CN117397271A - 无线入侵防御系统及其操作方法 - Google Patents
无线入侵防御系统及其操作方法 Download PDFInfo
- Publication number
- CN117397271A CN117397271A CN202280038348.2A CN202280038348A CN117397271A CN 117397271 A CN117397271 A CN 117397271A CN 202280038348 A CN202280038348 A CN 202280038348A CN 117397271 A CN117397271 A CN 117397271A
- Authority
- CN
- China
- Prior art keywords
- mac address
- terminal
- access
- wireless
- prevention system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002265 prevention Effects 0.000 title claims abstract description 64
- 238000000034 method Methods 0.000 title claims description 17
- 230000000903 blocking effect Effects 0.000 claims abstract description 83
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- VYLDEYYOISNGST-UHFFFAOYSA-N bissulfosuccinimidyl suberate Chemical compound O=C1C(S(=O)(=O)O)CC(=O)N1OC(=O)CCCCCCC(=O)ON1C(=O)C(S(O)(=O)=O)CC1=O VYLDEYYOISNGST-UHFFFAOYSA-N 0.000 description 2
- JEIPFZHSYJVQDO-UHFFFAOYSA-N iron(III) oxide Inorganic materials O=[Fe]O[Fe]=O JEIPFZHSYJVQDO-UHFFFAOYSA-N 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
Abstract
本发明涉及一种电子装置,根据本发明的无线入侵防御系统可以包括感测装置和控制器。感测装置可以监测接入点(Access Point,AP)和多个终端之间通过无线网络发送和接收的无线帧,并基于无线帧生成帧分析信息。控制器可以比较包括生产厂家唯一标识符(Organizationally Unique Identifier,OUI)的生产厂家识别信息和帧分析信息中包括的每个终端的介质接入控制(Media Access Control,MAC)地址,基于比较结果来确定多个终端中具有随机MAC地址的目标终端,并基于阻止策略控制目标终端针对接入点的接入。
Description
技术领域
本发明涉及一种无线入侵防御系统(WIPS)及其操作方法。
背景技术
随着互联网的快速发展和普及,网络环境逐渐壮大,由于互联网的简单便捷的网络接入和所提供的各种服务,其形式变得越来越复杂。然而,由于互联网上的诸如病毒、黑客攻击、系统入侵、系统管理员权限获取、入侵事实隐匿、拒绝服务攻击的各种形式的网络攻击,互联网始终暴露于被黑客攻击的危险,因此对互联网的侵害正在增加,并且公共机构、社会基础设施以及金融机构的损失规模正在逐渐增加,其影响力也较大。为了解决这种互联网安全问题,对杀毒软件、防火墙、综合安全管理、入侵检测系统等网络安全技术的需求日益增长。
用于无线互联网通信的无线网络系统包括无线局域网接入点(Wireless LANAccess Point,AP)和无线局域网终端。通过安装被称作接入点装置的设备来使用AP。
最近,利用有线和无线的综合网络系统得到了广泛的开发和应用。固然难以稳定地阻止通过有线接入的有害流量,但更难以稳定地阻止通过无线接入的有害流量。为了解决这个问题,正在开发无线入侵防御系统(Wireless Intrusion Prevention System,WIPS)。WIPS是一种通过无线区间监测来检测和阻止诸如未授权(rouge)AP或拒绝服务(Denial of Service,DoS)攻击等的无线入侵的系统。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是提供一种当具有随机MAC(媒体接入控制)地址的终端通过例如应用IEEE802.11技术或IEEE802.11w技术的无线网络接入AP时,根据阻止策略阻止终端接入的无线入侵防御系统及其操作方法。
(二)技术方案
根据本发明的实施例的无线入侵防御系统可以包括感测装置和控制器。感测装置可以监测接入点(Access Point,AP)和多个终端之间通过无线网络发送和接收的无线帧,并基于无线帧生成帧分析信息。控制器可以比较包括生产厂家唯一标识符(Organizationally Unique Identifier,OUI)的生产厂家识别信息和帧分析信息中包括的每个终端的介质接入控制(Media Access Control,MAC)地址,基于比较结果来确定多个终端中具有随机MAC地址的目标终端,并基于阻止策略控制目标终端针对接入点的接入。
根据本发明的实施例的无线入侵防御系统(Wireless Intrusion PreventionSystem,WIPS)的操作方法,可以包括以下步骤:从通过无线网络向接入点发送无线帧和从接入点接收无线帧的多个终端中的目标终端接收针对接入点的接入请求;基于包括生产厂家唯一标识符(Organizationally Unique Identifier,OUI)的生产厂家识别信息和无线帧中包括的目标终端的介质接入控制(Media Access Control,MAC)地址的比较结果,确定目标终端的MAC地址是否为随机MAC地址或唯一MAC地址;以及根据目标终端的MAC地址是否为随机MAC地址,控制目标终端针对接入点的接入。
(三)有益效果
根据本发明的实施例,当终端通过例如IEEE 802连接到AP时,可以根据终端的MAC地址是否为随机MAC地址来解除连接并阻止接入。
附图说明
图1是示出无线入侵防御系统的配置的框图。
图2是示出无线入侵防御系统的接入阻止方法的流程图。
图3是用于说明根据一个实施例的无线入侵防御系统中终端的接入控制的图。
图4是用于说明根据一个实施例的无线入侵防御系统的操作的流程图。
图5是用于说明根据一个实施例的无线入侵防御系统的操作的流程图。
图6是用于说明根据一个实施例的无线入侵防御系统的操作的流程图。
图7是用于说明根据一个实施例的无线入侵防御系统的操作的流程图。
具体实施方式
对于根据在本说明书或申请中所公开的本发明的概念的实施例,特定的结构性和功能性说明只是以说明根据本发明的概念的实施例为目的示出的,根据本发明的概念的实施例可以被实施为多种形式,并且不应被解释为限定于本说明书或申请中所说明的实施例。
图1是示出无线入侵防御系统的配置的框图。
参照图1,无线入侵防御系统(Wireless Intrusion Prevention System,以下简称为WIPS)是一种通过无线区间监测来检测和阻止未授权(rouge)接入点(Access Point,AP)或拒绝服务(Denial of Service,DoS)攻击等的无线入侵的系统。
在本说明书中描述的普通无线网络可以包括应用IEEE802.11或IEEE802.11w的无线网络。IEEE802.11w是提高了管理帧的安全性的IEEE802.11的修改技术。但不限于此,本发明的实施例显而易见可以应用于使用各种安全技术的无线网络。
无线网络系统包括一个或多个基本服务集(Basic Service Set,BSS),BSS表示可以成功地实现同步并相互进行通信的设备的集合。通常,BSS可以分为基础结构型BSS(infrastructure BSS)和独立型BSS(Independent BSS,IBSS)。
接入点(Access Point,以下简称为AP)是经由无线介质为与自身结合(associated)的终端提供针对分配系统的接入的个体。AP被用作包括个人BSS协调点(Personal BSS Coordination Point,PCP)的概念,广义上可以同时包括集中控制器、基站(Base Station,BS)、节点-B、基地收发系统(Base Transceiver System,BTS)或站点控制器等概念。在本发明中,AP也可以被称作基地无线通信终端,基地无线通信终端广义上可以用作同时包括AP、基站(base station)、演进型B节点(eNodeB,eNB)以及传输点(TP)的术语。不仅如此,基地无线通信终端可以包括在与多个无线通信终端的通信中分配通信介质(medium)资源并执行调度(scheduling)的多种形式的无线通信终端。
终端(Station)是包括遵循IEEE802.11标准规定的介质接入控制(Medium AccessControl,MAC)和针对无线介质的物理层(Physical Layer)接口的任意设备,广义上不仅可以包括非接入点(non-AP)站点,还可以同时包括接入点(AP)。在本说明书中,‘终端’是指non-AP站点,但根据实施例,也可以用作同时表示non-AP站点和AP的术语。用于无线通信的站点包括处理器(Processor)和收发单元(transmitter/receiver),根据实施例,可以进一步包括用户接口单元和显示单元等。处理器可以生成通过无线网络传送的帧,或者处理通过所述无线网络接收的帧,此外,还可以执行用于控制站点的多种处理。另外,收发单元在功能上与所述处理器连接,并通过无线网络为站点发送和接收帧。终端可以通过无线网络向AP发送帧和从AP接收帧。
在实施例中,WIPS10可以比较包括生产厂家唯一标识符(OrganizationallyUnique Identifier,OUI)的生产厂家识别信息和无线帧中包括的每个终端的介质接入控制(Media Access Control,MAC)地址。WIPS10可以基于比较结果确定多个终端中具有随机MAC地址的目标终端,并基于阻止策略控制目标终端针对接入点的接入。
在一个实施例中,阻止策略可以是一种阻止具有随机MAC地址的目标终端针对接入点的接入,而允许多个终端中具有唯一MAC地址的终端针对接入点的接入的策略。这是为了阻止具有无法确定用户的随机MAC地址的终端的连接,以防止对无线网络的入侵。
在一个实施例中,阻止策略可以是一种阻止具有随机MAC地址的目标终端针对接入点的接入,阻止具有唯一MAC地址的终端中具有未注册MAC地址的终端针对接入点的接入,而允许具有注册MAC地址的终端针对接入点的接入的策略。这是为了仅允许具有可确定用户的唯一MAC地址的终端中授权接入的终端的连接,以防止对无线网络的入侵。注册MAC地址可以是由管理员事先注册的终端的MAC地址。
在一个实施例中,阻止策略可以是一种阻止具有随机MAC地址的目标终端中未经管理员批准的终端针对接入点的接入,而允许得到管理员批准的终端针对接入点的接入的策略。这是为了在事先得到管理员批准的情况下,即使是具有无法确定用户的随机MAC地址的终端,也例外允许接入。
在实施例中,WIPS10可以包括感测装置100和控制器200。
感测装置100可以监测多个终端和接入点之间发送和接收的无线帧,并将分析监测到的无线帧的帧分析信息传送到控制器200。帧分析信息可以包括传送无线帧的终端或AP的MAC地址、安全设置内容、传送速度、SSID(服务集标识)、是否为IEEE802.11a/b/g/n/ac/ax等、信道、RSSI(接收信号强度指示)等。感测装置100可以基于从控制器200接收的阻止命令信息执行针对AP或终端的阻止命令。
在实施例中,感测装置100可以包括感测模块110和通信模块120。
感测模块110可以基于从控制器200接收的阻止命令信息生成阻止消息。感测模块110可以控制通信模块120,以将生成的阻止消息传送到目标AP和终端。通信模块120可以将阻止消息传送到目标AP和终端。
在实施例中,感测模块110可以包括传感器接收单元111、传感器分析单元112以及传感器阻止单元113。
传感器接收单元111可以通过控制通信模块120在多个信道中监测无线帧。
传感器分析单元112可以将监测结果、分析接收的无线帧的帧分析信息传送到控制器200。帧分析信息可以包括发送无线帧的AP或终端的信息。
传感器阻止单元113可以执行阻止命令。传感器阻止单元113可以基于从控制器200接收的阻止命令信息生成阻止消息。
例如,传感器阻止单元113可以在应用IEEE802.11的普通无线网络中生成包括解除认证(Deauthentication)帧的阻止消息。传感器阻止单元113可以在应用IEEE802.11w的安全无线网络中生成包括干扰信号和伪装包的阻止消息。
传感器阻止单元113可以控制通信模块120,以将生成的阻止消息传送到发送和接收无线帧的AP以及终端。此时,传感器阻止单元113可以将发送阻止消息的地址设置为AP的BSSID,并将接收的地址设置为终端的MAC地址。或者,传感器阻止单元113可以将发送阻止消息的地址设置为终端的MAC地址,并将接收的地址设置为AP的BSSID。接收到从通信模块120传送的阻止消息的AP和终端,可以判断为对方发送了通知连接终止的阻止消息,从而终止相互之间的接入。
控制器200可以将从感测装置100接收的帧分析信息与数据库(database,DB)化的签名(signature)信息进行比较,以判断相应终端或AP是否未授权以及是否异常操作。此时,签名信息可以包括现有已收集的无线帧信息、阻止策略或阻止对象列表等信息。当相应终端或AP未授权或异常操作时,控制器200可以根据阻止策略执行自动阻止或产生警报以由管理员执行手动阻止。
在实施例中,控制器200可以基于阻止策略和帧分析信息来确定要阻止的AP或终端。
控制器200可以比较生产厂家识别信息和帧分析信息中包括的每个终端的MAC地址。生产厂家识别信息可以包括注册在IEEE的生产厂家唯一标识符。控制器200可以基于比较结果来确定多个终端中具有随机MAC地址的目标终端和具有唯一MAC地址的终端。
具体地,控制器200可以基于每个终端的MAC地址中包括的高24位值是否包括在生产厂家唯一标识符中来确定每个终端的MAC地址是否为随机MAC地址。当终端的MAC地址中包括的高24位值包含在生产厂家唯一标识符中时,控制器200可以将终端的MAC地址确定为唯一MAC地址。当高24位值与生产厂家唯一标识符不同时,感测模块110可以将终端的MAC地址确定为随机MAC地址。
根据无线网络环境,可以设置多种阻止策略。
在一个实施例中,阻止策略可以是一种阻止具有随机MAC地址的目标终端针对接入点的接入,而允许多个终端中具有唯一MAC地址的终端针对接入点的接入的策略。这是为了阻止具有无法确定用户的随机MAC地址的终端的连接,以防止对无线网络的入侵。
在一个实施例中,阻止策略可以是一种阻止具有随机MAC地址的目标终端针对接入点的接入,阻止具有唯一MAC地址的终端中具有未注册MAC地址的终端针对接入点的接入,而允许具有注册MAC地址的终端针对接入点的接入的策略。这是为了仅允许具有可确定用户的唯一MAC地址的终端中授权接入的终端的连接,以防止对无线网络的入侵。注册MAC地址可以是由管理员事先注册的终端的MAC地址。
在一个实施例中,阻止策略可以是一种阻止具有随机MAC地址的目标终端中未经管理员批准的终端针对接入点的接入,而允许得到管理员批准的终端针对接入点的接入的策略。这是为了在事先得到管理员批准的情况下,即使是具有无法确定用户的随机MAC地址的终端,也例外允许接入。
控制器200可以生成阻止命令信息,并将生成的阻止命令信息传送到感测装置100。阻止命令信息可以包括与包含在阻止对象列表中或因违反阻止策略而被确定阻止的AP或终端相关的信息。
在实施例中,控制器200可以使用多种方式来阻止AP或终端的接入。
作为一个示例,控制器200的阻止方式可以包括AP的阻止。此时,当感测到阻止对象AP的BSSID时,控制器200可以阻止接入AP的所有终端而不是特定终端对象。
作为另一示例,控制器200的阻止方式可以包括终端的阻止。此时,当判断为未授权终端或感测到相应终端被篡改为授权终端时,控制器200可以阻止相应终端。当出现相应终端的MAC时,控制器200可以阻止其接入所有AP。
作为另一示例,控制器200的阻止方式可以包括特定AP-终端的阻止。此时,当授权终端连接到未授权AP时,或者,当未授权终端连接到授权AP时,控制器200可以阻止连接。当出现相应终端MAC时,控制器200可以仅阻止接入指定AP,而可以不干预接入其他AP。
图2是示出无线入侵防御系统的接入阻止方法的流程图。
参照图2,在步骤S201中,传感器接收单元111可以通过多个信道监测AP和多个终端之间发送和接收的无线帧。
在步骤S203中,传感器接收单元111可以调用传感器分析单元112分析接收到的无线帧。
在步骤S205中,传感器分析单元112可以分析无线帧并生成帧分析信息。帧分析信息可以包括传送无线帧的终端或AP的MAC地址、安全设置内容、传送速度、SSID、是否为IEEE802.11a/b/g/n/ac/ax等、信道、RSSI等。
在步骤S207中,传感器分析单元112可以将帧分析信息提供到控制器200。
在步骤S209中,控制器200可以基于帧分析信息来添加或更新发送无线帧的AP或终端信息。
在步骤S211中,控制器200可以基于阻止策略来判断相应AP或终端是否违反阻止策略。
在步骤S213中,当相应AP或终端被判断为违反阻止策略时,控制器200可以根据策略设定值生成阻止命令信息。
在步骤S215中,控制器200可以将阻止命令信息传送到传感器阻止单元113。阻止命令信息可以包括与包含在阻止对象列表中或因违反阻止策略而被确定阻止的AP或终端相关的信息。
在步骤S217中,传感器阻止单元113可以基于接收的阻止命令信息来执行阻止命令。具体地,传感器阻止单元113可以基于阻止命令信息来生成阻止消息。传感器阻止单元113可以控制通信模块,以将阻止消息传送到目标AP或终端。阻止消息可以包括上述的解除认证帧或干扰信号和伪装包。
图3是用于说明根据一个实施例的无线入侵防御系统中终端的接入控制的图。
参照图3,在步骤S301中,终端30可以向AP20发送包括接入请求的无线帧。
在步骤S303中,WIPS10可以收集在AP20和终端30之间传送的无线帧。
在步骤S305中,WIPS10可以判断收集到的无线帧中包括的终端30的MAC地址是否为随机MAC地址。
例如,当终端30的MAC地址中包括的高24位值包含在生产厂家唯一标识符中时,WIPS10可以将终端30的MAC地址确定为唯一MAC地址,当高24位值与生产厂家唯一标识符不同时,WIPS10可以将终端30的MAC地址确定为随机MAC地址。WIPS10可以从IEEE获得包括生产厂家唯一标识符的生产厂家识别信息。
在步骤S307中,WIPS10可以判断终端30的MAC地址是否为注册MAC地址。注册MAC地址可以是管理员事先允许接入接入点的终端的MAC地址。在另一个实施例中,可以省略步骤S307。
在步骤S309中,WIPS10可以根据阻止策略来确定是否允许终端30接入AP20。
在一个实施例中,阻止策略可以是一种阻止具有随机MAC地址的目标终端针对接入点的接入,而允许多个终端中具有唯一MAC地址的终端针对接入点的接入的策略。这是为了阻止具有无法确定用户的随机MAC地址的终端的连接,以防止对无线网络的入侵。
在一个实施例中,阻止策略可以是一种阻止具有随机MAC地址的目标终端针对接入点的接入,阻止具有唯一MAC地址的终端中具有未注册MAC地址的终端针对接入点的接入,而允许具有注册MAC地址的终端针对接入点的接入的策略。这是为了仅允许具有可确定用户的唯一MAC地址的终端中授权接入的终端的连接,以防止对无线网络的入侵。注册MAC地址可以是由管理员事先注册的终端的MAC地址。
在一个实施例中,阻止策略可以是一种阻止具有随机MAC地址的目标终端中未经管理员批准的终端针对接入点的接入,而允许得到管理员批准的终端针对接入点的接入的策略。这是为了在得到管理员批准的情况下,即使是具有无法确定用户的随机MAC地址的终端,也能例外允许接入。
在步骤S311中,WIPS10可以将表示是否允许终端30接入AP20的接入控制信息提供到AP20。
在步骤S313中,AP20可以基于接入控制信息允许或阻止终端30的接入。
图4是用于说明根据一个实施例的无线入侵防御系统的操作的流程图。
参照图4,在步骤S401中,无线入侵防御系统可以从电气和电子工程师协会(Institute of Electrical and Electronics Engineers,IEEE)接收生产厂家唯一标识符(Organizationally Unique Identifier,OUI)。
在步骤S403中,无线入侵防御系统可以基于请求接入接入点的终端的MAC地址和生产厂家唯一标识符的比较结果,判断终端的MAC地址是否为随机MAC地址。
在步骤S405中,当终端的MAC地址为随机MAC地址时,无线入侵防御系统可以根据阻止策略来决定是否允许终端的接入。
图5是用于说明根据一个实施例的无线入侵防御系统的操作的流程图。
参照图5,在步骤S501中,无线入侵防御系统可以从请求接入的终端接收包括终端MAC地址的无线帧。
在步骤S503中,无线入侵防御系统可以判断终端的MAC地址是否为随机MAC地址。例如,当终端的MAC地址与生产厂家唯一标识符一致时,无线入侵防御系统可以将终端的MAC地址确定为唯一MAC地址,当终端的MAC地址与生产厂家唯一标识符不同时,无线入侵防御系统可以将终端的MAC地址确定为随机MAC地址。
无线入侵防御系统根据判断结果,在终端的MAC地址为随机MAC地址时执行步骤S505,而在终端的MAC地址为唯一MAC地址时执行步骤S507。
在步骤S505中,无线入侵防御系统可以阻止具有随机MAC地址的终端针对接入点的接入。
在步骤S507中,无线入侵防御系统可以允许具有唯一MAC地址的终端针对接入点接入。
根据图5的实施例,可以阻止具有随机MAC地址的目标终端针对接入点的接入,并允许多个终端中具有唯一MAC地址的终端针对接入点的接入。这是为了阻止具有无法确定用户的随机MAC地址的终端的连接,以防止对无线网络的入侵。
图6是用于说明根据一个实施例的无线入侵防御系统的操作的流程图。
参照图6,在步骤S601中,无线入侵防御系统可以从请求接入的终端接收包括终端MAC地址的无线帧。
在步骤S603中,无线入侵防御系统可以判断终端的MAC地址是否为随机MAC地址。
无线入侵防御系统根据判断结果,在终端的MAC地址为随机MAC地址时执行步骤S605,而在终端的MAC地址为唯一MAC地址时执行步骤S607。可以接收无线帧。
在步骤S605中,无线入侵防御系统可以阻止具有随机MAC地址的终端针对接入点的接入。
在步骤S607中,无线入侵防御系统可以判断终端的MAC地址是否为注册MAC地址。根据判断结果,在终端的MAC地址为注册MAC地址时执行步骤S609,而在终端的MAC地址为未注册MAC地址时执行步骤S605。注册MAC地址可以是管理员事先允许接入接入点的终端的MAC地址。
在步骤S609中,无线入侵防御系统可以允许具有注册MAC地址的终端针对接入点的接入。
根据图6的实施例,可以阻止具有随机MAC地址的目标终端针对接入点的接入。可以阻止具有唯一MAC地址的终端中具有未注册MAC地址的终端针对接入点的接入,并允许具有注册MAC地址的终端针对接入点的接入。这是为了仅允许具有唯一MAC地址的终端中管理员允许接入的终端的连接,以防止对无线网络的入侵。可以允许接入。
图7是用于说明根据一个实施例的无线入侵防御系统的操作的流程图。
参照图7,在步骤S701中,无线入侵防御系统可以从请求接入接入点的终端接收包括终端MAC地址的无线帧。
在步骤S703中,无线入侵防御系统可以判断终端的MAC地址是否为随机MAC地址。无线入侵防御系统根据判断结果,在终端的MAC地址为随机MAC地址时执行步骤S705,而在终端的MAC地址为唯一MAC地址时执行步骤S709。
在步骤S705中,无线入侵防御系统可以基于阻止策略来判断终端是否为经管理员事先批准的终端。无线入侵防御系统在终端为事先批准的终端时执行步骤S709,而在终端为未经事先批准的终端时执行步骤S707。
在步骤S707中,无线入侵防御系统可以阻止具有随机MAC地址的终端中未经管理员事先批准的终端针对接入点的接入。
在步骤S709中,无线入侵防御系统可以允许具有唯一MAC地址的终端或具有随机MAC地址的终端中经管理员事先批准的终端针对接入点的接入。
根据图7的实施例,可以阻止具有随机MAC地址的目标终端中未经管理员批准的终端针对接入点的接入,并允许得到管理员事先批准的终端针对接入点的接入。这是为了在事先得到管理员批准的情况下,即使是具有无法确定用户的随机MAC地址的终端,也例外允许接入。
Claims (15)
1.一种无线入侵防御系统,其包括:
感测装置,监测接入点和多个终端之间通过无线网络发送和接收的无线帧,基于所述无线帧生成帧分析信息;以及
控制器,比较包括生产厂家唯一标识符的生产厂家识别信息和所述帧分析信息中包括的每个终端的介质接入控制地址即MAC地址,基于比较结果确定所述多个终端中具有随机MAC地址的目标终端和具有唯一MAC地址的终端,并阻止所述目标终端针对所述接入点的接入,而允许具有所述唯一MAC地址的终端针对所述接入点的接入。
2.根据权利要求1所述的无线入侵防御系统,其中,
所述控制器从电气和电子工程师协会即IEEE获得所述生产厂家识别信息。
3.根据权利要求1所述的无线入侵防御系统,其中,
所述控制器基于每个所述终端的MAC地址中包含的高24位值是否包括在所述生产厂家唯一标识符中,确定每个所述终端的MAC地址是否为随机MAC地址。
4.根据权利要求3所述的无线入侵防御系统,其中,
当终端的MAC地址中包括的高24位值包括在所述生产厂家唯一标识符时,确定所述终端的MAC地址为唯一MAC地址,当所述高24位值与所述生产厂家唯一标识符不同时,确定所述终端的MAC地址为随机MAC地址。
5.根据权利要求1所述的无线入侵防御系统,其中,
所述控制器根据所述唯一MAC地址是否为注册MAC地址,允许具有所述唯一MAC地址的终端针对所述接入点的接入。
6.根据权利要求1所述的无线入侵防御系统,其中,
所述控制器解除阻止所述目标终端中经管理员事先批准的终端针对所述接入点的接入。
7.根据权利要求1所述的无线入侵防御系统,其中,
所述无线网络包括应用IEEE802.11的普通无线网络和应用IEEE802.11w的安全无线网络。
8.根据权利要求1所述的无线入侵防御系统,其中,
所述帧分析信息包括发送和接收所述无线帧的终端的MAC地址、所述接入点的服务集标识符即SSID、安全设置内容、传送速度、IEEE802.11的版本、信道信息以及接收信号强度指示即RSSI中的至少一个。
9.一种无线入侵防御系统的操作方法,其包括以下步骤:
从通过无线网络向接入点发送无线帧和从接入点接收无线帧的多个终端中的目标终端接收针对所述接入点的接入请求;
基于包括生产厂家唯一标识符的生产厂家识别信息和所述无线帧中包括的所述目标终端的介质接入控制地址即MAC地址的比较结果,确定所述目标终端的MAC地址是否为随机MAC地址或唯一MAC地址;以及
当所述目标终端的MAC地址为所述随机MAC地址时,阻止所述目标终端针对所述接入点的所述接入,当所述目标终端的MAC地址为所述唯一MAC地址时,允许所述目标终端针对所述接入点的所述接入。
10.根据权利要求9所述的无线入侵防御系统的操作方法,其中,
在当所述目标终端的MAC地址为所述唯一MAC地址时,允许所述目标终端针对所述接入点的所述接入的步骤中,
根据所述唯一MAC地址是否为注册MAC地址,允许所述目标终端针对所述接入点的所述接入。
11.根据权利要求9所述的无线入侵防御系统的操作方法,其中,
在当所述目标终端的MAC地址为所述随机MAC地址时,阻止所述目标终端针对所述接入点的所述接入的步骤中,
根据所述目标终端是否经由管理员事先批准,解除阻止所述目标终端针对所述接入点的所述接入。
12.根据权利要求9所述的无线入侵防御系统的操作方法,进一步包括以下步骤:
从电气和电子工程师协会即IEEE获得所述生产厂家识别信息。
13.根据权利要求9所述的无线入侵防御系统的操作方法,其中,
确定所述目标终端的MAC地址是否为随机MAC地址或唯一MAC地址的步骤,包括以下步骤:
根据所述目标终端的MAC地址中包括的高24位值是否包括在所述生产厂家唯一标识符,确定所述目标终端的MAC地址是否为随机MAC地址或唯一MAC地址。
14.根据权利要求9所述的无线入侵防御系统的操作方法,其进一步包括以下步骤:
生成用于阻止所述目标终端针对所述接入点的所述接入的阻止消息;以及
将包括解除认证帧或包括干扰信号和伪装包的所述阻止消息传送到所述目标终端。
15.根据权利要求9所述的无线入侵防御系统的操作方法,其中,
所述无线网络包括应用IEEE802.11的普通无线网络和应用IEEE802.11w的安全无线网络。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2021-0071809 | 2021-06-02 | ||
| KR1020210071809A KR102359801B1 (ko) | 2021-06-02 | 2021-06-02 | 무선 침입 방지 시스템 및 그 동작 방법 |
| PCT/KR2022/004892 WO2022255619A1 (ko) | 2021-06-02 | 2022-04-05 | 무선 침입 방지 시스템 및 그 동작 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117397271A true CN117397271A (zh) | 2024-01-12 |
Family
ID=80265987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280038348.2A Pending CN117397271A (zh) | 2021-06-02 | 2022-04-05 | 无线入侵防御系统及其操作方法 |
Country Status (3)
| Country | Link |
|---|---|
| KR (1) | KR102359801B1 (zh) |
| CN (1) | CN117397271A (zh) |
| WO (1) | WO2022255619A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102359801B1 (ko) * | 2021-06-02 | 2022-02-09 | 주식회사 시큐아이 | 무선 침입 방지 시스템 및 그 동작 방법 |
| KR102579948B1 (ko) * | 2023-01-11 | 2023-09-18 | 잉그리스 주식회사 | 맥(mac) 주소를 이용한 유동인구 분석 시스템 및 그 방법 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10237738B2 (en) * | 2014-11-10 | 2019-03-19 | Qualcomm Incorporated | Wi-Fi privacy in an access point using media access control address randomization |
| KR102329493B1 (ko) * | 2015-11-27 | 2021-11-22 | 삼성전자 주식회사 | 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치 |
| US11706255B2 (en) * | 2019-07-29 | 2023-07-18 | Cable Television Laboratories, Inc. | Systems and methods for obtaining permanent MAC addresses |
| KR102266044B1 (ko) * | 2019-07-31 | 2021-06-16 | 주식회사 엘지유플러스 | 단말과 액세스 포인트의 연결 방법 |
| KR102157661B1 (ko) * | 2020-03-11 | 2020-09-18 | 주식회사 시큐아이 | 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법 |
| KR102359801B1 (ko) * | 2021-06-02 | 2022-02-09 | 주식회사 시큐아이 | 무선 침입 방지 시스템 및 그 동작 방법 |
-
2021
- 2021-06-02 KR KR1020210071809A patent/KR102359801B1/ko active IP Right Grant
-
2022
- 2022-04-05 CN CN202280038348.2A patent/CN117397271A/zh active Pending
- 2022-04-05 WO PCT/KR2022/004892 patent/WO2022255619A1/ko active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022255619A1 (ko) | 2022-12-08 |
| KR102359801B1 (ko) | 2022-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10834596B2 (en) | Method for blocking connection in wireless intrusion prevention system and device therefor | |
| KR102157661B1 (ko) | 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법 | |
| US9363675B2 (en) | Distributed wireless security system | |
| CN117397271A (zh) | 无线入侵防御系统及其操作方法 | |
| EP3090582B1 (en) | System and method for security and quality assessment of wireless access points | |
| US8122506B2 (en) | Method and system for detecting characteristics of a wireless network | |
| Agarwal et al. | An efficient scheme to detect evil twin rogue access point attack in 802.11 Wi-Fi networks | |
| EP3422665B1 (en) | Sensor-based wireless network vulnerability detection | |
| US7710933B1 (en) | Method and system for classification of wireless devices in local area computer networks | |
| EP1554837A2 (en) | System and method for remotely monitoring wirless networks | |
| EP2826304B1 (en) | Method and system for preventing the propagation of ad -hoc networks | |
| KR20070054067A (ko) | 무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽침입탐지 및 차단방법 | |
| CN101540667A (zh) | 无线局域网中的通信干扰方法和设备 | |
| Boob et al. | Wireless intrusion detection system | |
| WO2005081460A1 (ja) | 不正無線局検出システム、それに用いる装置及びその方法 | |
| CN106878992B (zh) | 无线网络安全检测方法和系统 | |
| US10498758B1 (en) | Network sensor and method thereof for wireless network vulnerability detection | |
| CN110620773A (zh) | 一种tcp流量隔离方法、装置及相关组件 | |
| WO2023017952A1 (ko) | 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법 | |
| KR101186876B1 (ko) | 유무선 통합시스템에서 실시간 침입차단 방법 | |
| KR102596544B1 (ko) | 무선 침입 차단 방법 및 장치 | |
| Hasan et al. | Protecting Regular and Social Network Users in a Wireless Network by Detecting Rogue Access Point: Limitations and Countermeasures | |
| Zarai | Secure MFCC Architecture for health care application | |
| Karanth et al. | Monitoring of Wireless Networks for Intrusions and Attacks | |
| WO2012070815A2 (ko) | 암호화 기능을 가지는 무선 통신 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |