近年来,802.11无线局域网因其所具有的安装便捷、使用灵活、易于扩展等优点,广泛引用于校园、机场和公司。然而,无线局域网在给人们带来了极大便利的同时,也给企业网络带来了安全隐患。尤其是当企业内部网络中有用户未经授权私自安装无线接入点,即非法AP(Access Point)时,就会在无意中为恶意攻击者提供入侵企业内部网络的后门,给内网安全造成极大的威胁。为了使无线局域网远离非授权访问,非法AP检测已成为机构内网管理的重要内容之一,同时也引起了研究者的广泛关注。本文系统分析了现有非法AP检测方法的研究现状和缺陷。针对目前算法的不足,提出了一个接入网类型(Ethernet或WLAN)判决的新特征参数—TCP本地延迟抖动,针对被监测网络中无线连接TCP本地延迟抖动训练样本集是否可用,设计了两种非法AP检测方法。主要工作包括:1.基于对无线连接和有线连接上TCP本地延迟抖动概率分布的特性分析,提出了一种“基于无线连接训练集的非法AP检测算法”。该算法需要在训练阶段采集无线连接TCP本地延迟抖动训练样本集以获取无线连接上的TCP本地延迟抖动先验概率分布。鉴于算法性能取决于对节点接入网类型的判决效果,本文将改进的序贯假设检验应用于该非法AP检测算法的接入网类型的判决阶段。通过离线和在线两类实验,该非法AP检测算法的WLAN正确判决率高于99.96%,虚警率低于3.4%,并且能检测出94.7%的无线节点。2.为了在无线连接训练样本集不易取得的场景中获取无线连接TCP本地延迟抖动先验概率分布,本文基于对802.11 DCF(Distributed Coordinated Function)信道访问机制的分析与马尔可夫模型,提出一个802.11无线连接TCP本地延迟抖动概率分布模型。实际网络的测试实验数据证明,该模型非常吻合802.11无线连接的TCP本地延迟抖动实际概率分布。应用该理论模型,本文提出一种可应用于无线连接训练样本集不易取得场景下的非法AP检测算法,该算法无需在训练阶段对无线连接训练集进行学习。离线和在线实验验证了该算法作出WLAN判决的正确判决率高于99.53%,而作出一次WLAN判决所需时间的中值小于5.762s,该算法对无线节点的检测率高于85.71%。