本发明专利技术公开了一种恶意热点检测方法和系统,所述方法包括:部署在企业内部的硬件传感器,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;中控服务器从所述数据流量中解析出需要的特征信息;将所述特征信息在特征库中进行匹配检测;对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示。本发明专利技术提高了无线网络的安全性,可以兼容企业各种无线网环境,不影响企业现有无线网结构,能够无缝部署,进行智能、便捷管理。
【技术实现步骤摘要】
恶意热点检测方法和系统
本专利技术涉及网络安全
,尤其涉及一种恶意热点检测方法和系统。
技术介绍
随着网络技术的发展,无线网络因为其便利性,应用范围越来越广泛。一些公司和家庭因为不同设备无线上网的需求,增设了无线AP(AccessPoint,接入点),增强了上网设备的移动性,弥补了有线网络的局限。对于企业用户来说,随着企业网络中的热点不断增加,形成了各种厂家、型号各异的热点并存;同时,分布混乱,设备安全性脆弱。由于无线网络中,数据是利用无线信号进行辐射传播,攻击者可以通过入侵无线网络中热点所覆盖的任何位置,侦听、拦截、重放、破坏用户的通信数据,给企业的网络信息安全带来了极大的安全风险。在企业内部出现的热点,主要有以下几种方式,各种方式都有一定的安全隐患和问题。1、合法热点企业有规划的搭建的热点,称为合法热点。从安全角度讲,合法热点应该是企业内部的唯一热点,其他热点都可能会给企业带来安全风险。但是,合法热点也存在安全隐患,即使进行了无线加密协议WEP、WPA等口令设置,也存在弱口令、加密等级不足等问题,而且在各种破解策略以及破解工具充斥网络的环境下,这些加密协议对攻击者而言也是形同虚设,容易被黑客通过热点进入企业内部网络,造成信息泄露被篡改等严重后果;合法热点也可能会收到DDoS攻击,导致无法正常服务。2、覆盖过来的其它热点由于无线网络的穿透性和边界的不确定性,某些邻近的企业的无线网络可能会互相覆盖。这种热点对于企业的网络安全来说,存在两方面的问题。一是不确定对方热点是否安全;二是本企业员工可能会接入对方热点。有可能会造成信息泄露。3、员工私自搭建的热点随身WiFi只要查到有网络的电脑终端商,即可作为一个与此网络联通的热点;也有很多终端工具提供了分享WiFi的工具。很多员工有意无意间会在自己的终端上建立热点,而其安全性很难得到保证,容易被黑客入侵,进入企业网络内部,进而窃取企业内部数据。4、恶意热点除上述热点外,一些攻击者还可能会故意在企业周围建立恶意热点,采用与企业热点相同或相近的名称,使员工的终端有意或无意间连接到该热点。而攻击者可以通过该热点获取企业内部信息,甚至通过入侵该终端,进入企业内部网络。因此,安全性及访问可控性等网络安全技术,对于无线网络而言需要得到高度重视。虽然企业可能会定期进行无线网络的安全检查,检测恶意热点情况、是否有非法热点等,但是很难形成常态。无法长期关注整个恶意热点情况,对于出现偶然性比较大的非法热点,无法做到实时发现和阻断。还缺少一种能够持续、稳定运行的检测恶意热点情况的方法和系统。当热点受到DDoS洪泛攻击时,很多企业都是被攻击到网络无法继续使用的情况下,才会发现并进行相应处理。对于钓鱼热点攻击,几乎没有发现的手段,从而造成某些终端无意之间连接到了钓鱼热点,造成信息泄露。还缺少有效的防护措施,及时发现和阻断攻击。当发生了安全事件后,如:某些终端是否私自建立过WiFi,某些终端是否连接过非法热点,热点是否收到过攻击等等。对于事后的审计和追踪,缺乏必要的数据支持和处理手段。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种恶意热点检测方法和系统,以克服上述问题或者至少部分地解决或者减缓上述问题的缺点。根据本专利技术的一个方面,提供了一种恶意热点检测方法,包括以下步骤:部署在企业内部的硬件传感器,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;中控服务器从所述数据流量中解析出需要的特征信息;中控服务器将所述特征信息在特征库中进行匹配检测;中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;中控服务器对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示。可选地,所述硬件传感器包括无线网卡,实时或定时采集无线网络中热点、客户端接收或发送的无线数据包。可选地,所述特征信息包括:热点SSID、热点加密方式、热点频道、热点MAC地址、客户端MAC地址。可选地,所述中控服务器将所述特征信息在特征库中进行匹配检测包括:统计无线数据包中的无线热点的SSID名称和客户端MAC地址,划分出属于本企业内部的热点和客户端,以及不属于本企业内部的热点和客户端。可选地,所述中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单包括:如果企业内部的热点所连接的不是企业内部的客户端,则判断所述企业内部的热点出现异常,将所述客户端划分至黑名单中;如果企业内部的客户端所连接的不是企业内部的热点,则判断所述企业内部的客户端出现异常,将所述客户端划分至黑名单中;如果企业内部的热点中出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的阈值,则确定出现异常,将该热点划分到黑名单中;如果企业内部的客户端在某一时间段内连接的热点的数量超过预设的阈值,将所述客户端划分至黑名单中。可选地,所述中控服务器对黑名单中的热点/客户端进行定位包括:中控服务器中预先导入了包含传感器地理位置信息的平面结构图,使用传感器三点定位技术对传感器覆盖范围内的热点/客户端进行精确定位。可选地,管理终端接收中控服务器发送的黑名单中的热点/客户端的定位信息;显示所接收的定位信息并向管理员发出告警提示;根据用户确认,将黑名单中的热点/客户端加入到白名单中。根据本专利技术的另一个方面,提供了一种恶意热点检测系统,包括硬件传感器、中控服务器、管理终端,其中,所述硬件传感器部署在企业内部,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;所述中控服务器从所述数据流量中解析出需要的特征信息;将所述特征信息在特征库中进行匹配检测;对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示;所述管理终端从中控服务器接收所述定位信息。可选地,所述硬件传感器包括无线网卡,实时或定时采集无线网络中热点、客户端接收或发送的无线数据包。可选地,所述特征信息包括:热点SSID、热点加密方式、热点频道、热点MAC地址、客户端MAC地址。可选地,所述中控服务器将所述特征信息在特征库中进行匹配检测包括:统计无线数据包中的无线热点的SSID名称和客户端MAC地址,划分出属于本企业内部的热点和客户端,以及不属于本企业内部的热点和客户端。可选地,所述中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单包括:如果企业内部的热点所连接的不是企业内部的客户端,则判断所述企业内部的热点出现异常,将所述客户端划分至黑名单中;如果企业内部的客户端所连接的不是企业内部的热点,则判断所述企业内部的客户端出现异常,将所述客户端划分至黑名单中;如果企业内部的热点中出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的阈值,则确定出现异常,将该热点划分到黑名单中;如果企业内部的客户端在某一时间段内连接的热点的数量超过预设的阈值,将所述客户端划分至黑名单中。可选地,所述中控服务器对黑名单中的热点/客户端进行定位包括:中控服务器中预先导入了包含传感器地理位置信息的平面结本文档来自技高网...
【技术保护点】
一种恶意热点检测方法,其特征在于,包括以下步骤:部署在企业内部的硬件传感器,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;中控服务器从所述数据流量中解析出需要的特征信息;中控服务器将所述特征信息在特征库中进行匹配检测;中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;中控服务器对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示。
【技术特征摘要】
1.一种恶意热点检测方法,其特征在于,包括以下步骤:部署在企业内部的硬件传感器,持续捕获当前无线环境中的所有数据流量,将所述数据流量实时传输到中控服务器;中控服务器从所述数据流量中解析出需要的特征信息;中控服务器将所述特征信息在特征库中进行匹配检测;中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单;中控服务器对黑名单中的热点/客户端进行定位,并将定位信息发送到管理终端进行显示。2.如权利要求1所述的恶意热点检测方法,其特征在于,所述硬件传感器包括无线网卡,实时或定时采集无线网络中热点、客户端接收或发送的无线数据包;所述特征信息包括:热点SSID、热点加密方式、热点频道、热点MAC地址、客户端MAC地址。3.如权利要求1所述的恶意热点检测方法,其特征在于,所述中控服务器将所述特征信息在特征库中进行匹配检测包括:统计无线数据包中的无线热点的SSID名称和客户端MAC地址,划分出属于本企业内部的热点和客户端,以及不属于本企业内部的热点和客户端;所述中控服务器对属于本企业内部的热点和客户端的连接情况进行进一步检查,生成黑白名单包括:如果企业内部的热点所连接的不是企业内部的客户端,则判断所述企业内部的热点出现异常,将所述客户端划分至黑名单中;如果企业内部的客户端所连接的不是企业内部的热点,则判断所述企业内部的客户端出现异常,将所述客户端划分至黑名单中;如果企业内部的热点中出现SSID名称相同的多个无线热点、并且多个无线热点中的一个或多个无线热点接收断线包的频率超过了预设的阈值,则确定出现异常,将该热点划分到黑名单中;如果企业内部的客户端在某一时间段内连接的热点的数量超过预设的阈值,将所述客户端划分至黑名单中。4.如权利要求1所述的恶意热点检测方法,其特征在于,所述中控服务器对黑名单中的热点/客户端进行定位包括:中控服务器中预先导入了包含传感器地理位置信息的平面结构图,使用传感器三点定位技术对传感器覆盖范围内的热点/客户端进行精确定位;该方法还包括:管理终端接收中控服务器发送的黑名单中的热点/客户端的定位信息;显示所接收的定位信息并向管理员发出告警提示;根据用户确认,将黑名单中的热点/客户端加入到白名单中。5.一种恶意热点检测系统,其特征在于,包括硬件传感器、中控服务器、管理终端,其中,所述硬件传感器部署在企业...
【专利技术属性】
技术研发人员:杨卿,柴坤哲,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。