张 辰，胡 亮，努尔布力

（1.吉林大学 计算机科学与技术学院，长春130012；2.新疆大学 信息科学与工程学院，乌鲁木齐830046）

随着网络科技水平的日益提高，连接方式开始大规模地由有线向无线网络转变［1］.相比于有线网络，无线网络环境具有网络拓扑结构实时性动态可变、终端异构且具有实时移动的可能、网络传输媒介异构、安全或可防范对象目标不明确、极少或无终端监控管理节点（master节点）等新特性［2－5］.无线网络安全方面的隐患也远多于有线网络环境，如：利用无线环境极易实现拒绝服务攻击，导致网络瘫痪，可用性及可靠性低，无线链路传输过程中重视数据是否第一时间有效送达，轻视数据本身是否合理合法、异构终端设备导致兼容性极大降低，时钟一致性难满足破坏了数据本身的完整性等［6］.针对上述已普遍出现的安全隐患，在网线网络工业标准即IEEE802.11WLAN中，目前使用较多的是WEP加密协议、服务区标识符SSID和MAC地址过滤技术3种防范机制［7］.

入侵检测数据集来源于针对原始被保护系统进行实时监控与审计的大规模数据集的特征选择与特征提取过程［8］，主要服务于入侵检测系统中警报产生前的入侵分析过程.目前，广泛使用的入侵检测数据集依然是KDD99安全审计数据集［9］.

1 无线网络环境WEP攻击过程

1.1 WEP协议原理

有线对等私密协议（wired equivalent privacy，WEP）是802.11标准中依赖通信双方共享密钥，实现保密传输的安全协议.基于WEP协议的加解密过程如图1所示［10］.其中：PRNG表示伪随机序列生成器；ICV表示完整性检测器.加密过程需先针对待传数据计算其校验和，再将待传数据与校验和合并得到明文数据.使用RC4算法对明文数据实现加密过程，最后将初始向量与密文送到无线网络链路中.解密过程中，接收者先用之前已经与发送者共享获得的密钥及实际接收的初始向量生成解密密钥序列，再与所获密文相异或即可获得明文信息，同时需进行所获数据帧的完整性信息校验.

图1 WEP协议的加解密流程Fig.1 Flow chart of WEP protocol encryption

算法本质上采用电子密码本（ECB）的对称算法，但其实现过程有许多安全隐患，如：因初始向量长度过短导致密钥序列被重复使用；共享密钥的更新与管理；消息认证与完整性检查方法不合理等［11］.

1.2 攻击过程设计

1.2.1 攻击流程 先查看主机是否已安装无线网卡并确保为激活态，将其设置为monitor模式后利用命令行输入开始抓取无线数据包；再通过ARPRequest注入方式实现初始向量的最快速获取，即在发包干扰过程中，一旦发现有合法客户端向已定位AP发送ARP请求包，攻击者立即重发该包.由于IEEE802.11及WEP协议均不对链路中传输数据流的重复性进行检查，满足重传相同加密帧的可能，AP接到ARP请求包后即向对应客户端及攻击者发送回复包，由此攻击者可获得初始向量，当获得足够数量的数据包后即可进行离线破解，完成攻击过程［12］.攻击流程如图2所示.

本文选取aircrack－ng作为算法破解工具，运用如下基于aircrack－ng的无线破解工具包（名称及用途）：airmon－ng：处理网卡工作模式；airodump－ng：抓包；aireplay－ng：发包，干扰；aircrack－ng：破解.

1.2.2 捕获过程

1.2.2.1 捕获原理 系统正常工作时，数据包由下至上经链路层、网络层、传输层后才能抵达应用层，其中：链路层只响应目标MAC地址与本地网络接口相匹配的或为“广播地址”的数据包；网络层需判断目标IP地址是否在本机绑定的IP地址范围内；而传输层将判断该报文中标注的TCP或UDP目的端口本机是否已开启，不满足条件的数据包将被抛弃.因此，要获得流经无线网卡的所有数据包，需直接访问网络链路层.先将无线网卡的工作模式调成混杂态（Promiscuous）.因为系统网络接口处于“混杂”模式下，该接口为“广播地址”形式，由此操作系统将直接访问链路层，由上层应用程序对数据实现过滤处理.利用该工作原理，可捕获流经网卡的所有数据链路层数据包.通过调用Libpacp库中的信息过滤机制，可进一步去除冗杂数据包，提高效率.

1.2.2.2 捕获流程及伪代码 无线入侵监测数据捕获模块利用Libpcap函数库的接口函数实现，如图3所示.

伪代码如下：

输入：实时获取的网络数据包；

图2 WEP协议的攻击流程Fig.2 Flow chart of WEP protocol attacks

图3 无线入侵检测数据捕获流程Fig.3 Flow chart of wireless intrusion detection data capture

输出：Libpcap库下的pcap文件.

1）环境变量初始化；

2）通过设置路径，选择指定无线网卡，调试为Promiscuous模式；

3）无线网卡确认并开启；

4）实时数据包捕获，每捕获一个数据包即自增1；

5）判断实时捕获的数据包数量，保存到已创建的pcap文件中；

6）判断已写入pcap文件的数据包数量，未达到事先设定的阈值，跳转回步骤4）；已达到则关闭Libpcap库，程序终止.

2 无线网络WEP攻击特征数据集的实现

2.1 实验环境

在人工搭建的无线局域网上进行实验，设备包括设为AP的PC机1台、客户主机1台、攻击主机1台、TP－LINK无线网卡2块、检测主机1台.作为AP的主机连接Inter网并设置AP热点，客户主机运行常用网络业务（网页浏览等），无线网络使用802.11协议.检测主机负责数据收集和预处理等入侵行为检测.

2.2 数据集的构建过程

先实现无线数据包获取，进行WEP攻击，再针对无线攻击数据包完成捕获，最后利用特征选择与特征提取等数据挖掘方法实现WEP入侵数据集的构建.实验过程如下.

1）无线网络数据采集.设计并实现基于无线网络的数据采集工具WEP＿libpcap，并对其进行丢包率测试，该测试用于评价数据采集工具的抓包效率：

分别选取4种不同的时间间隔（200，100，50，0ms）重发不同次数的数据包测试该工具捕获数据包的实际效率.其中，数据包结构如下：23F4B3 3E23 21 54 20 30 2D54 03 12 44 00 2C10 42 5AC8 22 0D40 20 56 2A2C34EF 03 23D8 30EO 03 0FD3 02 2CA8 20 00 30.数据包重发时间间隔和丢包率测试结果列于表1.

2）WEP攻击仿真、入侵数据采集和分析.先仿照检测到的共享密钥验证方式中发送的伪随机数对数据进行修改，生成广播包进行干扰，完成入侵行为，然后对入侵数据完成采集并分析.按照数据采集工具中的相关内容，可捕获到入侵数据包，进而完成破解，步骤如下：

① 修改无线网卡状态；

② 修改网卡工作模式：进入monitor状态，产生一个虚拟的网卡；

③ 查看网络状态，记录AP的MAC地址与本机MAC地址，确定攻击目标；

④ 监听并抓包：生成.cap或.ivs文件；

⑤ 干扰无线网络：获取无线数据包，发送垃圾数据包获得更多的有效包；

⑥ 破解.cap或.ivs文件，从而获得WEP协议共享密钥，完成破解.

对捕获的数据进行分析，在ARPRequest注入攻击过程中主要产生如图4和图5所示的两种数据包.

表1 工具性能测评结果Table 1 Performance results evaluation of tools

3）WEP攻击特征数据集的构建.参照KDD99数据集及WEP协议攻击过程中用到的特征数据，WEP特征数据集可提取如下特征.

① WEP攻击流量统计特征（描述）：count（总帧数）；Duration（帧间间隔均值）；Num＿data（数据帧总数）；Num＿length（数据帧长度均值）；Num＿fragment（分片数）；Num＿FromDs－ToDs（AP发出的帧总数与发往AP帧总数的差）；Num＿retransmission（重传帧总数）；Num＿multi＿broad＿cast（目的地址为组播和广播帧的总数）；WEPValid（WEP ICV校验通过帧占WEP加密帧的比值）.

② 无线网络连接特征（描述）：duration（连接持续时间）；Protocol＿type（协议类型）；service（目标主机网络服务类型）；send＿node（接受节点）；Recv＿node（发送节点）；More＿flag（分片标志）；land（连接是否来自／送达同一个主机／端口）；Wrong＿fragment（错误分段数量）；WEP（是否加密）；To＿DS（发送方向）；Num＿failed＿logins（登陆失败次数）；Logged＿in（成功登陆为1，否则为0）；Num＿compromised（满足被攻击条件的数量）；Casting＿Type（接受地址是单播，组播或广播）；Num＿access＿files（访问控制文件操作的数量）.

③ 基于事件的网络流量统计特征（描述）：count（过去2s内，与当前连接具有相同目标主机的连接数）；以下特征是指这些相同主机的连接：Rerror＿rate（REJ错误连接数的百分数）；Same＿srv＿rate（相同服务连接数的百分数）；Diff＿srv＿rat（不同服务连接数的百分数）；Srv＿count（2s内和当前连接有相同服务的连接数）；以下特征是指这些相同服务的连接：Srv＿rerror＿rate（REJ错误连接数的百分数）；Srv＿diff＿host＿rate（不同主机连接数的百分数）.

图4 ARP协议数据包Fig.4 ARP protocol packets

图5 LLC协议数据包Fig.5 LLC protocol packets

④ 基于主机的网络流量统计特征（描述）：dst＿host＿count（与当前连接具有相同目标主机的连接数）；dst＿host＿srv＿count（相同服务）；dst＿host＿same＿srv＿rate（相同服务的百分数）；dst＿host＿diff＿srv＿rate（不同服务的百分数）；dst＿host＿same＿src＿port＿rate（相同源端口连接数的百分数）；dst＿host＿src＿diff＿host＿rate；dst＿host＿rerror＿rate；dst＿host＿srv＿rerror＿rate.

综上所述，无线网络环境下，信道媒介相对开放，节点完成数据传播和转发的过程易受噪音或其他干扰的影响［13］.WEP协议用于保护无线传输过程中链路级数据，但其自身安全性并未得到保障，因此，WEP攻击成为无线网络环境下一种典型的安全隐患.本文通过对攻击数据采集过程进行分析，完成了一个完整的无线网络环境下WEP协议破解的攻击过程.通过该攻击过程，获取入侵数据并建立入侵检测数据集，实现了对该入侵行为的分析.

［1］ZHAO Hong－wei，CHENG Yu，LI Zhuo，et al.Design of QoS Architecture in IEEE802.16d［J］.Journal of Jilin University：Engineering and Technology Edition，2013，43（3）：701－705.（赵宏伟，程禹，李卓，等.IEEE802.16d的服务质量框架设计 ［J］.吉林大学学报：工学版，2013，43（3）：701－705.）

［2］MENG Chao，SUN Zhi－xin，LIU San－min.Multiple Execution Path for Virus Based on Cloud Computing ［J］.Journal of Jilin University：Engineering and Technology Edition，2013，43（3）：718－726.（孟超，孙知信，刘三民.基于云计算的病毒多执行路径 ［J］.吉林大学学报：工学版，2013，43（3）：718－726.）

［3］ZHU Jian－ming.Security Approaches and Technology for Wireless Networks［D］.Xi’an：Xidian University，2004.（朱建明.无线网络安全方法与技术研究 ［D］.西安：西安电子科技大学，2004.）

［4］WANG Zhi－tao.On Security Analysis of Wireless LAN and Its Prevention Measures［J］.Technology Innovation and Application，2012（14）：48.（王志涛.浅谈无线局域网的安全分析及其防范措施 ［J］.科技创新与应用，2012（14）：48.）

［5］WU Yu－cheng，FU Hong－yu.Routing Strategy for Emergency Monitoring of Large－Scale Wireless Sensor Network［J］.Journal of Jilin University：Engineering and Technology Edition，2013，43（3）：801－806.（吴玉成，付红玉.用于大规模无线传感器网络突发事件监测的路由策略 ［J］.吉林大学学报：工学版，2013，43（3）：801－806.）

［6］TIAN Yong－min.Analysis of WLAN Security Mechanism Based on Wireless Network［J］.Digital Technology ＆Application，2011，41（5）：69－70.（田永民.基于无线网络 WLAN安全机制分析 ［J］.数字技术与应用，2011，41（5）：69－70.）

［7］NIE Xiong－ding，HAN De－zhi，BI Kun.Cloud Computing Data Security ［J］.Journal of Jilin University：Engineering and Technology Edition，2012，42（Suppl 1）：332－336.（聂雄丁，韩德志，毕坤.云计算数据安全［J］.吉林大学学报：工学版，2012，42（增刊1）：332－336.）

［8］Jack Koziol.Snort入侵检测实用解决方案 ［M］.吴薄峰，孙默，许诚，等译.北京：机械工业出版社，2009.

［9］YE Yu－xin，ZHAO Jian－min，MO Yu－chang，et al.CCA－Based Mining Algorithm of Modules in Complex Networks［J］.Journal of Jilin University：Engneering and Technology Edition，2013，43（2）：424－428.（叶育鑫，赵建民，莫毓昌，等.基于典型相关分析的复杂网络模块挖掘算法 ［J］.吉林大学学报：工学版，2013，43（2）：424－428.）

［10］Park J S，Dicoi D.Wlan Security：Current and Future［J］.IEEE Internet Computing，2003，7（5）：60－65.

［11］WANG Da－hu，YANG Wei，WEI Xue－ye.Analysis of WEP Security and Its Solution［J］.China Safety Science Journal，2004，14（8）：97－100.（王大虎，杨维，魏学业.WEP的安全技术分析及对策 ［J］.中国安全科学学报，2004，14（8）：97－100.）

［12］LIU Yong－lei，JIN Zhi－gang.Research on Attack to WEP Protocol［J］.Computer Engineering，2010，36（22）：153－154.（刘永磊，金志刚.WEP协议攻击方法研究 ［J］.计算机工程，2010，36（22）：153－154.）

［13］SUN Yan－qiang，WANG Xiao－dong，ZHOU Xing－ming.Jamming Attacks in Wireless Network ［J］.Journal of Software，2012，23（5）：1207－1221.（孙言强，王晓东，周兴铭.无线网络中的干扰攻击 ［J］.软件学报，2012，23（5）：1207－1221.）