无线局域网作为传统有线局域网络的延伸,主要是为了让用户摆脱网线的束缚,用户在完成无线接入的过程之后,其使用的大部分网络资源、内容、流量等还是来自于有线网络,需要有线网络进行最后的落地。
因此,分析无线网络安全威胁,不能只单纯考虑无线网络部分,同时需要涉及无线局域网最后落地的有线网络,只有将无线网络、有线网络统一考虑,进行一体化的关联分析,才能更准确的定位无线网络安全威胁。
无线安全引擎会智能的将无线网络设备进行内外网分类:
首先,无线安全引擎会通过有线网络接口,定期向所在的局域网内发送特定的探测报文,该探测报文在局域网内以广播或组播的方式发送,确保送达至局域网内每台网络设备或主机。同时,该探测报文在遇到桥接设备时,可以穿越相应设备,继续传递。当 AP 的有线网络接口接收到该探测报文时,会通过其无线网络接口转发该报文,继续向网络末端传递。
其次,无线安全引擎通过其无线网络接口持续侦听,当侦听到自己通过有线网络发送的特殊探测报文时,无线安全引擎即可以确认转发探测报文的AP是工作在局域网络内部。
无线内网探测学习
最后,当无线内网探测完成之后,无线安全引擎会持续在无线网络接口侦听所在区域的无线局域网络,进而学习到更多的无线网络设备,并在学习的同时,根据既定的分类原则,将无线网络设备进行分类。随着无线网络设备分类的不断完善,无线安全设备就可以更加精确的将无线连接进行分类、管理,从而为进一步分析、识别、定位无线网络中的安全威胁做好准备工作。
根据之前所完成的无线网络和有线网络的扫描和探测,无线安全引擎会持续侦听网络中攻击特征,并不断汇总无线网络攻击特征、无线网络设备属性、有线网络侧的设备特征和属性,实时进行一体化的关联分析,一旦发现预定义的安全威胁类型,实时上报给数据分析中心。
一体化关联分析
通过一体化关联分析,无线安全引擎可以实现更加准确、高效的无线威胁检测。
