1、隨著計算機網絡的飛速發(fā)展，使用無線局域網(WLAN)的用戶也日益增多，面向WLAN的網絡安全研究也受到越來越多的重視。入侵檢測和防御技術作為網絡安全防護的重要手段，在傳統有線網絡環(huán)境中已有較為成熟的應用，針對網絡多步攻擊的規(guī)劃識別方法，也在有線網絡中有了一定的研究。但現有的多步攻擊規(guī)劃識別方法主要利用網絡層以上的數據包信息作為識別特征，而WLAN無線網絡包含了更多網絡層以下的數據包特征。正是由于無線網絡具有的特殊性，將現有的規(guī)劃識別方法

2、運用到WLAN面臨許多的困難，目前仍很少看到WLAN領域無線多步攻擊意圖識別的研究。
　　本文通過深入分析無線局域網的協議體系和安全機制，對WLAN無線環(huán)境下的多步攻擊意圖識別方法展開了研究和探索，主要研究工作和創(chuàng)新點如下:
　　(1)提出了一個完整的面向WLAN的無線多步攻擊規(guī)劃識別方法。該方法包括三個模塊構成:基于AP信息的無線入侵告警聚合方法、融合802.11協議幀主要屬性的無線多步攻擊模式挖掘方法和基于層次攻擊樹的無

3、線多步攻擊意圖預先識別方法。該方法正是基于WLAN的無線數據包特點，引入無線設備信息，提前識別攻擊者的最終攻擊意圖。論文設計了一個分布式無線入侵防御系統D-WIPS對提出的方法進行驗證，結果表明該方法能有效實現多種無線多步攻擊意圖的預先識別，可以提前為WLAN的安全管理提供決策。
　　(2)提出了一種基于AP信息的WIAC無線入侵告警聚合方法。WIAC方法包括告警格式化、告警精簡和告警分類等三個部分組成，通過改進IDMEF的告警格

4、式，引入AP接入點的關鍵無線信息，使其適用于WLAN環(huán)境，并擴展Snort-Wireless的檢測規(guī)則，完成對原始告警的格式化處理，然后結合告警的時間、空間、攻擊類型和目標設備信息等屬性，對原始告警中的無關告警和重復告警進行精簡，最后設計了一種針對WLAN無線攻擊的HACA超告警分類算法，將精簡后的告警聚合為三類超告警。WIAC方法能適用于WLAN的真實網絡環(huán)境，有效去除大量的重復告警和無關告警，大大減少了原始告警的數量。
　　(

5、3)提出了一種融合802.11協議幀主要屬性進行關聯分析的WMAPM無線多步攻擊模式挖掘方法。WMAPM方法包括構造全局攻擊庫、建立候選攻擊鏈、篩選候選攻擊鏈、關聯多步攻擊行為和識別多步攻擊模式等五個步驟，在WIAC方法產生的三類超告警基礎上，根據AP設備信息構造全局攻擊庫，并利用告警時間窗口，設計CACGA候選攻擊鏈生成算法建立候選攻擊鏈，然后利用PACSGA偽攻擊鏈集合生成算法去除候選攻擊子鏈和重復的候選攻擊鏈，生成包含無線多步攻擊

6、模式的偽攻擊鏈集合，另外還定義了一個新的基于WLAN特征的無線告警相關度的概念，用來描述兩個無線超告警之間的關聯關系，通過計算相鄰超告警間的相關度值，刪除偽攻擊鏈中相關度較低的攻擊鏈，自動挖掘出無線多步攻擊模式。WMAPM方法能夠適用于WLAN的真實攻擊場景，能有效挖掘出無線多步攻擊模式，可以為多步攻擊意圖預先識別提供基礎。
　　(4)提出了一種基于層次攻擊樹HAT的WMAPER無線多步攻擊意圖預先識別方法。WMAPER方法結合了

7、基于規(guī)劃執(zhí)行的規(guī)劃識別方法和基于因果網絡的攻擊規(guī)劃識別方法，針對挖掘出的無線多步攻擊模式，構造一種包含特征節(jié)點的層次攻擊樹結構，用來描述無線多步攻擊步驟之間的層次關系，同時定義了一個最短預測序列SPS的概念，通過設計SPSGA最短預測序列生成算法，在層次攻擊樹中找出每個無線多步攻擊的最短預測序列，最后利用基于最短預測序列的MAPERA多步攻擊預先識別算法，實現在線的無線多步攻擊意圖預先識別。WMAPER方法能有效地提前識別出多種無線多步