基于TCP本地延迟抖动的非法AP检测方法研究

摘要

近年来，802.11无线局域网因其所具有的安装便捷、使用灵活、易于扩展等优点，广泛引用于校园、机场和公司。然而，无线局域网在给人们带来了极大便利的同时，也给企业网络带来了安全隐患。尤其是当企业内部网络中有用户未经授权私自安装无线接入点，即非法AP(Access Point)时，就会在无意中为恶意攻击者提供入侵企业内部网络的后门，给内网安全造成极大的威胁。为了使无线局域网远离非授权访问，非法AP检测已成为机构内网管理的重要内容之一，同时也引起了研究者的广泛关注。 本文系统分析了现有非法AP检测方法的研究现状和缺陷。针对目前算法的不足，提出了一个接入网类型(Ethernet或WLAN)判决的新特征参数—TCP本地延迟抖动，针对被监测网络中无线连接TCP本地延迟抖动训练样本集是否可用，设计了两种非法AP检测方法。主要工作包括： 1.基于对无线连接和有线连接上TCP本地延迟抖动概率分布的特性分析，提出了一种“基于无线连接训练集的非法AP检测算法”。该算法需要在训练阶段采集无线连接TCP本地延迟抖动训练样本集以获取无线连接上的TCP本地延迟抖动先验概率分布。鉴于算法性能取决于对节点接入网类型的判决效果，本文将改进的序贯假设检验应用于该非法AP检测算法的接入网类型的判决阶段。通过离线和在线两类实验，该非法AP检测算法的WLAN正确判决率高于99.96％，虚警率低于3.4％，并且能检测出94.7％的无线节点。 2.为了在无线连接训练样本集不易取得的场景中获取无线连接TCP本地延迟抖动先验概率分布，本文基于对802.11 DCF(Distributed Coordinated Function)信道访问机制的分析与马尔可夫模型，提出一个802.11无线连接TCP本地延迟抖动概率分布模型。实际网络的测试实验数据证明，该模型非常吻合802.11无线连接的TCP本地延迟抖动实际概率分布。应用该理论模型，本文提出一种可应用于无线连接训练样本集不易取得场景下的非法AP检测算法，该算法无需在训练阶段对无线连接训练集进行学习。离线和在线实验验证了该算法作出WLAN判决的正确判决率高于99.53％，而作出一次WLAN判决所需时间的中值小于5.762s，该算法对无线节点的检测率高于85.71％。

目录

文摘

英文文摘

论文说明：图表目录

声明

第1章绪论

1.1研究背景

1.2相关研究及其现状

1.2.1 OTA检测方法

1.2.2 OTW检测方法

1.3本文的主要研究内容

1.4论文的结构

第2章基于无线连接TLJ训练集的非法AP检测算法

2.1新特征参数的选取及相关定义

2.1.1 TCP本地延迟抖动相关定义

2.1.2与ACK-Pairs分布特征的实验比较

2.2序贯假设检验

2.2.1传统序贯假设检验

2.2.2对传统序贯假设检验的实验评价

2.2.3改进的序贯假设检验

2.3基于无线连接TLJ训练集的非法AP检测算法

2.4验证和评估

2.4.1实验环境

2.4.2非法AP检测算法评价

2.5小结

第3章802.11无线连接TCP本地延迟抖动模型

3.1相关工作

3.2 IEEE 802.11 MAC层协议基础

3.2.1 WLAN网络的基本组成结构

3.2.2 IEEE802.1 1 MAC协议

3.2.3 IEEE802.11DCF信道访问机制

3.3无线连接TCP本地延迟抖动定义

3.4无线连接TCP本地延迟抖动模型

3.4.1无线连接TCP本地延迟抖动概率分布

3.4.2 WLAN无线链路段的部分延迟抖动概率分布

3.4.3无线节点上的排队时延概率分布

3.5实验评估及验证

3.6 小结

第4章基于无线连接TLJ理论模型的非法AP检测算法

4.1基于无线连接TLJ理论模型的序贯假设检验

4.2基于无线连接TLJ理论模型的非法AP检测算法

4.3验证与评估

4.3.1离线评价

4.3.2在线评价

4.4 小结

结论

参考文献

致谢

附录A攻读学位期间所发表的学术论文目录