18、无线网状网络中的入侵检测

无线网状网络中的入侵检测

1. 入侵检测概述

入侵检测的目的是及时向系统管理员发出可能遭受攻击的警报，理想情况下能够阻止攻击或减轻损失。由于无线网络比有线网络更容易受到攻击，因此入侵检测在无线网络中作为第二道防线显得尤为关键。

1.1 入侵检测的目标

入侵检测通常是一个难题。入侵检测系统（IDS）试图区分异常活动和正常活动，并从异常但非恶意的活动中识别出真正的恶意活动（攻击）。然而，正常活动的范围很广，攻击可能看起来与正常活动相似。例如，ping 是一种常用的工具，用于发现主机是否正在运行并在线，但它也可用于攻击侦察，以了解潜在目标的信息。即使能够将异常活动与正常活动区分开来，异常活动也不一定具有真正的恶意意图。

入侵检测的准确性通常用误报（假警报）和漏报（未检测到的攻击）来衡量。IDS 试图将误报和漏报都降至最低。但这一目标因攻击者可能试图逃避检测而变得复杂。因此，检测必须在对抗性条件下进行，攻击者可能很聪明且有资源。

IDS 还试图在攻击进行时发出警报，以便能够阻止攻击以最小化损失，或者识别正在实施攻击的攻击者。但考虑到攻击可能由一系列不显眼的步骤组成，许多事件（如数据包）必须实时分析，而且攻击可能是新的，与过去的经验不同，这一目标很难实现。

1.2 基于主机和基于网络的监控

IDS 本质上由三个功能组成，如下图所示：

graph LR
    A[Monitor events] --> B[Analysis engine]
    B --> C[Response]