局域网入侵检测全过程

1. 局域网入侵检测全过程

看完思考了一下，还是很有哲理的。

2. 浅析局域网网络入侵检测技术

说实话这种东西要写也写得出来，不过把时间浪费在论文上和上课睡觉是一个道理，复制的吧。
  随着无线技术和网络技术发展无线网络正成为市场热点其中无线局域网(WLAN)正广泛应用于大学校园、各类展览会、公司内部乃至家用网络等场合但是由于无线网络特殊性攻击者无须物理连线就可以对其进行攻击使WLAN问题显得尤为突出对于大部分公司来说WLAN通常置于后黑客旦攻破就能以此为跳板攻击其他内部网络使防火墙形同虚设和此同时由于WLAN国家标准WAPI无限期推迟IEEE 802.11网络仍将为市场主角但因其认证机制存在极大安全隐患无疑让WLAN安全状况雪上加霜因此采用入侵检测系统(IDS——rusion detection system)来加强WLAN安全性将是种很好选择尽管入侵检测技术在有线网络中已得到认可但由于无线网络特殊性将其应用于WLAN尚需进步研究本文通过分析WLAN特点提出可以分别用于有接入点模式WLAN和移动自组网模式WLAN两种入侵检测模型架构
  
  上面简单描述了WLAN技术发展及安全现状本文主要介绍入侵检测技术及其应用于WLAN时特殊要点给出两种应用于区别架构WLAN入侵检测模型及其实用价值需要介绍说明是本文研究入侵检测主要针对采用射频传输IEEE802.11a/b/g WLAN对其他类型WLAN同样具有参考意义
  
  1、WLAN概述
  1.1 WLAN分类及其国内外发展现状
  
  对于WLAN可以用区别标准进行分类根据采用传播媒质可分为光WLAN和射频WLAN光WLAN采用红外线传输不受其他通信信号干扰不会被穿透墙壁偷听而早发射器功耗非常低；但其覆盖范围小漫射方式覆盖16m仅适用于室内环境最大传输速率只有4 Mbit/s通常不能令用户满意由于光WLAN传送距离和传送速率方面局限现在几乎所有WLAN都采用另种传输信号——射频载波射频载波使用无线电波进行数据传输IEEE 802.11采用2.4GHz频段发送数据通常以两种方式进行信号扩展种是跳频扩频(FHSS)方式另种是直接序列扩频(DSSS)方式最高带宽前者为3 Mbit/s后者为11Mbit/s几乎所有WLAN厂商都采用DSSS作为网络传输技术 根据WLAN布局设计通常分为基础结构模式WLAN和移动自组网模式WLAN两种前者亦称合接入点(AP)模式后者可称无接入点模式分别如图1和图2所示
  
 >

  
图1 基础结构模式WLAN

  
 >

  
图2 移动自组网模式WLAN

  
  1.2 WLAN中安全问题 WLAN流行主要是由于它为使用者带来方便然而正是这种便利性引出了有线网络中不存在安全问题比如攻击者无须物理连线就可以连接网络而且任何人都可以利用设备窃听到射频载波传输广播数据包因此着重考虑安全问题主要有:
  
  a)针对IEEE 802.11网络采用有线等效保密(WEP)存在漏洞进行破解攻击
  
  b)恶意媒体访问控制(MAC)地址伪装这种攻击在有线网中同样存在
  
  C)对于含AP模式攻击者只要接入非授权假冒AP就可登录欺骗合法用户
  
  d)攻击者可能对AP进行泛洪攻击使AP拒绝服务这是种后果严重攻击方式此外对移动自组网模式内某个节点进行攻击让它不停地提供服务或进行数据包转发使其能源耗尽而不能继续工作通常称为能源消耗攻击
  
  e)在移动自组网模式局域网内可能存在恶意节点恶意节点存在对网络性能影响很大
  
  2、入侵检测技术及其在WLAN中应用
  IDS可分为基于主机入侵检修系统(HIDS)和基于网络入侵检测系统(NIDS)HIDS采用主机上文件(特别是日志文件或主机收发网络数据包)作为数据源HIDS最早出现于20世纪80年代初期当时网络拓扑简单入侵相当少见因此侧重于对攻击事后分析现在HIDS仍然主要通过记录验证只不过自动化程度提高且能做到精确检测和快速响应并融入文件系统保护和监听端口等技术和HIDS区别NIDS采用原始网络数据包作为数据源从中发现入侵迹象它能在不影响使用性能情况下检测入侵事件并对入侵事件进行响应分布式网络IDS则把多个检测探针分布至多个网段最后通过对各探针发回信息进行综合分析来检测入侵这种结构优点是管理起来简单方便单个探针失效不会导致整个系统失效但配置过程复杂基础结构模式入侵检测模型将采用这种分布式网络检测思路方法而对于移动自组网模式内入侵检测模型将采用基于主机入侵检测模型
  
  当前对WLAN入侵检测大都处于试验阶段比如开源入侵检测系统Snort发布Snort－wire－less测试版增加了Wi字段和选项关键字采用规则匹配思路方法进行入侵检测其AP由管理员手工配置因此能很好地识别非授权假冒AP在扩展AP时亦需重新配置但是由于其规则文件无有效规则定义使检测功能有限而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击2003年下半年IBM提出WLAN入侵检测方案采用无线感应器进行监测该方案需要联入有线网络应用范围有限而且系统成本昂贵要真正市场化、实用化尚需时日此外作为概念模型设计WIDZ系统实现了AP监控和泛洪拒绝服务检测但它没有个较好体系架构存在局限性
  
  在上述基础上我们提出种基于分布式感应器网络检测模型框架对含AP模式WLAN进行保护对于移动自组网模式WLAN则由于网络中主机既要收发本机数据又要转发数据(这些都是加密数据)文献提出了采用异常检测法对表更新异常和其他层活动异常进行检测但只提供了模型没有实现此外我们分析了移动自组网模式中恶意节点对网络性能影响并提出种基于声誉评价机制安全以检测恶意节点并尽量避开恶意节点进行选择其中恶意节点检测思想值得借鉴Snort－wireless可以作为基于主机入侵检测我们以此为基础提出种应用于移动自组网入侵检测基于主机入侵检测模型架构
  
  3、WLAN中入侵检测模型架构
  在含AP模式中可以将多个WLAN基本服务集(BSS)扩展成扩展服务集(ESS)甚至可以组成个大型WLAN这种网络需要种分布式检测框架由中心控制台和监测代理组成如图3所示
  
 >

  
图3 含AP模式分布式入侵检测系统框架

  
  网络管理员中心控制台配置检测代理和浏览检测结果并进行关联分析监测代理作用是监听无线数据包、利用检测引擎进行检测、记录警告信息并将警告信息发送至中心控制台
  
  由此可见监测代理是整个系统核心部分根据网络布线和否监测代理可以采用两种模式:种是使用1张无线网卡再加1张以大网卡无线网卡设置成“杂凑”模式监听所有无线数据包以太网卡则用于和中心通信；另种模式是使用2张无线网卡其中张网卡设置成“杂凑”模式另张则和中心通信
  
  分组捕获完成后将信息送至检测引擎进行检测目前最常用IDS主要采用检测思路方法是特征匹配即把网络包数据进行匹配看是否有预先写在规则中“攻击内容”或特征尽管多数IDS匹配算法没有公开但通常都和著名开源入侵检测系统Snort多模检测算法类似另些IDS还采用异常检测思路方法(如Spade检测引擎等)通常作为种补充方式无线网络传输是加密数据因此该系统需要重点实现部分由非授权AP检测通常发现入侵的后监测代理会记录攻击特征并通过安全通道(采用定强度加密算法加密有线网络通常采用安全套接层(SSL)协议无线网络通常采用无线加密协议(WEP))将告警信息发给中心控制台进行显示和关联分析等并由控制台自动响应(告警和干扰等)或由网络管理员采取相应措施
  
  在移动自组网模式中每个节点既要收发自身数据又要转发其他节点数据而且各个节点传输范围受到限制如果在该网络中存在或加入恶意节点网络性能将受到严重影响恶意节点攻击方式可以分为主动性攻击和自私性攻击主动性攻击是指节点通过发送路由信息、伪造或修改路由信息等方式对网络造成干扰；自私性攻击是指网络中部分节点可能因资源能量和计算能量等缘故不愿承担其他节点转发任务所产生干扰因此对恶意节点检测并在相应路由选择中避开恶意节点也是该类型WLAN需要研究问题
  
  我们检测模型建立在HIDS上甚至可以实现路由协议中部分安全机制如图4所示
  
>

  
图4 移动自组网模式中入侵检测架构

  
  当数据包到达主机后如果属于本机数据数据包将被解密在将它递交给上层的前先送至基于主机误用检测引擎进行检测根据检测结果对正常数据包放行对攻击数据包则进行记录并根据响应策略进行响应此外还可以在误用检测模型基础上辅以异常检测引擎根据以往研究成果可以在网络层或应用层上进行也可以将其做入路由协议中以便提高检测速度和检测效率
  
  4、结束语
  传统入侵检测系统已不能用于WLAN而WLAN内入侵检测系统研究和实现才刚刚起步本文分析了WLAN特点及其存在安全问题提出了两种入侵检测系统架构可以分别用于基础结构模式WLAN和移动自组网模式WLAN具有实用价值基础结构模式WLAN采用分布式网络入侵检测可用于大型网络；移动自组网中采用基于主机入侵检测系统用于检测异常节点活动和发现恶

3. 现在的IDS设备有什么推荐？？

由于IDS已经是一项成熟的技术，不同厂商的产品在技术上差异不是很大。事实上如果你只关心IDS产品的性能，你也许更应该关注开源工具Snort。它通常被认为是评价IDS的三项重要标准之一，而且价格是免费的。

　　一般而言，在选购产品时不应该被产品评语、产品认证之类的检测结果所左右。这些资源无疑可以帮助安全专家去了解产品，在一定层面上对产品做出比较，但是这些并无法代替安装并测试产品是否可以满足特殊组织的工作要求。

　　在这种情况下，如果时间充裕，还是应该实施这些产品在模拟实验环境中。除非经过测试，否则人们很难知道一个产品是否可以满足特定环境的工作需要。检测中你可能会发现用户操作使用你并不适应，升级更新过于烦琐以及其他一些麻烦。这一切都要经过测试，否则一切都很难说。

　　一旦你选定了在你的公司使用何种IDS设备，便要开始商讨价钱。切记在讨价还价前一定要确定你所选购的机器是可以使用于你的环境要求的。

国内厂商：绿盟，启明星辰什么的。上官网里面有介绍。具体要咨询经销商。

4. 我的毕业设计"基于局域网入侵检测的安全监测系统的设计"用什么语言开发好?

对于这个系统中监测部分，用C++比较合适。
界面部分则用JAVA比较好。
只试过入侵别人的。
因为我认为只有入侵过别人才知道怎样防入侵。

5. 关于网吧内网连接限制的问题，以及在网吧入侵检测中的疑问。（高手来！）

1.公网IP扫描是从外部扫描，映射端口和公网本身开放端口才能被扫描到，内网则是扫描内部网络段开放的端口，你第一次扫描和第二次扫描的端口有差异，证明同一电脑在不同时间断运行的软件不同，才会照成端口不一样的情况，也有可能是地址动态从新分配的原因
2.23端口在正常情况下就是TELNET服务的端口，之所以登陆不上，你所掌握的账户和密码非TELNET服务账户密码所致。
3.参见1
4.IPC$服务关闭
5.非弱口令
6.防火墙货杀毒软件的原因

6. 有哪些入侵检测工具

天网防火墙，网上有破解的。

7. 局域网网络入侵检测系统的设计与实现论文？

你好，wuxinji000，论文检测学校一般都用的知网的学位论文检测系统，现在好多大学研究生和本科生都要用这个系统。还有发表论文的时候也用期刊检测系统，反正就是什么都要测，万方和维普的系统可以用于修改，知网可以最后一次拿来测一下。测的时候可以选择去除自己发表的文章选项。我可以告诉你修改的方法。K

8. 我的IDS 用TTDS烧录卡 无法运行游戏

把里面的文件全部拿出来，然后格式化下TF卡，之后装上最新的内核，然后

把游戏ROM和内核放进TF卡，再插进烧录卡中，之后运行试试，如果还不行，那

就只能去换个新的烧录卡或TF卡了。