CN111479271A - 基于资产属性标记分组的无线安全检测与防护方法及系统 - Google Patents

基于资产属性标记分组的无线安全检测与防护方法及系统 Download PDF

Info

Publication number
CN111479271A
CN111479271A CN202010256907.XA CN202010256907A CN111479271A CN 111479271 A CN111479271 A CN 111479271A CN 202010256907 A CN202010256907 A CN 202010256907A CN 111479271 A CN111479271 A CN 111479271A
Authority
CN
China
Prior art keywords
wireless
asset
detection
group
protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010256907.XA
Other languages
English (en)
Other versions
CN111479271B (zh
Inventor
石朝兆
付春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Raytight Information Technology Co ltd
Original Assignee
Beijing Raytight Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Raytight Information Technology Co ltd filed Critical Beijing Raytight Information Technology Co ltd
Priority to CN202010256907.XA priority Critical patent/CN111479271B/zh
Publication of CN111479271A publication Critical patent/CN111479271A/zh
Application granted granted Critical
Publication of CN111479271B publication Critical patent/CN111479271B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种基于资产属性标记分组的无线安全检测与防护方法,包括如下步骤:创建资产组:管理者基于不同无线网络的不同用途创建资产组,对所述资产组设置无线安全事件检测策略与阻断防护策略;服务器分组检测与防护:服务器根据管理者设定的资产组进行分组检测所述资产组,每次检测会带入对应资产组的合法资产属性分组清单和对应资产组的无线安全事件检测策略,一组一组进行检测,直到所有资产组都检测一遍,完成无线安全事件的检测匹配、无线阻断命令的生成。本发明还提供一种基于资产属性标记分组的无线安全检测与防护系统。本发明能够在一套WIPS系统上执行不同的无线安全事件检测策略与阻断防护策略,可以大大降低建设部署成本和维护成本。

Description

基于资产属性标记分组的无线安全检测与防护方法及系统
技术领域
本发明涉及计算机网络领域,尤其涉及一种基于资产属性标记分组的无线安全检测与防护方法及系统。
背景技术
现有WIPS技术是将被保护的WLAN网络里所有合法的AP和终端不区分用途,统一配置为一组白名单,通过探针扫描所有的WIFI信号,获取所有AP的SSID(服务集标识符)、BSSID(基本服务集标识符)与STA(终端MAC地址),与白名单里合法的AP和终端进行比较,检测是否具有仿冒、非法连接等无线网络安全事件,根据配置的阻断策略对部分严重违规的非法设备进行阻断防护。
其中,现有WIPS技术将所有合法AP和终端配置为一组白名单,如果用户的无线网络和终端设备具有不同的用途,那么采用一套WIPS系统来进行防护就不可行。例如用于生产的无线网络具有最严格的防护、只有特定的生产终端能连接这个生产无线网络,即使用户自身用于OA办公的终端也不能连接这个生产所用的无线网,这些OA终端只能连接办公无线网络,一旦发现员工私自用办公终端连接生产无线网络,需要发送非法连接的安全事件并阻断办公终端连接生产无线网络。如果只有一组白名单,生产无线网络的AP和办公无线网络的AP、生产无线终端和办公无线终端都在一个组里,这样连接都是合法的,就无法区分连接关系实现事件检测和阻断。
因此,本领域迫切需要一种能克服上述缺陷的无线安全检测与防护方法及系统。
发明内容
本发明之目的是提供一种基于资产属性标记分组的无线安全检测与防护方法及系统,其能够在一套WIPS系统上执行不同的无线安全事件检测策略与阻断防护策略,可以大大降低建设部署成本和维护成本。
本发明提供一种基于资产属性标记分组的无线安全检测与防护方法,包括如下步骤:
创建资产组:管理者基于不同无线网络的不同用途创建资产组,并对所述资产组设置无线安全事件检测策略与阻断防护策略;
服务器分组检测与防护:服务器根据管理者设定的资产组进行分组检测所述资产组,每次检测会带入对应资产组的合法资产属性分组清单和对应资产组的无线安全事件检测策略,一组一组进行检测,直到所有资产组都检测一遍,完成无线安全事件的检测匹配、无线阻断命令的生成。
优选地,所述创建资产组包括:
构建资产属性组:判断合法的SSID、BSSID和STA是否具有资产属性分组清单,
如果合法的SSID、BSSID和STA具有资产属性分组清单,管理者将合法的SSID、BSSID和STA清单导入至内置的资产组中;
如果合法的SSID、BSSID和STA不具有资产属性分组清单,则由无线探针收集无线环境内所有报文传送至服务器端,服务器端计算整理无线环境内的SSID、BSSID和STA连接关系并提供给管理者,管理者将合法的SSID、BSSID和STA基于用途属性划分至不同的资产组中;
资产组标记:服务器根据不同资产组对合法的SSID、BSSID和STA进行组号标记。
优选地,所述资产属性分组清单为所述资产组中具有的SSID、BSSID和STA名单。
优选地,所述资产组包括生产资产组、办公资产组与互联网资产组。
优选地,所述服务器分组检测与防护包括:
资产组检测:服务器先将第一个资产组的合法资产属性分组清单、无线安全事件检测策略、无线探针收集的无线数据导入无线安全事件检测功能模块进行计算;
安全事件检测:经过所述无线安全事件检测功能模块计算判断第一个资产组是否具有无线安全事件,其中,
如果具有无线安全事件,则进行无线安全事件防护;
如果不具有无线安全事件,则进行下一组资产组检测;
资产组防护:将第一个资产组检测到的无线安全事件、阻断防护策略导入无线安全防护功能模块进行计算;
安全事件防护:经过所述无线安全防护功能模块进行计算判断第一个资产组是否需要进行阻断防护,其中,
如果需要进行阻断防护,则发送无线阻断命令给相应的探针;
如果不需要进行阻断防护,则进行下一组资产组检测;
其中,在将所有资产组进行无线安全事件检测与防护结束后,服务器端的所述无线安全事件检测功能模块和无线安全防护功能模块完成资产组检测防护执行命令。
优选地,所述资产组检测步骤中无线探针收集的无线数据包括SSID、BSSID、STA与信号强度信息。
本发明还提供一种基于资产属性标记分组的无线网络安全检测与防护系统,包括用户端和服务器端,
所述用户端包括无线探针和第一报文转发模块,所述无线探针用于收集无线环境中的报文信息,所述第一报文转发模块将所述报文信息上传到所述服务器端;
所述服务器端包括信息输入模块、分析判断模块、第二报文转发模块与输出模块,通过所述第一报文转发模块和第二报文转发模块来接收和发送用户端与服务器端之间的数据;其中,
所述信息输入模块用于将无线网络管理者配置的资产组、资产属性分组清单、无线安全事件检测策略、阻断防护策略进行输入;
所述输出模块用于将无线环境情况、无线安全事件情况、无线阻断防护情况报告给管理者;
所述分析判断模块根据所述无线探针收集到的报文信息、资产组、资产属性分组清单、无线安全事件检测策略、阻断防护策略以及内置的安全事件特征库进行计算,完成无线安全事件的检测匹配、无线阻断命令的生成;
第二报文转发模块负责接收所述无线探针收集到的报文信息,以及下发无线阻断命令给相应的无线探针。
优选地,所述安全事件特征库包括非法内联事件、非法外联事件、钓鱼AP事件或私接AP事件。
优选地,所述安全事件为钓鱼AP事件时,
所述无线探针收集无线局域网中的报文,通过取消IEEE802.11协议族对报文数据链路层的校验功能来收集所述报文,并且,
获取所述报文的报文特征信息,以根据报文特征信息来收集网络环境里的无线相关信息,其中,
所述报文特征信息包括所述报文的BSSID和SSID信息;
汇总统计信息,对当前无线局域网络环境中的所有报文的报文特征信息进行统计;
信息对比分析,根据自布设无线局域网络的BSSID来匹配所述报文的BSSID,
以及根据自布设无线局域网络的SSID来匹配所述报文的SSID,并且,
当所述报文的BSSID与所述自布设无线局域网络的BSSID不匹配和/或所述报文的SSID与所述自布设无线局域网络的SSID不匹配时,输出发送所述报文的非法无线接入点的信息;
判断钓鱼接入点,接收所述非法无线接入点的信息,以分别对所述非法无线接入点进行验证,以输出钓鱼接入点,其中,所述钓鱼接入点为验证无法通过的所述非法无线接入点;
无线阻断防护,服务器端中的所述第二报文转发模块发送无线阻断命令至相应的探针,进而阻断用户端与钓鱼接入点的连接。
本发明提供的一种基于资产属性标记分组的无线安全检测与防护方法及系统,相比于现有技术具有如下有益效果:
1、本发明可以在同一区域部署不同用途的无线网络,通过将资产组进行分组就可以在一套WIPS系统上执行不同的无线安全事件检测策略与阻断防护策略,可以大大降低建设部署成本和维护成本。
2、本发明中无线网络的管理者对已经有完备的资产属性分组清单可以直接建表添加,如果没有资产属性分组清单系统可以学习无线环境,提供列表让管理者选择添加,具有资产分组易执行特点。
3、本发明的检测效率和精度高,效果好。
4、本发明大大提升了无线局域网的安全性,无论对企业信息安全还是对个人用户的信息安全都有提升。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅用于解释本发明的构思。
图1为本发明的管理者创建资产组的方法流程图;
图2为本发明的服务器分组检测与防护的方法流程图;
图3为本发明的基于资产属性标记分组的无线网络安全检测与防护系统的示意框图;
图4为本发明的基于资产属性标记分组的无线安全检测与防护方法及系统的网络部署连接示意图;
图5为本发明判断钓鱼AP事件的流程示意图。
附图标记汇总:
1、网络 2、网关 3、路由器
4、服务器 5、钓鱼接入点 6、非钓鱼接入点
7、自布设接入点的无线探针 8、发送探测性报文的无线探针
9、电脑 10、手机 11、输入模块
12、输出模块 13、分析判断模块 14、第一报文转发模块
15、第二报文转发模块 16、无线探针
具体实施方式
在下文中,将参照附图描述本发明的一种基于资产属性标记分组的无线安全检测与防护方法及系统的实施例。
在此记载的实施例为本发明的特定的具体实施方式,用于说明本发明的构思,均是解释性和示例性的,不应解释为对本发明实施方式及本发明范围的限制。除在此记载的实施例外,本领域技术人员还能够基于本申请权利要求书和说明书所公开的内容采用显而易见的其它技术方案,这些技术方案包括对在此记载的实施例做出任何显而易见的替换和修改的技术方案。
本说明书的附图为示意图,辅助说明本发明的构思,示意性地表示各部分的形状及其相互关系。
本发明提出的一种基于资产属性标记分组的无线安全检测与防护方法,包括如下步骤:
创建资产组:管理者基于不同无线网络的不同用途创建资产组,并对资产组设置无线安全事件检测策略与阻断防护策略;
服务器分组检测与防护:服务器4根据管理者设定的资产组进行分组检测资产组,每次检测会带入对应资产组的合法资产属性分组清单和对应资产组的无线安全事件检测策略,一组一组进行检测,直到所有资产组都检测一遍,完成无线安全事件的检测匹配、无线阻断命令的生成。
本发明中创建资产组后需要服务器4启动无线安全事件检测功能模块和无线安全防护功能模块,通过无线安全事件检测功能模块和无线安全防护功能模块来实现对资产组中所有分组的资产组进行检测与防护,即完成服务器分组检测与防护步骤。其中,无线安全事件检测功能模块和无线安全防护功能模块设置在服务器4的分析判断模块13中。
本发明可以实现在同一区域部署不同用途的无线网络,通过将资产组进行分组就可以在一套WIPS系统上执行不同的无线安全事件检测策略与阻断防护策略,可以大大降低建设部署成本和维护成本。
具体地,参见附图1,图1为本发明的管理者创建资产组的方法流程图,创建资产组包括如下流程:
构建资产属性组:判断合法的SSID、BSSID和STA是否具有资产属性分组清单,
如果合法的SSID、BSSID和STA具有资产属性分组清单,管理者将合法的SSID、BSSID和STA清单导入至内置的资产组中;
如果合法的SSID、BSSID和STA不具有资产属性分组清单,则由无线探针收集无线环境内所有报文传送至服务器端,服务器端计算整理无线环境内的SSID、BSSID和STA连接关系并提供给管理者,管理者将合法的SSID、BSSID和STA基于用途属性划分至不同的资产组中;
资产组标记:服务器根据不同资产组对合法的SSID、BSSID和STA进行组号标记。
其中,SSID的格式是字符的,无限制,如“CMCC”、“ChinaNet”等;BSSID和STA都为MAC地址格式,为16进制12位方式,如“FC:FC:43:26:60:30”、“A4:50:46:7C:FC:F9”等。
本发明中无线网络的管理者对已经有完备的资产属性分组清单可以直接建表添加至内置的资产组中,如果没有资产属性分组清单系统可以通过无线探针学习无线环境,提供列表让管理者选择添加,具有资产分组易执行特点。
其中,资产属性分组清单为资产组中具有的SSID、BSSID和STA名单,而资产组一般具有序号和名称,例如资产组可以包括生产资产组、办公资产组与互联网资产组。
参见附图2,图2为本发明的服务器分组检测与防护的方法流程图,包括如下流程:
资产组检测:服务器先将第一个资产组的合法资产属性分组清单、无线安全事件检测策略、无线探针收集的无线数据导入无线安全事件检测功能模块进行计算;
安全事件检测:经过无线安全事件检测功能模块计算判断第一个资产组是否具有无线安全事件,其中,
如果具有无线安全事件,则进行无线安全事件防护;
如果不具有无线安全事件,则进行下一组资产组检测;
资产组防护:将第一个资产组检测到的无线安全事件、阻断防护策略导入无线安全防护功能模块进行计算;
安全事件防护:经过无线安全防护功能模块进行计算判断第一个资产组是否需要进行阻断防护,其中,
如果需要进行阻断防护,则发送无线阻断命令给相应的探针执行;
如果不需要进行阻断防护,则进行下一组资产组检测;
其中,在将所有资产组进行无线安全事件检测与防护结束后,服务器中的无线安全事件检测功能模块和无线安全防护功能模块完成资产组检测防护执行命令。
无线安全事件检测策略指的是事件级别定义、事件是否上报及上报的频率、事件的主体是否被阻断等。
例如,公司内部设置有两个无线网络,一个用于内部财务办公,SSID名单为“secray”,BSSID名单有“80:F8:EB:A0:CB:60”,STA名单有“48:95:07:12:C3:57”、“14:A5:1A:3D:2F:53”;一个用于上互联网,SSID名为“internet”,BSSID名单有“08:10:7A:42:29:0C”“08:10:7A:3F:9D:C2”,没有特定的STA名单,公司所有人包括外面来的的访客的终端都可以连接无线网络“internet”。
其中,用于上互联网的资产组用户终端都可以连接,无线安全事件检测策略用于具有钓鱼AP检测和对钓鱼AP进行阻断(钓鱼AP指攻击者伪造了与合法wifi名称相同的热点,用户一般无法辨识,如BSSID为“FC:FC:43:26:60:30”也起名SSID为“internet”,需要上报钓鱼AP事件,并对钓鱼AP“FC:FC:43:26:60:30”进行阻断);用于财务办公的无线网络只能资产组内那两个STA能连接,无线安全事件检测策略具有钓鱼AP检测和阻断、非法内联检测和阻断(非法内联指除资产组内那两个STA名单外的STA,如“A4:50:46:7C:FC:F9”连接到了“secray”,这种情况会上报非法内联事件,并对STA“A4:50:46:7C:FC:F9”进行阻断),非法外联检测和阻断(非法外联指资产组内那两个STA连接到了除“secray”外的无线网络,如“14:A5:1A:3D:2F:53”连接到了“internet”,这种情况会上报非法外联事件,并对STA“14:A5:1A:3D:2F:53”进行阻断)。
在本发明的进一步实施例中,资产组检测步骤中无线探针收集的无线数据包括SSID、BSSID与信号强度信息。
如图3所示,本发明还提供一种基于资产属性标记分组的无线网络安全检测与防护系统,包括用户端和服务器端。其中,用户端包括无线探针16和第一报文转发模块14,无线探针16用于收集无线环境中的报文信息,第一报文转发模块14将报文信息上传到服务器端。服务器端包括信息输入模块11、分析判断模块13、第二报文转发模块15与输出模块12,通过第一报文转发模块14和第二报文转发模块15来接收和发送用户端与服务器端之间的数据。
其中,信息输入模块11用于将无线网络管理者配置的资产组、资产属性分组清单、无线安全事件检测策略、阻断防护策略进行输入;
输出模块12用于将无线环境情况、无线安全事件情况、无线阻断防护情况报告给管理者;
分析判断模块13根据无线探针16收集到的报文信息、资产组、资产属性分组清单、无线安全事件检测策略、阻断防护策略以及内置的安全事件特征库进行计算,完成无线安全事件的检测匹配、无线阻断命令的生成;
第二报文转发模块15负责接收无线探针16收集到的报文信息,以及下发无线阻断命令给相应的无线探针16。
在本发明的进一步实施例中,安全事件特征库可以包括非法内联、非法外联、钓鱼AP、私接AP、无线暴力破解、AP MAC地址克隆、终端MAC地址克隆、探测帧泛洪攻击等上百种,这些安全事件都有自己特征和判断方法,目前国际和国内无统一标准,多为各个网络安全企业自行定义。
以下对安全事件特征库中上述列举出来的安全事件进行简要说明:
非法内联:外部人员或攻击者的无线终端连接到企业办公wifi,导致数据被泄漏窃取。
非法外联:内部员工的无线终端连接至外部wifi,可能因钓鱼攻击导致信息泄漏。
钓鱼AP:攻击者伪造了与合法wifi名称相同的热点,用户一般无法辨识,一旦被攻击,非常容易导致用户身份、网银失窃,在公司环境,可能导致商业机密泄露。
私接AP:使用随身wifi/无线路由器接入有线网络,导致通过该wifi共享能直接访问内部网络资源,信息泄露风险大。
无线暴力破解:攻击者使用类似Aircrack工具对被攻击无线网络进行密钥破解,试图获取登录无线网络权限,一旦成功,信息泄漏风险大。
AP MAC地址克隆:使用MAC地址克隆将造成被仿冒的无线AP无法正常工作。
终端MAC地址克隆:攻击者能够使用仿冒MAC地址接入开启了二次MAC免认证(无感知认证)的无线网络中。
探测帧泛洪攻击:攻击者短时间内向无线AP发送大量伪造终端的Probe帧,导致无线AP资源被耗尽,无法接受其它终端的探测请求。
如图5所示,在本发明的安全事件为钓鱼AP事件时,具体通过本发明的基于资产属性标记分组的无线网络安全检测与防护系统进行钓鱼AP事件判断的方法流程如下:
步骤S1:无线探针收集无线局域网中的报文,通过取消IEEE802.11协议族对报文数据链路层的校验功能来收集报文,并且,
获取报文的报文特征信息,以根据报文特征信息来收集网络环境里的无线相关信息,其中,
报文特征信息包括报文的BSSID和SSID信息;
步骤S2:汇总统计信息,对当前无线局域网络环境中的所有报文的报文特征信息进行统计;
步骤S3:信息对比分析,根据自布设无线局域网络的BSSID来匹配报文的BSSID,
以及根据自布设无线局域网络的SSID来匹配报文的SSID,并且,
当报文的BSSID与自布设无线局域网络的BSSID不匹配和/或报文的SSID与自布设无线局域网络的SSID不匹配时,输出发送报文的非法无线接入点的信息;
步骤S4:判断钓鱼接入点,接收非法无线接入点的信息,以分别对非法无线接入点进行验证,以输出钓鱼接入点,其中,钓鱼接入点为验证无法通过的非法无线接入点;
步骤S5:无线阻断防护,服务器端中的第二报文转发模块15发送无线阻断命令至相应的探针,进而阻断用户端与钓鱼接入点的连接。
参见图4,无线探针16可以设置在用户端。第二报文转发模块15、分析判断模块13、信息输入模块11和输出模块12设置在服务器端。服务器端可以设置有一个或多个通过网络1相互连接的服务器4。无线相关信息还可以包括无线频段及工作信道、关联终端。检测钓鱼接入点5和非钓鱼接入点的服务器4的一端通过无线或有线依次连接路由器3、网关2和网络1,另一端通过无线或有线依次连接路由器3和无线探针16,其中,路由器3和无线探针16可以为多个。自布设接入点的无线探针7和发送探测性报文的无线探针8也可以单独设置。无线探针16之间通过无线或有线网络1相互连接。无线探针16和智能设备之间也可以通过无线或有线相互连接,其中,智能设备可以为电脑9或是手机10。
参见图4,在步骤S1中,可以通过无线探针16接收和发送无线相关信息。无线探针16可以设置在用户端,其中,用户端可以为智能设备,通过智能设备连接无线探针16,以接收和发送无线相关信息。无线相关信息包括报文和报文特征信息,还可以包括无线频段及工作信道、关联终端。在用户端上设置有第一报文转发模块14,用于接收无线相关信息和检测性报文,以及转发无线相关信息和检测性报文。这样仅仅通过第一报文转发模块14和第二报文转发模块15来接收和发送用户端与服务器端之间的数据,易于实现,方便批量生产。
多个用户端通过网络1连接服务器端,其中,服务器端可以设置有一台或多台通过网络1相互连接的服务器4。服务器端上设置有信息输入模块11、第二报文转发模块15、分析判断模块13和输出模块12,其中,分析判断模块13包括相互连接的无线接入点验证模块和钓鱼接入点5判断模块,用于汇总无线相关信息,以及比对无线局域网络1中的无线接入点的无线相关信息和预设的自布设无线局域网络的无线接入点的无线相关信息,以判断接入点是否为钓鱼接入点5并输出分析结果。
在步骤S2中,汇总统计信息可以通过信息输入模块11来实现,其中,信息输入模块11用于输入自布设无线局域网络的无线接入点的无线相关信息,以及构建检测性报文。
在步骤S3中,信息对比分析可以通过无线接入点验证模块来实现。无线接入点验证模块能匹配无线局域网络1中的无线接入点的无线相关信息和自布设无线局域网络的无线接入点的无线相关信息,进而检测和输出非法无线接入点和相应的无线相关信息。
在步骤S4中,判断钓鱼接入点5可以通过分析判断模块13的钓鱼接入点5判断模块来实现,其中,钓鱼接入点5判断模块连接无线接入点验证模块,能根据非法无线接入点和相应的无线相关信息,进而分别对非法无线接入点进行验证,并输出钓鱼接入点5,其中,输出钓鱼接入点5可以通过输出模块12来实现。输出模块12,连接分析判断模块13,用于接收分析结果,以及显示和输出分析结果。
信息输入模块11提供的数据接口的方法可以厂商自行去设计实现,用户网络1的网管数据里一般都有自布设无线局域网络的BSSID、SSID与STA数据,这个数据接口能够与网管数据对接。信息输入模块11可以将网管数据发送至分析判断模块13,以输出钓鱼接入点5。这样使得各个厂家能按照自己的需求来使用本发明,增加了使用的灵活性。
无线探针16获取信息后是通过第一报文转发模块14与服务器端的第二报文转发模块15实现信息的传送,分析判断模块13从服务器4里获取到探针上报的信息。无线探针16获取的都是802.11帧,这些帧的包头具有无线通讯所需要的BSSID、SSID,按照802.11成帧方法分析判断模块13去反向解析剥离即可得到报文里的BSSID、SSID。这样易于批量生产,使用效率高效果好。
探测报文可以通过局域网安全防护系统的厂家自行去构建,例如采用802.11协议的标准管理报文,源地址为合法的无线客户端、目的地址为网关2、BSSID为被探测无线接入点的BSSID,报文里面的具体信息可以设置信息元素ID为保留序号43(标准管理报文用不到保留的43-49)、字段内容填充为“Fishing AP Probe”。构建特殊报文的实现可以根据厂家的需求来实现,只要具备探测标识利于检测即可。这样使得各个厂家能按照自己的需求来使用本发明,增加了使用的灵活性。
这样一方面用户端只需无线探针16即可检测钓鱼接入点5,不仅节约成本而且便于通过设置多个无线探针16来覆盖用户的所有网络1环境;另一方面无线探针16通过发送报文至检测钓鱼接入点5的服务器4即可实现检测,使用方便快捷;另外,服务器端的分析判断模块13通过多重检测精确判定钓鱼接入点5;此外,信息输入模块11方便用户根据自己网络1环境的情况来设定数据,使用灵活效果好;并且,输出模块12能够直观的显示无线相关信息和钓鱼接入点5,其中,输出模块12可以为打印机、显示器和智能设备。本发明的检测效率高,精度高,效果好。本发明大大提升了无线局域网的安全性,无论对企业信息安全还是对个人用户的信息安全都有提升。
进一步地,在钓鱼AP事件判断过程中还可以包括:在汇总统计信息前过滤报文,根据报文格式分类和过滤报文,以过滤掉数据报文。在本实施例中,过滤报文可以通过连接无线探针16的过滤模块。过滤模块接收无线探针16收集的无线相关信息,以及过滤报文并输出非数据报文至无线探针16。无线探针16仅转发过滤后的非数据报文。
这样只分析无线局域网络1内的非数据报文,而不分析终端用户的数据报文,进而保护了用户端的用户的隐私。
在本发明的进一步实施例中,还可以包括:
在判断钓鱼接入点5后,钓鱼接入点5告警,接收钓鱼接入点5的特征信息,将相应钓鱼接入点5的特征信息采用短信告警、邮件告警、声音告警和/或系统界面提示的方式发送给无线局域网的管理者,以提醒管理者对钓鱼接入点5进行人工排查,其中,特征信息包括MAC地址、信号强度、无线频段、工作信道和关联终端的特征信息。
在本实施例中,钓鱼接入点5告警可以通过报警模块来实现。报警模块,连接输出模块12,将分析结果采用短信告警、邮件告警、声音告警和/或系统界面提示的方式发送给无线局域网的管理者,以提醒管理者对钓鱼接入点5进行人工排查。这样当发现钓鱼接入点5时,管理者就能及时对钓鱼接入点5进行人工排查,极大地提高了系统的安全性。
以上对本发明的一种基于资产属性标记分组的无线安全检测与防护方法及系统进行了说明。对于本发明的一种基于资产属性标记分组的无线安全检测与防护方法及系统对应的装置的具体特征如形状、尺寸和位置可以根据上述披露的特征的作用进行具体设计,这些设计均是本领域技术人员能够实现的。而且,上述披露的各技术特征并不限于已披露的与其它特征的组合,本领域技术人员还可根据本发明之目的进行各技术特征之间的其它组合,以实现本发明之目的为准。

Claims (9)

1.一种基于资产属性标记分组的无线安全检测与防护方法,其特征在于,包括如下步骤:
创建资产组:管理者基于不同无线网络的不同用途创建资产组,并对所述资产组设置无线安全事件检测策略与阻断防护策略;
服务器分组检测与防护:服务器根据管理者设定的资产组进行分组检测所述资产组,每次检测会带入对应资产组的合法资产属性分组清单和对应资产组的无线安全事件检测策略,一组一组进行检测,直到所有资产组都检测一遍,完成无线安全事件的检测匹配、无线阻断命令的生成。
2.根据权利要求1所述的基于资产属性标记分组的无线安全检测与防护方法,其特征在于,所述创建资产组包括:
构建资产属性组:判断合法的SSID、BSSID和STA是否具有资产属性分组清单,
如果合法的SSID、BSSID和STA具有资产属性分组清单,管理者将合法的SSID、BSSID和STA清单导入至内置的资产组中;
如果合法的SSID、BSSID和STA不具有资产属性分组清单,则由无线探针收集无线环境内所有报文传送至服务器端,服务器端计算整理无线环境内的SSID、BSSID和STA连接关系并提供给管理者,管理者将合法的SSID、BSSID和STA基于用途属性划分至不同的资产组中;
资产组标记:服务器根据不同资产组对合法的SSID、BSSID和STA进行组号标记。
3.根据权利要求2所述的基于资产属性标记分组的无线安全检测与防护方法,其特征在于,所述资产属性分组清单为所述资产组中具有的SSID、BSSID和STA名单。
4.根据权利要求2所述的基于资产属性标记分组的无线安全检测与防护方法,其特征在于,所述资产组包括生产资产组、办公资产组与互联网资产组。
5.根据权利要求1所述的基于资产属性标记分组的无线安全检测与防护方法,其特征在于,所述服务器分组检测与防护包括:
资产组检测:服务器先将第一个资产组的合法资产属性分组清单、无线安全事件检测策略、无线探针收集的无线数据导入无线安全事件检测功能模块进行计算;
安全事件检测:经过所述无线安全事件检测功能模块计算判断第一个资产组是否具有无线安全事件,其中,
如果具有无线安全事件,则进行无线安全事件防护;
如果不具有无线安全事件,则进行下一组资产组检测;
资产组防护:将第一个资产组检测到的无线安全事件、阻断防护策略导入无线安全防护功能模块进行计算;
安全事件防护:经过所述无线安全防护功能模块进行计算判断第一个资产组是否需要进行阻断防护,其中,
如果需要进行阻断防护,则发送无线阻断命令给相应的探针执行;
如果不需要进行阻断防护,则进行下一组资产组检测;
其中,在将所有资产组进行无线安全事件检测与防护结束后,服务器端的所述无线安全事件检测功能模块和无线安全防护功能模块完成资产组检测防护执行命令。
6.根据权利要求5所述的基于资产属性标记分组的无线安全检测与防护方法,其特征在于,所述资产组检测步骤中无线探针收集的无线数据包括SSID、BSSID、STA与信号强度信息。
7.一种基于资产属性标记分组的无线网络安全检测与防护系统,其特征在于,包括用户端和服务器端,
所述用户端包括无线探针和第一报文转发模块,所述无线探针用于收集无线环境中的报文信息,所述第一报文转发模块将所述报文信息上传到所述服务器端;
所述服务器端包括信息输入模块、分析判断模块、第二报文转发模块与输出模块,通过所述第一报文转发模块和第二报文转发模块来接收和发送用户端与服务器端之间的数据;其中,
所述信息输入模块用于将无线网络管理者配置的资产组、资产属性分组清单、无线安全事件检测策略、阻断防护策略进行输入;
所述输出模块用于将无线环境情况、无线安全事件情况、无线阻断防护情况报告给管理者;
所述分析判断模块根据所述无线探针收集到的报文信息、资产组、资产属性分组清单、无线安全事件检测策略、阻断防护策略以及内置的安全事件特征库进行计算,完成无线安全事件的检测匹配、无线阻断命令的生成;
第二报文转发模块负责接收所述无线探针收集到的报文信息,以及下发无线阻断命令给相应的无线探针。
8.根据权利要求7所述的基于资产属性标记分组的无线网络安全检测与防护系统,其特征在于,所述安全事件特征库包括非法内联事件、非法外联事件、钓鱼AP事件和私接AP事件。
9.根据权利要求8所述的基于资产属性标记分组的无线网络安全检测与防护系统,其特征在于,所述安全事件为钓鱼AP事件时,
所述无线探针收集无线局域网中的报文,通过取消IEEE802.11协议族对报文数据链路层的校验功能来收集所述报文,并且,
获取所述报文的报文特征信息,以根据报文特征信息来收集网络环境里的无线相关信息,其中,
所述报文特征信息包括所述报文的BSSID和SSID信息;
汇总统计信息,对当前无线局域网络环境中的所有报文的报文特征信息进行统计;
信息对比分析,根据自布设无线局域网络的BSSID来匹配所述报文的BSSID,
以及根据自布设无线局域网络的SSID来匹配所述报文的SSID,并且,
当所述报文的BSSID与所述自布设无线局域网络的BSSID不匹配和/或所述报文的SSID与所述自布设无线局域网络的SSID不匹配时,输出发送所述报文的非法无线接入点的信息;
判断钓鱼接入点,接收所述非法无线接入点的信息,以分别对所述非法无线接入点进行验证,以输出钓鱼接入点,其中,所述钓鱼接入点为验证无法通过的所述非法无线接入点;
无线阻断防护,服务器端中的所述第二报文转发模块发送无线阻断命令至相应的探针,进而阻断用户端与钓鱼接入点的连接。
CN202010256907.XA 2020-04-03 2020-04-03 基于资产属性标记分组的无线安全检测与防护方法及系统 Active CN111479271B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010256907.XA CN111479271B (zh) 2020-04-03 2020-04-03 基于资产属性标记分组的无线安全检测与防护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010256907.XA CN111479271B (zh) 2020-04-03 2020-04-03 基于资产属性标记分组的无线安全检测与防护方法及系统

Publications (2)

Publication Number Publication Date
CN111479271A true CN111479271A (zh) 2020-07-31
CN111479271B CN111479271B (zh) 2023-07-25

Family

ID=71749757

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010256907.XA Active CN111479271B (zh) 2020-04-03 2020-04-03 基于资产属性标记分组的无线安全检测与防护方法及系统

Country Status (1)

Country Link
CN (1) CN111479271B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014081205A1 (ko) * 2012-11-23 2014-05-30 유넷시스템주식회사 불법 ap 검출 시스템 및 그의 검출 방법
US20140245441A1 (en) * 2013-02-22 2014-08-28 Electronics And Telecommunications Research Institute Apparatus for analyzing vulnerability of wireless local area network
WO2016159396A1 (ko) * 2015-03-27 2016-10-06 주식회사 유넷시스템 윕스 센서 및 이를 이용한 단말 차단 방법
US20160330229A1 (en) * 2015-05-08 2016-11-10 Panasonic Avionics Corporation Identifying and disabling a rogue access point in a public wireless environment
CN107995192A (zh) * 2017-12-01 2018-05-04 贵州电网有限责任公司 一种网络边界违规内联的检测与阻断系统
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
CN110796357A (zh) * 2019-10-22 2020-02-14 杭州迪普科技股份有限公司 资产组展示的方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014081205A1 (ko) * 2012-11-23 2014-05-30 유넷시스템주식회사 불법 ap 검출 시스템 및 그의 검출 방법
US20140245441A1 (en) * 2013-02-22 2014-08-28 Electronics And Telecommunications Research Institute Apparatus for analyzing vulnerability of wireless local area network
WO2016159396A1 (ko) * 2015-03-27 2016-10-06 주식회사 유넷시스템 윕스 센서 및 이를 이용한 단말 차단 방법
US20160330229A1 (en) * 2015-05-08 2016-11-10 Panasonic Avionics Corporation Identifying and disabling a rogue access point in a public wireless environment
CN107995192A (zh) * 2017-12-01 2018-05-04 贵州电网有限责任公司 一种网络边界违规内联的检测与阻断系统
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
CN110796357A (zh) * 2019-10-22 2020-02-14 杭州迪普科技股份有限公司 资产组展示的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
黄桂妲: "网络安全漏洞检测与合规性管理系统" *

Also Published As

Publication number Publication date
CN111479271B (zh) 2023-07-25

Similar Documents

Publication Publication Date Title
KR100980152B1 (ko) 근거리 통신망을 모니터링하는 방법 및 시스템
US7856656B1 (en) Method and system for detecting masquerading wireless devices in local area computer networks
US7316031B2 (en) System and method for remotely monitoring wireless networks
US8789191B2 (en) Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
US7216365B2 (en) Automated sniffer apparatus and method for wireless local area network security
US7710933B1 (en) Method and system for classification of wireless devices in local area computer networks
CN106507363B (zh) 一种发现钓鱼接入点的方法
US20070186276A1 (en) Auto-detection and notification of access point identity theft
CN107995626B (zh) 一种用于识别无线局域网中wifi信号安全类别的方法和装置
CN102438238A (zh) 一种在集中式wlan环境中检测非法ap的方法
CN107197456B (zh) 一种基于客户端的识别伪ap的检测方法及检测装置
CN103763695B (zh) 一种物联网安全测评方法
CN102075934A (zh) 接入点监控器、监控非法接入点的方法及系统
KR20070054067A (ko) 무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽침입탐지 및 차단방법
CN1659898B (zh) 确定在无线局域网中站点的状态
CN103327484A (zh) 一种无线局域网中清除非法ap的方法
WO2017128546A1 (zh) 一种WiFi网络安全接入方法及装置
CN107124715B (zh) 一种适用于电力无线专网终端的安全防护性能测评方法
KR20120132086A (ko) 비인가 ap 탐지 시스템 및 그의 탐지 방법
CN105992208A (zh) 一种无线连接的认证方法及装置
CN105188062B (zh) 泄密防护方法和装置
Meng et al. Building a wireless capturing tool for WiFi
Tchakounté et al. Recognizing illegitimate access points based on static features: A case study in a campus WiFi network
CN111479271B (zh) 基于资产属性标记分组的无线安全检测与防护方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant