[发明专利]一种WLAN网络入侵检测系统

说明书

技术领域

本发明属于计算机网络安全技术领域，更具体地涉及一种WLAN网络入侵检测系统。

背景技术

无线局域网（WLAN）是重要的无线通信技术，随着技术的进步，无线局域网因其组网灵活、可移动、易伸缩、经济性高的特点获得了高速发展，然而由于其终端的分散性，组网的随机性，相对于有线网络更容易受到安全威胁，容易受到黑客的入侵攻击，导致通信的安全性下降。

然而有线网络环境下的诸如防火墙等安全方法不能直接应用于无线局域网环境。而入侵检测作为一种积极主动的安全防护技术，能够灵活的针对各种网络结构的特性，主动监测计算机网络或者系统，并能够对外部攻击、内部攻击以及错误操作的进行实时保护，形成有效的安全策略，对计算机网络或者系统起着主动防御的作用，是计算机安全和网络安全必不可少的一个组成部分。

入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统从单个主机上提取数据(如系统日志等)作为入侵分析的数据源，而基于网络的入侵检测系统从网络上提取网络报文作为入侵分析的数据源。通常来说基于主机的入侵检测系统只能检测单个主机系统，而基于网络的入侵检测系统可以对本网段的多个主机系统进行检测，多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。

目前，入侵检测系统面临的主要问题是检测速度低，负荷大，来不及处理网络中传输的大量数据。WLAN网络由于其信道的开放,以及没有有线连接，入侵发生的可能性更大，因此，如何提高检测速度以及检测的精确度和可靠性已成为亟待解决的问题。

发明内容

本发明针对WLAN网络的特点，对流经数据链路层的报文有针对性地进行捕获和解码，降低入侵检测的数据量,提高WLAN网络的入侵检测速度，通过对报文进行特征匹配以及对特定报文流进行统计分析检测，提高入侵检测的速度、精确性和可靠性。

一种WLAN网络入侵检测系统，包括数据采集模块、入侵检测模块、报警模块和事件存储模块。

数据采集模块负责对流经WLAN的报文进行捕获和过滤，将解码后的报文输入至入侵检测模块；

入侵检测模块对报文进行入侵检测；

报警模块根据检测结果，向服务器发出警告；

事件存储模块记录WLAN中出现的入侵事件和攻击行为，并对入侵检测模块检测出的攻击数据，进行分析和统计。

数据采集模块包括报文捕获单元和协议解码单元，其中：报文捕获单元负责对流经WLAN的数据流进行捕获；协议解码单元负责对捕获的报文进行分析，将可疑报文提交至入侵检测模块。

入侵检测模块包括特征匹配单元和分类检测单元,其中:特征匹配单元针对解码后

的报文根据不同帧类型进行相应匹配检测；统计分析单元将对没有匹配成功的特定报文流进行统计,根据帧类型确定时间阀值和数量阀值，当在时间阀值内的特定报文数量达到数量阀值，说明短时间内的该类型的报文流量存在异常，判定发生入侵事件；时间阀值选择区间为20—60分钟，数量阀值选择区间为30-80次。 

附图说明

图1为WLAN网络入侵检测系统结构图。

图2为报文捕获过程示意图。

图3为分类匹配单元示意图。

图4为统计分析单元工作流程图。

具体实施方式

一种WLAN网络入侵检测系统，包括数据采集模块、入侵检测模块、报警模块和事件存储模块。

数据采集模块负责监听、捕获网络中的原始网络包，并按照过滤要求进行网络包过滤，由报文捕获和协议解码两个单元组成。报文捕获单元采用了基于 BPF（Berkeley Packet Filter，洛仓兹伯克利实验室开发的伯克利网络包过滤器）结构的WinPcap（Windows Packet Capture library）函数库，该函数库为用户进行底层网络数据捕获提供了一组易于移植的编程接口，对编程的效率有极大的提升，利用该函数捕获报文的流程如图2所示，首先将网卡设置为混杂模式，编译并设置过滤规则，循环抓取流经WLAN网络中的数据报文，并对捕获的报文进行处理，初步的筛选和过滤。

协议解码单元按照IEEE 802.11b协议的格式对原始报文进行解码，解码出数据帧、管理真、控制帧，并将解码后的数据输入入侵检测模块。