技術領域

本發明屬于無線數據安全技術領域，具體涉及一種分布式無線入侵檢測系統及其檢測方法。

背景技術

隨著社會的進步，科技的發展，通訊技術也在不斷的進步，因為無線技術具有的眾多優點，使得無線技術也取到的了巨大的發展。但由于無線通訊技術在環境上開放性，使得無線通訊技術的安全性也成為引人矚目的課題之一。

無線信道本身是開放的，這就使得在開放區域中會有非法的無線設備的干擾或者訪問，為了防止非法設備的干擾或者訪問，就需要對當前空間進行警訊和無線入侵檢測。目前常見的無線入侵檢測方法中，有基于數據包信息的入侵檢測，基于無線載波的入侵檢測。而當前又存在很多各式各樣的檢測設備，每種設備都采用了不盡相同的檢測策略。如何將這些方法設備和策略整合，并從一個更高的層面上提出一些解決問題的策略，則是改變這種現狀的一個契機。

發明內容

本發明目的在于提供一種分布式無線入侵檢測系統，解決了現有技術中無線數據安全檢測時數據量過大、多種檢測策略難以整合等問題。

為了解決現有技術中的這些問題，本發明提供的技術方案是：

一種分布式無線入侵檢測系統，其特征在于所述系統至少包括：

入侵檢測管理服務器，用于指定無線數據傳輸的合法信道，以及無線數據使用的合法BSSID和SSID，且能及時更新無線局域網絡拓撲圖；

無線感應器，通過有線網絡與入侵檢測管理服務器相連，負責掃描無線感應器周圍一定范圍內的無線信號，解析無線信號中的無線數據，并將無線數據的幀頭信息上報給入侵檢測管理服務器；

入侵檢測管理服務器接收到無線感應器上報的信息后，根據服務器配置的檢測策略對無線數據的合法性進行檢測。

優選的，無線感應器可以是支持無線掃描無線接入點或專用無線感應器，負責掃描無線感應器周圍一定范圍內的無線信號，其范圍可以根據無線感應器的掃描靈敏度決定，并通過有線網絡與管理服務器相連，用于解析無線傳輸中的無線數據，并將無線數據的幀頭信息上報給入侵檢測管理服務器。

本發明還提供了一種分布式無線入侵檢測方法，其特征在于所述方法包括以下步驟：

(1)入侵檢測管理服務器啟動后，進行配置入侵檢測管理服務器并更新無線局域網網絡；

(2)配置結束后入侵檢測管理服務器監聽無線感應器上報的無線數據幀頭信息；

(3)入侵檢測管理服務器根據無線數據幀頭信息與已配置的信息進行合法性匹配；根據合法性匹配的結果入侵檢測管理服務器作出決策并記錄檢測結果，然后開始下次循環，繼續監聽無線感應器上報的無線數據幀頭信息。

優選的，所述步驟(2)中當入侵檢測管理服務器未收到無線感應器上報的無線數據幀頭信息時，入侵檢測管理服務器繼續監聽無線感應器上報的無線數據幀頭信息。

優選的，所述步驟(3)中當入侵檢測管理服務器收到的無線數據幀頭信息與已配置的信息不匹配時，入侵檢測管理服務器繼續循環監聽無線感應器上報的無線數據幀頭信息。

本發明可以用于在具有很大數據流量的復雜無線環境中，通過部署多個無線感應器，或者通過配置多個已有無線感應器，并配合入侵檢測管理服務器，來實現對整個環境的無線系統進行檢測，并對非法的無線入侵及時提出報警或處理。

本發明解決的技術問題可以是在具有大量無線設備，有很大無線數據流量的復雜無線局域網環境中，通過傳統的無線數據包掃描的方法，來進行無線入侵檢測，會帶來很大的計算量，并可能出現因為設備之間干擾及設置的不同步，出現誤檢測的情況。

本發明的基于無線數據幀頭部識別的分布式無線入侵檢測方法具體可以按照如下步驟進行：

(i)網絡環境中部署無線入侵檢測管理服務器。

(ii)配置該服務器，使該服務器能及時更新最新的網絡拓撲圖。

(iii)配置入侵檢查策略，即指定合法信道，合法BSSID，SSID，使服務器能根據以上信息對無線數據包頭部中的信息進行匹配，來做出無線入侵的決策。

(iv)在局域網中部署多個無線感應器。

(v)配置無線感應器，使無線感應器可以把掃描到的無線數據解包后，把包頭信息上報給入侵檢測管理服務器。

(vi)無線入侵檢測管理服務器，根據感應器上報的無線數據包頭信息，從中取出SSID，BSSID等信息，然后對比當前的網絡拓撲圖以及網絡中的已經存在的合法設備的信息進行判斷，以及步驟3中既定的合法信息進行匹配，從根據無線感應器上報無線數據包頭部信息來確認網絡是不是受到了無線入侵，從而作出決策。