无线网络安全防御

无线网络安全防御篇1

关键词：无线网络,网络安全隐患,手机WIFI,防御策略

21世纪的第一个十年过去了, 要说这十年什么发展的最迅速, 许多人会想到互联网技术和智能手机的普及。如今, 电脑作为一个PC端, 虽然发展不错, 但已经不能和小巧智能的手机相比了, 大多数人不会坐在电脑前一呆呆一天, 但会抱着手机一看看一天。早上起床看手机, 晚上睡觉看手机, 无处不在的online手机无线促使着手机科技的发展。无线网络是手机普及的重要因素, 它安装方便, 上网速度快, 信号稳定, 移动性好, 无线网络在家庭、企事业单位、学校、公共场合都有着广泛的使用率。然而有利就有弊, 无线网络本身也存在许多问题, 网络安全不够完善, 信息泄露、黑客破坏、网上诈骗等问题接二连三。本文分析无线网络存在的安全弊端, 并给出维护无线网络安全的措施和应对网络遭受攻击时的防御策略。

1 无线网络

无线网络也称为无线局域网, 是计算机网络和无线通信的结合体。它的数据来源是电脑互联网, 通过射频信号, 在空气中传输数据给客户端, 例如手机、平板电脑、电视等媒体。无线网络的优势很大, 第一点就是它的移动性。比如在办公室内, 安置一个无线网络, 可以保证在任意位置获得无线数据, 支持自由移动、持续连接。第二点是成本低, 只需要有一台PC端提供有线网络, 再连入路由器, 基本上可以长时间开启不用担心信号等问题。维护也很方便, 同时不占用空间。第三点是它有很好的传输速度, 也就是网速, 802.11b的传输速度达11Mbps数据速率, 802.11g无线速率达到54Mbps, 802.11n的速率达到500Mbps, 而最新标准802.11ac达到1Gbps。已经可以满足大多数用户需求。

2 无线网络安全隐患

一般用户使用无线网络, 大多是能构建一个WLAN, 无线终端如手机能使用无线就可以了。因此无线网络安全的威胁就随之而来。

2.1 无线路由器隐患

无线路由在出厂时配置的账号和密码大多相同的, 因此无线路由可能被非法入侵, 并且被控制。入侵者可以随意更改无线路由参数, 对提供无线的客户端进行攻击, 甚至获得宽带的上网账号和密码。

2.2 无线WEP密码威胁

网上有许多WEP破解软件, 简单的无线WEP太容易被破解, 在网上存在的非法程序, 可以捕捉到无线信号, 对密钥加密的无线网络进行破解。

2.3 窃取信息

信号是802.11的无线网对数据帧不进行认证, 所以入侵者可以让ARP去欺骗局域网, 重新定向数据流, 进一步获取用户信息, 造成网络入侵。

利用中间人进行欺骗攻击, 使用一个非法的AP欺骗客户端, 再欺骗客户终端, 从而获得了用户信息, 进行窃取和修改。

网络信息大多数不进行加密, 因此被截取了信息就可以读取其内容, 也会入侵用户的网络信息。

3 防御策略

3.1 计算机网络防御

3.1.1 配置防火墙

防火墙的主要用途是在网络信息传输过程中控制访问的程度。如果得到授权, 就可以访问用户的计算机网络, 未得到授权就可以阻止访问, 这样可以防御未知的网络进入计算机网络内部, 防止网络黑客入侵用户的电脑盗窃信息和资料。防火墙对于保护用户信息有至关重要的作用, 是计算机网络不可缺少的一部分。

3.1.2 检测和扫描系统

检测系统是在防火墙未起作用的情况下, 抵抗黑客通过网络漏洞进行的攻击。检测和扫描系统由计算机本身进行, 大多数的系统软件都带有这种检测方式, 或者采用其他的杀毒软件进行检测和扫描, 这部分系统大多是清查计算机存在的系统漏洞, 漏洞就好比黑客在自己电脑上开的一个后门, 很容易让黑客和病毒进入计算机。建立完善的检测和扫描系统, 可以堵死这些系统漏洞, 让计算机网络处在一个安全的环境当中。

3.2 无线网络防御

3.2.1 隐藏无线

在军事上, 许多重要的设施都要进行隐蔽, 一旦被发现了就会被摧毁。因此, 如果让自己的无线网络不被发现, 那么它就相对是安全的了。控制信号的辐射范围, 可以实现最大可能的隐藏。控制信号覆盖范围:例如在家庭里安置无线网络, 就要选择合理的无线访问点, 控制信号的覆盖区, 尽量限制在家庭里。减少泄露到屋外的信号。

3.2.2 无线路由加密

一个好的加密方式及密码, 可以给无线路由进行安全防护。市场出售的无线路由器的账号及密码都基本相同, 所以要自行修改无线路由的参数, 密码要求尽可能的复杂, 数字字母交叉会更好。无线访问密码一定要设置, 如果没有是很容易被“蹭网”的, 蹭网的后果会导致自己的网速下降, 或者产生其他的安全问题。目前的加密方式主要有WEP加密、WPA加密等, WEP使用率很高, 也很好设置, 但容易被破解, 所以为了自身无线的安全起见, 建议采用WPA加密方式。

3.2.3 地址过滤

IP地址过滤:启用IP地址过滤功能。大多数无线路由器都有过滤IP地址功能, 可以在无线路由器页面设置, 将熟悉的IP地址设为允许访问。其他IP地址统一设置为不允许访问, 这样可以隔离外部的IP地址连接。

MAC地址过滤:启用过滤MAC地址功能。MAC地址的设置和IP地址设置差不多, 多数无线路由器都有过滤MAC地址功能。收集家庭电脑等终端的MAC地址, 在无线路由器的相关设置中, 写入允许接入此网络的无线终端的MAC地址, 这样及时有人搜索到了自己的无线网络, 也不能进行连接。

3.2.4 检查无线路由器记录

每隔一段时间登陆无线路由器检查一下访问记录, 是否有未知的MAC地址终端访问, 再检查一下宽带上网时间是否有异常, 这样做可以确保及时发现未知终端盗用自己的宽带时间, 并且阻止未知MAC地址登陆自己的无线路由。

3.3 手机WFIF防御

这在于每一个手机用户, 要要求自己不登陆不正规的网站, 不随意打开未知网页, 不下载不清楚的文件, 尤其是APK安装包。自己的蓝牙要及时关闭, 并且加上密码锁。禁止手机内的应用软件随意上网, 防止发生木马开门。关注下手机系统的更新信息, 用正规的安全软件下载手机系统漏洞补丁, 不定时清理手机垃圾文件和短信, 保证手机的上网安全。

4 总结

随着无线网络技术的发展及普及, 无线网络在网速和安全上进行了很大提升, 将促进WLAN网络被更多人使用, 最后可能会全地区覆盖。但网络安全知识的普及并不是很够, 有了技术没有意识也是不行的, 本文分析了一般的网络威胁, 给出了常用的应对策略, 可以满足一般家庭和地区的网络安全防御。来提升WLAN的安全。

参考文献

[1]educity.cn希赛网[Z].网络技术学院, 2013.

网络安全与防御篇2

摘要：随着网络技术的发展，我们的生活已经与网络密不可分。我们在享受网络给我们带来的便利与快乐的同时也感受到了不安全的网络会给我们带来的极大的不愉快和难以弥补的经济损失。所以我们要对网络安全有所了解。要知道网络隐患存在于哪里。有哪些行之有效的防御手段。

关键词：网络安全防御

1 计算机网络安全的概念

国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

2 计算机网络攻击的特点

计算机网络攻击具有以下特点：

2.1 损失巨大由于攻击和入侵的对象是网络上的计算机，所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。

2.2 威胁社会和国家安全一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。

2.3 手段多样，手法隐蔽计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息；也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统；还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹，隐蔽性很强。

3 计算机网络中的安全缺陷

3.1 TCP/IP TCP/IP是一种开放式的标准，在Internet上被广泛使用，但是存在很多安全漏洞。例如HTTP、FTP和ICMP，其本质上就是不安全的；ICMP对于消息不作验证就可以发出，当收到后，可以继续重定向发送到下一个设备上；而对于SNMP而言，它是网络管理中用得最多的消息，但是版本1和版本2中的身分验证和访问控制等功能相当的薄弱，而且不具有保密性；对于TCP/IP协议而言，容易受到SYN flood攻击，也是该协议不完善的地方。所以需要一系列安全处理方式对这些漏洞进行弥补。通常对于远程节点的访问采用基于安全的IP协议IP Sec来实现。而对于其他关键数据在发送的时候已经做好了相应的处理。

3.2 系统安全漏洞对于操作系统而言，也存在很多安全漏洞，许多Web服务器及其他关键数据受到攻击都来自于这些漏洞，通常Windows XP/2003/Vista以及Linux、UNIX、MacOSX都存在安全漏洞，特别应值得注意的是，这些安全漏洞通常是在发布后几个小时，就有主机因这些漏洞而被攻破。

4 网络攻击和入侵的手段

网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。

4.1 口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

4.2 IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中，入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。

4.3 域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。

5 防御措施

5.1 加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。

5.2 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

5.3 安全加密技术加密技术的出现为全球电子商务提供了保证，从而使基于Internet上的电子交易系统成为了可能，因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道。

5.4 网络主机的操作系统安全和物理安全措施防火墙作为网络的第一道防线并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全；同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线，主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线，用来遭受攻击之后进行系统恢复。

总之，我们要提高网络安全意识，认清网络的不安全性。采取必要的安全策略来保障信息的安全，进而降低风险，减少不必要的损失。

参考文献：

[1]胡道元.计算机局域网［Ｍ］.北京：清华大学出版社.2001.

[2]朱理森，张守连.计算机网络应用技术［Ｍ］.北京：专利文献出版社.2001.

[3]刘占全.网络管理与防火墙［M］.北京：人民邮电出版社.1999.

无线网络边缘安全分析及防御措施篇3

802.11规范未定义有线设备隐私 (WEP) 密钥管理协议。静态WEP密钥的使用在安全上不足以防止对网络的未经授权的访问, 也不足以保持通信的保密性。这是IEEE 802.11安全服务的一个限制, 特别是在带有大量工作站的无线基础结构网络模式中。WEP最近被证实为加密性不强的协议。加州大学柏克莱分校的研究人员能够破解经加密的WEP编码数据。理论上, 恶意用户也能够对网络这样做。此外, 没有标准的方法用于向客户端提供静态WEP密钥。由于所有客户端共享同一个静态WEP密钥, 因此, 泄露此密钥会使所有人的通信都暴露在潜在的危害中。

控制对无线网络的访问是一个对于网络管理员来说日渐困难的挑战。无限制的访问意味着具有无线网卡的任何人都可以访问网络。另一方面, 过份限制的访问会令使用无线的好处不复存在。所有实施无线网络的公司所面对的挑战是, 限制对无线基础结构的访问并隔绝入侵者, 同时为用户提供漫游的自由。

二、可采取的解决方案

可使用几个协议和第三方解决方案来增强WLAN的安全。可以使用第2层身份验证。

基于密码的第2层身份验证相对容易实施, 因为它不需要公钥基础结构 (PKI) 。用于此方案的协议是IEEE 802.1x身份验证协议, 它使用受保护的可扩展身份验证协议 (PEAP) 和Microsoft质询握手身份验证协议 (MSCHAP) v2进行客户端的身份验证。

如果可以实施PKI, 则更为安全的解决方案是将可扩展身份验证协议传输层安全 (EAP-TLS) 用于802.1x网络访问。EAP-TLS使用证书来进行访问点和无线客户端相互之间的身份验证。

在某些情况下可以使用其他选择:

1. VPN连接—要求无线用户使用能进一步加密无线数据的VPN技术来连接。

但是, VPN连接通常要求用户在连接到无线网络后建立一个独立的VPN通道。此解决方案不允许漫游, 并且只在某些情况下才有用。例如, 当在不安全的无线连接 (如公共无线热点) 上建立连接时。此外, 因为对于VPN连接并没有计算机身份验证, 所以, 不会处理组策略中的计算机设置。

2. IPSec—可以通过使用组策略来配置IPSec策略。

但是, 并非所有无线客户端都支持IPSec。此外, IPSec无法加密某些类型的网络通信。IPSec互操作性问题可能会造成其他问题。通常, IPSec并非保护无线通信的可行解决方案。

三、无线访问保护 (WPA)

在创立WPA时, 它有两个主要的安全设计目标:第一个目标是提供改进的数据加密 (WEP的数据加密能力很弱) 。第二个目标是提供用户身份验证 (这在WEP中并未提供) 。为了达成第一个目标, WPA使用了暂时密钥集成协议 (TKIP) 。TKIP提供加密增强功能, 包括每个数据包密钥混合功能、消息完整性检查 (MIC) (也称为Michael) , 以及带排序规则的扩展的初始化向量 (IV) 。

WPA通过实施802.1x和EAP来提供用户身份验证。像802.1x的所有实施一样, 需要RADIUS (IAS) 基础结构才能支持身份验证。WPA将向前兼容于IEEE当前正在制定的IEEE 802.11i安全规范。WPA是当前的802.11i草案的一个子集, 并采用了现今已推向市场的802.11i草案的某些部分, 如该草案的802.1x和TKIP实施。还可以在大多数现存的Wi-Fi认证产品上以软件升级的形式实施这些功能。

在家庭或小型办公室/家庭办公室 (SOHO) 这些没有中央身份验证服务器或EAP框架的环境中, WPA运行在特别的家庭模式下。此模式也称为预共享密钥 (PSK) 。PSK设计为易于设置, 从而使家庭用户能使用手动输入的密钥或密码。家庭用户将密码 (也称为主密钥) 键入到访问点或家庭无线网关中, 以及键入到WiFi无线网络上的每台PC中。在此之后, WPA过程会自动进行:

1. 密码只允许带有匹配密码的设备加入到网络中, 从而隔绝了窃听者和其他未经授权的用户。

2. 如前所述, 密码会自动触发TKIP加密过程。

家庭模式中的WPA的主要安全限制是, 某些无线访问点生产商允许用户输入不太复杂的密码。如果使用了脆弱和可猜到的密码, 则缺少复杂的密码可能会使家庭模式极易受到攻击。

四、比较好的解决方案

每当连接到802.11无线网络时, 都使用802.1x身份验证。802.1x是一种IEEE标准, 它通过为集中式用户标识、身份验证、动态密钥管理和记帐提供支持来增强安全性和部署能力。

将无线用户和计算机进行分组, 以便于管理。然后, 可以通过对这些组应用策略来集中管理策略。这样能更容易看到应用了哪个策略以及对哪些用户和计算机应用了策略。

仔细规划无线策略。策略的结果集 (RSOP) 向导可用于准确查看将哪个策略应用到目录中的任何对象。

五结束语

在今天, 包含屏蔽式子网几乎就等同于包含整个受信任的网络。为了处理不断增长的B2B交易数量, 各个组织正在创建更为开放和宽容的边缘安全解决方案。当减少了对传统边缘的保护时, 必须对内部网络采取更多的安全措施。在未来几年中新出现的趋势将会是:开放边缘, 同时利用互补的安全措施加强内部网络的安全, 例如Internet连接防火墙 (Windows Firewall) 、IPSec端口过滤、802.1x LAN身份验证、具防火墙功能的路由器和交换机、加密和系统监控。只有不断的加强对网络边缘的保护, 整个网络的安全才有保障。

参考文献

[1]Yuebin Bai, Hidetsune Kobayashi.Intrusion Detection Systems:Technology and Development.The17th International Conferenceon Advanced InformationNetworkingand Applications (AINA’03)

[2]Lynda L.Morrison perimeter Defensein-Depth:Using Reverse Proxies and other tools to protect our internal assets, SANS Institute2002

校园无线网络的安全防御技术探讨篇4

随着科学技术的不断进步,互联网的全球范围内的普及,校园网逐渐的成为学校必不可少的信息基础设施,与此同时,也逐渐的演变为提高教学质量、科研水平以及管理水平的重要手段。校园网是利用先进的计算机技术以及现代化的网络,连接校园内所有的工作站、服务器、局域网以及相关设备,从而使得各种各样的教学资源、管理方法以及思想政治教育活动在软硬件平台上进行有效的互动,实现教学水平质的提高。

1 校园网络安全的概念及安全风险

我国网络技术飞速发展,网络安全技术在校园网络中发挥着越来越重要的作用,在很大程度上解决了校园网络安全问题。校园网络包含了许多用户、有学生、教师、工作人员等,用于多种类型的用户网络越来越多,在线聊天和网络游戏都会带来网络安全问题,因此网络安全技术在校园网络中起到了重要作用。在学校的教务管理中,校园网站对促进学校教育事业发展有着重要意义。目前,各学校的校园网建设也进入了比较成熟的阶段,但随着而来的安全问题也越来越突出,给校园网的信息安全带来极大的威胁。校园网站面临的威胁主要包括以下几个方面:一是人为的恶意攻击,通过非法手段获取非法利益,这种恶性行为一部分来自校园网外部,一部分来自校园网内部学生出于好奇而进行的黑客程序运行活动,这些都对校园网站的安全造成巨大的威胁;二是网络病毒对入侵,随着计算机技术的发展,网络病毒的攻击性和危害性也越来越大,一旦入侵网站就可能导致整个网络系统瘫痪;三是效校园网站系统的安全漏洞越来越多,安全漏洞是系统遭受恶意攻击的重要原因,而随着网站服务器以及其他设备的多样化发展和应用,同时也为网络系统带来了更多的安全漏洞,给那些黑客的攻击、病毒的入侵创造了机会。

2 校园无线网络的安全防御技术

2.1 防火墙技术

防火墙技术涉及数据加密、网络通信、信息安全、安全决策等方面,是一种综合性的科学技术,随着网络安全形势的日益严峻,防火墙技术近年来发展迅速。防火墙就是一道位于目标保护网络与外部网络之间的屏障,通过部署多个网络安全设备将内外网隔离开,阻挡非法访问,保护网络安全,以防止发生不可预测的、潜在的恶性入侵和破坏。防火墙自身有很强的抗攻击能力,是一种有效的安全技术,常用的防火墙有过滤防火墙、内容过滤防火墙等。然而,防火墙技术自身也存在多方面局限性,首先,防火墙只能对外网的威胁发挥预防作用,但无法防止网络内部的攻击,这是防火墙技术的一大缺陷。其次,防火墙只能用于阻断危险,但无法消灭威胁,这样就导致防火墙要阻挡源源不断的攻击,却始终无法消灭攻击源。另外,防火墙的设置无法保持更新,对新的、未经设置的攻击无法发挥作用。

2.2 入侵检测技术

入侵检测技术是一种新型的、动态的网络安全技术,其主要功能是主动检测网络系统中的安全漏洞,探测可能发生的网络危险行为,检测入侵者的攻击行为和目标,并在检测到安全威胁后及时发出报警信息,将危险消除在网络遭受侵犯之前。入侵检测技术可以对网络系统的各种活动进行扫描,对网络流量进行监控,进而收集重要的网络信息,查找网络中潜在的安全风险,并执行实时报警。入侵检测技术的功能核心在于检测入侵行为是否发生,而不能立即阻止入侵行为的发生。而且目前入侵检测技术有很多的局限性,存在评价标准不统一、误报率高、漏报率高、缺乏规范的响应措施等问题。

2.3 合理选用与布局天线

无线网络安全防御篇5

用户使用无线网络得到了更多的网络体验, 但是, 这种体验与安全性也有很大的关系, 容易受到网络数据机密、控制访问、数据完整和网络维护、部署、设计这两方面的攻击, 前者不仅是在无线网络下会遭到攻击, 在有限网络的情况下也可能发生。

2 新时期无线网络面临的安全威胁

2.1 搜索攻击威胁

攻击无线网络的其中一个方法, 那就是搜索, 目前有很多攻击和识别无线网络的软件和方法。第一个用来检测无线网络是Net Stumbler软件, 许多无线网络都没有使用加密功能, 即使有加密的也在活动状态。AP广播能够检测WEP加密的信息, 比如SSID、网络名称、安全标识都可能给黑客造就攻击无线网络的条件。

2.2 信息泄露威胁

截取、监听和窃听都是泄露信息的方法。窃听就是在无人知晓的情况下侵入检测的设备, 获取网络中传输的信息, 即使在不对外发布网络信息的情况下, 只要它能够检测到任何的信息, 也会想方设法使用其他的方法, 比如Airo Peek与TCPDump来分析和检测他们的通信量, 从中获取大量的信息。

2.3 身份验证欺骗威胁

通过欺骗手段攻击网络设备, 窃取无线网络信息, 使被攻击者以为这些连接是一个没有任何威胁的机器发出的, 以此来达到攻击者的目的。还有就是可以重新定义MAC地址和网络, 目前还没有非常好的方法来防止这些欺骗, 虽然可以通过静态定义的方法来防止攻击, 但这种方法几乎不采用, 因为它本身的局限性就是管理负担太大。想要对付这种欺骗攻击行为, 就必须经过日志监控和智能记录事件, 让他们其中的一个节点向AP请求身份验证, 避免欺骗无线网络。

2.4 网络接管与篡改

由于TCP/IP本身设计的局限性, 让一些欺骗方法有机可乘, 利用这个漏洞与其他网络资源建立连接。假如让攻击者掌管了哪个AP, 所有的无线网络信息都会被他们看到, 他们还可以设置其他访问用户的信息和密码, 通过无线和有线网络进行远程操作, 用户一般也不会怀疑, 一般都毫无防备, 即使受到了密匙与SSL错误提示, 他们都还习惯地认为是机器本身出现了错误, 从而让攻击者更加大胆地继续连接网络, 又不被人发现。

2.5 拒绝服务攻击

一般会通过下面的这些方法来攻击无线网络:⑴调整设备的使用频率来造成无线网络的内部冲突。⑵发送身份验证。

⑵攻击者通过掌管AP, 获取访问权, 扰乱网络用户, 不把及时有效的信息发送给用户, 造成他们不能使用无线网络。利用高性能天线, 攻击无线网, 发送即使无线AP都没有办法处理的通信量恶意攻击。

2.6 用户设备安全威胁

因为IEEE802.11明确规定了WEP分配给用户的是静态密匙, 所以, 只要他们拥有无线网卡, 就相当于拥有了使用无线网的MAC合法地址。如果用户的电脑丢失或者被盗, 那他丢失的不仅仅是一个电脑, 还有网络密匙与SSID以及验证信息。

3 新时期无线网络安全防御措施

3.1 启用WEP机制

WEP的功能是用来共享密钥和保密目标, 实现这些功能需要做到以下五点:一是通过加入校验码保证数据的完整性, 避免有的攻击蓄意加入已知文本获取密钥。二是客户端必须使用WEP, 以便提升WEP机制的作用。三是必须避免缺省选项, 暂时先不使用WEP密钥。四是由用户来设定密钥, 方便以后可以经常更改。五是WEP版本要与标准规定的版本同步即时更新。

3.2 过滤MAC地址

过滤MAC能够减少大量攻击, 一般用于大规模的无线网络。一是把MAC作为首要的保护对象, 把无线网络的MAC地址与AP结合, 只允许相结合的网络访问, 阻止不可靠的MAC地址访问网络, 二是记录日志, 定期检查日志中出现的错误, 及时判断是否有人非法访问。

3.3 过滤协议

为了降低网络安全的风险和提供网络安全, 要设置正确的协议进行过滤, 虽然不是最好的方法, 但却是相当有效的办法, 它可以通过SNMP来修改网络用户的配置, 来阻止其他攻击的协议和ICMP数据包。

3.4 屏蔽SSID广播

获取RF通信很容易, 想要RF通信安全有效, 也不是没有方法, 只要阻止SSID不经过AP向外广播, 就可以保证RF通信安全。关闭所有网络, 以免无效的网络插入, 再把配置信息正确无误地发送给网络用户。

3.5 严控管理IP分配方式

IP分为动态和静态两种地址分配方式。网络是否安全, 最主要的就是能否选一个最适合的网络分配IP。静态和动态这两种分配方法各有特点, 静态可以保护IP不会随意被获取;而动态的可以使管理工作简单化, 简化WLAN。

参考文献

[1]吴顶龙.无线网络的安全策略及防护手段[J].职业.2009 (06) .

[2]徐伟鹏.无线网络安全攻防[J].电视工程.2009 (01) .

[3]李吉平, 郭凤宇, 姜春.浅谈无线网络的安全隐患及应对措施[J].科技信息.2009 (03) .

无线网络安全防御篇6

近年来，无线传感器网络(Wireless Sensor Networks，简称WSNs)在军事、农业、环境监测等各个领域都有广泛的应用。这是一种全新的信息获取、处理和传输技术。由于无线传感器网络具有组网快捷、灵活、不受有线网络约束等特点，使得无线传感器网络作为现代通信技术中一个新的研究领域，引起了学术界和工业界的高度重视。但是，又因为WSNs具有通信能力有限，节点能量有限、动态的网络拓扑等结构特点，使得WSNs容易受到攻击，因而网络安全引起了人们的极大关注，各种预防网络攻击的安全措施相继被提出。

在众多的网络攻击中，拒绝服务攻击(Denial of Service，简称Do S攻击)的危害尤为严重[1]。当攻击者控制大量的节点进行Do S攻击时，这种攻击方式就被归类为分布式拒绝攻击(Distributed Denial of Service，简称DDo S攻击)。攻击者在WSNs中发起Do S/DDo S攻击时，一般会通过持续发送重放或伪造的报文给网络中的某些节点的方法，使这些节点不停地转发数据包，从而导致有限的节点能量被迅速消耗殆尽，最后导致WSNs的瘫痪。

近年来，大量学者对WSNs中的DOS/DDo S攻击的防御策略的研究问题表现出了极大的兴趣，纷纷展开了该领域的研究工作[2,3,4,5,6]。针对无线传感器网络安全问题，不少学者提出使用博弈论的方法来解决在WSNs中的Do S/DDo S防御问题，这也是研究方向之一[7,8,9,10]。文献[11]总结了如何用不同的博弈模型研究WSNs中的安全问题。文献[12]介绍了一种基于博弈论的DDo S入侵检测防御策略。文献[13]给出了在WSNs中Dos/DDo S攻击的协议分析。本文在上述文献的基础上，提出了一种基于两个参与者、非合作非零和博弈的模型，用来分析WSNs中Do S/DDo S的防御策略优化问题。现有的WSNs网络防御技术分两种比较普遍的方式。第一种方式就是建立防火墙，这是防御WSNs中Do S/DDo S攻击最直接的策略，通过直接过滤速率较高的数据流来进行防御;第二种方式是采用入侵检测系统，对检测到的攻击节点采取措施。本文针对WSNs的网络拓扑的特点，结合上述两种防御方式，使用博弈模型进行策略优化。

本文选择的博弈模型优点在于模型的灵活性高，可以在保持具体方法不变的前提下，根据不同的WSNs网络环境调整对应的参数，这样的模型适用于实际应用。本文的创新点在于，利用简单的博弈模型将上述使用的两种防御措施相结合;另外，本文提出了一种通用的防御优化方式，在实际使用时可以根据具体的WSNs环境设置相应的参数，因此，该策略适用于不同的WSNs网络环境。

1 背景知识

博弈论是研究存在利益冲突的参与者之间的行为和决策的理论和方法。博弈论也可以被理解为用于模拟两个或两个以上的决策者在一定条件下相互作用的关系[14]。具体就是通过严格的数学理论和模型推导，在各种策略之间进行利益权衡，从而选择对参与者自身最有利的策略。本文将WSNs中Do S/DDo S攻击看作是攻击者和防御者的相互关系，攻击者和防御者都会选择对自己最有利的策略以实现自己的利益最大化。一般来说，决策者可以分为理性决策者和非理性决策者。理性决策者在选择决策时会考虑他人的策略，而非理性决策者不会。在大多数的博弈模型中，决策者都是理性决策者。

在博弈过程中，每个决策者都以自己的利益最优作为选择决策的依据，由于每个决策者做出的决策会影响其他的决策者的利益，所以纳什均衡(Nash equilibrium)的概念就被提了出来。纳什均衡又被称为非合作博弈均衡，是一种策略组合，使得每个参与者的决策是对其他参与者策略的最优反应。如果一个博弈存在纳什均衡，而决策者没有选择纳什均衡中的策略的话，那么其收益一定低于选择纳什均衡中的策略带来的收益。

博弈模型的类型可以根据博弈的参与者之间是否存在约束性的条件或者一致达成坚不可破的联盟而被划分为合作博弈和非合作博弈。决策者根据各自的策略集来判断是否合作。在Do S/DDo S攻击中，攻击者和防御者没有相互的合作关系，因此这个模型属于非合作博弈。此外博弈模型又可以划分为零和博弈与非零和博弈。当决策者的总收益之和存在变化时，这种博弈类型称为非零和博弈。

2 基于博弈模型的防御策略优化

2.1 概述

本文基于WSNs现有的防御方式，利用博弈模型实现防御策略优化的目的。其中，博弈模型是一个基于两个参与者的非合作一次零和博弈。为了更好地刻画攻击者和防御者之间的关系，该模型包括了Do S/DDo S攻击者和防御者考虑的多个因素。在该博弈模型中，攻击者的目标是找到最优的攻击配置参数，以此达到花费最小，收益最大的目的;而另一方面，防御者的目的也是找到最优的防御配置参数，以此来降低攻击者的收益。本文假定攻击者是一个理性的攻击者，也就是说攻击者总是以收益最大化作为自己的目的。由于本文的模型是一个一次博弈模型，这也就意味着双方选定策略之后，将不会改变各自相应策略直到博弈结束;而非零和博弈意味着，攻击者与防御者的收益公式将分开计算，并且攻击者与防御者的收益之间没直接的联系。当找到了博弈模型中的纳什均衡点时，就表示找到了优化策略的最优解。

2.2 网络拓扑及现有的防御措施

本文使用文献[15]中的网络拓扑。图1中的网络拓扑是WSNs中常见的网络拓扑图。图1中间的部分就是WSNs，与其相连的可能有Internet以及其他的无线网络。WSNs采取聚簇结构，每个簇中有一个Sink节点(Sink Node)以及一些传感器节点(Sensor Node)。Sink节点监控每一个传感器节点的行为，并将传感器的信息发送给基站(Base Station)，最后通过基站与其他网络连接。由于WSNs的资源有限性，Sink节点到基站的带宽是存在瓶颈的，而WSNs与其他网络连接时，其带宽可以假设不存在瓶颈。

图2显示了当WSNs网络中存在正常节点以及攻击节点时，防御措施是如何工作的。在Sink节点到基站中间中会有两层防御设施。首先，第一层的防火墙会将数据包速率超过阈值的数据包丢弃。之后的第二层防御措施是一个入侵检测系统，当有攻击行为被检测出来时，系统会发出警告。

2.3 优化策略的引入

本文提出了两种优化策略:

(1)给出优化的防火墙阈值，以达到最优的防御效果。因为现有的防火墙措施是将速率超过一定阈值的数据包丢弃，然而，这个阈值如何设定比较合理，很难做出判断。如果阈值设定得过高将使防御效果降低，但是过低的阈值也会导致正常的节点无法使用。

(2)针对检测出的攻击节点给予一个优化的惩罚值。现有的入侵检测系统缺乏惩罚措施，使得攻击节点无须考虑攻击行为对后续收益的影响[16]。

实际上，攻击者的总收益取决于以下四个因素:

(1)被攻击节点消耗的平均带宽。

(2)由于瓶颈的限制而导致正常节点数据包丢失的数量。

(3)攻击者使用的攻击节点的数量[15]。

(4)被防御措施惩罚的时间。

其中，(1)和(2)中的收益是正收益，而(3)和(4)中的收益是负收益。如果攻击节点在攻击之后会得到惩罚，使得攻击的成本大于收益，那么，一个理性的攻击者将不采取攻击的行为，从而有效地遏制攻击行为。

2.4 优化策略的计算

本文的博弈模型中，参与者是攻击者与防御者。攻击者的行动分为攻击与不攻击两种，记为行动集A1={攻击，不攻击}。而对于防御者而言，由于WSNs的资源有限性以及开启防御措施的能量消耗，防御者在实际中并不一定需要时时刻刻地开启防御措施，因此，防御者的行动为防御与不防御，记为行动集A2={攻击，不攻击}。最终的博弈行动集记为A={A1,A2}。由于攻防双方选择策略时均无限制，所以最终的博弈策略空间为S={(攻击，防御)，(攻击，不防御)，(不攻击，防御)，(不攻击，不防御)}。

攻击者与防御者每个人选择一个策略，那么n维向量S=(S1,S2)称为一个策略组合，其中Si是参与者i选择的策略。用Sij表示参与者选择其策略集j策略。对于特定的策略组合，参与者i的收益记为ui(S1,S2)。由于这里的博弈模型是非零和博弈，所以对于收益满足如下公式:

2.4.1 WSNs网络

假定在WSNs网络中，包括正常节点Ni,i∈[1,n](n是正常节点数)和攻击节点)。Aj,j∈[1,a](a是攻击节点数)。Do S攻击可以看作是攻击节点数a为1的DDo S攻击。所有的节点发送的都是基于UDP协议的数据包。在模拟UDP数据流时，通常认为UDP数据包的速率服从某一种确定的概率分布或者是多种概率分布的混合，比如正态分布、指数分布、对数分布等等。在本文的模型中，每一个合法节点以某一种速率发送数据包到基站，这种速率是服从泊松分布的，如公式(2)所示:

公式(2)中，表示正常节点发送的数据包速率，fn是正常节点发送数据包速率的数学期望。为了模拟合法的数据流的流率，攻击节点也同样地使自身的发包速率服从概率分布，这个概率分布可能是泊松分布～Poiss(fa)，或指数分布～Exp(fa)，或正态分布～Normal(fa，σa2)。这里的fa是攻击节点速率的数学期望，σa2是攻击节点速率的方差。之所以考虑指数分布和正态分布是为了考虑多种因素以更好地概括攻击者的行为。

2.4.2 攻击者收益

在计算攻击者收益时，需要考虑2.4概述中提到博弈空间的四种策略组合，必须结合防御者选择的策略，然后才能分别进行计算。本节将依次计算四种策略组合下的攻击者收益。

(1)攻击者选择不攻击，防御者选择不防御时

由于攻击者选择不攻击，所以攻击者额外的消耗带宽，没有导致正常节点的数据包丢失，自身没有消耗额外的能量，也不会被防御措施惩罚。在这种情况下，攻击者的收益为0，可以用公式(3)表示:

(2)攻击者选择不攻击，防御者选择防御时

攻击者的收益同情况(1)相同，如下所示:

(3)攻击者选择攻击，防御者选择不防御时

由于防御者选择不防御，防火墙与入侵检测系统将不会影响攻击节点。所以攻击者的收益只受三部分影响:Soccupy、Slost和Stransfer。定义Soccupy是被攻击者消耗的平均带宽，Slost是正常节点数据包丢失的比率，Stransfer是转化的代价。Soccupy的计算方式如公式(6)所示:

在计算Slost时，由于UDP协议为了保持通讯需要发送心跳包，所以为了保持协议，数据包的速率有一个最低值，低于该速率的数据包不能传送到目的地。定义γ(γ>0)是可以传送数据包的最低速率，B(B>0)是瓶颈处的带宽上限，则Slost如公式(6)所示:

公式中，P[x,y]表示x比y小的概率。定义C0、Cl、Ca分别是被攻击节点消耗的平均带宽、正常节点的丢失比率和使用的僵尸节点数的权重系数，攻击者的收益如公式(7)所示:

(4)攻击者选择攻击，防御者选择防御时

在计算该部分时需要考虑防火墙与入侵检测系统。在实际过程中，由于防火墙的存在，无论是正常节点还是攻击者，速率高的数据包将会被防火墙拦截。这个情况导致了正常节点的平均速率发生了改变;同时，攻击节点的平均速率也会因为防火墙的拦截发生改变。假定防火墙拦截数据包的速率阈值为M，公式(8)和(9)表示了新的速率是如何计算的:

其中，f'n是改变后的正常节点的数据包平均速率，f'a是改变后的攻击节点的数据包平均速率。攻击者通过防火墙时，收益同样受S'occupy、S'lost和S'transfer三部分影响。新的S'occupy可用公式(10)表示:

在计算新的Slost时需要考虑两个因素:除了数据包的最低速率，还有防火墙拦截数据包的速率阈值。新的S'lost可用公式(11)表示:

再考虑入侵检测系统，假设攻击者的某一个攻击节点在持续攻击了Ti时间之后，以概率δ被检测出是攻击节点，那么在被检测出是攻击节点的基础上，入侵检测系统将会持续Tj段时间丢弃该节点的数据包，而这个主动丢弃的措施对于攻击者来说是透明的，攻击者在Tj段时间的攻击就相当于没有任何收益的。假设攻击节点在攻击Ti时间之后恒定地以δ=1的概率被检测出来，被惩罚Tj段时间，那么攻击者在这段时间的收益可以用两部分来表示，如公式(12)所示:

但是实际过程中，检测率δ=1是比较难以做到的，本文参考了文献[17]中的公式，认为检测率δ与攻击节点发送的数据包的速率有关，如公式(13)所示:

上述公式中，F是数据包的速率，β是缩放因子，τ是影响参数，B是瓶颈处的带宽上限。图3给出了不同值的情况下，检测率δ的变化趋势。从图中可以分析得出，不一样的影响参数将会得到不一样的检测率曲线。对于速率较低的数据包，检测率将比较高;而对于速率较高的数据包，检测率将会降低，但是由于防火墙的存在，所以速率较高的数据包有很大的可能性在第一层防御的时候就被拦截。

建立在检测率δ≠1的情况下，攻击者的单位时间的收益就有两种情况，用公式(14)表示:

其中，Ttotal=Ti+Tj。将公式(14)化简，则攻击者最后的收益由公式(15)表示:

定义为惩罚时间的系数μ，攻击者最后的收益公式可以化简为公式(16):

2.4.3 防御者收益

影响防御者收益的主要因素有如下几点:

(1)正常用户消耗的平均带宽。

(2)防御措施成功防御的攻击。

(3)防御措施自生消耗的能量。

(4)防御措施将正常用户拦截的数量。

上述的这四点中，(1)与(2)均是启用防御措施带给防御者的正收益，而(3)与(4)则是负收益。

同攻击者的收益计算方式相同的是，计算防御者收益时同样必须按照策略的组合分四种情况进行分析讨论。

(1)攻击者选择不攻击，防御者选择不防御时

在这种情况下，由于攻击者没有采取任何攻击行为，所以防御者的收益只有正常用户消耗的平均带宽带来的收益。定义cn是正常节点消耗带宽的权重系数，防御者的收益如公式(17)所示:

(2)攻击者选择不攻击，防御者选择防御时

定义cd是启用防御措施而带来的消耗的权重系数，cp是由于防御措施而导致受影响的正常节点数的权重系数，则这种情况下防御者的收益如公式(18)所示:

(3)攻击者选择攻击，防御者选择不防御时

在这种情况下，由于防御者没有采取任何的防御措施，将不会有攻击者被拦截。但是相对地，也没有产生任何因防御措施带来的消耗。由于瓶颈处的带宽上限，将会有部分的正常节点被丢弃，这也会对防御者的收益产生影响。防御者的收益公式如下:

(4)攻击者选择攻击，防御者选择防御时

由于攻击者的攻击，使得正常节点消耗的平均带宽下降。启用防御措施会带来消耗，但是启用了防御措施后，将使攻击的数量下降，防火墙将拦截速率高的攻击节点，入侵检测系统通过检测将给予惩罚。另外，启用防御措施带来不利的一面就是会影响正常节点的工作。定义cp是成功防御攻击节点的权重系数，则防御者具体的收益公式如下:

2.4.4 纳什均衡计算

本文中，非零和博弈的收益矩阵如表1所示。

在表1的基础上，结合2.4.2与2.4.3中收益的计算公式，并根据攻击者选择的决策进行讨论。

由于该博弈是一个纯策略博弈，那么在这种模型下，只需找到攻击者与防御者的纳什均衡，即能选择防御者的策略。通过计算可以发现，在防御者选择防御时，攻击者选择攻击的收益大于不攻击的收益，在防御者选择不防御时，攻击者同样是选择攻击的收益较高，所以攻击者一定会选择进行攻击;防御者的计算方式也是相同的，所以博弈中策略组合(攻击，防御)是一个纳什均衡。

由于该博弈是非合作博弈，所以防御者的目的是使自身的收益提高，对方的收益下降，也就是使双方的收益变大。定义攻击者的参数集是(da,fa，σa,a)，防御者的参数集是(M，μ，β)。公式(21)是防御者参数集的计算方式。

综上所述，防御者只需在特定的WSNs环境中，找到满足公式(21)的参数组合，就是防御者最终得到的优化策略。

3 实验分析

为了更好地解释实际情况中纳什均衡的计算，本节将对WSNs中的参数进行设置，并使用Matlab工具模拟在假定环境下的纳什均衡解。

假设正常节点数n=80，节点发送的数据包速率服从泊松分布并且平均速率fn=80;Sink节点到基站的数据通讯瓶颈限制是5Mbps;使协议保持通讯至少需要的速率是γ=10kbps;c0=cl=1000,ca=2;τ=60;cn=cd=500,cp=cq=1 000;设定如下的限制1≤M≤150,0≤μ≤1,1≤β≤1000,0≤a≤120,1≤fa≤120,1≤σa2≤100(仅限正态分布)。

首先讨论在攻击者选择攻击，防御者选择防御的情况下，攻击者的收益情况。由于最后的收益公式相对较为复杂，本文采取从简到繁的方法，一步一步讨论。图4表示的是攻击者的收益，攻击者发送的数据流服从泊松分布，fa=60。在这个例子中，攻击者能调整的参数只有僵尸节点的数量，防御者能调整的参数只有阈值M。可以看到，当M值低的时候，攻击者的收益很高，这是因为过低的M值提高了丢弃正常节点的数据包的概率。另一方面，当防御者提高其阈值时，攻击者的收益降低了，这个是符合理论的事实，因为阈值提高，较少的正常的节点被防火墙拦截。同时观察到，当攻击者增加其僵尸节点数量时，所得收益降低，这也是符合事实的一点。纳什均衡的点是攻击者使用89个僵尸节点，防火墙的值在128时。这时的收益是Stotal≈285.5。

图4是博弈中的一个子博弈，在图4的基础上，进一步地模拟攻击者的模型。在第2节中已提到，攻击者发送的数据包的速率不是单一地服从泊松分布的，速率可以服从泊松分布、正态分布或者是指数分布，那么将这些情况都考虑进来，构成包含多种分布的子博弈。具体的计算过程如算法1所示。

算法1计算纳什均衡

如图5所示，具体显示了不同概率分布，不同速率下的纳什均衡点。在攻击者选择泊松分布的情况下，攻击者的最高收益出现在速率为88kbps时，最高收益是504;在攻击者选择正态分布的情况下，攻击者的最高收益出现在速率为99kbps时，最高收益是604;在攻击者选择指数分布的情况下，攻击者的最高收益出现在速率为100kbps时，最高收益是630。从图5中可以发现，选择指数分布在该WSNs环境中几乎都是优于其他分布的。

再计算防御方的收益，防御者在考虑攻击者不同速率的情况下，防御者的自身最高收益如图6所示。

从图6可以看出，在攻击者速率较低的时候，防御者的收益较大，同时，随着防火墙阈值的上升，防御者的收益不断上升;而当攻击者速率上升的时候，防御者的收益有所下降，这是由于攻击者占用的带宽不断上升的原因，并且此时，随着防火墙阈值的上升，防御者的收益不再是一直上升，而是到达某一个值之后就开始出现下滑，说明随着阈值的上升，防御的效果变得不再明显。假设当攻击者发送的数据包速率为100时，防火墙设到70时将使防御者收益最高。

而最后真正决定防火墙阈值M与惩罚系数μ应该取何值，还是需要计算防御者与攻击者收益的差值，图7显示了不同防火墙阈值与不同惩罚系数μ的情况下，收益的差值情况。

从图中可以看出，在惩罚系数选择为0.83，并且防火墙阈值选择在150时，防御者与攻击者的收益差值最大。表2显示了攻防双方最高收益下的参数配置。

综上所述，在实验给定的WSNs环境下，防御者将防火墙的阈值设定在150kbps，惩罚系数μ=0.83的条件下，会使攻击者收益降到最低。与现有的防御策略相比较，首先，现有的防火墙阈值如果没有设定在最优值，攻防双方的收益差可能得到更高的收益，而将阈值设定在最优值上，无论攻击者如何更改攻击参数，在理论上攻防双方的收益差降到最低;其次，现有的入侵检测系统的警告作用并不能降低攻击者的收益，而引入惩罚机制会使攻击者的收益进一步地降低。实验表明，提出的两个防御优化策略能使防御效果更加有效。

另外，本实验是在确定的参数下进行分析，通过模拟分析防御策略优化的有效性。通过其他实验发现，在本文的博弈模型基础上，利用参数调节来设置不同的WSNs环境，提出的防御优化策略同样有效。

4 结束语

无线网络安全防御篇7

关键词：无线传感器网络,多路径切换,拒绝服务攻击

1 引言

无线传感器网络 (Wireless Sensor Network, WSN) 是由大量低成本、低功耗、多功能的传感器节点组成, 通过无线通信方式形成的一个多跳的自组织的网络系统, 其目的是协作地感知、采集和处理网络覆盖区域中感知对象的信息, 并发送给观察者。传感器、感知对象和观察者构成了传感器网络的三个要素[1]。作为连接物理世界和数字世界的桥梁, 传感器网络在国防军事、环境监测、交通管理等众多领域极具应用前景。近来倍受世人关注且成为未来五大网络趋势之一的物联网[2], 其关键的实现技术之一便是传感器网络, 这也使得传感器网络广泛地成为国内外研究的热点。

由于传感器网络往往被部署在无人值守的开放式环境中, 同时单个传感器节点的能量和存储空间有限, 因此它很容易受到攻击者的恶意攻击, 而拒绝服务攻击 (Denial of Service, DoS) 则是一种无线传感器网络中常见并危害极大的攻击手段。通常, 攻击者通过干扰无线信道, 大量重放插入或丢弃报文等手段发起攻击, 消耗传感器节点有限的资源, 使网络部分或全部瘫痪。因此, 当传感器网络被用于具有重要使命的场景中时, 如商业上的小区无线防护、军事上的战场监视等等, 如何对DoS攻击采取进行有效的防御措施, 保障传感器网络的可用性是至关重要的。本文提出了一种针对流量有较大影响的DoS攻击的防御措施。方案基于无线传感器网络中传输路径的冗余性, 当发现传感器网络中传输路径上的某个节点或区域遭受到DoS攻击后, 其他节点迅速做出反应, 通过寻找新路径来进行传输路径的切换, 从而避开遭受攻击的网络区域, 并将数据安全送到目的地。该方案对于节点的存储开销较小, 并且能够动态地适应网络的通信状况, 能够实时地根据攻击情况选择安全的路径进行传输。

2 传输路径的建立

当汇聚节点要了解网络中某个区域的信息时, 需要让该区域的某个源节点将采集的信息发送给它。但汇聚节点与源节点之间的传输路径并未建立, 因此在进行数据传输之前首先要建立起传输路径。在该方案中, 传输路径的建立过程采取基于查询的路由机制。汇聚节点通过广播兴趣消息发出查询任务, 采用洪泛方式传播兴趣消息到整个区域或部分区域内的所有传感器节点。兴趣消息用来表示查询的任务, 并通过多跳路由传递到源节点。源节点与汇聚节点之间的路由建立过程还需要双方进行请求和确认, 故传输路径的建立包括三个过程:兴趣消息扩散、路由建立请求和路由确认。网络在部署初期, 每个节点都分配有唯一的ID号和一对非对称的密钥, 节点之间通过交互信息获取到邻居节点的公钥。

(1) 兴趣扩散阶段

在兴趣扩散阶段, 汇聚节点周期性地向邻居节点广播兴趣信息。兴趣消息中含有兴趣消息的标识号、源节点ID号、距离汇聚节点的跳数和时间戳。格式如图1。

其中, Tag表示兴趣消息标识号, 用来表示采集信息的种类;SrcID表示需要进行数据采集的源节点ID号;Hop_Num表示节点距离汇聚节点的跳数;Time表示该类兴趣消息的生存时间 (即超过一定时间后, 该兴趣消息变为无效) 。

无线传感器网络中的每个节点在本地保存一个兴趣列表, 对于每一个兴趣, 列表中都有一个表项记录。当节点收到邻居节点传送过来的兴趣消息包后, 首先查看兴趣列表中是否已经存储了此类兴趣消息, 如果没有存储, 则将兴趣消息标识号和时间戳写入兴趣列表, 否则丢弃该兴趣消息包。接下来将消息包中的Hop_Num值加1得到自己距离汇聚节点的跳数, 并将自己的跳数值写入兴趣消息包中的Hop_Num项中。最后将自己的ID号和兴趣消息包中的源节点ID号比较, 如果不一样则继续转发该兴趣消息包;如果一样, 则说明该节点即是需要进行数据采集的源节点。

(2) 路由建立请求

当源节点接收到兴趣消息包后, 需要回送一个路由建立请求包给汇聚节点。路由建立请求包格式如图2。

其中, Tag表示之前收到的兴趣消息标识, Req表示该报文是一个路由建立请求包。源节点将路由建立请求包向周围邻居节点进行广播, 通过多跳传送给汇聚节点。当中间节点接收到该数据包后, 只在数据包的末尾加上自己的ID号, 然后将数据包转发出去。因此当汇聚节点接收到路由建立请求数据包后, 其格式变为:

这里假定ID0、ID1、……IDn-2、IDn-1、IDn是传输路由建立请求包的一条路径。

(3) 路由确认

由于路由请求数据包是源节点通过广播发送的, 因此汇聚节点可能通过很多邻居节点接收到不同的路由请求数据包。本方案中以传输时延作为路径的加强标准, 规定汇聚节点选定最先到达的路由请求数据包中的路径作为传输路径。汇聚节点首先验证兴趣消息标识号是否正确, 如果正确, 则将自己的ID号也写入到数据包的末尾。根据图3所示的路由请求数据包, 汇聚节点需要将产生一个路由确认数据包传递给IDn.汇聚节点随机产生一个路径标识号R, 并利用IDn的公钥进行加密, 生成KIDn (R) , 写入到原数据包的Req项中, 组装成路由确认数据包, 汇聚节点产生的路由确认数据包格式如图4。

节点IDn接收到该数据包后, 需根据路由确认数据包建立对应兴趣消息Tag的路由表, 路由表格式如图5。

其中, Route_ID表示传输路径的标识号, Lasthop_Node和Nexthop_Node分别表示该节点在传输路径上的上一跳节点和下一跳节点。节点IDn通过解密得到路由确认数据包中的路径标识号R, 并写入到Route_ID项中, 并将IDn-1和IDsink分别写入到Lasthop_Node和Nexthop_Node项中, 这样节点IDn建立起对应兴趣消息Tag的路由表。节点IDn将数据包的最末项删除, 然后利用节点IDn-1的公钥对R进行加密得到KIDn-1 (R) , 然后将数据包传递给IDn-1, 同样IDn-1根据接收到的路由确认数据包建立自己的路由表, 接下来的节点建立路由表的过程依此类推。

当源节点接收到路由确认数据包后, 只需知道自己的Nexthop_Node即可。经过上述三个步骤, 源节点和汇聚节点之间的传输路径就建立起来, 源节点采集到数据后, 通过查找路由表中的Nexthop_Node, 并将数据包传递过去。传输路径上的中间节点接收到数据包后也根据路由表进行转发给下一跳节点。

3 基于多路径切换的WSN中DoS攻击防御机制

3.1 WSN中DoS攻击的检测

由于无线传感器网络工作环境的开放性, 因此极易受到攻击者的恶意攻击。当攻击者对传输路径上的某个节点进行攻击, 如重放攻击, 可能导致该节点因为能量耗尽而失效, 从而导致其上一跳节点传送给该节点的数据包的丢失。本文采用了文献[7]提出的基于流量预测的DoS攻击检测方案TPDD。

TPDD主要针对对流量有较大影响的DoS攻击。在TPDD中, 每个传感器节点采用ARMA的一步预测模型, 利用滑动时间窗内累积的数据流量序列估计模型参数, 预测即将到达的流量值, 之后将得到的真实流量与预测流量比较, 判断两者的差值绝对值是否超过了预定的阈值。设

阈值为T, 时刻t真实流量Xt与预测流量Xt的差值为, 当时, 表明发生流量异常, 其中为预测误差。当节点在指定时间间隔△t (△t≥0) 内检测到m (m≥1) 个异常时, 则认定节点遭受到DoS攻击。

3.2 基于多路径切换的DoS防御机制

如果传输路径上的某个节点遭受到DoS攻击, 则该节点的失效会导致在该传输路径上数据包的大量丢失, 甚至导致网络无法正常工作。因此节点必须建立新的传输路径, 并切换到新的传输路径上进行数据的传输, 从而避开遭受攻击的节点或网络区域。

以图6为例, 假设传输路径上的节点S2遭受到DoS攻击, 导致其不能正常工作, 由于节点受限于无线通信距离, 节点S1不能直接发送数据包给S3, 因此S1发送给S2的数据会大量丢失。节点S2通过TPDD检测机制检测到DoS攻击后, 向周围节点广播报警报文。邻居节点接收到报警报文后, 首先查看自己的路由表, 如果路由表中的某条路由信息中将S2作为Nexthop_Node, 说明该节点传送给节点S2的数据包很可能会出现丢失情况, 如图中S1。节点S1需要避开节点S2重新建立传输路径。

假设S1中存储关于该失效路径的路径ID号是Route_ID1, 节点S1产生一个重建传输路径的数据包, 格式如图7。

其中, New_route表示重建传输路径的报文标识号, Hop_Nums1表示节点S1距离汇聚节点的跳数, 节点在传输路径建立的兴趣扩散阶段均获知自己距离汇聚节点的跳数。

节点S1将重建路径数据包向周围节点广播, 其他节点接收到该报文后, 首先查看报文中的Hop_Nums1的值, 并将其与自己的Hop_Nums1比较, 由于在传输路径上上游的节点的Hop_Nums1值比下游的大, 如果报文中的Hop_Nums1较小, 则说明需要重新建立传输路径的节点 (以下简称重建节点, 即图7中的节点S1) 处于自己的下游, 可以判断从节点自身到重建节点的这段路径是没有遭受到攻击的, 因此节点可以不理会该报文。如果报文中跳数值的较大, 则说明重建节点处于自己的上游, 说明从节点自身到重建节点的这段路径上有节点遭受到了攻击, 故节点需要协助建立新的传输路径。处于下游的节点通过如下算法过程建立起新的传输路径:

(1) 节点从邻居节点接收最先到达的重建传输路径数据包, 将之后到达的数据包均丢弃。节点首先获取数据包中的Route_ID1, 并查看本地路由表中是否存在该路径标识号, 如果不存在, 则节点在数据包末尾插入自己的ID号, 并转发出去。

(2) 如果路由表中存在以Route_ID1为路径标识的路由信息, 说明已找到了原路径上的节点 (以下简称原路径节点, 即图7中的S3及其下游的节点) 。原路径节点将自己的节点ID号也插入到重建路径数据包末尾, 同时将数据包头的New_route改为ACK, 组成新的路径确认报文。节点按照原重建传输路径数据包中的节点ID号将路径确认报文转发出去;

(3) 中间节点接收最先到达的路径确认数据包, 由于路径确认数据包中包含了从重建节点到原路径节点的这段传输路径上的节点ID号, 因此节点可以按照之前讲述的传输路径建立过程中的步骤在本地路由表中加入新的路由信息;

(4) 当重建节点接收到路径建立确认报文后 (重建节点可能收到很多路径确认报文, 但只保存最先接收到的报文) , 根据报文中提供的节点ID号, 修改路由表中关于Route_ID1的信息, 并按照路由表中的信息发送一个路径建立成功信息包给原节点, 如果中间节点在时间t内未接收到路径建立成功信息包, 则将之前新加入的路由信息删除。

重建的传输路径如图8。

一种可能的攻击方式是攻击者俘获节点周围全部的邻居节点, 让妥协节点丢弃接收到的重建路径信息包, 这样信息包就不能到达下游的节点, 从而不能建立新的传输路径。为了防止此类攻击, 方案采取了退避策略, 即如果在一定时间T后, 重建节点未接收到下游节点的回复报文, 则发送一个退避数据包给上游节点, 让其成为新的重建节点。

3.3 能量分析

在无线传感器网络中, 绝大部分能量消耗在数据传输的过程中, 因此在分析能量消耗时, 可以集中考虑在数据传输中的能量消耗。无线通信的能量消耗与通信距离的关系为:

考虑诸多因素, 通常取n为3, 即通信能耗与距离的三次方成正比。传送m比特的数据包到距离为d的邻居节点, 发送节点消耗的能量为:

接收此包时节点消耗的能量为:

其中Eelec=50n J/bit, 表示启动传输装置或接收器消耗的能量;Eamp=100p J/bit/m2表示放大传输信号需要的能量。

能量消耗分两部分:一是初始传输路径建立和节点路由表建立阶段 (后简称阶段一) ;二是当传输路径节点因DoS攻击而失效后采取多路径切换机制的能量消耗 (后简称阶段二) 。假设从汇聚节点到源节点之间需要经过k跳, m1表示兴趣数据包的比特长度, 则在兴趣广播阶段消耗的能量为:

节点在接收兴趣数据包消耗的能量为:

在路径建立请求阶段, 消耗的发送能量和接收能量分别为:

其中, m2表示路由请求数据包的比特长度, 长度随着经过的跳数增加而增加, 可以平均地认为m2的长度为节点ID号之前的前缀部分加上k/2之和。

在路径确认阶段需要消耗的能量和路径建立所消耗的能量相同。所以在阶段一消耗的总能量为:

阶段二消耗的能量只集中在失效节点周围的中继节点中, 消耗的能量的计算与阶段一中路径建立请求阶段大致相同, 但跳数要远小于k.

为了说明多路径切换机制的性能, 本文引入定向扩散路由协议[8] (Directed Diffusion, DD) 作为比较。在DD协议中, 汇聚节点通过兴趣消息发出查询任务, 采用洪泛方式传播兴趣消息到整个区域或部分区域内的所有传感器节点, 在兴趣消息的传播过程中, 协议逐跳地在每个传感器节点上建立反向的从数据源到汇聚节点的数据传输梯度, 传感器节点将采集到的数据沿着梯度方向传送到汇聚节点。为了与多路径切换机制做比较, 在DD协议中, 同样选择数据传输延迟作为路由加强的标准, 通过逐跳地进行路由加强形成一条主路径。假定DD协议中兴趣消息长度为n1, 路径加强消息长度为n2, 则在相同的网络环境中, 采用DD协议消耗的能量为:

由上可知, 在能量消耗方面, 采取多路径切换机制所消耗的能量比采取DD协议消耗的能量多, 主要体现在路径确认阶段和采取多路径切换所消耗的能量。但由于节点需要根据路径的确认信息来建立对应的路由表, 以及在节点因为DoS攻击失效后进行多路径切换, 所以这部分能量消耗是必要的。

4 仿真实验

本文采用了OPNET仿真工具对方案进行了仿真实验, 并利用DD协议作为对比。假设20个节点 (包括19个普通节点和1个汇聚节点) 随机分布在100m×100m的检测区域中。节点最大的通信范围是30m, 网络场景如图9。

DD协议建立路径的方式比较简单, 但是没有考虑到路径上节点失效的状况, 因此当无线传感器网络中存在DoS攻击时, 可能导致传输路径上的某些节点失效, 进而使得网络中数据的大量丢失。图10表示了无线传感器网络中存在DoS攻击的情况下, 采用多路径切换机制的路由协议和DD协议时汇聚节点数据接收率的比较。

在实际试验中, 通过不断地向网络中某个节点发送重放的报文来模拟攻击者的DoS攻击, 仿真时间为30分钟。从图10中可以看出, 网络在初始传输数据时, 两者的数据传输率相差不大。当网络运行到12分钟左右时, 由于DoS攻击的存在, 导致传感器网络中传输路径上某个节点失效, 使得网络中数据大量丢失, 可以看到使用DD协议的传感器网络中汇聚节点的数据接收率急剧下降, 而使用多路径切换机制的传感器网络中的汇聚节点的数据接收率却没有受到很大的影响, 一直保持平稳上升中。由此, 可以看到多路径切换机制可以有效地防御无线传感器网络中DoS攻击, 维护网络的可用性。

5 总结与展望

无线传感器网络因为其广泛的应用而成为研究热点, 而各种各样的DoS攻击导致网络中出现很多不安全的因素, 极大地影响着无线传感器网络的可用性。本文提出了一种基于多路径切换机制的防御措施, 主要是针对网络中因为DoS攻击导致的传输路径节点失效的问题, 该方案在发现网络攻击后能够快速响应启动重建路径机制, 成功避开遭受攻击的节点, 保证数据能安全地传输至汇聚节点。在接下来的工作中会加强方案的安全性研究, 同时针对机制中所涉及的一些参数做更多的细化研究。

参考文献

[1]孙利民, 李建中, 陈渝, 朱红松.无线传感器网络[M].北京:清华出版社, 2005:179-218

[2]Yan Bo, Huang, Guangwen.Supply chain information transmission based on RFID and internet of things[C], ISECS International Coloquium on Computing, Communication, Control, and Management, 2009:166-169

[3]Jing Deng, Richard Han, Shivakant Mishra.Defend-ing against path-based DoS Attacks in Wireless Sensor Networks[C], Proceedings of the3rd ACM on the security of Ad-Hoc and sensor networks (SASN’05) , New York, NY, USA, 2005:89-96

[4]Li Xu, Jinbo Shen.A novel key pre-distribution scheme using one-way hash chain and bivariate polynomial for wireless sensor networks[C], The3rd International Conference on Anti-counterfeiting, Security, and Identification in Communication, 2009:575-580

[5]MD.Aboul Hamid, MD.Mamun OR Rashid, Choong Seon Hong.Defense against Lap-top Class Attacker in Wireless Sensor Network[C], The8th International conference advanced communication technology, 2006:314-318

[6]Xiong Peng, Zhang Wei.The Trustworthiness based on hash chain in wireless sensor network[C], IEEE/IFIP international conference on embedded and ubiquittous computing, 2008:101-106

[7]曹晓梅, 韩志杰, 陈贵海.基于流量预测的传感器网络拒绝服务攻击检测方案[J], 计算机学报, 2007:10-18

无线网络安全防御篇8

关键词：网络安全,自防御网络,网络自动重配置

自防御网络的基本概念是网络本身对网络中发生的有害行为进行响应, 以防止、隔离或减轻有害行为对网络运行的损害。特别的, 自防御网络将重点针对来自企业或园区网络内部的安全威胁, 通过对网络状态的自动重新配置来抑制传统安全手段无法控制的内部安全问题。自防御网络是一种综合的网络安全手段, 它包括以下主要部分:

1) 有害行为的发现:包括病毒/漏洞检测、IDS、Firewall等技术手段;

2) 对有害行为的自动响应:可以采用包括封锁、隔离等手段, 制止有害行为及避免其行为的扩大。

3) 修复:帮助用户恢复其因遭受攻击而产生的损害。

本文的研究主要集中在对有害行为的自动响应。研究在发现有害行为时的处理模型, 并通过自动对网络进行重新配置对有害行为进行隔离, 防止其扩散并有利于对其进行修复。从而提出一个新的自防御网络体系架构。

一、处理模型和体系架构

1. 处理模型

基于传统的IDS、Firewall、反病毒软件的安全解决方案在应对通过网络传播的蠕虫威胁时存在各种不足。主要包括:

(1) 通常通过单一的防火墙设备来对有害主机进行控制, 控制的颗粒度很粗且很难防范来自网络内部的攻击。

(2) 处理模式很单一, 对有害主机通常采用中断其网络连接的控制方式。但在这种情况下用户无法通过网络修复自己的主机 (无法杀毒或者打补丁) , 从而无法真正解决问题。

(3) 有害行为的检测都是基于内容特征的 (signature-based) , 因此需要检查所有的网络流量, 在大型网络中, 这需要相当大的计算量, 同时在1G以上的高带宽网络中实时分析很困难。

(4) 常需要在网络中部署大量流量探头 (probe) 才能使系统具有检测各级网络流量的能力。

针对这些不足, 自防御网络将更多的针对来自网络内部的安全威胁, 并充分考虑如何有效地帮助用户处理可能的安全问题。本文采用“隔离区模型”来处理检测到的可能的异常行为。该模型描述如下:

首先, 通过各种网络行为检测手段, 包括漏洞扫描, 网络设备运行参数监以及基于网络设备“流数据” (如netflow, sflow) 的检测来发现可能的异常行为

通过对网络进行自动重配置将可能发生异常行为的主机隔离到一个安全的隔离区, 在此区域中主机的网络行为是受限的。根据检测到的异常行为的不同的危害级别, 采用不同的响应手段来处理。最严重级别的, 将停止其网络接入, 等待处理;普通级别的, 可以限制其正常网络访问, 但可以使用隔离区中的补丁服务器、病毒扫描服务器、漏洞扫描服务器对自己进行检测和修复;可疑级别的, 隔离区将给予受限的网络访问权限, 同时, 隔离区中的IDS、Firewall等设备将严格地检查和控制其网络行为, 以更精确的确认用户是否存在恶意行为, 并防止影响网络其他部分。

基于这个处理模型的自防御网络将采用一种层次型的体系架构。该架构的基本思想是:将网络异常行为的检测和响应分成不同的级别, 对不同的威胁级别和不同的威胁范围将采取不同的措施来进行处理。

在第一个层次中, 将通过安全扫描、设备MIB数据采集、以及基于Netflow/Sflow等设备统计数据进行有害行为的发现。这些手段具有很多优势, 最重要的是他们不是基于流量内容特征的, 而是通过对网络状态的分析来发现可能的有害行为。这些检测手段不需要部署大量流量探头, 要求的计算资源也较少, 实现成本比传统的IDS模式要较低。同时不需要更新特征库, 对发现未知攻击更有效。当然, 其缺点是误报率可能较IDS更高。但这一点可在第二个层次中由IDS来弥补。

在发现可能的有害行为后, 将进入安全控制的第二个层次, 即将用户主机隔离到隔离区, 在这个区域中, 传统的IDS, firewall, 病毒扫描/补丁服务, 将发挥其特点, 从而更精确地确认有害行为的类型, 并进行处理。

这样, 将不同的安全手段有效的组合起来, 不仅可以有效的发现和修复有害行为, 而且还可以降低部署成本, 如只需在隔离区中部署IDS探头, 而不必在所有网段中部署探头, 因为绝大部分可能的有害行为都会自动隔离到隔离区。

在这个处理模型中, 隔离区是一个核心。隔离区及可以起到将有害行为限制起来的作用, 同时, 在隔离区中部署IDS, 病毒扫描, 补丁服务, 可以更好地帮助用户修复自身的安全问题。

2. 隔离区的实现

有多种技术可以实现隔离区。

静态隔离区可以通过VLAN配置来实现。在全网内配置实现一个跨交换机的802.1Q VLAN, 将这个VLAN作为隔离区。用户接入的端口既可以属于正常使用的VLAN, 也属于隔离区VLAN。在自防御网络的检测系统发现某用户主机存在有害网络行为时, 通过自动的设备配置, 将该用户的MAC地址在正常VLAN中禁止。此时, 用户只能通过特定的DHCP服务器获取隔离区VLAN的地址及相关网络配置, 访问隔离区中的资源, 而不会影响正常的VLAN用户。隔离区中可以部署补丁服务器, 病毒扫描服务器来帮助用户消除危害。也可部署IDS, Firewall, NAT, 来限制用户行为, 并进一步确定用户主机存在的问题。

动态隔离区可以通过动态配置网络设备访问控制列表 (ACL) 实现。在自防御网络的检测系统发现某用户主机存在有害网络行为时, 通过自动配置ACL将用户的网络流量限制在网络的一个特定部分——隔离区, 同样可以起到隔离有害网络行为的作用。这种实现方式的优点是用户主机不用改动网络配置, 就能自动将主机隔离到隔离区。

VLAN及ACL的具体配置方式与网络设备有关, 本文不作具体讨论。但其基本的技术就是动态地对网络进行重配置。且一次配置操作可能涉及多个网络设备, 因此, 下文将讨论分布式的网络自动重配置的实现技术。

二、结论

自防御网络是一个全新的网络安全技术的发展方向。本文提出一个新的自防御网络体系架构, 并研究其实现技术——分布式自动网络重配置。自防御网络可以整合各种安全措施包括IDS、Firewall、网络接入控制、反病毒服务、漏洞扫描服务等。在不同的环境中使用不同的手段, 充分发挥各种手段的优势, 避免其劣势, 从而构成一个高效、易于部署、兼容性好、成本低、可扩展性强的网络安全解决方案。