面向WLAN的多步攻擊意圖識(shí)別方法研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，使用無(wú)線局域網(wǎng)(WLAN)的用戶也日益增多，面向WLAN的網(wǎng)絡(luò)安全研究也受到越來(lái)越多的重視。入侵檢測(cè)和防御技術(shù)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，在傳統(tǒng)有線網(wǎng)絡(luò)環(huán)境中已有較為成熟的應(yīng)用，針對(duì)網(wǎng)絡(luò)多步攻擊的規(guī)劃識(shí)別方法，也在有線網(wǎng)絡(luò)中有了一定的研究。但現(xiàn)有的多步攻擊規(guī)劃識(shí)別方法主要利用網(wǎng)絡(luò)層以上的數(shù)據(jù)包信息作為識(shí)別特征，而WLAN無(wú)線網(wǎng)絡(luò)包含了更多網(wǎng)絡(luò)層以下的數(shù)據(jù)包特征。正是由于無(wú)線網(wǎng)絡(luò)具有的特殊性，將現(xiàn)有的規(guī)劃識(shí)別方法

2、運(yùn)用到WLAN面臨許多的困難，目前仍很少看到WLAN領(lǐng)域無(wú)線多步攻擊意圖識(shí)別的研究。
　　本文通過(guò)深入分析無(wú)線局域網(wǎng)的協(xié)議體系和安全機(jī)制，對(duì)WLAN無(wú)線環(huán)境下的多步攻擊意圖識(shí)別方法展開(kāi)了研究和探索，主要研究工作和創(chuàng)新點(diǎn)如下:
　　(1)提出了一個(gè)完整的面向WLAN的無(wú)線多步攻擊規(guī)劃識(shí)別方法。該方法包括三個(gè)模塊構(gòu)成:基于AP信息的無(wú)線入侵告警聚合方法、融合802.11協(xié)議幀主要屬性的無(wú)線多步攻擊模式挖掘方法和基于層次攻擊樹(shù)的無(wú)

3、線多步攻擊意圖預(yù)先識(shí)別方法。該方法正是基于WLAN的無(wú)線數(shù)據(jù)包特點(diǎn)，引入無(wú)線設(shè)備信息，提前識(shí)別攻擊者的最終攻擊意圖。論文設(shè)計(jì)了一個(gè)分布式無(wú)線入侵防御系統(tǒng)D-WIPS對(duì)提出的方法進(jìn)行驗(yàn)證，結(jié)果表明該方法能有效實(shí)現(xiàn)多種無(wú)線多步攻擊意圖的預(yù)先識(shí)別，可以提前為WLAN的安全管理提供決策。
　　(2)提出了一種基于AP信息的WIAC無(wú)線入侵告警聚合方法。WIAC方法包括告警格式化、告警精簡(jiǎn)和告警分類等三個(gè)部分組成，通過(guò)改進(jìn)IDMEF的告警格

4、式，引入AP接入點(diǎn)的關(guān)鍵無(wú)線信息，使其適用于WLAN環(huán)境，并擴(kuò)展Snort-Wireless的檢測(cè)規(guī)則，完成對(duì)原始告警的格式化處理，然后結(jié)合告警的時(shí)間、空間、攻擊類型和目標(biāo)設(shè)備信息等屬性，對(duì)原始告警中的無(wú)關(guān)告警和重復(fù)告警進(jìn)行精簡(jiǎn)，最后設(shè)計(jì)了一種針對(duì)WLAN無(wú)線攻擊的HACA超告警分類算法，將精簡(jiǎn)后的告警聚合為三類超告警。WIAC方法能適用于WLAN的真實(shí)網(wǎng)絡(luò)環(huán)境，有效去除大量的重復(fù)告警和無(wú)關(guān)告警，大大減少了原始告警的數(shù)量。
　　(

5、3)提出了一種融合802.11協(xié)議幀主要屬性進(jìn)行關(guān)聯(lián)分析的WMAPM無(wú)線多步攻擊模式挖掘方法。WMAPM方法包括構(gòu)造全局攻擊庫(kù)、建立候選攻擊鏈、篩選候選攻擊鏈、關(guān)聯(lián)多步攻擊行為和識(shí)別多步攻擊模式等五個(gè)步驟，在WIAC方法產(chǎn)生的三類超告警基礎(chǔ)上，根據(jù)AP設(shè)備信息構(gòu)造全局攻擊庫(kù)，并利用告警時(shí)間窗口，設(shè)計(jì)CACGA候選攻擊鏈生成算法建立候選攻擊鏈，然后利用PACSGA偽攻擊鏈集合生成算法去除候選攻擊子鏈和重復(fù)的候選攻擊鏈，生成包含無(wú)線多步攻擊

6、模式的偽攻擊鏈集合，另外還定義了一個(gè)新的基于WLAN特征的無(wú)線告警相關(guān)度的概念，用來(lái)描述兩個(gè)無(wú)線超告警之間的關(guān)聯(lián)關(guān)系，通過(guò)計(jì)算相鄰超告警間的相關(guān)度值，刪除偽攻擊鏈中相關(guān)度較低的攻擊鏈，自動(dòng)挖掘出無(wú)線多步攻擊模式。WMAPM方法能夠適用于WLAN的真實(shí)攻擊場(chǎng)景，能有效挖掘出無(wú)線多步攻擊模式，可以為多步攻擊意圖預(yù)先識(shí)別提供基礎(chǔ)。
　　(4)提出了一種基于層次攻擊樹(shù)HAT的WMAPER無(wú)線多步攻擊意圖預(yù)先識(shí)別方法。WMAPER方法結(jié)合了

7、基于規(guī)劃執(zhí)行的規(guī)劃識(shí)別方法和基于因果網(wǎng)絡(luò)的攻擊規(guī)劃識(shí)別方法，針對(duì)挖掘出的無(wú)線多步攻擊模式，構(gòu)造一種包含特征節(jié)點(diǎn)的層次攻擊樹(shù)結(jié)構(gòu)，用來(lái)描述無(wú)線多步攻擊步驟之間的層次關(guān)系，同時(shí)定義了一個(gè)最短預(yù)測(cè)序列SPS的概念，通過(guò)設(shè)計(jì)SPSGA最短預(yù)測(cè)序列生成算法，在層次攻擊樹(shù)中找出每個(gè)無(wú)線多步攻擊的最短預(yù)測(cè)序列，最后利用基于最短預(yù)測(cè)序列的MAPERA多步攻擊預(yù)先識(shí)別算法，實(shí)現(xiàn)在線的無(wú)線多步攻擊意圖預(yù)先識(shí)別。WMAPER方法能有效地提前識(shí)別出多種無(wú)線多步