基于MAP—AM的可擴展無線網絡入侵檢測系統設計研究

張艷　劉翔

摘 要：近年來，在電子科技的發展下無線網絡快速的應用在企業和家庭中。然而，無線網絡都卻存在有線網絡所沒有的安全漏洞。因此，無線網絡成為最容易受到攻擊的目標。因此，需要設計出一套切實可行的防御黑客入侵的檢測系統來提高使用無線網絡的安全水平。本文在分析MAP-AM的基礎上，研究基于MAP-AM的可擴展無線網絡入侵檢測系統設計來提高無線網絡的安全性能。

關鍵詞：無線網絡；MAP-AM；可擴展；入侵檢測系統；設計

無線通信存在各方面的因素影響，攻擊者可在無線網絡覆蓋的任何區域內進行攻擊。目前，有一種新型的無線防御系統——入侵檢測系統（Intrusion detection）簡稱：IDS，采用IDS進行防御可在一定程度上提高無線網絡的安全水平。

1 可擴展監測網絡系統中存在的問題

⑴在無線網絡的頻帶中有許多的信號通道，而一個無線的空中監視器一次僅僅只能監測到一個信號通道，極有可能遺漏其他信號通道的攻擊。采用能夠獲得多個信號的無線監測設備或者多個單一無線監測設備在同一個地方監測無線信號的方法。都無法避開龐大的資金開銷。⑵有許多針對介質訪問控制子層協議（簡稱：MAC層）的攻擊，對MAC層的攻擊在檢測中必須在捕獲到一段完整且連續的介質訪問控制子層協議幀數據流才能夠完成。

2 基于MAP-AM的可擴展無線網絡入侵檢測系統設計研究

2.1 系統總體結構

MAP系統結構如圖1所示，由AM獲取無線的數據幀，將期望轉發數據幀的特征發送至融合中心，再建立一段連續時間中規范的數據流。分析引擎監測網絡流量的插件檢測器，發送警告給防護系統同時進行系統檢測以及信息的反饋等等。系統控制器主要負責各個AM之間協調，根據分析引擎發回的各類反饋信息實施對AM的修改行為，完成網絡攻擊防御的行動。防護引擎設備會發送警告信息至系統管理員并采取自動保護網絡來保護無線網絡。

2.2 空中監視器和控制器

2.2.1 AM特征提取

網絡為了降低轉發數據的流量，每個幀數據的信息都被保留，AM會以一個AMEX 的幀格式進行數據轉發。這是一種有損壓縮的特定格式，在每個數據幀的MAC頭部中遴選出的網絡流量特征，促使這幾個數據幀特征打包為User Datagram Protocol報文，在 AM發送至融合中心，丟棄數據幀體的多余內容。

2.2.2 AM信道采樣

MVP將會監聽在802.11上的所有信息通道，這是因為這些頻段都可能受到干擾或攻擊，即使是使用網絡基礎設施的一部分信息通道。AM可通過定時的接收設備設置為每一個為信息通道監測多個信息通道，這項技術被稱為信道采樣。

2.2.3 重聚集

MAP測量系統原理與望遠鏡結構相似，MAP測量系統聚集于信息通道、空間等范圍之中。MAP設定在分析元件監測到異常行為后采取動態重聚集測量系統進行維護，這是一種通過收集從單一客戶、AP等區域內大量的數據幀，或者在擴展中遴選出的網絡流量特征的集來完成重聚集。鎖定一個正在攻擊的行為，幀數據流則會確認MAP進行攻擊或是定位攻擊。

2.3 防護引擎

在日常中常見的非法無線網絡入侵的有兩種方法，一種是人工控制接入點阻塞，而另一種是腳本自動控制接入點阻塞。在系統中的入侵檢測算法發現無線網絡環境中存在非法的數據入侵現象。例如：非法用戶的訪問和非法的接入點的等等，此時系統會采取以下措施：

2.3.1 人工控制接入點阻塞

當服務器接收到警告信號時，在系統管理人員的手動設定下，程序自動運行將斷開非法數據的傳輸和響應，或是在MAC地址的過濾中阻擋非法攻擊的進行，將對無線網絡的損害減低到最小，同時采用排查計算來定位攻擊者。

2.3.2 腳本自動控制接入點阻塞

在系統識別出攻擊者發動攻擊行為時，將自動啟動程序的修改腳本文件做出調整來應對，建立與接入點相適應的腳本文件同時實施該腳本文件，這就可達到過濾非法數據訪問和切斷非法數據讀取等行為來避免數據遭受攻擊和毀壞。人工接入點阻塞的原因在通信行情況下都是由于人為影響而造成的，系統的反應時間長或錯誤是難以避免的。這種方法雖然需要無線網絡的接入，但是這種方式和無法實現無線網絡的全面防護。

3 總結

在計算機網絡的被普遍的應用開來，無線網絡也開始走進千家萬戶，從人們的家庭生活到日常的工作都需要無線網絡的純支持。在無線網絡的廣泛應用帶來的缺失無法避免的安全問題。無線網絡入侵檢測應用在保護無線網絡的重要措施是一項切實有效的保護手段。

[參考文獻]

[1]王新，劉建輝.基于數據挖掘的入侵檢測系統研究[J].計算機與數字工程，2005，33（11）：88-90.