新型網絡安全檢測器研究

摘要：基于現在各種建筑物中路由器繁多，導致對一棟樓中的無線局域網中的安全問題進行排查既費時又費力的現狀，該文基于“飛行器”“軟件無線電”“網絡嗅探”等技術，提出了飛行器和頻譜分析與網絡嗅探相融合、互相協作，實現無線局域網安全檢測的想法。該文以飛行器為載體，單片機為主板，軟件無線電等硬件為附件，選取無線網絡中的典型安全威脅為研究對象，融合“超聲波避障”“軟件無線電”“入侵檢測”“主機發現”“路由器漏洞挖掘”等技術，對特定建筑物中的無線局域網中常見的安全問題進行檢測，高效快速地對大范圍內無線局域網中可能存在的安全問題進行全面性檢測，實現對安檢人員的解放。

關鍵詞：飛行器;單片機;軟件無線電;超聲波

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）17-0027-03

1國內外研究現狀和發展動態

目前網絡安全檢測在世界各國都得到了充分的重視。在中國所啟動的有關高性能網絡、下一代互聯網、網絡與信息安全的研究計劃中，將建立網絡流量建模和性能分析等研究作為基礎工作：如LBNL（Lawrence Berkeley National Laboratory）、MIT的Lincoln Laboratory、Purdue大學的Networks Systems Lab、中科院計算所、清華大學計算機網絡技術研究所等均對網絡流量建模和安全檢測分析及其應用等方面進行了大量的研究。

（1）Charitskis等[1]。一種方法是早期過濾，其僅執行分發器上的分組頭特征匹配的檢測。如果數據包不匹配且不包含數據，則將其丟棄，從而減少探測器和整個系統的負載。由于每種類型的網絡流量都有自己的檢測規則集，因此檢測器在不同規則集之間切換需要一些時間。提出了在分發器中添加多個緩存，用于累積各種不同類型的數據包，若緩存滿了，則只需要將它們一起發送出去，從而減少了檢測器在不同規則集之間切換的次數，提高系統的效率。

（2）知名信息安全廠商Venus一直關注和研究無線網絡安全風險和對策，并發表了多篇文章，提示用戶防范無線網絡安全風險[2]。該公司已率先在中國推出WLANIDS/IPS系統，該系統可實時檢測數十種基于WLAN的無線攻擊[3]，如無線破解，無線網絡釣魚和惡意AP[4]。無線接入或阻斷策略可根據用戶要求設置，提供7×24不間斷無線網絡安全保護功能，避免無線信息泄露。解決無線風險并保護用戶的無線網絡安全。此外，通過與傳統IDS/IPS的集成部署[5]，可以提供有線和無線統一安全保護，形成一體化的網絡安全解決方案，為用戶提供全方位的安全保障。

上述研究多為技術層面的無線網安全監測技術，在實際運用中雖然有一定效果，但存在效率不高，人工消耗大等問題，效果并不理想。因此，研究復雜環境下無線網安全檢測技術的快速捕捉、分析評估是實現無線網安全飛行檢測器系統的關鍵。

2研究設計

本項目擬采用無人機及無線網絡安全監測的相關技術針對目前普遍存在的企業、酒店、醫院等無線網安全問題及對高層建筑物進行無線網安全檢測的任務復雜度，進行網絡安全監測的自動評估檢測器的研究和產品開發。其關鍵技術有載體平臺無人機的常規飛行控制技術，“軟件無線電”的頻譜感知技術，無線局域網的安全檢測和路由器配置的安全檢測技術。針對上述研究目的，根據近年來國內外關于無線網監測技術的發展與研究，結合民用無人機平臺的應用研究，開發一套基于無人機平臺的便攜式無線網安全飛行檢測器，最終實現全方位地對無線網中存在的具有危害性的安全問題做出檢測。

1）硬件系統的平臺設計與搭建

根據無線網安全檢測要求、方法，明確系統方案，對硬件系統進行整體設計;采用了“飛行器”——“樹莓派單片機”——“地面站計算機”的三部分協同工作的整體設計思想，操作用戶使用地面站計算機，操縱飛機并攜帶RaspberryPi微控制器進行空中任務。樹莓派單片機上連接搭載的無線網卡與HackRF無線設備采集分析可能的無線網攻擊與無線電波危險行為，并由樹莓派電腦存儲記錄，通過XBEE數據傳輸模塊進行“地面站計算機”“樹莓派單片機”“飛行器”之間的數據傳輸與指令下達，以完成用戶指定的任務。此外，飛行器部分還配備了GPS、氣壓計、高度儀，配合樹莓派單片機上搭載的超聲波測距儀，可以給用戶實時反饋飛行器實時飛行狀態，遇到障礙時會提前發出預警，方便用戶對于飛行狀態進行處置。主要包含以下幾個部分：

（1）常規飛行控制功能;

（2）輔助避障功能;

（3）地面站和樹莓派和飛行部件的通信交互功能;

（4）連接并檢測Wi-Fi信號功能。

2）軟件系統的設計

針對當前空中無線網、無線電中普遍存在的安全威脅，本系統軟件部分以硬件部分為載體，從“無線局域網的接入安全”“無線局域網內部安全”和“無線電信號安全”三個方面出發，借鑒了入侵檢測技術、軟件無線電技術、路由器漏洞挖掘技術、主機發現技術，采用流量分析、逆向調試、流量轉發等方法，實現自主開發的以Python編程語言為基礎的，基于Scapy的入侵檢測系統，使用Socket套接字和nmap庫結合的集主機發現、端口掃描、服務信息檢測為一體的危險服務檢測器，基于請求庫的路由器漏洞掃描程序，基于Hackrf的偽基站檢測器。利用Scapy網絡通信協議封裝技術，可以自定義網絡嗅探器，為入侵檢測系統的開發奠定基石，并可自主構造任意格式與形式的網絡數據包，在入侵檢測系統的實現過程中，模擬可能出現的攻擊場景，不斷提高入侵檢測系統的靈敏度和準確性，追蹤攻擊行為;利用Hackrf及SDR軟件，對空中無線電信號進行嗅探，提取不同頻率的基站信號，獲得基站的區編碼、頻點信息等，多方面識別偽基站，從而更全面地檢測周圍無線環境中存在的安全風險。

項目在利用飛行器的便利性和無線網的穿透性與發散性實現對不同復雜環境的無線網安全檢測的同時，為了實現檢測的高效性，大部分功能在設計上可并發運行。同時包含許多不同的子功能模塊，在逐一解決子問題和子功能模塊后，將所有子功能設計模塊進行整合和系統集成，最終形成總軟件系統。主要包括：

（1）飛行器信息交互模塊（飛行狀態檢查、連接情況檢查、遠程shell功能）。

（2）無線網接入模塊（Wi-Fi信號搜索并接入、Wi-Fi密碼泄露查詢、釣魚熱點檢測功能）。

（3）風險服務檢測模塊（主機發現、危險端口檢測、偽DHCP服務檢測、SSH服務安全性檢測、FTP服務安全性檢測、隧道檢測）。

（4）攻擊流量檢測模塊（流量引流轉發功能、ARP欺騙檢測、認證洪水攻擊檢測、DNS放大攻擊、Land攻擊、基于MDK3的局域網DDOS攻擊、路由器漏洞掃描、畸形包檢測）。

（5）偽基站檢測模塊（異常LAC和CID值檢測、基于信令變化率的檢測、基站頻點檢測、基站定位輔助判斷）。

3研究內容與測試分析

3.1 硬件板塊

3.1.1硬件研究內容與測試方法

（1）飛行器穩定性測試。做此測試參照以下幾個參數作為測試基準，分別為：高度、地速、偏航角和提升速度。高度是指本飛行器的距地高度;地速是飛機相對于地面的相對速度;偏航角是水平面上的體軸xt的投影與地軸xd之間的角度。升降速度飛行器在z軸上上升與下降的實時速度。該測試分為在三種環境下進行測試飛行器的滯空穩定性，第一種為滯空高度為5m的測試環境，第二種為滯空高度為10m的測試環境，第三種為滯空高度為15m的測試環境，通過分析羅盤儀、氣壓高度計和加速度計返回的數據決定了飛機空載時的穩定性。

（2）飛行器運行時長測試。該測試的目的為檢測飛行器在空中長時間工作的能力，該測試進行方式為讓飛行器在空中持續飛行，直到出現低電量報警時停止飛行，通過查看日志獲得運行時間。

（3）飛行器xbee通訊模塊測試。該測試分為在三種環境距離下進行測試xbee通訊模塊的穩定性，第一種為距離200m空曠地帶的測試環境，第二種為距離200km有樓層障礙物的測試環境，第三種為距離1km空曠地帶的測試環境，第四種為距離1km無樓層障礙物的測試環境，通過分析軟件部分監控返回的丟包率、RSSI（接收信號的強度指示）和范圍測試實時檢測圖用于評估能力范圍[6]。

3.1.2硬件測試分析結論

通過對硬件的測試可以得出以下結論：飛行器的穩定性會隨著升空的高度的升高而逐漸降低，但在飛行器的工作領空中，該穩定性可以滿足該作品對穩定性的要求。此外，xbee通訊模塊在外界條件良好時信息傳輸穩定，信號較強，隨著外界條件變復雜，出現障礙物時信號強度略微減弱，傳輸速率較慢，但傳輸仍穩定，不會出現丟包的現象，所以xbee通訊傳輸模塊可以完全勝任本產品的數據傳輸工作。

3.2 軟件板塊

3.2.1軟件研究內容與測試方法

1）Wi-Fi信號搜索模塊測試

（1）Wi-Fi信號搜索功能測試

通過測試RaspberrPi可以實現Wi-Fi信號強度檢測，測試方法為：地面站發出相應指令，通過XBEE模塊傳輸至樹莓派對周圍Wi-Fi信號進行強度檢測。

（2）Wi-Fi密碼泄露查詢功能測試

Wi-Fi密碼泄露查詢功能測試：本功能需要檢測樹莓派能否檢測周圍Wi-Fi密碼是否存在泄露情況。測試方法為：地面站發出相應指令，通過XBEE模塊傳輸至樹莓派對周圍Wi-Fi信號進行是否泄露密碼的查詢測試。

2）主機掃描模塊測試

（1）主機掃描功能測試主機掃描功能：本功能測試地面站控制臺能否操縱樹莓派對網段內存活的主機實現掃描。

（2）端口掃描功能測試端口掃描功能[7]：本功能測試地面站控制臺能否操縱樹莓派對網段內存活的主機的選擇端口實現掃描是否開啟的功能，在一次檢測周期內，該模塊可以掃描出當前網段中選定端口是否開放的相關信息。

3）攻擊檢測模塊測試

“攻擊流量檢測”模塊功能[8]：引流隊列轉發功能、ARP中間人攻擊檢測、認證洪水攻擊檢測、解除認證洪水攻擊檢測、DNS放大攻擊檢測，LAND攻擊檢測，基于MDD3的局域網DDOS攻擊[9]，畸形報文檢測。檢測出接入網段內惡意的攻擊流量信息，并對攻擊行為進行溯源。

4）基站掃描模塊測試

（1）偽基站信號掃描功能

對周圍5km范圍內的所有2G基站和4G基站進行測試。測試方法為：偽基站搭建需要特殊的設備[10]，故在本次測試中，掃描周圍的基站信息，在頻譜圖中分析基站所在范圍，然后選擇相應頻段來對其中基站進行掃描。

（2）偽基站檢測與定位功能

對周圍5km范圍內的所有2G基站和4G基站。測試方法為：偽基站搭建需要特殊的設備，故在本次測試中，掃描周圍的基站信息，在頻譜圖中分析基站所在范圍，然后選擇相應頻段來對其中基站進行掃描[11]。

3.2.2軟件測試分析結論

通過對軟件的測試分析可以得出以下結論：Wi-Fi信號搜索模塊測試對Wi-Fi信號搜索功能進行了測試，地面站控制臺與樹莓派模塊傳輸結果良好[12]，可以得到樹莓派周圍的Wi-Fi信號及強度，并按照信號強度強弱進行了排序顯示。主機掃描模塊可以成功掃描出當前網段中所有主機的IP地址、MAC地址和主機名，并存儲他們以供以后掃描起來為后面進一步的掃描打下基礎。端口掃描功能可以成功完成對用戶選定的功能端口進行掃描，并將結果成功返回至地面站控制臺。通過對攻擊檢測模塊進行的ARP攻擊檢測測試、洪水攻擊檢測測試、LAND攻擊檢測測試、DNS放大攻擊檢測測試、DDOS攻擊檢測測試、異常數據包檢測測試，測試到本系統具有很強的檢測識別精度，在強負載工作條件下，雖然系統的性能有所下降，但系統的功能能夠正確執行。通過基站掃描模塊中的基站掃描功能，可以獲得基站的頻譜分析圖，從而確定周圍基站所處于的頻段[13]，且可通過“說明”按鈕來了解到關于GSM和LTE不同頻段代表的含義，并可獲得所掃描范圍內所有基站的具體頻率和信號強度信息。測試小結：本功能為自動化進行，無須多余的人為干預，將每個基站的LAC、CID、MNC值顯示出來，并對其進行定位，根據自身所處環境確認是否為偽基站。

4結束語

上述研究依然存在許多局限性，在未來將采用更加靈活高級的飛行組件，并推出不同大小型號的飛行器以滿足不同環境下的工作需求，增加對電波、網絡信號等因素的組合，結合GPS、地圖以及其他必要的地理因素，繪制出整個地區的電磁波信號安全圖譜。另外在后期的工作當中，也將采用多元化的操作終端，加入安卓系統、iOS系統的手機操控終端以供使用者實時操作，對于計算機終端還將推出不同系統的版本，如Windows版本、OSX版本以及不同發行版本的Linux系統，不斷找出現有方案的缺點，改進學習，確定方案的設計和實施。

參考文獻：

[1] CharitakisI，AnagnostakisK，MarkatosE.An active traffic splitter architecture for intrusion detection[C]//11th IEEE/ACM International Symposium on Modeling，Analysis and Simulation of Computer Telecommunications Systems， Orlando，FL，USA.IEEE，2003：238-241.

[2] 劉高生.基于Q-Learning的無線傳感器網絡安全路由策略[D].天津：天津大學，2018.

[3] 羅毅侃.WLAN安全協議分析與防范攻擊方法的研究[J].信息系統工程，2019（2）：76.

[4] 王文婷.無線釣魚AP搜索定位及檢測技術研究[D].西安：西安電子科技大學，2020.

[5] 邱松，焦健，張東陽.面向防火墻和IDS/IPS協同防御的策略沖突檢測算法[J].系統仿真學報，2015，27（11）：2770-2777.

[6] 郝子強，肖博，李彥孚，等.視頻跟蹤四旋翼飛行器創新實驗系統[J].科技資訊，2011，9（35）：15.

[7] 梁劍非.多線程端口掃描軟件設計與實現[D].成都：電子科技大學，2011.

[8] 孫劍文，趙幸，劉勝利.面向用戶流量行為分析的多攻擊檢測[J].信息工程大學學報，2020，21（3）：352-360.

[9] 韓長江.基于深度學習的物聯網DDoS攻擊流量檢測算法設計與實現[D].濟南：山東大學，2020.

[10] 孟曈.基于機器學習與可逆Sketch的DDoS攻擊檢測[D].西安：西安電子科技大學，2020.

[11] 張紅英.超大空間坐標測量網絡標靶基站及瞄準方法研究[D].合肥：合肥工業大學，2017.

[12] 康國敏.“偽基站”監測技術及監測網絡構建的研究[D].成都：西華大學，2016.

[13] 朱磊，王鑫，劉屹，等.一種基于樹莓派的無Wi-Fi視頻采集傳輸方法[J].科學技術與工程，2020，20（6）：2312-2316.

收稿日期：2021-11-15

作者簡介：李欣穎（2000—），女，山東日照人，本科生在讀，主要研究方向為網絡安全檢測器。