專利名稱:具有入侵檢測(cè)特征的無(wú)線局域網(wǎng)或城域網(wǎng)及相關(guān)方法
背景技術(shù):
在過去的幾年里,無(wú)線網(wǎng)絡(luò)經(jīng)歷了持續(xù)性發(fā)展�����。有兩個(gè)特例是無(wú)線局域網(wǎng)(LAN)和無(wú)線城域網(wǎng)(MAN)�����。在基本服務(wù)集(BSS)中��,這種網(wǎng)絡(luò)包括一個(gè)或多個(gè)通過例如射頻信號(hào)與接入點(diǎn)或基站(例如,服務(wù)器)通信的無(wú)線站(例如��,具有無(wú)線網(wǎng)絡(luò)接口卡(NIC)的膝上型電腦)�。基站執(zhí)行多種功能����,如同步與協(xié)調(diào)、廣播分組的轉(zhuǎn)發(fā)�、及例如在無(wú)線LAN/MAN和如電話網(wǎng)的有線網(wǎng)絡(luò)之間提供橋路。
在擴(kuò)展服務(wù)集(ESS)中�,網(wǎng)絡(luò)中包括多個(gè)基站。另一方面��,在有些無(wú)線LAN/MAN中�����,可能根本沒有基站��,只有彼此進(jìn)行點(diǎn)對(duì)點(diǎn)通信的無(wú)線站����。這種拓?fù)浣Y(jié)構(gòu)稱為獨(dú)立基本服務(wù)集(IBSS),而且在IBSS中����,由于沒有基站����,因此一般選一個(gè)無(wú)線站充當(dāng)代理服務(wù)器�。
也許無(wú)線LAN/WAN流行最主要的原因是這種網(wǎng)絡(luò)相對(duì)廉價(jià)并容易布署,因?yàn)椴恍枰芯€基礎(chǔ)設(shè)施���。然而,無(wú)線LAN/MAN也有一些在有線網(wǎng)絡(luò)中找不到的顯著缺陷��。例如�,因?yàn)闊o(wú)線LAN/MAN設(shè)備如此普遍,所以這種設(shè)備很容易被想要成為黑客的人利用�����,他們可能企圖入侵網(wǎng)絡(luò)并利用未授權(quán)無(wú)線站(即����,欺詐站)危及網(wǎng)絡(luò)安全。而且���,如果無(wú)線LAN/MAN彼此太接近地運(yùn)行��,則網(wǎng)絡(luò)可能彼此入侵��,造成網(wǎng)絡(luò)崩潰����,尤其如果它們共享公共信道的話。
一種被開發(fā)出來(lái)用于控制無(wú)線LAN/MAN中通信的更著名的標(biāo)準(zhǔn)是電子與電氣工程師協(xié)會(huì)的802LAN/MAN標(biāo)準(zhǔn)委員會(huì)的標(biāo)準(zhǔn)�,其標(biāo)題是“IEEE standards for Information Technology-Telecommunications and Information Systems-Local andMetropolitan Area Network-Specific Requirements-Part 11Wireless LAN Medium Access Control(MAC)and PhysicalLayer(PHY)Specification”,1999���,在此引入其全部作為參考����。除了提供無(wú)線通信協(xié)議����,802.11標(biāo)準(zhǔn)還定義了用于保護(hù)無(wú)線信號(hào)不被偷聽的有線對(duì)等保密(WEP)算法。更特別地��,WEP提供了要在站之間發(fā)送的消息的加密及完整性檢查�,以確保最初發(fā)送的消息的完整性未被危及。
盡管WEP算法提供了網(wǎng)絡(luò)安全的某種措施�����,但它不檢測(cè)或報(bào)告對(duì)網(wǎng)絡(luò)可能的入侵。只是到最近這種入侵檢測(cè)系統(tǒng)才可用����。這些系統(tǒng)一般包括安裝在期望進(jìn)行入侵檢測(cè)的站的安全監(jiān)視軟件。這種軟件可能試圖通過監(jiān)視并記錄介質(zhì)訪問控制(MAC)地址或因特網(wǎng)協(xié)議(IP)地址并將它們與授權(quán)網(wǎng)站的已知地址進(jìn)行比較來(lái)檢測(cè)入侵�����。此外�,這種系統(tǒng)可以觀察何時(shí)WEP未啟用。
來(lái)自WildPackets公司的一種入侵檢測(cè)系統(tǒng)的特例稱為AiroPeek�。AiroPeek基于網(wǎng)絡(luò)中所使用的ESS和BSS標(biāo)識(shí)符(ESSID、BSSID)搜索未授權(quán)的欺詐站�����。即��,創(chuàng)建網(wǎng)絡(luò)中所使用的全部授權(quán)BSSID和ESSID的列表�。然后利用過濾器排除所有的未授權(quán)站����。這種過濾器是通過捕獲正常的網(wǎng)絡(luò)流量并確定802.11幀中對(duì)應(yīng)于ESSID或BSSID的數(shù)據(jù)偏移來(lái)創(chuàng)建的。AiroPeek還包括根據(jù)幀計(jì)數(shù)觸發(fā)的報(bào)警�����。即,如果幀計(jì)數(shù)超過0���,則報(bào)警觸發(fā)(即����,如果檢測(cè)到任何來(lái)自欺詐站的幀���,則報(bào)警觸發(fā))����。此外����,AiroPeek還能通過電子郵件或利用調(diào)制解調(diào)器撥出此系統(tǒng)(例如到尋呼機(jī))來(lái)提供報(bào)警通知。
不管上述系統(tǒng)產(chǎn)生的進(jìn)步���,有些對(duì)無(wú)線LAN/MAN的入侵還是這種系統(tǒng)檢測(cè)不到的�。即���,如果欺詐站獲得對(duì)例如授權(quán)地址和/或ID的訪問��,則上述方法就檢測(cè)不出該欺詐站對(duì)網(wǎng)絡(luò)的入侵�。
發(fā)明內(nèi)容
鑒于上述背景,因此本發(fā)明的一個(gè)目的是提供具有入侵檢測(cè)特征的無(wú)線LAN/MAN及相關(guān)方法�。
根據(jù)本發(fā)明的這個(gè)及其它目的、特征和優(yōu)點(diǎn)是由可以包括多個(gè)利用介質(zhì)訪問(MAC)層在其間發(fā)送數(shù)據(jù)的站的無(wú)線局域網(wǎng)或城域網(wǎng)提供的���,其中每個(gè)站都有各自相關(guān)聯(lián)的MAC地址����。該無(wú)線網(wǎng)絡(luò)還可以包括用于檢測(cè)入侵該無(wú)線網(wǎng)絡(luò)的監(jiān)管站���。這可以通過監(jiān)視多個(gè)站之間的發(fā)送以便檢測(cè)來(lái)自MAC地址的幀檢查序列(FCS)錯(cuò)誤并基于檢測(cè)到MAC地址的FCS錯(cuò)誤數(shù)超過閾值產(chǎn)生入侵報(bào)警來(lái)完成��。
此外��,監(jiān)管站還可以通過監(jiān)視多個(gè)站之間的發(fā)送以便檢測(cè)對(duì)MAC地址失敗的鑒權(quán)企圖并基于檢測(cè)到多個(gè)對(duì)一MAC地址失敗的鑒權(quán)企圖產(chǎn)生入侵報(bào)警來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)的入侵。更具體而言�����,監(jiān)管站可以基于在預(yù)定時(shí)段內(nèi)檢測(cè)到對(duì)一MAC地址失敗的鑒權(quán)企圖個(gè)數(shù)來(lái)產(chǎn)生入侵報(bào)警�。
此外,多個(gè)站可以在發(fā)送數(shù)據(jù)之前在其間發(fā)送請(qǐng)求發(fā)送(RTS)和清除發(fā)送(CTS)分組��。RTS和CTS分組一般包括指示為發(fā)送數(shù)據(jù)所保留的持續(xù)時(shí)間的網(wǎng)絡(luò)分配向量(NAV)。同樣���,監(jiān)管站還可以通過監(jiān)視多個(gè)站之間發(fā)送的RTS和CTS分組以便檢測(cè)其中的非法NAV值并基于此產(chǎn)生入侵報(bào)警來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)的入侵�。
在無(wú)競(jìng)爭(zhēng)時(shí)段(CFP)中多個(gè)站還可以無(wú)競(jìng)爭(zhēng)模式間歇性運(yùn)行�����。因此�,監(jiān)管站還可以有利地通過監(jiān)視多個(gè)站之間的發(fā)送以便檢測(cè)CFP之外的無(wú)競(jìng)爭(zhēng)模式運(yùn)行(反之亦然)并基于此產(chǎn)生入侵報(bào)警來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)的入侵。
此外����,無(wú)線網(wǎng)絡(luò)可以有至少一個(gè)相關(guān)聯(lián)的服務(wù)集ID,如BSSID和/或ESSID��。因此���,監(jiān)管站還可以通過監(jiān)視多個(gè)站之間的發(fā)送以便檢測(cè)其相關(guān)聯(lián)的服務(wù)集ID來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)的入侵���。監(jiān)管站還可以基于一個(gè)檢測(cè)到的服務(wù)集ID與無(wú)線網(wǎng)絡(luò)的至少一個(gè)服務(wù)集ID不同產(chǎn)生入侵報(bào)警。而且�����,多個(gè)站可以在至少一條信道上發(fā)送數(shù)據(jù),因此監(jiān)管站可以檢測(cè)在這至少一條信道的不是源自該多個(gè)站中一個(gè)的發(fā)送并基于此產(chǎn)生入侵報(bào)警��。
在有些實(shí)施方式中�����,監(jiān)管站可以有利地向多個(gè)站中的至少一個(gè)發(fā)送入侵報(bào)警����。同樣,可以采取合適的對(duì)策來(lái)響應(yīng)入侵�。此外,監(jiān)管站還可以包括一個(gè)或多個(gè)基站和/或無(wú)線站����。
本發(fā)明的入侵檢測(cè)方法方面是用于包括多個(gè)站的無(wú)線局域網(wǎng)或城域網(wǎng)。該方法可以包括利用MAC層在多個(gè)站之間發(fā)送數(shù)據(jù)����,其中每個(gè)站都有各自相關(guān)的MAC地址。而且����,多個(gè)站之間的發(fā)送可以被監(jiān)視,以檢測(cè)來(lái)自MAC地址的FCS錯(cuò)誤��,并基于檢測(cè)到MAC地址的FCS錯(cuò)誤數(shù)超過閾值而產(chǎn)生入侵報(bào)警����。
此外,該方法還可以包括監(jiān)視多個(gè)站之間的發(fā)送��,以便檢測(cè)對(duì)MAC地址失敗的鑒權(quán)企圖�,并基于檢測(cè)到多個(gè)對(duì)一MAC地址失敗的鑒權(quán)企圖產(chǎn)生入侵報(bào)警。特別地����,入侵報(bào)警可以基于預(yù)定時(shí)段內(nèi)檢測(cè)到多個(gè)對(duì)一MAC地址失敗的鑒權(quán)企圖產(chǎn)生。
此外����,該方法還可以包括在發(fā)送數(shù)據(jù)之前在多個(gè)站之間發(fā)送RTS和CTS分組。如上面所指出的�����,RTS和CTS分組一般包括指示為發(fā)送數(shù)據(jù)所保留持續(xù)時(shí)間的NAV值�����。此外,在多個(gè)站之間發(fā)送的RTS和CTS分組可以被監(jiān)視以便檢測(cè)其中的非法NAV值�����,并基于檢測(cè)到NAV值產(chǎn)生入侵報(bào)警����。
在CFP中多個(gè)站可以無(wú)競(jìng)爭(zhēng)模式間歇性運(yùn)行。這樣���,該方法還可以包括監(jiān)視多個(gè)站之間的發(fā)送以便檢測(cè)CFP之外的無(wú)競(jìng)爭(zhēng)運(yùn)行(反之亦然)����,并基于此產(chǎn)生入侵報(bào)警�����。
此外���,無(wú)線網(wǎng)絡(luò)還可以具有至少一個(gè)相關(guān)聯(lián)的服務(wù)集ID�。因此�����,該方法還可以包括監(jiān)視多個(gè)站之間的發(fā)送以便檢測(cè)相關(guān)聯(lián)的服務(wù)集ID,并基于一個(gè)檢測(cè)到的服務(wù)集ID與無(wú)線網(wǎng)絡(luò)的至少一個(gè)服務(wù)集ID不同產(chǎn)生入侵報(bào)警���。這里,服務(wù)集ID同樣可以是例如ESSID和/或BSSID����。而且,多個(gè)節(jié)點(diǎn)可以在至少一條信道上發(fā)送數(shù)據(jù)�����。因此可以檢測(cè)在這至少一條信道上不是源自該多個(gè)站中一個(gè)的發(fā)送�,并基于此產(chǎn)生入侵報(bào)警。該方法還可以包括向多個(gè)站中的至少一個(gè)發(fā)送入侵報(bào)警��。
圖1是根據(jù)本發(fā)明用于基于幀檢查序列(FCS)錯(cuò)誤提供入侵檢測(cè)的無(wú)線LAN/MAN的示意性方框圖�。
圖2是圖1無(wú)線LAN/MAN的可選實(shí)施方式的示意性方框圖,用于基于對(duì)介質(zhì)訪問控制(MAC)地址失敗的鑒權(quán)提供入侵檢測(cè)���。
圖3是圖1無(wú)線LAN/MAN的另一可選實(shí)施方式的示意性方框圖��,用于基于非法網(wǎng)絡(luò)分配向量(NAV)提供入侵檢測(cè)�����。
圖4和5是圖1無(wú)線LAN/MAN的更多可選實(shí)施方式的示意性方框圖����,分別用于基于無(wú)競(jìng)爭(zhēng)時(shí)段(CFP)之外的無(wú)競(jìng)爭(zhēng)模式運(yùn)行和基于CFP期間的競(jìng)爭(zhēng)模式運(yùn)行提供入侵檢測(cè)。
圖6是圖1無(wú)線LAN/MAN的另一可選實(shí)施方式的示意性方框圖����,用于基于未授權(quán)時(shí)段中發(fā)生的發(fā)送提供入侵檢測(cè)。
圖7是圖1無(wú)線LAN/MAN的另一可選實(shí)施方式的示意性方框圖���,用于基于檢測(cè)不對(duì)應(yīng)于它們各自數(shù)據(jù)分組的完整性檢查值提供入侵檢測(cè)�。
圖8是圖1無(wú)線LAN/MAN的另一可選實(shí)施方式的示意性方框圖�,用于基于檢測(cè)站對(duì)不連續(xù)MAC序號(hào)的使用提供入侵檢測(cè)。
圖9是圖1無(wú)線LAN/MAN的另一可選實(shí)施方式的示意性方框圖��,用于基于檢測(cè)具有預(yù)定分組類型的分組沖突提供入侵檢測(cè)�����。
圖10是圖1無(wú)線LAN/MAN的另一可選實(shí)施方式的示意性方框圖����,用于基于檢測(cè)同一MAC地址的沖突提供入侵檢測(cè)。
圖11是說明根據(jù)本發(fā)明�、基于檢測(cè)到FCS錯(cuò)誤的入侵檢測(cè)方法的流程圖��。
圖12是說明根據(jù)本發(fā)明����、基于檢測(cè)對(duì)MAC地址失敗的鑒權(quán)的入侵檢測(cè)方法的流程圖���。
圖13是說明根據(jù)本發(fā)明、基于檢測(cè)非法網(wǎng)絡(luò)分配向量(NAV)值的入侵檢測(cè)方法的流程圖�。
圖14和15是說明根據(jù)本發(fā)明、分別基于檢測(cè)CFP之外的無(wú)競(jìng)爭(zhēng)模式運(yùn)行和檢測(cè)CFP之中競(jìng)爭(zhēng)模式運(yùn)行的入侵檢測(cè)方法的流程圖�。
圖16是說明根據(jù)本發(fā)明、基于檢測(cè)未授權(quán)時(shí)段中所發(fā)生發(fā)送的入侵檢測(cè)方法的流程圖�。
圖17是說明根據(jù)本發(fā)明、基于檢測(cè)不對(duì)應(yīng)于它們各自數(shù)據(jù)分組的完整性檢查值的入侵檢測(cè)方法的流程圖��。
圖18是說明根據(jù)本發(fā)明�����、基于檢測(cè)站對(duì)不連續(xù)MAC序號(hào)的使用的入侵檢測(cè)方法的流程圖�。
圖19是說明根據(jù)本發(fā)明、基于檢測(cè)具有預(yù)定分組類型的分組沖突的入侵檢測(cè)方法的流程圖�。
圖20是說明根據(jù)本發(fā)明、基于檢測(cè)同一MAC地址的沖突的入侵檢測(cè)方法的流程圖����。
圖21是說明本發(fā)明用于入侵檢測(cè)的附加方法方面的流程圖��。
具體實(shí)施例方式
下文將參考附圖更完全地描述本發(fā)明�����,其中示出了本發(fā)明的優(yōu)選實(shí)施方式�����。但是����,本發(fā)明還可以體現(xiàn)為許多不同的形式�����,而且不應(yīng)當(dāng)認(rèn)為是限定到在此闡述的實(shí)施方式��。而且���,提供這些實(shí)施方式是為了使本公開內(nèi)容透徹與完整����,而且將向本領(lǐng)域技術(shù)人員完全傳達(dá)本發(fā)明的范圍。
為了上述討論�����,貫穿全文相同的標(biāo)號(hào)指相同的元件�。而且,特別是參考圖1-10����,十位數(shù)不同的標(biāo)號(hào)用于指示可選實(shí)施方式中的類似元件���。例如��,在圖1-10中說明的無(wú)線站11�����、21���、31、41�����、51、61�����、71���、81�����、91和101全都是類似的元件����,等等����。同樣,這些元件可以只在它們第一次出現(xiàn)時(shí)具體描述一次��,以避免不適當(dāng)?shù)闹貜?fù)�����,隨后出現(xiàn)的元件可以理解為類似于第一次描述的那些。
現(xiàn)在參考圖1�,根據(jù)本發(fā)明的無(wú)線LAN/MAN 10說明性地包括無(wú)線站11和基站(或接入點(diǎn))12。盡管為了說明清楚���,只示出了單個(gè)無(wú)線站11和基站12����,但本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解任意個(gè)數(shù)的無(wú)線和/或基站可以包括在無(wú)線網(wǎng)絡(luò)10中�。
在進(jìn)一步具體描述無(wú)線網(wǎng)絡(luò)10之前,先保證關(guān)于無(wú)線LAN/MAN協(xié)議的簡(jiǎn)單討論���。特別地���,為了說明清楚�,上述討論假定利用802.11標(biāo)準(zhǔn)的網(wǎng)絡(luò)實(shí)現(xiàn)。但是���,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解在此描述的許多方面及實(shí)施方式也可以用于其它合適的無(wú)線LAN/MAN標(biāo)準(zhǔn)(例如���,藍(lán)牙等)。
802.11標(biāo)準(zhǔn)用于數(shù)據(jù)傳輸?shù)腛SI網(wǎng)絡(luò)模型�,該模型包括七層,在每層特定類型的數(shù)據(jù)利用不同的協(xié)議發(fā)送。這些層包括應(yīng)用層�、表示層、會(huì)話層�、傳輸層、網(wǎng)絡(luò)層�、數(shù)據(jù)鏈路層和物理層。數(shù)據(jù)鏈路層還包括介質(zhì)訪問控制(MAC)和邏輯鏈路控制子層��。無(wú)線站11和基站12特別使用MAC層在其間發(fā)送數(shù)據(jù)�,尤其是例如各自相關(guān)聯(lián)的MAC地址。當(dāng)然����,OSI模型的其余層也可以用于數(shù)據(jù)發(fā)送。而且��,如下面進(jìn)一步描述的�����,數(shù)據(jù)一般是以分組發(fā)送的��,而且各種不同的分組類型用于不同類型的消息數(shù)據(jù)����。
根據(jù)本發(fā)明���,無(wú)線網(wǎng)絡(luò)10說明性地包括用于檢測(cè)欺詐站14對(duì)無(wú)線網(wǎng)絡(luò)入侵的監(jiān)管站13。作為例子���,欺詐站14可以被想要成為黑客的人用于試圖攻擊無(wú)線網(wǎng)絡(luò)10��,或者它也可以僅僅是來(lái)自離無(wú)線網(wǎng)絡(luò)10太近運(yùn)行的不同無(wú)線網(wǎng)絡(luò)的節(jié)點(diǎn)���。監(jiān)管站13可以包括一個(gè)或多個(gè)無(wú)線站和/或基站。在本例中��,監(jiān)管站13監(jiān)視站11����、12之間的發(fā)送,以便檢測(cè)來(lái)自MAC地址的幀檢查序列(FCS)錯(cuò)誤����。如果對(duì)一給定MAC地址檢測(cè)到的FCS錯(cuò)誤數(shù)超過閾值���,則監(jiān)管站13基于此產(chǎn)生入侵報(bào)警����。
應(yīng)當(dāng)指出,如在此所使用的����,短語(yǔ)“站之間的發(fā)送”意味著直接到達(dá)或來(lái)自一個(gè)站11、12的任何發(fā)送�,及無(wú)線網(wǎng)絡(luò)10運(yùn)行范圍內(nèi)的任何發(fā)送。換句話說�,監(jiān)管站13可以監(jiān)視指向或源自站11、12的發(fā)送及任何其它可以接收的發(fā)送�����,而不管它們是否明確指向或源自網(wǎng)絡(luò)10中的站�。
在上述實(shí)施方式(及以下描述的那些)中,監(jiān)管站13可以有利地向無(wú)線網(wǎng)絡(luò)10中的一個(gè)或多個(gè)站11���、12發(fā)送報(bào)警���。作為例子,監(jiān)管站13可以直接向基站12發(fā)送入侵報(bào)警����,然后基站12可以通知無(wú)線網(wǎng)絡(luò)中剩余的所有站?�?蛇x地,監(jiān)管站13可以向所有的網(wǎng)站廣播入侵報(bào)警���。如本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解的����,在任何一種情況下都可以采取適當(dāng)?shù)膶?duì)策來(lái)響應(yīng)未授權(quán)入侵�。這種對(duì)策超出了本發(fā)明的范圍,因此在這里不進(jìn)行討論��。
現(xiàn)在轉(zhuǎn)向圖2����,描述無(wú)線LAN/MAN的第一可選實(shí)施方式20。在這種實(shí)施方式中�,監(jiān)管站23通過監(jiān)視站21、22之間的發(fā)送以檢測(cè)對(duì)MAC地址失敗的鑒權(quán)企圖來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)20的入侵����。一檢測(cè)到某預(yù)定次數(shù)對(duì)特定MAC地址失敗的鑒權(quán)企圖,監(jiān)管節(jié)點(diǎn)23就將產(chǎn)生入侵報(bào)警�����。
任何次數(shù)的失敗企圖都可以用作產(chǎn)生入侵報(bào)警的閾值�,但通常期望允許一個(gè)站至少一次試圖鑒權(quán)自己的MAC地址,而不產(chǎn)生入侵報(bào)警���。而且���,在有些實(shí)施方式中,監(jiān)管站23有利地可以只有如果檢測(cè)到的失敗次數(shù)出現(xiàn)在預(yù)定時(shí)段內(nèi)(例如���,一小時(shí)�,一天等)才產(chǎn)生入侵報(bào)警����。
根據(jù)802.11標(biāo)準(zhǔn),無(wú)線LAN/MAN中期望彼此通信的兩個(gè)站一般在發(fā)送數(shù)據(jù)之前在其間發(fā)送請(qǐng)求發(fā)送(RTS)和清除發(fā)送(CTS)分組�����。原因是避免與其它發(fā)送沖突����。即,由于無(wú)線LAN/MAN中剩余的許多或全部站都可能在相同的信道上通信�����,因此站需要確保它們不會(huì)同時(shí)發(fā)送,因?yàn)檫@會(huì)導(dǎo)致干擾和網(wǎng)絡(luò)崩潰���。而且�,RTS和CTS分組一般包括指示為發(fā)送數(shù)據(jù)所保留持續(xù)時(shí)間的網(wǎng)絡(luò)分配向量(NAV)���。這種信息發(fā)送到無(wú)線LAN/MAN中所有其它的站��,然后這些站將停止在指定時(shí)段內(nèi)的發(fā)送���。
現(xiàn)在又轉(zhuǎn)向圖3,描述無(wú)線LAN/MAN的第二可選實(shí)施方式30����,其中監(jiān)管站33通過監(jiān)視站31和32之間發(fā)送的RTS和CTS分組以檢測(cè)其中的非法NAV值來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)30的入侵。例如����,無(wú)線網(wǎng)絡(luò)30可以實(shí)現(xiàn)為數(shù)據(jù)發(fā)送不超過特定時(shí)間量的方式,該時(shí)間量是參與其中的所有授權(quán)站都知道的����。因此,如果監(jiān)管站33在所分配時(shí)間量之外檢測(cè)到NAV值,那么它將基于此產(chǎn)生入侵報(bào)警���。
802.11標(biāo)準(zhǔn)的另一特征是無(wú)線LAN/MAN中的站可以競(jìng)爭(zhēng)或無(wú)競(jìng)爭(zhēng)模式運(yùn)行����。即��,在競(jìng)爭(zhēng)模式下�,所有站都需要競(jìng)爭(zhēng)訪問用于傳輸?shù)拿總€(gè)數(shù)據(jù)分組的特定信道�。在無(wú)競(jìng)爭(zhēng)時(shí)段(CFP),介質(zhì)使用是由基站控制的���,因而將消除站競(jìng)爭(zhēng)訪問信道的需求�����。
根據(jù)圖4所說明的無(wú)線LAN/MAN的第三實(shí)施方式40��,監(jiān)管站43有利地可以通過監(jiān)視站41��、42之間的發(fā)送以檢測(cè)CFP之外的無(wú)競(jìng)爭(zhēng)模式運(yùn)行來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)40的入侵���。同樣,入侵報(bào)警可以由監(jiān)管站43基于此檢測(cè)產(chǎn)生�����。換句話說,在CFP之外運(yùn)行在無(wú)競(jìng)爭(zhēng)模式的站的檢測(cè)指示這個(gè)站不是授權(quán)站���,因?yàn)楫?dāng)CFP建立時(shí)�����,所有授權(quán)站都由基站42通知到了���。當(dāng)然,這也可能是在CFP中檢測(cè)到競(jìng)爭(zhēng)模式運(yùn)行的情況�����,這種實(shí)施方式說明性地在圖5示出��。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解以上任一種或兩種CFP入侵檢測(cè)方法都可以在給定應(yīng)用中實(shí)現(xiàn)�。
現(xiàn)在參考圖6,描述無(wú)線LAN/MAN的另一實(shí)施方式60����。在這里,監(jiān)管站63通過監(jiān)視站61、62之間的發(fā)送以檢測(cè)未授權(quán)時(shí)段內(nèi)的發(fā)送來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)60的入侵���。即���,無(wú)線網(wǎng)絡(luò)60可以實(shí)現(xiàn)成不允許任何用戶在指定時(shí)間(例如,從午夜到早上6:00)訪問網(wǎng)絡(luò)�����。因而�����,一檢測(cè)到該未授權(quán)時(shí)段內(nèi)的發(fā)送�����,監(jiān)管站63就可以有利地產(chǎn)生入侵報(bào)警�����。
現(xiàn)在又轉(zhuǎn)向圖7���,描述無(wú)線LAN/MAN的另一實(shí)施方式70。在這種實(shí)施方式中,各站71�����、72都具有上述啟用的WEP特征��,因此產(chǎn)生并發(fā)送關(guān)于從其發(fā)送的各數(shù)據(jù)分組的完整性檢查值���。因此�,監(jiān)管站73通過監(jiān)視站71�����、72之間的發(fā)送以檢測(cè)不對(duì)應(yīng)于它們各自數(shù)據(jù)的完整性檢查值來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)70的入侵����。即,如果不正確的密鑰流用于產(chǎn)生消息密碼�����,或者如果消息已被欺詐站74篡改�����,那么完整性檢查值很有可能已被破壞。同樣��,如本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解的�,當(dāng)檢測(cè)到這種錯(cuò)誤的完整性檢查值時(shí),監(jiān)管站73可以產(chǎn)生入侵報(bào)警��。
按照現(xiàn)在參考圖8描述的本發(fā)明的另一無(wú)線LAN/MAN 80����。一般來(lái)說,當(dāng)使用上面提到的OSI網(wǎng)絡(luò)模型時(shí)���,關(guān)于來(lái)自站81、82的每個(gè)數(shù)據(jù)分組都有各自的MAC序號(hào)產(chǎn)生并發(fā)送���。即����,對(duì)于每個(gè)后續(xù)的數(shù)據(jù)分組����,MAC序號(hào)自增,從而每個(gè)數(shù)據(jù)分組都有相關(guān)聯(lián)的唯一MAC序號(hào)���。同樣�����,監(jiān)管站83可以通過監(jiān)視站81��、82之間的發(fā)送以檢測(cè)站對(duì)不連續(xù)MAC序號(hào)的使用來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)80的入侵,并基于此產(chǎn)生入侵報(bào)警。
現(xiàn)在又轉(zhuǎn)向圖9�,說明了無(wú)線LAN/MAN的另一實(shí)施方式90��,其中監(jiān)管站93通過監(jiān)視站91��、92之間的發(fā)送以檢測(cè)具有預(yù)定分組類型的分組沖突來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)的入侵����。特別地,預(yù)定分組類型可以包括管理幀分組(例如�����,鑒權(quán)�����,關(guān)聯(lián)及信標(biāo)分組)�、控制幀分組(例如�,RTS和CTS分組)和/或數(shù)據(jù)幀分組�。從而,監(jiān)管站93可以基于檢測(cè)到閾值個(gè)數(shù)的預(yù)定分組類型沖突產(chǎn)生入侵報(bào)警�����。
如在此所使用的����,“沖突”的意思包括分組的同時(shí)發(fā)送及彼此在特定時(shí)間內(nèi)的發(fā)送。即�,如果假設(shè)特定類型的分組在發(fā)送之間具有時(shí)間延遲(例如,幾秒鐘等)��,那么如果兩個(gè)這種分組類型一起太靠近地發(fā)送���,(即,它們之間小于要求的延遲時(shí)間)�,那么這將被認(rèn)為是沖突。作為例子��,例如�,盡管其它閾值也可以使用,但閾值沖突個(gè)數(shù)可以大于大約3個(gè)�。而且�,閾值個(gè)數(shù)可以基于所討論的特定分組類型�����,即����,對(duì)于不同的分組類型,閾值個(gè)數(shù)可以不同����。
此外,閾值個(gè)數(shù)也可以基于所監(jiān)視分組中具有預(yù)定分組類型的百分比���。例如����,如果一時(shí)段內(nèi)(例如�,一小時(shí))發(fā)送的特定百分比(例如,大于大約10%)的分組包括在沖突中����,則入侵報(bào)警可以產(chǎn)生?�?蛇x地,如果所監(jiān)視分組的總數(shù)中特定百分比的分組(例如���,10個(gè)中有3個(gè))包括在沖突中���,則入侵報(bào)警可以產(chǎn)生。當(dāng)然����,其它適當(dāng)?shù)拈撝祩€(gè)數(shù)和用于建立閾值數(shù)的方法也可以使用。
現(xiàn)在參考圖10����,描述LAN/MAN的另一實(shí)施方式100,其中監(jiān)管站103通過監(jiān)視站101���、102之間的發(fā)送以檢測(cè)同一MAC地址的沖突來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)的入侵��。即��,如果多個(gè)終端同時(shí)或彼此相對(duì)靠近地對(duì)相同的MAC地址提出要求,則或者是出現(xiàn)了錯(cuò)誤��,或者其中一個(gè)站是欺詐站104���。同樣�����,監(jiān)管站103基于檢測(cè)到閾值個(gè)數(shù)的這種沖突���,即大于大約3個(gè)�����,來(lái)產(chǎn)生入侵報(bào)警�。在這里同樣也可以使用其它的閾值個(gè)數(shù)��,而且如上所述���,閾值個(gè)數(shù)可以基于百分比���。
現(xiàn)在參考圖11描述本發(fā)明用于無(wú)線網(wǎng)絡(luò)10的入侵檢測(cè)方法方面。在塊110開始���,如上面所指出的�,該方法包括在塊111利用MAC層在多個(gè)站11、12之間發(fā)送數(shù)據(jù)����。在塊112監(jiān)視站11、12之間的發(fā)送以檢測(cè)來(lái)自一個(gè)MAC地址的FCS錯(cuò)誤����。如果在塊113 MAC地址的FCS錯(cuò)誤數(shù)超過閾值,則在塊114基于此產(chǎn)生入侵報(bào)警�����,從而結(jié)束該方法(塊115)��。否則�,如說明性示出的,發(fā)送將繼續(xù)被監(jiān)視��。
按照現(xiàn)在參考圖12描述的本發(fā)明的第一可選方法方面����,如上面所指出的,該方法開始(塊120)����,在塊121在站21,22之間發(fā)送數(shù)據(jù),并在塊122監(jiān)視發(fā)送以檢測(cè)對(duì)MAC地址失敗的鑒權(quán)企圖���。如果在塊123檢測(cè)到多個(gè)對(duì)一MAC地址失敗的鑒權(quán)企圖,則在塊124產(chǎn)生入侵報(bào)警��,從而結(jié)束該方法(塊125)��。否則�����,如說明性示出的��,入侵監(jiān)視將繼續(xù)�。
現(xiàn)在參考圖13描述本發(fā)明的第二可選方法方面。該方法開始(塊130)���,在塊131在站31�����、32之間發(fā)送RTS和CTS分組�,然后發(fā)送數(shù)據(jù)�����。如上所述,在塊132監(jiān)視在站31���、32之間發(fā)送的RTS和CTS分組以檢測(cè)其中的非法NAV值����。如果在塊133檢測(cè)到非法的NAV值����,則在塊134基于此產(chǎn)生入侵報(bào)警,從而結(jié)束該方法(塊135)���。否則�����,如說明性示出的��,入侵監(jiān)視將繼續(xù)��。
現(xiàn)在轉(zhuǎn)向圖14�,描述本發(fā)明的第三可選方法方面����。如上所述���,該方法開始(塊140),在塊141在站41��、42之間發(fā)送數(shù)據(jù)���,并在塊142監(jiān)視發(fā)送以檢測(cè)CFP之外的無(wú)競(jìng)爭(zhēng)模式運(yùn)行。如果在塊143檢測(cè)到CFP之外的這種運(yùn)行��,則在塊144基于此產(chǎn)生入侵報(bào)警�����,從而結(jié)束該方法(塊145)�。否則,如說明性示出的���,入侵監(jiān)視將繼續(xù)���。監(jiān)視CFP中競(jìng)爭(zhēng)模式運(yùn)行發(fā)送的對(duì)立情況在圖15的塊150-155說明性示出。在這里�,同樣這些方法可用于單個(gè)實(shí)施方式���,盡管并不需要總是這樣。
現(xiàn)在參考圖16描述本發(fā)明的第四方法方面��。如上所述�����,該方法開始(塊160)����,在塊161在站61、62之間發(fā)送數(shù)據(jù)����,并在塊162進(jìn)行監(jiān)視以檢測(cè)未授權(quán)時(shí)段內(nèi)的發(fā)送。如果在塊163檢測(cè)到未授權(quán)時(shí)段內(nèi)的發(fā)送����,則在塊164基于此產(chǎn)生入侵報(bào)警,從而結(jié)束該方法(塊165)����。否則,如說明性示出的��,入侵監(jiān)視將繼續(xù)。
現(xiàn)在參考圖17描述本發(fā)明的另一入侵檢測(cè)方法方面�����。如上所述���,該方法開始(塊170)����,在塊171在站71�、72之間發(fā)送數(shù)據(jù)���,并在塊172監(jiān)視發(fā)送以檢測(cè)不對(duì)應(yīng)于它們各自數(shù)據(jù)分組的完整性檢查值���。如果情況是這樣,則在塊173產(chǎn)生入侵報(bào)警�,從而結(jié)束該方法(塊175)。否則��,如說明性示出的����,入侵監(jiān)視將繼續(xù)����。
現(xiàn)在轉(zhuǎn)向圖18���,描述本發(fā)明的另一方法方面��。該方法開始(塊180)�,在塊181在站81���、82之間發(fā)送數(shù)據(jù)����。因此���,如上所述�,該方法還可以包括在塊182監(jiān)視發(fā)送以檢測(cè)站對(duì)不連續(xù)MAC序號(hào)的使用�。如果在塊183檢測(cè)到這種使用,則在塊184產(chǎn)生入侵報(bào)警��,從而結(jié)束該方法(塊185)�����。否則,如說明性示出的�,入侵監(jiān)視將繼續(xù)。
再參考圖19��,本發(fā)明的另一方法方面開始(塊180)�����,在塊191在站91���、92之間發(fā)送數(shù)據(jù)分組�����,并且如上面所指出的在塊192監(jiān)視發(fā)送以檢測(cè)具有預(yù)定分組類型的分組沖突。如果在塊193檢測(cè)到閾值個(gè)數(shù)具有預(yù)定分組類型的分組沖突�����,則在塊194產(chǎn)生入侵報(bào)警�,從而結(jié)束該方法(塊195)。否則���,如說明性示出的�����,入侵監(jiān)視將繼續(xù)�。
現(xiàn)在關(guān)于圖20描述本發(fā)明的另一入侵檢測(cè)方法方面。如上所述�����,該方法開始(塊200)�,在站101、102之間發(fā)送數(shù)據(jù)并在塊202監(jiān)視發(fā)送以檢測(cè)同一MAC地址的沖突����。如果在塊203檢測(cè)到閾值個(gè)數(shù)的同一MAC地址沖突,則在塊204產(chǎn)生入侵報(bào)警�,從而結(jié)束該方法(塊205)。否則��,如說明性示出的��,入侵監(jiān)視將繼續(xù)�����。
現(xiàn)在參考圖21描述本發(fā)明的更多入侵檢測(cè)方面。如上面所指出的����,無(wú)線LAN/MAN一般具有一個(gè)或多個(gè)相關(guān)聯(lián)的服務(wù)集ID,如IBSSID��、BSSID和/或ESSID�����。如說明性示出的�,在塊210開始,在塊211數(shù)據(jù)發(fā)送可以在站11����、12之間發(fā)送,并且在塊212可以監(jiān)視多個(gè)站之間的發(fā)送以檢測(cè)與其關(guān)聯(lián)的服務(wù)集ID和/或在指定網(wǎng)絡(luò)信道上不是源自授權(quán)站的發(fā)送����。
這樣��,如果在塊213檢測(cè)到不同于無(wú)線網(wǎng)絡(luò)10授權(quán)服務(wù)集ID的服務(wù)集ID和/或網(wǎng)絡(luò)信道上來(lái)自未授權(quán)站的發(fā)送���,則在塊214基于此產(chǎn)生入侵報(bào)警�����。而且���,如上所述��,在塊215入侵報(bào)警可以有利地發(fā)送到網(wǎng)絡(luò)中的一個(gè)或多個(gè)站��,或者通過調(diào)制解調(diào)器等傳輸?shù)狡渌?�。否則�����,如說明性示出的�����,入侵監(jiān)視將繼續(xù)����。
本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�����,上述方法方面全部可以在上述一個(gè)或多個(gè)無(wú)線網(wǎng)絡(luò)中實(shí)現(xiàn)。而且�,基于上面的描述,本發(fā)明的附加方法方面對(duì)本領(lǐng)域技術(shù)人員也是很顯然的��,因此在此不做進(jìn)一步討論����。
還應(yīng)當(dāng)理解上述發(fā)明可以幾種方式實(shí)現(xiàn)。例如���,監(jiān)管站13可以實(shí)現(xiàn)為不是無(wú)線網(wǎng)絡(luò)10已有部件的一個(gè)或多個(gè)獨(dú)立�����、專用設(shè)備��?����?蛇x地�,本發(fā)明可以以安裝到期望入侵檢測(cè)的無(wú)線LAN/MAN的一個(gè)或多個(gè)現(xiàn)有站的軟件實(shí)現(xiàn)�����。
此外�����,即使當(dāng)欺詐站具有授權(quán)的網(wǎng)絡(luò)或MAC ID時(shí)��,本發(fā)明的許多上述方面也可以有利地用于檢測(cè)無(wú)線網(wǎng)絡(luò)入侵(例如�����,CFP之外的無(wú)競(jìng)爭(zhēng)運(yùn)行�����,未授權(quán)時(shí)段內(nèi)的發(fā)送等)����。而且,一個(gè)或多個(gè)上述方面可以有利地用在給定應(yīng)用中�����,提供期望等級(jí)的入侵檢測(cè)�����。本發(fā)明的另一優(yōu)點(diǎn)是它可以用于補(bǔ)充現(xiàn)有的入侵檢測(cè)系統(tǒng),尤其是那些集中在OSI網(wǎng)絡(luò)上層入侵的系統(tǒng)����。
權(quán)利要求
1.一種無(wú)線局域網(wǎng)或城域網(wǎng),包括多個(gè)利用介質(zhì)訪問層(MAC)在其間發(fā)送數(shù)據(jù)的站���,每個(gè)所述站都具有各自相關(guān)聯(lián)的MAC地址���;及監(jiān)管站,用于通過監(jiān)視所述多個(gè)站之間的發(fā)送以檢測(cè)以下至少一種情況來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)的入侵�;(a)來(lái)自MAC地址的幀檢查序列(FCS)錯(cuò)誤;(b)對(duì)MAC地址失敗的鑒權(quán)企圖���;(c)與該無(wú)線網(wǎng)絡(luò)相關(guān)聯(lián)的服務(wù)集ID��;(d)非法的網(wǎng)絡(luò)分配向量(NAV)值�,該NAV值指示從所述多個(gè)站之間在發(fā)送數(shù)據(jù)形成之前發(fā)送的請(qǐng)求發(fā)送(RTS)和清除發(fā)送(CTS)分組產(chǎn)生的為發(fā)送數(shù)據(jù)所保留的持續(xù)時(shí)間�;(e)無(wú)競(jìng)爭(zhēng)時(shí)段(CFP)之外所述多個(gè)站的無(wú)競(jìng)爭(zhēng)模式運(yùn)行;及(f)CFP中的競(jìng)爭(zhēng)模式運(yùn)行�����;然后基于以下至少一種情況產(chǎn)生入侵報(bào)警(a)檢測(cè)到MAC地址的FCS錯(cuò)誤數(shù)超過閾值���;(b)檢測(cè)到對(duì)MAC地址失敗的鑒權(quán)企圖數(shù)超過閾值���;(c)檢測(cè)到的一個(gè)服務(wù)集ID不同于該無(wú)線網(wǎng)絡(luò)的服務(wù)集ID;(d)檢測(cè)到的非法NAV值����;(e)檢測(cè)到CFP中的競(jìng)爭(zhēng)模式運(yùn)行;及(f)檢測(cè)到CFP之外的無(wú)競(jìng)爭(zhēng)模式運(yùn)行��。
2.如權(quán)利要求1所述的無(wú)線網(wǎng)絡(luò)�,其中所述多個(gè)站在至少一條信道上發(fā)送數(shù)據(jù);而且其中所述監(jiān)管站還檢測(cè)在這至少一條信道上不是源自該多個(gè)站中一個(gè)的發(fā)送并基于此產(chǎn)生入侵報(bào)警����。
3.如權(quán)利要求1所述的無(wú)線網(wǎng)絡(luò),其中所述監(jiān)管站還向所述多個(gè)站中的至少一個(gè)發(fā)送入侵報(bào)警��。
4.一種入侵檢測(cè)方法����,用于包括多個(gè)站的無(wú)線局域網(wǎng)或城域網(wǎng),該方法包括利用介質(zhì)訪問層(MAC)在多個(gè)站之間發(fā)送數(shù)據(jù)����,每個(gè)站都具有各自相關(guān)聯(lián)的MAC地址��;監(jiān)視多個(gè)站之間的發(fā)送以檢測(cè)以下至少一種情況(a)來(lái)自MAC地址的幀檢查序列(FCS)錯(cuò)誤��;(b)對(duì)MAC地址失敗的鑒權(quán)企圖�;(c)與該無(wú)線網(wǎng)絡(luò)相關(guān)聯(lián)的服務(wù)集ID�;(d)非法的網(wǎng)絡(luò)分配向量(NAV)值,該NAV值指示從所述多個(gè)站之間在發(fā)送數(shù)據(jù)之前發(fā)送的請(qǐng)求發(fā)送(RTS)和清除發(fā)送(CTS)分組產(chǎn)生的為發(fā)送數(shù)據(jù)所保留的持續(xù)時(shí)間�;(e)無(wú)競(jìng)爭(zhēng)時(shí)段(CFP)之外所述多個(gè)站的無(wú)競(jìng)爭(zhēng)模式運(yùn)行;及(f)CFP中的競(jìng)爭(zhēng)模式運(yùn)行���;然后基于以下至少一種情況產(chǎn)生入侵報(bào)警(a)檢測(cè)到MAC地址的FCS錯(cuò)誤數(shù)超過閾值����;(b)檢測(cè)到對(duì)MAC地址失敗的鑒權(quán)企圖數(shù)超過閾值�;(c)檢測(cè)到的一個(gè)服務(wù)集ID不同于該無(wú)線網(wǎng)絡(luò)的服務(wù)集ID;(d)檢測(cè)到的非法NAV值��;(e)檢測(cè)到CFP中的競(jìng)爭(zhēng)模式運(yùn)行�;及(f)檢測(cè)到CFP之外的無(wú)競(jìng)爭(zhēng)模式運(yùn)行。
5.如權(quán)利要求4所述的方法���,包括由所述多個(gè)站在至少一條信道上發(fā)送數(shù)據(jù)�,而且其中所述監(jiān)管站還包括檢測(cè)這至少一條信道上不是源自該多個(gè)站中一個(gè)的發(fā)送并基于此產(chǎn)生入侵報(bào)警。
6.如權(quán)利要求4所述的方法��,其中所述監(jiān)管站還包括向所述多個(gè)站中的至少一個(gè)發(fā)送入侵報(bào)警�。
全文摘要
一種無(wú)線局域網(wǎng)或城域網(wǎng)(10),可以包括多個(gè)利用介質(zhì)訪問層(MAC)在其間發(fā)送數(shù)據(jù)的站(11���,12),其中每個(gè)站都具有各自相關(guān)聯(lián)的MAC地址�。無(wú)線網(wǎng)絡(luò)(10)還可以包括監(jiān)管站(13),用于通過監(jiān)視多個(gè)站之間的發(fā)送以檢測(cè)來(lái)自MAC地址的幀檢查序列(FCS)錯(cuò)誤來(lái)檢測(cè)對(duì)無(wú)線網(wǎng)絡(luò)的入侵�����,并基于檢測(cè)到MAC地址的FCS錯(cuò)誤數(shù)超過閾值而產(chǎn)生入侵報(bào)警����。監(jiān)管站(13)還可以基于失敗的MAC地址鑒權(quán),非法網(wǎng)絡(luò)分配向量(NAV)值和非預(yù)期競(jìng)爭(zhēng)或無(wú)競(jìng)爭(zhēng)運(yùn)行中的一種或多種檢測(cè)入侵�����。
文檔編號(hào)H04B7/15GK1679264SQ03820900
公開日2005年10月5日 申請(qǐng)日期2003年8月11日 優(yōu)先權(quán)日2002年8月12日
發(fā)明者湯瑪斯·杰伊·比爾哈茨 申請(qǐng)人:哈里公司