CN1934597A - 基于协议异常分析的无线局域网入侵检测方法 - Google Patents
基于协议异常分析的无线局域网入侵检测方法 Download PDFInfo
- Publication number
- CN1934597A CN1934597A CNA2005800094101A CN200580009410A CN1934597A CN 1934597 A CN1934597 A CN 1934597A CN A2005800094101 A CNA2005800094101 A CN A2005800094101A CN 200580009410 A CN200580009410 A CN 200580009410A CN 1934597 A CN1934597 A CN 1934597A
- Authority
- CN
- China
- Prior art keywords
- packets
- agreement
- computing machine
- ieee standard
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
检测对无线局域网未经授权的使用,其中网络包括通过接入点与至少一个服务器计算机通信的移动单元。分析通过无线局域网发送的消息以检测其与所选无线局域网协议的规范中制定的规则的顺应性。如果检测到不一致,则产生警报以指示可能的入侵者对无线局域网的访问企图。
Description
相关申请的参照
本申请要求于2004年3月25日提交的美国专利申请第10/809,599号的优先权,其公开内容通过引用全部包括于此。
发明背景
本发明涉及无线局域网(WLAN)。本发明尤其涉及检测对无线局域网未经授权的接入或企图的接入并防止对无线网络的攻击(诸如拒绝服务攻击)的方法。
WLAN的巨大成功使它成为受一直积极开发攻击和入侵WLAN的新方法的黑客(被称为“无线黑客”)欢迎的目标。新的WLAN黑客攻击工具以惊人的速度被公布在因特网上。许多行业调查显示WLAN的安全是大多数考虑使用WLAN的公司首席信息官所最关心的。不幸的是,当今的WLAN安全方案不是有漏洞就是未经过证明。
在本申请受让人所有的、并通过引用包含于此的于2000年3月17日提交的序列号为09/528,697的共同待批的美国专利申请中,描述了一种遵循IEEE标准802.11协议、但使用RF端口(也称为“接入端口”)和小区控制器的组合来执行经典802.11数据通信系统的接入点的功能的系统。较低层的MAC功能由RF端口执行,而较高层的MAC功能,包括关联和漫游功能,则由小区控制器执行。如这里所使用的术语“接入点”旨在包括常规的接入点,诸如遵循IEEE标准802.11协议并且执行所有MAC功能的接入点,以及如在所包括的共同待批的申请中所描述的与小区控制器协调操作的RF端口。
在本申请受让人所有的、并通过引用包含于此的于2003年12月22日提交的序列号为10/744,026的共同待批的申请中,描述了一种应用于无线局域数据通信系统的方法,其中移动单元与接入点通信,并且其中系统被安排为利用发射器所发射的信号来定位发射器。在服务器中维护将经授权的发射器与位置相关的数据库。在接触点处检测所选信号,并记录与所选信号对应的用于定位信号源的位置数据。使用位置数据来定位源,并将源位置与数据库中的对应位置作比较。如果源位置与对应的数据库位置不一致,则发出警报。
尽管以上系统和方法可提供一种用于标识WLAN侵入者的有效手段,但是通过其它手段提供更强的安全性将是有利的。
另外,诸如在IEEE 802.11b标准中规定的有线等效加密(WEP)协议等现有安全措施近期据报告有缺陷。加州大学伯克利分校的研究小组近期公布了一份报告,引述了WEP中让使用该协议的WLAN易受到无线等效加密的攻击的“主要安全缺陷”。在该小组对此技术的检查过程中,他们能够截取和修改传输并可接入受限网络。因此,需要一种能够克服WEP的一些缺陷的改进的安全系统。
入侵检测系统(IDS)是防盗报警器的计算机等效系统——它们监控计算机网络以检测危害安全和违反策略的情况,它们已长期用于监控网络话务(NIDS)和主计算机(HIDS),使用诸如基于签名或基于异常的分析等建立完善的技术去检测入侵。
基于异常的技术可进一步分为两类-协议异常和话务异常分析。协议异常系统试图标识协议误用,即特定协议的官方或实际使用之外的任何使用。为诸如IEEE802.11协议等无线网络协议提供协议异常检测的系统和方法,以检测和防止诸如利用已知的WEP弱点、使用反常的MAC头部/尾部数据、以及发送非法分组(例如,具有可能导致一些802.11接入点崩溃的空SSID的试探请求)等攻击将是有利的。
据此,本发明的一个目的是提供一种通过使用协议异常分析来检测对WLAN未经授权的接入或企图的接入的改进的方法,进而提供一种防止对无线网络的攻击(诸如拒绝服务攻击)的改进的方法。
发明概要
根据本发明,提供了一种用于无线数据通信系统的系统和方法,其中移动单元使用接入点来与计算机通信,并且其中系统根据指定数据消息分组的格式的协议操作,用于检测对系统未经授权的接入企图,该方法包括以下步骤:将接入点接收的数据分组转发给计算机并操作计算机将所接收的数据分组的格式与协议指定的格式的所选要求相比较,并在分组违背指定格式的情况下发出报警。
为了更好地理解本发明,以及本发明其它和进一步的目的,将结合附图来参考以下描述,并且本发明的范围将在所附权利要求书中指出。
附图简要说明
图1是示出了可在其中实施本发明的方法的无线局域网的框图;
图2是示出了可在其中实施本发明的方法的无线局域网的框图;
图3是示出了可在其中实施本发明的方法的无线局域网的框图。
除非另有申明,否则全部附图中相同的标号和字符被用来表示所述实施例的相近特征、要素、组件或部分。此外,尽管是参照附图详细描述本发明,但此描述是结合实例性实施例来完成的。
发明描述
参照图1,示出了无线局域网10,它具有通过有线网络14连接到多个接入点16的服务器12。网络10可根据诸如IEEE标准802.11等标准协议工作,以在移动单元18与服务器12之间提供无线网络数据通信。IEEE标准802.11通过引用被全部包括于此,并为本领域的普通技术人员所知晓。
在本发明的一个示例性实施例中,系统的接入点接收的消息被转发到服务器12以作分析,这些消息中包括来自与接入点相关联的移动单元之外的源的消息。服务器12向侵入服务器22提供消息或从消息推得的数据。服务器12可以是网络服务器、中央交换机、或其它一些将无线网络桥接到有线网络或侵入服务器22的组件。或者,数据可从无线网络组件直接被转发给侵入服务器22,从而避免了对服务器12的需要(如图2所示,其中侵入服务器26直接从无线接入点或交换机接收数据)。数据可包括与由接入点16和移动单元18发送和接收的消息有关的细节。侵入服务器22可至少包括处理器和存储器,使得它可以处理从服务器12接收的数据以执行入侵检测分析。相应地,侵入服务器22可以是典型的网络计算机服务器、独立的个人计算机、或其它任何能够执行这里所描述的功能所需的处理的设备。根据本发明,服务器12可以通过包含适当的侵入服务器编程来执行侵入服务器的功能。
参照图3,在本发明的另一示例性实施例中,侵入服务器32可配置有RF装置,使得它能直接访问无线网络上的信息。侵入服务器32可被配置成主动监控和捕捉在WLAN上发送的信号以作进一步分析。
在本发明的优选实施例中,由侵入服务器22执行的IDS分析与协议异常检测有关。本领域普通技术人员将理解,本发明的范围并不局限于所执行的分析的类型。例如,在802.11b无线局域网情形中,侵入服务器22能根据IEEE 802.11标准规范执行IDS分析。现在将更详细地讨论该分析的一些示例性细节。需要注意的是,在本发明的以下示例性实施例中,所述分析由使用入侵检测软件/固件的侵入服务器22来执行尤佳。然而,本领域普通技术人员会认识到,这些分析可以由连接到网络的任何数目的不同单元来执行,包括例如手持式终端或远程终端,并且这种进一步的实施例也在这里所描述的发明范围之内。
在根据本发明的系统和方法的第一示例性实施例中,侵入服务器22可用于检测与802.11协议不一致的异常。
如在802.11协议规范中所更加完全地定义的,802.11MAC帧如表1中所示被构建:
| 帧控制 | 持续期ID | 地址1 | 地址2 | 地址3 | 序列控制 | 地址4 | 帧主体 | CRC |
| 2字节 | 2字节 | 6字节 | 6字节 | 6字节 | 2字节 | 6字节 | 0-2312字节 | 4字节 |
| 802.11MAC头部 | 主体 | CRC | ||||||
表1:802.11MAC帧格式
802.11MAC帧格式根据帧类型(即,控制帧,管理帧,和数据帧)而有所不同,而帧类型由“帧控制”字段的值确定。“帧控制”字段(MAC头部的前两个字节)一般如表2中所示被构建:
| 协议版本 | 类型 | 子类型 | 发向DS | 来自DS | 更多片段 | 重试 | 电源管理 | 更多数据 | WEP | 保留 |
| 2位 | 2位 | 4位 | 1位 | 1位 | 1位 | 1位 | 1位 | 1位 | 1位 | 1位 |
表2:802.11MAC“帧控制”字段格式
在本发明的该示例性实施例中,802.11MAC头、具体而言是“帧控制”字段可被用来检测网络入侵。
在根据本发明的系统和方法的各种示例性实施例中,可检查802.11协议许多不同方面的顺应性。例如,在没有为WEP会话设置“帧控制”字段的WEP标志或在非WEP会话中设置了WEP标志的情况下可检测入侵。这可以通过提取源MAC地址并在状态表(在下文讨论)中执行查找以将当前会话信息与“帧控制”字段的WEP标志作比较来确定。如果检测到不一致,则会生成警报以指示可能的网络入侵企图。
在本发明的这个和其它实施例中,可用多种不同的方式实现状态表,以追踪所选的变量和检测企图的入侵情节。根据本发明,状态WIDS(无线入侵检测系统)(其中侵入服务器可基于状态信息执行检查)要求侵入服务器从其捕捉的分组提取状态信息,并维护WLAN上每个无线设备的状态转移历史。某些入侵可以通过监控可用状态表形式存储的这种状态转移信息来检测。状态表包括最近活动的MAC地址及其相关联的状态信息的列表尤佳。尽管本发明并不局限于这些实施例,但是存储在状态表中的状态信息可包括以下信息中的一部分或全部(如在802.11协议标准中所定义的):MAC地址、设备类型、供应商、协议版本、当前状态情况、WEP安全设置(认证,加密,组播/广播数据加密)、电源管理模式,分段阈值、RTS阈值、Last pkts[N](存储特定源MAC地址的最后N个分组,其中具有诸如时间戳、位置信息、信道、信号质量等信息)、以及各种话务统计量、AP(接入点)统计量、以及交换机统计量。需要注意的是,根据本发明的状态表的实现并不局限于以上实现或802.11协议,这种状态表一般可根据本发明来实现以存储与WIAN上的无线单元有关的任何重要变量,使得此后接收的分组可以与存储在状态表中的值核对以检测入侵并根据需要更新状态表。
在另一示例中,在“帧控制”字段的“协议版本”字段可疑的情况下可检测入侵。同样,可提取MAC地址并在如上所述地实现的状态表中执行查找,以将协议版本与“帧控制”字段中的协议版本相比较。如果检测到不一致,则可生成警报以指示可能的入侵企图。类似地,对于任何可疑设置——例如,源MAC地址是组播/广播地址,都可提取并检查源MAC地址。在此类情况下可类似地触发警报。
类似地,在消息中的电源管理状态不同于状态表中的状态的情况下,这在某些情况下指示可疑的活动,例如,对移动单元进行的拒绝服务(DoS)攻击。例如,黑客会注入具有冒用的受害移动单元MAC地址的数据分组,并将“电源管理”字段设为1,从而导致受害移动单元错过所有数据分组。在此情况下,警报信号会被触发。
在另一种潜在的DoS攻击情形中,黑客会把将移动单元的电源节省模式作为目标以消耗电源。黑客会注入具有冒用的受害MAC地址的数据分组并将“更多数据”字段设为1,从而使得受害移动单元不能进入睡眠模式。这种情况可通过例如检查“帧控制”字段的“更多数据”字段来检测。如果“更多数据”位被设成1,则会话信息将被记入日志。此后,如果没有收到对ps_poll消息的回复,则会产生警报信号。
在另一示例中,“帧控制”字段的“类型”和“子类型”位可被检查以检测非法或不支持的值。如果检测到不一致,则将产生警报。
在又一示例中,“帧控制”字段的“发向DS”和“来自DS”位可被检查以检测与地址字段(地址1、地址2、地址3、地址4)有关的一致性。802.11标准制定了关于相应地址应该为站还是AP的规则。在违反了那些规则的情况下,可检测可能的入侵者情节,并据此产生警报。
此外,未经授权的MAC地址可通过提取地址字段(地址1、地址2、地址3、地址4)并将它们与合法设备的列表相比较来标识。如果检测到非法MAC地址,则这可能是企图接入网络的黑客创建的“冒用”MAC地址的结果。据此,随即警报将会产生。
类似地,MAC头部的“持续期ID”字段可被检查以检测可能的入侵。例如,如果持续期明显不同于802.11规范中定义的所需持续期,或者如果持续期大大超过帧长度(过长的持续期),则可产生警报。该检查可用多种方式执行,包括利用IDS保持状态来执行计算,或对比其帧长度来检查直接数据帧持续期。
另外,入侵情节可通过分析数据分组的其它部分来检测。例如,可分析MAC尾部以检测很可能指示黑客攻击活动的潜在的DoS攻击。例如,在收到过量的帧检查序列(FCS)的情况下,可产生警报。这可以通过在接收到每个分组时即更新每个MAC的FCS失败率来检测。如果FCS失败率变得大于某个预置阈值(例如每分钟失败的阈值),则警报会产生。
其它一般的802.11协议异常可使用本发明的系统和方法来检测。例如,在接收到非法帧长(与802.11协议规范里阐述的可允许的帧长相比)的情况下,可检测可能的入侵系统(例如,数据帧小于34字节或大于2,346字节,管理帧小于28字节或大于2,340字节的情况等)
此外,如果帧在信息元里含有SSID(信标、关联请求、重新关联请求、试探)或SSID元,则将对照默认或弱SSID的列表来检查SSID。如果检测到默认或弱SSID,则这可能是黑客用默认SSID制作试探请求以测试网络的安全设置的结果。这会被标识为可疑活动,从而可产生警报。
在根据本发明的系统和方法的下一个示例性实施例中,侵入服务器22可被用来检测与已知的WEP弱点有关的协议异常。
在一个此类实施例中,本发明的系统和方法可分析WEP认证初始化矢量(IV)以标识潜在的网络入侵。例如,在针对已知的WEP缺陷之一的潜在攻击中,黑客会重复使用先前的IV。为检测该情形,本发明的系统和方法可存储在WEP认证或WEP话务中使用的最近的N个IV(重组后)。如果先前的IV被重复使用,则可产生警报以指示潜在的网络入侵。
此外,在对每个MAC或AP/交换机计算出过量的失败的完整性检查值(ICV)的情况下,可产生警报以指示可能的入侵情节。为检测此类过量的失败,可执行统计分析以确定在“正常”或经授权的网络接入状况期间发生什么范围的失败率。如果失败数超过阈值,则将产生警报。类似地,当检测到每个MAC或AP/交换机有过量TCP失败,则类似的分析和比较可被执行以标识潜在的入侵。
在本发明的又一示例性实施例中,可分析802.11管理帧以检测潜在的入侵情节。
在一个此类情节中,非法的试探响应可能指示入侵情节。非法试探响应可能是其中试探响应源MAC不是AP的试探响应。在本发明的一个实施例中,试探响应可被分析并可产生警报。类似地,可能会接收到非法的关联帧,这指示可能的入侵情节。这可能会在从AP接收到关联请求或是从非AP接收到关联响应的情况下发生。在此情况下,警报可被触发。
类似地,非法认证帧可指示网络窜改。认证序列可被分析以检测这种非法帧,非法帧可被分类为包含例如不支持的算法号、序列(如802.11中所定义)中错误的认证序列号、不支持的状态码、或序列中错误的DA/SA的帧。如果检测到上述任何一个,警报可被触发以指示可能的WLAN入侵情节。
在本发明的又一示例性实施例中,802.11控制帧可被分析以检测潜在的入侵情节。例如,每MAC/AP/交换机的过量CTS或RTS可能指示潜在的入侵企图。可执行统计分析和阈值比较以标识此类入侵情节。
在类似情节里,在收到没有配对RTS的CTS的情况下,可能会发生另一入侵情节。在无线LAN的一个实施例中,AP可将所有RTS和CTS分组(具有时间戳)转发给交换机。在这种配置中,本发明的入侵检测服务器可用于追踪RTS/CTS对。当收到没有RTS的CTS时,或这种情况发生了超过预定的阈值次数时,可产生警报。在另一个情节中,入侵检测服务器可被配置成检测非法RTS(RTS相对特定分组大小而言太小的情况下)。入侵检测服务器还可用于检测具有组播目标MAC地址的控制帧。在这些情况的任何一种中,潜在的入侵情节都可能会发生,并且可相应地产生适当的警报。
需要注意的是,本发明的各种实施例可被设计成单独地(即,只扫描单个类型的协议异常)或组合地(扫描这里所述的多种不同类型的协议异常以及本领域普通技术人员所知的那些异常)检测所述各种协议的异常情况。此外,可建立各种阈值设置以确定每种特定情况是否可疑到有足够理由触发警报。这些考虑因素将主要取决于WLAN实现的细节。
还需注意的是,虽然这里描述的示例性实施例与802.11网络协议有关,但是本领域普通技术人员将会理解,这里的原理可被应用于其它任何无线局域网协议,并且本发明的范围并不局限于这里所述的实施例。
虽然已经描述了据信为本发明的优选实施例的方案,但是本领域的技术人员将认识到,可以对本发明做出其它和进一步的改变和修改而不会背离本发明的精神实质,并且旨在保护落在本发明的实际范围之内的所有这些改变和修改。
Claims (39)
1.在移动单元使用接入点与计算机通信、且所述系统根据指定数据消息分组格式的协议操作的无线数据通信系统中的一种用于检测的对所述系统的未经授权的接入企图的方法,所述方法包括:
将所述接入点接收的一个或多个数据分组转发给计算机;以及
操作所述计算机将所述一个或多个接收到的数据分组的格式与所述协议指定格式的所选要求相比较,并且如果所述分组违背所述协议指定格式,则发出警告。
2.如权利要求1所述的方法,其特征在于,所述协议指定格式包括头部消息部分,并且所述对格式的比较包括将所述头部消息部分的格式与所述协议指定格式相比较。
3.如权利要求2所述的方法,其特征在于,所述协议为IEEE标准802.11。
4.如权利要求2所述的方法,其特征在于,所述协议为在所述头部消息部分中具有帧控制字段的IEEE标准802.11,并且所述对格式的比较包括比较所述帧控制字段的格式。
5.如权利要求1所述的方法,其特征在于,所述协议为IEEE标准802.11,而且所述一个或多个所接收的数据分组包括IEEE标准802.11管理帧。
6.如权利要求1所述的方法,其特征在于,所述协议为IEEE标准802.11,而且所述一个或多个所接收的数据分组包括IEEE标准802.11控制帧。
7.如权利要求1所述的方法,其特征在于,所述协议为IEEE标准802.11,而且所述一个或多个所接收的数据分组包括第一WEP标志。
8.如权利要求7所述的方法,其特征在于,所述分组具有与存储在所述计算机上的状态表中的第二WEP值不一致的第一WEP标志值。
9.如权利要求1所述的方法,其特征在于,所述一个或多个所接收的数据分组包括与存储在所述计算机上的状态表中的第二协议版本值不一致的第一协议版本值。
10.如权利要求1所述的方法,其特征在于,所述一个或多个所接收的数据分组包括源MAC地址,所述源MAC地址是组播地址。
11.如权利要求1所述的方法,其特征在于,所述一个或多个所接收的数据分组包括源MAC地址,所述源MAC地址是广播地址。
12.如权利要求3所述的方法,其特征在于,所述一个或多个所接收的数据分组包括与存储在所述计算机上的状态表中的第二电源管理状态变量值不一致的第一电源管理状态变量。
13.如权利要求3所述的方法,其特征在于,所述操作计算机的步骤还包括检查所接收的数据分组的“更多数据”字段并进一步监控所述接入点以检测可能的拒绝服务攻击。
14.如权利要求3所述的方法,其特征在于,所述一个或多个所接收的数据分组包括不支持的“类型”值。
15.如权利要求3所述的方法,其特征在于,所述一个或多个所接收的数据分组包括不支持的“子类型”值。
16.如权利要求1所述的方法,其特征在于,所述一个或多个所接收的数据分组包括冒用的MAC地址。
17.如权利要求3所述的方法,其特征在于,所述一个或多个所接收的数据分组包括长度与所述协议指定格式不一致的帧。
18.如权利要求1所述的方法,其特征在于,还包括在所述计算机中维护状态表的步骤。
19.在移动单元使用接入点与计算机通信、且所述系统根据指定数据消息分组格式的协议操作的无线数据通信系统中的一种用于检测对所述系统的未经授权的接入企图的方法,所述方法包括:
将所述移动单元接收的一个或多个数据分组转发给计算机;以及
操作所述计算机将所述一个或多个所接收的数据分组的格式与所述协议指定格式的所选要求相比较,并且如果所述分组违背所述协议指定格式,则发出警告。
20.如权利要求19所述的方法,其特征在于,所述协议指定格式包括头部消息部分,并且所述对格式的比较包括将所述头部消息部分的格式与所述协议指定格式相比较。
21.如权利要求20所述的方法,其特征在于,所述协议为在所述头部消息部分中具有帧控制字段的IEEE标准802.11,并且所述对格式的比较包括比较所述帧控制字段的格式。
22.如权利要求19所述的方法,其特征在于,所述协议为IEEE标准802.11,而且所述一个或多个所接收的数据分组包括IEEE标准802.11管理帧。
23.如权利要求18所述的方法,其特征在于,所述协议为IEEE标准802.11,而且所述一个或多个所接收的数据分组包括IEEE标准802.11控制帧。
24.如权利要求19所述的方法,其特征在于,所述协议为IEEE标准802.11。
25.如权利要求19所述的方法,其特征在于,所述协议为IEEE标准802.11,而且所述一个或多个所接收的数据分组包括第一WEP标志。
26.如权利要求25所述的方法,其特征在于,所述分组具有与存储在所述计算机上的状态表中的第二WEP值不一致的第一WEP标志值。
27.如权利要求25所述的方法,其特征在于,所述一个或多个所接收的数据分组包括与存储在所述计算机上的状态表中的第二协议版本值不一致的第一协议版本值。
28.如权利要求24所述的方法,其特征在于,所述一个或多个所接收的数据分组包括源MAC地址,所述源MAC地址是组播地址。
29.如权利要求24所述的方法,其特征在于,所述一个或多个所接收的数据分组包括源MAC地址,所述源MAC地址是广播地址。
30.如权利要求24所述的方法,其特征在于,所述一个或多个所接收的数据分组包括与存储在所述计算机上的状态表中的第二电源管理状态变量值不一致的第一电源管理状态变量。
31.如权利要求24所述的方法,其特征在于,所述操作计算机的步骤还包括检查所接收的数据分组的“更多数据”字段,并进一步监控所述接入点以检测可能的拒绝服务攻击。
32.如权利要求24所述的方法,其特征在于,所述一个或多个所接收的数据分组包括不支持的“类型”值。
33.如权利要求24所述的方法,其特征在于,所述一个或多个所接收的数据分组包括不支持的“子类型”值。
34.如权利要求24所述的方法,其特征在于,所述一个或多个所接收的数据分组包括冒用的MAC地址。
35.如权利要求24所述的方法,其特征在于,所述一个或多个所接收的数据分组包括长度与所述协议指定格式不一致的帧。
36.如权利要求1所述的方法,其特征在于,还包括在所述计算机中维护状态表的步骤。
37.在移动单元使用接入点与计算机通信、且所述系统根据指定数据消息分组格式的协议操作的无线数据通信系统中的一种用于检测对所述系统的未经授权的接入企图的方法,所述方法包括:
将所述移动单元接收的一个或多个数据分组转发给计算机;以及
操作所述计算机将所述一个或多个所接收的数据分组的所选部分与根据指定协议存储在状态表中的值相比较,并且如果所述一个或多个分组的所选部分违背存储在状态表中的所述值,则发出警告。
38.如权利要求37所述的方法,其特征在于,所述指定协议为IEEE标准802.11。
39.如权利要求37所述的方法,其特征在于,所述方法还包括在所述计算机中维护状态表的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/809,599 | 2004-03-25 | ||
| US10/809,599 US20050213553A1 (en) | 2004-03-25 | 2004-03-25 | Method for wireless LAN intrusion detection based on protocol anomaly analysis |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1934597A true CN1934597A (zh) | 2007-03-21 |
Family
ID=34989720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800094101A Pending CN1934597A (zh) | 2004-03-25 | 2005-03-16 | 基于协议异常分析的无线局域网入侵检测方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20050213553A1 (zh) |
| EP (1) | EP1728225A2 (zh) |
| JP (1) | JP2007531398A (zh) |
| CN (1) | CN1934597A (zh) |
| WO (1) | WO2005101766A2 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101977375A (zh) * | 2010-11-18 | 2011-02-16 | 太仓市同维电子有限公司 | 分布式无线入侵检测系统及其检测方法 |
| CN102210133A (zh) * | 2008-11-18 | 2011-10-05 | 国际商业机器公司 | 网络入侵保护 |
| CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
| CN105917395A (zh) * | 2014-12-19 | 2016-08-31 | 华为技术有限公司 | 一种防盗方法及装置 |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060005007A1 (en) * | 2004-06-14 | 2006-01-05 | Nokia Corporation | System, method and computer program product for authenticating a data source in multicast communications |
| US10284571B2 (en) * | 2004-06-28 | 2019-05-07 | Riverbed Technology, Inc. | Rule based alerting in anomaly detection |
| US8196199B2 (en) * | 2004-10-19 | 2012-06-05 | Airdefense, Inc. | Personal wireless monitoring agent |
| FR2881312A1 (fr) * | 2005-01-26 | 2006-07-28 | France Telecom | Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil |
| US7515926B2 (en) * | 2005-03-30 | 2009-04-07 | Alcatel-Lucent Usa Inc. | Detection of power-drain denial-of-service attacks in wireless networks |
| US8570586B2 (en) * | 2005-05-02 | 2013-10-29 | Digimarc Corporation | Active images through digital watermarking |
| US8249028B2 (en) * | 2005-07-22 | 2012-08-21 | Sri International | Method and apparatus for identifying wireless transmitters |
| US7724717B2 (en) * | 2005-07-22 | 2010-05-25 | Sri International | Method and apparatus for wireless network security |
| US8965334B2 (en) * | 2005-12-19 | 2015-02-24 | Alcatel Lucent | Methods and devices for defending a 3G wireless network against malicious attacks |
| CN100369446C (zh) * | 2006-02-28 | 2008-02-13 | 西安西电捷通无线网络通信有限公司 | 接入点的安全接入协议符合性测试方法及其系统 |
| US9125130B2 (en) * | 2006-09-25 | 2015-09-01 | Hewlett-Packard Development Company, L.P. | Blacklisting based on a traffic rule violation |
| US8069483B1 (en) * | 2006-10-19 | 2011-11-29 | The United States States of America as represented by the Director of the National Security Agency | Device for and method of wireless intrusion detection |
| US8191143B1 (en) * | 2007-11-13 | 2012-05-29 | Trend Micro Incorporated | Anti-pharming in wireless computer networks at pre-IP state |
| US8566929B2 (en) * | 2008-01-14 | 2013-10-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Integrity check failure detection and recovery in radio communications system |
| US8090616B2 (en) | 2008-09-08 | 2012-01-03 | Proctor Jr James Arthur | Visual identification information used as confirmation in a wireless communication |
| US8694624B2 (en) * | 2009-05-19 | 2014-04-08 | Symbol Technologies, Inc. | Systems and methods for concurrent wireless local area network access and sensing |
| KR20110071709A (ko) * | 2009-12-21 | 2011-06-29 | 삼성전자주식회사 | 배터리 소진 공격에 대한 방어 방법 및 이 기능을 갖는 배터리 기반 무선 통신 기기와 기록 매체 |
| US20120268271A1 (en) * | 2011-04-19 | 2012-10-25 | Mcmullin Dale Robert | Methods and systems for detecting compatibility issues within an electrical grid control system |
| KR101453521B1 (ko) * | 2011-05-20 | 2014-10-24 | 주식회사 케이티 | 무선 액세스 포인트 장치 및 비인가 무선 랜 노드 탐지 방법 |
| JP2014095685A (ja) * | 2012-10-12 | 2014-05-22 | Ricoh Co Ltd | 配信装置、配信方法及び配信プログラム |
| KR101831604B1 (ko) * | 2016-10-31 | 2018-04-04 | 삼성에스디에스 주식회사 | 데이터 전송 방법, 인증 방법 및 이를 수행하기 위한 서버 |
| WO2019061514A1 (zh) * | 2017-09-30 | 2019-04-04 | 深圳大学 | 安全的无线通信物理层斜率认证方法和装置 |
| US11057769B2 (en) | 2018-03-12 | 2021-07-06 | At&T Digital Life, Inc. | Detecting unauthorized access to a wireless network |
| CN112235430B (zh) * | 2019-06-28 | 2023-12-05 | 北京奇虎科技有限公司 | 阻碍收集有效信息的方法和装置、电子设备 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7480939B1 (en) * | 2000-04-28 | 2009-01-20 | 3Com Corporation | Enhancement to authentication protocol that uses a key lease |
| CA2414789A1 (en) * | 2002-01-09 | 2003-07-09 | Peel Wireless Inc. | Wireless networks security system |
| US6715084B2 (en) * | 2002-03-26 | 2004-03-30 | Bellsouth Intellectual Property Corporation | Firewall system and method via feedback from broad-scope monitoring for intrusion detection |
| US7171615B2 (en) * | 2002-03-26 | 2007-01-30 | Aatrix Software, Inc. | Method and apparatus for creating and filing forms |
| US7042852B2 (en) * | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
| US7327690B2 (en) * | 2002-08-12 | 2008-02-05 | Harris Corporation | Wireless local or metropolitan area network with intrusion detection features and related methods |
| AU2003279071A1 (en) * | 2002-09-23 | 2004-04-08 | Wimetrics Corporation | System and method for wireless local area network monitoring and intrusion detection |
| US7603710B2 (en) * | 2003-04-03 | 2009-10-13 | Network Security Technologies, Inc. | Method and system for detecting characteristics of a wireless network |
| US7426383B2 (en) * | 2003-12-22 | 2008-09-16 | Symbol Technologies, Inc. | Wireless LAN intrusion detection based on location |
| US7216365B2 (en) * | 2004-02-11 | 2007-05-08 | Airtight Networks, Inc. | Automated sniffer apparatus and method for wireless local area network security |
-
2004
- 2004-03-25 US US10/809,599 patent/US20050213553A1/en not_active Abandoned
-
2005
- 2005-03-16 EP EP05725585A patent/EP1728225A2/en not_active Withdrawn
- 2005-03-16 WO PCT/US2005/008517 patent/WO2005101766A2/en not_active Application Discontinuation
- 2005-03-16 JP JP2007505007A patent/JP2007531398A/ja active Pending
- 2005-03-16 CN CNA2005800094101A patent/CN1934597A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102210133A (zh) * | 2008-11-18 | 2011-10-05 | 国际商业机器公司 | 网络入侵保护 |
| US8677473B2 (en) | 2008-11-18 | 2014-03-18 | International Business Machines Corporation | Network intrusion protection |
| CN102210133B (zh) * | 2008-11-18 | 2014-10-01 | 国际商业机器公司 | 网络入侵保护 |
| CN101977375A (zh) * | 2010-11-18 | 2011-02-16 | 太仓市同维电子有限公司 | 分布式无线入侵检测系统及其检测方法 |
| CN105917395A (zh) * | 2014-12-19 | 2016-08-31 | 华为技术有限公司 | 一种防盗方法及装置 |
| CN105917395B (zh) * | 2014-12-19 | 2018-09-21 | 华为技术有限公司 | 一种防盗方法及装置 |
| US10319215B2 (en) | 2014-12-19 | 2019-06-11 | Huawei Technologies Co., Ltd. | Anti-theft method and apparatus |
| US10839675B2 (en) | 2014-12-19 | 2020-11-17 | Huawei Technologies Co., Ltd. | Anti-theft method and apparatus |
| US10964200B2 (en) | 2014-12-19 | 2021-03-30 | Huawei Technologies Co., Ltd. | Anti-theft method and apparatus |
| CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1728225A2 (en) | 2006-12-06 |
| US20050213553A1 (en) | 2005-09-29 |
| JP2007531398A (ja) | 2007-11-01 |
| WO2005101766A2 (en) | 2005-10-27 |
| WO2005101766A3 (en) | 2006-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1934597A (zh) | 基于协议异常分析的无线局域网入侵检测方法 | |
| US10581913B2 (en) | Spoofing detection | |
| KR100628325B1 (ko) | 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 | |
| US20220231987A1 (en) | Network anti-tampering system | |
| US8069483B1 (en) | Device for and method of wireless intrusion detection | |
| US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
| US7277404B2 (en) | System and method for sensing wireless LAN activity | |
| US7316031B2 (en) | System and method for remotely monitoring wireless networks | |
| US7086089B2 (en) | Systems and methods for network security | |
| US8638762B2 (en) | System and method for network integrity | |
| US7971253B1 (en) | Method and system for detecting address rotation and related events in communication networks | |
| US20030135762A1 (en) | Wireless networks security system | |
| CN1930860B (zh) | 基于用户-服务器的无线侵入检测的系统和方法 | |
| CN1679266A (zh) | 具有入侵检测特性的移动自组织网络以及相关的方法 | |
| CN1679310A (zh) | 具有入侵检测特性的无线局域网或城域网和相关方法 | |
| US7409715B2 (en) | Mechanism for detection of attacks based on impersonation in a wireless network | |
| Boob et al. | Wireless intrusion detection system | |
| Aung et al. | Detection and mitigation of wireless link layer attacks | |
| EP1522020B1 (en) | System for managing wireless network activity | |
| CN111726810A (zh) | 数控加工环境中的无线信号监测及无线通信行为审计系统 | |
| Nasser et al. | An Effective Approach to Detect and Prevent ARP Spoofing Attacks on WLAN. | |
| Yang et al. | Intrusion detection solution to WLANs | |
| Tyagi et al. | A survey of different dos attacks on wireless network | |
| Alipour et al. | IEEE 802.11 anomaly-based behavior analysis | |
| KR102704755B1 (ko) | 가상 호스트를 이용하여 네트워크에 대한 사이버 위협을 탐지하는 사이버 보안 서비스를 제공하는 방법 및 이를 이용한 사이버 보안 서비스 제공 서버 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20070321 |