CN104852894B - 一种无线报文侦听检测方法、系统及中控服务器 - Google Patents

Abstract

本发明公开了一种无线报文的侦听检测方法、系统及中控服务器，传感器采集无线热点和客户端装置的无线数据包，并将无线数据包发送到中控服务器；中控服务器从无线数据包中解析出特征信息并存储；中控服务器根据攻击指纹库中设置的指纹信息和攻击事件模型对无线数据包进行匹配检测，获得检测结果。本发明的无线报文的侦听检测方法、系统及中控服务器，通过预先设置的攻击指纹库对采集的无线数据包或报文进行匹配检测，可以检测出对无线网络的攻击事件，提高了无线网络的安全性，也能够实现无线热点安全评估、违规热点一键阻断等功能，并可以兼容企业各种无线网环境，不影响企业现有无线网结构，能够无缝部署，进行智能、便捷管理。

Description

一种无线报文侦听检测方法、系统及中控服务器

技术领域

本发明涉及网络安全技术领域，尤其涉及一种无线报文的侦听检测方法、系统及中控服务器。

背景技术

随着网络技术的发展，无线网络因为其便利性，应用范围越来越广泛，无线技术的飞速发展和日渐成熟，越来越多的移动设备和移动终端也支持无线传输功能，极大地改善了人们的生活质量，加快了社会发展的进程，也使信息共享及应用更加广泛和深入。同有线网络一样，安全性以及访问可控性等网络安全技术，对于无线网络而言同样需要得到高度重视。

在无线网络中，数据传输是利用微波在空气中进行辐射传播，攻击者可以通过入侵网络中无线接入点所覆盖的任何位置，侦听、拦截、重放、破坏用户的通信数据。由于无线网络的特殊性，攻击者无须物理连线就可以对无线网络发起攻击。更为重要的是，一部分无线路由并没有设置进入口令，使得无线网络的安全性非常低，即便一部分无线路由进行了无线加密协议WEP、WPA等口令设置，但是在各种破解攻略以及破解工具充斥整个网络的环境下，这些防范性能较低的技术对攻击者而言也是形同虚设。也有一些无线路由器具有一定安全限度的防火墙，但是目前而言功能还较为有限。总之，目前的无线网络还不是很安全。

发明内容

有鉴于此，本发明要解决的一个技术问题是提供一种无线报文的侦听检测方法，可以检测出对无线网络的攻击事件。

一种无线报文的侦听检测方法，其中：中控服务器接收到无线热点和客户端装置的无线数据包；所述中控服务器从所述无线数据包中解析出特征信息并存储；所述中控服务器根据攻击指纹库中设置的指纹信息和攻击事件模型对所述无线数据包进行匹配检测，获得检测结果。

根据本发明的一个实施例，进一步的，当所述中控服务器判断所述无线数据包为WPA数据包时，所述中控服务器将所述WAP数据包与所述攻击指纹库中的断线包指纹进行匹配，如果匹配成功，则确定所述WAP数据为断线包并确定受到攻击，将发送此断线包的源MAC地址加入到动态黑名单中。

根据本发明的一个实施例，进一步的，所述中控服务器统计各个客户端装置连接的无线热点的数量；当判断某个客户端装置在某一时间段内连接的无线热点的数量超过预设的阈值时，则确定此客户端装置为可疑设备，并将此客户端装置的源MAC地址加入到动态黑名单中。

根据本发明的一个实施例，进一步的，所述中控服务器统计所述无线数据包中的无线热点的SSID名称；当所述中控服务器判断出现SSID名称相同的多个无线热点、并且所述多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的频率阈值时，则确定出现异常。

根据本发明的一个实施例，进一步的，当所述中控服务器判断某个无线热点的SSID名称长度超过预设的长度阈值时，则确定此无线热点受到攻击，并将发起攻击的源MAC地址加入到动态黑名单中。

根据本发明的一个实施例，进一步的，传感器包括无线网卡；所述传感器实时或定时采集无线网络中无线热点、客户端装置接收或发送的无线数据包，并发送到所述中控服务器；所述传感器向所述中控服务器发送所述无线数据包采用的协议包括：802.1X；所述无线热点包括：无线路由器、无线AP；所述客户端装置包括：移动终端、PC、笔记本电脑。

根据本发明的一个实施例，进一步的，所述中控服务器根据所述特征信息、以及检测结果实时生成所述无线热点和客户端装置的状态信息，并将所述状态信息发送到监控终端进行显示；当所述中控服务器确定无线网络受到攻击或出现异常时，将告警信息发送到监控终端进行显示；所述监控终端包括：移动终端、PC、笔记本电脑；所述特征信息包括：SSID名称、热点加密方式、频道、MAC地址、客户端MAC地址、QSS信息、WPS信息、认证信息。

本发明要解决的一个技术问题是提供一种中控服务器，可以检测出对无线网络的攻击事件。

一种中控服务器，包括：信息接收单元，用于接收无线热点和客户端装置的无线数据包；信息解析单元，用于从所述无线数据包中解析出特征信息并存储；入侵判断单元，用于根据攻击指纹库中设置的指纹信息和攻击事件模型对所述无线数据包进行匹配检测，获得检测结果。

根据本发明的一个实施例，进一步的，所述入侵判断单元，还用于当判断所述无线数据包为WPA数据包时，将所述WAP数据包与所述攻击指纹库中的断线包指纹进行匹配，如果匹配成功，则确定所述WAP数据为断线包并确定受到攻击，将发送此断线包的源MAC地址加入到动态黑名单中。

根据本发明的一个实施例，进一步的，所述入侵判断单元，还用于统计各个客户端装置连接的无线热点的数量；当判断某个客户端装置在某一时间段内连接的无线热点的数量超过预设的阈值时，则确定此客户端装置为可疑设备，并将此客户端装置的源MAC地址加入到动态黑名单中。

根据本发明的一个实施例，进一步的，所述入侵判断单元，还用于统计各个无线热点的SSID名称；当判断出现SSID名称相同的多个无线热点、并且所述多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的频率阈值时，则确定出现异常。

根据本发明的一个实施例，进一步的，所述入侵判断单元，还用于当判断SSID名称长度超过预设的长度阈值时，则确定此无线热点受到攻击，并将发起攻击的源MAC地址加入到动态黑名单中。

根据本发明的一个实施例，进一步的，还包括：信息处理单元，用于根据所述特征信息、以及检测结果实时生成所述无线热点和客户端装置的状态信息，并将所述状态信息发送到监控终端进行显示；当确定无线网络受到攻击或出现异常时，将告警信息发送到监控终端进行显示；所述监控终端包括：移动终端、PC、笔记本电脑；所述特征信息包括：SSID名称、热点加密方式、频道、MAC地址、客户端MAC地址、QSS信息、WPS信息、认证信息。

本发明提供一种无线报文的侦听检测系统，包括：如上所述的中控服务器；传感器，用于采集无线热点和客户端装置的无线数据包，并将所述无线数据包发送到所述中控服务器；

根据本发明的一个实施例，进一步的，所述传感器包括无线网卡；所述传感器实时或定时采集无线网络中无线热点、客户端装置接收或发送的无线数据包；所述传感器向所述中控服务器发送所述无线数据包采用的协议包括：802.1X；所述无线热点包括：无线路由器、无线AP；所述客户端装置包括：移动终端、PC、笔记本电脑。

本发明的无线报文的侦听检测方法、系统及中控服务器，通过预先设置的攻击指纹库对采集的无线数据包或报文进行匹配检测，可以检测出对无线网络的攻击事件，提高了无线网络的安全性，也能够实现无线热点安全评估、违规热点一键阻断等功能，并可以兼容企业各种无线网环境，不影响企业现有无线网结构，能够无缝部署，进行智能、便捷管理。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明的无线报文的侦听检测方法的一个实施例的流程图；

图2为根据本发明的无线报文的侦听检测系统的一个实施例的示意图；

图3为根据本发明的无线报文的侦听检测系统的另一个实施例的示意图；

图4为监控终端显示的无线网络的一个状态示意图；

图5为监控终端显示的无线网络的另一个状态示意图。

具体实施方式

下面参照附图对本发明进行更全面的描述，其中说明本发明的示例性实施例。下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为根据本发明的无线报文的侦听检测方法的一个实施例的流程图；如图1所示：

步骤101，传感器采集无线热点和客户端装置的无线数据包，并将无线数据包发送到中控服务器。

步骤102，中控服务器从无线数据包中解析出特征信息并存储。

步骤103，中控服务器根据攻击指纹库中设置的指纹信息和攻击事件模型对无线数据包进行匹配检测，获得检测结果。如果匹配成功，则确定受到攻击或出现异常。当确定受到攻击或出现异常时，可以发送告警信息，或进行加入黑名单、控制下线等处理。

传感器包括无线网卡，传感器能够实时或定时采集无线网络中无线热点、客户端装置接收或发送的无线数据包。无线数据包的格式可以为802.11等。传感器向中控服务器发送无线数据包采用的协议包括：802.1X等，例如，采用WI-FI方式。

传感器将侦测到的全量热点信息回传中控服务器。热点即Hotspot，是指在公共场所提供无线局域网(WLAN)接入Internet服务的地点，在无线热点覆盖的地区，用户可以通过使用装有内置或外置无线网卡的笔记本电脑和PDA，来实现对Internet的接入。无线热点包括：无线路由器、无线AP等。客户端装置包括：移动终端、PC、笔记本电脑等。

中控服务器对全量信息进行处理，从数据包中解析出需要的信息并存储，包括：SSID、热点加密方式(wep、wpa等)、频道、MAC地址、客户端(client)MAC地址、QSS/WPS快速认证、Radius企业级认证等。对解析出的报文与攻击指纹库进行匹配，若匹配成功，则检测到攻击或异常。

本发明的无线报文的侦听检测方法，通过预先设置的攻击指纹库对采集的无线数据包或报文进行匹配检测，可以检测出对无线网络的攻击事件，提高了无线网络的安全性，也能够实现无线热点安全评估、违规热点一键阻断等功能。

攻击指纹库主要存储有各种攻击数据包的指纹，以及针对无线网络的网络攻击模型、密码破解模型、用户访问记录等信息。目前，主要的攻击有：无线网络发现(Network Discovery)、DOS攻击、假冒AP、窃听(Eavesdropping)、身份盗窃(Identity Theft)、取消认证攻击、时间攻击(Duration Attack)等等。在一个实施例中，当中控服务器判断无线数据包为WPA数据包时，中控服务器将WAP数据包与攻击指纹库中的断线包指纹进行匹配，如果匹配成功，则确定WAP数据为断线包并确定受到攻击，将发送此断线包的源MAC地址加入到动态黑名单中，或者，根据管理人员或用户的确认，也可以将发送此断线包的源MAC地址加入到动态白名单中。

WAP攻击的方式是获取握手包后进行暴力破解，以获得用户的域账户和密码，正常连接时并无握手包，握手包只在连接时才有，因此，此类WAP攻击就模拟客户端MAC地址发送断线包(去关联或去认证)至热点，而正常客户端发现连接中断后会重新连接，此时会重新发送握手包，攻击者即可采集到此握手包以进行破解。针对这种攻击，在攻击指纹库里预先配置了各种断线包，如果检测到有断线包发送至热点，则说明有疑似攻击(正常情况下一般不发送断线包)。

在一个实施例中，中控服务器统计各个客户端装置连接的无线热点的数量。当判断某个客户端装置在某一时间段内连接的无线热点的数量超过预设的阈值时，则确定此客户端装置为可疑设备，并将此客户端装置的源MAC地址加入到动态黑名单中，或者，根据管理人员或用户的确认，也可以将客户端装置的源MAC地址加入到动态白名单中。当检测到有客户端频繁连接超过预定数量的热点时，说明该客户端可能是扫描器，尝试破解局域网内的热点。

在一个实施例中，中控服务器统计无线数据包中的无线热点的SSID名称。当中控服务器判断出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的频率阈值时，则确定出现异常。例如，检测到SSID相同的两个热点，而其中一个热点收到频繁发送的断线包，则判断真实热点正在被攻击，攻击者通过设置一个伪热点，对真实的热点进行攻击，迫使客户端连接至伪热点。

在一个实施例中，当中控服务器判断某个无线热点的SSID名称长度超过预设的长度阈值时，则确定此无线热点受到攻击，并将发起攻击的源MAC地址加入到动态黑名单中。SSID(Service Set Identifier：服务集标识)用来区分不同的无线网络。出厂默认的SSID名称一般是产品的型号。SSID超长，则攻击者可能在进行溢出攻击，在攻击指纹库中设置此类攻击的指纹，以自动识别攻击。

中控服务器根据特征信息、以及检测结果实时生成无线热点和客户端装置的状态信息，并将状态信息发送到监控终端进行显示。监控终端包括：移动终端、PC、笔记本电脑等。特征信息包括：SSID名称、热点加密方式、频道、MAC地址、客户端MAC地址、QSS(Quick SecureSetup：快速安全设置)信息、WPS(Wi-Fi Protected Setup：Wi-Fi保护设置)信息、认证信息等等。

如图2所示，本发明提供一种无线报文的侦听检测系统，包括：传感器31、32和中控服务器33。传感器31、32采集无线热点和客户端装置的无线数据包，并将无线数据包发送到中控服务器33。中控服务器33包括：信息解析单元331、入侵判断单元332、信息处理单元333。

信息解析单元331从无线数据包中解析出特征信息并存储。入侵判断单元332根据攻击指纹库中设置的指纹信息和攻击事件模型对无线数据包进行匹配检测，获得检测结果。

信息处理单元333根据特征信息、以及检测结果实时生成无线热点和客户端装置的状态信息，并将状态信息发送到监控终端进行显示。监控终端包括：移动终端、PC、笔记本电脑；特征信息包括：SSID名称、热点加密方式、频道、MAC地址、客户端MAC地址、QSS信息、WPS信息、认证信息。

当入侵判断单元332判断无线数据包为WPA数据包时，将WAP数据包与攻击指纹库中的断线包指纹进行匹配，如果匹配成功，则确定WAP数据为断线包并确定受到攻击，将发送此断线包的源MAC地址加入到动态黑名单中。在无线控制器AC上将该客户端强制下线。

入侵判断单元332统计各个客户端装置连接的无线热点的数量。当入侵判断单元332判断某个客户端装置在某一时间段内连接的无线热点的数量超过预设的阈值时，则确定此客户端装置为可疑设备，并将此客户端装置的源MAC地址加入到动态黑名单中。

入侵判断单元332统计各个无线热点的SSID名称。当判断出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的频率阈值时，则确定出现异常。

当入侵判断单元332判断SSID名称长度超过预设的长度阈值时，则确定此无线热点受到攻击，并将发起攻击的源MAC地址加入到动态黑名单中。

传感器31、32包括无线网卡311、321。传感器31、32实时或定时采集无线网络中无线热点、客户端装置接收或发送的无线数据包。传感器31、32向中控服务器33发送无线数据包采用的协议包括：802.1X；无线热点包括：无线路由器、无线AP；客户端装置包括：移动终端、PC、笔记本电脑。

如图3所示，本发明提供的一种无线报文的侦听检测系统，可以面向企业的无线热点安全管理，包括：传感器41、中控服务器42、Web端热点管理平台43和移动终端44。Web端热点管理平台43和移动终端44可以作为监控装置，也可以作为管理装置。

传感器41进行无线热点和客户端装置的信息采集。中控服务器42可以采用分布式的方式进行传感器数据管理，并执行检测功能。Web端管理平台43可以设置安全等级，进行分级预警；Web端管理平台43可以对于无线热点的黑、白名单进行管理；Web端管理平台43管理攻击指纹库并对传感器的状况进行监控；Web端管理平台43可以对无线热点及客户端的状态进行监控，并可以对各个热点下发指令，如图4、5所示。移动终端44能够展示告警信息，并可以执行与平台进行数据联动处理等功能。

本发明的无线报文的侦听检测系统作为一种入侵防御系统，可以是面向企业的无线热点安全管理平台，由传感器、中控服务器、Web端热点管理平台和移动终端组成。移动终端可用于告警信息展示、与平台数据联动、附近热点扫描等等。Web端热点管理平台的功能包括：设置安全等级进行分级预警、热点黑白名单管理、设置并维护攻击行为指纹库、传感器状况监控等等。

本发明的无线报文的侦听检测系统，具有三重安全防护体系、能够全方位预防和监控无线热点，可以将攻击者拒之门外。传感器采用分布式管理方式，热点管理平台能够随时掌握各个传感器的状况，并且能够兼容企业的各种无线网环境，不影响企业现有的无线网结构。采集的无线热点信息齐全，并可以实现PC端、移动端同步监控，能够方便地管理并追踪热点，同时实现分级预警功能，界面友好易操作。

上述实施例提供的无线报文的侦听检测方法、系统及中控服务器，通过预先设置的攻击指纹库对采集的无线数据包或报文进行匹配检测，可以检测出对无线网络的攻击事件，提高了无线网络的安全性，也能够实现无线热点安全评估、违规热点一键阻断等功能，并可以兼容企业各种无线网环境，不影响企业现有无线网结构，能够无缝部署，进行智能、便捷管理。

本发明的实施例公开了：

A1、一种无线报文的侦听检测方法，其中：

中控服务器接收无线热点和客户端装置的无线数据包；

所述中控服务器从所述无线数据包中解析出特征信息并存储；

所述中控服务器根据攻击指纹库中设置的指纹信息和攻击事件模型对所述无线数据包进行匹配检测，获得检测结果。

A2、如权利要求A1所述的方法，其特征在于：

当所述中控服务器判断所述无线数据包为WPA数据包时，所述中控服务器将所述WAP数据包与所述攻击指纹库中的断线包指纹进行匹配，如果匹配成功，则确定所述WAP数据为断线包并确定受到攻击，将发送此断线包的源MAC地址加入到动态黑名单中。

A3、如权利要求A1或A2所述的方法，其特征在于：

所述中控服务器统计各个客户端装置连接的无线热点的数量；当判断某个客户端装置在某一时间段内连接的无线热点的数量超过预设的阈值时，则确定此客户端装置为可疑设备。

A4、如权利要求A1或A2所述的方法，其特征在于：

所述中控服务器统计所述无线数据包中的无线热点的SSID名称；当所述中控服务器判断出现SSID名称相同的多个无线热点、并且所述多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的频率阈值时，则确定出现异常。

A5、如权利要求A4所述的方法，其特征在于：

当所述中控服务器判断某个无线热点的SSID名称长度超过预设的长度阈值时，则确定此无线热点受到攻击，并将发起攻击的源MAC地址加入到动态黑名单中。

A6、如权利要求A1所述的方法，其特征在于：

传感器实时或定时采集无线网络中无线热点、客户端装置接收或发送的无线数据包，并发送到所述中控服务器；其中，所述传感器包括无线网卡；

所述传感器向所述中控服务器发送所述无线数据包采用的协议包括：802.1X；

所述无线热点包括：无线路由器、无线AP；所述客户端装置包括：移动终端、PC、笔记本电脑。

A7、如权利要求A1所述的方法，其特征在于：

所述中控服务器根据所述特征信息、以及检测结果实时生成所述无线热点和客户端装置的状态信息，并将所述状态信息发送到监控终端进行显示；

当所述中控服务器确定无线网络受到攻击或出现异常时，将告警信息发送到监控终端进行显示；

所述监控终端包括：移动终端、PC、笔记本电脑；所述特征信息包括：SSID名称、热点加密方式、频道、MAC地址、客户端MAC地址、QSS信息、WPS信息、认证信息。

B8、一种中控服务器，其特征在于，包括：

信息接收单元，用于接收无线热点和客户端装置的无线数据包；

信息解析单元，用于从所述无线数据包中解析出特征信息并存储；

入侵判断单元，用于根据攻击指纹库中设置的指纹信息和攻击事件模型对所述无线数据包进行匹配检测，获得检测结果。

B9、如权利要求B8所述的中控服务器，其特征在于：

所述入侵判断单元，还用于当判断所述无线数据包为WPA数据包时，将所述WAP数据包与所述攻击指纹库中的断线包指纹进行匹配，如果匹配成功，则确定所述WAP数据为断线包并确定受到攻击，将发送此断线包的源MAC地址加入到动态黑名单中。

B10、如权利要求B8或B9所述的中控服务器，其特征在于：

所述入侵判断单元，还用于统计各个客户端装置连接的无线热点的数量；当判断某个客户端装置在某一时间段内连接的无线热点的数量超过预设的阈值时，则确定此客户端装置为可疑设备。

B11、如权利要求B8或B9所述的中控服务器，其特征在于：

所述入侵判断单元，还用于统计各个无线热点的SSID名称；当判断出现SSID名称相同的多个无线热点、并且所述多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的频率阈值时，则确定出现异常。

B12、如权利要求B11所述的中控服务器，其特征在于：

所述入侵判断单元，还用于当判断SSID名称长度超过预设的长度阈值时，则确定此无线热点受到攻击，并将发起攻击的源MAC地址加入到动态黑名单中。

B13、如权利要求B8所述的中控服务器，其特征在于：

还包括：

信息处理单元，用于根据所述特征信息、以及检测结果实时生成所述无线热点和客户端装置的状态信息，并将所述状态信息发送到监控终端进行显示；当确定无线网络受到攻击或出现异常时，将告警信息发送到监控终端进行显示；

所述监控终端包括：移动终端、PC、笔记本电脑；所述特征信息包括：SSID名称、热点加密方式、频道、MAC地址、客户端MAC地址、QSS信息、WPS信息、认证信息。

C14、一种无线报文的侦听检测系统，其特征在于，包括：

如权利要求B8至B13任意一项所述的中控服务器；

传感器，用于采集无线热点和客户端装置的无线数据包，并将所述无线数据包发送到所述中控服务器；

C15、如权利要求C14所述的系统，其特征在于：

所述传感器包括无线网卡；所述传感器实时或定时采集无线网络中无线热点、客户端装置接收或发送的无线数据包，并发送到所述中控服务器；

所述传感器向所述中控服务器发送所述无线数据包采用的协议包括：802.1X；

所述无线热点包括：无线路由器、无线AP；所述客户端装置包括：移动终端、PC、笔记本电脑。

可能以许多方式来实现本发明的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (13)

1.一种无线报文的侦听检测方法，其中：

中控服务器接收到无线热点和客户端装置的无线数据包；

所述中控服务器从所述无线数据包中解析出特征信息并存储；

所述中控服务器根据攻击指纹库中设置的指纹信息和攻击事件模型对所述无线数据包进行匹配检测，获得检测结果；

其中，所述中控服务器统计各个客户端装置连接的无线热点的数量；当判断某个客户端装置在某一时间段内连接的无线热点的数量超过预设的阈值时，则确定此客户端装置为可疑设备。

2.如权利要求1所述的方法，其特征在于：

当所述中控服务器判断所述无线数据包为WPA数据包时，所述中控服务器将所述WAP数据包与所述攻击指纹库中的断线包指纹进行匹配，如果匹配成功，则确定所述WAP数据为断线包并确定受到攻击，将发送此断线包的源MAC地址加入到动态黑名单中。

3.如权利要求1或2所述的方法，其特征在于：

所述中控服务器统计所述无线数据包中的无线热点的SSID名称；当所述中控服务器判断出现SSID名称相同的多个无线热点、并且所述多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的频率阈值时，则确定出现异常。

4.如权利要求3所述的方法，其特征在于：

当所述中控服务器判断某个无线热点的SSID名称长度超过预设的长度阈值时，则确定此无线热点受到攻击，并将发起攻击的源MAC地址加入到动态黑名单中。

5.如权利要求1所述的方法，其特征在于：

传感器实时或定时采集无线网络中无线热点、客户端装置接收或发送的无线数据包，并发送到所述中控服务器；其中，所述传感器包括无线网卡；

所述传感器向所述中控服务器发送所述无线数据包采用的协议包括：802.1X；

所述无线热点包括：无线路由器、无线AP；所述客户端装置包括：移动终端、PC、笔记本电脑。

6.如权利要求1所述的方法，其特征在于：

所述中控服务器根据所述特征信息、以及检测结果实时生成所述无线热点和客户端装置的状态信息，并将所述状态信息发送到监控终端进行显示；

当所述中控服务器确定无线网络受到攻击或出现异常时，将告警信息发送到监控终端进行显示；

所述监控终端包括：移动终端、PC、笔记本电脑；所述特征信息包括：SSID名称、热点加密方式、频道、MAC地址、客户端MAC地址、QSS信息、WPS信息、认证信息。

7.一种中控服务器，其特征在于，包括：

信息解析单元，用于从所述无线数据包中解析出特征信息并存储；

入侵判断单元，用于根据攻击指纹库中设置的指纹信息和攻击事件模型对所述无线数据包进行匹配检测，获得检测结果，其中用于统计各个客户端装置连接的无线热点的数量，当判断某个客户端装置在某一时间段内连接的无线热点的数量超过预设的阈值时，则确定此客户端装置为可疑设备。

8.如权利要求7所述的中控服务器，其特征在于：

所述入侵判断单元，还用于当判断所述无线数据包为WPA数据包时，将所述WAP数据包与所述攻击指纹库中的断线包指纹进行匹配，如果匹配成功，则确定所述WAP数据为断线包并确定受到攻击，将发送此断线包的源MAC地址加入到动态黑名单中。

9.如权利要求7或8所述的中控服务器，其特征在于：

所述入侵判断单元，还用于统计各个无线热点的SSID名称；当判断出现SSID名称相同的多个无线热点、并且所述多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的频率阈值时，则确定出现异常。

10.如权利要求9所述的中控服务器，其特征在于：

所述入侵判断单元，还用于当判断SSID名称长度超过预设的长度阈值时，则确定此无线热点受到攻击，并将发起攻击的源MAC地址加入到动态黑名单中。

11.如权利要求7所述的中控服务器，其特征在于：

还包括：

信息处理单元，用于根据所述特征信息、以及检测结果实时生成所述无线热点和客户端装置的状态信息，并将所述状态信息发送到监控终端进行显示；当确定无线网络受到攻击或出现异常时，将告警信息发送到监控终端进行显示；

所述监控终端包括：移动终端、PC、笔记本电脑；所述特征信息包括：SSID名称、热点加密方式、频道、MAC地址、客户端MAC地址、QSS信息、WPS信息、认证信息。

12.一种无线报文的侦听检测系统，其特征在于，包括：

如权利要求7至11任意一项所述的中控服务器；

传感器，用于采集无线热点和客户端装置的无线数据包，并将所述无线数据包发送到所述中控服务器；

13.如权利要求12所述的系统，其特征在于：

所述传感器包括无线网卡；所述传感器实时或定时采集无线网络中无线热点、客户端装置接收或发送的无线数据包，并发送到所述中控服务器；

所述传感器向所述中控服务器发送所述无线数据包采用的协议包括：802.1X；

所述无线热点包括：无线路由器、无线AP；所述客户端装置包括：移动终端、PC、笔记本电脑。