SE534349C2 - Wireless intrusion detection - Google Patents

Wireless intrusion detection Download PDF

Info

Publication number
SE534349C2
SE534349C2 SE0900687A SE0900687A SE534349C2 SE 534349 C2 SE534349 C2 SE 534349C2 SE 0900687 A SE0900687 A SE 0900687A SE 0900687 A SE0900687 A SE 0900687A SE 534349 C2 SE534349 C2 SE 534349C2
Authority
SE
Sweden
Prior art keywords
signal strength
identity
attack
sender
deciding
Prior art date
Application number
SE0900687A
Other languages
Swedish (sv)
Other versions
SE0900687A1 (en
Inventor
Andre Rickardsson
Original Assignee
Bitsec Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bitsec Ab filed Critical Bitsec Ab
Priority to SE0900687A priority Critical patent/SE534349C2/en
Priority to PCT/EP2010/056886 priority patent/WO2010133634A1/en
Publication of SE0900687A1 publication Critical patent/SE0900687A1/en
Publication of SE534349C2 publication Critical patent/SE534349C2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • H04W12/64Location-dependent; Proximity-dependent using geofenced areas
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Monitoring And Testing Of Transmission In General (AREA)

Description

« 534 349 2 vilka har samma källidentitet men härrör från skilda segment av nätverket. I fallet med trådlösa nätverk är det minsta nätverkssegmentet det område som täcks av en åtkomstpunkt, d v s alla klienter som är anslutna till samma åt- komstpunkt tillhör samma nätverkssegment. En nackdel med förfarandet som visas i US 6 745 333 är således att en bluffattack inte kan detekteras om både skurkanordningen och den imiterade anordningen kommunicerar med nätverket via samma åtkomstpunkt. «534 349 2 which have the same source identity but originate from different segments of the network. In the case of wireless networks, the smallest network segment is the area covered by an access point, ie all clients connected to the same access point belong to the same network segment. A disadvantage of the method shown in US 6,745,333 is thus that a fraudulent attack cannot be detected if both the rogue device and the imitation device communicate with the network via the same access point.

Sammanfattning av uppfinningen Ett syfte med föreliggande uppfinning är att övervinna dessa problem och att anvisa en förbättrad detektering av trådlösa intrång.Summary of the Invention One object of the present invention is to overcome these problems and to provide improved detection of wireless intrusions.

Detta uppnås genom ett förfarande för detektering av en bluffattack enligt det självständiga kravet 1, genom en anordning för detektering av tråd- lösa intrång enligt det självständiga kravet 7 samt genom en datorprogram- produkt enligt det självständiga kravet 14. Utföringsforrner av uppfinningen är angivna i de osjälvständiga kraven.This is achieved by a method for detecting a fraudulent attack according to the independent claim 1, by a device for detecting wireless intrusions according to the independent claim 7 and by a computer program product according to the independent claim 14. Embodiments of the invention are specified in the dependent requirements.

Således anvisas, enligt en första aspekt av föreliggande uppfinning, ett förfarande för detektering av en bluffattack i ett trådlöst nätverk. Förfarandet innefattar stegen att ta emot ett datapaket från det trådlösa nätverket, att fast- ställa en signalstyrka för det mottagna datapaketet, att fastställa en identitet hos avsändaren av det mottagna datapaketet, samt att besluta huruvida en bluffattack inletts. Beslutet om huruvida en bluffattack inletts grundas på sig- nalstyrkan, d v s den signalstyrka med vilken datapaketet mottogs, och av- sändarens identitet, d v s det mottagna datapaketets avsändares identitet.Thus, according to a first aspect of the present invention, there is provided a method of detecting a fraudulent attack in a wireless network. The method includes the steps of receiving a data packet from the wireless network, determining a signal strength of the received data packet, determining an identity of the sender of the received data packet, and deciding whether a fraudulent attack has been initiated. The decision on whether to initiate a fraudulent attack is based on the signal strength, i.e. the signal strength with which the data packet was received, and the identity of the sender, i.e. the identity of the sender of the received data packet.

Enligt en andra aspekt av föreliggande uppfinning anvisas en anord- ning för detektering av trådlösa intrång. Anordningen för detektering av tråd- lösa intrång innefattar en mottagare och bearbetningskretsar. Mottagaren tar emot datapaket från det trådlösa nätverket. Bearbetningskretsarna är anord- nade att fastställa en signalstyrka för det datapaket som mottas från det tråd- lösa nätverket, att fastställa en avsändaridentitet för datapaketet, och att be- sluta huruvida en bluffattack inletts. Beslutet om huruvida en bluffattack inletts grundas på signalstyrkan och avsändarens identitet. 534 349 3 Enligt en tredje aspekt av föreliggande uppfinning anvisas en datorpro- gramprodukt. Datorprogramprodukten innefattar ett medium för användning med en dator, i vilket en datorläsbar programkod är utförd. Den datorläsbara programkoden är anordnad att exekveras för implementering av förfarandet enligt den första aspekten av föreliggande uppfinning.According to a second aspect of the present invention, there is provided a device for detecting wireless intrusions. The device for detecting wireless intrusions comprises a receiver and processing circuits. The receiver receives data packets from the wireless network. The processing circuits are arranged to determine a signal strength of the data packet received from the wireless network, to determine a sender identity for the data packet, and to decide whether a hoax attack has been initiated. The decision on whether to launch a hoax is based on the signal strength and the identity of the sender. 534 349 3 According to a third aspect of the present invention, a computer software product is disclosed. The computer program product comprises a medium for use with a computer, in which a computer readable program code is executed. The computer readable program code is arranged to be executed for implementing the method according to the first aspect of the present invention.

Såvitt gäller beskrivningen av föreliggande uppfinning är en databe- handlingsapparat t ex en dator, ett datortillbehör, en nätverksskrivare, en mo- biltelefon eller en handdator (PDA) och innefattar i allmänhet en för ändamå- let avsedd trådlös nätverksgränssnittsanordning för kommunikation via ett trådlöst nätverk eller, allmännare, en trådlös anslutning. Den trådlösa kom- munikationen kan verkställas med hjälp av varje slags radiobaserad trådlös nätverksteknologi, t ex WLAN, Bluetooth, GSM, GPRS, UMTS, LTE och Wi- MAX. I syfte att kunna identifiera en viss databehandlingsapparat som källa eller destination i en dataöverföring tilldelas varje databehandlingsapparat som deltar i trådlös kommunikation en identitet. ldentiteterna kan tex vara en MAC- eller IP-adress (medium access control address resp lntemet protocol address).As far as the description of the present invention is concerned, a data processing apparatus is, for example, a computer, a computer accessory, a network printer, a mobile phone or a PDA, and generally includes a dedicated wireless network interface device for communication over a wireless network. or, more generally, a wireless connection. The wireless communication can be implemented using any kind of radio-based wireless network technology, such as WLAN, Bluetooth, GSM, GPRS, UMTS, LTE and Wi-MAX. In order to be able to identify a particular data processing apparatus as the source or destination of a data transmission, each data processing apparatus participating in wireless communication is assigned an identity. The identities can be, for example, a MAC or IP address (medium access control address or Internet protocol address).

Föreliggande uppfinning bygger på insikten att bluffattacker, d v s at- tacker baserade på förklädnad, i ett trådlöst nätverk kan detekteras genom att analysera signalstyrkan och avsändaridentiteten för datapaket som mottagits via det trådlösa nätverket. Det är fördelaktigt att grunda beslutet om huruvida en bluffattack försiggår på signalstyrkevärden så tillvida att det är relativt en- kelt och tämligen verkningsfullt. Uppfinningens allmänna idé grundar sig på insikten att sådana datapaket, som tas emot via det trådlösa nätverket av en anordning för detektering av trådlösa intrång - eller av en databehandlings- apparat som utför uppgifter inom detektering av trådlösa intrång - och som härrör från två skilda databehandlingsapparater som använder samma identi- tet, typiskt sett kommer att tas emot med åtskiljbara signalstyrkevärden.The present invention is based on the realization that fraudulent attacks, i.e. attacks based on disguise, in a wireless network can be detected by analyzing the signal strength and sender identity of data packets received via the wireless network. It is advantageous to base the decision on whether a hoax attack takes place on signal strength values to the extent that it is relatively simple and fairly effective. The general idea of the invention is based on the insight that such data packets, which are received via the wireless network by a device for detecting wireless intrusions - or by a data processing apparatus which performs tasks in detecting wireless intrusions - and which originate from two different data processing apparatuses which uses the same identity, will typically be received with separable signal strength values.

För detta ändamål övervakas nätverkstrafiken och datapaket tas emot via det trådlösa nätverket. För varje mottaget datapaket fastställs signalstyr- kan och avsändaridentiteten. Det beslutas därefter, på grundval av signalstyr- kan och avsändaridentiteten, huruvida en bluffattack försiggår. 534 349 4 Föreliggande uppfinning har den fördelen att bluffattacker utförda av en skurkanordning som kommunicerar med samma åtkomstpunkt som den imite- rade anordningen, och som således tillhör samma nätverkssegment, kan de- tekteras. Det är även fördelaktigt att endast grunda beslutet om huruvida imi- tation förekommer på identiteter och signalstyrkor av den anledningen att så- dan information är enkel att erhålla. Vidare krävs mindre bearbetningsinsatser jämfört med intrângsdetekteringssystem enligt känd teknik, vilka analyserar hela datapaket.For this purpose, the network traffic is monitored and data packets are received via the wireless network. For each received data packet, the signal strength and the sender identity are determined. It is then decided, on the basis of the signal strength and the sender identity, whether a hoax attack is taking place. The present invention has the advantage that fraudulent attacks performed by a rogue device communicating with the same access point as the imitation device, and thus belonging to the same network segment, can be detected. It is also advantageous to base the decision only on whether imitation occurs on identities and signal strengths for the reason that such information is easy to obtain. Furthermore, smaller processing efforts are required compared to intrusion detection systems according to prior art, which analyze entire data packets.

Enligt en utföringsform av föreliggande uppfinning är en anordning för detektering av trådlösa intrång placerad vid en värddator med förmåga att kommunicera över det trådlösa nätverket. Bearbetningskretsarna är även an- ordnade att jämföra avsändaridentiteten med en värddatoridentitet, att jämfö- ra signalstyrkan med en förutbestämd signalstyrka och att fatta beslut att av- sändaren är den anordning som inleder attacken, d v s en skurkanordning, om avsändaridentiteten är densamma som värddatoridentiteten och signal- styrkan är mindre än en förutbestämd signalstyrka.According to an embodiment of the present invention, a device for detecting wireless intrusions is located at a host computer capable of communicating over the wireless network. The processing circuits are also arranged to compare the sender identity with a host identity, to compare the signal strength with a predetermined signal strength and to decide that the sender is the device initiating the attack, i.e. a villain device, if the sender identity is the same as the host identity and signal the strength is less than a predetermined signal strength.

Detta är fördelaktigt eftersom värddatorn kan övervaka den trådlösa nätverkstrafiken och detektera bluffattacker som utnyttjar dess egen identitet, d v s attacker under vilka värddatorn imiteras. Med andra ord kan en databe- handlingsapparat utrustad med ett en anordning för detektering av trådlösa nätverk detektera bluffattacker inom det trådlösa nätverksgränssnittets hela täckningsområde. Detta är fördelaktigt om inget centraliserat system för de- tektering av trådlösa intrång finns, såsom i ett publikt WLAN med låg säker- hetsgrad. Det inses vidare att täckningsområdet hos ett centraliserat system för detektering av trådlösa intrång kan utökas genom att utnyttja klienter ut- rustade med en anordning för detektering av trådlösa intrång. Dessa klienter är belägna vid randen av täckningsområdet hos det trådlösa nätverket som skyddas av systemet för detektering av trådlösa intrång.This is advantageous because the host computer can monitor the wireless network traffic and detect scam attacks that exploit its own identity, i.e. attacks during which the host computer is imitated. In other words, a data processing apparatus equipped with a wireless network detection device can detect fraudulent attacks within the entire coverage area of the wireless network interface. This is advantageous if there is no centralized system for detecting wireless intrusions, such as in a public WLAN with a low degree of security. It is further understood that the coverage area of a centralized system for detecting wireless intrusions can be expanded by utilizing clients equipped with a device for detecting wireless intrusions. These clients are located at the edge of the coverage area of the wireless network protected by the wireless intrusion detection system.

Enligt en utföringsform av uppfinningen används en förutbestämd sig- nalstyrka för beslutet om huruvida en bluffattack inletts. Denna förutbestämda signalstyrka är väsentligen lika med signalstyrkan för paket som sänds av värddatorn själv. Signalstyrkan för sådana datapaket är ett mått på den max- imala signalstyrkan som kan förväntas med tanke på närheten mellan avsän- 534 349 daren, d v s värdens trådlösa nätverksgränssnitt, och mottagningsenheten.According to an embodiment of the invention, a predetermined signal strength is used for the decision of whether a hoax attack has been initiated. This predetermined signal strength is substantially equal to the signal strength of packets transmitted by the host computer itself. The signal strength of such data packets is a measure of the maximum signal strength that can be expected given the proximity between the sender, i.e. the host's wireless network interface, and the receiving unit.

Den förutbestämda signalstyrkan sätts i allmänhet till ett lägre värde än max- imivärdet för att undvika falska larm.The predetermined signal strength is generally set to a lower value than the maximum value to avoid false alarms.

Enligt en annan utföringsform av föreliggande uppfinning innefattar föreliggande anordning för detektering av trådlösa intrång vidare kretsar an- ordnade att lagra signalstyrkeinformation. Bearbetningskretsarna är vidare anordnade att lagra avsändaridentiteten och signalstyrkan, att hämta lagrad signalstyrkeinformation från en avsändare med samma identitet som avsän- daridentiteten, att analysera signalstyrkeinformationen, och att besluta huru- vida en bluffattack inletts. Beslutet om huruvida en bluffattack inletts grundas även på signalstyrkeinformationen.According to another embodiment of the present invention, the present device for detecting wireless intrusions further comprises circuits arranged to store signal strength information. The processing circuits are further arranged to store the sender identity and signal strength, to retrieve stored signal strength information from a sender with the same identity as the sender identity, to analyze the signal strength information, and to decide whether a hoax attack has been initiated. The decision on whether to launch a hoax is also based on the signal strength information.

Denna utföringsform är fördelaktig i så måtto att attacker vid vilka iden- titeten hos andra anordningar än vârdanordningen imiteras kan detekteras.This embodiment is advantageous in that attacks in which the identity of devices other than the host device is imitated can be detected.

Anordningen som utför detektering av trådlösa intrång måste inte nödvändigt- vis vara en databehandlingsapparat med förmåga att kommunicera, d v s att sända och ta emot data, via det trådlösa nätverket. Exempelvis kan anord- ningen vara en för ändamålet avsedd anordning för detektering av trådlösa intrång som endast är anordnad att övervaka trådlös nätverkstrafik. Anord- ningen kan emellertid också vara en databehandlingsapparat utrustad med en trådlös nåtverksgränssnittsanordning som kan utnyttjas för detektering av trådlösa intrång när den är overksam eller en databehandlingsapparat med en anordning för detektering av trådlösa intrång installerad.The device that performs wireless intrusion detection does not necessarily have to be a data processing apparatus capable of communicating, i.e. transmitting and receiving data, via the wireless network. For example, the device may be a dedicated intrusion detection device designed to monitor wireless network traffic only. However, the device may also be a data processing apparatus equipped with a wireless network interface device which can be used for detecting wireless intrusions when inactive or a data processing apparatus having a wireless intrusion detection device installed.

För detta ändamål övervakas den trådlösa nätverkstrafiken och en sig- nalinformationsdatabas innehållande signalstyrkevärden och tillhörande av- sändaridentiteter upprätthålls. För varje mottaget datapaket hämtas tidigare mottagna signalstyrkevärden från databasen vilka hänför sig till samma identi- tet som identiteten hos avsändaren av det mottagna datapaketet. Variationen över tid hos dessa värden analyseras i syfte att besluta huruvida en bluffat- tack föreligger. Exempelvis kan en plötslig variation i en annars väsentligen konstant signalstyrka vara en indikation på en bluffattack.For this purpose, the wireless network traffic is monitored and a signal information database containing signal strength values and associated sender identities is maintained. For each received data packet, previously received signal strength values are retrieved from the database which relate to the same identity as the identity of the sender of the received data packet. The variation over time of these values is analyzed in order to decide whether a scam thank you exists. For example, a sudden variation in an otherwise substantially constant signal strength may be an indication of a hoax.

Det inses vidare att signalstyrkeinformationen kan analyseras vid andra tillfällen än då ett datapaket tas emot från det trådlösa nätverket. Ex- empelvis kan en sådan analys initieras av en extern utlösare, tex av en an- 534 349 6 vändare eller av en enhet i det trådlösa nätverket, såsom ett centraliserat in- trångsdetekteringssystem. Vidare kan analysen även utföras periodiskt eller slumpmässigt. Som ett alternativ till att den samlade signalstyrkeinforrnatio- nen analyseras kan endast delar av informationen analyseras. Speciellt kan signalstyrkeinforrnation som avser det senast mottagna datapaketet från nät- verket uteslutas.It will further be appreciated that the signal strength information may be analyzed at other times than when a data packet is being received from the wireless network. For example, such an analysis can be initiated by an external trigger, for example by a user or by a device in the wireless network, such as a centralized intrusion detection system. Furthermore, the analysis can also be performed periodically or randomly. As an alternative to analyzing the overall signal strength information, only parts of the information can be analyzed. In particular, signal strength information relating to the most recently received data packet from the network can be excluded.

Om ingen avsändaridentitet etableras för det senaste datapaketet, ex- empelvis om analysen påbörjas oberoende av mottagningen av ett datapaket från det trådlösa nätverket, då kan signalstyrkevärden avseende en godtyck- lig identitet beaktas. Detta är fördelaktigt i det avseendet att stegen att analy- sera signalstyrkeinforrnation samt att besluta om huruvida en bluffattack in- letts kan utföras separat i förhållande till stegen att ta emot ett datapaket från det trådlösa nätverket samt att fastställa en signalstyrka och en avsändar- identitet. Till exempel kan detta vara fallet i ett intrångsdetekteringssystem som innefattar sensorer för mottagning av datapaket och i vilket analysen ut- förs av andra enheter. l enlighet med en annan utföringsform av föreliggande uppfinning är bearbetningskretsarna vidare anordnade att beräkna en variation i signalstyr- keinforrnationen, att jämföra variationen med en förutbestämd variation och att besluta om att en bluffattack anses ha inletts om den beräknade variatio- nen är större än den förutbestämda variationen.If no sender identity is established for the most recent data packet, for example if the analysis is started independently of the reception of a data packet from the wireless network, then signal strength values regarding an arbitrary identity can be taken into account. This is advantageous in that the steps of analyzing signal strength information and deciding whether to initiate a hoax can be performed separately from the steps of receiving a data packet from the wireless network and establishing a signal strength and a sender identity. For example, this may be the case in an intrusion detection system that includes sensors for receiving data packets and in which the analysis is performed by other devices. In accordance with another embodiment of the present invention, the processing circuits are further arranged to calculate a variation in the signal strength information, to compare the variation with a predetermined variation and to decide whether a bluff attack is considered to have been initiated if the calculated variation is greater than the predetermined one. the variation.

Enligt ännu en utföringsform av föreliggande uppfinning är bearbet- ningskretsarna vidare anordnade att sammanställa en fördelning av signal- styrkevärden ur signalstyrkeinfonnationen, att utvärdera nämnda fördelnings modalitet, samt att besluta att en bluffattack anses ha inletts om fördelningen är multimodal. Även om fördelar med föreliggande uppfinning i vissa fall har beskrivits med hänvisning till utföringsformer av anordningen för detektering av trådlösa intrång enligt den andra aspekten av uppfinningen, gäller motsvarande reso- nemang för utföringsformer av förfarandet enligt den första aspekten av upp- finningen. Exempelvis kan en dator utrustad med en trådlös nätverksgräns- snittsanordning, eller en åtkomstpunkt i ett WLAN, anordnas att utföra uppgif- ter inom detektering av trådlösa intrång. Det inses även att motsvarande re- 534 349 7 sonemang gäller för utföringsformer av datorprogramprodukten enligt den tredje aspekten av uppfinningen. En sådan datorprogramprodukt kan exem- pelvis nyttjas för att anpassa befintlig hårdvara att utföra uppgifter inom detek- tering av trådlösa intrång. Klienten eller en åtkomstpunkt i ett WLAN kan ex- empelvis vara anordnad att utföra detektering av trådlösa intrång medan den är overksam förutsatt den förses med ett lämpligt datorprogram.According to yet another embodiment of the present invention, the processing circuits are further arranged to compile a distribution of signal strength values from the signal strength information, to evaluate said distribution modality, and to decide that a hoax attack is considered to have been initiated if the distribution is multimodal. Although advantages of the present invention have in some cases been described with reference to embodiments of the wireless intrusion detection device according to the second aspect of the invention, the same reasoning applies to embodiments of the method according to the first aspect of the invention. For example, a computer equipped with a wireless network interface device, or an access point in a WLAN, may be arranged to perform tasks in detecting wireless intrusions. It will also be appreciated that the corresponding reasoning applies to embodiments of the computer program product according to the third aspect of the invention. Such a computer program product can, for example, be used to adapt reliable hardware to perform tasks in detecting wireless intrusions. The client or an access point in a WLAN may, for example, be arranged to perform detection of wireless intrusion while it is idle provided it is provided with a suitable computer program.

Vidare syften med, särdrag hos och fördelar med föreliggande uppfin- ning kommer att bli uppenbara efter studium av den följande detaljerade be- skrivningen, ritningarna och de bifogade kraven. Fackmannen inser att olika särdrag hos föreliggande uppfinning kan kombineras så att andra utförings- former än de beskrivna skapas.Further objects, features and advantages of the present invention will become apparent upon study of the following detailed description, the drawings and the appended claims. Those skilled in the art will appreciate that various features of the present invention may be combined to create embodiments other than those described.

Kortfattat beskrivning av ritningarna Ovanstående särdrag hos och fördelar med föreliggande uppfinning kommer att förstås bättre genom den följande illustrativa och icke- begränsande detaljerade beskrivningen av utföringsformer av föreliggande uppfinning och dennas hänvisningar till de bifogade ritningarna.Brief Description of the Drawings The above features and advantages of the present invention will be better understood from the following illustrative and non-limiting detailed description of embodiments of the present invention and its references to the accompanying drawings.

Figur 1 visar en utföringsform av förfarandet för detektering av en bluffattack.Figure 1 shows an embodiment of the method for detecting a hoax attack.

Figur 2 visar en annan utföringsform av förfarandet för detektering av en bluffattack.Figure 2 shows another embodiment of the method for detecting a hoax attack.

Figur 3 visar en hypotetisk variation över tid i signalstyrka och den re- sulterande fördelningen av signalstyrkevärden.Figure 3 shows a hypothetical variation over time in signal strength and the resulting distribution of signal strength values.

Figur 4 visar en utföringsform av anordningen för detektering av trådlö- sa intrång.Figure 4 shows an embodiment of the device for detecting wireless intrusions.

Figur 5 visar en annan utföringsform av anordningen för detektering av trådlösa intrång.Figure 5 shows another embodiment of the wireless intrusion detection device.

Figur 6 visar en trådlös nätverksgränssnittsanordning som innefattar en anordning för detektering av trådlösa intrång.Figure 6 shows a wireless network interface device that includes a device for detecting wireless intrusions.

Samtliga figurer är schematiska, inte nödvändigtvis skalenliga och vi- sar i allmänhet endast delar som är nödvändiga för att belysa uppfinningen, varvid övriga delar kan vara uteslutna eller endast antydda. 534 349 Detaljerad beskrivning Såvitt gäller beskrivningen av föreliggande uppfinning antas att klien- terna i ett trådlöst nätverk, t ex ett WLAN, har tillgång till nätverket och dess resurser genom en eller flera åtkomstpunkter. l allmänhet begränsas åtkomst till enbart behöriga klienter, och denna åtkomstkontroll baseras åtminstone delvis på identiteten hos de klienter som begär åtkomst till nätverket.All fi gures are schematic, not necessarily to scale and generally show only parts that are necessary to illuminate the invention, whereby other parts may be excluded or only hinted at. 534 349 Detailed description With regard to the description of the present invention, it is assumed that the clients in a wireless network, for example a WLAN, have access to the network and its resources through one or more access points. In general, access to restricted clients is restricted only, and this access control is based at least in part on the identity of the clients requesting access to the network.

Vid en förklädnadsattack imiterar en skurkklient en behörig klients identitet, tex genom att avskära den behöriga klientens förbindelse med en åtkomstpunkt, och förklär sin egen identitet med den imiterade identiteten.In a disguise attack, a rogue client imitates the identity of an authorized client, for example by cutting off the authorized client's connection to an access point, and declaring his own identity with the imitated identity.

Skurkklienten får därvid tillgång till nätverket genom en åtkomstpunkt med hjälp av den behöriga klientens imiterade identitet.The rogue client thereby gains access to the network through an access point with the help of the authorized client's imitated identity.

Med hänvisning till figur 1 beskrivs ett förfarande 100 för detektering av en bluffattack. l syfte att exemplifiera föreliggande uppfinning antas att förfa- randet 100 utförs av en behörig klient i WLAN:et, d v s klienten kan legitimt ansluta till någon av WLAN:ets åtkomstpunkter och kan använda WLAN:ets resurser.Referring to Figure 1, a method 100 for detecting a hoax attack is described. For the purpose of exemplifying the present invention, it is assumed that the method 100 is performed by an authorized client in the WLAN, i.e. the client can legitimately connect to any of the WLAN's access points and can use the WLAN's resources.

Förfarandet 100 börjar i steg 101, antingen periodiskt eller genom en extern utlösare, såsom en användarbegäran, en systemadministratör eller annan enhet i nätverket, tex ett centraliserat intrångsdetekteringssystem som utnyttjar klienter anslutna till nätverket för intrångsdetekteringsändamål. ln- ledningsvis, i steg 110, tas ett datapaket emot från det trådlösa nätverket. I nästa steg 120 fastställs en signalstyrka med vilken datapaketet togs emot.The method 100 begins in step 101, either periodically or through an external trigger, such as a user request, a system administrator or other device in the network, such as a centralized intrusion detection system that utilizes clients connected to the network for intrusion detection purposes. Initially, in step 110, a data packet is received from the wireless network. In the next step 120, a signal strength with which the data packet was received is determined.

Signalstyrkan kan vanligen erhållas från mottagaren men kan också mätas upp av varje slags annat, i sig känt medel. För den föreliggande uppfinning- ens vidkommande kan signalstyrkan vara ett relativt tal. I fallet med WLAN kan den mottagna signalstyrkeindikeringen (RSSI, received signal strength indication) utnyttjas. Datapaketet analyseras därefter, i steg 130, i syfte att fastställa identiteten hos den anordning från vilken datapaketet härrör. Vilken identitetstyp som används, liksom sättet på vilket identiteten erhålls från da- tapaketet, beror av den nätverksteknologi som används och av huruvida nät- verkstrafiken är krypterad eller inte. l fallet med WLAN innehåller datapake- tets källfält den sändande anordningens MAC-adress. Emellertid kan även andra identifierare användas, bland annat IP-adressen. Därefter, i steg 140, 534 349 9 fattas ett beslut om huruvida en bluffattack inletts. Om en bluffattack anses äga rum, avslutas förfarandet i steg 102 och det vidtas, om så önskas, åtgär- der som är i sig kända. Exempelvis kan det utfärdas en varning riktad till kli- entens användare eller till en administratör för det trådlösa nätverket; likaså kan attacken loggas. Den klient som detekterar attacken, eller nätverkets centraliserade systemet för trådlösa intrång, kan också sätta igång motåtgär- der, t ex att avbryta trafik till delar av nätverket.The signal strength can usually be obtained from the receiver but can also be measured by any other means known per se. For the purposes of the present invention, the signal strength may be a relative number. In the case of WLAN, the received signal strength indication (RSSI) can be used. The data packet is then analyzed, in step 130, for the purpose of determining the identity of the device from which the data packet originates. The type of identity used, as well as the way in which the identity is obtained from the data packet, depends on the network technology used and on whether or not the network feature is encrypted. In the case of WLAN, the source field of the data packet contains the MAC address of the transmitting device. However, other identifiers can also be used, including the IP address. Then, in step 140, 534 349 9 a decision is made as to whether a hoax attack has been initiated. If a fraudulent attack is considered to take place, the procedure is terminated in step 102 and, if desired, measures are taken which are known per se. For example, a warning may be issued to the client's user or to a wireless network administrator; likewise, the attack can be logged. The client that detects the attack, or the network's centralized system for wireless intrusions, can also initiate countermeasures, such as interrupting traffic to parts of the network.

Om ingen attack anses ha inletts, fortsätter förfarandet i steg 110 med att ta emot ett ytterligare datapaket från nätverket. Emellertid kan förfarandet också avslutas här och börja om efter ett visst tidsintervall eller när det initie- ras av en extern utlösare, tex av en användare eller an annan enhet i nätver- ket, såsom ett centraliserat intrångsdetekteringssystem_ Allmänt sett kan för- farandet utföras periodiskt, slumpmässigt eller på begäran.If no attack is considered to have been initiated, the procedure in step 110 continues to receive an additional data packet from the network. However, the method can also be terminated here and start again after a certain time interval or when it is initiated by an external trigger, eg by a user or another device in the network, such as a centralized intrusion detection system. In general, the method can be performed periodically. randomly or on request.

Med hänvisning till figur 1 visas en utföringsform av förfarandet 100, i synnerhet steget 140. Beslutet om huruvida en bluffattack anses ha inletts börjar med steget 141 attjämföra avsändaridentiteten, d v s identiteten hos avsändaren av det datapaket som togs emot från det trådlösa nätverket, med identiteten hos den databehandlingsapparat som utför förfarandet, benämnd värd. Sedan jämförs, i steg 142, signalstyrkan, d v s den signalstyrka med vilken datapaketet togs emot, med en förutbestämd signalstyrka. Slutligen tas, i steg 143, beslutet om att en bluffattack anses föreligga om avsändar- identiteten är densamma som värdidentiteten och signalstyrkan är mindre än den förutbestämda signalstyrkan, i vilket fall förfarandet avslutas i steg 102. I annat fall anses en bluffattack inte föreligga och förfarandet fortsätter i steg 1 10.Referring to Figure 1, an embodiment of the method 100 is shown, in particular step 140. The decision on whether a fraudulent attack is considered to have begun begins with step 141 comparing the sender identity, i.e. the identity of the sender of the data packet received from the wireless network, with the identity of the data processing apparatus performing the procedure, termed the host. Then, in step 142, the signal strength, i.e. the signal strength with which the data packet was received, is compared with a predetermined signal strength. Finally, in step 143, the decision is made that a hoax attack is considered to exist if the sender identity is the same as the host identity and the signal strength is less than the predetermined signal strength, in which case the procedure ends in step 102. Otherwise a hoax attack is not considered and the procedure continues in step 1 10.

Det med hänvisning till figur 1 beskrivna förfarandet kan användas för detektering av attacker som imiterar klienten själv, d v s värddatabehandlings- apparaten som utför förfarandet. Om klienten tar emot ett datapaket via det trådlösa nätverket vilket utger sig för att komma från klienten själv, d v s som har samma avsändaridentitet som värdidentiteten, och om datapaketet tas emot med en signalstyrka som är lägre än den förutbestämda signalstyrkan, då anses en bluffattack ha inletts och datapaketets avsändare anses vara en skurkanordning som imiterar klienten. Den förutbestämda signalstyrkan är 534 349 väsentligen densamma som den signalstyrka med vilken klienten skulle ta emot sina egna datapaket. Exempelvis kan en databehandlingsapparat, som är en behörig klient i ett trådlöst nätverk och som är försedd med en trådlös nätverksgränssnittsanordning och en anordning för detektering av trådlösa intrång, övervaka nätverkstrafiken i sin närhet. Speciellt kan anordningen för detektering av trådlösa nätverk ta emot datapaket som skickats av dess egen trådlösa nätverksgränssnittsanordning. Signalstyrkan hos datapaket som här- rör från klienten utgör den största möjliga signalstyrkan med tanke på närhe- ten mellan avsändare och mottagare. Datapaket som härrör från andra an- ordningar tas typiskt sett emot med en lägre signalstyrka. l syfte att undvika falska larm, sätts den förutbestämda signalstyrkan till ett något lägre värde.The procedure described with reference to Figure 1 can be used to detect attacks that mimic the client itself, i.e. the host data processing apparatus performing the procedure. If the client receives a data packet via the wireless network which pretends to come from the client itself, ie which has the same sender identity as the host identity, and if the data packet is received with a signal strength lower than the predetermined signal strength, then a fake attack is considered initiated and the sender of the data packet is considered to be a rogue device that imitates the client. The predetermined signal strength is essentially the same as the signal strength with which the client would receive its own data packets. For example, a data processing apparatus, which is a competent client in a wireless network and which is equipped with a wireless network interface device and a device for detecting wireless intrusions, can monitor the network trace in its vicinity. In particular, the wireless network detection device can receive data packets sent by its own wireless network interface device. The signal strength of data packets originating from the client constitutes the greatest possible signal strength in view of the proximity between sender and receiver. Data packets originating from other devices are typically received with a lower signal strength. In order to avoid false alarms, the predetermined signal strength is set to a slightly lower value.

Den förutbestämda signalstyrkan anges vanligen av en nätverksadministratör eller med hjälp av ett centraliserat intrångsdetekteringssystem som skickar övervakningsbegäran till klienterna.The predetermined signal strength is usually specified by a network administrator or by means of a centralized intrusion detection system that sends the monitoring request to the clients.

Med hänvisning till figur 2 beskrivs en alternativ utföringsform av förfa- randet för detektering av en bluffattack. Förfarandet 200 liknar det med hän- visning till figur 1 beskrivna förfarandet 100 såtillvida att det innefattar stegen att motta 210 ett datapaket via det trådlösa nätverket, att fastställa 220 en signalstyrka med vilken datapaketet togs emot, att fastställa 230 en identitet hos datapaketets avsändare, och att besluta 240 om huruvida en intrångsat- tack föreligger. Utöver detta innefattar förfarandet 200 steget att lagra 235 signalstyrkan och den motsvarande avsändaridentiteten för användning vid efterföljande analys av variationen över tid i signalstyrka. Vidare skiljer sig steget att besluta 240 om huruvida en bluffattack äger rum från det med hän- visning till figur 1 beskrivna steget 140. Med hänvisning till figur 2 innefattar steget 240 stegen att läsa 241 signalstyrkeinformation, d v s signalstyrkevär- den för datapaket som förment härrör från samma avsändare, tex från en avsändare med samma identitet som avsändaridentiteten. Den hämtade sig- nalstyrkeinformationen används därefter, i steg 240, till att besluta om huruvi- da en bluffattack inletts. Detta åstadkommes genom att analysera signalstyr- kehistoriken, d v s följden av signalstyrkevärden härrörande från en avsända- re med samma identitet. Exempelvis kan en i övrigt väsentligen konstant sig- nalstyrka som plötsligt ändrar värde tolkas som misstänkt och tillskrivas en 534 349 11 skurkanordning på ett annat läge än den imiterade anordningen, d v s identi- tetens legitima innehavare, varvid det olika läget ger upphov till en signalstyr- ka vid mottagaren som är olik den imiterade anordningens.With reference to Figure 2, an alternative embodiment of the method for detecting a fraudulent attack is described. The method 200 is similar to the method 100 described with reference to Figure 1 in that it comprises the steps of receiving 210 a data packet via the wireless network, determining 220 a signal strength with which the data packet was received, determining 230 an identity of the sender of the data packet, and to decide 240 on whether there is a breach of infringement. In addition, the method 200 includes the step of storing 235 the signal strength and the corresponding sender identity for use in subsequent analysis of the variation over time in signal strength. Furthermore, the step of deciding 240 on whether a hoax attack takes place differs from the step 140 described with reference to Figure 1. With reference to Figure 2, the step 240 includes the steps of reading 241 signal strength information, i.e. signal strength values for data packets supposedly derived from the same sender, for example from a sender with the same identity as the sender identity. The retrieved signal strength information is then used, in step 240, to decide whether a hoax attack has been initiated. This is accomplished by analyzing the signal strength history, i.e. the sequence of signal strength values derived from a transmitter with the same identity. For example, an otherwise substantially constant signal strength that suddenly changes value can be interpreted as suspicious and attributed to a rogue device in a different position than the imitation device, ie the legitimate holder of the identity, whereby the different position gives rise to a signal control. at the receiver which is different from that of the imitation device.

Den hämtade signalstyrkehistoriken kan t ex analyseras genom att be- räkna 242 en variation av signalstyrkorna och genom att jämföra 243 den be- räknade variationen med en förutbestämd variation. Den förutbestämda varia- tionen anges vanligen av en användare av klienten eller av en administratör för det trådlösa nätverket eller ett centraliserat intrångsdetekteringssystem.The retrieved signal strength history can be analyzed, for example, by calculating 242 a variation of the signal strengths and by comparing 243 the calculated variation with a predetermined variation. The predetermined variation is usually specified by a user of the client or by an administrator of the wireless network or a centralized intrusion detection system.

Antalet signalstyrkevärden under vilka sådana värden beaktas kan också stäl- las in. l en alternativ utföringsform kan den aktuella signalstyrkan och den hämtade signalstyrkehistoriken även sammanställas till en fördelning av sig- nalstyrkevärden, såsom visas i figur 3. I det vänstra diagrammet i figur 3 visas en hypotetisk variation i den mottagna signalstyrkan s över tid t. Signalstyrke- värdena sammanställs sedan till en fördelning f(s), d v s frekvensen fav sig- nalstyrkevärden s under ett visst tidsintervall At. Den resulterande fördelning- en av signalstyrkevärden analyseras sedan i syfte att besluta om huruvida en bluffattack äger rum. Om fördelningen är multimodal, d v s innefattar mer än ett lokalt maximum, då anses en bluffattack ha inletts. Fördelningen som vi- sas i figur 3 är bimodal, eftersom den innefattar två lokala maxima, till följd av att två skilda avsändare utnyttjar samma identitet. Om fler än två klienter kommunicerar med en åtkomstpunkt med hjälp av samma identitet, tex om en behörig klient imiteras av fler än en skurkanordning, kan den resulterande fördelningen innefatta fler än två lokala maxima.The number of signal strength values below which such values are taken into account can also be set. In an alternative embodiment, the current signal strength and the retrieved signal strength history can also be compiled into a distribution of signal strength values, as shown in Figure 3. The left diagram in Figure 3 shows a hypothetical variation in the received signal strength s over time t. the values are then compiled into a distribution f (s), ie the frequency fv signal strength values s during a certain time interval .t. The resulting distribution of signal strength values is then analyzed in order to decide whether a hoax attack takes place. If the distribution is multimodal, ie includes more than one local maximum, then a hoax attack is considered to have been initiated. The distribution shown in Figure 3 is bimodal, as it includes two local maxima, due to the fact that two different senders use the same identity. If more than two clients communicate with an access point using the same identity, for example if an authorized client is imitated by more than one rogue device, the resulting distribution may include more than two local maxima.

Med hänvisning till figur 4 beskrivs nu en anordning 400 för detektering av trådlösa intrång som är avsedd att detektera bluffattacker i ett trådlöst nät- verk. Anordningen 400 innefattar en mottagare 401, en antenn 402 samt be- arbetningskretsar 403. Antennen 402 kan vara inbyggd men kan också vara anslutbar till mottagaren 401 via en kontakt. Bearbetningskretsarna 403 är anordnade att utföra stegen i det med hänvisning till figur 1 beskrivna förfa- randet 100. Vanligen innefattar bearbetningskretsama även ett inmatnings- /utmatningsgränssnitt 405 för kommunikation mellan intrângsdetekteringsan- ordningen och värd-databehandlingsapparaten. inmatnings- 534 349 12 lutmatningsgränssnittet 405 kan t ex vara PCI, PCMCIA, USB eller FireWire.Referring to Figure 4, there is now described a device 400 for detecting wireless intrusions which is intended to detect hoax attacks in a wireless network. The device 400 comprises a receiver 401, an antenna 402 and processing circuits 403. The antenna 402 may be built-in but may also be connectable to the receiver 401 via a connector. The processing circuits 403 are arranged to perform the steps of the method 100 described with reference to Figure 1. Typically, the processing circuits also include an input / output interface 405 for communication between the intrusion detection device and the host data processing apparatus. input 534 349 12 the output interface 405 can be, for example, PCI, PCMCIA, USB or FireWire.

Anordningen för detektering av trådlösa intrång kan dock även samverka med databehandlingsapparaten, ett centraliserat intrångsdetekteringssystem eller en användare via varje slags annat medel, såsom en trådlös anslutning eller en visuell eller hörbar indikator.However, the wireless intrusion detection device may also cooperate with the data processing apparatus, a centralized intrusion detection system or a user via any other means, such as a wireless connection or a visual or audible indicator.

Med hänvisning till figur 5 beskrivs en alternativ utföringsform av an- ordningen för detektering av trådlösa intrång. Anordningen 500 för detektering av trådlösa intrång liknar den med hänvisning till figur 4 beskrivna anordning- en 400 och innefattar en mottagare 501, en antenn 502, bearbetningskretsar 503 och ett inmatnings-/utmatningsgränssnitt 505. Vidare innefattar anord- ningen 500 kretsar 504 anordnade att lagra signalstyrkeinformation, d v s sig- nalstyrkor och motsvarande avsändaridentiteter, analogt med det med hän- visning till figur 2 beskrivna steget 235. Lagringskretsarna 504 kan tex vara ett RAM-minne (random access memory), en hàrddiskenhet eller varje slags annat minne med förmåga att lagra information. Den lagrade signalstyrkein- formationen innefattar en databas över avsändaridentiteter och mottagna sig- nalstyrkor. Bearbetningskretsarna 503 är anordnade att utföra stegen i förfa- randet 200, vilket beskrivits med hänvisning till figur 2. Speciellt innebär ste- get 241 att läsa lagrad signalstyrkeinformation att ur databasen hämta lagra- de signalstyrkor avseende datapaket som härrör från samma avsändare, t ex signalstyrkor för avsändaren av det datapaket som tagits emot från det tråd- lösa nätverket.With reference to Figure 5, an alternative embodiment of the device for detecting wireless intrusions is described. The wireless intrusion detection device 500 is similar to the device 400 described with reference to Figure 4 and includes a receiver 501, an antenna 502, processing circuits 503 and an input / output interface 505. Furthermore, the device 500 comprises circuits 504 arranged to store signal strength information, i.e. signal strengths and corresponding sender identities, analogous to the step 235 described with reference to Figure 2. The storage circuits 504 may be, for example, a random access memory (RAM), a hard disk drive or any other type of memory capable of storing information. The stored signal strength information includes a database of sender identities and received signal strengths. The processing circuits 503 are arranged to perform the steps in the method 200, which is described with reference to Figure 2. In particular, the step 241 means reading stored signal strength information to retrieve stored signal strengths from the database regarding data packets originating from the same sender, e.g. for the sender of the data packet received from the wireless network.

Med hänvisning till figur 6 beskrivs en utföringsform av en trådlös nåt- verksgränssnittsanordning 600. Den trådlösa nätverksgränssnittsanordningen 600 innefattar en anordning för detektering av trådlösa intrång enligt en utfö- ringsform av den andra aspekten av föreliggande uppfinning, varvid anord- ningen för detektering av trådlösa intrång innefattar en mottagare 601, en an- tenn 602 och bearbetningskretsar 603, liksom kretsar 604 för genomförande av den trådlösa kommunikationen. Även om den trådlösa nätverksgräns- snittsanordningen 600, såsom den beskrivs här, innefattar en mottagare 601 och en antenn 602 som delas mellan kretsarna 603 och 604, kan den också innefatta separata mottagare och/eller antenner för anordningen för detekte- ring av trådlösa intrång respektive för kretsarna som genomför den trådlösa 534 349 13 kommunikationen. Den trådlösa nätverksgrånssnittsanordningen 600 kan vi- dare innefatta inmatnlngs-/utmatningsgränssnitt 606 och 607 för kommunika- tion med databehandlingsenheten som är värd till den trådlösa nätverks- gränssnittsanordningen 600. Som ett alternativ kan anordningen 600 innefatta ett gemensamt inmatnings-/utmatningsgränssnitt för båda kretsar 603 och 604. Utföringsformen som visas i figur 6 innefattar vidare ett gränssnitt 608 för meddelande av den trådlösa nätverksgränssnittsanordningens identitet från kretsama 604 till kretsarna 603. Exempelvis är, i fallet med WLAN, anord- ningen 600 en WLAN-gränssnittsanordning och kretsarna 604 kan vara stan- dard-WLAN-kretsar. identiteten kan exempelvis vara en MAC-adress som WLAN-kretsarna 604 är konfigurerade med, och denna meddelas till anord- ningen 603 för detektering av trådlösa intrång via gränssnittet 608. identiteten kan emellertid också tillhandahållas bearbetningskretsarna 604 med hjälp av andra medel, t ex via inmatnings-/utmatningsgränssnittet 607. Det inses även att kretsarna 603 och 604, vilka här beskrivits som separata, kan implemente- ras som ett enda kretsarrangemang.Referring to Figure 6, an embodiment of a wireless network interface device 600 is described. The wireless network interface device 600 includes a wireless intrusion detection device according to an embodiment of the second aspect of the present invention, the wireless intrusion detection device includes a receiver 601, an antenna 602 and processing circuits 603, as well as circuits 604 for performing the wireless communication. Although the wireless network interface device 600, as described herein, includes a receiver 601 and an antenna 602 shared between the circuits 603 and 604, it may also include separate receivers and / or antennas for the wireless intrusion detection device, respectively. for the circuits that perform the wireless communication. The wireless network interface device 600 may further include input / output interfaces 606 and 607 for communication with the data processing unit hosted by the wireless network interface device 600. Alternatively, the device 600 may include a common input / output interface 60 of both circuit interfaces 60. and 604. The embodiment shown in Figure 6 further comprises an interface 608 for communicating the identity of the wireless network interface device from the circuits 604 to the circuits 603. For example, in the case of WLAN, the device 600 is a WLAN interface device and the circuits 604 may be stan. - dard WLAN circuits. the identity may be, for example, a MAC address with which the WLAN circuits 604 are configured, and this is communicated to the wireless intrusion detection device 603 via the interface 608. However, the identity may also be provided to the processing circuits 604 by other means, e.g. input / output interface 607. It will also be appreciated that circuits 603 and 604, which are described herein as separate, may be implemented as a single circuit arrangement.

De ovan beskrivna kretsarna kan implementeras i form av elektroniska komponenter, integrerade kretsar (IC, integrated circuits), applikationsspecifi- ka integrerade kretsar (ASIC, application-specific integrated circuits), elekt- riskt programmerbara grindmatriser (FPGA, field programmable gate arrays) och/eller komplexa programmerbara logikenheter (CPLD, complex program- mable logic devices) eller varje slags kombination av dessa. Det inses också att varje slags kretsar kan, åtminstone delvis, ersättas av bearbetningsorgan, tex en processor som exekverar lämplig mjukvara.The circuits described above can be implemented in the form of electronic components, integrated circuits (ICs), application-specific integrated circuits (ASICs), electrically programmable gate arrays (FPGAs) and / or complex programmable logic devices (CPLDs) or any combination of these. It will also be appreciated that any kind of circuitry may, at least in part, be replaced by processing means, such as a processor executing suitable software.

Fackmannen inser att föreliggande uppfinning på inget sätt är begrän- sad till de ovan beskrivna utföringsformerna. Tvärtom är många förändringar och variationer möjliga inom de bifogade kravens skyddsomfàng. Exempelvis kan stegen ide ovan beskrivna förfarandena utföras i en annan ordning än den som beskrivits här. Vidare kan flera datapaket tas emot från det trådlösa nätverket innan signalstyrkevärden och avsändaridentiteter fastställs. Det in- ses också att förfarandena kan utföras vid andra nätverksenheter än klienter, t ex åtkomstpunkter, routrar, brandväggar eller ett centraliserat intrångsdetek- teringssystem. Delarna i en anordning för detektering av trådlösa intrång, lik- 534 349 14 som de därtill hörande uppgifterna, kan också vara distribuerade. Exempelvis kan sensorer eller klienter samla in information och ett centraliserat intrångs- detekteringssystem kan analysera den insamlade informationen. Analysen kan också utföras av distribuerade resurser i nätverket på ett YETl-at-home- liknande sätt, d v s genom utnyttjande av overksamma klienters beräknings- resurser. Exempelvis kan ett centraliserat intrångsdetekteringssystem begära att klienter övervakar vissa kanaler under vissa tidsintervall. En klient kan också vara inställd att övervaka nätverket och utföra förfarandet under overk- samma perioder, d v s när klientens WLAN-grànssnittsanordning inte kom- municerar med WLAN:et. Vidare kan en anordning för detektering av trådlösa intrång, eller en databehandlingsapparat som utför uppgifter inom detektering av trådlösa intrång, övervaka endast en kanal eller flera kanaler, antingen genom att innefatta flera mottagare eller genom att växla mellan kanaler.Those skilled in the art will appreciate that the present invention is in no way limited to the embodiments described above. On the contrary, many changes and variations are possible within the scope of the appended claims. For example, the steps of the methods described above may be performed in a different order from that described herein. Furthermore, dat your data packets can be received from the wireless network before signal strength values and sender identities are determined. It will also be appreciated that the procedures may be performed at network devices other than clients, such as access points, routers, firewalls or a centralized intrusion detection system. The components of a wireless intrusion detection device, as well as the associated data, may also be distributed. For example, sensors or clients can collect information and a centralized intrusion detection system can analyze the collected information. The analysis can also be performed by distributed resources in the network in a YET1-at-home-like way, ie by utilizing inactive clients' computing resources. For example, a centralized intrusion detection system may require clients to monitor certain channels during certain time intervals. A client may also be set to monitor the network and perform the procedure for inconvenient periods, i.e. when the client's WLAN interface device does not communicate with the WLAN. Furthermore, a wireless intrusion detection device, or a data processing apparatus performing tasks in detecting wireless intrusion, can monitor only one channel or multiple channels, either by including fl your receivers or by switching between channels.

Claims (14)

10 15 20 25 30 534 349 1 5 PATENTKRAV10 15 20 25 30 534 349 1 5 PATENT REQUIREMENTS 1. Förfarande (100, 200) för detektering av bluffattacker i ett trådlöst nät- verk, nämnda förfarande innefattande stegen: att vid en enda anordning ta emot (110, 210) ett datapaket från det trådlösa nätverket; att fastställa (120, 220) en signalstyrka för nämnda datapaket; att fastställa (130, 230) en identitet hos en avsändare av nämnda da- tapaket; och att på grundval av nämnda signalstyrka och nämnda avsändaridentitet besluta (140, 240) om huruvida en bluffattack inletts.A method (100, 200) for detecting fraudulent attacks in a wireless network, said method comprising the steps of: receiving (110, 210) a data packet from the wireless network at a single device; determining (120, 220) a signal strength for said data packet; determining (130, 230) an identity of a sender of said data packet; and deciding (140, 240) on the basis of said signal strength and said sender identity whether a hoax attack has been initiated. 2. Förfarande enligt krav 1, varvid nämnda anordning är en värddatabe- handlingsapparat med förmåga att kommunicera via det trådlösa nätverket, varvid steget att besluta (140) huruvida en bluffattack påbörjas innefattar ste- gen: att jämföra (141) nämnda sändaridentitet med en identitet hos en värd- databehandlingsapparat; att jämföra (142) nämnda signalstyrka med en förutbestämd signalstyr- ka; och att besluta (143) om att nämnda avsändare är anordningen som inle- der attacken om nämnda avsändare är lika med nämnda identitet hos värdda- tabehandlingsapparaten och nämnda signalstyrka är mindre än nämnda för- utbestämda signalstyrka.The method of claim 1, wherein said device is a host data processing apparatus capable of communicating via the wireless network, the step of deciding (140) whether to initiate a hoax attack comprising the steps of: comparing (141) said transmitter identity with an identity at a host data processing apparatus; comparing (142) said signal strength with a predetermined signal strength; and deciding (143) that said sender is the device initiating the attack if said sender is equal to said identity of the host data processing apparatus and said signal strength is less than said predetermined signal strength. 3. Förfarande enligt krav 2, varvid nämnda förutbestämda signalstyrka är väsentligen lika med signalstyrkan för paket som sänts av nämnda värddata- behandlingsenhet.The method of claim 2, wherein said predetermined signal strength is substantially equal to the signal strength of packets sent by said host data processing unit. 4. Förfarande enligt krav 1, vidare innefattande steget att lagra (235) nämnda avsändaridentitet och nämnda signalstyrka, varvid steget att besluta (240) om huruvida en bluffattack inletts innefattar stegen: 10 15 20 25 30 534 349 16 att läsa (241) nämnda signalstyrkeinformation för paket som härrör från en avsändare med samma identitet som nämnda avsändaridentitet; och att analysera nämnda signalstyrkeinformation, och varvid, i steget att besluta (240) om huruvida en bluffattack inletts, även nämnda signalstyrkeinformation beaktas.The method of claim 1, further comprising the step of storing (235) said sender identity and said signal strength, the step of deciding (240) whether or not a bluff attack is initiated comprising the steps of: reading (241) signal strength information for packets originating from a sender with the same identity as said sender identity; and analyzing said signal strength information, and wherein, in the step of deciding (240) whether a hoax attack has been initiated, said signal strength information is also taken into account. 5. Förfarande enligt krav 4, varvid steget att analysera nämnda signal- styrkeinformation innefattar stegen: att beräkna (242) en variation i nämnda signalstyrkeinforrnation; och att jämföra (243) nämnda beräknade variation med en förutbestämd variation, och varvid steget att besluta (240) om huruvida en bluffattack inletts vidare innefattar steget att besluta (244) om att en bluffattack anses ha inletts om nämnda beräknade variation är större än nämnda förutbestämda varia- tion.The method of claim 4, wherein the step of analyzing said signal strength information comprises the steps of: calculating (242) a variation in said signal strength information; and comparing (243) said calculated variation with a predetermined variation, and wherein the step of deciding (240) whether to initiate a hoax attack further comprises the step of deciding (244) that a hoax attack is considered to have been initiated if said calculated variation is greater than said predetermined variation. 6. Förfarande enligt krav 4, varvid steget att analysera nämnda signal- styrkeinformation innefattar stegen: att sammanställa (242) en fördelning av signalstyrkevärden ur nämnda signalstyrkeinformation; och att utvärdera (243) fördelningens modalitet, och varvid steget att besluta (240) om huruvida en bluffattack inletts vidare innefattar steget att besluta (244) att en bluffattack anses ha inletts om nämnda fördelning är multimodal.The method of claim 4, wherein the step of analyzing said signal strength information comprises the steps of: compiling (242) a distribution of signal strength values from said signal strength information; and evaluating (243) the modality of the distribution, and wherein the step of deciding (240) whether or not a bluff attack is initiated further comprises the step of deciding (244) that a bluff attack is considered to have been initiated if said distribution is multimodal. 7. Anordning (400, 500) för detektering av trådlösa intrång avsedd att de- tektera bluffattacker i ett trådlöst nätverk, nämnda anordning innefattande: en mottagare (401, 501) för mottagning av ett datapaket från det tråd- lösa nätverket; och bearbetningskretsar (403, 503) anordnade: att fastställa en signalstyrka för nämnda datapaket; att fastställa en avsändaridentitet för nämnda datapaket; och 10 15 20 25 30 534 349 17 att på grundval av nämnda signalstyrka och nämnda avsändaridentitet besluta om huruvida en bluffattack inletts.An apparatus (400, 500) for detecting wireless intrusions for detecting fraudulent attacks in a wireless network, said apparatus comprising: a receiver (401, 501) for receiving a data packet from the wireless network; and processing circuits (403, 503) arranged: determining a signal strength of said data packet; determining a sender identity for said data packet; and deciding on the basis of said signal strength and said sender identity whether a hoax attack has been initiated. 8. Anordning (400) för detektering av trådlösa intrång enligt krav 7, an- bringad i en värddatabehandlingsapparat med förmåga att kommunicera via det trådlösa nätverket, varvid nämnda bearbetningskretsar (403) vidare är anordnade: att jämföra nämnda avsändaridentitet med en identitet hos värddata- behandlingsapparaten; att jämföra nämnda signalstyrka med en förutbestämd signalstyrka; och att besluta om att nämnda avsändare är anordningen som inleder at- tacken om nämnda avsändaridentitet är densamma som värddatabehand- lingsapparatens identitet och nämnda signalstyrka är mindre än nämnda för- utbestämda signalstyrka.The wireless intrusion detection device (400) according to claim 7, arranged in a host data processing apparatus capable of communicating via the wireless network, said processing circuits (403) further comprising: comparing said sender identity with an identity of the host data. the treatment apparatus; comparing said signal strength with a predetermined signal strength; and deciding that said sender is the device that initiates the attack if said sender identity is the same as the identity of the host data processing apparatus and said signal strength is less than said predetermined signal strength. 9. Anordning (500) för detektering av trådlösa intrång enligt krav 7, vidare innefattande: kretsar (504) anordnade att lagra signalstyrkeinformation, varvid nämnda bearbetningskretsar (503) vidare är anordnade: att lagra nämnda avsändaridentitet och nämnda signalstyrka; att läsa lagrad signalstyrkeinformation som härrör från en avsändare med samma identitet som nämnda avsändaridentitet; att analysera nämnda signalstyrkeinformation; och att besluta, på grundval av nämnda signalstyrkeinformation, om huru- vida en bluffattack inletts.The wireless intrusion detection device (500) of claim 7, further comprising: circuits (504) arranged to store signal strength information, said processing circuits (503) further comprising: storing said sender identity and said signal strength; reading stored signal strength information originating from a sender with the same identity as said sender identity; analyzing said signal strength information; and deciding, on the basis of said signal strength information, whether a hoax attack has been initiated. 10. Anordning för detektering av trådlösa intrång enligt krav 9, varvid nämnda bearbetningskretsar (503) är vidare anordnade: att beräkna en variation i nämnda signalstyrkeinformation; att jämföra nämnda variation med en förutbestämd variation; och att besluta om att en bluffattack anses ha inletts om nämnda beräkna- de variation är större än nämnda förutbestämda variation. 10 15 20 534 349 18The wireless intrusion detection device according to claim 9, wherein said processing circuits (503) are further arranged: calculating a variation in said signal strength information; comparing said variation with a predetermined variation; and deciding that a fraudulent attack is deemed to have been initiated if said calculated variation is greater than said predetermined variation. 10 15 20 534 349 18 11. Anordning för detektering av trådlösa intrång enligt krav 9, varvid nämnda bearbetningskretsar (503) är vidare anordnade: att sammanställa en fördelning av signalstyrkevärden ur nämnda sig- nalstyrkeinformation; att utvärdera fördelningens modalitet; och att besluta om att en bluffattack anses ha inletts om nämnda fördelning är multlmodal.The wireless intrusion detection device according to claim 9, wherein said processing circuits (503) are further arranged: compiling a distribution of signal strength values from said signal strength information; to evaluate the modality of the distribution; and deciding that a fraudulent attack is considered to have been initiated if said distribution is multmodal. 12. Trådlös nätverksgränssnittsanordning (600) innefattande en anordning för detektering av trådlösa intrång enligt något av kraven 7 till 11.A wireless network interface device (600) comprising a wireless intrusion detection device according to any one of claims 7 to 11. 13. Databehandlingsapparat med förmåga att kommunicera över det tråd- lösa nätverket, vilken innefattar en anordning för detektering av trådlösa in- trång enligt något av kraven 7 till 11.A data processing apparatus capable of communicating over the wireless network, which comprises a device for detecting wireless intrusions according to any one of claims 7 to 11. 14. Datorprogramprodukt innefattande ett medium för användning med en dator, i vilket en datorläsbar programkod är utförd, varvid nämnda datorläsba- ra programkod är anordnad att exekveras så att förfarandet enligt något av kraven 1 till 6 utförs.A computer program product comprising a medium for use with a computer, in which a computer readable program code is executed, said computer readable program code being arranged to be executed so that the method according to any one of claims 1 to 6 is performed.
SE0900687A 2009-05-20 2009-05-20 Wireless intrusion detection SE534349C2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SE0900687A SE534349C2 (en) 2009-05-20 2009-05-20 Wireless intrusion detection
PCT/EP2010/056886 WO2010133634A1 (en) 2009-05-20 2010-05-19 Wireless intrusion detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE0900687A SE534349C2 (en) 2009-05-20 2009-05-20 Wireless intrusion detection

Publications (2)

Publication Number Publication Date
SE0900687A1 SE0900687A1 (en) 2010-11-21
SE534349C2 true SE534349C2 (en) 2011-07-19

Family

ID=42357629

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0900687A SE534349C2 (en) 2009-05-20 2009-05-20 Wireless intrusion detection

Country Status (2)

Country Link
SE (1) SE534349C2 (en)
WO (1) WO2010133634A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10019703B2 (en) 2014-05-13 2018-07-10 Google Llc Verifying a secure connection between a network beacon and a user computing device
US9485243B2 (en) 2014-05-23 2016-11-01 Google Inc. Securing a wireless mesh network via a chain of trust
CN105636048B (en) * 2014-11-04 2021-02-09 中兴通讯股份有限公司 Terminal and method and device for identifying pseudo base station
JP2022133692A (en) * 2021-03-02 2022-09-14 パナソニックIpマネジメント株式会社 Radio network system and radio device

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060193299A1 (en) * 2005-02-25 2006-08-31 Cicso Technology, Inc., A California Corporation Location-based enhancements for wireless intrusion detection

Also Published As

Publication number Publication date
WO2010133634A1 (en) 2010-11-25
SE0900687A1 (en) 2010-11-21

Similar Documents

Publication Publication Date Title
CN109951500B (en) Network attack detection method and device
CN107968791B (en) Attack message detection method and device
US9350758B1 (en) Distributed denial of service (DDoS) honeypots
KR100468232B1 (en) Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems
CN106330944B (en) Malicious system vulnerability scanner identification method and device
US11374897B2 (en) CandC domain name analysis-based botnet detection method, device, apparatus and medium
CN107197456B (en) Detection method and detection device for identifying pseudo AP (access point) based on client
Kim et al. Online detection of fake access points using received signal strengths
CN110768999B (en) Method and device for detecting illegal external connection of equipment
Xie et al. Detecting primary user emulation attacks in cognitive radio networks via physical layer network coding
CN112243507A (en) Abnormal access point detection
CN112422554B (en) Method, device, equipment and storage medium for detecting abnormal traffic external connection
US9069962B2 (en) Evaluation of a fast and robust worm detection algorithm
US20090088132A1 (en) Detecting unauthorized wireless access points
EP2854362A1 (en) Software network behavior analysis and identification system
Gill et al. Experiences in passively detecting session hijacking attacks in IEEE 802.11 networks
SE534349C2 (en) Wireless intrusion detection
CN112437062B (en) ICMP tunnel detection method, device, storage medium and electronic equipment
CN112887274A (en) Method and device for detecting command injection attack, computer equipment and storage medium
CN108809926A (en) Inbreak detection rule optimization method, device, electronic equipment and storage medium
Lu et al. A passive client-based approach to detect evil twin attacks
CN110061998B (en) Attack defense method and device
CN103139219B (en) Based on the attack detection method of the Spanning-Tree Protocol of credible switchboard
Lovinger et al. Detection of wireless fake access points
US20120163212A1 (en) Apparatus and method for detecting abnormal traffic

Legal Events

Date Code Title Description
NUG Patent has lapsed