫(kù)管理模塊、人機(jī)交互界面和響應(yīng)模塊。配置模塊可對(duì)各個(gè)檢測(cè)代理進(jìn)行各種配置。通信模塊負(fù)責(zé)與監(jiān)測(cè)代理進(jìn)行通信。數(shù)據(jù)庫(kù)管理模塊負(fù)責(zé)存儲(chǔ)入侵行為特征。人機(jī)交互界面提供給管理員直觀的圖形界面。響應(yīng)模塊接收各監(jiān)測(cè)代理發(fā)送的檢測(cè)結(jié)果，并生成報(bào)表寫(xiě)入日志。
WLAN入侵檢測(cè)系統(tǒng)工作流程如圖2所示。

2 基于MAC幀分類(lèi)匹配的入侵檢測(cè)
2.1報(bào)文捕獲
　本文通過(guò)在Linux系統(tǒng)下的射頻監(jiān)聽(tīng)模式進(jìn)行報(bào)文捕獲，通過(guò)Libpcap開(kāi)發(fā)庫(kù)實(shí)現(xiàn)開(kāi)發(fā)。射頻監(jiān)聽(tīng)模式需要特殊的網(wǎng)卡與特殊的驅(qū)動(dòng)程序，通過(guò)查詢(xún)資料，本系統(tǒng)選用Atheros芯片的無(wú)線網(wǎng)卡及其相應(yīng)的Madwifi驅(qū)動(dòng)。操作系統(tǒng)選用對(duì)無(wú)線網(wǎng)卡驅(qū)動(dòng)支持較好的Ubuntu Linux。無(wú)線網(wǎng)卡在射頻監(jiān)聽(tīng)模式下不接入任何WLAN，能捕獲網(wǎng)卡接收范圍內(nèi)所有的原始802.11協(xié)議報(bào)文。
　Libpcap能捕獲到底層的所有報(bào)文，并且通過(guò)設(shè)置命令使得Libpcap捕獲到帶prism頭結(jié)構(gòu)的所有802.11原始報(bào)文，Prism Monitor Header長(zhǎng)度為144 B，這是網(wǎng)卡在捕獲無(wú)線幀時(shí)添加在802.11MAC幀頭前的數(shù)據(jù)，主要包括信號(hào)強(qiáng)度、傳輸速率等信息。報(bào)文捕獲命令如表1所示。

2.2 協(xié)議分析及MAC幀分類(lèi)
　MAC幀分類(lèi)樹(shù)如圖3所示，樹(shù)的根節(jié)點(diǎn)是對(duì)MAC幀的總體分析，中間節(jié)點(diǎn)根據(jù)Type值進(jìn)行了MAC幀的分類(lèi)，而每一個(gè)葉子節(jié)點(diǎn)代表一種實(shí)現(xiàn)不同子功能的MAC幀。本文針對(duì)每一個(gè)葉子節(jié)點(diǎn)使用相對(duì)應(yīng)的子類(lèi)型協(xié)議分析器，因?yàn)獒槍?duì)AP的每一種入侵，不管是AP關(guān)聯(lián)表溢出攻擊、STA各種認(rèn)證攻擊還是最近很“流行”的針對(duì)WEP、WPA、WPA2等加密技術(shù)的口令破解攻擊，其最明顯的特征都是在短時(shí)間內(nèi)向AP頻繁發(fā)送某一種特定的幀。MAC幀分類(lèi)的優(yōu)點(diǎn)在于檢測(cè)策略靈活多變，特征碼提取更加準(zhǔn)確、迅捷，可進(jìn)行準(zhǔn)確的分類(lèi)統(tǒng)計(jì)，提高了匹配效率。

    協(xié)議分析的過(guò)程就是一條從根節(jié)點(diǎn)到某個(gè)葉子節(jié)點(diǎn)的路徑。根部是MAC幀的總體分析，對(duì)所有MAC幀，首先提取幀頭信息，提取MAC幀的控制字段以及地址1-4。根據(jù)控制字段中Type值分別分析管理幀、控制幀以及數(shù)據(jù)幀，再根據(jù)Subtype值確定該幀的具體子類(lèi)型，然后將控制字段及地址1-4提交給相應(yīng)的子類(lèi)型協(xié)議分析器。在每個(gè)子類(lèi)型協(xié)議分析器中，通過(guò)分析檢測(cè)得到入侵檢測(cè)規(guī)則所需要的幀體元素值，采用模式匹配來(lái)檢測(cè)攻擊，并且對(duì)收到的該子類(lèi)型MAC幀進(jìn)行來(lái)源區(qū)分和目標(biāo)地址的時(shí)間段統(tǒng)計(jì)。
2.3 分類(lèi)匹配檢測(cè)
    (1)捕獲802.11原始MAC幀。
    (2)分析幀頭的Frame Control字段，根據(jù)變量Type值判別該幀類(lèi)型，根據(jù)變量Subtype值進(jìn)一步判斷幀功能，使用相應(yīng)的子類(lèi)型協(xié)議分析器檢測(cè)，其流程如圖4所示。

    (3)特征碼提取。協(xié)議分析技術(shù)利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性，能理解數(shù)據(jù)流，利用網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)字段，從而不再需要匹配整個(gè)數(shù)據(jù)包，只需要匹配特殊字段，減少了計(jì)算量，提高了檢測(cè)效率，可以快速探測(cè)攻擊的存在。由于多數(shù)黑客軟件攻擊時(shí)所發(fā)送的報(bào)文均為特殊的字符串，所以只要在報(bào)文中檢索到此類(lèi)標(biāo)志性信息便可認(rèn)定存在攻擊。
    (4)特征碼匹配檢測(cè)。各檢測(cè)模塊在入侵檢測(cè)過(guò)程中采用MAC幀，分類(lèi)檢測(cè)技術(shù)，針對(duì)每一種子類(lèi)型的MAC幀，使用與其相對(duì)應(yīng)的子類(lèi)型協(xié)議分析器與特征數(shù)據(jù)庫(kù)中的攻擊特征碼進(jìn)行匹配檢測(cè)。根據(jù)匹配結(jié)果，判別此通信是否屬于網(wǎng)絡(luò)入侵行為，并利用統(tǒng)計(jì)分析檢測(cè)所捕獲的報(bào)文中可能存在的異常。對(duì)于已經(jīng)確定的網(wǎng)絡(luò)入侵行為，通過(guò)通信模塊向控制中心傳輸檢測(cè)結(jié)果，并由控制中心通知阻斷模塊對(duì)其采取相應(yīng)的處理操作。對(duì)MAC幀進(jìn)行子類(lèi)型分類(lèi)檢測(cè)的原因在于，針對(duì)AP的每一種入侵，不管是AP關(guān)聯(lián)表溢出攻擊、STA各種認(rèn)證攻擊還是最近很“流行”的針對(duì)WEP、WPA、WPA2等加密技術(shù)的口令破解攻擊，其最明顯的特征都是在短時(shí)間內(nèi)頻繁發(fā)送某些特定的幀以達(dá)到入侵的目的。MAC幀分類(lèi)的優(yōu)點(diǎn)在于，檢測(cè)策略靈活多變，特征碼提取更加準(zhǔn)確、迅捷，可進(jìn)行準(zhǔn)確分類(lèi)統(tǒng)計(jì)，提高了匹配效率。
    本系統(tǒng)是在Linux下實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)的WLAN入侵檢測(cè)系統(tǒng)，并在Linux下進(jìn)行了模擬實(shí)現(xiàn)。實(shí)驗(yàn)表明，本系統(tǒng)能快速檢測(cè)出較常見(jiàn)的WLAN入侵行為，具有實(shí)時(shí)處理和低誤報(bào)率的特點(diǎn)，對(duì)WLAN的安全保障具有一定的實(shí)用價(jià)值。利用該系統(tǒng)和其他安全策略，可對(duì)無(wú)線局域網(wǎng)的安全提供基本的保障。如何進(jìn)一步實(shí)現(xiàn)原型系統(tǒng)來(lái)驗(yàn)證其有效性，如何在加密的網(wǎng)絡(luò)環(huán)境中更加有效地進(jìn)行入侵檢測(cè)以及有效融合分析結(jié)果等問(wèn)題還需要進(jìn)一步的研究和探討。
    無(wú)線入侵檢測(cè)技術(shù)仍處于研究階段，還存在很多不足之處。隨著無(wú)線網(wǎng)絡(luò)的普及，人們?cè)絹?lái)越關(guān)注無(wú)線網(wǎng)絡(luò)的安全性，采用入侵檢測(cè)技術(shù)加強(qiáng)無(wú)線網(wǎng)絡(luò)的安全是非常必要的，無(wú)線網(wǎng)絡(luò)入侵檢測(cè)技術(shù)必將受到人們的高度重視。
參考文獻(xiàn)
[1] KING J S. An IEEE 802.11 wireless LAN security white paper[R]. U.S. Department of Energy， Lawrence Livermore National Laboratory UCRL-ID-147478， 2001.10.
[2] STUBBLEFIELD A， IOANNIDIS J， RUBIN A D. Using the Fluhrer， Mantin， and Shamir attack to break WEP[C]. Network and Distributed System Security Symposium， 2002： 100-122.
[3] 孫樹(shù)峰，石興方，顧君忠.關(guān)于802.11協(xié)議的攻擊研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2002，33(10)：33-36
[4] Muts， Emgent， Pure_hate [CP/OL]. http： //www.backtrack-linux. org/，2010-09-01.
[5] 趙春生.Beini [CP/OL].http：//www.ibeini.com/index.htm，2010-09-01.
[6] 杜建國(guó)，郭巧.協(xié)議分析和命令解析在入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用，2004，18：159-162.