CN101977375A - 分布式无线入侵检测系统及其检测方法 - Google Patents
分布式无线入侵检测系统及其检测方法 Download PDFInfo
- Publication number
- CN101977375A CN101977375A CN2010105481457A CN201010548145A CN101977375A CN 101977375 A CN101977375 A CN 101977375A CN 2010105481457 A CN2010105481457 A CN 2010105481457A CN 201010548145 A CN201010548145 A CN 201010548145A CN 101977375 A CN101977375 A CN 101977375A
- Authority
- CN
- China
- Prior art keywords
- wireless
- intrusion detection
- management server
- wireless data
- detection management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种分布式无线入侵检测系统,其特征在于所述系统至少包括:入侵检测管理服务器,用于指定无线数据传输的合法信道,以及无线数据使用的合法BSSID和SSID,且能及时更新无线局域网络拓扑图;无线感应器,通过有线网络与入侵检测管理服务器相连,负责扫描无线感应器周围一定范围内的无线信号,解析无线信号中的无线数据,并将无线数据的帧头信息上报给入侵检测管理服务器;入侵检测管理服务器接收到无线感应器上报的信息后,根据服务器配置的检测策略对无线数据的合法性进行检测。该方法只对数据帧包头的检测,大大节约了无线入侵检测本身的数据计算量,而分布式无线入侵检测,有效的减少错误的判断。
Description
技术领域
本发明属于无线数据安全技术领域,具体涉及一种分布式无线入侵检测系统及其检测方法。
背景技术
随着社会的进步,科技的发展,通讯技术也在不断的进步,因为无线技术具有的众多优点,使得无线技术也取到的了巨大的发展。但由于无线通讯技术在环境上开放性,使得无线通讯技术的安全性也成为引人瞩目的课题之一。
无线信道本身是开放的,这就使得在开放区域中会有非法的无线设备的干扰或者访问,为了防止非法设备的干扰或者访问,就需要对当前空间进行警讯和无线入侵检测。目前常见的无线入侵检测方法中,有基于数据包信息的入侵检测,基于无线载波的入侵检测。而当前又存在很多各式各样的检测设备,每种设备都采用了不尽相同的检测策略。如何将这些方法设备和策略整合,并从一个更高的层面上提出一些解决问题的策略,则是改变这种现状的一个契机。
发明内容
本发明目的在于提供一种分布式无线入侵检测系统,解决了现有技术中无线数据安全检测时数据量过大、多种检测策略难以整合等问题。
为了解决现有技术中的这些问题,本发明提供的技术方案是:
一种分布式无线入侵检测系统,其特征在于所述系统至少包括:
入侵检测管理服务器,用于指定无线数据传输的合法信道,以及无线数据使用的合法BSSID和SSID,且能及时更新无线局域网络拓扑图;
无线感应器,通过有线网络与入侵检测管理服务器相连,负责扫描无线感应器周围一定范围内的无线信号,解析无线信号中的无线数据,并将无线数据的帧头信息上报给入侵检测管理服务器;
入侵检测管理服务器接收到无线感应器上报的信息后,根据服务器配置的检测策略对无线数据的合法性进行检测。
优选的,无线感应器可以是支持无线扫描无线接入点或专用无线感应器,负责扫描无线感应器周围一定范围内的无线信号,其范围可以根据无线感应器的扫描灵敏度决定,并通过有线网络与管理服务器相连,用于解析无线传输中的无线数据,并将无线数据的帧头信息上报给入侵检测管理服务器。
本发明还提供了一种分布式无线入侵检测方法,其特征在于所述方法包括以下步骤:
(1)入侵检测管理服务器启动后,进行配置入侵检测管理服务器并更新无线局域网网络;
(2)配置结束后入侵检测管理服务器监听无线感应器上报的无线数据帧头信息;
(3)入侵检测管理服务器根据无线数据帧头信息与已配置的信息进行合法性匹配;根据合法性匹配的结果入侵检测管理服务器作出决策并记录检测结果,然后开始下次循环,继续监听无线感应器上报的无线数据帧头信息。
优选的,所述步骤(2)中当入侵检测管理服务器未收到无线感应器上报的无线数据帧头信息时,入侵检测管理服务器继续监听无线感应器上报的无线数据帧头信息。
优选的,所述步骤(3)中当入侵检测管理服务器收到的无线数据帧头信息与已配置的信息不匹配时,入侵检测管理服务器继续循环监听无线感应器上报的无线数据帧头信息。
本发明可以用于在具有很大数据流量的复杂无线环境中,通过部署多个无线感应器,或者通过配置多个已有无线感应器,并配合入侵检测管理服务器,来实现对整个环境的无线系统进行检测,并对非法的无线入侵及时提出报警或处理。
本发明解决的技术问题可以是在具有大量无线设备,有很大无线数据流量的复杂无线局域网环境中,通过传统的无线数据包扫描的方法,来进行无线入侵检测,会带来很大的计算量,并可能出现因为设备之间干扰及设置的不同步,出现误检测的情况。
本发明的基于无线数据帧头部识别的分布式无线入侵检测方法具体可以按照如下步骤进行:
(i)网络环境中部署无线入侵检测管理服务器。
(ii)配置该服务器,使该服务器能及时更新最新的网络拓扑图。
(iii)配置入侵检查策略,即指定合法信道,合法BSSID,SSID,使服务器能根据以上信息对无线数据包头部中的信息进行匹配,来做出无线入侵的决策。
(iv)在局域网中部署多个无线感应器。
(v)配置无线感应器,使无线感应器可以把扫描到的无线数据解包后,把包头信息上报给入侵检测管理服务器。
(vi)无线入侵检测管理服务器,根据感应器上报的无线数据包头信息,从中取出SSID,BSSID等信息,然后对比当前的网络拓扑图以及网络中的已经存在的合法设备的信息进行判断,以及步骤3中既定的合法信息进行匹配,从根据无线感应器上报无线数据包头部信息来确认网络是不是受到了无线入侵,从而作出决策。
其中无线入侵检测管理服务器的匹配策略可由用户来定义,可配置简单的匹配规则,如SSID=SOME-SSID表示无线接入设备为非法设备,或者BSSID!=00:0C:29:E0:2F:61(BSSID不等于固定的MAC地址)表示无线接入设备为非法设备。也可配置一些比较复杂的组合的策略,如在7信道中,使用SSID=SOME-SSID,并且MAC地址的开头不是00:0C:29的无线接入设备认为非法设备。
相对于现有技术中的方案,本发明的优点是:
本发明技术方案通过只对数据帧包头的检测,大大节约了无线入侵检测本身的数据计算量,可以通过较少的数据分析判断,从而有效的对无线入侵作出决策,而分布式无线入侵检测,又可通过在一个很高的层面对整个网络拓扑的分析,来进行决策,有效的减少错误的判断。该技术用于在具有很大数据流量的复杂无线环境中,通过部署多个无线感应器,或者通过配置多个已有无线感应器,并配合管理服务器,来实现对整个环境的无线系统进行检测,并对非法的无线入侵及时记录并提出报警或处理。
附图说明
下面结合附图及实施例对本发明作进一步描述:
图1为分布式无线入侵检测的网络拓扑图;
图2为分布式无线入侵检测方法的处理流程图。
具体实施方式
以下结合具体实施例对上述方案做进一步说明。应理解,这些实施例是用于说明本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体厂家的条件做进一步调整,未注明的实施条件通常为常规实验中的条件。
实施例分布式无线入侵检测实现
如图1所示为该分布式无线入侵检测系统,包括:入侵检测管理服务器,用于指定无线数据传输的合法信道,以及无线数据使用的合法BSSID和SSID,且能及时更新无线局域网络拓扑图;无线感应器为支持无线扫描无线接入点或专用无线感应器,负责扫描无线感应器周围一定范围内的无线信号,其范围可以根据无线感应器的扫描灵敏度决定,并通过有线网络与管理服务器相连,可以解析无线信号中的无线数据,并将无线数据的帧头信息上报给入侵检测管理服务器;入侵检测管理服务器接收到无线感应器上报的信息后,根据服务器配置的检测策略对无线数据的合法性进行检测。
进行分布式无线入侵检测时,可以按照如下步骤进行:
(1)入侵检测管理服务器启动后,进行配置入侵检测管理服务器并更新无线局域网网络;
(2)配置结束后入侵检测管理服务器监听无线感应器上报的无线数据帧头信息;
(3)入侵检测管理服务器根据无线数据帧头信息与已配置的信息进行合法性匹配;根据合法性匹配的结果入侵检测管理服务器作出决策并记录检测结果,然后开始下次循环,继续监听无线感应器上报的无线数据帧头信息。
所述步骤(2)中当入侵检测管理服务器未收到无线感应器上报的无线数据帧头信息时,入侵检测管理服务器继续监听无线感应器上报的无线数据帧头信息。
所述步骤(3)中当入侵检测管理服务器收到的无线数据帧头信息与已配置的信息不匹配时,入侵检测管理服务器继续循环监听无线感应器上报的无线数据帧头信息。
具体的配置和检测处理步骤按照如下步骤进行:
(a)网络环境中部署无线入侵检测管理服务器。
(b)配置该服务器,使该服务器能及时更新最新的网络拓扑图。
(c)配置入侵检查策略,即指定合法信道,合法BSSID,SSID,使服务器能根据以上信息对无线数据包头部中的信息进行匹配,来做出无线入侵的决策。
(d)在局域网中部署多个无线感应器。
(e)配置无线感应器,使无线感应器可以把扫描到的无线数据解包后,把包头信息上报给入侵检测管理服务器。
(f)无线入侵检测管理服务器,根据感应器上报的无线数据包头信息,从中取出SSID,BSSID等信息,然后对比当前的网络拓扑图以及网络中的已经存在的合法设备的信息进行判断,以及步骤3中既定的合法信息进行匹配,从根据无线感应器上报无线数据包头部信息来确认网络是不是受到了无线入侵,从而作出决策。
其中无线入侵检测管理服务器的匹配策略可由用户来定义,可配置简单的匹配规则,如SSID=SOME-SSID表示无线接入设备为非法设备,或者BSSID!=00:0C:29:E0:2F:61(BSSID不等于固定的MAC地址)表示无线接入设备为非法设备。也可配置一些比较复杂的组合的策略,如在7信道中,使用SSID=SOME-SSID,并MAC地址的开头不是00:0C:29的无线接入设备认为非法设备。
上述实例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人是能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰,都应涵盖在本发明的保护范围之内。
Claims (5)
1.一种分布式无线入侵检测系统,其特征在于所述系统至少包括:
入侵检测管理服务器,用于指定无线数据传输的合法信道,以及无线数据使用的合法BSSID和SSID,且能及时更新无线局域网络拓扑图;
无线感应器,通过有线网络与入侵检测管理服务器相连,负责扫描无线感应器周围一定范围内的无线信号,解析无线信号中的无线数据,并将无线数据的帧头信息上报给入侵检测管理服务器;
入侵检测管理服务器接收到无线感应器上报的信息后,根据服务器配置的检测策略对无线数据的合法性进行检测。
2.根据权利要求1所述的分布式无线入侵检测系统,其特征在于所述无线感应器选自支持无线扫描的无线接入点或专用无线感应器。
3.一种分布式无线入侵检测方法,其特征在于所述方法包括以下步骤:
(1)入侵检测管理服务器启动后,进行配置入侵检测管理服务器并更新无线局域网网络;
(2)配置结束后入侵检测管理服务器监听无线感应器上报的无线数据帧头信息;
(3)入侵检测管理服务器根据无线数据帧头信息与已配置的信息进行合法性匹配;根据合法性匹配的结果入侵检测管理服务器作出决策并记录检测结果,然后开始下次循环,继续监听无线感应器上报的无线数据帧头信息。
4.根据权利要求3所述的方法,其特征在于所述步骤(2)中当入侵检测管理服务器未收到无线感应器上报的无线数据帧头信息时,入侵检测管理服务器继续监听无线感应器上报的无线数据帧头信息。
5.根据权利要求3所述的方法,其特征在于所述步骤(3)中当入侵检测管理服务器收到的无线数据帧头信息与已配置的信息不匹配时,入侵检测管理服务器继续循环监听无线感应器上报的无线数据帧头信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105481457A CN101977375A (zh) | 2010-11-18 | 2010-11-18 | 分布式无线入侵检测系统及其检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105481457A CN101977375A (zh) | 2010-11-18 | 2010-11-18 | 分布式无线入侵检测系统及其检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101977375A true CN101977375A (zh) | 2011-02-16 |
Family
ID=43577215
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105481457A Pending CN101977375A (zh) | 2010-11-18 | 2010-11-18 | 分布式无线入侵检测系统及其检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101977375A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103037373A (zh) * | 2012-12-21 | 2013-04-10 | 成都科来软件有限公司 | 一种无线节点阻断系统 |
| CN105917395A (zh) * | 2014-12-19 | 2016-08-31 | 华为技术有限公司 | 一种防盗方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004064306A2 (en) * | 2003-01-13 | 2004-07-29 | Motorola Inc. A Corporation Of The State Of Delaware | Method and apparatus for providing network service information to a mobile station by a wireless local area network |
| US20040196806A1 (en) * | 2002-05-30 | 2004-10-07 | Siegried Loeffler | Method and device for access control to a wireless local access network |
| CN1934597A (zh) * | 2004-03-25 | 2007-03-21 | 讯宝科技公司 | 基于协议异常分析的无线局域网入侵检测方法 |
| CN101075369A (zh) * | 2006-05-16 | 2007-11-21 | 中国科学院上海微系统与信息技术研究所 | 围界监控与智能报警系统及其监控和报警方法 |
| CN101388130A (zh) * | 2008-03-05 | 2009-03-18 | 中科院嘉兴中心微系统所分中心 | 基于无线传感网的多层次、立体围界防入侵系统、装置与实施方法 |
-
2010
- 2010-11-18 CN CN2010105481457A patent/CN101977375A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040196806A1 (en) * | 2002-05-30 | 2004-10-07 | Siegried Loeffler | Method and device for access control to a wireless local access network |
| WO2004064306A2 (en) * | 2003-01-13 | 2004-07-29 | Motorola Inc. A Corporation Of The State Of Delaware | Method and apparatus for providing network service information to a mobile station by a wireless local area network |
| CN1934597A (zh) * | 2004-03-25 | 2007-03-21 | 讯宝科技公司 | 基于协议异常分析的无线局域网入侵检测方法 |
| CN101075369A (zh) * | 2006-05-16 | 2007-11-21 | 中国科学院上海微系统与信息技术研究所 | 围界监控与智能报警系统及其监控和报警方法 |
| CN101388130A (zh) * | 2008-03-05 | 2009-03-18 | 中科院嘉兴中心微系统所分中心 | 基于无线传感网的多层次、立体围界防入侵系统、装置与实施方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103037373A (zh) * | 2012-12-21 | 2013-04-10 | 成都科来软件有限公司 | 一种无线节点阻断系统 |
| CN103037373B (zh) * | 2012-12-21 | 2015-04-15 | 成都科来软件有限公司 | 一种无线节点阻断系统 |
| CN105917395A (zh) * | 2014-12-19 | 2016-08-31 | 华为技术有限公司 | 一种防盗方法及装置 |
| CN105917395B (zh) * | 2014-12-19 | 2018-09-21 | 华为技术有限公司 | 一种防盗方法及装置 |
| US10319215B2 (en) | 2014-12-19 | 2019-06-11 | Huawei Technologies Co., Ltd. | Anti-theft method and apparatus |
| US10839675B2 (en) | 2014-12-19 | 2020-11-17 | Huawei Technologies Co., Ltd. | Anti-theft method and apparatus |
| US10964200B2 (en) | 2014-12-19 | 2021-03-30 | Huawei Technologies Co., Ltd. | Anti-theft method and apparatus |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102204170B (zh) | 用于网络入侵检测的方法和设备 | |
| CN104486835B (zh) | 一种基于无线接入点和视频监控的定位装置 | |
| CN107995626B (zh) | 一种用于识别无线局域网中wifi信号安全类别的方法和装置 | |
| CN104333862B (zh) | 一种无线局域网细粒度管控方法 | |
| EP3272162B1 (en) | Detecting device movement through electronic fingerprint analysis | |
| CN101189858A (zh) | 用于无线入侵检测的基于位置的增强方案 | |
| CN104349325A (zh) | 用于监测伪无线接入点ap的方法及装置 | |
| CA2479854A1 (en) | Monitoring a local area network | |
| CN102843684A (zh) | 局域网中探测非法无线接入点的方法和系统 | |
| CN104635706A (zh) | 基于信息源检测的群集人员监测及预警的方法及系统 | |
| US20190387408A1 (en) | Wireless access node detecting method, wireless network detecting system and server | |
| US9763169B2 (en) | Geographical detection of mobile terminals | |
| CN103763695B (zh) | 一种物联网安全测评方法 | |
| CN101540667A (zh) | 无线局域网中的通信干扰方法和设备 | |
| EP3115980A1 (en) | Automated and adaptive channel selection algorithm based on least noise and least density of wireless sensors network in neighborhood | |
| CN106878241A (zh) | 恶意热点检测方法和系统 | |
| CN109587686A (zh) | 识别伪基站的方法和装置 | |
| CN101977375A (zh) | 分布式无线入侵检测系统及其检测方法 | |
| CN114554490A (zh) | 一种基于时序模型的异常ap检测方法及系统 | |
| Meng et al. | Building a wireless capturing tool for WiFi | |
| CN110316229B (zh) | 针对cbtc系统车地无线网络的无线攻击检测方法 | |
| JP7403637B2 (ja) | 不正な基地局の識別および報告 | |
| JP2015070620A (ja) | ネットワーク内において不正なフェムトセルの存在を検出する方法及びその装置並びにコンピュータ読み取り可能な記録媒体 | |
| KR101737893B1 (ko) | Wips 센서 및 이를 이용한 단말 차단 방법 | |
| CN104412634A (zh) | 使用云传感器网络的智能无线入侵阻挡系统和传感器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110216 |