本發明專利技術公開了一種惡意熱點檢測方法和系統,所述方法包括:部署在企業內部的硬件傳感器,持續捕獲當前無線環境中的所有數據流量,將所述數據流量實時傳輸到中控服務器;中控服務器從所述數據流量中解析出需要的特征信息;將所述特征信息在特征庫中進行匹配檢測;對屬于本企業內部的熱點和客戶端的連接情況進行進一步檢查,生成黑白名單;對黑名單中的熱點/客戶端進行定位,并將定位信息發送到管理終端進行顯示。本發明專利技術提高了無線網絡的安全性,可以兼容企業各種無線網環境,不影響企業現有無線網結構,能夠無縫部署,進行智能、便捷管理。
【技術實現步驟摘要】
惡意熱點檢測方法和系統
本專利技術涉及網絡安全
,尤其涉及一種惡意熱點檢測方法和系統。
技術介紹
隨著網絡技術的發展,無線網絡因為其便利性,應用范圍越來越廣泛。一些公司和家庭因為不同設備無線上網的需求,增設了無線AP(AccessPoint,接入點),增強了上網設備的移動性,彌補了有線網絡的局限。對于企業用戶來說,隨著企業網絡中的熱點不斷增加,形成了各種廠家、型號各異的熱點并存;同時,分布混亂,設備安全性脆弱。由于無線網絡中,數據是利用無線信號進行輻射傳播,攻擊者可以通過入侵無線網絡中熱點所覆蓋的任何位置,偵聽、攔截、重放、破壞用戶的通信數據,給企業的網絡信息安全帶來了極大的安全風險。在企業內部出現的熱點,主要有以下幾種方式,各種方式都有一定的安全隱患和問題。1、合法熱點企業有規劃的搭建的熱點,稱為合法熱點。從安全角度講,合法熱點應該是企業內部的唯一熱點,其他熱點都可能會給企業帶來安全風險。但是,合法熱點也存在安全隱患,即使進行了無線加密協議WEP、WPA等口令設置,也存在弱口令、加密等級不足等問題,而且在各種破解策略以及破解工具充斥網絡的環境下,這些加密協議對攻擊者而言也是形同虛設,容易被黑客通過熱點進入企業內部網絡,造成信息泄露被篡改等嚴重后果;合法熱點也可能會收到DDoS攻擊,導致無法正常服務。2、覆蓋過來的其它熱點由于無線網絡的穿透性和邊界的不確定性,某些鄰近的企業的無線網絡可能會互相覆蓋。這種熱點對于企業的網絡安全來說,存在兩方面的問題。一是不確定對方熱點是否安全;二是本企業員工可能會接入對方熱點。有可能會造成信息泄露。3、員工私自搭建的熱點隨身WiFi只要查到有網絡的電腦終端商,即可作為一個與此網絡聯通的熱點;也有很多終端工具提供了分享WiFi的工具。很多員工有意無意間會在自己的終端上建立熱點,而其安全性很難得到保證,容易被黑客入侵,進入企業網絡內部,進而竊取企業內部數據。4、惡意熱點除上述熱點外,一些攻擊者還可能會故意在企業周圍建立惡意熱點,采用與企業熱點相同或相近的名稱,使員工的終端有意或無意間連接到該熱點。而攻擊者可以通過該熱點獲取企業內部信息,甚至通過入侵該終端,進入企業內部網絡。因此,安全性及訪問可控性等網絡安全技術,對于無線網絡而言需要得到高度重視。雖然企業可能會定期進行無線網絡的安全檢查,檢測惡意熱點情況、是否有非法熱點等,但是很難形成常態。無法長期關注整個惡意熱點情況,對于出現偶然性比較大的非法熱點,無法做到實時發現和阻斷。還缺少一種能夠持續、穩定運行的檢測惡意熱點情況的方法和系統。當熱點受到DDoS洪泛攻擊時,很多企業都是被攻擊到網絡無法繼續使用的情況下,才會發現并進行相應處理。對于釣魚熱點攻擊,幾乎沒有發現的手段,從而造成某些終端無意之間連接到了釣魚熱點,造成信息泄露。還缺少有效的防護措施,及時發現和阻斷攻擊。當發生了安全事件后,如:某些終端是否私自建立過WiFi,某些終端是否連接過非法熱點,熱點是否收到過攻擊等等。對于事后的審計和追蹤,缺乏必要的數據支持和處理手段。
技術實現思路
鑒于上述問題,提出了本專利技術以便提供一種惡意熱點檢測方法和系統,以克服上述問題或者至少部分地解決或者減緩上述問題的缺點。根據本專利技術的一個方面,提供了一種惡意熱點檢測方法,包括以下步驟:部署在企業內部的硬件傳感器,持續捕獲當前無線環境中的所有數據流量,將所述數據流量實時傳輸到中控服務器;中控服務器從所述數據流量中解析出需要的特征信息;中控服務器將所述特征信息在特征庫中進行匹配檢測;中控服務器對屬于本企業內部的熱點和客戶端的連接情況進行進一步檢查,生成黑白名單;中控服務器對黑名單中的熱點/客戶端進行定位,并將定位信息發送到管理終端進行顯示。可選地,所述硬件傳感器包括無線網卡,實時或定時采集無線網絡中熱點、客戶端接收或發送的無線數據包。可選地,所述特征信息包括:熱點SSID、熱點加密方式、熱點頻道、熱點MAC地址、客戶端MAC地址。可選地,所述中控服務器將所述特征信息在特征庫中進行匹配檢測包括:統計無線數據包中的無線熱點的SSID名稱和客戶端MAC地址,劃分出屬于本企業內部的熱點和客戶端,以及不屬于本企業內部的熱點和客戶端。可選地,所述中控服務器對屬于本企業內部的熱點和客戶端的連接情況進行進一步檢查,生成黑白名單包括:如果企業內部的熱點所連接的不是企業內部的客戶端,則判斷所述企業內部的熱點出現異常,將所述客戶端劃分至黑名單中;如果企業內部的客戶端所連接的不是企業內部的熱點,則判斷所述企業內部的客戶端出現異常,將所述客戶端劃分至黑名單中;如果企業內部的熱點中出現SSID名稱相同的多個無線熱點、并且多個無線熱點中的一個或多個無線熱點接收斷線包的頻率超過了預設的閾值,則確定出現異常,將該熱點劃分到黑名單中;如果企業內部的客戶端在某一時間段內連接的熱點的數量超過預設的閾值,將所述客戶端劃分至黑名單中。可選地,所述中控服務器對黑名單中的熱點/客戶端進行定位包括:中控服務器中預先導入了包含傳感器地理位置信息的平面結構圖,使用傳感器三點定位技術對傳感器覆蓋范圍內的熱點/客戶端進行精確定位。可選地,管理終端接收中控服務器發送的黑名單中的熱點/客戶端的定位信息;顯示所接收的定位信息并向管理員發出告警提示;根據用戶確認,將黑名單中的熱點/客戶端加入到白名單中。根據本專利技術的另一個方面,提供了一種惡意熱點檢測系統,包括硬件傳感器、中控服務器、管理終端,其中,所述硬件傳感器部署在企業內部,持續捕獲當前無線環境中的所有數據流量,將所述數據流量實時傳輸到中控服務器;所述中控服務器從所述數據流量中解析出需要的特征信息;將所述特征信息在特征庫中進行匹配檢測;對屬于本企業內部的熱點和客戶端的連接情況進行進一步檢查,生成黑白名單;對黑名單中的熱點/客戶端進行定位,并將定位信息發送到管理終端進行顯示;所述管理終端從中控服務器接收所述定位信息。可選地,所述硬件傳感器包括無線網卡,實時或定時采集無線網絡中熱點、客戶端接收或發送的無線數據包。可選地,所述特征信息包括:熱點SSID、熱點加密方式、熱點頻道、熱點MAC地址、客戶端MAC地址。可選地,所述中控服務器將所述特征信息在特征庫中進行匹配檢測包括:統計無線數據包中的無線熱點的SSID名稱和客戶端MAC地址,劃分出屬于本企業內部的熱點和客戶端,以及不屬于本企業內部的熱點和客戶端。可選地,所述中控服務器對屬于本企業內部的熱點和客戶端的連接情況進行進一步檢查,生成黑白名單包括:如果企業內部的熱點所連接的不是企業內部的客戶端,則判斷所述企業內部的熱點出現異常,將所述客戶端劃分至黑名單中;如果企業內部的客戶端所連接的不是企業內部的熱點,則判斷所述企業內部的客戶端出現異常,將所述客戶端劃分至黑名單中;如果企業內部的熱點中出現SSID名稱相同的多個無線熱點、并且多個無線熱點中的一個或多個無線熱點接收斷線包的頻率超過了預設的閾值,則確定出現異常,將該熱點劃分到黑名單中;如果企業內部的客戶端在某一時間段內連接的熱點的數量超過預設的閾值,將所述客戶端劃分至黑名單中。可選地,所述中控服務器對黑名單中的熱點/客戶端進行定位包括:中控服務器中預先導入了包含傳感器地理位置信息的平面結本文檔來自技高網...
【技術保護點】
一種惡意熱點檢測方法,其特征在于,包括以下步驟:部署在企業內部的硬件傳感器,持續捕獲當前無線環境中的所有數據流量,將所述數據流量實時傳輸到中控服務器;中控服務器從所述數據流量中解析出需要的特征信息;中控服務器將所述特征信息在特征庫中進行匹配檢測;中控服務器對屬于本企業內部的熱點和客戶端的連接情況進行進一步檢查,生成黑白名單;中控服務器對黑名單中的熱點/客戶端進行定位,并將定位信息發送到管理終端進行顯示。
【技術特征摘要】
1.一種惡意熱點檢測方法,其特征在于,包括以下步驟:部署在企業內部的硬件傳感器,持續捕獲當前無線環境中的所有數據流量,將所述數據流量實時傳輸到中控服務器;中控服務器從所述數據流量中解析出需要的特征信息;中控服務器將所述特征信息在特征庫中進行匹配檢測;中控服務器對屬于本企業內部的熱點和客戶端的連接情況進行進一步檢查,生成黑白名單;中控服務器對黑名單中的熱點/客戶端進行定位,并將定位信息發送到管理終端進行顯示。2.如權利要求1所述的惡意熱點檢測方法,其特征在于,所述硬件傳感器包括無線網卡,實時或定時采集無線網絡中熱點、客戶端接收或發送的無線數據包;所述特征信息包括:熱點SSID、熱點加密方式、熱點頻道、熱點MAC地址、客戶端MAC地址。3.如權利要求1所述的惡意熱點檢測方法,其特征在于,所述中控服務器將所述特征信息在特征庫中進行匹配檢測包括:統計無線數據包中的無線熱點的SSID名稱和客戶端MAC地址,劃分出屬于本企業內部的熱點和客戶端,以及不屬于本企業內部的熱點和客戶端;所述中控服務器對屬于本企業內部的熱點和客戶端的連接情況進行進一步檢查,生成黑白名單包括:如果企業內部的熱點所連接的不是企業內部的客戶端,則判斷所述企業內部的熱點出現異常,將所述客戶端劃分至黑名單中;如果企業內部的客戶端所連接的不是企業內部的熱點,則判斷所述企業內部的客戶端出現異常,將所述客戶端劃分至黑名單中;如果企業內部的熱點中出現SSID名稱相同的多個無線熱點、并且多個無線熱點中的一個或多個無線熱點接收斷線包的頻率超過了預設的閾值,則確定出現異常,將該熱點劃分到黑名單中;如果企業內部的客戶端在某一時間段內連接的熱點的數量超過預設的閾值,將所述客戶端劃分至黑名單中。4.如權利要求1所述的惡意熱點檢測方法,其特征在于,所述中控服務器對黑名單中的熱點/客戶端進行定位包括:中控服務器中預先導入了包含傳感器地理位置信息的平面結構圖,使用傳感器三點定位技術對傳感器覆蓋范圍內的熱點/客戶端進行精確定位;該方法還包括:管理終端接收中控服務器發送的黑名單中的熱點/客戶端的定位信息;顯示所接收的定位信息并向管理員發出告警提示;根據用戶確認,將黑名單中的熱點/客戶端加入到白名單中。5.一種惡意熱點檢測系統,其特征在于,包括硬件傳感器、中控服務器、管理終端,其中,所述硬件傳感器部署在企業...
【專利技術屬性】
技術研發人員:楊卿,柴坤哲,
申請(專利權)人:北京奇虎科技有限公司,奇智軟件北京有限公司,
類型:發明
國別省市:北京,11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。