Введення.

Бездротові мережі завоювали величезну популярність. Їх повсюдне поширення пояснюється незаперечними перевагами перед традиційними кабельними мережами: простота розгортання, мобільність пользователейв зоні дії мережі, просте підключення нових користувачів. З іншого боку,безпеку таких мереж часто обмежує їх застосування. Якщо при атаці напроводную мережа зловмисник повинен мати фізичне підключення до мережі, то вразі бездротових мереж він може знаходитися в будь-якій точці зони дії мережі.Крім того, дані мережі схильні, в тому числі з причини недосконалості протоколів, специфічним атак, які будуть розглянуті нижче.Таким чином, можна сформулювати основні проблеми захисту інформації в цих мережах:

— поширення сигналу за межі контрольованої зони;

— використання вразливих протоколів і методів аутентифікації;

— що випускаються доповнення до стандартів не забезпечують полноценнуюзащиту від атак (наприклад, протокол 802.11 w не поширюється на контрольні кадри);

— помилки в налаштуванні різних компонентів бездротової мережі.

У зв’язку з вищесказаним дослідники ведуть пошук можливих удосконалень поточних протоколів. Наприклад, пропонується шифрувати весьблок даних протоколу MAC (MPDU), включаючи MAC-заголовки, крім послідовності перевірки кадру FCS, що, очевидно, призведе до помітних затримок впередаче даних. Інший підхід полягає у приміщенні керуючий кадрхэша якоїсь рядка, відомої тільки даному відправнику, шляхом передачі якої потім його можна ідентифікувати і обробити запит. Однак цей метод дозволяє запобігти тільки один вид атаки.Для вирішення завдання забезпечення повноцінного захисту багато компаній активно ведуть дослідження в рамках бездротових систем виявлення вторгнень (WirelessIntrusion Detection Systems, WIDS). Проте в даній області відсутні загальноприйняті стандарти, виробники використовують закриті алгоритми виявлення иклассификации атак. При цьому завдання віднесення фрагмента мережевого трафіку до якого-небудь типу атаки або до нормальної активності можна вирішувати шляхом застосування сучасних методів інтелектуального аналізу даних (ІАД). Для вирішення цієї задачі пропонується застосування нейронних сетейи методу опорних векторів (Support Vector Machine, SVM). В одній статті приведенвариант комбінації SVM і дерев прийняття рішень для забезпечення мультиклассового розпізнавання атак.

Проте роботи, присвячені цілеспрямованому застосуванню методів ИАДдля виявлення атак, характерних для локальних бездротових мереж, в доступній літературі відсутні. З цієї причини в даній статті рассматриваютсяосновные типи атак, властиві бездротових мереж, деякі рекомендуемыеспособы захисту від них, включаючи використання методів ІАД як основыдля виявлення даних атак.

1. Атаки, які реалізуються в бездротових мережах.

В основі атак на безпровідні мережі лежить перехоплення мережевого трафіку від/до точки доступу або трафіку між двома підключеними станціями, а також впровадження додаткових (підроблених) даних в сеанс бездротового зв’язку. Для формування кращого уявлення про типи бездротових атак, які зловмисник може здійснити проти бездротової мережі, важливо їх класифікувати. Так, атаки можуть бути спрямовані на різні верстви моделі OSI: прикладний, транспортний, мережевий, канальний і фізичний.Залежно від мети атаки, характерні для сімейства протоколів 802.11,можна поділити на кілька категорій:

— отримання несанкціонованого доступу до мережі: War Driving; ложныеточка доступу або клієнт (Rogue Access Point); підробка MAC-адреси(MAC Spoofing); злом клієнта бездротової мережі;

— порушення цілісності: ін’єкція підроблених кадрів (802.11 Frame Injection);повтор, видалення пакетів з даними (802.11 Data Replay, Deletion);перехоплення і відтворення пакетів EAP, RADIUS (802.1 X EAP Replay,802.1 X RADIUS Replay);

— порушення конфіденційності: підслуховування (Eavesdropping); атака«злий двійник» (Evil Twin); фішинг з допомогою помилкової точки доступу(AP Phishing); атака «людина посередині» (Man in the Middle);? порушення доступності: крадіжка точки доступу; бездротовий зашумление; захоплення середовища помилковими RTS/CTS-кадрами (Queensland DoS); повінь запитами на підключення (Probe Request Flood); повінь кадрамиассоциации, аутентифікації, дисоціації, деаутентификации (Associate /Authenticate/ Disassociate/ Deauthenticate Flood); повінь кадрами EAP(802.1 X EAPStart, EAPFailure Flood);

— викрадення даних аутентифікації: злом Pre-Shared Key; крадіжка учетныхданных 802.1 Х (802.1 X Identity Theft); зниження рівня безопасностиЕАР (802.1 X EAP Downgrade); злом WPS PIN.

Дані атаки засновані на експлуатації вразливостей
бездротових мереж,представлених в базі WVE.В якості зразків атак транспортного і прикладного рівнів можна скористатися вдосконаленої базою сигнатур NSL KDD-2009, побудованої на основі бази KDD-99 з ініціативи американської Асоціації перспективних оборонних наукових досліджень DARPA. Для проведення досліджень в області виявлення вторгнень був зібраний набір даних про з’єднаннях,який охоплює широкий спектр різних вторгнень, змодельованих всреде, що імітує мережа Військово-повітряних сил США.З’єднання являє собою послідовність пакетів, начинающуюсяи закінчується в певні моменти часу, між якими потокиданных передаються від IP-адреси джерела до IP-адресою одержувача по певному протоколу. Кожне з’єднання позначено як нормальне або як якийсь тип атаки з чотирьох категорій атак: відмова в обслуговуванні (Denial of Service-DoS), несанкціоноване отримання прав користувача (Remote to Local, R2L), несанкціоноване підвищення прав користувача root (Userto Root, U2R) і зондування (Probe). Докладно атаки описані в [11]. Співвідношення числа атак різних типів показано в табл. 1, 2.

Деякі з даних типів атак є витратами самої технології радіочастотної передачі даних (приглушення), а також залежать від людського фактору і повинні вирішуватися за допомогою організаційних заходів. Серед техническихсредств захисту мережі, крім міжмережевих екранів, списків контролю доступу інших традиційних засобів, слід виділити бездротові системи виявлення вторгнень (WIDS).

2. Системи виявлення вторгнень.

На відміну від традиційних системобнаружения вторгнень, які отримують всі пакети мережі, бездротові системыпроизводят вибірку мережевого трафіку. Стандарти сімейства 802.11 используютдва основних діапазону частот: 2,4 і 5 ГГц, які, в свою чергу, поділяються наканалы. WIDS забезпечують почергове сканування каналів на предмет наявності активних атак.

Схема функціонування WIDS представлена на рис. 1.

Система працює в двох режимах:

— режим конфігурування, коли в якості вхідних даних у блок побудови класифікуючою моделі завантажується набір сигнатур, що представляють собою пару {вектор параметрів трафіку | тип атаки}.

— режим нормальної роботи, коли значення параметрів трафіку подаютсяв якості вхідних даних на підсистему сенсорів. Далі подсистемапринятия рішень з допомогою побудованої на попередньому етапі класифікуючою моделі визначає, чи відповідають показання сенсоровнормальному станом або тій чи іншій атаці, і, залежно від результату, спрацьовує підсистема сигналізації.

Основою для виявлення атак є база знань, побудова якої наэтапе початкового конфігурування системи забезпечує блок побудови класифікуючою моделі. Класифікує модель будується на основі сигнатуробучающей вибірки і потім використовується для прийняття рішення про безопасностикакой-небудь мережевої активності. В комерційних продуктах це реалізується з допомогою закритих алгоритмів, принцип роботи яких становить коммерческуютайну. При цьому заявлена кількість і види атак виявлені у разныхпродуктов відрізняються, хоча насправді вони належать одному типуатак, що пояснюється відсутністю стандартів в області бездротових атак.Як показано у згаданих вище роботах, завдання виявлення і класифікації атак можна вирішувати з допомогою застосування методів ІАД, позволяющихвыявить значущі кореляції, зразки та тенденції у великих обсягах даних.

3. Методи інтелектуального аналізу даних.

В даній роботі для виявлення найбільш ефективного методу побудови класифікуючою моделиприменительно до бездротової системи виявлення атак буде проведено порівняння чотирьох методів ІАД: метод опорних векторів, k-найближчих сусідів,нейронні мережі, дерева прийняття рішень.

Метод опорних векторів (SVM) відноситься до методів лінійної класифікації. Кожен стан системи представляється у вигляді точки в багатовимірному просторі, координатами якого є характеристики системи. Дві множини точок, що належать до двох різних класів, поділяються гиперплоскостьюв цьому просторі. При цьому гіперплощина будується так, щоб відстані від неї до найближчих примірників обох класів (опорних векторів) були максимальні, що забезпечує найбільшу точність класифікації.

В якості переваг даного методу можна виділити високу точність,здатність до узагальнення і низьку обчислювальну складність прийняття рішення. Недоліком є відносно велика обчислювальна складність побудови класифікуючою моделі.

У деяких роботах досліджується спосіб виявлення атак на основі методу опорныхвекторов. Метод використовувався для побудови класифікуючою моделі виданих навчальної вибірки. Модель випробувана на атаках типу переполнениебуфера, руткіт і SYN-повінь і показала актуальність застосування методаопорных векторів в якості основи системи виявлення атак.

Метод k-найближчих сусідів (k-nearest neighbor, k-NN) – метод класифікації, основним принципом якого є призначення об’єкту того класу,який є найбільш поширеним серед сусідів даного об’єкта.Сусіди утворюються з безлічі об’єктів, класи яких вже відомі, і, виходячи з заданого значення k (k ? 1), визначається, який з класів наиболеемногочислен серед них. Якщо k = 1, то об’єкт просто відноситься до класу єдиного найближчого сусіда.Метод k-NN є одним з найпростіших методів ІАД. Недостаткомметода k-NN є те, що він чутливий до локальної структури даних.

Нейронні мережі дозволяють вирішувати практичні завдання, пов’язані з розпізнавання і класифікації образів. Нейронна мережа складається з взаимосвязанныхнейронов, утворюють вхідний, проміжні (приховані) і вихідний шари.Навчання відбувається шляхом коригування значень ваг нейронів для мінімізації помилки класифікації.

Перевагами нейронних мереж є їх здатність автоматическиприобретать знання в процесі навчання, а також здатність до узагальнення, основний недолік – чутливість до шуму у вхідних даних.

Дерева прийняття рішень являють собою деревоподібну структуру з«листя» і «гілок». На ребрах («гілках») дерева прийняття рішень записаныатрибуты, від яких залежить цільова функція, в «листі» записані значенияцелевой функції, а в інших вузлах – атрибути, за якими розрізняються об’єкти. Щоб класифікувати новий об’єкт, треба спуститися по дереву від корнядо листа і отримати відповідний клас, тобто шлях від кореня до листка виступає правил класифікації на основі значень атрибутів об’єкта.

Переваги дерев прийняття рішень – простий принцип їх побудови,хороша інтерпретованість результатів, недолік – невисока точність класифікації.

4. Результати експериментів.

Проектована WIDS структурно складається з двох модулів:

— модуль виявлення атак транспортного і прикладного рівнів;

— модуль виявлення атак канального і мережевого рівнів.

Перший модуль на етапі навчання в якості вхідних даних используетсигнатуры бази NSL KDD-2009. Для формування навчальної вибірки бездротових атак канального і мережевого рівнів була організована тестова локальнаябеспроводная мережу з технологією захисту доступу WPA2-PSK. Для перехоплення і аналізу пакетів використовувався бездротової адаптер Atheros AR9285 в режимепрослушивания. Зібрані пакети були проаналізовані та доведені до вигляду,використовуваному в базі NSL-KDD-2009.Спочатку для опису атак в базі NSL-KDD-2009 використаний 41 ознака, що відображає прикладної, транспортний і мережевий рівні моделі OSI. Однак частина пропонованих ознак не застосовна для сучасних мережевих атакпо через неактуальність, у зв’язку з чим кількість ознак було скорочено. Вибрані ознаки представлені в табл. 3, 4. Для опису атак, що характеризуються великою кількістю з’єднань до вузла призначення, було выбраноокно тривалістю дві секунди (атаки DoS), а також вікно в 100 з’єднань содним і тим же вузлом (Probe).

Експерименти проводилися в середовищі RapidMiner версії 5.3.015 за схемою,наведеною на рис. 2.

На першому кроці відбувалася обробка даних з бази, так як для безпомилкового функціонування системи всі атрибути повинні мати чисельні значення, розподілені між нулем і одиницею. Для цього текстові атрибутыпреобразовывались в бінарні, а чисельні нормализовывались относительноминимального і максимального значень.

Після цього дані навчальної вибірки надходили на вхід блоку побудови відповідної моделі, на основі якої потім відбувалася класифікація записів тестової бази. На виході класифікатора формувалася тестоваявыборка з очікуваними і дійсними класами, на підставі збігу яких розраховувалася точність і повнота виявлення атак. Результатыклассификации з допомогою методів ІАД наведено в табл. 5.

Метод опорних векторів був реалізований з допомогою SVM C-SVC бібліотеки LibSVM, як функції ядра використовувалася радіальна базисна функція (RBF). Величина максимальної помилки навчання була дорівнює 10-5.

При класифікації методом k-найближчих сусідів експериментальним шляхом в якості оптимальних параметрів роботи алгоритму були обрані значення k дорівнює п’яти, і метрика – Манхэттенское відстань.

Нейронна мережа була реалізована у вигляді багатошарового персептрона з однимскрытым шаром. Навчання тривалістю 500 циклів проводилося за допомогою алгоритму зворотного поширення помилки. В якості функції активації використовувалася сигмоїдальна функція. Величина максимальної ошибкиобучения була обмежена значенням 10-5.

Побудова дерева прийняття рішень проводилося за допомогою стандартного оператора середовища RapidMiner, мінімальний поріг для освіти новогоузла вибирався рівним чотирьом, мінімальну кількість листків сайту – один,максимальна кількість рівнів – 21.

Як видно з табл. 5, методи опорних векторів і k-найближчих сусідів показали близькі результати в ході виявлення атак, дещо гірше проявилисебя нейронна мережа і дерево прийняття рішень. Низький відсоток обнаружениянекоторых типів атак, таких як warezmaster, guess_passwd і buffer_overflow, зумовлений нерівномірним кількісним розподілом зразків навчальної вибірки для різних класів – переважанням нормальних сигнатур і атак категорийDoS і Probe. З цієї ж причини частина атак була класифікований невірно, тому результати по них не представлені в табл. 5.

Висновки.

Представлений огляд мережевих атак, актуальних для локальних бездротових мереж, розглянута схема функціонування бездротовий системыобнаружения вторгнень, а також можливість застосування методів ІАД для розпізнавання бездротових атак.В цілому, розглянуті методи ІАД показали високу точність виявлення в ході проведення експериментів, при цьому найбільш точними оказалисьметоды опорних векторів і k-найближчих сусідів. З цього можна зробити выводо практичної значущості запропонованого підходу до виявлення атак в бездротових локальних мережах.

Подальші дослідження передбачається продовжити у напрямку дослідження нових типів атак в бездротових локальних мережах, а також организациимодульной структури системи виявлення вторгнень, з використанням розглянутих в даній статті методів ІАД.