无线网络的分布式入侵检测模型研究
无线局域网中的入侵检测系统研究
⑥ 2 0 S iT e . n n . 0 6 c. e h E g g
无线局域 网中的入侵检测系统研究
黎 喜权 李 肯 立 李 仁 发
( 南 大 学 软 件 学 院 , 算 机 与 通 讯 学 院 长 沙 4 0 8 ) 湖 计 , 10 2
摘
要
入 侵 检 测 系统 对 于保 障无 线 局域 网 ( A 的安 全 十分 重 要 。在 深 入分 析 当 前WL N 全问 题 中 面 临的 主要 问题 后 . WL N) A 安 针
向 : 络安全。 网
系 统 平 台上 使 用 的 Wadi n rr ig软 件 ,如 B D 系 统 v S
标 发 起 。 目前 对 无 线 局 域 网 络 已知 的攻 击 有I 4 l】 一:
嵌 入 式 攻 击 、未 经 授 权 的 无 线 传 输 拦 截 与 监 控 、
人 为 干 扰 、c e t t— l n l n—o c e t攻 击 、 i i 对无 线 存 取 点 密
目前 无 线 网络 安 全 方 面 的研 究 , 主要 集 中在 利 用 加 密 、认 证 等 技 术来 加 强 无 线 网络 协 议 的安 全 性 , 免 可 能 的攻 击 行 为 。无线 网络 安 全 单 纯依 靠 避
展到 主动 的 干涉 。无 线 网络 没有 一个 清 晰的安 全边 界, 网络 中的 任一 节 点都 有 可 能 受 到 间接或 直接 的
攻 击 。
1 WL AN中 的安全 问题及 无线入侵 检测 系
统现 状
无 线 网络 更 容 易 遭 受 到 攻 击 .黑 客 攻 击 无 线
网络 不 像 攻 击 有 线 网络 一 样 必 须 获 得 有 线 网络 的 物 理 通 路 ,或 者 要 通 过 受 防 火 墙 和 网 关 保 护 的边 界 ;而 攻 击 无 线 网 络 可 以 从 任 何 一 个 WL N 的 A A P发 射 频 率 能 及 的 结 点 上 , 向整 个 WL N 或 目 A
分布式无线网络入侵检测系统的设计与实现
0 引 言
随 着无 线 网 络 技 术 发 展 , 线 局 域 网 ( rls 无 Wi es e
L cl raN tok WL N) 各 方 面 得 到 了 广 泛 的 oa A e e r , A 在 w
从 网络 中的若 干个 关键 点 不 问断地 收集 信息 , 分 析 并 这些 信息 , 中发现 网络或 系统 中是 否有 违反安 全 策 从
罗 雪 萍 刘 浩
(. 1解放 军 6 2 0部队 , 93 新疆 鸟 苏 8 30 3 20;2 新疆 医科 大学 医学工程技术 学院, 疆 乌鲁木 齐 8 0 1 ) . 新 30 1
摘 要 : 对 无 线 局 域 网的 特 点 , 用 分 布 式 系统 的 分 布 式检 测 、 中管 理 和 数 据 保 护 范 围 大的 优 点 , 计 一 种 分布 式 无 线 针 利 集 设 网络 入 侵 检 测模 型 。 该模 型 采 用 模 块 化 设 计 和 标 准 的 A I使 得 系统 的 易部 署 性 、 用性 及 可 扩展 性 得 到 保 证 。 P, 可 关 键 词 : 侵 检 测 ;无 线 局 域 网 ;分 布 式 入 中 图分 类 号 :P 9 . 8 T 33 0 文 献标 识 码 : A d i 0 3 6 /. s.0 62 7 .0 2 0 .4 o:1 .99 ji n 10 — 5 2 1 .7 0 3 s 4
LUO Xue p n ,L U o .ig I Ha
(. h 93 n o L , su 300 Cia 2 col ei l niergadTcnl y X M Um  ̄801, h a 1 Te62oA 珂 f A Wuh 30 , h ; .Sho o M d a E g e n n eho g , J U, rr 301 C i ) P 8 n f c n i o n
基于Snort-wireless的分布式入侵检测系统研究与设计
■ d i1 .9 9 s n1 7 — 1 22 1 2 0 6 o : 03 6  ̄i 6 1 1 2 0 2 0 0 s
分布式入侵检测 系统研究与设计
黄俊 强 ,方舟 ,王希忠
( 黑龙 江 省 电子 信 息 产 品 监 督 检 验 院 ,黑 龙 江哈 尔滨 1 0 9 5 0 0)
Ba e n S r . r l s s d o no twi e e s
HUANG u — in , ANG h u W ANG —h n J n qa g F Z o, Xi o g z
( L P o i e l t n &I om t n rd c Sp rio Is et n nt t Hab He og a g10 9 , h a) H l rv c Ee r i n r ai P o u t u ev i n c o I i e ri i nf n 5 0 0 C / n co c f o s sn p i s t , u n l i n
中图 分类 号 :T 330 文献 标识 码 :A 文 章编 号 :1 7— 12( 02 2 02 — 4 P9. 8 6 1 12 2 1 )0 —0 3 0
R e e r h a sg fDit i t d nt uso t c i n S t m s a c nd De i n o srbu e I r i n De e to yse
i ul o pe o r e r nd e s o e p nd s f l fo n s u c ,fee a a y t x a ,de e o e o to e r y u i v l p d c n r lc nte b sng VC++ a e lz d s c r nd r ai e e u e
分布式入侵检测系统在校园网中的应用研究
预 处 理 器把 分 片 的 数 据 包 进 行 重 组 , p s a 2 处 理 器 用 来 检 测 端 口扫 描 , o tc n 预 r AR s o f 处 理 器 可 以 检 i ARP 常 流 P p o预  ̄ J l 异 量 。 络 流 量 经 过 预 处 理 后 才 会 发 送 到 主 网 检 测 引 擎 , 测 引 擎 主 要 任 务 是 规 则 建 立 检
l i 2 圆
— 。 i 。
信息技术
分布式入侵检测 系统在校 园 网中的应用研 究
田 关 伟 ( 四川 民族 学院 四川康 定 6 6 0 ) 2 0 1
摘 要 : 侵检 测是保 障网络信 息安 全的一种 重要技 术 , 入 本文分 析 了开 源软 件sot n r ̄工作原理及 分布式体 秉, 并研 究 了在校 园 网中合理 的 部署s o t 布 式入 侵检 测 系统 。 n r分 关键 词 : 分布式 s ot 入侵捡 测 校 园网 nr 中 图分 类 号 : P 9 T 33 文 献标 识 码 : A 文章 编 号 : 6 2 3 9 ( 0 10 ( ) 0 0 — 2 1 7 - 7 12 1 ) 8b 一 0 8 0
个 重 要 手 段 , 防火 墙 功 能 有 限 , 能 够 但 不 卡通、 科研 协 作 、 公 自动 化 、 学 管 理 、 办 教 档 防 范 经 由 网 络 内 部 的 攻 击 及 数 据 驱 动 式 的 案 管理 、 书管 理 、 舍 管 理 等 信 息 管 理 系 图 宿 攻击 , 因此需 要采 用入侵检测 系统等 新的 统 在 校 园 网 中 的 构 建 , 高 校 日常 工 作 和 网 络 安 全 技 术 。 给
无线网络的分布式入侵检测模型研究
引言 由于 i tr e n en t已经 深入 到每 一个 人 的 生活 中 , 信 息安 全 问 其 题 就 关系 到每 一 个使 用 它 的人 , 网络信 息 安全 技术 就 成为 一个 重 要 的攻 关 课题 , 无线 网络作 为有 线 网络 的延 伸 ,由于 它 的便捷 性 , 已经在 生 活 中 占据很 大 的份额 , 由于无 线 网络 是使 用射 频 发射 信 号 ,所 以很容 易 受到 攻击 ,如果 非 法用 户攻 破 了系 统 的防 火墙 , 就 可 以伪 装成 合法 的节 点 ,对 系 统进 行 攻击 ,所 以只 依靠 传统 的 加密 技 术和 防 火墙 技 术很 难对 无 线 网络 的安 全起 到 完 善的 保障 作 用 ,一 种 既能 检测 内部恶 意攻 击 又 能检 测外 部破 坏 行 为的 分布 式 入侵 检 测 系统 就在 无 线 网络 的安 全 中得 到广 泛应 用 。分 布 式入 侵 检测 系 统 是通 过采 集无 线 网络 系 统 中 的信 息 , 并分 析其 行 为是 否 为合 法 行 为 ,来判 断其 是 否遭 到 非法 攻击 ,来做 出响应 ,但 这 种 无线 网络 的分 布式 入侵 检 测系 统 还有 待进 一 步完 善 ,在 技术 上 有 待 改进 。 二 、无 线 网络 的 安全 问题 由于无 线 网络 是 开放 的 ,没有 确 切 的边 界 ,无法 集 中监 视和 管理 ,因此 它 受到 的攻 击 来 自四面八 方 ,每个 节 点都 可 能受 到 攻 击 ,因此 带 来 了如 下 的安全 威胁 。 1无 线 网络 和 有线 网络只 是在 传 输方 式上 存 在差 异 , 因此所 . 有有 线 网络 存在 的安全 威胁 和 隐患 在无 线 网络 中 都存在 , 病 毒、 如 木 马 、漏洞 利用 、 扫描 攻 击及 拒绝 服 务等 都会 在 无 线网 络 中出现 ; 2 像 包括 恶 意 的媒体 访 问控 制 (A ) 址伪 装 这些 攻击 方 式 ,都 . Mc 地 是针 对 I E8 2 1 E E0 . 1网络 采用 的有 线 等效 保密 协 议 (E) W P 存在 的漏 洞 进 行破 解 攻击 的 , 无线 网络 中也会 大 量使 用 ; . 冒 A 在 3假 P非授 权 接 入, 欺骗 合法 用 户 ,对于 含 A P模 式 ,攻 击者 只 要接 入非 授权 的假 冒 A ,就 可登 录欺 骗 合法 用户 ;4 网络 窃 听 、密 码 破解 , P . 易 被 篡 改和 插 入 ;5拒 绝 服务 攻击 (o) . D S 和干 扰 ,攻 击者 可 能对 A P 进 行泛 洪 攻击 , A 使 P拒 绝服 务 ,此外 , 移 动 自组 网模 式 内的某 对 个 节 点进 行攻 击 ,让 它不 停 地提 供 服 务或进 行 数据 包 转发 ,使 其 能源耗 尽 而 不能 继续 工作 ( 常称 为能源 消耗攻 击 ) . 有 的探 通 ;6现 测 和扫 描 工 具使 非法 接入 网络非 常 方便 。 由于 无 线 网络存 在这 些 安 全 问题 ,我 们就 要 引入 相 应 的安全 保 障措 施 ,其 中,分 布式 的 入 侵 检 测 系 统 就 能 很 好 的 解 决我 们 在 无 线 网络 中遇 到 的安 全 问 题 ,保 障 我们 无线 网络 安 全 的正 常工 作 。
基于Snort的分布式网络入侵协同检测系统的研究及实现的开题报告
基于Snort的分布式网络入侵协同检测系统的研究及实现的开题报告一、研究背景随着计算机技术的不断发展,网络安全问题逐渐引起人们的关注。
网络入侵已经成为网络安全领域最重要和最严重的问题之一。
为解决网络入侵问题,人们开发了许多入侵检测系统,其中基于网络的入侵检测系统已经成为主流。
目前主流网络入侵检测系统是基于Snort的入侵检测系统。
但是,由于Snort单点检测能力有限,为了提高入侵检测的可靠性和准确性,需要建立分布式入侵检测系统。
分布式入侵检测系统可以汇聚全网信息,能够更加准确地分析和检测网络入侵。
因此,基于Snort的分布式网络入侵协同检测系统的研究具有重要的意义。
二、研究内容1.对现有网络入侵检测系统的总体架构进行分析和评估,特别是针对Snort的入侵检测系统。
2.研究分布式网络入侵检测系统的设计和实现方法,探索基于Snort 的分布式网络入侵协同检测系统的新型架构。
3.设计实现分布式Snort传感器,探究Snort在分布式环境下的协同检测方法。
4.利用分布式系统中的数据交换、负载均衡和数据处理等技术优化分布式Snort传感器的协同检测性能。
5.通过实验对分布式Snort系统的性能、安全性、可扩展性进行评估。
三、研究意义本研究将基于Snort的入侵检测系统进行改进和升级,开发出一套分布式网络入侵协同检测系统,提高了网络安全的防御能力和应对能力。
同时,本研究还将从数据交换、负载均衡和数据处理等方面对分布式入侵检测系统进行优化,提高系统的可靠性、实用性和效率。
四、研究方法本研究采用文献研究、实验研究、算法设计、软件设计等方法来完成。
1.通过系统地梳理相关文献,分析现有的入侵检测系统,比较分析不同系统的优缺点,准确把握分布式网络入侵协同检测系统的研究方向和发展方向。
2.设计分布式Snort系统的体系结构和算法,利用Java语言编写分布式Snort传感器,并进一步探究分布式Snort传感器在分布式环境下的协同检测方法。
分布式入侵检测系统模型研究
作者简介: 李 ̄(94 ) 重庆市 人, 17 -, 女, 在读 博士研究生, 主要研 究方 向: 网络安全 , 网格计算; 韩起 ̄(9 S ) , 17 一, 河南 人,』 女 _ 【 ? J
教 , 要 研 究 方 向: 理 信 息 系统 , 络 安 全 主 管 网
-
3 ・ 8
维普资讯
Ma y, 2 06 0
分布式入侵检测系统模型研究
李 静 . 起 云 韩
( 雨庆教 育学院 计算机 与现代教 育技术系 , 重庆 4 0 6 ) 0 0 7
摘妻: 为适 应 高 速 网 络 的 发 展 , 侵 检 测 系 统 从 传 统 架 构 向分 布 武 浆 构 的 转 换 势 在 必 行 。 析 构 建 了 一个 分 布 入 分 武 I S框 架模 型 , 论 了用 数 据 融合 提 取 的方 法 , 大 量 松 散 数 据 内聚 , 评 估 计 算 机 网络 的安 奎 , 用数 据 缩 减 的 D 讨 将 来 并 方 法来 提 高 控 制 中心 的处 理 效 率 。
是 大势所 趋 。 在分 布式 I S中 。传 感器 部署 在 需保护 的每 台 D
处 理 、关 联 和对 网络对 象作 出反 应 的时问 快于对 象
到达 目标 的时问 。这 一结构 表 明传感 器 网络必须 是 带外( 即独 立于 数据 网络 ) , 的 如图实线 所示 , 它必须 比被 监督 的 网络 快 。 这 一结 构 中 . 个 带 外 的 在 一 网络 收集传 感器 信息 并发 布指令 给过 滤器 、防火墙
网络对 象用 1 到达 目标 .那 I S的决策处 理必 须 秒 D
小 于 1 。 言 之 , 踪辨识 系 统必须 使感 知 、 输 、 秒 换 跟 传
浅谈分布式入侵检测系统模型设计
c t o en m e f e t d r s n ir i ee c e e e l t a a a tdt te c n mi d v lp n n l i r r e n i t u b r w s n ad damao f rn e t nt dc e , d pe o o c e eo me t da ot i sh on a a d b we h o r r i i oh e a s o
科学之友
Fi d f c ne m tus r n i c ae r e oS e A
2 1 年 0 月 (2) 00 4 1
浅谈分布式入侵检测 系统模型设计
赵金 考 ,吕润桃
( 包头轻工职业技术学 院,内蒙古 包头 0 4 3 ) 10 5 摘 要 :文章首先提 出了一个 旨在提 高分布式入侵检测 系统的扩 充性和适应性的设计模 型 ,然后分析本模型的特 点,最后对模 型的 3个组成部 分给 出简要的描述。
关键 词 :分 布 式 入 侵检 测 系统 ;模 型 设 计 中图分类号:T 3 3 8 文献标识码:A 文章编号:10 —83 2 1 2 16 0 P 9. 0 0 0 16( 00)1 —0 0 — 2
1 分布 式入侵 检测 系统 的基 本结构
尽管一个大型分布式入侵检测 系统非常复杂 ,涉及各种算 法和结构设计 ,但是如果仔细分析各种现存 的入侵检测系统的 结构模型 ,可以抽象 出下面一个简单的基本模型 。这个基本模 型描述了入侵检测系统 的基本轮廓和功能。该模型基本结构主 要由3 部分构成 :探测部分 、分析部分和响应部分。 探测部分相 当于一个传感 器 ,它的数据源是操作系统产生 的审计文件 或者是直接来 自网络的网络流量 。分析部分利用探 测部分提供 的信息 ,探测攻击。探测攻击时 ,使用的探测模型 是异常探测 和攻击探测。响应 部分采取相应 的措施对攻击源进 行处理 ,这里通常使 用的技术是防火墙技术 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无线网络的分布式入侵检测模型研究摘要:对无线网络安全方面的问题和无线网络的特点进行了概述,分析了无线网络的入侵检测模型进行了分析,提出了一个分分布式的无线网络入侵检测系统模型,并给出了具体的拓扑结构设计,通过实验,证明这个入侵检测系统的设计和实现具有很好的安全性,其安全保障具有一定的实用性,值得推广。
关键词:无线网络;分布式;入侵检测;检测代理;中心控制台wireless network distributed intrusion detection model studyluo zhuojun,ouyang weihao(hunan mass media vocational technicalcollege,changsha410100,china)abstract:the problem of wireless network security and wireless networking features an overview of wireless network intrusion detection model,a sub-distributed wireless network intrusion detection system,and given the specific topology design,an experiment to prove that the intrusion detection system design and implementation with good security,the security has a certain practicality, and worthy of promotion. keywords:wireless networks;distributed;intrusion detection;detection agents;center console一、引言由于internet已经深入到每一个人的生活中,其信息安全问题就关系到每一个使用它的人,网络信息安全技术就成为一个重要的攻关课题,无线网络作为有线网络的延伸,由于它的便捷性,已经在生活中占据很大的份额,由于无线网络是使用射频发射信号,所以很容易受到攻击,如果非法用户攻破了系统的防火墙,就可以伪装成合法的节点,对系统进行攻击,所以只依靠传统的加密技术和防火墙技术很难对无线网络的安全起到完善的保障作用,一种既能检测内部恶意攻击又能检测外部破坏行为的分布式入侵检测系统就在无线网络的安全中得到广泛应用。
分布式入侵检测系统是通过采集无线网络系统中的信息,并分析其行为是否为合法行为,来判断其是否遭到非法攻击,来做出响应,但这种无线网络的分布式入侵检测系统还有待进一步完善,在技术上有待改进。
二、无线网络的安全问题由于无线网络是开放的,没有确切的边界,无法集中监视和管理,因此它受到的攻击来自四面八方,每个节点都可能受到攻击,因此带来了如下的安全威胁。
1.无线网络和有线网络只是在传输方式上存在差异,因此所有有线网络存在的安全威胁和隐患在无线网络中都存在,如病毒、木马、漏洞利用、扫描攻击及拒绝服务等都会在无线网络中出现;2.像包括恶意的媒体访问控制(mac)地址伪装这些攻击方式,都是针对ieee802.11网络采用的有线等效保密协议(wep)存在的漏洞进行破解攻击的,在无线网络中也会大量使用;3.假冒ap非授权接入,欺骗合法用户,对于含ap模式,攻击者只要接入非授权的假冒ap,就可登录欺骗合法用户;4.网络窃听、密码破解,易被篡改和插入;5.拒绝服务攻击(dos)和干扰,攻击者可能对ap进行泛洪攻击,使ap拒绝服务,此外,对移动自组网模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作(通常称为能源消耗攻击);6.现有的探测和扫描工具使非法接入网络非常方便。
由于无线网络存在这些安全问题,我们就要引入相应的安全保障措施,其中,分布式的入侵检测系统就能很好的解决我们在无线网络中遇到的安全问题,保障我们无线网络安全的正常工作。
三、无线网络中入侵检测模型的分析入侵检测是指发现非授权用户使用系统或企图使用系统的行为以及发现合法用户滥用其特权行为的过程。
完成入侵检测的系统称为入侵检测系统(ids)。
入侵检测系统自身的各个模块要具有相当好的安全性,他们之间的通信要不可仿冒,也不可破坏,具有安全性,保密性,完整性,在各种网络环境中都具有很好的鲁棒性。
每一个入侵者都会想方设法逃避检测,使用各种伪装技巧,入侵检测系统要具有相当好的入侵检测算法,不会漏报、误报入侵检测数据,真正具有入侵检测能力,能把好入侵检测关,具有很好的防欺骗能力,能捕获每一个非法入侵行为,能给网络的安全使用提供很好的安全保障作用。
按照入侵检测系统处理信息的来源的不同,可将入侵检测系统分为基于网络的入侵检修系统(hids)和侧重于对攻击的事后分析的基于主机的入侵检测系统(nids)。
ids根据数据收集、分析、响应方式的分布又可分为集中式nids和分布式nids。
基于以上的分析,我们提出一种分布式网络入侵检测系统模型,对基础结构模式的wlan进行保护,可以在很大程度上提高wlan的安全性。
四、无线网络的分布式入侵检测模型的理论设计无线网络的入侵检测技术主要有两种方式,一种是基于误用的入侵检测技术,它使用的方法就是对系统遭受入侵和攻击的数据进行统计,对他们的相关知识进行分析,提出特征和模式,然后形成入侵行为数据库,对系统中的行为在数据库中进行对比,看是否在数据库中有此行为,若有就是入侵行为,否则就是非法行为,这个入侵行为数据库根据入侵的行为的变化而不断扩大,以适应外围的变化。
另外一种就是异常入侵检测模型,就是把网络的正常行为都做成一个参考模型,进行量化,并提取相应的特征值,看网络中的行为是否符合这些参数,如不符合,并偏离一定的值,就判定它是非法的,是入侵行为。
我们在这提出的分布式入侵检测系统是基于误用原则的入侵检测系统。
五、无线网络的分布式入侵检测模型的实现根据无线网络的安全保障的需要,根据上面的分析,我们设计了一个由中心控制台和监测代理组成的分布式无线网络入侵监测系统,这个系统具有很强的入侵监测判断能力,误报率很低,效果很好。
中心控制台是由决策响应模块和和管理模块组成,并对监测代理单元进行配置,对监测结果进行智能分析,并判断是否为入侵行为。
中心控制台收到监测代理发来的消息,就发送到决策响应模块,由决策响应模块对发来的信息进行进一步的分析,看他是否是入侵信息,对他的真实身份进行智能分析,以免误报或者漏报,对网络的安全形成不好的影响。
为了提高决策的准确率,在决策响应模块中设置了一个判断机构—投票机,投票机使用的判定规则就是对同一上报来的数据行为,只有当大多数检测代理都判定其为入侵时,并设定一个固定的值,并超过这个设定的固定值时,才认定这种行为是入侵行为,这时,决策代理机构就发出入侵行为的警告消息,各个监测代理就会收到入侵行为的确认消息,说明网络收到入侵行为的干扰,决策代理把收到的入侵行为的信息进行智能化分析,并把各个监测代理的分析结果进行研究,判断,并做出进一步的分析,进一步进行态势评估,从而对整网络区域的安全情况进行评价,做出是否受到入侵的结论。
另外,它还可以对入侵行为进行物理定位,具有响应功能;管理员界面的信息通过决策模块提供的与管理模块进行联系的通信接口进行通信,实现对信息的接受和发送,管理模块可以通过这个通信接口对监测代理进行通信,达到对监测代理的监控作用,对它的行为和状态进行控制。
管理模块功能主要是由进行人机对话,控制管理,入侵信息的数据库更新等组成。
我们使用具有误用的原则的入侵监测技术来设置监测代理,我们把无线网络入侵监测系统由数据采集模块、数据分析模块和响应日志模块组成。
其中,数据捕获子模块和数据解码子模块组成数据采集模块。
数据捕获模块的作用是负责收集无线数据包,捕获流经网卡的数据包;数据解码模块的功能是利用网络协议的有序性将数据捕获模块捕获的数据从下到上进行分层解码并存到一个数据结构里,作为数据分析模块的数据源,并将数据提交分析检测模块进行检测分析,同时将数据存储于数据缓冲区中。
规则处理子模块和规则匹配子模块构成数据分析模块。
规则处理模块的功能主要负责将规则文件按照一定顺序生成规则链表,作为规则匹配时的模式;规则匹配就是将数据采集模块送来的数据在规则链表中进行查找。
数据分析模块是入侵检测的核心,对无线数据包进行分析,完成对入侵行为的发现和识别,产生告警信息,并将告警信息发给中心控制台。
分析检测模块采用误用检测和异常检测相结合的方法,整个分析过程由误用检测和异常检测两个部分组成。
误用检测采用基于特征库的模式匹配技术,匹配算法采用改进的boyer-moore 算法,该算法在性能、效率和资源消耗等方面都有很好的表现,此部分非常适合对已知入侵的检测,并且非常有效。
异常检测采用统计分析方法,对未知入侵的异常行为进行统计分析,和安全策略库中定义的正常值比较,如果超出正常值范围,则认为系统受到未知入侵攻击。
同时,这两个部分又是相互补充的,在检测出新的入侵种类后,可以通过对安全策略库的分析总结出新入侵的特征格式,并将其增加到入侵特征库中。
响应、日志模块的作用为检测到入侵时,进行报警、日志记录等操作。
六、小结通过对无线网络的特点和安全性的详细的论述,以及对入侵检测系统的分析,我们提出了一个基于误用准则的无线网络入侵检测系统的具体的系统模型架构,我们充分验证了基于分布式的wlan入侵检测系统的可行性,随着无线局域网的使用越来越普及,使用面越来越广,对无线局域网的攻击的技术也就越来越高,防不胜防,采用分布式入侵检测技术来加强无线网络的安全是非常必要的,也是一个重要的发展方向。
参考文献:[1]熊焰,苗付友,张伟超等.移动自组网中基于多跳步加密签名函数签名的分布式认证.电子学报,2003,31(2):161-165[2]唐正军.网络入侵检测系统的设计与实现[m].北京:电子工业出版社,2006[3]单蓉胜,王明政,李建华.分布式人侵检测系统的体系架构.通信技术,2002,(1):80-83。