恶意热点检测方法和系统与流程
本发明涉及网络安全技术领域,尤其涉及一种恶意热点检测方法和系统。
背景技术:
随着网络技术的发展,无线网络因为其便利性,应用范围越来越广泛。一些公司和家庭因为不同设备无线上网的需求,增设了无线AP(Access Point,接入点),增强了上网设备的移动性,弥补了有线网络的局限。
对于企业用户来说,随着企业网络中的热点不断增加,形成了各种厂家、型号各异的热点并存;同时,分布混乱,设备安全性脆弱。由于无线网络中,数据是利用无线信号进行辐射传播,攻击者可以通过入侵无线网络中热点所覆盖的任何位置,侦听、拦截、重放、破坏用户的通信数据,给企业的网络信息安全带来了极大的安全风险。
在企业内部出现的热点,主要有以下几种方式,各种方式都有一定的安全隐患和问题。
1、合法热点
企业有规划的搭建的热点,称为合法热点。从安全角度讲,合法热点应该是企业内部的唯一热点,其他热点都可能会给企业带来安全风险。
但是,合法热点也存在安全隐患,即使进行了无线加密协议WEP、WPA等口令设置,也存在弱口令、加密等级不足等问题,而且在各种破解策略以及破解工具充斥网络的环境下,这些加密协议对攻击者而言也是形同虚设,容易被黑客通过热点进入企业内部网络,造成信息泄露被篡改等严重后果;合法热点也可能会收到DDoS攻击,导致无法正常服务。
2、覆盖过来的其它热点
由于无线网络的穿透性和边界的不确定性,某些邻近的企业的无 线网络可能会互相覆盖。这种热点对于企业的网络安全来说,存在两方面的问题。一是不确定对方热点是否安全;二是本企业员工可能会接入对方热点。有可能会造成信息泄露。
3、员工私自搭建的热点
随身WiFi只要查到有网络的电脑终端商,即可作为一个与此网络联通的热点;也有很多终端工具提供了分享WiFi的工具。很多员工有意无意间会在自己的终端上建立热点,而其安全性很难得到保证,容易被黑客入侵,进入企业网络内部,进而窃取企业内部数据。
4、恶意热点
除上述热点外,一些攻击者还可能会故意在企业周围建立恶意热点,采用与企业热点相同或相近的名称,使员工的终端有意或无意间连接到该热点。而攻击者可以通过该热点获取企业内部信息,甚至通过入侵该终端,进入企业内部网络。
因此,安全性及访问可控性等网络安全技术,对于无线网络而言需要得到高度重视。
虽然企业可能会定期进行无线网络的安全检查,检测恶意热点情况、是否有非法热点等,但是很难形成常态。无法长期关注整个恶意热点情况,对于出现偶然性比较大的非法热点,无法做到实时发现和阻断。还缺少一种能够持续、稳定运行的检测恶意热点情况的方法和系统。
当热点受到DDoS洪泛攻击时,很多企业都是被攻击到网络无法继续使用的情况下,才会发现并进行相应处理。对于钓鱼热点攻击,几乎没有发现的手段,从而造成某些终端无意之间连接到了钓鱼热点,造成信息泄露。还缺少有效的防护措施,及时发现和阻断攻击。
当发生了安全事件后,如:某些终端是否私自建立过WiFi,某些终端是否连接过非法热点,热点是否收到过攻击等等。对于事后的审计和追踪,缺乏必要的数据支持和处理手段。
技术实现要素:
鉴于上述问题,提出了本发明以便提供一种恶意热点检测方法和 系统,以克服上述问题或者至少部分地解决或者减缓上述问题的缺点。
根据本发明的一个方面,提供了一种恶意热点检测方法,包括以下步骤:
部署在企业内部的硬件传感器,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;
中控服务器从所述数据流量中解析出需要的特征信息;
中控服务器将所述特征信息在特征库中进行匹配检测;
中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;
中控服务器对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示。
可选地,所述硬件传感器包括无线网卡,实时或定时采集无线网络中热点、客户端接收或发送的无线数据包。
可选地,所述特征信息包括:热点SSID、热点加密方式、热点频道、热点MAC地址、客户端MAC地址。
可选地,所述中控服务器将所述特征信息在特征库中进行匹配检测包括:
统计无线数据包中的无线热点的SSID名称和客户端MAC地址,划分出属于本企业内部的热点和客户端,以及不属于本企业内部的热点和客户端。
可选地,所述中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单包括:
如果企业内部的热点所连接的不是企业内部的客户端,则判断所述企业内部的热点出现异常,将所述客户端划分至黑名单中;
如果企业内部的客户端所连接的不是企业内部的热点,则判断所述企业内部的客户端出现异常,将所述客户端划分至黑名单中;
如果企业内部的热点中出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的阈值,则确定出现异常,将该热点划分到黑名单中;
如果企业内部的客户端在某一时间段内连接的热点的数量超过预设的阈值,将所述客户端划分至黑名单中。
可选地,所述中控服务器对黑名单中的热点/客户端进行定位包括:
中控服务器中预先导入了包含传感器地理位置信息的平面结构图,使用传感器三点定位技术对传感器覆盖范围内的热点/客户端进行精确定位。
可选地,管理终端接收中控服务器发送的黑名单中的热点/客户端的定位信息;显示所接收的定位信息并向管理员发出告警提示;根据用户确认,将黑名单中的热点/客户端加入到白名单中。
根据本发明的另一个方面,提供了一种恶意热点检测系统,包括硬件传感器、中控服务器、管理终端,其中,
所述硬件传感器部署在企业内部,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;
所述中控服务器从所述数据流量中解析出需要的特征信息;将所述特征信息在特征库中进行匹配检测;对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示;
所述管理终端从中控服务器接收所述定位信息。
可选地,所述硬件传感器包括无线网卡,实时或定时采集无线网络中热点、客户端接收或发送的无线数据包。
可选地,所述特征信息包括:热点SSID、热点加密方式、热点频道、热点MAC地址、客户端MAC地址。
可选地,所述中控服务器将所述特征信息在特征库中进行匹配检测包括:
统计无线数据包中的无线热点的SSID名称和客户端MAC地址,划分出属于本企业内部的热点和客户端,以及不属于本企业内部的热点和客户端。
可选地,所述中控服务器对属于本企业内部的热点和客户端的连 接情况进行进一步检查,生成黑白名单包括:
如果企业内部的热点所连接的不是企业内部的客户端,则判断所述企业内部的热点出现异常,将所述客户端划分至黑名单中;
如果企业内部的客户端所连接的不是企业内部的热点,则判断所述企业内部的客户端出现异常,将所述客户端划分至黑名单中;
如果企业内部的热点中出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的阈值,则确定出现异常,将该热点划分到黑名单中;
如果企业内部的客户端在某一时间段内连接的热点的数量超过预设的阈值,将所述客户端划分至黑名单中。
可选地,所述中控服务器对黑名单中的热点/客户端进行定位包括:
中控服务器中预先导入了包含传感器地理位置信息的平面结构图,使用传感器三点定位技术对传感器覆盖范围内的热点/客户端进行精确定位。
可选地,所述管理终端包括:
接收单元,用于接收中控服务器发送的黑名单中的热点/客户端的定位信息;
显示告警单元,用于显示所接收的定位信息并向管理员发出告警提示;
黑白名单管理单元,用于根据用户确认,将黑名单中的热点/客户端加入到白名单中。
本发明的恶意热点检测定位方法和系统,通过对采集的无线数据包进行检测,可以检测出无线网络中的恶意热点/客户端,并进行定位。提高了无线网络的安全性,可以兼容企业各种无线网环境,不影响企业现有无线网结构,能够无缝部署,进行智能、便捷管理。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的 具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的恶意热点检测定位方法的流程图;
图2示出了根据本发明一个实施例的恶意热点检测系统的结构图;
图3示出了根据本发明一个实施例的恶意热点检测系统的中控服务器结构图;
图4示出了根据本发明一个实施例的恶意热点检测系统的管理终端结构图。
具体实施例
下面结合附图和具体的实施方式对本发明作进一步的描述。
如附图1所示,本发明一个实施例的一种恶意热点检测方法,具体包括以下步骤:
步骤101,部署在企业内部的硬件传感器,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器。
所述硬件传感器包括无线网卡,能够实时或定时采集无线网络中热点、客户端接收或发送的无线数据包。无线数据包的格式可以为802.11等。传感器将采集到的无线数据包封装起来,通过有线或无线连接方式向中控服务器传输。
热点包括:无线路由器、无线AP等。客户端包括:移动终端、PC、笔记本电脑等。
步骤102,中控服务器从所述数据流量中解析出需要的特征信息。
所述特征信息包括:热点SSID、热点加密方式、热点频道、热点MAC地址、客户端MAC地址等。
步骤103,中控服务器将所述特征信息在特征库中进行匹配检测。
统计无线数据包中的无线热点的SSID名称和客户端MAC地址,划分出属于本企业内部的热点和客户端,以及不属于本企业内部的热点和客户端。
步骤104,通过数据包,对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单。
如果企业内部的热点所连接的不是企业内部的客户端,则判断所述企业内部的热点出现异常,将所述客户端划分至黑名单中;或者根据管理人员或用户的确认,也可以将所述客户端加入到白名单中;
如果企业内部的客户端所连接的不是企业内部的热点,则判断所述企业内部的客户端出现异常,将所述客户端划分至黑名单中;或者根据管理人员或用户的确认,也可以将所述客户端加入到白名单中;
如果企业内部的热点中出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的阈值,则确定出现异常,将该热点划分到黑名单中;
如果某个无线热点的SSID名称长度超过预设的阈值时,由于SSID用于区分不同的无线网络,如果SSID长度超长,则可能是攻击者在进行溢出攻击,将发起攻击的客户端加入到黑名单中;
如果企业内部的客户端在某一时间段内连接的热点的数量超过预设的阈值,将所述客户端划分至黑名单中;或者根据管理人员或用户的确认,也可以将所述客户端加入到动态白名单中;客户端频繁连接超过预定数量的热点时,所述客户端可能是扫描器,尝试破解企业内部的热点。
步骤105,中控服务器对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示。
中控服务器中预先导入了包含传感器地理位置信息的平面结构图,使用传感器三点定位技术对传感器覆盖范围内的热点/客户端进行精确定位,帮助管理人员快递的跟踪热点或客户端,定位无线攻击事 件发生的源头。
中控服务器获取至少一个传感器上报的用于对热点/客户端进行定位的信息,根据获取的至少一个传感器上报的用于对热点/客户端进行定位的信息,对热点/客户端进行定位,其中,
如果传感器为三个或三个以上,根据每一传感器对热点/客户端的接收信号的强度,确定该传感器与热点/客户端之间的距离;
根据每一传感器的地理位置信息以及每一传感器与热点/客户端之间的距离,利用三点定位算法,确定地理位置坐标预估计值;计算上述地理位置坐标预估计值的几何中心位置坐标,作为热点/客户端的地理位置坐标的最终估计值。
所述管理终端接收中控服务器发送的黑名单中的热点/客户端的定位信息;显示所接收的定位信息并向管理员发出告警提示;根据用户确认,将黑名单中的热点/客户端加入到白名单中。
所述管理终端可以是与中控服务器连接的移动终端、PC、笔记本电脑等。进一步的,所述管理终端可以是工作在与中控服务器连接的移动终端、PC、笔记本电脑等上的Web端管理平台。
如附图2所示,本发明一个实施例的一种恶意热点检测系统包括:硬件传感器、中控服务器和管理终端。
所述硬件传感器分布于企业办公环境中各个位置,用于持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器。
所述硬件传感器包括无线网卡,能够实时或定时采集无线网络中热点、客户端接收或发送的无线数据包。无线数据包的格式可以为802.11等。传感器将采集到的无线数据包封装起来,通过有线或无线连接方式向中控服务器传输。
其中,所述热点包括:无线路由器、无线AP等;所述客户端包括:移动终端、带有无线网卡的PC、笔记本电脑等。
如附图3所示,所述中控服务器包括:
接收单元,用于从所述硬件传感器接收数据流量;
解析单元,用于从所述数据流量中解析出需要的特征信息;
匹配检测单元,用于将所述特征信息在特征库中进行匹配检测;
黑白名单生成单元,用于对属于本企业内部的热点和客户端的连接情况进行进一步检查生成黑白名单;
定位单元,用于对黑名单中的热点/客户端进行定位;
发送单元,用于将定位信息发送到管理终端进行显示。
具体地,所述解析单元从所述数据流量中解析出需要的特征信息包括:
热点SSID、热点加密方式、热点频道、热点MAC地址、客户端MAC地址等;还可以包括:客户端接入的时间、客户端分配到的IP、AP与客户端的连接关系等。
所述匹配检测单元将所述特征信息在特征库中进行匹配检测包括:
统计无线数据包中的无线热点的SSID名称和客户端MAC地址,划分出属于本企业内部的热点和客户端,以及不属于本企业内部的热点和客户端。
所述黑白名单生成单元对属于本企业内部的热点和客户端的连接情况进行进一步检查生成黑白名单包括:
如果企业内部的热点所连接的不是企业内部的客户端,则判断所述企业内部的热点出现异常,将所述客户端划分至黑名单中;或者根据管理人员或用户的确认,也可以将所述客户端加入到白名单中;
如果企业内部的客户端所连接的不是企业内部的热点,则判断所述企业内部的客户端出现异常,将所述客户端划分至黑名单中;或者根据管理人员或用户的确认,也可以将所述客户端加入到白名单中;
如果企业内部的热点中出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的阈值,则确定出现异常,将所述热点划分到黑名单中;
如果某个无线热点的SSID名称长度超过预设的阈值时,由于SSID用于区分不同的无线网络,如果SSID长度超长,则可能是攻击者在进行溢出攻击,将发起攻击的客户端加入到黑名单中;
如果企业内部的客户端在某一时间段内连接的热点的数量超过预设的阈值,将所述客户端划分至黑名单中;或者根据管理人员或用户的确认,也可以将所述客户端加入到动态白名单中;客户端频繁连接超过预定数量的热点时,所述客户端可能是扫描器,尝试破解企业内部的热点。
所述定位单元,用于对黑名单中的热点/客户端进行定位;
定位单元中预先导入了包含传感器地理位置信息的平面结构图,使用传感器三点定位技术对传感器覆盖范围内的热点/客户端进行精确定位,帮助管理人员快递的跟踪热点或客户端,定位无线攻击事件发生的源头。
定位单元获取至少一个传感器上报的用于对热点/客户端进行定位的信息,根据获取的至少一个传感器上报的用于对热点/客户端进行定位的信息,对热点/客户端进行定位,其中,
如果传感器为三个或三个以上,根据每一传感器对热点/客户端的接收信号的强度,确定该传感器与热点/客户端之间的距离;
根据每一传感器的地理位置信息以及每一传感器与热点/客户端之间的距离,利用三点定位算法,确定地理位置坐标预估计值;计算上述地理位置坐标预估计值的几何中心位置坐标,作为热点/客户端的地理位置坐标的最终估计值。
发送单元,用于将定位信息发送到管理终端进行显示。
如附图4所示,所述管理终端包括:
接收单元,用于接收中控服务器发送的黑名单中的热点/客户端的定位信息;
显示告警单元,用于显示所接收的定位信息并向管理员发出告警提示;
黑白名单管理单元,用于根据用户确认,将黑名单中的热点/客户端加入到白名单中。
所述管理终端可以是与中控服务器连接的移动终端、PC、笔记本电脑等。进一步的,所述管理终端可以是工作在与中控服务器连接的移动终端、PC、笔记本电脑等上的Web端管理平台。
上述实施例提供的恶意热点检测定位方法和系统,通过对采集的无线数据包进行检测,可以检测出无线网络中的恶意热点/客户端,并进行定位。提高了无线网络的安全性,可以兼容企业各种无线网环境,不影响企业现有无线网结构,能够无缝部署,进行智能、便捷管理。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件单元实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的恶意热点检测定位系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着,结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外,请注意,这里“在一个实施例中”的词语例子不一定全指同一个实施例。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中, 这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
此外,还应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
- 还没有人留言评论。精彩留言会获得点赞!