CN1679264A - 具有入侵检测特征的无线局域网或城域网及相关方法 - Google Patents
具有入侵检测特征的无线局域网或城域网及相关方法 Download PDFInfo
- Publication number
- CN1679264A CN1679264A CNA038209004A CN03820900A CN1679264A CN 1679264 A CN1679264 A CN 1679264A CN A038209004 A CNA038209004 A CN A038209004A CN 03820900 A CN03820900 A CN 03820900A CN 1679264 A CN1679264 A CN 1679264A
- Authority
- CN
- China
- Prior art keywords
- stations
- mac address
- detect
- station
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Radio Relay Systems (AREA)
Abstract
一种无线局域网或城域网(10),可以包括多个利用介质访问层(MAC)在其间发送数据的站(11,12),其中每个站都具有各自相关联的MAC地址。无线网络(10)还可以包括监管站(13),用于通过监视多个站之间的发送以检测来自MAC地址的帧检查序列(FCS)错误来检测对无线网络的入侵,并基于检测到MAC地址的FCS错误数超过阈值而产生入侵报警。监管站(13)还可以基于失败的MAC地址鉴权,非法网络分配向量(NAV)值和非预期竞争或无竞争运行中的一种或多种检测入侵。
Description
背景技术
在过去的几年里,无线网络经历了持续性发展。有两个特例是无线局域网(LAN)和无线城域网(MAN)。在基本服务集(BSS)中,这种网络包括一个或多个通过例如射频信号与接入点或基站(例如,服务器)通信的无线站(例如,具有无线网络接口卡(NIC)的膝上型电脑)。基站执行多种功能,如同步与协调、广播分组的转发、及例如在无线LAN/MAN和如电话网的有线网络之间提供桥路。
在扩展服务集(ESS)中,网络中包括多个基站。另一方面,在有些无线LAN/MAN中,可能根本没有基站,只有彼此进行点对点通信的无线站。这种拓扑结构称为独立基本服务集(IBSS),而且在IBSS中,由于没有基站,因此一般选一个无线站充当代理服务器。
也许无线LAN/WAN流行最主要的原因是这种网络相对廉价并容易布署,因为不需要有线基础设施。然而,无线LAN/MAN也有一些在有线网络中找不到的显著缺陷。例如,因为无线LAN/MAN设备如此普遍,所以这种设备很容易被想要成为黑客的人利用,他们可能企图入侵网络并利用未授权无线站(即,欺诈站)危及网络安全。而且,如果无线LAN/MAN彼此太接近地运行,则网络可能彼此入侵,造成网络崩溃,尤其如果它们共享公共信道的话。
一种被开发出来用于控制无线LAN/MAN中通信的更著名的标准是电子与电气工程师协会的802LAN/MAN标准委员会的标准,其标题是“IEEE standards for Information Technology-Telecommunications and Information Systems-Local andMetropolitan Area Network-Specific Requirements-Part 11:Wireless LAN Medium Access Control(MAC)and PhysicalLayer(PHY)Specification”,1999,在此引入其全部作为参考。除了提供无线通信协议,802.11标准还定义了用于保护无线信号不被偷听的有线对等保密(WEP)算法。更特别地,WEP提供了要在站之间发送的消息的加密及完整性检查,以确保最初发送的消息的完整性未被危及。
尽管WEP算法提供了网络安全的某种措施,但它不检测或报告对网络可能的入侵。只是到最近这种入侵检测系统才可用。这些系统一般包括安装在期望进行入侵检测的站的安全监视软件。这种软件可能试图通过监视并记录介质访问控制(MAC)地址或因特网协议(IP)地址并将它们与授权网站的已知地址进行比较来检测入侵。此外,这种系统可以观察何时WEP未启用。
来自WildPackets公司的一种入侵检测系统的特例称为AiroPeek。AiroPeek基于网络中所使用的ESS和BSS标识符(ESSID、BSSID)搜索未授权的欺诈站。即,创建网络中所使用的全部授权BSSID和ESSID的列表。然后利用过滤器排除所有的未授权站。这种过滤器是通过捕获正常的网络流量并确定802.11帧中对应于ESSID或BSSID的数据偏移来创建的。AiroPeek还包括根据帧计数触发的报警。即,如果帧计数超过0,则报警触发(即,如果检测到任何来自欺诈站的帧,则报警触发)。此外,AiroPeek还能通过电子邮件或利用调制解调器拨出此系统(例如到寻呼机)来提供报警通知。
不管上述系统产生的进步,有些对无线LAN/MAN的入侵还是这种系统检测不到的。即,如果欺诈站获得对例如授权地址和/或ID的访问,则上述方法就检测不出该欺诈站对网络的入侵。
发明内容
鉴于上述背景,因此本发明的一个目的是提供具有入侵检测特征的无线LAN/MAN及相关方法。
根据本发明的这个及其它目的、特征和优点是由可以包括多个利用介质访问(MAC)层在其间发送数据的站的无线局域网或城域网提供的,其中每个站都有各自相关联的MAC地址。该无线网络还可以包括用于检测入侵该无线网络的监管站。这可以通过监视多个站之间的发送以便检测来自MAC地址的帧检查序列(FCS)错误并基于检测到MAC地址的FCS错误数超过阈值产生入侵报警来完成。
此外,监管站还可以通过监视多个站之间的发送以便检测对MAC地址失败的鉴权企图并基于检测到多个对一MAC地址失败的鉴权企图产生入侵报警来检测对无线网络的入侵。更具体而言,监管站可以基于在预定时段内检测到对一MAC地址失败的鉴权企图个数来产生入侵报警。
此外,多个站可以在发送数据之前在其间发送请求发送(RTS)和清除发送(CTS)分组。RTS和CTS分组一般包括指示为发送数据所保留的持续时间的网络分配向量(NAV)。同样,监管站还可以通过监视多个站之间发送的RTS和CTS分组以便检测其中的非法NAV值并基于此产生入侵报警来检测对无线网络的入侵。
在无竞争时段(CFP)中多个站还可以无竞争模式间歇性运行。因此,监管站还可以有利地通过监视多个站之间的发送以便检测CFP之外的无竞争模式运行(反之亦然)并基于此产生入侵报警来检测对无线网络的入侵。
此外,无线网络可以有至少一个相关联的服务集ID,如BSSID和/或ESSID。因此,监管站还可以通过监视多个站之间的发送以便检测其相关联的服务集ID来检测对无线网络的入侵。监管站还可以基于一个检测到的服务集ID与无线网络的至少一个服务集ID不同产生入侵报警。而且,多个站可以在至少一条信道上发送数据,因此监管站可以检测在这至少一条信道的不是源自该多个站中一个的发送并基于此产生入侵报警。
在有些实施方式中,监管站可以有利地向多个站中的至少一个发送入侵报警。同样,可以采取合适的对策来响应入侵。此外,监管站还可以包括一个或多个基站和/或无线站。
本发明的入侵检测方法方面是用于包括多个站的无线局域网或城域网。该方法可以包括利用MAC层在多个站之间发送数据,其中每个站都有各自相关的MAC地址。而且,多个站之间的发送可以被监视,以检测来自MAC地址的FCS错误,并基于检测到MAC地址的FCS错误数超过阈值而产生入侵报警。
此外,该方法还可以包括监视多个站之间的发送,以便检测对MAC地址失败的鉴权企图,并基于检测到多个对一MAC地址失败的鉴权企图产生入侵报警。特别地,入侵报警可以基于预定时段内检测到多个对一MAC地址失败的鉴权企图产生。
此外,该方法还可以包括在发送数据之前在多个站之间发送RTS和CTS分组。如上面所指出的,RTS和CTS分组一般包括指示为发送数据所保留持续时间的NAV值。此外,在多个站之间发送的RTS和CTS分组可以被监视以便检测其中的非法NAV值,并基于检测到NAV值产生入侵报警。
在CFP中多个站可以无竞争模式间歇性运行。这样,该方法还可以包括监视多个站之间的发送以便检测CFP之外的无竞争运行(反之亦然),并基于此产生入侵报警。
此外,无线网络还可以具有至少一个相关联的服务集ID。因此,该方法还可以包括监视多个站之间的发送以便检测相关联的服务集ID,并基于一个检测到的服务集ID与无线网络的至少一个服务集ID不同产生入侵报警。这里,服务集ID同样可以是例如ESSID和/或BSSID。而且,多个节点可以在至少一条信道上发送数据。因此可以检测在这至少一条信道上不是源自该多个站中一个的发送,并基于此产生入侵报警。该方法还可以包括向多个站中的至少一个发送入侵报警。
附图说明
图1是根据本发明用于基于帧检查序列(FCS)错误提供入侵检测的无线LAN/MAN的示意性方框图。
图2是图1无线LAN/MAN的可选实施方式的示意性方框图,用于基于对介质访问控制(MAC)地址失败的鉴权提供入侵检测。
图3是图1无线LAN/MAN的另一可选实施方式的示意性方框图,用于基于非法网络分配向量(NAV)提供入侵检测。
图4和5是图1无线LAN/MAN的更多可选实施方式的示意性方框图,分别用于基于无竞争时段(CFP)之外的无竞争模式运行和基于CFP期间的竞争模式运行提供入侵检测。
图6是图1无线LAN/MAN的另一可选实施方式的示意性方框图,用于基于未授权时段中发生的发送提供入侵检测。
图7是图1无线LAN/MAN的另一可选实施方式的示意性方框图,用于基于检测不对应于它们各自数据分组的完整性检查值提供入侵检测。
图8是图1无线LAN/MAN的另一可选实施方式的示意性方框图,用于基于检测站对不连续MAC序号的使用提供入侵检测。
图9是图1无线LAN/MAN的另一可选实施方式的示意性方框图,用于基于检测具有预定分组类型的分组冲突提供入侵检测。
图10是图1无线LAN/MAN的另一可选实施方式的示意性方框图,用于基于检测同一MAC地址的冲突提供入侵检测。
图11是说明根据本发明、基于检测到FCS错误的入侵检测方法的流程图。
图12是说明根据本发明、基于检测对MAC地址失败的鉴权的入侵检测方法的流程图。
图13是说明根据本发明、基于检测非法网络分配向量(NAV)值的入侵检测方法的流程图。
图14和15是说明根据本发明、分别基于检测CFP之外的无竞争模式运行和检测CFP之中竞争模式运行的入侵检测方法的流程图。
图16是说明根据本发明、基于检测未授权时段中所发生发送的入侵检测方法的流程图。
图17是说明根据本发明、基于检测不对应于它们各自数据分组的完整性检查值的入侵检测方法的流程图。
图18是说明根据本发明、基于检测站对不连续MAC序号的使用的入侵检测方法的流程图。
图19是说明根据本发明、基于检测具有预定分组类型的分组冲突的入侵检测方法的流程图。
图20是说明根据本发明、基于检测同一MAC地址的冲突的入侵检测方法的流程图。
图21是说明本发明用于入侵检测的附加方法方面的流程图。
具体实施方式
下文将参考附图更完全地描述本发明,其中示出了本发明的优选实施方式。但是,本发明还可以体现为许多不同的形式,而且不应当认为是限定到在此阐述的实施方式。而且,提供这些实施方式是为了使本公开内容透彻与完整,而且将向本领域技术人员完全传达本发明的范围。
为了上述讨论,贯穿全文相同的标号指相同的元件。而且,特别是参考图1-10,十位数不同的标号用于指示可选实施方式中的类似元件。例如,在图1-10中说明的无线站11、21、31、41、51、61、71、81、91和101全都是类似的元件,等等。同样,这些元件可以只在它们第一次出现时具体描述一次,以避免不适当的重复,随后出现的元件可以理解为类似于第一次描述的那些。
现在参考图1,根据本发明的无线LAN/MAN 10说明性地包括无线站11和基站(或接入点)12。尽管为了说明清楚,只示出了单个无线站11和基站12,但本领域技术人员应当理解任意个数的无线和/或基站可以包括在无线网络10中。
在进一步具体描述无线网络10之前,先保证关于无线LAN/MAN协议的简单讨论。特别地,为了说明清楚,上述讨论假定利用802.11标准的网络实现。但是,本领域技术人员应当理解在此描述的许多方面及实施方式也可以用于其它合适的无线LAN/MAN标准(例如,蓝牙等)。
802.11标准用于数据传输的OSI网络模型,该模型包括七层,在每层特定类型的数据利用不同的协议发送。这些层包括应用层、表示层、会话层、传输层、网络层、数据链路层和物理层。数据链路层还包括介质访问控制(MAC)和逻辑链路控制子层。无线站11和基站12特别使用MAC层在其间发送数据,尤其是例如各自相关联的MAC地址。当然,OSI模型的其余层也可以用于数据发送。而且,如下面进一步描述的,数据一般是以分组发送的,而且各种不同的分组类型用于不同类型的消息数据。
根据本发明,无线网络10说明性地包括用于检测欺诈站14对无线网络入侵的监管站13。作为例子,欺诈站14可以被想要成为黑客的人用于试图攻击无线网络10,或者它也可以仅仅是来自离无线网络10太近运行的不同无线网络的节点。监管站13可以包括一个或多个无线站和/或基站。在本例中,监管站13监视站11、12之间的发送,以便检测来自MAC地址的帧检查序列(FCS)错误。如果对一给定MAC地址检测到的FCS错误数超过阈值,则监管站13基于此产生入侵报警。
应当指出,如在此所使用的,短语“站之间的发送”意味着直接到达或来自一个站11、12的任何发送,及无线网络10运行范围内的任何发送。换句话说,监管站13可以监视指向或源自站11、12的发送及任何其它可以接收的发送,而不管它们是否明确指向或源自网络10中的站。
在上述实施方式(及以下描述的那些)中,监管站13可以有利地向无线网络10中的一个或多个站11、12发送报警。作为例子,监管站13可以直接向基站12发送入侵报警,然后基站12可以通知无线网络中剩余的所有站。可选地,监管站13可以向所有的网站广播入侵报警。如本领域技术人员应当理解的,在任何一种情况下都可以采取适当的对策来响应未授权入侵。这种对策超出了本发明的范围,因此在这里不进行讨论。
现在转向图2,描述无线LAN/MAN的第一可选实施方式20。在这种实施方式中,监管站23通过监视站21、22之间的发送以检测对MAC地址失败的鉴权企图来检测对无线网络20的入侵。一检测到某预定次数对特定MAC地址失败的鉴权企图,监管节点23就将产生入侵报警。
任何次数的失败企图都可以用作产生入侵报警的阈值,但通常期望允许一个站至少一次试图鉴权自己的MAC地址,而不产生入侵报警。而且,在有些实施方式中,监管站23有利地可以只有如果检测到的失败次数出现在预定时段内(例如,一小时,一天等)才产生入侵报警。
根据802.11标准,无线LAN/MAN中期望彼此通信的两个站一般在发送数据之前在其间发送请求发送(RTS)和清除发送(CTS)分组。原因是避免与其它发送冲突。即,由于无线LAN/MAN中剩余的许多或全部站都可能在相同的信道上通信,因此站需要确保它们不会同时发送,因为这会导致干扰和网络崩溃。而且,RTS和CTS分组一般包括指示为发送数据所保留持续时间的网络分配向量(NAV)。这种信息发送到无线LAN/MAN中所有其它的站,然后这些站将停止在指定时段内的发送。
现在又转向图3,描述无线LAN/MAN的第二可选实施方式30,其中监管站33通过监视站31和32之间发送的RTS和CTS分组以检测其中的非法NAV值来检测对无线网络30的入侵。例如,无线网络30可以实现为数据发送不超过特定时间量的方式,该时间量是参与其中的所有授权站都知道的。因此,如果监管站33在所分配时间量之外检测到NAV值,那么它将基于此产生入侵报警。
802.11标准的另一特征是无线LAN/MAN中的站可以竞争或无竞争模式运行。即,在竞争模式下,所有站都需要竞争访问用于传输的每个数据分组的特定信道。在无竞争时段(CFP),介质使用是由基站控制的,因而将消除站竞争访问信道的需求。
根据图4所说明的无线LAN/MAN的第三实施方式40,监管站43有利地可以通过监视站41、42之间的发送以检测CFP之外的无竞争模式运行来检测对无线网络40的入侵。同样,入侵报警可以由监管站43基于此检测产生。换句话说,在CFP之外运行在无竞争模式的站的检测指示这个站不是授权站,因为当CFP建立时,所有授权站都由基站42通知到了。当然,这也可能是在CFP中检测到竞争模式运行的情况,这种实施方式说明性地在图5示出。本领域技术人员应当理解以上任一种或两种CFP入侵检测方法都可以在给定应用中实现。
现在参考图6,描述无线LAN/MAN的另一实施方式60。在这里,监管站63通过监视站61、62之间的发送以检测未授权时段内的发送来检测对无线网络60的入侵。即,无线网络60可以实现成不允许任何用户在指定时间(例如,从午夜到早上6:00)访问网络。因而,一检测到该未授权时段内的发送,监管站63就可以有利地产生入侵报警。
现在又转向图7,描述无线LAN/MAN的另一实施方式70。在这种实施方式中,各站71、72都具有上述启用的WEP特征,因此产生并发送关于从其发送的各数据分组的完整性检查值。因此,监管站73通过监视站71、72之间的发送以检测不对应于它们各自数据的完整性检查值来检测对无线网络70的入侵。即,如果不正确的密钥流用于产生消息密码,或者如果消息已被欺诈站74篡改,那么完整性检查值很有可能已被破坏。同样,如本领域技术人员应当理解的,当检测到这种错误的完整性检查值时,监管站73可以产生入侵报警。
按照现在参考图8描述的本发明的另一无线LAN/MAN 80。一般来说,当使用上面提到的OSI网络模型时,关于来自站81、82的每个数据分组都有各自的MAC序号产生并发送。即,对于每个后续的数据分组,MAC序号自增,从而每个数据分组都有相关联的唯一MAC序号。同样,监管站83可以通过监视站81、82之间的发送以检测站对不连续MAC序号的使用来检测对无线网络80的入侵,并基于此产生入侵报警。
现在又转向图9,说明了无线LAN/MAN的另一实施方式90,其中监管站93通过监视站91、92之间的发送以检测具有预定分组类型的分组冲突来检测对无线网络的入侵。特别地,预定分组类型可以包括管理帧分组(例如,鉴权,关联及信标分组)、控制帧分组(例如,RTS和CTS分组)和/或数据帧分组。从而,监管站93可以基于检测到阈值个数的预定分组类型冲突产生入侵报警。
如在此所使用的,“冲突”的意思包括分组的同时发送及彼此在特定时间内的发送。即,如果假设特定类型的分组在发送之间具有时间延迟(例如,几秒钟等),那么如果两个这种分组类型一起太靠近地发送,(即,它们之间小于要求的延迟时间),那么这将被认为是冲突。作为例子,例如,尽管其它阈值也可以使用,但阈值冲突个数可以大于大约3个。而且,阈值个数可以基于所讨论的特定分组类型,即,对于不同的分组类型,阈值个数可以不同。
此外,阈值个数也可以基于所监视分组中具有预定分组类型的百分比。例如,如果一时段内(例如,一小时)发送的特定百分比(例如,大于大约10%)的分组包括在冲突中,则入侵报警可以产生。可选地,如果所监视分组的总数中特定百分比的分组(例如,10个中有3个)包括在冲突中,则入侵报警可以产生。当然,其它适当的阈值个数和用于建立阈值数的方法也可以使用。
现在参考图10,描述LAN/MAN的另一实施方式100,其中监管站103通过监视站101、102之间的发送以检测同一MAC地址的冲突来检测对无线网络的入侵。即,如果多个终端同时或彼此相对靠近地对相同的MAC地址提出要求,则或者是出现了错误,或者其中一个站是欺诈站104。同样,监管站103基于检测到阈值个数的这种冲突,即大于大约3个,来产生入侵报警。在这里同样也可以使用其它的阈值个数,而且如上所述,阈值个数可以基于百分比。
现在参考图11描述本发明用于无线网络10的入侵检测方法方面。在块110开始,如上面所指出的,该方法包括在块111利用MAC层在多个站11、12之间发送数据。在块112监视站11、12之间的发送以检测来自一个MAC地址的FCS错误。如果在块113 MAC地址的FCS错误数超过阈值,则在块114基于此产生入侵报警,从而结束该方法(块115)。否则,如说明性示出的,发送将继续被监视。
按照现在参考图12描述的本发明的第一可选方法方面,如上面所指出的,该方法开始(块120),在块121在站21,22之间发送数据,并在块122监视发送以检测对MAC地址失败的鉴权企图。如果在块123检测到多个对一MAC地址失败的鉴权企图,则在块124产生入侵报警,从而结束该方法(块125)。否则,如说明性示出的,入侵监视将继续。
现在参考图13描述本发明的第二可选方法方面。该方法开始(块130),在块131在站31、32之间发送RTS和CTS分组,然后发送数据。如上所述,在块132监视在站31、32之间发送的RTS和CTS分组以检测其中的非法NAV值。如果在块133检测到非法的NAV值,则在块134基于此产生入侵报警,从而结束该方法(块135)。否则,如说明性示出的,入侵监视将继续。
现在转向图14,描述本发明的第三可选方法方面。如上所述,该方法开始(块140),在块141在站41、42之间发送数据,并在块142监视发送以检测CFP之外的无竞争模式运行。如果在块143检测到CFP之外的这种运行,则在块144基于此产生入侵报警,从而结束该方法(块145)。否则,如说明性示出的,入侵监视将继续。监视CFP中竞争模式运行发送的对立情况在图15的块150-155说明性示出。在这里,同样这些方法可用于单个实施方式,尽管并不需要总是这样。
现在参考图16描述本发明的第四方法方面。如上所述,该方法开始(块160),在块161在站61、62之间发送数据,并在块162进行监视以检测未授权时段内的发送。如果在块163检测到未授权时段内的发送,则在块164基于此产生入侵报警,从而结束该方法(块165)。否则,如说明性示出的,入侵监视将继续。
现在参考图17描述本发明的另一入侵检测方法方面。如上所述,该方法开始(块170),在块171在站71、72之间发送数据,并在块172监视发送以检测不对应于它们各自数据分组的完整性检查值。如果情况是这样,则在块173产生入侵报警,从而结束该方法(块175)。否则,如说明性示出的,入侵监视将继续。
现在转向图18,描述本发明的另一方法方面。该方法开始(块180),在块181在站81、82之间发送数据。因此,如上所述,该方法还可以包括在块182监视发送以检测站对不连续MAC序号的使用。如果在块183检测到这种使用,则在块184产生入侵报警,从而结束该方法(块185)。否则,如说明性示出的,入侵监视将继续。
再参考图19,本发明的另一方法方面开始(块180),在块191在站91、92之间发送数据分组,并且如上面所指出的在块192监视发送以检测具有预定分组类型的分组冲突。如果在块193检测到阈值个数具有预定分组类型的分组冲突,则在块194产生入侵报警,从而结束该方法(块195)。否则,如说明性示出的,入侵监视将继续。
现在关于图20描述本发明的另一入侵检测方法方面。如上所述,该方法开始(块200),在站101、102之间发送数据并在块202监视发送以检测同一MAC地址的冲突。如果在块203检测到阈值个数的同一MAC地址冲突,则在块204产生入侵报警,从而结束该方法(块205)。否则,如说明性示出的,入侵监视将继续。
现在参考图21描述本发明的更多入侵检测方面。如上面所指出的,无线LAN/MAN一般具有一个或多个相关联的服务集ID,如IBSSID、BSSID和/或ESSID。如说明性示出的,在块210开始,在块211数据发送可以在站11、12之间发送,并且在块212可以监视多个站之间的发送以检测与其关联的服务集ID和/或在指定网络信道上不是源自授权站的发送。
这样,如果在块213检测到不同于无线网络10授权服务集ID的服务集ID和/或网络信道上来自未授权站的发送,则在块214基于此产生入侵报警。而且,如上所述,在块215入侵报警可以有利地发送到网络中的一个或多个站,或者通过调制解调器等传输到其它源。否则,如说明性示出的,入侵监视将继续。
本领域技术人员应当理解,上述方法方面全部可以在上述一个或多个无线网络中实现。而且,基于上面的描述,本发明的附加方法方面对本领域技术人员也是很显然的,因此在此不做进一步讨论。
还应当理解上述发明可以几种方式实现。例如,监管站13可以实现为不是无线网络10已有部件的一个或多个独立、专用设备。可选地,本发明可以以安装到期望入侵检测的无线LAN/MAN的一个或多个现有站的软件实现。
此外,即使当欺诈站具有授权的网络或MAC ID时,本发明的许多上述方面也可以有利地用于检测无线网络入侵(例如,CFP之外的无竞争运行,未授权时段内的发送等)。而且,一个或多个上述方面可以有利地用在给定应用中,提供期望等级的入侵检测。本发明的另一优点是它可以用于补充现有的入侵检测系统,尤其是那些集中在OSI网络上层入侵的系统。
Claims (6)
1、一种无线局域网或城域网,包括:
多个利用介质访问层(MAC)在其间发送数据的站,每个所述站都具有各自相关联的MAC地址;及
监管站,用于通过监视所述多个站之间的发送以检测以下至少一种情况来检测对无线网络的入侵;
(a)来自MAC地址的帧检查序列(FCS)错误;
(b)对MAC地址失败的鉴权企图;
(c)与该无线网络相关联的服务集ID;
(d)非法的网络分配向量(NAV)值,该NAV值指示从所述多个站之间在发送数据形成之前发送的请求发送(RTS)和清除发送(CTS)分组产生的为发送数据所保留的持续时间;
(e)无竞争时段(CFP)之外所述多个站的无竞争模式运行;及
(f)CFP中的竞争模式运行;然后
基于以下至少一种情况产生入侵报警:
(a)检测到MAC地址的FCS错误数超过阈值;
(b)检测到对MAC地址失败的鉴权企图数超过阈值;
(c)检测到的一个服务集ID不同于该无线网络的服务集ID;
(d)检测到的非法NAV值;
(e)检测到CFP中的竞争模式运行;及
(f)检测到CFP之外的无竞争模式运行。
2、如权利要求1所述的无线网络,其中所述多个站在至少一条信道上发送数据;而且其中所述监管站还检测在这至少一条信道上不是源自该多个站中一个的发送并基于此产生入侵报警。
3、如权利要求1所述的无线网络,其中所述监管站还向所述多个站中的至少一个发送入侵报警。
4、一种入侵检测方法,用于包括多个站的无线局域网或城域网,该方法包括:
利用介质访问层(MAC)在多个站之间发送数据,每个站都具有各自相关联的MAC地址;
监视多个站之间的发送以检测以下至少一种情况:
(a)来自MAC地址的帧检查序列(FCS)错误;
(b)对MAC地址失败的鉴权企图;
(c)与该无线网络相关联的服务集ID;
(d)非法的网络分配向量(NAV)值,该NAV值指示从所述多个站之间在发送数据之前发送的请求发送(RTS)和清除发送(CTS)分组产生的为发送数据所保留的持续时间;
(e)无竞争时段(CFP)之外所述多个站的无竞争模式运行;及
(f)CFP中的竞争模式运行;然后
基于以下至少一种情况产生入侵报警:
(a)检测到MAC地址的FCS错误数超过阈值;
(b)检测到对MAC地址失败的鉴权企图数超过阈值;
(c)检测到的一个服务集ID不同于该无线网络的服务集ID;
(d)检测到的非法NAV值;
(e)检测到CFP中的竞争模式运行;及
(f)检测到CFP之外的无竞争模式运行。
5、如权利要求4所述的方法,包括由所述多个站在至少一条信道上发送数据,而且其中所述监管站还包括检测这至少一条信道上不是源自该多个站中一个的发送并基于此产生入侵报警。
6、如权利要求4所述的方法,其中所述监管站还包括向所述多个站中的至少一个发送入侵报警。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/217,042 | 2002-08-12 | ||
| US10/217,042 US7224678B2 (en) | 2002-08-12 | 2002-08-12 | Wireless local or metropolitan area network with intrusion detection features and related methods |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1679264A true CN1679264A (zh) | 2005-10-05 |
Family
ID=31495146
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA038209004A Pending CN1679264A (zh) | 2002-08-12 | 2003-08-11 | 具有入侵检测特征的无线局域网或城域网及相关方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7224678B2 (zh) |
| EP (1) | EP1535414B1 (zh) |
| JP (1) | JP2005536117A (zh) |
| CN (1) | CN1679264A (zh) |
| AU (1) | AU2003255262A1 (zh) |
| CA (1) | CA2495091A1 (zh) |
| TW (1) | TWI242650B (zh) |
| WO (1) | WO2004015540A2 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001242B (zh) * | 2006-01-10 | 2011-04-20 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
| CN101667947B (zh) * | 2008-09-04 | 2011-11-30 | 鸿富锦精密工业(深圳)有限公司 | 移动站、基地台及其侦测攻击的方法 |
| CN103067922A (zh) * | 2013-01-24 | 2013-04-24 | 中兴通讯股份有限公司 | 无线局域网防范非法接入点的方法及系统 |
| CN104253786A (zh) * | 2013-06-26 | 2014-12-31 | 北京思普崚技术有限公司 | 一种基于正则表达式的深度包检测方法 |
| CN106878247A (zh) * | 2016-08-11 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 一种攻击识别方法和装置 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7366148B2 (en) * | 2002-04-11 | 2008-04-29 | John Hopkins University | Intrusion detection system for wireless networks |
| US6986161B2 (en) * | 2002-08-12 | 2006-01-10 | Harris Corporation | Mobile ad-hoc network with intrusion detection features and related methods |
| US7327690B2 (en) * | 2002-08-12 | 2008-02-05 | Harris Corporation | Wireless local or metropolitan area network with intrusion detection features and related methods |
| US20040103314A1 (en) * | 2002-11-27 | 2004-05-27 | Liston Thomas F. | System and method for network intrusion prevention |
| US8074277B2 (en) * | 2004-06-07 | 2011-12-06 | Check Point Software Technologies, Inc. | System and methodology for intrusion detection and prevention |
| FR2872653B1 (fr) * | 2004-06-30 | 2006-12-29 | Skyrecon Systems Sa | Systeme et procedes de securisation de postes informatiques et/ou de reseaux de communications |
| US20060209772A1 (en) * | 2005-03-15 | 2006-09-21 | University Of Florida Research Foundation, Inc. | Coordinated directional medium access control in a wireless network |
| US7746866B2 (en) * | 2005-05-13 | 2010-06-29 | Intel Corporation | Ordered and duplicate-free delivery of wireless data frames |
| US8102871B1 (en) | 2005-11-10 | 2012-01-24 | Ozmo, Inc. | Method and apparatus for medium reservation and medium reservation modification in a communication system |
| US8266696B2 (en) * | 2005-11-14 | 2012-09-11 | Cisco Technology, Inc. | Techniques for network protection based on subscriber-aware application proxies |
| JP4799213B2 (ja) | 2006-02-28 | 2011-10-26 | 株式会社エヌ・ティ・ティ・ドコモ | 無線通信端末及び無線通信方法 |
| US7971251B2 (en) * | 2006-03-17 | 2011-06-28 | Airdefense, Inc. | Systems and methods for wireless security using distributed collaboration of wireless clients |
| US7936670B2 (en) * | 2007-04-11 | 2011-05-03 | International Business Machines Corporation | System, method and program to control access to virtual LAN via a switch |
| US8694624B2 (en) * | 2009-05-19 | 2014-04-08 | Symbol Technologies, Inc. | Systems and methods for concurrent wireless local area network access and sensing |
| WO2014157745A1 (ko) * | 2013-03-27 | 2014-10-02 | (주)노르마 | 유선 스캐닝 및 무선 스캐닝을 이용한 불법 모바일 장비의 판별 방법 |
| CN109143114B (zh) * | 2018-08-01 | 2021-11-02 | 深圳市泰昂能源科技股份有限公司 | 一种直流互窜故障检测装置与方法 |
| US11026097B2 (en) * | 2018-08-03 | 2021-06-01 | Qualcomm Incorporated | Coexistence between spectrum sharing systems and asynchronous channel access systems |
| US12356373B2 (en) * | 2023-11-27 | 2025-07-08 | Synaptics Incorporated | Nonconforming network allocation vector (NAV) detection and mitigation |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5412654A (en) | 1994-01-10 | 1995-05-02 | International Business Machines Corporation | Highly dynamic destination-sequenced destination vector routing for mobile computers |
| US5991881A (en) * | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
| US5805801A (en) * | 1997-01-09 | 1998-09-08 | International Business Machines Corporation | System and method for detecting and preventing security |
| JP3792013B2 (ja) * | 1997-08-12 | 2006-06-28 | 富士通株式会社 | ワイヤレスlanおよびシステム内送受信装置 |
| US6304556B1 (en) | 1998-08-24 | 2001-10-16 | Cornell Research Foundation, Inc. | Routing and mobility management protocols for ad-hoc networks |
| US20030149891A1 (en) * | 2002-02-01 | 2003-08-07 | Thomsen Brant D. | Method and device for providing network security by causing collisions |
| US6804631B2 (en) | 2002-05-15 | 2004-10-12 | Microsoft Corporation | Event data acquisition |
| US7778606B2 (en) * | 2002-05-17 | 2010-08-17 | Network Security Technologies, Inc. | Method and system for wireless intrusion detection |
| US7042852B2 (en) * | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
-
2002
- 2002-08-12 US US10/217,042 patent/US7224678B2/en not_active Expired - Lifetime
-
2003
- 2003-08-11 AU AU2003255262A patent/AU2003255262A1/en not_active Abandoned
- 2003-08-11 JP JP2004527998A patent/JP2005536117A/ja active Pending
- 2003-08-11 WO PCT/US2003/025065 patent/WO2004015540A2/en not_active Ceased
- 2003-08-11 CA CA002495091A patent/CA2495091A1/en not_active Abandoned
- 2003-08-11 EP EP03785162.3A patent/EP1535414B1/en not_active Expired - Lifetime
- 2003-08-11 CN CNA038209004A patent/CN1679264A/zh active Pending
- 2003-08-12 TW TW092122118A patent/TWI242650B/zh not_active IP Right Cessation
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001242B (zh) * | 2006-01-10 | 2011-04-20 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
| CN101667947B (zh) * | 2008-09-04 | 2011-11-30 | 鸿富锦精密工业(深圳)有限公司 | 移动站、基地台及其侦测攻击的方法 |
| CN103067922A (zh) * | 2013-01-24 | 2013-04-24 | 中兴通讯股份有限公司 | 无线局域网防范非法接入点的方法及系统 |
| CN104253786A (zh) * | 2013-06-26 | 2014-12-31 | 北京思普崚技术有限公司 | 一种基于正则表达式的深度包检测方法 |
| CN104253786B (zh) * | 2013-06-26 | 2017-07-07 | 北京思普崚技术有限公司 | 一种基于正则表达式的深度包检测方法 |
| CN106878247A (zh) * | 2016-08-11 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 一种攻击识别方法和装置 |
| CN106878247B (zh) * | 2016-08-11 | 2020-06-16 | 阿里巴巴集团控股有限公司 | 一种攻击识别方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW200422628A (en) | 2004-11-01 |
| WO2004015540A3 (en) | 2004-07-29 |
| AU2003255262A1 (en) | 2004-02-25 |
| EP1535414A2 (en) | 2005-06-01 |
| AU2003255262A8 (en) | 2004-02-25 |
| TWI242650B (en) | 2005-11-01 |
| JP2005536117A (ja) | 2005-11-24 |
| EP1535414A4 (en) | 2009-11-04 |
| US20040027988A1 (en) | 2004-02-12 |
| WO2004015540A2 (en) | 2004-02-19 |
| EP1535414B1 (en) | 2016-08-10 |
| CA2495091A1 (en) | 2004-02-19 |
| US7224678B2 (en) | 2007-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100542188C (zh) | 具有入侵检测特性的无线局域网或城域网和相关方法 | |
| CN1679264A (zh) | 具有入侵检测特征的无线局域网或城域网及相关方法 | |
| CN115176488B (zh) | 无线入侵防御系统、包括该系统的无线网络系统以及无线网络系统的操作方法 | |
| KR100673830B1 (ko) | 침입탐지 특성을 가진 이동 애드-혹 통신망 및 이와 관련된방법 | |
| JP4005085B2 (ja) | 侵入検出機能を備えた移動体アドホックネットワーク及び関連方法 | |
| US7970894B1 (en) | Method and system for monitoring of wireless devices in local area computer networks | |
| US7971253B1 (en) | Method and system for detecting address rotation and related events in communication networks | |
| US20060165073A1 (en) | Method and a system for regulating, disrupting and preventing access to the wireless medium | |
| Anmulwar et al. | Rogue access point detection methods: A review | |
| Zhao | Covert channels in 802.11 e wireless networks | |
| KR100678390B1 (ko) | 침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법 | |
| KR100673825B1 (ko) | 침입 감지 특징이 있는 무선 근거리 또는 도시권 통신망및 이에 관한 방법 | |
| Shinde et al. | COVERT CHANNELS IN 802.11 e WIRELESS NETWORKS | |
| Mišić et al. | MAC Layer Attacks | |
| Alesawi et al. | Intrusion Detection System for Misbehaving WLAN Users. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |