CN104660552A - 一种wlan网络入侵检测系统 - Google Patents
一种wlan网络入侵检测系统 Download PDFInfo
- Publication number
- CN104660552A CN104660552A CN201310584699.6A CN201310584699A CN104660552A CN 104660552 A CN104660552 A CN 104660552A CN 201310584699 A CN201310584699 A CN 201310584699A CN 104660552 A CN104660552 A CN 104660552A
- Authority
- CN
- China
- Prior art keywords
- intrusion detection
- module
- wlan
- message
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明公开了一种WLAN网络入侵检测系统,包括数据采集模块、入侵检测模块、报警模块和事件存储模块。数据采集模块负责对流经WLAN的报文进行捕获和过滤,将解码后的报文输入至入侵检测模块;入侵检测模块对报文进行入侵检测;报警模块根据检测结果,向服务器发出警告;事件存储模块记录WLAN中出现的入侵事件和攻击行为,并对入侵检测模块检测出的攻击数据,进行分析和统计。本发明通过对流经数据链路层的报文有针对性地进行捕获和解码,降低入侵检测的数据量,提高WLAN网络的入侵检测速度,通过报文特征匹配和对特定报文流的统计分析,提高入侵检测的速度、精确性和可靠性。
Description
技术领域
本发明属于计算机网络安全技术领域,更具体地涉及一种WLAN网络入侵检测系统。
背景技术
无线局域网(WLAN)是重要的无线通信技术,随着技术的进步,无线局域网因其组网灵活、可移动、易伸缩、经济性高的特点获得了高速发展,然而由于其终端的分散性,组网的随机性,相对于有线网络更容易受到安全威胁,容易受到黑客的入侵攻击,导致通信的安全性下降。
然而有线网络环境下的诸如防火墙等安全方法不能直接应用于无线局域网环境。而入侵检测作为一种积极主动的安全防护技术,能够灵活的针对各种网络结构的特性,主动监测计算机网络或者系统,并能够对外部攻击、内部攻击以及错误操作的进行实时保护,形成有效的安全策略,对计算机网络或者系统起着主动防御的作用,是计算机安全和网络安全必不可少的一个组成部分。
入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统从单个主机上提取数据(如系统日志等)作为入侵分析的数据源,而基于网络的入侵检测系统从网络上提取网络报文作为入侵分析的数据源。通常来说基于主机的入侵检测系统只能检测单个主机系统,而基于网络的入侵检测系统可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。
目前,入侵检测系统面临的主要问题是检测速度低,负荷大,来不及处理网络中传输的大量数据。WLAN网络由于其信道的开放,以及没有有线连接,入侵发生的可能性更大,因此,如何提高检测速度以及检测的精确度和可靠性已成为亟待解决的问题。
发明内容
本发明针对WLAN网络的特点,对流经数据链路层的报文有针对性地进行捕获和解码,降低入侵检测的数据量,提高WLAN网络的入侵检测速度,通过对报文进行特征匹配以及对特定报文流进行统计分析检测,提高入侵检测的速度、精确性和可靠性。
一种WLAN网络入侵检测系统,包括数据采集模块、入侵检测模块、报警模块和事件存储模块。
数据采集模块负责对流经WLAN的报文进行捕获和过滤,将解码后的报文输入至入侵检测模块;
入侵检测模块对报文进行入侵检测;
报警模块根据检测结果,向服务器发出警告;
事件存储模块记录WLAN中出现的入侵事件和攻击行为,并对入侵检测模块检测出的攻击数据,进行分析和统计。
数据采集模块包括报文捕获单元和协议解码单元,其中:报文捕获单元负责对流经WLAN的数据流进行捕获;协议解码单元负责对捕获的报文进行分析,将可疑报文提交至入侵检测模块。
入侵检测模块包括特征匹配单元和分类检测单元,其中:特征匹配单元针对解码后
的报文根据不同帧类型进行相应匹配检测;统计分析单元将对没有匹配成功的特定报文流进行统计,根据帧类型确定时间阀值和数量阀值,当在时间阀值内的特定报文数量达到数量阀值,说明短时间内的该类型的报文流量存在异常,判定发生入侵事件;时间阀值选择区间为20—60分钟,数量阀值选择区间为30-80次。
附图说明
图1为WLAN网络入侵检测系统结构图。
图2为报文捕获过程示意图。
图3为分类匹配单元示意图。
图4为统计分析单元工作流程图。
具体实施方式
一种WLAN网络入侵检测系统,包括数据采集模块、入侵检测模块、报警模块和事件存储模块。
数据采集模块负责监听、捕获网络中的原始网络包,并按照过滤要求进行网络包过滤,由报文捕获和协议解码两个单元组成。报文捕获单元采用了基于 BPF(Berkeley Packet Filter,洛仓兹伯克利实验室开发的伯克利网络包过滤器)结构的WinPcap(Windows Packet Capture library)函数库,该函数库为用户进行底层网络数据捕获提供了一组易于移植的编程接口,对编程的效率有极大的提升,利用该函数捕获报文的流程如图2所示,首先将网卡设置为混杂模式,编译并设置过滤规则,循环抓取流经WLAN网络中的数据报文,并对捕获的报文进行处理,初步的筛选和过滤。
协议解码单元按照IEEE 802.11b协议的格式对原始报文进行解码,解码出数据帧、管理真、控制帧,并将解码后的数据输入入侵检测模块。
入侵检测模块包括特征匹配单元和分类检测单元,特征匹配单元根据解码后的报文,针对不同帧类型进行相应的匹配检测,如图3所示,管理帧调用管理帧检测函数,数据帧调用数据帧检测函数,控制帧调用控制帧检测函数。然后将匹配成功的报文送入分类检测单元进行进一步检测。
对于没有匹配成功的报文,也不意味着就没有入侵攻击。如果某段时间内特定报文的数量超过了一定阀值,则也说明产生了入侵行为。
因此,在特征匹配检测后,还需要通过统计分析单元对报文进行进一步统计分析,如图4所示,
首先根据帧类型确定时间阀值和数量阀值,然后计数器加1(未有该类型出现之间,计数器的初始值为0),如果计数器为1,则记录下初始时间,如果不是1,看计数器的数值是否大于阀值,如果没有大于阀值,则表明尚未有攻击,如果大于阀值,则计算当前时间与初始时间的时间差,如果时间差没有大于阀值,则表明还不存在攻击,如果大于阀值,则表达存在攻击行为。时间阀值优选为1个小时,数量阀值根据所检测的帧的类型不同,阀值的设定也不同,一般地数量阀值选择为50次。
报警模块在WLAN网络入侵检测系统中起着承上启下的作用,一方面报警模块根据入侵检测模块的检测结果,对入侵行为进行响应,另一方面,将含有入侵信息的报文输送至事件存储模块。
事件存储模块根据报警模块输送的入侵事件,进行记录,并对入侵信息进行统计和分析,更新匹配规则,提高入侵检测的精确性。
Claims (5)
1.一种WLA N网络入侵检测系统,其特征在于包括以下部分:数据采集模块、入侵检测模块、报警模块、事件存储模块;其中,
数据采集模块负责对流经WLAN的报文进行过滤和提取,将可疑报文输入至入侵检测模块;
入侵检测模块对报文进行入侵检测,包括特征匹配单元和统计分析单元,其中:
特征匹配单元针对解码后的报文根据不同帧类型进行相应匹配检测;
统计分析单元将对没有匹配成功的特定报文流进行统计,确定时间阀值和数量阀值,当在时间阀值内的特定报文数量达到数量阀值,则判定发生入侵事件;时间阀值选择区间为20—60分钟,数量阀值选择区间为30-80次;
报警模块根据检测结果,向服务器发出警告;
事件存储模块记录WLAN中出现的入侵事件和攻击行为,并对入侵检测模块检测出的攻击数据,进行统计和分析。
2.根据权利1要求所述的WLAN网络入侵检测系统,其特征还在于,所述数据采集模块包括报文捕获单元和协议解码单元,其中:
报文捕获单元负责对流经WLAN的数据流进行捕获和过滤;
协议解码单元负责对捕获的报文进行解码,将解码后的报文提交至入侵检测模块。
3.根据权利要求2所述的WLAN网络入侵检测系统,其特征还在于,所述报文捕获单元针对数据链路层的数据进行捕获。
4.根据权利要求2或3所述的WLAN网络入侵检测系统,其特征还在于,所述协议解码单元按照IEEE802.11b协议格式进行分析。
5.根据权利要求2或3所述的WLAN网络入侵检测系统,其特征还在于,所述报文捕获单
元采用伯克利数据包过滤器BPF(Berkeley Packet Filter)进行数据捕获。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310584699.6A CN104660552A (zh) | 2013-11-20 | 2013-11-20 | 一种wlan网络入侵检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310584699.6A CN104660552A (zh) | 2013-11-20 | 2013-11-20 | 一种wlan网络入侵检测系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104660552A true CN104660552A (zh) | 2015-05-27 |
Family
ID=53251260
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310584699.6A Pending CN104660552A (zh) | 2013-11-20 | 2013-11-20 | 一种wlan网络入侵检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104660552A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105450647A (zh) * | 2015-11-27 | 2016-03-30 | 上海斐讯数据通信技术有限公司 | 一种防止报文攻击的方法及系统 |
CN105959255A (zh) * | 2016-01-08 | 2016-09-21 | 杭州迪普科技有限公司 | 入侵报文的分流方法及装置 |
CN106209902A (zh) * | 2016-08-03 | 2016-12-07 | 常熟高新技术创业服务有限公司 | 一种应用于知识产权运营平台的网络安全系统及检测方法 |
CN106534100A (zh) * | 2016-11-07 | 2017-03-22 | 深圳市楠菲微电子有限公司 | 交换机芯片中基于自定义字段分布式攻击检测方法及装置 |
CN108111501A (zh) * | 2017-12-15 | 2018-06-01 | 百度在线网络技术(北京)有限公司 | 作弊流量的控制方法、装置和计算机设备 |
CN108282488A (zh) * | 2018-02-06 | 2018-07-13 | 山东渔翁信息技术股份有限公司 | 一种利用隐身设备对服务器进行隐身的方法、装置及系统 |
CN108600216A (zh) * | 2018-04-19 | 2018-09-28 | 丙申南京网络技术有限公司 | 一种网络入侵检测系统 |
CN110602030A (zh) * | 2019-05-16 | 2019-12-20 | 上海云盾信息技术有限公司 | 网络入侵阻断方法、服务器及计算机可读介质 |
CN112995141A (zh) * | 2021-02-04 | 2021-06-18 | 浙江睿朗信息科技有限公司 | 一种入侵检测方法及具有入侵检测功能的物联网终端 |
CN113641991A (zh) * | 2021-07-21 | 2021-11-12 | 的卢技术有限公司 | 一种汽车安全审计方法及系统 |
-
2013
- 2013-11-20 CN CN201310584699.6A patent/CN104660552A/zh active Pending
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105450647A (zh) * | 2015-11-27 | 2016-03-30 | 上海斐讯数据通信技术有限公司 | 一种防止报文攻击的方法及系统 |
CN105450647B (zh) * | 2015-11-27 | 2019-07-12 | 上海斐讯数据通信技术有限公司 | 一种防止报文攻击的方法及系统 |
CN105959255A (zh) * | 2016-01-08 | 2016-09-21 | 杭州迪普科技有限公司 | 入侵报文的分流方法及装置 |
CN106209902A (zh) * | 2016-08-03 | 2016-12-07 | 常熟高新技术创业服务有限公司 | 一种应用于知识产权运营平台的网络安全系统及检测方法 |
CN106534100A (zh) * | 2016-11-07 | 2017-03-22 | 深圳市楠菲微电子有限公司 | 交换机芯片中基于自定义字段分布式攻击检测方法及装置 |
CN108111501A (zh) * | 2017-12-15 | 2018-06-01 | 百度在线网络技术(北京)有限公司 | 作弊流量的控制方法、装置和计算机设备 |
CN108111501B (zh) * | 2017-12-15 | 2021-08-20 | 百度在线网络技术(北京)有限公司 | 作弊流量的控制方法、装置和计算机设备 |
CN108282488A (zh) * | 2018-02-06 | 2018-07-13 | 山东渔翁信息技术股份有限公司 | 一种利用隐身设备对服务器进行隐身的方法、装置及系统 |
CN108600216A (zh) * | 2018-04-19 | 2018-09-28 | 丙申南京网络技术有限公司 | 一种网络入侵检测系统 |
CN110602030A (zh) * | 2019-05-16 | 2019-12-20 | 上海云盾信息技术有限公司 | 网络入侵阻断方法、服务器及计算机可读介质 |
CN112995141A (zh) * | 2021-02-04 | 2021-06-18 | 浙江睿朗信息科技有限公司 | 一种入侵检测方法及具有入侵检测功能的物联网终端 |
CN113641991A (zh) * | 2021-07-21 | 2021-11-12 | 的卢技术有限公司 | 一种汽车安全审计方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104660552A (zh) | 一种wlan网络入侵检测系统 | |
CN103179105B (zh) | 一种基于网络流量中行为特征的智能木马检测装置及其方法 | |
CN109271793B (zh) | 物联网云平台设备类别识别方法及系统 | |
Yu et al. | Smart home security analysis system based on the internet of things | |
CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及系统 | |
CN112468488A (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
CN105959144A (zh) | 面向工业控制网络的安全数据采集与异常检测方法与系统 | |
CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
CN105554016A (zh) | 网络攻击的处理方法和装置 | |
CN102333313A (zh) | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 | |
CN109922048B (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 | |
CN1725709A (zh) | 网络设备与入侵检测系统联动的方法 | |
CN104091122A (zh) | 一种移动互联网恶意数据的检测系统 | |
CN109104438A (zh) | 一种窄带物联网中的僵尸网络预警方法及装置 | |
CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
CN105007175A (zh) | 一种基于openflow的流深度关联分析方法及系统 | |
CN111641591A (zh) | 云服务安全防御方法、装置、设备及介质 | |
CN113810362A (zh) | 一种安全风险检测处置系统及其方法 | |
CN101902365A (zh) | 一种广域网p2p流量监控方法及系统 | |
D’Antonio et al. | High-speed intrusion detection in support of critical infrastructure protection | |
Lu et al. | Detecting network anomalies using CUSUM and EM clustering | |
CN114513342B (zh) | 一种智能变电站通信数据安全监测方法及系统 | |
CN103107907A (zh) | 一种基于事件流追加推动方式的安全响应方法 | |
CN103338183A (zh) | 一种入侵检测系统与防火墙联动的方法 | |
CN114285633B (zh) | 一种计算机网络安全监控方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150527 |