论文部分内容阅读
无线网络在企业和家庭中的部署呈现指数性增长,使无线网络成为对攻击者很有吸引力的攻击目标。利用IP层及以上漏洞攻击可以被专为有线网络设计的入侵检测系统轻松解决。然而,利用链路层协议漏洞攻击需要一套不同的入侵检测机制。WLAN中许多链路层攻击为拒绝服务攻击和接入点或工作站欺骗攻击。因为IEEE802.11标准没有对每一个数据帧提供源认证,所以就可能存在欺骗和泛洪攻击,但协议标准中加入合适的认证就能有效阻止此类攻击。不幸的是,近期商用WLAN设备不可能支持同时覆盖管理帧和控制帧链路层源认证。即使在下一代WLAN设备可用,也不可能保护大量遗留的WLAN设备。本文提出用隐马尔可夫算法通过利用IEEE802.11帧链路层头部特定字段来检测攻击,并展示算法如何检测不同攻击,而不需要对AP或工作站做任何修改。首先着手分析了无线网络安全漏洞和安全威胁,针对无线网络MAC层进行协议分析,建立了相应的隐马尔可夫检测模型,利用实际攻击数据测试模型的检测性能。对于模型的建立,训练和检测过程中存在的实际问题给出了合理解决方法,最后针对无线网络环境设计了分布式入侵检测系统。本文主要工作和贡献在于:(1)针对入侵检测模型建立过程中存在观测值很难确定的问题,本文将无线网络数据帧MAC层头部的特定字段作为观测对象,对容易存在安全漏洞的不同字段信息建立了不同的模型,包括FRC-HMM模型、DUI-HMM模型和SEC-HMM模型。这显著地减小了观测序列的规模,缩短了训练时间。(2)建立捕获数据包、数据包协议分析、预处理、隐马尔可夫训练和异常检测的无线网络入侵检测模型。(3)设计了一个集测量、分析和防护为一体的可扩展分布式入侵检测系统模型,解决了数据的不完整捕获和数据冗余问题。(4)利用ARM嵌入式平台实现无线网络数据包捕获和隐马尔可夫入侵检测,模拟无线环境下网络攻击,HMM模型性能得到测试,给出了结果和分析。