CN104244249A - 用于通过切换模式提供无线网络中的安全保护的技术 - Google Patents
用于通过切换模式提供无线网络中的安全保护的技术 Download PDFInfo
- Publication number
- CN104244249A CN104244249A CN201410403292.3A CN201410403292A CN104244249A CN 104244249 A CN104244249 A CN 104244249A CN 201410403292 A CN201410403292 A CN 201410403292A CN 104244249 A CN104244249 A CN 104244249A
- Authority
- CN
- China
- Prior art keywords
- client
- mode
- access
- suspicious
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及用于通过切换模式提供无线网络中的安全保护的技术。接入点以第一模式操作。第一模式是允许对网络资源的访问的操作模式。当以第一模式操作接入点时,对于客户端的安全事件被检测。然后,接入点被从操作的第一模式改变至操作的第二模式。第二模式是操作的受限模式,其限制对网络资源的访问。分析然后可被执行以确定客户端是未授权客户端还是合法客户端。
Description
本申请是申请日为2007年4月26日、题为“用于通过切换模式提供无线网络中的安全保护的技术”的中国发明专利申请No.200780009832.8(PCT国际申请PCT/US2007/010235)的分案申请。
背景技术
本发明一般地涉及无线通信,并且更具体而言涉及用于响应于安全事件为接入点提供安全保护的技术。
随着无线技术和无线网络的出现,对这些网络的攻击已变得更加频繁。攻击包括通过网络的蠕虫传播或者试图登录到接入点并且潜入网络的潜在黑客。
当未授权客户端被检测到时,采取行动以阻止用户接入网络。例如,未授权客户端可立即被断开与接入点的连接,以及/或者接入点可立即被断开与交换端口的连接。这样做以确保未授权客户端不能接入网络。这保护了网络;然而,可能发生错误肯定(false positive),其中客户端被认为是未授权(unauthorized)的,但实际上其可能是合法(valid)客户端。在这些情况下,合法客户端可能被阻止接入网络,这是不希望的。此外,因为未授权客户端被断开与网络的连接,所以难以确定关于客户端的任何信息,诸如它们的身份等。此信息对阻止将来的攻击或捕捉未授权客户端的用户来说可能是有价值的。
附图说明
图1描绘根据本发明的一个实施例的用于提供安全保护的系统。
图2描绘根据本发明的一个实施例的用于提供安全保护的方法的简化流程图。
图3描绘根据本发明的一个实施例的用于隔离可疑客户端的方法的简化流程图。
图4描绘根据本发明的一个实施例的用于实现在图3中所描述的方法的系统。
具体实施方式
图1描绘了根据本发明的一个实施例的用于提供安全保护的系统100。如图所示,提供了接入点102、客户端104以及网络106。将会理解的是,可提供任何数量的在系统100中示出的部件。可使用另外的部件。部件可从在图1中示出的部件被修改。
客户端104可以是被配置与接入点102通信的任何计算设备。例如,客户端104可包括无线设备,诸如膝上型计算机、蜂窝式电话机、个人数字助理(PDA)、黑莓TM(BlackberryTM)设备、袖珍PC(pocket PC)、寻呼机等。客户端104可通过接入点102访问网络106上的资源。
客户端104可被分类为合法客户端或未授权客户端。例如,合法客户端可以是被授权接入网络106的任何客户端。未授权客户端104可以是被确定为不应当被允许接入网络106的任何客户端。例如,可能被确定为未授权的客户端104包括个人、设备或过程,它们尝试诸如黑客、蠕虫、病毒等的不希望的动作。如下面将要描述的,入侵检测系统(IDS)、入侵保护系统(IPS)、异常(anomaly)检测系统等可被用来检测可能的未授权客户端104。
接入点102可以是客户端104与其通信以接入网络106的任何接入点。例如,客户端104可能必须登录到接入点102以接入网络106。接入点102包括无线网关、路由器、基站等。本领域的技术人员会认识到接入点102的不同示例。
接入点102被配置形成网络106。在一个实施例中,网络106可以是无线网络。然而会理解的是,网络106不被限制为仅是无线网络,并且网络106还可包括有线网络(wire line network)。例如,无线网络可被连接到有线网络。
网络106可以是任何网络,诸如无线局域网(WLAN)、广域网、蜂窝式网络等。网络106包括通过接入点102可访问的资源。资源可包括数据服务器,诸如敏感的公司文档被存储于其中的服务器,认证、授权和记帐(AAA)服务器,DNS服务器,HTTP服务器,FTP服务器或者用于企业的任何其他资源(诸如公司网络)。可能不希望未授权客户端访问这些资源。因此,本发明的实施例为网络106的资源提供安全保护。
在一个实施例中,可确定安全事件。引起安全事件的客户端104然后可被确定为可疑的。可疑客户端104可以不被授权接入网络106。然而,在一些情况下,检测技术可能作出错误肯定,其中可疑客户端104实际上被授权接入网络106。当确定安全事件时,希望做调查以确定可疑客户端是未授权客户端还是合法客户端。
本发明的实施例因此提供用于保护网络106的两种模式。第一模式是正常模式,其中允许通过接入点102接入到网络106。第一模式允许对网络106的资源的合法访问。此模式可以是接入点102在正常条件下(即允许资源访问)操作的模式。
第二模式是第二级别接入。此第二级别接入可限制资源的使用或对网络中资源的访问。第二模式相比第一模式,在访问网络106的资源方面允许较小的能力。例如,利用服务质量(QOS)策略的流量可被减缓几乎至停顿,从而可疑客户端104不能有效地执行。可疑客户端104可能不知道它已被检测。例如,可疑客户端104可能感觉它已使网络过载。这给了应用或网络管理员时间来弄清楚可疑客户端104是合法客户端还是未授权客户端,以及任何其他希望的信息,诸如可疑客户端104位于何处。
此外,可形成围墙花园(walled garden),其中可疑客户端104可以仅被允许访问墙内的资源。因此,这保护网络106避免了可疑客户端104。此外,可使用蜜罐(honeypot)。蜜罐是被设置较低安全性的设备,其被与网络资源隔离。蜜罐可被用来收集关于可疑客户端104的信息。
当安全事件被检测到时,接入点102被改变至第二模式,而不是有意断开对事件有责任的可疑客户端104。改变至第二模式可以不使可疑客户端104警觉到它们已被检测到。进入第二模式并且可执行对可疑客户端104的分析。如果确定可疑客户端104是未授权客户端,那么对网络106的接入被拒绝。如下所述,还可执行进一步的分析以确定关于未授权客户端104的信息。如果可疑客户端104被确定为合法客户端,那么可疑客户端104被允许进入到网络106。此外,在可疑客户端104被确定为合法之后接入点102可被改回至第一模式。
图2描绘根据本发明的一个实施例的用于提供安全保护的方法的简化流程图200。步骤202以第一模式操作接入点102。第一模式是正常模式,其中网络106的资源是可访问的。这是在其中客户端104被允许以正常方式接入网络106的模式。例如,客户端104可利用证书登录到网络。
步骤204检测对于可疑客户端104的安全事件。安全事件可通过各种技术被检测。例如,接入点102使用代理或网络监视器(即入侵检测服务(IDS)/入侵保护服务(IPS)、异常检测等)来识别可疑活动。可疑活动的示例可包括过多的ping、太多的流量、登录到其他网络实体时多次失败的尝试等。
步骤206将合法客户端104转换到将会继续以第一模式操作的环境。如此合法客户端104可继续能够访问资源。如下面将被更详细地描述的,合法客户端104可被切换到第二接入点,或者可与可疑客户端104分隔开。
步骤208然后将接入点102的模式从第一模式改变至第二模式。第二模式提供对网络106中资源的受限访问,或者是网络隔离模式。
步骤210然后执行被用来分析可疑客户端104是未授权客户端还是合法客户端的动作。例如,可生成故障,其在管理站中是可见的,并且还被提供给电子邮件、寻呼机等。在此步骤后,关于可疑客户端104的详情可被用来确定它是否是合法客户端。例如,管理站可利用DNS查找(look-up)来确定可疑客户端104的身份而自动确定客户端104是否是未授权客户端。此外,管理站可试图弄清楚登录使用可疑客户端104的用户。用户的身份可被用来确定用户是否被授权接入网络。
此外,网络管理员可去到接入点102,确定接入点102被连接在其中的交换机,并查明关于可疑客户端104的详情。管理员可能要花费时间来得到详情以确定可疑客户端104是否被允许接入网络106。因此,延迟可疑客户端104可能是重要的。因此,当安全事件被确定时通过切换至第二模式而不是断开客户端104,提供了用于分析的时间。在一个实施例中,在此期间通过对经由接入点104的流量进行限速和/或通过用墙把可疑客户端104隔开而限制接入。
如果确定出可疑客户端104是未授权客户端,那么可以捕捉关于可疑客户端104的信息。例如,送至客户端104的/从客户端104发送的一些流量可被捕捉以查明可疑客户端104正在做什么,或者任何其他取证(forensic)证据可被收集。对分析的类型和被用来收集信息的技术的进一步详情将在下面被更详细地描述。
图3描绘根据本发明的一个实施例的用于隔离可疑客户端104的方法的简化流程图300。在此方法中,可疑客户端104不从可疑客户端104试图登录的接入点102移出。在另一个实施例中,可疑客户端104可被移至在其中可执行分析的另一个设备。此过程将在下面被更详细地描述。
方法假设接入点102正以第一模式操作,并且安全事件被检测到。当安全事件被检测到时,步骤302确定除可疑客户端104以外的客户端是否可被移至另一个接入点102。在一个实施例中,希望将可疑客户端104保持在同一接入点102上。这可使得可疑客户端104更难以确定它已被检测为可疑客户端。在一些情况下,如果可疑客户端104知道它已被检测,那么它可断开与接入点102的连接,以及不允许任何进一步的信息被收集。
如果其他客户端104不可被移至另一个接入点102,那么步骤304执行分隔以将其他客户端与可疑客户端104区别开。分隔可包括对其他客户端使用识别符。例如,识别符可与来自其他客户端104的通信相关联。因此,带有这些识别符的通信可被允许在网络106上进行。然而,对可疑客户端104的识别符可被添加到通信,并且那些通信不被传递到网络106。过程然后接着进行至步骤310。
如果其他客户端可被移至另一个接入点102,那么步骤306将其他客户端104移至另一个接入点102。将其他用户移至另一个接入点102还允许接入点102在分析及识别可疑客户端104方面投入更多的资源。此外,可疑客户端104无法检测到其他客户端104移至另一个接入点102,并且因此仍然不可确定它已被检测出。
步骤308将接入点102的模式从第一模式改变至第二模式。步骤310执行动作以确定可疑客户端104是未授权客户端还是合法客户端。
图4描绘根据本发明的一个实施例的用于实现在图3中所描述的方法的系统400。如图所示,提供了一个可疑客户端104-1和两个其他合法客户端104-2。可疑客户端104-1和客户端104-2正与接入点102通信。
接入点102包括检测器402、转移模块404以及分析器406。这些可以以软件、硬件或其任何组合的形式被实现。
检测器402被配置来检测安全事件。例如,检测器402可包括入侵检测系统,当某些安全事件发生时,入侵检测系统发送警报。当安全事件被确定出时,转移模块404被配置为与其他客户端104-2通信,以促使将它们移至另一个接入点102-2。本领域的技术人员会理解客户端104-2可以怎样被移至接入点102-2。客户端104-2的移动被执行,而可疑客户端104-1检测不到转移。
分析器406然后被配置来执行确定客户端104-1是未授权客户端还是授权用户的动作。
图4示出被保持在接入点102上的可疑客户端104。在另一个实施例中,可疑客户端104可被重新路由到另一个设备。例如,围墙花园或另一个接入点102可被用来分析可疑客户端104-1。在此情况下,当安全事件被检测到时,可疑客户端104-1被重新路由到如上所述正以第二模式操作的设备。该设备可以是以第二模式运行的接入点102,诸如以第二模式运行的蜜罐。如上所述,执行动作以分析可疑客户端104-1的方法然后被执行。
以下是当接收到安全事件时可执行的动作的示例。如上所述,可执行动作以确定可疑客户端是未授权的还是合法的。接入点102可将所有其他不违法的客户端104移至不同的接入点102。负载平衡可被使用来平衡带给其他接入点102的负载。
在接入点102上流量然后被减缓。一个示例是当可疑客户端104正利用ftp内部地将大文件从数据服务器转移到实验室。太多的流量可能引发警报,但这可能是合法的流量。QOS策略可被应用以减缓流量,这样可能允许网络管理员有足够的时间来分析流量是否是合法的并且相应地作出反应。例如,接入点102可被改回至第一模式。
接入点102然后捕捉/监视调试流量用于取证登录分析。信息可被转发至或被隧道传送(tunnel)至IDS/IPS/检查引擎或应用,用于另外的分析。
如果可疑客户端104正在进行被动探听(passive snooping),那么接入点102还可模拟伪流量以迷惑可疑客户端104。这可将可疑客户端104保持在接入点102上。
此外,接入点102和邻近的接入点102可进入到“三角测量(triangulation)”模式,该模式试图估算可疑客户端104的物理位置。这可利用射频(RF)功率三角测量技术而被执行。近似的物理位置然后会被报告给网络管理员、被存储或者被标识在网络地图/示图上。
如果可疑客户端104及其流量被确定为是未授权的(即对网络106、其他客户端或服务相当有害),那么接入点102可最终向可疑客户端104发送断开信号。以另外的方式,接入点102可维持连接并且然后拖住可疑客户端104直到它可被物理地定位。如果可疑客户端104被确定为合法客户端,那么接入点102可回到第一模式。
本发明的实施例提供了很多优点。例如,安全取证以及识别、定位和阻止可疑客户端104、入侵者或攻击的可能性被改进。这通过将可疑客户端104保持在接入点102上,同时以限制客户端104确定它已被检测的能力的方式来执行分析,而被改进。
此外,本发明的实施例可通过以受管理的方式处理安全事件而限制错误肯定和错误否定(false negative)。例如,错误肯定可通过不立即断开与可疑客户端104的连接而被管理。进一步,以第二模式执行分析来确定可疑客户端是未授权用户还是授权用户。
此外,本发明的实施例可在集中式体系结构上或在自洽体系结构上被实现。
尽管本发明已参考其具体实施例被描述,但是这些实施例仅是示例性的,并且对本发明不是限制性的。
任何合适的编程语言可被用来实现本发明的实施例的例程,该编程语言包括C、C++、Java、汇编语言等。不同的编程技术诸如过程性的编程技术或面向对象的编程技术可被使用。例程可在单个处理设备或多个处理器上执行。尽管步骤、操作或计算可以以具体顺序被呈现,但是此顺序在不同实施例中可被改变。在一些实施例中,在此说明书中被示为顺序性的多个步骤可被同时执行。在此描述的操作的顺序可被另一个过程中断、挂起(suspend)或以其他方式控制,该过程诸如操作系统、内核等。例程可在操作系统环境中操作,或者作为占用所有系统处理的独立例程而操作,或者作为系统处理的实质部分而操作。功能可在硬件、软件或二者的组合中被执行。除非另外声明,否则功能还可整个地或部分地被手动执行。
在此的描述中,提供了很多具体详情,诸如部件和/或方法的示例,以提供对本发明的实施例的透彻理解。然而相关领域的技术人员会意识到,本发明的实施例可在没有一个或多个具体详情的情况下被实践,或者可在具有其他装置、系统、组件、方法、部件、材料、部分和/或其他的情况下被实践。在其他示例中,公知的结构、材料或操作未被详细地具体示出或描述,以避免掩盖本发明的实施例的方面。
出于本发明的实施例的目的“计算机可读介质”可以是任何介质,该介质可以包含并存储程序,以供指令执行系统、装置、系统或设备使用或者与指令执行系统、装置、系统或设备相结合。计算机可读介质可以是,仅作为示例但不限于:半导体系统、装置、系统、设备或计算机存储器。
本发明的实施例可以以控制逻辑的形式在软件或硬件或二者的组合中被实现。控制逻辑可被存储在信息存储介质中,诸如计算机可读介质,作为多个指令,该指令适合于指导信息处理设备执行在本发明的实施例中公开的一系列步骤。基于在此提供的本发明和教导,本领域的一般技术人员会理解实现本发明的其他方式和/或方法。
“处理器”或“过程”包括处理数据、信号或其他信息的任何硬件和/或软件系统、机制或部件。处理器可包括具有通用中央处理单元、多处理单元、用于实现功能的专用电路,或者其他系统。处理不需被限制在某一地理位置,或者有时间的限制。例如,处理器可以“实时”地、“脱机”地、以“批模式”等等来执行其功能。处理的部分可在不同的时间和在不同的位置被不同的(或相同的)处理系统执行。
此说明书通篇提及“一个实施例”、“实施例”或“具体实施例”意思是,所描述的与实施例有关的特定的特征、结构或特性被包括在本发明的至少一个实施例中,并且未必被包括在所有实施例中。因此,词组“在一个实施例中”、“在实施例中”或“在具体实施例中”分别出现在此说明书通篇多个地方,并未必指相同的实施例。此外,本发明的任何具体实施例的特定的特征、结构或特性可以与一个或多个其他实施例以任何合适的方式被组合。将被理解的是,对在此描述和例示的本发明的实施例的其他变化和修改鉴于在此的教导是可以的,并且将被认为是本发明的精神和范围的部分。
本发明的实施例可通过利用程序化的多用途数字计算机来实现,通过利用应用,具体的集成电路,可编程逻辑器件,现场可编程门阵列,光学的、化学的、生物的、量子的或纳米工程(nanoengineered)系统、部件和机制可被使用。总的说来,本发明的实施例的功能可通过本领域所知的任何装置被实现。分布式的或联网的系统、部件和电路可被使用。数据的通信或转移可以是有线的、无线的或由任何其他装置进行。
还会被理解的是,在绘图/图表中所描绘的一个或多个元素在某些情况下还可以以更分离的或更集成的方式被实现,或者甚至被移除或者被使得不可操作的,这样根据特定应用是有用的。实现可被存储在机器可读介质中的程序或代码以允许计算机执行任何上述的方法,这还在本发明的精神和范围之内。
此外,绘图/图表中的任何信号箭头应当被认为仅是示例性的,而不是限制性的,除非另外具体注释出。此外,在此使用的术语“或”一般希望是“和/或”的意思,除非另外指出。部件或步骤的组合也被认为是被注意到的,其中并未详细描述被预见为提供分离或组合的能力的术语。
如在此的描述中以及权利要求通篇所使用的,“一”、“一个”和“该”包括复数指代,除非上下文明确另外规定。此外,如在此的描述中以及权利要求通篇所使用的,“中”的意思包括“中”和“上”,除非上下文明确另外规定。
对本发明的例示实施例的上述描述,包括摘要中所描述的内容,不希望是穷尽的或者将本发明限制到在此公开的准确形式。虽然本发明的具体实施例和示例仅出于示例性目的在此被描述,但是在本发明的精神和范围内多种等同修改是可以的,如相关领域的技术人员会意识到并理解的。如所指出的,鉴于对本发明的例示实施例的上述描述可对本发明进行这些修改,并且这些修改将被包括在本发明的精神和范围内。
因此,虽然本发明参考其特定实施例已在此被描述,但是自由的修改、多种改变和替代被希望在上述发明中,并且会被理解的是,在一些示例中本发明的实施例的一些特征会被使用而不对其他特征进行相应的使用,在不脱离所阐述的本发明的范围和精神的情况下。因此,可进行很多修改以使特定情形或材料适合于本发明的基本范围和精神。希望本发明不被限制到权利要求中所用的特定术语,并且/或者希望本发明不被限制到被公开为考虑用于执行此发明的最佳模式的特定实施例,但是希望本发明会包括落在权利要求的范围内的任何并且所有的实施例及等同物。
以上描述是示例性的但不是限制性的。基于对本发明的述评本发明的很多变化对于本领域的技术人员会变得清楚。因此,本发明的范围不应当参考以上描述来确定,而应当参考权利要求和它们的全部范围或等同物来确定。
Claims (33)
1.一种方法,包括:
以第一模式操作接入点,所述第一模式允许到网络的第一级别接入;
当以所述第一模式操作所述接入点时,检测对于可疑客户端的安全事件;
将除所述可疑客户端以外的一个或多个合法客户端转换到以所述第一模式操作的环境,所述被转换的一个或多个合法客户端仍然具有到所述网络的接入;以及
响应于检测到所述安全事件,从操作的所述第一模式改变至操作的第二模式,所述第二模式允许对所述网络的第二级别接入,所述第二级别接入在允许接入到所述网络方面比所述第一级别接入更具限制性。
2.如权利要求1所述的方法,还包括:执行一个或多个动作以确定关于所述可疑客户端的信息。
3.如权利要求2所述的方法,还包括:分析所述信息以确定所述可疑客户端是未授权客户端还是合法客户端。
4.如权利要求3所述的方法,还包括:如果确定出所述可疑客户端是合法客户端,则从所述第二模式改变至所述第一模式。
5.如权利要求1所述的方法,还包括:在从所述第一模式改变至所述第二模式之后,执行可疑客户端动作。
6.如权利要求5所述的方法,其中所述可疑客户端动作包括:从所述接入点断开所述可疑客户端。
7.如权利要求5所述的方法,其中所述可疑客户端动作包括:收集关于所述可疑客户端的信息。
8.如权利要求5所述的方法,其中所述可疑客户端动作包括:减缓对于所述可疑客户端的流量或者伪造流量。
9.如权利要求5所述的方法,其中所述可疑客户端动作包括:确定所述可疑客户端的物理位置。
10.如权利要求1所述的方法,其中转换除所述可疑客户端以外的所述一个或多个合法客户端包括:将所述一个或多个合法客户端从所述接入点切换到第二接入点。
11.如权利要求1所述的方法,其中转换除所述可疑客户端以外的所述一个或多个合法客户端包括:在所述接入点将所述一个或多个合法客户端与所述可疑客户端隔离。
12.如权利要求1所述的方法,其中从所述第一模式改变至所述第二模式包括:将所述接入点从所述第一模式改变至所述第二模式。
13.如权利要求1所述的方法,其中从所述第一模式改变至所述第二模式包括:响应于检测到所述安全事件,将所述可疑客户端转移到被配置为在操作的所述第二模式中操作的第二设备。
14.如权利要求1所述的方法,其中所述第一模式是允许访问所述网络的资源的正常操作模式。
15.如权利要求1所述的方法,其中所述网络包括广局域网(WLAN)。
16.一种接入点,所述接入点包括:
被配置为以第一模式来操作所述接入点的逻辑,所述第一模式允许到网络的第一级别接入;
安全事件检测器,其被配置为当以所述第一模式操作所述接入点时,检测对于可疑客户端的安全事件;
被配置为将除所述可疑客户端以外的一个或多个合法客户端转换到以所述第一模式操作的环境的逻辑,所述被转换的一个或多个客户端仍然具有到所述网络的接入;以及
被配置为响应于检测到所述安全事件而从操作的所述第一模式改变至操作的第二模式的逻辑,所述第二模式允许到所述网络的第二级别接入,其中所述第二级别在允许接入到所述网络方面比所述第一模式更具限制性。
17.如权利要求16所述的接入点,还包括:被配置为执行一个或多个动作以确定关于所述可疑客户端的信息的逻辑。
18.如权利要求17所述的接入点,还包括:被配置为分析所述信息以确定所述可疑客户端是未授权客户端还是合法客户端的逻辑。
19.如权利要求18所述的接入点,还包括:被配置为如果确定出所述可疑客户端是合法客户端,则从所述第二模式改变至所述第一模式的逻辑。
20.如权利要求16所述的接入点,还包括:被配置为在从所述第一模式改变至所述第二模式之后,执行可疑客户端动作的逻辑。
21.如权利要求20所述的接入点,其中所述可疑客户端动作包括:从所述接入点断开所述可疑客户端。
22.如权利要求20所述的接入点,其中所述可疑客户端动作包括:收集关于所述可疑客户端的信息。
23.如权利要求20所述的接入点,其中所述可疑客户端动作包括:减缓对于所述可疑客户端的流量或者伪造流量。
24.如权利要求20所述的接入点,其中所述可疑客户端动作包括:确定所述可疑客户端的物理位置。
25.如权利要求20所述的接入点,其中所述可疑客户端动作包括:从所述接入点断开所述可疑客户端。
26.如权利要求16所述的接入点,其中被配置为转换除所述可疑客户端以外的所述一个或多个合法客户端的逻辑包括:被配置为将所述一个或多个合法客户端从所述接入点切换到第二接入点的逻辑。
27.如权利要求16所述的接入点,其中被配置为转换除所述可疑客户端以外的所述一个或多个合法客户端的逻辑包括:被配置为在所述接入点将所述一个或多个合法客户端与所述可疑客户端隔离的逻辑。
28.如权利要求16所述的接入点,其中被配置为从所述第一模式改变至所述第二模式的逻辑包括:将所述接入点从所述第一模式改变至所述第二模式。
29.如权利要求16所述的接入点,其中被配置为从所述第一模式改变至所述第二模式的逻辑包括:响应于检测到所述安全事件,将所述可疑客户端转移到被配置为在操作的第二模式中操作的第二设备。
30.如权利要求16所述的接入点,其中所述第一模式是允许访问所述网络的资源的正常操作模式。
31.如权利要求16所述的接入点,其中所述网络包括广局域网(WLAN)。
32.一种系统,包括:
对于无线网络的多个接入点,其中,一个接入点被配置为:
以第一模式操作,所述第一模式允许到网络的第一级别接入;
当以所述第一模式操作所述接入点时,检测在一个或多个客户端中对于可疑客户端的安全事件;
将除所述可疑客户端以外的一个或多个合法客户端转换到以所述第一模式操作的环境,所述被转换的一个或多个客户端仍然具有到所述网络的接入;以及
响应于检测到所述安全事件,从操作的所述第一模式改变至操作的第二模式,所述第二模式允许到所述网络的第二级别接入,所述第二级别接入比所述第一级别接入更具限制性。
33.如权利要求32所述的系统,其中所述第一模式是允许访问所述网络的资源的正常操作模式。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/435,123 | 2006-05-16 | ||
| US11/435,123 US7788720B2 (en) | 2006-05-16 | 2006-05-16 | Techniques for providing security protection in wireless networks by switching modes |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800098328A Division CN101405698A (zh) | 2006-05-16 | 2007-04-26 | 用于通过切换模式提供无线网络中的安全保护的技术 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104244249A true CN104244249A (zh) | 2014-12-24 |
Family
ID=38713281
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800098328A Pending CN101405698A (zh) | 2006-05-16 | 2007-04-26 | 用于通过切换模式提供无线网络中的安全保护的技术 |
| CN201410403292.3A Pending CN104244249A (zh) | 2006-05-16 | 2007-04-26 | 用于通过切换模式提供无线网络中的安全保护的技术 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800098328A Pending CN101405698A (zh) | 2006-05-16 | 2007-04-26 | 用于通过切换模式提供无线网络中的安全保护的技术 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7788720B2 (zh) |
| EP (1) | EP2021923B1 (zh) |
| CN (2) | CN101405698A (zh) |
| WO (1) | WO2007136508A2 (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7570640B2 (en) * | 2007-04-09 | 2009-08-04 | Hewlett-Packard Development Company, L.P. | Locating original port information |
| US8254847B2 (en) * | 2007-04-23 | 2012-08-28 | Department 13, LLC | Distributed wireless communications for tactical network dominance |
| US8578176B2 (en) * | 2008-03-26 | 2013-11-05 | Protegrity Corporation | Method and apparatus for tokenization of sensitive sets of characters |
| CN101841878B (zh) * | 2009-03-16 | 2013-06-12 | 华为技术有限公司 | 通信网络中实现切换的方法、装置及系统 |
| CN102035855B (zh) * | 2010-12-30 | 2014-05-07 | 江苏省电力公司 | 网络安全事件关联分析系统 |
| US9119075B2 (en) | 2011-03-17 | 2015-08-25 | Nec Corporation | Communication system, base station, and countermeasure method against cyber attack |
| US20130007848A1 (en) * | 2011-07-01 | 2013-01-03 | Airtight Networks, Inc. | Monitoring of smart mobile devices in the wireless access networks |
| US9166732B2 (en) * | 2012-04-19 | 2015-10-20 | At&T Mobility Ii Llc | Facilitation of security employing a femto cell access point |
| US8997230B1 (en) | 2012-06-15 | 2015-03-31 | Square, Inc. | Hierarchical data security measures for a mobile device |
| US9916462B1 (en) | 2013-11-18 | 2018-03-13 | Securus Technologies, Inc. | Interception of unauthorized communications in an controlled-environment facility |
| US9525689B2 (en) | 2014-03-25 | 2016-12-20 | Symbol Technologies, Llc | Detection of an unauthorized wireless communication device |
| US10055581B2 (en) * | 2014-06-24 | 2018-08-21 | Symbol Technologies, Llc | Locating a wireless communication attack |
| WO2016010884A1 (en) * | 2014-07-14 | 2016-01-21 | Jpmorgan Chase Bank, N.A. | Systems and methods for management of mobile banking resources |
| US10055726B2 (en) | 2014-07-14 | 2018-08-21 | Jpmorgan Chase Bank, N.A. | Systems and methods for management of mobile banking resources |
| US10298563B2 (en) | 2015-04-29 | 2019-05-21 | Hewlett Packard Enterprise Development Lp | Multi-factor authorization for IEEE 802.1x-enabled networks |
| US10733594B1 (en) | 2015-05-11 | 2020-08-04 | Square, Inc. | Data security measures for mobile devices |
| US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| CN105554170B (zh) * | 2015-12-09 | 2019-06-14 | 福建星网锐捷网络有限公司 | 一种dns报文的处理方法、装置及系统 |
| US10630708B2 (en) * | 2016-01-08 | 2020-04-21 | Cyber Detection Services Inc | Embedded device and method of processing network communication data |
| US10373167B2 (en) | 2016-06-30 | 2019-08-06 | Square, Inc. | Logical validation of devices against fraud |
| US10546302B2 (en) | 2016-06-30 | 2020-01-28 | Square, Inc. | Logical validation of devices against fraud and tampering |
| US10496993B1 (en) | 2017-02-15 | 2019-12-03 | Square, Inc. | DNS-based device geolocation |
| US10552308B1 (en) | 2017-06-23 | 2020-02-04 | Square, Inc. | Analyzing attributes of memory mappings to identify processes running on a device |
| US10715536B2 (en) | 2017-12-29 | 2020-07-14 | Square, Inc. | Logical validation of devices against fraud and tampering |
| WO2019232262A1 (en) * | 2018-05-30 | 2019-12-05 | Arris Enterprises Llc | Load balancing among bands and access points in a wireless network |
| US11494762B1 (en) | 2018-09-26 | 2022-11-08 | Block, Inc. | Device driver for contactless payments |
| US11507958B1 (en) | 2018-09-26 | 2022-11-22 | Block, Inc. | Trust-based security for transaction payments |
| CN110493786B (zh) * | 2019-10-15 | 2020-01-07 | 北京翼辉信息技术有限公司 | 一种电子设备智能连接网络的方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040153665A1 (en) * | 2003-02-03 | 2004-08-05 | Logan Browne | Wireless network control and protection system |
| US20040157624A1 (en) * | 2002-05-20 | 2004-08-12 | Hrastar Scott E. | Systems and methods for adaptive location tracking |
| US20050037733A1 (en) * | 2003-08-12 | 2005-02-17 | 3E Technologies, International, Inc. | Method and system for wireless intrusion detection prevention and security management |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
| US7308713B1 (en) * | 2000-11-22 | 2007-12-11 | Intel Corporation | Link-lock device and method of monitoring and controlling a link for failures and intrusions |
| US7051367B1 (en) * | 2001-05-14 | 2006-05-23 | Juniper Networks, Inc. | Dynamically controlling packet processing |
| US7331061B1 (en) * | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
| US7058796B2 (en) * | 2002-05-20 | 2006-06-06 | Airdefense, Inc. | Method and system for actively defending a wireless LAN against attacks |
| US7418732B2 (en) * | 2002-06-26 | 2008-08-26 | Microsoft Corporation | Network switches for detection and prevention of virus attacks |
| US6986161B2 (en) * | 2002-08-12 | 2006-01-10 | Harris Corporation | Mobile ad-hoc network with intrusion detection features and related methods |
| US7082117B2 (en) * | 2002-08-12 | 2006-07-25 | Harris Corporation | Mobile ad-hoc network with intrusion detection features and related methods |
| US7441275B2 (en) * | 2003-05-14 | 2008-10-21 | Northrop Grumman Corporation | Real-time recovery of compromised information |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US7565430B2 (en) | 2003-10-01 | 2009-07-21 | At&T Intellectual Property I, L.P. | Firewall switching system for communication system applications |
-
2006
- 2006-05-16 US US11/435,123 patent/US7788720B2/en active Active
-
2007
- 2007-04-26 CN CNA2007800098328A patent/CN101405698A/zh active Pending
- 2007-04-26 WO PCT/US2007/010235 patent/WO2007136508A2/en active Application Filing
- 2007-04-26 CN CN201410403292.3A patent/CN104244249A/zh active Pending
- 2007-04-26 EP EP07756098.5A patent/EP2021923B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040157624A1 (en) * | 2002-05-20 | 2004-08-12 | Hrastar Scott E. | Systems and methods for adaptive location tracking |
| US20040153665A1 (en) * | 2003-02-03 | 2004-08-05 | Logan Browne | Wireless network control and protection system |
| US20050037733A1 (en) * | 2003-08-12 | 2005-02-17 | 3E Technologies, International, Inc. | Method and system for wireless intrusion detection prevention and security management |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2021923A2 (en) | 2009-02-11 |
| WO2007136508A3 (en) | 2008-10-02 |
| EP2021923A4 (en) | 2012-03-14 |
| US7788720B2 (en) | 2010-08-31 |
| US20070271457A1 (en) | 2007-11-22 |
| CN101405698A (zh) | 2009-04-08 |
| EP2021923B1 (en) | 2015-08-05 |
| WO2007136508A2 (en) | 2007-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104244249A (zh) | 用于通过切换模式提供无线网络中的安全保护的技术 | |
| KR102017810B1 (ko) | 모바일 기기용 침입방지장치 및 방법 | |
| EP2599026B1 (en) | System and method for local protection against malicious software | |
| US20090044270A1 (en) | Network element and an infrastructure for a network risk management system | |
| KR100358518B1 (ko) | 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템 | |
| US6981280B2 (en) | Intelligent network scanning system and method | |
| US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
| US20040215972A1 (en) | Computationally intelligent agents for distributed intrusion detection system and method of practicing same | |
| KR101753647B1 (ko) | 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 | |
| Bhati et al. | A comprehensive study of intrusion detection and prevention systems | |
| KR20040065674A (ko) | 통합형 호스트 기반의 보안 시스템 및 방법 | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| Peterson | Intrusion detection and cyber security monitoring of SCADA and DCS Networks | |
| Raju et al. | Network Intrusion Detection System Using KMP Pattern Matching Algorithm | |
| Farhaoui et al. | Creating a Complete Model of an Intrusion Detection System effective on the LAN | |
| Schölzel et al. | A viable SIEM approach for Android | |
| Гарасимчук et al. | Analysis of principles and systems for detecting remote attacks through the internet | |
| Abimbola et al. | NetHost-Sensor: Investigating the capture of end-to-end encrypted intrusive data | |
| Kaur et al. | Intrusion detection system using honeypots and swarm intelligence | |
| US20230269261A1 (en) | Arrangement and method of privilege escalation detection in a computer or computer network | |
| Mehta | REVIEW ON SECURITY OF MULTIMEDIA DATA OVER DISTRIBUTED NETWORK OVER IDS | |
| Berger et al. | Closing the loop: Network and in-host monitoring tandem for comprehensive cloud security visibility | |
| Patel | Importance of Intrusion Detection System on Different Intrusion Attacks | |
| Sangwan | REVIEW ON SECURITY OF MULTIMEDIA DATA OVER DISTRIBUTED NETWORK OVER IDS | |
| Ghazzawi et al. | Design and Implementation of an Efficient Intrusion Response System for 5G RAN Baseband Units |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141224 |
|
| RJ01 | Rejection of invention patent application after publication |