韩 璐，张 军

（哈尔滨师范大学计算机科学与信息工程学院，哈尔滨　150025）

无线局域网入侵检测技术研究

韩 璐，张 军

（哈尔滨师范大学计算机科学与信息工程学院，哈尔滨150025）

与有线网络相比无线网络具有可移动性、不受线缆限制、组网灵活等优点，因此无线局域网在日常生活以及工作中都得到了广泛的应用，也因此，WLAN的入侵检测技术受到了使用者的普遍重视。本文主要研究了无线网所面临的威胁，并对WLAN入侵检测技术的不完整和将来的发展趋势进行了归纳与分析。

入侵检测；无线网络；有线网络

0　引 言

伴着网络的快速发展，无线网络已经成为人们生活中的重要组成元素。但是无线网络的开放性却使其更易受到非法进攻，从而使得无线网络（WLAN）的安全问题研究日渐受到各方瞩目与重视。与传统有线网络比起来，WLAN开启研发较晚，发展也略显迟缓，且未构成严整体系，因此基于无线网络的入侵检测研究相对也就并未臻至充分、全面。本文则特别着重阐述无线局域网面对的主要威胁、入侵检测的技术特征，连同该技术呈现的不足以及未来发展目标也一并给出完整论述。

1　无线局域网面对的威胁

一方面，无线网络与传统有线网络只是在传输方式上有区别，因此常规的有线网络中的安全风险如病毒、恶意攻击、非授权访问等在无线网络中也都是并行而共同存在的。另一方面，无线网络与有线网络在安全上也会带来一定的差异，重点体现在物理层和链路层上，因此无线网络在传输环节将更易受到攻击，可能会遭遇比有线网络更为频密的安全威胁。目前，针对WLAN的攻击主要有：嗅探窃听、伪装入侵、中间人攻击、拒绝服务攻击、暴力攻击、不法AP等。在此，则针对各类攻击的原理展开讨论，现分述如下。

1.1嗅探窃听

嗅探窃听是无线局域网（WLAN）的首位攻击方法，运用了WLAN信道敞开的不足。进攻者经常在WLAN信号覆盖领域内截取报文，得到锐敏讯息。

1.2伪装入侵

伪装入侵是指进攻者将本身的不法设备伪装成正当设备，是一种隐蔽等级较高的潜藏进攻方法。如果进攻者顺利诱骗对象网络，而变身为对象网络中的正当站点或正当接入点，进攻者就随即可以获得当地网络赋予的对应考察权力。

1.3中心人攻击

中心人攻击是进攻者发动的针对某个网络的主机发配到另外一台主机的包实行操纵的攻击。这种攻击极具代表性，由于其中包含了当网络数据经过互联网传送时全部可能出现的攻击。攻击实现过程如图1所示。

图1　中心人攻击Fig.1 Middle attacks

1.4拒绝服务进攻

拒绝服务（Denial of Service，DoS），形成的进攻行为可以称作攻击。这种进攻不是以得到网络的掌控权限和信息的走访权限当作目的，而是依据将网络、操作系统或应用程序的限定资源消耗，致使计算机或网络无法展开常规工作，同时也无法提供正常的服务。

1.5 暴力进攻

暴力进攻（Brute-Force Attack）是通过运用数字、字母和字符的随意结合，估测用户名和口令，屡次完成探索性考察。同时，凭借其关联系统的速率，每分钟可以发起多达千万次的探索性进攻。对安全系统进行的暴力进攻将会耗费很长时间，而且进攻的成果多是无望的。

1.6不法AP

AP是WLAN的主要接入设备，而不法AP则是未经网络管理职员允许或委托的无线接入点。由于IEEE802.11对AP并未形成严格规定和限制，因此攻击者很容易搭建非法AP，再通过非法AP对网络和无线用户发起攻击。

2　WLAN入侵检测技术

入侵（Intrusion）是指在非授权下对计算机资源的完备性、机密性、可用性造成威迫的各种预谋设计行为。入侵检测系统（Intrusion Detection System，IDS）是一种自动对网络安全施行监督，如果发现危险信息就发出提醒或执行阻断措施的网络安全防御设备［1］。而与其他设备的不同之处在于IDS是一种主动的安全防护设备。WLAN入侵检测技术即是在常见入侵检测技术上加入了些无线局域网络的检测，固然可以从不同的方向对其进行划分，然而从技术达成上，多数情况下可以将其分为误用检测技术和异常检测技术，下面将详尽研究这2种入侵检测技术。

2.1异常检测

异常检测是对以往操作的特征进行总结，得出以往操作的样式，通过其中一些行为与正常行为的表象差距来估计是否为入侵。主要过程如下：在综合归纳良性操作通常具备的特征之后，建立正常行为的判断指标，当某一行为和正常的行为偏差较大、即达到设定阈值时，就可断定其可归属入侵行为。

2.2误用检测

误用检测（也叫滥用检测）是理解、提取入侵行为等不寻常操作的特征，设立特征库。在检测阶段利用特征库对网罗到的数据进行比对，按照比对成效鉴定是不是入侵行为［2］。误用检测系统是建立在可以运用某种形式或者特征判定手段而对所有己知的入侵实行科学、精准评析与辨识这一基础事实之上的。该系统的研究关键是如何明确形成定制的进攻特征样式可以覆盖与真实进攻有关联的全部因素，和对入侵行为特征的标识匹配。为此，如果要想达成传统概念上针对进攻行为能够获得理想准确检查效率的误用检测系统，就需要保证全部进攻行为均可利用数学语言进行科学规范表达。误用检测系统的实现手段主要有专家系统、基于模型的入侵检测、状态转换、条件概率技术和键盘监控技术等。在此，则对其展开进一步说明论述。

2.2.1专家系统

专家系统是依据完整的知识库而设立的、基于规则的实用性核心方法。知识库的完整则有赖于审计记载的全面与实时性。如果能够制定得到充足、且具普适性的准则，就能检查出任何一个入侵的细小变化。

2.2.2基于模型的入侵检测

基于模型的入侵检测系统的实现是利用设定的情景脚本、再根据可观察的活动来执行推断。经由观测，即可判定一定入侵情景的一连串行为，并且检验得出入侵计划。基于模型的入侵检测一般是由入侵者、预期者和解释者3个模块而组织构成。

2.2.3状态转移分析技术

入侵行为是由进攻者实施的一连串的操作处理，能够控制系统从某种初始情境转变到一个受到威胁的状态。开始状态是指系统还未受到检测入侵时的情况，而危险状态是指攻击完毕后的情况，此时系统行为可演绎为一张状态转换图，伴着对审计数据的理解，系统实施状态转移［3］。这种分析研究的关键是了解入侵行为的每个步骤对系统处境的转移作用，从而能够检验出联合进攻者、以及能够运用用户会话对系统实现进攻的各类行为举措。

2.2.4条件概率技术

条件概率的入侵检测方法将入侵手段对照一个事件序列，而后凭借观察事件发生的情况来估计产生的入侵。此种技术是基于事件序列，最终依据贝叶斯定理实施推理。条件概率的检测方法是基于概率观点的常规方法。具体是把贝叶斯方法实施了改进，其不足之处则是先验概率不易设定，同时事件的需求也较难满足。

2.2.5键盘监控技术

实现时，通过假定入侵与指定的击键序列相对应，而后侦察客户的击键形式，再将此种模式与入侵模式进行匹配，由此可以检验得出当下的入侵行为。但是该技术只是辨别击键，因而检测不到非法恶意程序发起的自主攻击，但是其实现起来却较为简洁、高效。

3　防火墙、入侵检测系统、入侵防御系统之间的区别和联系

通常在信息安全方面，防火墙、入侵检测系统等都是极其重要的安全防护设备。具体地，防火墙是根据互联网协议地址或者服务器端口来辨识和筛选数据包。但其不足则表现在：不能辨别和阻拦内部攻击，也许还会引起正确的数据包出现非预期拦截。为弥补防火墙的不足，能对外部进攻实施全部防御，一般将入侵检测系统连接在防火墙与网络设备中间［4］。对安全级别较高的网络来说，入侵检测系统是时下的优势选择。使用入侵检测系统采集网络数据信息，并把这些信息归纳、分析，从而有效识别攻击。

总之，防火墙、入侵检测系统、入侵防御系统之间既有区别又有联系，只有将这3种技术予以专业、科学结合、并综合运用，才能实现最佳的安全保障效果。

4　WLAN入侵检测的不足

现如今，对无线网络的入侵检测大都处于研究阶段，特别是我国仅仅处于加速起步阶段。所以无线网络领域的防范方面课题依然难以满足现时需求。综论时下研究背景可知，入侵检测技术主要存在以下不足，具体描述为：

1）入侵检测系统滞后于网络的成长速率，所以无法检测出各类新攻击，无法拦截全部数据。而若拦截网络的所有数据包，并剖析、匹配其中是否含有某种进攻的特性却会消耗不少时间和体系资源［5］。

2）不一样的入侵检测系统配置，即使得在网络有差别时就可能运用了各有不同的入侵检测技术。而且当下的入侵检测系统之间不允许讯息互换，这就使得察觉到进攻时很难找到进攻的开端，甚至由此而使入侵者获得了攻击的大漏洞。

3）目前各个系统之间的入侵检测不能实时协调合作，缺乏信息的交流，导致寻找入侵行为的源头颇为困难。甚至，各种系统之间的相互排斥反而有可能给入侵攻击者提供相应的便利和漏洞。

4）组织结构上还存在问题，现如今许多的入侵检测系统都是由曾经的根据网络或计算机的入侵检测系统改进、改良而得来的，在组织构造等方面无法使分布、开放等要求得到圆满解决。

5　WLAN入侵检测的发展方向

目前，入侵检测的研究已经整合展现了众多新的发展方向。在技术上，神经网络、遗传算法、数据挖掘、免疫算法、数据融合技术等均可以尝试与传统WLAN入侵检测相结合，以此来实现对无线局域网的更为严密的安全保护。虽然经过多年的研究进展，无线局域网（WLAN）入侵检测技术已经达到了一定技术水平，但仍然有许多问题需要获得改进与完善［6］。综合分析后，可得研究结论如下：

1）入侵检测分析技术有待加强。如今的WLAN入侵检测技术所验证的入侵行径存在着许多误报和漏报，难以对WLAN网络做到高端安全保护。

2）网络管制能力有待加强。伴着网络数据的不断增加，对网络数据的解析和处理正日渐趋于困难，因此需要加强入侵检测系统的处理能力。

3）高度集成。入侵检测系统不仅需要监督互联网上的信息，还要具备对添加配置提供支持的功能。在网络配置发生非常规状况时，能够对该配置实施管制。将来的入侵检测系统应该是一个将互联网监控、入侵检测和互联网管制等功能融合联系在一起，并可以对互联网进行全面保护的系统。

6　结束语

伴着无线网（WLAN）的迅猛成长，人们对其安全问题也愈发提升了重视与关注程度。入侵检测技术是防御网络进攻的根本手段之一，所以使用入侵检测技术来实现无线局域网不受威胁即已成为当下的重点研究课题［7］。本文阐述了WLAN入侵检测技术的发展现状及其存在的安全威胁，讨论了WLAN入侵检测技术是WLAN避免受到非法攻击者实施攻击行为的重要手段，分析了WLAN入侵检测的不足及其将来的发展方向。

［1］CAM-WINGET N，HOUSLEY R，WAGNER D，et al.Communications of the ACM［J］.Security flaws in 802.11 data link protocols，2003，46（5）：35-39.

［2］郑洪英，侯梅菊，王渝.入侵检测中的快速特征选择方法［J］.计算机工程，2010，36（6）：262-264.

［3］薛潇，刘以安，魏敏.一种入侵检测的分类方法研究［J］.计算机工程与应用，2010，46（30）：98-100.

［4］魏广科.基于WLAN的入侵检测系统研究与设计［J］.计算机与现代化，2010（8）：203-206.

［5］蒋建春，马恒太，任党恩，等.网络安全入侵检测：研究综述［J］.软件学报，2000，11（11）：1460-1466.

［6］朱会东，黄艳，黄永丽.无线局域网中的入侵检测研究与设计［J］.计算机技术与发展，2007，17（6）：173-175.

［7］穆成坡，黄厚宽，田盛丰，等.自动入侵响应决策技术的研究综述［J］.计算机研究与发展，2008，45（8）：1290-1298.

Research on wireless local area network intrusion detection technology

HAN Lu，ZHANG Jun
（Computer Science and Information Engineering College，Harbin Normal University，Harbin 150025，China）

Compared with the wired network，wireless network has good mobility，flexible networking，and unrestriction by the cable，etc，so the wireless local area network（WLAN）in daily life and work has been widely used.Based on this situation，WLAN intrusion detection technology has aroused great attention of the user.This paper studies the threats faced by the wireless network，summarizes and analyzes the underdevelopment and the future trend of the WLAN intrusion detection technology.

intrusion detection；wireless network；wired network

TP393

A

2095-2163（2016）03-0135-03

2016-04-20

韩 璐（1991-），女，硕士研究生，主要研究方向：网络安全；张 军（1964-），男，学士，教授，主要研究方向：网络安全。

张 军 Email：547967870@qq.com