本發(fā)明屬于移動(dòng)互聯(lián)網(wǎng)安全領(lǐng)域�����,具體而言�,本發(fā)明涉及一種基于幀序列特征分析的無線網(wǎng)絡(luò)攻擊免疫方法和終端設(shè)備。
背景技術(shù):
隨著無線網(wǎng)絡(luò)技術(shù)的日益發(fā)展�,傳統(tǒng)的有線接入越來越局限于IT運(yùn)營企業(yè)和固定設(shè)施的接入,而在日常生活中��,人們也主要以無線接入方式為主�����?�?梢哉f���,無線網(wǎng)絡(luò)已經(jīng)在人們平常的生活和工作中占據(jù)了非常重要的地位,今天的人們已經(jīng)不能離開無線網(wǎng)絡(luò),人們的生活也越來越依賴于無線網(wǎng)絡(luò)����。以iPhone、iPad等蘋果產(chǎn)品和Android智能手機(jī)�、各類上網(wǎng)筆記本為代表的便攜智能終端的迅速普及,激發(fā)了人們對無處不在的無線接入的渴望����。
與此同時(shí),隨著無線網(wǎng)絡(luò)流量的增加����,無線網(wǎng)絡(luò)承載了越來越多的私密信息,成為黑客和不法分子攻擊的對象����,無線網(wǎng)絡(luò)通信的安全隱患日益明顯。
在現(xiàn)有的無線攻擊手段中�,強(qiáng)制斷網(wǎng)是較為常見的一種方式。在此方式中��,迫使終端設(shè)備斷開與當(dāng)前無線接入點(diǎn)的正常鏈接�,為隨后的攻擊創(chuàng)造機(jī)會(huì)。而且���,雖然目前常用的802.11協(xié)議采用了多種加密協(xié)議來保護(hù)數(shù)據(jù)安全����,但是對于管理幀的安全問題缺乏有效的保護(hù)措施,攻擊者很容易偽造虛假管理幀發(fā)起攻擊��,而當(dāng)前終端設(shè)備及無線AP(無線訪問接入點(diǎn))普遍缺乏對無線網(wǎng)絡(luò)攻擊的抵御能力���,極易受到此類攻擊的威脅��。
針對上述問題���,目前已經(jīng)提出一些解決方案,例如一些管理幀的保護(hù)策略�,如擴(kuò)展認(rèn)證或管理幀檢測等手段。
擴(kuò)展認(rèn)證需要給傳送的管理幀增加認(rèn)證字段��,通過增強(qiáng)對管理幀真實(shí)性的認(rèn)證識(shí)別虛假管理幀��,抵御攻擊者發(fā)起的無線網(wǎng)絡(luò)攻擊����,這一方面涉及到對管理幀字段的修改���,采用了密碼認(rèn)證技術(shù)��,復(fù)雜性較高�����。
管理幀檢測通過檢測廠家信息等方式將非法的管理幀過濾掉����,不需要密碼算法,復(fù)雜度低����,完全面向客戶,不必提前訓(xùn)練��,對現(xiàn)有協(xié)議及網(wǎng)絡(luò)端均無改動(dòng)��,但是存在判斷失誤率高�����,安全隱患較大等問題����。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明針對現(xiàn)有的方式的上述缺點(diǎn)����,提出一種基于幀序列特征分析的無線網(wǎng)絡(luò)攻擊免疫方法和終端設(shè)備�����,用以解決現(xiàn)有技術(shù)存在的終端設(shè)備容易被非法攻擊者采用管理幀的方式關(guān)閉網(wǎng)絡(luò)�,然后在尋找時(shí)機(jī)進(jìn)行攻擊,從而完成非法攻擊的目的�����,從而給客戶帶來較大的安全隱患和經(jīng)濟(jì)損失的問題����。
本發(fā)明的實(shí)施例根據(jù)一個(gè)方面,提供了一種基于幀序列特征分析的無線網(wǎng)絡(luò)攻擊免疫方法�����,包括:
收集終端設(shè)備接收到的管理幀和數(shù)據(jù)幀信息����;
建立幀序列特征檢測模型,對接收到的管理幀的幀序列特征的合法性進(jìn)行分析,并輸出分析結(jié)果��;
基于分析結(jié)果�����,對管理幀進(jìn)行相應(yīng)的安全處理��。
優(yōu)選地��,幀序列特征分為序列號特征和時(shí)間戳特征��。
優(yōu)選地�,如果終端設(shè)備接收到的信息為數(shù)據(jù)幀信息��,則不做任何處理��。
優(yōu)選地�,對幀序列特征的合法性進(jìn)行分析時(shí),首先判定序列號間距是否合法���,如果合法進(jìn)入下一步分析�����,否則判定可疑��,發(fā)出警告提示���。
優(yōu)選地�����,如果序列號間距是合法的�,則進(jìn)行分析時(shí)間戳間距是否合法�����,并輸出分析結(jié)果�����。
優(yōu)選地����,當(dāng)分析結(jié)果全部為合法時(shí),執(zhí)行該管理幀���;當(dāng)該分析結(jié)果不全部為合法時(shí)��,則判定為非法����,直接拋棄該管理幀。
優(yōu)選地����,在對該幀序列特征的合法性進(jìn)行分析時(shí)����,可以采用預(yù)先設(shè)定的檢測機(jī)制,也可以根據(jù)當(dāng)前網(wǎng)絡(luò)負(fù)載情況自適應(yīng)調(diào)整��。
優(yōu)選地�,根據(jù)安全需求的等級要求,為該幀序列特征設(shè)定初始的閾值��,判定該幀序列特征是否合法�。
優(yōu)選地,該閾值可以根據(jù)運(yùn)行情況自動(dòng)調(diào)整����,以便符合實(shí)際情況,提高準(zhǔn)確度�。
另外,本發(fā)明還公開了一種終端設(shè)備,其包括:
收集模塊��,用于收集終端設(shè)備接收到的管理幀和數(shù)據(jù)幀信息��;
檢測模塊�����,用于建立幀序列特征檢測模型����,對接收到的管理幀的幀序列特征的合法性進(jìn)行分析,并輸出分析結(jié)果��;
評估分析模塊���,基于分析結(jié)果���,對管理幀進(jìn)行相應(yīng)的安全處理。
本發(fā)明的實(shí)施例中����,不是簡單地接受到管理幀后就執(zhí)行此管理幀,而是通過獲取接收到的管理幀序列號和時(shí)間戳等網(wǎng)絡(luò)負(fù)載信息����,建立檢測模型���,實(shí)現(xiàn)對安全狀態(tài)的自動(dòng)識(shí)別,根據(jù)識(shí)別結(jié)果�����,對后續(xù)幀放行或者阻止��,并根據(jù)實(shí)際情況發(fā)出告警提示�,極大的提升了攻擊的難度�。并且該發(fā)明還具有簡單易行、計(jì)算開銷小�����、易于應(yīng)用和對現(xiàn)有協(xié)議兼容性高等特點(diǎn)�����。
本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出���,這些將從下面的描述中變得明顯�����,或通過本發(fā)明的實(shí)踐了解到�����。
附圖說明
本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對實(shí)施例的描述中將變得明顯和容易理解�,其中:
圖1為本發(fā)明基于幀序列特征分析的無線網(wǎng)絡(luò)攻擊免疫方法其中一實(shí)施例的流程示意圖。
具體實(shí)施方式
下面詳細(xì)描述本發(fā)明的實(shí)施例��,所述實(shí)施例的示例在附圖中示出�,其中自始至終相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實(shí)施例是示例性的���,僅用于解釋本發(fā)明�����,而不能解釋為對本發(fā)明的限制���。
本技術(shù)領(lǐng)域技術(shù)人員可以理解,除非特意聲明�,這里使用的單數(shù)形式“一”、“一個(gè)”��、“所述”和“該”也可包括復(fù)數(shù)形式。應(yīng)該進(jìn)一步理解的是�����,本發(fā)明的說明書中使用的措辭“包括”是指存在所述特征����、整數(shù)、步驟����、操作、元件和/或組件����,但是并不排除存在或添加一個(gè)或多個(gè)其他特征��、整數(shù)�、步驟、操作�����、元件����、組件和/或它們的組����。應(yīng)該理解�����,當(dāng)我們稱元件被“連接”或“耦接”到另一元件時(shí)����,它可以直接連接或耦接到其他元件,或者也可以存在中間元件��。此外��,這里使用的“連接”或“耦接”可以包括無線連接或無線耦接�����。這里使用的措辭“和/或”包括一個(gè)或更多個(gè)相關(guān)聯(lián)的列出項(xiàng)的全部或任一單元和全部組合�����。
本技術(shù)領(lǐng)域技術(shù)人員可以理解��,除非另外定義,這里使用的所有術(shù)語(包括技術(shù)術(shù)語和科學(xué)術(shù)語)�,具有與本發(fā)明所屬領(lǐng)域中的普通技術(shù)人員的一般理解相同的意義。還應(yīng)該理解的是�����,諸如通用字典中定義的那些術(shù)語�,應(yīng)該被理解為具有與現(xiàn)有技術(shù)的上下文中的意義一致的意義,并且除非像這里一樣被特定定義�����,否則不會(huì)用理想化或過于正式的含義來解釋��。
本技術(shù)領(lǐng)域技術(shù)人員可以理解�,這里所使用的“終端設(shè)備”、“終端設(shè)備設(shè)備”既包括無線信號接收器的設(shè)備����,其僅具備無發(fā)射能力的無線信號接收器的設(shè)備�����,又包括接收和發(fā)射硬件的設(shè)備�����,其具有能夠在雙向通信鏈路上,進(jìn)行雙向通信的接收和發(fā)射硬件的設(shè)備�。這種設(shè)備可以包括:蜂窩或其他通信設(shè)備,其具有單線路顯示器或多線路顯示器或沒有多線路顯示器的蜂窩或其他通信設(shè)備��;PCS(Personal Communications Service�,個(gè)人通信系統(tǒng)),其可以組合語音�����、數(shù)據(jù)處理�、傳真和/或數(shù)據(jù)通信能力;PDA(Personal Digital Assistant���,個(gè)人數(shù)字助理)���,其可以包括射頻接收器、尋呼機(jī)����、互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)訪問、網(wǎng)絡(luò)瀏覽器、記事本�����、日歷和/或GPS(Global Positioning System���,全球定位系統(tǒng))接收器����;常規(guī)膝上型和/或掌上型計(jì)算機(jī)或其他設(shè)備�����,其具有和/或包括射頻接收器的常規(guī)膝上型和/或掌上型計(jì)算機(jī)或其他設(shè)備��。這里所使用的“終端”����、“終端設(shè)備”可以是便攜式、可運(yùn)輸����、安裝在交通工具(航空、海運(yùn)和/或陸地)中的�����,或者適合于和/或配置為在本地運(yùn)行���,和/或以分布形式�,運(yùn)行在地球和/或空間的任何其他位置運(yùn)行�����。這里所使用的“終端”�����、“終端設(shè)備”還可以是通信終端�����、上網(wǎng)終端�����、音樂/視頻播放終端���,例如可以是PDA�����、MID(Mobile Internet Device����,移動(dòng)互聯(lián)網(wǎng)設(shè)備)和/或具有音樂/視頻播放功能的移動(dòng)電話,也可以是智能電視��、機(jī)頂盒等設(shè)備���。
下面根據(jù)附圖1�����,通過實(shí)施例��,詳細(xì)介紹本發(fā)明公開的基于幀序列特征分析的無線網(wǎng)絡(luò)攻擊免疫方法�。
本發(fā)明的實(shí)施例中����,首先收集終端設(shè)備接收到的所有幀(包括數(shù)據(jù)幀和管理幀),首先獲取接收到的管理幀的序列號及其時(shí)間戳�����,然后,以上述信息為輸入進(jìn)行幀的有效性檢測��。首先���,基于幀的序列號進(jìn)行合法性檢測,其次�����,基于幀的時(shí)間戳進(jìn)行合法性檢測���,兩項(xiàng)檢測都完成之后�����,根據(jù)分項(xiàng)檢測結(jié)果輸出得到最終結(jié)果��。在實(shí)際實(shí)施中���,可以進(jìn)一步結(jié)合實(shí)際部署環(huán)境,調(diào)整自適應(yīng)閾值設(shè)定參數(shù)����,分析和處理幀傳輸情況�����,得到具體攻擊的分析結(jié)論�。
下面通過具體的實(shí)施例���,詳細(xì)給出基于幀序列特征分析的無線網(wǎng)絡(luò)攻擊免疫方法的實(shí)施步驟:
1���、收集終端設(shè)備接收到的管理幀和數(shù)據(jù)幀信息;
優(yōu)選地�,該幀序列特征分為序列號特征和時(shí)間戳特征。如果終端設(shè)備接收到的信息為數(shù)據(jù)幀信息�,則不做任何處理。
2�、建立幀序列特征檢測模型,對接收到的管理幀的幀序列特征的合法性進(jìn)行分析����,并輸出分析結(jié)果;
對幀序列特征的合法性進(jìn)行分析時(shí)�����,首先判定序列號間距是否合法�,具體如下:
SN(new)是當(dāng)前檢測到的管理幀的序列號�����,SN(last_trusted)是前期最后一個(gè)可信幀的序列號����,則幀序列號間距計(jì)算為:
SN(gap)=SN(new)-SN(last_trusted)
幀序列號間距的判定閾值為SN(threshold)now���,如果SN(gap)<=SN(threshold)now,則判定該幀序列號間距合法�����,并進(jìn)入下一步檢測過程���,否則判定可疑�����,發(fā)出告警提示����。下面設(shè)定判定幀序列號間距閾值的自動(dòng)調(diào)整算法如下:
SN(threshold)now=SN(threshold)now*d+SN(last_trusted)*(1-d)
根據(jù)現(xiàn)網(wǎng)測試結(jié)果�,我們設(shè)定d=0.43�,在實(shí)際部署中可以根據(jù)具體網(wǎng)絡(luò)情況��,設(shè)定自己的d值���,使得判定過程更加高效準(zhǔn)確�����。
如果序列號間距是合法的�����,則繼續(xù)進(jìn)行分析時(shí)間戳間距是否合法����,并輸出分析結(jié)果�,具體如下:
TS(new)為當(dāng)前檢測到的管理幀的時(shí)間戳,TS(last_trusted)是前期最后一個(gè)可信幀的時(shí)間戳��,則幀時(shí)間戳間距計(jì)算為:
TS(gap)=TS(new)-TS(last_trusted)
幀序列號間距的判定閾值為TS(threshold)now�,如果TS(gap)<=TS(threshold)now,則判定該幀時(shí)間戳間距合法�,標(biāo)記為可信幀,否則判定可疑���,發(fā)出告警提示���。下面設(shè)定判定幀時(shí)間戳間距閾值的自動(dòng)調(diào)整算法如下:
TS(threshold)now=TS(threshold)now*e+TS(last_trusted)*(1-e)
根據(jù)現(xiàn)網(wǎng)測試結(jié)果���,我們設(shè)定e=0.57,在實(shí)際部署中可以根據(jù)具體網(wǎng)絡(luò)情況�����,設(shè)定自己的e值�����,使得判定過程更加高效準(zhǔn)確��。
當(dāng)分析結(jié)果為合法時(shí)�,執(zhí)行該管理幀�����;當(dāng)分析結(jié)果為非法時(shí)��,則直接拋棄該管理幀��。
在對該幀序列特征的合法性進(jìn)行分析時(shí),可以采用預(yù)先設(shè)定的檢測機(jī)制��,也可以根據(jù)當(dāng)前網(wǎng)絡(luò)負(fù)載情況自適應(yīng)調(diào)整��。
根據(jù)安全需求的等級要求�����,為該幀序列特征設(shè)定初始的閾值��,判定所述幀序列特征是否合法�,這里也可以根據(jù)運(yùn)行情況自動(dòng)調(diào)整,以便符合實(shí)際情況�����,提高準(zhǔn)確度���,這里不作具體的限制��。
3�����、基于分析結(jié)果���,對管理幀進(jìn)行相應(yīng)的安全處理��。
具體地����,當(dāng)分析結(jié)果為合法時(shí)���,執(zhí)行該管理幀��;當(dāng)分析結(jié)果為非法時(shí)�,則直接拋棄該管理幀�����。
對于專業(yè)人士���,還可以根據(jù)該模型和安全狀態(tài)分析過程設(shè)計(jì)自己的算法和利用方法,在具體環(huán)境中達(dá)到最好的效果�����,并根據(jù)安全需求設(shè)定更嚴(yán)格或更寬松的閾值,從而全面分析當(dāng)前無線網(wǎng)絡(luò)環(huán)境的安全性�。
本發(fā)明還公開了一種終端設(shè)備,包括:
收集模塊�,用于收集終端設(shè)備接收到的管理幀和數(shù)據(jù)幀信息;
檢測模塊�����,用于建立幀序列特征檢測模型�,對接收到的管理幀的幀序列特征的合法性進(jìn)行分析,并輸出分析結(jié)果�;
評估分析模塊,基于分析結(jié)果��,對管理幀進(jìn)行相應(yīng)的安全處理����。
具體運(yùn)行步驟,可以參考上面實(shí)施例中關(guān)于方法的步驟��,這里不做詳細(xì)的描述�����。
以上所述僅是本發(fā)明的部分實(shí)施方式���,應(yīng)當(dāng)指出�����,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說��,在不脫離本發(fā)明原理的前提下����,還可以做出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍���。