)作为数据源。HIDS最早出现于20世纪80年代初期，当时网络拓扑简单，入侵相当少见，因此侧重于对攻击的事后分析。现在的HIDS仍然主要通过记录验证，只不过自动化程度提高，且能做到精确检测和快速响应，并融入文件系统保护和监听端口等技术。

    与HIDS不同，NIDS采用原始的网络数据包作为数据源，从中发现入侵迹象。它能在不影响使用性能的情况下检测入侵事件，并对入侵事件进行响应。分布式网络IDS则把多个检测探针分布至多个网段，最后通过对各探针发回的信息进行综合分析来检测入侵，这种结构的优点是管理起来简单方便，单个探针失效不会导致整个系统失效，但配置过程复杂。基础结构模式入侵检测模型将采用这种分布式网络检测方法，而对于移动自组网模式内的入侵检测模型将采用基于主机的入侵检测模型。

    当前，对WLAN的入侵检测大都处于试验阶段，比如开源入侵检测系统Snort发布的Snort-wire-less测试版，增加了Wifi协议字段和选项关键字，采用规则匹配的方法进行入侵检测，其AP由管理员手工配置，因此能很好地识别非授权的假冒AP，在扩展AP时亦需重新配置。但是，由于其规则文件无有效的规则定义，使检测功能有限，而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击。

    2003年下半年，IBM提出WLAN入侵检测方案，采用无线感应器进行监测，该方案需要联入有线网络，应用范围有限而且系统成本昂贵，要真正市场化、实用化尚需时日。此外，作为概念模型设计的WIDZ系统实现了AP监控和泛洪拒绝服务检测，但它没有一个较好的体系架构，存在局限性。

    在上述基础上，我们提出一种基于分布式感应器的网络检测模型框架，对含AP模式的WLAN进行保护。对于移动自组网模式的WLAN，则由于网络中主机既要收发本机的数据，又要转发数据(这些都是加密数据)，文献提出了采用异常检测法对路由表更新异常和其他层活动异常进行检测，但只提供了模型，没有实现。

    此外，我们分析了移动自组网模式中恶意节点对网络性能的影响，并提出一种基于声誉评价机制的安全协议，以检测恶意节点并尽量避开恶意节点进行路由选择，其中恶意节点的检测思想值得借鉴。Snort-wireless可以作为基于主机的入侵检测，我们以此为基础提出一种应用于移动自组网入侵检测的基于主机的入侵检测模型架构。

上一页  [1] [2] [3] [4] 下一页

    三、WLAN中的入侵检测模型架构

    在含AP模式中，可以将多个WLAN基本服务集(BSS)扩展成扩展服务集(ESS)，甚至可以组成一个大型的WLAN。这种网络需要一种分布式的检测框架，由中心控制台和监测代理组成，如图3所示。

   含AP模式的分布式入侵检测系统框架
    
    网络管理员中心控制台配置检测代理和浏览检测结果，并进行关联分析。监测代理的作用是监听无线数据包、利用检测引擎进行检测、记录警告信息，并将警告信息发送至中心控制台。

    由此可见，监测代理是整个系统的核心部分，根据网络布线与否，监测代理可以采用两种模式：一种是使用1张无线网卡再加1张以大网卡，无线网卡设置成“杂凑”模式，监听所有无线数据包，以太网卡则用于与中心服务器通信;另一种模式是使用2张无线网卡，其中一张网卡设置成“杂凑”模式，另一张则与中心服务器通信。

    分组捕获完成后，将信息送至检测引擎进行检测，目前最常用的IDS主要采用的检测方法是特征匹配，即把网络包数据进行匹配，看是否有预先写在规则中的“攻击内容”或特征。尽管多数IDS的匹配算法没有公开，但通常都与着名的开源入侵检测系统Snort的多模检测算法类似。

    另一些IDS还采用异常检测方法(如Spade检测引擎等)，通常作为一种补充方式。无线网络传输的是加密数据，因此，该系统需要重点实现的部分由非授权AP的检测。通常发现入侵之后，监测代理会记录攻击特征，并通过安全通道(采用一定强度的加密算法加密，有线网络通常采用安全套接层(SSL)协议，无线网络通常采用无线加密协议(WEP))将告警信息发给中心控制台进行显示和关联分析等，并由控制台自动响应(告警和干扰等)，或由网络管理员采取相应措施。

    在移动自组网模式中，每个节点既要收发自身数据，又要转发其他节点的数据，而且各个节点的传输范围受到限制，如果在该网络中存在或加入恶意节点，网络性能将受到严重影响。恶意节点的攻击方式可以分为主动性攻击和自私性攻击。主动性攻击是指节点通过发送错误的