分布式無線入侵防御系統預先決策引擎研究*

陳觀林 ，馮 雁 ，王澤兵

(1.浙江大學城市學院計算機與計算科學學院 杭州 310015；2.浙江大學計算機學院 杭州 310027)

分布式無線入侵防御系統預先決策引擎研究*

陳觀林1,2，馮 雁2，王澤兵1

(1.浙江大學城市學院計算機與計算科學學院 杭州 310015；2.浙江大學計算機學院 杭州 310027)

隨著無線局域網的飛速發展，無線入侵防御系統正成為網絡安全領域的研究熱點。本文在分析無線局域網常見攻擊方法的基礎上，設計了一個分布式無線入侵防御系統預先決策引擎(distributed pre-decision engine,DPDE)，能夠有效地預測攻擊者的入侵意圖并提供主動的入侵防御。DPDE引擎采集無線設備信息，在規劃識別中引入規劃支持程度，擴展了入侵檢測規則，并對攻擊規劃的推導過程進行了改進。實驗測試表明，預先決策引擎不僅提升了無線入侵檢測和防御的性能，還有效減少漏警和虛警的產生。

入侵防御系統；規劃識別；檢測規則；網絡安全

* 浙江省自然科學基金資助項目（No.Y1080821）

近年來，互聯網在中國得到了飛速發展。根據中國互聯網絡信息中心（CNNIC）2010年1月發布的《第25次中國互聯網絡發展狀況統計報告》顯示：截至2009年12月底，我國網民規模已達3.84億戶，居世界第一。同時，互聯網隨身化、便攜化的趨勢進一步明顯，無線局域網上網出現持續增長的態勢，已逐漸成為接入互聯網的一種主要方式[1]。

隨著無線局域網的快速發展，網民對無線網絡信任和安全的要求也日漸提高。由于WLAN存在自身特有的安全威脅，如IEEE802.11系列標準以及WEP/WPA等加密協議具有明顯的技術缺陷，使得WLAN的安全問題日益突出，無線局域網領域的入侵防御系統（intrusion prevention system，IPS）正成為網絡安全研究的一個熱點。

1 無線局域網入侵防御系統

1.1 攻擊無線局域網的常見方法

由于無線局域網自身的特殊性，無線電波范圍內的任何一臺電腦都可以監聽、捕獲WLAN的數據包，并登錄到內部的無線AP，這給局域網信息安全帶來了嚴重的挑戰。目前，攻擊無線局域網的常見方法可以歸納為以下幾類[2]。

（1）無線探尋類

由于無線網絡的開放性，攻擊者只要配備無線網卡，利用Network Stumbler或Kismet等偵測工具就可以很容易地探測到周圍的無線網絡，獲取每個AP的詳細信息，如SSID、頻道、信號強度、加密方式等，使得攻擊者能夠輕易找到并進入未加保護的WLAN，此類攻擊被稱為駕駛攻擊（war driving）。

（2）密鑰破解類

為了避免War Driving攻擊使得非法主機訪問WLAN，目前較多的無線局域網采用了WEP或WPA等無線加密協議來提供安全訪問，但這些無線加密協議存在安全漏洞，攻擊者利用BackTrack或Aircrack-ng等工具可以破解長度為64 bit和128 bit的WEP密鑰，在客戶端數據包較少的情況下可以通過ARP注入破解，在無客戶端連接的時候還可以通過交互注入、斷續注入或碎片注入的方式破解WEP密鑰,甚至還可以利用Cain或Ubuntu等工具破解WPA密鑰[3]。

（3）拒絕服務類

如果攻擊者未能有效破解無線AP的加密密鑰進入WLAN，還可以對無線局域網進行拒絕服務 （denial of service，DoS）攻擊，如實施 Authentication Failure攻擊或Deauthentication Flood攻擊等都將使無線網絡停止正常服務，導致授權用戶無法訪問WLAN資源。

（4）身份偽裝類

身份偽裝包括兩種方式：偽裝成合法主機和偽裝成合法AP。

·偽裝成合法主機——許多AP節點配置了MAC地址驗證的方式提供對合法主機的接入，攻擊者可以通過MAC地址欺騙（MAC spoofing）冒充合法主機，從而繞過訪問控制列表，非法使用網絡資源。

·偽裝成合法AP——攻擊者可以實施雙面惡魔攻擊（evil twin attack）或中間人攻擊（man in the middle attack，MITM attack）偽裝成合法 AP，誘使合法主機登錄到偽裝的AP，通信過程中所有的無線數據（如賬號、口令等）機密信息都會被攻擊者獲取。

針對這些常見的攻擊方法，無線局域網入侵防御系統可以提供很好的防范和保障措施。

1.2 無線入侵防御系統

入侵防御系統融合了防火墻和入侵檢測系統的雙重優勢，不僅能檢測到惡意的攻擊行為，還可以主動地實施防御，有效地阻斷入侵，從而達到深層次防護的目的[4]。

雖然入侵防御系統在有線網絡中得到了廣泛應用，但將其應用到無線局域網還面臨著許多技術難點[5]。無線局域網主要采用IEEE802.11標準進行互聯，一方面基于傳統有線網絡的TCP/IP協議易遭受攻擊，另一方面由于IEEE802.11標準本身的安全問題而受到威脅。為了建立安全的無線局域網，需要使用安全監聽與入侵防御技術，并將其在有線網絡中的研究應用到無線網絡這個新環境中[6]。

無線入侵防御系統 （wireless intrusion prevention system，WIPS）應該具備以下3個主要功能：

·能夠檢測無線網絡中的典型攻擊行為并自動進行分類；

·能夠預測攻擊者的下一步攻擊行為并識別最終意圖；

·能夠主動響應檢測到或預測的攻擊行為并提供積極的防御。

國外關于無線入侵防御系統的發展較為迅速，如開源入侵檢測系統Snort發布了Snort-Wireless版本，通過增加Wi-Fi協議字段和選項關鍵字，采用規則匹配的方法進行無線入侵檢測；AirMagnet公司開發的分布式無線網安全管理系統可以對整個WLAN進行安全監控；AirTight公司開發的SpectraGuard系列無線周邊安全軟件和硬件產品可以不間斷地執行無線網絡監視和自動化的入侵防御任務；Cisco公司也提供了多項無線安全產品，如Cisco Aironet系列接入點就可以充當網絡入侵防御系統的傳感器等。

目前的無線局域網入侵防御技術還不夠完善，存在大量的漏警和虛警現象。

漏警是指在無線攻擊事件發生時入侵防御系統沒有發出報警或只發出部分報警。為了對攻擊行為進行正確的防御，必須首先識別攻擊者的最終規劃意圖，而不只是給出其中間攻擊環節的報警，因此規劃識別（plan recognition）尤為重要。

虛警是指通過檢查無線網絡數據包發現與某條攻擊規則匹配產生報警，實際上該攻擊對目標系統并不構成任何威脅。如入侵防御系統檢測到對某一AP節點進行WEP密鑰破解的攻擊行為后發出報警，但是該AP使用的加密協議是WPA加密，那這條報警就屬于虛警。因此，讓WIPS了解所監控的無線網絡的相關信息，可以在很大程度上減少虛警的發生。

本文應用“云安全”理念，融合分布式計算和規劃識別技術，設計了一個分布式無線入侵防御系統的預先決策引擎（distributed pre-decision engine，DPDE），該引擎通過分布式服務器捕獲無線局域網的802.11數據包，利用采集的無線設備信息過濾掉不需要匹配的攻擊規則，同時結合人工智能領域中的規劃識別方法，識別攻擊者的真正意圖，對已發生的和潛在的安全威脅進行主動阻斷，不僅能夠減少漏警和虛警的產生，還能達到自動智能防御的目的。

2 分布式預先決策引擎的總體設計

2.1 分布式預先決策引擎框架結構

DPDE是一個分布式、智能化的無線局域網預先決策引擎，該引擎主要包括以下4個部分：無線數據捕獲器、特征信息數據庫、規劃識別服務器和管理決策控制臺。

（1）無線數據捕獲器

無線數據捕獲器設置分布式的多個節點，對無線局域網內部的802.11a/b/g數據包進行捕獲，同時獲取WLAN內部無線AP的SSID、工作頻道和信號強弱等信息。

（2）特征信息數據庫

存儲無線數據捕獲器采集到的無線設備信息，并保存典型的無線入侵規劃等數據，為下一步特征匹配和規劃識別提供信息來源和依據。

（3）規劃識別服務器

這是DPDE重要的組成部分，通過基于特征信息的入侵規則匹配檢測攻擊者的攻擊行為，并結合規劃的支持程度來識別后續的攻擊意圖。

（4）管理決策控制臺

為DPDE識別出當前攻擊行為以及預測到下一步攻擊規劃提供防御手段的安全中心，防御手段包括是否報警、是否切斷網絡連接等響應策略。

2.2 分布式預先決策引擎工作流程

分布式、智能化的預先決策引擎是WIPS的核心組件，圖1說明了該引擎的總體工作流程。

圖1 結合DPDE的WIPS工作流程

結合DPDE引擎的WIPS工作流程為：通過設置分布式的無線數據捕獲器，監聽IEEE 802.11標準的14個無線信道，捕獲WLAN內的所有無線數據包，并收集所有合法AP和非法AP的相關信息。對于捕獲到的數據包訪問行為，結合無線設備信息進行基于Snort-Wireless擴展規則的匹配，檢測已知的攻擊類型。在檢測攻擊行為的同時，在已有規劃集合的基礎上，結合規劃的支持程度對攻擊者的最終規劃進行預測。預測出攻擊意圖后，DPDE能提供主動的防御響應，包括設置報警類別、自動切斷連接和保存網絡日志等。

3 分布式預先決策引擎的實現

3.1 規劃識別方法的引入

規劃識別是指根據觀察到的片段、瑣碎的現象，推斷出具有合理的因果聯系的完整而全面的規劃描述的過程[7]。

在無線入侵防御系統中引入規劃識別方法，可以預測攻擊者的下一步行為和最終攻擊意圖，從而減少漏警的發生，并可以提前采取決策行動避免后續的攻擊或破壞。

由于無線網絡自身具有的特殊性，識別出攻擊者的真正意圖并不容易，如WIPS檢測到一次和Deauthentication Flood攻擊規則相匹配的行為，該攻擊除了是攻擊者發動DoS拒絕服務攻擊之外，還有可能是以下兩個攻擊意圖：

·最終實施MAC欺騙攻擊，目的是使非法主機登錄到合法AP；

·最終實施Evil Twin攻擊，目的是欺騙客戶端登錄到偽裝AP，從而竊取機密信息。

首先，假設攻擊者只是利用Deauthentication Flood攻擊實施DoS攻擊，使得客戶主機不能正常登錄AP。如果知道了這一規劃，DPDE就能預測到攻擊者的下一步行動將會繼續發送Deauthentication數據包。

如果攻擊者是為了發起MAC Spoofing攻擊，主要目的是冒充合法主機登錄AP，則后續會看到似乎從這臺主機發出的數據包，但數據包幀的序列號間隙明顯要大于1，這樣就可以判斷攻擊者的意圖是MAC Spoofing攻擊。

如果攻擊者利用Deauthentication Flood是為了實施Evil Twin攻擊，主要目的是將自身電腦偽裝成合法AP騙取客戶主機登錄，這時DPDE能預測到攻擊者的Flood攻擊將停止，而看起來“似乎”是合法AP和客戶主機之間的連接被建立，但會發現接入點工作頻道與合法AP的頻道不同，這樣就能識別出這是一次Evil Twin攻擊。

從這個例子可以看出，雖然報告的行為都是Deauthentication Flood攻擊，但攻擊者的攻擊規劃卻完全不同，判斷出攻擊者的規劃是DoS、MAC Spoofing還是Evil Twin攻擊，對于預測攻擊者的下一步行動以及作出正確的響應非常重要。

3.2 規劃支持程度的描述

從上述例子可以看到，對于觀察到的相同動作可能會有不同的規劃，這就要求無線入侵防御系統能識別出攻擊者的真正意圖，DPDE利用了規劃的支持程度來達到這一目的。支持程度是指當某一規劃發生時另一規劃出現的可能性，將支持程度引入到DPDE，不僅可以更加準確地預測到最接近攻擊者真實意圖的規劃，同時還能有效地降低虛警的出現。

在DPDE中主要結合了無線設備信息來描述規劃的支持程度，這些信息被組織到Hash表結構中[8]，主要包括AP接入點的SSID、MAC地址、工作頻道、信號強度、是否加密及加密方式等信息。例如，一個MAC地址為00-19-E0-E3-88-4C、工作頻道為6、信號強度為38%、采用WEP加密方式的TP-Link無線AP，其Hash表結構如圖2所示。

圖2 無線AP節點的Hash表結構

無線入侵防御的規劃支持程度通過在DPDE中融入包含了無線設備信息的規則描述來實現。DPDE擴展了Snort-Wireless定義的規則方法，補充了相應的無線設備信息，可以有效識別下一步攻擊規劃并降低虛警。

以下是Snort-Wireless規則的表達式：

wifi()

The paper is written in a good language, the logic is clear and the subject and results are discussed graphically and meaningfully.

Snort-Wireless專門定義了“wifi”字段對無線數據包進行檢測，其中的規則選項（rule options）包括 frame_control、type、stype和ssid等，但是缺少對無線AP信息更為完整的描述，DPDE擴展的主要規則選項和語法格式見表1[9]。

在表1中，我們增加了描述AP工作頻道的channel選項、描述信號強度的signal選項、描述是否設置加密方式的encryption選項以及是否支持注入攻擊的injection選項等信息。

表1 DPDE擴展的規則選項

假設攻擊者利用Deauthentication Flood攻擊是作為Evil Twin攻擊的一部分，則DPDE匹配下面的擴展規則給出警告：

規則中“Channel:!”代表和合法AP不同的工作頻道。

3.3 規劃識別算法的改進

Kautz[7]把規劃識別中的規劃表示為一個層次結構，主要有兩類表達式：抽象和分解。抽象表達式說明的是事件間的IS-A關系，例如Deauth攻擊抽象于DoS攻擊。分解表達式用來說明一個事件是由幾個子事件所構成，例如Evil Twin攻擊可以分解為3個子規劃：Deauth攻擊、偽裝AP和關聯。

圖3描述了無線局域網可能存在的攻擊規劃的具體實例，包括 DoS攻擊、MAC Spoofing、Evil Twin攻擊、WEP破解和WPA破解等。

DoS和Evil Twin規劃用一階邏輯可以分別表示為：

在上述表達式中，s1、s2和s3是步驟函數，表明規劃整體和部分之間的映射關系[10]。

如果DPDE檢測到Deauth-Flood，那么可能的規劃至少有3種：

圖3 無線攻擊的一個分層規劃

如果檢測到的事件序列為：

那么DPDE將預測到攻擊者的意圖是Evil Twin攻擊，并且攻擊者的下一步規劃將是Association。獲知這一真正的攻擊意圖后，DPDE將會發送斷開連接的數據包阻斷攻擊者，達到主動防御的目的。

如果檢測到下列的事件序列：

這個序列說明了攻擊者很有可能既在進行DoS攻擊，也在實施Evin Twin攻擊。

Geib和Goldman提出了一種推導規劃識別的模型[11]，該模型主要針對有線網絡入侵檢測系統，應用到無線局域網會產生較多的虛警。我們對該模型進行了改進，將無線入侵規劃描述為如圖3所示的規劃知識圖的形式[10]，并在規劃推導過程中加入無線設備信息及規劃支持程度。

圖4描述了改進的后續規劃集的生成過程，在DPDE中結合無線設備信息，并利用規劃支持程度來產生后續規劃集。

圖4 改進的后續規劃集的生成過程

結合無線設備信息的支持程度可以有效縮小擴展集的范圍，預測最接近攻擊意圖的規劃。圖中di1和di2分別表示事件1和事件2所針對無線設備的信息，sd1和sd2分別表示事件1和事件2發生后為推導下一個規劃集的支持程度[12]。

結合無線設備信息的支持程度可以優化后續規劃集的生成過程，當檢測到某一攻擊事件后，只有符合當前無線網絡環境的攻擊規劃才會被列入下一規劃集中，當檢測到后續事件后，后續規劃集將逐漸縮小，最后會推導出一個最終規劃，也就是最接近攻擊者真正意圖的規劃。

另外，結合了無線設備信息的DPDE可以大大減少虛警。如上文所述，當DPDE預測出數據包行為可能是WEP密鑰破解攻擊時，如果相應AP設備信息的加密驗證方式不是WEP，而是WPA驗證，則完全不需要報警，因此利用無線設備信息有效提高了入侵防御系統的性能。

3.4 規劃識別過程的實現

在DPDE系統中，當捕獲到一個無線網絡數據包后，按圖5所示的過程工作，虛線框內為改進后的DPDE引擎完成的工作。

從圖中可以看出，只有當與數據包W相關的無線設備信息與規則相匹配時，才會選取相應的規則子集，同時只有當相應AP的信息與規劃pn中的描述相一致時，檢測引擎才做W與pn的進一步模式匹配，從而生成后續的規劃集，直到識別出最終規劃，最后，DPDE向控制臺產生警報并提供防御措施。

4 系統開發與測試

本文利用Java語言，在開源Snort-Wireless工具的基礎上，擴展相應的無線檢測規則，引入無線設備信息和規劃支持程度，開發實現了結合DPDE引擎的WIPS原型系統。

該原型系統通過Socket編程實現分布式主機間的通信，主要功能包括分布式檢測主機配置、無線設備信息采集、入侵規則定義、規劃支持程度生成、遠程控制臺管理和報警結果分析統計等。

圖5 DPDE的檢測識別過程

為了測試系統的檢測和防御功能，利用目前無線安全領域常用的攻擊平臺BackTrack等工具作為主要攻擊手段，選取了無線網絡安全中具有代表性的War Driving（Network Stumbler 掃 描 ）、DoS Attack、Rogue AP、MAC Spoofing、Misconfigured AP、Evil Twin、ARP 注入式 WEP 破解和碎片注入式WEP破解等共8類攻擊方式，隨機挑選攻擊組合作為具體的攻擊數據源，然后將DPDE原型系統和Snort-Wireless部署在相同的無線區域，比較它們的檢測結果。

主要測試環境為：部署的合法AP型號為Linksys WRH54G，非法AP型號為NETGEAR DG834GT，攻擊筆記本為Compaq Presario B1900，其無線網卡是Broadcom 802.11b/g的芯片，支持WEP破解中ARP Request等各種注入攻擊，該筆記本安裝BackTrack 4 Pre進行無線攻擊。

測試分為兩個部分：

·測試DPDE原型系統是否準確識別入侵規劃，從而減少漏警；

·測試DPDE原型系統是否減少虛警數量，提高檢測性能。

具體測試結果如下。

（1）在無線局域網流量充足的情況下，DPDE原型系統能檢測出上述全部8類攻擊行為，而Snort-Wireless只能檢測出其中的War Driving、DoS、Rogue AP和 MAC Spoofing這4類攻擊，見表2。

表2 DPDE原型系統和Snort-Wireless的識別結果對比

（2）擴充Snort-Wireless的規則，使其也能識別所有8類攻擊方式，但在規則中不引入無線設備信息，隨機挑選攻擊組合再次進行測試，測試結果表明Snort-Wireless產生了共56次報警，而DPDE原型系統只產生了32次報警，減少的報警均為針對特定AP的虛假警報，警報減少的比例達42.9%。測試表明，DPDE原型系統有效降低了虛警的產生，提高了WIPS的檢測性能。

5 結束語

無線局域網入侵防御系統是保障無線網絡安全的一個重要技術，如何有效地提高WIPS的檢測和防御性能，是當前無線網絡安全研究的熱點。

本文針對常見的WLAN攻擊方式，應用“云安全”技術中分布式計算的理念，結合人工智能的規劃識別方法，設計了一個分布式無線入侵防御系統的預先決策引擎（DPDE）。DPDE引擎采集無線設備信息，引入規劃支持程度，對Snort-Wireless中的檢測規則進行擴展，能預先進行決策，并識別最終規劃。實驗結果表明，DPDE能夠有效地識別目前主要的無線攻擊方式，并且降低了漏警和虛警的產生可能。

對于未知的無線攻擊手段，DPDE尚不能有效識別，在今后工作中，將進一步研究無線入侵防御系統的自學習能力，這也是智能WIPS的未來發展趨勢。

1 中國互聯網絡信息中心(CNNIC).第25次中國互聯網絡發展狀況統計報告，http://www.cnnic.cn/html/Dir/2010/01/15/5767.htm,2010

2 Ken Hutchison.Wireless intrusion detection systems，http://www.sans.org/rr/whitepapers/wireless/,2005

3 楊哲.無線網絡安全攻防實戰.北京:電子工業出版社,2008

4 吳海燕,蔣東興,程志銳.入侵防御系統研究.計算機工程與設計,2007,28(24):5844～5846

5 李慶超,邵志清.無線網絡的安全架構與入侵檢測的研究.計算機工程,2005,31(3):143～145

6 Wen-Chuan Hsieh, Chi-Chun Lo, Jing-Chi Lee. The implementation of a proactive wireless intrusion detection system.In:The Fourth International Conference on Computer and Information Technology,Wuhan,China,2004

7 Henry Kautz.A formal theory of plan recognition.Rochester:University of Rochester,1987

8 龍小飛,馮雁,王瑞杰.網絡入侵檢測系統預先決策檢測引擎研究.浙江大學學報(工學版),2006,10(40):1701～1704

9 Guanlin Chen,Hui Yao,Zebing Wang.An intelligent WLAN intrusion prevention system based on signature detection and plan recognition.In:Proceedings of the Second International Conference on Future Networks(ICFN 2010),Sanya,2010

10 姜云飛,馬寧.一種基于規劃知識圖的規劃識別算法.軟件學報,2002,4(13):686～692

11 Goldman R P，Geib C W.Plan recognition in intrusion detection systems.In:Proceedings of DARPA Information Survivability Conference and Exposition(DISCEX),Anaheim,2001

12 陳觀林,王澤兵,馮雁.智能化網絡入侵檢測模型的研究.計算機工程與應用,2005,41(16):146～149

Research of Distributed Pre-Decision Engine in Wireless Intrusion Prevention Systems

Chen Guanlin1,2,Feng Yan2,Wang Zebing1
(1.School of Computer and Computing Science,Zhejiang University City College,Hangzhou 310015，China；2.College of Computer Science,Zhejiang University,Hangzhou 310027，China)

Nowadays wireless intrusion prevention systems have become the research hotspot with the fast development of WLAN.In this paper,we first introduce the common attack methods for WLAN,and then present the framework of the wireless IPS with a distributed pre-decision engine,which can predict the future actions and direct active responses to these actions.We implement an improved model with extended detection rules for conducting intrusion plan and making pre-decision，by gathering wireless device information and importing supporting degree of intrusion plan in plan recognition.Experimental results showed that the distributed pre-decision engine can not only improve wireless intrusion detection and prevention performance,also reduce false negatives and false positives evidently.

intrusion prevention system,plan recognition,detection rule,network security

2010－07－28）