[发明专利]用于给资源受限装置部署无线网络入侵检测系统的设备和方法

说明书

相关申请的交叉引用

本申请是于2007年5月23日提交的美国专利申请No.11/752,308的部分延续案，该美国专利申请由此并入以供参考。

技术领域

本公开大体涉及无线网络中的安全，并且更具体地涉及用于给资源受限(resource-constrained)装置部署无线网络入侵检测系统的设备和方法。

背景技术

无线网络通常代表由通过无线媒介进行无线通信的装置形成的通信网络。无线网络的一些示例包括无线局域网(WLAN)和蜂窝通信网络。

形成部分无线网络的无线装置通常连接到无线网络并且在无线网络中操作而不需要固定或已知的位置，不像其中有线装置通常位于已知的连接点的有线网络。因此，与有线网络相比，未经授权或“流氓”无线装置连接到无线网络的概率通常会增大。一般而言，“入侵者(intruder)”代表任何向无线网络传输未经授权的(或其它不期望的)分组的系统或装置。无线网络中的这些“入侵”通常是不期望的，并且可以在无线网络中采用入侵检测系统来检测和/或防止这些入侵。

在现有的入侵检测系统中，无线安全部件被部署在无线网络中，并且无线安全部件监视在无线网络上接收的所有或大部分通信业务(数据分组)。例如，无线安全部件可以存储分组并且然后分析所存储的分组以检测表明可能入侵的任何异常。

这种方法的一个问题在于无线网络中的无线装置往往是存储受限(memory constrained)的和/或功率受限的。这在诸如工业过程控制系统之类的环境中可能成为特定问题。受限装置可以包括无线现场装置(诸如无线传感器)和其它无线装置(诸如中间节点)。该问题往往在无线安全部件必须驻留在受限无线装置上且由受限无线装置执行时构成困难。

发明内容

本公开提供一种用于给资源受限装置部署无线网络入侵检测系统的设备和方法。

在第一实施例中，一种系统包括多个被配置成通过无线媒介接收数据分组的无线装置。所述无线装置中的至少一个被配置成检测与所接收的数据分组相关联的一个或多个异常。系统还包括标记器(sentinel)装置，该标记器装置被配置成响应于一个或多个异常的检测而向无线装置中的一个或多个传送侦探例程(spy routine)。一个或多个无线装置还被配置成执行该侦探例程以促成确定所接收的数据分组的发送器是否是入侵者和/或隔离该发送器。

在特定实施例中，该标记器装置还被配置成在向无线装置之一传送侦探例程之前确定该无线装置是否是存储受限的无线装置。

在其它特定实施例中，存储受限的无线装置还被配置成在正常操作期间执行主应用程序，其中该主应用程序包括多个模块。存储受限的无线节点也被配置成用该侦探例程替换所述多个模块中的至少一个。至少一个模块可能对于存储受限的无线装置的稳态操作而言不是必需的，并且可以在不使存储受限的无线装置脱机的情况下替换至少一个模块。存储受限的无线节点也被配置成：从外部源接收至少一个模块；以及在不使存储受限的无线装置脱机的情况下用至少一个所接收的模块替换该侦探例程以使存储受限的无线装置返回到正常操作。

在另一些特定实施例中，该标记器装置被配置成将侦探例程传送到无线装置的第一子集。此外，该侦探例程驻留在无线装置的第二子集上，并且该标记器装置被配置成激活无线装置的第二子集中的侦探例程。

在又一些特定实施例中，该标记器装置被配置成从无线装置中的第一无线装置接收与一个或多个异常相关联的通知，并且该侦探装置被配置成将侦探例程传送到无线装置中的第二无线装置。该第二无线装置可以比第一无线装置更靠近发送器。

在另外的特定实施例中，多个无线装置包括无线网络中的一个或多个无线中继器或中继节点和/或被配置成与无线网络进行通信的一个或多个无线现场装置。

在第二实施例中，一种方法包括在无线装置处从发送器接收数据分组。该方法还包括检测与数据分组相关联的一个或多个异常以及响应于检测到一个或多个异常而传送通知。该方法还包括在无线装置处接收侦探例程以及执行该侦探例程以促成确定该发送器是否是入侵者和/或隔离该发送器。

在第三实施例中，一种设备包括被配置成从发送器接收数据分组的无线接口。该设备还包括至少一个处理器，所述至少一个处理器被配置成检测与数据分组相关联的一个或多个异常并且响应于检测到一个或多个异常而启动通知的传送。所述至少一个处理器还被配置成接收侦探例程并且执行该侦探例程以促成确定发送器是否是入侵者和/或隔离该发送器。