本文目录一览:
浅析局域网 *** 入侵检测技术
说实话这种东西要写也写得出来,不过把时间浪费在论文上和上课睡觉是一个道理,复制的吧。
随着无线技术和 *** 技术发展无线 *** 正成为市场热点其中无线局域网(WLAN)正广泛应用于大学校园、各类展览会、公司内部乃至家用 *** 等场合但是由于无线 *** 特殊性攻击者无须物理连线就可以对其进行攻击使WLAN问题显得尤为突出对于大部分公司来说WLAN通常置于后黑客旦攻破就能以此为跳板攻击其他内部 *** 使防火墙形同虚设和此同时由于WLAN国家标准WAPI无限期推迟IEEE 802.11 *** 仍将为市场主角但因其认证机制存在极大安全隐患无疑让WLAN安全状况雪上加霜因此采用入侵检测系统(IDS——rusion detection system)来加强WLAN安全性将是种很好选择尽管入侵检测技术在有线 *** 中已得到认可但由于无线 *** 特殊性将其应用于WLAN尚需进步研究本文通过分析WLAN特点提出可以分别用于有接入点模式WLAN和移动自组网模式WLAN两种入侵检测模型架构
上面简单描述了WLAN技术发展及安全现状本文主要介绍入侵检测技术及其应用于WLAN时特殊要点给出两种应用于区别架构WLAN入侵检测模型及其实用价值需要介绍说明是本文研究入侵检测主要针对采用射频传输IEEE802.11a/b/g WLAN对其他类型WLAN同样具有参考意义
1、WLAN概述
1.1 WLAN分类及其国内外发展现状
对于WLAN可以用区别标准进行分类根据采用传播媒质可分为光WLAN和射频WLAN光WLAN采用红外线传输不受其他通信信号干扰不会被穿透墙壁偷听而早发射器功耗非常低;但其覆盖范围小漫射方式覆盖16m仅适用于室内环境更大传输速率只有4 Mbit/s通常不能令用户满意由于光WLAN传送距离和传送速率方面局限现在几乎所有WLAN都采用另种传输信号——射频载波射频载波使用无线电波进行数据传输IEEE 802.11采用2.4GHz频段发送数据通常以两种方式进行信号扩展种是跳频扩频(FHSS)方式另种是直接序列扩频(DSSS)方式更高带宽前者为3 Mbit/s后者为11Mbit/s几乎所有WLAN厂商都采用DSSS作为 *** 传输技术 根据WLAN布局设计通常分为基础结构模式WLAN和移动自组网模式WLAN两种前者亦称合接入点(AP)模式后者可称无接入点模式分别如图1和图2所示
图1 基础结构模式WLAN
图2 移动自组网模式WLAN
1.2 WLAN中安全问题 WLAN流行主要是由于它为使用者带来方便然而正是这种便利性引出了有线 *** 中不存在安全问题比如攻击者无须物理连线就可以连接 *** 而且任何人都可以利用设备窃听到射频载波传输广播数据包因此着重考虑安全问题主要有:
a)针对IEEE 802.11 *** 采用有线等效保密(WEP)存在漏洞进行破解攻击
b)恶意媒体访问控制(MAC)地址伪装这种攻击在有线网中同样存在
C)对于含AP模式攻击者只要接入非授权假冒AP就可登录欺骗合法用户
d)攻击者可能对AP进行泛洪攻击使AP拒绝服务这是种后果严重攻击方式此外对移动自组网模式内某个节点进行攻击让它不停地提供服务或进行数据包转发使其能源耗尽而不能继续工作通常称为能源消耗攻击
e)在移动自组网模式局域网内可能存在恶意节点恶意节点存在对 *** 性能影响很大
2、入侵检测技术及其在WLAN中应用
IDS可分为基于主机入侵检修系统(HIDS)和基于 *** 入侵检测系统(NIDS)HIDS采用主机上文件(特别是日志文件或主机收发 *** 数据包)作为数据源HIDS最早出现于20世纪80年代初期当时 *** 拓扑简单入侵相当少见因此侧重于对攻击事后分析现在HIDS仍然主要通过记录验证只不过自动化程度提高且能做到精确检测和快速响应并融入文件系统保护和监听端口等技术和HIDS区别NIDS采用原始 *** 数据包作为数据源从中发现入侵迹象它能在不影响使用性能情况下检测入侵事件并对入侵事件进行响应分布式 *** IDS则把多个检测探针分布至多个网段最后通过对各探针发回信息进行综合分析来检测入侵这种结构优点是管理起来简单方便单个探针失效不会导致整个系统失效但配置过程复杂基础结构模式入侵检测模型将采用这种分布式 *** 检测思路 *** 而对于移动自组网模式内入侵检测模型将采用基于主机入侵检测模型
当前对WLAN入侵检测大都处于试验阶段比如开源入侵检测系统Snort发布Snort-wire-less测试版增加了Wi字段和选项关键字采用规则匹配思路 *** 进行入侵检测其AP由管理员手工配置因此能很好地识别非授权假冒AP在扩展AP时亦需重新配置但是由于其规则文件无有效规则定义使检测功能有限而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击2003年下半年IBM提出WLAN入侵检测方案采用无线感应器进行监测该方案需要联入有线 *** 应用范围有限而且系统成本昂贵要真正市场化、实用化尚需时日此外作为概念模型设计WIDZ系统实现了AP监控和泛洪拒绝服务检测但它没有个较好体系架构存在局限性
在上述基础上我们提出种基于分布式感应器 *** 检测模型框架对含AP模式WLAN进行保护对于移动自组网模式WLAN则由于 *** 中主机既要收发本机数据又要转发数据(这些都是加密数据)文献提出了采用异常检测法对表更新异常和其他层活动异常进行检测但只提供了模型没有实现此外我们分析了移动自组网模式中恶意节点对 *** 性能影响并提出种基于声誉评价机制安全以检测恶意节点并尽量避开恶意节点进行选择其中恶意节点检测思想值得借鉴Snort-wireless可以作为基于主机入侵检测我们以此为基础提出种应用于移动自组网入侵检测基于主机入侵检测模型架构
3、WLAN中入侵检测模型架构
在含AP模式中可以将多个WLAN基本服务集(BSS)扩展成扩展服务集(ESS)甚至可以组成个大型WLAN这种 *** 需要种分布式检测框架由中心控制台和监测 *** 组成如图3所示
图3 含AP模式分布式入侵检测系统框架
*** 管理员中心控制台配置检测 *** 和浏览检测结果并进行关联分析监测 *** 作用是监听无线数据包、利用检测引擎进行检测、记录警告信息并将警告信息发送至中心控制台
由此可见监测 *** 是整个系统核心部分根据 *** 布线和否监测 *** 可以采用两种模式:种是使用1张无线网卡再加1张以大网卡无线网卡设置成“杂凑”模式监听所有无线数据包以太网卡则用于和中心通信;另种模式是使用2张无线网卡其中张网卡设置成“杂凑”模式另张则和中心通信
分组捕获完成后将信息送至检测引擎进行检测目前最常用IDS主要采用检测思路 *** 是特征匹配即把 *** 包数据进行匹配看是否有预先写在规则中“攻击内容”或特征尽管多数IDS匹配算法没有公开但通常都和著名开源入侵检测系统Snort多模检测算法类似另些IDS还采用异常检测思路 *** (如Spade检测引擎等)通常作为种补充方式无线 *** 传输是加密数据因此该系统需要重点实现部分由非授权AP检测通常发现入侵的后监测 *** 会记录攻击特征并通过安全通道(采用定强度加密算法加密有线 *** 通常采用安 *** 接层(SSL)协议无线 *** 通常采用无线加密协议(WEP))将告警信息发给中心控制台进行显示和关联分析等并由控制台自动响应(告警和干扰等)或由 *** 管理员采取相应措施
在移动自组网模式中每个节点既要收发自身数据又要转发其他节点数据而且各个节点传输范围受到限制如果在该 *** 中存在或加入恶意节点 *** 性能将受到严重影响恶意节点攻击方式可以分为主动性攻击和自私性攻击主动性攻击是指节点通过发送路由信息、伪造或修改路由信息等方式对 *** 造成干扰;自私性攻击是指 *** 中部分节点可能因资源能量和计算能量等缘故不愿承担其他节点转发任务所产生干扰因此对恶意节点检测并在相应路由选择中避开恶意节点也是该类型WLAN需要研究问题
我们检测模型建立在HIDS上甚至可以实现路由协议中部分安全机制如图4所示
图4 移动自组网模式中入侵检测架构
当数据包到达主机后如果属于本机数据数据包将被解密在将它递交给上层的前先送至基于主机误用检测引擎进行检测根据检测结果对正常数据包放行对攻击数据包则进行记录并根据响应策略进行响应此外还可以在误用检测模型基础上辅以异常检测引擎根据以往研究成果可以在 *** 层或应用层上进行也可以将其做入路由协议中以便提高检测速度和检测效率
4、结束语
传统入侵检测系统已不能用于WLAN而WLAN内入侵检测系统研究和实现才刚刚起步本文分析了WLAN特点及其存在安全问题提出了两种入侵检测系统架构可以分别用于基础结构模式WLAN和移动自组网模式WLAN具有实用价值基础结构模式WLAN采用分布式 *** 入侵检测可用于大型 *** ;移动自组网中采用基于主机入侵检测系统用于检测异常节点活动和发现恶
*** 入侵检测技术和手段有哪些
1.宽带高速实时的检测技术如何实现千兆以太网等高速 *** 下的实时入侵检测已经成为现实问题。目前的千兆IDS产品性能指标与实际要求相差很远,提高性能应主要考虑两个方面:IDS的软件结构和算法需要重新设计,以提高运行速度和效率,适应高速网的环境;随着高速 *** 技术的不断发展,IDS如何适应IPV6等新一代 *** 协议将成为一个全新的问题。2.大规模分布式的检测技术传统的集中式IDS是在不同网段放置多个探测器来收集当前 *** 状态信息,并传送到中央控制台进行处理分析。这种方式存在明显的缺陷:之一,对了大规模的分布式攻击,中央控制台的负荷将会超过处理极限,导致漏报率增高;第二,多个探测器收集到的数据在 *** 上的传输一定程度上增加了 *** 负担,导致 *** 系统性能降低;第三,由于 *** 传输的延时问题,中央控制台处理的数据包不能实时反映当前 *** 状态。3.数据挖掘技术操作系统的日益复杂和 *** 流量的急剧增加,导致了审计数据以惊人的速度剧增。
简述入侵检测常用的四种 ***
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测
特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵 *** 检查出来,但对新的入侵 *** 无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
2、异常检测
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
扩展资料
入侵分类:
1、基于主机
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。
这种类型的检测系统不需要额外的硬件.对 *** 流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测 *** 攻击。
2、基于 ***
通过被动地监听 *** 上传输的原始流量,对获取的 *** 数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常 *** 行为原型相比较来识别攻击事件。
此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。
但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于 *** 的入侵检测系统。
3、分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在 *** 关键节点上采用 *** 入侵检测,同时分析来自主机系统的审计日志和来自 *** 的数据流,判断被保护系统是否受到攻击。
参考资料来源:百度百科-入侵检测
什么是 *** 入侵检测?有何作用?
*** 入侵检测(eTrust Intrusion Detection)软件可以自动检测 *** 数据流中的攻击方式,即使正在进行之中的攻击也能检测。定期更新的攻击特征文件可以从冠群金辰站点获得,从而保证了 *** 入侵检测(eTrust Intrusion Detection)总是最新。
信息包嗅探技术
*** 入侵检测(eTrust Intrusion Detection)软件以秘密方式运行,使攻击者无法感知到。黑客常常在没有察觉的情况下被抓获,因为他们不知道他们一直受到密切监视。