本發(fā)明屬于移動互聯(lián)網(wǎng)安全領(lǐng)域�,具體而言,本發(fā)明涉及一種基于時間特征的分析檢測中間人攻擊的方法和終端設(shè)備�。
背景技術(shù):
隨著無線網(wǎng)絡(luò)技術(shù)的日益發(fā)展,傳統(tǒng)的有線接入越來越局限于IT運營企業(yè)和固定設(shè)施的接入����,而在日常生活中,人們主要以無線接入方式為主��?����?梢哉f���,無線網(wǎng)絡(luò)已經(jīng)在人們平常的生活和工作中占據(jù)了非常重要的地位��,今天的人們已經(jīng)不能離開無線網(wǎng)絡(luò)����,人們的生活也越來越依賴于無線網(wǎng)絡(luò)�����。與此同時���,隨著無線網(wǎng)絡(luò)流量的增加����,無線網(wǎng)絡(luò)承載了越來越多的私密信息����,成為黑客和不法分子攻擊的對象,無線網(wǎng)絡(luò)通信的安全隱患日益明顯���。
在現(xiàn)有的無線攻擊手段中�����,中間人攻擊成為最常見的攻擊方式��。攻擊者通過插入到用戶和wifi熱點的通信鏈路之中�,對用戶的網(wǎng)絡(luò)傳輸過程進(jìn)行竊聽,造成用戶敏感信息泄漏���,甚至進(jìn)一步造成經(jīng)濟(jì)和名譽上的損失��。中間人攻擊如此普遍的主要原因是該方式的簡便易行���,不要求攻擊者自備上網(wǎng)通道,只需要插入到用戶和熱點之間�,即可對用戶發(fā)起攻擊,竊聽用戶的通信內(nèi)容�����。目前��,大多數(shù)熱點設(shè)備在斷網(wǎng)攻擊方面存在明顯的弱點�����,使得攻擊者可以輕易斷開用戶的當(dāng)前連接��,使得這一問題更加突出,攻擊者更容易得手�����。
針對這一問題�,目前已提出一些技術(shù)方案,用來對中間人問題進(jìn)行檢測��,比如在SSID之外�����,加入熱點的MAC地址作為身份識別的加強措施�����,但不幸的是����,MAC地址和SSID一樣���,都是用戶可以輕易修改的身份標(biāo)識��,這使得現(xiàn)有方案面臨失效的風(fēng)險��,迫切需要提出具有更加可靠的身份識別和安全評估方案�����,以便用戶在接入熱點之前對熱點的安全水平進(jìn)行比較可靠的評估�。
技術(shù)實現(xiàn)要素:
本發(fā)明針對現(xiàn)有的方式的上述缺點,提出一種基于時間分布特征檢測中間人攻擊的方法和終端設(shè)備����,用以解決現(xiàn)有技術(shù)存在的鏈路容易被中間人攻擊的缺陷。與現(xiàn)有解決方法不同的是���,本發(fā)明不是基于路由器自身的SSID��、MAC等信息判斷身份�����,而是根據(jù)存在中間人的通信路徑的時間分布特征進(jìn)行判定�。
本發(fā)明的實施例根據(jù)一個方面�����,提供了一種基于時間特征的分析檢測中間人攻擊的方法,分為訓(xùn)練和識別兩個階段����,具體包括如下步驟:
A.訓(xùn)練階段
1)分別采集正常場景和存在中間人場景的數(shù)據(jù)包間隔數(shù)據(jù);
2)在上述數(shù)據(jù)的基礎(chǔ)上��,計算得到可以對正常場景和非正常場景進(jìn)行合理區(qū)分的門限值�����;
B.識別階段
1)獲取目標(biāo)設(shè)備發(fā)送數(shù)據(jù)包的間隔信息�;
2)對所述間隔信息進(jìn)行統(tǒng)計分析,得到典型數(shù)據(jù)值�����;
3)將典型數(shù)據(jù)值與門限值進(jìn)行比對�����,判定所述數(shù)據(jù)包間隔時間所存在的場景為多跳或一跳�,從而進(jìn)行相應(yīng)的安全處理���。
優(yōu)選地��,通過采集同一目標(biāo)設(shè)備的數(shù)據(jù)幀時間值���,獲得目標(biāo)設(shè)備發(fā)送數(shù)據(jù)包的間隔信息��。
優(yōu)選地�,訓(xùn)練階段����,通過數(shù)據(jù)過濾,剔除波動過大的偶然數(shù)據(jù)��,以便得到更加合理準(zhǔn)確的門限值�。
優(yōu)選地,獲取目標(biāo)設(shè)備發(fā)送數(shù)據(jù)包的間隔信息期間���,確認(rèn)策略由正常的延遲確認(rèn)策略變更為立即確認(rèn)策略��,以快速準(zhǔn)確地得到數(shù)據(jù)包的間隔信息�。
優(yōu)選地����,目標(biāo)設(shè)備的選擇基于靠近終端設(shè)備,以降低長鏈路帶來的環(huán)境波動影響����,提高計算精度�。
優(yōu)選地��,目標(biāo)設(shè)備為DNS服務(wù)器�����。
優(yōu)選地��,通過采集多次目標(biāo)設(shè)備的數(shù)據(jù)包���,從而獲取目標(biāo)設(shè)備發(fā)送數(shù)據(jù)包的間隔信息��,所述分析數(shù)據(jù)包括平局值和標(biāo)準(zhǔn)值�。
優(yōu)選地���,通過將分析數(shù)據(jù)與門限值進(jìn)行對比,以判定數(shù)據(jù)包為多跳或一跳���。
優(yōu)選地����,數(shù)據(jù)門限值可通過以下方法中的至少一種獲得:
1)理論計算,加上現(xiàn)實中存在的實際誤差進(jìn)行調(diào)整后獲得��;
2)多次學(xué)習(xí)和訓(xùn)練獲得�����;
3)實地檢測獲取����。
優(yōu)選地,如果數(shù)據(jù)包為一跳�����,則不存在中間人的安全隱患����,如果所述數(shù)據(jù)包為多跳,則存在中間人的安全隱患�����。
另外����,本發(fā)明還公開了一種終端設(shè)備�����,其包括:
訓(xùn)練模塊�,用于通過采集正常場景和存在中間人場景的數(shù)據(jù)包間隔信息�����,進(jìn)行數(shù)據(jù)處理���,得到正常和非正常數(shù)據(jù)的門限值��;
收集模塊���,用于獲取目標(biāo)設(shè)備發(fā)送數(shù)據(jù)包的間隔信息;
分析模塊�,用于對該目標(biāo)設(shè)備發(fā)送數(shù)據(jù)包的間隔信息進(jìn)行統(tǒng)計分析,得到分析數(shù)據(jù)��;
評估模塊�,用于將該分析數(shù)據(jù)與該門限值進(jìn)行對比分析,判定該目標(biāo)設(shè)備發(fā)送數(shù)據(jù)包間隔時間所存在的場景為多跳或一跳����,從而進(jìn)行相應(yīng)的安全處理。
本發(fā)明的實施例中���,本發(fā)明通過采集數(shù)據(jù)傳輸幀���,計算得到數(shù)據(jù)幀的傳輸間隔,并將該間隔值作為無線傳輸跳數(shù)識別的有效時間特征��,用于判定中間人的存在概率����,可以有效地抵御無線網(wǎng)絡(luò)環(huán)境中常見的中間人份攻擊問題,提升了用戶在無線網(wǎng)絡(luò)環(huán)境中的安全水平�����,預(yù)防了經(jīng)濟(jì)損失�����,提高了安全性能���。
本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出����,這些將從下面的描述中變得明顯,或通過本發(fā)明的實踐了解到��。
附圖說明
本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解�����,其中:
圖1為本發(fā)明基于時間分布特征檢測中間人攻擊的方法其中一實施例的流程示意圖��。
具體實施方式
下面詳細(xì)描述本發(fā)明的實施例�����,所述實施例的示例在附圖中示出�����,其中自始至終相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件��。下面通過參考附圖描述的實施例是示例性的�����,僅用于解釋本發(fā)明����,而不能解釋為對本發(fā)明的限制�。
本技術(shù)領(lǐng)域技術(shù)人員可以理解�����,除非特意聲明�����,這里使用的單數(shù)形式“一”�、“一個”�����、“所述”和“該”也可包括復(fù)數(shù)形式�����。應(yīng)該進(jìn)一步理解的是��,本發(fā)明的說明書中使用的措辭“包括”是指存在所述特征�����、整數(shù)���、步驟�、操作、元件和/或組件����,但是并不排除存在或添加一個或多個其他特征、整數(shù)����、步驟、操作����、元件、組件和/或它們的組�。應(yīng)該理解,當(dāng)我們稱元件被“連接”或“耦接”到另一元件時��,它可以直接連接或耦接到其他元件��,或者也可以存在中間元件�����。此外,這里使用的“連接”或“耦接”可以包括無線連接或無線耦接�����。這里使用的措辭“和/或”包括一個或更多個相關(guān)聯(lián)的列出項的全部或任一單元和全部組合���。
本技術(shù)領(lǐng)域技術(shù)人員可以理解,除非另外定義���,這里使用的所有術(shù)語(包括技術(shù)術(shù)語和科學(xué)術(shù)語)���,具有與本發(fā)明所屬領(lǐng)域中的普通技術(shù)人員的一般理解相同的意義。還應(yīng)該理解的是���,諸如通用字典中定義的那些術(shù)語����,應(yīng)該被理解為具有與現(xiàn)有技術(shù)的上下文中的意義一致的意義����,并且除非像這里一樣被特定定義,否則不會用理想化或過于正式的含義來解釋�。
本技術(shù)領(lǐng)域技術(shù)人員可以理解,這里所使用的“終端設(shè)備”、“終端設(shè)備設(shè)備”既包括無線信號接收器的設(shè)備����,其僅具備無發(fā)射能力的無線信號接收器的設(shè)備,又包括接收和發(fā)射硬件的設(shè)備�����,其具有能夠在雙向通信鏈路上����,進(jìn)行雙向通信的接收和發(fā)射硬件的設(shè)備。這種設(shè)備可以包括:蜂窩或其他通信設(shè)備�����,其具有單線路顯示器或多線路顯示器或沒有多線路顯示器的蜂窩或其他通信設(shè)備����;PCS(Personal Communications Service,個人通信系統(tǒng))�����,其可以組合語音�����、數(shù)據(jù)處理、傳真和/或數(shù)據(jù)通信能力����;PDA(Personal Digital Assistant,個人數(shù)字助理)�����,其可以包括射頻接收器����、尋呼機�����、互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)訪問�、網(wǎng)絡(luò)瀏覽器、記事本�����、日歷和/或GPS(Global Positioning System���,全球定位系統(tǒng))接收器����;常規(guī)膝上型和/或掌上型計算機或其他設(shè)備,其具有和/或包括射頻接收器的常規(guī)膝上型和/或掌上型計算機或其他設(shè)備�。這里所使用的“終端”、“終端設(shè)備”可以是便攜式���、可運輸�、安裝在交通工具(航空���、海運和/或陸地)中的���,或者適合于和/或配置為在本地運行,和/或以分布形式�����,運行在地球和/或空間的任何其他位置運行��。這里所使用的“終端”�����、“終端設(shè)備”還可以是通信終端、上網(wǎng)終端����、音樂/視頻播放終端,例如可以是PDA�����、MID(Mobile Internet Device�����,移動互聯(lián)網(wǎng)設(shè)備)和/或具有音樂/視頻播放功能的移動電話����,也可以是智能電視�、機頂盒等設(shè)備。
下面根據(jù)附圖1�����,通過實施例�,詳細(xì)介紹本發(fā)明公開的基于時間分布特征檢測中間人攻擊的方法。
本發(fā)明的實施例中���,根據(jù)存在中間人的通信路徑的時間分布特征進(jìn)行判定�����,其依據(jù)的基本原理如下:
正常的無線鏈路中�,用戶和合法路由器之間只存在一跳,當(dāng)存在中間人攻擊時�,用戶和路由器之間多了一跳,會出現(xiàn)中間的無線數(shù)據(jù)包轉(zhuǎn)發(fā)等現(xiàn)象��,這會導(dǎo)致在時延上的不一致�����。這一差異是由于攻擊者的轉(zhuǎn)發(fā)行為而存在的�,無法徹底隱藏的,可以通過一定的技術(shù)方案檢測出來����,因此可以作為中間人識別的一個重要依據(jù)。
為此��,本發(fā)明提出一種基于時間分布特征的中間人攻擊檢測方法�,用于無線通訊中中間人攻擊的檢測和預(yù)防,在識別攻擊者的中間人攻擊方面具有一定效果�。
其基本技術(shù)內(nèi)容如下:
獲取用戶發(fā)送數(shù)據(jù)包的間隔信息�,以下簡稱包間隔
剔除可能存在的網(wǎng)絡(luò)波動信息���;
對采集到的包間隔數(shù)據(jù)進(jìn)行統(tǒng)計分析���,得到包間隔數(shù)據(jù)的平均值;
根據(jù)得到的平均值與門限值進(jìn)行比對�����,以便確認(rèn)該包是經(jīng)過兩個無線傳輸(兩跳)還是一個無線傳輸(一跳)��;
如果確認(rèn)該包經(jīng)過了兩跳�����,則可提示目前存在中間人的可能較大��。
本技術(shù)中��,能夠合理區(qū)分正常場景和非正常場景的門限值的設(shè)定較為關(guān)鍵�,除去本實施例采用的實地檢測方式外�,還可以通過如下兩種方式獲得:1)根據(jù)理論計算結(jié)果,在加上現(xiàn)實中存在的實際誤差進(jìn)行調(diào)整后得到��;2)通過多次學(xué)習(xí)、訓(xùn)練獲取�����。
同時�����,在典型值的設(shè)定過程中����,可以根據(jù)檢測的具體需求,對判定結(jié)果的精度給出不同的判定閾值�,既避免資源的無謂消耗,又避免可能存在的過大的誤差����。
以下以具體一優(yōu)選實施例,對本發(fā)明的技術(shù)內(nèi)容進(jìn)行詳細(xì)的說明:
為了確認(rèn)客戶端的網(wǎng)絡(luò)接入鏈路中存在的無線跳數(shù)����,我們需要選擇一個合適的參數(shù)把普通的單跳無線連接和多跳無線連接區(qū)分開來。經(jīng)過研究和實際測試�,我們發(fā)現(xiàn)數(shù)據(jù)包到達(dá)的時間間隔(以下稱為包間隔)在單跳無線鏈路和多跳無線鏈路中存在明顯的區(qū)別,經(jīng)過必要的數(shù)據(jù)處理之后�����,可以作為檢測無線跳數(shù)的重要依據(jù)。
包間隔即為從同一設(shè)備(服務(wù)器或者AP)發(fā)來的連續(xù)兩個數(shù)據(jù)包之間的數(shù)據(jù)間隔���。為了更加快速和準(zhǔn)確的測量這一數(shù)據(jù)���,我們在終端臨時采取立即確認(rèn)策略,即收到對方發(fā)來的數(shù)據(jù)包之后馬上給予確認(rèn)����,發(fā)送ACK包,而非通常使用的延遲確認(rèn)策略����,即連續(xù)收到兩個或更多的數(shù)據(jù)包之后再發(fā)送一個ACK包。
這樣����,當(dāng)收到來自同一設(shè)備的兩個數(shù)據(jù)包分別為P1和P2時,將馬上發(fā)出兩個確認(rèn)包A1和A2���,則此時其包序列將為P1A1P2A2。如果P1和P2到達(dá)的時間分別是TP1和TP2����,則這兩個包的包間隔可以計算表示為TP2-TP1
為盡量減少較長傳輸鏈路可能帶來的環(huán)境波動誤差�����,建議采用距離近一些的設(shè)備采集相應(yīng)的數(shù)據(jù)包間隔��,本實施實例中采用DNS服務(wù)器作為目標(biāo)設(shè)備��,主要原因有:1)DNS設(shè)備存在廣泛��,已經(jīng)成為必需的網(wǎng)絡(luò)基礎(chǔ)設(shè)施���;2)由于用戶一般采用運營商提供的就近DNS,服務(wù)器一般距離較近���。另外����,此選擇采用DNS服務(wù)器作為目標(biāo)設(shè)備�,并不作為本發(fā)明內(nèi)容的具體限制。
具體計算方法如下:
在訓(xùn)練階段:
1)分別采集正常場景和存在中間人場景的數(shù)據(jù)包間隔數(shù)據(jù)����,并保存�;
2)在上述數(shù)據(jù)的基礎(chǔ)上���,首先剔除明顯的偏離點�����,然后分別計算得到兩種場景下數(shù)據(jù)的平均值和標(biāo)準(zhǔn)差����,正常場景下的平均值和標(biāo)準(zhǔn)差分別記為:u0,d0�����,非正常場景下的平均值和標(biāo)準(zhǔn)差分別記為:u1,d1����;
3)計算門限值T的公式如下:
如果u1>u0,則
T=u0+(u1-u0)×d0/(d0+d1)
如果u1≤u0����,則前期數(shù)據(jù)采集有誤,需要重新采集��。
在檢測階段:
連續(xù)采集數(shù)據(jù)包,并根據(jù)上述公式計算得到相應(yīng)的包間隔值���,為了達(dá)到較高的準(zhǔn)確度,可以設(shè)定一個數(shù)量下限��,本實施實例中設(shè)定該值為100��;
對這個100個包間隔值進(jìn)行數(shù)據(jù)清洗��,剔除明顯不合理的值��;
計算上述數(shù)據(jù)的平均值c�����;
將平均值c與門限值T進(jìn)行比對��,如果c≥T���,則判定無線跳數(shù)較大概率為多跳�����,存在安全隱患��。
對于專業(yè)人士���,還可以根據(jù)該模型和檢測過程設(shè)計自己的算法和利用方法���,典型地,比如門限值的獲取方法�、采集數(shù)據(jù)包的個數(shù)、數(shù)據(jù)篩選的具體方法等����,在具體環(huán)境中達(dá)到最好的效果,從而對存在中間人的無線鏈路的相關(guān)特征進(jìn)行更加全面分析��。
本發(fā)明還公開了一種終端設(shè)備��,包括:
訓(xùn)練模塊�,用于通過采集正常場景和存在中間人場景的數(shù)據(jù)包間隔信息,進(jìn)行數(shù)據(jù)處理����,得到正常和非正常數(shù)據(jù)的門限值;
收集模塊�����,用于獲取目標(biāo)設(shè)備發(fā)送數(shù)據(jù)包的間隔信息;
分析模塊����,用于對該目標(biāo)設(shè)備發(fā)送數(shù)據(jù)包的間隔信息進(jìn)行統(tǒng)計分析,得到分析數(shù)據(jù)����;
評估模塊����,用于將該分析數(shù)據(jù)與所述門限值進(jìn)行對比分析,判定該數(shù)據(jù)包間隔時間所存在的場景為多跳或一跳���,從而進(jìn)行相應(yīng)的安全處理�。
該終端設(shè)備的具體運行�,可以參考上述方法實施例的方法步驟,這里不做詳細(xì)的描述����。
以上所述僅是本發(fā)明的部分實施方式,應(yīng)當(dāng)指出����,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說�,在不脫離本發(fā)明原理的前提下�,還可以做出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍���。