技術領域

本發明涉及網絡安全技術領域，尤其涉及一種無線報文的偵聽檢測方法、系統及中控服務器。

背景技術

隨著網絡技術的發展，無線網絡因為其便利性，應用范圍越來越廣泛，無線技術的飛速發展和日漸成熟，越來越多的移動設備和移動終端也支持無線傳輸功能，極大地改善了人們的生活質量，加快了社會發展的進程，也使信息共享及應用更加廣泛和深入。同有線網絡一樣，安全性以及訪問可控性等網絡安全技術，對于無線網絡而言同樣需要得到高度重視。

在無線網絡中，數據傳輸是利用微波在空氣中進行輻射傳播，攻擊者可以通過入侵網絡中無線接入點所覆蓋的任何位置，偵聽、攔截、重放、破壞用戶的通信數據。由于無線網絡的特殊性，攻擊者無須物理連線就可以對無線網絡發起攻擊。更為重要的是，一部分無線路由并沒有設置進入口令，使得無線網絡的安全性非常低，即便一部分無線路由進行了無線加密協議WEP、WPA等口令設置，但是在各種破解攻略以及破解工具充斥整個網絡的環境下，這些防范性能較低的技術對攻擊者而言也是形同虛設。也有一些無線路由器具有一定安全限度的防火墻，但是目前而言功能還較為有限。總之，目前的無線網絡還不是很安全。

發明內容

有鑒于此，本發明要解決的一個技術問題是提供一種無線報文的偵聽檢測方法，可以檢測出對無線網絡的攻擊事件。

一種無線報文的偵聽檢測方法，其中：中控服務器接收到無線熱點和客戶端裝置的無線數據包；所述中控服務器從所述無線數據包中解析出特征信息并存儲；所述中控服務器根據攻擊指紋庫中設置的指紋信息和攻擊事件模型對所述無線數據包進行匹配檢測，獲得檢測結果。

根據本發明的一個實施例，進一步的，當所述中控服務器判斷所述無線數據包為WPA數據包時，所述中控服務器將所述WAP數據包與所述攻擊指紋庫中的斷線包指紋進行匹配，如果匹配成功，則確定所述WAP數據為斷線包并確定受到攻擊，將發送此斷線包的源MAC地址加入到動態黑名單中。

根據本發明的一個實施例，進一步的，所述中控服務器統計各個客戶端裝置連接的無線熱點的數量；當判斷某個客戶端裝置在某一時間段內連接的無線熱點的數量超過預設的閾值時，則確定此客戶端裝置為可疑設備，并將此客戶端裝置的源MAC地址加入到動態黑名單中。

根據本發明的一個實施例，進一步的，所述中控服務器統計所述無線數據包中的無線熱點的SSID名稱；當所述中控服務器判斷出現SSID名稱相同的多個無線熱點、并且所述多個無線熱點中的一個或多個無線熱點接收斷線包的頻率超過了預設的頻率閾值時，則確定出現異常。

根據本發明的一個實施例，進一步的，當所述中控服務器判斷某個無線熱點的SSID名稱長度超過預設的長度閾值時，則確定此無線熱點受到攻擊，并將發起攻擊的源MAC地址加入到動態黑名單中。

根據本發明的一個實施例，進一步的，傳感器包括無線網卡；所述傳感器實時或定時采集無線網絡中無線熱點、客戶端裝置接收或發送的無線數據包，并發送到所述中控服務器；所述傳感器向所述中控服務器發送所述無線數據包采用的協議包括：802.1X；所述無線熱點包括：無線路由器、無線AP；所述客戶端裝置包括：移動終端、PC、筆記本電腦。

根據本發明的一個實施例，進一步的，所述中控服務器根據所述特征信息、以及檢測結果實時生成所述無線熱點和客戶端裝置的狀態信息，并將所述狀態信息發送到監控終端進行顯示；當所述中控服務器確定無線網絡受到攻擊或出現異常時，將告警信息發送到監控終端進行顯示；所述監控終端包括：移動終端、PC、筆記本電腦；所述特征信息包括：SSID名稱、熱點加密方式、頻道、MAC地址、客戶端MAC地址、QSS信息、WPS信息、認證信息。

本發明要解決的一個技術問題是提供一種中控服務器，可以檢測出對無線網絡的攻擊事件。

一種中控服務器，包括：信息接收單元，用于接收無線熱點和客戶端裝置的無線數據包；信息解析單元，用于從所述無線數據包中解析出特征信息并存儲；入侵判斷單元，用于根據攻擊指紋庫中設置的指紋信息和攻擊事件模型對所述無線數據包進行匹配檢測，獲得檢測結果。

根據本發明的一個實施例，進一步的，所述入侵判斷單元，還用于當判斷所述無線數據包為WPA數據包時，將所述WAP數據包與所述攻擊指紋庫中的斷線包指紋進行匹配，如果匹配成功，則確定所述WAP數據為斷線包并確定受到攻擊，將發送此斷線包的源MAC地址加入到動態黑名單中。