专利名称:无线网络安全监控系统及方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种无线网络安全监控系统及方法。
背景技术:
随着无线网络技术的发展,无线网络系统已经广泛应用于各行各业,并且渗透到更多的网络终端设备中, 如笔记本电脑、PDA (Personal Digital Assistant,个人数字助理)和智能手机等。无线网络已经成为人们日常生活中休闲娱乐、交易和沟通的平台,并使用网上银行进行网上支付。因此,当不良信息在无线网络上传播时,将严重危害到网络用户的财产安全和信息安全。然而,现有的安全防护手段,例如在终端设备上安装的防病毒软件和防火墙软件,对于新的技术应用和层出不穷的攻击手段已越来越显得无力应对,无法及时有效地阻拦非法信息在无线网络中传播,无法保障无线网络的安全。
发明内容
本发明实施例的多个方面提出一种无线网络安全监控系统及方法,能够及时发现无线网络中传播的非法信息,切断发布非法信息的用户终端的网络连接,保障无线网络的安全。本发明实施例的一个方面提供一种无线网络安全监控系统,包括探帧设备、数据还原系统和网络管理系统;所述探帧设备配置有第一无线网卡、以太网卡和第二无线网卡;
所述探帧设备用于通过第一无线网卡采集无线网络覆盖区域内的接入点的无线数据包,并通过以太网卡将采集到的无线数据包传送到所述数据还原系统;
所述数据还原系统用于根据网络协议对所述无线数据包进行解析,还原得到信息原文,并将所述信息原文传送到所述网络管理系统;
所述网络管理系统用于判断所述信息原文是否包含非法信息,若是,则确定所述无线数据包来自非法用户终端,并向所述探帧设备发送切断连接指令;所述切断连接指令包含所述非法用户终端的地址以及所述非法用户终端所关联的接入点的地址;
所述探帧设备还用于通过以太网卡接收所述切断连接指令,根据所述切断连接指令确定需要切断连接的非法用户终端以及所述非法用户终端所关联的接入点,并通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。本发明实施例的另一个方面提供一种无线网络安全监控方法,包括
51、探帧设备通过第一无线网卡采集无线网络覆盖区域内的接入点的无线数据包;
52、所述探帧设备通过以太网卡将采集到的无线数据包传送到数据还原系统;
53、所述数据还原系统根据网络协议对所述无线数据包进行解析,还原得到信息原文,并将所述信息原文传送到网络管理系统;
54、所述网络管理系统判断所述信息原文是否包含非法信息,若是,则确定所述无线数据包来自非法用户终端,并向所述探帧设备发送切断连接指令;所述切断连接指令包含所述非法用户终端的地址以及所述非法用户终端所关联的接入点的地址;55、所述探帧设备通过以太网卡接收所述切断连接指令,根据所述切断连接指令确定需要切断连接的非法用户终端以及所述非法用户终端所关联的接入点;56、所述探帧设备通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。
本发明实施例提供的无线网络安全监控系统及方法,在提供公共服务的无线局域网WLAN中安装探帧设备,通过第一无线网卡实时采集在接入点AP上传输的无线数据包。当确定所述无线数据包包含非法信息,是来自非法用户终端时,所述探帧设备通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接,从而保障无线网络的安全。
图I是本发明提供的无线网络安全监控系统的一个实施例的结构示意图;图2是本发明提供的探帧设备的一个实施例的结构示意图;图3是本发明提供的无线网络安全监控方法的一个实施例的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,是本发明提供的无线网络安全监控系统的一个实施例的结构示意图。
本实施例提供一种无线网络安全监控系统,包括探帧设备I、数据还原系统2和网络管理系统3 ;所述探帧设备I配置有第一无线网卡、以太网卡和第二无线网卡。
探帧设备I安装在无线局域网WLAN中接入点所在的热点区域。如图I所示,无线局域网WLAN的覆盖区域A内具有接入点(wireless Access Point,简称AP) 41和接入点 42。用户终端51和用户终端52通过接入点41接入网络,用户终端53通过接入点42接入网络。探帧设备I安装在无线局域网WLAN的覆盖区域A中,通过无线网卡与接入点41和接入点42进行通信连接。探帧设备I还通过以太网卡接入因特网,与数据还原系统2和网络管理系统3进行通信连接。
用户终端使用AP的连接密钥与所述AP建立连接,接入无线网,并通过所述AP进行信息的收发(即传输无线数据包)。但是,用户终端不掌握AP的登录密钥,没有权限对AP 进行配置管理。本实施例在无线局域网WLAN中安装探帧设备,一方面可以采集探帧设备覆盖区域内AP的数据包,另一方面还可以登录其覆盖区域内的AP,进行相关配置管理。
具体的,探帧设备I用于通过第一无线网卡采集无线网络覆盖区域内的接入点的无线数据包,并通过以太网卡将采集到的无线数据包传送到所述数据还原系统2。在一个可选的实施方式中,所述探帧设备I所采集的无线数据包是包含设定的介质访问控制MAC地址的数据包。或者,所述探帧设备I所采集的无线数据包是包含设定的网络协议IP地址的数据包。或者,所述探帧设备I所采集的无线数据包是包含设定的网络端口号的数据包。数据还原系统2用于根据网络协议对所述无线数据包进行解析,还原得到信息原文,并将所述信息原文传送到所述网络管理系统3。网络管理系统3用于判断所述信息原文是否包含非法信息,若是,则确定所述无线数据包来自非法用户终端,并向所述探帧设备I发送切断连接指令;所述切断连接指令包含所述非法用户终端的地址以及所述非法用户终端所关联的接入点的地址。在一个可选的实施方式中,所述非法信息为设定的需要屏蔽的网址信息或关键词;所述网络管理系统3判断所述信息原文是否包含设定的需要屏蔽的网址信息和关键词中的至少一项;若是,则确定所述无线数据包来自非法用户终端;若否,则确定所述无线数据包来自合法用户终端。探帧设备I还用于通过以太网卡接收所述切断连接指令,根据所述切断连接指令确定需要切断连接的非法用户终端以及所述非法用户终端所关联的接入点,并通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。其中,所述探帧设备还包括数据存储模块,用于保存所述无线网络覆盖区域内的每个接入点的地址及其对应的登录密钥。所述探帧设备根据所述非法用户终端所关联的接入点的地址和登录密钥,通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。同时,在所述非法用户终端所关联的接入点中进行配置,屏蔽该非法用户终端的MAC地址,禁止该终端通过本接入点接入网络。参见图2,是本发明提供的探帧设备的一个实施例的结构示意图。本实施例提供一种探帧设备,包括第一无线网卡11、第一通信模块12、数据存储模块13、控制模块14、以太网卡15、第二通信模块16和第二无线网卡17。具体如下
第一无线网卡11用于采集无线局域网络WLAN覆盖区域中的接入点AP的无线数据包。第一通信模块12与第一无线网卡11适配,该第一通信模块12用于将所述第一无线网卡11采集到的无线数据包发送到数据存储模块13。数据存储模块13用于存储所述第一无线网卡11采集的无线数据包;此外,数据存储模块13还用于存储无线网络覆盖区域内的每个接入点的地址及其对应的登录密钥。控制模块14用于从所述数据存储模块13中读取无线数据包,将所述无线数据包传送给以太网卡15。以太网卡15用于将所述无线数据包发送到数据还原系统2。其中,数据还原系统2根据网络协议对所述无线数据包进行解析,还原得到信息原文,并将所述信息原文传送到所述网络管理系统3。网络管理系统3判断所述信息原文是否包含非法信息,若是,则确定所述无线数据包来自非法用户终端,并向所述探帧设备I发送切断连接指令;所述切断连接指令包含所述非法用户终端的地址以及所述非法用户终端所关联的接入点的地址。以太网卡15还用于接收网络管理系统3返回的切断连接指令,并将所述切断连接指令传送给所述控制模块14 ;所述切断连接指令包含所述非法用户终端的地址以及所述非法用户终端所关联的接入点的地址。控制模块14还用于根据所述切断连接指令确定需要切断连接的非法用户终端以及所述非法用户终端所关联的接入点,并从数据存储模块13中获得所述接入点的登录密钥,将所述登录密钥发送至所述第二通信模块16 ;所述登录指令包含所述接入点的登录密钥。
第二通信模块16与第二无线网卡17适配,该第二通信模块16用于将所述登录指令传送到第二无线网卡17。
第二无线网卡17将所述登录指令传送至所述非法用户终端所关联的接入点。
探帧设备登录所述非法用户终端所关联的接入点后,切断所述非法用户终端的网络连接,保障了无线网络的安全。
本发明实施例提供的探帧设备设置有两个无线网卡,其中一个用于采集AP的无线数据包,另一个用于向AP发送登录指令,使得对AP的抓包和通信能够同时进行,无需来回切换网卡模式,从而减少时延,提高网络监控的效率。
本发明实施例提供的无线网络安全监控系统,在无线局域网WLAN中配置探帧设备,通过第一无线网卡实时采集在接入点AP上传输的无线数据包。当确定所述无线数据包包含非法信息,是来自非法用户终端时,所述探帧设备通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接,从而保障无线网络的安全。
本发明实施例还提供一种无线网络安全监控方法,能够在上述的无线网络安全监控系统中实施。
参见图3,是本发明提供的无线网络安全监控方法的一个实施例的流程示意图。
本发明实施例提供一种无线网络安全监控方法,包括Si、探帧设备通过第一无线网卡采集无线网络覆盖区域内的接入点的无线数据包。
其中,探帧设备I安装在无线局域网WLAN中接入点所在的热点区域。在步骤SI 中,探巾贞设备所采集的无线数据包是包含设定的介质访问控制(Media Access Control, 简称MAC)地址的数据包。或者,探帧设备所采集的无线数据包是包含设定的网络协议 (Internet Protocol,简称IP)地址的数据包。或者,探巾贞设备所采集的无线数据包是包含设定的网络端口号的数据包,例如,设置探帧设备获取网络端口号为80的无线数据包,能够实现对网页信息的监控。本发明实施例可以灵活配置采集条件,不必对无线网络覆盖区域内的所有无线信号进行采集,而仅仅需要监测某些热点区域,或者重点监测某些网络终端,或者监测某些网络信息。
S2、所述探帧设备通过以太网卡将采集到的无线数据包传送到数据还原系统。
S3、所述数据还原系统根据网络协议对所述无线数据包进行解析,还原得到信息原文,并将所述信息原文传送到网络管理系统。
具体的,在网络中传输的无线数据包表现为网络协议报文,在格式和内容上具有特定的表达方式。在分析网络信息是否安全时,需要根据网络协议将无线数据包转换为信息原文。在本实施例中,网络协议包括传输控制协议/因特网互联协议(Transmission Control Protocol/ Internet Protocol,简称 TCP/IP)、用户数据报协议(User Data Protocol,简称UDP)等。按照网络协议约定的规则对无线数据包进行解析后,所得到的信息原文包括以下信息数据包序号、源MAC地址(即无线数据包所来源的用户终端的MAC地址)、目的MAC地址(即无线数据包所要到达的用户终端的MAC地址)、源IP地址(即无线数据包所来源的用户终端的IP地址)、目的IP地址(即无线数据包所要到达的用户终端的IP 地址)、源端口号、目的端口号以及数据报文。
S4、所述网络管理系统判断所述信息原文是否包含非法信息,若是,则确定所述无线数据包来自非法用户终端,并向所述探帧设备发送切断连接指令;所述切断连接指令包含所述非法用户终端的地址以及所述非法用户终端所关联的接入点的地址。其中,所述非法信息为设定的需要屏蔽的网址信息或关键词;所述网络管理系统判断所述信息原文是否包含设定的需要屏蔽的网址信息和关键词中的至少一项;若是,则确定所述无线数据包来自非法用户终端;若否,则确定所述无线数据包来自合法用户终端。优选的,在步骤S4中,所述切断连接指令包含所述非法用户终端的地址为MAC地址。S5、所述探帧设备通过以太网卡接收所述切断连接指令,根据所述切断连接指令确定需要切断连接的非法用户终端以及所述非法用户终端所关联的接入点。S6、所述探帧设备通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。 所述探帧设备保存有所述无线网络覆盖区域内的每个接入点的地址及其对应的登录密钥。在步骤S6中,所述探帧设备根据所述非法用户终端所关联的接入点的地址和登录密钥,通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。此外,在步骤S6之后,还可以包括所述非法用户终端所关联的接入点,标记所述非法用户终端为非法的用户终端,并对所述非法用户终端的MAC地址进行屏蔽,禁止所述非法用户终端通过本接入点接入网络。本发明实施例提供的无线网络安全监控方法,在无线局域网WLAN中安装探帧设备,通过第一无线网卡实时采集在接入点AP上传输的无线数据包。当确定所述无线数据包包含非法信息,是来自非法用户终端时,所述探帧设备通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接,从而保障无线网络的安全。本发明实施例提供的无线网络安全监控方法及系统,尤其适用于提供公共WLAN网络接入的领域,如运营商提供的WLAN网络接入,或者企业内部提供的WLAN网络接入服务。以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
权利要求
1.一种无线网络安全监控系统,其特征在于,包括探帧设备、数据还原系统和网络管理系统;所述探帧设备配置有第一无线网卡、以太网卡和第二无线网卡; 所述探帧设备用于通过第一无线网卡采集无线网络覆盖区域内的接入点的无线数据包,并通过以太网卡将采集到的无线数据包传送到所述数据还原系统; 所述数据还原系统用于根据网络协议对所述无线数据包进行解析,还原得到信息原文,并将所述信息原文传送到所述网络管理系统; 所述网络管理系统用于判断所述信息原文是否包含非法信息,若是,则确定所述无线数据包来自非法用户终端,并向所述探帧设备发送切断连接指令;所述切断连接指令包含所述非法用户终端的地址以及所述非法用户终端所关联的接入点的地址; 所述探帧设备还用于通过以太网卡接收所述切断连接指令,根据所述切断连接指令确定需要切断连接的非法用户终端以及所述非法用户终端所关联的接入点,并通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。
2.如权利要求I所述的无线网络安全监控系统,其特征在于,所述探帧设备所采集的无线数据包是包含设定的介质访问控制MAC地址的数据包; 或者,所述探帧设备所采集的无线数据包是包含设定的网络协议IP地址的数据包; 或者,所述探帧设备所采集的无线数据包是包含设定的网络端口号的数据包。
3.如权利要求I所述的无线网络安全监控系统,其特征在于,所述非法信息为设定的需要屏蔽的网址信息或关键词; 所述网络管理系统判断所述信息原文是否包含设定的需要屏蔽的网址信息和关键词中的至少一项;若是,则确定所述无线数据包来自非法用户终端;若否,则确定所述无线数据包来自合法用户终端。
4.如权利要求I所述的无线网络安全监控系统,其特征在于,所述探帧设备还包括数据存储模块,用于保存所述无线网络覆盖区域内的每个接入点的地址及其对应的登录密钥;所述探帧设备根据所述非法用户终端所关联的接入点的地址和登录密钥,通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。
5.如权利要求f4任一项所述的无线网络安全监控系统,其特征在于,所述探帧设备安装在无线局域网WLAN中接入点所在的热点区域。
6.一种无线网络安全监控方法,其特征在于,包括 s1、探帧设备通过第一无线网卡采集无线网络覆盖区域内的接入点的无线数据包; s2、所述探帧设备通过以太网卡将采集到的无线数据包传送到数据还原系统; s3、所述数据还原系统根据网络协议对所述无线数据包进行解析,还原得到信息原文,并将所述信息原文传送到网络管理系统; s4、所述网络管理系统判断所述信息原文是否包含非法信息,若是,则确定所述无线数据包来自非法用户终端,并向所述探帧设备发送切断连接指令;所述切断连接指令包含所述非法用户终端的地址以及所述非法用户终端所关联的接入点的地址; s5、所述探帧设备通过以太网卡接收所述切断连接指令,根据所述切断连接指令确定需要切断连接的非法用户终端以及所述非法用户终端所关联的接入点; s6、所述探帧设备通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。
7.如权利要求6所述的无线网络安全监控方法,其特征在于,在步骤SI中,所述探帧设备所采集的无线数据包是包含设定的介质访问控制MAC地址的数据包; 或者,所述探帧设备所采集的无线数据包是包含设定的网络协议IP地址的数据包; 或者,所述探帧设备所采集的无线数据包是包含设定的网络端口号的数据包。
8.如权利要求6所述的无线网络安全监控方法,其特征在于,在步骤S4中,所述非法信息为设定的需要屏蔽的网址信息或关键词; 所述网络管理系统判断所述信息原文是否包含设定的需要屏蔽的网址信息和关键词中的至少一项;若是,则确定所述无线数据包来自非法用户终端;若否,则确定所述无线数据包来自合法用户终端。
9.如权利要求6所述的无线网络安全监控方法,其特征在于,所述探帧设备保存有所述无线网络覆盖区域内的每个接入点的地址及其对应的登录密钥; 在步骤S6中,所述探帧设备根据所述非法用户终端所关联的接入点的地址和登录密钥,通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。
10.如权利要求6、任一项所述的无线网络安全监控方法,其特征在于,在步骤S6之后,还包括 所述非法用户终端所关联的接入点,标记所述非法用户终端为非法的用户终端,并对所述非法用户终端的MAC地址进行屏蔽,禁止所述非法用户终端通过本接入点接入网络。
全文摘要
本发明公开了一种无线网络安全监控系统,包括探帧设备、数据还原系统和网络管理系统;所述探帧设备通过第一无线网卡采集无线网络覆盖区域内的接入点的无线数据包,并通过以太网卡将采集到的无线数据包传送到所述数据还原系统;所述探帧设备还通过以太网卡接收切断连接指令,根据所述切断连接指令确定需要切断连接的非法用户终端以及所述非法用户终端所关联的接入点,并通过第二无线网卡登录所述非法用户终端所关联的接入点,切断所述非法用户终端的网络连接。本发明还公开一种无线网络安全监控方法。采用本发明实施例,能够及时发现无线网络中传播的非法信息,切断发布非法信息的用户终端的网络连接,保障无线网络的安全。
文档编号H04W24/00GK102984165SQ201210521789
公开日2013年3月20日 申请日期2012年12月7日 优先权日2012年12月7日
发明者陈文杰, 安月婷, 陈康先 申请人:广州杰赛科技股份有限公司