CN103379495A - 识别未被授权和错误配置的无线接入点的系统和方法 - Google Patents
识别未被授权和错误配置的无线接入点的系统和方法 Download PDFInfo
- Publication number
- CN103379495A CN103379495A CN2013101459104A CN201310145910A CN103379495A CN 103379495 A CN103379495 A CN 103379495A CN 2013101459104 A CN2013101459104 A CN 2013101459104A CN 201310145910 A CN201310145910 A CN 201310145910A CN 103379495 A CN103379495 A CN 103379495A
- Authority
- CN
- China
- Prior art keywords
- wap
- navigates
- end points
- communication network
- agency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/06—Testing, supervising or monitoring using simulated traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种识别通信网络中未被授权和/或错误配置的无线接入点(WAP)的系统包括多个网络端点和多个在所述端点上运行的代理。所述代理适于定期定位WAP和向中央实体报告定位到的WAP。所述系统进一步包括中央实体,所述中央实体通过操作从所述代理接收有关定位到的WAP的信息,判定是否需要探测至少给定的一个定位到的WAP,以及在判定需要探测所述给定的一个定位到的WAP时启动定位到的WAP的主动探测。
Description
技术领域
本发明一般地涉及电、电子和计算机领域。更具体地说,本发明涉及安全无线通信。
背景技术
无线网络已成为流行的通信媒介。各种规模企业基于多种原因建立无线网络(例如,使用IEEE802.11协议标准或类似的标准),其中包括——但不限于——降低布线成本,提供遍布大型办公室或仓库空间的连接性,促进员工沟通,为客人提供网络连接,以及提供远程数据访问功能等。但是,随着不断依赖无线通信系统作为传输重要商业信息的方式,有人开始利用此类系统的漏洞获取重要商业信息和系统。
与无线局域网(WLAN)相关的安全挑战是众所周知的,例如使用IEEE802.11无线通信协议(Wi-Fi)方面的挑战。具体而言,有关未被正确配置为控制访问的“开放式”无线接入点(WAP)(例如,未授权访问点)的问题已引起广泛关注,其中包括驾驶车辆的人搜索Wi-Fi无线网络的“战争驾驶(wardriving)”,以及包括在公共场所绘制标记以宣告开放式Wi-Fi无线网络的“开战标记”。作为响应,已开发出大量无线安全系统来检测和识别开放或错误配置的WAP。其中例如包括IBMCorporation的Wireless security auditor(WSA)和Distributed Wirelesssecurity auditor(DWSA)、Kismet产品、Airmagnet、Cisco Wireless ControlSystem(WCS)以及其它系统。尽管目前已在努力控制通过WAP的访问,但是传统方法仍存在大量问题。
发明内容
有利地,本发明的各方面提供识别包括多个端点的通信网络(例如,公司内联网)中未被授权或错误配置的无线接入点(WAP)的机制。为此,本发明的示例性实施例有利地将代理放在多个端点上,然后根据从端点接收的信息以及规定标准(例如,业务规则)的应用,使至少所述端点的一个子集执行特定操作,例如主动探测操作,从而产生足以识别网络中错误配置的和/或不当的WAP的信息。
根据本发明的一个实施例,一种识别通信网络中未被授权和/或错误配置的无线接入点(WAP)的系统包括多个网络端点和多个在所述多个端点上运行的代理。所述代理适于定期定位WAP和向中央实体报告定位到的WAP。所述系统进一步包括中央实体,所述中央实体通过操作从所述多个代理接收有关定位到的WAP的信息,判定是否需要探测至少给定的一个定位到的WAP,以及在判定需要探测所述给定的一个定位到的给定WAP时,启动定位到的WAP的主动探测。
根据本发明的另一实施例,一种识别通信网络中未被授权和/或错误配置的WAP的方法包括以下步骤:在所述通信网络中的端点上运行的代理定位所述通信网络中的一个或多个WAP;所述代理向中央实体报告至少一个定位到的WAP;以及所述中央实体执行以下步骤:应用规定标准判定是否需要探测至少一个定位到的WAP,以及在判定需要探测所述至少一个定位到的WAP时启动所述至少一个定位到的WAP的主动探测,从而判定所述定位到的WAP为至少一个未被授权和错误配置的WAP。
根据本发明的又一实施例,一种识别通信网络中未被授权和/或错误配置的WAP的装置包括至少一个处理器。所述处理器通过操作:(i)启动代理以在通信网络中的至少一个端点上运行,所述代理适于定位所述通信网络中的一个或多个WAP;(ii)从所述代理接收有关至少一个定位到的WAP的信息;(iii)应用规定标准判定是否需要探测至少一个定位到的WAP;以及(iv)在判定需要探测所述定位到的WAP时,启动定位到的WAP的主动探测,从而判定所述定位到的WAP未被授权和/或被错误配置。
如在此使用的那样,“促进”操作包括执行操作,简化操作,帮助实现操作,或导致操作被执行。因此,通过举例而非限制,在一个处理器上执行的指令可通过发送适当的数据或命令以导致或帮助操作被执行,促进通过在远程处理器上执行的指令来执行操作。为避免疑义,当操作者通过执行操作以外的方式促进操作时,操作仍然由某个实体或实体组合执行。
本发明的一个或多个实施例或它们的原理可通过包括计算机可读存储介质的计算机产品形式实现,所述计算机可读存储介质包含用于执行所述方法步骤的计算机可用程序代码。此外,本发明的一个或多个实施例或它们的原理可通过系统(或装置)形式实现,所述系统包括存储器、至少一个处理器,所述处理器与所述存储器相连并通过操作执行示例性方法步骤。仍进一步地,在另一方面,本发明的一个或多个实施例或它们的原理可通过用于执行此处描述的一个或多个方法步骤的构件形式实现;所述构件可以包括(i)硬件模块;(ii)存储在计算机可读存储介质(或多个此类介质)中并在硬件处理器上实现的软件模块,或者(iii)(i)和(ii)的组合;(i)-(iii)中的任一项实现此处阐述的特定技术。
本发明的技术可以提供大量有利的技术效应。例如,本发明的实施例可以提供除了其它优点之外的以下一种或多种优点:
●降低通信网络被未授权用户威胁的可能性,从而降低数据损失、数据损坏或被盗的可能性;
●降低病毒和/或恶意软件植入客户端基础结构的可能性;
●确保WAP符合客户端或管理安全性配置标准;
●防止使用公司内联网的员工连接到尝试伪装有效客户端WAP的未被许可或未授权的WAP。
因此,通过采用根据本发明的各方面的技术,可以有利地检测未被授权或错误配置的WAP,无需维护需要持续更新的“许可”接入点数据库。
通过结合附图阅读下面对本发明的示例性实施例的详细描述,本发明的这些和其它特征及优点将变得显而易见。
附图说明
提供下面的附图仅为了举例而非限制,其中相同的参考标号(当使用时)指示多个图形当中对应的部件,其中:
图1是示出根据本发明的实施例的示例性系统100的至少一部分的框图;
图2是根据本发明的实施例识别系统(例如,通信网络)中未被授权或错误配置的WAP的示例性方法的至少一部分的流程图;以及
图3是示出根据本发明的实施例通过操作运行软件的示例性系统的至少一部分的框图。
将理解,附图中的部件以简单清晰为目的给出。在具有商业价值实施例中有用或必要的常见或公知部件可能不显示,以便于提供所述实施例的简化视图。
具体实施方式
本文将在识别包括多个端点的通信网络(例如,公司内联网)中未被授权或错误配置的无线接入点(WAP)的示例性装置和方法环境中描述本发明的各方面。为此,本发明的示例性实施例有利地将代理放在多个端点上,然后根据从端点接收的信息以及规定标准(例如,业务规则)的应用,使所述端点的至少一个子集执行特定操作,例如主动探测操作,从而产生足以识别网络中错误配置的和/或不当的WAP的信息。因此,根据本发明的示例性实施例的技术有利地执行WAP监视和探测,从而识别未被授权或错误配置的WAP。
但是将理解,本发明并不限于此处示出和描述的具体装置和/或方法。而是,本发明的实施例广泛涉及以不干扰客户端的正常或无线网络操作的方式,识别通信网络中未被授权或错误配置的WAP的技术。而且,本领域中学习本发明教导的技术人员将理解,可以对处于本发明范围内的所示实施例做出许多修改。也就是说,不能认为或推测此处描述的具体实施例具有任何限制。
图1是示出根据本发明的实施例的示例性系统100的至少一部分的框图。系统100包括多个端点(从端点(A)102到端点(N)104)、多个无线接入点(WAP1106、WAP2108、WAP3110和WAP4112)以及中央实体114。中央实体114与各个端点102至104之间的通信路径一般位于内联网116中,或位于备选的通信装置中。WAP(例如,WAP108、110和112)的至少一部分驻留在内联网116中,而一个或多个WAP(例如,WAP106)可以驻留在内联网外。内联网116例如优选地表示公司内联网。
端点102至104的至少一个子集中的每个包括分别检测代理或模块103a至103n,以及无线组件105a至105n。无线组件105a至105n中的每个可以包括无线收发器或备选无线接口(例如,无线网络接入卡),用于和系统100中的对应WAP通信。例如,无线组件105a与WAP106、108和110通信,无线组件105n与WAP110和112通信。
中央实体114包括中央接收实体或模块118、与中央接收实体118相连的报告和警报实体或模块120、数据库122或与中央接收实体118以及报告和警报模块120相连的备选存储元件,以及与数据库122相连的中央控制实体或模块124。中央实体114收集并分析被动(例如,“定位”操作)和主动(例如,“探测”操作)数据,并根据这些数据结果控制端点代理。更具体地说,中央实体114本质上是服务器(或服务器集),该实体通过中央接收实体118、报告和警报模块120、数据库122和/或中央控制实体124执行操作以控制端点检测代理103a至103n(例如,通过中央控制实体124),在数据库122中存储规定信息(例如,业务规则等),接收穿过给定受监视的WAP并跨内联网116传输的消息(例如,通过中央接收实体118),以及根据接收的消息报告(即,警告)规定状况(例如,通过报告和警报模块120)。数据库122中存储的数据例如可以包括所有端点代理报告(例如,定位到的WAP的名称和地址)和接收的探测包。该数据用于判定给定WAP是否错误配置或未被授权,但是这些结果不一定存储在数据库本身中。
将理解,例如与WAP结合使用的术语“定位到的”(例如,定位到的WAP)旨在广泛指示被检测、发现或识别的WAP,而非指示WAP的物理定位/位置。同样,与WAP结合使用的术语“定位”(例如,定位WAP)旨在广泛指示检测、发现或识别的WAP的操作,而非指示判定WAP的物理定位/位置的操作。例如在许多情况下,WAP根据其网络地址或替代标识符进行虚拟(即,作为抽象体)“定位”。因此,如在此使用的那样,术语“定位到的”或“定位”旨在广泛地包含这些术语所指实体的虚拟或物理位置。
分别在端点102至104上运行的检测代理模块103a至103n可被配置为在规定时间间隔内(例如,在执行发现操作时)定位通信网络中的一个或多个对应的WAP。在某些实施例中,用于使代理通过操作定位一个或多个WAP的规定时间间隔具有周期性。
根据示例性实施例,在中央控制实体124的控制下,端点102至104通过操作定期监视(即,“侦听”)WAP106、108、110、112。对于该附图中位于内联网116以外的WAP106,端点102上运行的检测代理103a将定位WAP106,并根据规定策略,中央实体114可引导此代理主动探测该WAP。由于WAP106未连接到内联网116,因此,探测不会传输到中央接收实体118,从而证明该WAP未连接到内联网。
受监测的WAP的报告被发送到中央控制实体124,该实体可接收(从不同的端点)多个识别同一WAP的报告。中央控制实体124然后应用可存储在数据库122中的规定规则(例如,业务规则)判定受监视的WAP的配置状况,从而判定端点是否应该探测该WAP。此类应用于受监视的WAP的规则可以包括——但不限于——判定WAP是否错误配置(即,“开放”),WAP是否在广播公司的服务集标识符(SSID)、是否有超过规定阈值数量的端点识别同一WAP,识别端点的位置是否位于规定物理位置上,WAP无线电信号强度大于还是小于规定阈值,或这些规则和/或其它规则中一个或多个规则的某一组合。
当判定端点应该探测给定WAP时,中央控制实体124选择端点102至104的至少一个子集(例如,一个或多个端点)执行主动探测WAP。端点的选择基于一个或多个规定规则(存储在数据库122中)。例如,中央控制实体124可基于端点接收的WAP无线电信号强度选择端点(例如,可选择从WAP接收最强无线电信号的端点)。作为替代或补充,可选择最常启用无线网络卡的端点,或者可采用这些或其它规则的某一组合。
在一个实施例中,当执行WAP以及对应于该WAP的网络的主动探测时,选定端点可与该WAP关联(即,建立与该WAP的通信),然后将一个或多个请求(例如,动态主机配置协议(DHCP)ping)发送到网络资源并监视来自WAP的响应(例如,IP地址、默认路由等)。当无线客户端连接到WAP时,WAP将以网络信息进行响应,所述响应例如可以包括有效网络地址范围、该范围内为客户端分配的地址,以及默认路由(即,发送所有外部包的默认IP地址)。这是客户端实施网络通信所需的最少信息。
在另一实施例中,端点可通过尝试向中央接收实体118(位于公司内联网116上)发送消息来探测WAP。此操作确认WAP连接到公司内联网,另外可获取特定信息,例如,从端点客户端到中央接收实体118的网络路径、WAP的IP地址、端点与中央接收实体之间的路由等。在中央控制实体124和中央接收实体118上,当判定WAP配置错误或不允许位于内联网116上时,产生警报(例如,通过报告和警报模块120)。尽管中央控制实体124与报告和警报模块120之间的连接未明确示出,但是应该理解,可以构想两个功能模块之间的交互。例如,报告和警报模块120在某些实施例中作为管理接口工作,并且根据数据库中受监视的数据,报告和警报模块120可以向中央控制实体124发送指令以使该控制实体改变对端点的控制。
图2是根据本发明的实施例识别系统(例如,通信网络)中未被授权或错误配置的WAP的示例性方法200的至少一部分的流程图。从图2可看出,方法200被分为三个功能部分:客户端部分202,其中至少一部分可在客户端模块或端点中执行;中央控制部分204,其中至少一部分可在中央控制模块(例如,图1中的中央控制实体124)中执行;以及中央接收部分206,其中至少一部分可在中央接收模块(例如,图1中的中央接收实体118)中执行。每个功能部分可使用一个或多个代理实现。这些部分/代理可以在执行识别未被授权或错误配置的WAP的全部方法200时相互交互。
如在此使用的那样,术语“代理”旨在广泛定义为代表用户执行的软件程序或代理关系中的其它程序。因此,代理涉及软件抽象、理念或概念,类似于面向对象的程序设计术语,例如,方法、功能和对象。代理概念提供一种促进、有效的方式来描述能够以特定自主度执行操作,以代表其主机完成任务的复杂软件实体。但是不同于根据方法和属性定义的对象,代理一般根据其行为定义(例如,代理的行为可以是不执行任何操作,定位WAP,以及探测特定WAP)。
现在参考图2,可以在至少一个端点(例如,图1中的端点102至104)或其它端点模块中执行的第一客户端方法从步骤207开始,其中端点/客户端在步骤208通过操作监视(即,侦听)WAP。在步骤210,端点/客户端将对应于受监视的WAP的信息(例如,报告)定期发送到中央控制实体。在步骤212,端点/客户端检查第一客户端方法是否应该在步骤214结束。当判定第一客户端方法不应结束时,在步骤208,端点/客户端通过操作继续侦听WAP。
在步骤216开始的第二客户端方法(可以在至少一个端点(例如,图1中的端点102至104)或其它客户端模块中执行)中,端点/客户端在步骤218通过操作侦听中央控制实体(例如,图1中的中央控制实体124)指示端点开始主动探测受监视的WAP的命令。在步骤220,端点/客户端在接收到命令时,通过操作执行主动探测受监视的WAP以及与该受监测的WAP关联的对应网络,并产生包括主动探测结果的WAP探测报告。在步骤222,端点/客户端将步骤220产生的WAP探测报告中包含的主动探测结果发送到中央控制实体做进一步处理。在步骤224,端点/客户端通过操作,经由受监视的WAP将相关消息发送到中央接收实体(例如,图1中的中央接收实体118)。端点发送的相关消息优选地包括步骤220中产生的WAP探测报告。端点/客户端然后在步骤226判定是否在步骤228结束第二客户端方法。当判定第二客户端方法不应结束时,在步骤218,端点/客户端通过操作继续侦听来自中央控制实体的命令。
在步骤230中开始的第一中央控制方法(可以在中央控制实体(例如,图1中的中央控制实体124)或其它控制器中执行)中,中央控制实体在步骤232通过操作接收一个或多个端点/客户端在步骤210发送的对应于受监视的WAP的信息(例如,报告)。在步骤234,中央控制实体通过操作选择已接收的一个给定WAP报告,并在步骤236应用规定规则(例如,业务策略)判定是否主动探测给定受监视的WAP。当在步骤236判定主动探测受监视的WAP时,中央控制实体在步骤238选择一个或多个端点以启动主动探测WAP。在步骤240,命令被发送到每个选定端点以执行主动探测WAP。第一中央控制方法然后继续到重复此方法的步骤232。当在步骤236判定不主动探测受监视的WAP时,第一中央控制方法继续到重复此方法的步骤232。
在步骤242中开始的第二中央控制方法(可以在中央控制实体(例如,图1中的中央控制实体124)或其它控制器中执行)中,中央控制实体在步骤244通过操作接收一个或多个端点在步骤222发送的主动探测受监视的WAP的结果。根据WAP探测报告中的信息,中央控制实体在步骤246通过操作判定被探测的WAP是否未被授权或错误配置。当被探测的WAP并非未被授权或错误配置时,第二中央控制方法返回到步骤244以开始接收主动探测受监视的WAP的更多结果。替代地,当在步骤246判定被探测的WAP未被授权和/或错误配置时,中央控制实体在步骤248通过操作发出(例如,发射)警报或其它指示,发送未被授权和/或错误配置的WAP状况。第二中央控制方法然后返回到步骤244以开始接收主动探测受监视的WAP的更多结果。
在步骤250中开始的中央接收方法(可以在中央接收实体(例如,图1中的中央接收实体118)或其它接口/控制器中执行)中,中央接收实体在步骤252通过操作监视来自一个或多个端点的通信,所述通信可通过内联网(例如,图1中的内联网116)或其它网络接收。在步骤252被监视的通信优选地例如包括一个或多个端点在步骤220产生的WAP探测报告。在步骤254,中央接收实体通过操作判定是否收到此类从端点接收的通信。当未从端点接收任何通信时,中央接收方法返回到步骤252,其中中央接收实体继续监视来自一个或多个端点的通信。步骤252和254本质上形成重复循环,此循环在接收来自端点的通信时退出。
当在步骤254判定已从端点接收通信时,中央接收实体在步骤256通过操作关联已接收的通信与其中包含的端点WAP报告(例如,WAP探测报告)。在某些实施例中,存在至少两个相关“探测”消息:由步骤222中的虚线表示的第一消息,在此称为“探测报告”,其中包括某些主动探测WAP的结果,其中包括动态主机配置协议(DHCP)地址和默认路由;以及由步骤224中的虚线表示的第二消息,在此称为“探测包”。两个探测消息的区别在于:“探测报告”在端点与内联网的已知连接上发送,而“探测包”旨在通过WAP与内联网的连接(如果有)传输。
继续参考图2,中央接收实体在步骤258通过操作,根据从端点接收的通信中包含的信息,判定对应于被探测的WAP的网络属性。在步骤260,中央接收方法判定WAP是否未被授权或错误配置。当被探测的WAP并非未被授权或错误配置时,中央接收方法返回到步骤252以继续监视来自端点的通信。替代地,当在步骤260判定WAP未被授权和/或错误配置时,中央接收方法在步骤262发出(例如,发射)警报或其它指示,发送未被授权和/或错误配置的WAP状况。中央接收方法然后返回到步骤252以继续监视来自端点的通信。
本发明的技术可以提供大量有利的技术效应。例如,本发明的实施例可以提供以下一种或多种优点:其中包括——但不限于:降低通信网络被未授权用户威胁的可能性,从而降低数据损失、数据损坏或被盗的可能性;降低病毒和/或恶意软件植入客户端基础结构的可能性;确保WAP符合客户端或管理安全性配置标准;以及防止使用公司内联网或其它通信网络的员工连接到尝试伪装有效客户端WAP的未被许可或未授权的WAP。
示例性系统和制造品的详细描述
所属技术领域的技术人员知道,本发明的各方面可以实现为系统、方法或计算机程序产品。因此,本发明的各方面可以具体实现为以下形式,即:可以是完全的硬件实施例、也可以是完全的软件实施例(包括固件、驻留软件、微代码等),还可以是组合了硬件和软件方面的实施例的形式,本文一般称为“电路”、“模块”或“系统”。此外,本发明的各方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
本发明的一个或多个实施例或它们的原理可通过装置形式实现,所述装置包括存储器以及至少一个与所述存储器相连并通过操作执行示例性方法步骤的处理器。
图3是示出根据本发明的实施例通过操作运行软件的示例性系统300的至少一部分的框图。系统300例如可以表示通用计算机或其它计算设备或计算设备的系统,这些设备当根据本发明的实施例编程时,变为执行本发明的技术的专用设备。
现在参考图3,此类实现例如可以采用处理器302、存储器304和例如由显示器306和键盘308形成的输入/输出接口。
如在此使用的那样,术语“处理器”旨在包括任何处理设备,例如,包括CPU(中央处理单元)和/或其它形式处理电路的处理设备。进一步地,术语“处理器”可以指示一个以上的单个处理器。术语“存储器”旨在包括与处理器或CPU关联的存储器,例如RAM(随机存取存储器)、ROM(只读存储器)、固定存储器件(例如,硬盘)、可移动存储器件(例如,软盘)、闪存等。此外,如在此使用的那样,短语“输入/输出接口”例如旨在包括一个或多个用于将数据输入处理单元的装置(例如,鼠标),以及一个或多个用于提供与处理单元关联的结果的装置(例如,打印机)。处理器302、存储器304以及诸如显示器306和键盘308之类的输入/输出接口例如可以通过作为数据处理单元312一部分的总线310互连。例如通过总线310的适当互连还可以提供给网络接口314,例如用于与计算机网络接口的网卡,以及提供给媒体接口316,例如用于与媒体318接口的磁盘或CD-ROM驱动器。
因此,此处描述的包括用于执行本发明方法的指令或代码的计算机软件可存储在一个或多个关联的存储器件(例如,ROM、固定存储器或可移动存储器)中,当准备使用时,部分或全部加载(例如,加载到RAM中)并由CPU执行。此类软件可以包括——但不限于——固件、驻留软件、微代码等。
适合于存储和/或执行程序代码的数据处理系统将包括至少一个通过系统总线310直接或间接连接到存储器元件304的处理器302。所述存储器元件可以包括在程序代码的实际执行期间采用的本地存储器、大容量存储装置以及提供至少某些程序代码的临时存储以减少必须在执行期间从大容量存储装置检索代码的次数的高速缓冲存储器。
输入/输出或I/O设备(包括——但不限于——键盘308、显示器306、指点设备等)可以直接(例如,通过总线310)或通过中间I/O控制器(为清晰起见,已省略)与系统相连。
诸如网络接口314之类的网络适配器也可以被连接到系统以使所述数据处理系统能够通过中间专用或公共网络变得与其它数据处理系统或远程打印机或存储设备相连。调制解调器、电缆调制解调器和以太网卡只是当前可用的网络适配器类型中的少数几种。
另外还包括与总线相连以及与电话网络接口的电话卡430,以及与总线相连以及与本地和/或蜂窝无线网络接口的无线接口432。
数据处理单元312表示诸如端点、个人数字助理、智能电话、平板计算机之类的设备;数据处理单元312还表示通信网络中的服务器或类似的设备。有些实施例在网络中使用多个服务器。多个服务器可使用网络接口314,通过本地计算机网络(例如,以太网)相连。可在服务器间分配职责;例如,有些服务器通过卡430提供电话访问;有些服务器执行用于语音识别的“数字运算”等。当在手持式设备上实施技术时,部分或全部处理可在外部实现。例如,可通过无线接口432以无线的方式将信号发送到功能强大的外部服务器,可能需要首先在本地进行信号预处理。
如此处(包括权利要求)使用的那样,“服务器”包括运行服务器程序的物理数据处理系统(例如,图3所示的系统312)。将理解,此类物理服务器可以包括,也可以不包括显示器和键盘。进一步地,并非每个服务器或设备都必须具有图3所示的特征。
需要指出,本发明的各方面还可以采取在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。媒体框318是非限制性实例。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的各方面操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”程序设计语言、FORTRAN或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
此处参照本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明的各方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,这些指令通过计算机或其它可编程数据处理装置的处理器执行,产生了实现流程图和/或框图中的方框中规定的功能/操作的装置。
也可以把这些计算机程序指令存储在能使得计算机、其它可编程数据处理装置、或其它设备以特定方式工作的计算机可读介质中,这样,存储在计算机可读介质中的指令就产生出一个包括实现流程图和/或框图中的方框中规定的功能/操作的指令的制造品(manufacture)。
也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令能够提供实现流程图和/或框图中的方框中规定的功能/操作的过程。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
需要指出,此处描述的任何方法可以包括提供一种系统的额外步骤,该系统包括包含在计算机可读存储介质中的独特软件模块;这些模块例如可以包括框图所示的和/或此处描述的部分或全部元件。然后可以使用上述在一个或多个硬件处理器302上执行的独立软件模块和/或子模块执行方法步骤。进一步地,计算机程序产品可以包括计算机可读存储介质,该介质包含适合于被实现为执行此处描述的一个或多个方法步骤的代码,其中包括为系统提供独立软件模块。
在任何情况下都应该理解,此处所示的组件可通过各种形式的硬件、软件或它们的组合来实现;例如,专用集成电路(ASIC)、功能电路、包含相关存储器等的一或多个适当编程的通用数字计算机。给出此处描述的本发明教导之后,所属领域的普通技术人员将能够构想本发明组件的其它实现。
此处使用的术语只是为了描述具体实施例,并非旨在限制本发明。如在此使用的那样,单数形式“一”、“一个”和“所述”旨在同样包括复数形式,除非上下文明确地另有所指。还将理解,当在此说明书中使用时,术语“包括”和/或“包含”指定存在声明的特征、整数、步骤、操作、元素和/或组件,但是并不排除存在或增加一个或多个其它特征、整数、步骤、操作、元素、组件和/或它们构成的组。
以下的权利要求中的对应结构、材料、操作以及所有功能性限定的装置或步骤的等同替换,旨在包括任何用于与在权利要求中具体指出的其它单元相组合地执行该功能的结构、材料或操作。所给出的对本发明的描述是示例性和描述性的,并非穷尽性的,并且也不会将本发明限于所公开的形式。在不偏离本发明的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。实施例的选择和描述,旨在最好地解释本发明的原理、实际应用,当适合于所构想的特定应用时,可使本技术领域的其他普通人员理解本发明带有各种修改的各种实施例。
Claims (20)
1.一种识别通信网络中至少一个未被授权和错误配置的无线接入点(WAP)的系统,所述系统包括:
多个网络端点;
多个在所述多个端点上运行的代理,所述代理适于定期定位WAP和向中央实体报告定位到的WAP;以及
中央实体,所述中央实体通过操作从所述多个代理接收有关定位到的WAP的信息,判定是否需要探测至少给定的一个定位到的WAP,以及在判定需要探测所述给定的一个定位到的WAP时启动定位到的WAP的主动探测。
2.根据权利要求1的系统,其中所述定位到的WAP的主动探测由对应端点上运行的代理执行。
3.根据权利要求1的系统,其中所述中央实体通过操作应用一个或多个规定的业务标准以判定是否需要探测至少一个定位到的WAP。
4.根据权利要求1的系统,其中至少所述代理的子集通过操作在规定时间间隔内定位所述通信网络中的一个或多个WAP。
5.根据权利要求4的系统,其中使所述代理的子集通过操作定位一个或多个WAP的规定时间间隔具有周期性。
6.根据权利要求1的系统,其中所述中央实体包括:
适于从一个或多个WAP接收信息的接收模块;
与所述接收模块相连的报告和警报模块;
与所述接收模块以及所述报告和警报模块相连的数据库;以及
与所述数据库相连的控制模块。
7.根据权利要求6的系统,其中所述中央实体通过操作,使用所述接收模块、所述报告和警报模块、所述数据库、以及所述控制模块中的至少一个控制所述多个代理中的至少一个,在所述数据库中存储用于判定是否需要探测至少一个定位到的WAP的规定信息,接收一个或多个穿过给定受监视的WAP并跨所述通信网络传输的消息,以及根据所述接收的消息报告所述给定WAP的规定状况。
8.根据权利要求6的系统,其中在所述控制模块的控制之下,至少所述多个网络端点中的子集通过操作定期监视一个或多个对应的WAP。
9.根据权利要求6的系统,其中所述控制模块通过操作应用所述数据库中存储的规定规则,以判定受监视的WAP的配置状况,从而判定所述多个网络端点中的至少一个是否应该探测所述受监视的WAP。
10.根据权利要求1的系统,其中在执行给定WAP以及对应于所述给定WAP的网络的主动探测时,选定端点通过操作建立与所述给定WAP的通信,将至少一个请求发送到网络资源,以及监视从所述给定WAP对所述至少一个请求的响应。
11.根据权利要求10的系统,其中所述至少一个请求包括动态主机配置协议ping。
12.一种识别通信网络中至少一个未被授权和错误配置的无线接入点(WAP)的方法,所述方法包括以下步骤:
在所述通信网络中的端点上运行的代理定位所述通信网络中的一个或多个WAP;
所述代理向中央实体报告至少一个定位到的WAP;以及
所述中央实体执行以下步骤:应用规定标准判定是否需要探测至少一个定位到的WAP,以及在判定需要探测所述至少一个定位到的WAP时启动所述至少一个定位到的WAP的主动探测,从而判定所述定位到的WAP为至少一个未被授权和错误配置的WAP。
13.根据权利要求12的方法,其中所述通信网络中的至少一个代理适于执行所述定位到的WAP的主动探测。
14.根据权利要求12的方法,进一步包括选择所述通信网络中的至少一个端点以执行所述主动探测,并且指示所述端点执行所述定位到的WAP的主动探测。
15.根据权利要求14的方法,其中所述选择执行所述主动探测的端点由所述中央实体根据一个或多个规定业务规则执行。
16.根据权利要求12的方法,进一步包括在判定所述定位到的WAP为至少一个未被授权和错误配置时产生警报。
17.根据权利要求12的方法,其中所述代理适于在规定时间间隔内定位所述通信网络中的一个或多个WAP。
18.根据权利要求17的方法,其中所述规定时间间隔具有周期性。
19.根据权利要求12的方法,进一步包括选择所述通信网络中的多个端点以启动给定的定位到的WAP的主动探测。
20.根据权利要求12的方法,其中所述至少一个定位到的WAP的主动探测的步骤包括建立与所述WAP的通信,将至少一个请求发送到网络资源,以及监视从所述WAP对所述至少一个请求的响应。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/455,419 US20130291063A1 (en) | 2012-04-25 | 2012-04-25 | Identification of Unauthorized or Misconfigured Wireless Access Point Using Distributed Endpoints |
| US13/455,419 | 2012-04-25 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103379495A true CN103379495A (zh) | 2013-10-30 |
Family
ID=49463949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013101459104A Pending CN103379495A (zh) | 2012-04-25 | 2013-04-24 | 识别未被授权和错误配置的无线接入点的系统和方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (2) | US20130291063A1 (zh) |
| CN (1) | CN103379495A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016070548A1 (zh) * | 2014-11-04 | 2016-05-12 | 中兴通讯股份有限公司 | 一种终端及其识别伪基站的方法、装置和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1853393A (zh) * | 2003-09-15 | 2006-10-25 | 英特尔公司 | 用于检测恶意接入点并对之反应的方法、设备和系统 |
| US20070002762A1 (en) * | 2005-06-29 | 2007-01-04 | Fujitsu Limited | Management policy evaluation system and recording medium storing management policy evaluation program |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060165073A1 (en) * | 2004-04-06 | 2006-07-27 | Airtight Networks, Inc., (F/K/A Wibhu Technologies, Inc.) | Method and a system for regulating, disrupting and preventing access to the wireless medium |
| US8457594B2 (en) * | 2006-08-25 | 2013-06-04 | Qwest Communications International Inc. | Protection against unauthorized wireless access points |
| US8479267B2 (en) * | 2009-06-30 | 2013-07-02 | Sophos Limited | System and method for identifying unauthorized endpoints |
| US9239990B2 (en) * | 2011-06-24 | 2016-01-19 | Zos Communications, Llc | Hybrid location using pattern recognition of location readings and signal strengths of wireless access points |
-
2012
- 2012-04-25 US US13/455,419 patent/US20130291063A1/en not_active Abandoned
- 2012-04-30 US US13/459,383 patent/US20130291067A1/en not_active Abandoned
-
2013
- 2013-04-24 CN CN2013101459104A patent/CN103379495A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1853393A (zh) * | 2003-09-15 | 2006-10-25 | 英特尔公司 | 用于检测恶意接入点并对之反应的方法、设备和系统 |
| US20070002762A1 (en) * | 2005-06-29 | 2007-01-04 | Fujitsu Limited | Management policy evaluation system and recording medium storing management policy evaluation program |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016070548A1 (zh) * | 2014-11-04 | 2016-05-12 | 中兴通讯股份有限公司 | 一种终端及其识别伪基站的方法、装置和存储介质 |
| CN105636048A (zh) * | 2014-11-04 | 2016-06-01 | 中兴通讯股份有限公司 | 一种终端及其识别伪基站的方法、装置 |
| CN105636048B (zh) * | 2014-11-04 | 2021-02-09 | 中兴通讯股份有限公司 | 一种终端及其识别伪基站的方法、装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130291063A1 (en) | 2013-10-31 |
| US20130291067A1 (en) | 2013-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230334051A1 (en) | Data stream analytics at service layer | |
| US6701459B2 (en) | Root-cause approach to problem diagnosis in data networks | |
| US8656219B2 (en) | System and method for determination of the root cause of an overall failure of a business application service | |
| US9413597B2 (en) | Method and system for providing aggregated network alarms | |
| US20110078775A1 (en) | Method and apparatus for providing credibility information over an ad-hoc network | |
| US11632320B2 (en) | Centralized analytical monitoring of IP connected devices | |
| US20200136954A1 (en) | Systems and methods for automated determination of network device transiting data attributes | |
| JP6420849B2 (ja) | リソースディレクトリのための検索エンジン最適化 | |
| US10944771B2 (en) | Computing resource identification | |
| US11818144B2 (en) | Security appliance to monitor networked computing environment | |
| US10078506B2 (en) | Tracking an application installation state | |
| US20200120122A1 (en) | Multi-dimensional periodicity detection of iot device behavior | |
| CN107580005A (zh) | 网站防护方法、装置、网站防护设备及可读存储介质 | |
| US9900742B1 (en) | Wireless device detection, tracking, and authentication platform and techniques | |
| US11017076B2 (en) | Enhancing security using anomaly detection | |
| US20120203892A1 (en) | Identifying operating hybrid solutions | |
| US11259232B2 (en) | Methods for enabling en-route resource discovery at a service layer | |
| US20060246889A1 (en) | Wireless Data Device Performance Monitor | |
| US11765195B2 (en) | Distributed network-level probabilistic attack graph generation | |
| CN112383513B (zh) | 基于代理ip地址池的爬虫行为检测方法、装置及存储介质 | |
| CN109190412A (zh) | 网页篡改的检测方法和装置 | |
| CN103379495A (zh) | 识别未被授权和错误配置的无线接入点的系统和方法 | |
| CN110445753A (zh) | 终端设备异常访问的隔离方法和装置 | |
| US20220321587A1 (en) | Automatic anomaly detection based on api sessions | |
| CN104580201A (zh) | 网站漏洞检测方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131030 |