分布式無線入侵檢測系統及其檢測方法
2023-07-13 15:00:21
專利名稱:分布式無線入侵檢測系統及其檢測方法
技術領域:
本發明屬於無線數據安全技術領域,具體涉及一種分布式無線入侵檢測系統及其 檢測方法。
背景技術:
隨著社會的進步,科技的發展,通訊技術也在不斷的進步,因為無線技術具有的眾 多優點,使得無線技術也取到的了巨大的發展。但由於無線通訊技術在環境上開放性,使得 無線通訊技術的安全性也成為引人矚目的課題之一。無線信道本身是開放的,這就使得在開放區域中會有非法的無線設備的幹擾或者 訪問,為了防止非法設備的幹擾或者訪問,就需要對當前空間進行警訊和無線入侵檢測。目 前常見的無線入侵檢測方法中,有基於數據包信息的入侵檢測,基於無線載波的入侵檢測。 而當前又存在很多各式各樣的檢測設備,每種設備都採用了不盡相同的檢測策略。如何將 這些方法設備和策略整合,並從一個更高的層面上提出一些解決問題的策略,則是改變這 種現狀的一個契機。
發明內容
本發明目的在於提供一種分布式無線入侵檢測系統,解決了現有技術中無線數據 安全檢測時數據量過大、多種檢測策略難以整合等問題。為了解決現有技術中的這些問題,本發明提供的技術方案是一種分布式無線入侵檢測系統,其特徵在於所述系統至少包括入侵檢測管理伺服器,用於指定無線數據傳輸的合法信道,以及無線數據使用的 合法BSSID和SSID,且能及時更新無線區域網路拓撲圖;無線感應器,通過有線網絡與入侵檢測管理伺服器相連,負責掃描無線感應器周 圍一定範圍內的無線信號,解析無線信號中的無線數據,並將無線數據的幀頭信息上報給 入侵檢測管理伺服器;入侵檢測管理伺服器接收到無線感應器上報的信息後,根據伺服器配置的檢測策 略對無線數據的合法性進行檢測。優選的,無線感應器可以是支持無線掃描無線接入點或專用無線感應器,負責掃 描無線感應器周圍一定範圍內的無線信號,其範圍可以根據無線感應器的掃描靈敏度決 定,並通過有線網絡與管理伺服器相連,用於解析無線傳輸中的無線數據,並將無線數據的 幀頭信息上報給入侵檢測管理伺服器。本發明還提供了一種分布式無線入侵檢測方法,其特徵在於所述方法包括以下步 驟(1)入侵檢測管理伺服器啟動後,進行配置入侵檢測管理伺服器並更新無線局域 網網絡;(2)配置結束後入侵檢測管理伺服器監聽無線感應器上報的無線數據幀頭信息;
3
(3)入侵檢測管理伺服器根據無線數據幀頭信息與已配置的信息進行合法性匹 配;根據合法性匹配的結果入侵檢測管理伺服器作出決策並記錄檢測結果,然後開始下次 循環,繼續監聽無線感應器上報的無線數據幀頭信息。優選的,所述步驟(2)中當入侵檢測管理伺服器未收到無線感應器上報的無線數 據幀頭信息時,入侵檢測管理伺服器繼續監聽無線感應器上報的無線數據幀頭信息。優選的,所述步驟(3)中當入侵檢測管理伺服器收到的無線數據幀頭信息與已配 置的信息不匹配時,入侵檢測管理伺服器繼續循環監聽無線感應器上報的無線數據幀頭信 肩、ο本發明可以用於在具有很大數據流量的複雜無線環境中,通過部署多個無線感應 器,或者通過配置多個已有無線感應器,並配合入侵檢測管理伺服器,來實現對整個環境的 無線系統進行檢測,並對非法的無線入侵及時提出報警或處理。本發明解決的技術問題可以是在具有大量無線設備,有很大無線數據流量的複雜 無線區域網環境中,通過傳統的無線數據包掃描的方法,來進行無線入侵檢測,會帶來很大 的計算量,並可能出現因為設備之間幹擾及設置的不同步,出現誤檢測的情況。本發明的基於無線數據幀頭部識別的分布式無線入侵檢測方法具體可以按照如 下步驟進行(i)網絡環境中部署無線入侵檢測管理伺服器。(ii)配置該伺服器,使該伺服器能及時更新最新的網絡拓撲圖。(iii)配置入侵檢查策略,即指定合法信道,合法BSSID,SSID,使伺服器能根據以 上信息對無線數據包頭部中的信息進行匹配,來做出無線入侵的決策。(iv)在區域網中部署多個無線感應器。(ν)配置無線感應器,使無線感應器可以把掃描到的無線數據解包後,把包頭信息 上報給入侵檢測管理伺服器。(vi)無線入侵檢測管理伺服器,根據感應器上報的無線數據包頭信息,從中取出 SSID,BSSID等信息,然後對比當前的網絡拓撲圖以及網絡中的已經存在的合法設備的信息 進行判斷,以及步驟3中既定的合法信息進行匹配,從根據無線感應器上報無線數據包頭 部信息來確認網絡是不是受到了無線入侵,從而作出決策。其中無線入侵檢測管理伺服器的匹配策略可由用戶來定義,可配置簡單的 匹配規則,如SSID = S0ME-SSID表示無線接入設備為非法設備,或者BSSID != 00:0C:29:E0:2F:61(BSSID不等於固定的MAC地址)表示無線接入設備為非法設備。也可 配置一些比較複雜的組合的策略,如在7信道中,使用SSID = S0ME-SSID,並且MAC地址的 開頭不是00:0C:29的無線接入設備認為非法設備。相對於現有技術中的方案,本發明的優點是本發明技術方案通過只對數據幀包頭的檢測,大大節約了無線入侵檢測本身的數 據計算量,可以通過較少的數據分析判斷,從而有效的對無線入侵作出決策,而分布式無線 入侵檢測,又可通過在一個很高的層面對整個網絡拓撲的分析,來進行決策,有效的減少錯 誤的判斷。該技術用於在具有很大數據流量的複雜無線環境中,通過部署多個無線感應器, 或者通過配置多個已有無線感應器,並配合管理伺服器,來實現對整個環境的無線系統進 行檢測,並對非法的無線入侵及時記錄並提出報警或處理。
下面結合附圖及實施例對本發明作進一步描述圖1為分布式無線入侵檢測的網絡拓撲圖;圖2為分布式無線入侵檢測方法的處理流程圖。
具體實施例方式以下結合具體實施例對上述方案做進一步說明。應理解,這些實施例是用於說明 本發明而不限於限制本發明的範圍。實施例中採用的實施條件可以根據具體廠家的條件做 進一步調整,未註明的實施條件通常為常規實驗中的條件。實施例分布式無線入侵檢測實現如圖1所示為該分布式無線入侵檢測系統,包括入侵檢測管理伺服器,用於指定 無線數據傳輸的合法信道,以及無線數據使用的合法BSSID和SSID,且能及時更新無線局 域網絡拓撲圖;無線感應器為支持無線掃描無線接入點或專用無線感應器,負責掃描無線 感應器周圍一定範圍內的無線信號,其範圍可以根據無線感應器的掃描靈敏度決定,並通 過有線網絡與管理伺服器相連,可以解析無線信號中的無線數據,並將無線數據的幀頭信 息上報給入侵檢測管理伺服器;入侵檢測管理伺服器接收到無線感應器上報的信息後,根 據伺服器配置的檢測策略對無線數據的合法性進行檢測。進行分布式無線入侵檢測時,可以按照如下步驟進行(1)入侵檢測管理伺服器啟動後,進行配置入侵檢測管理伺服器並更新無線局域 網網絡;(2)配置結束後入侵檢測管理伺服器監聽無線感應器上報的無線數據幀頭信息;(3)入侵檢測管理伺服器根據無線數據幀頭信息與已配置的信息進行合法性匹 配;根據合法性匹配的結果入侵檢測管理伺服器作出決策並記錄檢測結果,然後開始下次 循環,繼續監聽無線感應器上報的無線數據幀頭信息。所述步驟(2)中當入侵檢測管理伺服器未收到無線感應器上報的無線數據幀頭 信息時,入侵檢測管理伺服器繼續監聽無線感應器上報的無線數據幀頭信息。所述步驟(3)中當入侵檢測管理伺服器收到的無線數據幀頭信息與已配置的信 息不匹配時,入侵檢測管理伺服器繼續循環監聽無線感應器上報的無線數據幀頭信息。具體的配置和檢測處理步驟按照如下步驟進行(a)網絡環境中部署無線入侵檢測管理伺服器。(b)配置該伺服器,使該伺服器能及時更新最新的網絡拓撲圖。(c)配置入侵檢查策略,即指定合法信道,合法BSSID,SSID,使伺服器能根據以上 信息對無線數據包頭部中的信息進行匹配,來做出無線入侵的決策。(d)在區域網中部署多個無線感應器。(e)配置無線感應器,使無線感應器可以把掃描到的無線數據解包後,把包頭信息 上報給入侵檢測管理伺服器。(f)無線入侵檢測管理伺服器,根據感應器上報的無線數據包頭信息,從中取出 SSID,BSSID等信息,然後對比當前的網絡拓撲圖以及網絡中的已經存在的合法設備的信息進行判斷,以及步驟3中既定的合法信息進行匹配,從根據無線感應器上報無線數據包頭 部信息來確認網絡是不是受到了無線入侵,從而作出決策。其中無線入侵檢測管理伺服器的匹配策略可由用戶來定義,可配置簡單的 匹配規則,如SSID = S0ME-SSID表示無線接入設備為非法設備,或者BSSID != 00:0C:29:E0:2F:61(BSSID不等於固定的MAC地址)表示無線接入設備為非法設備。也可 配置一些比較複雜的組合的策略,如在7信道中,使用SSID = S0ME-SSID,並MAC地址的開 頭不是00:0C:29的無線接入設備認為非法設備。上述實例只為說明本發明的技術構思及特點,其目的在於讓熟悉此項技術的人是 能夠了解本發明的內容並據以實施,並不能以此限制本發明的保護範圍。凡根據本發明精 神實質所做的等效變換或修飾,都應涵蓋在本發明的保護範圍之內。
權利要求
一種分布式無線入侵檢測系統,其特徵在於所述系統至少包括入侵檢測管理伺服器,用於指定無線數據傳輸的合法信道,以及無線數據使用的合法BSSID和SSID,且能及時更新無線區域網路拓撲圖;無線感應器,通過有線網絡與入侵檢測管理伺服器相連,負責掃描無線感應器周圍一定範圍內的無線信號,解析無線信號中的無線數據,並將無線數據的幀頭信息上報給入侵檢測管理伺服器;入侵檢測管理伺服器接收到無線感應器上報的信息後,根據伺服器配置的檢測策略對無線數據的合法性進行檢測。
2.根據權利要求1所述的分布式無線入侵檢測系統,其特徵在於所述無線感應器選自 支持無線掃描的無線接入點或專用無線感應器。
3.一種分布式無線入侵檢測方法,其特徵在於所述方法包括以下步驟(1)入侵檢測管理伺服器啟動後,進行配置入侵檢測管理伺服器並更新無線區域網網(2)配置結束後入侵檢測管理伺服器監聽無線感應器上報的無線數據幀頭信息;(3)入侵檢測管理伺服器根據無線數據幀頭信息與已配置的信息進行合法性匹配;根 據合法性匹配的結果入侵檢測管理伺服器作出決策並記錄檢測結果,然後開始下次循環, 繼續監聽無線感應器上報的無線數據幀頭信息。
4.根據權利要求3所述的方法,其特徵在於所述步驟(2)中當入侵檢測管理伺服器未 收到無線感應器上報的無線數據幀頭信息時,入侵檢測管理伺服器繼續監聽無線感應器上 報的無線數據幀頭信息。
5.根據權利要求3所述的方法,其特徵在於所述步驟(3)中當入侵檢測管理伺服器收 到的無線數據幀頭信息與已配置的信息不匹配時,入侵檢測管理伺服器繼續循環監聽無線 感應器上報的無線數據幀頭信息。全文摘要
本發明公開了一種分布式無線入侵檢測系統,其特徵在於所述系統至少包括入侵檢測管理伺服器,用於指定無線數據傳輸的合法信道,以及無線數據使用的合法BSSID和SSID,且能及時更新無線區域網路拓撲圖;無線感應器,通過有線網絡與入侵檢測管理伺服器相連,負責掃描無線感應器周圍一定範圍內的無線信號,解析無線信號中的無線數據,並將無線數據的幀頭信息上報給入侵檢測管理伺服器;入侵檢測管理伺服器接收到無線感應器上報的信息後,根據伺服器配置的檢測策略對無線數據的合法性進行檢測。該方法只對數據幀包頭的檢測,大大節約了無線入侵檢測本身的數據計算量,而分布式無線入侵檢測,有效的減少錯誤的判斷。
文檔編號H04W12/00GK101977375SQ20101054814
公開日2011年2月16日 申請日期2010年11月18日 優先權日2010年11月18日
發明者姜定勇, 歐陽棣, 牛洋 申請人:太倉市同維電子有限公司