本发明专利技术涉及网络安全,旨在提供一种无线网络攻击定位方法。该种无线网络攻击定位方法,在目标监测区域至少部署有三个攻击检测传感器,且攻击检测传感器都连接到同一个CEP定位服务器上,在目标监测区域对无线网络中的攻击者进行定位,无线网络攻击定位方法具体为:攻击检测传感器进行攻击检测、CEP定位服务器进行攻击者定位。本发明专利技术响应快速,与攻击检测过程紧密结合,在检测到攻击之后可以立刻开始定位;可以利用大量历史数据进行定位,不需要在检测到攻击后再发送大量数据包;通过主动关联多个攻击检测传感器,综合检测结果,形成精度更高的定位结果;通过综合计算历史上不同时段的RSSI信息,可以得出攻击者大致的轨迹。
【技术实现步骤摘要】
一种无线网络攻击定位方法
本专利技术是关于网络安全领域,特别涉及一种无线网络攻击定位方法。
技术介绍
无线局域网(WLAN)因其移动性和灵活性等优点目前已得到广泛应用,许多公共场所都提供WLAN服务,如车站、旅馆、咖啡馆等。但是WLAN在刚提出时就被指存在一些安全方面的缺陷,主要源于其传输介质开放、无线设备移动等特点,使得传统有线网络中很多成熟高效的安全防御方法不能直接应用到WLAN中。所以很多企业虽然认为WLAN能够为其生产、工作等提供便利,但是由于担心受到非法用户的攻击而导致信息的泄露和破坏等,仍然不敢使用WLAN,甚至是严格禁止使用。2005年Intel公司在其IDF会场提供公共WLAN服务时,特别声明Intel公司不对用户在使用Wi-Fi过程中引起的安全问题负责。2006年美国加州通过了一项Wi-Fi安全法案,要求网络设备制造商必须在其产品上附加说明,提醒用户使用无线网络可能会导致个人信息的泄露。美国国家实验室LawrenceLivermore已经禁止使用WLAN,因为无线设备容易受到攻击而造成信息泄露。由于无线网络的信号强度逸散的特点,无线网络中的通信节点之间的距离可以根据通信信号计算得出。因此通过收集节点间通信信号强度(RSSI)可以得出通信节点间的相对位置关系。目前主流的无线网络定位方法都是基于这种关系来实现的。基于RSSI定位的方法通常都是由目标节点测定与多个已知位置的节点之间的RSSI,然后换算为几何距离,再综合这些已知节点的位置,利用几何公式计算目标节点的实际位置。为了解决WLAN中的通信安全,快速定位出攻击者的位置,传统的有线网络并不能直接根据攻击判断出攻击者的位置,而其他WLAN检测工具通常不具有专门的无线定位功能,尤其是识别出攻击者同时定位的功能。在无线攻击检测中,目标节点通常是发起攻击的节点。传统定位方法由目标节点发起定位的方式不适用于这种情形。攻击节点无论如何也不会主动地对自己进行定位并将位置信息传递给被攻击网络的管理员的。因此,现有的无线网络定位技术不能够适应于无线攻击定位的应用场景。
技术实现思路
本专利技术的主要目的在于克服现有技术中的不足,提供一种仅根据攻击者攻击过程中发送的报文以及攻击后的通信,在攻击检测的过程中就可以快速定位出攻击者所在位置的方法。为解决上述技术问题,本专利技术的解决方案是:提供一种无线网络攻击定位方法,用于在目标监测区域对无线网络中的攻击者进行定位,目标监测区域至少部署有三个攻击检测传感器(部署攻击检测传感器的数量与定位精度呈现正相关),且攻击检测传感器都连接到同一个CEP定位服务器上;所述CEP定位服务器是指利用复杂事件处理技术来进行定位的服务器;复杂事件处理技术是指在数据流上对连续多个事件发生的特定组合进行判定和反应的技术,利用复杂事件处理技术能汇总多个数据流进行精确定位;所述无线网络攻击定位方法具体为:攻击检测传感器进行攻击检测、CEP定位服务器进行攻击者定位;所述攻击检测传感器进行攻击检测是指所有目标监测区域中的攻击检测传感器同时进行攻击检测,即每个攻击检测传感器分别执行下述步骤:步骤A:抓取用户发送的网络请求报文、数据报文,获取每个报文的接收信号强度、Mac地址、IP地址、TCP或UDP端口,转给攻击检测模块进行判断;所述攻击检测模块是一个规则推理引擎,用于将提交的报文与规则库中的预定义规则进行匹配,判断出接收到的报文是否是已知的具有攻击倾向的报文类别;攻击检测模块的判断方法:利用收到的地址和端口信息检查黑白名单、根据报文格式和内容检查是否是已知的攻击手段中需要的格式;所述规则库中的预定义规则是在建立规则库时根据经验建立的报文信息与攻击倾向的对应判别关系(例如:连续三次以上的断开连接的报文可能是一种洪泛攻击,这就是一种经验,那么连续收到同一个用户三次以上断开连接的报文表示该报文有攻击倾向就是根据以上经验设计的规则);步骤B:如果确定该用户的行为有攻击的倾向,即步骤A中判断了收到的报文是否是已知的具有攻击倾向的报文类别,那么抓取的该用户的所有报文中,其中一个报名被判断为具有攻击倾向,则认定该用户的性行为有攻击的倾向,将三十分钟内获取到的该用户发送的所有请求报文的接收信号强度(RSSI),组成信号强度序列转发给CEP定位服务器;所述CEP定位服务器进行攻击者定位具体是指:CEP定位服务器根据预定义的判别模式(步骤A中抓取的报文在时间序列上的特定顺序,通过复杂事件处理技术,也即在数据流上匹配识别多个事件的连续组合的技术),综合各个攻击检测传感器回传的信号强度序列,得出攻击者所在的位置,并生成位置分布报告转发给网络管理员,完成对无线网络中攻击者的定位。在本专利技术中,所述步骤A中,采用Packet_Capture算法抓取报文,具体为:首先定义一个句柄,然后设置要监听的设备,并获取网络地址和掩码,设置数据包的过滤捕获规则(过滤捕获规则即在数据包获取算法中加入过滤规则,预定义无害的报文直接丢弃),再根据设定的规则循环捕获每个数据包pac并将其传递给信号强度计算算法RSSI_Computation(),最后关闭句柄。在本专利技术中,所述步骤A中,采用RSSI_Computation算法根据每个报文到达时信号的信噪比计算RSSI,具体为:首先获取每个数据包的物理层信息,得到信噪比,然后根据信噪比计算得出每个数据包的RSSI,加上时戳并存入一个以MAC地址为索引的数据结构中。在本专利技术中,所述步骤B中,采用RSSI_Transformer算法将信号强度序列转发给CEP定位服务器,具体为:接到转发指令后,按照转发指令中MAC地址查询RSSI序列,将RSSI序列和时戳打包,若干个为一组转发给CEP定位服务器。在本专利技术中,所述CEP定位服务器使用CEP_localization算法综合各个攻击检测传感器回传的信号强度序列数据流计算该攻击者的位置,具体为:根据攻击检测传感器部署的位置预定义的定位计算模型,建立复杂事件处理技术所需的事件序列模型,也即预定义不同传感器转发的报文按时间排序得到的特定组合;CEP_localization算法为每个到来的RSSI流设定一个缓冲区,检测每个RSSI对应的MAC地址之间的关系,将MAC地址相同的RSSI流通过闭包操作和析取操作归并到一起;根据时间配对筛选步骤A中获取的地址和端口信息一致的RSSI数据,然后绑定每个攻击检测传感器的位置,使用三角定位或多角定位的算法定位目标,将定位结果生成定位分布图,上传定位报告。在本专利技术中,所述复杂事件模型中,闭包操作采用op_Kleene_SEQ实现,具体使用基于有限状态自动机的方法:对于一个带有闭包的事件序列,首先通过前后事件对于闭包的发生时间进行限制,而后将所有闭包事件输入自动机,自动机状态终止后,得到一个事件结果,返回给上一级算法CEP_Localization,CEP_Localization算法根据返回结果进一步调用其它操作来完善(闭包指代某类事件的重复发生,对于攻击检测传感器转发的RSSI数据流,必然存在同一个目标MAC地址的多次重复,因此需要支持闭包操作)。在本专利技术中,所述复杂事件模型中,析取操作采用op_Disjuction实现,具体为:将MAC地址和时间序列限制作为对应条件,将不同本文档来自技高网...
【技术保护点】
一种无线网络攻击定位方法,用于在目标监测区域对无线网络中的攻击者进行定位,其特征在于,目标监测区域至少部署有三个攻击检测传感器,且攻击检测传感器都连接到同一个CEP定位服务器上;所述CEP定位服务器是指利用复杂事件处理技术来进行定位的服务器;复杂事件处理技术是指在数据流上对连续多个事件发生的特定组合进行判定和反应的技术,利用复杂事件处理技术能汇总多个数据流进行精确定位;所述无线网络攻击定位方法具体为:攻击检测传感器进行攻击检测、CEP定位服务器进行攻击者定位;所述攻击检测传感器进行攻击检测是指所有目标监测区域中的攻击检测传感器同时进行攻击检测,即每个攻击检测传感器分别执行下述步骤:步骤A:抓取用户发送的网络请求报文、数据报文,获取每个报文的接收信号强度、Mac地址、IP地址、TCP或UDP端口,转给攻击检测模块进行判断;所述攻击检测模块是一个规则推理引擎,用于将提交的报文与规则库中的预定义规则进行匹配,判断出接收到的报文是否是已知的具有攻击倾向的报文类别;攻击检测模块的判断方法:利用收到的地址和端口信息检查黑白名单、根据报文格式和内容检查是否是已知的攻击手段中需要的格式;所述规则库中的预定义规则是在建立规则库时根据经验建立的报文信息与攻击倾向的对应判别关系;步骤B:如果确定该用户的行为有攻击的倾向,即步骤A中判断了收到的报文是否是已知的具有攻击倾向的报文类别,那么抓取的该用户的所有报文中,其中一个报名被判断为具有攻击倾向,则认定该用户的性行为有攻击的倾向,将三十分钟内获取到的该用户发送的所有请求报文的接收信号强度,组成信号强度序列转发给CEP定位服务器;所述CEP定位服务器进行攻击者定位具体是指:CEP定位服务器根据预定义的判别模式,综合各个攻击检测传感器回传的信号强度序列,得出攻击者所在的位置,并生成位置分布报告转发给网络管理员,完成对无线网络中攻击者的定位。...
【技术特征摘要】
1.一种无线网络攻击定位方法,用于在目标监测区域对无线网络中的攻击者进行定位,其特征在于,目标监测区域至少部署有三个攻击检测传感器,且攻击检测传感器都连接到同一个CEP定位服务器上;所述CEP定位服务器是指利用复杂事件处理技术来进行定位的服务器;复杂事件处理技术是指在数据流上对连续多个事件发生的特定组合进行判定和反应的技术,利用复杂事件处理技术能汇总多个数据流进行精确定位;所述无线网络攻击定位方法具体为:攻击检测传感器进行攻击检测、CEP定位服务器进行攻击者定位;所述攻击检测传感器进行攻击检测是指所有目标监测区域中的攻击检测传感器同时进行攻击检测,即每个攻击检测传感器分别执行下述步骤:步骤A:抓取用户发送的网络请求报文、数据报文,获取每个报文的接收信号强度、Mac地址、IP地址、TCP或UDP端口,转给攻击检测模块进行判断;所述攻击检测模块是一个规则推理引擎,用于将提交的报文与规则库中的预定义规则进行匹配,判断出接收到的报文是否是已知的具有攻击倾向的报文类别;攻击检测模块的判断方法:利用收到的地址和端口信息检查黑白名单、根据报文格式和内容检查是否是已知的攻击手段中需要的格式;所述规则库中的预定义规则是在建立规则库时根据经验建立的报文信息与攻击倾向的对应判别关系;步骤B:如果确定该用户的行为有攻击的倾向,即步骤A中判断了收到的报文是否是已知的具有攻击倾向的报文类别,那么抓取的该用户的所有报文中,其中一个报名被判断为具有攻击倾向,则认定该用户的性行为有攻击的倾向,将三十分钟内获取到的该用户发送的所有请求报文的接收信号强度,组成信号强度序列转发给CEP定位服务器;所述CEP定位服务器进行攻击者定位具体是指:CEP定位服务器根据预定义的判别模式,综合各个攻击检测传感器回传的信号强度序列,得出攻击者所在的位置,并生成位置分布报告转发给网络管理员,完成对无线网络中攻击者的定位。2.根据权利要求1所述的一种无线网络攻击定位方法,其特征在于,所述步骤A中,采用Packet_Capture算法抓取报文,具体为:首先定义一个句柄,然后设置要监听的设备,并获取网络地址和掩码,设置数据包的过滤捕获规则,再根据设定的规则循环捕获每个数据包pac并将其传递给信号强度计算算法RSSI_Computation(),最后关闭句柄。3.根据权利要求1所述的一种无线网络攻击定位方法,其特征在于...
【专利技术属性】
技术研发人员:范渊,方黎明,张小孟,莫金友,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。