50、无线安全监控：WIDS/WIPS 分析与应用

无线安全监控：WIDS/WIPS 分析与应用

1. 位置追踪

在无线局域网（WLAN）安全监控中，位置追踪是重要且可靠的一部分。使用单个移动设备辅助位置追踪是实现“最后一公里”发现的良好实践。移动设备通常会利用图形、指针和/或声音来指示与目标设备的接近程度。常见的定位方法是先使用无线入侵检测系统/无线入侵防御系统（WIDS/WIPS）大致确定位置，再通过便携式设备进行跟进，以此来定位企业 WLAN 中的恶意设备和其他设备。

2. WIDS/WIPS 分析方法

WIDS/WIPS 解决方案会运用多种分析方法来处理收集到的大量数据，以下是几种主要的分析方法：
- 签名分析 ：用于分析已知无线入侵和 WLAN 攻击的帧模式或“签名”。WIDS/WIPS 拥有包含数百种已知 WLAN 攻击威胁签名的数据库，这些签名基于第 1 层和第 2 层攻击。大多数解决方案采用手动签名检测，类似于大多数病毒防护系统，会随着新签名的发现自动更新签名数据库，并且通常具备创建自定义签名的能力，方便 WLAN 管理员监控特定环境中的行为或攻击。
- 行为分析 ：许多 WIDS/WIPS 解决方案通过行为分析来识别偏离正常 WLAN 活动的模式。它基于历史指标识别异常网络行为，能够检测到其他入侵检测技术可能无法发现的异常情况。异常检测可以基于 802.11 管理、控制和数据帧的各种阈值等变量。行为分析有助于检测协议模糊测试攻击，攻击者通过篡改 802.11 帧中的数据位和字段来发送畸形输入，以查找接入点（AP）代码或客户端站固件中的漏洞。未知的零日攻击往往会在 802.11 行为中产生异常，可通过配置行为阈值触发