本发明专利技术公开了一种无线报文的侦听检测方法、系统及中控服务器,传感器采集无线热点和客户端装置的无线数据包,并将无线数据包发送到中控服务器;中控服务器从无线数据包中解析出特征信息并存储;中控服务器根据攻击指纹库中设置的指纹信息和攻击事件模型对无线数据包进行匹配检测,获得检测结果。本发明专利技术的无线报文的侦听检测方法、系统及中控服务器,通过预先设置的攻击指纹库对采集的无线数据包或报文进行匹配检测,可以检测出对无线网络的攻击事件,提高了无线网络的安全性,也能够实现无线热点安全评估、违规热点一键阻断等功能,并可以兼容企业各种无线网环境,不影响企业现有无线网结构,能够无缝部署,进行智能、便捷管理。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种无线报文的侦听检测方法、系统及中控服务器。
技术介绍
随着网络技术的发展,无线网络因为其便利性,应用范围越来越广泛,无线技术的飞速发展和日渐成熟,越来越多的移动设备和移动终端也支持无线传输功能,极大地改善了人们的生活质量,加快了社会发展的进程,也使信息共享及应用更加广泛和深入。同有线网络一样,安全性以及访问可控性等网络安全技术,对于无线网络而言同样需要得到高度重视。在无线网络中,数据传输是利用微波在空气中进行辐射传播,攻击者可以通过入侵网络中无线接入点所覆盖的任何位置,侦听、拦截、重放、破坏用户的通信数据。由于无线网络的特殊性,攻击者无须物理连线就可以对无线网络发起攻击。更为重要的是,一部分无线路由并没有设置进入口令,使得无线网络的安全性非常低,即便一部分无线路由进行了无线加密协议WEP、WPA等口令设置,但是在各种破解攻略以及破解工具充斥整个网络的环境下,这些防范性能较低的技术对攻击者而言也是形同虚设。也有一些无线路由器具有一定安全限度的防火墙,但是目前而言功能还较为有限。总之,目前的无线网络还不是很安全。
技术实现思路
有鉴于此,本专利技术要解决的一个技术问题是提供一种无线报文的侦听检测方法,可以检测出对无线网络的攻击事件。一种无线报文的侦听检测方法,其中:中控服务器接收到无线热点和客户端装置的无线数据包;所述中控服务器从所述无线数据包中解析出特征信息并存储;所述中控服务器根据攻击指纹库中设置的指纹信息和攻击事件模型对所述无线数据包进行匹配检测,获得检测结果。根据本专利技术的一个实施例,进一步的,当所述中控服务器判断所述无线数据包为WPA数据包时,所述中控服务器将所述WAP数据包与所述攻击指纹库中的断线包指纹进行匹配,如果匹配成功,则确定所述WAP数据为断线包并确定受到攻击,将发送此断线包的源MAC地址加入到动态黑名单中。根据本专利技术的一个实施例,进一步的,所述中控服务器统计各个客户端装置连接的无线热点的数量;当判断某个客户端装置在某一时间段内连接的无线热点的数量超过预设的阈值时,则确定此客户端装置为可疑设备,并将此客户端装置的源MAC地址加入到动态黑名单中。根据本专利技术的一个实施例,进一步的,所述中控服务器统计所述无线数据包中的无线热点的SSID名称;当所述中控服务器判断出现SSID名称相同的多个无线热点、并且所述多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的频率阈值时,则确定出现异常。根据本专利技术的一个实施例,进一步的,当所述中控服务器判断某个无线热点的SSID名称长度超过预设的长度阈值时,则确定此无线热点受到攻击,并将发起攻击的源MAC地址加入到动态黑名单中。根据本专利技术的一个实施例,进一步的,传感器包括无线网卡;所述传感器实时或定时采集无线网络中无线热点、客户端装置接收或发送的无线数据包,并发送到所述中控服务器;所述传感器向所述中控服务器发送所述无线数据包采用的协议包括:802.1X ;所述无线热点包括:无线路由器、无线AP ;所述客户端装置包括:移动终端、PC、笔记本电脑。根据本专利技术的一个实施例,进一步的,所述中控服务器根据所述特征信息、以及检测结果实时生成所述无线热点和客户端装置的状态信息,并将所述状态信息发送到监控终端进行显示;当所述中控服务器确定无线网络受到攻击或出现异常时,将告警信息发送到监控终端进行显示;所述监控终端包括:移动终端、PC、笔记本电脑;所述特征信息包括:SSID名称、热点加密方式、频道、MAC地址、客户端MAC地址、QSS信息、WPS信息、认证信息。本专利技术要解决的一个技术问题是提供一种中控服务器,可以检测出对无线网络的攻击事件。一种中控服务器,包括:信息接收单元,用于接收无线热点和客户端装置的无线数据包;信息解析单元,用于从所述无线数据包中解析出特征信息并存储;入侵判断单元,用于根据攻击指纹库中设置的指纹信息和攻击事件模型对所述无线数据包进行匹配检测,获得检测结果。根据本专利技术的一个实施例,进一步的,所述入侵判断单元,还用于当判断所述无线数据包为WPA数据包时,将所述WAP数据包与所述攻击指纹库中的断线包指纹进行匹配,如果匹配成功,则确定所述WAP数据为断线包并确定受到攻击,将发送此断线包的源MAC地址加入到动态黑名单中。根据本专利技术的一个实施例,进一步的,所述入侵判断单元,还用于统计各个客户端装置连接的无线热点的数量;当判断某个客户端装置在某一时间段内连接的无线热点的数量超过预设的阈值时,则确定此客户端装置为可疑设备,并将此客户端装置的源MAC地址加入到动态黑名单中。根据本专利技术的一个实施例,进一步的,所述入侵判断单元,还用于统计各个无线热点的SSID名称;当判断出现SSID名称相同的多个无线热点、并且所述多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的频率阈值时,则确定出现异常。根据本专利技术的一个实施例,进一步的,所述入侵判断单元,还用于当判断SSID名称长度超过预设的长度阈值时,则确定此无线热点受到攻击,并将发起攻击的源MAC地址加入到动态黑名单中。根据本专利技术的一个实施例,进一步的,还包括:信息处理单元,用于根据所述特征信息、以及检测结果实时生成所述无线热点和客户端装置的状态信息,并将所述状态信息发送到监控终端进行显示;当确定无线网络受到攻击或出现异常时,将告警信息发送到监控终端进行显示;所述监控终端包括:移动终端、PC、笔记本电脑;所述特征信息包括:SSID名称、热点加密方式、频道、MAC地址、客户端MAC地址、QSS信息、WPS信息、认证信息。本专利技术提供一种无线报文的侦听检测系统,包括:如上所述的中控服务器;传感器,用于采集无线热点和客户端装置的无线数据包,并将所述无线数据包发送到所述中控服务器;根据本专利技术的一个实施例,进一步的,所述传感器包括无线网卡;所述传感器实时或定时采集无线网络中无线热点、客户端装置接收或发送的无线数据包;所述传感器向所述中控服务器发送所述无线数据包采用的协议包括:802.1X ;所述无线热点包括:无线路由器、无线AP ;所述客户端装置包括:移动终端、PC、笔记本电脑。本专利技术的无线报文的侦听检测方法、系统及中控服务器,通过预先设置的攻击指纹库对采集的无线数据包或报文进行匹配检测,可以检测出对无线网络的攻击事件,提高了无线网络的安全性,也能够实现无线热点安全评估、违规热点一键阻断等功能,并可以兼容企业各种无线网环境,不影响企业现有无线网结构,能够无缝部署,进行智能、便捷管理。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提当前第1页1 2 3 4 本文档来自技高网...
【技术保护点】
一种无线报文的侦听检测方法,其中:中控服务器接收无线热点和客户端装置的无线数据包;所述中控服务器从所述无线数据包中解析出特征信息并存储;所述中控服务器根据攻击指纹库中设置的指纹信息和攻击事件模型对所述无线数据包进行匹配检测,获得检测结果。
【技术特征摘要】
【专利技术属性】
技术研发人员:杨卿,柴坤哲,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。