恶意热点检测方法和系统技术方案
【技术实现步骤摘要】
恶意热点检测方法和系统
本专利技术涉及网络安全
,尤其涉及一种恶意热点检测方法和系统。
技术介绍
随着网络技术的发展,无线网络因为其便利性,应用范围越来越广泛。一些公司和家庭因为不同设备无线上网的需求,增设了无线AP(AccessPoint,接入点),增强了上网设备的移动性,弥补了有线网络的局限。对于企业用户来说,随着企业网络中的热点不断增加,形成了各种厂家、型号各异的热点并存;同时,分布混乱,设备安全性脆弱。由于无线网络中,数据是利用无线信号进行辐射传播,攻击者可以通过入侵无线网络中热点所覆盖的任何位置,侦听、拦截、重放、破坏用户的通信数据,给企业的网络信息安全带来了极大的安全风险。在企业内部出现的热点,主要有以下几种方式,各种方式都有一定的安全隐患和问题。1、合法热点企业有规划的搭建的热点,称为合法热点。从安全角度讲,合法热点应该是企业内部的唯一热点,其他热点都可能会给企业带来安全风险。但是,合法热点也存在安全隐患,即使进行了无线加密协议WEP、WPA等口令设置,也存在弱口令、加密等级不足等问题,而且在各种破解策略以及破解工具充斥网络的环境下,这些加密协...
【技术保护点】
一种恶意热点检测方法,其特征在于,包括以下步骤:部署在企业内部的硬件传感器,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;中控服务器从所述数据流量中解析出需要的特征信息;中控服务器将所述特征信息在特征库中进行匹配检测;中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;中控服务器对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示。
【技术特征摘要】
1.一种恶意热点检测方法,其特征在于,包括以下步骤:部署在企业内部的硬件传感器,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;中控服务器从所述数据流量中解析出需要的特征信息;中控服务器将所述特征信息在特征库中进行匹配检测;中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;中控服务器对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示。2.如权利要求1所述的恶意热点检测方法,其特征在于,所述硬件传感器包括无线网卡,实时或定时采集无线网络中热点、客户端接收或发送的无线数据包;所述特征信息包括:热点SSID、热点加密方式、热点频道、热点MAC地址、客户端MAC地址。3.如权利要求1所述的恶意热点检测方法,其特征在于,所述中控服务器将所述特征信息在特征库中进行匹配检测包括:统计无线数据包中的无线热点的SSID名称和客户端MAC地址,划分出属于本企业内部的热点和客户端,以及不属于本企业内部的热点和客户端;所述中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单包括:如果企业内部的热点所连接的不是企业内部的客户端,则判断所述企业内部的热点出现异常,将所述客户端划分至黑名单中;如果企业内部的客户端所连接的不是企业内部的热点,则判断所述企业内部的客户端出现异常,将所述客户端划分至黑名单中;如果企业内部的热点中出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的阈值,则确定出现异常,将该热点划分到黑名单中;如果企业内部的客户端在某一时间段内连接的热点的数量超过预设的阈值,将所述客户端划分至黑名单中。4.如权利要求1所述的恶意热点检测方法,其特征在于,所述中控服务器对黑名单中的热点/客户端进行定位包括:中控服务器中预先导入了包含传感器地理位置信息的平面结构图,使用传感器三点定位技术对传感器覆盖范围内的热点/客户端进行精确定位;该方法还包括:管理终端接收中控服务器发送的黑名单中的热点/客户端的定位信息;显示所接收的定位信息并向管理员发出告警提示;根据用户确认,将黑名单中的热点/客户端加入到白名单中。5.一种恶意热点检测系统,其特征在于,包括硬件传感器、中控服务器、管理终端,其中,所述硬件传感器部署在企业...
【专利技术属性】
技术研发人员:杨卿,柴坤哲,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。