一种实现无线网络安全的混合方式

无线安全工具分布在WLAN各处的传感器上执行安全分析，或者在一台中央服务器中完成这项任务，但是这两种选择都存在着缺点。在采用基于服务器的方法时，原始数据由不同的传感器回传给一台服务器，然后在这台服务器上执行高级分析，如多传感器相互关联。但是，来自成千上万部传感器的数据，可能会令网络瘫痪，并且需要使用服务器上的大量处理能力，从而使这类解决方案难于扩展。

基于传感器的方式，即大量的分析工作由传感器完成，由于必须回传给服务器的数据较少，所以可以更有效地使用带宽，并因此具有更好的可伸缩性。但是，这种方法需要传感器具有更大的处理能力和内存，因而使这种方法在大规模部署时费用过高。覆盖范围的重叠会造成相邻的传感器向服务器传送多余的重复信息，而且这种方法不能检测某些类型的攻击，如需要多传感器相互关联才能发现的MAC地址欺诈。

一种实现无线网络安全的混合方式，即分担分析，解决了上述两种方案存在的问题。分担分析将用于第一阶段分析的智能专用传感器与处理复杂的数据分析和异常检测的服务器组合在一起。以这种方式分散智能性可以提高检测精确度、系统可伸缩性和管理简单性。若想最大限度地提高安全效力，就必须了解哪些分析工作最适合传感器完成，哪些最适合在服务器上完成。

通过分担分析任务，传感器只需要执行与攻击或安全漏洞无关的普通任务。例如，传感器可以监测所有输入的WLAN活动，从802.11、扩展认证协议、IP和UDP/TDP包头提取服务组标识符或地址等信息。重复的传输流可以在进行回传之前在传感器上被识别和压缩，从而节省大量的带宽。

传感器还采集关于信道、接收信号强度指示、噪音等指标的元信息，并压缩和加密数据。整个过程将与服务器进行通信所需带宽减少到1到3Kbps。因此，利用分担分析，回程网络可以扩展到使来自成千上万部远程部署的传感器的WLAN监视和分析信息相互关联。

在采用分担分析时，服务器汇集由数千部传感器产生的数据，并利用复杂的异常检测算法识别安全与性能异常现象。异常检测算法对传输流进行分析，查看它们是否对应于某种攻击或安全漏洞。服务器还将数据保存在一个记录WLAN状态的实时数据库中，检测算法频繁使用这个数据库。最后，服务器产生报警和包含详细统计结果的数据，从而使IT部门能够立即采取相应的行动。

为使IT部门能够轻松与迅速变化的威胁保持同步，用于无线入侵检测系统（IDS）的分担分析解决方案更新服务器上新的报警。由于传感器只完成普通的任务，因此不需要升级远程传感器上的固件。因此，分担分析方式管理起来要容易得多。

分担分析通过将智能性分散到不同的系统上，减少了资源瓶颈，使高性能、低费用的无线入侵检测防御和分析成为可能。（美国《Network World》供本报专稿）