专利名称:入侵检测系统及其检测方法
技术领域:
本发明涉及网络安全领域,尤其涉及一种入侵检测系统(1此)及其检测方法。
背景技术:
随着网络技术的发展,无线网络因为其便利性,应用范围越来越广泛。目前,越来越多的移动设备和移动终端也支持无线传输功能,使得无线网络的发展前景更加广阔。随着无线网络的应用逐渐大范围推广,以及网络技术的长足发展,使得无线网络突破早期在一定空间范围内私用的局限,进而与有线网络融为一体,成为整个互联网络的一个重要组成部分,而进入公共领域。同有线网络一样,安全性以及访问可控性等网络安全技术,对于无线网络而言,同样需要得到高度重视。但是,由于无线网络的特殊性,攻击者无须物理连线就可以对无线网络发起攻击。更为重要的是,一部分无线路由并没有设置进入口令,使得无线网络的安全性非常低。即便一部分无线路由进行了无线加密协议(Wireless Encryption Protocol, TOP),Wi-Fi保护接入(Wi-Fi Protected Access, WPA)等口令设置,但是在各种破解攻略以及破解工具充斥整个网络的环境下,这些防范性能较低的技术对攻击者而言也是形同虚设。也有一些无线路由器具有一定安全限度的防火墙,但是目前而言功能还较为有限。总之,目前的无线网络还不是较为安全。
发明内容
本发明所要解决的技术问题是需要提供一种入侵检测系统,克服现有技术中无线网络安全性较低的缺陷。为了解决上述技术问题,本发明首先提供了一种入侵检测系统,包括攻击事件库,用于存储预先设置的无线网络攻击事件模型;捕包模块,用于从无线网络上捕获无线数据包;解码解密模块,用于对所述无线数据包进行解码解密,获得明文数据包;协议解析模块,用于对所述明文数据包进行协议解析,获得明文数据与无线网络协议;检测模块,用于根据所述无线网络攻击事件模型及无线网络协议对所述明文数据进行匹配检测,获得检测结果。 优选地,该系统进一步包括接收模块,用于从有线网络上接收有线数据包;其中,所述攻击事件库进一步用于存储预先设置的有线网络攻击事件模型;所述协议解析模块进一步用于对所述有线数据包进行协议解析,获得有线网络数据及有线网络协议;所述检测模块进一步用于根据所述有线网络攻击事件模型及有线网络协议对所
4述有线网络数据进行匹配检测,获得检测結果。优选地,所述攻击事件库存储的所述无线网络攻击事件模型,包括专门针对无线网络的网络攻击模型、密码破解模型以及用户访问记录中的至少ー种。优选地,所述捕包模块用于采用修改无线网卡驱动、数据包捕获函数库或者套接字,从无线网络上捕获所述无线数据包。优选地,所述捕包模块采用修改无线网卡驱动捕获所述无线数据包时,将网卡设置为“杂凑”模式;所述捕包模块采用套接字捕获所述无线数据包时,将网卡设置为“杂凑”模式,且将套接字类型选择为S0CK_RAW。为了解决上述计数问题,本发明还提供了ー种入侵检测系统的检测方法,包括从无线网络上捕获无线数据包;对所述无线数据包进行解码解密,获得明文数据包;对所述明文数据包进行协议解析,获得明文数据与无线网络协议;根据预先设置的无线网络攻击事件模型及所述无线网络协议对所述明文数据进行匹配检测,获得检测結果。优选地,该方法进ー步包括从有线网络上接收有线数据包;对所述有线数据包进行协议解析,获得有线网络数据及有线网络协议;根据预先设置的有线网络攻击事件模型及所述有线网络协议对所述有线网络数据进行匹配检测,获得检测結果。优选地,所述无线网络攻击事件模型,包括专门针对无线网络的网络攻击模型、密码破解模型以及用户访问记录中的至少ー种。优选地,从无线网络上捕获所述无线数据包的步骤,包括采用修改无线网卡驱动、数据包捕获函数库或者套接字,从无线网路上捕获所述无线数据包。优选地,采用修改无线网卡驱动捕获所述无线数据包时,将网卡设置为“杂凑”模式;采用套接字捕获所述无线数据包时,将网卡设置为“杂凑”模式,且将套接字类型选择为 S0CK_RAffo与现有技术相比,本发明的技术方案通过对802. 11帧格式的无线数据包进行解码解密,并通过预先设置的无线网络攻击事件模型对解码解密后的明文数据进行网络攻击的匹配检测,可以检测出攻击者对无线网络的攻击事件,提高了无线网络的安全性。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特別指出的结构来实现和获得。
附图用来提供对本发明技术方案的进ー步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。在附图中
图1 (a)是802. 11协议族Mac帧结构示意图;图1 (b)是802. 11协议族Mac帧控制结构示意图;图2是802. 3帧格式的示意图;图3是现有技术中数据包传输示意图;图4是本发明实施例入侵检测系统的组成示意图;图5为图4所示实施例中捕包模块捕获无线数据包的流程示意图;图6是本发明实施例入侵检测系统的检测方法的流程示意图。
具体实施例方式以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。首先,如果不冲突,本发明实施例以及实施例中的各个特征的相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。本发明的发明人经过分析发现,目前影响无线网络安全的威胁主要可以分为如下几类(1)无线网络发现(Network Discovery);它虽为802. 11协议的一个部分,能允许客户发现有效的接入点(Access point, AP)和网络服务,但它也是黑客入侵攻击无线网络的重要一步,比如NetStumbler以及Wellenreiter等都是应用这一技术的工具。O)D0S攻击;常见的这类威胁主要包括帧中继网络饱和(Network&ituration by Management Frames)、信号干扰(Signal Interference)、空刺探回应(Null Probe Reply) \)JsR PPP ΓΜτΛ Η^ (PPP ExtensibleAuthentication Protocol, ΕΑΡ) IkvEt^1 禾口(Saturation with EAP Handshake)等。(3)假冒AP(Fake Access Points);主要包括两种方式,一种是入侵者将真实的 AP非法放置到被入侵的网络中,另一种是将入侵者伪装成AP。(4)窃听(Eavesdropping);这类威胁主要包括加密认证协议如WEP,WPA等的破解。(5)身份盗窃(Identity Theft);这类威胁主要包括MAC欺骗(MACSpoof ing)、恶意 AP(Rogue Access Points)以及 MITM 攻击(Man-In-The-Middle)等。(6)取消认证攻击(De-authentication attack);攻击者通过伪造无线接入点和无线客户端,使得无线客户端会认为所有数据包均来自无线接入点;经攻击者的持续攻击, 无线客户端会被断开连接。(7)时间攻击(Duration Attack) ;CSMA/CA的原理是允许客户端保留使用某个通信信道一段时间,攻击者通过在时间快过期时发送数据帧并长时间持续,使得合法客户端无法使用这个通信信道。入侵检测系统(1此)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。其与其他网络安全设备的不同之处便在于,IDS 是一种积极主动的安全防护技术。
本发明的发明人经过进一歩的分析发现,无线IDS与有线IDS相比,在实现原理上主要有如下几方面的不同(1)捕包的方式及初步处理不同;无线IDS的捕包需要经过解码以及解密等操作, 然后将获得的数据交给链路层,而有线IDS在捕包之后不需要经过解码以及解密等操作, 直接把数据交给链接层。(2)攻击事件库不同;有线IDS的攻击事件库是专门针对有线网络的,而黑客攻击无线网络和有线网络的整体攻击思路,以及能够实现的攻击手段原理上大致上是相同的, 相比而言,主要是无线网络比有线网络多了ー些破解密钥等过程。图1 (a)是802. 11协议族Mac帧结构示意图,图1 (b)是802. 11协议族Mac帧控制结构示意图。802. 11协议族Mac帧适用于无线数据包。图2是802. 3帧格式的示意图。802. 3Mac帧适用于有线数据包。由图1 (a)、图1 (b) 格式以及图2可见,适用于无线数据包的802. IlMac帧与适用于有线数据包的802. 3Mac帧是不同的。图3是数据包传输示意图。如图3所示,无线数据包和有线数据包在TCP/IP协议栈中是并行传输的,而上面的链路层等都是相同的。因此,本发明可以对802. 11的帧格式进行解码并转换,使得能够被链路层识別。 本发明的技术方案中,采用802. 11驱动程序将上层协议传递下来的无线数据包发送到芯片端,并将芯片端接收到的无线数据包传递到对应的上层协议栈。链路层的数据包为以太网格式,但从Wi-Fi芯片收到的数据包却是802. 11格式,因此在数据收发时都需要进行格式转换。在对802. 11的帧格式进行解码以及转换之前,先要对无线数据包进行捕包处理。 本发明中的无线数据包的捕包实现,可以采用如下修改无线网卡驱动来实现,也可以采用数据包捕获函数库(Iibpcap)技术来实现,或者也可以采用套接字(Socket)技术来实现。当网络采用TOP加密以后,无线网络数据帧LLC层以上的数据是按密文形式进行传输的,因此有必要对加密的无线数据包进行WEP解密。具体解密过程如下步骤Si,首先设置该区域AP的基本服务单元标识符(Basic Service Setldentifier, BSSID)及对应的共享密钥;步骤S2,捕获到无线数据包后,判断捕获到的无线数据包的BSSID是否与本地设置的BSSID相同,并且判断其是否为加密数据包;步骤S3,如果是加密数据包且BSSID也相同,则利用共享密钥进行解密,从捕获到的无线数据包中提取关键字标识符(key ID)和IV ;步骤S4,根据key ID确定无线数据包所使用的缺省密钥,将缺省密钥与IV向量串联生成密钥种子,并采用RC4算法,根据该密钥种子自动把加密数据报解密成明文数据包。由于无线IDS与有线IDS的攻击事件库并不相同,因此需要预先根据无线IDS攻击事件的特征构建针对无线IDS的攻击事件库。无线IDS的攻击事件库主要存储有专门针对无线网络的网络攻击模型、密码破解模型或者用户访问记录等信息(也可以是这些内容的各种组合),另一部分存储即可威胁无线网络又可威胁有线网络的网络攻击模型。无线IDS攻击事件库可以由类似如下ー些特征构成
alert WIDS any - > any (message: “ WEP Key Crack “ ;Data = 00:DE:AD:C0:DE:00)alert WIDS any _> any (message: " Deauthentication “ ;stype = STYPE_ DEAUTH ;)。实施例一、入侵检测系统图4是本实施例的组成示意图。如图4所示,本实施例主要包括攻击事件库410、 捕包模块420、解码解密模块430、协议解析模块440、检测模块450以及报告模块460,其中攻击事件库410,用于存储预先设置的无线网络攻击事件模型;捕包模块420,用于从无线网络上捕获无线数据包;解码解密模块430,与捕包模块420相连,用于对无线数据包进行解码解密,获得明文数据包;协议解析模块440,与解码解密模块430相连,用于对明文数据包进行协议解析, 从IP层、TCP层到应用层,层层去掉头标志,得到相应的明文数据与无线网络协议;检测模块450,与攻击事件库410及协议解析模块440相连,用于根据攻击事件库中存储的无线网络攻击事件模型,采用检测算法如ACBM算法对协议解析获得的明文数据进行匹配检测,获得检测结果,完成对无线数据包的入侵检测;报告模块460,与检测模块450相连,用于将检测结果上报给控制中心。如图4所示,在本发明的另一个实施例的入侵检测系统,还包括接收模块470,其与协议解析模块440相连,用于从有线网络上接收有线数据包。上述攻击事件库410还存储预先设置的有线网络攻击事件模型,协议解析模块440对接收模块470所接收的有线数据包进行协议解析,得到相应的有线网络及有线网络协议,检测模块450根据有线网络攻击事件模型对解析模块440所解析的有线网络数据进行匹配检测,获得检测结果;报告模块460可以向控制中心上报检测结果。上述捕包模块420捕获无线数据包,可以采用修改无线网卡驱动的方式来实现, 也可以选用Socket技术来实现。这两种实现方式均将网卡设置为“杂凑”模式。对于采用 Socket技术来实现,Socket类型选择为S0CK_RAW。图5为捕包模块420采用Socket技术捕获无线数据包的流程示意图。如图5所示,该流程主要包括如下步骤步骤S510,捕包模块420调用Socket函数,生成套接字描述符;步骤S520,捕包模块420调用bind函数,将与套接字描述符相应的套接字与本地地址绑定;步骤530,捕包模块420调用recvfrom函数,将捕获到的无线数据包从系统缓冲区读取到用户缓冲区。实施例二、入侵检测系统的检测方法图6为本实施例的流程示意图。结合图4所示的入侵检测系统实施例,图6所示的本实施例主要包括如下步骤步骤S610,从无线网络上捕获无线数据包;步骤S620,对无线数据包进行解码解密,获得明文数据包;
步骤S630,对明文数据包进行协议解析,获得明文数据与无线网络协议;步骤S640,根据预先设置的无线网络攻击事件模型及无线网络协议对明文数据进行匹配检测,获得检测結果,完成对无线数据包的入侵检测,并且可以向控制中心上报该检测結果。上述方法可以进一歩包括如下步骤从有线网络上接收有线数据包;对有线数据包进行协议解析,获得有线网络数据及有线网络协议;根据预先设置的有线网络攻击事件模型及有线网络协议对有线网络数据进行匹配检测,获得检测結果,完成对有限数据包的入侵检测,并且可以向控制中心上报该检测结
ο上述的无线网络攻击事件模型,包括专门针对无线网络的网络攻击模型、密码破解模型以及用户访问记录中的至少ー种。上述从无线网络上捕获无线数据包的步骤,包括采用修改无线网卡驱动、数据包捕获函数库或者套接字,从无线网路上捕获无线数据包。在采用修改无线网卡驱动捕获无线数据包时,将网卡设置为“杂凑”模式;在采用套接字捕获无线数据包时,将网卡设置为“杂凑”模式,且将套接字类型选择为 S0CK_RAW。本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所組成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分別制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化, 但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
权利要求
1.一种入侵检测系统,其特征在于,包括攻击事件库,用于存储预先设置的无线网络攻击事件模型;捕包模块,用于从无线网络上捕获无线数据包;解码解密模块,用于对所述无线数据包进行解码解密,获得明文数据包;协议解析模块,用于对所述明文数据包进行协议解析,获得明文数据与无线网络协议;检测模块,用于根据所述无线网络攻击事件模型及无线网络协议对所述明文数据进行匹配检测,获得检测结果。
2.根据权利要求1所述的系统,其特征在于,该系统进一步包括 接收模块,用于从有线网络上接收有线数据包;其中,所述攻击事件库进一步用于存储预先设置的有线网络攻击事件模型; 所述协议解析模块进一步用于对所述有线数据包进行协议解析,获得有线网络数据及有线网络协议;所述检测模块进一步用于根据所述有线网络攻击事件模型及有线网络协议对所述有线网络数据进行匹配检测,获得检测结果。
3.根据权利要求1或2所述的系统,其特征在于所述攻击事件库存储的所述无线网络攻击事件模型,包括专门针对无线网络的网络攻击模型、密码破解模型以及用户访问记录中的至少一种。
4.根据权利要求1或2所述的系统,其特征在于所述捕包模块用于采用修改无线网卡驱动、数据包捕获函数库或者套接字,从无线网络上捕获所述无线数据包。
5.根据权利要求4所述的系统,其特征在于所述捕包模块采用修改无线网卡驱动捕获所述无线数据包时,将网卡设置为“杂凑”模式;所述捕包模块采用套接字捕获所述无线数据包时,将网卡设置为“杂凑”模式,且将套接字类型选择为S0CK_RAW。
6.一种入侵检测系统的检测方法,其特征在于,包括 从无线网络上捕获无线数据包;对所述无线数据包进行解码解密,获得明文数据包; 对所述明文数据包进行协议解析,获得明文数据与无线网络协议; 根据预先设置的无线网络攻击事件模型及所述无线网络协议对所述明文数据进行匹配检测,获得检测结果。
7.根据权利要求6所述的方法,其特征在于,该方法进一步包括 从有线网络上接收有线数据包;对所述有线数据包进行协议解析,获得有线网络数据及有线网络协议; 根据预先设置的有线网络攻击事件模型及所述有线网络协议对所述有线网络数据进行匹配检测,获得检测结果。
8.根据权利要求6或7所述的方法,其特征在于所述无线网络攻击事件模型,包括专门针对无线网络的网络攻击模型、密码破解模型以及用户访问记录中的至少ー种。
9.根据权利要求6或7所述的方法,其特征在干,从无线网络上捕获所述无线数据包的步骤,包括采用修改无线网卡驱动、数据包捕获函数库或者套接字,从无线网路上捕获所述无线数据包。
10.根据权利要求9所述的方法,其特征在干采用修改无线网卡驱动捕获所述无线数据包时,将网卡设置为“杂凑”模式; 采用套接字捕获所述无线数据包时,将网卡设置为“杂凑”模式,且将套接字类型选择为 SOCK RAffo
全文摘要
本发明公开了一种入侵检测系统及其检测方法,克服现有技术中无线网络安全性较低的缺陷。其中该入侵检测系统包括攻击事件库,用于存储预先设置的无线网络攻击事件模型;捕包模块,用于从无线网络上捕获无线数据包;解码解密模块,用于对所述无线数据包进行解码解密,获得明文数据包;协议解析模块,用于对所述明文数据包进行协议解析,获得明文数据与无线网络协议;检测模块,用于根据所述无线网络攻击事件模型及无线网络协议对所述明文数据进行匹配检测,获得检测结果。本发明的技术方案可以检测出攻击者对无线网络的攻击事件,提高了无线网络的安全性。
文档编号H04L12/26GK102571719SQ20101061634
公开日2012年7月11日 申请日期2010年12月31日 优先权日2010年12月31日
发明者肖小剑 申请人:北京启明星辰信息安全技术有限公司, 北京启明星辰信息技术股份有限公司