摘 要: 在研究WLAN入侵檢測技術(shù)的基礎(chǔ)上,給出一種基于數(shù)據(jù)鏈路層的無線局域網(wǎng)入侵檢測方法。該方法使用協(xié)議分析技術(shù),采用MAC幀分類的方法匹配入侵特征,實(shí)現(xiàn)對WLAN的入侵檢測。
關(guān)鍵詞: 無線局域網(wǎng);入侵檢測;協(xié)議分析;分類匹配
無線網(wǎng)絡(luò)依靠其無可比擬的靈活性和可擴(kuò)容性,使其網(wǎng)絡(luò)無線化已是大勢所趨。但由于無線信道的開放性和802.11協(xié)議自身的諸多漏洞[1-2],無線局域網(wǎng)的安全一直受到各種入侵方式的威脅[3],這使得無線網(wǎng)絡(luò)的發(fā)展空間受到了嚴(yán)重制約。尤其是隨著無線加密協(xié)議破解技術(shù)的發(fā)展,各種針對無線加密協(xié)議的攻擊平臺層出不窮(如Back Track 3、Back Track 4[4]),國內(nèi)趙春生最近開發(fā)的Beini[5]攻擊平臺,非專業(yè)技術(shù)人員利用這些平臺破解任何一個使用WEP加密的AP點(diǎn)用時不會超過3 min,即使加密協(xié)議使用WPA、WPA2,只要獲得足夠的握手包,暴力破解密鑰也只是時間問題。更何況如今計(jì)算機(jī)運(yùn)算技術(shù)的飛速發(fā)展,單機(jī)的CPU+GPU運(yùn)算可達(dá)100 K keys/s,如果使用云計(jì)算,運(yùn)算時間更會顯著縮短。為確保無線局域網(wǎng)數(shù)據(jù)安全,十分有必要建立WLAN入侵檢測系統(tǒng)。
本文在研究入侵檢測技術(shù)的基礎(chǔ)上,設(shè)計(jì)了一種基于數(shù)據(jù)鏈路層的WLAN入侵檢測方案,并針對WLAN的特性,在協(xié)議分析[6]的入侵檢測過程中使用MAC幀分類檢測技術(shù),針對每一種子類型的MAC幀使用與其相對應(yīng)的子類型協(xié)議分析器進(jìn)行分析檢測,使得檢測策略靈活多變,特征碼提取更加準(zhǔn)確、迅捷,可進(jìn)行準(zhǔn)確的分類統(tǒng)計(jì),提高了匹配效率。
1 系統(tǒng)架構(gòu)
無線網(wǎng)絡(luò)由若干個AP覆蓋的WLAN組成,WLAN入侵檢測系統(tǒng)包括控制中心和監(jiān)測代理兩部分。每個WLAN中分別設(shè)置一個監(jiān)測代理,每個監(jiān)測代理配置一塊無線網(wǎng)卡和一塊以太網(wǎng)卡。無線網(wǎng)卡設(shè)置成混雜模式,負(fù)責(zé)監(jiān)聽該WLAN中的無線數(shù)據(jù)包,以檢測是否存在針對該無線網(wǎng)絡(luò)相關(guān)節(jié)點(diǎn)的入侵行為,并將檢測到的異常數(shù)據(jù)通過以太網(wǎng)傳送給控制中心??刂浦行呢?fù)責(zé)處理各監(jiān)測代理發(fā)來的警告信息并進(jìn)行相應(yīng)的處理,如圖1所示。
檢測代理單元由報文捕獲模塊、協(xié)議分析模塊、入侵檢測模塊、通信模塊和阻斷模塊組成。報文捕獲模塊捕獲相應(yīng)數(shù)據(jù)后,傳給協(xié)議分析模塊,首先進(jìn)行協(xié)議解碼,然后入侵檢測模塊對協(xié)議解碼后的數(shù)據(jù)進(jìn)行檢測,若發(fā)現(xiàn)入侵,將產(chǎn)生報警,記錄攻擊特征,并通過通信模塊將報警信息發(fā)給控制中心,控制中心根據(jù)各檢測代理單元上報的報警信息進(jìn)行綜合分析,判斷入侵情況,通知阻斷模塊進(jìn)行相應(yīng)處理。
控制中心主要包含配置模塊、通信模塊、數(shù)據(jù)庫管理模塊、人機(jī)交互界面和響應(yīng)模塊。配置模塊可對各個檢測代理進(jìn)行各種配置。通信模塊負(fù)責(zé)與監(jiān)測代理進(jìn)行通信。數(shù)據(jù)庫管理模塊負(fù)責(zé)存儲入侵行為特征。人機(jī)交互界面提供給管理員直觀的圖形界面。響應(yīng)模塊接收各監(jiān)測代理發(fā)送的檢測結(jié)果,并生成報表寫入日志。
WLAN入侵檢測系統(tǒng)工作流程如圖2所示。
2 基于MAC幀分類匹配的入侵檢測
2.1報文捕獲
本文通過在Linux系統(tǒng)下的射頻監(jiān)聽模式進(jìn)行報文捕獲,通過Libpcap開發(fā)庫實(shí)現(xiàn)開發(fā)。射頻監(jiān)聽模式需要特殊的網(wǎng)卡與特殊的驅(qū)動程序,通過查詢資料,本系統(tǒng)選用Atheros芯片的無線網(wǎng)卡及其相應(yīng)的Madwifi驅(qū)動。操作系統(tǒng)選用對無線網(wǎng)卡驅(qū)動支持較好的Ubuntu Linux。無線網(wǎng)卡在射頻監(jiān)聽模式下不接入任何WLAN,能捕獲網(wǎng)卡接收范圍內(nèi)所有的原始802.11協(xié)議報文。
Libpcap能捕獲到底層的所有報文,并且通過設(shè)置命令使得Libpcap捕獲到帶prism頭結(jié)構(gòu)的所有802.11原始報文,Prism Monitor Header長度為144 B,這是網(wǎng)卡在捕獲無線幀時添加在802.11MAC幀頭前的數(shù)據(jù),主要包括信號強(qiáng)度、傳輸速率等信息。報文捕獲命令如表1所示。
2.2 協(xié)議分析及MAC幀分類
MAC幀分類樹如圖3所示,樹的根節(jié)點(diǎn)是對MAC幀的總體分析,中間節(jié)點(diǎn)根據(jù)Type值進(jìn)行了MAC幀的分類,而每一個葉子節(jié)點(diǎn)代表一種實(shí)現(xiàn)不同子功能的MAC幀。本文針對每一個葉子節(jié)點(diǎn)使用相對應(yīng)的子類型協(xié)議分析器,因?yàn)獒槍P的每一種入侵,不管是AP關(guān)聯(lián)表溢出攻擊、STA各種認(rèn)證攻擊還是最近很“流行”的針對WEP、WPA、WPA2等加密技術(shù)的口令破解攻擊,其最明顯的特征都是在短時間內(nèi)向AP頻繁發(fā)送某一種特定的幀。MAC幀分類的優(yōu)點(diǎn)在于檢測策略靈活多變,特征碼提取更加準(zhǔn)確、迅捷,可進(jìn)行準(zhǔn)確的分類統(tǒng)計(jì),提高了匹配效率。
協(xié)議分析的過程就是一條從根節(jié)點(diǎn)到某個葉子節(jié)點(diǎn)的路徑。根部是MAC幀的總體分析,對所有MAC幀,首先提取幀頭信息,提取MAC幀的控制字段以及地址1-4。根據(jù)控制字段中Type值分別分析管理幀、控制幀以及數(shù)據(jù)幀,再根據(jù)Subtype值確定該幀的具體子類型,然后將控制字段及地址1-4提交給相應(yīng)的子類型協(xié)議分析器。在每個子類型協(xié)議分析器中,通過分析檢測得到入侵檢測規(guī)則所需要的幀體元素值,采用模式匹配來檢測攻擊,并且對收到的該子類型MAC幀進(jìn)行來源區(qū)分和目標(biāo)地址的時間段統(tǒng)計(jì)。
2.3 分類匹配檢測
(1)捕獲802.11原始MAC幀。
(2)分析幀頭的Frame Control字段,根據(jù)變量Type值判別該幀類型,根據(jù)變量Subtype值進(jìn)一步判斷幀功能,使用相應(yīng)的子類型協(xié)議分析器檢測,其流程如圖4所示。
(3)特征碼提取。協(xié)議分析技術(shù)利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性,能理解數(shù)據(jù)流,利用網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)字段,從而不再需要匹配整個數(shù)據(jù)包,只需要匹配特殊字段,減少了計(jì)算量,提高了檢測效率,可以快速探測攻擊的存在。由于多數(shù)黑客軟件攻擊時所發(fā)送的報文均為特殊的字符串,所以只要在報文中檢索到此類標(biāo)志性信息便可認(rèn)定存在攻擊。
(4)特征碼匹配檢測。各檢測模塊在入侵檢測過程中采用MAC幀,分類檢測技術(shù),針對每一種子類型的MAC幀,使用與其相對應(yīng)的子類型協(xié)議分析器與特征數(shù)據(jù)庫中的攻擊特征碼進(jìn)行匹配檢測。根據(jù)匹配結(jié)果,判別此通信是否屬于網(wǎng)絡(luò)入侵行為,并利用統(tǒng)計(jì)分析檢測所捕獲的報文中可能存在的異常。對于已經(jīng)確定的網(wǎng)絡(luò)入侵行為,通過通信模塊向控制中心傳輸檢測結(jié)果,并由控制中心通知阻斷模塊對其采取相應(yīng)的處理操作。對MAC幀進(jìn)行子類型分類檢測的原因在于,針對AP的每一種入侵,不管是AP關(guān)聯(lián)表溢出攻擊、STA各種認(rèn)證攻擊還是最近很“流行”的針對WEP、WPA、WPA2等加密技術(shù)的口令破解攻擊,其最明顯的特征都是在短時間內(nèi)頻繁發(fā)送某些特定的幀以達(dá)到入侵的目的。MAC幀分類的優(yōu)點(diǎn)在于,檢測策略靈活多變,特征碼提取更加準(zhǔn)確、迅捷,可進(jìn)行準(zhǔn)確分類統(tǒng)計(jì),提高了匹配效率。
本系統(tǒng)是在Linux下實(shí)現(xiàn)了一個基于網(wǎng)絡(luò)的WLAN入侵檢測系統(tǒng),并在Linux下進(jìn)行了模擬實(shí)現(xiàn)。實(shí)驗(yàn)表明,本系統(tǒng)能快速檢測出較常見的WLAN入侵行為,具有實(shí)時處理和低誤報率的特點(diǎn),對WLAN的安全保障具有一定的實(shí)用價值。利用該系統(tǒng)和其他安全策略,可對無線局域網(wǎng)的安全提供基本的保障。如何進(jìn)一步實(shí)現(xiàn)原型系統(tǒng)來驗(yàn)證其有效性,如何在加密的網(wǎng)絡(luò)環(huán)境中更加有效地進(jìn)行入侵檢測以及有效融合分析結(jié)果等問題還需要進(jìn)一步的研究和探討。
無線入侵檢測技術(shù)仍處于研究階段,還存在很多不足之處。隨著無線網(wǎng)絡(luò)的普及,人們越來越關(guān)注無線網(wǎng)絡(luò)的安全性,采用入侵檢測技術(shù)加強(qiáng)無線網(wǎng)絡(luò)的安全是非常必要的,無線網(wǎng)絡(luò)入侵檢測技術(shù)必將受到人們的高度重視。
參考文獻(xiàn)
[1] KING J S. An IEEE 802.11 wireless LAN security white paper[R]. U.S. Department of Energy, Lawrence Livermore National Laboratory UCRL-ID-147478, 2001.10.
[2] STUBBLEFIELD A, IOANNIDIS J, RUBIN A D. Using the Fluhrer, Mantin, and Shamir attack to break WEP[C]. Network and Distributed System Security Symposium, 2002: 100-122.
[3] 孫樹峰,石興方,顧君忠.關(guān)于802.11協(xié)議的攻擊研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2002,33(10):33-36
[4] Muts, Emgent, Pure_hate [CP/OL]. http: //www.backtrack-linux. org/,2010-09-01.
[5] 趙春生.Beini [CP/OL].http://www.ibeini.com/index.htm,2010-09-01.
[6] 杜建國,郭巧.協(xié)議分析和命令解析在入侵檢測中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用,2004,18:159-162.