赵金梦，张静，苏蓓蓓，刘欣渝，尚智婕

（国家电网有限公司 信息通信分公司，北京，100000）

0 引言

随着无线局域网发展越来越快，产生了许多网络安全问题，IEEE 802.11协议存在固有漏洞，产生了许多网络安全问题[1]。在企业中，网络安全问题关系着企业的机密，也决定企业的发展，因此设计企业黑客入侵防护系统对企业发展来说非常重要[2]。目前，黑客可以通过多种方法入侵企业网络，窃取企业内部机密，例如无线电干扰等入侵，可导致企业网络瘫痪，甚至无法使用。人工神经网络可以使用BP算法快速识别黑客入侵信息，及时进行防护，因此，基于人工神经网络设计了企业黑客入侵防护系统。

1 硬件设计

1.1 X8AT数据采集器

企业的网络中可能有来自不同厂商的多种安全信息，因此，每个网络安全设备都有自己的数字终端，可以生成各种事件信息，包括日志和警报信息[3]。因此，在设计企业的黑客入侵防护系统时，需要选取一个能够有效整合来自各种网络的信息数据采集器。因此本文选取X8AT作为本文设计系统的核心数据采集器，X8AT核心数据采集器不仅可以从网络的各个部分收集安全事件信息，也可以对采集到的异构网络安全事件进行归一化，对各个设备发送的重复信息进行聚合过滤，合成一个综合信息，其分辨率较高，具有高速转运性能，可高速处理各种各样的任务指令，该数据采集器的参数如表1所示。

表1 X8AT数据采集器参数

由表1可知，该数据采集器的相关参数符合本文设计的入侵防护系统的需求，但由于网络安全事件管理和分析的完整实现必须依赖于安全的数据交互。因此，在应用数据采集器时，需要将采集的数据转换为CIDF标准格式，便于进行数据加密。

1.2 Portocol协议解析器

协议解析器可以监控和接收来自网络上各种协议的安全事件，并进行综合分析和处理[4]。因此其支持协议资源配置，可以使用初始化配置文件处理来自人工人精网络的入侵事件，为了提高入侵防护系统的防护等级，协议解析器可以统一将事件规范化，将规范化后的事件发送到过滤模块，再由过滤模块根据预定义策略过滤安全事件或用合并标志标记重复发生的事件，来将多个安全事件合理化，提高检测精度。

本文选取Portocol协议解析器作为入侵防护系统的核心解析器，该解析器支持长度为7的报文，内部包括若干个功能码，因此其能在超过8个数据域应用，当来自人工神经网络的企业黑客入侵数据传入后，该协议解析器可以立即使用快速处理键修改不必要的配置文件，输入合理的解析协议进行解析，解析后的文件再传输到入侵检测通道完成基础检测，最大程度上提高了入侵防护系统的防护安全性。在解析过程中，还需要使用File检查解析格式的正确性，确保解析的入侵内容符合检测通道的检测要求。

1.3 TCP过滤端口

为了保证企业黑客入侵防护系统的防护稳定性和检测灵敏性，本文在该系统内部添加了TCP过滤端口，通过该端口的数据可以被端口内部设置的数据管理模块有效识别处理，再结合端口内部逻辑进行数据过滤。为了保证系统的入侵防护效果，本文设计的过滤接口添加了有效的IP处理包，即数据输入后可以根据数据地址和数据传输需求设置TCP过滤端口内部的过滤因子，经源IP地址传输到目的IP地址，再输入源TCP/UDP端口从而实现目的TCP/UDP端口的转化。

在实际黑客入侵时，可能存在数据包长度过高导致的检测异常问题，此时可以使用该TCP过滤端口内部的TCP/IP网络将输入系统中的数据包进行分割，检查发送IP和接收IP地址，完成入侵过滤，实现高效入侵防护检测。

2 软件设计

2.1 设计入侵防护控制中心

控制中心通过监控代理和无线AP实现入侵检测与防护。由于无线AP要提供接入服务，如果需要大量时间进行入侵检测和防护，势必会影响接入性能。因此，无线AP的入侵检测和防护只能在正常无线连接的情况下检测并响应黑客入侵。

与无线AP相比，监控代理需要做更多的工作，才能实现入侵检测与防护。监控代理必须不断地切换工作通道，如果在特定通道上工作，必须检测该通道的特定入侵行为，并做出适当的响应才能实现入侵检测。控制时，监控代理和无线AP必须分工协作，才能保护网络不受侵犯。

控制中心对硬件没有特殊要求，可以是普通PC，但必须配置网卡，只要能和无线路由器通信就可以上网，控制中心可以部署在任何地方，采用TCP/IP与路由器通信，无线路由器将无线AP检测到的入侵和违规行为上报给控制中心，再由控制中心上报最新认证的AP信息，经认证的AP 安全行为准则再由控制中心分发给无线路由器。控制中心的作用是监控整个WLAN的安全状态，并与无线AP和监控代理即时通信，收集各个无线AP上报的入侵或异常事件，可以让管理员及时了解WLAN的安全状态，建立相应的安全策略[5]。

控制中心维护WLAN 内每个授权AP 的信息。在授权AP的情况下，控制中心需要存储的信息包括MAC地址、SSID名称、物理位置等。控制中心还可以维护关键Intranet 客户信息，要实现内网客户端的非法检测，必须先在控制中心注册内网客户端。控制中心提供了一种机制来授权AP行为准则，网络管理员可以指定WLAN中AP必须遵守的安全标准实现数据加密。

2.2 捕获无线分组

无线数据捕获由监控代理和无线AP 完成，监控代理需要专用的无线网卡来进行无线通信。再捕获时，无线AP必须开启混杂模式，再捕获初期，需要打开无线网卡对应无线接口的原始socket，得到网卡的原始MAC。监控代理还必须捕获所有可用信道上的无线电数据包。因此，为了达到较高的入侵检测精度，监控代理必须拥有足够的监控时间，每100毫秒发送一个正常的信标帧，如果监控时间太短，则检测不到入侵数据。

如果单个通道的监控时间过长，入侵检测延迟会增加，入侵检测可能会失败，在发起攻击之前，入侵者可能是警觉的，可能存在足够的时间来破坏网络。因此，考虑到检测精度和延迟，对每个通道进行150毫秒地监控。无线AP不需要切换信道，在正常的无线接入操作后可以捕获无线数据包。

在无线分组捕获过程中存在Wire Shark抓包关系，本文设计的系统为了避免该抓包关系造成的入侵防护漏洞进行了抓包捕获处理，首先打开入侵防护界面，选择相应的抓包选项，再使用自动捕获技术进行抓包，此时的数据包列表中可以显示全部被捕获的入侵数据包信息，根据各个信息的摘要即可进行捕获分类，降低数据包捕获难度。上述步骤完毕后可以打开cmd接口，找到自己的网关，点击捕获分组按钮，抓取相应的入侵数据包，直至ping结束，即可点击停止按钮，完成抓取。

将上述抓取到的数据包放入TCP中进行分析，输入TCP源码，再以相同的方法输入ICMP源码，完成ICMP数据包识别。为了保证入侵防护系统的防护有效性，本文设计的系统在准备工作初期就完成了sudo的安装，后续仅需要点击捕获按钮，抓取相应的入侵数据包，即可完成无线分组高效捕获。

2.3 基于人工神经网络设计入侵防护功能模块

使用人工神经网络，可以将入侵检测模块按照抽象的连接方式连接，并进行合理运算，判断各个防护节点之间的入侵防护连接关系，再结合信息处理法进行抽象化处理，建立有效的入侵防护模型，设计入侵防护模块。流氓AP的存储方式和操作方式与授权AP相同，流氓AP的BSSID地址具有6个八位字节。如果流氓AP在系统规定的时间内没有出现，则将其从链接列表中删除，并在流氓AP的操作模式、信道等信息发生变化时更新链表。流氓AP可以向控制中心发送告警信息，防止控制中心被告警信息淹没。

如果接收到的帧被无线AP 捕获，并且该帧的BSSID 与无线AP 的MAC 地址相同，则代表流氓AP 正在欺骗本地AP的MAC 地址。根据首次发现流氓AP的时间，将流氓AP 添加到流氓AP 列表，并进行标记，从而完成入侵防护，基于此，本文设计了几个不同的入侵防护功能模块。

首先是入侵防护转发模块，该模块主要由Linux内核进行支撑，且配备了专属编译码，可以根据系统的安全状态完成源码转换，配置有效的入侵检测防护网桥。第二是入侵检测防护系统的检测模块，该模块可以在IDS基础上完成入侵检测，一旦检测到相关的入侵因子，会立即报警，最大程度上避免黑客入侵，本文设计的检测模块内部添加了特征匹配、异常检测等检测中心，可以最大程度上完成异常检测，提高入侵检测效率，保证系统的防护有效性。

响应模块是本文设计的入侵防护系统的核心，其可以及时分析由检测模块传输的检测数据，完成攻击源码提取，再结合攻击特征设置相应参数，完成入侵告警，该模块主要以系统日志、Full、UNIX、Tcpdump等输出方式进行告警输出，可以实时采取入侵防护行动，控制异常信息，提高入侵防护系统的防护可靠性。

3 系统测试

为了检测本文设计的企业黑客入侵防护系统的性能，以及其在正常情况下的入侵检测防护状态，搭建了测试平台，进行系统测试，如下。

3.1 测试准备

整个测试环境由两部分组成，即入侵检测防护网络和入侵者。测试环境中入侵检测防护网络包括一个控制中心和两个无线路由器，测试环境的结构如图1所示。

图1 测试结构

由图1可知，将演示的入侵检测类型包括：拒绝服务攻击、恶意AP、Ad Hoc 网络、授权AP 和Intranet 客户端违规，测试环境中将要用到的各组件的作用及其相应的参数如表2所示。

表2 测试环境参数

根据表2的测试环境参数，需要在控制中心注册三个授权AP，此时的参数比率需要进行预先设定，保证测试环境的稳定性，参数比率计算的公式如下（1）所示。

公式（1）中，S代表参数比率，F代表信道系数，D代表环境指数，Q代表参数初始值，在设计的测试平台输入计算的参数比率，即可开始测试。

3.2 测试结果与讨论

在上文测试准备搭建的测试条件下，模拟流氓AP对设计的系统进行入侵攻击，观察设计系统此时的运行界面，如图2所示。由图2可知，设计的入侵检测系统能成功抵御流氓AP的攻击，实现入侵防护，接下来检测设计的企业黑客入侵检测系统的综合性能，测试在不同用户登入情况下设计系统的登入延时与传统的入侵防护系统的登入延时，检测结果如表3所示。

图2 测试界面

表3 企业黑客入侵防护系统性能测试

由表3可知，随着用户数量的增加，设计的企业黑客入侵防护系统的时延未明显增加，且比传统的入侵防护系统的时延低，因此设计的基于人工神经网络的企业黑客入侵防护系统的性能良好，有一定的应用价值。

4 结束语

综上所述，硬件型入侵检测成本高，人工神经网络技术在发展中为入侵防护系统提供了技术支持。为了及时发现网站安全隐患，需要结合人工神经网络，提高防护性能，因此本文设计了基于人工神经网络的企业黑客入侵防护系统，经过系统测试，结果表明设计的入侵检测系统性能良好，能成功抵御流氓AP的攻击，实现入侵防护，有一定的应用价值。