[发明专利]WLAN无线入侵告警聚合方法

权利要求书

1.一种WLAN无线入侵告警聚合方法，其特征在于：包括如下步骤：

步骤一、告警格式化：首先对已有无线入侵检测系统捕获的原始安全告警进行格式化处理，改进通用的入侵检测消息交换格式IDMEF的告警格式，在其中引入AP接入点等无线设备信息，具体包含AP的SSID、工作信道、MAC地址、信号强度、是否加密以及加密机制等内容，使之能够反映WLAN无线环境的特征信息；

步骤二、告警精简：WLAN无线入侵检测系统产生的告警包含了大量的无关告警和重复告警信息，对这些告警进行剔除和精简，提高分析告警的准确率和可靠性；

步骤三、告警分类：对于剔除无关告警和重复告警后的告警，利用AP的SSID、攻击源的MAC地址、AP的MAC地址等特征进行分类，将原始告警聚合为超告警，对应某一类具有明显攻击行为特征的安全告警，为后续的入侵防御决策提供前提条件。

2.根据权利要求1所述的WLAN无线入侵告警聚合方法，其特征在于：所述步骤一中的改进通用的入侵检测消息交换格式IDMEF的告警格式具体步骤为：

在IDMEF告警格式的基础上进行了扩展；在IDMEF告警格式中补充以下三类重要的信息：

(1)增加告警Target的AP类，描述WLAN环境中特有的AP信息属性，主要包括AP的物理地址(MAC_Addr)、AP的SSID(SSID)、AP的BSSID(BSSID)、AP的生产商(Vendor)、工作信道(Channel)、传输速度(Speed)、信号强弱(Signal)、是否加密(Encryption)、加密方式(Encrypt_Type)和IP地址(IP_Addr)等信息；

(2)扩展告警的AdditionalData类，增加WLAN传输的无线帧的重要信息，主要包括类型域(Type)、子类型域(Subtype)、To DS域(To_DS)、From DS域(From_DS)、More Fragments域(More_Flags)、Retry域(Retry)、Power Management域(Pwr_Mgt)、More Data域(More_Data)、WEP域(WEP)、Order域(Order)、Duration/ID字段(Duration_ID)、帧序号(Seq_Num)、分片序号(Frag_Num)等MAC帧相关的信息；

(3)扩展告警的Analyzer类，增加分布式环境中特有的无线采集器属性，主要包括产生告警的采集器类型(Agent_Type)、产生告警的采集器标识(Agent_ID)、采集器特征标识(Agent_SID)、告警在该采集器所有告警中的序号(Agent_CID)等。