专利名称:分布式无线入侵检测系统及其检测方法
技术领域:
本发明属于无线数据安全技术领域,具体涉及一种分布式无线入侵检测系统及其 检测方法。
背景技术:
随着社会的进步,科技的发展,通讯技术也在不断的进步,因为无线技术具有的众 多优点,使得无线技术也取到的了巨大的发展。但由于无线通讯技术在环境上开放性,使得 无线通讯技术的安全性也成为引人瞩目的课题之一。无线信道本身是开放的,这就使得在开放区域中会有非法的无线设备的干扰或者 访问,为了防止非法设备的干扰或者访问,就需要对当前空间进行警讯和无线入侵检测。目 前常见的无线入侵检测方法中,有基于数据包信息的入侵检测,基于无线载波的入侵检测。 而当前又存在很多各式各样的检测设备,每种设备都采用了不尽相同的检测策略。如何将 这些方法设备和策略整合,并从一个更高的层面上提出一些解决问题的策略,则是改变这 种现状的一个契机。
发明内容
本发明目的在于提供一种分布式无线入侵检测系统,解决了现有技术中无线数据 安全检测时数据量过大、多种检测策略难以整合等问题。为了解决现有技术中的这些问题,本发明提供的技术方案是一种分布式无线入侵检测系统,其特征在于所述系统至少包括入侵检测管理服务器,用于指定无线数据传输的合法信道,以及无线数据使用的 合法BSSID和SSID,且能及时更新无线局域网络拓扑图;无线感应器,通过有线网络与入侵检测管理服务器相连,负责扫描无线感应器周 围一定范围内的无线信号,解析无线信号中的无线数据,并将无线数据的帧头信息上报给 入侵检测管理服务器;入侵检测管理服务器接收到无线感应器上报的信息后,根据服务器配置的检测策 略对无线数据的合法性进行检测。优选的,无线感应器可以是支持无线扫描无线接入点或专用无线感应器,负责扫 描无线感应器周围一定范围内的无线信号,其范围可以根据无线感应器的扫描灵敏度决 定,并通过有线网络与管理服务器相连,用于解析无线传输中的无线数据,并将无线数据的 帧头信息上报给入侵检测管理服务器。本发明还提供了一种分布式无线入侵检测方法,其特征在于所述方法包括以下步 骤(1)入侵检测管理服务器启动后,进行配置入侵检测管理服务器并更新无线局域 网网络;(2)配置结束后入侵检测管理服务器监听无线感应器上报的无线数据帧头信息;
3
(3)入侵检测管理服务器根据无线数据帧头信息与已配置的信息进行合法性匹 配;根据合法性匹配的结果入侵检测管理服务器作出决策并记录检测结果,然后开始下次 循环,继续监听无线感应器上报的无线数据帧头信息。优选的,所述步骤(2)中当入侵检测管理服务器未收到无线感应器上报的无线数 据帧头信息时,入侵检测管理服务器继续监听无线感应器上报的无线数据帧头信息。优选的,所述步骤(3)中当入侵检测管理服务器收到的无线数据帧头信息与已配 置的信息不匹配时,入侵检测管理服务器继续循环监听无线感应器上报的无线数据帧头信 肩、ο本发明可以用于在具有很大数据流量的复杂无线环境中,通过部署多个无线感应 器,或者通过配置多个已有无线感应器,并配合入侵检测管理服务器,来实现对整个环境的 无线系统进行检测,并对非法的无线入侵及时提出报警或处理。本发明解决的技术问题可以是在具有大量无线设备,有很大无线数据流量的复杂 无线局域网环境中,通过传统的无线数据包扫描的方法,来进行无线入侵检测,会带来很大 的计算量,并可能出现因为设备之间干扰及设置的不同步,出现误检测的情况。本发明的基于无线数据帧头部识别的分布式无线入侵检测方法具体可以按照如 下步骤进行(i)网络环境中部署无线入侵检测管理服务器。(ii)配置该服务器,使该服务器能及时更新最新的网络拓扑图。(iii)配置入侵检查策略,即指定合法信道,合法BSSID,SSID,使服务器能根据以 上信息对无线数据包头部中的信息进行匹配,来做出无线入侵的决策。(iv)在局域网中部署多个无线感应器。(ν)配置无线感应器,使无线感应器可以把扫描到的无线数据解包后,把包头信息 上报给入侵检测管理服务器。(vi)无线入侵检测管理服务器,根据感应器上报的无线数据包头信息,从中取出 SSID,BSSID等信息,然后对比当前的网络拓扑图以及网络中的已经存在的合法设备的信息 进行判断,以及步骤3中既定的合法信息进行匹配,从根据无线感应器上报无线数据包头 部信息来确认网络是不是受到了无线入侵,从而作出决策。其中无线入侵检测管理服务器的匹配策略可由用户来定义,可配置简单的 匹配规则,如SSID = S0ME-SSID表示无线接入设备为非法设备,或者BSSID != 00:0C:29:E0:2F:61(BSSID不等于固定的MAC地址)表示无线接入设备为非法设备。也可 配置一些比较复杂的组合的策略,如在7信道中,使用SSID = S0ME-SSID,并且MAC地址的 开头不是00:0C:29的无线接入设备认为非法设备。相对于现有技术中的方案,本发明的优点是本发明技术方案通过只对数据帧包头的检测,大大节约了无线入侵检测本身的数 据计算量,可以通过较少的数据分析判断,从而有效的对无线入侵作出决策,而分布式无线 入侵检测,又可通过在一个很高的层面对整个网络拓扑的分析,来进行决策,有效的减少错 误的判断。该技术用于在具有很大数据流量的复杂无线环境中,通过部署多个无线感应器, 或者通过配置多个已有无线感应器,并配合管理服务器,来实现对整个环境的无线系统进 行检测,并对非法的无线入侵及时记录并提出报警或处理。
下面结合附图及实施例对本发明作进一步描述图1为分布式无线入侵检测的网络拓扑图;图2为分布式无线入侵检测方法的处理流程图。
具体实施例方式以下结合具体实施例对上述方案做进一步说明。应理解,这些实施例是用于说明 本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体厂家的条件做 进一步调整,未注明的实施条件通常为常规实验中的条件。实施例分布式无线入侵检测实现如图1所示为该分布式无线入侵检测系统,包括入侵检测管理服务器,用于指定 无线数据传输的合法信道,以及无线数据使用的合法BSSID和SSID,且能及时更新无线局 域网络拓扑图;无线感应器为支持无线扫描无线接入点或专用无线感应器,负责扫描无线 感应器周围一定范围内的无线信号,其范围可以根据无线感应器的扫描灵敏度决定,并通 过有线网络与管理服务器相连,可以解析无线信号中的无线数据,并将无线数据的帧头信 息上报给入侵检测管理服务器;入侵检测管理服务器接收到无线感应器上报的信息后,根 据服务器配置的检测策略对无线数据的合法性进行检测。进行分布式无线入侵检测时,可以按照如下步骤进行(1)入侵检测管理服务器启动后,进行配置入侵检测管理服务器并更新无线局域 网网络;(2)配置结束后入侵检测管理服务器监听无线感应器上报的无线数据帧头信息;(3)入侵检测管理服务器根据无线数据帧头信息与已配置的信息进行合法性匹 配;根据合法性匹配的结果入侵检测管理服务器作出决策并记录检测结果,然后开始下次 循环,继续监听无线感应器上报的无线数据帧头信息。所述步骤(2)中当入侵检测管理服务器未收到无线感应器上报的无线数据帧头 信息时,入侵检测管理服务器继续监听无线感应器上报的无线数据帧头信息。所述步骤(3)中当入侵检测管理服务器收到的无线数据帧头信息与已配置的信 息不匹配时,入侵检测管理服务器继续循环监听无线感应器上报的无线数据帧头信息。具体的配置和检测处理步骤按照如下步骤进行(a)网络环境中部署无线入侵检测管理服务器。(b)配置该服务器,使该服务器能及时更新最新的网络拓扑图。(c)配置入侵检查策略,即指定合法信道,合法BSSID,SSID,使服务器能根据以上 信息对无线数据包头部中的信息进行匹配,来做出无线入侵的决策。(d)在局域网中部署多个无线感应器。(e)配置无线感应器,使无线感应器可以把扫描到的无线数据解包后,把包头信息 上报给入侵检测管理服务器。(f)无线入侵检测管理服务器,根据感应器上报的无线数据包头信息,从中取出 SSID,BSSID等信息,然后对比当前的网络拓扑图以及网络中的已经存在的合法设备的信息进行判断,以及步骤3中既定的合法信息进行匹配,从根据无线感应器上报无线数据包头 部信息来确认网络是不是受到了无线入侵,从而作出决策。其中无线入侵检测管理服务器的匹配策略可由用户来定义,可配置简单的 匹配规则,如SSID = S0ME-SSID表示无线接入设备为非法设备,或者BSSID != 00:0C:29:E0:2F:61(BSSID不等于固定的MAC地址)表示无线接入设备为非法设备。也可 配置一些比较复杂的组合的策略,如在7信道中,使用SSID = S0ME-SSID,并MAC地址的开 头不是00:0C:29的无线接入设备认为非法设备。上述实例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人是 能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精 神实质所做的等效变换或修饰,都应涵盖在本发明的保护范围之内。
权利要求
一种分布式无线入侵检测系统,其特征在于所述系统至少包括入侵检测管理服务器,用于指定无线数据传输的合法信道,以及无线数据使用的合法BSSID和SSID,且能及时更新无线局域网络拓扑图;无线感应器,通过有线网络与入侵检测管理服务器相连,负责扫描无线感应器周围一定范围内的无线信号,解析无线信号中的无线数据,并将无线数据的帧头信息上报给入侵检测管理服务器;入侵检测管理服务器接收到无线感应器上报的信息后,根据服务器配置的检测策略对无线数据的合法性进行检测。
2.根据权利要求1所述的分布式无线入侵检测系统,其特征在于所述无线感应器选自 支持无线扫描的无线接入点或专用无线感应器。
3.一种分布式无线入侵检测方法,其特征在于所述方法包括以下步骤(1)入侵检测管理服务器启动后,进行配置入侵检测管理服务器并更新无线局域网网(2)配置结束后入侵检测管理服务器监听无线感应器上报的无线数据帧头信息;(3)入侵检测管理服务器根据无线数据帧头信息与已配置的信息进行合法性匹配;根 据合法性匹配的结果入侵检测管理服务器作出决策并记录检测结果,然后开始下次循环, 继续监听无线感应器上报的无线数据帧头信息。
4.根据权利要求3所述的方法,其特征在于所述步骤(2)中当入侵检测管理服务器未 收到无线感应器上报的无线数据帧头信息时,入侵检测管理服务器继续监听无线感应器上 报的无线数据帧头信息。
5.根据权利要求3所述的方法,其特征在于所述步骤(3)中当入侵检测管理服务器收 到的无线数据帧头信息与已配置的信息不匹配时,入侵检测管理服务器继续循环监听无线 感应器上报的无线数据帧头信息。全文摘要
本发明公开了一种分布式无线入侵检测系统,其特征在于所述系统至少包括入侵检测管理服务器,用于指定无线数据传输的合法信道,以及无线数据使用的合法BSSID和SSID,且能及时更新无线局域网络拓扑图;无线感应器,通过有线网络与入侵检测管理服务器相连,负责扫描无线感应器周围一定范围内的无线信号,解析无线信号中的无线数据,并将无线数据的帧头信息上报给入侵检测管理服务器;入侵检测管理服务器接收到无线感应器上报的信息后,根据服务器配置的检测策略对无线数据的合法性进行检测。该方法只对数据帧包头的检测,大大节约了无线入侵检测本身的数据计算量,而分布式无线入侵检测,有效的减少错误的判断。
文档编号H04W12/00GK101977375SQ20101054814
公开日2011年2月16日 申请日期2010年11月18日 优先权日2010年11月18日
发明者姜定勇, 欧阳棣, 牛洋 申请人:太仓市同维电子有限公司