随着移动互联网和无线网络的迅猛发展,恶意WiFi日渐成为影响公共安全的主要威胁之一。由于缺乏行之有效的解决方案,及时准确检测并防患其威胁行为已然成为提高无线网络安全的关键。恶意WiFi攻击包括Sybil攻击和恶意双胞胎攻击,攻击方式主要是通过伪造无线网络中同名的可接入节点(AP,Access Point)或客户端,实现窃取用户信息及消耗网络带宽资源等目的。攻击者可通过修改网络协议内容绕过攻击检测,因此如何从物理层区分恶意AP是检测中的重要挑战。本文通过分析国内外现有的恶意WiFi攻击检测方法,针对传统攻击检测算法消耗大量人力及设备资源等问题。结合物理层信道状态特征(CSI,Channel State Information),分别提出针对Sybil攻击和恶意双胞胎攻击的检测算法。解决了多径效应干扰、波达角校准等问题,并可以在商用网卡设备实现物理层细粒度检测。本文的主要工作及创新点包括以下四个方面:(1)针对Sybil攻击波达角度检测偏差问题,提出一种自适应的多重信号分类算法。该算法通过设定评价函数自适应地消除天线间相位偏差,同时取得优于传统的多重信号分类(MUSIC,Multiple Signal Classification)算法的检测性能。通过角度检测,结合Sybil客户端的攻击空间位置模型,能够从物理层区分恶意客户端。(2)针对物理层检测恶意节点空间位置不变性以及可能出现的动态特征行为,提出一种基于物理层信道特征的Sybil攻击检测算法。该算法分别从静态和动态两方面同时检测攻击,静态方面结合自适应多重信号分类算法计算波达角度,CSI振幅和信号强度指示(RSSI,Received Signal Strength Indication)区分位置关系,进而判断恶意节点或恶意AP;动态方面根据攻击者运动振幅特征,结合攻击前后特征选择结果通过DBSCAN聚类算法有效实现动态攻击检测。实现了一种可在普通商用网卡上适用的检测系统,大量实验表明该系统具有较高的检测效率。(3)针对基于指纹等恶意双胞胎检测需要主动采集大量位置信息等问题,提出了基于特定区域群体感知的恶意双胞胎检测算法。根据物理层角度定位技术,提出一种角度与信号强度关联的区域量化定位模型,该模型只需搜集少量特定区域位置的CSI和RSSI特征。算法分别从基于区域和基于恶意AP的角度进行攻击检测。并结合群体感知的数据采集方式,无需激励机制即可被动式获取AP的位置信息,简化了数据采集过程。(4)传统检测算法具有不稳定性且攻击者可伪造网络层等传输信息。根据以上理论,本文实现了针对恶意WiFi的不同攻击类型物理层的攻击检测算法,且分别对不同攻击行为进行实验设计与验证。室内自适应多重信号分类算法的检测误差为6.3度。静态Sybil攻击平均检测精度98.5%,验证了物理层检测的稳定性及可行性。对于不同群体感知区域,恶意双胞胎攻击平均检测精度可达到94.7%,不仅有效减少了指纹采集,而且可从多个位置实现恶意WiFi检测。