分布式無(wú)線入侵防御系統(tǒng)預(yù)先決策引擎研究*

陳觀林 ，馮 雁 ，王澤兵

(1.浙江大學(xué)城市學(xué)院計(jì)算機(jī)與計(jì)算科學(xué)學(xué)院 杭州 310015；2.浙江大學(xué)計(jì)算機(jī)學(xué)院 杭州 310027)

分布式無(wú)線入侵防御系統(tǒng)預(yù)先決策引擎研究*

陳觀林1,2，馮 雁2，王澤兵1

(1.浙江大學(xué)城市學(xué)院計(jì)算機(jī)與計(jì)算科學(xué)學(xué)院 杭州 310015；2.浙江大學(xué)計(jì)算機(jī)學(xué)院 杭州 310027)

隨著無(wú)線局域網(wǎng)的飛速發(fā)展，無(wú)線入侵防御系統(tǒng)正成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。本文在分析無(wú)線局域網(wǎng)常見攻擊方法的基礎(chǔ)上，設(shè)計(jì)了一個(gè)分布式無(wú)線入侵防御系統(tǒng)預(yù)先決策引擎(distributed pre-decision engine,DPDE)，能夠有效地預(yù)測(cè)攻擊者的入侵意圖并提供主動(dòng)的入侵防御。DPDE引擎采集無(wú)線設(shè)備信息，在規(guī)劃識(shí)別中引入規(guī)劃支持程度，擴(kuò)展了入侵檢測(cè)規(guī)則，并對(duì)攻擊規(guī)劃的推導(dǎo)過(guò)程進(jìn)行了改進(jìn)。實(shí)驗(yàn)測(cè)試表明，預(yù)先決策引擎不僅提升了無(wú)線入侵檢測(cè)和防御的性能，還有效減少漏警和虛警的產(chǎn)生。

入侵防御系統(tǒng)；規(guī)劃識(shí)別；檢測(cè)規(guī)則；網(wǎng)絡(luò)安全

* 浙江省自然科學(xué)基金資助項(xiàng)目（No.Y1080821）

近年來(lái)，互聯(lián)網(wǎng)在中國(guó)得到了飛速發(fā)展。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）2010年1月發(fā)布的《第25次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示：截至2009年12月底，我國(guó)網(wǎng)民規(guī)模已達(dá)3.84億戶，居世界第一。同時(shí)，互聯(lián)網(wǎng)隨身化、便攜化的趨勢(shì)進(jìn)一步明顯，無(wú)線局域網(wǎng)上網(wǎng)出現(xiàn)持續(xù)增長(zhǎng)的態(tài)勢(shì)，已逐漸成為接入互聯(lián)網(wǎng)的一種主要方式[1]。

隨著無(wú)線局域網(wǎng)的快速發(fā)展，網(wǎng)民對(duì)無(wú)線網(wǎng)絡(luò)信任和安全的要求也日漸提高。由于WLAN存在自身特有的安全威脅，如IEEE802.11系列標(biāo)準(zhǔn)以及WEP/WPA等加密協(xié)議具有明顯的技術(shù)缺陷，使得WLAN的安全問(wèn)題日益突出，無(wú)線局域網(wǎng)領(lǐng)域的入侵防御系統(tǒng)（intrusion prevention system，IPS）正成為網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)。

1 無(wú)線局域網(wǎng)入侵防御系統(tǒng)

1.1 攻擊無(wú)線局域網(wǎng)的常見方法

由于無(wú)線局域網(wǎng)自身的特殊性，無(wú)線電波范圍內(nèi)的任何一臺(tái)電腦都可以監(jiān)聽、捕獲WLAN的數(shù)據(jù)包，并登錄到內(nèi)部的無(wú)線AP，這給局域網(wǎng)信息安全帶來(lái)了嚴(yán)重的挑戰(zhàn)。目前，攻擊無(wú)線局域網(wǎng)的常見方法可以歸納為以下幾類[2]。

（1）無(wú)線探尋類

由于無(wú)線網(wǎng)絡(luò)的開放性，攻擊者只要配備無(wú)線網(wǎng)卡，利用Network Stumbler或Kismet等偵測(cè)工具就可以很容易地探測(cè)到周圍的無(wú)線網(wǎng)絡(luò)，獲取每個(gè)AP的詳細(xì)信息，如SSID、頻道、信號(hào)強(qiáng)度、加密方式等，使得攻擊者能夠輕易找到并進(jìn)入未加保護(hù)的WLAN，此類攻擊被稱為駕駛攻擊（war driving）。

（2）密鑰破解類

為了避免War Driving攻擊使得非法主機(jī)訪問(wèn)WLAN，目前較多的無(wú)線局域網(wǎng)采用了WEP或WPA等無(wú)線加密協(xié)議來(lái)提供安全訪問(wèn)，但這些無(wú)線加密協(xié)議存在安全漏洞，攻擊者利用BackTrack或Aircrack-ng等工具可以破解長(zhǎng)度為64 bit和128 bit的WEP密鑰，在客戶端數(shù)據(jù)包較少的情況下可以通過(guò)ARP注入破解，在無(wú)客戶端連接的時(shí)候還可以通過(guò)交互注入、斷續(xù)注入或碎片注入的方式破解WEP密鑰,甚至還可以利用Cain或Ubuntu等工具破解WPA密鑰[3]。

（3）拒絕服務(wù)類

如果攻擊者未能有效破解無(wú)線AP的加密密鑰進(jìn)入WLAN，還可以對(duì)無(wú)線局域網(wǎng)進(jìn)行拒絕服務(wù) （denial of service，DoS）攻擊，如實(shí)施 Authentication Failure攻擊或Deauthentication Flood攻擊等都將使無(wú)線網(wǎng)絡(luò)停止正常服務(wù)，導(dǎo)致授權(quán)用戶無(wú)法訪問(wèn)WLAN資源。

（4）身份偽裝類

身份偽裝包括兩種方式：偽裝成合法主機(jī)和偽裝成合法AP。

·偽裝成合法主機(jī)——許多AP節(jié)點(diǎn)配置了MAC地址驗(yàn)證的方式提供對(duì)合法主機(jī)的接入，攻擊者可以通過(guò)MAC地址欺騙（MAC spoofing）冒充合法主機(jī)，從而繞過(guò)訪問(wèn)控制列表，非法使用網(wǎng)絡(luò)資源。

·偽裝成合法AP——攻擊者可以實(shí)施雙面惡魔攻擊（evil twin attack）或中間人攻擊（man in the middle attack，MITM attack）偽裝成合法 AP，誘使合法主機(jī)登錄到偽裝的AP，通信過(guò)程中所有的無(wú)線數(shù)據(jù)（如賬號(hào)、口令等）機(jī)密信息都會(huì)被攻擊者獲取。

針對(duì)這些常見的攻擊方法，無(wú)線局域網(wǎng)入侵防御系統(tǒng)可以提供很好的防范和保障措施。

1.2 無(wú)線入侵防御系統(tǒng)

入侵防御系統(tǒng)融合了防火墻和入侵檢測(cè)系統(tǒng)的雙重優(yōu)勢(shì)，不僅能檢測(cè)到惡意的攻擊行為，還可以主動(dòng)地實(shí)施防御，有效地阻斷入侵，從而達(dá)到深層次防護(hù)的目的[4]。

雖然入侵防御系統(tǒng)在有線網(wǎng)絡(luò)中得到了廣泛應(yīng)用，但將其應(yīng)用到無(wú)線局域網(wǎng)還面臨著許多技術(shù)難點(diǎn)[5]。無(wú)線局域網(wǎng)主要采用IEEE802.11標(biāo)準(zhǔn)進(jìn)行互聯(lián)，一方面基于傳統(tǒng)有線網(wǎng)絡(luò)的TCP/IP協(xié)議易遭受攻擊，另一方面由于IEEE802.11標(biāo)準(zhǔn)本身的安全問(wèn)題而受到威脅。為了建立安全的無(wú)線局域網(wǎng)，需要使用安全監(jiān)聽與入侵防御技術(shù)，并將其在有線網(wǎng)絡(luò)中的研究應(yīng)用到無(wú)線網(wǎng)絡(luò)這個(gè)新環(huán)境中[6]。

無(wú)線入侵防御系統(tǒng) （wireless intrusion prevention system，WIPS）應(yīng)該具備以下3個(gè)主要功能：

·能夠檢測(cè)無(wú)線網(wǎng)絡(luò)中的典型攻擊行為并自動(dòng)進(jìn)行分類；

·能夠預(yù)測(cè)攻擊者的下一步攻擊行為并識(shí)別最終意圖；

·能夠主動(dòng)響應(yīng)檢測(cè)到或預(yù)測(cè)的攻擊行為并提供積極的防御。

國(guó)外關(guān)于無(wú)線入侵防御系統(tǒng)的發(fā)展較為迅速，如開源入侵檢測(cè)系統(tǒng)Snort發(fā)布了Snort-Wireless版本，通過(guò)增加Wi-Fi協(xié)議字段和選項(xiàng)關(guān)鍵字，采用規(guī)則匹配的方法進(jìn)行無(wú)線入侵檢測(cè)；AirMagnet公司開發(fā)的分布式無(wú)線網(wǎng)安全管理系統(tǒng)可以對(duì)整個(gè)WLAN進(jìn)行安全監(jiān)控；AirTight公司開發(fā)的SpectraGuard系列無(wú)線周邊安全軟件和硬件產(chǎn)品可以不間斷地執(zhí)行無(wú)線網(wǎng)絡(luò)監(jiān)視和自動(dòng)化的入侵防御任務(wù)；Cisco公司也提供了多項(xiàng)無(wú)線安全產(chǎn)品，如Cisco Aironet系列接入點(diǎn)就可以充當(dāng)網(wǎng)絡(luò)入侵防御系統(tǒng)的傳感器等。

目前的無(wú)線局域網(wǎng)入侵防御技術(shù)還不夠完善，存在大量的漏警和虛警現(xiàn)象。

漏警是指在無(wú)線攻擊事件發(fā)生時(shí)入侵防御系統(tǒng)沒(méi)有發(fā)出報(bào)警或只發(fā)出部分報(bào)警。為了對(duì)攻擊行為進(jìn)行正確的防御，必須首先識(shí)別攻擊者的最終規(guī)劃意圖，而不只是給出其中間攻擊環(huán)節(jié)的報(bào)警，因此規(guī)劃識(shí)別（plan recognition）尤為重要。

虛警是指通過(guò)檢查無(wú)線網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)與某條攻擊規(guī)則匹配產(chǎn)生報(bào)警，實(shí)際上該攻擊對(duì)目標(biāo)系統(tǒng)并不構(gòu)成任何威脅。如入侵防御系統(tǒng)檢測(cè)到對(duì)某一AP節(jié)點(diǎn)進(jìn)行WEP密鑰破解的攻擊行為后發(fā)出報(bào)警，但是該AP使用的加密協(xié)議是WPA加密，那這條報(bào)警就屬于虛警。因此，讓W(xué)IPS了解所監(jiān)控的無(wú)線網(wǎng)絡(luò)的相關(guān)信息，可以在很大程度上減少虛警的發(fā)生。

本文應(yīng)用“云安全”理念，融合分布式計(jì)算和規(guī)劃識(shí)別技術(shù)，設(shè)計(jì)了一個(gè)分布式無(wú)線入侵防御系統(tǒng)的預(yù)先決策引擎（distributed pre-decision engine，DPDE），該引擎通過(guò)分布式服務(wù)器捕獲無(wú)線局域網(wǎng)的802.11數(shù)據(jù)包，利用采集的無(wú)線設(shè)備信息過(guò)濾掉不需要匹配的攻擊規(guī)則，同時(shí)結(jié)合人工智能領(lǐng)域中的規(guī)劃識(shí)別方法，識(shí)別攻擊者的真正意圖，對(duì)已發(fā)生的和潛在的安全威脅進(jìn)行主動(dòng)阻斷，不僅能夠減少漏警和虛警的產(chǎn)生，還能達(dá)到自動(dòng)智能防御的目的。

2 分布式預(yù)先決策引擎的總體設(shè)計(jì)

2.1 分布式預(yù)先決策引擎框架結(jié)構(gòu)

DPDE是一個(gè)分布式、智能化的無(wú)線局域網(wǎng)預(yù)先決策引擎，該引擎主要包括以下4個(gè)部分：無(wú)線數(shù)據(jù)捕獲器、特征信息數(shù)據(jù)庫(kù)、規(guī)劃識(shí)別服務(wù)器和管理決策控制臺(tái)。

（1）無(wú)線數(shù)據(jù)捕獲器

無(wú)線數(shù)據(jù)捕獲器設(shè)置分布式的多個(gè)節(jié)點(diǎn)，對(duì)無(wú)線局域網(wǎng)內(nèi)部的802.11a/b/g數(shù)據(jù)包進(jìn)行捕獲，同時(shí)獲取WLAN內(nèi)部無(wú)線AP的SSID、工作頻道和信號(hào)強(qiáng)弱等信息。

（2）特征信息數(shù)據(jù)庫(kù)

存儲(chǔ)無(wú)線數(shù)據(jù)捕獲器采集到的無(wú)線設(shè)備信息，并保存典型的無(wú)線入侵規(guī)劃等數(shù)據(jù)，為下一步特征匹配和規(guī)劃識(shí)別提供信息來(lái)源和依據(jù)。

（3）規(guī)劃識(shí)別服務(wù)器

這是DPDE重要的組成部分，通過(guò)基于特征信息的入侵規(guī)則匹配檢測(cè)攻擊者的攻擊行為，并結(jié)合規(guī)劃的支持程度來(lái)識(shí)別后續(xù)的攻擊意圖。

（4）管理決策控制臺(tái)

為DPDE識(shí)別出當(dāng)前攻擊行為以及預(yù)測(cè)到下一步攻擊規(guī)劃提供防御手段的安全中心，防御手段包括是否報(bào)警、是否切斷網(wǎng)絡(luò)連接等響應(yīng)策略。

2.2 分布式預(yù)先決策引擎工作流程

分布式、智能化的預(yù)先決策引擎是WIPS的核心組件，圖1說(shuō)明了該引擎的總體工作流程。

圖1 結(jié)合DPDE的WIPS工作流程

結(jié)合DPDE引擎的WIPS工作流程為：通過(guò)設(shè)置分布式的無(wú)線數(shù)據(jù)捕獲器，監(jiān)聽I(yíng)EEE 802.11標(biāo)準(zhǔn)的14個(gè)無(wú)線信道，捕獲WLAN內(nèi)的所有無(wú)線數(shù)據(jù)包，并收集所有合法AP和非法AP的相關(guān)信息。對(duì)于捕獲到的數(shù)據(jù)包訪問(wèn)行為，結(jié)合無(wú)線設(shè)備信息進(jìn)行基于Snort-Wireless擴(kuò)展規(guī)則的匹配，檢測(cè)已知的攻擊類型。在檢測(cè)攻擊行為的同時(shí)，在已有規(guī)劃集合的基礎(chǔ)上，結(jié)合規(guī)劃的支持程度對(duì)攻擊者的最終規(guī)劃進(jìn)行預(yù)測(cè)。預(yù)測(cè)出攻擊意圖后，DPDE能提供主動(dòng)的防御響應(yīng)，包括設(shè)置報(bào)警類別、自動(dòng)切斷連接和保存網(wǎng)絡(luò)日志等。

3 分布式預(yù)先決策引擎的實(shí)現(xiàn)

3.1 規(guī)劃識(shí)別方法的引入

規(guī)劃識(shí)別是指根據(jù)觀察到的片段、瑣碎的現(xiàn)象，推斷出具有合理的因果聯(lián)系的完整而全面的規(guī)劃描述的過(guò)程[7]。

在無(wú)線入侵防御系統(tǒng)中引入規(guī)劃識(shí)別方法，可以預(yù)測(cè)攻擊者的下一步行為和最終攻擊意圖，從而減少漏警的發(fā)生，并可以提前采取決策行動(dòng)避免后續(xù)的攻擊或破壞。

由于無(wú)線網(wǎng)絡(luò)自身具有的特殊性，識(shí)別出攻擊者的真正意圖并不容易，如WIPS檢測(cè)到一次和Deauthentication Flood攻擊規(guī)則相匹配的行為，該攻擊除了是攻擊者發(fā)動(dòng)DoS拒絕服務(wù)攻擊之外，還有可能是以下兩個(gè)攻擊意圖：

·最終實(shí)施MAC欺騙攻擊，目的是使非法主機(jī)登錄到合法AP；

·最終實(shí)施Evil Twin攻擊，目的是欺騙客戶端登錄到偽裝AP，從而竊取機(jī)密信息。

首先，假設(shè)攻擊者只是利用Deauthentication Flood攻擊實(shí)施DoS攻擊，使得客戶主機(jī)不能正常登錄AP。如果知道了這一規(guī)劃，DPDE就能預(yù)測(cè)到攻擊者的下一步行動(dòng)將會(huì)繼續(xù)發(fā)送Deauthentication數(shù)據(jù)包。

如果攻擊者是為了發(fā)起MAC Spoofing攻擊，主要目的是冒充合法主機(jī)登錄AP，則后續(xù)會(huì)看到似乎從這臺(tái)主機(jī)發(fā)出的數(shù)據(jù)包，但數(shù)據(jù)包幀的序列號(hào)間隙明顯要大于1，這樣就可以判斷攻擊者的意圖是MAC Spoofing攻擊。

如果攻擊者利用Deauthentication Flood是為了實(shí)施Evil Twin攻擊，主要目的是將自身電腦偽裝成合法AP騙取客戶主機(jī)登錄，這時(shí)DPDE能預(yù)測(cè)到攻擊者的Flood攻擊將停止，而看起來(lái)“似乎”是合法AP和客戶主機(jī)之間的連接被建立，但會(huì)發(fā)現(xiàn)接入點(diǎn)工作頻道與合法AP的頻道不同，這樣就能識(shí)別出這是一次Evil Twin攻擊。

從這個(gè)例子可以看出，雖然報(bào)告的行為都是Deauthentication Flood攻擊，但攻擊者的攻擊規(guī)劃卻完全不同，判斷出攻擊者的規(guī)劃是DoS、MAC Spoofing還是Evil Twin攻擊，對(duì)于預(yù)測(cè)攻擊者的下一步行動(dòng)以及作出正確的響應(yīng)非常重要。

3.2 規(guī)劃支持程度的描述

從上述例子可以看到，對(duì)于觀察到的相同動(dòng)作可能會(huì)有不同的規(guī)劃，這就要求無(wú)線入侵防御系統(tǒng)能識(shí)別出攻擊者的真正意圖，DPDE利用了規(guī)劃的支持程度來(lái)達(dá)到這一目的。支持程度是指當(dāng)某一規(guī)劃發(fā)生時(shí)另一規(guī)劃出現(xiàn)的可能性，將支持程度引入到DPDE，不僅可以更加準(zhǔn)確地預(yù)測(cè)到最接近攻擊者真實(shí)意圖的規(guī)劃，同時(shí)還能有效地降低虛警的出現(xiàn)。

在DPDE中主要結(jié)合了無(wú)線設(shè)備信息來(lái)描述規(guī)劃的支持程度，這些信息被組織到Hash表結(jié)構(gòu)中[8]，主要包括AP接入點(diǎn)的SSID、MAC地址、工作頻道、信號(hào)強(qiáng)度、是否加密及加密方式等信息。例如，一個(gè)MAC地址為00-19-E0-E3-88-4C、工作頻道為6、信號(hào)強(qiáng)度為38%、采用WEP加密方式的TP-Link無(wú)線AP，其Hash表結(jié)構(gòu)如圖2所示。

圖2 無(wú)線AP節(jié)點(diǎn)的Hash表結(jié)構(gòu)

無(wú)線入侵防御的規(guī)劃支持程度通過(guò)在DPDE中融入包含了無(wú)線設(shè)備信息的規(guī)則描述來(lái)實(shí)現(xiàn)。DPDE擴(kuò)展了Snort-Wireless定義的規(guī)則方法，補(bǔ)充了相應(yīng)的無(wú)線設(shè)備信息，可以有效識(shí)別下一步攻擊規(guī)劃并降低虛警。

以下是Snort-Wireless規(guī)則的表達(dá)式：

wifi()

The paper is written in a good language, the logic is clear and the subject and results are discussed graphically and meaningfully.

Snort-Wireless專門定義了“wifi”字段對(duì)無(wú)線數(shù)據(jù)包進(jìn)行檢測(cè)，其中的規(guī)則選項(xiàng)（rule options）包括 frame_control、type、stype和ssid等，但是缺少對(duì)無(wú)線AP信息更為完整的描述，DPDE擴(kuò)展的主要規(guī)則選項(xiàng)和語(yǔ)法格式見表1[9]。

在表1中，我們?cè)黾恿嗣枋鯝P工作頻道的channel選項(xiàng)、描述信號(hào)強(qiáng)度的signal選項(xiàng)、描述是否設(shè)置加密方式的encryption選項(xiàng)以及是否支持注入攻擊的injection選項(xiàng)等信息。

表1 DPDE擴(kuò)展的規(guī)則選項(xiàng)

假設(shè)攻擊者利用Deauthentication Flood攻擊是作為Evil Twin攻擊的一部分，則DPDE匹配下面的擴(kuò)展規(guī)則給出警告：

規(guī)則中“Channel:!”代表和合法AP不同的工作頻道。

3.3 規(guī)劃識(shí)別算法的改進(jìn)

Kautz[7]把規(guī)劃識(shí)別中的規(guī)劃表示為一個(gè)層次結(jié)構(gòu)，主要有兩類表達(dá)式：抽象和分解。抽象表達(dá)式說(shuō)明的是事件間的IS-A關(guān)系，例如Deauth攻擊抽象于DoS攻擊。分解表達(dá)式用來(lái)說(shuō)明一個(gè)事件是由幾個(gè)子事件所構(gòu)成，例如Evil Twin攻擊可以分解為3個(gè)子規(guī)劃：Deauth攻擊、偽裝AP和關(guān)聯(lián)。

圖3描述了無(wú)線局域網(wǎng)可能存在的攻擊規(guī)劃的具體實(shí)例，包括 DoS攻擊、MAC Spoofing、Evil Twin攻擊、WEP破解和WPA破解等。

DoS和Evil Twin規(guī)劃用一階邏輯可以分別表示為：

在上述表達(dá)式中，s1、s2和s3是步驟函數(shù)，表明規(guī)劃整體和部分之間的映射關(guān)系[10]。

如果DPDE檢測(cè)到Deauth-Flood，那么可能的規(guī)劃至少有3種：

圖3 無(wú)線攻擊的一個(gè)分層規(guī)劃

如果檢測(cè)到的事件序列為：

那么DPDE將預(yù)測(cè)到攻擊者的意圖是Evil Twin攻擊，并且攻擊者的下一步規(guī)劃將是Association。獲知這一真正的攻擊意圖后，DPDE將會(huì)發(fā)送斷開連接的數(shù)據(jù)包阻斷攻擊者，達(dá)到主動(dòng)防御的目的。

如果檢測(cè)到下列的事件序列：

這個(gè)序列說(shuō)明了攻擊者很有可能既在進(jìn)行DoS攻擊，也在實(shí)施Evin Twin攻擊。

Geib和Goldman提出了一種推導(dǎo)規(guī)劃識(shí)別的模型[11]，該模型主要針對(duì)有線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，應(yīng)用到無(wú)線局域網(wǎng)會(huì)產(chǎn)生較多的虛警。我們對(duì)該模型進(jìn)行了改進(jìn)，將無(wú)線入侵規(guī)劃描述為如圖3所示的規(guī)劃知識(shí)圖的形式[10]，并在規(guī)劃推導(dǎo)過(guò)程中加入無(wú)線設(shè)備信息及規(guī)劃支持程度。

圖4描述了改進(jìn)的后續(xù)規(guī)劃集的生成過(guò)程，在DPDE中結(jié)合無(wú)線設(shè)備信息，并利用規(guī)劃支持程度來(lái)產(chǎn)生后續(xù)規(guī)劃集。

圖4 改進(jìn)的后續(xù)規(guī)劃集的生成過(guò)程

結(jié)合無(wú)線設(shè)備信息的支持程度可以有效縮小擴(kuò)展集的范圍，預(yù)測(cè)最接近攻擊意圖的規(guī)劃。圖中di1和di2分別表示事件1和事件2所針對(duì)無(wú)線設(shè)備的信息，sd1和sd2分別表示事件1和事件2發(fā)生后為推導(dǎo)下一個(gè)規(guī)劃集的支持程度[12]。

結(jié)合無(wú)線設(shè)備信息的支持程度可以優(yōu)化后續(xù)規(guī)劃集的生成過(guò)程，當(dāng)檢測(cè)到某一攻擊事件后，只有符合當(dāng)前無(wú)線網(wǎng)絡(luò)環(huán)境的攻擊規(guī)劃才會(huì)被列入下一規(guī)劃集中，當(dāng)檢測(cè)到后續(xù)事件后，后續(xù)規(guī)劃集將逐漸縮小，最后會(huì)推導(dǎo)出一個(gè)最終規(guī)劃，也就是最接近攻擊者真正意圖的規(guī)劃。

另外，結(jié)合了無(wú)線設(shè)備信息的DPDE可以大大減少虛警。如上文所述，當(dāng)DPDE預(yù)測(cè)出數(shù)據(jù)包行為可能是WEP密鑰破解攻擊時(shí)，如果相應(yīng)AP設(shè)備信息的加密驗(yàn)證方式不是WEP，而是WPA驗(yàn)證，則完全不需要報(bào)警，因此利用無(wú)線設(shè)備信息有效提高了入侵防御系統(tǒng)的性能。

3.4 規(guī)劃識(shí)別過(guò)程的實(shí)現(xiàn)

在DPDE系統(tǒng)中，當(dāng)捕獲到一個(gè)無(wú)線網(wǎng)絡(luò)數(shù)據(jù)包后，按圖5所示的過(guò)程工作，虛線框內(nèi)為改進(jìn)后的DPDE引擎完成的工作。

從圖中可以看出，只有當(dāng)與數(shù)據(jù)包W相關(guān)的無(wú)線設(shè)備信息與規(guī)則相匹配時(shí)，才會(huì)選取相應(yīng)的規(guī)則子集，同時(shí)只有當(dāng)相應(yīng)AP的信息與規(guī)劃pn中的描述相一致時(shí)，檢測(cè)引擎才做W與pn的進(jìn)一步模式匹配，從而生成后續(xù)的規(guī)劃集，直到識(shí)別出最終規(guī)劃，最后，DPDE向控制臺(tái)產(chǎn)生警報(bào)并提供防御措施。

4 系統(tǒng)開發(fā)與測(cè)試

本文利用Java語(yǔ)言，在開源Snort-Wireless工具的基礎(chǔ)上，擴(kuò)展相應(yīng)的無(wú)線檢測(cè)規(guī)則，引入無(wú)線設(shè)備信息和規(guī)劃支持程度，開發(fā)實(shí)現(xiàn)了結(jié)合DPDE引擎的WIPS原型系統(tǒng)。

該原型系統(tǒng)通過(guò)Socket編程實(shí)現(xiàn)分布式主機(jī)間的通信，主要功能包括分布式檢測(cè)主機(jī)配置、無(wú)線設(shè)備信息采集、入侵規(guī)則定義、規(guī)劃支持程度生成、遠(yuǎn)程控制臺(tái)管理和報(bào)警結(jié)果分析統(tǒng)計(jì)等。

圖5 DPDE的檢測(cè)識(shí)別過(guò)程

為了測(cè)試系統(tǒng)的檢測(cè)和防御功能，利用目前無(wú)線安全領(lǐng)域常用的攻擊平臺(tái)BackTrack等工具作為主要攻擊手段，選取了無(wú)線網(wǎng)絡(luò)安全中具有代表性的War Driving（Network Stumbler 掃 描 ）、DoS Attack、Rogue AP、MAC Spoofing、Misconfigured AP、Evil Twin、ARP 注入式 WEP 破解和碎片注入式WEP破解等共8類攻擊方式，隨機(jī)挑選攻擊組合作為具體的攻擊數(shù)據(jù)源，然后將DPDE原型系統(tǒng)和Snort-Wireless部署在相同的無(wú)線區(qū)域，比較它們的檢測(cè)結(jié)果。

主要測(cè)試環(huán)境為：部署的合法AP型號(hào)為L(zhǎng)inksys WRH54G，非法AP型號(hào)為NETGEAR DG834GT，攻擊筆記本為Compaq Presario B1900，其無(wú)線網(wǎng)卡是Broadcom 802.11b/g的芯片，支持WEP破解中ARP Request等各種注入攻擊，該筆記本安裝BackTrack 4 Pre進(jìn)行無(wú)線攻擊。

測(cè)試分為兩個(gè)部分：

·測(cè)試DPDE原型系統(tǒng)是否準(zhǔn)確識(shí)別入侵規(guī)劃，從而減少漏警；

·測(cè)試DPDE原型系統(tǒng)是否減少虛警數(shù)量，提高檢測(cè)性能。

具體測(cè)試結(jié)果如下。

（1）在無(wú)線局域網(wǎng)流量充足的情況下，DPDE原型系統(tǒng)能檢測(cè)出上述全部8類攻擊行為，而Snort-Wireless只能檢測(cè)出其中的War Driving、DoS、Rogue AP和 MAC Spoofing這4類攻擊，見表2。

表2 DPDE原型系統(tǒng)和Snort-Wireless的識(shí)別結(jié)果對(duì)比

（2）擴(kuò)充Snort-Wireless的規(guī)則，使其也能識(shí)別所有8類攻擊方式，但在規(guī)則中不引入無(wú)線設(shè)備信息，隨機(jī)挑選攻擊組合再次進(jìn)行測(cè)試，測(cè)試結(jié)果表明Snort-Wireless產(chǎn)生了共56次報(bào)警，而DPDE原型系統(tǒng)只產(chǎn)生了32次報(bào)警，減少的報(bào)警均為針對(duì)特定AP的虛假警報(bào)，警報(bào)減少的比例達(dá)42.9%。測(cè)試表明，DPDE原型系統(tǒng)有效降低了虛警的產(chǎn)生，提高了WIPS的檢測(cè)性能。

5 結(jié)束語(yǔ)

無(wú)線局域網(wǎng)入侵防御系統(tǒng)是保障無(wú)線網(wǎng)絡(luò)安全的一個(gè)重要技術(shù)，如何有效地提高WIPS的檢測(cè)和防御性能，是當(dāng)前無(wú)線網(wǎng)絡(luò)安全研究的熱點(diǎn)。

本文針對(duì)常見的WLAN攻擊方式，應(yīng)用“云安全”技術(shù)中分布式計(jì)算的理念，結(jié)合人工智能的規(guī)劃識(shí)別方法，設(shè)計(jì)了一個(gè)分布式無(wú)線入侵防御系統(tǒng)的預(yù)先決策引擎（DPDE）。DPDE引擎采集無(wú)線設(shè)備信息，引入規(guī)劃支持程度，對(duì)Snort-Wireless中的檢測(cè)規(guī)則進(jìn)行擴(kuò)展，能預(yù)先進(jìn)行決策，并識(shí)別最終規(guī)劃。實(shí)驗(yàn)結(jié)果表明，DPDE能夠有效地識(shí)別目前主要的無(wú)線攻擊方式，并且降低了漏警和虛警的產(chǎn)生可能。

對(duì)于未知的無(wú)線攻擊手段，DPDE尚不能有效識(shí)別，在今后工作中，將進(jìn)一步研究無(wú)線入侵防御系統(tǒng)的自學(xué)習(xí)能力，這也是智能WIPS的未來(lái)發(fā)展趨勢(shì)。

1 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC).第25次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告，http://www.cnnic.cn/html/Dir/2010/01/15/5767.htm,2010

2 Ken Hutchison.Wireless intrusion detection systems，http://www.sans.org/rr/whitepapers/wireless/,2005

3 楊哲.無(wú)線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn).北京:電子工業(yè)出版社,2008

4 吳海燕,蔣東興,程志銳.入侵防御系統(tǒng)研究.計(jì)算機(jī)工程與設(shè)計(jì),2007,28(24):5844～5846

5 李慶超,邵志清.無(wú)線網(wǎng)絡(luò)的安全架構(gòu)與入侵檢測(cè)的研究.計(jì)算機(jī)工程,2005,31(3):143～145

6 Wen-Chuan Hsieh, Chi-Chun Lo, Jing-Chi Lee. The implementation of a proactive wireless intrusion detection system.In:The Fourth International Conference on Computer and Information Technology,Wuhan,China,2004

7 Henry Kautz.A formal theory of plan recognition.Rochester:University of Rochester,1987

8 龍小飛,馮雁,王瑞杰.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)預(yù)先決策檢測(cè)引擎研究.浙江大學(xué)學(xué)報(bào)(工學(xué)版),2006,10(40):1701～1704

9 Guanlin Chen,Hui Yao,Zebing Wang.An intelligent WLAN intrusion prevention system based on signature detection and plan recognition.In:Proceedings of the Second International Conference on Future Networks(ICFN 2010),Sanya,2010

10 姜云飛,馬寧.一種基于規(guī)劃知識(shí)圖的規(guī)劃識(shí)別算法.軟件學(xué)報(bào),2002,4(13):686～692

11 Goldman R P，Geib C W.Plan recognition in intrusion detection systems.In:Proceedings of DARPA Information Survivability Conference and Exposition(DISCEX),Anaheim,2001

12 陳觀林,王澤兵,馮雁.智能化網(wǎng)絡(luò)入侵檢測(cè)模型的研究.計(jì)算機(jī)工程與應(yīng)用,2005,41(16):146～149

Research of Distributed Pre-Decision Engine in Wireless Intrusion Prevention Systems

Chen Guanlin1,2,Feng Yan2,Wang Zebing1
(1.School of Computer and Computing Science,Zhejiang University City College,Hangzhou 310015，China；2.College of Computer Science,Zhejiang University,Hangzhou 310027，China)

Nowadays wireless intrusion prevention systems have become the research hotspot with the fast development of WLAN.In this paper,we first introduce the common attack methods for WLAN,and then present the framework of the wireless IPS with a distributed pre-decision engine,which can predict the future actions and direct active responses to these actions.We implement an improved model with extended detection rules for conducting intrusion plan and making pre-decision，by gathering wireless device information and importing supporting degree of intrusion plan in plan recognition.Experimental results showed that the distributed pre-decision engine can not only improve wireless intrusion detection and prevention performance,also reduce false negatives and false positives evidently.

intrusion prevention system,plan recognition,detection rule,network security

2010－07－28）