传统的有线网络攻击主要位于网络层之上,因此 IPS/IDS 等安全设备通常在网络层报文中深度查找攻击的特征,并将这些特征相互关联,从而定位对应的网络攻击。
在无线网络中,由于其链路层协议的脆弱性尤为突出,所以目前已知的攻击方式中,大多数都是针对无线链路层协议进行的,也有一部分攻击是针对无线网络架构本身的,因此,无线攻击的识别技术也需要根据攻击的特点而变化,这一点与传统有线网络攻击检测是有区别的。
启明星辰无线安全引擎内置了高效的无线攻击检测引擎,能够针对链路层的无线网络攻击特征进行有效识别,同时,针对无线网络架构的组合攻击,无线攻击检测引擎通过一体化关联分析技术,也能有效识别,确保无线攻击无处藏身。
图1. 无线攻击检测
在解码和特征检测的环节中,无线安全引擎采用了高精度的协议分析和自适应匹配算法,来保证检测的高效、准确。
◆高精度链路层协议分析
协议分析是入侵检测必不可少的环节,它可以减少特征匹配的计算量,提高匹配精度。但是深度的协议分析本身也需要相当大的计算量,如何既保证特征匹配和文件还原所需的分析精确度,又不占用过多的资源,是高速环境下必须面对的课题。我们将主要通过以下方法来解决这一问题:
基于攻击研究和特征知识库选择分析深度。协议分析不需要的无限制的精细,否则入侵防御系统将变成一个低效的应用代理系统,协议分析应该建立在对网络攻击研究的基础上,对特征知识库中需要的协议信息进行分析,这点的实现关键集中在攻击研究上,软件实现中可通过编译时的条件控制和运行时对特征库进行扫描设置相应开关完成。
◆多模匹配算法选择
由于在一个报文的匹配中,最为耗时的匹配运算是在报文中匹配多个串模式。过去的几十年中学术界提出了若干的多模匹配算法,并且在工业界得到了很好的应用,比如AC 算法、WM 算法在软件检测系统中证明了其优秀的性能。在以往的多模匹配算法通常是在理论分析的基础上,在 IA32 架构和随机数据源上进行实验选择,且算法一经确定就固化在软件中。实际这样得出的算法不能保证在所有的处理器架构和数据源条件下都保证是已知算法中最优的。
现在在学术界存在多种多串并行匹配的算法,在商业产品中应用较多有Aho-Corasick、Wu-Manber和ExB算法或它们的变种。
根据研究发现,所有这些算法的性能分析全部是基于理想的存储模型,忽略缓存的性能开销。由于存储器速度远低于处理器速度,两者相差一个数量级以上,为避免存储器效能低造成系统整体的效能低下,绝大多数系统采用多级存储结构,增加少量的高速缓存隐藏存储器的性能瓶颈。但是在多串匹配算法中,数据结构非常庞大,并且匹配过程中不断在非连续的地址间跳转,此时高速缓存的命中率大幅下降,不考虑缓存开销显然已不能反映各算法在实际应用中的效能。
实际上不存在一种普适的算法能够在各种情况下都有最佳表现,同样的算法可能在不同的数据源、特征集、处理器结构上性能相差甚远。我们将结合具体的硬件(处理器)架构和匹配规则的分布类型,将其抽象为与匹配算法效能相关的若干关键参数,计算出当前适用的最优算法。具体采用动态和静态两种方式实现自适应选择。如下图,
图2. 自适应示意图
静态自适应在系统初始化时进行,统计各协议变量特征及相关匹配模式特征,结合备选多模式匹配算法的性能特征,为规则匹配树节点选择最优的多模式匹配算法。控制参数包括处理器类型、主频、Cache Line长度、L2Cache容量、存储器时延、最短模式长度、次短模式长度、模式数量、模式字符集大小、同前缀模式数量等等。动态自适应在系统运行过程中采样统计影响算法效率的网络数据,如果统计值显示当前网络数据趋势稳定,则进行动态算法选择,确定是否有大幅超过当前算法效率的算法模块存在,并进行调用。
通过上述检测技术及算法,并通过自主积累的无线攻击特征库,启明星辰无线安全引擎能够高效的检测无线欺骗、无线破解、流氓 AP、无线 DoS 攻击等多个分类中数十种基于无线网络架构的攻击。
