近几年来网络技术蓬勃发展,网络不再局限于有线的架构,在这个追求自动化的时代里,无线网络自然成为人们关注的焦点。无线网络有自动性、快速建立等特性。同时,无线网络的出现,也给IT业带来了新的安全问题。因为许多传统的安全措施对解决WLAN不适应。例如,很难通过防火墙和代理服务器那样的边界防范设备来控制用户对无线网络的访问。一个无线访问点对内部的所有用户都是公开的,入侵者及不受信任的用户可以很容易的进入无线网络访问各种资源。这对于一个信息保密要求极高的企业或是组织而言是非常危险的,因此如何防止入侵是组织中要解决的首要问题。 当出现入侵时,我们通常首先以加密和认证作为保护措施。但是随着系统的复杂性增加,各种入侵技术的日趋成熟,仅仅依靠保护是远远不够的。尤其是现在的系统中由于设计或程序的错误,以及各种潜在的漏洞的存在,使内部入侵更难防范。在这种情况下,入侵检测技术逐渐成为网络安全的研究热点。 入侵检测(Intrusion Detection)就是对计算机网络和计算机系统的关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,从而保护信息的资源不被泄漏、篡改和破坏。一般把用于入侵检测的软件,硬件合称为入侵检测系统。 理想入侵检测系统的功能主要有:监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计,自动地收集和系统相关的补丁,进行审计跟踪识别违反安全法规的行为,使用诱骗服务器记录黑客行为等。但是现有的入侵检测技术不能有效的应用于无线网络。 当前,对WLAN的入侵检测大都处于试验阶段,比如开放源代码的入侵检测系统Snort发布的Snort-wireless测试版,增加了Wi-Fi协议字段和选项关键字,采用规则匹配的方法进行入侵检测,其AP由管理员手工配置,因此能很好地识别假冒AP,在扩展AP时亦需重新配置。但是,由于其规则文件无有效的规则定义,使检测功能有限,而且不能很好地检测MAC地址伪装和泛洪拒