[发明专利]分布式无线入侵检测系统及其检测方法

说明书

技术领域

本发明属于无线数据安全技术领域，具体涉及一种分布式无线入侵检测系统及其检测方法。

背景技术

随着社会的进步，科技的发展，通讯技术也在不断的进步，因为无线技术具有的众多优点，使得无线技术也取到的了巨大的发展。但由于无线通讯技术在环境上开放性，使得无线通讯技术的安全性也成为引人瞩目的课题之一。

无线信道本身是开放的，这就使得在开放区域中会有非法的无线设备的干扰或者访问，为了防止非法设备的干扰或者访问，就需要对当前空间进行警讯和无线入侵检测。目前常见的无线入侵检测方法中，有基于数据包信息的入侵检测，基于无线载波的入侵检测。而当前又存在很多各式各样的检测设备，每种设备都采用了不尽相同的检测策略。如何将这些方法设备和策略整合，并从一个更高的层面上提出一些解决问题的策略，则是改变这种现状的一个契机。

发明内容

本发明目的在于提供一种分布式无线入侵检测系统，解决了现有技术中无线数据安全检测时数据量过大、多种检测策略难以整合等问题。

为了解决现有技术中的这些问题，本发明提供的技术方案是：

一种分布式无线入侵检测系统，其特征在于所述系统至少包括：

入侵检测管理服务器，用于指定无线数据传输的合法信道，以及无线数据使用的合法BSSID和SSID，且能及时更新无线局域网络拓扑图；

无线感应器，通过有线网络与入侵检测管理服务器相连，负责扫描无线感应器周围一定范围内的无线信号，解析无线信号中的无线数据，并将无线数据的帧头信息上报给入侵检测管理服务器；

入侵检测管理服务器接收到无线感应器上报的信息后，根据服务器配置的检测策略对无线数据的合法性进行检测。

优选的，无线感应器可以是支持无线扫描无线接入点或专用无线感应器，负责扫描无线感应器周围一定范围内的无线信号，其范围可以根据无线感应器的扫描灵敏度决定，并通过有线网络与管理服务器相连，用于解析无线传输中的无线数据，并将无线数据的帧头信息上报给入侵检测管理服务器。

本发明还提供了一种分布式无线入侵检测方法，其特征在于所述方法包括以下步骤：

(1)入侵检测管理服务器启动后，进行配置入侵检测管理服务器并更新无线局域网网络；

(2)配置结束后入侵检测管理服务器监听无线感应器上报的无线数据帧头信息；

(3)入侵检测管理服务器根据无线数据帧头信息与已配置的信息进行合法性匹配；根据合法性匹配的结果入侵检测管理服务器作出决策并记录检测结果，然后开始下次循环，继续监听无线感应器上报的无线数据帧头信息。

优选的，所述步骤(2)中当入侵检测管理服务器未收到无线感应器上报的无线数据帧头信息时，入侵检测管理服务器继续监听无线感应器上报的无线数据帧头信息。

优选的，所述步骤(3)中当入侵检测管理服务器收到的无线数据帧头信息与已配置的信息不匹配时，入侵检测管理服务器继续循环监听无线感应器上报的无线数据帧头信息。

本发明可以用于在具有很大数据流量的复杂无线环境中，通过部署多个无线感应器，或者通过配置多个已有无线感应器，并配合入侵检测管理服务器，来实现对整个环境的无线系统进行检测，并对非法的无线入侵及时提出报警或处理。

本发明解决的技术问题可以是在具有大量无线设备，有很大无线数据流量的复杂无线局域网环境中，通过传统的无线数据包扫描的方法，来进行无线入侵检测，会带来很大的计算量，并可能出现因为设备之间干扰及设置的不同步，出现误检测的情况。

本发明的基于无线数据帧头部识别的分布式无线入侵检测方法具体可以按照如下步骤进行：

(i)网络环境中部署无线入侵检测管理服务器。

(ii)配置该服务器，使该服务器能及时更新最新的网络拓扑图。

(iii)配置入侵检查策略，即指定合法信道，合法BSSID，SSID，使服务器能根据以上信息对无线数据包头部中的信息进行匹配，来做出无线入侵的决策。

(iv)在局域网中部署多个无线感应器。

(v)配置无线感应器，使无线感应器可以把扫描到的无线数据解包后，把包头信息上报给入侵检测管理服务器。

(vi)无线入侵检测管理服务器，根据感应器上报的无线数据包头信息，从中取出SSID，BSSID等信息，然后对比当前的网络拓扑图以及网络中的已经存在的合法设备的信息进行判断，以及步骤3中既定的合法信息进行匹配，从根据无线感应器上报无线数据包头部信息来确认网络是不是受到了无线入侵，从而作出决策。