基于MAC幀分類匹配的WLAN入侵檢測*

張紹輝，陳 晨，韓憲忠

（河北農業大學 信息科學與技術學院，河北 保定 071001）

基于MAC幀分類匹配的WLAN入侵檢測*

張紹輝，陳 晨，韓憲忠

（河北農業大學 信息科學與技術學院，河北 保定 071001）

在研究WLAN入侵檢測技術的基礎上，給出一種基于數據鏈路層的無線局域網入侵檢測方法。該方法使用協議分析技術，采用MAC幀分類的方法匹配入侵特征，實現對WLAN的入侵檢測。

無線局域網；入侵檢測；協議分析；分類匹配

無線網絡依靠其無可比擬的靈活性和可擴容性，使其網絡無線化已是大勢所趨。但由于無線信道的開放性和802.11協議自身的諸多漏洞[1-2]，無線局域網的安全一直受到各種入侵方式的威脅[3]，這使得無線網絡的發展空間受到了嚴重制約。尤其是隨著無線加密協議破解技術的發展，各種針對無線加密協議的攻擊平臺層出不窮（如 Back Track 3、Back Track 4[4]），國內趙春生最近開發的Beini[5]攻擊平臺，非專業技術人員利用這些平臺破解任何一個使用WEP加密的AP點用時不會超過3 min，即使加密協議使用WPA、WPA2，只要獲得足夠的握手包，暴力破解密鑰也只是時間問題。更何況如今計算機運算技術的飛速發展，單機的CPU+GPU運算可達100 K keys/s，如果使用云計算，運算時間更會顯著縮短。為確保無線局域網數據安全，十分有必要建立WLAN入侵檢測系統。

本文在研究入侵檢測技術的基礎上，設計了一種基于數據鏈路層的WLAN入侵檢測方案，并針對WLAN的特性，在協議分析[6]的入侵檢測過程中使用MAC幀分類檢測技術，針對每一種子類型的MAC幀使用與其相對應的子類型協議分析器進行分析檢測，使得檢測策略靈活多變，特征碼提取更加準確、迅捷，可進行準確的分類統計，提高了匹配效率。

1 系統架構

無線網絡由若干個AP覆蓋的WLAN組成，WLAN入侵檢測系統包括控制中心和監測代理兩部分。每個WLAN中分別設置一個監測代理，每個監測代理配置一塊無線網卡和一塊以太網卡。無線網卡設置成混雜模式，負責監聽該WLAN中的無線數據包，以檢測是否存在針對該無線網絡相關節點的入侵行為，并將檢測到的異常數據通過以太網傳送給控制中心?？刂浦行呢撠熖幚砀鞅O測代理發來的警告信息并進行相應的處理，如圖1所示。

檢測代理單元由報文捕獲模塊、協議分析模塊、入侵檢測模塊、通信模塊和阻斷模塊組成。報文捕獲模塊捕獲相應數據后，傳給協議分析模塊，首先進行協議解碼，然后入侵檢測模塊對協議解碼后的數據進行檢測，若發現入侵，將產生報警，記錄攻擊特征，并通過通信模塊將報警信息發給控制中心，控制中心根據各檢測代理單元上報的報警信息進行綜合分析，判斷入侵情況，通知阻斷模塊進行相應處理。

圖1 無線網絡系統架構

控制中心主要包含配置模塊、通信模塊、數據庫管理模塊、人機交互界面和響應模塊。配置模塊可對各個檢測代理進行各種配置。通信模塊負責與監測代理進行通信。數據庫管理模塊負責存儲入侵行為特征。人機交互界面提供給管理員直觀的圖形界面。響應模塊接收各監測代理發送的檢測結果，并生成報表寫入日志。

WLAN入侵檢測系統工作流程如圖2所示。

圖2 WLAN入侵檢測系統工作流程圖

2 基于MAC幀分類匹配的入侵檢測

2.1 報文捕獲

本文通過在Linux系統下的射頻監聽模式進行報文捕獲，通過Libpcap開發庫實現開發。射頻監聽模式需要特殊的網卡與特殊的驅動程序，通過查詢資料，本系統選用Atheros芯片的無線網卡及其相應的Madwifi驅動。操作系統選用對無線網卡驅動支持較好的Ubuntu Linux。無線網卡在射頻監聽模式下不接入任何WLAN，能捕獲網卡接收范圍內所有的原始802.11協議報文。

Libpcap能捕獲到底層的所有報文，并且通過設置命令使得Libpcap捕獲到帶prism頭結構的所有802.11原始報文，Prism Monitor Header長度為144 B，這是網卡在捕獲無線幀時添加在802.11MAC幀頭前的數據，主要包括信號強度、傳輸速率等信息。報文捕獲命令如表1所示。

表1 報文捕獲命令

2.2 協議分析及MAC幀分類

MAC幀分類樹如圖3所示，樹的根節點是對MAC幀的總體分析，中間節點根據Type值進行了MAC幀的分類，而每一個葉子節點代表一種實現不同子功能的MAC幀。本文針對每一個葉子節點使用相對應的子類型協議分析器，因為針對AP的每一種入侵，不管是AP關聯表溢出攻擊、STA各種認證攻擊還是最近很“流行”的針對WEP、WPA、WPA2等加密技術的口令破解攻擊，其最明顯的特征都是在短時間內向AP頻繁發送某一種特定的幀。MAC幀分類的優點在于檢測策略靈活多變，特征碼提取更加準確、迅捷，可進行準確的分類統計，提高了匹配效率。

圖3 MAC幀分類樹

協議分析的過程就是一條從根節點到某個葉子節點的路徑。根部是MAC幀的總體分析，對所有MAC幀，首先提取幀頭信息，提取MAC幀的控制字段以及地址1-4。根據控制字段中Type值分別分析管理幀、控制幀以及數據幀，再根據Subtype值確定該幀的具體子類型，然后將控制字段及地址1-4提交給相應的子類型協議分析器。在每個子類型協議分析器中，通過分析檢測得到入侵檢測規則所需要的幀體元素值，采用模式匹配來檢測攻擊，并且對收到的該子類型MAC幀進行來源區分和目標地址的時間段統計。

2.3 分類匹配檢測

（1）捕獲802.11原始MAC幀。

（2）分析幀頭的Frame Control字段，根據變量Type值判別該幀類型，根據變量Subtype值進一步判斷幀功能，使用相應的子類型協議分析器檢測，其流程如圖4所示。

（3）特征碼提取。協議分析技術利用網絡協議的高度規則性，能理解數據流，利用網絡協議分析網絡字段，從而不再需要匹配整個數據包，只需要匹配特殊字段，減少了計算量，提高了檢測效率，可以快速探測攻擊的存在。由于多數黑客軟件攻擊時所發送的報文均為特殊的字符串，所以只要在報文中檢索到此類標志性信息便可認定存在攻擊。

圖4 分類區配檢測流程圖

（4）特征碼匹配檢測。各檢測模塊在入侵檢測過程中采用MAC幀，分類檢測技術，針對每一種子類型的MAC幀，使用與其相對應的子類型協議分析器與特征數據庫中的攻擊特征碼進行匹配檢測。根據匹配結果，判別此通信是否屬于網絡入侵行為，并利用統計分析檢測所捕獲的報文中可能存在的異常。對于已經確定的網絡入侵行為，通過通信模塊向控制中心傳輸檢測結果，并由控制中心通知阻斷模塊對其采取相應的處理操作。對MAC幀進行子類型分類檢測的原因在于，針對AP的每一種入侵，不管是AP關聯表溢出攻擊、STA各種認證攻擊還是最近很“流行”的針對 WEP、WPA、WPA2等加密技術的口令破解攻擊，其最明顯的特征都是在短時間內頻繁發送某些特定的幀以達到入侵的目的。MAC幀分類的優點在于，檢測策略靈活多變，特征碼提取更加準確、迅捷，可進行準確分類統計，提高了匹配效率。

本系統是在Linux下實現了一個基于網絡的WLAN入侵檢測系統，并在Linux下進行了模擬實現。實驗表明，本系統能快速檢測出較常見的WLAN入侵行為，具有實時處理和低誤報率的特點，對WLAN的安全保障具有一定的實用價值。利用該系統和其他安全策略，可對無線局域網的安全提供基本的保障。如何進一步實現原型系統來驗證其有效性，如何在加密的網絡環境中更加有效地進行入侵檢測以及有效融合分析結果等問題還需要進一步的研究和探討。

無線入侵檢測技術仍處于研究階段，還存在很多不足之處。隨著無線網絡的普及，人們越來越關注無線網絡的安全性，采用入侵檢測技術加強無線網絡的安全是非常必要的，無線網絡入侵檢測技術必將受到人們的高度重視。

[1]KING J S.An IEEE 802.11 wireless LAN security white paper[R].U.S.Department of Energy，Lawrence Livermore National Laboratory UCRL-ID-147478，2001.10.

[2]STUBBLEFIELD A，IOANNIDIS J，RUBIN A D.Using the Fluhrer， Mantin， and Shamirattack to break WEP[C].Network and Distributed System Security Symposium，2002：100-122.

[3]孫樹峰，石興方，顧君忠.關于 802.11協議的攻擊研究[J].網絡安全技術與應用，2002，33（10）：33-36

[4]Muts，Emgent，Pure_hate[CP/OL].http：//www.backtracklinux.org/，2010-09-01.

[5] 趙春生.Beini[CP/OL].http：//www.ibeini.com/index.htm，2010-09-01.

[6]杜建國，郭巧.協議分析和命令解析在入侵檢測中的應用[J].計算機工程與應用，2004，18：159-162.

WLAN intrusion detection based on MAC frame classification matching

Zhang Shaohui，Chen Chen，Han Xianzhong

（College of Information Science and Technology，Agricultural University of Hebei，Baoding 071001，China）

The paper posts an intrusion detection arithmetic which in the data link layer that based on WLAN intrusion detection technology.This arithmetic uses protocol analysis techniques that classified MAC frame to mach invasion characteristics，achieving WLAN intrusion detection.

WLAN；intrusion detection；protocol analysis；classification matches

TP393.1

A

1674-7720（2011）01-0057-02

河北省自然科學基金資助項目（F2009000653）；河北省科技廳計劃資助項目（072135126）

2010-09-13）

張紹輝，男，1980年生，碩士研究生，主要研究方向：計算機網絡與數據庫。

陳晨，男，1983年生，碩士，講師，主要研究方向：計算機網絡與數據庫。

韓憲忠，男，1965年生，碩士，教授，主要研究方向：計算機網絡與數據庫。