技術領域

本發明屬于計算機網絡安全技術領域，更具體地涉及一種WLAN網絡入侵檢測系統。

背景技術

無線局域網（WLAN）是重要的無線通信技術，隨著技術的進步，無線局域網因其組網靈活、可移動、易伸縮、經濟性高的特點獲得了高速發展，然而由于其終端的分散性，組網的隨機性，相對于有線網絡更容易受到安全威脅，容易受到黑客的入侵攻擊，導致通信的安全性下降。

然而有線網絡環境下的諸如防火墻等安全方法不能直接應用于無線局域網環境。而入侵檢測作為一種積極主動的安全防護技術，能夠靈活的針對各種網絡結構的特性，主動監測計算機網絡或者系統，并能夠對外部攻擊、內部攻擊以及錯誤操作的進行實時保護，形成有效的安全策略，對計算機網絡或者系統起著主動防御的作用，是計算機安全和網絡安全必不可少的一個組成部分。

入侵檢測系統根據其檢測數據來源分為兩類:基于主機的入侵檢測系統和基于網絡的入侵檢測系統?；谥鳈C的入侵檢測系統從單個主機上提取數據(如系統日志等)作為入侵分析的數據源，而基于網絡的入侵檢測系統從網絡上提取網絡報文作為入侵分析的數據源。通常來說基于主機的入侵檢測系統只能檢測單個主機系統，而基于網絡的入侵檢測系統可以對本網段的多個主機系統進行檢測，多個分布于不同網段上的基于網絡的入侵檢測系統可以協同工作以提供更強的入侵檢測能力。

目前，入侵檢測系統面臨的主要問題是檢測速度低，負荷大，來不及處理網絡中傳輸的大量數據。WLAN網絡由于其信道的開放,以及沒有有線連接，入侵發生的可能性更大，因此，如何提高檢測速度以及檢測的精確度和可靠性已成為亟待解決的問題。

發明內容

本發明針對WLAN網絡的特點，對流經數據鏈路層的報文有針對性地進行捕獲和解碼，降低入侵檢測的數據量,提高WLAN網絡的入侵檢測速度，通過對報文進行特征匹配以及對特定報文流進行統計分析檢測，提高入侵檢測的速度、精確性和可靠性。

一種WLAN網絡入侵檢測系統，包括數據采集模塊、入侵檢測模塊、報警模塊和事件存儲模塊。

數據采集模塊負責對流經WLAN的報文進行捕獲和過濾，將解碼后的報文輸入至入侵檢測模塊；

入侵檢測模塊對報文進行入侵檢測；

報警模塊根據檢測結果，向服務器發出警告；

事件存儲模塊記錄WLAN中出現的入侵事件和攻擊行為，并對入侵檢測模塊檢測出的攻擊數據，進行分析和統計。

數據采集模塊包括報文捕獲單元和協議解碼單元，其中：報文捕獲單元負責對流經WLAN的數據流進行捕獲；協議解碼單元負責對捕獲的報文進行分析，將可疑報文提交至入侵檢測模塊。

入侵檢測模塊包括特征匹配單元和分類檢測單元,其中:特征匹配單元針對解碼后

的報文根據不同幀類型進行相應匹配檢測；統計分析單元將對沒有匹配成功的特定報文流進行統計,根據幀類型確定時間閥值和數量閥值，當在時間閥值內的特定報文數量達到數量閥值，說明短時間內的該類型的報文流量存在異常，判定發生入侵事件；時間閥值選擇區間為20—60分鐘，數量閥值選擇區間為30-80次。?

附圖說明

圖1為WLAN網絡入侵檢測系統結構圖。

圖2為報文捕獲過程示意圖。

圖3為分類匹配單元示意圖。

圖4為統計分析單元工作流程圖。

具體實施方式

一種WLAN網絡入侵檢測系統，包括數據采集模塊、入侵檢測模塊、報警模塊和事件存儲模塊。

數據采集模塊負責監聽、捕獲網絡中的原始網絡包，并按照過濾要求進行網絡包過濾，由報文捕獲和協議解碼兩個單元組成。報文捕獲單元采用了基于?BPF（Berkeley?Packet?Filter，洛倉茲伯克利實驗室開發的伯克利網絡包過濾器）結構的WinPcap（Windows?Packet?Capture?library）函數庫，該函數庫為用戶進行底層網絡數據捕獲提供了一組易于移植的編程接口，對編程的效率有極大的提升，利用該函數捕獲報文的流程如圖2所示，首先將網卡設置為混雜模式，編譯并設置過濾規則，循環抓取流經WLAN網絡中的數據報文，并對捕獲的報文進行處理，初步的篩選和過濾。

協議解碼單元按照IEEE?802.11b協議的格式對原始報文進行解碼，解碼出數據幀、管理真、控制幀，并將解碼后的數據輸入入侵檢測模塊。