基于802.11无线局域网的可扩展入侵检测系统的研制

摘要

基于IEEE 802.11标准的无线局域网接入技术已经成为市场和应用的热点。但无线局域网在带来方便的同时，也带来了很多新的安全隐患。为此，业界提出了一些安全增强机制，包括：802.1x、WPA、802.11i、WAPI 等。但是由于大量基于802.11协议的设备仍然会继续存在，采用入侵检测系统来加强无线局域网的安全性将是一种很好的选择。入侵检测系统在无线局域网中的应用尚属起步阶段，现有的无线入侵检测系统大都不太成熟，检测功能较少，缺乏主动响应机制，可扩展性差，而且需要额外的部署费用。 为此，本文提出了一种可扩展无线入侵检测系统。该系统整合了现有无线入侵检测系统的多种检测功能，可以检测到无线局域网中常见的攻击行为和安全隐患，加强了无线局域网的安全策略，并提供了多种主动响应机制。该系统大量应用插件技术，可以根据用户的需要灵活地选择检测功能和主动响应方式，并容易增加新的检测机制，可扩展性好。由于该系统部署于AP之上，不需要购买额外的硬件设备，只需对AP的固件进行升级即可加入，结构简洁并且经济实用，配置系统的花费不会随着无线局域网规模的扩大而相应增加，适合于大规模地部署。 本文对各种无线攻击方式和安全问题都有详细的分析，并给出了相应的检测和响应策略，在此基础上构建可扩展无线入侵检测系统，其中的特殊检测模块完成了大部分检测功能。本文详细介绍了系统的体系结构、模块设计和特殊检测插件，以及系统是如何实现对各种攻击行为和安全隐患的检测和响应。最后，文章详细介绍了系统的部署，并搭建了一个无线攻击模拟环境进行测试，给出了相应的测试步骤，并对结果进行分析。

目录

文摘

英文文摘

声明

第一章引言

第一节无线局域网及其安全简介

第二节本文研究的主要内容

第三节论文的组织结构

第二章无线局域网的安全

第一节802.11无线局域网概述

第二节现有的安全机制

2.2.1 SSID匹配

2.2.2 WEP加密

2.2.3共享密钥认证

2.2.4 MAC地址过滤

第三节安全隐患

2.3.1 SSID匹配的安全问题

2.3.2 WEP加密的安全问题和WEP破解

2.3.3共享密钥认证的安全问题

2.3.4 MAC地址过滤的安全问题和MAC地址欺骗

2.3.5网络嗅探

2.3.6非法AP

2.3.7 Ad-hoc网络

2.3.8未授权工作站

2.3.9拒绝服务攻击

2.3.10驾驶攻击

第四节新的安全机制和解决方案

2.4.1 802.1x扩展认证协议

2.4.2 802.11i

2.4.3 WPA

2.4.4 VPN-over-wireless

2.4.5 WAPI

第五节无线入侵检测系统的提出及其意义

第三章无线入侵检测系统概述

第一节无线入侵检测系统和有线入侵检测系统之异同

第二节无线入侵检测系统的结构

第三节无线入侵检测系统的功能

3.3.1加强安全策略

3.3.2检测入侵行为

第四节现有的无线入侵检测系统

3.4.1商业产品

3.4.2开源项目

第五节现有无线入侵检测系统的不足和本文的方案

第四章系统的总体设计

第一节功能设计

第二节EWIDS的部署

第三节EWIDS的体系结构设计

第五章各模块详细设计与实现

第一节无线数据捕获模块

第二节协议解码模块

第三节特殊检测模块

5.3.1特殊检测插件的格式

5.3.2特殊检测模块的实现

5.3.3非法AP或Ad-hoc网络检测

5.3.4未授权工作站检测

5.3.5 MAC地址欺骗检测

5.3.6 DoS攻击检测

5.3.7 Netstumbler驾驶攻击检测

第四节规则匹配模块

5.4.1入侵检测规则的定义

5.4.2规则匹配模块的实现

第五节主动响应模块

5.5.1主动响应模块的实现

5.5.2干扰WEP破解

第六节日志报警模块

第七节解析配置模块

第六章系统部署和测试

第一节系统部署和测试环境搭建

6.1.1硬件和软件环境

6.1.2网络环境

6.1.3搭建步骤

6.1.4网络流量模拟

第二节测试步骤与结果

6.2.1检测非法AP或Ad-hoc网络

6.2.2检测未授权工作站

6.2.3检测MAC地址欺骗

6.2.4检测DoS攻击

6.2.5检测NetStumbler驾驶攻击

6.2.6干扰WEP破解

6.2.7检测未加密无线网络

6.2.8测定检测率和误报率

6.2.9系统资源消耗测试

6.2.10系统性能测试

第七章总结与展望

第一节论文完成的主要工作

第二节系统的特点

第三节系统的进一步研究方向

参考文献

致谢

附录

个人简历