[发明专利]无线流量判别方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及无线流量判别方法。

背景技术

802.11无线局域网因其所具有的安装便捷、使用灵活、易于扩展等优点已经成为有线接入方式的重要扩展和补充。该类型网络中的终端节点既可以通过以太网方式接入网络(即有线接入方式)，也可以通过无线局域网方式接入网络(即无线接入方式)，在这种有线接入方式、无线接入方式并存的混合接入网中，无线媒介的开放特性给网络带来了潜在的安全威胁与性能威胁。通过无线接入方式接入网络的终端节点所发出的数据流为无线流量，在现有系统上最小化这种潜在危害首先要快速、准确地识别无线流量。近年来国内外针对无线流量识别展开了一系列的研究，所提出的方法大致可分为两类：无线端识别方法(Over-The-Air)和有线端识别方法(Over-The-Wire)。

无线端识别方法通常采用旁路监听的模式，通过设置无线监测点、利用无线网卡的特殊模式捕获接收范围内的无线信号，捕获无线数据帧，并解析MAC帧头信息，获取无线AP的SSID、MAC地址等。这种识别方法需要大量的硬件传感器，存在系统铺设复杂、维护困难、成本高昂等问题。

有线端识别方法通过在有线链路上设置一个网络监控点来检测无线流量。该方法一般利用网络数据流的某一统计特性来识别有线流和无线流，较无线端识别方法具有运行方式简单、移植性强的优点。现有技术中典型的无线流量特征指标包括：包间隔、ACK-pairs包对以及Segmental TCP jitter等。在下面的参考文献中分别对如何利用上述指标检测无线流量的过程做了说明。

在参考文献1“Beyah R，Kangude S，Yu G，et al.Rogue access point detection using temporal traffic characteristics.In Proc.of GLOBECOM′04.Dallas.Texas USA，2004”中提出了数据包间隔特征指标(inter-packet spacing)的识别方法。所谓数据包间隔是指被监控主机连续发送的两个数据包之间的时间间隔。该方法对无线主机产生的数据流和有线主机产生的数据流分别进行了监控，从中提取包间隔大小，并绘制了无线流中和有线流中的包间隔大小的经验累积分布曲线。通过统计曲线的对比，证明了有线流量和无线流量的流统计特性存在差异性。

在参考文献2“Wei W，Suh K，Wang B，et al.Passive online rogue access point detection using sequential hypothesis testing with TCP ACK-Pairs.In Proc.of SIGCOMM′07.Kyoto，Japan，2007”中提出了基于TCP ACK-pairs的识别方法。该方法中所提到的ACK-pairs是指在一个TCP流中相继的两个TCP数据包所引起的两个TCP ACK包之间的时间间隔。该方法在检测无线流量时，该方法在一个企业级局域网网关处捕获的trace文件中提取了有线流和无线流中ACK-pairs值，通过ACK-pairs的经验累积分布函数曲线表明该指标在有线流量和无线流量上具有不同的统计概率分布，设计并实现了基于特征指标的有无训练集合的两种序贯假设检验的识别算法，从而以实现对无线流量的自动识别。

在参考文献3“Xie G，He T，Zhang G.Rogue access point detection using segmental TCP jitter.In Proc.of WWW′08.Beijing，China，2008”中提出了基于新特征参数segmental TCPjitte的改进的序贯假设检验识别算法。该方法将监控点部署在局域网出口网关处，将捕获的TCP数据流中的RTT时延分成了两部分：发送端到监控点的外网部分以及监控点到接收端的内网部分，通过实验说明了内网RTT时延的抖动在一定程度上表征了TCP数据包在不同MAC协议下排队时延的变化，从而反映了CSMA/CA和CSMA/CD协议对TCP数据流的不同影响。作者基于这一点，设计并实现了基于segmental TCP jitter的改进序贯假设检验算法，以实现无线流量的自动识别。

现有技术中虽然已经有了多种在有线端实现的无线流量识别方法，但这些方法都存在以下缺陷：