（计算机应用技术专业论文）基于tcp本地延迟抖动的非法ap检测方法研究.pdf

硕士学位论文 摘要 近年来，8 0 2 11 无线局域网因其所具有的安装便捷、使用灵活、易于扩展等 优点，广泛引用于校园、机场和公司。然而，无线局域网在给人们带来了极大便 利的同时，也给企业网络带来了安全隐患。尤其是当企业内部网络中有用户未经 授权私自安装无线接入点，即非法a p ( a c c e s sp o i n t ) 时，就会在无意中为恶意 攻击者提供入侵企业内部网络的后门，给内网安全造成极大的威胁。为了使无线 局域网远离非授权访问，非法a p 检测已成为机构内网管理的重要内容之一，同 时也引起了研究者的广泛关注。 本文系统分析了现有非法a p 检测方法的研究现状和缺陷。针对目前算法的 不足，提出了一个接入网类型( e t h e r n e t 或w l a n ) 判决的新特征参数一t c p 本 地延迟抖动，针对被监测网络中无线连接t c p 本地延迟抖动训练样本集是否可 用，设计了两种非法a p 检测方法。主要工作包括： 1 基于对无线连接和有线连接上t c p 本地延迟抖动概率分布的特性分析，提 出了一种“基于无线连接训练集的非法a p 检测算法 。该算法需要在训练阶段采 集无线连接t c p 本地延迟抖动训练样本集以获取无线连接上的t c p 本地延迟抖 动先验概率分布。鉴于算法性能取决于对节点接入网类型的判决效果，本文将改 进的序贯假设检验应用于该非法a p 检测算法的接入网类型的判决阶段。通过离 线和在线两类实验，该非法a p 检测算法的w l a n 正确判决率高于9 9 9 6 ，虚 警率低于3 4 ，并且能检测出9 4 7 的无线节点。 2 为了在无线连接训练样本集不易取得的场景中获取无线连接t c p 本地延 迟抖动先验概率分布，本文基于对8 0 2 1 ld c f ( d i s t r i b u t e dc o o r d i n a t e df u n c t i o n ) 信道访问机制的分析与马尔可夫模型，提出一个8 0 2 1 1 无线连接t c p 本地延迟 抖动概率分布模型。实际网络的测试实验数据证明，该模型非常吻合8 0 2 1 1 无线 连接的t c p 本地延迟抖动实际概率分布。应用该理论模型，本文提出一种可应用 于无线连接训练样本集不易取得场景下的非法a p 检测算法，该算法无需在训练 阶段对无线连接训练集进行学习。离线和在线实验验证了该算法作出w l a n 判决 的正确判决率高于9 9 5 3 ，而作出一次w l a n 判决所需时间的中值小于5 7 6 2 s ， 该算法对无线节点的检测率高于8 5 7 1 。 关键词：非法a p ；延迟抖动；序贯假设检验；d c f ( 分布式协调功能) i t a b s t r a c t r e c e n ty e a r s ，8 0 2 1 1 - b a s e dw i r e l e s sl o c a la r e an e t w o r k ( w l a n ) h a sb e e n d e p l o y e dw i d e l yi ns c h o o l s ，a i r p o r t ，c o r p o r a t i o nd u et o i t sa d v a n t a g e so fi n s t a l l i n g e a s i l y u s i n gf l e x i b l y ，a n de x p a n d i n ge a s i ly - h o w e v e r ，w i r e l e s sn e t w o r ka c c e s si sa 盯e a tc o n v e n i e n c et ou s e r s ，b u ta tt h es a m et i m ec a nb eab u r d e nt oe x p o s et h e e n t e r p r i s en e t w o r kt oab a r r a g eo fs e c u r i t yv u l n e f a b i l i t i e s t h i si sm a g n i f i e db yt h e f a c tt h a ti n e x p e n s i v ew i r e l e s sa c c e s sp o i n t sc a nb ee a s i l yi n s t a l l e di na ne n t e r p r i s e n e t w o r kw i t h o u tt h ea p p r o v a lo rk n o w l e d g eofn e t w o r ka d m i n i s t r a t o r s t h e s ed e v i c e s ， t e r m e dr o g u e ( u n a u t h o r i z e d ) a c c e s sp o i n t s ( a p s ) ，w i l li n v o l u n t a r i l yb e c o m ea no p e n d o o rt oa n ym a l i c i o u si n d i v i d u a lw a n t i n gt og a i na c c e s st ot h en e t w o r k ，a n db r i n g g r e a tt h r e a tt ol o c a ln e t w o r k i no r d e rt op r o t e c tw i r e l e s sl a n 仔o mu n a u t h o r i z e d a c c e s s ，r o g u ea pd e t e c t i o nh a sb e c o m ea ne s s e n t i a lc a p a b i l i t yf o re v e r yo f g a n i z a t i o n ， a n dr e c e i v e ds i g n i 丘c a ma t t e n t i o n 仔o ma c a d e m i cr e s e a r c h e r s ac o m p r e h e n s i v er e v i e wo nt e c h n i q u e sf o rr o g u ea pd e t e c t i o ni sg i v e ni nt h i s t h e s i s t h ea n a l v s i so fc u r r e n tr e s e a r c h e ss h o w st h a ta l t h o u g ht h e r eh a v eb e e na n u m b e ro fr e c e n tr e s e a r c hr e s u l t s ，t h e r ei ss t i l lm u c hr o o mf o rt h ei m p r o v e m e n t so f t h ep r a c t i c a lr og u ea pd e t e c t i o nm e t h o d s i nt h i st h e s i s ，an o v e lm e t r i cn a m e dt c p l o c a ld e l a yj i t t e ri sp r o p o s e dw h i c hc a nb eu s e dt od e t e r m i n eh o s t s a c c e 8 sn e t w o r k t y p e ( e i t h e rw l a no re t h e r n e t ) d e p e n d i n go nw h e t h e rw i r e l e s sc o n n n e c t i o n s t c p l o c a ld e l a yj i t t e rt r a i n i n gs e ti sa v a i l a b l ei nt h em o n i t o r e dn e t w o r k ，t w od i f f c r e n t r o g u ea pd e t e c t i o nm e t h o d sa r ep r o p os e d t h em a i nc o n t r i b u t i o no ft h i st h e s i si sa s f o l l o w s ： 1 m o t i v a t e db ya n a l y z i n gt h ei n t r i n s i cc h a r a c t e r i s t i c so ft c p l o c a ld e l a yj i t t e r 行o me t h e r n e ta n dw l a nh o s t s ，t h i st h e s i sd e v e l o p san o v e la l g o r i t h mf o rr o g u ea p d e t e c t i o nw i t hw i r e l e s sc o n n e c t i o n s t r a i n i n gs e t s t h i sa l g o r i t h mg e tw i r e l e s st c p l o c a ld e l a yj i t t e rp r i o rp r o b a b i l i t yd i s t r i b u t i o n 矗o mw i r e l e s sc o n n n e c t i o n s t c p l o c a ld e l a yj i t t e rt r a i n i n gs e ti nt h et r a i n i n gp h a s e b e c a u s et h ec o r eo fo u rr o g u ea p d e t e c t i o ns c h e m ei so n l i n ed e t e r m i n a t i o no fah o s t sa c c e s sn e t w o r kt y p e ， a n i m p r o v e ds e q u e n t i a lh y p o t h e s i st e s t i n gi sp r o p o s e dt ob ea p p l i e di nt h ep h a s eo f a c c e s sn e t w o r kt y p e sd e t e r m i n a t i o n o m i n ea n do n l i n ee x p e r i m e n t sd e m o n s t r a t e s t h a tw i t ht h eh e l po ft h ep r o p o s e da l g o r i t h mt h ec o r r e c td e t e c t i o nr a t i oo nw l a n i s m o r et h a n9 9 9 6 w i t hl e s st h a n3 4 o ff a l s ep o s i t i v e s b e s i d e s ，t h i sa l g o r i t h mc a n i i i 硕士学位论文 d e t e c tn l o r et h a n9 4 7 o f t h ew i r e l e s sh o s t s 2 i no r d e rt o g e tp r i o rp r o b a b i “t yd i s t r i b u t i o n o fw i r e l e s sc o n n e c t i o n s t c p l o c a ld e l a yj i t t e ri ns c e n a r i o sw h e r et c pl o c a ld e l a yj i t t e rt r a i n i n gs e to fw i r e l e s s c o n n e c t i o n s i s n ta v a i l a b l eap r i o r i ( e g ，f o ro r g a n i z a t i o n sw i t h n ow i r e l e s s n e t w o r k s ) ，a na n a l y t i c a lm o d e lo ft h et c pl o c a ld e l a yj i t t e rf o rw i r e l e s sc o n n e c t i o n s i sd e r i v e db a s e do nt h ea n a l y s i so fi e e e8 0 2 11m a c d c f ( d i s t r i b u t e dc o o r d i n a t e d f u n c t i o n ) a n dm a r k o vc h a i nm o d e l e x p e r i m e n t ss h o wt h a tt h i sa n a l y t i c a lm o d e li s c o n s i s t e n tw i t ht h ed i s t r i b u t i o no fw i r e l e s sc o n n e c t i o n s t c pl o c a lj i t t e r 仔o ma c t u a l m e a s u r e m e n to fw i r e l e s sc o n n e c t i o n s n o w a p p l yt h i sa n a l ”i c a lm o d e l ，an o v e l r o g u ea pd e t e c t i o nm e t h o di sp r o p o s e d b e c a u s eo fn o n - f e q u i r e m e n to fw i r e l e s s c o n n e c t i o n s t r a i n i n gd a t as e t ，t h i sm e t h o di ss u i t a b l ef o rs c e n a r i o sw h e r et c pl o c a l d e l a yj i t t e rt r a i n i n gs e to fw i r e l e s sc o n n e c t i o n si s n ta v a i l a b l e o m i n ea n do n l i n e e x p e r i m e n t sd e m o n s t r a t e st h a t t h ec o r r e c td e t e c t i o nr a t i oo ne t h e r n e toft h i s a l g o r i t h mi sm o r et h a n9 9 5 3 ，w h i l et h em e d i a nd e t e c t i o nt i m ef o rad e t e c t i o no n w l a ni sl e s st h a n5 7 6 2 s b e s i d e s ，t h i sa l g o r i t h mc a nd e t e c tm o r et h a n8 5 7l o f t h ew i r e l e s sh o s t s k e yw b r d s ：r o g u ea c c e s sp o i n t ；d e l a yj i t t e r ；s e q u e n t i a lh y p o t h e s i st e s t i n g ； d c f ( d i s t r i b u t e dc o o r d i n a t e df u n c t i o n ) 基于t c p 本地延迟抖动的非法a p 检测方法研究 插图索引 图1 1 非法a p 示例图2 图2 1 样本网络9 图2 2t c p 本地延迟抖动相关定义9 图2 3t l j 、a c k p a i r s 在有线连接和无线连接上的概率分布1 1 图2 4 加限制条件和未加限制条件的t l j 概率分布图1 3 图2 5 传统的序贯假设检验算法描述1 6 图2 6 改进的序贯假设检验算法描述1 8 图2 7 基于无线连接t l j 训练集的非法a p 检测算法整体描述1 9 图3 1 分发系统和无线接入点2 7 图3 28 0 2 1 l 无线局域网与有线局域网的融合2 7 图3 3 帧间间隔2 9 图3 4 竞争窗口指数递增的一个示例3 0 图3 5 指数退避过程3l 图3 6a c k 帧应答过程3 2 图3 78 0 2 1 1 无线连接t c p 本地延迟抖动相关定义3 2 图3 8d c f 二维马尔可夫链状态转移图3 6 图3 9 参数e 形和p 的取值关系3 7 图3 1 0 训练集采集结束条件为1 0 4 个有线连接t l j 时的相关结果4 0 图3 1 1 训练集采集结束条件为1 0 5 个有线连接t l j 时的相关结果一4 0 图3 1 2 训练集采集结束条件为1 0 6 个有线连接t l j 时的相关结果4 l 图3 1 3 训练集采集结束条件为1 0 1 7 个有线连接t l j 时的相关结果4 l 图3 1 4 训练集采集结束条件为3 1 0 7 个有线连接t l j 时的相关结果4 l 图4 12 0 0 8 3 1 0 实际测量得到的t l j 概率分布4 4 图4 22 0 0 8 3 1 l 实际测量得到的t l j 概率分布4 4 图4 32 0 0 8 3 1 2 实际测量得到的t l j 概率分布4 4 图4 42 0 0 8 3 1 3 实际测量得到的t l j 概率分布4 5 图4 5 基于无线连接t l j 理论模型的序贯假设检验算法描述4 6 图4 6 基于无线连接t l j 理论模型的非法a p 检测算法描述4 8 v 硕士学位论文 附表索引 表2 14 组实验数据中t l j 与a c k p a i r s 的个数1 0 表2 2 获取t l j 与a c k p a i r s 训练样本集所需时间比较1 2 表2 3 算法评价指标相关定义- 1 4 表2 4w l a n 判决效果评价指标相关定义1 4 表2 5e t h e r n e t 判决结果17 表2 6w l a n 判决结果1 7 表2 7w l a n 判决效果评价指标的结果1 7 表2 8e t h e r n e t 判决结果2 3 表2 9w l a n 判决结果2 3 表2 1 0w l a n 判决效果评价指标的结果一2 3 表2 1 1t l jw t 算法在线评价2 4 表2 1 2w l a n 判决效果评价指标的结果一2 4 表3 1 无线连接t l j 理论分布与由实际分布比较4 0 表4 1e t h e r n e t 判决结果一4 9 表4 2w l a n 判决结果4 9 表4 3w l a n 判决效果评价指标的结果4 9 表4 4t l jn o t 算法在线评价5 1 表4 5w l a n 判决效果评价指标的结果5 1 v i i i 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：日期：冰孵年多月疗日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇 编本学位论文。 本学位论文属于 l 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“”) 作者签名： 导师签名： 日期：膦 日期：a 孵 y 月涉日 ，月莎曰 硕士学位论文 1 1 研究背景 第1 章绪论 随着i e e e8 0 2 1 1 技术的日趋成熟，无线设备的成本大幅度下降，加之移动 性、高灵活性、可伸缩性等特征，无线局域网( w l a n ) 作为传统有线网络的 延伸、补充或替代，在企业、校园等诸多场所得到了越来越广泛的应用。然而， 由于i e e e8 0 2 1 1 标准中所采用的w e p 加密算法在设计中的重大缺陷【2 “】，它既 不能保证数据的保密性和完整性，也不能阻止非授权访问；再加上无线局域网以 无线信道作为传输媒介，利用电磁波在空气中发送和接收数据，这种无线通信固 有的空间开放特性更使得传播资料完全暴露于周围环境中，任何位于该无线发射 点信号覆盖范围内的w l a n 终端都可以接收，此时一些重要数据有可能被恶意入 侵者窃取r 7 8 】。因此，相对于通过实际物理线路传输信息的传统有线网络来说，无 线网络不仅要面对来自有线网络的安全威胁，而且还要面对专门针对无线网络环 境的安全威胁。其中，非法a p ( r o g u e a c c e s sp o i n t ) 是w l a n 环境中最主要的 安全威胁之一【9 1 。根据2 0 0 5 年美国f b i 电脑犯罪和安全调查【1 0 】( f b ic o m p u t e r c r i m ea n ds e c u r i t ys u r v e y ) ，非法a p 是唯一处于上升趋势的安全威胁。而在最近 由著名安全机构s a n si n s t i t u t e 所发布的2 0 0 7 年度2 0 大安全问题中，非法a p 已 被列于“安全策略与人员之安全风险( s e c u r i t yp o l i c ya n dp e r s o n n e l ) ”中的首位】。 如图1 1 所示，非法a p 是指未经授权而接入有线网络的8 0 2 1 1 无线接入点 ( w i r e l e s sa c c e s sp o i n t ) 。其大多数为内部人员所安装的未经授权的a p 。非法a p 一般不为网络管理员所知，而且往往没有进行任何安全策略的配置，不遵守本地 网络中的安全协议，这就导致无线网络毫无安全性可言，极易受到攻击。具体的， 其危害性主要表现在如下几个方面： ( 1 ) 恶意攻击者 黑客在攻击无线网络时无需获得有线网络物理通道，也无需通过受防火墙和 网关保护的企业局域网网络边界，它可直接通过接入企业网络内部任何一个未设 置安全策略的a p 或安全性较弱的a p 进入内部网络。这样，他们就与那些已授 权使用内部网络的合法用户一样，对整个网络有一定的访问权限。入侵者能够做 合法用户能做的任何事情，从而乘机进入企业有线网络，窃取企业机密信息或发 起恶意攻击。考虑到无线局域网如此脆弱的安全性，许多涉及机密信息的关键机 构或金融公司都不在其内部网络中铺设无线局域网，并且会禁用无线局域网。然 而，即使在这样的网络中，非法设备也是一个需要机构内部网络管理人员重视的 纂于t c p 本地延迟抖动的非法a p 检测方法研究 问题，例如由内部人员安装的未经授权的a p ，虽然他们是没有恶意企图的，但 却在无意中为恶意攻击者访问内部网络提供了有利机会，这对企业网安全必将造 成严重的威胁。 融 4 瓢，o h a c k e rn 铷严9 蕊q f 鼍棼篇? 觜需紧尝罢 。= 、 a u t h or z e ds t a t i o n 无线通信范围内a p s 自 号慢度届r o g u ea p 最 图1 1 非法a p 示例图 ( 2 ) 恶意窃听者 非法a p 的另一个威胁来自于恶意窃听者。考虑一个已授权的无线终端周围 存在非法a p 的情况，由于8 0 2 1 1 无线网卡在自动选择a p 时，会选择在其信号 覆盖范围内信号强度最强的a p 接入【12 1 ，因而，当非法a p 的信号强度超过这个 无线终端周围的已授权a p 时，该无线终端就可能会在用户并不知晓的情况下自 动切换至非法a p 。由于非法a p 大多都是没有进行任何安全配置的，机构内部人 员通过该a p 通信时，其信息皆以明文传输。此时，当网络中存在恶意窃听者时， 其敏感信息将因明文传输而泄密，这对于企业和个人的信息安全来说都是非常危 险的。 ( 3 ) 信号干扰 非法a p 使用者在安装非法a p 时，一般是不会考虑其所在信道是否与相邻a p 存在频谱相交的问题的，然而，在无线局域网中，如果距离较近的相邻a p 各自所 在信道是相交信道时，就会发生频谱干扰【1 3 】，w l a n 中的通信质量随之降低。因 而，非法a p 的存在很可能对与之相邻的己授权a p 的服务质量造成不良影响，干 扰正常通信。 由以上的分析可以看出，非法a p 现已成为无线安全中的重要问题。为了更好 的保护无线局域网的网络安全，非法a p 检测已成为网络管理的重要内容之一，并 2 硕士学位论文 得到了学术界和工业界的重视，提出了一些检测方法。 1 2 相关研究及其现状 非法a p 检测已成为网络管理的重要内容之一。近年来国内外展开了一系列 的研究，所提出的方法大致可分为两类【1 4 】：o v e r t h e a i r ( o t a ) 和o v e 卜t h e w i r e ( o t w ) 。o t a 方法通过设置无线监测点，检测无线信号，捕获无线数据帧，并 解析m a c 帧头部信息，获取无线a p 的s s i d 、m a c 地址等，应用m a c 地址过 滤的方法检测出非法a p 。o t a 方法容易受到无线信号空间覆盖范围的影响，当 应用于小范围监测时其结果比较准确，但是应用于大范围监测时，存在漏检、多 机部署费用高昂、维护难度大等问题。而o t w 方法是在有线链路上设置网络监 测点检测非法a p 是否存在。目前一般采用m a c 地址过滤( m a cf i l t e r i n g ) 或者 利用网络流的某一统计特征识别出节点接入网类型为w l a n 的无线节点，进而检 测出非法a p 。基于m a c i p 地址过滤的o t w 方法无法检测出仿冒合法有线设备 地址的非法a p 和利用n a t 掩盖真实m a c i p 地址的非法a p ；基于网络流的某 一统计特征进行节点接入网类型区分的o t w 检测方法在一定程度上避免了基于 地址过滤方法的缺点；同时，其只需在被监测区域的出口网关设置监测点就可以 对网络实施监测，系统搭建简单，维护方便。 1 2 1o t a 检测方法 目前，大多数的商业产品( 比如，a i r d e f e n s e 、a i r m a g n e t 、a i r w a v e ) 都采 用o t a 非法a p 检测方法，包含单点部署( 比如a i r m a g n e tl a p t o pa n a l y z e r 、 n e t s t u m b l e r ) 和分布式部署( 比如a i r m a g n e te n t e 印r i s e 、a i r d e f e n s e ) 两种实现 方式。 文献 1 5 ，1 6 】在单点部署无线监测点上改进了非法a p 无线检测技术，但由于 无线监测点单点覆盖空间和频段有限，只有当该无线监测点与非法a p 在物理位 置上接近，且两者信道正好相同时，才能捕获到非法a p 的无线信号，如果非法 a p 不处于该点的信号覆盖范围内或二者信道不同，就不会被检测到，此时，无 论是a i r m a g n e tl a p t o pa n a l y z e r 、n e t s t u m b l e r ，还是文献 1 5 ，1 6 】中的方法都会失 效。因此，单点部署的方式一般用于巡检，需通过用户手持检测仪表在被监测区 域内走动增加覆盖面积。这种方法漏检率非常高，效率低，它对于网络的保护过 于断断续续，不适合长期实时检测。 为了实现对全网全信道的实时有效的安全监测，一些企业开始采用分布式无 线监测系统。该方法是通过在监测区域中分布式部署大量的硬件传感器从而达到 对网络全覆盖的目的，硬件传感器可以是无线监测专用的无线设备，也可以是普 通的无线网卡【1 7 】，硬件传感器实时捕获数据，并发送给服务器进行处理。文献 3 基于t c p 本地延迟抖动的非法a p 检测方法研究 1 7 1 9 】中的非法a p 检测方法也属于此类，但其研究重点在于提出了各自的分布 式的无线监测系统架构。这种方式虽然在非法a p 检测率方面有了一定的提高， 但由于需要大量的硬件传感器，存在系统铺设复杂、维护困难、成本高昂等问题。 1 2 2o t w 检测方法 为了使下文的阐述更清晰，在此先给出两个定义一有线连接( e t h e r n e t c o n n e c t i o n 【2 们，) 和无线连接( w i r e l e s sc o n n e c t i o n 【2 0 】) 。 定义1 有线连接：特指通信双方是被监测区域中的有线节点和监测区域外节 点的网络流。 定义2 无线连接：特指通信双方是被监测区域中的无线节点和监测区域外节 点的网络流。 o t w 检测方法一般分两类：一类是直接应用传统的m a c i p 地址过滤的方法 ( m a cf i l t e r i n ga p p l i c a t i o n s ) ；另一类是在被监测区域的有线链路边界交换机路 由器上捕获网络流，利用有线连接和无线连接上流统计特性的不同来进行节点接 入网类型( e t h e r n e t 和w l a n ) 的分类，获取无线节点i p 地址，进而检测出非法a p 。 典型的应用传统m a c i p 地址过滤的方法有a p t 0 0 1 s 【2 1 】和文献 2 2 】。前者是 由思科公司提供的一个非法a p 检测软件，它通过查询局域网中路由器或交换机 中的a r p ( a d d r e s sr e s o l u t i o np r o t o c 0 1 ) 表和内容可寻址存储器( c o n t e n t a d d r e s s a b l em e m o r y ，缩写为c a m ) 来取得局域网中的a pm a c 地址列表。后者 设计了一个为w l a n 提供安全保护的入侵检测系统，该系统通过在有线网络中分 布式部署多个代理，这些代理通过m a c 地址过滤机制对每一个需要接入有线网 的a p 进行认证，达到阻止非法a p 接入网络的目的。尽管系统实现简单且耗时 少，但无法检测出在n a t 设备之后的非法a p 和m a c i p 地址欺骗行为的非法 a p 。 近年来人们开始研究在有线链路上基于流统计特性的非法a p 检测方法。该 方法基本思想是先采集某个特征参数的样本，经训练一段时间后取得该特征参数 在无线连接和有线连接上的先验概率分布，再应用分类法区分出无线节点，进而 检测出非法a p 。根据对特征参数的测量方式，可进一步分为基于主动测量的检测 和基于被动测量的检测。此类方法能准确检测出n a t 设备后是否存在非法a p ， 同时也能检测出有假冒合法有线节点i p m a c 地址行为的非法a p 。 w e i 、i 等人在文献 2 3 】中提出在有线链路上采用主动测量的方式区分网络 中通信节点的访问类型。首先，监测点请求被监测主机发送大量的包对( p a c k e t p a i r s ) ；然后，记录相邻数据包到达监测点的时间间隔，通过计算熵值得到节点的 网络访问类型。此方法虽然识别精确，但需要被监测主机的配合，并作出正确的 包对发送行为，因而存在较大的局限性。 4 硕士学位论文 c h a d 等人【2 4 】开发了一个基于小数据包本地往返时延( l o c a li 玎t ，缩写为 l i 汀t ) 统计特征的非法设备检测系统，该系统串接在被监测区域出口链路上，将 流经监测点的所有t c p 数据包都分解成1 0 0 字节的等大小分组，统计分解后的小 数据包的往返时延，从而识别出无线连接。由于该系统会拆分重组原始数据包， 这会给正常通信造成影响，并且这种识别方式的特征很容易被攻击者发现，而给 攻击者提供了伪造的机会。 一以上是基于主动测量方式的非法a p 检测方法，而基于被动测量方式的检测方 法主要是依据a c k p a i r s 或i n t e r - p a c k e ts p a c i n g 的统计分布特征来进行识别评定。 文献 2 0 】提出了基于a c k p a i r s 的“s e q u e n t i a lh y p o t h e s i st e s tw i t ht r a i n i n g 检测算法( 简称a pw t ) 是利用t c pa c k p a i r s 在有线连接和无线连接上不同 的统计概率分布来对内网接入网类型作出判决。文献 2 5 】也提出了类似的算法。 二文中对应用于算法的合格a c k p a i r s 的定义如下：与a c k p a i r s 对应的t c p 数 据包需大于1 0 0 0 字节，相邻数据包的时间间隔必须小于阀值( 2 4 0 “s 或4 0 0 “s ) ； 同时，需要被监测节点启用延迟确认机制( d e l a v e da c k ) ，且延迟确认封包数为 2 。通过在出口链路上被动监测流经的网络流，记录t c p 流中合格a c k p a i r s 的 时间间隔，得到已知的有线节点和无线节点所对应的有线连接和无线连接上 a c k p a i r s 训练样本集。在统计得到a c k p a i r s 在有线连接和无线连接上的先验 概率分布之后，文献 2 5 应用贝叶斯方法进行节点接入网类型分类，而 2 0 则采用 了序贯假设检验方法来识别出无线节点，进而发现非法a p 。此类算法虽然能有 效区分有线节点和无线节点，然而由于算法对用于统计的“合格a c k p a i r s ”的定 义限制非常严格，这就局限了该方法的应用范围。特别的，攻击者可以利用这些 严格限制条件避免合格a c k p a i r s 的产生，当与某节点相关的t c p 流中没有符合 要求的a c k p a i r s 时，对其的判决将不会发生，检测将会失败。此外，文献 2 5 】 所采用的贝叶斯分类方法的运算开销较大，不适合于在线检测。 文献 2 6 ，2 7 】则提出利用i n t e 卜p a c k e ts p a c i n g 的统计分布特性来进行节点接入 网类型的识别。虽然该方法能在一定程度上识别出无线节点，然而由于节点发送 的数据包到达监测点时所得到的i n t e r p a c k e ts p a c i n g 测量值会受到跳数的影响， 因此，为了减少跳数对i n t e r - p a c k e ts p a c i n g 统计特征的影响，该类方法都限定了 网络流被动监测点与被监测终端之间的跳数不超过2 。这样的限制条件不便于监 测点的放置，同时容易被攻击者利用，利用增加跳数来避开检测。 以上o t w 检测方法都必须首先获得网络流的某一特征参数( l i 盯t 、 a c k p a i r s 、i n t e r _ p a c k e ts p a c i n g ) 在有线连接和无线连接上的训练样本集，从而为 判决阶段提供必需的先验概率分布。如果在某监测区中，其无线连接上的训练样 本集不易取得，就不能对节点接入网类型实施有效的判决。 在现有的o t w 检测方法中，只有文献 2 0 】提出的基于a c k p a i r s 的 基于t c p 本地延迟抖动的非法a p 检测方法研究 “s e q u e n t i a lh y p o t h e s i st e s tw i t h o u tt r a i n i n g ”非法a p 检测方法( 简称a pn o t ) 能应用于特征参数在无线连接上的训练样本集不易取得的场景中。该方法作出一 次节点接入网类型判决所需t c p 数据包个数较多( 平均大于8 5 0 个) ，而对无线 节点的检测率偏低，只能检测出6 0 7 6 的无线节点，算法性能有待进一步提 高。 综上所述，现有的非法a p 检测方法均存在有一定的局限性：如何减少基于流 统计特性进行节点接入两类型区分。的o t w 检测方法中对用于统计和判决的特征 参数的限制，从而减少非法a p 利用对合格特征参数取值的限制条件来逃避检测的 机会；如何在无线连接训练样本集不易取得的场景中( 比如，不允许有无线设备 存在的机密机构) 实现快速有效的非法a p 检测。这两个问题都是亟待解决的问题。 考虑到0 t a 检测方法需要大量监测点才能达到有效检测的缺点，本文采用了o t w 检测方法的思想。在对8 0 2 1 1d c f 信道访问机制详细分析的基础上，本文提出了 两种新型有效的无线连接和有线连接的区分方法，从而实现对非法a p 的快速实时 检测。 1 3 本文的主要研究内容 本文的研究内容主要包括以下几个方面： 1 、考察了非法a p 检测技术的研究现状和发展趋势，对已有的非法a p 检测 技术进行了分析和总结，指出了非法a p 检测技术所涉及的技术问题，以及现有 技术所存在的不足。 2 、通过理论分析和t r a c e s 的离线实验，提出了一个可用于接入网类型分类的 新特征参数一t c p 本地延迟抖动。离线分析实验证明，t c p 本地延迟抖动较其他 特征参数可更快速的从网络流中取得。进一步的，基于该特征参数本文提出并实 现了一个新的非法a p 检测方法一“基于无线连接t u 训练集的非法a p 检测算法”。 离线和在线两类实验同时验证了该算法对无线节点的检测率高于9 4 7 ，同时， 该算法作出接入网类型为w l a n 判决的正确判决率高于9 9 9 6 ，而w l a n 判决 虚警率低于3 4 ，而作出一次判决所需时间的中值小于1 0 8 2 s ，完全能满足非法 a p 检测时对实时性和准确性的要求。 3 、针对“无线连接训练样本集不易取得的场景 ( 比如被监测的内部网络中 不允许有任何8 0 2 1 1 无线设备存在) 中的无线连接t l j 先验概率分布无法获取问 题，本文从8 0 2 1 1 d c f 信道访问机制出发，对无线连接t l j 的分布进行了理论建模， 并通过大量实验验证了该理论模型与无线连接t l j 实际分布是非常近似的。 4 、基于本文所提出的无线连接t c p 本地延迟抖动理论模型，本文提出了另一 个非法a p 检测算法一“基于无线连接t u 理论模型的非法a p 检测算法 。离线和在线两 类实验同时验证了该算法作出w l a n 判决的虚警率低于5 8 1 ，而作出一次w l a n 6 硕士学位论文 判决所需时间的中值小于5 7 6 2 s ，同时，该算法对无线节点的检测率高于8 5 7 1 ， 相比基于a c k p a i r s 的同类算法的检测率提高了1 9 。该算法能应用于无线连接训 练样本集不易取得的场景中进行非法a p 在线检测。 1 4 论文的结构 在本文中，首先对非法a p 检测技术的研究现状进行了综述，并分析了目前 所存在的问题。然后，根据8 0 2 1 1 信道访问控制机制的特点，提出了一个新的特 征值一t c p 本地延迟抖动，进