傳統(tǒng)的有線網(wǎng)絡(luò)攻擊主要位于網(wǎng)絡(luò)層之上，因此 IPS/IDS 等安全設(shè)備通常在網(wǎng)絡(luò)層報(bào)文中深度查找攻擊的特征，并將這些特征相互關(guān)聯(lián)，從而定位對(duì)應(yīng)的網(wǎng)絡(luò)攻擊。

在無(wú)線網(wǎng)絡(luò)中，由于其鏈路層協(xié)議的脆弱性尤為突出，所以目前已知的攻擊方式中，大多數(shù)都是針對(duì)無(wú)線鏈路層協(xié)議進(jìn)行的，也有一部分攻擊是針對(duì)無(wú)線網(wǎng)絡(luò)架構(gòu)本身的，因此，無(wú)線攻擊的識(shí)別技術(shù)也需要根據(jù)攻擊的特點(diǎn)而變化，這一點(diǎn)與傳統(tǒng)有線網(wǎng)絡(luò)攻擊檢測(cè)是有區(qū)別的。

啟明星辰無(wú)線安全引擎內(nèi)置了高效的無(wú)線攻擊檢測(cè)引擎，能夠針對(duì)鏈路層的無(wú)線網(wǎng)絡(luò)攻擊特征進(jìn)行有效識(shí)別，同時(shí)，針對(duì)無(wú)線網(wǎng)絡(luò)架構(gòu)的組合攻擊，無(wú)線攻擊檢測(cè)引擎通過(guò)一體化關(guān)聯(lián)分析技術(shù)，也能有效識(shí)別，確保無(wú)線攻擊無(wú)處藏身。

圖1.  無(wú)線攻擊檢測(cè)

在解碼和特征檢測(cè)的環(huán)節(jié)中，無(wú)線安全引擎采用了高精度的協(xié)議分析和自適應(yīng)匹配算法，來(lái)保證檢測(cè)的高效、準(zhǔn)確。

◆高精度鏈路層協(xié)議分析

協(xié)議分析是入侵檢測(cè)必不可少的環(huán)節(jié)，它可以減少特征匹配的計(jì)算量，提高匹配精度。但是深度的協(xié)議分析本身也需要相當(dāng)大的計(jì)算量，如何既保證特征匹配和文件還原所需的分析精確度，又不占用過(guò)多的資源，是高速環(huán)境下必須面對(duì)的課題。我們將主要通過(guò)以下方法來(lái)解決這一問(wèn)題：

基于攻擊研究和特征知識(shí)庫(kù)選擇分析深度。協(xié)議分析不需要的無(wú)限制的精細(xì)，否則入侵防御系統(tǒng)將變成一個(gè)低效的應(yīng)用代理系統(tǒng)，協(xié)議分析應(yīng)該建立在對(duì)網(wǎng)絡(luò)攻擊研究的基礎(chǔ)上，對(duì)特征知識(shí)庫(kù)中需要的協(xié)議信息進(jìn)行分析，這點(diǎn)的實(shí)現(xiàn)關(guān)鍵集中在攻擊研究上，軟件實(shí)現(xiàn)中可通過(guò)編譯時(shí)的條件控制和運(yùn)行時(shí)對(duì)特征庫(kù)進(jìn)行掃描設(shè)置相應(yīng)開關(guān)完成。

◆多模匹配算法選擇

由于在一個(gè)報(bào)文的匹配中，最為耗時(shí)的匹配運(yùn)算是在報(bào)文中匹配多個(gè)串模式。過(guò)去的幾十年中學(xué)術(shù)界提出了若干的多模匹配算法，并且在工業(yè)界得到了很好的應(yīng)用，比如AC 算法、WM 算法在軟件檢測(cè)系統(tǒng)中證明了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎(chǔ)上，在 IA32 架構(gòu)和隨機(jī)數(shù)據(jù)源上進(jìn)行實(shí)驗(yàn)選擇，且算法一經(jīng)確定就固化在軟件中。實(shí)際這樣得出的算法不能保證在所有的處理器架構(gòu)和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的。

現(xiàn)在在學(xué)術(shù)界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應(yīng)用較多有Aho-Corasick、Wu-Manber和ExB算法或它們的變種。

根據(jù)研究發(fā)現(xiàn)，所有這些算法的性能分析全部是基于理想的存儲(chǔ)模型，忽略緩存的性能開銷。由于存儲(chǔ)器速度遠(yuǎn)低于處理器速度，兩者相差一個(gè)數(shù)量級(jí)以上，為避免存儲(chǔ)器效能低造成系統(tǒng)整體的效能低下，絕大多數(shù)系統(tǒng)采用多級(jí)存儲(chǔ)結(jié)構(gòu)，增加少量的高速緩存隱藏存儲(chǔ)器的性能瓶頸。但是在多串匹配算法中，數(shù)據(jù)結(jié)構(gòu)非常龐大，并且匹配過(guò)程中不斷在非連續(xù)的地址間跳轉(zhuǎn)，此時(shí)高速緩存的命中率大幅下降，不考慮緩存開銷顯然已不能反映各算法在實(shí)際應(yīng)用中的效能。

實(shí)際上不存在一種普適的算法能夠在各種情況下都有最佳表現(xiàn)，同樣的算法可能在不同的數(shù)據(jù)源、特征集、處理器結(jié)構(gòu)上性能相差甚遠(yuǎn)。我們將結(jié)合具體的硬件（處理器）架構(gòu)和匹配規(guī)則的分布類型，將其抽象為與匹配算法效能相關(guān)的若干關(guān)鍵參數(shù)，計(jì)算出當(dāng)前適用的最優(yōu)算法。具體采用動(dòng)態(tài)和靜態(tài)兩種方式實(shí)現(xiàn)自適應(yīng)選擇。如下圖，

圖2.  自適應(yīng)示意圖

靜態(tài)自適應(yīng)在系統(tǒng)初始化時(shí)進(jìn)行，統(tǒng)計(jì)各協(xié)議變量特征及相關(guān)匹配模式特征，結(jié)合備選多模式匹配算法的性能特征，為規(guī)則匹配樹節(jié)點(diǎn)選擇最優(yōu)的多模式匹配算法?？刂茀?shù)包括處理器類型、主頻、Cache Line長(zhǎng)度、L2Cache容量、存儲(chǔ)器時(shí)延、最短模式長(zhǎng)度、次短模式長(zhǎng)度、模式數(shù)量、模式字符集大小、同前綴模式數(shù)量等等。動(dòng)態(tài)自適應(yīng)在系統(tǒng)運(yùn)行過(guò)程中采樣統(tǒng)計(jì)影響算法效率的網(wǎng)絡(luò)數(shù)據(jù)，如果統(tǒng)計(jì)值顯示當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)趨勢(shì)穩(wěn)定，則進(jìn)行動(dòng)態(tài)算法選擇，確定是否有大幅超過(guò)當(dāng)前算法效率的算法模塊存在，并進(jìn)行調(diào)用。

通過(guò)上述檢測(cè)技術(shù)及算法，并通過(guò)自主積累的無(wú)線攻擊特征庫(kù)，啟明星辰無(wú)線安全引擎能夠高效的檢測(cè)無(wú)線欺騙、無(wú)線破解、流氓 AP、無(wú)線 DoS 攻擊等多個(gè)分類中數(shù)十種基于無(wú)線網(wǎng)絡(luò)架構(gòu)的攻擊。