用于给资源受限装置部署无线网络入侵检测系统的设备和方法

摘要

诸如现场装置(104a-104n)或中继器/中继节点(106a-106e)的无线装置检测数据分组中表明入侵的异常的存在。在检测到异常时，无线装置发送通知到标记器装置(114)，该标记器装置确定是否可能正在发生入侵。如果是，则标记器装置将侦探例程下载到至少一个无线装置，这实现了对入侵的进一步调查和/或隔离该入侵。由于侦探例程被下载到无线装置，所以侦探例程可以与存储受限的无线装置结合使用。存储受限的无线装置可能缺乏足够的存储器(604，606，608)来存储在正常期间执行的主应用程序和侦探例程两者。该侦探例程可以覆盖主应用程序的一个或多个模块。该侦探例程一旦被执行，本身就可以被一个或多个模块覆盖，从而允许无线装置返回到正常操作。

说明书

相关申请的交叉引用

本申请是于2007年5月23日提交的美国专利申请No.11/752,308的部分延续案，该美国专利申请由此并入以供参考。

技术领域

本公开大体涉及无线网络中的安全，并且更具体地涉及用于给资源受限(resource-constrained)装置部署无线网络入侵检测系统的设备和方法。

背景技术

无线网络通常代表由通过无线媒介进行无线通信的装置形成的通信网络。无线网络的一些示例包括无线局域网(WLAN)和蜂窝通信网络。

形成部分无线网络的无线装置通常连接到无线网络并且在无线网络中操作而不需要固定或已知的位置，不像其中有线装置通常位于已知的连接点的有线网络。因此，与有线网络相比，未经授权或“流氓”无线装置连接到无线网络的概率通常会增大。一般而言，“入侵者(intruder)”代表任何向无线网络传输未经授权的(或其它不期望的)分组的系统或装置。无线网络中的这些“入侵”通常是不期望的，并且可以在无线网络中采用入侵检测系统来检测和/或防止这些入侵。

在现有的入侵检测系统中，无线安全部件被部署在无线网络中，并且无线安全部件监视在无线网络上接收的所有或大部分通信业务(数据分组)。例如，无线安全部件可以存储分组并且然后分析所存储的分组以检测表明可能入侵的任何异常。

这种方法的一个问题在于无线网络中的无线装置往往是存储受限(memory constrained)的和/或功率受限的。这在诸如工业过程控制系统之类的环境中可能成为特定问题。受限装置可以包括无线现场装置(诸如无线传感器)和其它无线装置(诸如中间节点)。该问题往往在无线安全部件必须驻留在受限无线装置上且由受限无线装置执行时构成困难。

发明内容

本公开提供一种用于给资源受限装置部署无线网络入侵检测系统的设备和方法。

在第一实施例中，一种系统包括多个被配置成通过无线媒介接收数据分组的无线装置。所述无线装置中的至少一个被配置成检测与所接收的数据分组相关联的一个或多个异常。系统还包括标记器(sentinel)装置，该标记器装置被配置成响应于一个或多个异常的检测而向无线装置中的一个或多个传送侦探例程(spy routine)。一个或多个无线装置还被配置成执行该侦探例程以促成确定所接收的数据分组的发送器是否是入侵者和/或隔离该发送器。

在特定实施例中，该标记器装置还被配置成在向无线装置之一传送侦探例程之前确定该无线装置是否是存储受限的无线装置。

在其它特定实施例中，存储受限的无线装置还被配置成在正常操作期间执行主应用程序，其中该主应用程序包括多个模块。存储受限的无线节点也被配置成用该侦探例程替换所述多个模块中的至少一个。至少一个模块可能对于存储受限的无线装置的稳态操作而言不是必需的，并且可以在不使存储受限的无线装置脱机的情况下替换至少一个模块。存储受限的无线节点也被配置成：从外部源接收至少一个模块；以及在不使存储受限的无线装置脱机的情况下用至少一个所接收的模块替换该侦探例程以使存储受限的无线装置返回到正常操作。

在另一些特定实施例中，该标记器装置被配置成将侦探例程传送到无线装置的第一子集。此外，该侦探例程驻留在无线装置的第二子集上，并且该标记器装置被配置成激活无线装置的第二子集中的侦探例程。

在又一些特定实施例中，该标记器装置被配置成从无线装置中的第一无线装置接收与一个或多个异常相关联的通知，并且该侦探装置被配置成将侦探例程传送到无线装置中的第二无线装置。该第二无线装置可以比第一无线装置更靠近发送器。

在另外的特定实施例中，多个无线装置包括无线网络中的一个或多个无线中继器或中继节点和/或被配置成与无线网络进行通信的一个或多个无线现场装置。

在第二实施例中，一种方法包括在无线装置处从发送器接收数据分组。该方法还包括检测与数据分组相关联的一个或多个异常以及响应于检测到一个或多个异常而传送通知。该方法还包括在无线装置处接收侦探例程以及执行该侦探例程以促成确定该发送器是否是入侵者和/或隔离该发送器。

在第三实施例中，一种设备包括被配置成从发送器接收数据分组的无线接口。该设备还包括至少一个处理器，所述至少一个处理器被配置成检测与数据分组相关联的一个或多个异常并且响应于检测到一个或多个异常而启动通知的传送。所述至少一个处理器还被配置成接收侦探例程并且执行该侦探例程以促成确定发送器是否是入侵者和/或隔离该发送器。

在第四实施例中，在计算机可读媒介上包含一种计算机程序。该计算机程序包括用于从发送器接收数据分组以及用于检测与数据分组相关联的一个或多个异常的计算机可读程序代码。该计算机程序也包括用于响应于检测到一个或多个异常而传送通知的计算机可读程序代码。该计算机程序还包括用于接收侦探例程和执行该侦探例程以促成确定该发送器是否是入侵者和/或隔离该发送器的计算机可读程序代码。

在第五实施例中，一种方法包括从多个无线装置之一接收通知，其中该通知与无线装置所检测的一个或多个异常相关联。该方法还包括传送侦探例程到至少一个无线装置。该侦探例程促成确定无线网络中的发送器是否是入侵者和/或隔离该发送器。

在第六实施例中，一种设备包括被配置成从多个无线装置之一接收通知的接口，其中该通知与无线装置所检测的一个或多个异常相关联。该设备还包括至少一个处理器，所述至少一个处理器被配置成识别无线装置中的至少一个并且启动将侦探例程传送到至少一个无线装置。该侦探例程促成确定无线网络中的发送器是否是入侵者和/或隔离该发送器。

在第七实施例中，在计算机可读媒介上包含一种计算机程序。该计算机程序包括用于从多个无线装置之一接收通知的计算机可读程序代码，其中该通知与无线装置所检测的一个或多个异常相关联。该计算机程序还包括用于传送侦探例程到至少一个无线装置的计算机可读程序代码。该侦探例程促成确定无线网络中的发送器是否是入侵者和/或隔离该发送器。

通过下列图、说明书和权利要求书，本领域技术人员可以容易显而易见其它技术特征。

附图说明

为了更完整地理解本公开，现在结合附图参照下列说明书，在附图中：

图1图解依据本公开的示例无线网络入侵检测系统；

图2图解依据本公开的用于入侵检测的示例方法；

图3图解依据本公开的用于在无线装置中完成侦探例程的执行的示例方法；

图4图解依据本公开的用于在无线网络中实现入侵检测的示例方法；

图5A和5B图解依据本公开的示例入侵情形；

图6图解依据本公开的无线网络入侵检测系统中的示例标记器或无线装置；以及

图7图解依据本公开的无线装置中的示例存储器配置。

具体实施方式

图1到7以及用于描述本发明原理的各个实施例在本专利文档中仅作为例证而不应当以任何方式解释为限制发明的范围。本领域技术人员会理解，可以在任何类型的合适布置的装置或系统中实施发明的原理。

图1图解依据本公开的示例无线网络入侵检测系统100。图1所示的无线网络入侵检测系统100的实施例仅用于例证。在不偏离本公开的范围的情况下可以使用无线网络入侵检测系统100的其它实施例。

如图1所示，系统100包括无线网络102。在这个示例中，无线网络102包括一个或多个无线现场装置104a-104n、中继器系统106以及无线网关108。现场装置104a-104n代表能够执行系统100中的各种功能的无线装置。例如，现场装置104a-104n可以用于监视或控制工业过程控制环境的各个方面。作为特定示例，现场装置104a-104n可以代表用于监视和控制工业过程控制环境的各个方面的传感器(诸如温度传感器或压力传感器)和致动器。现场装置104a-104n也可以根据从中继器系统106接收的控制命令进行操作。在一些实施例中，现场装置104a-104n向中继器系统106提供被控制的各个器械的过程值(诸如温度或压力值)或者从中继器系统106接受用于控制装置(诸如致动器)的控制值。现场装置104a-104n可以使用任何合适的无线技术进行通信，诸如跳频扩频(FHSS)技术。尽管未示出，但系统100也可以包含由有线路径连接且通过有线链路进行通信的有线现场装置。每个现场装置104a-104n可以包括任何合适的用于在无线网络中发送和/或接收数据的硬件、软件、固件或其组合。

中继器系统106包含无线节点106a-106e，其代表作为往返现场装置104a-104n的通信路径中的中间节点(诸如中继器或中继节点)而操作的无线装置。网关108和现场装置之间的通信路径可以包含一个或多个作为中继器/中继节点而操作的无线节点106a-106e。每个无线节点106a-106e可以“收听”在无线媒介上传输的数据分组以检查打算送往该无线节点的数据分组。无线节点可以代表数据分组的终端接收者(其可以基于数据分组中的目的地网络地址字段来确定)或者数据分组的中继器/中继节点(其可以基于数据分组中的目的地介质访问控制或“MAC”级地址字段来确定)。每个无线节点106a-106e包括任何合适的用于促成往/返于现场装置104a-104n的无线通信的硬件、软件、固件或其组合，诸如无线路由器或无线中继器。

网关108促成无线网络102和外部系统或部件之间的通信。例如，网关108可以从一个或多个无线节点106a-106e接收数据分组并且将数据分组提供给外部系统或部件。网关108也可以从外部系统或部件接收数据分组并且将数据分组提供给一个或多个无线节点106a-106e。网关108还可以执行转换(translation)功能以在由外部系统或部件和无线节点106a-106e使用的不同协议之间进行转换。网关108包括任何合适的用于促成无线网络和一个或多个外部装置或系统之间的通信的硬件、软件、固件或其组合。

在一些实施例中，网关108和现场装置104a-104n可以被视为终端系统或装置，并且无线节点106a-106e可以操作以在终端系统或装置之间传递分组。一般而言，数据分组最终去往的具体节点或装置可以由分组的对应网络地址(诸如网际协议地址)确定，并且无线节点106a-106e可以根据包含在分组中的网络地址而转发分组到下一节点或目的地装置。如下所述，无线节点(被实施为单个物理单元)可以操作以辅助入侵检测同时在无线网络102中传递分组。无线现场装置也可以辅助无线网络102中的入侵检测。

在这个示例中，控制站110耦合到无线网关108。控制站110操作以控制现场装置104a-104n的操作。例如，控制站110可以经由网关108和一个或多个无线节点106a-106e将控制值发送到现场装置104a-104n之中的输出装置(诸如致动器)。控制站110也可以经由一个或多个无线节点106a-106e和网关108接收来自现场装置104a-104n之中的输入装置(诸如温度或压力传感器)的过程值。控制站110可以依据任何合适的控制策略来生成控制值，并且所述控制值可以基于所接收的过程值。此外，如上所指出的，现场装置104a-104n可以使用任何合适的无线技术进行通信，如FHSS技术。在这些实施例中，控制站110可以给现场装置104a-104n分配各种参数以促成使用FHSS或其它无线通信技术。作为特定示例，控制站110可以为每个现场装置104a-104n分配时隙和网络地址。另外，控制站110可以连接到各个其它部件(诸如数据库服务器、管理服务器或操作员终端)以促成控制策略的生成和操作。控制站110包括任何合适的用于控制现场装置104a-104n的硬件、软件、固件或其组合，诸如台式计算机、膝上型计算机或其它计算装置。

在来自控制站110的通信期间，无线网关108可以从控制站110接收命令或其它数据并且(经由中继器系统106)通过无线媒介将命令或其它数据发送到适当的现场装置104a-104n。类似地，网关108可以(经由中继器系统106)通过无线媒介从各个现场装置104a-104n接收过程值并且将这些值提供给控制站110。现场装置104a-104n、中继器系统106和网关108可以使用任何合适的无线信号诸如射频(RF)信号进行通信。现场装置104a-104n、中继器系统106和网关108也可以使用任何合适的一个或多个无线协议进行通信，诸如FHSS、802.11或(一个或多个)其它无线协议。

密钥服务器112生成用于加密和解密在系统100中传递的数据的密钥，所述数据诸如在控制站110和无线网络102之间传递的数据或者在无线节点106a-106e和现场装置104a-104n之间传递的数据。密钥服务器112也转发密钥到无线网关108，该无线网关108进而转发适当的密钥到适当的装置(诸如无线节点106a-106e和现场装置104a-104n)。密钥服务器112还给(下述的)标记器114提供密钥信息以用于检测对无线网络102的入侵。密钥服务器112包括任何合适的用于给系统100的部件提供加密密钥的硬件、软件、固件或其组合。密钥服务器112也可以支持在系统100中使用任何合适的加密机制，诸如对称或不对称密钥加密方法。

标记器114(也被称作标记器装置)可以经由网关108从无线节点106a-106e或现场装置104a-104n接收通知，诸如消息分组或其它信号。在检测到无线网络102中的可能异常行为时，可以由无线节点106a-106e或现场装置104a-104n传送通知到标记器114。无线网络102中的可能异常行为可以指示未经授权装置入侵无线网络102。单独或结合决策系统116，标记器114可以处理所述通知以确定是否指示对无线网络102的入侵。如果是，则标记器114可以激活(一个或多个)适当的无线节点106a-106e和/或(一个或多个)现场装置104a-104n中的侦探例程以更具体地识别或反对(combat)该入侵。如下所述，标记器114也可以在激活侦探例程之前(或者在侦探例程的自动激活之前)将侦探例程下载到(一个或多个)适当的无线节点106a-106e和/或(一个或多个)现场装置104a-104n中。下面说明侦探例程的操作和可以用其检测无线网络102中的入侵的方式。标记器114包括任何合适的用于检测无线网络中的入侵的硬件、软件、固件或其组合。

决策系统116可以用来更明确地确定是否可能正在发生对无线网络102的入侵。决策系统116可以使用任何合适的技术来检测可能的入侵。例如，决策系统116可以使用决策规则集(诸如通过使用可在Alabama的Prattville的c/o Artesian City Marketing的Snort Store处获得的SNORT决策引擎)，该决策规则集指定确定入侵所用的方式。决策系统116也可以使用概率技术来识别对无线网络102的可能入侵。(一种或多种)任何其它或另外技术可以用来检测对无线网络的可能入侵。决策系统116包括任何合适的用于检测对无线网络的可能入侵的硬件、软件、固件或其组合。虽然示为与标记器114分离，但决策系统116的功能性可以被实施在标记器114内或并入标记器114中。

一个或多个操作员终端118耦合到标记器114和/或系统100的其它部件。操作员终端118允许把数据提供给一个或多个操作员且从一个或多个操作员接收数据。例如，操作员终端118可以提供合适的用户接口(诸如显示器)，如果怀疑或检测到对无线网络102的入侵，则标记器114可以通过该用户接口发出警报。然后操作员可以经由操作员终端118(诸如通过使用键盘)人工地发出调查命令(代替自动化入侵检测过程或除此之外)从而进一步确定入侵的性质并启动措施以从网络102的操作区中移除入侵者。然而应当注意，在没有任何操作员干预的情况下能够确定和反对至少一些入侵。每个操作员终端118包括任何合适的促成操作员与系统100交互的结构，诸如台式计算机、膝上型计算机或个人数字助理。

图1中的各个部件可以经由任何合适的有线或无线连接而被耦合在一起。例如，控制站110、密钥服务器112和标记器114可以使用有线连接而耦合到网关108，并且决策系统116和操作员终端118可以使用有线连接而耦合到标记器114。作为另一个示例，无线节点106a-106e可以使用无线连接与彼此、现场装置104a-104n和网关108进行通信。在系统100中可以使用任何合适的有线和无线连接。作为特定示例，有线连接可以代表以太网连接或其它电数据连接。

在一个操作方面中，无线节点106a-106e或现场装置104a-104n可以针对一个或多个异常的存在而检查所接收的数据分组。所检查的数据分组可以包含目的地地址字段中的无线节点106a-106e或现场装置104a-104n的地址。无线节点106a-106e或现场装置104a-104n可以在确定存在一个或多个异常时向标记器114发送消息分组或其它通知。标记器114可以处理该通知以确定数据分组的发送器是否代表无线网络102的可能入侵者。如果是，则标记器114激活无线节点106a-106e和/或现场装置104a-104n中的一个或多个中的侦探例程。该侦探例程可以使数据分组的发送器参与进一步的对话以继续关于发送器是否确实是入侵者的调查。由于无线节点106a-106e和/或现场装置104a-104n可以正常操作直至异常状况或事件发生，所以可以减小为检测入侵所需的附加功耗。这对于供功率受限的装置诸如电池供电的无线节点106a-106e或现场装置104a-104n使用时可能是期望的。

在另一个操作方面中，标记器114可以在激活无线节点106a-106e或现场装置104a-104n中的侦探例程之前使得侦探例程下载到无线节点106a-106e或现场装置104a-104n。由此，不要求无线节点106a-106e或现场装置104a-104n始终存储该侦探例程。例如，这可以允许无线节点106a-106e或现场装置104a-104n在其大部分操作期间仅存储为无线节点106a-106e或现场装置104a-104n的正常操作所需的应用程序。可以仅在需要时(诸如仅在检测到可能的入侵之后)才把侦探例程下载到无线节点106a-106e或现场装置104a-104n并激活侦探例程。一旦侦探例程的执行完成，就可以例如通过下载一个或多个应用程序到无线节点106a-106e或现场装置104a-104n来覆盖无线节点106a-106e或现场装置104a-104n中的侦探例程，从而再次许可无线节点106a-106e或现场装置104a-104n的正常操作。以此方式，在无线节点106a-106e或现场装置104a-104n中不需要用于永久存储侦探例程的存储器。这对于供存储受限的装置诸如具有小的存储器量的无线节点106a-106e或现场装置104a-104n使用时可能是期望的。

在又一个操作方面中，除了针对异常检查所传递的分组之外，无线节点106a-106e还可以传递分组到终端装置(诸如现场装置104a-104n或网关108)。由于在单个装置中实施这两个特征，所以可以潜在地减小无线网络102中的部件数量。类似地，除了针对异常检查分组之外，现场装置104a-104n可以执行其它功能(诸如发送传感器或压力数据和接收控制数据)。由于这样的特征，因此可以增强无线网络102中入侵检测的覆盖范围(coverage)。

尽管图1图解了无线网络入侵检测系统100的一个示例，但是可以对图1进行各种改变。例如，图1所示的功能划分仅用于例证。根据特定需要，可以组合或省略图1中的各个部件并且可以添加附加部件。作为特定示例，密钥服务器112、标记器114和决策系统116可以被实施为控制站110的一部分。此外，系统100可以被实施为使用无线网络的任何合适系统的一部分。作为特定示例，图1的系统100可以被用作工业过程控制系统或用于工业过程控制系统中并且被示为仅包含用于例证的代表性元件或系统。现实世界环境或系统可以包含对本领域技术人员会显而易见的附加系统或部件。另外，图1图解了其中可以使用无线网络入侵检测的一个操作环境。无线网络入侵检测功能性可以用于任何其它合适的系统中并且与任何合适的无线网络环境一起使用。

图2图解了依据本公开的用于入侵检测的示例方法200。图2所示的方法200的实施例仅用于例证。在不偏离本公开的范围的情况下可以使用方法200的其它实施例。此外，为了解释方便起见，关于图1的中继器系统106中的无线节点106a来说明方法200。方法200可以由任何合适的装置使用并且用于任何合适的系统或环境诸如无线现场装置中。

在步骤202无线装置接收数据分组。这可以包括例如无线节点106a从现场装置104a-104n、网关108或对无线网络102的入侵者接收数据分组。数据分组中的目的地地址字段可以指示把数据分组引导到无线节点106a，意味着数据分组的最终预计接收者是无线节点106a。数据分组中的目的地地址字段也可以指示把数据分组引导到另一个装置，意味着数据分组的最终预计接收者不是无线节点106a(并且无线节点106a可以转发该数据分组)。在一些实施例中，无线节点106a可以仅分析打算送往无线节点106a的数据分组。在其它实施例中，无线节点106a也可以分析打算送往其它装置的数据分组。

由于无线媒介的广播性质，可以在无线装置的天线处接收多个数据分组。特定数据分组是否被引导到具体无线装置可能取决于数据分组的目的地地址字段中的值。无线装置也可以被分配不同协议层的不同地址(诸如MAC层地址、网络层地址以及对象标识符)。因而，当数据分组在目的地地址字段中包含无线装置的地址(根据惯例在对应的协议层)时，数据分组可以被认为被引导到无线装置。尽管通常可以接收单播数据分组(具有指示单个装置的地址的分组)，但是也可以使用多播或广播地址来把数据分组引导到无线装置和其它装置。

在步骤204无线装置针对一个或多个异常检查数据分组。“异常”通常指的是与正常预期行为的偏离和/或(一个或多个)任何其它可以指示对无线网络的入侵的偏离。可以针对具体异常来检查数据分组，这可能得出可能正在发生入侵的结论。在一些实施例中，无线装置可以检查MAC层级异常、网络层级异常以及安全层级异常(不过可以检测其他或另外类型的异常)。

如果无线装置未检测到一个或多个异常，则在步骤206无线装置对数据分组做出响应。这可以包括例如无线节点106a对数据分组做出响应仿佛该数据分组是正常(非入侵)数据分组一样。作为特定示例，无线节点106a可以转发数据分组到传输路径中的下一装置(诸如另一个无线节点、现场装置、网关或其它装置)。无线节点106a也可以向提供数据分组到无线节点106a的发送器发送确认。

如果在步骤204无线装置检测到一个或多个异常，则在步骤208无线装置发送通知到标记器。在一些实施例中，该通知代表包含或识别无线节点106a所检测的(一个或多个)异常状况或(一个或多个)事件的性质的消息分组。该消息分组也可以包含或识别数据分组的接收时间、发送该数据分组的装置的地址、以及所接收的数据分组本身。在其它实施例中，消息分组可以仅包含或识别所接收的与(一个或多个)异常状况或(一个或多个)事件相关联的数据分组。一般而言，可以由无线节点106在消息分组中发送为标记器114进一步处理所需的信息。

在步骤210无线装置确定是否接收到指示入侵的肯定响应。例如，作为对在步骤208发送的消息分组的响应，可以从标记器114接收到响应分组。在一些实施例中，可以仅在标记器114确定已检测到潜在的入侵者时，无线节点106a才接收响应分组。然而在其它实施例中，即使当标记器114未检测到入侵时也可以接收响应分组，并且该响应分组可以指示数据分组的发送器是否是潜在的入侵者。在这些其它实施例中，步骤210可以涉及无线装置检查所接收的响应分组的内容以确定是否怀疑或检测到入侵。该响应分组可以由标记器114生成，如图4所示，这在下面进行说明。

如果未接收到肯定响应，未在指定间隔内接收到肯定响应或者响应未指示数据分组的发送器潜在地是入侵者，则该方法200可以结束。无线装置此时不需要采取任何进一步措施来进一步调查或反对入侵。根据实施方式，无线装置可以或可以不对异常数据分组做出响应。

如果接收到肯定响应或者响应指示数据分组的发送器潜在地是入侵者，则无线装置可以采取步骤以进一步调查或反对潜在的入侵。例如，如果在步骤212无线装置不是存储受限的，则在步骤214无线装置激活侦探例程。这可以包括例如无线节点106a启动侦探例程的执行，其实现对可能入侵的进一步调查(并因而实现以更高的概率水平确定入侵)。不是存储受限的无线装置可以代表包含用于在冗长的时间段上(诸如在无线装置的正常操作的延伸时段期间)存储侦探例程的足够存储器的装置。关于无线装置是否是存储受限的确定可以基于任何合适的信息，诸如由操作员提供的信息或者由标记器114从无线装置收集的信息。

如果在步骤212无线装置是存储受限的，则在步骤216无线装置下载并然后自动激活侦探例程。这可以包括例如无线节点106a从标记器114接收侦探例程。这还可以包括无线节点106a用侦探例程覆盖其存储器中的一个或多个其它应用程序。存储受限的无线装置可以代表不包含用于在冗长的时间段上存储侦探例程的足够存储器的装置。侦探例程可以以任何合适的方式诸如通过无线装置和标记器114或其它装置之间的有线或无线连接而动态地下载到无线装置。此外，可以在无线装置不脱机的情况下(诸如当装置继续稳态操作时)把侦探例程下载到无线装置并在无线装置中执行。

在激活侦探例程时，无线装置可以执行各种操作。例如，在一些实施例中，无线装置可以向潜在的入侵者发送“挑战性问题”并且确定是否从潜在的入侵者接收到适当的响应。该挑战性问题可以被预先(在所检测的入侵之前)存储在无线装置中。在其它实施例中，无线装置可以发送加密的比特流到潜在的入侵者并且请求以解密的形式返回比特流。未从潜在的入侵者接收正确的(预期的)响应可以进一步加强对入侵的早期确定。侦探例程的上述调查技术仅被提供作为示例而非穷举。可以采用任何适当的查询和预期响应模式或者其它调查技术来以更大确定性确定入侵。

尽管图2图解了用于入侵检测的方法200的一个示例，但是可以对图2做出各种改变。例如，虽然被示为一系列步骤，但是图2中的各个步骤可以重叠、并行发生或发生多次。作为特定示例，在一些实施例中，可以为无线装置接收的每个数据分组执行图2所示的方法200。在其它实施例中，可以为无线装置接收的数据分组子集中的每一个执行图2所示的方法200。此外，尽管已说明基于单个数据分组来检测异常状况，但是可以基于多个分组诸如从相同发送器(外部无线发送装置)依次接收的多个分组来确定异常状况。而且，尽管无线装置已被说明为检测异常和激活侦探例程这两者，但是标记器114可以发送响应到无线节点106a-106e或现场装置104a-104n并激活任一无线节点106a-106e或现场装置104a-104n中的侦探例程，从而允许侦探例程在(一个或多个)适当的无线节点和/或(一个或多个)现场装置中激活侦探例程。除此之外，多个无线装置的操作可以与标记器114的操作相一致以实现有效的入侵检测和隔离。另外，图2已示出仅当无线装置是存储受限的时才下载侦探例程。在其它实施例中，不管无线装置是否存储受限，都可以把侦探例程下载到无线装置。

图3图解了依据本公开的用于在无线装置中完成侦探例程的执行的示例方法300。图3所示的方法300的实施例仅用于例证。在不偏离本公开的范围的情况下可以使用方法300的其它实施例。此外，为了解释方便起见，关于图1的中继器系统106中的无线节点106a来说明方法300。方法300可以由任何合适的装置使用并且用于任何合适的系统或环境诸如无线现场装置中。

在步骤302无线装置完成侦探例程的执行。这可以包括例如无线节点106a向可能的入侵者发送适当的查询。这也可以或可以不包括从可能的入侵者接收响应。如果被接收，则这可以还包括无线节点106a确定所接收的响应是否匹配预期的响应。由侦探例程生成的结果可以被提供到标记器114，该标记器(独自地或通过决策系统116)可以做出关于可能的入侵者是否确实是入侵者的最终确定。

在步骤304无线装置确定是否下载了侦探例程。如果否，则在步骤306去激活(in-activate)侦探例程。这可以包括例如无线节点106a停止侦探例程的执行并返回到正常操作。在这种情况下，无线装置可以代表能够执行其正常操作同时允许侦探例程保留在无线装置的存储器中的非存储受限的装置。

如果下载了侦探例程，则在步骤308下载其它代码并覆盖侦探例程。这可以包括例如无线节点106a取消(revoke)其存储器中的侦探例程，意味着无线节点106a不再将其中存储侦探例程的存储单元视为包含有效数据。这也可以包括无线节点106a从合适源诸如控制站110或标记器114下载一个或多个应用程序(或其部件)。所下载的一个或多个应用程序可以代表在下载侦探例程时在无线装置的存储器中被覆盖的应用程序。无线节点106a然后可以执行所下载的应用程序并返回到正常操作。

以此方式，可以对系统中的各个装置执行侦探例程，所述装置包括可能以其他方式能够执行侦探例程的存储受限的无线装置。结果，检测和隔离对无线网络102的入侵的能力可以被扩展为包括存储受限的无线装置。

尽管图3图解了用于在无线装置中完成侦探例程的执行的方法300的一个示例，但是可以对图3做出各种改变。例如，虽然被示为一系列步骤，但是图3中的各个步骤可以重叠、并行发生或发生多次。此外，图3已示出仅当无线装置是存储受限的时才取消和覆盖侦探例程。在其它实施例中，不管无线装置是否是存储受限的，都可以在无线装置中取消和可能覆盖侦探例程。

图4图解了依据本公开的用于在无线网络中实现入侵检测的示例方法400。图4所示的方法400的实施例仅用于例证。在不偏离本公开的范围的情况下可以使用方法400的其它实施例。此外，为了解释方便起见，关于图1的系统100中的标记器114来说明方法400。方法400可以由任何合适的装置在任何合适的系统或环境中使用。

在步骤402标记器接收指示一个或多个异常状况或事件的一个或多个通知。这可以包括例如标记器114从无线节点106a-106e和/或现场装置104a-104n中的至少一个接收一个或多个消息分组。可以基于(一个或多个)对应的无线节点或(一个或多个)现场装置所接收的一个或多个数据分组来检测一个或多个异常。所述一个或多个异常可以对应于MAC层级异常、网络层级异常以及安全层级异常。每个消息分组可以包含或识别异常的性质、无线节点或现场装置接收数据分组的时间、发送(一个或多个)数据分组的装置的地址、以及所接收的(一个或多个)数据分组。每个消息分组也可以仅包含所接收的(一个或多个)数据分组的副本。

在步骤404标记器处理一个或多个通知的内容以确定是否怀疑入侵。在一些实施例中，标记器114可以保持来自所有无线节点106a-106e和/或现场装置104a-104n的潜在异常状况或事件的发生记录并且可以基于统计技术来确定入侵。标记器114也可以基于决策规则集(诸如使用SNORT决策引擎)来确定入侵，该决策规则集指定确定入侵所用的方式。标记器114还可以转发(一个或多个)消息分组到决策系统116，该决策系统可以执行处理以基于概率的、基于规则的或其它技术来确定入侵。

如果在步骤406未怀疑入侵，则方法400可以结束。此时，标记器114可以不需要执行任何其它措施。标记器114也可以给无线节点106a-106e和/或现场装置104a-104n中的一个或多个告知未怀疑入侵(诸如在响应分组的主体中)。作为特定示例，可能的是异常会因维护问题而引起。在这种情况下，标记器114可以不采取进一步措施，并且方法400结束。在维护期间，无线装置可以暂时不可用于正常操作并因此其地址正常情况下不会被其它操作装置所接收。如果经历维护的无线装置不经意地发送分组，则这可能被另一个无线装置标注为异常但在标记器处被确定为不是潜在的入侵者。

如果在步骤406怀疑入侵，则在步骤408标记器确定将执行侦探例程的无线装置是否是存储受限的。这可以包括例如标记器114使用操作员、无线装置或其它源提供的数据来确定特定的无线装置是否是存储受限的。

如果将执行侦探例程的无线装置是存储受限的，则在步骤410标记器把侦探例程下载到无线装置。这可以包括例如标记器114通过有线或无线连接给无线节点106a-106e和/或现场装置104a-104n中的一个或多个提供侦探例程。无线装置然后可以自动执行侦探例程。否则，在步骤412标记器激活无线装置中的侦探例程。这可以包括例如在步骤412标记器发送一个或多个响应分组到无线装置。响应分组因而可以被看作请求进一步调查(RFI)并且可以通过安全信道(诸如通过使用密钥服务器112提供的对称、不对称或其它密钥来加密响应分组的内容)被提供给对应的无线装置。在这些步骤中，标记器114也可以把所怀疑入侵者的网络地址提供到无线装置。在一些实施例中，标记器114还可以(诸如经由操作员终端118)把“入侵”警报连同所怀疑入侵者的区域或其它位置信息(其可以基于下述的消息分组中包含的传输路由信息)一起提供给操作员。

在特定实施例中，侦探例程被在最接近所怀疑入侵者的无线装置中激活(并且可能被下载到最接近所怀疑入侵者的无线装置)。标记器114可以以任何合适的方式识别这个无线装置。例如，标记器114可以根据一个或多个消息分组确定来自所怀疑入侵者(包含一个或多个异常的一个或多个数据分组的发送器)的传输路由。标记器114还可以识别最靠近所怀疑入侵者的无线装置(诸如无线节点106a-106e之一)。无线节点106a-106e和/或现场装置104a-104n中的大致或相对位置可以(诸如由控制站110、由操作员终端118处的操作员或者由一些其它配置数据)被预先提供给标记器114。

尽管图4图解了用于在无线网络中实现入侵检测的方法400的一个示例，但是可以对图4做出各种改变。例如，虽然被示为一系列步骤，但是图4中的各个步骤可以重叠、并行发生或发生多次。此外，可以基于一个或多个分组来确定异常状况。而且，标记器114的操作可以与多个无线装置的操作相一致以实现有效的入侵检测和隔离。另外，图4已示出仅当无线装置是存储受限的时才下载侦探例程。在其它实施例中，不管无线装置是否是存储受限的，都可以把侦探例程下载到无线装置中。

根据以上说明，可以意识到，无线节点106a-106e或现场装置104a-104n能够基于引导到无线节点或现场装置的一个或多个分组来指示异常状况或事件。标记器114可以基于可能来自无线节点106a-106e或现场装置104a-104n中的一个或多个的、一个或多个潜在异常状况或事件的报告来确定：这样的分组的发送器是潜在的入侵者。标记器114然后可以使得无线节点106a-106e或现场装置104a-104n中的一个或多个上的侦探例程让潜在的入侵者参与进一步的通信从而确认潜在的入侵者确实需要视为入侵者。可以意识到，随着处理从无线装置进展到标记器到侦探例程，发送器是入侵者的概率逐渐增大。

可能也要注意，图2到4所示的各个步骤可以同时操作。此外，在图4中的步骤410和412之后，标记器114可以(基于图2中的步骤214或216的结果)从对应的无线装置接收对RFI的响应。可以存在后续的RFI和对RFI的响应。标记器114可以处理对RFI的响应来以更高确定性水平确定入侵。这些确定也可以由决策系统116执行。标记器114也可以经由操作员终端118向操作员通知或触发警报。

从图2到4还可以意识到，无线装置能够正常操作(执行正常操作)直至异常状况或事件发生。因而，可以使用较少功率来监视入侵。这种方法可能在其中可能存在功耗约束的环境中是期望的。例如，无线节点106a-106e和/或现场装置104a-104n可以是作为工业过程控制系统的一部分操作的电池供电的装置。因此，期望的是无线节点106a-106e和/或现场装置104a-104n消耗最小量的功率。另外，把侦探例程下载到至少存储受限的装置可以促成在无线网络102中使用侦探例程。这种方法可能在其中可能存在存储约束的环境中是期望的。

图5A和5B图解了依据本公开的示例入侵情形。具体而言，图5A和5B图解了上述的方法200和400的操作和示例入侵情形。这些入侵情形仅用于例证和解释。可以在不偏离本公开的范围的情况下在图1的系统100中或在任何其它合适的系统中发生其它入侵情形。

如上所指出的，无线装置(诸如无线节点106a)可以执行各个处理步骤以识别一个或多个可能的异常状况或事件。例如，无线装置可以首先检查所接收数据分组中的目的地MAC地址。如果目的地MAC地址匹配无线装置自己的MAC地址，则无线装置可以检查分组中的目的地网络地址。如果目的地MAC地址和目的地网络地址两者都匹配无线装置自己的MAC地址和网络地址，则无线装置可以断定它是数据分组的最终接收者(预计接收者)。无线装置然后可以检查数据分组中的安全级参数(或字段)。

如果数据分组中的目的地网络地址不同于无线装置的网络地址(但是目的地MAC地址匹配装置的MAC地址)，则无线装置可以断定数据分组打算送往其MAC地址匹配目的地网络地址的一些其它无线装置。无线装置也可以断定数据分组要被转发到该其它无线装置。因而，可能要注意，无线装置可以检测MAC层、网络层或安全层级的异常。

这里可能也要注意，可能的入侵者可能根据对应的无线技术冒充“合法的”无线节点或无线现场装置。例如，入侵者可以“收听”在无线媒介上传输的数据从而获得位于其附近(在其通信范围内)的无线节点和/或无线现场装置的地址。入侵者然后可以使用该信息来发送未经授权的分组到无线网络。

不管根本原因如何，下面提供一些表明可能入侵的代表性异常。

(a)分组不是预期来自发送装置：如上所指出的，无线现场装置104a-104n可以诸如由控制站110分配时隙。时隙代表其中现场装置104a-104n可以发送或接收分组的时间段。可以给每个无线节点106a-106e提供关于其间对应的现场装置104a-104n可以发送或接收分组的具体时隙的信息。因而，如果无线节点注意到所接收的数据分组是在非预定(non-scheduled)时隙中(诸如从冒充无线现场装置的入侵者)接收的，则这意味着没有给数据分组分配时隙并因此可以表明可能的入侵。

(b)在无线装置处接收的数据分组不包含目的地装置的“有效”目的地地址(诸如要作为数据分组的最终接收者的装置的地址)：可以以无线装置的MAC级地址接收分组。然而，处于更高级协议(诸如网络层)的地址可能不匹配该无线装置或任何其它无线装置的地址。该确定可以基于例如所有无线节点106a-106e所属于的网络102的网络地址。

(c)数据分组的分组大小(诸如字节数目)大于或小于预期大小：一般而言，许多网络(或对应的技术/标准)设定数据分组的最大和最小大小。如果所接收分组的大小不在这些限制内，则可以检测到异常。这种类型的异常可以代表网络层级异常。

(d)所接收的数据分组包含错误或不正确的消息完整性代码(MIC)：MIC值是可以包含于在无线网络102上传输的每个数据分组中的唯一代码或号码。具有无效IMC值的数据分组的接收因此可以代表异常。这种类型的异常可以代表安全层级异常。

(e)临时(Nonce)异常：无线网络102上传输的每个数据分组可以被设计成具有临时数的字段，该临时数通常是具有时变值的数。如果数据分组的临时值小于网络102的当前值，则这可以潜在地指示一些“流氓”装置(入侵者)正在试图通过“收听”无线媒介中的数据业务来重新发送数据分组并因而可以代表异常。也可以随机生成临时值。这个异常可以代表安全层级异常。

(f)连接状态的突变(flip-flop)：入侵者可以发送具有建立和断开(安全)连接的作用的分组。这个异常可以代表安全层级异常。

这些异常仅用于例证。可以在不偏离本公开的范围的情况下检查任何其它或附加异常，诸如基于具体环境的异常。可以实施入侵检测系统(诸如系统100)以基于这些类型的异常和/或其它或者附加异常中的一个、一些或所有来检测入侵。图5A和5B示出了示例入侵情形，其用来说明入侵检测系统100的操作。在图5A和5B中，图1的系统100中的各个部件可以被省略，并且仅示出图1中对理解下列入侵情形所必要的部件。

在图5A中，装置502a被假设为入侵者。这里把入侵者502a示为发送数据分组(由图5A中的“A”表示)到无线节点106e。入侵者502a可以冒充另一个无线节点或无线现场装置。

无线节点106e可以检查数据分组并确定数据分组是在“错误的”时隙中接收的(该数据分组不是预期的)。结果，无线节点106e可以确定出现异常状况(由“B”表示)。其中可能发生这种情况的一种情形涉及入侵者502a冒充无线现场装置以及在“错误的”时隙中发送数据分组到无线节点106e。

在不同的情形下，入侵者502a正在冒充另一个无线节点并发送数据分组，该数据分组具有与无线节点106e的MAC地址相同的目的地MAC地址但是具有无线节点106e要把数据分组中继/转发到的(目的地装置的)无效网络地址。在这种情形下，无线节点106e可以注意到目的地网络地址无效并因此把数据分组视为代表异常。

一旦检测到异常，无线节点106e就发送消息分组(由“C”表示)到标记器114。在其它实施例中，代替在检测到单个异常事件之后发送消息分组，无线节点106e可以等待多个异常事件的检测并然后发送消息分组。

在这个示例中，标记器114把消息分组转发到决策系统116(由“D”表示)。如果决策系统116检测到或怀疑入侵，则决策系统116向标记器114发送怀疑入侵的通知(由“E”表示)。在其它实施例中，标记器114本身可以做出入侵的确定。

如果怀疑入侵，则标记器114经由操作员终端118向操作员发送警报(由“F”表示)。诸如当无线节点106e代表存储受限的装置时，标记器114可以任选地发送侦探例程(由“G”表示)到无线节点106e。标记器114也可以任选地发送响应分组(由“H”表示)到无线节点106e。响应分组的接收激活无线节点106e中的侦探例程，并且侦探例程实现对入侵的进一步调查。响应分组可以是任选的，因为如果侦探例程被下载到无线节点106e则可以在无线节点106e中自动激活侦探例程。

图5B图解了另一个示例入侵情形。装置502b假设为入侵者并且被示为发送去往无线节点106a的数据分组(由“A′”表示)。数据分组在其目的地网络地址字段中具有无线节点106a的地址，并且数据分组由无线节点106e接收。

无线节点106e在MAC层和网络层级检查数据分组并且可以确定没有检测到异常。无线节点106e然后用其自己的MAC地址和网络层地址给分组加时间戳并且转发该数据分组到无线节点106c(由“B′”表示)。无线节点106c类似地在MAC层和网络层级检查数据分组并且可以确定没有检测到异常。无线节点106c也用其自己的MAC地址和网络地址给分组加时间戳并且转发该数据分组到无线节点106a(由“C′”表示)。

无线节点106a可以接收数据分组并确定安全层级异常与数据分组相关联。例如，无线节点106a可以注意到数据分组具有不正确的MIC值。这个异常的确定由图5B中的“D′”表示。

无线节点106a然后发送消息分组(由“E′”表示)到标记器114。消息分组可以包含异常的类型(在这个示例中不正确的MIC值)、接收分组的时间、入侵者502b的网络地址、数据分组本身、以及包含数据分组在从入侵者502b行进到无线节点106a中所遵循的传输路由的路由信息。可以使用任何合适的格式来发送这个和/或其它或附加信息。在其它实施例中，代替在检测到单个异常事件(单个实例)之后发送消息分组，无线节点106a可以等待多个异常事件(多个实例)的检测并然后发送消息分组。

标记器114转发消息分组到决策系统116(由“F′”表示)。作为响应，标记器114接收到怀疑入侵的指示(由“G′”表示)。在其它实施例中，标记器114本身可以做出入侵的确定。

由于在标记器114处接收的数据分组具有路由信息(传输路由以及从入侵者502b到标记器114的传输路由中的装置的地址)，所以标记器114可以确定哪个无线节点最靠近入侵者502b。通常，作为接收数据分组的第一接收者(在通信路由中的第一节点)的无线节点往往是最靠近数据分组的发送器(始发者)的无线节点。每个无线节点的物理位置(诸如地理标识或坐标)可以诸如由操作员基于安装/部署图经由操作员终端118被预先提供给标记器114。在这个示例中，标记器114可以确定入侵者502b位于接近无线节点106e的区域中，其中该区域的面积通常基于无线节点106e的接收器电路的灵敏度(其通常是预先已知的)是可确定的。

标记器114向操作员发送怀疑入侵的警报(由“H′”表示)以及其中可能出现入侵者502b的位置或区域。诸如当无线节点106e代表存储受限的装置时，标记器114可以任选地发送侦探例程(由“I′”表示)到无线节点106e。标记器114也可以任选地发送响应分组(由“J′”表示)到无线节点106e。响应分组的接收激活无线节点106e中的侦探例程(除非侦探例程是响应于下载而自动激活的)，并且侦探例程实现对入侵的进一步调查。

在一些实施例中，标记器114和其中激活侦探例程的(一个或多个)无线装置操作以进一步调查是否宣称(declare)入侵。一旦以大于阈值水平的概率确定出现入侵，就可以启动适当的纠正措施以防止入侵者502a-502b影响无线网络102。例如，执行侦探例程的(一个或多个)无线装置可以诸如通过不转发数据分组到下一节点或装置来阻挡从入侵者接收的数据分组。这可以防止网络洪流(flooding)和拒绝服务攻击。作为另一个示例，在入侵被确定时，由密钥服务器112生成的加密/解密密钥可以以较短的时间间隔(较大的频率)被改变(更新)。作为又一个示例，可以启动人工/操作员干预以从网络102的操作区域中移除入侵者。

在一些实施例中，当怀疑入侵时可以在单个无线装置中激活侦探例程。在其它实施例中，当怀疑入侵时可以在多个无线装置中激活侦探例程。当在多个无线装置中被激活时，无线装置中的侦探例程可以彼此交互并且协作以便识别和隔离无线网络102中的入侵者。

尽管图5A和5B图解了入侵情形的示例，但是可以对图5A和5B做出各种改变。例如，入侵者可以尝试以任何其它合适的方式潜入无线网络。此外，可以以任何其它合适的方式检测和隔离或移除入侵者。

图6图解了依据本公开的无线网络入侵检测系统中的示例标记器114或无线装置(诸如无线节点106a-106e或无线装置104a-104n)。图6所示的标记器114或无线装置的实施例仅用于例证。可以在不偏离本公开的范围的情况下使用标记器114或无线装置的其它实施例。此外，标记器114和无线装置可以根据特定需要而具有类似或不同的实施方式。另外，为简明起见提供标记器114和无线装置两者的共同说明同时指出这些部件之间的各种差别。

在这个示例中，标记器114或无线装置包括处理单元602、随机存取存储器(RAM)604、非易失性存储器(NVM)606、储存器608、输入/输出(I/O)接口610、无线接口612和天线614。处理单元602执行各种操作以实施标记器114或无线装置中的期望功能。例如，在标记器114中，处理单元602可以接收消息分组并且做出关于是否怀疑入侵的确定(或者与决策系统116交互并允许决策系统116做出该确定)。在无线节点106a-106e中，处理单元602可以分析所接收的数据分组并且确定是否存在任何异常。在无线现场装置104a-104n中，处理单元602可以操作以提供过程数据、实施控制数据并检测异常。处理单元602包括任何合适的一个或多个处理装置。例如，处理单元602可以包含一个或多个处理器。这可以包括能够执行指令的通用处理器和/或适于具体任务的专用处理器。可以从RAM 604给通用和专用处理器提供指令。作为特定示例，处理单元602可以从各种类型的存储器(诸如RAM 604、非易失性存储器606和储存器608)读取指令序列并且执行所述指令以提供各种功能性。

RAM 604和非易失性存储器606可以代表任何合适的用于存储任何合适的信息的存储及检索装置。例如，RAM 604可以从非易失性存储器606接收指令和数据并且将指令提供给处理单元602以供执行。非易失性存储器606可以存储软件指令和数据，所述指令和数据使得标记器114或无线装置能够在适用时提供期望的功能性。非易失性存储器606可以例如被实施为只读存储器(ROM)或闪存。

储存器608可以包含各种存储及检索(retrieval)单元或部件，诸如硬盘驱动器616和/或可移动存储驱动器618。可移动存储驱动器618可以代表能够接收可移动存储单元620的驱动器，该可移动存储单元可以代表便携式存储媒介。软盘驱动器、磁带驱动器、CD-ROM驱动器、DVD驱动器、闪存接口以及可移动存储接口(诸如PCMCIA或EPROM接口)是可移动存储驱动器618的示例。软盘、磁带、CD、DVD、闪存以及可移动存储芯片(诸如PCMCIA卡或EPROM)是可移动存储单元620的示例。储存器608可以用来存储指令和数据，所述指令和数据使得标记器114或无线装置能够提供期望的功能性。在标记器114的特定实施方式中，一些或所有指令和数据可以被提供在可移动存储单元620上，并且数据和指令可以经由RAM 604被可移动存储驱动器618读取并提供到处理单元602。

I/O接口610提供一种诸如通过有线路径从外部装置或系统接收数据以及把数据发送到外部装置或系统的接口。I/O接口610可以例如用来使得操作员/用户能够提供输入和接收输出(在标记器的情况下)、在部署之前执行诊断测试(在无线节点106a-106e的情况下)、或者与传感器或致动器交互(在现场装置104a-104n的情况下)。作为特定示例，I/O接口610可以用来把关于可能入侵的警报提供到操作员终端118。可以以任何合适的方式来实施I/O接口610。

无线接口612使得标记器114或无线装置能够通过符合期望通信协议的无线媒介(经由天线614)来发送和接收数据。可以以任何合适的方式来实施无线接口612。作为特定示例，无线接口612可以代表RF收发器。

在这个示例中，总线622耦合标记器114或无线节点106a-106e的各个部件。总线622代表任何合适的能够用来促成部件之间的通信的通信总线。

如上所指出的，可以以硬件、软件、固件或其组合来实施每个无线装置和标记器114。一般而言，当吞吐量性能是主要的考虑因素时，可能更多地以硬件(诸如以专用集成电路的形式)执行该实施方式。当成本是主要的考虑因素时，可能更多地以软件(诸如以通过使用执行软件/固件中提供的指令的处理器)执行该实施方式。可以通过硬件、软件和/或固件的期望混合来平衡成本和性能。

尽管图6图解了无线网络入侵检测系统中的标记器114或无线装置的一个示例，但是可以对图6做出各种改变。例如，图6所示的功能划分仅用于例证。根据特定需要可以组合或省略图6中的各个部件并且可以添加附加部件。作为特定示例，如果不需要的话可以省略特定存储器或储存器。此外，如上所指出的，可以使用任何合适的硬件、软件、固件或其组合来实施标记器114或无线装置。结果，图6仅图解了标记器114或无线装置的许多可能实施方式之一。

图7图解了依据本公开的无线装置中的示例存储器配置700。图7所示的存储器配置700的实施例仅用于例证。可以在不偏离本公开的范围的情况下使用存储器配置700的其它实施例。

如上所指出的，标记器114可以在检测到对无线网络102的可能入侵时激活一个或多个无线节点106a-106e和/或现场装置104a-104n中的侦探例程。任选地，标记器114可以把侦探例程下载到一个或多个无线节点106a-106e和/或现场装置104a-104n。例如当一个或多个无线节点106a-106e和/或现场装置104a-104n代表存储受限的装置时，这可能很有用。存储受限的装置可以代表一种(诸如在RAM 604、非易失性存储器606和储存器608中)缺乏用于存储侦探例程以及为无线装置的正常操作所需的代码的足够存储器的无线装置。

为允许侦探例程用于存储受限的装置(以及可能其它无线装置)，标记器114可以把侦探例程下载到无线装置以在该无线装置上执行。这可以例如在已检测到潜在的入侵之后发生。在一些实施例中，侦探例程可以仅被下载到存储受限的无线装置，并且侦探例程可以更持久地驻留在非存储受限的无线装置上。在其它实施例中，当在每个无线装置处需要侦探例程时，侦探例程可以被下载到该无线装置(不管无线装置是否是存储受限的)。侦探例程然后可以由无线装置执行。当侦探例程的执行完成时，存储受限的无线装置可以删除或取消侦探例证，并且为无线装置的正常操作所需的代码可以被下载到无线装置。这允许存储受限的无线装置恢复正常操作。如果侦探例程被下载到非存储受限的无线装置，则非存储受限的无线装置可以允许侦探例程保留在其存储器中，或者非存储受限的无线装置可以删除或取消侦探例程。

如图7所示，无线装置的存储器布置700包括各个段702-704。每个段702-704用于不同目的，即存储不同类型的数据。例如，代码段702用来存储无线节点106a-106e或现场装置104a-104n执行的指令和其它程序。作为特定示例，代码段702可以存储能够由无线装置中的处理单元602执行的可执行二进制任务图像。数据段704存储由无线节点106a-106e或现场装置104a-104n执行的程序所用的数据。作为特定示例，数据段704可以存储在执行二进制任务图像期间无线装置使用、收集或生成的数据，诸如初始化变量。由符号启始的区块(BlockStarted by Symbol)或“BSS”段706存储由无线节点106a-106e或现场装置104a-104n中的未初始化的程序所使用的数据。作为特定示例，BSS段706可以存储未初始化的变量。交换段708被用作交换存储器，其可以支持无线节点106a-106e或现场装置104a-104n中的虚拟存储器的使用。其它段也可以被用于存储器布置700中，诸如堆段和栈段。

在正常操作期间，一个或多个主应用程序可以驻留在无线装置的存储器配置700中，诸如在代码段702中。主应用程序可以代表帮助无线装置的启动、稳态操作和终止阶段的软件或固件。主应用程序往往被细分成不同层，诸如应用层软件、安全层软件、网络层软件以及MAC/物理(PHY)层软件。

在一些实施例中，一个或多个主应用程序被划分成模块(其也可以被称作特征或功能)。主应用程序的一些模块可能对无线节点106a-106e或现场装置104a-104n的稳态操作不是必需的。例如，在安全层，层初始化功能、会话建立功能以及密钥更新功能(涉及密钥服务器112和无线装置之间的密钥交换)可能对无线装置的稳态操作不是必需的。在MAC层和网络层，节点发现功能可能对无线装置的稳态操作不是必需的。在应用层，层初始化功能可能对无线装置的稳态操作不是必需的。这些模块仅用于例证而不是穷举，并且任何其它或附加模块可以被视为对于无线装置的稳态操作不是必需的。此外，这个模块列表可以根据无线装置的稳态操作情形中的不同功能的重要性进行扩展或减小。

诸如在编译无线装置的软件/固件之前的预编译阶段，可以识别对无线装置的稳态操作不是必需的模块。使用编译指令或其它技术，这些模块可以位于无线装置中的相连存储单元，诸如无线节点装置中的代码段702中。

当需要执行侦探例程以确认或隔离无线网络102中的入侵者时，侦探例程可以被下载到无线装置中。例如，侦探例程可以被下载并存储在存储器配置700的交换段708中。侦探例程然后可以被存储在代码段702中，诸如在包含对无线装置的稳态操作不是必需的模块的相连存储单元中。代码段702中侦探例程被存储于的偏移位置可以在编译时被决定。代码段702中的代码只可以被部分交换，意味着代码段702中的只有一些代码需要被覆盖。这允许在侦探例程正被下载和存储时继续无线装置的稳态操作。该部分交换可以通过针对其可变的数据存储及计算需要来调节侦探例程以利用堆和栈(而不是使用数据段704)来促成。一旦侦探例程被加载到代码段702中，无线装置中的安全功能性的动态再链接(re-linking)发生，并且可以在不使无线装置脱机的情况下执行侦探例程。

一旦侦探例程的执行完成，无线装置就可以下载被侦探例程覆盖的模块。所下载的模块可以最初存储在交换段704中并然后加载到代码段702中。所下载模块的动态再链接发生，并且无线装置可以在不使无线装置脱机的情况下恢复正常操作。所有这些都可以在无线装置的稳态操作继续的同时发生。例如，软件/固件更新(侦探例程的下载和模块的下载)以及稳态操作可以被同时处理，诸如通过把它们看作无线装置的操作系统中的分时任务。

上面的说明书已说明了在完成侦探例程后把模块重新加载到无线装置中。然而，将模块重新加载无线装置中可以在其它时间发生。例如，可以在告知标记器114无线装置将被重启(并因此在装置的终止和后续启动阶段期间可能需要模块)后把模块重新加载到无线装置中。

尽管图7图解了无线装置中的存储器配置700的一个示例，但是可以对图7做出各种改变。例如，无线装置可以包括任何其它合适的存储器布置。此外，无线装置可以使用任何其它合适的技术来加载侦探例程并返回到正常操作。

在一些实施例中，上述的各种功能由计算机程序实施或支持，该计算机程序由计算机可读程序代码形成并且被包含在计算机可读媒介中。术语“计算机可读程序代码”包括任何类型的计算机代码，包括源代码、目标代码和可执行代码。术语“计算机可读媒介”包括任何类型的能够被计算机访问的媒介，诸如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动器、压缩盘(CD)、数字视频/多用途光盘(DVD)或者任何其它类型的存储器。示例计算机可读媒介可以是随机存取的、易失性的、非易失性的、可移动的或者不可移动的。虽然计算机可读媒介可以被示出或说明为从系统或装置内提供，但是计算机可读媒介也可以被提供在系统或装置的外部。

阐述遍及本专利文档所用的特定字词或短语的定义可能是有利的。术语“分组”指的是任何信息承载通信信号，不管用于特定通信信号的格式如何。术语“应用程序”、“程序”和“例程”指的是适于以合适的计算机语言实施的一个或多个计算机程序、指令集、过程、函数、对象、类、实例或者有关数据。术语“耦合”及其派生词指的是两个或更多元件之间的任何直接或间接通信，无论这些元件是否彼此物理接触。术语“发送”、“接收”和“传送”以及其派生词涵盖直接和间接通信两者。术语“包含”和“包括”以及其派生词意指包括但不限于。术语“或”是包含性的，意指和/或。术语“与...相关联”和“与其相关联”以及其派生词可以意指包括、被包括在...内、与...互连、包含、被包含在...内、连接到或与...连接、耦合到或与...耦合、可与...通信、与...协作、交织、并置、最靠近、绑定于或与...绑定、具有、具有...属性等等。术语“控制器”意指任何控制至少一个操作的装置、系统或其部分。控制器可以以硬件、固件、软件或者其至少两个的某种组合来实施。可以在本地或远程地、集中或分布与任何特定控制器相关联的功能性。

虽然本公开已说明了特定实施例和大体相关联的方法，但是这些实施例的更改或置换对本领域技术人员将是显而易见的。因此，示例实施例的上面说明不限定或约束本公开。在不偏离所附权利要求书限定的发明的精神和范围的情况下，其它变化、替换或更改也是可能的。