傳統的有線網絡攻擊主要位于網絡層之上，因此 IPS/IDS 等安全設備通常在網絡層報文中深度查找攻擊的特征，并將這些特征相互關聯，從而定位對應的網絡攻擊。

在無線網絡中，由于其鏈路層協議的脆弱性尤為突出，所以目前已知的攻擊方式中，大多數都是針對無線鏈路層協議進行的，也有一部分攻擊是針對無線網絡架構本身的，因此，無線攻擊的識別技術也需要根據攻擊的特點而變化，這一點與傳統有線網絡攻擊檢測是有區別的。

啟明星辰無線安全引擎內置了高效的無線攻擊檢測引擎，能夠針對鏈路層的無線網絡攻擊特征進行有效識別，同時，針對無線網絡架構的組合攻擊，無線攻擊檢測引擎通過一體化關聯分析技術，也能有效識別，確保無線攻擊無處藏身。

圖1.  無線攻擊檢測

在解碼和特征檢測的環節中，無線安全引擎采用了高精度的協議分析和自適應匹配算法，來保證檢測的高效、準確。

◆高精度鏈路層協議分析

協議分析是入侵檢測必不可少的環節，它可以減少特征匹配的計算量，提高匹配精度。但是深度的協議分析本身也需要相當大的計算量，如何既保證特征匹配和文件還原所需的分析精確度，又不占用過多的資源，是高速環境下必須面對的課題。我們將主要通過以下方法來解決這一問題：

基于攻擊研究和特征知識庫選擇分析深度。協議分析不需要的無限制的精細，否則入侵防御系統將變成一個低效的應用代理系統，協議分析應該建立在對網絡攻擊研究的基礎上，對特征知識庫中需要的協議信息進行分析，這點的實現關鍵集中在攻擊研究上，軟件實現中可通過編譯時的條件控制和運行時對特征庫進行掃描設置相應開關完成。

◆多模匹配算法選擇

由于在一個報文的匹配中，最為耗時的匹配運算是在報文中匹配多個串模式。過去的幾十年中學術界提出了若干的多模匹配算法，并且在工業界得到了很好的應用，比如AC 算法、WM 算法在軟件檢測系統中證明了其優秀的性能。在以往的多模匹配算法通常是在理論分析的基礎上，在 IA32 架構和隨機數據源上進行實驗選擇，且算法一經確定就固化在軟件中。實際這樣得出的算法不能保證在所有的處理器架構和數據源條件下都保證是已知算法中最優的。

現在在學術界存在多種多串并行匹配的算法，在商業產品中應用較多有Aho-Corasick、Wu-Manber和ExB算法或它們的變種。

根據研究發現，所有這些算法的性能分析全部是基于理想的存儲模型，忽略緩存的性能開銷。由于存儲器速度遠低于處理器速度，兩者相差一個數量級以上，為避免存儲器效能低造成系統整體的效能低下，絕大多數系統采用多級存儲結構，增加少量的高速緩存隱藏存儲器的性能瓶頸。但是在多串匹配算法中，數據結構非常龐大，并且匹配過程中不斷在非連續的地址間跳轉，此時高速緩存的命中率大幅下降，不考慮緩存開銷顯然已不能反映各算法在實際應用中的效能。

實際上不存在一種普適的算法能夠在各種情況下都有最佳表現，同樣的算法可能在不同的數據源、特征集、處理器結構上性能相差甚遠。我們將結合具體的硬件（處理器）架構和匹配規則的分布類型，將其抽象為與匹配算法效能相關的若干關鍵參數，計算出當前適用的最優算法。具體采用動態和靜態兩種方式實現自適應選擇。如下圖，

圖2.  自適應示意圖

靜態自適應在系統初始化時進行，統計各協議變量特征及相關匹配模式特征，結合備選多模式匹配算法的性能特征，為規則匹配樹節點選擇最優的多模式匹配算法。控制參數包括處理器類型、主頻、Cache Line長度、L2Cache容量、存儲器時延、最短模式長度、次短模式長度、模式數量、模式字符集大小、同前綴模式數量等等。動態自適應在系統運行過程中采樣統計影響算法效率的網絡數據，如果統計值顯示當前網絡數據趨勢穩定，則進行動態算法選擇，確定是否有大幅超過當前算法效率的算法模塊存在，并進行調用。

通過上述檢測技術及算法，并通過自主積累的無線攻擊特征庫，啟明星辰無線安全引擎能夠高效的檢測無線欺騙、無線破解、流氓 AP、無線 DoS 攻擊等多個分類中數十種基于無線網絡架構的攻擊。