基于MAC幀分類匹配的WLAN入侵檢測*

張紹輝，陳 晨，韓憲忠

（河北農(nóng)業(yè)大學(xué) 信息科學(xué)與技術(shù)學(xué)院，河北 保定 071001）

基于MAC幀分類匹配的WLAN入侵檢測*

張紹輝，陳 晨，韓憲忠

（河北農(nóng)業(yè)大學(xué) 信息科學(xué)與技術(shù)學(xué)院，河北 保定 071001）

在研究WLAN入侵檢測技術(shù)的基礎(chǔ)上，給出一種基于數(shù)據(jù)鏈路層的無線局域網(wǎng)入侵檢測方法。該方法使用協(xié)議分析技術(shù)，采用MAC幀分類的方法匹配入侵特征，實(shí)現(xiàn)對WLAN的入侵檢測。

無線局域網(wǎng)；入侵檢測；協(xié)議分析；分類匹配

無線網(wǎng)絡(luò)依靠其無可比擬的靈活性和可擴(kuò)容性，使其網(wǎng)絡(luò)無線化已是大勢所趨。但由于無線信道的開放性和802.11協(xié)議自身的諸多漏洞[1-2]，無線局域網(wǎng)的安全一直受到各種入侵方式的威脅[3]，這使得無線網(wǎng)絡(luò)的發(fā)展空間受到了嚴(yán)重制約。尤其是隨著無線加密協(xié)議破解技術(shù)的發(fā)展，各種針對無線加密協(xié)議的攻擊平臺層出不窮（如 Back Track 3、Back Track 4[4]），國內(nèi)趙春生最近開發(fā)的Beini[5]攻擊平臺，非專業(yè)技術(shù)人員利用這些平臺破解任何一個(gè)使用WEP加密的AP點(diǎn)用時(shí)不會超過3 min，即使加密協(xié)議使用WPA、WPA2，只要獲得足夠的握手包，暴力破解密鑰也只是時(shí)間問題。更何況如今計(jì)算機(jī)運(yùn)算技術(shù)的飛速發(fā)展，單機(jī)的CPU+GPU運(yùn)算可達(dá)100 K keys/s，如果使用云計(jì)算，運(yùn)算時(shí)間更會顯著縮短。為確保無線局域網(wǎng)數(shù)據(jù)安全，十分有必要建立WLAN入侵檢測系統(tǒng)。

本文在研究入侵檢測技術(shù)的基礎(chǔ)上，設(shè)計(jì)了一種基于數(shù)據(jù)鏈路層的WLAN入侵檢測方案，并針對WLAN的特性，在協(xié)議分析[6]的入侵檢測過程中使用MAC幀分類檢測技術(shù)，針對每一種子類型的MAC幀使用與其相對應(yīng)的子類型協(xié)議分析器進(jìn)行分析檢測，使得檢測策略靈活多變，特征碼提取更加準(zhǔn)確、迅捷，可進(jìn)行準(zhǔn)確的分類統(tǒng)計(jì)，提高了匹配效率。

1 系統(tǒng)架構(gòu)

無線網(wǎng)絡(luò)由若干個(gè)AP覆蓋的WLAN組成，WLAN入侵檢測系統(tǒng)包括控制中心和監(jiān)測代理兩部分。每個(gè)WLAN中分別設(shè)置一個(gè)監(jiān)測代理，每個(gè)監(jiān)測代理配置一塊無線網(wǎng)卡和一塊以太網(wǎng)卡。無線網(wǎng)卡設(shè)置成混雜模式，負(fù)責(zé)監(jiān)聽該WLAN中的無線數(shù)據(jù)包，以檢測是否存在針對該無線網(wǎng)絡(luò)相關(guān)節(jié)點(diǎn)的入侵行為，并將檢測到的異常數(shù)據(jù)通過以太網(wǎng)傳送給控制中心。控制中心負(fù)責(zé)處理各監(jiān)測代理發(fā)來的警告信息并進(jìn)行相應(yīng)的處理，如圖1所示。

檢測代理單元由報(bào)文捕獲模塊、協(xié)議分析模塊、入侵檢測模塊、通信模塊和阻斷模塊組成。報(bào)文捕獲模塊捕獲相應(yīng)數(shù)據(jù)后，傳給協(xié)議分析模塊，首先進(jìn)行協(xié)議解碼，然后入侵檢測模塊對協(xié)議解碼后的數(shù)據(jù)進(jìn)行檢測，若發(fā)現(xiàn)入侵，將產(chǎn)生報(bào)警，記錄攻擊特征，并通過通信模塊將報(bào)警信息發(fā)給控制中心，控制中心根據(jù)各檢測代理單元上報(bào)的報(bào)警信息進(jìn)行綜合分析，判斷入侵情況，通知阻斷模塊進(jìn)行相應(yīng)處理。

圖1 無線網(wǎng)絡(luò)系統(tǒng)架構(gòu)

控制中心主要包含配置模塊、通信模塊、數(shù)據(jù)庫管理模塊、人機(jī)交互界面和響應(yīng)模塊。配置模塊可對各個(gè)檢測代理進(jìn)行各種配置。通信模塊負(fù)責(zé)與監(jiān)測代理進(jìn)行通信。數(shù)據(jù)庫管理模塊負(fù)責(zé)存儲入侵行為特征。人機(jī)交互界面提供給管理員直觀的圖形界面。響應(yīng)模塊接收各監(jiān)測代理發(fā)送的檢測結(jié)果，并生成報(bào)表寫入日志。

WLAN入侵檢測系統(tǒng)工作流程如圖2所示。

圖2 WLAN入侵檢測系統(tǒng)工作流程圖

2 基于MAC幀分類匹配的入侵檢測

2.1 報(bào)文捕獲

本文通過在Linux系統(tǒng)下的射頻監(jiān)聽模式進(jìn)行報(bào)文捕獲，通過Libpcap開發(fā)庫實(shí)現(xiàn)開發(fā)。射頻監(jiān)聽模式需要特殊的網(wǎng)卡與特殊的驅(qū)動(dòng)程序，通過查詢資料，本系統(tǒng)選用Atheros芯片的無線網(wǎng)卡及其相應(yīng)的Madwifi驅(qū)動(dòng)。操作系統(tǒng)選用對無線網(wǎng)卡驅(qū)動(dòng)支持較好的Ubuntu Linux。無線網(wǎng)卡在射頻監(jiān)聽模式下不接入任何WLAN，能捕獲網(wǎng)卡接收范圍內(nèi)所有的原始802.11協(xié)議報(bào)文。

Libpcap能捕獲到底層的所有報(bào)文，并且通過設(shè)置命令使得Libpcap捕獲到帶prism頭結(jié)構(gòu)的所有802.11原始報(bào)文，Prism Monitor Header長度為144 B，這是網(wǎng)卡在捕獲無線幀時(shí)添加在802.11MAC幀頭前的數(shù)據(jù)，主要包括信號強(qiáng)度、傳輸速率等信息。報(bào)文捕獲命令如表1所示。

表1 報(bào)文捕獲命令

2.2 協(xié)議分析及MAC幀分類

MAC幀分類樹如圖3所示，樹的根節(jié)點(diǎn)是對MAC幀的總體分析，中間節(jié)點(diǎn)根據(jù)Type值進(jìn)行了MAC幀的分類，而每一個(gè)葉子節(jié)點(diǎn)代表一種實(shí)現(xiàn)不同子功能的MAC幀。本文針對每一個(gè)葉子節(jié)點(diǎn)使用相對應(yīng)的子類型協(xié)議分析器，因?yàn)獒槍P的每一種入侵，不管是AP關(guān)聯(lián)表溢出攻擊、STA各種認(rèn)證攻擊還是最近很“流行”的針對WEP、WPA、WPA2等加密技術(shù)的口令破解攻擊，其最明顯的特征都是在短時(shí)間內(nèi)向AP頻繁發(fā)送某一種特定的幀。MAC幀分類的優(yōu)點(diǎn)在于檢測策略靈活多變，特征碼提取更加準(zhǔn)確、迅捷，可進(jìn)行準(zhǔn)確的分類統(tǒng)計(jì)，提高了匹配效率。

圖3 MAC幀分類樹

協(xié)議分析的過程就是一條從根節(jié)點(diǎn)到某個(gè)葉子節(jié)點(diǎn)的路徑。根部是MAC幀的總體分析，對所有MAC幀，首先提取幀頭信息，提取MAC幀的控制字段以及地址1-4。根據(jù)控制字段中Type值分別分析管理幀、控制幀以及數(shù)據(jù)幀，再根據(jù)Subtype值確定該幀的具體子類型，然后將控制字段及地址1-4提交給相應(yīng)的子類型協(xié)議分析器。在每個(gè)子類型協(xié)議分析器中，通過分析檢測得到入侵檢測規(guī)則所需要的幀體元素值，采用模式匹配來檢測攻擊，并且對收到的該子類型MAC幀進(jìn)行來源區(qū)分和目標(biāo)地址的時(shí)間段統(tǒng)計(jì)。

2.3 分類匹配檢測

（1）捕獲802.11原始MAC幀。

（2）分析幀頭的Frame Control字段，根據(jù)變量Type值判別該幀類型，根據(jù)變量Subtype值進(jìn)一步判斷幀功能，使用相應(yīng)的子類型協(xié)議分析器檢測，其流程如圖4所示。

（3）特征碼提取。協(xié)議分析技術(shù)利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性，能理解數(shù)據(jù)流，利用網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)字段，從而不再需要匹配整個(gè)數(shù)據(jù)包，只需要匹配特殊字段，減少了計(jì)算量，提高了檢測效率，可以快速探測攻擊的存在。由于多數(shù)黑客軟件攻擊時(shí)所發(fā)送的報(bào)文均為特殊的字符串，所以只要在報(bào)文中檢索到此類標(biāo)志性信息便可認(rèn)定存在攻擊。

圖4 分類區(qū)配檢測流程圖

（4）特征碼匹配檢測。各檢測模塊在入侵檢測過程中采用MAC幀，分類檢測技術(shù)，針對每一種子類型的MAC幀，使用與其相對應(yīng)的子類型協(xié)議分析器與特征數(shù)據(jù)庫中的攻擊特征碼進(jìn)行匹配檢測。根據(jù)匹配結(jié)果，判別此通信是否屬于網(wǎng)絡(luò)入侵行為，并利用統(tǒng)計(jì)分析檢測所捕獲的報(bào)文中可能存在的異常。對于已經(jīng)確定的網(wǎng)絡(luò)入侵行為，通過通信模塊向控制中心傳輸檢測結(jié)果，并由控制中心通知阻斷模塊對其采取相應(yīng)的處理操作。對MAC幀進(jìn)行子類型分類檢測的原因在于，針對AP的每一種入侵，不管是AP關(guān)聯(lián)表溢出攻擊、STA各種認(rèn)證攻擊還是最近很“流行”的針對 WEP、WPA、WPA2等加密技術(shù)的口令破解攻擊，其最明顯的特征都是在短時(shí)間內(nèi)頻繁發(fā)送某些特定的幀以達(dá)到入侵的目的。MAC幀分類的優(yōu)點(diǎn)在于，檢測策略靈活多變，特征碼提取更加準(zhǔn)確、迅捷，可進(jìn)行準(zhǔn)確分類統(tǒng)計(jì)，提高了匹配效率。

本系統(tǒng)是在Linux下實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)的WLAN入侵檢測系統(tǒng)，并在Linux下進(jìn)行了模擬實(shí)現(xiàn)。實(shí)驗(yàn)表明，本系統(tǒng)能快速檢測出較常見的WLAN入侵行為，具有實(shí)時(shí)處理和低誤報(bào)率的特點(diǎn)，對WLAN的安全保障具有一定的實(shí)用價(jià)值。利用該系統(tǒng)和其他安全策略，可對無線局域網(wǎng)的安全提供基本的保障。如何進(jìn)一步實(shí)現(xiàn)原型系統(tǒng)來驗(yàn)證其有效性，如何在加密的網(wǎng)絡(luò)環(huán)境中更加有效地進(jìn)行入侵檢測以及有效融合分析結(jié)果等問題還需要進(jìn)一步的研究和探討。

無線入侵檢測技術(shù)仍處于研究階段，還存在很多不足之處。隨著無線網(wǎng)絡(luò)的普及，人們越來越關(guān)注無線網(wǎng)絡(luò)的安全性，采用入侵檢測技術(shù)加強(qiáng)無線網(wǎng)絡(luò)的安全是非常必要的，無線網(wǎng)絡(luò)入侵檢測技術(shù)必將受到人們的高度重視。

[1]KING J S.An IEEE 802.11 wireless LAN security white paper[R].U.S.Department of Energy，Lawrence Livermore National Laboratory UCRL-ID-147478，2001.10.

[2]STUBBLEFIELD A，IOANNIDIS J，RUBIN A D.Using the Fluhrer， Mantin， and Shamirattack to break WEP[C].Network and Distributed System Security Symposium，2002：100-122.

[3]孫樹峰，石興方，顧君忠.關(guān)于 802.11協(xié)議的攻擊研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2002，33（10）：33-36

[4]Muts，Emgent，Pure_hate[CP/OL].http：//www.backtracklinux.org/，2010-09-01.

[5] 趙春生.Beini[CP/OL].http：//www.ibeini.com/index.htm，2010-09-01.

[6]杜建國，郭巧.協(xié)議分析和命令解析在入侵檢測中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用，2004，18：159-162.

WLAN intrusion detection based on MAC frame classification matching

Zhang Shaohui，Chen Chen，Han Xianzhong

（College of Information Science and Technology，Agricultural University of Hebei，Baoding 071001，China）

The paper posts an intrusion detection arithmetic which in the data link layer that based on WLAN intrusion detection technology.This arithmetic uses protocol analysis techniques that classified MAC frame to mach invasion characteristics，achieving WLAN intrusion detection.

WLAN；intrusion detection；protocol analysis；classification matches

TP393.1

A

1674-7720（2011）01-0057-02

河北省自然科學(xué)基金資助項(xiàng)目（F2009000653）；河北省科技廳計(jì)劃資助項(xiàng)目（072135126）

2010-09-13）

張紹輝，男，1980年生，碩士研究生，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)庫。

陳晨，男，1983年生，碩士，講師，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)庫。

韓憲忠，男，1965年生，碩士，教授，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)庫。