张艳　刘翔

摘 要：近年来，在电子科技的发展下无线网络快速的应用在企业和家庭中。然而，无线网络都却存在有线网络所没有的安全漏洞。因此，无线网络成为最容易受到攻击的目标。因此，需要设计出一套切实可行的防御黑客入侵的检测系统来提高使用无线网络的安全水平。本文在分析MAP-AM的基础上，研究基于MAP-AM的可扩展无线网络入侵检测系统设计来提高无线网络的安全性能。

关键词：无线网络；MAP-AM；可扩展；入侵检测系统；设计

无线通信存在各方面的因素影响，攻击者可在无线网络覆盖的任何区域内进行攻击。目前，有一种新型的无线防御系统——入侵检测系统（Intrusion detection）简称：IDS，采用IDS进行防御可在一定程度上提高无线网络的安全水平。

1 可扩展监测网络系统中存在的问题

⑴在无线网络的频带中有许多的信号通道，而一个无线的空中监视器一次仅仅只能监测到一个信号通道，极有可能遗漏其他信号通道的攻击。采用能够获得多个信号的无线监测设备或者多个单一无线监测设备在同一个地方监测无线信号的方法。都无法避开庞大的资金开销。⑵有许多针对介质访问控制子层协议（简称：MAC层）的攻击，对MAC层的攻击在检测中必须在捕获到一段完整且连续的介质访问控制子层协议帧数据流才能够完成。

2 基于MAP-AM的可扩展无线网络入侵检测系统设计研究

2.1 系统总体结构

MAP系统结构如图1所示，由AM获取无线的数据帧，将期望转发数据帧的特征发送至融合中心，再建立一段连续时间中规范的数据流。分析引擎监测网络流量的插件检测器，发送警告给防护系统同时进行系统检测以及信息的反馈等等。系统控制器主要负责各个AM之间协调，根据分析引擎发回的各类反馈信息实施对AM的修改行为，完成网络攻击防御的行动。防护引擎设备会发送警告信息至系统管理员并采取自动保护网络来保护无线网络。

2.2 空中监视器和控制器

2.2.1 AM特征提取

网络为了降低转发数据的流量，每个帧数据的信息都被保留，AM会以一个AMEX 的帧格式进行数据转发。这是一种有损压缩的特定格式，在每个数据帧的MAC头部中遴选出的网络流量特征，促使这几个数据帧特征打包为User Datagram Protocol报文，在 AM发送至融合中心，丢弃数据帧体的多余内容。

2.2.2 AM信道采样

MVP将会监听在802.11上的所有信息通道，这是因为这些频段都可能受到干扰或攻击，即使是使用网络基础设施的一部分信息通道。AM可通过定时的接收设备设置为每一个为信息通道监测多个信息通道，这项技术被称为信道采样。

2.2.3 重聚集

MAP测量系统原理与望远镜结构相似，MAP测量系统聚集于信息通道、空间等范围之中。MAP设定在分析元件监测到异常行为后采取动态重聚集测量系统进行维护，这是一种通过收集从单一客户、AP等区域内大量的数据帧，或者在扩展中遴选出的网络流量特征的集来完成重聚集。锁定一个正在攻击的行为，帧数据流则会确认MAP进行攻击或是定位攻击。

2.3 防护引擎

在日常中常见的非法无线网络入侵的有两种方法，一种是人工控制接入点阻塞，而另一种是脚本自动控制接入点阻塞。在系统中的入侵检测算法发现无线网络环境中存在非法的数据入侵现象。例如：非法用户的访问和非法的接入点的等等，此时系统会采取以下措施：

2.3.1 人工控制接入点阻塞

当服务器接收到警告信号时，在系统管理人员的手动设定下，程序自动运行将断开非法数据的传输和响应，或是在MAC地址的过滤中阻挡非法攻击的进行，将对无线网络的损害减低到最小，同时采用排查计算来定位攻击者。

2.3.2 脚本自动控制接入点阻塞

在系统识别出攻击者发动攻击行为时，将自动启动程序的修改脚本文件做出调整来应对，建立与接入点相适应的脚本文件同时实施该脚本文件，这就可达到过滤非法数据访问和切断非法数据读取等行为来避免数据遭受攻击和毁坏。人工接入点阻塞的原因在通信行情况下都是由于人为影响而造成的，系统的反应时间长或错误是难以避免的。这种方法虽然需要无线网络的接入，但是这种方式和无法实现无线网络的全面防护。

3 总结

在计算机网络的被普遍的应用开来，无线网络也开始走进千家万户，从人们的家庭生活到日常的工作都需要无线网络的纯支持。在无线网络的广泛应用带来的缺失无法避免的安全问题。无线网络入侵检测应用在保护无线网络的重要措施是一项切实有效的保护手段。

[参考文献]

[1]王新，刘建辉.基于数据挖掘的入侵检测系统研究[J].计算机与数字工程，2005，33（11）：88-90.