SE534349C2 - Detektering av trådlösa intrång - Google Patents

Detektering av trådlösa intrång Download PDF

Info

Publication number
SE534349C2
SE534349C2 SE0900687A SE0900687A SE534349C2 SE 534349 C2 SE534349 C2 SE 534349C2 SE 0900687 A SE0900687 A SE 0900687A SE 0900687 A SE0900687 A SE 0900687A SE 534349 C2 SE534349 C2 SE 534349C2
Authority
SE
Sweden
Prior art keywords
signal strength
identity
attack
sender
deciding
Prior art date
Application number
SE0900687A
Other languages
English (en)
Other versions
SE0900687A1 (sv
Inventor
Andre Rickardsson
Original Assignee
Bitsec Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bitsec Ab filed Critical Bitsec Ab
Priority to SE0900687A priority Critical patent/SE534349C2/sv
Priority to PCT/EP2010/056886 priority patent/WO2010133634A1/en
Publication of SE0900687A1 publication Critical patent/SE0900687A1/sv
Publication of SE534349C2 publication Critical patent/SE534349C2/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • H04W12/64Location-dependent; Proximity-dependent using geofenced areas
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Description

« 534 349 2 vilka har samma källidentitet men härrör från skilda segment av nätverket. I fallet med trådlösa nätverk är det minsta nätverkssegmentet det område som täcks av en åtkomstpunkt, d v s alla klienter som är anslutna till samma åt- komstpunkt tillhör samma nätverkssegment. En nackdel med förfarandet som visas i US 6 745 333 är således att en bluffattack inte kan detekteras om både skurkanordningen och den imiterade anordningen kommunicerar med nätverket via samma åtkomstpunkt.
Sammanfattning av uppfinningen Ett syfte med föreliggande uppfinning är att övervinna dessa problem och att anvisa en förbättrad detektering av trådlösa intrång.
Detta uppnås genom ett förfarande för detektering av en bluffattack enligt det självständiga kravet 1, genom en anordning för detektering av tråd- lösa intrång enligt det självständiga kravet 7 samt genom en datorprogram- produkt enligt det självständiga kravet 14. Utföringsforrner av uppfinningen är angivna i de osjälvständiga kraven.
Således anvisas, enligt en första aspekt av föreliggande uppfinning, ett förfarande för detektering av en bluffattack i ett trådlöst nätverk. Förfarandet innefattar stegen att ta emot ett datapaket från det trådlösa nätverket, att fast- ställa en signalstyrka för det mottagna datapaketet, att fastställa en identitet hos avsändaren av det mottagna datapaketet, samt att besluta huruvida en bluffattack inletts. Beslutet om huruvida en bluffattack inletts grundas på sig- nalstyrkan, d v s den signalstyrka med vilken datapaketet mottogs, och av- sändarens identitet, d v s det mottagna datapaketets avsändares identitet.
Enligt en andra aspekt av föreliggande uppfinning anvisas en anord- ning för detektering av trådlösa intrång. Anordningen för detektering av tråd- lösa intrång innefattar en mottagare och bearbetningskretsar. Mottagaren tar emot datapaket från det trådlösa nätverket. Bearbetningskretsarna är anord- nade att fastställa en signalstyrka för det datapaket som mottas från det tråd- lösa nätverket, att fastställa en avsändaridentitet för datapaketet, och att be- sluta huruvida en bluffattack inletts. Beslutet om huruvida en bluffattack inletts grundas på signalstyrkan och avsändarens identitet. 534 349 3 Enligt en tredje aspekt av föreliggande uppfinning anvisas en datorpro- gramprodukt. Datorprogramprodukten innefattar ett medium för användning med en dator, i vilket en datorläsbar programkod är utförd. Den datorläsbara programkoden är anordnad att exekveras för implementering av förfarandet enligt den första aspekten av föreliggande uppfinning.
Såvitt gäller beskrivningen av föreliggande uppfinning är en databe- handlingsapparat t ex en dator, ett datortillbehör, en nätverksskrivare, en mo- biltelefon eller en handdator (PDA) och innefattar i allmänhet en för ändamå- let avsedd trådlös nätverksgränssnittsanordning för kommunikation via ett trådlöst nätverk eller, allmännare, en trådlös anslutning. Den trådlösa kom- munikationen kan verkställas med hjälp av varje slags radiobaserad trådlös nätverksteknologi, t ex WLAN, Bluetooth, GSM, GPRS, UMTS, LTE och Wi- MAX. I syfte att kunna identifiera en viss databehandlingsapparat som källa eller destination i en dataöverföring tilldelas varje databehandlingsapparat som deltar i trådlös kommunikation en identitet. ldentiteterna kan tex vara en MAC- eller IP-adress (medium access control address resp lntemet protocol address).
Föreliggande uppfinning bygger på insikten att bluffattacker, d v s at- tacker baserade på förklädnad, i ett trådlöst nätverk kan detekteras genom att analysera signalstyrkan och avsändaridentiteten för datapaket som mottagits via det trådlösa nätverket. Det är fördelaktigt att grunda beslutet om huruvida en bluffattack försiggår på signalstyrkevärden så tillvida att det är relativt en- kelt och tämligen verkningsfullt. Uppfinningens allmänna idé grundar sig på insikten att sådana datapaket, som tas emot via det trådlösa nätverket av en anordning för detektering av trådlösa intrång - eller av en databehandlings- apparat som utför uppgifter inom detektering av trådlösa intrång - och som härrör från två skilda databehandlingsapparater som använder samma identi- tet, typiskt sett kommer att tas emot med åtskiljbara signalstyrkevärden.
För detta ändamål övervakas nätverkstrafiken och datapaket tas emot via det trådlösa nätverket. För varje mottaget datapaket fastställs signalstyr- kan och avsändaridentiteten. Det beslutas därefter, på grundval av signalstyr- kan och avsändaridentiteten, huruvida en bluffattack försiggår. 534 349 4 Föreliggande uppfinning har den fördelen att bluffattacker utförda av en skurkanordning som kommunicerar med samma åtkomstpunkt som den imite- rade anordningen, och som således tillhör samma nätverkssegment, kan de- tekteras. Det är även fördelaktigt att endast grunda beslutet om huruvida imi- tation förekommer på identiteter och signalstyrkor av den anledningen att så- dan information är enkel att erhålla. Vidare krävs mindre bearbetningsinsatser jämfört med intrângsdetekteringssystem enligt känd teknik, vilka analyserar hela datapaket.
Enligt en utföringsform av föreliggande uppfinning är en anordning för detektering av trådlösa intrång placerad vid en värddator med förmåga att kommunicera över det trådlösa nätverket. Bearbetningskretsarna är även an- ordnade att jämföra avsändaridentiteten med en värddatoridentitet, att jämfö- ra signalstyrkan med en förutbestämd signalstyrka och att fatta beslut att av- sändaren är den anordning som inleder attacken, d v s en skurkanordning, om avsändaridentiteten är densamma som värddatoridentiteten och signal- styrkan är mindre än en förutbestämd signalstyrka.
Detta är fördelaktigt eftersom värddatorn kan övervaka den trådlösa nätverkstrafiken och detektera bluffattacker som utnyttjar dess egen identitet, d v s attacker under vilka värddatorn imiteras. Med andra ord kan en databe- handlingsapparat utrustad med ett en anordning för detektering av trådlösa nätverk detektera bluffattacker inom det trådlösa nätverksgränssnittets hela täckningsområde. Detta är fördelaktigt om inget centraliserat system för de- tektering av trådlösa intrång finns, såsom i ett publikt WLAN med låg säker- hetsgrad. Det inses vidare att täckningsområdet hos ett centraliserat system för detektering av trådlösa intrång kan utökas genom att utnyttja klienter ut- rustade med en anordning för detektering av trådlösa intrång. Dessa klienter är belägna vid randen av täckningsområdet hos det trådlösa nätverket som skyddas av systemet för detektering av trådlösa intrång.
Enligt en utföringsform av uppfinningen används en förutbestämd sig- nalstyrka för beslutet om huruvida en bluffattack inletts. Denna förutbestämda signalstyrka är väsentligen lika med signalstyrkan för paket som sänds av värddatorn själv. Signalstyrkan för sådana datapaket är ett mått på den max- imala signalstyrkan som kan förväntas med tanke på närheten mellan avsän- 534 349 daren, d v s värdens trådlösa nätverksgränssnitt, och mottagningsenheten.
Den förutbestämda signalstyrkan sätts i allmänhet till ett lägre värde än max- imivärdet för att undvika falska larm.
Enligt en annan utföringsform av föreliggande uppfinning innefattar föreliggande anordning för detektering av trådlösa intrång vidare kretsar an- ordnade att lagra signalstyrkeinformation. Bearbetningskretsarna är vidare anordnade att lagra avsändaridentiteten och signalstyrkan, att hämta lagrad signalstyrkeinformation från en avsändare med samma identitet som avsän- daridentiteten, att analysera signalstyrkeinformationen, och att besluta huru- vida en bluffattack inletts. Beslutet om huruvida en bluffattack inletts grundas även på signalstyrkeinformationen.
Denna utföringsform är fördelaktig i så måtto att attacker vid vilka iden- titeten hos andra anordningar än vârdanordningen imiteras kan detekteras.
Anordningen som utför detektering av trådlösa intrång måste inte nödvändigt- vis vara en databehandlingsapparat med förmåga att kommunicera, d v s att sända och ta emot data, via det trådlösa nätverket. Exempelvis kan anord- ningen vara en för ändamålet avsedd anordning för detektering av trådlösa intrång som endast är anordnad att övervaka trådlös nätverkstrafik. Anord- ningen kan emellertid också vara en databehandlingsapparat utrustad med en trådlös nåtverksgränssnittsanordning som kan utnyttjas för detektering av trådlösa intrång när den är overksam eller en databehandlingsapparat med en anordning för detektering av trådlösa intrång installerad.
För detta ändamål övervakas den trådlösa nätverkstrafiken och en sig- nalinformationsdatabas innehållande signalstyrkevärden och tillhörande av- sändaridentiteter upprätthålls. För varje mottaget datapaket hämtas tidigare mottagna signalstyrkevärden från databasen vilka hänför sig till samma identi- tet som identiteten hos avsändaren av det mottagna datapaketet. Variationen över tid hos dessa värden analyseras i syfte att besluta huruvida en bluffat- tack föreligger. Exempelvis kan en plötslig variation i en annars väsentligen konstant signalstyrka vara en indikation på en bluffattack.
Det inses vidare att signalstyrkeinformationen kan analyseras vid andra tillfällen än då ett datapaket tas emot från det trådlösa nätverket. Ex- empelvis kan en sådan analys initieras av en extern utlösare, tex av en an- 534 349 6 vändare eller av en enhet i det trådlösa nätverket, såsom ett centraliserat in- trångsdetekteringssystem. Vidare kan analysen även utföras periodiskt eller slumpmässigt. Som ett alternativ till att den samlade signalstyrkeinforrnatio- nen analyseras kan endast delar av informationen analyseras. Speciellt kan signalstyrkeinforrnation som avser det senast mottagna datapaketet från nät- verket uteslutas.
Om ingen avsändaridentitet etableras för det senaste datapaketet, ex- empelvis om analysen påbörjas oberoende av mottagningen av ett datapaket från det trådlösa nätverket, då kan signalstyrkevärden avseende en godtyck- lig identitet beaktas. Detta är fördelaktigt i det avseendet att stegen att analy- sera signalstyrkeinforrnation samt att besluta om huruvida en bluffattack in- letts kan utföras separat i förhållande till stegen att ta emot ett datapaket från det trådlösa nätverket samt att fastställa en signalstyrka och en avsändar- identitet. Till exempel kan detta vara fallet i ett intrångsdetekteringssystem som innefattar sensorer för mottagning av datapaket och i vilket analysen ut- förs av andra enheter. l enlighet med en annan utföringsform av föreliggande uppfinning är bearbetningskretsarna vidare anordnade att beräkna en variation i signalstyr- keinforrnationen, att jämföra variationen med en förutbestämd variation och att besluta om att en bluffattack anses ha inletts om den beräknade variatio- nen är större än den förutbestämda variationen.
Enligt ännu en utföringsform av föreliggande uppfinning är bearbet- ningskretsarna vidare anordnade att sammanställa en fördelning av signal- styrkevärden ur signalstyrkeinfonnationen, att utvärdera nämnda fördelnings modalitet, samt att besluta att en bluffattack anses ha inletts om fördelningen är multimodal. Även om fördelar med föreliggande uppfinning i vissa fall har beskrivits med hänvisning till utföringsformer av anordningen för detektering av trådlösa intrång enligt den andra aspekten av uppfinningen, gäller motsvarande reso- nemang för utföringsformer av förfarandet enligt den första aspekten av upp- finningen. Exempelvis kan en dator utrustad med en trådlös nätverksgräns- snittsanordning, eller en åtkomstpunkt i ett WLAN, anordnas att utföra uppgif- ter inom detektering av trådlösa intrång. Det inses även att motsvarande re- 534 349 7 sonemang gäller för utföringsformer av datorprogramprodukten enligt den tredje aspekten av uppfinningen. En sådan datorprogramprodukt kan exem- pelvis nyttjas för att anpassa befintlig hårdvara att utföra uppgifter inom detek- tering av trådlösa intrång. Klienten eller en åtkomstpunkt i ett WLAN kan ex- empelvis vara anordnad att utföra detektering av trådlösa intrång medan den är overksam förutsatt den förses med ett lämpligt datorprogram.
Vidare syften med, särdrag hos och fördelar med föreliggande uppfin- ning kommer att bli uppenbara efter studium av den följande detaljerade be- skrivningen, ritningarna och de bifogade kraven. Fackmannen inser att olika särdrag hos föreliggande uppfinning kan kombineras så att andra utförings- former än de beskrivna skapas.
Kortfattat beskrivning av ritningarna Ovanstående särdrag hos och fördelar med föreliggande uppfinning kommer att förstås bättre genom den följande illustrativa och icke- begränsande detaljerade beskrivningen av utföringsformer av föreliggande uppfinning och dennas hänvisningar till de bifogade ritningarna.
Figur 1 visar en utföringsform av förfarandet för detektering av en bluffattack.
Figur 2 visar en annan utföringsform av förfarandet för detektering av en bluffattack.
Figur 3 visar en hypotetisk variation över tid i signalstyrka och den re- sulterande fördelningen av signalstyrkevärden.
Figur 4 visar en utföringsform av anordningen för detektering av trådlö- sa intrång.
Figur 5 visar en annan utföringsform av anordningen för detektering av trådlösa intrång.
Figur 6 visar en trådlös nätverksgränssnittsanordning som innefattar en anordning för detektering av trådlösa intrång.
Samtliga figurer är schematiska, inte nödvändigtvis skalenliga och vi- sar i allmänhet endast delar som är nödvändiga för att belysa uppfinningen, varvid övriga delar kan vara uteslutna eller endast antydda. 534 349 Detaljerad beskrivning Såvitt gäller beskrivningen av föreliggande uppfinning antas att klien- terna i ett trådlöst nätverk, t ex ett WLAN, har tillgång till nätverket och dess resurser genom en eller flera åtkomstpunkter. l allmänhet begränsas åtkomst till enbart behöriga klienter, och denna åtkomstkontroll baseras åtminstone delvis på identiteten hos de klienter som begär åtkomst till nätverket.
Vid en förklädnadsattack imiterar en skurkklient en behörig klients identitet, tex genom att avskära den behöriga klientens förbindelse med en åtkomstpunkt, och förklär sin egen identitet med den imiterade identiteten.
Skurkklienten får därvid tillgång till nätverket genom en åtkomstpunkt med hjälp av den behöriga klientens imiterade identitet.
Med hänvisning till figur 1 beskrivs ett förfarande 100 för detektering av en bluffattack. l syfte att exemplifiera föreliggande uppfinning antas att förfa- randet 100 utförs av en behörig klient i WLAN:et, d v s klienten kan legitimt ansluta till någon av WLAN:ets åtkomstpunkter och kan använda WLAN:ets resurser.
Förfarandet 100 börjar i steg 101, antingen periodiskt eller genom en extern utlösare, såsom en användarbegäran, en systemadministratör eller annan enhet i nätverket, tex ett centraliserat intrångsdetekteringssystem som utnyttjar klienter anslutna till nätverket för intrångsdetekteringsändamål. ln- ledningsvis, i steg 110, tas ett datapaket emot från det trådlösa nätverket. I nästa steg 120 fastställs en signalstyrka med vilken datapaketet togs emot.
Signalstyrkan kan vanligen erhållas från mottagaren men kan också mätas upp av varje slags annat, i sig känt medel. För den föreliggande uppfinning- ens vidkommande kan signalstyrkan vara ett relativt tal. I fallet med WLAN kan den mottagna signalstyrkeindikeringen (RSSI, received signal strength indication) utnyttjas. Datapaketet analyseras därefter, i steg 130, i syfte att fastställa identiteten hos den anordning från vilken datapaketet härrör. Vilken identitetstyp som används, liksom sättet på vilket identiteten erhålls från da- tapaketet, beror av den nätverksteknologi som används och av huruvida nät- verkstrafiken är krypterad eller inte. l fallet med WLAN innehåller datapake- tets källfält den sändande anordningens MAC-adress. Emellertid kan även andra identifierare användas, bland annat IP-adressen. Därefter, i steg 140, 534 349 9 fattas ett beslut om huruvida en bluffattack inletts. Om en bluffattack anses äga rum, avslutas förfarandet i steg 102 och det vidtas, om så önskas, åtgär- der som är i sig kända. Exempelvis kan det utfärdas en varning riktad till kli- entens användare eller till en administratör för det trådlösa nätverket; likaså kan attacken loggas. Den klient som detekterar attacken, eller nätverkets centraliserade systemet för trådlösa intrång, kan också sätta igång motåtgär- der, t ex att avbryta trafik till delar av nätverket.
Om ingen attack anses ha inletts, fortsätter förfarandet i steg 110 med att ta emot ett ytterligare datapaket från nätverket. Emellertid kan förfarandet också avslutas här och börja om efter ett visst tidsintervall eller när det initie- ras av en extern utlösare, tex av en användare eller an annan enhet i nätver- ket, såsom ett centraliserat intrångsdetekteringssystem_ Allmänt sett kan för- farandet utföras periodiskt, slumpmässigt eller på begäran.
Med hänvisning till figur 1 visas en utföringsform av förfarandet 100, i synnerhet steget 140. Beslutet om huruvida en bluffattack anses ha inletts börjar med steget 141 attjämföra avsändaridentiteten, d v s identiteten hos avsändaren av det datapaket som togs emot från det trådlösa nätverket, med identiteten hos den databehandlingsapparat som utför förfarandet, benämnd värd. Sedan jämförs, i steg 142, signalstyrkan, d v s den signalstyrka med vilken datapaketet togs emot, med en förutbestämd signalstyrka. Slutligen tas, i steg 143, beslutet om att en bluffattack anses föreligga om avsändar- identiteten är densamma som värdidentiteten och signalstyrkan är mindre än den förutbestämda signalstyrkan, i vilket fall förfarandet avslutas i steg 102. I annat fall anses en bluffattack inte föreligga och förfarandet fortsätter i steg 1 10.
Det med hänvisning till figur 1 beskrivna förfarandet kan användas för detektering av attacker som imiterar klienten själv, d v s värddatabehandlings- apparaten som utför förfarandet. Om klienten tar emot ett datapaket via det trådlösa nätverket vilket utger sig för att komma från klienten själv, d v s som har samma avsändaridentitet som värdidentiteten, och om datapaketet tas emot med en signalstyrka som är lägre än den förutbestämda signalstyrkan, då anses en bluffattack ha inletts och datapaketets avsändare anses vara en skurkanordning som imiterar klienten. Den förutbestämda signalstyrkan är 534 349 väsentligen densamma som den signalstyrka med vilken klienten skulle ta emot sina egna datapaket. Exempelvis kan en databehandlingsapparat, som är en behörig klient i ett trådlöst nätverk och som är försedd med en trådlös nätverksgränssnittsanordning och en anordning för detektering av trådlösa intrång, övervaka nätverkstrafiken i sin närhet. Speciellt kan anordningen för detektering av trådlösa nätverk ta emot datapaket som skickats av dess egen trådlösa nätverksgränssnittsanordning. Signalstyrkan hos datapaket som här- rör från klienten utgör den största möjliga signalstyrkan med tanke på närhe- ten mellan avsändare och mottagare. Datapaket som härrör från andra an- ordningar tas typiskt sett emot med en lägre signalstyrka. l syfte att undvika falska larm, sätts den förutbestämda signalstyrkan till ett något lägre värde.
Den förutbestämda signalstyrkan anges vanligen av en nätverksadministratör eller med hjälp av ett centraliserat intrångsdetekteringssystem som skickar övervakningsbegäran till klienterna.
Med hänvisning till figur 2 beskrivs en alternativ utföringsform av förfa- randet för detektering av en bluffattack. Förfarandet 200 liknar det med hän- visning till figur 1 beskrivna förfarandet 100 såtillvida att det innefattar stegen att motta 210 ett datapaket via det trådlösa nätverket, att fastställa 220 en signalstyrka med vilken datapaketet togs emot, att fastställa 230 en identitet hos datapaketets avsändare, och att besluta 240 om huruvida en intrångsat- tack föreligger. Utöver detta innefattar förfarandet 200 steget att lagra 235 signalstyrkan och den motsvarande avsändaridentiteten för användning vid efterföljande analys av variationen över tid i signalstyrka. Vidare skiljer sig steget att besluta 240 om huruvida en bluffattack äger rum från det med hän- visning till figur 1 beskrivna steget 140. Med hänvisning till figur 2 innefattar steget 240 stegen att läsa 241 signalstyrkeinformation, d v s signalstyrkevär- den för datapaket som förment härrör från samma avsändare, tex från en avsändare med samma identitet som avsändaridentiteten. Den hämtade sig- nalstyrkeinformationen används därefter, i steg 240, till att besluta om huruvi- da en bluffattack inletts. Detta åstadkommes genom att analysera signalstyr- kehistoriken, d v s följden av signalstyrkevärden härrörande från en avsända- re med samma identitet. Exempelvis kan en i övrigt väsentligen konstant sig- nalstyrka som plötsligt ändrar värde tolkas som misstänkt och tillskrivas en 534 349 11 skurkanordning på ett annat läge än den imiterade anordningen, d v s identi- tetens legitima innehavare, varvid det olika läget ger upphov till en signalstyr- ka vid mottagaren som är olik den imiterade anordningens.
Den hämtade signalstyrkehistoriken kan t ex analyseras genom att be- räkna 242 en variation av signalstyrkorna och genom att jämföra 243 den be- räknade variationen med en förutbestämd variation. Den förutbestämda varia- tionen anges vanligen av en användare av klienten eller av en administratör för det trådlösa nätverket eller ett centraliserat intrångsdetekteringssystem.
Antalet signalstyrkevärden under vilka sådana värden beaktas kan också stäl- las in. l en alternativ utföringsform kan den aktuella signalstyrkan och den hämtade signalstyrkehistoriken även sammanställas till en fördelning av sig- nalstyrkevärden, såsom visas i figur 3. I det vänstra diagrammet i figur 3 visas en hypotetisk variation i den mottagna signalstyrkan s över tid t. Signalstyrke- värdena sammanställs sedan till en fördelning f(s), d v s frekvensen fav sig- nalstyrkevärden s under ett visst tidsintervall At. Den resulterande fördelning- en av signalstyrkevärden analyseras sedan i syfte att besluta om huruvida en bluffattack äger rum. Om fördelningen är multimodal, d v s innefattar mer än ett lokalt maximum, då anses en bluffattack ha inletts. Fördelningen som vi- sas i figur 3 är bimodal, eftersom den innefattar två lokala maxima, till följd av att två skilda avsändare utnyttjar samma identitet. Om fler än två klienter kommunicerar med en åtkomstpunkt med hjälp av samma identitet, tex om en behörig klient imiteras av fler än en skurkanordning, kan den resulterande fördelningen innefatta fler än två lokala maxima.
Med hänvisning till figur 4 beskrivs nu en anordning 400 för detektering av trådlösa intrång som är avsedd att detektera bluffattacker i ett trådlöst nät- verk. Anordningen 400 innefattar en mottagare 401, en antenn 402 samt be- arbetningskretsar 403. Antennen 402 kan vara inbyggd men kan också vara anslutbar till mottagaren 401 via en kontakt. Bearbetningskretsarna 403 är anordnade att utföra stegen i det med hänvisning till figur 1 beskrivna förfa- randet 100. Vanligen innefattar bearbetningskretsama även ett inmatnings- /utmatningsgränssnitt 405 för kommunikation mellan intrângsdetekteringsan- ordningen och värd-databehandlingsapparaten. inmatnings- 534 349 12 lutmatningsgränssnittet 405 kan t ex vara PCI, PCMCIA, USB eller FireWire.
Anordningen för detektering av trådlösa intrång kan dock även samverka med databehandlingsapparaten, ett centraliserat intrångsdetekteringssystem eller en användare via varje slags annat medel, såsom en trådlös anslutning eller en visuell eller hörbar indikator.
Med hänvisning till figur 5 beskrivs en alternativ utföringsform av an- ordningen för detektering av trådlösa intrång. Anordningen 500 för detektering av trådlösa intrång liknar den med hänvisning till figur 4 beskrivna anordning- en 400 och innefattar en mottagare 501, en antenn 502, bearbetningskretsar 503 och ett inmatnings-/utmatningsgränssnitt 505. Vidare innefattar anord- ningen 500 kretsar 504 anordnade att lagra signalstyrkeinformation, d v s sig- nalstyrkor och motsvarande avsändaridentiteter, analogt med det med hän- visning till figur 2 beskrivna steget 235. Lagringskretsarna 504 kan tex vara ett RAM-minne (random access memory), en hàrddiskenhet eller varje slags annat minne med förmåga att lagra information. Den lagrade signalstyrkein- formationen innefattar en databas över avsändaridentiteter och mottagna sig- nalstyrkor. Bearbetningskretsarna 503 är anordnade att utföra stegen i förfa- randet 200, vilket beskrivits med hänvisning till figur 2. Speciellt innebär ste- get 241 att läsa lagrad signalstyrkeinformation att ur databasen hämta lagra- de signalstyrkor avseende datapaket som härrör från samma avsändare, t ex signalstyrkor för avsändaren av det datapaket som tagits emot från det tråd- lösa nätverket.
Med hänvisning till figur 6 beskrivs en utföringsform av en trådlös nåt- verksgränssnittsanordning 600. Den trådlösa nätverksgränssnittsanordningen 600 innefattar en anordning för detektering av trådlösa intrång enligt en utfö- ringsform av den andra aspekten av föreliggande uppfinning, varvid anord- ningen för detektering av trådlösa intrång innefattar en mottagare 601, en an- tenn 602 och bearbetningskretsar 603, liksom kretsar 604 för genomförande av den trådlösa kommunikationen. Även om den trådlösa nätverksgräns- snittsanordningen 600, såsom den beskrivs här, innefattar en mottagare 601 och en antenn 602 som delas mellan kretsarna 603 och 604, kan den också innefatta separata mottagare och/eller antenner för anordningen för detekte- ring av trådlösa intrång respektive för kretsarna som genomför den trådlösa 534 349 13 kommunikationen. Den trådlösa nätverksgrånssnittsanordningen 600 kan vi- dare innefatta inmatnlngs-/utmatningsgränssnitt 606 och 607 för kommunika- tion med databehandlingsenheten som är värd till den trådlösa nätverks- gränssnittsanordningen 600. Som ett alternativ kan anordningen 600 innefatta ett gemensamt inmatnings-/utmatningsgränssnitt för båda kretsar 603 och 604. Utföringsformen som visas i figur 6 innefattar vidare ett gränssnitt 608 för meddelande av den trådlösa nätverksgränssnittsanordningens identitet från kretsama 604 till kretsarna 603. Exempelvis är, i fallet med WLAN, anord- ningen 600 en WLAN-gränssnittsanordning och kretsarna 604 kan vara stan- dard-WLAN-kretsar. identiteten kan exempelvis vara en MAC-adress som WLAN-kretsarna 604 är konfigurerade med, och denna meddelas till anord- ningen 603 för detektering av trådlösa intrång via gränssnittet 608. identiteten kan emellertid också tillhandahållas bearbetningskretsarna 604 med hjälp av andra medel, t ex via inmatnings-/utmatningsgränssnittet 607. Det inses även att kretsarna 603 och 604, vilka här beskrivits som separata, kan implemente- ras som ett enda kretsarrangemang.
De ovan beskrivna kretsarna kan implementeras i form av elektroniska komponenter, integrerade kretsar (IC, integrated circuits), applikationsspecifi- ka integrerade kretsar (ASIC, application-specific integrated circuits), elekt- riskt programmerbara grindmatriser (FPGA, field programmable gate arrays) och/eller komplexa programmerbara logikenheter (CPLD, complex program- mable logic devices) eller varje slags kombination av dessa. Det inses också att varje slags kretsar kan, åtminstone delvis, ersättas av bearbetningsorgan, tex en processor som exekverar lämplig mjukvara.
Fackmannen inser att föreliggande uppfinning på inget sätt är begrän- sad till de ovan beskrivna utföringsformerna. Tvärtom är många förändringar och variationer möjliga inom de bifogade kravens skyddsomfàng. Exempelvis kan stegen ide ovan beskrivna förfarandena utföras i en annan ordning än den som beskrivits här. Vidare kan flera datapaket tas emot från det trådlösa nätverket innan signalstyrkevärden och avsändaridentiteter fastställs. Det in- ses också att förfarandena kan utföras vid andra nätverksenheter än klienter, t ex åtkomstpunkter, routrar, brandväggar eller ett centraliserat intrångsdetek- teringssystem. Delarna i en anordning för detektering av trådlösa intrång, lik- 534 349 14 som de därtill hörande uppgifterna, kan också vara distribuerade. Exempelvis kan sensorer eller klienter samla in information och ett centraliserat intrångs- detekteringssystem kan analysera den insamlade informationen. Analysen kan också utföras av distribuerade resurser i nätverket på ett YETl-at-home- liknande sätt, d v s genom utnyttjande av overksamma klienters beräknings- resurser. Exempelvis kan ett centraliserat intrångsdetekteringssystem begära att klienter övervakar vissa kanaler under vissa tidsintervall. En klient kan också vara inställd att övervaka nätverket och utföra förfarandet under overk- samma perioder, d v s när klientens WLAN-grànssnittsanordning inte kom- municerar med WLAN:et. Vidare kan en anordning för detektering av trådlösa intrång, eller en databehandlingsapparat som utför uppgifter inom detektering av trådlösa intrång, övervaka endast en kanal eller flera kanaler, antingen genom att innefatta flera mottagare eller genom att växla mellan kanaler.

Claims (14)

10 15 20 25 30 534 349 1 5 PATENTKRAV
1. Förfarande (100, 200) för detektering av bluffattacker i ett trådlöst nät- verk, nämnda förfarande innefattande stegen: att vid en enda anordning ta emot (110, 210) ett datapaket från det trådlösa nätverket; att fastställa (120, 220) en signalstyrka för nämnda datapaket; att fastställa (130, 230) en identitet hos en avsändare av nämnda da- tapaket; och att på grundval av nämnda signalstyrka och nämnda avsändaridentitet besluta (140, 240) om huruvida en bluffattack inletts.
2. Förfarande enligt krav 1, varvid nämnda anordning är en värddatabe- handlingsapparat med förmåga att kommunicera via det trådlösa nätverket, varvid steget att besluta (140) huruvida en bluffattack påbörjas innefattar ste- gen: att jämföra (141) nämnda sändaridentitet med en identitet hos en värd- databehandlingsapparat; att jämföra (142) nämnda signalstyrka med en förutbestämd signalstyr- ka; och att besluta (143) om att nämnda avsändare är anordningen som inle- der attacken om nämnda avsändare är lika med nämnda identitet hos värdda- tabehandlingsapparaten och nämnda signalstyrka är mindre än nämnda för- utbestämda signalstyrka.
3. Förfarande enligt krav 2, varvid nämnda förutbestämda signalstyrka är väsentligen lika med signalstyrkan för paket som sänts av nämnda värddata- behandlingsenhet.
4. Förfarande enligt krav 1, vidare innefattande steget att lagra (235) nämnda avsändaridentitet och nämnda signalstyrka, varvid steget att besluta (240) om huruvida en bluffattack inletts innefattar stegen: 10 15 20 25 30 534 349 16 att läsa (241) nämnda signalstyrkeinformation för paket som härrör från en avsändare med samma identitet som nämnda avsändaridentitet; och att analysera nämnda signalstyrkeinformation, och varvid, i steget att besluta (240) om huruvida en bluffattack inletts, även nämnda signalstyrkeinformation beaktas.
5. Förfarande enligt krav 4, varvid steget att analysera nämnda signal- styrkeinformation innefattar stegen: att beräkna (242) en variation i nämnda signalstyrkeinforrnation; och att jämföra (243) nämnda beräknade variation med en förutbestämd variation, och varvid steget att besluta (240) om huruvida en bluffattack inletts vidare innefattar steget att besluta (244) om att en bluffattack anses ha inletts om nämnda beräknade variation är större än nämnda förutbestämda varia- tion.
6. Förfarande enligt krav 4, varvid steget att analysera nämnda signal- styrkeinformation innefattar stegen: att sammanställa (242) en fördelning av signalstyrkevärden ur nämnda signalstyrkeinformation; och att utvärdera (243) fördelningens modalitet, och varvid steget att besluta (240) om huruvida en bluffattack inletts vidare innefattar steget att besluta (244) att en bluffattack anses ha inletts om nämnda fördelning är multimodal.
7. Anordning (400, 500) för detektering av trådlösa intrång avsedd att de- tektera bluffattacker i ett trådlöst nätverk, nämnda anordning innefattande: en mottagare (401, 501) för mottagning av ett datapaket från det tråd- lösa nätverket; och bearbetningskretsar (403, 503) anordnade: att fastställa en signalstyrka för nämnda datapaket; att fastställa en avsändaridentitet för nämnda datapaket; och 10 15 20 25 30 534 349 17 att på grundval av nämnda signalstyrka och nämnda avsändaridentitet besluta om huruvida en bluffattack inletts.
8. Anordning (400) för detektering av trådlösa intrång enligt krav 7, an- bringad i en värddatabehandlingsapparat med förmåga att kommunicera via det trådlösa nätverket, varvid nämnda bearbetningskretsar (403) vidare är anordnade: att jämföra nämnda avsändaridentitet med en identitet hos värddata- behandlingsapparaten; att jämföra nämnda signalstyrka med en förutbestämd signalstyrka; och att besluta om att nämnda avsändare är anordningen som inleder at- tacken om nämnda avsändaridentitet är densamma som värddatabehand- lingsapparatens identitet och nämnda signalstyrka är mindre än nämnda för- utbestämda signalstyrka.
9. Anordning (500) för detektering av trådlösa intrång enligt krav 7, vidare innefattande: kretsar (504) anordnade att lagra signalstyrkeinformation, varvid nämnda bearbetningskretsar (503) vidare är anordnade: att lagra nämnda avsändaridentitet och nämnda signalstyrka; att läsa lagrad signalstyrkeinformation som härrör från en avsändare med samma identitet som nämnda avsändaridentitet; att analysera nämnda signalstyrkeinformation; och att besluta, på grundval av nämnda signalstyrkeinformation, om huru- vida en bluffattack inletts.
10. Anordning för detektering av trådlösa intrång enligt krav 9, varvid nämnda bearbetningskretsar (503) är vidare anordnade: att beräkna en variation i nämnda signalstyrkeinformation; att jämföra nämnda variation med en förutbestämd variation; och att besluta om att en bluffattack anses ha inletts om nämnda beräkna- de variation är större än nämnda förutbestämda variation. 10 15 20 534 349 18
11. Anordning för detektering av trådlösa intrång enligt krav 9, varvid nämnda bearbetningskretsar (503) är vidare anordnade: att sammanställa en fördelning av signalstyrkevärden ur nämnda sig- nalstyrkeinformation; att utvärdera fördelningens modalitet; och att besluta om att en bluffattack anses ha inletts om nämnda fördelning är multlmodal.
12. Trådlös nätverksgränssnittsanordning (600) innefattande en anordning för detektering av trådlösa intrång enligt något av kraven 7 till 11.
13. Databehandlingsapparat med förmåga att kommunicera över det tråd- lösa nätverket, vilken innefattar en anordning för detektering av trådlösa in- trång enligt något av kraven 7 till 11.
14. Datorprogramprodukt innefattande ett medium för användning med en dator, i vilket en datorläsbar programkod är utförd, varvid nämnda datorläsba- ra programkod är anordnad att exekveras så att förfarandet enligt något av kraven 1 till 6 utförs.
SE0900687A 2009-05-20 2009-05-20 Detektering av trådlösa intrång SE534349C2 (sv)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SE0900687A SE534349C2 (sv) 2009-05-20 2009-05-20 Detektering av trådlösa intrång
PCT/EP2010/056886 WO2010133634A1 (en) 2009-05-20 2010-05-19 Wireless intrusion detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE0900687A SE534349C2 (sv) 2009-05-20 2009-05-20 Detektering av trådlösa intrång

Publications (2)

Publication Number Publication Date
SE0900687A1 SE0900687A1 (sv) 2010-11-21
SE534349C2 true SE534349C2 (sv) 2011-07-19

Family

ID=42357629

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0900687A SE534349C2 (sv) 2009-05-20 2009-05-20 Detektering av trådlösa intrång

Country Status (2)

Country Link
SE (1) SE534349C2 (sv)
WO (1) WO2010133634A1 (sv)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10019703B2 (en) 2014-05-13 2018-07-10 Google Llc Verifying a secure connection between a network beacon and a user computing device
US9485243B2 (en) 2014-05-23 2016-11-01 Google Inc. Securing a wireless mesh network via a chain of trust
CN105636048B (zh) * 2014-11-04 2021-02-09 中兴通讯股份有限公司 一种终端及其识别伪基站的方法、装置
JP2022133692A (ja) * 2021-03-02 2022-09-14 パナソニックIpマネジメント株式会社 無線ネットワークシステム、及び、無線装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060193299A1 (en) * 2005-02-25 2006-08-31 Cicso Technology, Inc., A California Corporation Location-based enhancements for wireless intrusion detection

Also Published As

Publication number Publication date
WO2010133634A1 (en) 2010-11-25
SE0900687A1 (sv) 2010-11-21

Similar Documents

Publication Publication Date Title
US9870470B2 (en) Method and apparatus for detecting a multi-stage event
CN107968791B (zh) 一种攻击报文的检测方法及装置
US9350758B1 (en) Distributed denial of service (DDoS) honeypots
KR100468232B1 (ko) 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
CN106330944B (zh) 恶意系统漏洞扫描器的识别方法和装置
US20200396201A1 (en) C&c domain name analysis-based botnet detection method, device, apparatus and mediumc&c domain name analysis-based botnet detection method, device, apparatus and medium
US20140283062A1 (en) Apparatus, system and method for suppressing erroneous reporting of attacks on a wireless network
CN107197456B (zh) 一种基于客户端的识别伪ap的检测方法及检测装置
CN110768999B (zh) 一种设备非法外联的检测方法及装置
Kim et al. Online detection of fake access points using received signal strengths
Xie et al. Detecting primary user emulation attacks in cognitive radio networks via physical layer network coding
CN112243507A (zh) 异常接入点检测
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
US9069962B2 (en) Evaluation of a fast and robust worm detection algorithm
US20090088132A1 (en) Detecting unauthorized wireless access points
EP2854362A1 (en) Software network behavior analysis and identification system
CN112887274A (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN108809926A (zh) 入侵检测规则优化方法、装置、电子设备及存储介质
SE534349C2 (sv) Detektering av trådlösa intrång
CN112437062B (zh) 一种icmp隧道的检测方法、装置、存储介质和电子设备
Lu et al. A passive client-based approach to detect evil twin attacks
CN110061998B (zh) 一种攻击防御方法及装置
Lovinger et al. Detection of wireless fake access points
Hussain et al. Using received signal strength indicator to detect node replacement and replication attacks in wireless sensor networks
CN105636052B (zh) 无线传感器网络恶意节点的检测方法、节点装置及系统

Legal Events

Date Code Title Description
NUG Patent has lapsed