◆申 健周倩芳

校园无线局域网安全管理及入侵检测系统分析

◆申 健1周倩芳2

（1.湖南高速铁路职业技术学院 湖南 421002；2.南华大学 湖南 421001）

随着无线局域网在我国各个校园中的普及，其在应用过程中的安全问题也开始逐渐凸显出来，在日常工作过程中逐渐面临着来自于信息泄露、缺乏完整性和非法使用等方面的网络安全威胁。校园网络管理者要想保证无线局域网在使用过程中的安全性，做好局域网的安全管理是十分必要的，入侵检测系统就是保证局域网使用安全性的重要手段。对此，本文以校园中的无线局域网为立足点，通过对其当前存在的安全问题进行分析，从而就利用入侵检测系统做好局域网的安全管理进行细致研究。

校园无线局域网；安全管理；入侵检测系统；分析

0 引言

伴随网络技术和无线技术在现代社会的不断发展，接入无线局域网逐渐成为了当前市场发展和市场应用技术中的热点问题。同有线的局域网相比，无线局域网不仅接入方式十分方便快捷、拓扑结构灵活多变、建设成本十分低廉，而且还方便管理。但由于无线网络在应用的过程中极易受到攻击，这就使得保证无线网络安全成为了一项重要问题。利用入侵检测技术这种可以有效提升无线局域网安全性的重要手段，对于做好校园网的安全管理具有十分重要的作用。

1 无线局域网存在的安全问题

随着无线网络技术的发展和无线局域网应用范围的扩大，网络用户本身的自由性得到了极大的提升。但这种自由性在提升的同时，也为网络用户使用网络资源的安全性带来了极大的挑战。就目前来看，在使用无线局域网的过程中，主要会面临着来自于一下几方面的安全威胁：

（1）同有线网络相比，无线局域网仅在传输方式上较为先进，其在使用的过程中会面临木马、病毒、漏洞、拒绝服务和扫描攻击等方面的安全威胁。

（2）无线局域网在信息传输时带有的空气扩散性使得传统防火墙技术已经无法达到阻止无线电波网络通讯的使用目的。

（3）从理论的角度上来看，无线局域网在使用过程中采用的WAC和ID等访问控制技术虽然在一定程度上提升了无线网络的安全性，但黑客却可以通过窃取和修改客户MAC地址的方式进行网络访问，对授权用户的安全访问权利造成威胁。

（4）同有线网络一样，无线网络在信息传输和通讯的过程中，其产生的信息数据也可以被窃听，且因为大部分网络用户在使用自己的网络系统中都会采用弱配置和系统中默认配置，这就为黑客展开网络欺骗带来了便利性，使其能够随意的更改和插入网络信息。

（5）以802.11标准为基础构建的无线网络在使用的过程中还容易受到拒绝服务攻击的威胁，使得无线局域网的正常工作受到巨大影响。

此外，黑客还可以使用WAP来发送一些非法请求，对网络用户正常使用局域网造成一定的干扰。

2 入侵检测系统的分析

所谓的入侵，其指的是一切试图破坏网络资源机密性、完整性、可使用性的活动。入侵检测是指发现非授权用户企图使用或者是正在使用网络系统的行为，属于防范各类型网络入侵的一种有效手段。入侵检测系统主要是以数据分析方法为基础，由异常入侵检测和误用入侵检测两种技术构成。其中，异常入侵检测又被称为基于行为或者是知识的入侵检测，属于对正常操作行为和特征的总结。当网络管理人员发现正常操作模型后，便会以此模型为基础对后续的操作行为进行有效的监管，一旦发展出现同统计学意义上操作模式相偏离的行为，便可以将该操作行为认定为入侵行为[1]。误用入侵检测也可以被称为以特征或者知识为基础的入侵检测技术，其主要是以收集到的操作行为特征为基础，在建立完成相关的数据库之后。以该数据库中的信息数据为依据，对日常工作过程中收集到的数据信息进行比较，按照比较后得出的结果来判断是否为网络入侵。

3 利用入侵检测系统强化安全管理的措施

3.1 入侵行为的分类和检测方法的应用

通过对当前我国局域网络入侵的类型进行分析可以发现，其主要分为已知入侵种类与未知入侵种类这两种类型。其中，已知入侵种类指的是已经知道了入侵行为的类型和特征，且入侵检测系统中包含了对于此类型入侵的基本描述。未知入侵种类指的是入侵检测人员在之前不了解此种入侵行为所具备的特点，且校园局域网中的入侵检测系统对此种入侵行为也没有响应的描述。这样一来，就使得前者只能够利用误用检测方法来进行检测，而后者只能够使用异常入侵检查手段来完成检测工作。

3.2 完善信息收集模块的基本模式

在校园局域网系统中，信息收集模块本身具有较高的访问权限，可以通过手机和过滤网络数据包的形式来分析检测代理模块。按照校园网的布线结构，可以将该模块分为两种基本模式：一是使用一张无线网卡和以太网卡设置成的杂凑模式。无线网卡负责监听该局域网中所有的无线数据包、以太网卡负责同中心控制台保持通讯状态[2]。二是使用两张无线网卡，其中一张为杂凑模式，一张与中心控制台通讯。与此同时，要想达到实时分析网络数据的目的，捕获实时的网络数据包十分必要。此外，作为Windows平台下的一个公共的免费网络访问平台，Winpcap的开发可以为局域网用户提供访问底层网络的能力。

3.3 细致分析检测代理模块

作为无线局域网中一个基本的检测单元，局域网中的代理模块不仅包含了一个入侵检测模型，还分布在局域网中的各个关键节点之中，主要负责利用局域网中的信息收集模块为网络管理员提供相应的网络监测数据[3]。对该代理模块进行细致分析，对于提高网络数据的准确度和真实性，提升整个系统核心业务的工作能力和效率，以及安全管理功能的作用等具有重要作用。

3.4 利用管理和决策响应模块组成中央控制台

对于局域网系统来讲，决策模块中的决策代理可以分析收集到的数据的态势，并将其进行完美地融合，从而达到联合分析整个系统，评价局域网安全情况的目的。而决策模块中的响应功能可以达到对入侵行为进行物理定位的作用。因此，将决策响应模块和局域网中的管理模块相结合，对于及时发现局域网中的安全问题，提升其安全管理质量和入侵检测的准确性等具有十分重要的作用[4]。此外，管理模块的应用还可以通过人机对话的方式，加强对无线局域网的安全控制和管理，使得入侵信息能得到及时的更新。

3.5 入侵检测系统实现安全保护的原理

一般情况下，利用入侵检测系统对校园中的无线局域网入侵行为进行检测时，往往对IEEE802.11这一数据链路层中对原始数据分析的依赖性相对较高。因此，数据传输包是保证顺利捕获入侵行为的重要基础。目前，大部分学校中局域网的入侵检测系统都是以Windows2000作为主要开发平台，借助Winpcap函数库来捕获通过无线传输得到的数据，在通过协议解码的方式分析过捕获到的数据之后，将解码结果存放入入侵检测系统的缓冲队列区域之中，以便供给分析和检测模块来使用。与此同时，在检测MAC地址欺骗攻击行为的过程中，检测人员可以使用帧序列号这一入侵检测技术。因为无线局域网中相关网络设备本身的MAC地址虽然可以通过人为的方式进行修改，但是其内部包含的MADU这一序列号确会因为其本身是由设备硬件系统所决定，从而无法被入侵者随意地进行修改。与此同时，由于校园中的无线局域网系统存在着监听模块漏包、入侵检测系统中的无线网卡因为受到了重新初始化操作行为的影响，导致数据包本身的序列号也会因此再次从0开始。而当数据包中带有的序列号达到了4095之后，就会随之出现跳变成为0等类型的情况出现。因此，负责维护校园局域网入侵系统的检测人员需要针对每个已经授权的MAC地址建立起一个处于能够动态变化的序列号基线，从而达到捕获缓冲区数据包的作用。

4 结束语

总而言之，在信息网络技术不断发展，校园网络覆盖面积逐渐增大的今天，对校园中的无线局域网进行有效地管理，保证校园网的安全性，利用入侵式的检测系统，对来自于网络中的各种攻击类型进行有效地分析、研究网络数据包内部的基本结构、利用将统计分析和特征匹配相结合的系统检测手段，对提升校园局域网本身安全管理效率和入侵检测效果具有十分重要的作用。

[1]王西龙，王忠民.无线局域网入侵检测系统分析设计[J].微型电脑应用，2009.

[2]兰其斌.校园网中无线局域网的安全策略探讨[J].福建电脑，2010.

[3]陈观林，冯雁，王泽兵.分布式无线入侵防御系统预先决策引擎研究[J].电信科学，2010.

[4]陈晓华.校园无线局域网的安全策略研究[J].电脑编程技巧与维护，2010.

课题项目：本文系湖南省教育厅科学研究项目《校园无线局域网安全分析与入侵检测系统的研究与设计》（课题编号：15C0319）、衡阳市科技局科技计划项目《校园无线局域网的安全技术分析与研究》（课题编号：2015KG66）的研究成果之一。

图3 测试连接财务处截图

从上图可以看出，PC5既不可以ping通财务处内的主机（设置了禁止icmp数据包进入财务处），也不能telnet（设置了拒绝来自源192.168.23.0/23的Telnet数据流）。

6 结束语

把ACL应用于校园网的核心设备，并根据校园网络的安全需求进行配置，对某些数据流进行必要的过滤或限制，是提高校园网安全的有效措施。但是，由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

参考文献：

[1]王相林.组网技术与配置[M].北京：清华大学出版社，2007.

[2]黄中砥，张召贤，周飞菲.组网技术与网络管理[M].北京：清华大学出版社，2006.

[3]杜布拉弗斯凯，贾军保.网络安全保护[M].北京：科学出版社，2009.

[4]贾铁军.网络安全技术及应用[M].北京：机械工业出版社，2012.

[5]贾拴保，何汉华，马森.网络安全技术[M].北京：清华大学出版社，2005.

[6]（美）SeanConvery，江魁，谢琳.网络安全体系结构[M].北京：人民邮电出版社，2005.

[7]王湘黔.网络安全与防火墙技术[M].重庆：重庆大学出版社，2005.

[8]思科产品速查手册[S]．2010.

[9]唐凤灯.利用ACL构建校园网安全体系的研究[J].有线电视技术，2009.

[10]张博.基于ACL的边界路由策略的应用研究[J].长春大学学报，2010.