SE0900687A1 - Wireless intrusion detection - Google Patents
Wireless intrusion detection Download PDFInfo
- Publication number
- SE0900687A1 SE0900687A1 SE0900687A SE0900687A SE0900687A1 SE 0900687 A1 SE0900687 A1 SE 0900687A1 SE 0900687 A SE0900687 A SE 0900687A SE 0900687 A SE0900687 A SE 0900687A SE 0900687 A1 SE0900687 A1 SE 0900687A1
- Authority
- SE
- Sweden
- Prior art keywords
- signal strength
- identity
- attack
- sender
- deciding
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Monitoring And Testing Of Transmission In General (AREA)
Description
2 US 6 745 333 beskriver ett förfarande för detektering av en bluffattack genom detektering av datapaket som skickats över det trådlösa nätverket, vilka har samma källidentitet men härrör från skilda segment av nätverket. l fallet med trådlösa nätverk är det minsta nätverkssegmentet det område som täcks av en åtkomstpunkt, d v s alla klienter som är anslutna till samma åt- komstpunkt tillhör samma nätverkssegment. En nackdel med förfarandet som visas i US 6 745 333 är således att en bluffattack inte kan detekteras om både skurkanordningen och den imiterade anordningen kommunicerar med nätverket via samma åtkomstpunkt. US 6,745,333 discloses a method for detecting a fraudulent attack by detecting data packets sent over the wireless network, which have the same source identity but originate from different segments of the network. In the case of wireless networks, the smallest network segment is the area covered by an access point, ie all clients connected to the same access point belong to the same network segment. A disadvantage of the method shown in US 6,745,333 is thus that a fraudulent attack cannot be detected if both the rogue device and the imitation device communicate with the network via the same access point.
Sammanfattning av uppfinningen Ett syfte med föreliggande uppfinning är att övervinna dessa problem och att anvisa en förbättrad detektering av trådlösa intrång.SUMMARY OF THE INVENTION An object of the present invention is to overcome these problems and to provide an improved detection of wireless intrusions.
Detta uppnås genom ett förfarande för detektering av en bluffattack enligt det självständiga kravet 1, genom en anordning för detektering av tråd- lösa intrång enligt det självständiga kravet 7 samt genom en datorprogram- produkt enligt det självständiga kravet 14. Utföringsformer av uppfinningen är angivna i de osjälvständiga kraven.This is achieved by a method for detecting a fraudulent attack according to independent claim 1, by a device for detecting wireless intrusions according to independent claim 7 and by a computer program product according to independent claim 14. Embodiments of the invention are set out in the dependent requirements.
Således anvisas, enligt en första aspekt av föreliggande uppfinning, ett förfarande för detektering av en bluffattack i ett trådlöst nätverk. Förfarandet innefattar stegen att ta emot ett datapaket från det trådlösa nätverket, att fast- ställa en signalstyrka för det mottagna datapaketet, att fastställa en identitet hos avsändaren av det mottagna datapaketet, samt att besluta huruvida en bluffattack inletts. Beslutet om huruvida en bluffattack inletts grundas på sig- nalstyrkan, d v s den signalstyrka med vilken datapaketet mottogs, och av- sändarens identitet, d v s det mottagna datapaketets avsändares identitet.Thus, according to a first aspect of the present invention, there is provided a method of detecting a fraudulent attack in a wireless network. The method includes the steps of receiving a data packet from the wireless network, determining a signal strength of the received data packet, determining an identity of the sender of the received data packet, and deciding whether a fraudulent attack has been initiated. The decision on whether to initiate a fraudulent attack is based on the signal strength, i.e. the signal strength with which the data packet was received, and the identity of the sender, i.e. the identity of the sender of the received data packet.
Enligt en andra aspekt av föreliggande uppfinning anvisas en anord- ning för detektering av trådlösa intrång. Anordningen för detektering av tråd- lösa intrång innefattar en mottagare och bearbetningskretsar. Mottagaren tar emot datapaket från det trådlösa nätverket. Bearbetningskretsarna är anord- nade att fastställa en signalstyrka för det datapaket som mottas från det tråd- lösa nätverket, att fastställa en avsändaridentitet för datapaketet, och att be- 3 sluta huruvida en bluffattack inletts. Beslutet om huruvida en bluffattack inletts grundas på signalstyrkan och avsändarens identitet.According to a second aspect of the present invention, there is provided a device for detecting wireless intrusions. The device for detecting wireless intrusions comprises a receiver and processing circuits. The receiver receives data packets from the wireless network. The processing circuits are arranged to determine a signal strength of the data packet received from the wireless network, to determine a sender identity for the data packet, and to decide whether a hoax attack has been initiated. The decision on whether to launch a hoax is based on the signal strength and the identity of the sender.
Enligt en tredje aspekt av föreliggande uppfinning anvisas en datorpro- gramprodukt. Datorprogramprodukten innefattar ett medium för användning med en dator, i vilket en datorläsbar programkod är utförd. Den datorläsbara programkoden är anordnad att exekveras för implementering av förfarandet enligt den första aspekten av föreliggande uppfinning.According to a third aspect of the present invention, there is provided a computer program product. The computer program product comprises a medium for use with a computer, in which a computer readable program code is executed. The computer readable program code is arranged to be executed for implementing the method according to the first aspect of the present invention.
Såvitt gäller beskrivningen av föreliggande uppfinning är en databe- handlingsapparat t ex en dator, ett datortillbehör, en nätverksskrivare, en mo- biltelefon eller en handdator (PDA) och innefattar i allmänhet en för ändamå- let avsedd trådlös nätverksgränssnittsanordning för kommunikation via ett trådlöst nätverk eller, allmännare, en trådlös anslutning. Den trådlösa kom- munikationen kan verkställas med hjälp av varje slags radiobaserad trådlös nätverksteknologi, t ex WLAN, Bluetooth, GSM, GPRS, UMTS, LTE och Wi- MAX. I syfte att kunna identifiera en viss databehandlingsapparat som källa eller destination i en dataöverföring tilldelas varje databehandlingsapparat som deltar i trådlös kommunikation en identitet. ldentiteterna kan t ex vara en MAC- eller IP-adress (medium access control address resp lntemet protocol address).As far as the description of the present invention is concerned, a data processing apparatus is, for example, a computer, a computer accessory, a network printer, a mobile phone or a PDA, and generally includes a dedicated wireless network interface device for communication over a wireless network. or, more generally, a wireless connection. The wireless communication can be implemented using any kind of radio-based wireless network technology, such as WLAN, Bluetooth, GSM, GPRS, UMTS, LTE and Wi-MAX. In order to be able to identify a particular data processing apparatus as the source or destination of a data transmission, each data processing apparatus participating in wireless communication is assigned an identity. The identities can be, for example, a MAC or IP address (medium access control address or Internet protocol address).
Föreliggande uppfinning bygger på insikten att bluffattacker, d v s at- tacker baserade på förklädnad, i ett trådlöst nätverk kan detekteras genom att analysera signalstyrkan och avsändaridentiteten för datapaket som mottagits via det trådlösa nätverket. Det är fördelaktigt att grunda beslutet om huruvida en bluffattack försiggår på signalstyrkevärden så tillvida att det är relativt en- kelt och tämligen verkningsfullt. Uppfinningens allmänna idé grundar sig på insikten att sådana datapaket, som tas emot via det trådlösa nätverket av en anordning för detektering av trådlösa intrång - eller av en databehandlings- apparat som utför uppgifter inom detektering av trådlösa intrång - och som härrör från två skilda databehandlingsapparater som använder samma identi- tet, typiskt sett kommer att tas emot med åtskiljbara signalstyrkevärden.The present invention is based on the realization that hoax attacks, i.e. disguises based on disguise, in a wireless network can be detected by analyzing the signal strength and sender identity of data packets received via the wireless network. It is advantageous to base the decision on whether a hoax attack takes place on signal strength values to the extent that it is relatively simple and fairly effective. The general idea of the invention is based on the insight that such data packets, which are received via the wireless network by a device for detecting wireless intrusions - or by a data processing apparatus which performs tasks in detecting wireless intrusions - and which originate from two different data processing apparatuses which uses the same identity, will typically be received with separable signal strength values.
För detta ändamål övervakas nätverkstrafiken och datapaket tas emot via det trådlösa nätverket. För varje mottaget datapaket fastställs signalstyr- 4 kan och avsändaridentiteten. Det beslutas därefter, på grundval av signalstyr- kan och avsändaridentiteten, huruvida en bluffattack försiggår.For this purpose, the network traffic is monitored and data packets are received via the wireless network. For each received data packet, the signal strength and the sender identity are determined. It is then decided, on the basis of the signal strength and the sender identity, whether a hoax attack is taking place.
Föreliggande uppfinning har den fördelen att bluffattacker utförda av en skurkanordning som kommunicerar med samma åtkomstpunkt som den imite- rade anordningen, och som således tillhör samma nätverkssegment, kan de- tekteras. Det är även fördelaktigt att endast grunda beslutet om huruvida imi- tation förekommer på identiteter och signalstyrkor av den anledningen att så- dan information är enkel att erhålla. Vidare krävs mindre bearbetningsinsatser jämfört med intrångsdetekteringssystem enligt känd teknik, vilka analyserar hela datapaket.The present invention has the advantage that fraudulent attacks performed by a rogue device communicating with the same access point as the imitation device, and thus belonging to the same network segment, can be detected. It is also advantageous to base the decision only on whether imitation occurs on identities and signal strengths for the reason that such information is easy to obtain. Furthermore, smaller processing efforts are required compared to intrusion detection systems according to the prior art, which analyze entire data packets.
Enligt en utföringsform av föreliggande uppfinning är en anordning för detektering av trådlösa intrång placerad vid en värddator med förmåga att kommunicera över det trådlösa nätverket. Bearbetningskretsarna är även an- ordnade att jämföra avsändaridentiteten med en värddatoridentitet, att jämfö- ra signalstyrkan med en förutbestämd signalstyrka och att fatta beslut att av- sändaren är den anordning som inleder attacken, d v s en skurkanordning, om avsändaridentiteten är densamma som värddatoridentiteten och signal- styrkan är mindre än en förutbestämd signalstyrka.According to an embodiment of the present invention, a device for detecting wireless intrusions is located at a host computer capable of communicating over the wireless network. The processing circuits are also arranged to compare the sender identity with a host identity, to compare the signal strength with a predetermined signal strength and to decide that the sender is the device initiating the attack, i.e. a villain device, if the sender identity is the same as the host identity and signal the strength is less than a predetermined signal strength.
Detta är fördelaktigt eftersom värddatorn kan övervaka den trådlösa nätverkstrafiken och detektera bluffattacker som utnyttjar dess egen identitet, d v s attacker under vilka värddatorn imiteras. Med andra ord kan en databe- handlingsapparat utrustad med ett en anordning för detektering av trådlösa nätverk detektera bluffattacker inom det trådlösa nätverksgränssnittets hela täckningsområde. Detta är fördelaktigt om inget centraliserat system för de- tektering av trådlösa intrång finns, såsom i ett publikt WLAN med låg säker- hetsgrad. Det inses vidare att täckningsområdet hos ett centraliserat system för detektering av trådlösa intrång kan utökas genom att utnyttja klienter ut- rustade med en anordning för detektering av trådlösa intrång. Dessa klienter är belägna vid randen av tåckningsområdet hos det trådlösa nätverket som skyddas av systemet för detektering av trådlösa intrång.This is advantageous because the host computer can monitor the wireless network traffic and detect scam attacks that exploit its own identity, i.e. attacks during which the host computer is imitated. In other words, a data processing apparatus equipped with a wireless network detection device can detect fraudulent attacks within the entire coverage area of the wireless network interface. This is advantageous if there is no centralized system for detecting wireless intrusions, such as in a public WLAN with a low degree of security. It is further understood that the coverage area of a centralized system for detecting wireless intrusions can be expanded by utilizing clients equipped with a device for detecting wireless intrusions. These clients are located at the edge of the coverage area of the wireless network protected by the wireless intrusion detection system.
Enligt en utföringsform av uppfinningen används en förutbestämd sig- nalstyrka för beslutet om huruvida en bluffattack inletts. Denna förutbestämda signalstyrka är väsentligen lika med signalstyrkan för paket som sänds av värddatorn själv. Signalstyrkan för sådana datapaket är ett mått på den max- imala signalstyrkan som kan förväntas med tanke på närheten mellan avsän- daren, d v s värdens trådlösa nätverksgränssnitt, och mottagningsenheten.According to an embodiment of the invention, a predetermined signal strength is used for the decision of whether a hoax attack has been initiated. This predetermined signal strength is substantially equal to the signal strength of packets transmitted by the host computer itself. The signal strength of such data packets is a measure of the maximum signal strength that can be expected given the proximity between the sender, i.e. the host's wireless network interface, and the receiving device.
Den förutbestämda signalstyrkan sätts i allmänhet till ett lägre värde än max- imivärdet för att undvika falska larm.The predetermined signal strength is generally set to a lower value than the maximum value to avoid false alarms.
Enligt en annan utföringsform av föreliggande uppfinning innefattar föreliggande anordning för detektering av trådlösa intrångvidare kretsar an- ordnade att lagra signalstyrkeinformation. Bearbetningskretsarna är vidare anordnade att lagra avsändarldentiteten och signalstyrkan, att hämta lagrad signalstyrkeinformation från en avsändare med samma identitet som avsän- daridentiteten, att analysera signalstyrkeinformationen, och att besluta huru- vida en bluffattack inletts. Beslutet om huruvida en blufiattack inletts grundas även på signalstyrkeinformationen_ Denna utföringsform är fördelaktig i så måtto att attacker vid vilka iden- titeten hos andra anordningar än värdanordningen' imiteraskan detekteras.According to another embodiment of the present invention, the present device for detecting wireless intruder circuits is arranged to store signal strength information. The processing circuits are further arranged to store the sender identity and signal strength, to retrieve stored signal strength information from a sender with the same identity as the sender identity, to analyze the signal strength information, and to decide whether a hoax attack has been initiated. The decision on whether to initiate a blu 'attack is also based on the signal strength information. This embodiment is advantageous in that attacks in which the identity of devices other than the host device is imitated.
Anordningen som utför detektering av trådlösa intrång måste inte nödvändigt- vis vara en databehandlingsapparat med förmåga att kommunicera, d v s att sända och ta emot data, via det trådlösa nätverket. Exempelvis kan anord- ningen vara en för ändamålet avsedd anordning för detektering av trådlösa intrång som endast är anordnad att övervaka trådlös nätverkstrafik. Anord- ningen kan emellertid också vara en databehandlingsapparat utrustad med en trådlös nätverksgränssnittsanordning som kan utnyttjas för detektering av trådlösa intrång när den är overksam eller en databehandlingsapparat med en anordning för detektering av trådlösa intrång installerad.The device that performs wireless intrusion detection does not necessarily have to be a data processing apparatus capable of communicating, i.e. transmitting and receiving data, via the wireless network. For example, the device may be a dedicated intrusion detection device which is only arranged to monitor wireless network traffic. However, the device may also be a data processing apparatus equipped with a wireless network interface device which can be used for detecting wireless intrusions when inactive or a data processing apparatus having a wireless intrusion detection device installed.
För detta ändamål övervakas den trådlösa nätverkstrafiken och en sig- nalinformationsdatabas innehållande signalstyrkevärden och tillhörande av- sändaridentiteter upprätthålls. För varje mottagetfldatapaket hämtas tidigare mottagna signalstyrkevärden från databasen vilka hänför sig till samma identi- tet som identiteten hos avsändaren avdet mottagna datapaketet. Variationen över tid hos dessa värden analyseras i syfte att besluta huruvida en bluffat- tack föreligger. Exempelvis kan en plötslig variation i en ”annars väsentligen konstant signalstyrka vara en indikation på en bluffattack. 6 Det inses vidare att signalstyrkeinformationen kan analyseras vid andra tillfällen än då ett datapaket tas emot från det trådlösa nätverket. Ex- empelvis kan en sådan analys initieras av en extern utlösare, t ex av en an- vändare eller av en enhet i det trådlösa nätverket, såsom ett centraliserat in- trångsdetekteringssystem. Vidare kan analysen även utföras periodiskt eller slumpmässigt. Som ett alternativ till att den samlade signalstyrkeinformatio- nen analyseras kan endast delar av informationen analyseras. Speciellt kan signalstyrkeinformation som avser det senast mottagna datapaketet från nät- verket uteslutas.For this purpose, the wireless network traffic is monitored and a signal information database containing signal strength values and associated sender identities is maintained. For each received fl data packet, previously received signal strength values are retrieved from the database which relate to the same identity as the identity of the sender of the received data packet. The variation over time of these values is analyzed in order to decide whether a scam thank you exists. For example, a sudden variation in an “otherwise substantially constant signal strength” may be an indication of a hoax. It will further be appreciated that the signal strength information may be analyzed at other times than when a data packet is being received from the wireless network. For example, such an analysis can be initiated by an external trigger, for example by a user or by a device in the wireless network, such as a centralized intrusion detection system. Furthermore, the analysis can also be performed periodically or randomly. As an alternative to analyzing the overall signal strength information, only parts of the information can be analyzed. In particular, signal strength information relating to the most recently received data packet from the network can be excluded.
Om ingen avsändaridentitet etableras för det senaste datapaketet, ex- empelvis om analysen påbörjas oberoende av mottagningen av ett datapaket från det trådlösa nätverket, då kan signalstyrkevården avseende en godtyck- lig identitet beaktas. Detta är fördelaktigt i det avseendet att stegen att analy- sera signalstyrkeinformation samt att besluta om huruvida en bluffattack in- letts kan utföras separat i förhållande till stegen att ta emotett datapaket från det trådlösa nätverket samt att fastställa en signalstyrka och en avsändar- identitet. Till exempel kan detta vara fallet i ett intrångsdetekteringssystem som innefattar sensorer för mottagning av datapaket och i vilket analysen ut- förs av andra enheter. l enlighet med en annan utföringsform av föreliggande uppfinning är bearbetningskretsarna vidare anordnade att beräkna en variation i signalstyr- keinformationen, att jämföra variationen med en förutbestämd variation och att besluta om att en bluffattack anses ha inletts om den beräknade variatio- nen är större än den förutbestämda variationen.If no sender identity is established for the latest data packet, for example if the analysis is started independently of the reception of a data packet from the wireless network, then the signal strength maintenance regarding an arbitrary identity can be taken into account. This is advantageous in that the steps of analyzing signal strength information and deciding whether to initiate a fraudulent attack can be performed separately from the steps of receiving data packets from the wireless network and establishing a signal strength and a sender identity. For example, this may be the case in an intrusion detection system that includes sensors for receiving data packets and in which the analysis is performed by other devices. In accordance with another embodiment of the present invention, the processing circuits are further arranged to calculate a variation in the signal strength information, to compare the variation with a predetermined variation and to decide whether a bluff attack is considered to have been initiated if the calculated variation is greater than the predetermined one. the variation.
Enligt ännu en utföringsform av föreliggande uppfinning är bearbet- ningskretsarna vidare anordnade att sammanställa en fördelning av signal- styrkevärden ur signalstyrkeinformationen, att utvärdera nämnda fördelnings modalitet, samt att besluta att en bluffattack anses ha inletts om fördelningen är multimodal. Även om fördelar med föreliggande uppfinning i vissa fall har beskrivits med hänvisning till utföringsformer av anordningen för detektering av trådlösa intrång enligt den andra aspekten av uppfinningen, gäller motsvarande reso- nemang för utföringsformer av förfarandet enligt den första aspekten av upp- 7 finningen. Exempelvis kan en dator utrustad med en trådlös nätverksgräns- snittsanordning, eller en åtkomstpunkt i ett WLAN, anordnas att utföra uppgif- ter inom detektering av trådlösa intrång. Det inses även att motsvarande re- sonemang gäller för utföringsformer av datorprogramprodukten enligt den tredje aspekten av uppfinningen. En sådan datorprogramprodukt kan exem- pel-vis nyttjas för att anpassa befintlig hårdvara att utföra uppgifter inom detek- tering av trådlösa intrång. Klienten eller en åtkomstpunkt i ett WLAN kan ex- empelvis vara anordnad att utföra detektering av trådlösa intrång medan den är overksam förutsatt den förses med ett lämpligt datorprogram.According to yet another embodiment of the present invention, the processing circuits are further arranged to compile a distribution of signal strength values from the signal strength information, to evaluate said distribution modality, and to decide that a hoax attack is considered to have been initiated if the distribution is multimodal. Although advantages of the present invention have in some cases been described with reference to embodiments of the wireless intrusion detection device according to the second aspect of the invention, the same rationale applies to embodiments of the method according to the first aspect of the invention. For example, a computer equipped with a wireless network interface device, or an access point in a WLAN, may be arranged to perform tasks in detecting wireless intrusions. It will also be appreciated that the corresponding reasoning applies to embodiments of the computer program product according to the third aspect of the invention. Such a computer software product can, for example, be used to adapt existing hardware to perform tasks in detecting wireless intrusions. The client or an access point in a WLAN may, for example, be arranged to perform detection of wireless intrusion while it is idle provided it is provided with a suitable computer program.
Vidare syften med, särdrag hos och fördelar med föreliggande uppfin- ning kommer att bli uppenbara efter studium av den följande detaljerade be- skrivningen, ritningarna och de bifogade kraven. Fackmannen inser att olika särdrag hos föreliggande uppfinning kan kombineras så att andra utförings- former än de beskrivna skapas.Further objects, features and advantages of the present invention will become apparent upon study of the following detailed description, the drawings and the appended claims. Those skilled in the art will appreciate that various features of the present invention may be combined to create embodiments other than those described.
Kortfattat beskrivninq av ritningarna Ovanstående särdrag hos och fördelar med föreliggande uppfinning kommer att förstås bättre genom den följande illustrativa och icke- begränsande detaljerade beskrivningen av utföringsformer av föreliggande uppfinning och dennas hänvisningar till de bifogade ritningarna.Brief Description of the Drawings The above features and advantages of the present invention will be better understood from the following illustrative and non-limiting detailed description of embodiments of the present invention and its references to the accompanying drawings.
Figur 1 visar en utföringsform av förfarandet för detektering av en bluffattack.Figure 1 shows an embodiment of the method for detecting a hoax attack.
Figur 2 visar en annan utföringsform av förfarandet för detektering av en bluffattack.Figure 2 shows another embodiment of the method for detecting a hoax attack.
Figur 3 visar en hypotetisk variation över tid i signalstyrka och den re- sulterande fördelningen av signalstyrkevården.Figure 3 shows a hypothetical variation over time in signal strength and the resulting distribution of signal strength care.
Figur 4 visar en utföringsform av anordningen för detektering av trådlö- sa intrång.Figure 4 shows an embodiment of the device for detecting wireless intrusions.
Figur 5 visar en annan utföringsform av anordningen för detektering av trådlösa intrång.Figure 5 shows another embodiment of the wireless intrusion detection device.
Figur 6 visar en trådlös nätverksgränssnittsanordning som innefattar en anordning för detektering av trådlösa intrång.Figure 6 shows a wireless network interface device that includes a device for detecting wireless intrusions.
Samtliga figurer är schematiska, inte nödvändigtvis skalenliga och vi- 8 sar i allmänhet endast delar som är nödvändiga för att belysa uppfinningen, varvid övriga delar kan vara uteslutna eller endast antydda.All figures are schematic, not necessarily to scale and generally show only parts which are necessary to illustrate the invention, whereby other parts may be excluded or only hinted at.
Detalierad beskrivninq Såvitt gäller beskrivningen av föreliggande uppfinning antas att klien- terna i ett trådlöst nätverk, t ex ett WLAN, har tillgång till nätverket och dess resurser genom en eller flera åtkomstpunkter. I allmänhet begränsas åtkomst till enbart behöriga klienter, och denna åtkomstkontroll baseras åtminstone delvis på identiteten hos de klienter som begär åtkomst till nätverket.Detailed Description As far as the description of the present invention is concerned, it is assumed that the clients in a wireless network, for example a WLAN, have access to the network and its resources through one or more of your access points. In general, access to restricted clients is restricted only, and this access control is based at least in part on the identity of the clients requesting access to the network.
Vid en förklädnadsattack imiterar en skurkklient en behörig klients identitet, t ex genom att avskära den behöriga klientens förbindelse med en åtkomstpunkt, och förklär sin egen identitet med den imiterade identiteten.In a disguise attack, a rogue client imitates the identity of an authorized client, for example by cutting off the authorized client's connection to an access point, and declares his own identity with the imitated identity.
Skurkklienten får därvid tillgång till nätverket genom en åtkomstpunkt med hjälp av den behöriga klientens imiterade identitet.The rogue client thereby gains access to the network through an access point with the help of the authorized client's imitated identity.
Med hänvisning till figur 1 beskrivs ett förfarande 100 för detektering av en bluffattack. l syfte att exemplifiera föreliggande uppfinning antas att förfa- randet 100 utförs av en behörig klient i WLAN:et, d v s klienten kan legitimt ansluta till någon av WLAN:ets åtkomstpunkter och kan använda WLAN:ets resurser.Referring to Figure 1, a method 100 for detecting a hoax attack is described. For the purpose of exemplifying the present invention, it is assumed that the method 100 is performed by an authorized client in the WLAN, i.e. the client can legitimately connect to any of the WLAN's access points and can use the WLAN's resources.
Förfarandet 100 börjar i steg 101, antingen periodiskt eller genom en extern utlösare, såsom en användarbegäran, en systemadministratör eller annan enhet i nätverket, t ex ett centraliserat intrångsdetekteringssystem som utnyttjar klienter anslutna till nätverket för intrångsdetekteringsändamål. ln- ledningsvis, i steg 110, tas ett datapaket emot från det trådlösa nätverket. I nästa steg 120 fastställs en signalstyrka med vilken datapaketet togs emot.The method 100 begins in step 101, either periodically or through an external trigger, such as a user request, a system administrator or other device in the network, such as a centralized intrusion detection system that utilizes clients connected to the network for intrusion detection purposes. Initially, in step 110, a data packet is received from the wireless network. In the next step 120, a signal strength with which the data packet was received is determined.
Signalstyrkan kan vanligen erhållas från mottagaren men kan också mätas upp av varje slags annat, i sig känt medel. För den föreliggande uppfinning- ens vidkommande kan signalstyrkan vara ett relativt tal. l fallet med WLAN kan den mottagna signalstyrkeindikeringen (RSSI, received signal strength indication) utnyttjas. Datapaketet analyseras därefter, i steg 130, i syfte att fastställa identiteten hos den anordning från vilken datapaketet härrör. Vilken identitetstyp som används, liksom sättet på vilket identiteten erhålls från da- tapaketet, beror av den nätverksteknologi som används och av huruvida nät- 9 verkstrafiken är krypterad eller inte. l fallet med WLAN innehåller datapake- tets källfält den sändande anordningens MAC-adress. Emellertid kan även andra identifierare användas, bland annat lP-adressen. Därefter, i steg 140, fattas ett beslut om huruvida en bluffattack inletts. Om en bluffattack anses äga rum, avslutas förfarandet i steg 102 och det vidtas, om så önskas, åtgär- der som är i sig kända. Exempelvis kan det utfärdas en varning riktad till kli- entens användare ellertill en administratör för det trådlösa nätverket; likaså kan attacken loggas. Den klient som detekterar attacken, eller nätverkets centraliserade systemet för trådlösa intrång, kan också sätta igång motåtgär- der, t ex att avbryta trafik till delar av nätverket.The signal strength can usually be obtained from the receiver but can also be measured by any other means known per se. For the purposes of the present invention, the signal strength may be a relative number. In the case of WLAN, the received signal strength indication (RSSI) can be used. The data packet is then analyzed, in step 130, for the purpose of determining the identity of the device from which the data packet originates. The type of identity used, as well as the way in which the identity is obtained from the data packet, depends on the network technology used and on whether the network traffic is encrypted or not. In the case of WLAN, the source field of the data packet contains the MAC address of the transmitting device. However, other identifiers can also be used, including the IP address. Then, in step 140, a decision is made as to whether a scam attack has been initiated. If a fraudulent attack is considered to take place, the procedure is terminated in step 102 and, if desired, measures are taken which are known per se. For example, a warning may be issued to the client's user or to a wireless network administrator; likewise, the attack can be logged. The client that detects the attack, or the network's centralized system for wireless intrusions, can also initiate countermeasures, such as interrupting traffic to parts of the network.
Om ingen attack anses ha inletts, fortsätterförfarandet i steg 110 med att ta emot ett ytterligare datapaket från nätverket. Emellertid kan förfarandet också avslutas här och börja om efter ett visst tidsintervall eller när det initie- ras av en extern utlösare, t ex av en användare eller an annan enhet i nätver- ket, såsom ett centraliserat intrångsdetekteringssystem. Allmänt sett kan för- farandet utföras periodiskt, slumpmässigt eller på begäran.If no attack is considered to have been initiated, the process proceeds in step 110 to receive an additional data packet from the network. However, the method can also be terminated here and start again after a certain time interval or when it is initiated by an external trigger, for example by a user or another device in the network, such as a centralized intrusion detection system. In general, the procedure can be performed periodically, randomly or on request.
Med hänvisning till figur 1 visas en utföringsform av förfarandet 100, i synnerhet steget 140. Beslutet om huruvida en bluffattack anses ha inletts börjar med steget 141 att jämföra avsändaridentiteten, d v s identiteten hos avsändaren av det datapaket som togs emot från det trådlösa nätverket, med identiteten hos den databehandlingsapparat som utför förfarandet, benämnd värd. Sedan jämförs, i steg 142, signalstyrkan, d v s den signalstyrka med vilken datapaketet togs emot, med en förutbestämd signalstyrka. Slutligen tas, i steg 143, beslutet om att en bluffattack anses föreligga om avsändar- identiteten är densamma som värdidentiteten och signalstyrkan är mindre än den förutbestämda signalstyrkan, i vilket fall förfarandet avslutas i steg 102. I annat fall anses en bluffattack inte föreligga och förfarandet fortsätter i steg 110.Referring to Figure 1, an embodiment of the method 100 is shown, in particular step 140. The decision as to whether a fraudulent attack is considered to have begun begins with step 141 comparing the sender identity, i.e. the identity of the sender of the data packet received from the wireless network, with the identity at the data processing apparatus performing the procedure, termed the host. Then, in step 142, the signal strength, i.e. the signal strength with which the data packet was received, is compared with a predetermined signal strength. Finally, in step 143, the decision is made that a hoax attack is considered to exist if the sender identity is the same as the host identity and the signal strength is less than the predetermined signal strength, in which case the procedure ends in step 102. Otherwise a hoax attack is not considered and the procedure continues in step 110.
Det med hänvisning till figur 1 beskrivna förfarandet kan användas för detektering av attacker som imiterar klienten själv, d v s värddatabehandlings- apparaten som utför förfarandet. Om klienten tar emot ett datapaket via det trådlösa nätverket vilket utger sig för att komma från klienten själv, d v s som har samma avsändaridentitet som värdidentiteten, och om datapaketet tas emot med en signalstyrka som är lägre än den förutbestämda signalstyrkan, då anses en bluffattack ha inletts och datapaketets avsändare anses vara en skurkanordning som imiterar klienten. Den förutbestämda signalstyrkan är väsentligen densamma som den signalstyrka med vilken klienten skulle ta emot sina egna datapaket. Exempelvis kan en databehandlingsapparat, som är en behörig klient i ett trådlöst nätverk och som är försedd med en trådlös nälverksgränssnittsanordning och en anordning för detektering av trådlösa intrång, övervaka nätverkstrafiken i sin närhet. Speciellt kan anordningen för detektering av trådlösa nätverk ta emot datapaket som skickats av dess egen trådlösa nätverksgränssnittsanordning. Signalstyrkan hos datapaket som här- rör från klienten utgör den största möjliga signalstyrkan med tanke på närhe- ten mellan avsändare och mottagare. Datapaket som härrör från andra an- ordningar tas typiskt sett emot med en lägre signalstyrka. l syfte att undvika falska larm, sätts den förutbestämda signalstyrkan till ett något lägre värde.The method described with reference to Figure 1 can be used to detect attacks that imitate the client itself, i.e. the host data processing apparatus performing the method. If the client receives a data packet via the wireless network which pretends to come from the client itself, ie which has the same sender identity as the host identity, and if the data packet is received with a signal strength lower than the predetermined signal strength, then a fake attack is considered initiated and the sender of the data packet is considered to be a rogue device that imitates the client. The predetermined signal strength is essentially the same as the signal strength with which the client would receive its own data packets. For example, a data processing apparatus, which is a competent client in a wireless network and which is provided with a wireless network interface device and a device for detecting wireless intrusions, can monitor the network traffic in its vicinity. In particular, the wireless network detection device can receive data packets sent by its own wireless network interface device. The signal strength of data packets originating from the client constitutes the greatest possible signal strength in view of the proximity between sender and receiver. Data packets originating from other devices are typically received with a lower signal strength. In order to avoid false alarms, the predetermined signal strength is set to a slightly lower value.
Den förutbestämda signalstyrkan anges vanligen av en nätverksadministratör eller med hjälp av ett centraliserat intrångsdetekteringssystem som skickar övervakningsbegäran till klienterna.The predetermined signal strength is usually specified by a network administrator or by means of a centralized intrusion detection system that sends the monitoring request to the clients.
Med hänvisning till figur 2 beskrivs en alternativ utföringsform av förfa- randet för detektering av en bluffattack. Förfarandet 200 liknar det med hän- visning till figur 1 beskrivna förfarandet 100 så tillvida att det innefattar stegen att motta 210 ett datapaket via det trådlösa nätverket, att fastställa 220 en signalstyrka med vilken datapaketet togs emot, att fastställa 230 en identitet hos datapaketets avsändare, och att besluta 240 om huruvida en intrångsat- tack föreligger. Utöver detta innefattar förfarandet 200 steget att lagra 235 signalstyrkan och den motsvarande avsändaridentiteten för användning vid efterföljande analys av variationen över tid i signalstyrka. Vidare skiljer sig steget att besluta 240 om huruvida en bluffattack äger rum från det med hän- visning till figur 1 beskrivna steget 140. Med hänvisning till figur 2 innefattar steget 240 stegen att läsa 241 signalstyrkeinformation, d v s signalstyrkevär- den för datapaket som förment härrör från samma avsändare, t ex från en avsändare med samma identitet som avsändaridentiteten. Den hämtade sig- nalstyrkeinformationen används därefter, i steg 240, till att besluta om huruvi- da en bluffattack inletts. Detta åstadkommes genom att analysera signalstyr- 11 kehistoriken, d v s följden av signalstyrkevärden härrörande från en avsända- re med samma identitet. Exempelvis kan en i övrigt väsentligen konstant sig- nalstyrka som plötsligt ändrar värde tolkas som misstänkt och tillskrivas en skurkanordning pâ ett annat läge än den imiterade anordningen, d v s identi- tetens legitima innehavare, varvid det olika läget ger upphov till en signalstyr- ka vid mottagaren som är olik den imiterade anordningens.Referring to Figure 2, an alternative embodiment of the method for detecting a fraudulent attack is described. The method 200 is similar to the method 100 described with reference to Figure 1 in that it comprises the steps of receiving 210 a data packet via the wireless network, determining 220 a signal strength with which the data packet was received, determining 230 an identity of the data packet sender, and to decide 240 on whether there is a breach of infringement. In addition, the method 200 includes the step of storing 235 the signal strength and the corresponding sender identity for use in subsequent analysis of the variation over time in signal strength. Furthermore, the step of deciding 240 whether a fraudulent attack takes place differs from the step 140 described with reference to Figure 1. With reference to Figure 2, the step 240 comprises the steps of reading 241 signal strength information, i.e. signal strength values for data packets which are supposed to originate from the same sender, for example from a sender with the same identity as the sender identity. The retrieved signal strength information is then used, in step 240, to decide whether a hoax attack has been initiated. This is accomplished by analyzing the signal strength history, i.e. the sequence of signal strength values derived from a transmitter with the same identity. For example, an otherwise substantially constant signal strength that suddenly changes value can be interpreted as suspicious and attributed to a rogue device in a different position than the imitation device, ie the identity's legitimate holder, whereby the different position gives rise to a signal strength at the receiver which is different from that of the imitation device.
Den hämtade signalstyrkehistoriken kan t ex analyseras genom att be- räkna 242 en variation av signalstyrkorna och genom att jämföra 243 den be- räknade variationen med en förutbestämd variation. Den förutbestämda varia- tionen anges vanligen av en användare av klienten eller av en administratör för det trådlösa nätverket eller ett centraliserat intrångsdetekteringssystem.The retrieved signal strength history can be analyzed, for example, by calculating 242 a variation of the signal strengths and by comparing 243 the calculated variation with a predetermined variation. The predetermined variation is usually specified by a user of the client or by an administrator of the wireless network or a centralized intrusion detection system.
Antalet signalstyrkevärden under vilka sådana värden beaktas kan också stäl- las in. l en alternativ utföringsform kan den aktuella signalstyrkan och den hämtade signalstyrkehistoriken även sammanställas till en fördelning av sig- nalstyrkevärden, såsom visas i figur 3. I det vänstra diagrammet i figur 3 visas en hypotetisk variation i den mottagna signalstyrkan s över tid t. Signalstyrke- värdena sammanställs sedan till en fördelning f(s), d v s frekvensen fav sig- nalstyrkevärden s under ett visst tidsintervall At. Den resulterande fördelning- en av signalstyrkevärden analyseras sedan i syfte att besluta om huruvida en bluffattack äger rum. Om fördelningen är multimodal, d v s innefattar mer än ett lokalt maximum, då anses en bluffattack ha inletts. Fördelningen som vi- sas i figur 3 är bimodal, eftersom den innefattar två lokala maxima, till följd av att två skilda avsändare utnyttjar samma identitet. Om fler än två klienter kommunicerar med en åtkomstpunkt med hjälp av samma identitet, t ex om en behörig klient imiteras av fler än en skurkanordning, kan den resulterande fördelningen innefatta fler än två lokala maxima.The number of signal strength values below which such values are taken into account can also be set. In an alternative embodiment, the current signal strength and the retrieved signal strength history can also be compiled into a distribution of signal strength values, as shown in Figure 3. The left diagram in Figure 3 shows a hypothetical variation in the received signal strength s over time t. the values are then compiled into a distribution f (s), ie the frequency fv signal strength values s during a certain time interval .t. The resulting distribution of signal strength values is then analyzed in order to decide whether a hoax attack takes place. If the distribution is multimodal, ie includes more than one local maximum, then a hoax attack is considered to have been initiated. The distribution shown in Figure 3 is bimodal, as it includes two local maxima, due to the fact that two different senders use the same identity. If more than two clients communicate with an access point using the same identity, for example if an authorized client is imitated by more than one rogue device, the resulting distribution may include more than two local maxima.
Med hänvisning till figur4 beskrivs nu en anordning 400 för detektering av trådlösa intrång som är avsedd att detektera bluffattacker i ett trådlöst nät- verk. Anordningen 400 innefattar en mottagare 401, en antenn 402 samt be- arbetningskretsar 403. Antennen 402 kan vara inbyggd men kan också vara anslutbar till mottagaren 401 via en kontakt. Bearbetningskretsarna 403 är anordnade att utföra stegen i det med hänvisning till figur 1 beskrivna förfa- 12 randet 100. Vanligen innefattar bearbetningskretsarna även ett inmatnings- /utmatningsgränssnitt 405 för kommunikation mellan intrångsdetekteringsan- ordningen och värd-databehandlingsapparaten. lnmatnings- /utmatningsgränssnittet 405 kan t ex vara PCI, PCMCIA, USB eller FireWire.Referring to Figure 4, there is now described a device 400 for detecting wireless intrusions which is intended to detect hoax attacks in a wireless network. The device 400 comprises a receiver 401, an antenna 402 and processing circuits 403. The antenna 402 may be built-in but may also be connectable to the receiver 401 via a connector. The processing circuits 403 are arranged to perform the steps in the method 100 described with reference to Figure 1. Typically, the processing circuits also include an input / output interface 405 for communication between the intrusion detection device and the host data processing apparatus. The input / output interface 405 can be, for example, PCI, PCMCIA, USB or FireWire.
Anordningen för detektering av trådlösa intrång kan dock även samverka med databehandlingsapparaten, ett centraliserat intrångsdetekteringssystem eller en användare via varje slags annat medel, såsom en trådlös anslutning eller en visuell eller hörbar indikator.However, the wireless intrusion detection device may also cooperate with the data processing apparatus, a centralized intrusion detection system or a user via any other means, such as a wireless connection or a visual or audible indicator.
Med hänvisning till figur 5 beskrivs en alternativ utföringsform av an- ordningen för detektering av trådlösa intrång. Anordningen 500 för detektering av trådlösa intrång liknar den med hänvisning till figur 4 beskrivna anordning- en 400 och innefattar en mottagare 501, en antenn 502, bearbetningskretsar 503 och ett inmatnings-/utmatningsgränssnitt 505. Vidare innefattar anord- ningen 500 kretsar 504 anordnade att lagra signalstyrkeinformation, d v s sig- nalstyrkor och motsvarande avsändaridentiteter, analogt med det med hän- visning till figur 2 beskrivna steget 235. Lagringskretsarna 504 kan t ex vara ett RAM-minne (random access memory), en hårddiskenhet eller varje slags annat minne med förmåga att lagra information. Den lagrade signalstyrkein- formationen innefattar en databas över avsändaridentiteter och mottagna sig- nalstyrkor. Bearbetningskretsarna 503 är anordnade att utföra stegen i förfa- randet 200, vilket beskrivits med hänvisning till figur 2. Speciellt innebär ste- get 241 att läsa lagrad signalstyrkeinformation att ur databasen hämta lagra- de signalstyrkor avseende datapaket som härrör från samma avsändare, t ex signalstyrkor för avsändaren av det datapaket som tagits emot från det tråd- lösa nätverket.With reference to Figure 5, an alternative embodiment of the device for detecting wireless intrusions is described. The wireless intrusion detection device 500 is similar to the device 400 described with reference to Figure 4 and includes a receiver 501, an antenna 502, processing circuits 503 and an input / output interface 505. Furthermore, the device 500 comprises circuits 504 arranged to store signal strength information, ie signal strengths and corresponding sender identities, analogous to the step 235 described with reference to Figure 2. The storage circuits 504 may be, for example, a random access memory (RAM), a hard disk drive or any other type of memory capable of store information. The stored signal strength information includes a database of sender identities and received signal strengths. The processing circuits 503 are arranged to perform the steps in the method 200, which is described with reference to Figure 2. In particular, the step 241 means reading stored signal strength information to retrieve stored signal strengths from the database regarding data packets originating from the same sender, e.g. for the sender of the data packet received from the wireless network.
Med hänvisning till figur 6 beskrivs en utföringsform av en trådlös nät- verksgränssnittsanordning 600. Den trådlösa nätverksgränssnittsanordningen 600 innefattar en anordning för detektering av trådlösa intrång enligt en utfö- ringsform av den andra aspekten av föreliggande uppfinning, varvid anord- ningen för detektering av trådlösa intrång innefattar en mottagare 601, en an- tenn 602 och bearbetningskretsar 603, liksom kretsar 604 för genomförande av den trådlösa kommunikationen. Även om den trådlösa nätverksgräns- snittsanordningen 600, såsom den beskrivs här, innefattar en mottagare 601 13 och en antenn 602 som delas mellan kretsarna 603 och 604, kan den också innefatta separata mottagare och/eller antenner för anordningen för detekte- ring av trådlösa intrång respektive för kretsarna som genomför den trådlösa kommunikationen. Den trådlösa nätverksgränssnittsanordningen 600 kan vi- dare innefatta inmatnings-/utmatningsgränssnitt 606 och 607 för kommunika- tion med databehandlingsenheten som är värd till den trådlösa nätverks- gränssnittsanordningen 600. Som ett alternativ kan anordningen 600 innefatta ett gemensamt inmatnings-/utmatningsgränssnitt för båda kretsar 603 och 604. Utföringsformen som visas i figur 6 innefattar vidare ett gränssnitt 608 för meddelande av den trådlösa nätverksgränssnittsanordningens identitet från kretsarna 604 till kretsarna 603. Exempelvis är, ifallet med WLAN, anord- ningen 600 en WLAN-gränssnittsanordning och kretsarna 604 kan vara stan- dard-WLAN-kretsar. identiteten kan exempelvis vara en MAC-adress som WLAN-kretsarna 604 är konfigurerade med, och denna meddelas till anord- ningen 603 för detektering av trådlösa intrång via gränssnittet 608. identiteten kan emellertid också tillhandahållas bearbetningskretsarna 604 med hjälp av andra medel, t ex via inmatnings-/utmatningsgränssnittet 607. Det inses även att kretsarna 603 och 604, vilka här beskrivits som separata, kan implemente- ras som ett enda kretsarrangemang.Referring to Figure 6, an embodiment of a wireless network interface device 600 is described. The wireless network interface device 600 includes a wireless intrusion detection device according to an embodiment of the second aspect of the present invention, the wireless intrusion detection device. includes a receiver 601, an antenna 602 and processing circuits 603, as well as circuits 604 for performing the wireless communication. Although the wireless network interface device 600, as described herein, includes a receiver 601 13 and an antenna 602 shared between the circuits 603 and 604, it may also include separate receivers and / or antennas for the wireless intrusion detection device. respectively for the circuits that perform the wireless communication. The wireless network interface device 600 may further include input / output interfaces 606 and 607 for communication with the data processing unit hosted by the wireless network interface device 600. Alternatively, the device 600 may include a common input / output interface 60. and 604. The embodiment shown in Figure 6 further comprises an interface 608 for communicating the identity of the wireless network interface device from the circuits 604 to the circuits 603. For example, in the case of WLAN, the device 600 is a WLAN interface device and the circuits 604 may be standard. dard WLAN circuits. the identity may be, for example, a MAC address with which the WLAN circuits 604 are configured, and this is communicated to the wireless intrusion detection device 603 via the interface 608. However, the identity may also be provided to the processing circuits 604 by other means, e.g. input / output interface 607. It will also be appreciated that circuits 603 and 604, which are described herein as separate, may be implemented as a single circuit arrangement.
De ovan beskrivna kretsarna kan implementeras iform av elektroniska komponenter, integrerade kretsar (IC, integrated circuits), applikationsspecifi- ka integrerade kretsar (ASIC, application-specific integrated circuits), elekt- riskt programmerbara grindmatriser (FPGA, field programmable gate arrays) och/eller komplexa programmerbara logikenheter (CPLD, complex program- mable logic devices) eller varje slags kombination av dessa. Det inses också att varje slags kretsar kan, åtminstone delvis, ersättas av bearbetningsorgan, tex en processor som exekverar lämplig mjukvara.The circuits described above can be implemented in the form of electronic components, integrated circuits (ICs), application-specific integrated circuits (ASICs, application-specific integrated circuits), electrically programmable gate arrays (FPGAs) and / or programmable gate arrays. or complex programmable logic devices (CPLDs) or any combination of these. It will also be appreciated that any kind of circuitry may, at least in part, be replaced by processing means, such as a processor executing suitable software.
Fackmannen inser att föreliggande uppfinning på inget sätt är begrän- sad till de ovan beskrivna utföringsformerna. Tvärtom är många förändringar och variationer möjliga inom de bifogade kravens skyddsomfång. Exempelvis kan stegen i de ovan beskrivna förfarandena utföras i en annan ordning än den som beskrivits här. Vidare kan flera datapaket tas emot från det trådlösa nätverket innan signalstyrkevärden och avsändaridentiteter fastställs. Det ln- 14 ses också att förfarandena kan utföras vid andra nätverksenheter än klienter, t ex åtkomstpunkter, routrar, brandväggar eller ett centraliserat intrångsdetek- teringssystem. Delarna i en anordning för detektering av trådlösa intrång, lik- som de därtill hörande uppgifterna, kan ocksà vara distribuerade. Exempelvis kan sensorer eller klienter samla in information och ett centraliserat intrångs- detekteringssystem kan analysera den insamlade informationen. Analysen kan också utföras av distribuerade resurser i nätverket på ett YETI-at-home- liknande sätt, d v s genom utnyttjande av overksamma klienters beräknings- resurser. Exempelvis kan ett centraliserat intrångsdetekteringssystem begära att klienter övervakar vissa kanaler under vissa tidsintervall. En klient kan också vara inställd att övervaka nätverket och utföra förfarandet under overk- samma perioder, d v s när klientens WLAN-gränssnittsanordning inte kom- municerar med WLAN:et. Vidare kan en anordning för detektering av trådlösa intrång, eller en databehandlingsapparat som utför uppgifter inom detektering av trådlösa intrång, övervaka endast en kanal eller flera kanaler, antingen genom att innefatta flera mottagare eller genom att växla mellan kanaler.Those skilled in the art will appreciate that the present invention is in no way limited to the embodiments described above. On the contrary, many changes and variations are possible within the scope of the appended claims. For example, the steps of the methods described above may be performed in a different order from that described herein. Furthermore, several data packets can be received from the wireless network before signal strength values and sender identities are determined. It is also understood that the methods can be performed at network devices other than clients, such as access points, routers, firewalls or a centralized intrusion detection system. The components of a wireless intrusion detection device, as well as the associated data, may also be distributed. For example, sensors or clients can collect information and a centralized intrusion detection system can analyze the collected information. The analysis can also be performed by distributed resources in the network in a YETI-at-home-like way, ie by utilizing inactive clients' computing resources. For example, a centralized intrusion detection system may require clients to monitor certain channels during certain time intervals. A client may also be set to monitor the network and perform the procedure for inconvenient periods, i.e. when the client's WLAN interface device does not communicate with the WLAN. Furthermore, a wireless intrusion detection device, or a data processing apparatus performing tasks in detecting wireless intrusion, can monitor only one channel or multiple channels, either by including fl your receivers or by switching between channels.
Claims (14)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE0900687A SE534349C2 (en) | 2009-05-20 | 2009-05-20 | Wireless intrusion detection |
PCT/EP2010/056886 WO2010133634A1 (en) | 2009-05-20 | 2010-05-19 | Wireless intrusion detection |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE0900687A SE534349C2 (en) | 2009-05-20 | 2009-05-20 | Wireless intrusion detection |
Publications (2)
Publication Number | Publication Date |
---|---|
SE0900687A1 true SE0900687A1 (en) | 2010-11-21 |
SE534349C2 SE534349C2 (en) | 2011-07-19 |
Family
ID=42357629
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
SE0900687A SE534349C2 (en) | 2009-05-20 | 2009-05-20 | Wireless intrusion detection |
Country Status (2)
Country | Link |
---|---|
SE (1) | SE534349C2 (en) |
WO (1) | WO2010133634A1 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10019703B2 (en) | 2014-05-13 | 2018-07-10 | Google Llc | Verifying a secure connection between a network beacon and a user computing device |
US9485243B2 (en) | 2014-05-23 | 2016-11-01 | Google Inc. | Securing a wireless mesh network via a chain of trust |
CN105636048B (en) * | 2014-11-04 | 2021-02-09 | 中兴通讯股份有限公司 | Terminal and method and device for identifying pseudo base station |
JP2022133692A (en) * | 2021-03-02 | 2022-09-14 | パナソニックIpマネジメント株式会社 | Radio network system and radio device |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060193299A1 (en) * | 2005-02-25 | 2006-08-31 | Cicso Technology, Inc., A California Corporation | Location-based enhancements for wireless intrusion detection |
-
2009
- 2009-05-20 SE SE0900687A patent/SE534349C2/en not_active IP Right Cessation
-
2010
- 2010-05-19 WO PCT/EP2010/056886 patent/WO2010133634A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
SE534349C2 (en) | 2011-07-19 |
WO2010133634A1 (en) | 2010-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9870470B2 (en) | Method and apparatus for detecting a multi-stage event | |
US11310190B2 (en) | Network anti-tampering system | |
US9350758B1 (en) | Distributed denial of service (DDoS) honeypots | |
CN107968791B (en) | Attack message detection method and device | |
EP2769570B1 (en) | Mobile risk assessment | |
CN106330944B (en) | Malicious system vulnerability scanner identification method and device | |
CN107197456B (en) | Detection method and detection device for identifying pseudo AP (access point) based on client | |
WO2014155051A1 (en) | Method and apparatus for detecting a multi-stage event | |
US20200396201A1 (en) | C&c domain name analysis-based botnet detection method, device, apparatus and mediumc&c domain name analysis-based botnet detection method, device, apparatus and medium | |
US20190174452A1 (en) | Detection of mobile transmitters in an office environment | |
CN106537872B (en) | Method for detecting attacks in a computer network | |
WO2019236390A1 (en) | Anomalous access point detection | |
Kim et al. | Online detection of fake access points using received signal strengths | |
CN101635658B (en) | Method and system for detecting abnormality of network secret stealing behavior | |
EP2854362B1 (en) | Software network behavior analysis and identification system | |
CN104270366B (en) | method and device for detecting karma attack | |
RU2008139908A (en) | METHOD AND DEVICE FOR DETECTING ATTEMPTS TO INTROUGHT TO THE COMMUNICATION CHANNEL BETWEEN THE AIRCRAFT AND THE TERRESTRIAL STATION | |
CN110061998B (en) | Attack defense method and device | |
CN110768999A (en) | Method and device for detecting illegal external connection of equipment | |
US20090088132A1 (en) | Detecting unauthorized wireless access points | |
EP1542406B1 (en) | Mechanism for detection of attacks based on impersonation in a wireless network | |
SE0900687A1 (en) | Wireless intrusion detection | |
CN109936848A (en) | A kind of detection method, device and the computer readable storage medium of puppet access point | |
CN114051247A (en) | Method and equipment for detecting security of wireless network | |
US20120163212A1 (en) | Apparatus and method for detecting abnormal traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
NUG | Patent has lapsed |