CN102204170A - 用于网络入侵检测的方法和设备 - Google Patents
用于网络入侵检测的方法和设备 Download PDFInfo
- Publication number
- CN102204170A CN102204170A CN2008801317882A CN200880131788A CN102204170A CN 102204170 A CN102204170 A CN 102204170A CN 2008801317882 A CN2008801317882 A CN 2008801317882A CN 200880131788 A CN200880131788 A CN 200880131788A CN 102204170 A CN102204170 A CN 102204170A
- Authority
- CN
- China
- Prior art keywords
- grouping
- daily record
- pretreated
- frame
- daily
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
当前发明公开了一种通过下列来检测和缓解网络入侵的方法和设备:收集区域附近的无线网络流量的第一日志和来自于连接到所述区域的交换机端口的网络流量的第二日志;对所述日志进行预处理;以及接着通过试图识别经预处理的第一和第二日志中的匹配模式来检测未授权访问点(AP)的存在。
Description
技术领域
当前发明涉及计算机网络,且尤其涉及例如企业网络的基础设施计算机网络的网络安全。
背景技术
使用诸如无线局域网(wireless local area network, WLAN)之类的无线网络正变得普遍,且伴随而来的网络安全问题亦是如此。无线网络存在对网络安全的担心。一个这样的担心是检测无线网络中的欺骗访问点(access point, AP),所述无线网络作为例如企业网络的基础设施计算机网络的一部分。
WLAN可以是自组织的(ad hoc)在于任何站可以与任何其它站直接通信,或者具有在其中站仅能够经由访问点(AP)与另一站进行通信的基础设施。AP可以耦合到可以是有线或无线的其它网络。在这里通过AP耦合到AP的那个网络(例如,因特网或企业内部网)被称作“有线”网络,并且要理解的是,此有线网络可以是包括其它无线网络的互连网络。
例如,当未授权的无线访问点连接到另外的安全局域网(LAN)时会出现网络安全担心。该未授权的无线访问点通常被称作欺骗访问点(AP)。
由于连接到另外的安全LAN的欺骗AP可能使得能够非法访问该安全LAN,所以其可能造成安全漏洞。由于WLAN的无线电环境中的欺骗AP可能妨碍潜在客户端从合法AP访问他们的WLAN,所以其可能干扰该WLAN的正常运行。
欺骗AP可能是非恶意的或恶意的欺骗AP。非恶意欺骗AP例如可以是为了个人使用设置这样的AP而非故意阻挠检测的用户的AP。这样的用户很可能使用开箱即用的缺省配置。因此,当用在感兴趣WLAN的无线电环境中时,这样的非恶意AP的服务集标识符(service set identifier, SSID)通常将与感兴趣WLAN的SSID不匹配。
恶意欺骗AP是用户为了获得对例如安全LAN的感兴趣有线网络的访问而设置的欺骗AP。这样的恶意AP可以哄骗合法AP的MAC地址。这样的恶意AP可以进一步设置诸如功率、信道和SSID之类的参数再来哄骗合法AP的那些以便使被检测到的可能性最小化。
WLAN可能由于欺骗访问点而具有若干潜在的问题。当连接到安全网络时,欺骗访问点例如可以通过使得能够对另外的安全企业内部网进行非法访问而使得网络变得不安全。在良好设计的WLAN中,访问点通常已经被配置成提供一定水平的覆盖和容量。欺骗访问点可以通过引起与合法AP的争用、通过引起与合法AP的冲突,以及甚至通过可能引起对合法客户端的拒绝服务而造成这样的计划覆盖和容量的退化。
由于针对家庭或小企业使用所设计的无线路由器/访问点设备日益廉价并且因而更为可承受得起,所以例如在企业网络环境中可能存在欺骗AP就可能是更常见的,原因在于用户可以重新配置个人无线访问点以替代所指定的个人计算机。因而,结果出现的安全问题使得网络工程师和管理员的进一步考虑有正当理由。
由于当今的低成本路由器设备可以包括内置的防火墙,其可以利用网络地址转换(network address translation, NAT)将无线侧客户端设备的地址隐藏在LAN可见的单个地址之后,因此检测欺骗访问点的存在的任务就可能不直截了当。
现有的用于检测欺骗访问点的方法可以依赖于用户报告欺骗AP或者可以采用嗅探器(sniffer)方案。即使非恶意欺骗AP的拥有者完全合作,这也可能无法检测到抱有欺骗和隐藏的目的而设置的恶意AP。
例如,操作人员可以定期带着能够携带到区域的嗅探器设备巡视该区域,进行测量以搜索欺骗AP。但是,例如在来自相邻建筑或临近办公区的还未知的合法AP的情况下,这可能难以实现。
还已知的是把已知的合法AP用作嗅探器的嗅探器技术。这样的AP可以由管理实体从中心位置进行管理。大多数时候,这样的被管理AP可以作为常规访问点。当正实施欺骗扫描时,管理实体向被管理AP发出命令,例如简单网络管理协议(simple network management protocol, SNMP)命令,将其转变为无线嗅探器。被管理AP可以扫描其覆盖半径之内的电波(airwave),寻找所有信道上的流量。该AP于是将所有数据向回报告给管理实体以作为轨迹(trace),并且接着返回到正常操作模式。该管理实体分析来自被管理AP和岗哨设备的轨迹,将所检测到的AP与其认证的被管理AP的数据库进行比较。然而,这样的方法要求该AP停止正常操作,并且可能在面临来自相邻建筑的还未知的合法AP时不起作用。
此外,嗅探器可以被配置成在被扫查的邻域中广播标记或发现分组。这些标记或发现分组可以被欺骗AP路由至安全LAN。因而,在安全LAN内部存在嗅探器所广播的标记或发现分组可以证实存在欺骗AP。一种类似方案可以广播来自安全LAN的标记或发现分组,并且在存在嫌疑欺骗AP的区域中寻找标记或发现分组的存在。然而,这些方案可能是难以实施,例如这是因为诸如因特网控制和管理协议(internet control and management protocol, ICMP)分组之类的标记或发现分组可能无法穿透欺骗AP中的防火墙。该标记和发现分组可能无法跨过子域或虚拟局域网(VLAN)。此外,主动注入标记或发现分组可能会干扰或者退化合法用户的正常网络操作。
此外,通过假设欺骗AP不执行网络地址转换(NAT),用于定位欺骗AP所连接的交换机端口的其它技术可以包括基于关联的解决方案,其可以尝试将IEEE 802.11无线电媒体访问(media access, MAC)地址与欺骗AP的有线侧MAC地址相互关联。一旦MAC地址被相互关联,于是就搜索边缘交换机以定位该MAC地址。MAC地址还可以从与欺骗AP相关联的客户端设备来捕获,并且这些捕获的地址也可以被用来搜索边缘设备以定位该欺骗AP。
然而,这些基于关联的解决方案只要确实存在关联就可以起作用。由于存在因为上面所提及的NAT过程而在无线电MAC地址和以太网MAC地址之间不存在关系的许多访问点,所以此假设可能是存在疑问的。
附图说明
现在将结合相关联的图对实施例进行描述,其中:
图1描绘了具有无线访问点(AP)的示例性局域网。
图2描绘了当前发明的示例性实施例。
图3图示了无线AP处的示例性网络地址转换(NAT)。
图4图示了与当前发明相关联的示例性分组模式匹配。
图5示出了将从连接至访问点(AP)所覆盖区域的交换机端口而所被记入日志的分组的传输控制协议(TCP)有效载荷长度与从所述访问点(AP)所覆盖的区域而被记入日志的分组的经调整分组长度进行匹配的示例性结果。
图6以流程图的形式描绘了本发明的示例性实施例。
具体实施方式
下面对示例性实施例进行详细描述。
图1描绘了具有无线访问点(AP)的示例性局域网(LAN)。无线AP 100通过空中链路103与客户端101进行通信,并且通过链路104与交换机102进行通信。链路103可以被加密而链路104可以是有线的。交换机102可以被配置为运行安全LAN。
无线AP 100例如可以是无线路由器。图1可以表示计算机网络,例如具有包括至少一个无线AP的至少一个无线部分的企业网络。
低成本无线设备的可用性更有可能使无线AP 100可能是未授权的。例如,如果合法用户简单地在指定LAN端口插入个人无线路由器并且对他的/她的个人无线路由器应用指定的媒体访问(MAC)地址,这可能发生。由于未授权无线AP可能不会像其它方式那样被坚持不懈地维护,所以由于来自相邻建筑或车库中的外部用户可能能够访问该安全LAN而可能出现安全担心。更令人担忧的是,因为网络管理员例如由于未授权无线AP可以具有上面所提及的NAT能力而甚至可能没注意到该未授权无线AP的存在,此安全漏洞会持续存在而不会被检测到。
图2描绘了当前发明的示例性实施例。数据收集器200可以经由链路202监听和捕获在无线AP 100附近的无线数据。链路202可以与空中链路103相重叠。数据收集器200可以是具有把无线流量记入日志或分析的能力的无线AP设备。数据收集器200可以经由链路203把对无线流量的分析的日志发送给无线入侵检测器(wireless intrusion detector, WID)201。数据收集器200可以由网络管理接口进行管理,所述网络管理接口例如是安装在WID 201上的简单网络管理协议(SNMP)接口。WID 201还可以经由链路204监视交换机102上的端口的网络流量。
WID 201可以是用于入侵检测和缓解的目的的专用计算机。WID 201还可以是在通用计算机上运行的计算机应用程序。WID 201可以访问网络中交换机的配置和管理接口,所述网络可能具有附连到交换机上的一个端口的未授权无线AP。WID 201可以连续地监视各个交换机端口上的网络流量以检测未授权无线AP的存在。
图3图示了无线AP 100处的示例性网络地址转换(NAT)。框300示出了无线AP 100用于NAT目的的逻辑组成。框300可以包括框301、303和304。框301是与框306连接的无线接口,表示无线客户端101的无线接口。该连接可以经由可以载送加密数据的链路307。框303是NAT防火墙,其例如可以将无线侧与有线侧分开。框304是经由链路308要与LAN 305连接的因特网接口。框300可以进一步包括如框302的本地以太网接口。
防火墙303的功能是使得通过在防火墙303之上的框301从无线客户端101接收的所有分组可以使它们的源MAC和IP地址变化以与例如框304-因特网接口的MAC和IP地址相匹配,以便转发至LAN 305。相反地,通过框304-因特网接口从LAN 305接收的分组可以使它们的源MAC地址变化以与例如本地以太网接口302的MAC地址相匹配。为了被转发到无线客户端101,框303可以将从LAN 305接收的分组的目的地MAC和IP地址替换成无线接口306的MAC和IP地址。此NAT过程会致使难以通过简单地寻找具有作为源地址或目的地地址的未知MAC或IP地址的分组而注意到未授权无线AP的存在。请注意,所示出的MAC地址仅是为了说明目的。
图4图示了与当前发明相关联的示例性分组模式匹配。框400是其中每个条目表示关于链路308而被记入日志的分组的表。框401是其中每个条目表示关于链路307而被记入日志的分组的表。框402-404表示既行进通过链路307又行进通过链路308并且既关于链路307又关于链路308而被记入日志的分组。
由于既行进通过链路307又行进通过链路308的分组可以呈现在框400和401二者上,所以对框400和401内分组的识别特性进行匹配可以导致检测到未授权无线AP的存在。
框401可以包含表示例如来自多个无线客户端101的分组的条目,并且可以包含表示来自无线设备的分组的条目,所述无线设备例如在无线AP 100的紧邻建筑中或附近具有无线卡的计算机。框400可以包含表示例如来自多个无线AP的分组的条目。因此,框402-404在框400和401中的相对位置可能相当不同。例如,框402-404在框400和401中可能被不同数目的条目分开。
此外,框402-404可以包含加密内容的有效载荷,所述加密内容例如对应于通过链路307的IEEE 802.11无线加密。另外,框402-404可以表示具有不同报头的分组,所述报头例如对应于不同的媒体访问(MAC)和物理(PHY)层,诸如框400的以太网(例如,IEEE 802.3)和框401的IEEE 801.11。
框402-404可以构成数据帧,并且数据帧的存在可以进一步使得传送不同类型的帧成为必要,所述不同类型的帧诸如管理帧、控制帧等。携带数据的分组对应于数据帧,而不携带数据的分组则对应于不同类型的帧。
例如,框400可以包含Pause(暂停)帧,其可以在规定的时间段停止发送器的传输。例如,框400可以包含用于载波侦听多路访问/冲突检测(carrier sense multiple access/collision detect, CSMA/CD)协议的帧,其在避免冲突和拥塞的情况下可以允许多个设备共享诸如像以太网电缆之类的共用传输介质。
诸如Ethernet II、IEEE 802.2、IEEE 802.3和IEEE 802.11等之类的协议定义了通过物理媒体传送的所支持帧的各种格式,所述物理媒体可以是有线或无线的。帧可以具有控制字段,所述控制字段尤其示出了帧类型、长度和各种指示符,诸如逻辑链路控制(logical link control, LLC)参数、时隙时间、回退时间(back-off time)、重传时间、速率控制参数等。另外,所有帧都可以包含源和目的地设备的地址(例如,MAC和IP)、帧序列号、帧体,以及可以用于错误检测的帧校验和。帧加上其前同步码和帧首定界符通常可以被称作分组,因而本领域技术人员可以互换使用术语帧和分组。
框401内的管理帧例如可以包括认证帧、解除认证帧、关联请求帧、关联响应帧、重新关联请求帧、重新关联响应帧、解除关联帧、信标(beacon)帧、探测(probe)请求帧、探测响应帧等,其可以被用来使得无线设备能够建立和保持通信。
框401内的控制帧例如可以包括确认帧(acknowledgement frame, ACK)、否定确认帧(negative acknowledgement frame, NACK)、请求发送(request to send, RTS)帧、清除发送(clear to send, CTS)帧等,其可以被用于对网络中设备之间的数据帧的冲突避免以及未接收或错误接收的帧的重传。
具体地,IEEE 802.11标准定义了设备(例如,网络接口卡和无线AP)可以用于通信的各种帧类型。帧可以具有描绘802.11协议版本、帧类型和各种指示符的控制字段,所述指示符诸如是否利用有线等效保密(wired equivalent privacy, WEP)、电源管理是否有效等等。另外,所有帧可以包含源和目的地设备的MAC地址、基本服务集标识符(basic service set identifier, BSSID)、帧序列号、帧体,以及可以被用于错误检测的帧校验序列。
类似地,但是可以发现特定于协议的帧布置可以用于其它协议,诸如像IEEE 802.16(本领域中也被称作WiMAX)协议。
这些管理和控制帧的细节也可以取决于网络提供商。例如,Novell和Cisco可以具有不同的实现方式。
为了模式匹配目的,用作管理和控制帧的分组可以被去除。这例如可以通过检查分组的帧类型字段来实现。例如,当在无线链路上传送分组时,如果在时间段内接收未被确认,则这些分组可以被重传。被重传的分组也可以被去除。被重传的分组可以通过检查分组的适当字段来识别。
应当注意,可以在基于底层协议的规范去除协议开销之后从分组中提取携带数据的分组的有效载荷。例如,对于框400内的携带数据的分组而言,可以通过去除协议开销来提取传输控制协议(TCP)有效载荷。例如,对于框401内的携带数据的分组而言,可以通过去除IEEE 802.11协议开销来提取经调整的有效载荷。
存在将框400内的分组的有效载荷与框401内的分组的有效载荷进行匹配的各种方案。
例如,对于每个分组可以逐字节地直接比较有效载荷。该比较可以体现为被比较的两个有效载荷之间的减法运算。此方案可能需要大量比较以搜索具有对应的有效载荷的匹配分组,并且如果用于框400和401内的分组的加密不是同样的则可能无法识别匹配的有效载荷。
有效载荷比较可以通过对被比较的两个有效载荷的每个构成字节的间接比较来执行。例如,可以比较表征有效载荷内容的属性。该特性属性例如可以包括有效载荷长度、校验和、或哈希函数值。这些值可能不唯一,但是可以足以用于匹配目的。
具体地,框400和401内携带数据的分组的有效载荷可以通过其长度来表示,例如通过有效载荷中所包含的数据的字节数来表示,或者例如以压缩形式被表示为从对该有效载荷执行的校验和或哈希函数计算得到的数值。如本领域中普遍所知的,检验和以及哈希函数可以导致低冲突映射。示例性校验和可以被体现为:循环冗余码(cyclic redundancy code, CRC)校验和、Fletcher(弗莱彻)的校验和、Adler-32校验和等。示例性哈希函数可以包括:消息摘要算法5(Message-Digest algorithm 5, MD-5)、消息摘要算法4(MD-4)、安全哈希算法(Secure Hash Algorithm, SHA)下的变体、欧洲先进通信技术研发综合基础评估消息摘要(Research-and-Development-in-Advanced-Communications-Technologies-in Europe Integrity Primitives Evaluation Message Digest, RIPEMD)算法下的变体、Tiger(泰格)算法下的变体、Whirlpool(漩涡)算法下的变体等。校验和或者哈希函数可以由WID 201执行。长度、校验和或者哈希函数计算也可以由例如交换机102或数据收集器200的网络基础设施设备来执行,其中结果被转发到WID 201。
例如,可以把框400内的分组的TCP有效载荷的长度与框401内的分组的经调整的有效载荷长度进行比较。TCP有效载荷的长度可以通过从框400内的被记入日志分组的长度减去TCP协议开销长度来获得。经调整的有效载荷长度可以通过从框401内的被记入日志无线分组的长度减去特定无线协议的开销长度来获得。请注意,有效载荷长度关于加密可以是不变的。
例如,可以把框400内的分组的TCP有效载荷的校验和与框401内的分组的有效载荷的校验和进行比较。
例如,可以把框400内的分组的TCP有效载荷的哈希函数值与框401内的分组的有效载荷的哈希函数值进行比较。
该比较可以体现为被比较的两个有效载荷的各自长度、校验和或者哈希函数值之间的减法运算。
图5示出了将从连接至访问点(AP)所覆盖区域的交换机端口而被记入日志的分组的TCP有效载荷长度与从所述访问点(AP)所覆盖区域而被记入日志的分组的经调整分组长度进行匹配的示例性结果。该实验通过使客户端101参与到经由AP 100和交换机102与网络服务器的HTTPS会话来实施。该被记入日志的无线分组来自于数据收集器200,而被记入日志的有线分组来自于连接到AP 100的交换机102上的端口。框500示出了具有框400内被记入日志的匹配长度的TCP分组的子序列,而框501示出了具有用框401被记入日志的匹配长度的TCP分组的对应子序列。该实验证实了即使这些匹配的序列号由于网络中分组交换的性质的原因而显著改变,把TCP有效载荷长度与经调整的有效载荷长度进行匹配也可能是可行的解决方案。
图6把当前发明的示例性实施例描绘为流程图。该流程可以开始于收集数据600以作为第一日志以及收集数据602以作为第二日志。数据600可以是从连接到访问点(AP)所覆盖区域的交换机端口所监视的网络流量的日志,而数据602可以是该AP所覆盖区域中所观测到的无线流量的日志。数据600和602可以分别由预处理器601和603进行预处理以去除非携带数据的分组,诸如用于管理和控制帧的那些分组、重传分组等。预处理器601和603还可以从分组去除协议开销以获得分组的有效载荷。预处理器601和603可以进一步获得有效载荷长度、有效载荷校验和、和/或有效载荷的哈希。接着,模式匹配引擎604可以对预处理的数据600和602进行分析以获得匹配模式,在其中预处理的数据600中的分组的子序列与预处理的数据602中的分组的子序列相匹配。该模式匹配结果可以被发送到判定开关605,其例如可以是阈值比较器,用来进行是否存在未授权AP的二元判定。如果判定为是,则响应引擎606可以被调用以基于规则集生成响应。如果判定为否,则该流程可以重新开始更多预处理的数据600和602的继续比较。
例如,WID 201可以定期开始流量模式匹配操作,在其中安装在可能存在嫌疑未授权AP的区域中的数据收集器200可以开始捕获链路103上的无线分组,以生成包含所观测的无线流量的日志的数据602。WID 201可以经由链路203接收未处理形式的数据602。数据602也可以首先由预处理器603处理并接着经由链路203被发送到WID 201。WID 201可以具有用于接收数据602的接收设备,例如无线接收器。与此同时,可以生成数据600,其对应于来自于连接到所监视区域的交换机102上的端口的网络流量的日志。可以经由端口镜像操作获得数据600,其中去往和/或来自交换机102上的端口的所有网络流量的拷贝可以被转发至WID 201。WID 201可以具有用于接收数据602的接收设备,例如网络接口卡(NIC)。
预处理器601和603可以是在WID 201、交换机102或数据收集器200上运行的计算机应用程序。预处理器601和603例如可以是可以以实际抽取与报告语言(Practical Extraction and Report Language, PERL)编写的执行的计算机脚本或者以适当编程语言编写的执行的计算机应用程序,用来去除非携带数据的分组和/或去除协议开销以获得与分别来自于数据600和602的分组相关的有效载荷信息。
模式匹配引擎604可以是在WID 201上运行的计算机应用程序。模式匹配引擎604例如可以是以一般列表处理(List Processing, LISP)语言编写的特别适宜于模式匹配和递归模式的计算机脚本,或者所执行的以适当编程语言编写的计算机应用程序。
当前发明中序列匹配的任务是要找到数据600和602中被记入日志的两个序列所共有的子序列。根据经典计算机科学理论,对于任意长度的输入序列的一般情况而言,此类任务是非确定性多项式时间困难(polynomial-time hard, NP-hard(困难))的。这意味着所陈述的找出数据600和602中的两个序列所共有的子序列的任务可以通过示例性技术在多项式时间内是可解决的,所述示例性技术例如动态编程,一种解决展现出如在该任务中所展现的最优子结构和重叠子问题的属性的问题的方法。对于所有组成部分和所有可能的长度,这些示例性技术比搜索数据600和602二者以获得匹配的简单搜索方法花费的时间小得多。其它示例性技术例如可以包括遗传算法、人工神经网络、小波变换等。
序列匹配结果例如可以被量化为例如被记入日志的1000个分组或搜索30秒之内的匹配的百分比。该量化结果可以被判定开关605使用。判定开关605例如可以是阈值比较器。根据所执行的特定模式匹配该阈值可以是可配置的。该阈值可以是多维参数,并且可以按照大数据池的统计分析来调节。该阈值可以是被表明为一种类型的机器学习或人工智能模式的过程的结果。例如,可以使用机器学习过程来获得特别适于区分匹配/不匹配的阈值。
响应引擎606可以是在WID 201上运行的计算机程序。例如,响应引擎606可以是以一般列表处理(LISP)语言编写的特别适宜于基于规则的响应调用的计算机脚本,或者所执行的以另一种适当编程语言编写的计算机应用程序。
所述响应例如可以包括:通过网络管理接口与交换机102进行通信以禁止(例如,切断)连接到被识别的未授权AP的端口,或者过滤在与所检测的未授权无线AP连接的端口上去往和来自该所检测的未授权AP的流量。该响应还可以包括向负责该位置的网络安全的人员发送警报。一旦接收到警报,负责网络安全的人员例如可以验证事件、记录所检测的授权AP的位置,并且关断与其连接的交换机端口。
预处理器601和603、模式匹配引擎604和响应引擎606还可以被体现为专用硬件,诸如计算机、具有嵌入式软件的设备,例如FPGA设备和可编程逻辑设备,或者甚至是应用特定集成电路(application specific integrated circuit, ASIC)。
当前发明可以在不向网络注入发现或标记分组的情况下被动监视网络流量。因而,对于正常网络操作没有干扰,并且没有未授权用户可能检测到以便采取例如临时切断AP 100的逃避对策的事先警告。
即使在存在可以掩蔽例如分组的MAC地址的NAT和防火墙的情况下也可以识别未授权使用的流量指纹(finger-print)。此外,流量指纹还随加密数据一起工作。
根据当前发明,来自未授权AP的无线流量可以通过关闭与其连接的交换机端口而被切断。因而,可以防止未授权流量进入LAN。给定网络拓扑的知识,还可以获得所识别的未授权设备的物理地址。
这里所描述的示例和实施例是非限制的示例。
关于示例性实施例对本发明进行了详细描述,根据上文目前对于本领域技术人员显而易见的是,在不背离以其更宽方面的本发明的情况下可以进行改变和修改,且因此如权利要求中所定义的本发明意在覆盖落入本发明真实精神之内的所有这样的改变和修改。
Claims (15)
1.一种用来检测网络入侵的方法,包括:
收集被怀疑具有一个或多个未授权访问点(AP)的区域附近的无线网络流量的第一日志和来自于连接到所述区域的交换机端口的网络流量的第二日志,所述第一和第二日志包括表示网络流量的至少一个所捕获分组;
对所述第一和第二日志进行预处理以处理至少一个所捕获分组;
分析经预处理的第一日志和经预处理的第二日志以识别匹配模式,其中所述经预处理的第一日志中的分组的子序列与所述经预处理的第二日志中的分组子序列相匹配;以及
如果识别出匹配模式则基于规则集生成响应。
2.如权利要求1所述的方法,还包括对所述第一和第二日志进行预处理以去除至少一个非携带数据的分组。
3.如权利要求1所述的方法,其中所述分析步骤还包括所述经预处理的第一和第二日志中分组的子序列的有效载荷内容的直接比较。
4.如权利要求1所述的方法,其中所述分析步骤还包括所述经预处理的第一和第二日志中分组的子序列的有效载荷内容的间接比较,所述间接比较通过对被比较的有效载荷的下列属性中的至少一个进行比较:校验和、哈希、长度或者其变体。
5.如权利要求1所述的方法,其中通过下列中的至少一个来执行匹配模式的识别:动态编程、遗传算法、人工神经网络、小波变换或者其变体。
6.如权利要求1所述的方法,还包括:
对模式匹配结果进行量化和将量化结果与阈值进行比较以确定是否存在未授权访问点(AP)。
7.如权利要求1所述的方法,其中所述响应包括:
切断连接到被怀疑具有一个或多个未授权访问点(AP)的区域的交换机端口。
8.一种包括软件的计算机可读介质,所述软件当被计算机系统执行时促使所述计算机系统执行用以检测网络入侵的操作,所述计算机可读介质包括:
用来对被怀疑具有一个或多个未授权访问点的区域附近的无线网络流量的第一日志和来自于连接到所述区域的交换机端口的网络流量的第二日志进行预处理的一个或多个指令,所述第一和第二日志包括表示网络流量的至少一个所捕获分组;和
用来对经预处理的第一日志和经预处理的第二日志进行分析以识别其中所述经预处理的第一日志中的分组的子序列与所述经预处理的第二日志中的分组的子序列相匹配的匹配模式的一个或多个指令。
9.如权利要求8所述的介质,还包括下列中的至少一个:
用来获得被怀疑具有一个或多个未授权访问点的区域附近的无线网络流量的所述第一日志的一个或多个指令;
用来获得来自于连接到所述区域的交换机端口的网络流量的所述第二日志的一个或多个指令;或者
用来对所述第一和第二日志进行预处理以去除至少一个非携带数据的分组的多个指令之一。
10.如权利要求8所述的介质,还包括下列中的至少一个:
用来对经预处理的第一和第二日志执行下列中的至少一个的一个或多个指令:校验和、哈希、长度或其变体;或者
用来执行用以对经预处理的第一日志中分组的子序列和经预处理的第二日志中分组的子序列进行匹配的下列中的至少一个的一个或多个指令:动态编程、遗传算法、人工神经网络、小波变换或其变体。
11.如权利要求8所述的介质,还包括:
用来对模式匹配结果进行量化和执行是否存在未授权访问点(AP)的二元判定的一个或多个指令。
12.一种用来检测网络入侵的设备,包括:
数据收集器,其被配置为收集对被怀疑具有一个或多个未授权访问点的区域附近的无线网络流量的第一日志;和
计算机系统,其还包括:
用于接收无线网络流量的所述第一日志的装置;
用于接收来自于连接到被怀疑具有一个或多个未授权访问点的所述区域的交换机端口的网络流量的第二日志的装置;
用于对所述第一和第二日志进行预处理以处理表示网络流量的至少一个所捕获分组的装置;和
用于对经预处理的第一日志和经预处理的第二日志进行分析和识别其中所述经预处理的第一日志中的分组的子序列与所述经预处理的第二日志中的分组的子序列相匹配的匹配模式的装置。
13.如权利要求12所述的设备,其中所述数据收集器是无线访问点(AP)。
14.如权利要求12所述的设备,其中所述计算机系统还适于访问所述交换机的配置和管理接口。
15.如权利要求12所述的设备,其中所述计算机系统还包括下列中的至少一个:
用于对所述第一和第二日志进行预处理以去除至少一个非携带数据的分组的装置;
用于基于模式匹配结果确定是否存在未授权访问点的装置;和
用于如果检测到未授权访问点则基于规则集生成响应的装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2008/082150 WO2010050983A1 (en) | 2008-10-31 | 2008-10-31 | Method and apparatus for network intrusion detection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102204170A true CN102204170A (zh) | 2011-09-28 |
| CN102204170B CN102204170B (zh) | 2014-04-16 |
Family
ID=42129137
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880131788.2A Expired - Fee Related CN102204170B (zh) | 2008-10-31 | 2008-10-31 | 用于网络入侵检测的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8752175B2 (zh) |
| EP (1) | EP2351296A4 (zh) |
| CN (1) | CN102204170B (zh) |
| WO (1) | WO2010050983A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752756A (zh) * | 2012-06-08 | 2012-10-24 | 深信服网络科技(深圳)有限公司 | 防止通过私接无线ap上网的方法及装置 |
| CN106899538A (zh) * | 2015-12-17 | 2017-06-27 | 中国电信股份有限公司 | 接入点检验方法和系统及可信接入点、云服务器 |
| CN107667505A (zh) * | 2015-06-05 | 2018-02-06 | 思科技术公司 | 用于监控和管理数据中心的系统 |
| US10158998B2 (en) | 2016-06-21 | 2018-12-18 | Qualcomm Incorporated | Network path probing using available network connections |
| CN109274539A (zh) * | 2018-11-14 | 2019-01-25 | 中国人民解放军陆军工程大学 | 基于遗传算法的网络安全配置自动生成系统 |
| CN109995607A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 流量开销的测试方法、终端、服务器和计算机存储介质 |
| US20210075801A1 (en) * | 2017-11-24 | 2021-03-11 | Omron Corporation | Control Device and Control System |
| CN113765846A (zh) * | 2020-06-01 | 2021-12-07 | 极客信安(北京)科技有限公司 | 一种网络异常行为智能检测与响应方法、装置及电子设备 |
| US11902122B2 (en) | 2015-06-05 | 2024-02-13 | Cisco Technology, Inc. | Application monitoring prioritization |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10055251B1 (en) | 2009-04-22 | 2018-08-21 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for injecting code into embedded devices |
| JP4763819B2 (ja) * | 2009-05-22 | 2011-08-31 | 株式会社バッファロー | 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法 |
| EP2460321A1 (en) * | 2009-07-31 | 2012-06-06 | Hewlett-Packard Development Company, L. P. | Method for detection of a rogue wireless access point |
| US8693414B2 (en) * | 2010-01-15 | 2014-04-08 | Ralink Technology Corp. | Multi-user transmission method, multiple input multiple output transmission system using the same, scheduling method and access point using the same for scheduling simultaneous transmission |
| US9392017B2 (en) | 2010-04-22 | 2016-07-12 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for inhibiting attacks on embedded devices |
| US20120026887A1 (en) * | 2010-07-30 | 2012-02-02 | Ramprasad Vempati | Detecting Rogue Access Points |
| CN103154884B (zh) | 2010-10-27 | 2016-08-10 | 惠普发展公司,有限责任合伙企业 | 模式检测 |
| CN102438238A (zh) * | 2011-12-28 | 2012-05-02 | 武汉虹旭信息技术有限责任公司 | 一种在集中式wlan环境中检测非法ap的方法 |
| US9313221B2 (en) | 2012-01-31 | 2016-04-12 | Hewlett Packard Enterprise Development Lp | Determination of spoofing of a unique machine identifier |
| KR102132501B1 (ko) | 2012-02-15 | 2020-07-09 | 더 트러스티이스 오브 콜롬비아 유니버시티 인 더 시티 오브 뉴욕 | 매립 디바이스에 대한 공격을 금지하기 위한 방법, 시스템 및 미디어 |
| WO2014132469A1 (ja) * | 2013-02-27 | 2014-09-04 | 株式会社国際電気通信基礎技術研究所 | 端末装置、それと無線通信を行う無線装置およびそれらを備えた無線通信システム |
| US10657262B1 (en) * | 2014-09-28 | 2020-05-19 | Red Balloon Security, Inc. | Method and apparatus for securing embedded device firmware |
| KR101594701B1 (ko) * | 2014-10-20 | 2016-02-16 | 삼성에스디에스 주식회사 | 이상 접속 검출 장치 및 방법 |
| US10116493B2 (en) | 2014-11-21 | 2018-10-30 | Cisco Technology, Inc. | Recovering from virtual port channel peer failure |
| JP6386593B2 (ja) * | 2015-02-04 | 2018-09-05 | 日本電信電話株式会社 | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
| WO2016130050A1 (en) * | 2015-02-09 | 2016-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Mitigating the impact from internet attacks in a ran using internet transport |
| WO2016130051A1 (en) | 2015-02-09 | 2016-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Mitigating the impact from internet attacks in a ran using internet transport |
| RU2680753C1 (ru) | 2015-02-09 | 2019-02-26 | Телефонактиеболагет Лм Эрикссон (Пабл) | Подавление воздействия от интернет-атак в ran, использующей интернет-транспорт |
| KR101872072B1 (ko) * | 2015-07-15 | 2018-06-27 | 주식회사 엘지유플러스 | 공유기 보안 침해 점검 방법 및 이를 수행하는 시스템 |
| US10111226B2 (en) * | 2015-08-26 | 2018-10-23 | Qualcomm Incorporated | Techniques to identify packets associated with an overlapping basic service set |
| US10333828B2 (en) | 2016-05-31 | 2019-06-25 | Cisco Technology, Inc. | Bidirectional multicasting over virtual port channel |
| US11509501B2 (en) * | 2016-07-20 | 2022-11-22 | Cisco Technology, Inc. | Automatic port verification and policy application for rogue devices |
| US10193750B2 (en) | 2016-09-07 | 2019-01-29 | Cisco Technology, Inc. | Managing virtual port channel switch peers from software-defined network controller |
| US10547509B2 (en) | 2017-06-19 | 2020-01-28 | Cisco Technology, Inc. | Validation of a virtual port channel (VPC) endpoint in the network fabric |
| US20230370452A1 (en) * | 2022-05-12 | 2023-11-16 | Microsoft Technology Licensing, Llc | Networked device security posture management |
| US20230370334A1 (en) * | 2022-05-12 | 2023-11-16 | Microsoft Technology Licensing, Llc | Networked device discovery and management |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007061167A1 (en) * | 2005-11-22 | 2007-05-31 | Hanshin University Industry & Academia Cooperation Foundation | Wireless access point apparatus and a network traffic intrusion detection and prevention method using the same |
| US20070291945A1 (en) * | 2006-06-15 | 2007-12-20 | Che-Ming Chuang | Distributed wireless security system |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7159237B2 (en) | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
| US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US7228564B2 (en) | 2003-07-24 | 2007-06-05 | Hewlett-Packard Development Company, L.P. | Method for configuring a network intrusion detection system |
| US7216365B2 (en) | 2004-02-11 | 2007-05-08 | Airtight Networks, Inc. | Automated sniffer apparatus and method for wireless local area network security |
| US7339914B2 (en) | 2004-02-11 | 2008-03-04 | Airtight Networks, Inc. | Automated sniffer apparatus and method for monitoring computer systems for unauthorized access |
| US7496545B2 (en) * | 2004-05-17 | 2009-02-24 | Intexact Technologies Limited | Method of adaptive learning through pattern matching |
| US7546471B2 (en) * | 2005-01-14 | 2009-06-09 | Microsoft Corporation | Method and system for virus detection using pattern matching techniques |
| US7370362B2 (en) | 2005-03-03 | 2008-05-06 | Cisco Technology, Inc. | Method and apparatus for locating rogue access point switch ports in a wireless network |
| US7970894B1 (en) * | 2007-11-15 | 2011-06-28 | Airtight Networks, Inc. | Method and system for monitoring of wireless devices in local area computer networks |
-
2008
- 2008-10-31 WO PCT/US2008/082150 patent/WO2010050983A1/en active Application Filing
- 2008-10-31 CN CN200880131788.2A patent/CN102204170B/zh not_active Expired - Fee Related
- 2008-10-31 EP EP08877898.0A patent/EP2351296A4/en not_active Withdrawn
- 2008-10-31 US US13/126,335 patent/US8752175B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007061167A1 (en) * | 2005-11-22 | 2007-05-31 | Hanshin University Industry & Academia Cooperation Foundation | Wireless access point apparatus and a network traffic intrusion detection and prevention method using the same |
| US20070291945A1 (en) * | 2006-06-15 | 2007-12-20 | Che-Ming Chuang | Distributed wireless security system |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752756A (zh) * | 2012-06-08 | 2012-10-24 | 深信服网络科技(深圳)有限公司 | 防止通过私接无线ap上网的方法及装置 |
| CN107667505A (zh) * | 2015-06-05 | 2018-02-06 | 思科技术公司 | 用于监控和管理数据中心的系统 |
| US12113684B2 (en) | 2015-06-05 | 2024-10-08 | Cisco Technology, Inc. | Identifying bogon address spaces |
| US11968102B2 (en) | 2015-06-05 | 2024-04-23 | Cisco Technology, Inc. | System and method of detecting packet loss in a distributed sensor-collector architecture |
| US11936663B2 (en) | 2015-06-05 | 2024-03-19 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| CN107667505B (zh) * | 2015-06-05 | 2020-12-29 | 思科技术公司 | 用于监控和管理数据中心的系统及方法 |
| US11924073B2 (en) | 2015-06-05 | 2024-03-05 | Cisco Technology, Inc. | System and method of assigning reputation scores to hosts |
| US11902120B2 (en) | 2015-06-05 | 2024-02-13 | Cisco Technology, Inc. | Synthetic data for determining health of a network security system |
| US11902122B2 (en) | 2015-06-05 | 2024-02-13 | Cisco Technology, Inc. | Application monitoring prioritization |
| CN106899538A (zh) * | 2015-12-17 | 2017-06-27 | 中国电信股份有限公司 | 接入点检验方法和系统及可信接入点、云服务器 |
| CN106899538B (zh) * | 2015-12-17 | 2020-04-14 | 中国电信股份有限公司 | 接入点检验方法和系统及可信接入点、云服务器 |
| US10158998B2 (en) | 2016-06-21 | 2018-12-18 | Qualcomm Incorporated | Network path probing using available network connections |
| US11516229B2 (en) * | 2017-11-24 | 2022-11-29 | Omron Corporation | Control device and control system |
| US20210075801A1 (en) * | 2017-11-24 | 2021-03-11 | Omron Corporation | Control Device and Control System |
| CN109995607B (zh) * | 2018-01-02 | 2021-09-14 | 中国移动通信有限公司研究院 | 流量开销的测试方法、终端、服务器和计算机存储介质 |
| CN109995607A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 流量开销的测试方法、终端、服务器和计算机存储介质 |
| CN109274539B (zh) * | 2018-11-14 | 2019-08-13 | 中国人民解放军陆军工程大学 | 基于遗传算法的网络安全配置自动生成系统 |
| CN109274539A (zh) * | 2018-11-14 | 2019-01-25 | 中国人民解放军陆军工程大学 | 基于遗传算法的网络安全配置自动生成系统 |
| CN113765846A (zh) * | 2020-06-01 | 2021-12-07 | 极客信安(北京)科技有限公司 | 一种网络异常行为智能检测与响应方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2351296A1 (en) | 2011-08-03 |
| US20110219452A1 (en) | 2011-09-08 |
| US8752175B2 (en) | 2014-06-10 |
| WO2010050983A1 (en) | 2010-05-06 |
| EP2351296A4 (en) | 2015-01-07 |
| CN102204170B (zh) | 2014-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102204170B (zh) | 用于网络入侵检测的方法和设备 | |
| CN109120627B (zh) | 一种基于改进KNN的6LoWPAN网络入侵检测方法 | |
| US8225379B2 (en) | System and method for securing networks | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| US8638762B2 (en) | System and method for network integrity | |
| US8789191B2 (en) | Automated sniffer apparatus and method for monitoring computer systems for unauthorized access | |
| CN112260861A (zh) | 一种基于流量感知的网络资产拓扑识别方法 | |
| Beyah et al. | Rogue-access-point detection: Challenges, solutions, and future directions | |
| AU2005203581A1 (en) | An automated sniffer apparatus and method for wireless local area network security | |
| WO2005101766A2 (en) | Method for wireless lan intrusion detection based on protocol anomaly analysis | |
| US20080141369A1 (en) | Method, Device and Program for Detecting Address Spoofing in a Wireless Network | |
| US11606334B2 (en) | Communication security apparatus, control method, and storage medium storing a program | |
| CN112491888A (zh) | 防止设备冒用的方法及系统 | |
| Bezawada et al. | Behavioral fingerprinting of Internet‐of‐Things devices | |
| Saeedi | Machine learning for DDOS detection in packet core network for IoT | |
| Xu et al. | Multidimensional behavioral profiling of internet-of-things in edge networks | |
| CN111478925A (zh) | 应用于工业控制环境的端口扫描检测方法、系统 | |
| CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
| US20080263660A1 (en) | Method, Device and Program for Detection of Address Spoofing in a Wireless Network | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| CN117938413A (zh) | 一种设备入网控制方法、装置、设备及介质 | |
| Mantoo et al. | A machine learning model for detection of man in the middle attack over unsecured devices | |
| JP2003258910A (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
| KR101335293B1 (ko) | 내부 네트워크 침입 차단 시스템 및 그 방법 | |
| Yim et al. | The evidence collection of DoS attack in WLAN by using WLAN forensic profiling system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170120 Address after: American Texas Patentee after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: American Texas Patentee before: Hewlett Packard Development Co. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140416 Termination date: 20171031 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |