CN102752756A - 防止通过私接无线ap上网的方法及装置 - Google Patents
防止通过私接无线ap上网的方法及装置 Download PDFInfo
- Publication number
- CN102752756A CN102752756A CN2012101877609A CN201210187760A CN102752756A CN 102752756 A CN102752756 A CN 102752756A CN 2012101877609 A CN2012101877609 A CN 2012101877609A CN 201210187760 A CN201210187760 A CN 201210187760A CN 102752756 A CN102752756 A CN 102752756A
- Authority
- CN
- China
- Prior art keywords
- packet
- application layer
- private
- blocking
- wireless aps
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种防止通过私接无线AP上网的方法,包括:获取内网节点发出的数据包;根据所述数据包获取所述内网节点对应的用户标识;在所述用户标识不属于白名单时,获取所述数据包的应用层信息特征字;根据所述应用层信息特征字阻断所述数据包。此外,还包括一种防止通过私接无线AP上网的装置。上述防止通过私接无线AP上网的方法和装置可以提高安全性。
Description
技术领域
本发明涉及网络技术领域,特别是涉及一种防止通过私接无线AP上网的方法及装置。
背景技术
随着网络技术的发展,各企业或组织机构往往在内部架设有企业网。企业网的内网节点可通过企业网网关与外网交互。而随着智能终端的普及,企业网的内网用户为了方便访问外网,通常会购买无线AP(无线Access Point,无线接入点)私自接入企业网。通过将智能终端作为内网节点通过无线接入到私接的无线AP来实现对外网的访问。
私接的无线AP由于缺少安全防护,使企业网存在风险,可能导致重要文件遗失或泄密。例如,员工A在大楼底层私接了无线AP而没有设置访问密码。由于无线信号的穿透性,街边的路人在搜索到该无线AP之后即可轻松接入该企业网,从共享文件夹中盗取重要文件。
为了防止通过私接无线AP上网,传统技术中可通过人工手持无线扫描设备对企业内部扫描来检测并移除私接的无线AP。然而,人工扫描无线AP的方法可能会受到其他无线信号的干扰。例如,楼层之间其他企业网的无线AP的无线信号。
传统技术中,还可通过对交换机的端口进行认证来实现防止通过私接无线AP上网。此种方式在需要增加硬件设备时需要改变网络拓扑结构,且如果一个端口已经通过认证,该端口仍然可以被用来私接无线AP,起不到保护的作用。
因此,传统技术中防止通过私接无线AP上网的方法的安全性不高。
发明内容
基于此,有必要提供一种能提高安全性的防止通过私接无线AP上网的方法。
一种防止通过私接无线AP上网的方法,包括:
获取内网节点发出的数据包;
根据所述数据包获取所述内网节点对应的用户标识;
在所述用户标识不属于白名单时,获取所述数据包的应用层信息特征字;
根据所述应用层信息特征字阻断所述数据包。
在其中一个实施例中,所述数据包包括源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息;
所述根据所述数据包获取所述内网节点对应的用户标识的步骤为:
根据所述源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息获取所述内网节点对应的用户标识。
在其中一个实施例中,所述根据所述应用层信息特征字阻断所述数据包的步骤具体为:
判断所述应用层信息特征字是否包括HTTP协议头,若是,则获取所述HTTP协议头的用户代理信息;
判断所述用户代理信息是否对应移动终端信息,若是,则阻断所述数据包。
在其中一个实施例中,所述根据所述应用层信息特征字阻断所述数据包的步骤具体为:
判断所述应用层信息特征字是否对应移动应用信息,若是,则阻断所述数据包。
在其中一个实施例中,所述根据所述应用层信息特征字阻断所述数据包的步骤之后还包括:
将所述用户标识添加到黑名单,并更新与所述用户标识对应的阻断时刻。
在其中一个实施例中,所述获取所述数据包的应用层信息特征字的步骤之前还包括:
判断所述用户标识是否属于黑名单且与距离与所述用户标识对应的阻断时刻的时长是否小于阈值,若所述用户标识属于黑名单且距离所述阻断时刻的时长小于阈值,则阻断所述数据包;否则继续执行所述获取所述数据包的应用层信息特征字的步骤。
在其中一个实施例中,所述将所述用户标识添加到黑名单的步骤之前还包括:
生成与所述用户标识对应的日志记录并存储。
在其中一个实施例中,所述方法还包括:
获取日志记录,获取所述日志记录对应的用户标识,根据所述日志记录通知与所述用户标识对应的用户。
此外,还有必要提供一种能提高安全性的防止通过私接无线AP上网的装置。
一种防止通过私接无线AP上网的装置,包括:
数据包获取模块,用于获取内网节点发出的数据包;
用户标识获取模块,用于根据所述数据包获取所述内网节点对应的用户标识;
白名单判定模块,用于判断所述用户标识是否属于白名单;
特征字获取模块,用于在所述用户标识不属于白名单时,获取所述数据包的应用层信息特征字;
数据包阻断模块,用于根据所述应用层信息特征字阻断所述数据包。
在其中一个实施例中,所述数据包包括源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息;
所述用户标识获取模块还用于根据所述源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息获取所述内网节点对应的用户标识。
在其中一个实施例中,所述数据包阻断模块还用于判断所述应用层信息特征字是否包括HTTP协议头,若是,则获取所述HTTP协议头的用户代理信息,在所述用户代理信息对应移动终端信息时阻断所述数据包。
在其中一个实施例中,所述数据包阻断模块还用于在所述应用层信息特征字对应移动应用信息时阻断所述数据包。
在其中一个实施例中,还包括黑名单更新模块,用于将所述用户标识添加到黑名单,并更新与所述用户标识对应的阻断时刻。
在其中一个实施例中,还包括黑名单判定模块,用于在所述用户标识属于黑名单且距离所述阻断时刻的时长小于阈值时阻断所述数据包。
在其中一个实施例中,还包括日志生成模块,用于生成与所述用户标识对应的日志记录并存储。
在其中一个实施例中,还包括用户通知模块,用于获取日志记录,获取所述日志记录对应的用户标识,根据所述日志记录通知与所述用户标识对应的用户。
上述防止通过私接无线AP上网的方法和装置,获取数据包对应的发送者的用户标识,通过白名单判定排除掉正常设置的无线AP,并根据获取到的数据包的应用层信息特征字阻断该数据包。由于通过私接无线AP和通过网线接入内网节点的终端传输的数据包的内容不同,通过对数据包的内容进行分析即可准确地判断出该数据包是否经由私接无线AP传输。使得阻断过程不会受到外界无线网络以及端口设置的影响,从而提高了安全性。
由于通过移动终端经由无线AP发出的HTTP请求的UA信息中包含了该移动终端的操作系统信息,因此,在获取到应用层信息特征字中包含的HTTP协议头后,可根据其UA信息对数据包进行准确的判断。
由于通过移动终端经由无线AP发出的应用程序通信数据中包含了应用程序的名称、标识、端口号等应用层数据特征信息,因此,通过判断该应用层数据特征信息是否为移动应用信息即可对数据包进行准确的判断。
附图说明
图1为一个实施例中防止通过私接无线AP上网的方法的流程图;
图2为一个实施例中防止通过私接无线AP上网的装置的结构示意图;
图3为另一个实施例中防止通过私接无线AP上网的装置的结构示意图。
具体实施方式
在一个实施例中,如图1所示,一种防止通过私接无线AP上网的方法,包括:
步骤S102,获取内网节点发出的数据包。
在一个实施例中,企业网通过企业网网关与外网通信,企业网网关为该企业网的互联网出口。企业网的内部节点再通过多级交换机互联或桥接。在本实施例中,可在企业网网关获取内网节点发出的访问外网的数据包。在另一个实施例中,也可在交换机节点处获取与该交换机节点连接的内网节点发出的数据包。
步骤S104,根据数据包获取内网节点对应的用户标识。
在一个实施例中,数据包包括源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息。
根据数据包获取内网节点对应的用户标识的步骤可具体为:根据源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息获取内网节点对应的用户标识。
源IP即为发出该数据包的内网节点的IP。源MAC即为发出该数据包的内网节点的MAC(Media Access Control,介质访问控制)地址。源活动目录域(AD域,Active Directory)标识即为内网节点所处的AD域的域标识。认证令牌为该数据包通过密码认证联网时在密码校验通过后获得的安全访问令牌。
用户标识可以是员工的工号、可接入端口编号等。可预先建立源IP、源MAC、源活动目录域标识、认证令牌中的至少一种信息与用户标识的对应关系并存储。
由于网络拓扑结构的多样性,内网节点发出的数据包可能无法携带源IP、源MAC、源活动目录域标识、认证令牌中的某种信息。例如,对于三层环境,无法获取源MAC地址;对于具有内部NAT设备的网络,无法获取源IP。此时,根据数据包携带的发送者信息,将发送数据包的内网节点转化为采用用户标识表示,而不用源IP、源MAC等发送者信息表示,可适应各种网络环境,从而提高适应性和扩展性。
步骤S106,在用户标识不属于白名单时,获取数据包的应用层信息特征字。
在一个实施例中,白名单为预先设置,白名单内记录的用户标识可对应企业网中正常架设的无线AP。在获取数据包的应用层信息特征字的步骤之前,可判断获取到的用户标识是否属于白名单,即判断数据包是否由正常架设的无线AP发送而来,若是,则放通该数据包,否则,继续执行获取数据包的应用层信息特征字的步骤。
应用层信息特征字为数据包中包含的应用层协议信息或应用层数据特征信息。在一个实施例中,获取数据包的应用层信息特征字的步骤可具体为:可通过对数据包进行深度检测(DPI,Deep Packet Inspection)获取数据包的应用层信息特征字。
可通过对数据包进行深度检测获取数据包的正文部分包含的应用层协议的协议头,例如HTTP协议头、FTP协议头等。还可获取应用层特征信息,例如发送数据包的应用程序的名称、标识、端口号等。
步骤S108,根据应用层信息特征字阻断数据包。
在一个实施例中,根据应用层信息特征字阻断数据包的步骤可具体为:判断获取到的应用层信息特征字是否对应移动应用或移动终端,若是,则阻断数据包,否则,放通数据包。
在一个实施例中,可判断应用层信息特征字是否包括HTTP协议头,若是,则获取HTTP协议头的用户代理信息,并判断用户代理信息是否对应移动终端信息,若是,则阻断数据包,否则,放通该数据包。
用户代理信息即UA(User Agent)信息。用户在使用浏览器访问网页时,其浏览器发出的数据包中包括HTTP协议头,HTTP协议头中会包含UA信息。UA信息中会附带该浏览器所处的操作系统的版本信息。可根据该操作系统的版本信息判断是否对应移动终端。
在一个实施例中,可判断应用层信息特征字是否对应移动应用信息,若是,则阻断数据包。
可根据应用层信息特征字中的应用程序名称、标识、端口号来判定数据包是否由移动应用发出。可预先建立移动应用特征表,该表中可包括常用的移动应用的名称、标识。端口号。当该表中包含应用层信息特征字中的应用程序的名称或标识或端口号,则判定该应用层信息特征字对应移动应用信息。
例如,若应用层信息特征字包含的应用程序名称为手机QQ或手机MSN,则可判定该数据包由移动终端发出。
需要说明的是,上述两个实施例中判断应用层信息特征字是否对应移动应用或移动终端的步骤并不冲突,可在一个实施例中合并存在,可通过对上述两种判断步骤的判断结果进行逻辑与和/或逻辑或来决定是否阻断数据包。
在另一个实施例中,可判断应用层信息特征字是否包括HTTP协议头,若是,则获取HTTP协议头的用户代理信息,并判断用户代理信息是否包括移动终端信息,若是,则阻断数据包,否则,放通该数据包。若应用层信息特征字不包括HTTP协议头,则判断应用层信息特征字是否对应移动应用信息,若是,则阻断数据包,否则,放通该数据包。
在一个实施例中,根据应用层信息特征字阻断数据包的步骤之后还可将用户标识添加到黑名单,并更新与用户标识对应的阻断时刻。
进一步的,获取数据包的应用层信息特征字的步骤之前还可判断用户标识是否属于黑名单且与距离与用户标识对应的阻断时刻的时长是否小于阈值,若用户标识属于黑名单且距离阻断时刻的时长小于阈值,则阻断数据包;否则继续执行获取数据包的应用层信息特征字的步骤。
黑名单中记录有发送的数据包被阻断过的内网节点对应的用户标识。在预设的时间段内,对该内网节点发出的数据包直接进行阻断,可以使得用户即使移除私接无线AP,将工作的台式电脑与该端口直连也不能上网,起到惩罚的作用。
在一个实施例中,将用户标识添加到黑名单的步骤之前还包括:生成与用户标识对应的日志记录并存储。
进一步的,还可获取日志记录,获取日志记录对应的用户标识,根据日志记录通知与用户标识对应的用户。
日志记录中可包括阻断时刻、用户标识、应用层信息特征字等信息。可定期遍历存储的日志,获取日志中记录的用户标识,获取应用层信息特征字对应的移动应用或移动终端信息,并通过邮件通知该用户标识对应的用户。
在一个实施例中,如图2所示,一种防止通过私接无线AP上网的装置,包括数据包获取模块102、用户标识获取模块104、白名单判定模块106、特征字获取模块108、数据包阻断模块110,其中:
数据包获取模块102,用于获取内网节点发出的数据包。
在一个实施例中,企业网通过企业网网关与外网通信,企业网网关为该企业网的互联网出口。企业网的内部节点再通过多级交换机互联或桥接。在本实施例中,数据包获取模块102可用于在企业网网关获取内网节点发出的访问外网的数据包。在另一个实施例中,数据包获取模块102可用于在交换机节点处获取与该交换机节点连接的内网节点发出的数据包。
用户标识获取模块104,用于根据数据包获取内网节点对应的用户标识。
在一个实施例中,数据包包括源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息。
用户标识获取模块104可用于根据源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息获取内网节点对应的用户标识。
源IP即为发出该数据包的内网节点的IP。源MAC即为发出该数据包的内网节点的MAC(Media Access Control,介质访问控制)地址。源活动目录域(AD域,Active Directory)标识即为内网节点所处的AD域的域标识。认证令牌为该数据包通过密码认证联网时在密码校验通过后获得的安全访问令牌。
用户标识可以是员工的工号、可接入端口编号等。可预先建立源IP、源MAC、源活动目录域标识、认证令牌中的至少一种信息与用户标识的对应关系并存储。
由于网络拓扑结构的多样性,内网节点发出的数据包可能无法携带源IP、源MAC、源活动目录域标识、认证令牌中的某种信息。例如,对于三层环境,无法获取源MAC地址;对于具有内部NAT设备的网络,无法获取源IP。此时,根据数据包携带的发送者信息,将发送数据包的内网节点转化为采用用户标识表示,而不用源IP、源MAC等发送者信息表示,可适应各种网络环境,从而提高适应性和扩展性。
白名单判定模块106,用于判断用户标识是否属于白名单。
在一个实施例中,白名单为预先设置,白名单内记录的用户标识可对应企业网中正常架设的无线AP。白名单判定模块106可用于判断获取到的用户标识是否属于白名单,即判断数据包是否由正常架设的无线AP发送而来,若是,则放通该数据包。
特征字获取模块108,用于在用户标识不属于白名单时,获取数据包的应用层信息特征字。
应用层信息特征字为数据包中包含的应用层协议信息或应用层数据特征信息。在一个实施例中,特征字获取模块108可用于通过对数据包进行深度检测(DPI,Deep Packet Inspection)获取数据包的应用层信息特征字。
特征字获取模块108可用于通过对数据包进行深度检测获取数据包的正文部分包含的应用层协议的协议头,例如HTTP协议头、FTP协议头等。还可获取应用层特征信息,例如发送数据包的应用程序的名称、标识、端口号等。
数据包阻断模块110,用于根据应用层信息特征字阻断数据包。
在一个实施例中,数据包阻断模块110可用于判断获取到的应用层信息特征字是否对应移动应用或移动终端,若是,则阻断数据包,否则,放通数据包。
在一个实施例中,数据包阻断模块110可用于判断应用层信息特征字是否包括HTTP协议头,若是,则获取HTTP协议头的用户代理信息,在用户代理信息对应移动终端信息时阻断数据包。
用户代理信息即UA(User Agent)信息。用户在使用浏览器访问网页时,其浏览器发出的数据包中包括HTTP协议头,HTTP协议头中会包含UA信息。UA信息中会附带该浏览器所处的操作系统的版本信息。可根据该操作系统的版本信息判断是否对应移动终端。
在一个实施例中,数据包阻断模块110还可用于在应用层信息特征字对应移动应用信息时阻断数据包。
数据包阻断模块110还可用于根据应用层信息特征字中的应用程序名称、标识、端口号来判定数据包是否由移动应用发出。预先可建立有移动应用特征表,该表中可包括常用的移动应用的名称、标识。端口号。当该表中包含应用层信息特征字中的应用程序的名称或标识或端口号,则判定该应用层信息特征字对应移动应用信息。
例如,若应用层信息特征字包含的应用程序名称为手机QQ或手机MSN,则可判定该数据包由移动终端发出。
需要说明的是,上述两个实施例中的数据包阻断模块的功能并不冲突,可在一个实施例中合并存在。数据包阻断模块可用于通过对上述两种判断方式的判断结果进行逻辑与和/或逻辑或来决定是否阻断数据包。
在另一个实施例中,数据包阻断模块110还可用于判断应用层信息特征字是否包括HTTP协议头,若是,则获取HTTP协议头的用户代理信息,并判断用户代理信息是否包括移动终端信息,若是,则阻断数据包,否则,放通该数据包。若应用层信息特征字不包括HTTP协议头,则判断应用层信息特征字是否对应移动应用信息,若是,则阻断数据包,否则,放通该数据包。
在一个实施例中,如图3所示,防止通过私接无线AP上网的装置还包括黑名单更新模块112,用于将用户标识添加到黑名单,并更新与用户标识对应的阻断时刻。
进一步的,如图3所示,防止通过私接无线AP上网的装置还包括黑名单判定模块114,用于在用户标识属于黑名单且距离阻断时刻的时长小于阈值时阻断数据包。
黑名单中记录有发送的数据包被阻断过的内网节点对应的用户标识。在预设的时间段内,对该内网节点发出的数据包直接进行阻断,可以使得用户即使移除私接无线AP,将工作的台式电脑与该端口直连也不能上网,起到惩罚的作用。
在一个实施例中,如图3所示,防止通过私接无线AP上网的装置还包括日志生成模块116,用于生成与用户标识对应的日志记录并存储。
进一步的,如图3所示,防止通过私接无线AP上网的装置还包括用户通知模块118,用于获取日志记录,获取日志记录对应的用户标识,根据日志记录通知与用户标识对应的用户。
日志记录中可包括阻断时刻、用户标识、应用层信息特征字等信息。在本实施例中,用户通知模块118可用于定期遍历存储的日志,获取日志中记录的用户标识,获取应用层信息特征字对应的移动应用或移动终端信息,并通过邮件通知该用户标识对应的用户。
上述防止通过私接无线AP上网的方法和装置,获取数据包对应的发送者的用户标识,通过白名单判定排除掉正常设置的无线AP,并根据获取到的数据包的应用层信息特征字阻断该数据包。由于通过私接无线AP和通过网线接入内网节点的终端传输的数据包的内容不同,通过对数据包的内容进行分析即可准确地判断出该数据包是否经由私接无线AP传输。使得阻断过程不会受到外界无线网络以及端口设置的影响,从而提高了安全性。
由于通过移动终端经由无线AP发出的HTTP请求的UA信息中包含了该移动终端的操作系统信息,因此,在获取到应用层信息特征字中包含的HTTP协议头后,可根据其UA信息对数据包进行准确的判断。
由于通过移动终端经由无线AP发出的应用程序通信数据中包含了应用程序的名称、标识、端口号等应用层数据特征信息,因此,通过判断该应用层数据特征信息是否为移动应用信息即可对数据包进行准确的判断。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (16)
1.一种防止通过私接无线AP上网的方法,包括:
获取内网节点发出的数据包;
根据所述数据包获取所述内网节点对应的用户标识;
在所述用户标识不属于白名单时,获取所述数据包的应用层信息特征字;
根据所述应用层信息特征字阻断所述数据包。
2.根据权利要求1所述的防止通过私接无线AP上网的方法,其特征在于,所述数据包包括源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息;
所述根据所述数据包获取所述内网节点对应的用户标识的步骤为:
根据所述源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息获取所述内网节点对应的用户标识。
3.根据权利要求1所述的防止通过私接无线AP上网的方法,其特征在于,所述根据所述应用层信息特征字阻断所述数据包的步骤具体为:
判断所述应用层信息特征字是否包括HTTP协议头,若是,则获取所述HTTP协议头的用户代理信息;
判断所述用户代理信息是否对应移动终端信息,若是,则阻断所述数据包。
4.根据权利要求1所述的防止通过私接无线AP上网的方法,其特征在于,所述根据所述应用层信息特征字阻断所述数据包的步骤具体为:
判断所述应用层信息特征字是否对应移动应用信息,若是,则阻断所述数据包。
5.根据权利要求1所述的防止通过私接无线AP上网的方法,其特征在于,所述根据所述应用层信息特征字阻断所述数据包的步骤之后还包括:
将所述用户标识添加到黑名单,并更新与所述用户标识对应的阻断时刻。
6.根据权利要求5所述的防止通过私接无线AP上网的方法,其特征在于,所述获取所述数据包的应用层信息特征字的步骤之前还包括:
判断所述用户标识是否属于黑名单且与距离与所述用户标识对应的阻断时刻的时长是否小于阈值,若所述用户标识属于黑名单且距离所述阻断时刻的时长小于阈值,则阻断所述数据包;否则继续执行所述获取所述数据包的应用层信息特征字的步骤。
7.根据权利要求5所述的防止通过私接无线AP上网的方法,其特征在于,所述将所述用户标识添加到黑名单的步骤之前还包括:
生成与所述用户标识对应的日志记录并存储。
8.根据权利要求5所述的防止通过私接无线AP上网的方法,其特征在于,所述方法还包括:
获取日志记录,获取所述日志记录对应的用户标识,根据所述日志记录通知与所述用户标识对应的用户。
9.一种防止通过私接无线AP上网的装置,其特征在于,包括:
数据包获取模块,用于获取内网节点发出的数据包;
用户标识获取模块,用于根据所述数据包获取所述内网节点对应的用户标识;
白名单判定模块,用于判断所述用户标识是否属于白名单;
特征字获取模块,用于在所述用户标识不属于白名单时,获取所述数据包的应用层信息特征字;
数据包阻断模块,用于根据所述应用层信息特征字阻断所述数据包。
10.根据权利要求9所述的防止通过私接无线AP上网的装置,其特征在于,所述数据包包括源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息;
所述用户标识获取模块还用于根据所述源IP、源MAC、源活动目录域标识、认证令牌中的至少一种发送者信息获取所述内网节点对应的用户标识。
11.根据权利要求9所述的防止通过私接无线AP上网的装置,其特征在于,所述数据包阻断模块还用于判断所述应用层信息特征字是否包括HTTP协议头,若是,则获取所述HTTP协议头的用户代理信息,在所述用户代理信息对应移动终端信息时阻断所述数据包。
12.根据权利要求9所述的防止通过私接无线AP上网的装置,其特征在于,所述数据包阻断模块还用于在所述应用层信息特征字对应移动应用信息时阻断所述数据包。
13.根据权利要求9所述的防止通过私接无线AP上网的装置,其特征在于,还包括黑名单更新模块,用于将所述用户标识添加到黑名单,并更新与所述用户标识对应的阻断时刻。
14.根据权利要求13所述的防止通过私接无线AP上网的装置,其特征在于,还包括黑名单判定模块,用于在所述用户标识属于黑名单且距离所述阻断时刻的时长小于阈值时阻断所述数据包。
15.根据权利要求13所述的防止通过私接无线AP上网的装置,其特征在于,还包括日志生成模块,用于生成与所述用户标识对应的日志记录并存储。
16.根据权利要求13所述的防止通过私接无线AP上网的装置,其特征在于,还包括用户通知模块,用于获取日志记录,获取所述日志记录对应的用户标识,根据所述日志记录通知与所述用户标识对应的用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012101877609A CN102752756A (zh) | 2012-06-08 | 2012-06-08 | 防止通过私接无线ap上网的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012101877609A CN102752756A (zh) | 2012-06-08 | 2012-06-08 | 防止通过私接无线ap上网的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102752756A true CN102752756A (zh) | 2012-10-24 |
Family
ID=47032607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012101877609A Pending CN102752756A (zh) | 2012-06-08 | 2012-06-08 | 防止通过私接无线ap上网的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102752756A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067916A (zh) * | 2012-12-21 | 2013-04-24 | 成都科来软件有限公司 | 一种无线移动终端阻断系统及方法 |
| CN103118360A (zh) * | 2012-12-21 | 2013-05-22 | 成都科来软件有限公司 | 一种阻断无线移动终端的系统 |
| CN103442376A (zh) * | 2013-08-06 | 2013-12-11 | 深圳市同洲电子股份有限公司 | 一种无线热点识别方法、相关设备及系统 |
| CN103856524A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 基于用户代理的白名单识别合法内容的方法和系统 |
| CN105554740A (zh) * | 2015-12-31 | 2016-05-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别无线热点的方法、装置及设备 |
| CN107453989A (zh) * | 2017-09-28 | 2017-12-08 | 上海盈联电信科技有限公司 | 用于企业网关的上网行为信息处理方法 |
| CN108900429A (zh) * | 2018-06-12 | 2018-11-27 | 北京奇安信科技有限公司 | 一种共享接入多策略控制方法及装置 |
| CN112601212A (zh) * | 2020-12-24 | 2021-04-02 | 烟台正海科技股份有限公司 | 一种针对内网私接wifi的定位方法、单元及其装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1588878A (zh) * | 2004-08-05 | 2005-03-02 | Ut斯达康通讯有限公司 | 一种无线局域网内检测非法无线接入点的方法 |
| US20050259611A1 (en) * | 2004-02-11 | 2005-11-24 | Airtight Technologies, Inc. (F/K/A Wibhu Technologies, Inc.) | Automated sniffer apparatus and method for monitoring computer systems for unauthorized access |
| CN102014378A (zh) * | 2010-11-29 | 2011-04-13 | 北京星网锐捷网络技术有限公司 | 检测非法接入点设备的方法、系统及接入点设备 |
| CN102204170A (zh) * | 2008-10-31 | 2011-09-28 | 惠普开发有限公司 | 用于网络入侵检测的方法和设备 |
| CN102387135A (zh) * | 2011-09-29 | 2012-03-21 | 北京邮电大学 | 一种基于用户身份过滤的方法以及防火墙 |
-
2012
- 2012-06-08 CN CN2012101877609A patent/CN102752756A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050259611A1 (en) * | 2004-02-11 | 2005-11-24 | Airtight Technologies, Inc. (F/K/A Wibhu Technologies, Inc.) | Automated sniffer apparatus and method for monitoring computer systems for unauthorized access |
| CN1588878A (zh) * | 2004-08-05 | 2005-03-02 | Ut斯达康通讯有限公司 | 一种无线局域网内检测非法无线接入点的方法 |
| CN102204170A (zh) * | 2008-10-31 | 2011-09-28 | 惠普开发有限公司 | 用于网络入侵检测的方法和设备 |
| CN102014378A (zh) * | 2010-11-29 | 2011-04-13 | 北京星网锐捷网络技术有限公司 | 检测非法接入点设备的方法、系统及接入点设备 |
| CN102387135A (zh) * | 2011-09-29 | 2012-03-21 | 北京邮电大学 | 一种基于用户身份过滤的方法以及防火墙 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856524A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 基于用户代理的白名单识别合法内容的方法和系统 |
| CN103067916A (zh) * | 2012-12-21 | 2013-04-24 | 成都科来软件有限公司 | 一种无线移动终端阻断系统及方法 |
| CN103118360A (zh) * | 2012-12-21 | 2013-05-22 | 成都科来软件有限公司 | 一种阻断无线移动终端的系统 |
| CN103118360B (zh) * | 2012-12-21 | 2015-08-19 | 成都科来软件有限公司 | 一种阻断无线移动终端的系统 |
| CN103442376A (zh) * | 2013-08-06 | 2013-12-11 | 深圳市同洲电子股份有限公司 | 一种无线热点识别方法、相关设备及系统 |
| CN105554740A (zh) * | 2015-12-31 | 2016-05-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别无线热点的方法、装置及设备 |
| CN107453989A (zh) * | 2017-09-28 | 2017-12-08 | 上海盈联电信科技有限公司 | 用于企业网关的上网行为信息处理方法 |
| CN108900429A (zh) * | 2018-06-12 | 2018-11-27 | 北京奇安信科技有限公司 | 一种共享接入多策略控制方法及装置 |
| CN112601212A (zh) * | 2020-12-24 | 2021-04-02 | 烟台正海科技股份有限公司 | 一种针对内网私接wifi的定位方法、单元及其装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102752756A (zh) | 防止通过私接无线ap上网的方法及装置 | |
| US8139515B2 (en) | Device and method of managing data communications of a device in a network via a split tunnel mode connection | |
| CN100581099C (zh) | 电信系统内的电子欺骗的预防 | |
| CN101309272B (zh) | 认证服务器及虚拟专用网的移动通信终端接入控制方法 | |
| CN101340293B (zh) | 一种报文安全检查方法和装置 | |
| CN105162768A (zh) | 检测钓鱼Wi-Fi热点的方法及装置 | |
| CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| JP2011515945A (ja) | ローカル・ネットワーク間でデータ・パケットを通信するための方法および装置 | |
| CN102075934A (zh) | 接入点监控器、监控非法接入点的方法及系统 | |
| CN104270720B (zh) | 接入无线局域网络的方法、装置及移动终端 | |
| CN101815106B (zh) | 动态gre隧道建立的方法和设备 | |
| CN105611534A (zh) | 无线终端识别伪WiFi 网络的方法及其装置 | |
| US8472420B2 (en) | Gateway device | |
| CN102137073B (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
| EP2218214B1 (en) | Network location service | |
| CN106790251A (zh) | 用户接入方法和用户接入系统 | |
| CA2477155A1 (en) | Method and apparatus for robust local mobility management in a mobile network | |
| WO2009122437A3 (en) | Security in mobile ad hoc networks | |
| Rao et al. | We know where you are! | |
| CN103987098B (zh) | Ipv4网络与ipv6网络间的切换方法和系统 | |
| CN102118313B (zh) | Ip地址探测的方法及设备 | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和系统 | |
| CN106027491A (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| CN101345773A (zh) | 一种利用移动终端跨平台监控远端设备的方法、系统和设备 | |
| CN101330409A (zh) | 一种检测网络漏洞的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121024 |