Введение.

Беспроводные сети завоевали огромную популярность. Их повсеместное распространение объясняется неоспоримыми преимуществами перед традиционными кабельными сетями: простота развертывания, мобильность пользователейв зоне действия сети, простое подключение новых пользователей. С другой стороны,безопасность таких сетей зачастую ограничивает их применение. Если при атаке напроводную сеть злоумышленник должен иметь физическое подключение к сети, то вслучае беспроводных сетей он может находиться в любой точке зоны действия сети.Кроме того, данные сети подвержены, в том числе по причине несовершенства протоколов, специфическим атакам, которые будут рассмотрены ниже.Таким образом, можно сформулировать основные проблемы защиты информации в этих сетях:

— распространение сигнала за пределы контролируемой зоны;

— использование уязвимых протоколов и методов аутентификации;

— выпускаемые дополнения к стандартам не обеспечивают полноценнуюзащиту от атак (например, протокол 802.11w не распространяется на контрольные кадры);

— ошибки в настройке различных компонентов беспроводной сети.

В связи с вышесказанным исследователи ведут поиск возможных усовершенствований текущих протоколов. Например, предлагается шифровать весьблок данных протокола MAC (MPDU), включая MAC-заголовки, кроме последовательности проверки кадра FCS, что, очевидно, приведет к заметным задержкам впередаче данных. Другой подход заключается в помещении в управляющий кадрхэша некой строки, известной только данному отправителю, путем передачи которой затем его можно идентифицировать и обработать запрос. Однако этот метод позволяет предотвратить только один вид атаки.Для решения задачи обеспечения полноценной защиты многие компании активно ведут исследования в рамках беспроводных систем обнаружения вторжений (WirelessIntrusion Detection Systems, WIDS). Однако в данной области отсутствуют общепринятые стандарты, производители используют закрытые алгоритмы выявления иклассификации атак. При этом задачу отнесения фрагмента сетевого трафика к какому-либо типу атаки или к нормальной сетевой активности можно решать путем применения современных методов интеллектуального анализа данных (ИАД). Для решения этой задачи предлагается применение нейронных сетейи метода опорных векторов (Support Vector Machine, SVM). В одной статье приведенвариант комбинации SVM и деревьев принятия решений для обеспечения мультиклассового распознавания атак.

Однако работы, посвященные целенаправленному применению методов ИАДдля обнаружения атак, характерных для локальных беспроводных сетей, в доступной литературе отсутствуют. По этой причине в данной статье рассматриваютсяосновные типы атак, присущие беспроводным сетям, некоторые рекомендуемыеспособы защиты от них, включая использование методов ИАД в качестве основыдля обнаружения данных атак.

1. Атаки, реализуемые в беспроводных сетях.

В основе атак на беспроводные сети лежит перехват сетевого трафика от/к точке доступа или трафика междудвумя подключенными станциями, а также внедрение дополнительных (поддельных) данных в сеанс беспроводной связи. Для формирования лучшего представления о типах беспроводных атак, которые злоумышленник может осуществить против беспроводной сети, важно их классифицировать. Так, атаки могут быть направлены на разные слои модели OSI: прикладной, транспортный, сетевой, канальный и физический.В зависимости от цели атаки, характерные для семейства протоколов 802.11,можно поделить на несколько категорий:

— получение несанкционированного доступа к сети: War Driving; ложныеточка доступа или клиент (Rogue Access Point); подделка MAC-адреса(MAC Spoofing); взлом клиента беспроводной сети;

— нарушение целостности: инъекция поддельных кадров (802.11 Frame Injection);повтор, удаление пакетов с данными (802.11 Data Replay, Deletion);перехват и воспроизведение пакетов EAP, RADIUS (802.1X EAP Replay,802.1X RADIUS Replay);

— нарушение конфиденциальности: подслушивание (Eavesdropping); атака«злой двойник» (Evil Twin); фишинг с помощью ложной точки доступа(AP Phishing); атака «человек посередине» (Man in the Middle); нарушение доступности: кража точки доступа; радиочастотное зашумление; захват среды ложными RTS/CTS-кадрами (Queensland DoS); наводнение запросами на подключение (Probe Request Flood); наводнение кадрамиассоциации, аутентификации, диссоциации, деаутентификации (Associate /Authenticate/ Disassociate/ Deauthenticate Flood); наводнение кадрами EAP(802.1X EAPStart, EAPFailure Flood);

— похищение данных аутентификации: взлом Pre-Shared Key; кража учетныхданных 802.1Х (802.1X Identity Theft); понижение уровня безопасностиEAP (802.1X EAP Downgrade); взлом WPS PIN.

Данные атаки основаны на эксплуатации уязвимостей беспроводных сетей,представленных в базе WVE.В качестве образцов атак транспортного и прикладного уровней можно воспользоваться усовершенствованной базой сигнатур NSL KDD-2009, построенной на основе базы KDD-99 по инициативе американской Ассоциации перспективных оборонных научных исследований DARPA. Для проведения исследований в области обнаружения вторжений был собран набор данных о соединениях,который охватывает широкий спектр различных вторжений, смоделированных всреде, имитирующей сеть Военно-воздушных сил США.Соединение представляет собой последовательность пакетов, начинающуюсяи заканчивающуюся в определенные моменты времени, между которыми потокиданных передаются от IP-адреса источника к IP-адресу получателя по определенному протоколу. Каждое соединение обозначено как нормальное либо как какой-то тип атаки из четырех категорий атак: отказ в обслуживании (Denial of Service,DoS), несанкционированное получение прав пользователя (Remote to Local, R2L), несанкционированное повышение прав пользователя до суперпользователя (Userto Root, U2R) и зондирование (Probe). Подробно атаки описаны в [11]. Соотношение числа атак разных типов показано в табл. 1, 2.

Некоторые из данных типов атак являются издержками самой технологии радиочастотной передачи данных (глушение), а также зависят от человеческого фактора и должны решаться с помощью организационных мер. Среди техническихсредств защиты сети, помимо межсетевых экранов, списков контроля доступа идругих традиционных средств, следует выделить беспроводные системы обнаружения вторжений (WIDS).

2. Системы обнаружения вторжений.

В отличие от традиционных системобнаружения вторжений, получающих все пакеты сети, беспроводные системыпроизводят выборку сетевого трафика. Стандарты семейства 802.11 используютдва основных диапазона частот: 2,4 и 5 ГГц, которые, в свою очередь, делятся наканалы. WIDS обеспечивают поочередное сканирование каналов на предмет наличия активных атак.

Схема функционирования WIDS представлена на рис. 1.

Система работает в двух режимах:

— режим конфигурирования, когда в качестве входных данных в блок построения классифицирующей модели загружается набор сигнатур, представляющих собой пару {вектор параметров трафика | тип атаки}.

— режим нормальной работы, когда значения параметров трафика подаютсяв качестве входных данных на подсистему сенсоров. Далее подсистемапринятия решений с помощью построенной на предыдущем этапе классифицирующей модели определяет, соответствуют ли показания сенсоровнормальному состоянию либо той или иной атаке, и, в зависимости от результата, срабатывает подсистема сигнализации.

Основой для выявления атак является база знаний, построение которой наэтапе начального конфигурирования системы обеспечивает блок построения классифицирующей модели. Классифицирующая модель строится на основе сигнатуробучающей выборки и затем используется для принятия решения о безопасностикакой-либо сетевой активности. В коммерческих продуктах это реализуется с помощью закрытых алгоритмов, принцип работы которых составляет коммерческуютайну. При этом заявленное количество и виды обнаруживаемых атак у разныхпродуктов отличаются, хотя в действительности они принадлежат одному типуатак, что объясняется отсутствием стандартов в области беспроводных атак.Как показано в упомянутых выше работах, задачи обнаружения и классификации атак можно решать с помощью применения методов ИАД, позволяющихвыявить значимые корреляции, образцы и тенденции в больших объемах данных.

3. Методы интеллектуального анализа данных.

В данной работе для выявления наиболее эффективного метода построения классифицирующей моделиприменительно к беспроводной системе обнаружения атак будет проведено сравнение четырех методов ИАД: метод опорных векторов, k-ближайших соседей,нейронные сети, деревья принятия решений.

Метод опорных векторов (SVM) относится к методам линейной классификации. Каждое состояние системы представляется в виде точки в многомерном пространстве, координатами которого являются характеристики системы. Два множества точек, принадлежащих к двум разным классам, разделяются гиперплоскостьюв этом пространстве. При этом гиперплоскость строится так, чтобы расстояния отнее до ближайших экземпляров обоих классов (опорных векторов) были максимальны, что обеспечивает наибольшую точность классификации.

В качестве достоинств данного метода можно выделить высокую точность,способность к обобщению и низкую вычислительную сложность принятия решения. Недостатком является относительно большая вычислительная сложность построения классифицирующей модели.

В некоторых работах исследуется способ обнаружения атак на основе метода опорныхвекторов. Метод использовался для построения классифицирующей модели изданных обучающей выборки. Модель опробована на атаках типа переполнениебуфера, руткит и SYN-наводнение и показала актуальность применения методаопорных векторов в качестве основы системы обнаружения атак.

Метод k-ближайших соседей (k-nearest neighbor, k-NN) – метод классификации, основным принципом которого является присваивание объекту того класса,который является наиболее распространённым среди соседей данного объекта.Соседи образуются из множества объектов, классы которых уже известны, и, исходя из заданного значения k (k ≥ 1), определяется, какой из классов наиболеемногочислен среди них. Если k = 1, то объект просто относится к классу единственного ближайшего соседа.Метод k-NN является одним из самых простых методов ИАД. Недостаткомметода k-NN является то, что он чувствителен к локальной структуре данных.

Нейронные сети позволяют решать практические задачи, связанные с распознаванием и классификацией образов. Нейронная сеть состоит из взаимосвязанныхнейронов, образующих входной, промежуточные (скрытые) и выходной слои.Обучение происходит путем корректировки значений весов нейронов для минимизации ошибки классификации.

Преимуществами нейронных сетей являются их способность автоматическиприобретать знания в процессе обучения, а также способность к обобщению, основной недостаток – чувствительность к шуму во входных данных.

Деревья принятия решений представляют собой древовидную структуру из«листьев» и «ветвей». На ребрах («ветвях») дерева принятия решений записаныатрибуты, от которых зависит целевая функция, в «листьях» записаны значенияцелевой функции, а в остальных узлах – атрибуты, по которым различаются объекты. Чтобы классифицировать новый объект, надо спуститься по дереву от корнядо листа и получить соответствующий класс, т.е. путь от корня до листа выступает правилами классификации на основе значений атрибутов объекта.

Достоинства деревьев принятия решений – простой принцип их построения,хорошая интерпретируемость результатов, недостаток – невысокая точность классификации.

4. Результаты экспериментов.

Проектируемая WIDS структурно состоит издвух модулей:

— модуль обнаружения атак транспортного и прикладного уровней;

— модуль обнаружения атак канального и сетевого уровней.

Первый модуль на этапе обучения в качестве входных данных используетсигнатуры базы NSL KDD-2009. Для формирования обучающей выборки беспроводных атак канального и сетевого уровней была организована тестовая локальнаябеспроводная сеть с технологией защиты доступа WPA2-PSK. Для перехвата и анализа пакетов использовался беспроводной адаптер Atheros AR9285 в режимепрослушивания. Собранные пакеты были проанализированы и приведены к виду,используемому в базе NSL-KDD-2009.Изначально для описания атак в базе NSL-KDD-2009 использован 41 признак, отражающий прикладной, транспортный и сетевой уровни модели OSI. Однако часть предлагаемых признаков не применима для современных сетевых атакпо причине неактуальности, в связи с чем количество признаков было сокращено. Выбранные признаки представлены в табл. 3, 4. Для описания атак, характеризующихся большим количеством соединений к узлу назначения, было выбраноокно длительностью две секунды (атаки DoS), а также окно в 100 соединений содним и тем же узлом (Probe).

Эксперименты проводились в среде RapidMiner версии 5.3.015 по схеме,приведенной на рис. 2.

На первом шаге происходила обработка данных из базы, так как для безошибочного функционирования системы все атрибуты должны иметь численные значения, распределенные между нулем и единицей. Для этого текстовые атрибутыпреобразовывались в бинарные, а численные нормализовывались относительноминимального и максимального значений.

После этого данные обучающей выборки поступали на вход блока построения соответствующей модели, на основе которой затем происходила классификация записей тестовой базы. На выходе классификатора формировалась тестоваявыборка с предполагаемыми и действительными классами, на основании совпадения которых рассчитывалась точность и полнота обнаружения атак. Результатыклассификации с помощью методов ИАД приведены в табл. 5.

Метод опорных векторов был реализован с помощью SVM C-SVC библиотеки LibSVM, в качестве функции ядра использовалась радиальная базисная функция (RBF). Величина максимальной ошибки обучения была равна 10-5.

При классификации методом k-ближайших соседей экспериментальным путем в качестве оптимальных параметров работы алгоритма были выбраны значение k, равное пяти, и метрика – Манхэттенское расстояние.

Нейронная сеть была реализована в виде многослойного персептрона с однимскрытым слоем. Обучение продолжительностью 500 циклов производилось с помощью алгоритма обратного распространения ошибки. В качестве функции активации использовалась сигмоидальная функция. Величина максимальной ошибкиобучения была ограничена значением 10-5.

Построение дерева принятия решений производилось с помощью стандартного оператора среды RapidMiner, минимальный порог для образования новогоузла выбирался равным четырем, минимальное количество листьев узла – один,максимальное количество уровней – 21.

Как видно из табл. 5, методы опорных векторов и k-ближайших соседей показали близкие результаты в ходе обнаружения атак, несколько хуже проявилисебя нейронная сеть и дерево принятия решений. Низкий процент обнаружениянекоторых типов атак, таких как warezmaster, guess_passwd и buffer_overflow, вызван неравномерным количественным распределением образцов обучающей выборки для разных классов – преобладанием нормальных сигнатур и атак категорийDoS и Probe. По этой же причине часть атак была классифицирован неверно, по-этому результаты по ним не представлены в табл. 5.

Выводы.

Представлен обзор сетевых атак, актуальных для локальных беспроводных сетей, рассмотрена схема функционирования беспроводной системыобнаружения вторжений, а также возможность применения методов ИАД для распознавания беспроводных атак.В целом, рассмотренные методы ИАД показали высокую точность обнаружения в ходе проведения экспериментов, при этом наиболее точными оказалисьметоды опорных векторов и k-ближайших соседей. Из этого можно сделать выводо практической значимости предложенного подхода к обнаружению атак в локальных беспроводных сетях.

Дальнейшие исследования предполагается продолжить в направлении исследования новых типов атак в локальных беспроводных сетях, а также организациимодульной структуры системы обнаружения вторжений, с использованием рассмотренных в данной статье методов ИАД.