[发明专利]一种在集中式WLAN环境中检测非法AP的方法

说明书

技术领域

本发明涉及无线入侵检测技术，尤其涉及一种在集中式WLAN(Wireless Local Area Networks无线局域网络)环境中检测非法AP(Access Point无线接入点)的方法。该方法简单易行，适合在各种环境下使用，通过动态的检测方法将复杂WLAN环境中的非法AP(rogueAP)检测出来。

背景技术

现代WLAN环境变得越来越普遍，使用也越来越广泛；使得人们能够随时随地的通过WLAN热点连接上internet，让人们的生活变得越来越丰富，但是随之而来的却是众多的非法入侵技术，非法AP就是非法入侵技术的一种。

非法AP是指在无线网络中未经认证的访问点，可以为未经授权的网络访问提供入口点。

虽然IEEE802.1x具备了比较完善的安全机制，但是大都是通过提高系统自身的免疫力来抵御进攻，对于像非法AP这种攻击形式仍然无能为力，所以需要一种手段来帮助网络管理者能够主动发现网络中的隐患，在第一时间对无线攻击者进行主动防御和反攻击。这种技术就是无线入侵检测技术。

无线入侵检测技术的基本原理就是在网络中部署一些AP，并把AP配置在监听的工作模式，然后捕捉空间中传播的无线报文，通过对这些报文的特征进行分析，识别出特定类型的攻击方式，然后在第一时间将安全威胁通知管理员，同时，也可以结合无线定位系统对非法用户和非法AP进行位置定位。

非法AP的发现和定位需要AC(Access Control无线控制器)的帮助。

发明内容

本发明的目的就在于克服现有技术存在的缺点和不足，提供一种在集中式WLAN环境中检测非法AP的方法。

本发明的目的是这样实现的：

一、搜索beacon报文，捕捉空间中的beacon报文，然后解析其中的字段，查看其中的ssid parameter set字段。

二、建立规则匹配表，规则匹配表在AC设备上建立，建立的时机是在AP上创建WLAN的时候，首先记录下WLAN的ssid(名称)，然后等待AP返回相应的bssid(MAC地址)，将ssid和bssid记录下来，形成(ssid，bssid)二元规则匹配表。

三、通过发送probe request(探测请求)的方式进行扫描，将扫描到的报文的内容进行解析，尤其是其中的ssid和bssid，将ssid和bssid加入到二元规则匹配表中进行匹配，匹配成功则表示为合法AP或者邻居AP，如果匹配失败则表示是非法AP。

具体地说，本方法包括下列步骤：

第1步骤，首先将两台AP与AC进行关联，剩下的一台AP不作关联，假设其中两台与AC相连的AP做为合法AP或者邻居AP，剩下的一台AP作为非法AP；

第2步骤，在AC设备上配置基本模板和安全模板，基本模板中包含ssid信息，在建立WLAN的时候，会将基本模板中的信息下发到AP中，包括ssid；

第3步骤，在两台与AC相连的AP上建立相同的WLAN；

为什么这么做呢？因为通常运营商在建立WLAN网络的时候不会使用到太多的ssid名称，运营商使用的ssid名称通常是1到2个，比如中国移动的ssid通常为cmcc或者cmccedu，所以我们可以认为合法AP的ssid可以是相同的ssid；

第4步骤，在剩下的一台AP上也配置相同的WLAN，但是不经过AC设备来配置，而是通过改写配置文件的方式，让这台AP在启动的过程中自己建立起WLAN；

其中这台AP的ssid名称应该与前三台AP的ssid一样，因为非法AP就是通过假冒合法AP的方式进行入侵，所以它的ssid应该与合法的AP一样；

第5步骤，具体的操作方法：

①在AC设备上建立ssid和bssid的二元映射表

因为WLAN都从AC设备上建立的，所以在建立WLAN的过程中，我们把模板中的ssid记录下来，然后当AP上的WLAN建立成功以后，它会把自身的bssid返回给AC设备，这样就可以在AC设备上建立(ssid，bssid)的二元映射表；

二元映射表建立好了以后，将它保存在AC设备上，只要WLAN不删除，这张表就一直保存；

WLAN建立好了以后，(ssid，bssid)二元映射表也建立好了；

②开启AP上无线扫描