一種無線報(bào)文偵聽檢測方法、系統(tǒng)及中控服務(wù)器的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,尤其涉及一種無線報(bào)文的偵聽檢測方法�����、系統(tǒng)及中控服務(wù)器���。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)技術(shù)的發(fā)展�,無線網(wǎng)絡(luò)因?yàn)槠浔憷?���,?yīng)用范圍越來越廣泛,無線技術(shù)的飛速發(fā)展和日漸成熟�����,越來越多的移動(dòng)設(shè)備和移動(dòng)終端也支持無線傳輸功能���,極大地改善了人們的生活質(zhì)量,加快了社會(huì)發(fā)展的進(jìn)程���,也使信息共享及應(yīng)用更加廣泛和深入��。同有線網(wǎng)絡(luò)一樣���,安全性以及訪問可控性等網(wǎng)絡(luò)安全技術(shù)��,對(duì)于無線網(wǎng)絡(luò)而言同樣需要得到高度重視���。
[0003]在無線網(wǎng)絡(luò)中,數(shù)據(jù)傳輸是利用微波在空氣中進(jìn)行輻射傳播��,攻擊者可以通過入侵網(wǎng)絡(luò)中無線接入點(diǎn)所覆蓋的任何位置��,偵聽���、攔截���、重放、破壞用戶的通信數(shù)據(jù)�。由于無線網(wǎng)絡(luò)的特殊性,攻擊者無須物理連線就可以對(duì)無線網(wǎng)絡(luò)發(fā)起攻擊���。更為重要的是����,一部分無線路由并沒有設(shè)置進(jìn)入口令,使得無線網(wǎng)絡(luò)的安全性非常低�����,即便一部分無線路由進(jìn)行了無線加密協(xié)議WEP�、WPA等口令設(shè)置,但是在各種破解攻略以及破解工具充斥整個(gè)網(wǎng)絡(luò)的環(huán)境下���,這些防范性能較低的技術(shù)對(duì)攻擊者而言也是形同虛設(shè)����。也有一些無線路由器具有一定安全限度的防火墻�,但是目前而言功能還較為有限?�?傊?,目前的無線網(wǎng)絡(luò)還不是很安全。
【發(fā)明內(nèi)容】
[0004]有鑒于此���,本發(fā)明要解決的一個(gè)技術(shù)問題是提供一種無線報(bào)文的偵聽檢測方法�����,可以檢測出對(duì)無線網(wǎng)絡(luò)的攻擊事件���。
[0005]一種無線報(bào)文的偵聽檢測方法,其中:中控服務(wù)器接收到無線熱點(diǎn)和客戶端裝置的無線數(shù)據(jù)包��;所述中控服務(wù)器從所述無線數(shù)據(jù)包中解析出特征信息并存儲(chǔ)����;所述中控服務(wù)器根據(jù)攻擊指紋庫中設(shè)置的指紋信息和攻擊事件模型對(duì)所述無線數(shù)據(jù)包進(jìn)行匹配檢測,獲得檢測結(jié)果�。
[0006]根據(jù)本發(fā)明的一個(gè)實(shí)施例,進(jìn)一步的�����,當(dāng)所述中控服務(wù)器判斷所述無線數(shù)據(jù)包為WPA數(shù)據(jù)包時(shí)���,所述中控服務(wù)器將所述WAP數(shù)據(jù)包與所述攻擊指紋庫中的斷線包指紋進(jìn)行匹配�,如果匹配成功���,則確定所述WAP數(shù)據(jù)為斷線包并確定受到攻擊��,將發(fā)送此斷線包的源MAC地址加入到動(dòng)態(tài)黑名單中����。
[0007]根據(jù)本發(fā)明的一個(gè)實(shí)施例,進(jìn)一步的����,所述中控服務(wù)器統(tǒng)計(jì)各個(gè)客戶端裝置連接的無線熱點(diǎn)的數(shù)量;當(dāng)判斷某個(gè)客戶端裝置在某一時(shí)間段內(nèi)連接的無線熱點(diǎn)的數(shù)量超過預(yù)設(shè)的閾值時(shí)���,則確定此客戶端裝置為可疑設(shè)備���,并將此客戶端裝置的源MAC地址加入到動(dòng)態(tài)黑名單中。
[0008]根據(jù)本發(fā)明的一個(gè)實(shí)施例���,進(jìn)一步的��,所述中控服務(wù)器統(tǒng)計(jì)所述無線數(shù)據(jù)包中的無線熱點(diǎn)的SSID名稱����;當(dāng)所述中控服務(wù)器判斷出現(xiàn)SSID名稱相同的多個(gè)無線熱點(diǎn)���、并且所述多個(gè)無線熱點(diǎn)中的一個(gè)或多個(gè)無線熱點(diǎn)接收斷線包的頻率超過了預(yù)設(shè)的頻率閾值時(shí)����,則確定出現(xiàn)異常。
[0009]根據(jù)本發(fā)明的一個(gè)實(shí)施例����,進(jìn)一步的��,當(dāng)所述中控服務(wù)器判斷某個(gè)無線熱點(diǎn)的SSID名稱長度超過預(yù)設(shè)的長度閾值時(shí)�,則確定此無線熱點(diǎn)受到攻擊,并將發(fā)起攻擊的源MAC地址加入到動(dòng)態(tài)黑名單中�����。
[0010]根據(jù)本發(fā)明的一個(gè)實(shí)施例���,進(jìn)一步的�,傳感器包括無線網(wǎng)卡�����;所述傳感器實(shí)時(shí)或定時(shí)采集無線網(wǎng)絡(luò)中無線熱點(diǎn)����、客戶端裝置接收或發(fā)送的無線數(shù)據(jù)包,并發(fā)送到所述中控服務(wù)器����;所述傳感器向所述中控服務(wù)器發(fā)送所述無線數(shù)據(jù)包采用的協(xié)議包括:802.1X ;所述無線熱點(diǎn)包括:無線路由器����、無線AP ;所述客戶端裝置包括:移動(dòng)終端����、PC、筆記本電腦���。
[0011]根據(jù)本發(fā)明的一個(gè)實(shí)施例��,進(jìn)一步的���,所述中控服務(wù)器根據(jù)所述特征信息、以及檢測結(jié)果實(shí)時(shí)生成所述無線熱點(diǎn)和客戶端裝置的狀態(tài)信息��,并將所述狀態(tài)信息發(fā)送到監(jiān)控終端進(jìn)行顯示�;當(dāng)所述中控服務(wù)器確定無線網(wǎng)絡(luò)受到攻擊或出現(xiàn)異常時(shí),將告警信息發(fā)送到監(jiān)控終端進(jìn)行顯示�����;所述監(jiān)控終端包括:移動(dòng)終端����、PC�����、筆記本電腦����;所述特征信息包括:SSID名稱���、熱點(diǎn)加密方式、頻道�����、MAC地址�����、客戶端MAC地址�、QSS信息、WPS信息��、認(rèn)證信息���。
[0012]本發(fā)明要解決的一個(gè)技術(shù)問題是提供一種中控服務(wù)器��,可以檢測出對(duì)無線網(wǎng)絡(luò)的攻擊事件�。
[0013]一種中控服務(wù)器,包括:信息接收單元��,用于接收無線熱點(diǎn)和客戶端裝置的無線數(shù)據(jù)包�����;信息解析單元���,用于從所述無線數(shù)據(jù)包中解析出特征信息并存儲(chǔ)��;入侵判斷單元�����,用于根據(jù)攻擊指紋庫中設(shè)置的指紋信息和攻擊事件模型對(duì)所述無線數(shù)據(jù)包進(jìn)行匹配檢測�����,獲得檢測結(jié)果�����。
[0014]根據(jù)本發(fā)明的一個(gè)實(shí)施例����,進(jìn)一步的,所述入侵判斷單元����,還用于當(dāng)判斷所述無線數(shù)據(jù)包為WPA數(shù)據(jù)包時(shí),將所述WAP數(shù)據(jù)包與所述攻擊指紋庫中的斷線包指紋進(jìn)行匹配���,如果匹配成功,則確定所述WAP數(shù)據(jù)為斷線包并確定受到攻擊�����,將發(fā)送此斷線包的源MAC地址加入到動(dòng)態(tài)黑名單中�。
[0015]根據(jù)本發(fā)明的一個(gè)實(shí)施例,進(jìn)一步的��,所述入侵判斷單元���,還用于統(tǒng)計(jì)各個(gè)客戶端裝置連接的無線熱點(diǎn)的數(shù)量����;當(dāng)判斷某個(gè)客戶端裝置在某一時(shí)間段內(nèi)連接的無線熱點(diǎn)的數(shù)量超過預(yù)設(shè)的閾值時(shí),則確定此客戶端裝置為可疑設(shè)備��,并將此客戶端裝置的源MAC地址加入到動(dòng)態(tài)黑名單中���。
[0016]根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,進(jìn)一步的���,所述入侵判斷單元,還用于統(tǒng)計(jì)各個(gè)無線熱點(diǎn)的SSID名稱��;當(dāng)判斷出現(xiàn)SSID名稱相同的多個(gè)無線熱點(diǎn)�、并且所述多個(gè)無線熱點(diǎn)中的一個(gè)或多個(gè)無線熱點(diǎn)接收斷線包的頻率超過了預(yù)設(shè)的頻率閾值時(shí),則確定出現(xiàn)異常����。
[0017]根據(jù)本發(fā)明的一個(gè)實(shí)施例,進(jìn)一步的��,所述入侵判斷單元��,還用于當(dāng)判斷SSID名稱長度超過預(yù)設(shè)的長度閾值時(shí),則確定此無線熱點(diǎn)受到攻擊�,并將發(fā)起攻擊的源MAC地址加入到動(dòng)態(tài)黑名單中。
[0018]根據(jù)本發(fā)明的一個(gè)實(shí)施例���,進(jìn)一步的�,還包括:信息處理單元����,用于根據(jù)所述特征信息、以及檢測結(jié)果實(shí)時(shí)生成所述無線熱點(diǎn)和客戶端裝置的狀態(tài)信息����,并將所述狀態(tài)信息發(fā)送到監(jiān)控終端進(jìn)行顯示;當(dāng)確定無線網(wǎng)絡(luò)受到攻擊或出現(xiàn)異常時(shí)�,將告警信息發(fā)送到監(jiān)控終端進(jìn)行顯示;所述監(jiān)控終端包括:移動(dòng)終端����、PC��、筆記本電腦��;所述特征信息包括:SSID名稱��、熱點(diǎn)加密方式、頻道�、MAC地址、客戶端MAC地址�����、QSS信息����、WPS信息、認(rèn)證信息��。
[0019]本發(fā)明提供一種無線報(bào)文的偵聽檢測系統(tǒng)���,包括:如上所述的中控服務(wù)器��;傳感器�,用于采集無線熱點(diǎn)和客戶端裝置的無線數(shù)據(jù)包���,并將所述無線數(shù)據(jù)包發(fā)送到所述中控服務(wù)器��;
[0020]根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,進(jìn)一步的���,所述傳感器包括無線網(wǎng)卡�����;所述傳感器實(shí)時(shí)或定時(shí)采集無線網(wǎng)絡(luò)中無線熱點(diǎn)���、客戶端裝置接收或發(fā)送的無線數(shù)據(jù)包;所述傳感器向所述中控服務(wù)器發(fā)送所述無線數(shù)據(jù)包采用的協(xié)議包括:802.1X ;所述無線熱點(diǎn)包括:無線路由器��、無線AP ;所述客戶端裝置包括:移動(dòng)終端����、PC、筆記本電腦�。
[0021]本發(fā)明的無線報(bào)文的偵聽檢測方法、系統(tǒng)及中控服務(wù)器���,通過預(yù)先設(shè)置的攻擊指紋庫對(duì)采集的無線數(shù)據(jù)包或報(bào)文進(jìn)行匹配檢測,可以檢測出對(duì)無線網(wǎng)絡(luò)的攻擊事件��,提高了無線網(wǎng)絡(luò)的安全性�,也能夠?qū)崿F(xiàn)無線熱點(diǎn)安全評(píng)估�、違規(guī)熱點(diǎn)一鍵阻斷等功能��,并可以兼容企業(yè)各種無線網(wǎng)環(huán)境��,不影響企業(yè)現(xiàn)有無線網(wǎng)結(jié)構(gòu)���,能夠無縫部署�����,進(jìn)行智能���、便捷管理。
【附圖說明】
[0022]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提