1.一种恶意热点检测方法,其特征在于,包括以下步骤:
部署在企业内部的硬件传感器,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;
中控服务器从所述数据流量中解析出需要的特征信息;
中控服务器将所述特征信息在特征库中进行匹配检测;
中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;
中控服务器对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示。
2.如权利要求1所述的恶意热点检测方法,其特征在于,
所述硬件传感器包括无线网卡,实时或定时采集无线网络中热点、客户端接收或发送的无线数据包;
所述特征信息包括:热点SSID、热点加密方式、热点频道、热点MAC地址、客户端MAC地址。
3.如权利要求1所述的恶意热点检测方法,其特征在于,所述中控服务器将所述特征信息在特征库中进行匹配检测包括:
统计无线数据包中的无线热点的SSID名称和客户端MAC地址,划分出属于本企业内部的热点和客户端,以及不属于本企业内部的热点和客户端;
所述中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单包括:
如果企业内部的热点所连接的不是企业内部的客户端,则判断所述企业内部的热点出现异常,将所述客户端划分至黑名单中;
如果企业内部的客户端所连接的不是企业内部的热点,则判断所述企业内部的客户端出现异常,将所述客户端划分至黑名单中;
如果企业内部的热点中出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的阈值,则确定出现异常,将该热点划分到黑名单中;
如果企业内部的客户端在某一时间段内连接的热点的数量超过预设的阈值,将所述客户端划分至黑名单中。
4.如权利要求1所述的恶意热点检测方法,其特征在于,所述中控服务器对黑名单中的热点/客户端进行定位包括:
中控服务器中预先导入了包含传感器地理位置信息的平面结构图,使用传感器三点定位技术对传感器覆盖范围内的热点/客户端进行精确定位;
该方法还包括:
管理终端接收中控服务器发送的黑名单中的热点/客户端的定位信息;显示所接收的定位信息并向管理员发出告警提示;根据用户确认,将黑名单中的热点/客户端加入到白名单中。
5.一种恶意热点检测系统,其特征在于,包括硬件传感器、中控服务器、管理终端,其中,
所述硬件传感器部署在企业内部,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;
所述中控服务器从所述数据流量中解析出需要的特征信息;将所述特征信息在特征库中进行匹配检测;对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示;
所述管理终端从中控服务器接收所述定位信息。
6.如权利要求5所述的恶意热点检测系统,其特征在于,
所述硬件传感器包括无线网卡,实时或定时采集无线网络中热点、客户端接收或发送的无线数据包。
7.如权利要求5所述的恶意热点检测系统,其特征在于,所述特征信息包括:热点SSID、热点加密方式、热点频道、热点MAC地址、客户端MAC地址;
所述中控服务器将所述特征信息在特征库中进行匹配检测包括:
统计无线数据包中的无线热点的SSID名称和客户端MAC地址,划分出属于本企业内部的热点和客户端,以及不属于本企业内部的热点和客户端。
8.如权利要求5所述的恶意热点检测系统,其特征在于,所述中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检 查,生成黑白名单包括:
如果企业内部的热点所连接的不是企业内部的客户端,则判断所述企业内部的热点出现异常,将所述客户端划分至黑名单中;
如果企业内部的客户端所连接的不是企业内部的热点,则判断所述企业内部的客户端出现异常,将所述客户端划分至黑名单中;
如果企业内部的热点中出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的阈值,则确定出现异常,将该热点划分到黑名单中;
如果企业内部的客户端在某一时间段内连接的热点的数量超过预设的阈值,将所述客户端划分至黑名单中。
9.如权利要求5所述的恶意热点检测系统,其特征在于,所述中控服务器对黑名单中的热点/客户端进行定位包括:
中控服务器中预先导入了包含传感器地理位置信息的平面结构图,使用传感器三点定位技术对传感器覆盖范围内的热点/客户端进行精确定位。
10.如权利要求5所述的恶意热点检测系统,其特征在于,所述管理终端包括:
接收单元,用于接收中控服务器发送的黑名单中的热点/客户端的定位信息;
显示告警单元,用于显示所接收的定位信息并向管理员发出告警提示;
黑白名单管理单元,用于根据用户确认,将黑名单中的热点/客户端加入到白名单中。