专利名称:具有入侵检测特性的无线局域网或城域网和相关方法
背景技术:
过去几年来,无线网络得到不断开发。两个具体的例子是无线局域网(LAN)和无线城域网(MAN)。在基本业务组(BSS)中,这样的网络包括一个或多个无线站(例如,具有无线网接口卡(NIC)的笔记本电脑),它们例如经由射频信号与接入点或基站(例如,服务器)通信。基站执行多种功能,诸如同步和协调,广播分组的转发,和提供例如在无线LAN/MAN与诸如电话网的有线网之间的桥路。
在扩展的业务组(ESS)中,多个基站被包括在网络中。另一方面,在某些无线LAN/MAN中,可能完全没有基站,而只有互相进行点对点通信的无线站。这种拓扑结构被称为独立基本业务组(IBSS),以及在IBSS中,一个无线站典型地被选择作为丢失的基站的代理。
无线LAN/MAN流行的最重要的原因可能是,这样的网络是相对便宜和容易部署的,不需要有线基础结构。然而,无线LAN/MAN也有几个在有线网络中未发现的、重大的缺点。例如,因为无线LAN/MAN设备如此流行,这样的设备对于试图通过使用非法的无线站(即,欺诈站)入侵网络和损害网络安全的所谓黑客也是容易得到的。另外,如果无线LAN/MAN互相太靠近地运行,网络可能互相入侵,引起网络干扰,特别是如果它们共享公共的信道的话。
为调整无线LAN/MAN内的通信而开发的多个突出的标准之一是,题目为”用于信息技术的IEEE标准--电信与信息系统--局域网和城域网--具体要求--部分11无线LAN媒体接入控制(MAC)和物理层(PHY)技术规范”,1999,电气和电子工程师协会的802 LAN/MAN标准委员会的标准,该标准整体地在此引用以供参考。除了提供无线通信协议以外,802.11标准也规定了被使用来防止无线信号被窃听的有线等价保密(WEP)算法。更具体地,WEP提供在基站之间发送的消息的加密以及整体性检验,以确保原先发送的消息的整体性没有被损害。
虽然WEP算法确实提供某些网络安全的措施,但它不检测潜在的入侵或把该入侵报告给网络。只有近来,这样的入侵检测系统才可行。这些系统典型地包括要被安装在希望进行入侵检测的站的安全监视软件。这样的软件可以试图通过监视和记录媒体接入控制(MAC)地址或互联网协议(IP)地址以及把它们与合法网站的已知地址进行比较而检测入侵者。而且,这样的系统可以观察WEP何时不启用。
来自WildPackets,Inc.的入侵检测系统的一个具体的例子被称为Airopeak。Airopeak根据在网络中使用的ESS和BSS标识(ESSID,BSSID)搜索非法的欺诈站。也就是,创建在网络中使用的所有合法的ESSID和BSSID的名单。然后,过滤器被使用来排除所有非法的站。这个过滤器是通过获取正常网络业务和确定在相应于ESSID或BSSID的802.11帧中的数据偏移而被创建的。Airopeak还包括根据帧计数值触发的报警。也就是,如果帧计数值超过零,则报警被触发(即,如果从欺诈站检测到任何帧,则报警被触发)。而且,Airopeak可以经由电子邮件或通过使用调制解调器拨号到系统外(例如到寻呼机)提供报警的通知。
不管由以上系统取得的进展,对于无线LAN/MAN的某些入侵仍旧没有被这样的系统检测出。也就是,如果欺诈站例如接入到合法的地址和/或ID,以上的方法不一定能检测到欺诈站对于网络的入侵。
发明内容
所以,从以上背景看来,本发明的目的是提供具有入侵检测特性的无线LAN/MAN和相关的方法。
按照本发明的这个和其它目的、特征与优点由无线局域网或城域网提供,这些网络可包括用于在它们之间发送数据的多个站,以及警察站。警察站可以通过监视在多个站之间的传输来检测在非法时间间隔期间的传输而检测对于无线网的入侵,以及根据检测结果生成入侵报警。
更具体地,站可以以分组发送数据以及生成各个整体性检验值,以便用每个分组进行发送。这样,警察站还可以通过监视在多个站之间的传输来检测与它们的各个数据分组不一致的整体性检验值而检测对于无线网的入侵,以及根据检测结果生成入侵报警。而且,数据分组可以经由媒体接入控制(MAC)层被发送,以及站也可以用每个数据分组发送各个MAC序列号。因此,警察站也可以通过监视在多个站之间的传输来检测站对于非接连的MAC序列号的使用而检测对于无线网的入侵,以及根据检测结果生成入侵报警。
而且,每个数据分组可以具有与其有关的分组类型,这样,警察站可以通过监视在多个站之间的传输来检测具有预定的分组类型的分组的冲突而附加地检测对于无线网的入侵,以及根据检测结果生成入侵报警。具体地,预定的分组类型可包括管理帧分组(例如,鉴权、关联、和信标分组)、控制帧分组(例如,请求发送(RTS)和清除发送(CTS)分组)、以及数据帧分组的至少之一。另外,具有预定的分组类型的分组的冲突的门限数例如可以大于3左右。而且,门限数可以基于具有预定的分组类型的监视的分组的总数的百分数。
每个站可具有与其有关的连同从其发送的数据一起进行发送的MAC地址。这样,警察站还可以通过监视在多个站之间的传输来检测相同的MAC地址的冲突而检测对于无线网的入侵,以及根据检测结果生成入侵报警。作为例子,相同的MAC地址的冲突的门限数可以大于3左右。
另外,无线网可以具有与其有关的至少一个业务组标识(ID)。因此,警察站可以通过监视在多个站之间的传输来检测与其有关的业务组ID而检测对于无线网的入侵,以及根据检测不同于无线网的至少一个业务组ID的业务组ID之一生成入侵报警。另外,多个站可以在至少一个信道上发送,以及警察站可以检测不是从多个站之一发源的、在至少一个信道上的传输,以及根据检测结果生成入侵报警。
警察站还可以把入侵报警发送到多个站的至少一个站。而且,警察站可以是基站,以及它也可以是无线站。
本发明的入侵检测方法方面用于包括多个站的无线局域网或城域网。更具体地,方法可包括在多个站之间传输数据,以及监视在多个站之间的传输来检测在非法的时间间隔期间的传输。而且,可以根据检测到在非法的时间间隔期间的传输而生成入侵报警。
另外,多个站可以以分组发送数据以及生成各个整体性检验值,以便用每个分组进行发送。这样,方法也可以包括监视在多个站之间的传输来检测与它们的各个数据分组不一致的整体性检验值,以及根据检测结果生成入侵报警。
数据分组可以经由媒体接入控制(MAC)层被发送,以及多个站也可以用每个数据分组发送各个MAC序列号。因此,方法也可以包括监视在多个站之间的传输来检测站对于非接连的MAC序列号的使用,以及根据检测结果生成入侵报警。
每个数据分组也可以具有与其有关的分组类型。所以,方法也包括监视在多个站之间的传输来检测具有预定的分组类型的分组的冲突,以及根据检测到具有预定的分组类型的分组的冲突的门限数,生成入侵报警。作为例子,预定的分组类型可包括管理帧分组(例如,鉴权、关联、和信标分组)、控制帧分组(例如,请求发送(RTS)和清除发送(CTS)分组)、以及数据帧分组的至少之一。而且,冲突的门限数例如可以大于3左右。而且,门限数可以基于具有预定的分组类型的监视的分组的总数的百分数。
多个站可以经由MAC层发送数据,以及正如上面提到的,每个站具有与其有关的要连同从其发送的数据一起发送的MAC地址。因此,方法还可以包括监视在多个站之间的传输来检测相同的MAC地址的冲突,以及根据检测到相同的MAC地址的冲突的门限数,生成入侵报警。作为例子,相同的MAC地址的冲突的门限数可以大于3左右。
方法还可包括监视在多个站之间的传输来检测与其有关的业务组ID,以及根据不同于无线网的至少一个业务组ID的检测到的业务组ID之一生成入侵报警。另外,可以在至少一个信道上检测不是从多个站之一发源的传输,以及可以根据检测结果生成入侵报警。入侵报警也可被发送到多个站的至少一个站。
图1是用于根据帧检验序列(FCS)错误提供入侵检测的、按照本发明的无线LAN/MAN的示意性方框图。
图2是用于根据媒体接入控制(MAC)地址的失败的鉴权提供入侵检测的图1的无线LAN/MAN的替换实施例的示意性方框图。
图3是用于根据非法网络分配矢量(NAV)提供入侵检测的图1的无线LAN/MAN的另一个替换实施例的示意性方框图。
图4和5分别是用于根据在无竞争时间间隔(CFP)以外的无竞争模式操作和根据在CFP期间的竞争模式操作提供入侵检测的图1的无线LAN/MAN的再一个替换实施例的示意性方框图。
图6是用于根据在非法的时间间隔期间发生的传输提供入侵检测的图1的无线LAN/MAN的另一个替换实施例的示意性方框图。
图7是用于根据检测到与它们的各个数据分组不一致的整体性检验值提供入侵检测的图1的无线LAN/MAN的另一个替换实施例的示意性方框图。
图8是用于根据检测到由一个站使用非接连的MAC序列号提供入侵检测的图1的无线LAN/MAN的又一个替换实施例的示意性方框图。
图9是用于根据检测到具有预定的分组类型的分组的冲突提供入侵检测的图1的无线LAN/MAN的再一个替换实施例的示意性方框图。
图10是用于根据检测到相同的MAC地址的冲突提供入侵检测的图1的无线LAN/MAN的又一个替换实施例的示意性方框图。
图11是显示根据检测到FCS错误的按照本发明的入侵检测方法的流程图。
图12是显示根据检测到MAC地址的失败的鉴权的按照本发明的入侵检测方法的流程图。
图13是显示根据检测到非法网络分配矢量(NAV)值的按照本发明的入侵检测方法的流程图。
图14和15分别是显示根据检测到CFP以外的无竞争模式操作和根据检测到在CFP期间的竞争模式操作的按照本发明的入侵检测方法的流程图。
图16是显示根据检测到在非法时间间隔期间发生的传输的、按照本发明的入侵检测方法的流程图。
图17是显示根据检测到与它们的各个数据分组不一致的整体性检验值的按照本发明的入侵检测方法的流程图。
图18是显示根据检测到由一个站对于非接连的MAC序列号的使用的按照本发明的入侵检测方法的流程图。
图19是显示根据检测到具有预定的分组类型的分组的冲突的按照本发明的入侵检测方法的流程图。
图20是显示根据检测到相同的MAC地址的冲突的按照本发明的入侵检测方法的流程图。
图21是显示用于入侵检测的本发明的其他的方法方面的流程图。
具体实施例方式
现在参照在其上显示本发明的优选实施例的附图更详细地描述本发明。然而,本发明可以以许多不同的形式来实施,以及不应当看作为限于这里阐述的实施例。而是,这些实施例被提供来使得本公开内容是更加透彻和完全的,以及把本发明的范围全面地传达给本领域技术人员。
鉴于以上的讨论,在全文中相同的标号是指相同的单元。而且,具体地参考图1-10,十位数不同的标号被使用来表示在替换实施例中类似的单元。例如,在图1-10上显示的无线站11,21,31,41,51,61,71,81,91和101都是类似的单元等等。这样,这些单元只要在它们第一次出现时详细地描述,以避免多余的重复,而以后出现的单元被理解为类似于第一次描述的单元。
现在参照图1,按照本发明的无线LAN/MAN10说明性地包括无线站11和基站(或接入点)12。虽然为了简明起见,只显示单个无线站11和基站12,但本领域技术人员将会看到,在无线网10内可以包括任意数目的无线站和/或基站。
在更详细地描述无线网10之前,关于无线LAN/MAN协议的概略的讨论认为是正当的。具体地,为了清楚说明起见,上述的讨论将假设使用802.11标准的网络实施方案。然而,本领域技术人员将会看到,这里描述的实施例的许多方面也可以被使用于其它适当的无线LAN/MAN标准(例如,蓝牙等等)。
802.11标准是用于数据传送的OSI网络模型,它包括七层,在其上可以通过使用各种协议发送特定类型的数据。这些层包括应用层、表示层、会话层、传输层、网络层、数据链路层、和物理层。数据链路层还包括媒体接入控制(MAC)和逻辑链路控制子层。无线站11和基站12具体地使用MAC层,用于在它们之间传输数据,例如,尤其是表示与它们有关的各个MAC地址的数据。当然,OSI模型的其余层也可以被使用于数据传输。然而,数据典型地以分组形式发送,以及各种分组类型被使用于不同的类型的消息数据,正如下面进一步描述的。
按照本发明,无线网10说明性地包括警察站13,用于检测欺诈站14对于无线网的入侵。作为例子,欺诈站14可能被所谓的黑客使用来试图非法进入无线网10,或它可能仅仅是十分接近于无线网10运行的来自不同的无线网的一个节点。警察站13可包括一个或多个无线站和/或基站。在本例中,警察站13监视在站11,12之间的传输,检测来自MAC地址的帧检验序列(FCS)错误。如果对于给定的MAC地址检测的FCS错误的数目超过门限值,则警察站13根据检测结果生成入侵报警。
应当指出,正如这里使用的,词组“站之间的传输”打算指直接到或来自站11,12之一的任何传输,以及无线网10的工作范围内的任何传输。换句话说,警察站13可以监视它可以接收的要到或发源于站11,12的传输以及任何其它传输,而不管它们是否具体要到或发源于网络10中的站。
在上述的实施例中(以及下面描述的实施例),警察站13可以有利地发送报警信号给无线网10中等一个或多个站11,12。作为例子,警察站13可以把入侵报警直接发送到基站12,然后它通知无线网中所有剩余的站。替换地,警察站13可以广播入侵报警给所有的网络站。在任一种情形下,然后可以采取适当的对抗措施,以响应于非法入侵,正如本领域技术人员将会看到的。这样的对抗措施不属于本发明的范围,所以这里不进行讨论。
现在转到图2,描述无线LAN/MAN20的第一个替换实施例。在这个实施例中,警察站23通过监视在站21,22之间的传输,检测对于MAC地址进行鉴权的失败的尝试而检测对于无线网20的入侵。在检测到对于特定MAC地址进行鉴权的失败尝试的某个预定的数目时,警察节点23将生成入侵报警。
任何数目的失败尝试可被用作为用于生成入侵报警的门限值,但通常可能希望允许一个站至少一次尝试鉴权它的MAC地址,而不生成入侵报警。而且,在某些实施例中,警察站23可以有利地只在预定的时间间隔内(例如,一小时,一天等等)出现检测的数目的失败时才生成入侵报警。
按照802.11标准,希望在无线LAN/MAN内互相通信的两个站典型地在发送数据之前在它们之间发送请求发送(RTS)和清除发送(CTS)分组。这样做的原因是避免与其它发送冲突。也就是,由于无线LAN/MAN中许多或所有的剩余的站可以在同一个信道上通信,站需要保证它们不同时发送,因为这会导致干扰和网络扰乱。而且,RTS和CTS分组典型地包括网络分配矢量(NAV),表示被保留用于发送数据的持续时间。这个信息被发送到无线LAN/MAN中所有的其它的站,然后它在规定的时间间隔期间停止发送。
现在再转到图3,描述无线LAN/MAN30的第二个替换实施例,在其中,警察站33通过监视在站31和32之间发送的RTS与CTS,检测其中的非法NAV值,来检测对于无线网络31的入侵。例如,无线网30可以被实施为使得数据传输不超过一定的时间量,这个时间量是参加网络的所有的合法的站都知道的。因此,如果警察站33检测到在分配的时间量以外的NAV值,则它将根据这一点生成入侵报警。
802.11标准的另一个特性是在无线LAN/MAN内的站可以工作在竞争或无竞争模式。也就是,在竞争模式下,要求所有的站为接入到被使用于要被发送的每个数据分组的特定的信道进行竞争。在无竞争时间间隔(CFP)期间,媒体使用由基站控制,因此消除站对于信道接入的竞争的需要。
按照图4所示的无线LAN/MAN40的第三实施例,警察站43可以有利地通过监视在站41,42之间的传输,以检测在CFP以外的无竞争模式操作而检测入侵到无线网40。这样,可以由警察站43根据这样的检测生成入侵报警。换句话说,检测到以在CFP以外的无竞争模式运行的站,表示这个站不是合法的站,因为当CFP开始时,所有的合法的无线站都被基站42告知。当然,这也是在CFP期间检测到竞争模式操作时的情形,这样的实施例说明性地显示于图5。本领域技术人员将会看到,以上的CFP入侵检测方法的任一项或二者可以在已知的应用中被实施。
现在转到图6,描述无线LAN/MAN60的另一个实施例。这里,警察站63通过监视在站61和62之间的传输,检测在非法时间间隔期间的发送而检测对于无线网60的入侵。也就是,无线网60可以被实施为使得在特定的小时期间(例如,在午夜与6:00AM之间),不允许用户接入到网络。因此,在这个非法的时间间隔内检测到发送时,警察站63可以有利地生成入侵报警。
现在再转到图7,描述无线LAN/MAN70的再一个实施例。在这个实施例中,各个站71,72使得上述的WEP特性被启用,从而生成和发送从其发送的各数据分组所伴有的整体性检验值。因此,警察站73通过监视在站71,72之间的传输,检测与它们的各个数据分组不一致的整体性检验值而检测对于无线网70的入侵。也就是,如果错误的密钥流被使用来生成消息密码文本,或如果消息被欺诈站84捣乱,则整体性检验值最可能被弄乱。这样,警察站73在检测到这样的错误的整体性检验值后可以生成入侵报警,正如本领域技术人员将会看到的。
现在参照图8描述按照本发明的再一个无线LAN/MAN80。典型地,当使用上述的OSI网络模型时,各个MAC序列号被生成以及连同每个数据分组从站81,82被发送。也就是,对于每个接连的数据分组,MAC序列号被加增量,因此每个分组具有与其有关的独特的MAC序列号。这样,警察站83可以通过监视在站81,82之间的传输,检测由一个站对于非接连的MAC序列号的使用而检测对于无线网80的入侵,以及根据该结果生成入侵报警。
现在再转到图9,显示无线LAN/MAN90的另一个实施例,在该实施例中,警察站93通过监视在站91,92之间的传输,检测具有预定的分组类型的分组的冲突而检测对于无线网的入侵。具体地,预定的分组类型可包括管理帧分组(例如,鉴权、关联、和信标分组)、控制帧分组(例如,RTS和CTS分组)、和/或数据帧分组。警察站93因此可以根据检测到预定的分组类型的冲突的门限数生成入侵报警。
正如这里使用的,”冲突”是指包括分组的同时发送以及在一定的时间内互相发送。也就是,如果某种类型的分组假设在传输之间有延时(例如,几秒等等),如果两个这样的分组类型太紧密地一起发送(即,小于在它们之间必不可少的延时),则这被认为是冲突。作为例子,冲突的门限数例如可以大于3左右,虽然也可以使用其它门限值。而且,门限数可以基于所讨论的特定的分组类型,即,门限数对于不同的分组类型可以是不同的。
另外,门限数可以基于具有预定的分组类型的监视的分组的总数的百分数。例如,如果在一个周期(例如,一小时)期间发送的分组的某个百分数(例如,大于约10%)包括在冲突中,则可以生成入侵报警。替换地,如果在被监视的分组的总数中的某个百分数的分组(例如,10个中的3个)包括在冲突中,则可以生成入侵报警。当然,也可以使用其它适当的门限数和用于确定门限数的方法。
现在参照图10,描述无线LAN/MAN100的另一个实施例,在该实施例中,警察站103通过监视在站101,102之间的传输,检测同一个MAS地址的冲突而检测对于无线网的入侵。也就是,如果多个终端同时声称同一个MAC地址,或互相相对接近,则或者出现错误,或者一个站是欺诈站104。这样,警察站103根据检测到这样的冲突的门限数,例如大于3左右,生成入侵报警。这里,再次地,也可以使用其它门限数,以及门限数可以基于百分数,正如以前描述的。
现在参照图11描述用于无线网10的本发明的入侵检测方法方面。从方块110开始,方法包括在方块111通过使用MAC层在多个站11,12之间传输数据,正如以前所述的。在方块112,监视在站11,12之间的传输,以便检测来自一个MAC地址的FCS错误。如果在方块113,对于MAC地址的FCS错误的数目超过门限值,则在方块114,根据这一点生成入侵报警,从而结束该方法(方块115)。否则,继续监视传输,正如示意地显示的。
按照参照图12描述的本发明的第一替换的方法方面,方法(方块120)从在方块121在站21,22之间传输数据开始,以及在方块122,监视传输,以便检测鉴权MAC地址的失败的尝试,正如以前指出的。如果在方块123,检测到鉴权MAC地址的失败的尝试的数目,则在方块124,生成入侵报警,从而结束该方法(方块125)。否则,继续进行入侵监视,正如示意地显示的。
按照参照图13描述的本发明的第二替换的方法方面,方法(方块130)从在方块131在站31,32之间传输RTS和CTS分组,然后传输数据开始。在方块132,监视在站31,32之间传输的RTS和CTS分组,以检测其中的非法的NAV值,正如以前描述的。如果在方块133,检测到非法的NAV值,则在方块134,根据这一点生成入侵报警,从而结束该方法(方块135)。否则,继续进行入侵监视,正如示意地显示的。
现在转到图14,描述本发明的第三替换的方法方面,方法(方块140)从在方块141在站41,42之间传输数据开始,以及在方块142,监视传输,以检测在CFP以外的无竞争模式操作,正如以前描述的。如果在方块143,检测到在CFP以外的这样的操作,则在方块144,根据这一点生成入侵报警,从而结束该方法(方块145)。否则,可以继续进行入侵监视,正如示意地显示的。在方块150-155,在图15上示意地显示其中对于在CFP期间的竞争模式操作,监视传输的相反的情形。这里,再次地,在单个实施例中使用这两个方法,虽然这种需要并不总是这种情形。
现在参照图16描述本发明的第四方法方面。方法(方块160)从在方块161在站61,62之间传输数据,以及在方块162,进行监视,以检测在非法的时间间隔期间的传输开始,正如以前描述的。如果在方块163,在非法的时间间隔期间检测到传输,则在方块164,根据这一点生成入侵报警,从而结束该方法(方块165)。否则,可以继续进行入侵监视,正如示意地显示的。
现在参照图17描述本发明的再一个入侵检测方法方面。方法(方块170)从在方块171,在站71,72之间传输数据,以及监视传输172,以检测与它们的各个数据分组不一致的整体性检验值开始,正如以前描述的。如果这是这种情形,则在方块173,生成入侵报警,从而结束该方法(方块175)。否则,可以继续进行入侵监视,正如示意地显示的。
现在转到图18,描述本发明的又一个方法方面。方法(方块180)从在方块181,在站81,82之间传输数据开始。因此,方法还可包括在方块182,监视传输,以检测由一个站对于非接连的MAC序列号的使用,正如以前描述的。如果在方块183,检测到这样的使用,则在方块184,生成入侵报警,从而结束该方法(方块185)。否则,可以继续进行入侵监视,正如示意地显示的。
再参照图19,本发明的另一个方法方面(方块190)从在方块191在站91,92之间传输数据分组,以及在方块192监视传输,以检测具有预定的分组类型的分组的冲突开始,正如以上提到的。如果在方块193,检测到具有预定的分组类型的分组的冲突门限数,则在方块194,生成入侵报警,结束该方法(方块195)。否则,可以继续进行入侵监视,正如示意地显示的。
现在参照图20描述本发明的另一个入侵检测方法方面。方法(方块200)从在方块201,在站101,102之间传输数据分组,以及在方块202,监视传输,以检测相同的MAC地址的冲突开始,正如以前描述的。如果在方块203,检测到相同的MAC地址的冲突,则在方块204,生成入侵报警,从而结束该方法(方块205)。否则,可以继续进行入侵监视,正如示意地显示的。
现在参照图21描述本发明的另外的入侵检测方法方面。正如以上指出的,无线LAN/MAN典型地具有与其有关的一个或多个业务组ID,诸如IBSSID、BSSID、和/或ESSID。正如示意地显示的,在方块210开始,在方块211,可以在站11,12之间发送数据传输,以及在方块212,可以监视在多个站之间的传输,以检测与其有关的业务组ID,和/或不是从合法的站发源的、在指定的网络信道上的传输。
这样,如果在方块213,检测到不同于无线网10的合法的业务组ID的业务组ID和/或在网络信道上来自非法的站的发送,则在方块214,可以根据这一点生成入侵报警。而且,在方块215,入侵报警可以有利地发送到网络中的一个或多个站,正如以前描述的,或经由调制解调器发送到另一个源等等。否则,可以继续进行入侵监视,正如示意地显示的。
本领域技术人员将会看到,上述的方法方面都可以在一个或多个上述的无线网中被实施。另外,本发明的附加方法方面对于本领域技术人员来说根据以上说明是显而易见的,所以这里不作进一步讨论。
还将会看到,上述的本发明可以以几种方式被实施。例如,警察站13可以以还不是无线网10的部件的、一个或多个分开的专用器件被实施。替换地,本发明可以以要被安装在其中想要进行入侵检测的无线LAN/MAN中一个或多个现有站的软件被实施。
而且,本发明的许多上述的方面可以有利地使用于检测无线网入侵,即使欺诈站具有合法的网络或MAC ID(例如,在CFP以外的无竞争操作,在非法的时间间隔期间的传输等等)。而且,一个或多个以上方面可以在给定的应用中有利地被使用来提供想要的级别的入侵检测。本发明的另一个优点在于,它可被使用来补充现有的入侵检测系统,特别是重点集中在上部OSI网络层中的入侵的系统。
权利要求
1.一种无线局域网或城域网,包括多个站,用于在它们之间传输数据;以及警察站,用于通过监视在所述多个站之间的传输检测以下的至少一项而检测对于无线网络的入侵在非法的时间间隔期间的传输;在其中所述多个站以分组发送数据以及对于每个分组的传输生成各个整体性检验值的网络中,与其各个数据分组不一致的整体性检验值;在其中所述多个站经由媒体接入控制(MAC)层以分组发送数据以及还用每个数据分组发送各个MAC序列号的网络中,由一个站对于非接连的MAC序列号的使用;在其中所述多个站以每个都具有与其有关的分组类型的分组发送数据的网络中,具有预定分组类型的分组的冲突的第一门限数;在其中所述多个站经由其中每个站具有与其有关的要连同从其发送的数据一起进行发送的MAC地址的媒体接入控制(MAC)层发送数据的网络中,相同的MAC地址的冲突的第二门限数;在其中无线网具有与其有关的至少一个业务组标识(ID)的网络中,相关的业务组ID不同于与其有关的无线网的业务组ID;以及在其中所述多个站在至少一个信道上发送的网络中,不是从多个站之一发源的在该至少一个信道上的发送;以及为此生成相应于这些结果的入侵报警。
2.权利要求1的无线网,其中预定的分组类型包括鉴权分组、关联分组、信标分组、请求发送(RTS)分组和清除发送(CTS)分组的至少一项。
3.权利要求1的无线网,其中冲突的第一门限数和冲突的第二门限数大于3。
4.权利要求1的无线网,其中冲突的第一门限数是基于具有预定的分组类型的被监视的分组的总数的百分数。
5.权利要求1的无线网,其中所述警察站还把入侵报警发送到至少一个所述多个站。
6.一种用于包括多个站的无线局域网或城域网的入侵检测方法,方法包括在多个站之间传输数据;监视在多个站之间的传输以检测以下的至少一项在非法的时间间隔期间的传输;在其中所述多个站以分组发送数据以及对于每个分组的传输生成各个整体性检验值的网络中,与它们的各个数据分组不一致的整体性检验值;在其中所述多个站经由媒体接入控制(MAC)层以分组发送数据以及用每个数据分组发送各个MAC序列号的网络中,由一个站对于非接连的MAC序列号的使用;在其中所述多个站以每个都具有与其有关的分组类型的分组发送数据的网络中,具有预定分组类型的分组的冲突;在其中所述多个站经由其中每个站具有与其有关的、连同从其发送的数据一起进行发送的MAC地址的媒体接入控制(MAC)层发送数据的网络中,相同的MAC地址的冲突;在其中无线网具有与其有关的至少一个业务组标识(ID)的网络中,相关的业务组ID不同于与其有关的无线网的业务组ID;以及在其中所述多个站在至少一个信道上发送的网络中,不是从多个站之一发源的在该至少一个信道上的发送;以及然后生成相应于这些结果的入侵报警。
全文摘要
无线局域网或城域网可包括用于在它们之间传输数据的多个站和警察站。警察站可通过监视在多个站之间的传输以检测自非法的时间间隔期间的传输而检测入侵和根据检测结果生成入侵报警。警察站可根据与各个数据分组不一致的整体性检验值、由一个站对于非接连的媒体接入控制(MAC)序列号的使用、和分组类型的冲突和/或MAC地址冲突中的一项或多项检测入侵。
文档编号H04B7/26GK1679310SQ03820902
公开日2005年10月5日 申请日期2003年8月11日 优先权日2002年8月12日
发明者汤玛斯·杰伊·比尔哈茨 申请人:哈里公司