摘  要： 從實際應用出發(fā)，提出了一種針對無線網(wǎng)絡的入侵檢測方法，給出了入侵檢測系統(tǒng)的設計方案，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應)，具有較強的經(jīng)濟效益和借鑒意義。
關鍵詞： 無線網(wǎng)絡；入侵檢測；傳輸協(xié)議；體系結構

   隨著筆記本電腦、個人數(shù)字代理(PDA)以及3G通信等技術的發(fā)展，人們使用信息技術進行通信聯(lián)系和交流的空間、靈活性得到不斷拓展。無線網(wǎng)絡尤其是3G網(wǎng)絡成為技術發(fā)展和社會應用的新寵。各種類型的移動數(shù)據(jù)終端以及多媒體終端得到廣泛應用，促使傳統(tǒng)網(wǎng)絡由有線向無線、由固定向移動、由單一業(yè)務向多媒體的發(fā)展。然而，這種擴展給用戶帶來了更大的自由度的同時，也帶來了安全上的挑戰(zhàn)。由于無線信道的開放性和移動設備在存儲能力、計算能力和供電方面的局限性，無線網(wǎng)絡面臨著更復雜的安全威脅和隱患[1]。如何構造一個安全可靠的無線局域網(wǎng)已經(jīng)成為一個迫切需要解決的問題。
1 IDS基本原理
　入侵檢測系統(tǒng)(IDS)是一種主動保護自己免受攻擊的網(wǎng)絡安全系統(tǒng)。入侵檢測系統(tǒng)對網(wǎng)絡行為進行實時檢測，可以記錄和阻止某些網(wǎng)絡行為，被認為是防火墻之后的第二道安全閘門，可與防火墻配合工作[2]。
　IDS掃描當前網(wǎng)絡的活動，監(jiān)視和記錄網(wǎng)絡的流量，根據(jù)定義好的規(guī)則來過濾經(jīng)主機網(wǎng)卡的流量，并提供實時報警。入侵檢測系統(tǒng)至少應包括3個功能模塊：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應部件。公共入侵檢測框架CIDF闡述了一個入侵檢測系統(tǒng)的通用模型，即入侵檢測系統(tǒng)的四個組件：事件產(chǎn)生器、事件分析器、響應單元和事件數(shù)據(jù)庫，共通用模型如圖1所示。CIDF將需要分析的數(shù)據(jù)統(tǒng)稱為事件。

2 無線網(wǎng)絡入侵檢測系統(tǒng)架構
2.1 入侵檢測體系結構
　目前比較成熟的入侵檢測方法是異常檢測和誤用檢測兩種類型[3]。異常檢測是根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵。異常檢測與系統(tǒng)相對無關，通用性較強，其主要缺陷是誤檢率較高。誤用檢測有時也稱為特征分析或基于知識的檢測，根據(jù)已定義的入侵模式，判斷在實際的安全審計數(shù)據(jù)中是否出現(xiàn)這些入侵模式，這種檢測準確度較高，檢測結果有明確的參照性，便于決策響應，缺陷是無法檢測未知的攻擊類型。無線網(wǎng)絡的IDS系統(tǒng)，必須考慮兩者的互補性結合使用，如圖2所示。

　信息獲取和預處理層主要由主機探頭(HSensor)和網(wǎng)絡探頭(NSensor)組成。綜合分析決策層包含分析器(AnalysisSvr)和數(shù)據(jù)庫(DB)，在獲取數(shù)據(jù)進行預處理后，進一步詳細分析和最后的決策融合，從而制訂響應策略和方式?？刂乒芾韺觿t是進行人機交互、控制管理、報警融合以及態(tài)勢分析。
2.2 入侵單元檢測模型
　為滿足無線網(wǎng)絡的需要，入侵檢測與響應系統(tǒng)應采用分布式結構，且協(xié)同工作。網(wǎng)絡中的每個節(jié)點都參與入侵檢測與響應，每個節(jié)點檢測本地入侵，鄰近節(jié)點進行協(xié)作檢測[4]。在系統(tǒng)的每個節(jié)點都有獨立的入侵檢測單元，每個單元能夠獨立運行，監(jiān)測本地行為(包括用戶和系統(tǒng)的行為、節(jié)點間的通信行為)，檢測來自本地的入侵，并發(fā)起響應。這些入侵檢測單元共同組成無線網(wǎng)絡的入侵檢測系統(tǒng)，如圖3所示。

　數(shù)據(jù)采集模塊采集實時審計數(shù)據(jù)，這些數(shù)據(jù)包含系統(tǒng)和用戶在節(jié)點內(nèi)部的操作行為、通過該節(jié)點的通信行為以及在通信范圍內(nèi)、通過該節(jié)點可觀察到的其他通信行為。協(xié)作檢測模塊的作用是傳送鄰近節(jié)點之間的入侵檢測狀態(tài)信息，利用最近接收到的其他節(jié)點的狀態(tài)信息，計算出本節(jié)點的入侵檢測狀態(tài)[5]。協(xié)作檢測的步驟如圖4所示。

2.3 分析器概念模型與系統(tǒng)部署
　分析器概念模型如圖5所示。首先獲取來自主機探頭和網(wǎng)絡探頭的數(shù)據(jù)信息，然后采用特征檢測、異常檢測、統(tǒng)計分析、拒絕服務檢測等多種方法進行并行分析，把分析的結果采用特定的融合算法進行融合，從而得出分析結果。分析結果一方面通知控制管理層，另一方面通知響應決策部分，驅(qū)動響應決策，并進行物理定位。

　IDS系統(tǒng)部署時，主機探頭安裝在客戶端操作系統(tǒng)上，而網(wǎng)絡探頭則根據(jù)其地理環(huán)境情況適當布置，分析機盡可能地放在用戶內(nèi)部網(wǎng)絡，降低分析機的風險，系統(tǒng)應該部署在電磁波干擾小的地方，避免由于輻射信號不穩(wěn)定而帶來的影響。
3 無線網(wǎng)絡入侵檢測系統(tǒng)核心模塊實現(xiàn)
　分布式入侵檢測系統(tǒng)分為3個部件，(1)探測器。對應信息采集和預警層，下設探頭和數(shù)據(jù)采集模塊；(2)分析器對應綜合分析決策層，下設協(xié)議解碼模塊、預處理模塊和檢測分析模塊；(3)控制管理器。對應控制管理層，下設規(guī)則解析模塊、日志模塊和響應報警模塊。本文將重點介紹數(shù)據(jù)預處理、數(shù)據(jù)檢測與分析和規(guī)則解析三個模塊。
3.1 數(shù)據(jù)預處理模塊
　預處理模塊對得到的數(shù)據(jù)包進行預處理，一方面可發(fā)現(xiàn)入侵信息，另一方面為檢測分析模塊做最后的準備。預處理模塊采用了插件技術，可以很方便地增加功能，使系統(tǒng)具有可擴展性。與預處理相關的函數(shù)以鏈表的形式存在于動態(tài)鏈接庫中，如圖6所示。

　預處理函數(shù)是由控制管理器來配置的?？刂浦行膶⑴渲靡?guī)則和預處理函數(shù)一起傳送到各檢測引擎，檢測引擎在進行規(guī)則解析時，自行識別預處理指令，并作相應的處理。在IP報文的首部包含了分片和重組的信息，如圖7所示。

　(1)Identification：唯一標識發(fā)送端的一個IP報文，如果需要分片，則所有分片具有相同的標識，這樣目標主機便能夠根據(jù)源主機的IP地址以及該標識來組合報文；(2)R：保留未用；(3)D：“不分片”位，置為1，則IP層不將數(shù)據(jù)報分片，只有為0時才允許分片；(4)F：“更多分片”位，為1表示后面還有數(shù)據(jù)報的更多分片，為0則表示這是數(shù)據(jù)報的最后一個分片；(5)Fragment Offset：分片偏移，指出該分片數(shù)據(jù)在原始數(shù)據(jù)報文(未分片前)相對于起點的位置，實際位置為偏移值乘以8，如為0則表示這是分片后的第一個信息包，放在組合后分組的最前面。
　IP重組的函數(shù)中定義了每一個分片的結構為：
   Struct IpFrag
    {
      dint offset； //IP分片的偏移值
      int end：  //分片的最后字節(jié)
      int len；  //分片的長度
      u char mff； //更多的分片標志
      unsigned char *ptr； //指向分片包中的數(shù)據(jù)
      struct IpFrag *ipf next； //鏈接的下一個分片
    }；
　這些分片形成一個單向鏈表，表示一個尚未組裝完的分片隊列，它屬于一個IP報文，而分片鏈表的頭指針放在IpHeader結構中：
    struct IpHeader
    {
      struct IpFrag； //第一個IP分片
      int len； //報文長度
      struct timer list timer； //定時器
      u_char Proto； //協(xié)議類型
      u_short Ip_ttl； //生存時間
      u_short id；  //IP標識
      struct in addr Ip-Src，Ip_Dst；  //IP報文的源，目的IP地址
      struct IpHeader *next； //下一個IP報文
   }；
   IpHeader描述還未收到全部分片報文結構，多個IpHeader構成的鏈表形成一個重裝鏈表，等待其他分片到達后重裝。
3.2 數(shù)據(jù)檢測分析模塊
　檢測分析模塊對預處理模塊提交的數(shù)據(jù)，運用匹配算法和規(guī)則庫中的規(guī)則進行比較分析，從而判斷是否有入侵行為。檢測分析模塊是檢測引擎的核心，它將從數(shù)據(jù)采集模塊傳來的數(shù)據(jù)順著規(guī)則鏈表與入侵規(guī)則進行比較，如果匹配成功，則說明檢測到了入侵，同時產(chǎn)生報警。其流程如圖8所示。

3.3 規(guī)則解析模塊
　規(guī)則解析模塊將從控制中心傳送過來的規(guī)則按照一定的數(shù)據(jù)結構存儲在規(guī)則庫中，作為對入侵行為進行判斷分析的知識庫。在該模塊的設計中，本文采用動態(tài)生成鏈表的方式構建規(guī)則的語法樹，把所選擇的規(guī)則存儲在數(shù)據(jù)檢測器所在的主機內(nèi)存中，規(guī)則鏈表的結構如圖9所示。

　第一層是具有相同處理動作(Alert(警告)，Log(記錄)，Pass(忽略))的節(jié)點，以RuleListNode結構表示。其次，是在具有相同處理動作的基礎上，按照不同的協(xié)議類型(IP， TCP， ICMP和UDP)再分成幾條鏈表。而在每條鏈表中，具有相同源IP地址、目的IP地址、源端口和目的端口的規(guī)則頭節(jié)點RuleTreeNode構成了結構圖的第二層。以下的幾層由具有相同源IP地址、目的IP地址、源端口和目的端口所對應的規(guī)則選項節(jié)點即tTreeNode組成。例如在一組規(guī)則中有45條檢測CGI-BIN探測活動的規(guī)則，而它們都具有相同的源/目的IP地址及端口號，則它們在鏈表中可以將這些共同屬性壓縮到一個單獨的RuleTreeNode節(jié)點中，而每個不同的屬性(規(guī)則選項)保存在與RuleTreeNode節(jié)點相連的OptTreeNode節(jié)點中。這樣的結構方式，將大大有助于提高檢測速度。
    建立規(guī)則鏈表的流程如下：首先讀取規(guī)則文件，檢查規(guī)則文件是否存在并可讀，然后依次讀取每一條規(guī)則，同時進行多行規(guī)則的整理；對規(guī)則進行解析，按類型進行分支處理，并用相應的規(guī)則語法表示，建立規(guī)則語法樹；最后進行一些完善操作，如連接所有的動態(tài)規(guī)則，進行規(guī)則樹的完整性檢查。其中解釋規(guī)則并將其添加到規(guī)則鏈表的流程如圖10所示。

     作為個人通信的一個重要的組成部分，無線局域網(wǎng)在現(xiàn)實及未來的社會生活中將得到廣泛的應用。無線入侵檢測技術也將必然隨著計算機技術的發(fā)展而發(fā)展，隨著無線網(wǎng)絡的普及和移動設備的性能的提高而得到進一步的發(fā)展。下一步將在本文研究的基礎上，重點解決入侵檢測系統(tǒng)的應用瓶頸問題，以大幅度提升檢測準確性以及大量應用網(wǎng)絡環(huán)境下的系統(tǒng)性能。
參考文獻
[1] 張丙凡，李永忠，范智勇.多元化入侵檢測技術[J].計算機仿真，2009，26(11):141-144.
[2] 張耀輝.入侵檢測在高速網(wǎng)絡環(huán)境下的技術研究[J].長沙通信職業(yè)技術學院學報，2009，8(4):27-30.
[3] 李旺，吳禮發(fā)，胡谷雨.分布式網(wǎng)絡入侵檢測系統(tǒng)NetNumen的設計與實現(xiàn)[J].軟件學報，2002，13(8):1723-1728.
[4] 伍愛平，施月玲.分布式入侵檢測中的數(shù)據(jù)融合模型[J].計算機與數(shù)字工程，2007，35(4):97-99.
[5] 程玉青，梅登華，陳龍飛.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)模型[J].計算機技術與發(fā)展，2009，19(12):123-166.