混合无线Mesh网络(Wireless Mesh Network,WMN)结构完善、功能丰富且兼容性强,是未来无线网络发展的关键组网技术之一。混合WMN由于自身具有开放的传播媒介等特性,容易受到恶意入侵。入侵检测系统(Intrusion Detection System,IDS)能够有效的检测并处理入侵,因此混合WMN中的IDS研究具有重要意义。现有的专门针对混合WMN的IDS研究成果不多。由于针对其它网络结构(如基础设施WMN)的IDS不能完全适用于混合WMN,因此需要设计适合混合WMN的入侵检测方法。现有关于WMN的IDS研究多数只考虑常规的性能指标,如检测率、误检率和漏检率,但是在实际应用中,用户对无线网络性能的要求日益增长,仅成功检测入侵已经不能满足用户要求,因此在提高检测率的同时提高检测效率是一个新的挑战。同时,对于能量和资源有限的混合WMN,过于复杂的检测方法可能会引起较高的开销,因此设计低开销的入侵检测方法同样具有重要意义。本文针对现有的混合WMN未考虑检测效率这一性能指标的问题,设计了一种基于移动代理的高效IDS,命名为AH-IDS(Agent based Honeypot-IDS)。AH-IDS利用移动代理移动计算能力强、轻量级的特点,在检测时考虑节点的能量利用率,代理优先检测能量利用率低的节点;同时区分Mesh客户端和Mesh路由器在成为恶意节点时的不同影响程度,给出相应的检测对象权值。综合考虑能量利用率和检测对象权值优化检测顺序、提高检测效率。ns-3仿真结果表明,与常规蜜罐IDS(Honeypot-IDS,H-IDS)相比,AH-IDS能够在维持网络较低的丢包率和较高的吞吐量的同时至少提高约10%的检测效率。为进一步满足IDS低开销的要求,本文设计了一种基于压缩感知理论的低开销IDS,命名为CS-IDS(Compressed Sensing based-IDS)。该系统没有延续使用移动代理,大部分的计算在网关运行。CS-IDS提出一种新的针对黑洞攻击的攻击度量,即活跃状态度量(Active State Metric,ASM)来检测入侵。该度量综合考虑节点物理层状态的活跃程度与节点能量消耗,能够做到有效的识别黑洞攻击。压缩感知理论多用于信号或图像的欠采样恢复,在该系统中,Mesh节点以一定的压缩率对ASM进行压缩采样,以动态变化的全部节点的平均ASM值D-Th(Dynamic-Threshold)作为阈值对采样数据进行处理,并转变为可以简单进行攻击识别的具有稀疏性的信号。通过合理设置重建参数,该系统可以以较少的计算量精确重建原始信号并最终用于攻击检测。由于原始ASM的采样次数明显减少,每个Mesh节点承担了比较少的计算量,因此该检测方法使检测开销大大减少。ns-3仿真结果表明,ASM在系统中可以很好的识别黑洞攻击,且CS-IDS有较高的检测率,较低的误检率和漏检率。由于CS-IDS使用压缩采样,与未使用压缩感知理论相比,当攻击密度低于50%时,CS-IDS可以在保证95%检测率时,最大平均减少约40%检测开销。本文的研究为混合WMN中IDS的设计提供了新的性能度量指标与研究思路,为高效、低开销的检测方法设计提供了研究基础。