CN117837185A - 感测装置、包括感测装置的无线入侵防御系统及其操作方法 - Google Patents
感测装置、包括感测装置的无线入侵防御系统及其操作方法 Download PDFInfo
- Publication number
- CN117837185A CN117837185A CN202280055725.3A CN202280055725A CN117837185A CN 117837185 A CN117837185 A CN 117837185A CN 202280055725 A CN202280055725 A CN 202280055725A CN 117837185 A CN117837185 A CN 117837185A
- Authority
- CN
- China
- Prior art keywords
- blocking
- terminal
- message
- access point
- sensing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000002265 prevention Effects 0.000 title description 10
- 230000000903 blocking effect Effects 0.000 claims abstract description 219
- 230000006854 communication Effects 0.000 claims abstract description 69
- 238000004891 communication Methods 0.000 claims abstract description 68
- 238000012508 change request Methods 0.000 claims abstract description 37
- 238000004458 analytical method Methods 0.000 claims abstract description 6
- 238000005516 engineering process Methods 0.000 abstract description 22
- 238000012544 monitoring process Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 5
- 101710149792 Triosephosphate isomerase, chloroplastic Proteins 0.000 description 1
- 101710195516 Triosephosphate isomerase, glycosomal Proteins 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- JEIPFZHSYJVQDO-UHFFFAOYSA-N iron(III) oxide Inorganic materials O=[Fe]O[Fe]=O JEIPFZHSYJVQDO-UHFFFAOYSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/80—Arrangements enabling lawful interception [LI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Technology Law (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本技术涉及一种电子装置,根据本技术的监测接入点与终端之间的连接的感测装置包括:模板存储单元,存储阻止模板,所述阻止模板用于生成阻止所述终端与所述接入点之间的连接的无线通信消息;以及感测控制单元,获取所述终端与所述接入点之间发送和接收的消息,作为基于所述消息分析的结果,如果所述终端是包括在服务器提供的阻止对象列表中的终端,则向所述终端发送阻止消息,所述阻止消息是在所述阻止模板中插入所述接入点的地址、所述终端的地址以及请求改变所述终端与所述接入点通信的信道的信道改变请求命令而生成的,并且所述阻止模板包括用于所述终端与所述接入点之间连接的认证方法和加密方法,所述阻止消息包括发送所述阻止消息的所述感测装置的信息和阻止原因的信息。
Description
技术领域
本发明涉及一种电子装置,更具体地,涉及一种感测装置、包括感测装置的无线入侵防御系统及其操作方法。
背景技术
随着互联网的快速发展和普及,网络环境变得越来越庞大,由于互联网的简单便捷的网络接入和所提供的各种服务,其形态也变得复杂。然而,由于互联网上的病毒、黑客攻击、系统入侵、获取系统管理员权限、隐藏入侵、拒绝服务攻击等多种类型的网络攻击,互联网始终面临着黑客攻击的风险,导致对互联网的侵害逐渐增加,并且公共机构、社会基础设施和金融机构受损规模不断增加,其影响巨大。为了解决这些互联网安全问题,对杀毒软件、防火墙、综合安全管理、入侵检测系统等网络安全技术的需求不断涌现。
用于无线互联网通信的无线网络系统包括无线LAN接入点(Wireless LAN AccessPoint,AP)和无线LAN终端。
近年来,正在广泛开发和应用使用有线和无线网络的综合网络系统。虽然难以稳定地阻止有线访问的有害流量,但稳定地阻止无线访问的有害流量更难。为了解决这个问题,正在开发无线入侵防御系统(Wireless Intrusion Prevention System,WIPS)。WIPS是一种通过无线区间监测来检测和阻止非法(rouge)AP/终端、未授权的AP/终端或DoS(拒绝服务(Denial of Service))攻击等无线入侵的系统。
发明内容
(一)要解决的技术问题
本发明的实施例提供一种阻止终端的接入的感测装置、包括感测装置的无线入侵防御系统及其操作方法。
(二)技术方案
根据本发明的实施例的监测接入点与终端之间的连接的感测装置包括:模板存储单元,存储阻止模板,所述阻止模板用于生成阻止所述终端与所述接入点之间的连接的无线通信消息;以及感测控制单元,获取所述终端与所述接入点之间发送和接收的消息,作为基于所述消息分析的结果,如果所述终端是包括在服务器提供的阻止对象列表中的终端,则向所述终端发送阻止消息,所述阻止消息是在所述阻止模板中插入所述接入点的地址、所述终端的地址以及请求改变所述终端与所述接入点通信的信道的信道改变请求命令而生成的,所述阻止模板包括用于所述终端与所述接入点之间连接的认证方法和加密方法,所述阻止消息包括发送所述阻止消息的所述感测装置的信息和阻止原因的信息。
根据本发明的实施例的监测接入点与终端之间的连接的感测装置的操作方法包括以下步骤:存储阻止模板,所述阻止模板用于生成阻止所述终端与所述接入点之间的连接的无线通信消息;获取所述终端向所述接入点发送的消息,基于所述消息判断所述终端是否是包括在服务器提供的阻止对象列表中的终端;以及向所述终端发送在所述阻止模板中插入所述接入点的地址、请求改变所述终端与所述接入点通信的信道的信道改变请求命令的阻止消息,所述阻止模板包括用于所述终端与所述接入点之间的连接的认证方法和加密方法,所述阻止消息包括发送所述阻止消息的所述感测装置的信息和阻止原因的信息。
根据本发明的实施例的监测接入点与多个终端之间的连接的感测装置包括:模板存储单元,存储阻止模板,所述阻止模板用于生成阻止所述多个终端与所述接入点之间的连接的无线通信消息;以及感测控制单元,获取所述多个终端与所述接入点之间发送和接收的消息,作为基于所述消息分析的结果,如果所述接入点是包括在服务器提供的阻止对象列表中的接入点,则向所述多个终端发送阻止消息,所述阻止消息是在所述阻止模板中插入所述接入点的地址、所述多个终端中的每一个的地址以及请求改变所述终端与所述接入点通信的信道的信道改变请求命令而生成的,所述阻止模板包括用于所述终端与所述接入点之间连接的认证方法和加密方法,所述阻止消息包括发送所述阻止消息的所述感测装置的信息和阻止原因的信息。
(三)有益效果
根据本技术提供的阻止终端的接入的感测装置、包括感测装置的无线入侵防御系统及其操作方法,第一,不需要分析是否是用于生成阻止(block)消息的应用IEEE 802.11w的网络、不需要单独管理相应的会话列表或者不需要根据会话列表应用单独的阻止方法,从而可以减少不必要的分析时间,缩短生成阻止消息的时间。
第二,在本发明中,通过在阻止消息生成过程中应用仅预先定义用于生成阻止消息的最少信息的阻止模板,缩短了复制不必要的AP消息的时间,生成的阻止消息的大小也比复制的AP消息减小,并且插入的信道改变请求也与频段无关地使用相同的信息,还可以缩短判断频段的时间,从而可以提高阻止性能。
第三,由于本发明仅向阻止对象终端发送阻止消息,因此可以仅阻止待发送阻止消息的终端,而不影响接入到AP的正常终端。另外,如果作为阻止对象的终端为多个终端,则可以通过向所有待阻止的终端单独发送阻止消息来阻止所有试图接入AP的终端。
第四,本发明在发送阻止消息时可以包含阻止消息发送主体和阻止原因等内容,因此在无线阻止发生争议时可以用作依据资料。
第五,本发明是基于无线标准的技术实现,除了以往使用的频段(2.4Ghz、5Ghz)之外,还可以在新的6Ghz频段通过阻止消息得到相同的阻止效果。
附图说明
图1是用于说明WIPS阻止AP和终端之间的连接的一般操作的图。
图2是用于说明在一般无线网络和应用预定安全技术的无线网络中的传统感测装置的会话判断和分类过程的流程图。
图3是用于说明在一般无线网络和应用预定安全技术的无线网络中的传统感测装置的阻止过程的流程图。
图4是用于说明根据本发明的实施例的WIPS的图。
图5是用于说明根据本发明的一个实施例的WIPS的操作的图。
图6是用于说明根据本发明的一个实施例的感测装置阻止终端与AP之间的连接的操作的图。
图7是用于说明根据本发明的一个实施例的改进的感测装置的阻止过程的流程图。
具体实施方式
本说明书或申请中公开的根据本发明概念的实施例的特定结构和功能描述仅为了说明根据本发明的概念的实施例而示出,根据本发明的概念的实施例可以以各种形式实施,并且不应被解释为限于本说明书或申请中说明的实施例。
以下说明的无线入侵防御系统(Wireless Intrusion Prevention System,以下称为WIPS)是通过无线区间监测来检测和阻止非法(rouge)AP(接入点(Access Point))/终端、未授权的AP/终端或DoS(拒绝服务(Denial of Service))攻击等无线入侵的系统。
本说明书中描述的一般无线网络可以指应用IEEE 802.11技术的无线网络,并且应用预定安全技术的无线网络可以指应用IEEE 802.11w技术的无线网络。IEEE 802.11w是提高了管理帧的安全性的IEEE 802.11的修改技术。然而,不限于此,本发明的实施例可以共同应用于应用各种安全技术的一般无线网络和应用预定安全技术的无线网络。
接入点(Access Point,以下称为AP)是为与其关联(associated)的终端提供通过无线媒体接入分配系统的实体。AP是一个包含PCP(个人基本服务集协调点(Personal BSSCoordination Point))的概念,广义上可以包括集中控制器、基站(Base Station,BS)、Node-B、BTS(基站收发系统(Base Transceiver System))或站点控制器等所有概念。在本发明中,AP也可以称为基础无线通信终端,广义上基础无线通信终端可以用作包括AP、基站(base station)、eNB(eNodeB)和传输点(TP)全部的术语。另外,基础无线通信终端可以包括在与多个无线通信终端的通信中分配通信媒体(medium)资源并执行调度(scheduling)的各种类型的无线通信终端。
终端(Station)是任何遵循IEEE 802.11标准规定的、包括媒体接入控制(MediumAccess Control,MAC)和无线媒体物理层(Physical Layer)接口的设备,广义上可以包括非接入点(non-AP)站和接入点(AP)。在本说明书中,“终端”指non-AP站,但是根据实施例,也可以用作指代non-AP站和AP两者的术语。用于无线通信的站可以包括处理器(Processor)和发送和接收单元(transmit/receive unit),并且根据实施例可以进一步包括用户接口单元和显示单元等。处理器可以生成待通过无线网络发送的消息或处理通过所述无线网络接收的消息,此外可以执行用于控制站的各种处理。另外,发送和接收单元在功能上连接到所述处理器并且通过无线网络发送和接收用于站的消息。终端可以通过无线网络与AP发送和接收消息。
根据本发明的实施例的感测装置、包括感测装置的无线入侵防御系统及其操作方法可以提供阻止AP与终端之间的连接的技术,而不区分AP与终端之间的连接过程中使用哪个频段(2.4Ghz/5Ghz/6Ghz)、是否是应用IEEE 802.11w(PMF,受保护的管理帧(ProtectedManagement Frame))的无线网络、应用何种认证方法和加密方法以及是否是接入网络前或接入网络后。
图1是用于说明WIPS阻止AP与终端之间的连接的一般操作的图。
参照图1,WIPS10可以包括感测装置100和服务器200。
感测装置100可以监测AP 20与终端30之间的连接。在实施例中,感测装置100可以接收无线帧。例如,感测装置100可以获取终端30与AP 20之间为进行连接而发送和接收的消息。感测装置100可以基于从终端30和AP 20获取的消息来判断终端或AP是否是包括在服务器200提供的阻止对象列表中的终端30或AP 20。此后,感测装置100可以通过在无线网络上发送阻止消息来阻止终端30与AP 20之间的连接。
图2是用于说明在一般无线网络和应用预定安全技术的无线网络中的传统感测装置的会话判断和分类过程的流程图。
参照图2,在步骤S201中,传统的感测装置可以接收无线帧。例如,传统的感测装置可以获取终端与AP之间发送和接收的消息。
在步骤S203中,传统的感测装置可以通过获取终端与AP之间发送和接收的消息来判断终端是否是新终端。在传统的感测装置中,如果分析终端与AP之间发送和接收的消息的结果为终端是新终端,则可以执行步骤S205。相反,如果分析终端与AP之间发送和接收的消息的结果为终端不是新终端,则可以再次执行步骤S201。
在步骤S205中,传统的感测装置可以通过分析新终端与AP之间发送和接收的消息来判断连接是否应用了802.11w技术。
在步骤S207中,如果新终端与AP之间发送和接收的消息是应用了802.11w技术的连接,则传统的感测装置可以将其分类为应用了预定安全技术的无线网络,并在步骤S209中可以添加到会话列表。与此不同,通过分析新终端与AP之间发送和接收的消息,如果不是应用802.11w技术的连接,则可以将其分类为一般无线网络连接,并在步骤S209中可以单独添加到会话列表。
在步骤S209中,传统的感测装置可以将分析终端与AP之间发送和接收的消息的会话信息根据其是否是802.11w连接而进行区分,并添加到会话列表。
如上面参照图2所描述的,传统的感测装置执行根据终端与AP之间发送和接收的消息是否是IEEE 802.11w连接来单独地分类会话列表的过程。
图3是用于说明在一般无线网络和应用预定安全技术的无线网络中的传统感测装置的阻止过程的流程图。
参照图3,在步骤S301和步骤S303中,传统的感测装置可以通过分析终端与AP之间发送和接收的消息来判断终端或AP是否是阻止对象。在传统的感测装置中,如果分析终端与AP之间发送和接收的消息的结果为终端或AP是阻止对象,则可以进行步骤S305。与此不同,如果终端或AP不是阻止对象,则可以再次执行步骤S301。
在步骤S305中,传统的感测装置可以通过分析终端与AP之间发送和接收的消息来判断是否是802.11w连接。如果终端与AP之间发送和接收的消息是802.11w连接,则判断为应用了预定安全技术的无线网络,从而可以进行步骤S307。与此不同,如果终端与AP之间发送和接收的消息不是802.11w连接,则可以判断为一般无线网络,从而可以进行步骤S315。
在步骤S307中,当终端与AP之间发送和接收的消息是802.11w连接时,传统的感测装置可以复制AP发送的无线通信消息。
在步骤S315中,当终端与AP之间发送和接收的消息不是802.11w连接时,传统的感测装置可以发送假未认证消息。
在步骤S309中,传统的感测装置可以判断终端与AP之间发送和接收的消息的频段是否是2.4Ghz。如果终端与AP之间发送和接收的消息的频段是2.4Ghz,则可以进行步骤S311。与此不同,如果终端与AP之间发送和接收的消息的频段是5Ghz而不是2.4Ghz,则可以进行步骤S317。
在步骤S311中,当复制的AP的无线通信消息的频段为2.4Ghz时,传统的感测装置可以生成在复制的AP的无线通信消息中插入信道改变请求命令(CSA)的假消息。
信道改变请求命令可以是请求改变终端与AP连接或通信的信道的命令。
在步骤S317中,如果复制的AP的无线通信消息的频段是5Ghz而不是2.4Ghz,则传统的感测装置可以生成在复制的AP的无线通信消息中插入信道改变请求命令(CSA)并且额外插入扩展的信道改变请求命令(扩展CSA)的假消息。
在步骤S313中,传统的感测装置可以发送所生成的假消息。
如上面参照图3所描述的,为了阻止终端与AP之间的连接,传统的感测装置根据终端与AP之间发送和接收的消息是否是802.11w连接来生成假未认证消息或在复制的AP的无线通信消息中插入信道改变请求命令(CSA)的假消息并在无线网络上发送。另外,传统的感测装置根据复制的AP的无线通信消息的频段是2.4Ghz还是5Ghz,针对每个频段将不同的信道改变请求命令插入假消息中。
即,传统的感测装置需要单独的判断终端发送的消息是否是802.11w连接的过程、判断复制的AP的无线通信消息的频段是否是2.4Ghz的过程以及针对每个频段生成不同的信道改变请求命令的过程。
图4是用于说明根据本发明的实施例的WIPS的图。
参照图4,WIPS10可以包括感测装置100和服务器200。在实施例中,感测装置100可以监测终端与AP之间发送和接收的消息,并且可以基于监测的消息处理发送该消息的终端或AP的MAC地址、安全设置内容、帧出现频率、传输速度、数据量、SSID、IEEE 802.11a/b/g/n/ac/ax、信道、RSSI等信息。并且,感测装置100可以将处理后的信息发送到服务器200。
服务器200可以通过将处理后的信息与DB(数据库(database))化的签名(signature)信息进行比较来判断该终端或AP是否未授权并且是否操作异常。此时,签名信息可以包括消息头信息或者消息出现频率等信息。
服务器200可以判断检测的AP是否未授权。如果预先没有基于BSSID和MAC地址等DB中存储的其他信息将AP分类为授权AP,则服务器200可以判断该AP为未授权AP。未授权终端也可以通过类似的方法进行判断。
如果服务器200判断该AP为未授权AP,则可以根据阻止策略实施自动阻止,或者发出警报并由管理员实施手动阻止。根据阻止决定,服务器200可以将阻止对象列表或阻止策略信息发送到感测装置100。
感测装置100通过基于阻止对象列表和阻止策略的判断来选择要阻止的AP和终端,并且可以实施阻止。
在实施例中,基于阻止对象列表和阻止策略的感测装置100的阻止可以包括阻止特定AP与特定终端之间的连接。当授权终端连接到未授权AP时或者当未授权终端连接到授权AP时,感测装置100可以阻止连接。例如,当检测到未授权AP的BSSID时,感测装置100可以阻止授权终端与未授权AP连接。作为另一示例,当检测到未授权终端的MAC时,感测装置100可以阻止未授权终端与授权AP连接。
在实施例中,感测装置100可以包括模板存储单元110和感测控制单元120。
模板存储单元110可以存储阻止模板,所述阻止模板用于生成阻止终端与接入点之间的连接的无线通信消息。
例如,即使每个终端或者每个AP的终端与AP之间的通信方法中包括的认证方法、加密方法、频段等存在差异,阻止模板也可以是用于生成阻止终端与AP之间的连接的无线通信消息的模板。作为另一示例,阻止模板可以是用于生成阻止终端与AP之间的连接的无线通信消息的模板,而与是否是一般无线网络或应用了预定安全技术的无线网络无关。
例如,阻止模板可以包括支持率(Support rate)、DSP、TIM和RSN等。
传统的感测装置在应用预定安全技术的无线网络中复制作为阻止对象的AP发送的无线通信消息,并根据频段插入信道改变请求命令(CSA)或扩展的信道改变请求命令(扩展(Extended)CSA)来生成假消息,然后在无线网络上发送假消息。然而,在本发明的实施例中,通过在模板存储单元110中仅预先存储生成用于阻止的无线通信消息所需的项,使得终端可以判断为AP发送的无线通信消息,与复制无线通信消息的方法相比,可以缩短无线通信消息的生成时间,并且还可以减小无线通信消息的大小。
感测控制单元120可以监测AP与终端之间的连接,并且基于终端与AP之间发送和接收的消息来生成阻止消息并将其发送到终端。
在实施例中,感测控制单元120可以包括阻止消息生成单元121和通信模块122。
阻止消息生成单元121可以分析通信模块122获取的终端与AP之间发送和接收的消息。阻止消息生成单元121可以添加/更新待发送消息的终端的信息。阻止消息生成单元121可以判断待发送消息的终端是否对应于服务器200提供的阻止对象列表。当待发送消息的终端对应于阻止对象列表时,阻止消息生成单元121可以生成阻止消息。
阻止消息生成单元121可以通过从模板存储单元110接收阻止模板来生成阻止消息。在实施例中,当终端待连接的AP是未授权的AP时,阻止消息生成单元121可以使用阻止模板来生成阻止消息。例如,阻止消息生成单元121可以通过在阻止模板中设置未授权AP的BSSID作为发送地址、待连接未授权AP的终端的MAC作为接收地址并且插入信道改变请求命令和其他必要信息来生成阻止消息。信道改变请求命令可以是请求改变终端与AP连接或通信的信道的命令。在实施例中,信道改变请求命令可以包括终端改变的信道值。在实施例中,阻止消息生成单元121可以生成阻止消息,该阻止消息进一步包括指示发送阻止消息的主体或者阻止原因的阻止消息。
在另一实施例中,当多个终端待连接的AP是未授权AP时,阻止消息生成单元121可以在阻止模板中设置未授权AP的BSSID作为发送地址、待连接未授权AP的多个终端中的每一个终端的MAC作为接收地址并且插入信道改变请求命令和其他必要信息来生成阻止消息。然后,阻止消息生成单元121可以通过通信模块122向待接入未授权AP的多个终端分别发送生成的阻止消息。
在实施例中,阻止消息生成单元121可以通过通信模块122将生成的阻止消息发送到授权终端来阻止授权终端与未授权AP之间的连接。具体地,授权终端可以尝试通过插入在阻止消息中的信道改变请求命令待改变的信道来连接到未授权AP。在实施例中,信道改变请求命令中包括的待改变的信道值是与终端试图接入的未授权AP实际使用的信道值不同的信道值。例如,待改变的信道值可以是随机生成的信道值。即,由于插入在阻止消息中的待改变的信道值不是由授权终端试图接入的未授权AP发送的消息所使用的信道值,因此可以阻止授权终端连接到未授权AP。
在实施例中,对于信道改变请求命令,可以与终端与AP之间发送和接收的频段无关地生成相同的信道改变请求命令并将其插入到阻止消息中。具体地,由于可以随机地确定信道改变请求命令中包括的待改变的信道值,因此可以在2.4Ghz、5Ghz和6Ghz的频段中生成相同的信道改变请求命令。因此,不需要判断AP发送的无线通信消息的频段的时间,并且由于生成信道改变请求命令的时间缩短,可以缩短阻止终端与AP之间的连接的时间。
在另一实施例中,当未授权终端待连接到授权AP时,阻止消息生成单元121可以以与上述相同的方法基于阻止模板生成阻止消息,并将其发送到未授权终端,从而可以阻止在未授权终端与授权AP之间的连接。
在实施例中,阻止消息生成单元121可以通过通信模块122向终端发送阻止消息,以阻止终端与AP之间的连接并生成阻止事件。阻止消息生成单元121可以将生成的阻止事件传递到服务器200。
通信模块122可以获取AP与终端之间发送和接收的消息。在实施例中,通信模块122可以将在AP与终端之间的通信过程中获取的消息提供给阻止消息生成单元121。
通过分析在AP与终端的通信过程中获取的消息,如果与服务器200提供的阻止对象列表相对应,则通信模块122可以接收阻止消息生成单元121生成的阻止消息,并将其发送至终端。
在本发明中,通过将阻止消息的接收地址设置为终端的MAC,可以单独阻止待阻止的终端。具体地,当授权终端试图连接到未授权AP时或者当未授权终端试图连接到授权AP时,可以通过仅向待阻止的终端发送阻止消息来进行单独阻止。因此,可以不影响待连接到未授权AP或授权AP的正常终端的连接。
传统的感测装置区分了AP与终端连接的无线网络环境是一般无线网络还是应用了预定安全技术的无线网络。另外,传统的感测装置在一般的无线网络环境中通过假未认证的消息来阻止AP与终端之间的连接,并且在应用了预定安全技术的无线网络环境中通过复制待阻止的AP的无线消息来生成假消息,并且利用生成的假消息阻止AP与终端的连接。特别地,在应用了预定安全技术的无线网络环境中使用的假消息是通过复制AP的无线通信消息(一般作为信标通用)仅修改信道改变请求来使用。此时,由于复制的AP的无线通信消息中的基本接收地址是广播值,因此向试图连接作为复制对象的AP的所有终端发送假消息,从而阻止所有终端的连接。(一般作为“AP阻止”通用)
例如,当检测到未授权AP的BSSID时,阻止接入AP的所有终端的AP阻止可能阻止连接到未授权AP的正常终端的连接。即,在未授权AP是用作公共服务的AP的情况下,如果对未授权AP执行针对授权终端的AP阻止,则正常连接到未授权AP的终端的连接也会受到影响。另外,如果在未授权终端尝试连接到授权AP时执行AP阻止,则可能会出现正常连接到授权AP的所有授权终端也被阻止的问题。
因此,本发明可以通过仅向待阻止的终端发送阻止消息来改善AP阻止所带来的问题,并且通过向待连接到未授权AP的多个终端单独发送阻止消息来得到与AP阻止相同的效果。
图5是用于说明根据本发明的一个实施例的WIPS的操作的图。
参照图5,WIPS10可以包括感测装置100和服务器200。
在实施例中,感测装置100可以包括模板存储单元110、阻止消息生成单元121和通信模块122。
在步骤S501中,通信模块122可以接收无线帧。例如,通信模块122可以获取终端与AP之间发送和接收的消息。
在步骤S503中,通信模块122可以调度阻止消息生成单元121分析AP与终端之间的通信过程中获取的消息。
在步骤S505中,模板存储单元110可以将阻止模版提供给阻止消息生成单元121。在实施例中,模板存储单元110可以向阻止消息生成单元121提供用于生成阻止终端与AP之间的连接的无线通信消息的阻止模板。
在步骤S507中,服务器200可以向阻止消息生成单元121提供阻止对象列表。在实施例中,阻止对象列表可以包括未授权AP、未授权终端、授权AP和授权终端的列表。
在步骤S509中,阻止消息生成单元121可以分析由通信模块122在AP与终端之间的通信过程中获取的消息,并且添加或更新待发送消息的终端的信息。
在步骤S511中,阻止消息生成单元121分析在AP与终端之间的通信过程中获取的消息中包括的信息,并将其与从服务器200提供的阻止对象列表进行比较,以判断AP或终端是否是阻止对象。
在步骤S513中,如果终端的消息是阻止对象列表中包括的终端,则阻止消息生成单元121可以生成在阻止模板中插入终端待接入的AP的BSSID、终端的MAC和信道改变请求命令的阻止消息。在实施例中,阻止消息生成单元121可以生成阻止消息,该阻止消息进一步包括指示发送阻止消息的主体或者阻止原因的阻止消息。
在步骤S515中,阻止消息生成单元121可以将生成的阻止消息提供给通信模块122。
在步骤S517中,通信模块122可以向终端发送阻止消息。
在步骤S519中,阻止消息生成单元121可以阻止终端与AP之间的连接,并将阻止事件信息发送到服务器200。
图6是用于说明根据本发明的一个实施例的感测装置阻止终端与AP之间的连接的操作的图。
参照图6,步骤S601可以是终端30与AP 20之间的连接过程。在实施例中,AP 20可以是未授权AP,并且终端30可以是授权终端。在另一实施例中,AP 20可以是授权AP,终端30可以是未授权终端。
在步骤S603中,感测装置100可以接收无线帧。例如,感测装置100可以获取在终端30与AP 20之间的连接过程中终端30与AP 20之间发送和接收的消息。感测装置100可以通过分析在终端30与AP 20之间的通信过程中获取的消息中包括的信息来判断该消息是否对应于服务器200提供的阻止对象列表。
在步骤S605中,作为分析在终端30与AP 20之间的通信过程中获取的消息中包括的信息的结果,如果AP或终端对应于服务器200提供的阻止对象列表,感测装置100可以生成在阻止模板中插入AP 20的BSSID、终端30的MAC、信道改变请求命令和其他必要信息的阻止消息并将其发送到终端30。
在步骤S607中,终端30在接收阻止消息并尝试通过改变的信道值连接到AP 20时可以被阻止与AP 20的连接。
图7是用于说明根据本发明的一个实施例的改进的感测装置的阻止过程的流程图。
参照图7,在步骤S701中,感测装置100可以接收无线帧。例如,感测装置100可以获取在终端与AP之间的通信过程中发送和接收的消息。
在步骤S703中,感测装置100可以通过分析在终端与AP之间的通信过程中获取的消息来判断是否是阻止对象。在实施例中,感测装置100可以判断在终端与AP之间的通信过程中获取的消息是否对应于服务器200提供的阻止对象列表。作为分析在终端与AP之间的通信过程中获取的消息中包括的信息的结果,如果AP或终端对应于阻止对象列表,则感测装置100可以进行步骤S705。与此不同,作为分析在终端与AP之间的通信过程中获取的消息中包括的信息的结果,如果AP或终端不对应于阻止对象列表,则感测装置100可以结束步骤。
在步骤S705中,作为分析在终端与AP之间的通信过程中获取的消息中包括的信息的结果,如果AP或终端在阻止对象列表中,则感测装置100可以生成在阻止模板中插入终端待接入的AP的BSSID、终端的MAC、信道改变请求命令(CSA)和其他必要信息的阻止消息。
在步骤S707中,感测装置100可以将生成的阻止消息发送至终端。
与图3所示的传统的感测装置的阻止过程相比,图7所示的感测装置100可以与终端和AP之间的连接是否是802.11w无关地生成相同的阻止消息,从而可以缩短判断是否是802.11w所消耗的时间。另外,感测装置100中存储仅由用于阻止终端与AP之间的连接的项组成的阻止模板,而不是复制AP的所有无线通信消息,从而减少了复制AP的无线通信消息的时间。另外,感测装置100可以将信道改变请求命令中包括的待改变的信道值生成为除了AP发送的无线通信消息中包括的信道值以外的随机信道值,因此与传统的感测装置相比,可以缩短判断无线通信消息的频段的时间以及针对每个频段生成不同的信道改变请求命令的时间。
Claims (9)
1.一种感测装置,监测接入点与终端之间的连接,所述感测装置包括:
模板存储单元,存储阻止模板,所述阻止模板用于生成阻止所述终端与所述接入点之间的连接的无线通信消息;以及
感测控制单元,获取所述终端与所述接入点之间发送和接收的消息,作为基于所述消息分析的结果,如果所述终端是包括在服务器提供的阻止对象列表中的终端,则向所述终端发送阻止消息,所述阻止消息是在所述阻止模板中插入所述接入点的地址、所述终端的地址以及请求改变所述终端与所述接入点通信的信道的信道改变请求命令而生成的,
所述阻止模板包括用于所述终端与所述接入点之间连接的认证方法和加密方法,
所述阻止消息包括发送所述阻止消息的所述感测装置的信息和阻止原因的信息。
2.根据权利要求1所述的感测装置,其中,
所述信道改变请求命令包括待改变的信道值,所述待改变的信道值是与所述接入点使用的信道值不同的信道值。
3.根据权利要求2所述的感测装置,其中,
所述待改变的信道值是随机生成的信道值。
4.一种感测装置的操作方法,其为监测接入点与终端之间的连接的感测装置的操作方法,所述方法包括以下步骤:
存储阻止模板,所述阻止模板用于生成阻止所述终端与所述接入点之间的连接的无线通信消息;
获取所述终端向所述接入点发送的消息,基于所述消息判断所述终端是否是包括在服务器提供的阻止对象列表中的终端;以及
向所述终端发送在所述阻止模板中插入所述接入点的地址、请求改变所述终端与所述接入点通信的信道的信道改变请求命令的阻止消息,
所述阻止模板包括用于所述终端与所述接入点之间的连接的认证方法和加密方法,
所述阻止消息包括发送所述阻止消息的所述感测装置的信息和阻止原因的信息。
5.根据权利要求4所述的感测装置的操作方法,其中,
所述信道改变请求命令包括待改变的信道值,所述待改变的信道值是与所述接入点使用的信道值不同的信道值。
6.根据权利要求5所述的感测装置的操作方法,其中,
所述待改变的信道值是随机生成的信道值。
7.一种感测装置,监测接入点与多个终端之间的连接,所述感测装置包括:
模板存储单元,存储阻止模板,所述阻止模板用于生成阻止所述多个终端与所述接入点之间的连接的无线通信消息;以及
感测控制单元,获取所述多个终端与所述接入点之间发送和接收的消息,作为基于所述消息分析的结果,如果所述接入点是包括在服务器提供的阻止对象列表中的接入点,则向所述多个终端发送阻止消息,所述阻止消息是在所述阻止模板中插入所述接入点的地址、所述多个终端中的每一个的地址以及请求改变所述终端与所述接入点通信的信道的信道改变请求命令而生成的,
所述阻止模板包括用于所述终端与所述接入点之间连接的认证方法和加密方法,
所述阻止消息包括发送所述阻止消息的所述感测装置的信息和阻止原因的信息。
8.根据权利要求7所述的感测装置,其中,
所述信道改变请求命令包括待改变的信道值,所述待改变的信道值是与所述接入点使用的信道值不同的信道值。
9.根据权利要求8所述的感测装置,其中,
所述待改变的信道值是随机生成的信道值。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2021-0105476 | 2021-08-10 | ||
KR1020210105476A KR102359805B1 (ko) | 2021-08-10 | 2021-08-10 | 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법 |
PCT/KR2022/005381 WO2023017952A1 (ko) | 2021-08-10 | 2022-04-13 | 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117837185A true CN117837185A (zh) | 2024-04-05 |
Family
ID=80266041
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280055725.3A Pending CN117837185A (zh) | 2021-08-10 | 2022-04-13 | 感测装置、包括感测装置的无线入侵防御系统及其操作方法 |
Country Status (3)
Country | Link |
---|---|
KR (1) | KR102359805B1 (zh) |
CN (1) | CN117837185A (zh) |
WO (1) | WO2023017952A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102359805B1 (ko) * | 2021-08-10 | 2022-02-09 | 주식회사 시큐아이 | 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100874015B1 (ko) * | 2007-06-11 | 2008-12-17 | 스콥정보통신 주식회사 | 무선랜 침입 방지 시스템 및 방법 |
JP2014155095A (ja) * | 2013-02-12 | 2014-08-25 | Oki Electric Ind Co Ltd | 通信制御装置、プログラム及び通信制御方法 |
KR101447469B1 (ko) * | 2013-12-31 | 2014-10-06 | 한국정보보호시스템(주) | 무선 침입 방지 시스템에서의 모바일 패킷을 이용한 공격의 방어 및 제어 방법 |
KR102102835B1 (ko) * | 2019-03-26 | 2020-04-22 | 시큐어레터 주식회사 | Wips 센서 |
KR102157661B1 (ko) * | 2020-03-11 | 2020-09-18 | 주식회사 시큐아이 | 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법 |
KR102359805B1 (ko) * | 2021-08-10 | 2022-02-09 | 주식회사 시큐아이 | 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법 |
-
2021
- 2021-08-10 KR KR1020210105476A patent/KR102359805B1/ko active IP Right Grant
-
2022
- 2022-04-13 WO PCT/KR2022/005381 patent/WO2023017952A1/ko active Application Filing
- 2022-04-13 CN CN202280055725.3A patent/CN117837185A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2023017952A1 (ko) | 2023-02-16 |
KR102359805B1 (ko) | 2022-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10834596B2 (en) | Method for blocking connection in wireless intrusion prevention system and device therefor | |
KR102157661B1 (ko) | 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법 | |
EP1834451B1 (en) | Network infrastructure validation of network management frames | |
Agarwal et al. | An efficient scheme to detect evil twin rogue access point attack in 802.11 Wi-Fi networks | |
KR102359801B1 (ko) | 무선 침입 방지 시스템 및 그 동작 방법 | |
CN105681272B (zh) | 一种移动终端钓鱼WiFi的检测与抵御方法 | |
JP2014527762A (ja) | 疑わしい無線アクセスポイントの検出 | |
CN107005927A (zh) | 用户设备ue的接入方法、设备及系统 | |
Vanhoef et al. | Protecting wi-fi beacons from outsider forgeries | |
KR102102835B1 (ko) | Wips 센서 | |
Vanhoef et al. | Operating channel validation: Preventing multi-channel man-in-the-middle attacks against protected Wi-Fi networks | |
KR102323712B1 (ko) | Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법 | |
CN101540667A (zh) | 无线局域网中的通信干扰方法和设备 | |
WO2016131289A1 (zh) | 无线热点安全性检测方法、装置及用户设备 | |
US8428516B2 (en) | Wireless ad hoc network security | |
CN101848463A (zh) | 无线接入点保护合法用户接入的方法 | |
CN106878992B (zh) | 无线网络安全检测方法和系统 | |
CN117837185A (zh) | 感测装置、包括感测装置的无线入侵防御系统及其操作方法 | |
CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
WO2017036107A1 (zh) | 用户设备差异化接入网络的方法、基站及计算机存储介质 | |
US9100429B2 (en) | Apparatus for analyzing vulnerability of wireless local area network | |
Chatzisofroniou et al. | Exploiting WiFi usability features for association attacks in IEEE 802.11: Attack analysis and mitigation controls | |
Chen et al. | Development and implementation of anti phishing wi-fi and information security protection app based on android | |
KR102279293B1 (ko) | 비암호화 채널 탐지 방법 및 장치 | |
KR102596544B1 (ko) | 무선 침입 차단 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |