一种wlan网络入侵检测系统的制作方法
【技术领域】
[0001]本发明属于计算机网络安全技术领域,更具体地涉及一种WLAN网络入侵检测系统。
【背景技术】
[0002]无线局域网(WLAN)是重要的无线通信技术,随着技术的进步,无线局域网因其组网灵活、可移动、易伸缩、经济性高的特点获得了高速发展,然而由于其终端的分散性,组网的随机性,相对于有线网络更容易受到安全威胁,容易受到黑客的入侵攻击,导致通信的安全性下降。
[0003]然而有线网络环境下的诸如防火墙等安全方法不能直接应用于无线局域网环境。而入侵检测作为一种积极主动的安全防护技术,能够灵活的针对各种网络结构的特性,主动监测计算机网络或者系统,并能够对外部攻击、内部攻击以及错误操作的进行实时保护,形成有效的安全策略,对计算机网络或者系统起着主动防御的作用,是计算机安全和网络安全必不可少的一个组成部分。
[0004]入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统从单个主机上提取数据(如系统日志等)作为入侵分析的数据源,而基于网络的入侵检测系统从网络上提取网络报文作为入侵分析的数据源。通常来说基于主机的入侵检测系统只能检测单个主机系统,而基于网络的入侵检测系统可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。
[0005]目前,入侵检测系统面临的主要问题是检测速度低,负荷大,来不及处理网络中传输的大量数据。WLAN网络由于其信道的开放,以及没有有线连接,入侵发生的可能性更大,因此,如何提高检测速度以及检测的精确度和可靠性已成为亟待解决的问题。
【发明内容】
[0006]本发明针对WLAN网络的特点,对流经数据链路层的报文有针对性地进行捕获和解码,降低入侵检测的数据量,提高WLAN网络的入侵检测速度,通过对报文进行特征匹配以及对特定报文流进行统计分析检测,提高入侵检测的速度、精确性和可靠性。
[0007]—种WLAN网络入侵检测系统,包括数据采集模块、入侵检测模块、报警模块和事件存储模块。
[0008]数据采集模块负责对流经WLAN的报文进行捕获和过滤,将解码后的报文输入至入侵检测模块;
入侵检测模块对报文进行入侵检测;
报警模块根据检测结果,向服务器发出警告;
事件存储模块记录WLAN中出现的入侵事件和攻击行为,并对入侵检测模块检测出的攻击数据,进行分析和统计。
[0009]数据采集模块包括报文捕获单元和协议解码单元,其中:报文捕获单元负责对流经WLAN的数据流进行捕获;协议解码单元负责对捕获的报文进行分析,将可疑报文提交至入侵检测模块。
[0010]入侵检测模块包括特征匹配单元和分类检测单元,其中:特征匹配单元针对解码后
的报文根据不同帧类型进行相应匹配检测;统计分析单元将对没有匹配成功的特定报文流进行统计,根据帧类型确定时间阀值和数量阀值,当在时间阀值内的特定报文数量达到数量阀值,说明短时间内的该类型的报文流量存在异常,判定发生入侵事件;时间阀值选择区间为20— 60分钟,数量阀值选择区间为30-80次。
【附图说明】
[0011]图1为WLAN网络入侵检测系统结构图。
[0012]图2为报文捕获过程示意图。
[0013]图3为分类匹配单元示意图。
[0014]图4为统计分析单元工作流程图。
【具体实施方式】
[0015]一种WLAN网络入侵检测系统,包括数据采集模块、入侵检测模块、报警模块和事件存储模块。
[0016]数据采集模块负责监听、捕获网络中的原始网络包,并按照过滤要求进行网络包过滤,由报文捕获和协议解码两个单元组成。报文捕获单元采用了基于BPF (BerkeleyPacket Filter,洛仓兹伯克利实验室开发的伯克利网络包过滤器)结构的WinPcap(Windows Packet Capture library)函数库,该函数库为用户进行底层网络数据捕获提供了一组易于移植的编程接口,对编程的效率有极大的提升,利用该函数捕获报文的流程如图2所示,首先将网卡设置为混杂模式,编译并设置过滤规则,循环抓取流经WLAN网络中的数据报文,并对捕获的报文进行处理,初步的筛选和过滤。
[0017]协议解码单元按照IEEE 802.1lb协议的格式对原始报文进行解码,解码出数据帧、管理真、控制帧,并将解码后的数据输入入侵检测模块。
[0018]入侵检测模块包括特征匹配单元和分类检测单元,特征匹配单元根据解码后的报文,针对不同帧类型进行相应的匹配检测,如图3所示,管理帧调用管理帧检测函数,数据帧调用数据帧检测函数,控制帧调用控制帧检测函数。然后将匹配成功的报文送入分类检测单元进行进一步检测。
[0019]对于没有匹配成功的报文,也不意味着就没有入侵攻击。如果某段时间内特定报文的数量超过了一定阀值,则也说明产生了入侵行为。
[0020]因此,在特征匹配检测后,还需要通过统计分析单元对报文进行进一步统计分析,如图4所示,
首先根据帧类型确定时间阀值和数量阀值,然后计数器加I (未有该类型出现之间,计数器的初始值为0),如果计数器为1,则记录下初始时间,如果不是1,看计数器的数值是否大于阀值,如果没有大于阀值,则表明尚未有攻击,如果大于阀值,则计算当前时间与初始时间的时间差,如果时间差没有大于阀值,则表明还不存在攻击,如果大于阀值,则表达存在攻击行为。时间阀值优选为I个小时,数量阀值根据所检测的帧的类型不同,阀值的设定也不同,一般地数量阀值选择为50次。
[0021]报警模块在WLAN网络入侵检测系统中起着承上启下的作用,一方面报警模块根据入侵检测模块的检测结果,对入侵行为进行响应,另一方面,将含有入侵信息的报文输送至事件存储模块。
[0022]事件存储模块根据报警模块输送的入侵事件,进行记录,并对入侵信息进行统计和分析,更新匹配规则,提高入侵检测的精确性。
【主权项】
1.一种WLA N网络入侵检测系统,其特征在于包括以下部分:数据采集模块、入侵检测模块、报警模块、事件存储模块;其中, 数据采集模块负责对流经WLAN的报文进行过滤和提取,将可疑报文输入至入侵检测模块; 入侵检测模块对报文进行入侵检测,包括特征匹配单元和统计分析单元,其中: 特征匹配单元针对解码后的报文根据不同帧类型进行相应匹配检测; 统计分析单元将对没有匹配成功的特定报文流进行统计,确定时间阀值和数量阀值,当在时间阀值内的特定报文数量达到数量阀值,则判定发生入侵事件;时间阀值选择区间为20— 60分钟,数量阀值选择区间为30-80次; 报警模块根据检测结果,向服务器发出警告; 事件存储模块记录WLAN中出现的入侵事件和攻击行为,并对入侵检测模块检测出的攻击数据,进行统计和分析。
2.根据权利I要求所述的WLAN网络入侵检测系统,其特征还在于,所述数据采集模块包括报文捕获单元和协议解码单元,其中: 报文捕获单元负责对流经WLAN的数据流进行捕获和过滤; 协议解码单元负责对捕获的报文进行解码,将解码后的报文提交至入侵检测模块。
3.根据权利要求2所述的WLAN网络入侵检测系统,其特征还在于,所述报文捕获单元针对数据链路层的数据进行捕获。
4.根据权利要求2或3所述的WLAN网络入侵检测系统,其特征还在于,所述协议解码单元按照IEEE802.1lb协议格式进行分析。
5.根据权利要求2或3所述的WLAN网络入侵检测系统,其特征还在于,所述报文捕获单 元采用伯克利数据包过滤器BPF (Berkeley Packet Filter)进行数据捕获。
【专利摘要】本发明公开了一种WLAN网络入侵检测系统,包括数据采集模块、入侵检测模块、报警模块和事件存储模块。数据采集模块负责对流经WLAN的报文进行捕获和过滤,将解码后的报文输入至入侵检测模块;入侵检测模块对报文进行入侵检测;报警模块根据检测结果,向服务器发出警告;事件存储模块记录WLAN中出现的入侵事件和攻击行为,并对入侵检测模块检测出的攻击数据,进行分析和统计。本发明通过对流经数据链路层的报文有针对性地进行捕获和解码,降低入侵检测的数据量,提高WLAN网络的入侵检测速度,通过报文特征匹配和对特定报文流的统计分析,提高入侵检测的速度、精确性和可靠性。
【IPC分类】H04L29-06
【公开号】CN104660552
【申请号】CN201310584699
【发明人】张励
【申请人】南京理工高新技术发展有限公司
【公开日】2015年5月27日
【申请日】2013年11月20日