无线入侵

无线入侵（精选八篇）

无线入侵 篇1

关键词：无线入侵,机理分析,应对措施

当今时代,信息技术的迅猛发展及其在军事领域的广泛应用,信息战成为越来越重要的作战样式。为实现快速机动作战,战场信息的传递将主要依靠无线手段。无线领域的制信息权成为各国竞相争夺的高地。各类无线电子设备及信息化武器系统争相登上历史舞台。但是,由于“舒特”计划的高度机密性,迄今为止,“舒特”攻击能力的开发、使用和技术手段,对其他国家和政府机构仍是充满了神秘色彩的“黑箱”。本文旨在通过搜集可得资料,研究“舒特”无线入侵系统的工作机理,并提出相应的应对措施。

“舒特”的命名来自于大名鼎鼎的美国“红旗”演习创立者理查德.穆迪.舒特上校。“舒特”系统是美国高度机密的“庞大旅行者计划”的一部分,是美军用来攻击敌人网络系统的机载网络攻击系统,由BAE系统公司负责研发,目标是入侵敌方通信网络、雷达网络以及计算机系统,尤其是那些与联合防空系统有关的系统。据外媒报道,“舒特”能够通过敌方雷达天线、微波中继站、网络处理节点侵入敌方防空网络系统,实时监视敌方雷达的探测结果,甚至以系统管理员身份接管敌方网络,实现对传感器的控制,注入欺骗信息和处理算法,并实现对敌时敏目标链路的控制能力。“舒特”甚至还能控制敌人的雷达,“想怎么转就怎么转”,己方飞机连隐身都不需要了。

由于任何网络、尤其是无线网络都存在薄弱环节,所以渗入敌防空系统网络就有通过传感器、通信系统、通信链路、中继链路、信息处理设备和网络节点等途径。“舒特”正是以敌方电子信息系统的雷达、通信系统的天线为入口,渗透进入敌方的防空网,实施网络攻击。与传统电子战不同,“舒特”攻击系统综合利用电磁频谱域和网络域的综合攻击能力,应用更复杂算法攻击敌方防御网络。装备“舒特”能力的飞机至少要加装“长矛”吊舱(一种功率强大的专用辐射源阵列)和“豹穴”等实施网络入侵的算法/程序。这样,实施攻击时,就能通过“长矛”吊舱发射大功率信号,渗透进敌方网络,然后根据具体攻击战术,植入不同的软件算法。进入敌防空网后,操作人员通过屏幕图像实时监视敌方雷达,并根据具体情况采取以下措施:产生假目标;引导雷达在错误方向上搜索;用假目标或信息“淹没”其系统;迫使其系统转换工作模式;植入算法软件包,控制其网络并操纵其雷达转动。“舒特”系统通过多架装有网络中心协同目标瞄准定位的有/无人监视飞机的数据融合,可在数秒内对目标辐射源高精度定位和识别,并在数分钟内,通过多平台通用数据链传送到武器或地面引导站,对敌综合防控系统实施干扰、欺骗、控制和硬摧毁。

随着武器装备网络化的发展,像“舒特”这样的进攻性信息战手段的威胁将是致命的。因此,研究相应的应对措施,提高我军武器装备的无线入侵对抗能力,是打赢信息化条件下高技术战争的关键。

通过上述“舒特”系统的入侵机理不难发现,无线入侵手段攻击敌方网络的入口是敌方网络的传感器、通信系统、中继链路、信息处理设备和网络节点,那么“封口”行动将是对“舒特”系统之类的无线入侵系统的一个致命打击,无缝可入,这些无线入侵系统也将无用武之地。“封口”行动的第一步是提高我军所装备传感器、通信系统、中继链路、信息处理设备和网络节点的性能,尤其是对抗干扰,分辨欺骗与真实信息,防止硬摧毁等方面的性能。第二步是加强对我军传感器、中继链路、信息处理设备和网络节点的人为巡查和监管,虽然在信息时代智能化已成为主流,但由于信息化设备的局限性,人为巡查和监管成为必不可少的手段,在某种特定时刻人为巡查和监管的时效性及准确性能够起到力挽狂澜的作用。第三步是提高我军传感器、通信系统、中继链路、信息处理设备和网络节点的快速恢复能力,在遭到攻击及破坏后能够迅速恢复及快速组网的能力。第四步是建设网络系统的备份系统,与主用系统同时工作,且备用系统要与主用系统保持一定的距离,定时与主用系统交换信息,及时发现网络异常,并采取应对措施。

上述是站在防的角度提出的应对措施,固我网络系统不被入侵。而若在敌方无线入侵系统未对我网络系统造成威胁之前将其控制,那么制信息权将掌握在我方,敌方的无线入侵系统将无法发挥其功力,甚至成为我方取得战争胜利的工具。实现这一目标,需要我们做以下工作:

(1)尽可能掌握敌方网络尤其是无线网络的薄弱环节,为我无线入侵寻找很好的切入点。研究进入其薄弱环节的技术手段,并研制相应的武器装备系统,构建我军自己的无线入侵系统。

无线入侵 篇2

禁止Ping，预防本地目标暴露

稍微有点攻击“本领”的非法邻居，在寻找免费的无线网络节点时，常常会使用Ping命令，来搜索附近是否存在可用的无线路由器，一旦搜索到攻击目标，他们就能充分施展自己的攻击“本领”，来对本地无线网络进行恶意攻击了。

为此，我们必须想办法让本地的无线路由器拒绝他人进行Ping命令测试，只有这样非法邻居就没有办法通过Ping命令寻找到攻击目标了，而且关闭Ping命令测试功能还可以将冲击波这样的网络病毒屏蔽在无线网络之外。

在禁用无线路由器的Ping命令测试功能时，我们可以先以系统管理员权限登录进本地无线网络的路由器后台管理界面，并在其中找到“工具”设置选项，单击该选项下面的“其他项目”，然后在对应页面中将“忽略来自WAN端的Ping”旁边的“激活”项目选中，再单击“执行”按钮就能使设置生效了。

如此一来，日后本地无线网络附近的邻居就无法通过Ping命令，来检测本地无线路由器是否在线了。

管好密码，避免邻居非法设置

我们知道，许多型号的无线路由器使用的缺省密码几乎都是一样的，甚至有的设备在出厂时根本就没有设置后台登录密码，很显然这是非常危险的，如果密码设置不当的话，非法邻居一旦进入到无线路由器后台管理界面，他们可能会对本地网络参数进行随意设置。

这个时候，我们不妨打开本地工作站的IE浏览器，并在其地址框中输入无线路由器默认的IP地址，例如多数情况下默认IP地址为“192.168.0.1”，或者为“192.168.1.1”，单击回车键后，打开无线路由器的后台登录界面，并在其中输入默认的管理员帐号和密码，如此一来就能成功进入到无线路由器的后台管理界面，

在该界面中首先找到“系统工具”设置项，并单击该选项下面的“修改登录口令”项目，然后在对应该项目的设置页面中，先将原始用户名和密码信息填写在“原用户名”文本框和“原口令”文本框中，再在“新用户名”文本框和“新口令”文本框中输入比较复杂的用户名称和密码信息，再单击对应设置页面中的“执行”按钮，将上述设置操作保存起来。

除此而外，在有的无线路由器后台管理界面中，我们还会发现无线路由器登录密码还被分成管理员级别和普通用户级别。使用管理员级别的登录密码，我们不但能够读取本地无线网络的参数设置信息，而且还能对参数进行随意修改、编辑;使用普通用户级别的登录密码，我们往往只能读取本地无线网络的参数设置信息，而不能对参数进行随意修改、编辑。

因此，我们必须根据实际情况以及用户访问权限的不同，来妥善设置和分配好这两个密码，例如对于普通的上网用户，我们只要将普通级别的密码告诉他们，让他们有权查看无线路由器参数设置;对于系统管理员级别的上网用户，我们可以将管理员级别的密码告诉他们，以方便他们随时能够对本地无线网络的参数作出适当调整。

绑定网卡，拒绝邻居闯入本网

熟悉网络知识的朋友都知道，每一块网卡设备都拥有一个唯一的物理地址，通过该地址网络就能实现准确传输数据信息的目的。因此，市场中推出的无线路由器设备几乎都有物理地址过滤功能，我们可以启用该功能，来将陌生的网卡物理地址全部排除在本地无线网络之外，这样一来非法邻居就无法轻易闯入本地无线网络了。

要将本地工作站的网卡设备绑定到无线路由器上，我们可以先以超级管理员权限进入到无线路由器后台管理界面中，找到其中的“进阶设定”标签设置页面，并单击其中的“过滤器”选项，再在其后弹出的窗口中将“允许或拒绝使用者从LAN端存取网际网络”参数调整为“MAC地址过滤”。

同时选中“MAC地址过滤”处的“只允许下述MAC地址之使用者存取网络”，之后在对应的列表框中将与无线路由器直接连接的目标网卡设备选中，然后单击一下“复制”按钮，这样就能将本地工作站的物理地址复制进去了，最后单击设置页面中的“执行”按钮，以便将上述设置操作保存起来。

如何遏制非法入侵校园无线网 篇3

校园无线网在空间开放式传送, 而市售的大多数无线网终端设备, 在无线网的覆盖范围下都能接收无线网载波的信息。 开放式的传输特性最容易被非法入侵, 最常见的入侵方式有以下两种:

1.1 非法接入

非法接入指他人使用未经授权的无线设备, 物理连接到接入交换机端口或用户接点, 擅自进入网络。 由于非法设备直接连入现成的网络节点或终端, 无须破解密钥就能轻易进入校园网, 因此非法接入是校园无线网安全的最大危机。 非法接入者作为外人进入设备间在网络交换机端作弊的可能性不大, 主要针对网络接入层交换机用户群的桌面端口。 由于校园有线网络在布线规划时, 为了保障用户端的备用应急, 通常各用户的桌面端口都有冗余, 这些备用端口虽尚未指定IP (合法用户) , 但享受的访问权限等同于在用端口。

1.2 非法侵入

非法侵入是不需要通过物理连接的过程, 只需在校园无线网的周边采取高灵敏的天线设备, 反复搜索及定位无线网发射信号足够强的位置, 然后确认发射源的无线设备使用频道和无线网的名称 ( SSID) , 再利用黑客软件Airsnort、WEPcrack等, 破解无线设备常用的WEP、 WPA、 SSID等加密方式, 从外围进入校园网系统。 许多非法入侵案例证明, 非法接入者的用意多是蹭网而已, 不怀好意者甚少, 但非法侵入者的目标多是恶意破坏为主[3]。

2 非法入侵的应对策略

2.1 控制用户访问权限

控制网络用户登录及访问网络共享资源 (如数据库服务、Internet代理服务) 的权限。 用户访问控制策略的核心思路是对非法用户层层设防, 阻击校园无线网被非法接入和非法侵入[5]。

2.1.1 MAC与IP地址绑定

首先把有线网内各用户的指定IP绑定于本地网卡MAC, 然后再指定各无线网用户IP, 并将其绑定于本地无线网卡MAC (绑定方法省略) 。 这样非法接入者无论盗取在用信息点IP或擅定备用信息点IP, 由于无法绑定合法的MAC, 即使能进入网络也不能访问网络共享资源。 对于非法侵入者来说, 即使破解了无线网的密钥顺利进入网络, 也因为无法盗用任何主机作为发动攻击的基地, 只能无功而返。 由于802.11 协议自身存在的隐患 (如MAC地址欺骗) , 客观上已构成无线网自身的安全危机, 而采取MAC与IP地址绑定则能有效地遏制之。

2.1.2 无线用户MAC过滤

在已授权的无线设备中, 通过设置 “允许或禁止访问网络的地址列表” 创建MAC用户访问控制表, 然后将各合法无线用户的网卡MAC地录入, 并设定访问控制表中有记录的MAC地址被允许访问本地无线网络。 无线用户MAC过滤策略之所以能够有效遏制非法侵入者从无线设备端进入校园网, 是因为非法用户的MAC地址并没有在合法的无线访问控制表中登记, 一旦进入马上就被过滤掉, 直接保护了合法用户。无线用户MAC过滤策略, 也可以克服802.11 协议在加密方式上存在的缺陷。

2.1.3 设置服务器访问权限

从数据安全考虑, 除了采用可靠的加密技术之外, 还要面向每个用户设置服务器访问权限和资源使用权限, 这样就能够确保网络的合法用户可以访问不同的应用服务器, 而且进入服务器之后, 明确每个访问者读、 写、 修改服务资源的权限。 应用服务器权限设置是阻击非法入侵者的终极关卡。

(1) 用户权限设置---网络管理员应拥有最高访问权; 校领导和系主任等中层领导拥有中级访问权, 允许访问普通用户所不能及的网络资源, 但不允许修改网络和本机设置和注册表; 其他都是普通用户权限。 不允许修改网络及本机所有设置、 注册表、 用户资料和程序文件, 允许有限制地访问和享用网络上的各种资源。

(2) 资源使用权限设置--- 设置原则是用户访问权限越高, 资源使用权限就越大。 例如普通教师只有阅读文件的权限, 不能复制及修改; 至于写入或修改的权限, 更应严格控制, 通常只有中、 高层管理人员才有资格。

2.2 硬件防火墙控制

硬件防火墙控制的实施是划分无线网公共使用区 (所有公共场室及学生宿舍) , 并采用硬件防火墙完全隔离开校园内部网, 并通过预先制定的相关网络安全过滤规则设置, 严禁所有公共场室的无线用户 (或终端) 进入校园内部网, 将非法入侵者们尽量控制在公共使用区内, 既保障了无线用户最大群体的使用, 又维护了校园内部网的安全。

2.3 网络实时监测

网络实时监测可以随时侦查网络的运行状态 (如网速、丢包率、 广播风暴等) 和各应用服务器的工作性能 (如CPU或内存的使用率、 负载状况等) , 以及来自客户端的问题, 例如物理连接失败、 数据访问缓慢或掉线等, 还有常见的入侵攻击行为, 例如出现异常的IP地址货未曾记录的用户名、 大规模病毒感染等。

对于非法接入的实时侦测, 只需通过Windows Server操作系统自带的网络监视器扫描, 就可以随时发现非法的IP地址、 MAC地址在哪个网段入侵, 根据网络监视器的提示, 网络管理员很快就能找到非法接入点的具体位置。 但对于IP和MAC地址无法管理、 随机性和隐蔽性很大的非法侵入, 实时侦测必须借助类似入侵检测系统 (IDS) 的软件才能实施。

2.4 其他辅助策略

2.4.1 合理放置无线AP

必须预先规划好各个无线用户的基本固定的物理位置, 然后将无线AP放置在应用区域的中央点, 再确定需要多大的覆盖半径。 例如两个最远用户之间的距离相隔100 米, 那么其覆盖半径就是50 米, 也即是无线AP需要提供的有效发射范围 (发射功率) 。 无线设备的发射功率的选择, 应能刚好覆盖最近点和最远点的无线用户, 发射功率太大, 容易被外围的非法侵入者接收; 发射功率太小, 最远点的无线用户有可能收不到发射信号。 在无线设备选型方面, 最好能选择发射功率可调的产品, 那么在实际应用可以跟据用户信号覆盖半径的需求灵活调节不同的发射功率。 注意不要把无线设备放置在网络区域的边缘位置, 以防无线信号外泄。

2.4.2 修改无线设备的默认设置

所有无线设备出厂时都预先默认一些基本设置, 方便用户无需花时间进入设备内部设置, 一买回来立即就可以投入使用。 但是, 无线设备的默认设置并没有考虑到网络安全, 特别是非法入侵的问题。 所以在使用无线设备时应首先修改原有默认设置, 消除安全隐患。

(1) 修改登录口令和SSID。 产品出厂默认的管理口令和SSID都非常简单, 同一个厂家的产品千篇一律, 让人一猜即中, 因此必须要更改成较为复杂的内容。

(2) 开启无线设备加密配置。 无线设备产品出厂默认设置一般都是关闭数据传输加密配置, 所以, 在设备使用时必须开启数据传输加密配置。 无线路由器或AP内置WEP、WPA、 WPA2 这3 种加密方式。 重置无线设备的安全口令, 不能设置过于简单常见, 应是数字、 英文和符号的混合体。

(3) 隐藏SSID。 非法入侵无线网的初始步骤通常都是先找出无线设备所使用的频道和本地无线网络的SSID, 然后再抓包和破解, 将SSID设置成隐藏, 不广播SSID使漫游用户无法找到SSID而不能连接到无线网络。

(4) 禁用SNMP设置。 当前有许多无线接入点都支持SNMP, 基于网络安全考虑, 应该禁用默认的公共和私有的标识符。 防止非法入侵者利用SNMP获取网络及其用户的重要信息和数据。

2.4.3 采用WPA加密方式

WPA加密方式能够解决无线网原先采用的安全认证WEP的缺陷问题, 是因为新的加密算法以及用户认证, 即使入侵者收集到分组信息并对其进行解析, 也几乎无法计算出通用密钥。 此外, WPA加密还追加了防止数据中途被篡改的功能和认证功能。 由于具备这些功能, WEP此前备受指责的缺点得以全部解决, 满足了目前校园无线网最基本的安全要求。

2.4.4 无线接入控制器

无线接入控制器是一种集中化控制无线AP的设备, 负责管理校园无线网的所有无线AP, 其中包括下发配置、 修改相关配置参数、 射频智能管理、 接入安全控制等。 无线接入控制器主要优点是控制速度快、 网络流转效率高。

部署方法是在校园有线网的核心层与汇聚层之间串接了一台无线接入控制器, 当网络属下的无线终端发出请求访问时, 通过无线接入控制器向无线AP下发允许用户接入的列表, 验证之后在ACP上进行接入控制, 使各无线用户自动接入到指定的AP 。 无线接入控制器也可以从不同方向实行对学校无线网络的安全控制与管理, 在拥有庞大用户群的网络处于良好的工作状态, 并能进行网络运行实时检测和同步管理。

3 结语

遏制非法入侵校园无线网关键在于严格控制无线用户的访问权限。 当前, 校园无线网还存在着类似非法入侵这样的安全缺陷与问题, 但实践证明, 如果能够最大限度地阻击非法接入和非法侵入, 无线网的安全系数还是有保障的。 因此, 校园无线网的安全策略必须是能够可靠地控制任何无线用户的访问权限, 在源头上消除隐患, 从根本上保障无线网络通信安全。 将校园无线网划分为公用区和专用区采用硬件防火墙实施控制, 不失为一种可借鉴的无线网安全策略。

摘要：校园无线网广泛应用而伴随的非法入侵问题, 严重影响了网络的运行状态、信息交流、教学及教务管理。如何遏制非法入侵校园无线网, 是目前业界普遍关注的课题。基于非法入侵的方式, 提供一系列的实战策略应对, 共同探讨遏制非法入侵校园无线局域网的有效措施。

关键词：校园无线,网非法入侵,实战策略

参考文献

[1]肖帅领, 窦西河.网络工程与实施.北京希望电子出版社, 2006.

[2]谢希仁.计算机网络.4版.电子工业出版社, 2005.

基于无线网络的入侵检测系统设计 篇4

1 入侵检测系统的概念

IDS, 即为入侵检测系统, 一种网络安全技术, 是对防火墙的合理补充, 其能主动保护系统免受恶性攻击, 以及帮助系统对付网络攻击。因此, 人们将入侵检测称为第二道安全闸门, 与防火墙有机结合共同维护网络系统的安全。入侵检测系统IDS从计算机网络系统中的部分关键点上进行信息收集, 在不影响网络性能的情况下进行网络监测、信息分析、安全审计、攻击识别等, 充分扩展了系统管理员的安全管理能力。

2 基于无线网络的入侵检测系统设计

2.1 入侵检测系统的模块构成

本文所探究的无线网络入侵检测系统设计的主要依据是无线网络自身传送数据的特征, 结合协议分析树的理论, 金玉无线网络的入侵检测系统的模块构成主要包括3大块, 具体如图1所示。 (1) 包捕获模块, 其主要负责数据包捕获的任务; (2) 协议处理模块, 其主要功能是完成协议解码、协议分析; (3) 日志记录模块, 其具备统计数据包与数据包协议、操作日志等功能。

2.2 包捕获模块的设计

直接式、广播式是无线网卡的缺省工作模式, 其揭示了无线网卡的接收工作特点, 即只接收传送给自己的帧、广播帧。无线网的这种工作模式存在局限性, 不利于接收所有流过网卡的帧, 为此在基于无线网的入侵检测系统设计中需要将无线网卡设置成混杂模式来弥补不足。而在该系统的包捕获模块设计中, 本文将以伯克利实验室所写的Libpcap为平台, 运用libpcap库文件来完成包捕获模块的设计, 其可实现对网卡数据包的直接获取, 从而减少开发人员再去了解与平台无关的数据链路层等细节。其具体的设计程序包括:

(1) pcap_lookupdev:选择数据包捕获设备。

(2) pcap_lookupnet:获取网络地址和子网掩码。

(3) pcap_open_live:打开设备。

(4) pcap_compile:编译数据包过滤规则。

(5) pcap_setfi lter:设置数据包过滤规则。

(6) pcap_loop:捕捉数据包诬分发数据包到指定的回调函数系统, 从Libpcap接收到的数据结构:

typedef struct_packet{

u_char pkt_data[1514]

}SNFPACKET。

在系统包捕获模块的数据结构中, 为提高系统的工作效率, 我们可以调用libpcap库中的信息过滤机制来删除用户不需要的数据包。

2.3 协议处理模块的设计

在基于无线网络的入侵检测系统当中, 协议处理模块是系统的关键部分, 由协议解码、协议分析两个子模块构成。其中, 协议解码模块主要负责将已捕获数据包实行解码、预处理的操作, 而后由协议分析模块对其提交的数据进行比较分析, 分析过程需采用攻击模式中的匹配算法、特征库进行对比, 以此来判断是否存在入侵现象。在实现中, 协议分析模块依据解码所了解的帧类型来选择处理模块, 系统中802.11b的MAC帧主要分为管理帧、控制帧、数据帧3种类型。协议分析模块在进行操作时, 各个模块需要经历初始化的读入检测函数及依据权重位的大小来组装成检测函数链表, 先进行包格式的检查, 而后进行相关的攻击检测。同时, 在协议处理模块的设计中还添加了响应报警模块, 一旦系统对入侵行为确认后该模块就会采取相应的响应。

2.4 日志记录模块的设计

系统中的日志记录模块应用一个输出插件来实现, 其需要满足操作日志与统计的作用, 从而为网络分析提供依据。与其他模块的插件不同, 日志记录模块中的输出插件拥有不止一个入口, 从而实现不同模块在不同阶段应用到输出插件。记录日志的形式多样, 如Web页、数据库、记事本等, 可根据应用单位的系统环境来选择, 为防止非法访问, 在日志文件传送与访问过程中需进行身份认证。同时, 为了满足高速网络环境中的工作效率, 在日志记录模块中可设计只记录关键信息以减少存储量, 进而避免因数据存储量大而降低系统的记录效率。

3 总结

鉴于无线网络还是一种新兴的通信技术, 相关方面的保护措施还在完善, 所以为尽可能提高无线网络的安全性, 本文结合已有的协议分析入侵检测技术进行基于无线网络的入侵检测系统设计研究。当然, 研究与开发能够兼容其他智能化的入侵检测方法并应用在无线网络中实现协同工作, 这是无线网络入侵检测需进一步引起相关人士重视的主要问题。

参考文献

[1]崔贯勋, 李梁, 王柯柯, 倪伟, 苟光磊.基于改进Apriori算法的入侵检测系统研究[J].计算机工程与科学, 2011, 33 (4) .

无线入侵 篇5

我国地域辽阔，有着漫长的边防线，并与多国接壤。很多地带，地形复杂，气候多变，环境恶劣，人员难以值守。边防直接关系着国家安全与领土完整，为此，我国每年投入大量的人力、物力和财力，但仍远不能满足边防警戒需求。为此设计一种无线多传感器网络监测系统，此系统可通过人工布设，火炮发射或飞机空投等方式散布在所需地带，无需人为过多干预，便可自行监测是否有人员及车辆等目标入侵，并通过无线传输网络将信息及时准确地发送到基站[1,2]，具有使用灵活、反应灵敏、隐蔽性强、成本低、适应性强等优点。在保护国家边防安全方面具有重要的战略意义。同时该系统也非常适合国内某些需监控的广阔边远区域，或者地形复杂人员难以到达或长时间值守的区域。

1 系统组成及工作原理

该系统主要由STM32主控板、声音传感器模块、红外传感器模块、磁电传感器模块、震动传感器、指南针模块、震动信号调理电路、数据转换模块、数据传输模块等组成[3]，如图1所示。

此系统四类传感器中，声音、红外、磁电的传感器电路都已模块化，检测到的信号输出为高低电平，可直接与ARM芯片通信。震动传感器检测到人员或车辆对地面的震动信号为微弱的模拟电压信号，须经滤波放大电路与A/D转换电路处理后，才能输入STM32芯片进行处理。应用此系统进行目标监测，当有人员或车辆目标侵入到系统监测范围内时，各传感器根据自身特性分别同时进行检测，并将检测到的信号经过处理后输入主控芯片进行分析处理，最后经由ZigBee无线传输模块将处理后的有用信号发往监控主机，在上位机上实现识别、定位、报警等显示。

2 系统硬件设计及分析

2.1 MCU主控单元

本设计以STM32F103ZET6为主控芯片，STM32系列以ARM Cortex-M3为核心，具有高性能、低成本、低功耗特点。STM32F103为其增强型，是同类产品中性能最高的产品。其优异的性能主要体现在以下几个方面：超低的价格；超多的外设；优异的实时性能；杰出的功耗控制。非常符合此系统所需的传输数据量大，处理速度快，实时性好等要求。

2.2 四类监测传感器的选择

声音传感器选择为驻极体麦克风，并集滤波放大、电压比较等电路为一体成为声音传感器模块，用于感应人员及车辆发出的声响并将感应到的信号转换为0或5 V高低电平。其感应距离可调，并根据声音强度的不同感应距离从几米到几千米变化。

红外传感器采用PIR热释电传感器并加菲涅尔透镜，可增加检测的灵敏度和准确性，灵敏度可调。此传感器用于检测入侵目标发出的红外光谱。检测距离由几米到几十米变化，检测角度为75°～90°。此设计选择四红外传感器模块分布在圆周上每90°位置，即可实现全方位360°的监测。

磁电传感器选用目前最先进的TMR隧道磁电阻传感器模块，可感应到含金属目标对磁场的扰动，车辆的检测距离为几米。

震动传感器选用CD-10DZ6型动圈磁电式传感器，灵敏度可达120 V/m/s，经由信号调理电路处理后，可很好地检测到30 m内的人员及车辆在地面行进的震动信号。

2.3 指南针模块及其工作原理

当目标入侵到监测区域时，红外传感器模块配合指南针模块即可迅速判断出目标所在方位，从而为后续的定位提供极大的便捷。此指南针模块选择GY-26电子指南针，其输入电压低、功耗小、体积小，适于集成。工作原理是通过磁传感器中两个相互垂直轴同时感应地球磁场的磁分量，从而得出方位角度。

2.4 震动信号调理电路的设计

由于人员及车辆行进引起的地震动信号很微弱，经过远距离传输信号会有很大的衰减，导致传感器输出的电压量很小，通常只有零点几到几毫伏，且容易被噪声淹没[4]。因此需要将信号滤波放大后再进行A/D转换。为此选用AD620仪用放大器，它具有高精度、低功耗及使用方便等优点[5]。设计的调理电路如图2所示。

电路前端的抗射频干扰电路有两种不同的带宽：差分带宽和共模带宽。

差分带宽定义为滤波器在电路两个输入端（即+IN和-IN）输入差分信号时的频率响应。该滤波器的-3 dB差分带宽为：

共模带宽定义为把共模射频信号加在两个相互连接的输入端与接地之间时的频率响应。-3 dB共模带宽为：

根据设计规则，取电阻R3=R4=2 kΩ，C3=C5=1 000 pF,C4=47 nF，计算得此滤波器差分带宽为838 Hz，而人员与车辆对地面产生的震动频率通常小于250 Hz，故满足要求。

在此基础上根据实验实际所需设计了双级AD620滤波放大电路。此滤波放大电路放大倍数及外接电阻值可由下式计算得出：

2.5 数据转换模块的选择

此系统采用AD7606数据转换模块，其为16位同步采样模数数据采集系统（DAS),8个采集通道，片上集成模拟输入箝位保护、二阶抗混叠滤波器、跟踪保持放大器、16位电荷再分配逐次逼近型ADC内核、数字滤波器、2.5 V基准电压源及缓冲、高速串行及并行接口。所有通道均能以高达200 KSPS的速率进行采样。符合系统监测大数据、高速采样特性。

2.6 数据传输模块的选择

根据本系统所要实现的无线自组网传感监测，考虑到在选择无线通信标准时应优先考虑其功耗、成本、体积及自组网特性，并结合各终端传感器的检测性能。主要针对蓝牙、超宽无线通信及ZigBee技术等分析了目前无线自组网的通信技术，由于ZigBee无线通信标准支持低成本、易实现、可靠的数据传输及低功耗等特点，比较适合在恶劣环境下的无线传感器网络，因此选用ZigBee无线通信标准进行组网，并采用网状网络拓扑结构，传输距离可达50 m。在ZigBee协议栈中共有3种设备分别是协调器（COORDINATOR）、路由器（ROUTER）和终端节点（ENDDEVICE）。如图3所示。

在协议栈工程中，各个设备通过编译器选择。对应于上述的终端节点和路由节点监测系统又分为两种：终端节点监测系统和路由节点监测系统。上述各节点只与它的临近节点通信，终端节点只具有数据发送功能，路由节点兼具数据发送与转发功能。当其中一个路由节点产生故障，节点会寻找附近的路由节点重新加入网络，继续进行数据的转发[6,7]。协调器负责网络的管理和维护，并将所有数据通过串口发送给PC基站进行显示处理。

3 系统软件设计

无线传感网络协调器工作流程图与系统目标监测主程序流程图分别如图4，图5所示。

4 验证实验及结果分析

4.1 目标震动信号检测实验

本实验地点选在秦岭山上一处空旷地带，分别进行了一系列实验。系统对人员及车辆行进时产生的震动信号检测结果分别如图6，图7所示，从图中可看出，采样频率1 000 Hz，人和车对地面震动的信号差别非常明显，通过后续的算法即可准确识别出来[8]。

4.2 监测系统节点组网实验

在监测系统组网中，选择了4个节点分别相距10 m,以任意方位进行组网，结果表明系统能很好地组建起网络，并准确传输数据，节点组网如图8所示。

5 结语

本文针对无人值守疆域，大范围、长期化电子监测需求设计了一种基于无线传感网络的目标入侵监测系统，并进行了相应的实验验证。结果表明，此系统能有效识别出入侵的人员及车辆，并可进行组网，实现大范围内的面域监测。该系统具有可靠性好、隐蔽性强、功耗低、使用灵活、成本低等优点。对减少传统人力、物力、财力所需具有重大的现实意义。

摘要：针对我国广阔的领土及漫长的边防无法实现大范围有效、灵活、低投入的值守警戒,设计了一种基于无线传感网络的目标入侵监测系统。以满足恶劣环境下大范围、长时间,信息准确的无人值守需求。并进行了相应的实验验证,结果表明,该系统可靠性好,功耗低,可实现目标自动监测。

关键词：目标入侵监测,无线传感网络,STM32,ZigBee,AD7606

参考文献

[1]GONG P.Wireless sensor network as a new ground remote sensing technology for environmental Monitoring[J].Journal of Remote Sensing,2007,11(4):545-551.

[2]胡美艳,杨卫,徐薇,等.一种地面网域化微武器系统[J].火力与指挥控制,2011,36(5):1-12.

[3]赵天池.传感器和探测器的物理原理和应用[M].北京:科学出版社,2008.

[4]郑慧娜.基于无线传感网络的地震动定位关键技术研究[D].南京:南京理工大学,2011.

[5]高晋占.微弱信号检测[M].北京:清华大学出版社,2005.

[6]王小强,欧阳骏,黄宁淋.Zig Bee无线传感网络设计与实现[M].北京:化学工业出版社,2012.

[7]宫鹏.无线传感器网络技术环境应用进展[J].遥感学报,2010,14(2):387-395.

无线传感器网络入侵检测方案的研究 篇6

无线传感器网络以其先进的理念和广泛的应用前景日益受到全世界学术界与工业界的高度关注。它被认为是继因特网之后,将对21世纪人类生活方式产生重大影响的IT热点技术[2]。美国《商业周刊》在技术评论中,已经将无线传感器网络定位为21世纪高新技术领域的四大支柱型产业之一[3]。其潜在的市场需求十分巨大,在包括军事国防、工农业生产、城市管理、生物医疗、环境监测、抢险救灾、防恐反恐以及危险区域远程控制等许多领域都有着重要的科研价值和实用价值。

无线传感器节点由数据采集单元、处理单元、传输单元和电源模块四个基本部分组成。其中数据采集单元包括各种类型的传感器,如温度传感器、湿度传感器、光照传感器、压力传感器等,以及模数转换单元组成,用于负责监视区域内信息的收集和数据的转换。数据处理单元包括处理器和存储器,负责整个节点的信息处理和存储功能。数据传输单元包括无线接收和发射器,用于负责与其他节点进行无线通信,交换控制和数据信息。电源模块用于向整个节点提供能量[4]。

与传统的网络相比,无线传感器网络的特点为网络的自组织性、拓扑结构的不稳定性、多跳的通讯路由、有限的通讯带宽、节点的资源有限、网络的分布式特性、安全性问题严重[5]。由于无线传感器节点本身的资源,如计算能力、存储能力、通讯能力和电量供应能力十分有限,并且节点通常部署在无人值守的野外区域,使用不安全的无线链路进行数据传输,因此无线传感器网络很容易受到多种类型的攻击,如选择性转发攻击、采集点漏洞攻击、伪造身份攻击、虫洞攻击、Hello消息广播攻击、黑洞攻击、伪造确认消息攻击以及伪造、篡改和重放路由攻击等。

2 无线传感器网络的安全方案

网络安全是传感器网络的关键问题,根据传感器节点本身的计算能力、存储能力、有限的电量供应以及无线链路的不安全性等特点可将无线传感器网络的安全方案可以分为基于预防和基于检测的方案。

2.1 基于预防的方案

加密和认证是确保无线传感器网络不被恶意访问的两种主要的技术,其核心是密钥管理方案。Eschenauer与Gligor提出了随机密钥预分配方案。Chan等人提出了q组合密钥预分配方案。Liu和Ning提出了使用二元多项式建立节点间成对密钥的框架提出随机子集密钥预分配方案和基于网格的密钥预分配方案。以上的这些密钥管理方案都属于静态密钥管理方案。另一类密钥管理方案为动态密钥管理方案,这些方案解决了传感器节点被捕俘所引起的密钥泄漏问题,通过执行密钥更新操作,被捕获节点将从安全通信中隔离出去,从而增强了传感器网络的安全。例如Moharrum和Eltoweissy提出了基于EBS的动态密钥管理方案。Eltoweissy等人提出了基于EBS的层次动态密钥管理方案LOCK。同时SHELL和基于身份的对称密钥管理方案也属于动态密钥管理方案。

2.2 基于检测的方案

Doumit等人提出了一种基于安全级别和随机学习过程的入侵检测方案,通过利用与位置信息相关的安全级别以及隐式马尔可夫模型来检测未知的异常行为[6]。Su等人提出了e HIP即能量有效的混合入侵预防系统来提高分簇传感器网络的安全性。Agah等人利用基于对抗的游戏理论来寻找传感器网络中最脆弱的节点并加以保护。Silva等人定义了用以检测入侵发生的多个规则,并在触发数超过阈值时自动报警。内部攻击检测方案是最新提出的一种检测方案,它在识别节点行为时无需正常或异常行为的规则库,并且在缺失数据的情况下仍具有较高的精确度和较低的误报率[7],本方案将与其进行性能的比较。

3 基于分组的入侵检测方案

基于分组的入侵检测方案适用于平面结构的无线传感器网络,无需簇头等特殊节点的参与。假设在传感器网络的部署初期网络中并不存在异常节点,所有传感器节点同时开始运行异常检测算法,在分组过程中各节点所监测的数据不存在大幅度或者异常的变化。基于分组的入侵检测方案包括两个内容:δ分组算法和基于分组的入侵检测算法。

3.1 δ分组算法

首先,整个传感器网络被划分成若干个分组,组内各传感器节点物理位置临近,并且采集的观察数据值接近,不超过阈值δ。这一特性使得本方案比其它入侵检测方案能够得到更加精确的结果。

δ分组算法中使用到的符号如表1所示。

在传感器节点i上,δ分组算法如下所示:

算法1:δ分组算法

每个传感器节点i等待一个随机时间Trandom(i)初始化加入组消息。如果它在这段时间内从邻居节点接收到一个加入组消息并且尚未加入任何组,则计算它所采集的数据fi与接收到的加入组消息中组长节点rj所采集的数据frj之间的欧几里德距离,以及这两个节点间的跳数,如果d(fi,frj)≤δ/2并且hops(i,rj)≤h/2,则根据三角不等式可知组内任意两节点间采集数据的差距不超过δ,并且它们之间的距离不超过h。因此,同一组内的传感器节点物理空间上位置临近,并且具有相近的观测数据值。如果此传感器在Trandom(i)时间后仍未加入任何组,它便构造一个新组并将自己作为组长节点,同时向邻居节点广播加入组消息。在本分组算法中,竞争时间Trandom(i)的选择都应该保证传感器节点在构造新组前等待足够长的时间。Trandom(i)可以通过利用随机数生成函数乘以传感器节点间平均消息传递时间t而计算得到。最多经过max(Trandom(i))+ht/2时间后,网络中的所有传感器节点都将完成δ分组算法。

3.2 基于分组的入侵检测算法

δ分组算法将整个传感器网络被划分成若干个分组,组内各传感器节点物理位置临近,并且采集的观测数据值接近,不超过阈值δ。传感器节点通过将自身设置成混杂模式可以监听网络中传输的采集数据值,如果监视节点发现组内某传感器节点所传输的数据持续与其他节点存在较大的差异,则此异常消息所对应的传感器节点被捕获并用来向网络中注入虚假的恶意信息的可能性非常高,应将其从网络中隔离,从而维护整个传感器网络的安全。

在应用分组算法划分的每个分组内,根据节点ID、剩余能量、距离组长节点的跳数等属性可将此分组划分成若干相同大小的子组。假设分组Gi内有Ni个传感器节点,每个子组内含有NSi个节点,则此分组被划分为[Ni/NSi]个子组。每个子组内的传感器节点使用入侵检测算法同时监视整个分组。所有的[Ni/NSi]个子组轮流负责监视整个分组,以便降低整体的能量消耗,延长整个传感器网络的寿命。当监视节点发现组内某节点的数据与其他节点的数据间存在较大的差异时,它便广播以下格式的警告消息:警告类型,异常节点,监视节点,时间戳。

当某个传感器节点在一段时间内接收到来自同一个监视节点的n1个警告消息或者关于同一个异常节点的n1个警告消息后,它便将自身设置成混杂模式并亲自监测这个异常节点或者监视节点。如果他发现了n2次关于被监测节点的异常行为,并且n1w1+n2w2大于预设的阈值θ,其中w1和w2分别为其他节点和自身检测到异常行为的权重,则可以确定被监测节点为异常节点或者恶意报警节点,因此应更新路由表或者删除其对应的密钥以便将它从网络中隔离出去。

4 性能分析

实验使用部署在Intel Berkeley实验室的54个Mica2Dot传感器节点采集到的真实数据。其中包括湿度、温度、电压值。通过使用R 2.6.0统计计算软件和robustbase、rrcov工具包,对方案进行性能分析,将本方案和内部攻击检测方案进行比较。

4.1 基于分组的入侵检测方案的误报率

图1显示了基于分组的入侵检测方案与内部攻击检测方案在向后检索数分别为4的条件下误报率性能的比较,其中向后检索数是监视节点为方便检测异常行为而保留在内存中的历史消息数。与内部攻击检测方案相比,基于分组的入侵检测方案具有较低的误报率。

4.2 基于分组的入侵检测方案的能量消耗

图2显示了基于分组的入侵检测方案与内部攻击检测方案在不同条件下消耗能量的比较,其中n是子组的大小,从图中可以看出,基于分组的入侵检测方案比内部攻击检测方案消耗更少的能量。主要的原因在于基于分组的入侵检测方案中通过入侵检测算法将监视能量的消耗分摊到每个传感器节点之上,并且组内的传感器节点间互相合作,从而降低了总的监视能耗。

5 结束语

本文通过对无线传感器网络中安全方案的分析,提出了一种适用于无线传感器网络的基于分组的入侵检测方案,用以有效的检测网络中的各种恶意攻击行为。实验结果表明,与现有的方案相比,本方案具有较低的误报率和较高的检测精度,同时消耗更少的能量用于监视整个网络。

参考文献

[1]任丰原,黄海宁,林闯.无线传感器网络[J].软件学报,2003,14(7):1282-1291.

[2]闫朝升,张承江,马英.传感器网络研究综述[J].信息技术,2006,(3):117-121.

[3]Coy P,Gross N.21Ideas for the21st Century[J].Business Week,1999(10):78-167.

[4]Akyildiz I,Su W,Sankarasubramaniam Y.Wireless Sensor Networks:a Survey[J].Computer Networks,2002,38(4):393-422.

[5]Yick J,Mukherjee B,Ghosal D.Wireless Sensor Network Survey[J].Computer Networks,2008,52(12):2292-2330.

[6]Doumit S,Agrawal D P.Self-organized criticality&stochastic learning based intrusion detection system for wireless sensor network[C].In:Proc.of2003IEEE Military Communications Conference,2003,22(1):609-614.

无线入侵 篇7

有关安全的研究和历史表明,不管在网络中采取多么先进的安全措施,攻击者总有可能找到网络系统的弱点,实施攻击。单独使用预防技术(如加密、身份认证等)难以达到预期的安全目标,这些技术可以降低网络被攻击的可能性,但是不能完全杜绝攻击,因此,安全的防御措施也是不可或缺的,入侵检测系统(IDS Instruction Detection System)是近年来出现的新型网络安全技术,它弥补了上述防范措施的不足,可以为网络安全提供实时的入侵检测及采取相应的保护。

本文主要对入侵检测系统和现阶段的入侵检测技术进行分类介绍和分析,并对比各自的优缺点,最后提出自己对无线传感器网络入侵检测技术发展的展望。

1 入侵和入侵检测

入侵行为被定义为任何试图破坏目标资源的完整性、机密性和可访问性的动作。入侵一般可简单分为外部入侵和内部入侵。Denning在1987年发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络风暴或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警同质系统管理员并进行相关的处理措施。为达成这个目的,入侵检测系统应包含3个必要功能的组件(信息收集、检测引擎和相应组件),如图1所示。

2 入侵检测系统的分类

1)根据数据信息来源进行分类

基于主机的IDS(HIDS):在操作系统、应用程序或内核层次上对攻击进行检测。系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机,通过监视和分析主机的审计记录和日志文件来检测入侵。

基于网络的IDS(NIDS):系统获取数据的来源是网络传输的原始数据包,NIDS放置在网络基础设施的关键区域,通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务,保护的目标是网路的运行。

混合型的IDS:它是基于主机和基于网络的的入侵检测系统的结合,在网络中配置NIDS以检测整个网络的安全情况,同时在那些关键的主机上配置HIDS,这可以提供比采用单一的入侵检测方案更为安全的保护。

2)根据响应方式的不同进行分类

主动响应IDS:如果检测出入侵后,能够主动重新配置防火墙、关闭适当的服务或反击入侵者,那么就被称为主动响应。

被动响应IDS:若检测到入侵后仅仅给出警报或记录日志,就是被动响应。

3)根据系统各个模块运行的分布式方式不同进行分类

集中式入侵检测:它有一个中心计算机负责监控、检测和响应等工作,这种适用于网络比较简单的情况下。

分布式入侵检测:他它用一个移动代理的方式监视和检测,每个分析点都有响应的能力。

4)根据分析方法的不同进行分类

异常入侵检测:这种方法首先总结出正常操作应该具有的特征,在得出正常操作的模型后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。

误用入侵检测:这种方法首先收集非正常操作也即入侵行为的特征,建立相关的特征库,在后续的检测过程中,将收集到的数据与特征库中的特征代码相比较,得出是否入侵的结论。

混合型入侵检测:即异常检测和误用检测的结合,基于异常的入侵检测可以发现一些未知的的攻击,对具体系统的依赖性相对较小,但误报率很高,配置和实现也相对困难;基于误用的入侵检测能比较准确地检测到已经标识的入侵行为,但是对具体的系统依赖性很大,移植性差,而且不能检测到新的攻击类型。所以,只有把二者有机结合起来,才能达到最佳的系统性能,如图2是一个通用的将二者结合起来的检测方法。

3 入侵检测技术

传感器网络的资源局限性和应用相关性等特点,决定了对其入侵检测机制的研究是一个极具挑战性的课题,一个行之有效的传感器网络入侵检测系统须要具有简单性、实时性和检测准确性三个特性。下面主要介绍一下目前的无线传感器网络检入侵检测技术方法及其各自的优缺点:

1)基于多代理Agent的入侵检测。

王培等在文献[5]中针对分簇式无线传感器网络提出了基于多代理的入侵检测方法,其系统结构如图3所示。

通过让节点和簇头分别执行不同检测任务,结合本地检测和联合检测,并采用多个代理模块分别实现数据收集、分析检测和入侵响应和代理管理的任务,以便使系统具有操作简单、易于扩展、能耗降低、安全性提高的特点。但是该方案中每个节点中都需要配备监视Agent、检测Agent、响应Agent和管理Agent,会占用节点的大量存储空间,而且也会增加节点的能源消耗。

这种方法可以减少网络负载,克服网络延迟和良好的可扩展性,高安全性,但是每个节点都有多个代理功能,较大的能量消耗,在其测试活动过程重叠时,准确率将大大低和较低的自适应性。

2)基于机器学习和数据挖掘的入侵检测。

基于机器学习的入侵检测整体架构如图4所示。

文献[6]提出基于免疫遗传算法的异常检测,节点从它的邻居节点偷听信标包并提取称为抗原的关键参数,如果匹配的抗原数量比在一个探测器的寿命预先定义的阈值高时,该探测器将失效并产生一个新的探测器。反之,如果匹配的抗原数量比探测器的寿命阈值少时,探测器将触发入侵报警,对于探测器更新机制,使建议的IDS更加健壮;文献[7]针对选择性转发攻击提出了基于支持向量机的异常检测,使用SVM针对入侵数据的健壮分类方法。SVM克服传统机器学习方法大样本的缺陷,根据有限的样本信息在模型的复杂性和学习能力之间寻求最佳折衷,能获得最好的范化能力。

这种方法将异常检测作为分类或者聚类问题,借助机器学习的有效学习能力,构建具有一定精度的异常检测模型,具有较高的准确率,但是,不足之处是需要的样本量较大,训练时间长。

3)基于网络流量分析的入侵检测

基于流量分析的入侵检测模型的基本结构如图5所示。

文献[8]采用Markov线性预测模型,为无线传感器网络设计了一种基于流量预测的拒绝服务攻击检测方案———MPDD。在该方案中,每个节点基于流量预测判断和检测异常网络流量,无需特殊的硬件支持和节点之间的合作;提出了一种报警评估机制,有效提高方案的检测准确度.减少了预测误差或信道误码所带来的误报。文献[9]等提出了基于流量分析的入侵检测方案,通过对邻居节点的行为进行统计分析,阀值技术分析,然后应用到选定参数,即一定长度的时间窗下所接收的数据包数和数据包的间隔时间,它不需要任何额外的硬件安装和额外的通讯费用,其计算代价也比较低。

这种方法相对比较简单,直观,实时性高,但要求流量输入要具备一定的统计特性,因此不具有通用性,误报率高。

4)基于博弈论模型的入侵检测。

基于博弈论的入侵检测系统基本模型如图6所示,分布在网络中的入侵检测器采用某种检测手段审计网络数据,检测入侵,并提交检测结果。然后博弈模型模拟攻防双方的互动行为,并权衡来自入侵检测器的检测结果和其检测效率,得出纳什均衡以辅助IDS做出合理正确的响应策略。

Mohsen Estiri等人在文献[10]中针对无线传感器网络的丢包攻击提出基于博弈论的入侵检测方案,提出了重复博弈理论模型来进行入侵检测,在该模型中,将无线传感器网络中的攻击者与入侵检测系统作为非协作、非零和的博弈双方,并利用平均折扣因子收益来显示节点在博弈当前阶段所达到的比下一阶段所得到的更有价值。而且最终系统将达到纳什均衡,形成无线传感器网络的防御策略。

这种方法方法可以帮助管理者权衡检测效率和网络资源,但是检测的人为干预是必须的,而且具有较差的系统适应能力。

5)基于信任机制的入侵检测。

Min Lin[11]等提出了基于信任模型的动态入侵检测方案,利用具有较高信任度的节点来交替地检测簇内节点,提出了非参数CUSUM的检测改进算法,报警响应也借助信任模型中的信任级划分,有效减少节点的能源消耗,减小节点的计算开销。Long Ju[12]等提出了基于加权信任机制的入侵检测方法,在系统开始就给每个传感器节点分配权重,每个周期当节点发送与其他节点不同的报告时进行更新,这样当节点的权重低于某一阈值时就被检测出是恶意检点。

这种方法具有低功耗,高安全性等优点,但当簇头节点入侵,或遇到Sybil攻击时检测精确度降低,而且其阈值设置会影响算法的精度,而且如何找到一个合适的阈值是一个棘手的问题。

4 结论

由以上分析可以看到,目前的各种异常检测技术还不能实时、准确地对各种入侵进行检测。近年来,分形理论与无线网络数据流分形特性和自相似特性为异常检测提供了新的理论基础。无线传感器网络数据流呈现出一定的分形特性,具有长相关性、具有较宽的类似白噪声的频谱特性、具有混沌吸引子等,基于此,根据网络数据流具有的分形指数(Hurst参数,分形维数、李雅普诺夫指数)可以建立客观检测模型,从而根据网络数据客观内在规律异常检测。此外,由于小波分析在信号处理中具有独特的频谱多分辨率优势,基于频谱、小波分析的异常检测被证实适合实时的异常检测,因此,研究分形理论与小波分析的无线传感器网络异常检测模型与方法将是一个新的发展方向。

参考文献

[1]孙利民,李建中,陈渝,朱红松.无线传感器网络[M].北京:清华大学出版社,2005.

[2]周贤伟,覃伯平,徐福华.无线传感器网络与安全[M].北京:国防工业出版社,2007.

[3]陈林星.无线传感器网络技术与应用[M].北京:电子工业出版社,2009.

[4]Onat I,Miri A.An intrusion detection system for wireless sensor networks[C]//Montreal,Canada:Proceedings of the IEEE InternationalConference on Wireless and Mobile Computing,Networking and Communications(WiMOB’05),2005:253-259.

[5]王培,周贤伟.基于多代理的无线传感器网络入侵检测系统研究[J].传感技术学报,2007,20(3):677-681.

[6]Liu Yang,Yu Fengqi.Immunity-based intrusion detection for wireless sensor networks[C]//Hong Kong,China:Proc Int Jt Conf NeuralNetworks,2008:439-444.

[7]Tian Jingwen,Gao Meijuan,Zhou Shiru.Wireless Sensor Network for Community Intrusion Detection System Based on Classify SupportVector Machine[C]//Zhuhai,China:Proceedings of the 2009 IEEE International Conference on Information and Automation,2009:1217-1221.

[8]韩志杰,张玮玮,陈志国.基于Markov的无线传感器网络入侵检测机制[J].计算机工程与科学,2010,32(9):27-29.

[9]Ponomarchuk Yulia.Seo Dae-Wha.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[C]//Shanghai,China:19thAnnual Wireless and Optical Communications Conference,2010.

[10]Estiri M,Khademzadeh A.A Game-theoretical Model For Intrusion Detection In Wireless Sensor Networks[C]//Calgary,AB:Electricaland Computer Engineering(CCECE),2010 23rd Canadian Conference on,2010:1-5.

[11]Min Lin,Shi Nan.An Intrusion Detection Algorithm for Wireless Sensor Network Based on Trust Management Module[C]//Wuhan,Chi-na:Internet Technology and Applications,2010 International Conference on,2010:1-4.

入侵检测系统在无线网络中的应用 篇8

下面我们首先简要描述目前WLAN存在的主要安全问题，并针对这些与日俱增的安全威胁，如何将IDS应用到自己的安全网络设计中。

1 WLAN的安全现状

来自WLAN的安全威胁很多，如刺探、拒绝服务攻击、监视攻击、中间人 (MITM) 攻击、从客户机到客户机的入侵、伪AP, flooding攻击等，本文中仅研究了对伪AP的检测。伪AP是现在WLAN中最大的安全威胁，黑客在WLAN中安放未经授权的AP或客户机提供对网络的无限制访问，通过欺骗得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行，许多用户也可以在自己的传统局域网架设无线基站 (WAPS) ，随之而来的一些用户在网络上安装的后门程序，也造成了对黑客开放的不利环境。

1.1 伪设备的检测

通过侦听无线电波中的数据包来检测AP的存在，得到所有正在使用的AP, SSID和STA。要完成伪AP的检测，需要在网络中放置如下部件： (1) 探测器Sensor/Probe，用于随时监测无线数据; (2) 入侵检测系统IDS，用于收集探测器传来的数据，并能判断哪些是伪Device; (3) 网络管理软件，用于与有线网络交流，判断出伪Device接入的交换机端口，并能断开该端口。

为了发现AP，分布于网络各处的探测器能完成数据包的捕获和解析的功能，它们能迅速地发现所有无线设备的操作，并报告给管理员或IDS系统，这种方式称为RF扫描。某些AP能够发现相邻区域的AP，我们只要查看各AP的相邻AP。当然通过网络管理软件，比如SNMP，也可以确定AP接入有线网络的具体物理地址。

发现AP后，可以根据合法AP认证列表 (ACL) 判断该AP是否合法，如果列表中没有列出该新检测到的AP的相关参数，那么就是伪AP识别每个AP的MAC地址、SSID、Vendor (提供商) 、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor (提供商) 、无线媒介类型或者信道异常，就可以认为是非法AP。

1.2 伪STA的检测

伪STA是一种试图非法进入WLAN或破坏正常无线通信的带有恶意的无线客户，管理员只要多注意他们的异常行为，就不难识别假冒客户。其异常行为的特征主要有: (1) 发送长持续时间 (Duration) 帧; (2) 持续时间攻击; (3) 探测“any SSID”设备; (4) 非认证客户。

如果客户发送长持续时间/ID的帧，其他的客户必须要等到指定的持续时间 (Duration) 后才能使用无线媒介，如果客户持续不断地发送这样的长持续时间帧，这样就会使其他用户不能使用无线媒介而一直处于等待状态。

为了避免网络冲突，无线节点在一帧的指定时间内可以发送数据，根据802.11帧格式，在帧头的持续时间/ID域所指定的时间间隔内，为节点保留信道。网络分配矢量 (NAV) 存储该时间间隔值，并跟踪每个节点。只有当该持续时间值变为O后，其他节点才可能拥有信道。这迫使其他节点在该持续时间内不能拥有信道。如果攻击者成功持续发送了长持续时间的数据包，其他节点就必须等待很长时间，不能接受服务，从而造成对其他节点的拒绝服务。

如果AP允许客户以任意SSID接入网络，这将给攻击者带来很大的方便，如果发现有客户以任意SSID方式连接，就很可能是攻击者，管理员应该更改AP的设置，禁止以任意SSID方式接入。如果假冒客户在合法客户认证列表中出现，可以根据客户MAC地址和设备供应商标识进行判断，如果NIC的MAC地址或Vendor标识未在访问控制列表中，则可能是非法客户。

2 IDS在无线网络中的应用

当识别出假冒AP之后，应该立即采取的措施就是阻断该AP的连接，有以下方式可以阻断AP连接: (1) 采用DoS攻击的办法，迫使其拒绝对所有客户的无线服务; (2) 网络管理员利用网络管理软件，确定该非法AP的物理连接位置，从物理上断开; (3) 检测出非法AP连接在交换机的端口，并禁止该端口。可以利用无线网络管理软件来完成该任务。一旦假冒AP被确认，管理软件查找该AP的MAC地址，然后根据该MAC地址，找到其连接在交换机的哪个端口，从而断开或阻断所有通过该端口的网络流量。这能自动阻止客户连接到该假冒AP，而转为向其他相邻AP进行连接。这是一种最有效的方法。

对于伪客户，当确认客户为非法客户时，网络管理员可以断开其网络连接。通常的做法是把非法客户的MAC地址从AP的访问控制列表 (ACL) 中去除，ACL决定哪些MAC地址可以接入网络，那些不能接入网络。

入侵检测系统 (IDS) 通过分析网络中的传输数据来判断破坏系统和入侵事件。在一些情况下，简单地使用防火墙或者认证系统也可以被攻破。入侵检测就是以这种技术，对未经授权的连接企图做出反应，甚至可以抵御部分可能的入侵。IETF的ID-WG将一个入侵检测系统分为4个组件:事件产生器、事件分析器、响应单元、事件数据库。传统的有线网络中IDS基本框架如图1所示。

放置在网络中的探测器检测到异常，产生一个事件，报告给分析器，通过分析后产生一个告警信息报告给管理器。管理员决定如何操作，并对事件做出响应。我们把传统网络中的IDS技术应用于无线网络，以期增强无线网络抵御攻击的能力。

IDS可分为基于主机的入侵检修系统(HIDS)和基于网络的入侵检测系统(NIDS)。HIDS采用主机上的文件(特别是日志文件或主机收发的网络数据包)作为数据源。HIDS最早出现于20世纪80年代初期，当时网络拓扑简单，入侵相当少见，因此侧重于对攻击的事后分析。现在的HIDS仍然主要通过记录验证，只不过自动化程度提高，且能做到精确检测和快速响应，并融入文件系统保护和监听端口等技术。与HIDS不同，NIDS采用原始的网络数据包作为数据源，从中发现入侵迹象。它能在不影响使用性能的情况下检测入侵事件，并对入侵事件进行响应。分布式网络IDS则把多个检测探针分布至多个网段，最后通过对各探针发回的信息进行综合分析来检测入侵，这种结构的优点是管理起来简单方便，单个探针失效不会导致整个系统失效，但配置过程复杂。基础结构模式入侵检测模型将采用这种分布式网络检测方法，而对于移动自组网模式内的入侵检测模型将采用基于主机的入侵检测模型。

当前，对WLAN的入侵检测大都处于试验阶段，比如开源入侵检测系统Snort发布的Snort-wire-less测试版，增加了Wifi协议字段和选项关键字，采用规则匹配的方法进行入侵检测，其AP由管理员手工配置，因此能很好地识别非授权的假冒AP，在扩展AP时亦需重新配置。但是，由于其规则文件无有效的规则定义，使检测功能有限，而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击。2003年下半年，IBM提出WLAN入侵检测方案，采用无线感应器进行监测，该方案需要联入有线网络，应用范围有限而且系统成本昂贵，要真正市场化、实用化尚需时日。此外，作为概念模型设计的WIDZ系统实现了AP监控和泛洪拒绝服务检测，但它没有一个较好的体系架构，存在局限性。

在上述基础上，我们提出一种基于分布式感应器的网络检测模型框架，对含AP模式的WLAN进行保护。对于移动自组网模式的WLAN，则由于网络中主机既要收发本机的数据，又要转发数据(这些都是加密数据)，文献提出了采用异常检测法对路由表更新异常和其他层活动异常进行检测，但只提供了模型，没有实现。此外，我们分析了移动自组网模式中恶意节点对网络性能的影响，并提出一种基于声誉评价机制的安全协议，以检测恶意节点并尽量避开恶意节点进行路由选择，其中恶意节点的检测思想值得借鉴。Snort-wireless可以作为基于主机的入侵检测，我们以此为基础提出一种应用于移动自组网入侵检测的基于主机的入侵检测模型架构。

3 无线网络中的IDS模型架构

在含AP模式中，可以将多个WLAN基本服务集(BSS)扩展成扩展服务集(ESS)，甚至可以组成一个大型的WLAN。这种网络需要一种分布式的检测框架，由中心控制台和监测代理组成，如图2所示。

网络管理员中心控制台配置检测代理和浏览检测结果，并进行关联分析。监测代理的作用是监听无线数据包、利用检测引擎进行检测、记录警告信息，并将警告信息发送至中心控制台。

由此可见，监测代理是整个系统的核心部分，根据网络布线与否，监测代理可以采用两种模式：一种是使用1张无线网卡再加1张以太网卡，无线网卡设置成“杂凑”模式，监听所有无线数据包，以太网卡则用于与中心服务器通信;另一种模式是使用2张无线网卡，其中一张网卡设置成“杂凑”模式，另一张则与中心服务器通信。

分组捕获完成后，将信息送至检测引擎进行检测，目前最常用的IDS主要采用的检测方法是特征匹配，即把网络包数据进行匹配，看是否有预先写在规则中的“攻击内容”或特征。尽管多数IDS的匹配算法没有公开，但通常都与著名的开源入侵检测系统Snor的多模检测算法类似。另一些IDS还采用异常检测方法(如Spade检测引擎等)，通常作为一种补充方式。无线网络传输的是加密数据，因此，该系统需要重点实现的部分由非授权伪AP的检测。通常发现入侵之后，监测代理会记录攻击特征，并通过安全通道(采用一定强度的加密算法加密，有线网络通常采用安全套接层(SSL)协议，无线网络通常采用无线加密协议(WEP))将告警信息发给中心控制台进行显示和关联分析等，并由控制台自动响应(告警和干扰等)，或由网络管理员采取相应措施。

在移动自组网模式中，每个节点既要收发自身数据，又要转发其他节点的数据，而且各个节点的传输范围受到限制，如果在该网络中存在或加入恶意节点，网络性能将受到严重影响。恶意节点的攻击方式可以分为主动性攻击和自私性攻击。主动性攻击是指节点通过发送错误的路由信息、伪造或修改路由信息等方式，对网络造成干扰;自私性攻击是指网络中的部分节点可能因资源能量和计算能量等缘故，不愿承担其他节点的转发任务所产生的干扰。因此，对恶意节点的检测并在相应的路由选择中避开恶意节点，也是该类型WLAN需要研究的问题。

我们的检测模型建立在HIDS上，甚至可以实现路由协议中的部分安全机制，如图3所示。

当数据包到达主机后，如果属于本机数据，数据包将被解密，在将它递交给上层之前，先送至基于主机的误用检测引擎进行检测，根据检测结果，对正常数据包放行，对攻击数据包则进行记录，并根据响应策略进行响应。此外，还可以在误用检测模型的基础上辅以异常检测引擎，根据以往的研究成果，可以在网络层或应用层上进行，也可以将其做入路由协议中，以便提高检测速度和检测效率。

4 结束语

无线网络由于其传输媒介的特殊性以及802.11标准本身的缺陷，具有很多安全问题，本文中，我们从技术角度剖析了无线网络中特有的伪装攻击问题，提出了两种入侵检测系统架构，可以分别用于基础结构模式WLAN和移动自组网模式WLAN，具有实用价值。基础结构模式WLAN采用分布式网络入侵检测，可用于大型网络;移动自组网中采用基于主机的入侵检测系统，用于检测异常的节点活动和发现恶意节点。需要进一步研究的问题有：在框架上实现原型系统来验证其有效性;在加密的网络环境中更加有效地进行入侵检测。

参考文献

[1]Borisov N, Goldberg I, Wagner D.Intercepting mobile communications:The insecurity of802.11[C].Rome, Italy:The Seventh Annual Inter-national Conference on Mobile Computer and Networking, 2001.

[2]Fluhrer S, Mantin I, Shamir A.Weakness in the key scheduling algorithm of RC4[C].Toronto, Canada:Eighth Annual Workshop on Select-ed Areas in Cryptography, 2001.

[3]Lim Y X, Schmoyer T, Levine J, et al.Wireless intrusion detection and response[C]//Proceedings of the2003IEEE Workshop on Informa-tion Assurance.New York:United States Military Academy, West Point, 2003.68-75.

[4]ANSI/IEEE.IEEE Standard for Information Technology.Telecommunications and information exchange between systems.Local and metropolitan area networks[S].Specific requirements.Part11:Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications.1999.