基于隐马尔可夫模型的无线局域网入侵检测系统研究

摘要

无线局域网具有可移动性、安装简单、高灵活性和扩展能力，作为有线网络的延伸，在很多领域得到了广泛的应用。随着无线局域网解决方法的不断推出，不论何时何地都能轻松上网的目标得以实现。无线局域网技术带来了极大的方便的同时，也带来了极大的安全隐患。由于无线局域网传输媒介的开放性，以及无线局域网标准的漏洞等多方面因素，使得无线局域网可以轻易的被入侵者攻击。安全性成为无线局域网发展的最大的障碍之一。入侵检测技术是抵御无线局域网入侵的一种有效方式，不过由于有线网络和无线网络存在各方面的差异，不能将有线网络入侵技术直接应用到无线局域网中，而无线局域网入侵检测技术研究较少。因此需要更适合无线局域网的入侵检测技术。 本文通过对隐马尔可夫模型基本原理的分析和无线局域网标准的研究，将隐马尔可夫模型应用到基础结构的无线局域网入侵检测中。利用隐马尔可夫模型对无线局域网数据包进行建模；利用正常的无线局域网数据对隐马尔可夫模型进行训练，并记忆正常系统下无线局域网数据包行为。由此检测出现概率小的数据包或数据包序列，并制定了入侵检测阈值。试验结果表明，该方法具有较低的误检率和漏检率。本文的主要工作和贡献有： 1)分析了无线局域网入侵检测技术和隐马尔可夫模型的基本理论。 2)基于隐马尔可夫模型提出了一个基础结构无线局域网入侵检测方法，提出了对无线局域网数据包进行分段来确定观测值的方法，并通过对802.11帧的分析，建立了基本模型、ADR-HMM模型、FC-HMM模型、DI-HMM模型和SC-HMM模型。 3)建立包含WLAN捕包模块、数据包解析模块、预处理模块、HMM训练模块、HMM异常检测模块的无线局域网入侵检测模型。 4)设计了包含无线分析终端、管理服务器、控制台的分布式无线局域网入侵检测系统。 5)搭建了实际的分布式无线局域网入侵检测实验平台，并通过模拟入侵攻击对模型进行测试，对结果进行了分析。

目录

文摘

英文文摘

声明

第1章 绪论

1.1研究背景

1.2研究内容

1.3 论文结构

第2章无线局域网入侵检测系统

2.1入侵检测系统

2.1.1入侵检测定义

2.1.2入侵检测系统的需求特性

2.1.3入侵检测系统基本结构

2.1.4入侵检测分类

2.2无线局域网入侵检测系统

2.2.1无线局域网存在的安全威胁

2.2.2无线局域网安全技术

2.2.3无线局域网入侵检测系统

2.3本章小结

第3章 隐马尔可夫模型

3.1一般Markov模型

3.2 HMM基本概念

3.3 HMM基本问题

3.4 HMM基本问题的解决

3.4.1 Forwrard-Backward算法

3.4.2 Viterbi算法

3.4.3 Baum-Welch算法

3.5 HMM在入侵检测方面的应用

3.6本章小结

第4章 基于隐马尔可夫模型的无线局域网入侵检测方法

4.1 用HMM检测WLAN的入侵

4.1.1无线局域网802.11帧结构与安全性分析

4.1.2 基于HMM的WLAN入侵检测原理分析

4.2模型的建立

4.2.1模型参数的设定

4.2.2模型的简化

4.3模型的训练

4.3.1滑动窗口的设定

4.3.2 P(O|λ)值太小的解决方法

4.4模型的检测

4.4.1阈值的确定

4.5本章小结

第5章无线局域网入侵检测系统设计

5.1无线局域网入侵检测模型结构设计

5.1.1 WLAN捕包模块

5.1.2数据包解析模块

5.1.3预处理模块

5.1.4 HMM训练模块

5.1.5 HMM异常检测模块

5.2无线局域网入侵检测模型结构实现

5.2.1无线分析终端

5.2.2管理服务器

5.2.3控制台

5.3本章小结

第6章实验与结果分析

6.1 实验环境

6.1.1无线分析终端实验环境

6.1.2管理服务器实验环境

6.2模型测试实验

6.2.1 Flood和Spoof攻击实验

6.2.2 NAV攻击实验

6.2.3 MAC地址欺骗攻击实验

6.3实验结果分析

6.3.1基本模型试验结果

6.3.2 ADR-HMM模型试验结果

6.3.3 FC-HMM模型试验结果

6.3.4 DI-HMM模型试验结果

6.3.5 SC-HMM模型试验结果

6.4本章小结

第7章 总结

7.1研究工作总结

7.2进一步工作的展望

参考文献

致谢

在读期间发表的学术论文与取得的研究成果