JP2007531398A - プロトコル変則分析に基づく無線lan侵入検知方法 - Google Patents
プロトコル変則分析に基づく無線lan侵入検知方法 Download PDFInfo
- Publication number
- JP2007531398A JP2007531398A JP2007505007A JP2007505007A JP2007531398A JP 2007531398 A JP2007531398 A JP 2007531398A JP 2007505007 A JP2007505007 A JP 2007505007A JP 2007505007 A JP2007505007 A JP 2007505007A JP 2007531398 A JP2007531398 A JP 2007531398A
- Authority
- JP
- Japan
- Prior art keywords
- protocol
- data packets
- received data
- computer
- format
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title description 13
- 238000001514 detection method Methods 0.000 title description 8
- 238000000034 method Methods 0.000 claims description 63
- 238000004891 communication Methods 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 3
- 239000000523 sample Substances 0.000 description 8
- 230000004044 response Effects 0.000 description 7
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 208000018208 Hyperimmunoglobulinemia D with periodic fever Diseases 0.000 description 1
- 206010072219 Mevalonic aciduria Diseases 0.000 description 1
- 101150025612 POLL gene Proteins 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- DTXLBRAVKYTGFE-UHFFFAOYSA-J tetrasodium;2-(1,2-dicarboxylatoethylamino)-3-hydroxybutanedioate Chemical compound [Na+].[Na+].[Na+].[Na+].[O-]C(=O)C(O)C(C([O-])=O)NC(C([O-])=O)CC([O-])=O DTXLBRAVKYTGFE-UHFFFAOYSA-J 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
アクセスポイントを通して少なくとも1つのサーバーコンピュータと通信する複数のモバイルユニットを含む無線ローカルエリアネットワークの不許可使用を検出する。無線ローカルエリアネットワーク上で送信されるメッセージは、選択された無線ローカルエリアネットワークプロトコルの仕様に記載されているルールを遵守しているか否かについて分析される。もし不一致が検出されれば、無線ローカルエリアネットワークへ侵入者がアクセスを試みた可能性を指示する警報が生成される。
Description
本発明は、無線ローカルエリアネットワーク(WLAN)に関する。詳述すれば本発明は、無線ローカルエリアネットワークへの無許可アクセスまたはアクセスの試みを検出して無線ネットワークへの攻撃(例えば、サービス拒否攻撃)を予防する方法に関する。
WLANが多大の成功を収めたことによって、WLANは、WLANを攻撃し、それへ侵入する新しい方法を積極的に開発するハッカー達(“ホヮッカー(whacker)”として知られる)の絶好の攻撃目標になってきた。新しいWLANハッキングツールが、警戒を要するレートでインターネット上に公開されている。多くの業界を調査したところ、WLANの展開を考えている殆どの会社の情報統括責任者にとってWLANのセキュリティが最大の関心事である。不幸にも、現在のWLANセキュリティソリューションは、欠陥を有しているか、または立証されていないかの何れかである。
2000年3月17日付け同時出願第09 / 528,697号には、IEEE標準802.11プロトコルに準拠するが、クラシックな802.11データ通信システムのアクセスポイントの機能を遂行するためにRFポート(“アクセスポート”とも呼ばれる)及びセルコントローラの組み合わせを使用するシステムが開示されている。低レベルMACをRFポートによって遂行させ、アソシエーション及びローミング機能を含む高レベルMACをセルコントローラによって遂行させる。本明細書において使用する“アクセスポイント”という用語は、IEEE標準802.11のプロトコルに準拠して全てのMAC機能を遂行するもの、並びに上記同時出願に開示されているようなセルコントローラを用いて動作するRFポートのような通常のアクセスポイントを含むことを意図している。
2003年12月22日付け同時出願第10 / 744,026号に開示されている無線ローカルエリアデータ通信システムに使用される方法においては、複数のモバイルユニットがアクセスポイントと通信し、システムは送信機から送信される信号を使用してこれらの送信機を位置付けるようになっている。許可された送信機を位置付けするデータベースはサーバー内に維持されている。選択された信号がアクセスポイントにおいて検出され、その選択された信号に対応する位置データ(その信号のソースの位置付けに使用される)が記録される。この位置データを使用してソースが位置付けされ、そのソース位置はデータベース内の対応位置と比較される。もしソース位置が対応するデータベース位置と一致しなければ、警報が発せられる。
上述したシステム及び方法はWLANへの侵入者を識別するための1つの効果的な手段を提供することはできるが、付加的な手段によってより高度なセキュリティを与えることが有利であろう。
更に、IEEE 802.11b標準に指定されているワイヤードエキバレントプライバシー(Wired Equivalent Privacy:WEP)プロトコルのような現在のセキュリティ方式は、最近になって欠陥であることが報告されている。カリフォルニア大バークレー校の研究グループは最近、無線エキバレントプライバシー攻撃に対して脆弱なプロトコルを使用したままのWLANにおけるWEPの“主要セキュリティ欠陥”を取り上げたレポートを発表している。グループは技術試験において、送信を傍受して変更することによって、制限されたネットワークへのアクセスを得ることができたという。従って、WEPの欠陥の若干を解消する改良されたセキュリティが必要である。
侵入検出システム(IDS)はコンピュータ分野における盗難警報機であり、これらはコンピュータネットワークを監視してセキュリティ毀損及びポリシー違反を検出する。これらは長年にわたって、侵入を検出するために署名をベースとして、または変則をベースとして分析する十分に確立された技術を使用してネットワークトラフィック(NIDS)及びホストコンピュータ(HIDS)を監視するために使用されてきた。
変則をベースとする技術は更に2つのカテゴリに、即ちプロトコル変則分析及びトラフィック変則分析に分類することができる。プロトコル変則システムは、プロトコル誤用、即ち特定のプロトコルの公式の、または実際の用法外の何等かの使用を識別することを試みる。変則MACヘッダー/トレーラーデータを使用し、反則パケット(例えば、ある802.11アクセスポイントをクラッシュさせ得るヌルSSIDを用いたプローブ要求)を送信して既知のWEPの脆弱性を突いてくる攻撃を検出し、予防するために、IEEE 802.11プロトコルのような無線ネットワークプロトコルのプロトコル変則を検出するシステム及び方法を提供することが有利であろう。
従って、本発明の目的は、プロトコル変則分析を使用することによってWLANへの無許可アクセスまたはアクセスの試みを検出する改良された方法を提供することであり、更に、無線ネットワークへの攻撃(例えば、サービス拒否攻撃)を予防する改良された方法を提供することである。
本発明によれば、データメッセージパケットのためのフォーマットに従って動作し、複数のモバイルユニットがアクセスポイントを使用してコンピュータと通信するようになっている無線データ通信システムにおいて、該システムへの不許可アクセスの試みを検出するために使用されるシステム及び方法が提供される。本方法は、アクセスポイントによって受信されたデータパケットをコンピュータへ転送するステップと、受信されたデータパケットとプロトコル指定フォーマットの選択された要求とを比較するようにコンピュータを動作させるステップと、もしパケットが指定されたフォーマットから逸脱していれば警報を生成するステップとを含む。
本発明を、他の、及びさらなる目的と共によりよく理解するために、以下に添付図面を参照して詳細に説明する。
図1に、配線式ネットワーク14を介して複数のアクセスポイント16に接続されているサーバー12を有する無線ローカルエリアネットワーク10を示す。ネットワーク10は、モバイルユニット18とサーバー12との間の無線ネットワークデータ通信を提供するために、IEEE標準802.11のような標準プロトコルに従って動作することができる。本明細書はIEEE標準802.11を完全に採用しており、当業者にはその詳細は明白であろう。
本発明の実施の形態においては、システムのアクセスポイントによって受信されたメッセージ(そのアクセスポイントに関係するモバイルユニット以外のソースからのメッセージを含む)は、サーバー12へ送られて分析される。サーバー12はネットワークサーバー、中央スイッチ、または他の構成要素であることができ、これは無線ネットワークを配線式ネットワークへ、または侵入サーバー22へブリッジする。代替として、データは無線ネットワーク構成要素から直接侵入サーバー22へ転送し(図2に示すように侵入サーバー26は、データを直接無線アクセスポイントまたはスイッチから受信する)、それによってサーバー12の必要性を緩和することができる。データは、アクセスポイント16またはモバイルユニット18によって送受信されるメッセージに関する詳細を含むことができる。侵入サーバー22は、サーバー12から受信したデータを処理して侵入検出分析を遂行することができるように、少なくともプロセッサ及びメモリを含むことができる。従って、侵入サーバー22は、典型的なネットワークコンピュータサーバー、スタンドアロンパーソナルコンピュータ、または以下に説明する機能に必要な処理を遂行することができる他の何等かのデバイスであることができる。本発明によれば、サーバー12は、適切な侵入サーバープログラミングを含むことによって侵入サーバー機能を遂行することができる。
図3に示す本発明の別の実施の形態においては、侵入サーバー32は、無線ネットワーク上の情報に直接アクセスできるように、RF装置として構成することができる。侵入サーバー32は、さらなる分析のために、WLAN上で送信される信号を積極的に監視し、捕捉するように構成することができる。
本発明の好ましい実施の形態においては、侵入サーバー22が遂行するIDS分析は、プロトコル変則検出に関係している。当業者ならば、本発明の範囲は、遂行される分析の型に限定されるものではないことが理解されよう。例えば、802.11b無線ローカルエリアネットワークの場合には、侵入サーバー22はIEEE802.11標準仕様に従ってIDS分析を遂行することができる。この分析の若干の例を以下に詳細に説明する。以下の本発明の実施の形態において説明する分析は、好ましくは侵入検出ソフトウェア/ファームウェアを使用する侵入検出サーバー22によって遂行されることを理解されたい。しかしながら、当業者ならば、これらの分析は例えばハンドヘルド端末または遠隔端末を含むネットワークに接続されている如何なる数の異なる要素によっても遂行させ得ること、及び別の実施の形態も本発明の範囲内にあることが理解されよう。
本発明によるシステム及び方法の第1の実施の形態においては、侵入サーバー22は802.11プロトコルと合致しない変則を検出するために使用することができる。
802.11プロトコル仕様により完全に定義されているように、802.11 MACフレームは次の表1に示すような構造である。
表1:802.11 MACフレームフォーマット
802.11 MACフレームフォーマットは、「フレーム制御」フィールドの値によって決定されるフレームタイプ(即ち、「制御フレーム」、「管理フレーム」、及び「データフレーム」)に依存して異なる。「フレーム制御」フィールド(MACヘッダーの最初の2バイト)は、一般的に以下の表2のような構造である。
表2:802.11 MACフレーム制御フィールドフォーマット
本発明のこの実施の形態においては、ネットワーク侵入を検出するために802.11 MACヘッダー、特に「フレーム制御」フィールドを使用することができる。
本発明によるシステム及び方法の種々の実施の形態においては、802.11プロトコルの多くの異なる面に対する遵守性をチェックすることができる。例えば、「フレーム制御」フィールドの「WEP」フラグがWEPセッションのためにセットされていない場合、または「WEP」フラグが非WEPセッションにおいてセットされている場合に、侵入を検出することができる。これは、ソースMACアドレスを抽出し、状態テーブル(後述)のルックアップを遂行して現セッション情報と「フレーム制御」フィールドの「WEP」フラグとを比較することによって決定することができる。もし不一致が検出されれば、警報を生成してネットワークへの侵入の試みの可能性を指示することができる。
本発明のこの、及び他の実施の形態においては、幾つかの異なる手法で状態テーブルを実現して選択された変数を追跡し、試みられた侵入シナリオを検出することができる。本発明によれば、侵入サーバーが状態情報に基づいてチェックを遂行する「ステートフルWIDS」では、侵入サーバーは、それが捕捉したパケットから状態情報を抽出し、WLAN上の各無線デバイスの状態遷移履歴を維持する必要がある。若干の侵入はこの状態遷移情報を監視することによって検出することができ、これらを状態テーブルの形状で格納することができる。状態テーブルは、好ましくは、最近活動的なMACアドレス及びそれらの関連状態情報のリストを含むことができる。本発明はこれらの実施の形態に限定されるものではないが、状態テーブル内に格納される状態情報は、以下の情報(802.11プロトコル標準に定義されている)の若干、または全てを含むことができる。それらは、「MACアドレス」、「デバイスタイプ」、「ベンダー」、「プロトコルバージョン」、「現状態ステータス」、「WEPセキュリティセッティング」(「認証」、「暗号化」、「マルチキャスト/同報通信データ暗号化」)、「電力管理モード」、「断片化しきい値」、「RTSしきい値」、「最終パケット」[N](特定のソースMACアドレスと共に、及び「タイムスタンプ」、「位置情報」、「チャネル」、「信号の質」のような情報と共に、最終Nパケットを格納)、及び種々の「トラフィック統計」、「AP統計」、及び「スイッチ統計」である。本発明による状態テーブルの実施の形態は、上述した実施の形態に、または802.11プロトコルに制限されるものではないことに注目されたい。このような状態テーブルは、一般的に、侵入を検出し、必要に応じて状態テーブルを更新するために、近い将来に受信されるパケットを、状態テーブル内に格納されている値に対してチェックすることができるように、WLAN上の無線ユニットに関係がある何等かの重要な変数を格納するように本発明に従って実現することができる。
別の例においては、フレーム制御フィールドの「プロトコルバージョン」フィールドが疑わしい場合に侵入を検出することができる。この場合も、上述したようにソースMACアドレスを抽出し、状態テーブルのルックアップを遂行してプロトコルバージョンを「フレーム制御」フィールドと比較することができる。もし不一致が検出されれば、警報を生成して侵入の試みの可能性があることを指示することができる。同様に、ソースMACアドレスを抽出することができ、何等かの疑わしいセッティング(例えば、ソースMACアドレスがマルチキャスト/同報通信アドレスであるような場合)についてチェックすることができる。このような状況においても、警報をトリガすることができる。
同様に、メッセージ内の「電力管理」状態が「状態テーブル」内のそれと異なる場合、これはある場合には疑わしい活動(例えば、モバイルユニットから発せられたサービス拒否(DoS)攻撃)を指示している可能性がある。例えば、ハッカーは、なりすました被害モバイルユニットMACアドレスを有するデータパケットを注入して「電力管理」フィールドを1にセットし、それによって被害モバイルユニットの全てのデータパケットを失わせるかも知れない。これらの環境の下では、警報をトリガすることができる。
別の潜在的なDoS攻撃状況においては、ハッカーは、モバイルユニットの電力節約モードを攻撃目標にして電力を消費させるかも知れない。ハッカーは、なりすました被害MACアドレスを有するデータパケットを注入し、「さらなるデータ」フィールドを1にセットすることによって被害モバイルユニットがスリープモードに入ることを不能にするかも知れない。この状況は、例えば、「フレーム制御」フィールドの「さらなるデータ」フィールドをチェックすることによって検出することができる。もし「さらなるデータ」ビットが1にセットされていれば、セッション情報をログすることができる。次いで、もしps pollに対する返答が受信されなければ、警報信号を生成することができる。
別の例においては、フレーム制御フィールドの「タイプ」及び「サブタイプ」ビットを反則の、またはサポートされない値についてチェックすることができる。不一致が検出された場合に警報が生成される。
更に別の例においては、フレーム制御フィールドの「DSへ」及び「DSから」ビットの、アドレスフィールド(「アドレス1」、「アドレス2」、「アドレス3」、「アドレス4」)との一致をチェックすることができる。802.11標準は、対応するアドレスがステーションであるのか、またはAPであるのかについてルールを規定している。これらのルールに違反している場合、侵入者シナリオの可能性を検出することができ、相応して警報を生成することができる。
また更に、アドレスフィールド(「アドレス1」、「アドレス2」、「アドレス3」、「アドレス4」)を抽出し、それらを適法デバイスのリストと比較することによって、許可されていないMACアドレスを識別することができる。もし反則MACアドレスが検出されれば、それはネットワークへのアクセスを得ようとするハッカーが作成した“なりすまし”MACアドレスの結果であり得る。従って、警報を生成することができる。
同様に、MACヘッダーの「持続時間ID」フィールドをチェックすることによって、侵入の可能性を検出することができる。例えば、もし持続時間が802.11仕様に定義されている所要持続時間と大幅に異なれば、またはもし持続時間がフレームの長さより実質的に大きければ(持続時間の長さが過剰ならば)警報を生成することができる。このチェックは、計算を遂行するために状態を保持しているIDSの使用、またはフレーム長に対する直接データフレーム持続時間のチェックを含む多くの方法で遂行することができる。
更に、データパケットの他の部分を分析することによって、侵入シナリオを検出することができる。例えば、ハッキング動作を示していると見られる潜在的なDoS攻撃に関して、MACトレーラーを分析することができる。例えば、過大な数の「フレームチェックシーケンス(FCS)」障害を受信した場合、警報を生成することができる。これは、各パケットを受信した時に、MAC当たりのFCS障害率を更新することによって検出することができる。もしMAC障害率があるプリセットされたしきい値(例えば、毎分の障害)より大きくなれば、警報を生成することができる。
他の一般的802.11プロトコル変則を、本発明のシステム及び方法を使用して検出することができる。例えば、802.11プロトコル仕様に記載されている許容フレームサイズに比して反則フレームサイズを受信した場合(例えば、データフレームが34バイトより小さいかまたは2,346バイトより大きい場合、管理フレームが28バイトより小さいかまたは2,340バイトより大きい場合等)、侵入システムの可能性を検出することができる。
更に、もしフレームが情報要素内にSSID(ビーコン、アソシエーション要求、再アソシエーション要求、プローブ)またはSSID要素を含んでいれば、そのSSIDをデフォルトまたは弱いSSIDのリストに対してチェックすることができる。もしデフォルトまたは弱いSSIDが検出されれば、これはハッカーが、ネットワークのセキュリティのセッティングを試験するためにデフォルトSSIDを用いてプローブ要求を巧妙に作成した結果であろう。これは疑惑の活動として識別することができ、警報信号を生成することができる。
本発明によるシステム及び方法の次の実施の形態においては、侵入サーバー22を使用して、既知のWEP脆弱性に関係があるプロトコル変則を検出することができる。
1つのこのような実施の形態においては、本発明のシステム及び方法は、潜在的なネットワーク侵入を識別するためにWEP認証「初期化ベクトル(IV)」を分析することができる。例えば、既知のWEP欠陥の1つに対する潜在的な攻撃では、ハッカーは先行IVを再使用する可能性がある。この状況を検出するために、本発明のシステム及び方法は、WEP認証に、またはWEPトラフィック(再アセンブリ後)に使用されたIVの最新のN数を格納することができる。もし先行IVが再使用されれば、警報を生成して潜在的なネットワーク侵入を指示することができる。
更に、MACまたはAP/スイッチ当たりの「完全性チェック値(ICV)」障害が過大に計算された場合に、侵入シナリオの可能性を指示するように警報を生成することができる。このような過大な障害を検出するために、統計的分析を遂行して“正常な”即ち許可されたネットワークアクセス状態中に発生する障害率がどの範囲であるかを決定することができる。もし障害数がしきい値を越えれば、警報を生成することができる。同様に、MACまたはAP/スイッチ当たりのTCP障害が過大であることが検出された場合、同じような分析及び比較を遂行して潜在的な侵入を識別することができる。
本発明の更に別の実施の形態においては、802.11「管理フレーム」を分析して潜在的な侵入シナリオを検出することができる。
1つのこのようなシナリオにおいては、ある反則プローブ応答は侵入シナリオを指示している可能性がある。反則「プローブ応答」は、「プローブ応答ソースMAC」がAPではないプローブ応答であり得る。本発明の実施の形態においては、「プローブ応答」を分析することができ、警報を生成することができる。同様に、侵入者シナリオの可能性を指示する反則アソシエーションフレームを受信する可能性がある。これは、APから「アソシエーション要求」を受信した場合、または非APから「アソシエーション応答」を受信した場合に発生し得る。このような場合、警報をトリガすることができる。
同様に、反則認証フレームはネットワークの反則的な改変の可能性を指示している。認証シーケンスを分析してこれらの反則フレームを検出することができる。これらは、例えば、あるサポートされていないアルゴリズム番号、シーケンス(802.11標準に定義されているような)内の誤った認証シーケンス番号、あるサポートされていないステータスコード、またはシーケンス内の誤ったDA/SAを含むものとして分類することができる。もしこれらの何れかが検出されれば、WLAN侵入シナリオの可能性を指示するために警報をトリガすることができる。
本発明の更に別の実施の形態においては、802.11「制御フレーム」を分析して潜在的な侵入シナリオを検出することができる。例えば、MAC/AP/スイッチ当たりのCTSまたはRTSが過大であれば、それは潜在的な侵入の試みの可能性を指示している。これらの侵入シナリオを識別するために、統計的分析及びしきい値比較を遂行することができる。
対をなしているRTSを有していないCTSを受信するような同様なシナリオでは、別の侵入シナリオが発生している可能性がある。無線LANの一実施の形態においては、APは全てのRTS及びCTSパケットを(タイムスタンプと共に)スイッチへ転送する。このような構成においては、本発明の侵入検出サーバーを使用してRTS/CTS対を追跡することができる。RTSを有していないCTSを受信した場合、またはこのようなことが所定の時間しきい値数より多く発生した場合、警報を生成することができる。別のシナリオにおいては、侵入検出サーバーは、反則RTS(特定のパケットサイズに対してRTSが小さ過ぎるような)を検出できるように構成することができる。侵入検出サーバーは、マルチキャスト宛先MACアドレスを有する制御フレームを検出するのにも使用することができる。これらのイベントの何れにおいても、潜在的な侵入シナリオが発生している可能性があり、従って、適切な警報を生成することができる。
本発明の種々の実施の形態は、上述した種々のプロトコル変則状況を、単独で(即ち、単一のプロトコル変則の型だけについて走査する)、または組み合わせて(上述した、並びに当業者には公知の複数の異なる型のプロトコル変則について走査する)の何れかで検出するように企画することができる。更に、警報が確実にトリガされるように、各特定の状況が十分疑わしいか否かを決定するための種々のしきい値のセッティングを確立することができる。これらの検討は、WLAN実施の詳細に大きく依存する。
上述した実施の形態はIEEE 802.11ネットワークプロトコルに関係付けているが、当業者ならば、これらの原理は他の何れの無線ローカルエリアネットワークにも適用可能であること、及び本発明の範囲は上述した実施の形態に限定されるものではないことが理解されよう。
本発明の好ましいと考えられる実施の形態を説明したが、当業者ならば、本発明の思想から逸脱することなく他の、及びさらなる変化及び変更を考え得ること、及び特許請求の範囲がこれらの変化及び変更を全て記述していることが理解されよう。
Claims (39)
- データメッセージパケットのためのフォーマットを指定しているプロトコルに従って動作し、複数のモバイルユニットがアクセスポイントを使用してコンピュータと通信するようになっている無線データ通信システムにおいて、上記システムへの不許可アクセスの試みを検出する方法であって、
上記アクセスポイントによって受信された1つまたはそれ以上のデータパケットをコンピュータへ転送するステップと、
上記1つまたはそれ以上の受信されたデータパケットのフォーマットと上記プロトコルに指定されているフォーマットの選択された要求とを比較し、もし上記パケットが上記プロトコルに指定されているフォーマットから逸脱していれば警報を生成するように上記コンピュータを動作させるステップと、
を含むことを特徴とする方法。 - 上記プロトコルに指定されているフォーマットはヘッダーメッセージ部分を含み、上記フォーマットを比較するステップは、上記ヘッダーメッセージ部分のフォーマットと上記プロトコルに指定されているフォーマットとを比較するステップからなることを特徴とする請求項1に記載の方法。
- 上記プロトコルはIEEE標準802.11であることを特徴とする請求項2に記載の方法。
- 上記プロトコルは上記ヘッダーメッセージ部分内にフレーム制御フィールドを有するIEEE標準802.11であり、上記フォーマットを比較するステップは上記フレーム制御フィールドのフォーマットを比較するステップからなることを特徴とする請求項2に記載の方法。
- 上記プロトコルはIEEE標準802.11であり、更に、上記1つまたはそれ以上の受信されたデータパケットはIEEE標準802.11管理フレームを含むことを特徴とする請求項1に記載の方法。
- 上記プロトコルはIEEE標準802.11であり、更に、上記1つまたはそれ以上の受信されたデータパケットはIEEE標準802.11制御フレームを含むことを特徴とする請求項1に記載の方法。
- 上記プロトコルはIEEE標準802.11であり、更に、上記1つまたはそれ以上の受信されたデータパケットは第1のWEPフラグを含むことを特徴とする請求項1に記載の方法。
- 上記パケットは第1のWEPフラグ値を有しており、上記第1のWEPフラグ値は上記コンピュータ上の状態テーブル内に格納されている第2のWEP値とは一致していないことを特徴とする請求項7に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは第1のプロトコルバージョン値を有しており、上記第1のプロトコルバージョン値は上記コンピュータ上の状態テーブル内に格納されている第2のプロトコルバージョン値とは一致していないことを特徴とする請求項1に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、マルチキャストアドレスであるソースMACアドレスを含むことを特徴とする請求項1に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、同報通信アドレスであるソースMACアドレスを含むことを特徴とする請求項1に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは第1の電力管理状態変数を含み、上記第1の電力管理状態変数は上記コンピュータ上の状態テーブル内に格納されている第2の電力管理状態変数値とは一致していないことを特徴とする請求項1に記載の方法。
- 上記コンピュータを動作させるステップは、更に、上記受信されたデータパケットのさらなるデータフィールドをチェックするステップと、サービス拒否攻撃の可能性について上記アクセスポイントを監視するステップとを含むことを特徴とする請求項3に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、サポートされていないタイプ値を含むことを特徴とする請求項3に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、サポートされていないサブタイプ値を含むことを特徴とする請求項3に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、なりすましのMACアドレスを含むことを特徴とする請求項1に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、上記プロトコルに指定されているフォーマットとは一致していない長さのフレームを含むことを特徴とする請求項3に記載の方法。
- 上記コンピュータ内に状態テーブルを維持するステップを更に含むことを特徴とする請求項1に記載の方法。
- データメッセージパケットのためのフォーマットを指定しているプロトコルに従って動作し、複数のモバイルユニットがアクセスポイントを使用してコンピュータと通信するようになっている無線データ通信システムにおいて、上記システムへの不許可アクセスの試みを検出する方法であって、
上記モバイルユニットによって受信された1つまたはそれ以上のデータパケットをコンピュータへ転送するステップと、
上記1つまたはそれ以上の受信されたデータパケットのフォーマットと上記プロトコルに指定されているフォーマットの選択された要求とを比較し、もし上記パケットが上記プロトコルに指定されているフォーマットから逸脱していれば警報を生成するように上記コンピュータを動作させるステップと、
を含むことを特徴とする方法。 - 上記プロトコルに指定されているフォーマットはヘッダーメッセージ部分を含み、上記フォーマットを比較するステップは上記ヘッダーメッセージ部分のフォーマットと上記プロトコルに指定されているフォーマットとを比較するステップからなることを特徴とする請求項19に記載の方法。
- 上記プロトコルは上記ヘッダーメッセージ部分内にフレーム制御フィールドを有するIEEE標準802.11であり、上記フォーマットを比較するステップは上記フレーム制御フィールドのフォーマットを比較するステップからなることを特徴とする請求項20に記載の方法。
- 上記プロトコルはIEEE標準802.11であり、更に、上記1つまたはそれ以上の受信されたデータパケットはIEEE標準802.11管理フレームを含むことを特徴とする請求項19に記載の方法。
- 上記プロトコルはIEEE標準802.11であり、更に、上記1つまたはそれ以上の受信されたデータパケットはIEEE標準802.11制御フレームを含むことを特徴とする請求項18に記載の方法。
- 上記プロトコルは、IEEE標準802.11であることを特徴とする請求項19に記載の方法。
- 上記プロトコルはIEEE標準802.11であり、更に、上記1つまたはそれ以上の受信されたデータパケットは第1のWEPフラグを含むことを特徴とする請求項19に記載の方法。
- 上記パケットは第1のWEPフラグ値を有しており、上記第1のWEPフラグ値は上記コンピュータ上の状態テーブル内に格納されている第2のWEP値とは一致していないことを特徴とする請求項25に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは第1のプロトコルバージョン値を有しており、上記第1のプロトコルバージョン値は上記コンピュータ上の状態テーブル内に格納されている第2のプロトコルバージョン値とは一致していないことを特徴とする請求項25に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、マルチキャストアドレスであるソースMACアドレスを含むことを特徴とする請求項24に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、同報通信アドレスであるソースMACアドレスを含むことを特徴とする請求項24に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは第1の電力管理状態変数を含み、上記第1の電力管理状態変数は上記コンピュータ上の状態テーブル内に格納されている第2の電力管理状態変数値とは一致していないことを特徴とする請求項24に記載の方法。
- 上記コンピュータを動作させるステップは、更に、上記受信されたデータパケットのさらなるデータフィールドをチェックするステップと、サービス拒否攻撃の可能性について上記アクセスポイントを監視するステップとを含むことを特徴とする請求項24に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、サポートされていないタイプ値を含むことを特徴とする請求項24に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、サポートされていないサブタイプ値を含むことを特徴とする請求項24に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、なりすましのMACアドレスを含むことを特徴とする請求項24に記載の方法。
- 上記1つまたはそれ以上の受信されたデータパケットは、上記プロトコルに指定されているフォーマットとは一致していない長さのフレームを含むことを特徴とする請求項24に記載の方法。
- 上記コンピュータ内に状態テーブルを維持するステップを更に含むことを特徴とする請求項1に記載の方法。
- データメッセージパケットのためのフォーマットを指定しているプロトコルに従って動作し、複数のモバイルユニットがアクセスポイントを使用してコンピュータと通信するようになっている無線データ通信システムにおいて、上記システムへの不許可アクセスの試みを検出する方法であって、
上記モバイルユニットによって受信された1つまたはそれ以上のデータパケットをコンピュータへ転送するステップと、
上記1つまたはそれ以上の受信されたデータパケットの選択された部分と、状態テーブル内に格納されている指定されたプロトコルに従う値とを比較し、もし上記1つまたはそれ以上のパケットの選択された部分が上記状態テーブル内に格納されている値から逸脱していれば警報を生成するように上記コンピュータを動作させるステップと、
を含むことを特徴とする方法。 - 上記指定されたプロトコルは、IEEE標準802.11であることを特徴とする請求項37に記載の方法。
- 上記コンピュータ内に状態テーブルを維持するステップを更に含むことを特徴とする請求項37に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/809,599 US20050213553A1 (en) | 2004-03-25 | 2004-03-25 | Method for wireless LAN intrusion detection based on protocol anomaly analysis |
| PCT/US2005/008517 WO2005101766A2 (en) | 2004-03-25 | 2005-03-16 | Method for wireless lan intrusion detection based on protocol anomaly analysis |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007531398A true JP2007531398A (ja) | 2007-11-01 |
Family
ID=34989720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007505007A Pending JP2007531398A (ja) | 2004-03-25 | 2005-03-16 | プロトコル変則分析に基づく無線lan侵入検知方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20050213553A1 (ja) |
| EP (1) | EP1728225A2 (ja) |
| JP (1) | JP2007531398A (ja) |
| CN (1) | CN1934597A (ja) |
| WO (1) | WO2005101766A2 (ja) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060005007A1 (en) * | 2004-06-14 | 2006-01-05 | Nokia Corporation | System, method and computer program product for authenticating a data source in multicast communications |
| US10284571B2 (en) * | 2004-06-28 | 2019-05-07 | Riverbed Technology, Inc. | Rule based alerting in anomaly detection |
| US8196199B2 (en) * | 2004-10-19 | 2012-06-05 | Airdefense, Inc. | Personal wireless monitoring agent |
| FR2881312A1 (fr) * | 2005-01-26 | 2006-07-28 | France Telecom | Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil |
| US7515926B2 (en) * | 2005-03-30 | 2009-04-07 | Alcatel-Lucent Usa Inc. | Detection of power-drain denial-of-service attacks in wireless networks |
| US8570586B2 (en) * | 2005-05-02 | 2013-10-29 | Digimarc Corporation | Active images through digital watermarking |
| US8249028B2 (en) * | 2005-07-22 | 2012-08-21 | Sri International | Method and apparatus for identifying wireless transmitters |
| US7724717B2 (en) * | 2005-07-22 | 2010-05-25 | Sri International | Method and apparatus for wireless network security |
| US8965334B2 (en) * | 2005-12-19 | 2015-02-24 | Alcatel Lucent | Methods and devices for defending a 3G wireless network against malicious attacks |
| CN100369446C (zh) * | 2006-02-28 | 2008-02-13 | 西安西电捷通无线网络通信有限公司 | 接入点的安全接入协议符合性测试方法及其系统 |
| US9125130B2 (en) * | 2006-09-25 | 2015-09-01 | Hewlett-Packard Development Company, L.P. | Blacklisting based on a traffic rule violation |
| US8069483B1 (en) * | 2006-10-19 | 2011-11-29 | The United States States of America as represented by the Director of the National Security Agency | Device for and method of wireless intrusion detection |
| US8191143B1 (en) * | 2007-11-13 | 2012-05-29 | Trend Micro Incorporated | Anti-pharming in wireless computer networks at pre-IP state |
| US8566929B2 (en) * | 2008-01-14 | 2013-10-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Integrity check failure detection and recovery in radio communications system |
| US8090616B2 (en) | 2008-09-08 | 2012-01-03 | Proctor Jr James Arthur | Visual identification information used as confirmation in a wireless communication |
| US8677473B2 (en) * | 2008-11-18 | 2014-03-18 | International Business Machines Corporation | Network intrusion protection |
| US8694624B2 (en) * | 2009-05-19 | 2014-04-08 | Symbol Technologies, Inc. | Systems and methods for concurrent wireless local area network access and sensing |
| KR20110071709A (ko) * | 2009-12-21 | 2011-06-29 | 삼성전자주식회사 | 배터리 소진 공격에 대한 방어 방법 및 이 기능을 갖는 배터리 기반 무선 통신 기기와 기록 매체 |
| CN101977375A (zh) * | 2010-11-18 | 2011-02-16 | 太仓市同维电子有限公司 | 分布式无线入侵检测系统及其检测方法 |
| US20120268271A1 (en) * | 2011-04-19 | 2012-10-25 | Mcmullin Dale Robert | Methods and systems for detecting compatibility issues within an electrical grid control system |
| KR101453521B1 (ko) * | 2011-05-20 | 2014-10-24 | 주식회사 케이티 | 무선 액세스 포인트 장치 및 비인가 무선 랜 노드 탐지 방법 |
| JP2014095685A (ja) * | 2012-10-12 | 2014-05-22 | Ricoh Co Ltd | 配信装置、配信方法及び配信プログラム |
| EP3839913A3 (en) | 2014-12-19 | 2021-10-06 | Huawei Technologies Co., Ltd. | Anti-theft method and apparatus |
| CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
| KR101831604B1 (ko) * | 2016-10-31 | 2018-04-04 | 삼성에스디에스 주식회사 | 데이터 전송 방법, 인증 방법 및 이를 수행하기 위한 서버 |
| WO2019061514A1 (zh) * | 2017-09-30 | 2019-04-04 | 深圳大学 | 安全的无线通信物理层斜率认证方法和装置 |
| US11057769B2 (en) | 2018-03-12 | 2021-07-06 | At&T Digital Life, Inc. | Detecting unauthorized access to a wireless network |
| CN112235430B (zh) * | 2019-06-28 | 2023-12-05 | 北京奇虎科技有限公司 | 阻碍收集有效信息的方法和装置、电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030135762A1 (en) * | 2002-01-09 | 2003-07-17 | Peel Wireless, Inc. | Wireless networks security system |
| JP2005536120A (ja) * | 2002-08-12 | 2005-11-24 | ハリス コーポレイション | 侵入検出機能を備えた無線ローカルまたはメトロポリタンエリアネットワーク及び関連する方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7480939B1 (en) * | 2000-04-28 | 2009-01-20 | 3Com Corporation | Enhancement to authentication protocol that uses a key lease |
| US6715084B2 (en) * | 2002-03-26 | 2004-03-30 | Bellsouth Intellectual Property Corporation | Firewall system and method via feedback from broad-scope monitoring for intrusion detection |
| US7171615B2 (en) * | 2002-03-26 | 2007-01-30 | Aatrix Software, Inc. | Method and apparatus for creating and filing forms |
| US7042852B2 (en) * | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
| AU2003279071A1 (en) * | 2002-09-23 | 2004-04-08 | Wimetrics Corporation | System and method for wireless local area network monitoring and intrusion detection |
| US7603710B2 (en) * | 2003-04-03 | 2009-10-13 | Network Security Technologies, Inc. | Method and system for detecting characteristics of a wireless network |
| US7426383B2 (en) * | 2003-12-22 | 2008-09-16 | Symbol Technologies, Inc. | Wireless LAN intrusion detection based on location |
| US7216365B2 (en) * | 2004-02-11 | 2007-05-08 | Airtight Networks, Inc. | Automated sniffer apparatus and method for wireless local area network security |
-
2004
- 2004-03-25 US US10/809,599 patent/US20050213553A1/en not_active Abandoned
-
2005
- 2005-03-16 EP EP05725585A patent/EP1728225A2/en not_active Withdrawn
- 2005-03-16 WO PCT/US2005/008517 patent/WO2005101766A2/en not_active Application Discontinuation
- 2005-03-16 JP JP2007505007A patent/JP2007531398A/ja active Pending
- 2005-03-16 CN CNA2005800094101A patent/CN1934597A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030135762A1 (en) * | 2002-01-09 | 2003-07-17 | Peel Wireless, Inc. | Wireless networks security system |
| JP2005536120A (ja) * | 2002-08-12 | 2005-11-24 | ハリス コーポレイション | 侵入検出機能を備えた無線ローカルまたはメトロポリタンエリアネットワーク及び関連する方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1728225A2 (en) | 2006-12-06 |
| US20050213553A1 (en) | 2005-09-29 |
| WO2005101766A2 (en) | 2005-10-27 |
| WO2005101766A3 (en) | 2006-09-28 |
| CN1934597A (zh) | 2007-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2007531398A (ja) | プロトコル変則分析に基づく無線lan侵入検知方法 | |
| US8069483B1 (en) | Device for and method of wireless intrusion detection | |
| US8281392B2 (en) | Methods and systems for wired equivalent privacy and Wi-Fi protected access protection | |
| KR100628325B1 (ko) | 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 | |
| US8752175B2 (en) | Method and apparatus for network intrusion detection | |
| US7970894B1 (en) | Method and system for monitoring of wireless devices in local area computer networks | |
| US8638762B2 (en) | System and method for network integrity | |
| US8918875B2 (en) | System and method for ARP anti-spoofing security | |
| US9398039B2 (en) | Apparatus, system and method for suppressing erroneous reporting of attacks on a wireless network | |
| EP1530867B1 (en) | Wireless local or metropolitan area network with intrusion detection features and related methods | |
| US7971253B1 (en) | Method and system for detecting address rotation and related events in communication networks | |
| US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
| CN104852894A (zh) | 一种无线报文侦听检测方法、系统及中控服务器 | |
| KR102323712B1 (ko) | Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법 | |
| KR20070054067A (ko) | 무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽침입탐지 및 차단방법 | |
| US8671451B1 (en) | Method and apparatus for preventing misuse of a group key in a wireless network | |
| Fayssal et al. | Anomaly-based behavior analysis of wireless network security | |
| US11689928B2 (en) | Detecting unauthorized access to a wireless network | |
| KR101447469B1 (ko) | 무선 침입 방지 시스템에서의 모바일 패킷을 이용한 공격의 방어 및 제어 방법 | |
| EP2007066A2 (en) | A policy enforcement point and a linkage method and system for intrude detection system | |
| Huang et al. | A whole-process WiFi security perception software system | |
| KR101335293B1 (ko) | 내부 네트워크 침입 차단 시스템 및 그 방법 | |
| Komanduri et al. | Experimental assessment of wireless lans against rogue access points | |
| US20160100315A1 (en) | Detecting and disabling rogue access points in a network | |
| CN113132993B (zh) | 应用在无线局域网中的数据窃取识别系统及其使用方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080312 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100323 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100816 |