用于无线网络和物理系统集成的系统和方法

摘要

在一个实施例中，一种设备包括入侵检测装置和位置标识装置。入侵检测装置确定未经授权的客户端企图访问入侵检测装置为其一部分的无线网络的时间。位置标识装置在未经授权的客户端企图访问该无线网络时，标识出该未经授权的客户端的至少第一近似物理位置。位置标识装置被配置为将第一近似物理位置传送给监督装置，监督装置对该第一近似物理位置进行监视。

说明书

背景技术

网络经常经受想要取得对网络资源的未经授权访问的入侵者的攻击。作为示例，接近无线网络的攻击者可能会企图窃入(hack into)无线网络以取得对内部网络的访问，或者取得自由的因特网访问。保护网络基础结构和公司数据以防止外部攻击者是网络管理者的主要关切。

附图说明

通过以下结合附图进行的详细描述将很容易理解本发明，在附图中相似标号指代相似结构元素，并且其中：

图1是根据本发明一实施例的总体系统的图示，在该系统中，无线网络被布置来检测无线入侵企图并将有关无线攻击者的位置的信息提供给监督系统。

图2是根据本发明一实施例的总体系统的图示，在该系统中，入侵检测器所覆盖的范围被与视频监督装置(arrangement)相关联的相机覆盖。

图3是根据本发明一实施例的处理流程图，该图图示了对实现联合网络和物理周界防御的总体系统进行操作的第一方法。

图4是根据本发明一实施例的处理流程图，该图图示了使能视频监督系统选择至少一个适当设备来用于监视入侵者正在企图访问无线网络的特定物理位置的方法，例如，图3的步骤317。

图5是根据本发明一实施例的入侵检测器的框图表示。

图6是根据本发明一实施例的视频监督系统的框图表示。

图7是根据本发明一实施例的处理流程图，该图图示了对实现联合网络和物理周界防御的整体系统进行操作的方法，该方法包括通知多个系统。

图8是根据本发明一实施例的处理流程图，该图图示了对实现联合网络和物理周界防御的总体系统进行操作的方法，该方法包括在入侵者移动时对提供给视频监督系统的信息进行更新。

具体实施方式

一般性概述

根据本发明一个方面，一种设备包括无线入侵检测装置和位置标识装置。入侵检测装置确定未经授权的攻击者何时企图访问该入侵检测装置为其一部分的无线网络。位置标识装置在攻击者企图访问无线网络时标识攻击者的至少第一近似物理位置。位置标识装置被配置为将第一近似物理位置传送给对该第一近似物理位置进行监视的监督装置。

描述

网络上的攻击(例如，未经授权地入侵私有无线网络)危及网络安全性。对这种攻击作出高效反应的能力使得可以及时地收集与这些攻击相关联的取证数据，并且增大了将这些攻击所引起的任何损害有效最小化的可能性。此外，在具有对攻击作出高效反应的能力的情况下，可以增大有效抓捕和起诉攻击者的可能性。

使得可以标识企图通过无线接口访问网络的入侵者，则可以采取措施来终止访问网络的企图。确定无线攻击者或入侵者所处的至少近似的物理或实际位置有效地缩窄了可被搜索以亲身抓捕无线攻击者或入侵者的搜索区域。在一个实施例中，被布置来确定攻击者的近似实际位置的定位设施可以馈给或者以其它方式提供与近似实际位置有关的信息给视频监督系统。一旦视频监督系统从定位设施获得与近似实际位置有关的信息，视频监督系统就可以识别适当相机用以提供对该近似实际位置的覆盖，并且可适当地移动相机以覆盖该近似实际位置。

作为可被无线访问的网络一部分的定位设施可以向监督系统提供入侵者或者欺骗接入点(例如，诸如无权访问网络的接入点之类的计算设备或者由无权访问网络的个人操作的计算设备)的近似位置，以使得监督系统能够被用于在物理上定位入侵者。欺骗接入点实质上可以是任何未经授权的设备，其被物理入侵者放置在网络上以使得他/她可以向他/她自身提供网络的外部后门访问(backdoor access)或者针对合法用户设置陷阱。在物理上定位入侵者时，可以采取步骤来有效地抓捕入侵者并保护网络安全。有效地抓捕入侵者可以包括但不限于：使得计算设备下线和/或对与入侵者相关联的个人实施惩戒处分。

首先参考图1，将描述根据本发明一实施例的总体系统，其中，具有无线接口的网络被布置来检测无线攻击者并向监督系统提供有关无线攻击者的位置的信息。总体系统100包括无线网络104和监督系统116。无线网络可以包括以无线和有线两种方式进行通信的组件。即，无线网络104不限于严格地支持无线通信，并且也可支持有线通信。监督系统116实质上可以是观察和/或收集信息的任何系统。在一个实施例中，监督系统116是一种视频监督系统，其包括被配置为接近地且连续地监视物理分区的视频相机。

无线网络104包括入侵检测器108，该入侵检测器108被布置来检测对访问无线网络104的未经授权企图。即，入侵检测器108识别企图取得对无线网络104的访问或者以其它方式潜入无线网络104的入侵者或者欺骗接入点。应当了解，入侵检测器108可以利用与开放系统互联(OSI)第3层至第7层的有线入侵检测和防止机制协同操作的OSI第2层的无线入侵检测和防止机制。换而言之，第2层的无线局域网(WLAN)入侵检测/防止系统(WIDS)实质上可以与第3层至第7层所关联的入侵检测/防止系统(IDS)集成。用于检测攻击的信息不必仅聚焦于针对无线LAN(亦即第2层)的攻击，而是也可用于检测更高层攻击，例如第3层至第7层上的攻击。可以从其它层追溯攻击者的第2层身份，例如，无线适配器介质访问控制(MAC)地址。

在一个实施例中，入侵检测器108包括位置标识系统112，位置标识系统112被布置来提供由入侵检测器108检测到的任何入侵者或者无线攻击者的通用位置。位置标识系统112被布置来收集虑及正企图访问无线网络104的攻击入侵者的近似物理位置的信息。即，位置标识系统112被布置来生成入侵者位置信息120。位置标识系统112还被布置来将入侵者位置信息120提供给视频监督系统116，该视频监督系统116一般被布置来处理入侵者位置信息120以提供对攻击入侵者的近似物理位置周围区域的监督。

在视频监督系统116内，可以使用任意数目的视频相机(未示出)或者其它监督设备(未示出)来覆盖攻击入侵者的近似物理位置。视频监督系统116内的每一个视频相机或监督设备可被布置来覆盖关联分区。图2是根据本发明一实施例的总体系统的图示，在该系统中，入侵检测器所覆盖的范围由与视频监督装置相关联的相机覆盖。总体系统200包括与无线网络(未示出)相关联的入侵检测器208，以及入侵检测器208被布置来与其进行例如无线通信的视频监督装置216。

入侵检测器208被配置来检测任何入侵者，例如进入范围224的入侵者228。范围224是入侵检测器208在其中能够确定入侵者位置的物理区域。即，入侵检测器208被布置来标识进入物理区域或范围224的任何入侵者的近似物理位置。

视频监督装置216包括相机232a-c，各个相机232a-c分别具有覆盖分区236a-c。作为示例，相机232a被布置来覆盖分区236a以使得分区236a实质上可由观看相机232a所提供的图像显示的任何人来监视。分区236a-c可以是不交叠的，或者可以至少部分彼此交叠，如同分区236a、236b的情况一样。在所示实施例中，范围224由至少两个分区236a、236b覆盖。但是，应当了解，范围224实质上可仅由单个分区覆盖，例如当与相机相关联的分区基本上与范围224一致时。

在入侵检测器208检测到入侵者228至少部分地在范围224内之后，入侵检测器标识入侵者228的近似物理位置。入侵检测器208将有关入侵者228的近似物理位置的信息提供给视频监督装置216。使用该信息，视频监督装置216可以确定相机232a-c中哪个相机分别具有的关联分区236a-c包含了入侵者228的近似物理位置。如图所示，相机232a具有的分区236a覆盖了入侵者228的近似物理位置。因此，视频监督装置216可以有效地将相机232a布置用于可视地定位入侵者228。视频监督装置216可以向相机图像追加一通告，该通告指示出已经检测到潜在的网络入侵，随后安全人员可以手动地在适当区域中移动相机以检测可疑个人或行为。

在一个实施例中，当入侵者228处在分区236a中并且相对地接近分区236b时，视频监督装置216可以指定相机232a和232b二者都用于可视地定位入侵者228。指定相机232a、232b二者可以说明在近似化入侵者228在范围224内的物理位置时的任何微小差错。

参考图3，将描述根据本发明一实施例的操作如下总体系统的方法，该系统集成了网络入侵检测器和视频监督系统。操作将网络入侵检测与物理监督集成的总体系统的处理301开始于步骤305，其中，入侵检测检测入侵诸如私有WLAN之类的网络的企图，例如，未经授权的访问。例如当未向网络注册的设备被网络识别为企图访问网络资源时，可以检测到入侵。

在检测到入侵网络的企图之后，入侵检测器在步骤309标识所企图的入侵发生的通用物理位置。标识所企图的入侵发生的通用物理位置例如包括标识所企图的入侵的最近网关或接入点。一般而言，入侵检测器知晓网络内的网关的实际位置。因此，标识所企图的入侵的最近网关或其它合适的网络设施有效地使得能够标识所企图入侵的通用实际位置。通用物理或实际位置可以是但不限于是建筑物、建筑物内的楼层、建筑物内的区域、建筑物内的房间、或者用诸如全球定位坐标之类的地图坐标来标识的位置。

一旦通用物理位置被标识出，入侵检测器就在步骤313向监督系统(例如，视频监督系统)提供有关在步骤309标识出的物理位置的信息。在一个实施例中，入侵检测器可以形成并向监督系统发送一消息，该消息指示出已在该物理位置发生企图入侵。应当了解，如果存在与入侵检测器通信的多个监督系统，则向监督系统提供有关已发生企图入侵的物理位置的信息可以包括首先确定向哪个监督系统提供该信息。换而言之，如果不同的监督系统覆盖不同物理位置，则可以首先识别适当的监督系统。

在接收到有关发生了企图入侵的物理位置的信息时，监督系统可以在步骤317识别用于监视该物理位置的一个或多个合适设备。一般而言，合适设备可以是覆盖范围包含了发生企图入侵的该物理位置的视频相机或者类似传感设备。下面将参考图4讨论监督系统识别用于监视物理位置的合适设备的一种方法。

在步骤321，监督系统命令一个或多个适当设备(例如视野范围覆盖该物理位置的视频相机)监视该物理位置。从步骤321开始，处理流程行进到步骤325，其中，适当实体可以获得并使用由一个或多个适当设备提供的信息来识别企图入侵的源。适当实体可以是观看摇摄物理位置的相机的输出显示的安全人员或者信息技术管理员。识别企图入侵的源可以包括使用从相机获得的图像来识别对无线接入设备进行操作的个人。在适当实体可以获得并使用由适当监督设备提供的信息之后，对将网络入侵检测与物理监督集成的总体系统的操作处理完成。

接下来参考图4，将描述根据本发明一实施例的一种方法，该方法使得视频监督系统能够选择至少一个适当设备以用于监视入侵者正企图访问无线网络的特定物理位置，例如图3的步骤317。选择至少一个适当设备用于监视特定物理位置的处理317开始于步骤405，其中，监督系统将有关发生企图入侵的物理位置的信息映射到与该监督系统相关联的物理安全空间。由入侵检测器提供的物理位置可被映射成坐标或者监督系统可有效理解的位置。作为示例，入侵检测器可以指示出企图入侵正发生在建筑物的相对于入侵检测器而定义的特定区域中，并且监督系统可以将建筑物的该特定区域映射到在监督系统内定义的分区中。

在监督系统映射从入侵检测器获得的信息之后，监督系统在步骤409识别可能适合于监视物理安全空间中的适当分区的一个或多个设备。换而言之，监督系统确定哪个或哪些设备被布置来监视已发生了企图入侵的分区。可选地，在步骤413，监督系统按需安置(position)该一个或多个设备以监视物理安全空间中的适当分区。例如，视频监督系统可将可移动视频相机安置成集中于捕捉来自物理安全空间中的该适当分区的图像。在设备已被识别并且在必要的情况下已按需安置之后，选择至少一个适当设备用于监视特定物理位置的处理完成。

如前所述，入侵检测器包括位置标识系统。一般而言，入侵检测器可以包括多种不同组件。图5是根据本发明一实施例的入侵检测器的框图表示。入侵检测器508包括入侵检测逻辑510，该入侵检测逻辑510在被执行时被布置来确定欺骗客户端或者攻击入侵者何时处在入侵检测器508所覆盖的物理范围内。入侵检测器508还包括位置标识系统512或者逻辑，该位置标识系统512或者逻辑允许攻击入侵者的至少当前的近似物理位置被确定并提供给监督系统(未示出)。一般而言，逻辑可以包括硬件逻辑和/或实现在诸如存储设备之类的有形介质上的软件逻辑。

位置标识系统512包括传感器逻辑540，传感器逻辑540可被布置来有效地传感无线攻击者或者攻击入侵者的物理位置。处理装置544通常被配置来执行与位置标识系统512和入侵检测逻辑510相关联的任何软件逻辑或者计算机代码设备。处理装置544可以包括至少一个处理器和至少一个控制器。

入侵检测器508包括通信端口装置548，通信端口装置548可以包括可通过其发生无线通信的通信端口。应当了解，通信端口装置548可替代地包括可通过其发生有线通信的通信端口。使用通信端口装置548发生的通信包括与监督系统(未示出)的通信以及与入侵检测器508为其一部分的无线网络所关联的设备的通信。

通常，与无线网络中的入侵检测器协同操作以使得可物理地跟踪客户端的监督系统是视频监督系统。图6是根据本发明一实施例的视频监督系统的框图表示。视频监督系统616包括通信端口装置656，视频监督系统616可经由该通信端口装置656来从诸如图5的入侵检测器508之类的入侵检测器接收信息。

视频监督系统616还包括被布置来提供监督的至少一个设备632。设备632可以是被布置来捕获并记录与由设备632监视的分区相关联的图像的视频相机。设备管理逻辑670包括软件和/或硬件逻辑，该软件和/或硬件逻辑在被处理装置652执行时可操作来选择适当设备632用于监视无线攻击者的近似物理位置。设备管理逻辑670中包括的设备位置标识器674被布置来标识设备位置，以及允许选择用于跟踪无线客户端的适当设备632。

设备管理逻辑670还控制设备632的操作。作为示例，设备管理逻辑670可被配置来将设备632安置成基本上使无线攻击者的近似物理位置的附近视野最优化。

映射逻辑612包括如下软件和/或硬件逻辑，该软件和/或硬件逻辑被配置为将与从入侵检测器(未示出)获得的无线攻击者的近似物理位置有关的信息映射或者以其它方式变换到物理空间中，即，实质上在视频监督系统616的域内理解的物理位置。作为示例，映射逻辑612可被布置来提供相机和变焦坐标，这些坐标使得无线攻击者的近似物理位置能够基本上被瞄准(zero in upon)。映射逻辑612可以提供由设备管理逻辑670用于控制设备632的选择和安置的数据。

视频监督系统616还包括显示装置678，该显示装置678使得例如出于IT管理员和/或安全人员的利益而可以显示由设备632捕获的视频。显示装置678的配置可极为不同，并且可包括任意数目的屏幕或视窗。显示装置678可包括使得用户能够选择来自设备632的视图以供显示的图形用户界面，并且还可允许用户对设备632进行变焦以提供更详细的视图。显示装置678可以显示将特定视图标识为攻击入侵者所位于的近似物理位置的视图的视窗。即，显示装置678可被布置来清楚地指示出：将要监视的无线客户端的存在，以及想要将特定视图用于辅助追踪或跟踪该无线客户端。

在一些实施例中，由入侵检测器获得的信息可与监督系统以外的系统共享。作为示例，与入侵者或无线客户端的通用物理位置相关联的信息可被提供给互操作和协作系统，例如可从位于加利福尼亚州圣何塞市的思科系统公司获得的思科因特网协议(IP)互操作和协作系统(IPICS)。图7是根据本发明一实施例的处理流程图，该图图示了对实现联合网络和物理周界防御的总体系统进行操作的方法，该方法包括通知多个系统。允许与入侵网络有关的信息与各种系统共享的总体系统的操作处理701开始于步骤705，其中，入侵检测检测入侵企图。

在步骤709，入侵检测器标识企图入侵所发生的通用或近似物理位置。一旦通用物理位置被标识出，入侵检测器就在步骤713向监督系统(例如，视频监督系统)提供与企图入侵所发生的通用或近似物理位置有关的信息。

在入侵检测器向监督系统提供与企图入侵所发生的通用物理位置有关的信息之后，入侵检测器在步骤715发起关于该企图入侵的与适当系统或人员的通信。入侵检测器可直接或间接地将如下消息发送给例如互操作和协作系统，该消息指示出在步骤709所标识出的通用物理位置处存在潜在安全漏洞。可替代地，在一个实施例中，发起与适当系统或人员的通信可以包括向适当人员提供如下通知：他/她应当调查在该通用物理位置处的潜在安全漏洞。通信可以包括针对与网络和监督系统相关联的IT管理员或其它人员的语音和/或视频呼叫。应当了解，虽然入侵检测器被描述为发起与适当系统或人员的有关企图入侵的通信，但是这种通信替代地可由监督系统发起。

一旦监督系统接收到与企图入侵发生的通用物理位置有关的信息，监督系统就可在步骤717识别一个或多个适当设备以用于监视该物理位置。上面已参考图4论述了识别用于监视物理位置的适当设备的一种合适方法。

监督系统在步骤721命令该一个或多个适当设备(例如，视野范围跨越该物理位置的相机)监视该物理位置。在步骤725，适当实体可获得并使用由该一个或多个适当设备提供的信息来识别企图入侵的源。在适当实体可获得并使用由适当监督设备提供的信息之后，对允许与入侵网络有关的信息与各种系统共享的总体系统的操作处理完成。

企图使用无线设备访问或者以其它方式窃入无线网络的入侵者可能在企图访问无线网络的同时来回移动。入侵检测器可以检测出或者以其它方式确定正企图访问网络的特定入侵者已从一个位置移动到另一个位置，并可将该移动通知监督系统。图8是根据本发明一实施例的处理流程图，该图图示出对实现了联合网络和物理周界防御的总体系统的操作方法，该方法包括在入侵者移动时对提供给视频监督系统的信息进行更新。包括更新位置信息的操作总体系统的处理801开始于步骤805，其中，入侵检测器发起对已发生特定入侵者对网络的企图入侵的第一物理位置的监视。所发起的监视由监督系统在以下情况中有效地执行：监督系统接收到如上例如参考图3和7描述的入侵检测器已检测到企图入侵的信息。

在步骤809，入侵检测器判断是否已检测到特定入侵者对网络的企图入侵的结束。判定是否已检测到企图入侵的结束可以包括：识别与特定入侵者相关联的地址或标识符是否已不再被入侵检测器记录成企图访问网络，和/或识别入侵检测器是否已接收到利用监督系统的实体(例如，安全人员)已停止特定入侵者的通知。

如果在步骤809判定入侵检测器已检测到企图入侵的结束，则处理流程行进到步骤813，其中，入侵检测器判断企图入侵的结束是否是因为抓捕了特定入侵者。在一个实施例中，在抓捕了入侵者时，适当人员或机构可例如通过IT管理员向入侵检测器提供入侵者已被停止的通知。如果在步骤813判定企图入侵的结束是因为抓捕了特定入侵者，则操作总体系统的处理完成。可替代地，如果判定企图入侵的结束不是因为特定入侵者被抓捕，则这指示出特定入侵者已中止入侵企图和/或已移出入侵检测器的范围。因此，处理流程移至步骤817，其中，入侵检测器通知监督系统：特定入侵者所企图的入侵已结束，并且操作总体系统的处理完成。应当了解，通知可使用任何合适方法来提供给监督系统，该合适方法包括但不限于向监督系统发送一消息，该消息标识出不再需要针对特定入侵者来监视第一物理位置。

返回到步骤809，如果判定没有检测到企图入侵的结束，则在步骤821判断入侵检测器是否检测到特定入侵者的移动。即，在步骤821判断特定入侵者是否已从第一物理位置移动到另一物理位置。例如如果特定入侵者被识别为企图通过另一网关或接入点访问网络，则可识别这种移动。在所描述的实施例中，另一物理位置处在由入侵检测器覆盖的范围内。如果判定没有检测到特定入侵者的移动，则处理流程返回到步骤809，并判断入侵检测器是否已检测到企图入侵的结束。

可替代地，如果在步骤821判定入侵检测器已检测到特定入侵者的移动，则入侵检测器在步骤825标识出入侵企图继续进行所处的新的通用物理位置。入侵检测器可有效地轮询网络内的网关或接入点以识别将该特定入侵者记录为企图访问网络的网关或接入点。

一旦新的通用物理位置被标识出，入侵检测器就在步骤829向监督系统提供企图入侵正在进行的新通用物理位置。然后，在步骤833，监督系统监视该新物理位置。监视新物理位置一般包括识别覆盖范围包含该新物理位置的至少一个设备，并且通常包括将与入侵检测器所提供的新物理位置有关的信息映射成可由监督系统用来选择适当设备的格式。在监督系统监视新物理位置之后，操作总体系统的处理完成。

虽然仅描述了本发明的一些实施例，但是应当了解，本发明可以许多其它具体形式来实现而不会脱离本发明的精神或范围。作为示例，虽然监督系统已被描述为包括视频相机或传感器，但是监督系统可以是任何合适的监督系统。监督系统通常可包括基本上任何的安全相机系统和闭路电视系统。安全相机系统可包括拍摄静止相片的相机。

在一个实施例中，入侵检测器和/或监督系统可以相同方式处理入侵企图，而不论入侵企图是否成功。即，基本上检测到的所有入侵网络的企图都可以相同方式来处理。但是，某些系统可以与失败企图不同的方式来处理成功企图。入侵检测器可识别入侵网络的实际成功的企图，即实际入侵，而不是识别企图入侵，并向监督系统和/或另一合适系统表明存在对网络的实际入侵。安全人员随后可例如比尚未成功的入侵企图更紧急地对实际成功的入侵企图作出响应。

应当了解，入侵者或无线攻击者的近似物理位置可能落入与一个以上的监督设备相关联的分区。例如，一个以上的视频相机可能覆盖被识别为入侵者的可能位置的区域。如果可使用一个以上的监督设备来监视特定物理位置，则可指定多个监督设备来监视特定物理位置，或者可选择一个特定设备来监视特定物理位置。在实质上仅将使用多个监督设备中的一个特定监督设备来监视特定物理位置的情况下，对使用哪个监督设备的选择可基于任何合适因素。合适因素可包括但不限于包括：给定监督设备到特定物理位置的接近度、给定监督设备可用的视角、与给定监督设备相关联的带宽、以及与给定监督设备相关联的分辨率。

与本发明的方法相关联的步骤可极大地变化。在不脱离本发明的精神和范围的情况下，可添加、移除、变更、组合和重排序步骤。例如，在入侵检测器可向多个监督系统提供位置信息的实施例中，当潜在入侵者已从第一位置移至第二位置时，更新位置信息可包括通知一个监督系统停止监视第一位置以及通知另一监督系统开始监视第二位置。因此，本示例应当被视为是例示性的而非限制性的，并且本发明不限于这里给出的细节，而是可在所附权利要求的范围内进行修改。