31、入侵者追踪与入侵检测传感器部署策略

入侵者追踪与入侵检测传感器部署策略

在网络安全领域，追踪攻击者和合理部署入侵检测传感器是保障网络安全的重要环节。下面将详细介绍基于MAC层异常的攻击者追踪方案以及入侵检测传感器的部署价值模型。

基于MAC层异常的攻击者追踪方案

在无线网络中，攻击者可能会发送大量数据包进行DoS或DDoS攻击。为了追踪这些攻击者，我们可以利用MAC层的异常信息作为攻击签名。

1. MAC层异常检测

• 异常定义 ：将MAC活动的异常定义为超出正常区间的值。每个节点将MAC活动信息（如冲突增加、繁忙时间、帧数等）作为时间序列数据进行采样，采样数量要足够大以反映平均网络使用模式，异常监测的单位时间设定为10秒。
• 正常区间计算 ：基于收集的样本，使用枢轴法计算置信区间为100(1 - α)%的正常区间，公式如下：
  [
  \overline{x} n \pm z {\alpha/2} \frac{\sigma}{\sqrt{n}} \approx \overline{x} n \pm z {\alpha/2} \frac{s_n}{\sqrt{n}}
  ]
  其中，(\overline{x}_n) 是样本均值，(\sigma) 是标准差，由于 (\sigma) 值未知，使用样本标准差 (s_n)。
• 攻击签名 ：超出正常范围的时间序列数据被定义为攻击签名，用于追踪攻击者。每个节点监测MAC层活动以检测异常，一旦发现异常，将其特征化为攻击签