針對無(wú)線(xiàn)網(wǎng)絡(luò )的入侵檢測系統的設計

隨著(zhù)筆記本電腦、個(gè)人數字代理（PDA） 以及3G 通信等技術(shù)的發(fā)展， 人們使用信息技術(shù)進(jìn)行通信聯(lián)系和交流的空間、靈活性得到不斷拓展。無(wú)線(xiàn)網(wǎng)絡(luò )尤其是3G 網(wǎng)絡(luò )成為技術(shù)發(fā)展和社會(huì )應用的新寵。各種類(lèi)型的移動(dòng)數據終端以及多媒體終端得到廣泛應用， 促使傳統網(wǎng)絡(luò )由有線(xiàn)向無(wú)線(xiàn)、由固定向移動(dòng)、由單一業(yè)務(wù)向多媒體的發(fā)展。然而， 這種擴展給用戶(hù)帶來(lái)了更大的自由度的同時(shí)，也帶來(lái)了安全上的挑戰。由于無(wú)線(xiàn)信道的開(kāi)放性和移動(dòng)設備在存儲能力、計算能力和供電方面的局限性， 無(wú)線(xiàn)網(wǎng)絡(luò )面臨著(zhù)更復雜的安全威脅和隱患。如何構造一個(gè)安全可靠的無(wú)線(xiàn)局域網(wǎng)已經(jīng)成為一個(gè)迫切需要解決的問(wèn)題。

　　1 IDS 基本原理

　　入侵檢測系統（IDS） 是一種主動(dòng)保護自己免受攻擊的網(wǎng)絡(luò )安全系統。入侵檢測系統對網(wǎng)絡(luò )行為進(jìn)行實(shí)時(shí)檢測， 可以記錄和阻止某些網(wǎng)絡(luò )行為， 被認為是防火墻之后的第二道安全閘門(mén)， 可與防火墻配合工作。

　　IDS 掃描當前網(wǎng)絡(luò )的活動(dòng)， 監視和記錄網(wǎng)絡(luò )的流量， 根據定義好的規則來(lái)過(guò)濾經(jīng)主機網(wǎng)卡的流量， 并提供實(shí)時(shí)報警。入侵檢測系統至少應包括3 個(gè)功能模塊：

　　提供事件記錄流的信息源、發(fā)現入侵跡象的分析引擎和基于分析引擎的響應部件。公共入侵檢測框架CIDF 闡述了一個(gè)入侵檢測系統的通用模型， 即入侵檢測系統的四個(gè)組件： 事件產(chǎn)生器、事件分析器、響應單元和事件數據庫， 共通用模型如圖1 所示。CIDF 將需要分析的數據統稱(chēng)為事件。

　　2 無(wú)線(xiàn)網(wǎng)絡(luò )入侵檢測系統架構

　　2.1 入侵檢測體系結構

　　目前比較成熟的入侵檢測方法是異常檢測和誤用檢測兩種類(lèi)型。異常檢測是根據使用者的行為或資源使用狀況的正常程度來(lái)判斷是否入侵。異常檢測與系統相對無(wú)關(guān)， 通用性較強， 其主要缺陷是誤檢率較高。誤用檢測有時(shí)也稱(chēng)為特征分析或基于知識的檢測， 根據已定義的入侵模式， 判斷在實(shí)際的安全審計數據中是否出現這些入侵模式， 這種檢測準確度較高， 檢測結果有明確的參照性， 便于決策響應， 缺陷是無(wú)法檢測未知的攻擊類(lèi)型。無(wú)線(xiàn)網(wǎng)絡(luò )的IDS 系統， 必須考慮兩者的互補性結合使用， 如圖2 所示。

　　信息獲取和預處理層主要由主機探頭（HSeNSor） 和網(wǎng)絡(luò )探頭（NSensor） 組成。綜合分析決策層包含分析器（AnalysisSvr） 和數據庫（DB） ， 在獲取數據進(jìn)行預處理后，進(jìn)一步詳細分析和最后的決策融合， 從而制訂響應策略和方式?？刂乒芾韺觿t是進(jìn)行人機交互、控制管理、報警融合以及態(tài)勢分析。

　　2.2 入侵單元檢測模型

　　為滿(mǎn)足無(wú)線(xiàn)網(wǎng)絡(luò )的需要， 入侵檢測與響應系統應采用分布式結構， 且協(xié)同工作。網(wǎng)絡(luò )中的每個(gè)節點(diǎn)都參與入侵檢測與響應， 每個(gè)節點(diǎn)檢測本地入侵， 鄰近節點(diǎn)進(jìn)行協(xié)作檢測。在系統的每個(gè)節點(diǎn)都有獨立的入侵檢測單元， 每個(gè)單元能夠獨立運行， 監測本地行為（ 包括用戶(hù)和系統的行為、節點(diǎn)間的通信行為）， 檢測來(lái)自本地的入侵， 并發(fā)起響應。這些入侵檢測單元共同組成無(wú)線(xiàn)網(wǎng)絡(luò )的入侵檢測系統， 如圖3 所示。

　　數據采集模塊采集實(shí)時(shí)審計數據， 這些數據包含系統和用戶(hù)在節點(diǎn)內部的操作行為、通過(guò)該節點(diǎn)的通信行為以及在通信范圍內、通過(guò)該節點(diǎn)可觀(guān)察到的其他通信行為。協(xié)作檢測模塊的作用是傳送鄰近節點(diǎn)之間的入侵檢測狀態(tài)信息， 利用最近接收到的其他節點(diǎn)的狀態(tài)信息， 計算出本節點(diǎn)的入侵檢測狀態(tài)。協(xié)作檢測的步驟如圖4 所示。

　　2.3 分析器概念模型與系統部署

　　分析器概念模型如圖5 所示。首先獲取來(lái)自主機探頭和網(wǎng)絡(luò )探頭的數據信息， 然后采用特征檢測、異常檢測、統計分析、拒絕服務(wù)檢測等多種方法進(jìn)行并行分析，把分析的結果采用特定的融合算法進(jìn)行融合， 從而得出分析結果。分析結果一方面通知控制管理層， 另一方面通知響應決策部分， 驅動(dòng)響應決策， 并進(jìn)行物理定位。

　　IDS 系統部署時(shí)， 主機探頭安裝在客戶(hù)端操作系統上， 而網(wǎng)絡(luò )探頭則根據其地理環(huán)境情況適當布置， 分析機盡可能地放在用戶(hù)內部網(wǎng)絡(luò )， 降低分析機的風(fēng)險， 系統應該部署在電磁波干擾小的地方， 避免由于輻射信號不穩定而帶來(lái)的影響。