一種實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)安全的混合方式

無(wú)線安全工具分布在WLAN各處的傳感器上執(zhí)行安全分析，或者在一臺(tái)中央服務(wù)器中完成這項(xiàng)任務(wù)，但是這兩種選擇都存在著缺點(diǎn)。在采用基于服務(wù)器的方法時(shí)，原始數(shù)據(jù)由不同的傳感器回傳給一臺(tái)服務(wù)器，然后在這臺(tái)服務(wù)器上執(zhí)行高級(jí)分析，如多傳感器相互關(guān)聯(lián)。但是，來(lái)自成千上萬(wàn)部傳感器的數(shù)據(jù)，可能會(huì)令網(wǎng)絡(luò)癱瘓，并且需要使用服務(wù)器上的大量處理能力，從而使這類(lèi)解決方案難于擴(kuò)展。

基于傳感器的方式，即大量的分析工作由傳感器完成，由于必須回傳給服務(wù)器的數(shù)據(jù)較少，所以可以更有效地使用帶寬，并因此具有更好的可伸縮性。但是，這種方法需要傳感器具有更大的處理能力和內(nèi)存，因而使這種方法在大規(guī)模部署時(shí)費(fèi)用過(guò)高。覆蓋范圍的重疊會(huì)造成相鄰的傳感器向服務(wù)器傳送多余的重復(fù)信息，而且這種方法不能檢測(cè)某些類(lèi)型的攻擊，如需要多傳感器相互關(guān)聯(lián)才能發(fā)現(xiàn)的MAC地址欺詐。

一種實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)安全的混合方式，即分擔(dān)分析，解決了上述兩種方案存在的問(wèn)題。分擔(dān)分析將用于第一階段分析的智能專(zhuān)用傳感器與處理復(fù)雜的數(shù)據(jù)分析和異常檢測(cè)的服務(wù)器組合在一起。以這種方式分散智能性可以提高檢測(cè)精確度、系統(tǒng)可伸縮性和管理簡(jiǎn)單性。若想最大限度地提高安全效力，就必須了解哪些分析工作最適合傳感器完成，哪些最適合在服務(wù)器上完成。

通過(guò)分擔(dān)分析任務(wù)，傳感器只需要執(zhí)行與攻擊或安全漏洞無(wú)關(guān)的普通任務(wù)。例如，傳感器可以監(jiān)測(cè)所有輸入的WLAN活動(dòng)，從802.11、擴(kuò)展認(rèn)證協(xié)議、IP和UDP/TDP包頭提取服務(wù)組標(biāo)識(shí)符或地址等信息。重復(fù)的傳輸流可以在進(jìn)行回傳之前在傳感器上被識(shí)別和壓縮，從而節(jié)省大量的帶寬。

傳感器還采集關(guān)于信道、接收信號(hào)強(qiáng)度指示、噪音等指標(biāo)的元信息，并壓縮和加密數(shù)據(jù)。整個(gè)過(guò)程將與服務(wù)器進(jìn)行通信所需帶寬減少到1到3Kbps。因此，利用分擔(dān)分析，回程網(wǎng)絡(luò)可以擴(kuò)展到使來(lái)自成千上萬(wàn)部遠(yuǎn)程部署的傳感器的WLAN監(jiān)視和分析信息相互關(guān)聯(lián)。

在采用分擔(dān)分析時(shí)，服務(wù)器匯集由數(shù)千部傳感器產(chǎn)生的數(shù)據(jù)，并利用復(fù)雜的異常檢測(cè)算法識(shí)別安全與性能異?，F(xiàn)象。異常檢測(cè)算法對(duì)傳輸流進(jìn)行分析，查看它們是否對(duì)應(yīng)于某種攻擊或安全漏洞。服務(wù)器還將數(shù)據(jù)保存在一個(gè)記錄WLAN狀態(tài)的實(shí)時(shí)數(shù)據(jù)庫(kù)中，檢測(cè)算法頻繁使用這個(gè)數(shù)據(jù)庫(kù)。最后，服務(wù)器產(chǎn)生報(bào)警和包含詳細(xì)統(tǒng)計(jì)結(jié)果的數(shù)據(jù)，從而使IT部門(mén)能夠立即采取相應(yīng)的行動(dòng)。

為使IT部門(mén)能夠輕松與迅速變化的威脅保持同步，用于無(wú)線入侵檢測(cè)系統(tǒng)（IDS）的分擔(dān)分析解決方案更新服務(wù)器上新的報(bào)警。由于傳感器只完成普通的任務(wù)，因此不需要升級(jí)遠(yuǎn)程傳感器上的固件。因此，分擔(dān)分析方式管理起來(lái)要容易得多。

分擔(dān)分析通過(guò)將智能性分散到不同的系統(tǒng)上，減少了資源瓶頸，使高性能、低費(fèi)用的無(wú)線入侵檢測(cè)防御和分析成為可能。（美國(guó)《Network World》供本報(bào)專(zhuān)稿）