二、入侵检测技术及其在WLAN中的应用

    IDS可分为基于主机的入侵检修系统(HIDS)和基于网络的入侵检测系统(NIDS)。HIDS采用主机上的文件(特别是日志文件或主机收发的网络数据包)作为数据源。HIDS最早出现于20世纪80年代初期，当时网络拓扑简单，入侵相当少见，因此侧重于对攻击的事后分析。现在的HIDS仍然主要通过记录验证，只不过自动化程度提高，且能做到精确检测和快速响应，并融入文件系统保护和监听端口等技术。

    与HIDS不同，NIDS采用原始的网络数据包作为数据源，从中发现入侵迹象。它能在不影响使用性能的情况下检测入侵事件，并对入侵事件进行响应。分布式网络IDS则把多个检测探针分布至多个网段，最后通过对各探针发回的信息进行综合分析来检测入侵，这种结构的优点是管理起来简单方便，单个探针失效不会导致整个系统失效，但配置过程复杂。基础结构模式入侵检测模型将采用这种分布式网络检测方法，而对于移动自组网模式内的入侵检测模型将采用基于主机的入侵检测模型。

    当前，对WLAN的入侵检测大都处于试验阶段，比如开源入侵检测系统Snort发布的Snort-wire-less测试版，增加了Wifi协议字段和选项关键字，采用规则匹配的方法进行入侵检测，其AP由管理员手工配置，因此能很好地识别非授权的假冒AP，在扩展AP时亦需重新配置。但是，由于其规则文件无有效的规则定义，使检测功能有限，而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击。

    2003年下半年，IBM提出WLAN入侵检测方案，采用无线感应器进行监测，该方案需要联入有线网络，应用范围有限而且系统成本昂贵，要真正市场化、实用化尚需时日。此外，作为概念模型设计的WIDZ系统实现了AP监控和泛洪拒绝服务检测，但它没有一个较好的体系架构，存在局限性。

    在上述基础上，我们提出一种基于分布式感应器的网络检测模型框架，对含AP模式的WLAN进行保护。对于移动自组网模式的WLAN，则由于网络中主机既要收发本机的数据，又要转发数据(这些都是加密数据)，文献提出了采用异常检测法对路由表更新异常和其他层活动异常进行检测，但只提供了模型，没有实现。

    此外，我们分析了移动自组网模式中恶意节点对网络性能的影响，并提出一种基于声誉评价机制的安全协议，以检测恶意节点并尽量避开恶意节点进行路由选择，其中恶意节点的检测思想值得借鉴。Snort-wireless可以作为基于主机的入侵检测，我们以此为基础提出一种应用于移动自组网入侵检测的基于主机的入侵检测模型架构。