面向WLAN的多步攻击意图识别方法研究

摘要

随着计算机网络的飞速发展，使用无线局域网(WLAN)的用户也日益增多，面向WLAN的网络安全研究也受到越来越多的重视。入侵检测和防御技术作为网络安全防护的重要手段，在传统有线网络环境中已有较为成熟的应用，针对网络多步攻击的规划识别方法，也在有线网络中有了一定的研究。但现有的多步攻击规划识别方法主要利用网络层以上的数据包信息作为识别特征，而WLAN无线网络包含了更多网络层以下的数据包特征。正是由于无线网络具有的特殊性，将现有的规划识别方法运用到WLAN面临许多的困难，目前仍很少看到WLAN领域无线多步攻击意图识别的研究。
　　本文通过深入分析无线局域网的协议体系和安全机制，对WLAN无线环境下的多步攻击意图识别方法展开了研究和探索，主要研究工作和创新点如下:
　　(1)提出了一个完整的面向WLAN的无线多步攻击规划识别方法。该方法包括三个模块构成:基于AP信息的无线入侵告警聚合方法、融合802.11协议帧主要属性的无线多步攻击模式挖掘方法和基于层次攻击树的无线多步攻击意图预先识别方法。该方法正是基于WLAN的无线数据包特点，引入无线设备信息，提前识别攻击者的最终攻击意图。论文设计了一个分布式无线入侵防御系统D-WIPS对提出的方法进行验证，结果表明该方法能有效实现多种无线多步攻击意图的预先识别，可以提前为WLAN的安全管理提供决策。
　　(2)提出了一种基于AP信息的WIAC无线入侵告警聚合方法。WIAC方法包括告警格式化、告警精简和告警分类等三个部分组成，通过改进IDMEF的告警格式，引入AP接入点的关键无线信息，使其适用于WLAN环境，并扩展Snort-Wireless的检测规则，完成对原始告警的格式化处理，然后结合告警的时间、空间、攻击类型和目标设备信息等属性，对原始告警中的无关告警和重复告警进行精简，最后设计了一种针对WLAN无线攻击的HACA超告警分类算法，将精简后的告警聚合为三类超告警。WIAC方法能适用于WLAN的真实网络环境，有效去除大量的重复告警和无关告警，大大减少了原始告警的数量。
　　(3)提出了一种融合802.11协议帧主要属性进行关联分析的WMAPM无线多步攻击模式挖掘方法。WMAPM方法包括构造全局攻击库、建立候选攻击链、筛选候选攻击链、关联多步攻击行为和识别多步攻击模式等五个步骤，在WIAC方法产生的三类超告警基础上，根据AP设备信息构造全局攻击库，并利用告警时间窗口，设计CACGA候选攻击链生成算法建立候选攻击链，然后利用PACSGA伪攻击链集合生成算法去除候选攻击子链和重复的候选攻击链，生成包含无线多步攻击模式的伪攻击链集合，另外还定义了一个新的基于WLAN特征的无线告警相关度的概念，用来描述两个无线超告警之间的关联关系，通过计算相邻超告警间的相关度值，删除伪攻击链中相关度较低的攻击链，自动挖掘出无线多步攻击模式。WMAPM方法能够适用于WLAN的真实攻击场景，能有效挖掘出无线多步攻击模式，可以为多步攻击意图预先识别提供基础。
　　(4)提出了一种基于层次攻击树HAT的WMAPER无线多步攻击意图预先识别方法。WMAPER方法结合了基于规划执行的规划识别方法和基于因果网络的攻击规划识别方法，针对挖掘出的无线多步攻击模式，构造一种包含特征节点的层次攻击树结构，用来描述无线多步攻击步骤之间的层次关系，同时定义了一个最短预测序列SPS的概念，通过设计SPSGA最短预测序列生成算法，在层次攻击树中找出每个无线多步攻击的最短预测序列，最后利用基于最短预测序列的MAPERA多步攻击预先识别算法，实现在线的无线多步攻击意图预先识别。WMAPER方法能有效地提前识别出多种无线多步攻击意图，达到预先决策的目的。

目录

摘要

第1章 绪论

1．1 课题背景

1．2 国内外研究现状

1．2．1 无线网络安全概况

1．2．2 攻击规划识别概况

1．3 论文研究内容和组织结构

1．3．1 论文研究内容

1．3．2 论文组织结构

第2章 相关研究工作综述

2．1 入侵检测系统概述

2．1．1 入侵检测系统的发展历程

2．1．2 入侵检测系统的标准规范

2．2 典型的攻击规划识别方法分析

2．2．1 基于规划执行的攻击规划识别

2．2．2 基于关联分析的攻击规划识别

2．2．3 基于因果网络的攻击规划识别

2．2．4 基于贝叶斯网络的攻击规划识别

2．3 无线环境中攻击规划识别的特殊性

2．4 本章小结

第3章 无线局域网及安全机制

3．1 无线局域网基本理论

3．1．1 无线网络的分类

3．1．2 无线局域网拓扑结构

3．2 IEEE 802．11协议体系

3．2．1 802．11协议的物理层

3．2．2 802．11协议的MAC子层

3．2．3 802．11协议提供的服务

3．2．4 无线站点接入WLAN的过程

3．3 WLAN的安全机制

3．3．1 WEP加密机制

3．3．2 WPA加密机制

3．4 本章小结

第4章 无线入侵告警聚合方法

4．1 WIAC方法总体设计

4．1．1 WIAC方法的总体结构

4．1．2 WIAC方法的工作流程

4．2 告警格式化

4．2．1 802．11协议的帧结构

4．2．2 改进的IDMEF告警格式

4．2．3 扩展的Snort-Wireless规则

4．3 告警精简

4．3．1 无关告警去除

4．3．2 重复告警去除

4．4 告警分类

4．4．1 超告警定义

4．4．2 超告警分类算法

4．5 实验环境和结果分析

4．5．1 实验环境搭建

4．5．2 实验结果分析

4．6 本章小结

第5章 无线多步攻击模式挖掘方法

5．1 WLAN主要攻击方法

5．1．1 WEP加密破解攻击

5．1．2 WPA加密破解攻击

5．2 常见的无线多步攻击方式

5．3 WMAPM方法总体设计

5．3．1 WMAPM方法的总体结构

5．3．2 构造全局攻击库

5．3．3 建立候选攻击链

5．3．4 筛选候选攻击链

5．3．5 关联多步攻击行为

5．3．6 识别多步攻击模式

5．4 实验结果分析

5．5 本章小结

第6章 无线多步攻击意图预先识别方法

6．1 攻击意图预先识别的必要性

6．2 WMAPER方法总体设计

6．2．1 WMAPER方法的总体结构

6．2．2 构造层次攻击树

6．2．3 生成最短预测序列

6．2．4 预先识别攻击意图

6．3 D-WIPS系统设计

6．4 实验结果分析

6．5 本章小结

第7章 总结与展望

7．1 本文总结及创新点

7．2 将来工作的展望

参考文献

攻读博士学位期间主要的研究成果

致谢