[发明专利]WLAN无线入侵告警聚合方法

说明书

技术领域

本发明涉及无线入侵告警聚合方法，更具体说，它涉及一种面向WLAN的无线入侵告警聚合方法。

背景技术

随着全世界网民数量的不断增长，使用无线接入的用户也日益攀升，无线局域网(WLAN，Wireless Local Area Network)已成为普遍应用的网络技术。WLAN具有接入速率高、网络部署快、组网灵活、架构简便等特点，具备传统有线网络所无法比拟的优势，已广泛应用于家庭、机场、车站和校园等各种场合，也使得近年来移动互联网、BYOD(Bring Your Own Device，自带设备办公)等迅速普及。

由于WLAN自身的特殊性，攻击者无需进行物理连线就可进行攻击，而且目前国内外普遍使用的WLAN的IEEE802.11系列标准、有线等效加密算法WEP(Wired Equivalent Privacy)和Wi-Fi网络安全存取算法WPA(Wi-Fi Protected Access)等加密算法本身也存在缺陷，使得WLAN安全成为一个突出问题。美国信息安全服务公司Trustwave在《2012年度全球安全报告》中统计了十大网络安全风险(Top 10 Network Risks)，其中WLAN相关的风险就占据其二，分别是无线用户自动接入非法AP(排名第五)和使用WEP加密传输无线信息(排名第六)。

随着WLAN安全威胁的日益加剧，黑客也越来越多地针对WLAN开展密钥破解、地址欺骗和拒绝服务攻击等多种形式的攻击，给个人家庭以及公共场合的WLAN网络造成了严重的破坏。据报道，在2012年7月召开的世界顶级黑客大会(BlackHat 2012)上，就检测到了1561起独立的WLAN安全事件，包括超过280个非法AP接入点(Rouge APs)、拒绝服务攻击(DoS Attacks)和取消验证广播(Deauth Broadcast)等多种攻击方式。2012年2月，新华网、中国经济网等多家媒体均报道了黑客利用虚假免费Wi-Fi热点获取使用者机密信息的新闻，指出不少公共场所的开放式无线网络都是不法分子伪造，可以轻松获取使用该网络用户的私人信息。2014年3月，国家互联网应急中心发布的《2013年我国互联网网络安全态势综述》显示，D-LINK、Cisco、Linksys、NetGear、Tenda等多家厂商的无线路由器产品均存在后门，黑客可由此直接控制路由器，进一步发起DNS劫持、窃取信息、网络钓鱼等攻击，直接威胁用户网上交易和数据存储安全，这些报道无疑更增加了公众对于使用WLAN的隐忧。

国外针对WLAN的入侵检测和防御技术研究开展较早，主要的无线网络入侵检测系统包括以下几款产品：ISS公司的Wireless Scanner、AirMagnet公司的AirMagnet Distributed、AirDefense公司的AirDefense Guard、Cisco公司的Adaptive WIPS、AirTight公司的SpectraGuard、Fatblock工作组的WIDZ、开源的Snort-Wireless以及Kismet等。

这些无线网络入侵检测系统都有各自的原始告警格式，并且会产生大量的无关告警和重复告警，对准确实时识别WLAN攻击者的真正意图尤其是多步攻击行为带来了不便。因此，需要对原始告警进行预处理，删除原始告警中的无关和重复告警，转化为超告警类型，这样可以明显减少原始告警数量，降低现有WLAN入侵防御系统的虚警率，从而提升无线局域网入侵检测和防御的性能。

专利200810046788.4“一种减少网络入侵检测系统误告警方法”提供了一种减少网络入侵检测系统误告警的方法，该方法根据网络流量的特性去除背景流量产生的大量冗余告警，再根据告警产生的模式对去除后的告警进行实时聚合分析，从而降低告警的数量。该方法首先收集特征产生告警构成样本集合A，从样本集合A中提取符合特征产生告警比例阈值α的特征和符合IP产生告警阈值β的IP，再根据提取的特征和IP的二元组合构造告警时间序列，采用傅立叶分析方法对告警时间序列进行周期分析，并对得到的周期作假设检，然后根据存在周期的告警时间序列制定去除规则，从样本集合A中去除与规则匹配的特征产生告警，最后对去除后剩余的告警进行聚合分析产生超级告警。

该方法主要利用IP地址作为聚合特征，可以对有线网络的入侵告警进行有效的聚合，降低有线网络入侵告警的数量。但是该方法并不适用于无线网络环境，因为在无线网络入侵过程中，攻击者往往还没有配置IP地址，只是利用物理地址等其它WLAN的属性特征进行攻击，所以并不能对WLAN无线入侵告警进行有效聚合。

发明内容