无线入侵检测系统

一、无线入侵检测系统概述

无线入侵检测系统（WIDS）是一种针对无线网络安全的检测系统。它依照一定的安全策略，对无线网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证无线网络系统资源的机密性、完整性和可用性。

二、无线入侵检测系统的必要性

（一）来自无线局域网的安全威胁

1. 欺骗
2. 黑客通过欺骗（rogue）WAP得到关键数据。无线局域网用户可能在不知情的情况下，连接到被黑客控制的WAP，遭到黑客监听。由于无线设备低成本和易于配置，很多用户可在传统局域网架设无线基站（WAPs），一些用户安装的后门程序也造成安全隐患，这使得未配置入侵检测系统的组织机构考虑采用IDS解决方案。
3. DDos拒绝服务攻击
4. 基于802.11标准的网络可能遭到拒绝服务攻击（DoS）。无线通讯受物理因素影响会造成信号衰减，黑客可通过无线基站发起恶意DoS攻击，使系统重启，还能通过欺骗WAP发送非法请求干扰正常用户使用无线局域网。
5. 其他威胁
6. 存在一些如ever - increasingpace的威胁，可能导致大范围破坏，目前暂时没有很好的防御方法，但这也促使802.11标准不断发展完善。

三、无线入侵检测系统的架构

（一）集中式

• 通常用于连接单独的sensors（探测器），搜集数据并转发到存储和处理数据的中央系统中。

（二）分散式

• 通常包括多种设备来完成IDS的处理和报告功能，比较适合较小规模的无线局域网，因为它价格便宜和易于管理。但当需要过多的sensors时，数据处理sensors花费将增加，多线程的处理和报告的sensors管理比集中式花费更多时间。可通过在无线基站的位置上部署sensors来提高信号覆盖范围，检测到更多黑客行为。

四、无线入侵检测系统的工作原理

• 主要利用无线信号探测和分析技术，实时监测无线网络中的信号变化和设备状态。通过部署监测AP（Access Point）和无线入侵检测软件，监测AP侦听周围的无线信号（包括合法和非法信号），无线入侵检测软件对这些信号进行深度分析，识别出非法设备和入侵行为。

五、无线入侵检测系统的功能

1. 实时监测
2. 能够实时监测无线网络中的信号和设备状态，发现非法设备的接入和恶意攻击行为。
3. 入侵识别
4. 能够通过分析无线信号的特征和行为，识别出非法设备和入侵行为，包括非法AP、非法STA、非法网桥、非法Ad - hoc等。
5. 告警提示
6. 能够在发现非法设备和入侵行为时，及时发出告警提示，提醒管理员采取相应的应对措施。
7. 记录
8. 能够记录所有的网络活动日志，包括信号采集、入侵识别、告警提示等，为后续的审计和分析提供依据。

六、无线入侵检测系统的应用

• 适用于各种规模的无线网络，包括企业、学校、医院、商场等公共场所的无线网络。企业通过部署无线入侵检测系统，可以及时发现和处理网络安全事件，提高网络的防御能力和应对能力，保障网络的安全稳定运行。

七、无线入侵检测系统部署和使用的注意事项

1. 保持系统更新
2. 及时更新无线入侵检测系统的软件，以确保系统能够识别和防御最新的攻击手段。
3. 与其他安全设备联动
4. 将无线入侵检测系统与其他安全设备（如防火墙、入侵防御系统等）进行联动，形成全方位的网络安全防护体系。