[发明专利]一种监控系统的数据流合并方法及服务端

说明书

本发明提供一种监控系统的数据流合并方法及服务端，涉及信息安全领域。其中，所述方法包括：服务端分别接收至少一个监控端根据原始数据流处理得到的环境数据和通信数据；服务端根据所述环境数据获取得到每个监控端所监听到的所有设备分别对应的信号强度；服务端根据每个监控端所监听到的所有设备分别对应的信号强度确定每两个监控端之间的相似度；服务端根据每两个监控端之间的相似度对至少一个监控端进行排序，得到合并至少一个监控端的通信数据的序列结果；服务端根据所述序列结果合并所述至少一个监控端的通信数据，从而实现至少一个监控端的原始数据流的合并。通过本发明，能够有效减轻服务端的压力，并且还能够保证数据流合并的完整性。

技术领域

本发明涉及信息安全领域，具体地，涉及一种监控系统的数据流合并方法及服务端。

背景技术

目前，无线局域网的应用范围越来越广，由于无线局域网的信号由无线电波传输，理论上在无线接入点周围的设备都能够接收到信号。由于无线局域网开放性特点带来了诸多的安全上的难题，例如，非法用户接入、信息泄露、信号干扰、伪装地址、会话拦截以及更高级更复杂的攻击，会危及整个网络的安全。无线局域网的监控是对无线局域网进行监听检测，是对利用无线局域网进行的网络犯罪调查和取证的基础，也是维护一个无线局域网安全性的重要手段。

目前，国内外都有对无线局域网的监控系统的研究，由于监控端的性能限制，每个监控端在同一时间只能监测一个信道，且仅能监控到其信号覆盖范围内的数据流量，另外，空口传输易受到环境干扰，监控端采用被动监听方式，将不可避免的出现丢包问题，导致接收到的数据流不完整。而无线局域网的监控系统的目的是要获得整个无线局域网的全局数据，因此单个监控端的监控系统不足以满足监听整个无线局域网的需求，分布式的无线局域网监控系统应运而生。

分布式的无线局域网监控系统会在监控范围内部署多个监控端，监控端通过被动监听的方式捕获数据，监控端存在一定冗余，以确保在出现丢包问题时，可以通过冗余监控端采集到的数据，拼凑出完整的数据流。监控端采集的数据发送到服务端，服务端对数据进行整合，得到完整的数据流。完整的数据流可用于后续分析，从而找出无线局域网络中的威胁，进而保证整个无线局域网络的正常工作和安全。

在分布式的无线局域网监控系统中，多个监控端的数据整合过程一般包括以下几个部分：

(1)数据预处理。在无线局域网监控系统中，后续分析过程所需的数据可以是监控端采集的原始数据流，也可以是经预处理后的数据，例如，提取数据帧头部，或过滤掉控制帧等。

(2)时钟同步和归一化。监控系统中的多个监控端，由于硬件原因，同一时刻下的时钟可能并不相同，因此为了得到正确时间序列的数据流，需要对多个监控端进行时钟同步，一般是根据无线接入点发出的信标帧的时间戳和监控端监听到数据帧的相对时间偏移，进行监控端的时钟修正。在无线局域网中，由于广播帧和重传数据包存在，监控系统需要将这类重复的数据包进行归一化。

(3)数据流合并。每个监控端所获取的数据流在经过上述几个步骤后需要进行合并，即按照时间顺序排列起来，得到一个完整的全局的数据流。现有的比较完整的无线局域网监控系统的数据合并过程，都是将所有的中心节点的数据按时序合并起来，目的是最大化获得的数据。