拒绝服务攻击防御方法、系统、无线接入点及无线控制器的制作方法

专利名称：拒绝服务攻击防御方法、系统、无线接入点及无线控制器的制作方法
技术领域：
本发明涉及网络通信技术，尤其涉及一种拒绝服务攻击防御方法、系统、无线接入 点及无线控制器。
背景技术：
无线局域网(Wireless Local Area Networks ；简称为WLAN)是指应用无线通信 技术将计算机设备互联起来，使客户端可以随时随地接入宽带网络实现信息共享的一种网 络。其中，无线客户端(例如支持WLAN接入功能的笔记本电脑、个人数码助理或无线网 卡)通过无线接入点(Access Point ；简称为AP)接入无线局域网。AP是连接有线网和无 线局域网的桥梁，其主要作用是将各个无线客户端连接到一起，然后将无线网络接入以太 网。
通常AP仅具有802. 11物理层的功能，即只能进行无线射频信号的发送和接收，需 要和一台无线控制器(Access Controller ；简称为AC)连接，由AC集中控制和管理以接入 有线网络。其中，AC负责数据交换和路由选择，还进行用户认证、安全策略管理、射频信道 选择和输出功率调整等。
和有线网络一样，拒绝服务(Denial-Of-Service ；简称为D0S)攻击也已经成为 破坏WLAN通信安全的重要途径。由于IEEE802. 11中未对管理报文提供保护机制，因此，即 使采用了高安全级别的WLAN，攻击者也可以很容易的通过伪造管理报文来对AP进行DOS攻 击，例如伪造下线报文(解认证报文或解关联报文)导致无线接入服务中断、设备过载等情 况。针对上述情况，IEEE工作组提出一种IEEE802. Ilw标准，主要是通过对客户端关联成功 后的管理报文进行合法性校验，提供对管理报文的保护。在802. Ilw协议中，当客户端成功 关联AP之后，首先会与AP协商密钥，用于对管理报文进行安全管理；当AP下发解认证报文 (Deauth)或解关联报文(Disassoc)时，会根据协商的密钥产生信息完整性代码(Message Integrity Code ；简称为MIC)，并将MIC添加到解认证报文或解关联报文中一并发送给客 户端；客户端接收到解认证报文或解关联报文时，会提取其中的MIC并用密钥对该MIC进行 验证；对于通过验证的合法报文才被客户端接收，对于未通过验证的报文将被客户端视为 攻击报文并丢弃。
通过上述方式可以对管理报文提供一定的保护作用，但是，上述方法需要在客 户端和AP之间完成密钥协商之后，才能对管理报文进行加密和认证，而对于密钥协商完 成之前的管理报文仍无法提供保护，由于此时还没有密钥，因此，攻击者还会利用上述这 点对管理报文进行攻击，使AP自行发送下线报文给客户端，造成无线接入服务中断。另 外，在802. Ilw网络中，客户端和AP关联上并进行数据传输后，若攻击者发送一个伪造 的关联请求(Assoc Request)报文或认证请求报文，但客户端的能力属性(例如能力 (Capabilities)、基本速率配置(Basic Rate sets)等)不符合AP的要求，此时，AP将会 返回一个携带合法MIC值的下线报文给客户端，此时，客户端仍会被下线，导致无线接入服 务被中断。
由上述分析可知目前802. Ilw无线网络仍无法防御攻击者通过一定手段迫使AP 自行向客户端发送下线报文来中断无线接入服务的DOS攻击。发明内容
本发明提供一种拒绝服务攻击防御方法、系统、无线接入点及无线控制器，用以实 现对拒绝服务攻击的防御，提高客户端无线接入的服务质量。
本发明提供一种拒绝服务攻击防御方法，包括
无线控制器接收无线接入点转发的客户端的第一报文；
所述无线控制器根据所述无线接入点返回的所述客户端对应的接收信号强度指 示阈值，判断所述第一报文是否为攻击报文；
当判断出所述第一报文为攻击报文时，所述无线控制器直接丢弃所述第一报文。
本发明提供一种无线控制器，包括
第一接收模块，用于接收无线接入点转发的客户端的第一报文；
判断模块，用于根据所述无线接入点返回的所述客户端对应的接收信号强度指示 阈值，判断所述第一报文是否为攻击报文；
丢弃模块，用于在所述判断模块判断出所述第一报文为攻击报文时，直接丢弃所 述第一报文。
本发明提供一种无线接入点，包括
第二发送模块，用于将客户端发送的第一报文转发给无线控制器；
第三发送模块，用于将所述客户端对应的接收信号强度指示阈值发送给所述无线 控制器，以供所述无线控制器根据所述客户端对应的接收信号强度指示阈值，判断所述第 一报文是否为攻击报文。
本发明提供一种拒绝服务攻击防御系统，包括本发明提供的任一无线控制器和本 发明提供的任一无线接入点。
本发明提供的拒绝服务攻击防御方法、系统、无线接入点及无线控制器，无线控制 器根据无线接入点返回的客户端对应的接收信号强度指示阈值，判断由无线接入点转发的 客户端的第一报文是否为攻击报文，当判断出第一报文为攻击报文时，直接丢弃第一报文， 实现对DOS攻击的防御。与现有技术相比，本发明技术方案无需无线接入点和客户端进行 密钥协商，因此，对任何时候客户端发送的第一报文都可以进行DOS攻击防御，不受密钥协 商的限制；另外，本发明技术方案基于接收信号强度指示阈值来判断第一报文是否为攻击 报文，并不像现有技术那样根据客户端的能力属性来判断是否为攻击报文，因此，不会因 DOS攻击报文而导致无线控制器通过无线接入点主动向客户端发送下线报文使客户端下线 或中断无线接入服务，提高了客户端无线接入的服务质量。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发 明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根 据这些附图获得其他的附图。
图1为本发明实施例一提供的DOS攻击防御方法的流程图2为本发明实施例二提供的DOS攻击防御方法的流程图3为本发明实施例三提供的DOS攻击防御方法的流程图4为本发明实施例四提供的AC的结构示意图5为本发明实施例五提供的AC的结构示意图6为本发明实施例六提供的AP的结构示意图7为本发明实施例七提供的AP的结构示意图8为本发明实施例八提供的DOS攻击防御系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例 中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是 本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
图1为本发明实施例一提供的DOS攻击防御方法的流程图。如图1所示，本实施 例的DOS攻击防御方法包括
步骤11、AC接收AP转发的客户端的第一报文；
其中，客户端通过与AP关联接入有线网络，AP通过有线与AC连接，AC负责对AP 进行控制和管理。在上述WLAN结构中，客户端首先会向AP发送认证请求报文，以进行身份 认证；AP将认证请求报文转发给AC，以供AC对客户端进行身份认证；AC将身份认证结果通 过AP返回给客户端。在认证通过后，客户端会向AP发送关联请求报文；AP将关联请求报 文转发给AC，由AC负责对客户端的能力属性等进行判断，以确定是否允许客户端通过与AP 关联而接入WLAN。
在上述过程中，攻击者可以构造认证请求报文或关联请求报文进行DOS攻击，因 此，本实施例的第一报文可以为认证请求报文或关联请求报文，但并不限于此。
步骤12、AC根据AP返回的客户端对应的接收信号强度指示(ReceivedSignal Strength Indication ；简称为RSSI)阈值，判断第一报文是否为攻击报文；
通常，AP除了接收客户端的认证请求报文或关联请求报文之外，还会接收客户端 发送的其他报文，例如为了保持与客户端的连接，AP会接收客户端定时发出的探测请求 (Probe Request)信号。其中，只要客户端处于开机状态，无论客户端是否与AP关联，AP均 能获取到客户端的相关报文。AP基于获取的客户端的相关报文的RSSI，生成客户端对应的 RSSI阈值，并将该RSSI阈值提供给AC。其中，在本实施例中，将AP生成RSSI阈值所需的 客户端的相关报文称为第二报文，该第二报文通常为除关联请求报文和认证请求报文之外 的报文。其中，由于RSSI阈值是由AP根据客户端的第二报文生成的，因此，表征着客户端 的位置。
通常，攻击者为了保证其安全性和隐蔽性，会与真正的客户端之间保持一定距离。 而由于RSSI能够反映客户端的位置，因此，AC通过比较第一报文的RSSI和RSSI阈值，可 以判断发送第一报文的终端位置是否与客户端的位置一致，进而判断发送第一报文的终端 是否为客户端；如果为客户端，则可以判断出第一报文为正常报文，反之，判断出第一报文为攻击报文。
步骤13、当判断出第一报文为攻击报文时，AC直接丢弃第一报文。
当AC判断出第一报文为攻击报文时，直接丢弃该第一报文，并不对第一报文做出 响应，即不会因为第一报文而通过AP向客户端发送下线报文；同时，AC会通知AP将该第一 报文丢弃，由于AP没有接收到AC的下线报文，因此不会向客户端发送下线报文(例如解关 联报文或解认证报文)，在识别DOS攻击的基础上，保证了客户端不被下线，保证了客户端 的无线接入不被中断。
本实施例提供的DOS攻击防御方法，AC根据AP返回的客户端对应的RSSI阈值来 判断第一报文是否为DOS攻击报文，并在判断出第一报文为DOS攻击报文时，将第一报文丢 弃，不对第一报文进行响应，实现了对DOS攻击的识别，同时保证了客户端不被下线，保证 了客户端的无线接入服务不被中断，提高了客户端无线接入的服务质量。与现有技术相比， 本实施例不需要客户端和AP之间进行密钥协商，因此，不存在密钥协商前无法对管理报文 进行DOS攻击防御的问题；同时，由于本实施例基于RSSI阈值判断是否为攻击报文，而不是 基于客户端的能力属性进行判断，因此，不会像现有技术那样在判断出能力属性不一致时 AC通过AP主动向客户端下发下线报文，因此，可以在识别出DOS攻击的情况下，保证客户端 不被下线，保证客户端的无线接入不被中断，实现了对DOS攻击的防御。
其中，AP可以根据获取的客户端的多个第二报文的RSSI进行算术平均，将获取的 平均值作为RSSI阈值；该实施方式易于实现，但是其精度往往不高。基于此，本实施例另外 提供一种AP生成RSSI阈值的实施方式，即AP对获取的第二报文的RSSI进行滤波处理，以 滤除影响第二报文的RSSI的杂波或干扰信号，将滤波后的第二报文的RSSI作为客户端对 应的RSSI阈值。由于对第二报文的RSSI进行滤波处理滤除了部分杂波或干扰信号，因此， 获取的客户端对应的RSSI阈值的精度较高，进而可以提高基于该RSSI阈值进行判断的准 确度。其中AP可以采用一阶滤波、二阶滤波或高阶滤波等滤波方法对第二报文的RSSI进 行滤波，具体采用哪种滤波方式可以结合当前网络状态，例如当网络中存在较多干扰源或 信号较差时，可以采用二阶滤波或高阶滤波以尽可能提高RSSI阈值的精度；而当网络处于 常规状态或正常状态时，可以采用简单的一阶滤波方法。
其中，一阶滤波方法算法简单且易于实现，且基于目前的WLAN，对第二报文的 RSSI进行一阶滤波处理获取的RSSI阈值通常满足对RSSI阈值精度的要求，因此，在本实施 例以及以下各实施例中，AP均采用一阶滤波方法对第二报文的RSSI进行滤波处理来获取 客户端对应的RSSI阈值。其中，AP对第二报文的RSSI进行一阶滤波处理的过程具体包括 AP获取客户端的第二报文；然后，根据公式(1)，对第二报文的RSSI进行一阶滤波处理，将 该一阶滤波结果作为客户端对应的RSSI阈值。
RIav = (l_a)*RI+a*RIav，(1)
其中，RIav表示客户端对应的RSSI阈值；Rlav’表示客户端对应的RSSI初始值， 根据一阶滤波的原理Rlav’具体为上一次根据公式(1)计算生成的RSSI阈值；a表示滤波 因子，0 < a < 1 ;RI表示第二报文的RSSI。
进一步，在本实施例中，AP会持续获取客户端的第二报文，AP每获取一个第二报 文均根据公式(1)计算生成客户端对应的RSSI阈值，即AP获取的客户端对应的RSSI阈值 是动态变化的。基于上述，RIav表示根据当前获取的第二报文生成的客户端对应的RSSI阈值；Rlav’表示根据前一个第二报文生成的客户端对应的RSSI阈值；a表示滤波因子；RI表 示当前获取的第二报文的RSSI。
上述获取客户端对应的RSSI阈值的实施方式采用了一阶滞后滤波算法，相对于 普通的算术平均算法，一阶滞后滤波法算法对周期性干扰具有良好的抑制作用，适用于波 动频率较高的场合，并且可通过调整滤波因子a的取值来对滤波结果的灵敏度进行调整， 滤波因子a的值越小，滤波结果越灵敏，因此，通过该实施方式获取的RSSI阈值的精度较尚ο
基于上述实施例，AP具体可以采用以下方式向AC返回客户端对应的RSSI阈值。一 种方式为AP可以预设周期，定时向AC返回客户端对应的RSSI阈值；其中，在每个预设周 期内，AP可能会接收到客户端的多个第二报文，因此，会生成客户端对应的多个RSSI阈值， 此时，AP可以将多个RSSI阈值均返回给AC，以供AC选择其中一个来作为比较使用的RSSI 阈值；另外，AP也可以只将最新的RSSI阈值返回给AC，使AC根据接收到的唯一的RSSI阈 值来判断是否存在DOS攻击。
另一种方式为AC主动向AP发送获取指示消息，该获取指示消息表示要AP返回 客户端对应的最新的RSSI阈值。AP接收AC的获取指示消息，根据获取指示消息，向AC返 回客户端对应的RSSI阈值。其中，AP在接收到客户端的每一个第二报文时，均根据公式 (1)计算与每一个第二报文对应的RSSI阈值，当接收到AC的获取指示消息时，将当前最新 的RSSI阈值发送给AC。
基于上述实施例，AC根据客户端对应的RSSI阈值，判断第一报文是否为攻击报文 的过程具体如下-M获取第一报文的RSSI，并将第一报文的RSSI与客户端对应的RSSI阈 值做差，获取第一报文的RSSI与客户端对应的RSSI阈值的差值；AC将获取的差值与预设 门限值进行比较；如果比较结果为差值大于预设门限值，则AC判定第一报文为攻击报文； 如果差值小于或等于预设门限值，则AC判定第一报文为非攻击报文，即正常报文，可以对 该第一报文做出响应。
其中，当客户端固定在某个位置时，滤波因子a取0. 9获取的RSSI阈值能较准确 的反映来自客户端的无线信号的大小，此时，接收到的每个第一报文的RSSI通常会在RSSI 阈值士5范围内进行波动，因此，预设门限值可以为5。其中，本实施例的提供的滤波因子 a的取值以及预设门限值只是一种优选值，但均不限于此，根据实际应用情况可以做适应性变化。
进一步，结合WLAN网络的实际情况，客户端往往会发生移动，当客户端发生移动 时，通过上述实施例可能会出现误判，为了进一步提高判断DOS攻击的准确性，本发明以下 实施例提供一种实施方式。
图2为本发明实施例二提供的DOS攻击防御方法的流程图。本实施例基于上述实 施例实现，如图2所示，本实施例的DOS攻击防御方法在AC判断出第一报文为DOS攻击报 文之后还包括
步骤14、AC向AP发送更新指示消息；该更新指示消息用于使AP对滤波因子a进 行调整，以在后续判断过程中进一步提高判断DOS攻击的准确性和精度。
步骤15、AP根据更新指示消息，向客户端发送探测请求报文，并等待接收客户端 返回的探测应答报文，同时判断是否接收到客户端返回的探测应答报文；如果接收到客户10端返回的探测应答报文，则执行步骤16 ；反之，则执行步骤17。其中，AP通过向客户端发送 探测请求报文，以探测客户端是否在线，通过该操作可以确认AC的判断是否正确。其中，若 客户端在线，说明客户端不受AC丢弃第一报文的影响，则客户端在收到AP的探测请求报文 之后，会向AP返回探测应答报文；若客户端不在线，说明客户端可能因为AC丢弃第一报文 未能与AP成功关联，则将无法向AP返回探测应答报文。因此，AP根据是否接收到探测应 答报文即可判断出AC做出的判断是否正确。其中，AP通常可以设置一接收时间，在该接收 时间内等待接收客户端返回的探测应答报文，如果接收时间结束，尚未接收到客户端返回 的探测应答报文，说明客户端不在线，反之说明客户端在线。
步骤16、AP根据预设第一更新步长增大滤波因子a，并重新根据公式(1)，对第二 报文的RSSI进行滤波处理，生成客户端对应的RSSI阈值，并执行步骤18 ；
当AP判断得出AC判断第一报文为DOS攻击的结果正确时，则根据预设更新步长， 例如0. 1，来增大滤波因子a，并根据公式(1)对后续接收到的第二报文的RSSI进行滤波处 理，使得新生成的RSSI阈值更加平滑，提高体现客户端的无线信号的强度的准确度。其中， RSSI初始值仍为上一次滤波获取的RSSI阈值。需要说明的是滤波因子a的上限值优选为 0. 9。
步骤17、AP根据预设第二更新步长减小滤波因子a，并重新根据公式(1)，对第二 报文的RSSI进行滤波处理，生成客户端对应的RSSI阈值，并执行步骤18 ；
当AP判断得出AC判断第一报文为DOS攻击的结果错误时，则根据预设更新步长， 例如0. 1，来减小滤波因子a，并根据公式(1)对后续接收到的第二报文的RSSI进行滤波 处理，以提高RSSI阈值的灵敏度。其中，由于根据当前RSSI阈值出现了误判，说明此时的 RSSI阈值无法及时反映当前WLAN的移动特性，因此，本实施例将RSSI阈值清0并重新开始 计算，即此时的RSSI初始值为0。即将滤波因子a减小，将RSSI初始值清0，基于上述初始 条件利用公式(1)对后续接收到的第二报文进行滤波处理，重新开始计算RSSI阈值，以提 高RSSI阈值的灵敏度。
在此需要说明，预设第一更新步长和第二更新步长可以相同，也可以不相同，优选 为相同。
步骤18、AP将重新生成的RSSI阈值返回给AC，并转去执行步骤11，即AC根据该 重新生成的RSSI阈值，判断后续接收到的第一报文是否为DOS攻击报文。
当AP重新生成新的RSSI阈值之后，可以定时将新生成的RSSI阈值发送给AC，也 可以根据AC的获取指示消息，将新生成的RSSI阈值发送给AC。AC接收到新生成的RSSI 阈值之后，将根据该新生成的RSSI阈值对后续由AP转发的客户端的第一报文进行是否为 DOS攻击报文的判断操作。
本实施例的DOS攻击防御方法，通过AP向客户端发送探测请求报文，并根据客户 端是否返回探测应答报文，对AC做出的判断结果做进一步判断，进一步提高了判断是否为 DOS攻击的准确性。另外，通过上述实施方式，还可以根据判断结果调整滤波因子，通过改变 滤波因子的取值来适应性调整RSSI阈值的灵敏度或平滑度，提高了判断是否为DOS攻击的 准确性。
在此说明，AP根据第一更新步长和第二更新步长调整滤波因子的方法与所采用的 滤波方法有关，在上述实施例中AP根据第一更新步长增大滤波因子a和根据第二更新步长减小滤波因子a是在采用一阶滤波方法时调整滤波因子的一种实施方式；当AP采用不同的 滤波方法时，对滤波因子的调整并不相同；其中，在结合本实施例提供对一阶滤波方法中的 滤波因子的调整方式，本领域技术人员可以理解或推知在采用二阶滤波方法或高阶滤波方 法时调整滤波因子的具体实施方式
。
进一步，考虑到某些攻击者可能距离客户端比较近，例如在距离客户端!Μ范围之 内，此时，攻击报文的RSSI可能会在RSSI阈值士预设门限值(例如幻范围内，在这种情 况下有可能出现误判，即将攻击报文误判为正常报文，为了解决上述问题，本发明以下实施 例提供一种解决方案。
图3为本发明实施例三提供的DOS攻击防御方法的流程图。本实施例可基于上述 实施例实现，如图3所示，本实施例方法包括
步骤31、AC接收AP转发的客户端的第一报文；
步骤32、AC根据AP返回的客户端对应的RSSI阈值，判断第一报文是否为攻击报 文；若AC判断出第一报文为攻击报文，则执行步骤33 ；反之，则执行步骤39。
步骤33、AC直接丢弃第一报文，并转去执行步骤34。
步骤34、AC向AP发送更新指示消息；
步骤35、AP根据更新指示消息，向客户端发送探测请求报文，并等待接收客户端 返回的探测应答报文，同时判断是否接收到客户端返回的探测应答报文；如果接收到客户 端返回的探测应答报文，则执行步骤36 ；反之，则执行步骤37。
步骤36、AP根据预设第一更新步长增大滤波因子a，并重新根据公式(1)，对第二 报文的RSSI进行滤波处理，生成客户端对应的RSSI阈值，并执行步骤38 ；
步骤37、AP根据预设第二更新步长减小滤波因子a，并重新根据公式(1)，对第二 报文的RSSI进行滤波处理，生成客户端对应的RSSI阈值，并执行步骤38 ；
步骤38、AP将重新生成的RSSI阈值返回给AC，并转去执行步骤31，即AC根据该 重新生成的RSSI阈值，判断后续接收到的第一报文是否为DOS攻击报文。
步骤39、AC判断第一报文为非攻击报文，并通过AP向客户端发送重发操作指示， 以供客户端在重发操作指示中的等待时间结束后重新发送第一报文；其中，为了防止攻击 者距离客户端较近造成的误判，在AC判断出第一报文为非攻击报文时，要求客户端在指定 的等待时间结束后重新发送第一报文，例如重新进行关联请求或认证请求。
步骤40、AP根据重发操作指示，向客户端发送探测请求报文，并等待接收客户端 返回的探测应答报文，同时判断是否接收到客户端返回的探测应答报文；若接收到客户端 返回的探测应答报文，说明客户端在线，则执行步骤41 ；反之，执行步骤42 ；
步骤41、AP向AC返回客户端在线的探测结果，AC重新判定第一报文为攻击报文， 并直接丢弃第一报文，且对下次接收到的该客户端发送的第一报文，也不予以响应，此次 DOS攻击判断操作结束。由于客户端处于在线状态时是不会发送关联请求报文或认证请求 报文的，因此，AC在获知客户端在线时，可以判断出发生了误判，之前被判断为非攻击报文 的第一报文实际上是DOS攻击报文。
步骤42、AC接收AP转发的客户端在等待时间结束后发送的第一报文，并转去执行 步骤31，即AC判断客户端在等待时间结束后发送的第一报文是否为攻击报文的操作。当 AC再次确定客户端在指定的等待时间结束后重新发送的第一报文为非攻击报文时，可以通过AP对客户端的报文进行正常相应，例如允许客户端通过与AP关联而接入WLAN。
本实施例的DOS攻击防御方法，在AC判断出第一报文为非攻击报文之后，为了防 止误判，由AP向客户端发送探测请求报文，并根据是否接收到客户端返回的探测应答报 文，来判断客户端是否在线，如果在线说明，客户端不会发起第一报文，因此，重新判定第一 报文为攻击报文。因此，通过本实施例技术方案可以有效防止发生误判的几率，提高了判断 DOS攻击的准确性。
图4为本发明实施例四提供的AC的结构示意图。如图4所示，本实施例的AC包 括第一接收模块51、判断模块52和丢弃模块53。
其中，第一接收模块51，与AP连接，用于接收AP转发的客户端的第一报文；第一 报文优指关联请求报文或认证请求报文。判断模块52，与第一接收模块51连接，用于根据 AP返回的客户端对应的RSSI阈值，判断第一报文是否为攻击报文；丢弃模块53，与判断模 块52连接，用于在判断模块52判断出第一报文为攻击报文时，直接丢弃第一报文，并不对 第一报文做出响应，例如不会因为第一报文而通过AP向客户端发送下线报文等。
上述各功能模块可用于执行上述方法实施例提供的DOS攻击防御方法的流程，其 具体工作原理详见上述方法实施例的描述，在此不再赘述。
本实施例的AC，通过第一接收模块、判断模块和丢弃模块可以根据AP返回的客户 端的RSSI阈值来判断客户端的第一报文是否为攻击报文，并在判断出第一报文为DOS攻击 报文时，将第一报文丢弃，不对第一报文进行响应，实现了对DOS攻击的识别，同时保证了 客户端不被下线，保证了客户端的无线接入服务不被中断，提高了客户端无线接入的服务 质量。与现有技术相比，采用本实施例的AC可以使客户端和AP无需进行密钥协商，因此， 不存在密钥协商前无法对管理报文进行DOS攻击防御的问题；同时，由于本实施例的AC是 基于RSSI阈值判断是否为攻击报文，而不是基于客户端的能力属性进行判断，因此，不会 像现有技术那样在判断出能力属性不一致时通过AP主动向客户端下发下线报文，因此，可 以在识别出DOS攻击的情况下，保证客户端不被下线，保证客户端的无线接入不被中断，实 现了对DOS攻击的防御。
图5为本发明实施例五提供的AC的结构示意图。本实施例基于上述实施例实现， 如图5所示，本实施例的AC还包括第二接收模块M。
第二接收模块54，与AP连接，用于接收AP返回的客户端对应的RSSI阈值，并将接 收到的RSSI阈值提供给判断模块52。其中，RSSI阈值是由AP对获取的客户端的第二报文 进行滤波处理生成的。优选的，AP可以根据公式(1)对第二报文的RSSI进行一阶滞后滤 波处理，其中，关于公式(1)详见上述描述，在此不再赘述。其中，相对于普通的算术平均算 法，采用一阶滞后滤波法算法对周期性干扰具有良好的抑制作用，适用于波动频率较高的 场合，并且可通过调整滤波因子a的取值来对滤波结果的灵敏度进行调整，滤波因子a的值 越小，滤波结果越灵敏，因此，通过该实施方式获取的RSSI阈值的精度较高。
其中，第二接收模块M具体可用于向AP发送获取指示消息，并接收AP根据获取 指示消息返回的客户端对应的RSSI阈值；或者具体用于接收AP根据预设周期，定时返回的 客户端对应的RSSI阈值。
其中，本实施例的AC可以通过第二接收模块获取AP通过滤波处理后的客户端对 应的RSSI阈值，提高了判断第一报文是否为DOS攻击报文的准确性。
进一步，本实施例的判断模块52包括获取单元、比较单元和判定单元。具体的，获 取单元，与第一接收模块51和第二接收模块M连接，用于获取第一报文的RSSI和客户端 对应的RSSI阈值的差值；比较单元，与获取单元连接，用于将差值与预设门限值进行比较； 判定单元，与比较单元连接，用于在比较单元比较得出差值大于预设门限值时，判定第一报 文为攻击报文。
上述各功能单元可用于执行上述方法实施例中AC具体判断第一报文为攻击报文 的方法流程，其具体工作原理详见方法实施例的描述，在此不再赘述。
进一步，本实施例的AC还包括重发指示模块55、第三接收模块56、判定模块57、 第四接收模块58和接收触发模块59。
具体的，重发指示模块55，与AP和判断模块52连接，用于在判断模块52判断出第 一报文为非攻击报文时，通过AP向客户端发送重发操作指示，以供客户端在重发操作指示 中的等待时间结束后重新发送第一报文；其中，重发操作指示中包括指定的等待时间。第三 接收模块56，与AP连接，用于接收AP返回的客户端在线的探测结果，所述客户端在线的探 测结果是AP根据重发操作指示，向客户端发送探测请求报文，并在接收到客户端返回的探 测应答报文时生成的；判定模块57，与第三接收模块56连接，用于根据客户端在线的探测 结果，重新判定第一报文为攻击报文，并直接丢弃第一报文；第四接收模块58，与AP连接， 用于接收AP返回的客户端不在线的探测结果，所述客户端不在线的探测结果是由AP根据 重发操作指示，向客户端发送探测应答报文，并在未接收到客户端返回的探测应答报文时 生成的；接收触发模块59，与AP和判断模块52连接，用于接收AP转发的客户端在等待时 间结束后发送的第一报文，并触发判断模块52执行判断客户端在等待时间结束后发送的 第一报文是否为攻击报文的操作。
上述各功能模块可用于执行上述方法实施例提供的DOS攻击防御方法流程中AC 在判定第一报文为非攻击报文之后进一步判断是否发生误判的相应流程，其具体工作原理 详见方法实施例的描述，在此不再赘述。
本实施例的AC，通过上述模块对判定为非攻击报文的结果做进一步判断，降低了 发生误判的几率，对距离客户端很近的攻击者发起的攻击具有很好的防御作用，进一步提 高了客户端无线接入的服务器质量。
基于上述实施例，本实施例的AC还包括第一发送模块60。其中，第一发送模块 60，与AP和判断模块52连接，用于在判断模块52判断出第一报文为攻击报文时，向AP发 送更新指示消息，以供AP根据更新指示消息，向客户端发送探测请求报文，并等待接收客 户端返回的探测应答报文，以根据是否接收到客户端返回的探测应答报文调整滤波处理中 的滤波因子，并重新对后续接收的第二报文的RSSI进行滤波处理，生成客户端对应的RSSI 阈值。其中，对公式(1)中的滤波因子a进行调整，并在滤波因子a调整后根据公式(1)对 后续接收的第二报文的RSSI进行滤波处理仍为一种优选实施方式。
其中，第一发送模块可用于执行上述方法实施例提供的DOS攻击防御方法的流程 中对滤波因子进行调整的流程，具体工作原理详见方法实施例的描述，在此不再赘述。
本实施例的AC，通过第一发送模块在判断出第一报文为攻击报文时，向AP发送更 新操作指示，以使AP根据更新操作指示对滤波因子进行调整，在保证判断第一报文是否为 攻击报文准确性的基础上，还可以提高RSSI阈值的灵敏度或平滑度，以进一步提高判断是否为DOS攻击的准确性。
图6为本发明实施例六提供的AP的结构示意图。如图6所示，本实施例的AP包 括第二发送模块61和第三发送模块62。
其中，第二发送模块61，与AC和客户端连接，用于将客户端发送的第一报文转发 给AC ；第三发送模块62，与AC连接，用于将客户端对应的RSSI阈值发送给AC，以供AC根 据客户端对应的RSSI阈值，判断第一报文是否为攻击报文。
本实施例的AP，可与上述实施例提供的AC相结合实施上述方法提供的DOS攻击 防御方法的流程，通过第二发送模块和第三发送模块向AC提供客户端对应的RSSI阈值，可 使AC根据RSSI阈值判断客户端的第一报文是否为攻击报文，在实现识别DOS攻击的同时， 保证了客户端不被下线，保证了客户端的无线接入服务不被中断，提高了客户端无线接入 的服务质量。与现有技术相比，在进行DOS攻击防御的过程中，本实施例的AP不需要与客 户端进行密钥协商，因此，不存在密钥协商前无法对管理报文进行DOS攻击防御的问题；同 时，由于本实施例的AP向AC提供客户端对应的RSSI，使得AC基于RSSI阈值判断第一报文 是否为攻击报文，而不是基于客户端的能力属性进行判断，因此，不会像现有技术那样在判 断出能力属性不一致时AC通过AP主动向客户端下发下线报文，因此，采用本实施例的AP， 与AC相结合，可以在识别出DOS攻击的情况下，保证客户端不被下线，保证客户端的无线接 入不被中断，实现了对DOS攻击的防御。
图7为本发明实施例七提供的AP的结构示意图。本实施例基于上述实施例实现， 如图7所示，本实施例的AP还包括获取模块63和滤波生成模块64。
具体的，获取模块63，与客户端连接，用于获取客户端的第二报文；通常第二报文 是除关联请求报文或认证请求报文之外的报文。滤波生成模块64，与获取模块63连接，用 于对第二报文的RSSI进行滤波处理，生成客户端对应的RSSI阈值；其中，AP根据公式(1) 对第二报文的RSSI进行一阶滞后滤波处理，生成客户端对应的RSSI阈值为一种优选实施 方式，关于公式(1)详见上述方法实施例中的描述，在此不再赘述。
本实施例的AP，通过获取模块和滤波生成模块可以对第二报文的RSSI进行一阶 滞后滤波处理生成客户端的RSSI阈值；相对于普通的算术平均算法，采用一阶滞后滤波法 算法对周期性干扰具有良好的抑制作用，适用于波动频率较高的场合，并且可通过调整滤 波因子a的取值来对滤波结果的灵敏度进行调整，滤波因子a的值越小，滤波结果越灵敏， 因此，通过上述滤波方法获取的RSSI阈值的精度较高。
进一步，本实施例的AP还包括第四发送模块65。具体的，第四发送模块65，与 AC连接，用于接收AC发送的获取指示消息，并根据获取指示消息，向AC发送客户端对应的 RSSI阈值。
再进一步，本实施例的AP还包括第五发送模块66，与AC连接，用于根据预设周 期，定时向AC发送客户端对应的RSSI阈值。
其中，上述第四发送模块65以及第五发送模块66具体可用于向AC发送客户端对 应的RSSI阈值。AP可以同时包括上述功能模块，也可以仅包括第四发送模块65，或者第五 发送模块66。
进一步，本实施例的AP还包括接收转发模块67、第一探测发送模块68、第六发送 模块69和第七发送模块70。
具体的，接收转发模块67，与AC连接，用于接收AC发送的重发操作指示，并将重发 操作指示转发给客户端，以供客户端在重发操作指示中的等待时间结束后重新发送所述第 一报文；第一探测发送模块68，与接收转发模块67和客户端连接，用于根据重发操作指示， 向客户端发送探测请求报文，并等待接收客户端返回的探测应答报文；第六发送模块69， 与第一探测发送模块68和AC连接，用于在接收到客户端返回的探测应答报文时，向AC返 回客户端在线的探测结果，以供AC根据客户端在线的探测结果，重新判定第一报文为攻击 报文，并直接丢弃第一报文；第七发送模块70，与第一探测发送模块68和AC连接，用于在 未接收到客户端返回的探测应答报文时，向AC返回客户端不在线的探测结果，以供AC根据 客户端不在线的探测结果，接收第二发送模块61转发的客户端在等待时间结束后发送的 第一报文。
上述各功能模块可用于执行上述方法实施例提供的DOS攻击防御方法流程中进 一步对AC判断出第一报文为非攻击报文的结果进行判断的流程，具体工作原理详见方法 实施例的描述，在此不再赘述。
本实施例的AP通过上述功能模块可通过判断客户端是否在线并将判断结果提供 给AC，以使AC对其判定第一报文为非攻击报文的判断结果的正确性做进一步判断，以降低 误判几率，对距离客户端很近的攻击者发起的攻击具有很好的防御作用，进一步保证了客 户端无线接入的服务质量。
再进一步，本实施例的AP还包括第五接收模块71、第二探测发送模块72、第一更 新模块73和第二更新模块74。
具体的，第五接收模块71，与AC连接，用于接收AC发送的更新指示消息；第二探 测发送模块72，与客户端和第五接收模块71连接，用于根据更新指示消息，向客户端发送 探测请求报文，并等待接收客户端返回的探测应答报文；第一更新模块73，与第二探测发 送模块72和滤波生成模块64连接，用于在接收到客户端返回的探测应答报文时，根据预设 第一更新步长增大滤波因子，并触发滤波生成模块64重新生成客户端对应的接收信号强 度指示阈值；第二更新模块74，与第二探测发送模块72和滤波生成模块64连接，用于在未 接收到客户端返回的探测应答报文时，根据预设第二更新步长减小滤波因子，并触发滤波 生成模块64重新生成客户端对应的接收信号强度指示阈值。
上述各功能模块可用于执行上述方法实施例提供的DOS攻击防御方法中在AC判 断出第一报文为攻击报文后对滤波因子进行更新的流程，其具体工作原理详见方法实施例 的描述，在此不再赘述。
本实施例的AP，与AC相配合，通过上述功能模块可在AC判断出第一报文为攻击报 文之后，对滤波因子进行更新，以在保证判断第一报文是否为攻击报文的准确性的同时，提 高客户端对应的RSSI阈值的平滑度或灵敏度，进一步提高判断第一报文是否为攻击报文 的准确性，为保证客户端的无线接入的服务质量做出贡献。
图8为本发明实施例八提供的DOS攻击防御系统的结构示意图。如图8所示，本 实施例的系统包括AC81和AP82。
其中，AC81可以采用上述实施例提供的AC，其具体结构和工作原理详见上述实施 例的描述，在此不再赘述。AP82可以为上述实施例提供的AP，其具体结构和工作原理，同样 详见上述实施例的描述，在此不再赘述。
本实施例的DOS攻击防御系统，具体通过AC与AP的配合，可以根据客户端对应 的RSSI阈值来判断客户端的第一报文是否为攻击报文，并可在判断出第一报文为攻击报 文时，直接丢弃第一报文，实现对DOS攻击的防御。与现有技术相比，本发明技术方案无需 AP和客户端进行密钥协商，因此，对任何时候客户端发送的第一报文都可以进行DOS攻击 防御，不受密钥协商的限制；另外，本发明技术方案基于RSSI阈值来判断第一报文是否为 攻击报文，并不像现有技术那样根据客户端的能力属性来判断是否为攻击报文，因此，不会 因DOS攻击报文而导致AC通过AP主动向客户端发送下线报文，使客户端下线或中断无线 接入服务，提高了客户端无线接入的服务质量。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序 在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。
最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其限制；尽 管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替 换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
1.一种拒绝服务攻击防御方法，其特征在于，包括无线控制器接收无线接入点转发的客户端的第一报文；所述无线控制器根据所述无线接入点返回的所述客户端对应的接收信号强度指示阈 值，判断所述第一报文是否为攻击报文；当判断出所述第一报文为攻击报文时，所述无线控制器直接丢弃所述第一报文。
2.根据权利要求1所述的拒绝服务攻击防御方法，其特征在于，还包括所述无线接入点获取所述客户端的第二报文；所述无线接入点对所述第二报文的接收信号强度指示值进行滤波处理，生成所述客户 端对应的接收信号强度指示阈值。
3.根据权利要求1或2所述的拒绝服务攻击防御方法，其特征在于，所述无线控制器根 据所述无线接入点返回的所述客户端对应的接收信号强度指示阈值，判断所述第一报文是 否为攻击报文包括所述无线控制器获取所述第一报文的接收信号强度指示值与所述接收信号强度指示 阈值的差值；所述无线控制器将所述差值与预设门限值进行比较；若所述差值大于所述预设门限值，所述无线控制器判定所述第一报文为攻击报文。
4.根据权利要求1或2所述的拒绝服务攻击防御方法，其特征在于，所述无线接入点向 所述无线控制器返回所述客户端对应的接收信号强度指示阈值包括所述无线接入点接收所述无线控制器发送的获取指示消息，并根据所述获取指示消 息，向所述无线控制器返回所述客户端对应的接收信号强度指示阈值；或者所述无线接入点根据预设周期，定时向所述无线控制器返回所述客户端对应的接收信 号强度指示阈值。
5.根据权利要求1或2所述的拒绝服务攻击防御方法，其特征在于，还包括当判断出所述第一报文为非攻击报文时，所述无线控制器通过所述无线接入点向所述 客户端发送重发操作指示，以供所述客户端在所述重发操作指示中的等待时间结束后重新 发送所述第一报文；所述无线接入点根据所述重发操作指示，向所述客户端发送探测请求报文，并等待接 收所述客户端返回的探测应答报文；若所述无线接入点接收到所述客户端返回的探测应答报文，所述无线接入点向所述无 线控制器返回所述客户端在线的探测结果，所述无线控制器重新判定所述第一报文为攻击 报文，并直接丢弃所述第一报文；若所述无线接入点未接收到所述客户端返回的探测应答报文，所述无线接入点向所 述无线控制器返回所述客户端不在线的探测结果，所述无线控制器根据所述客户端不在线 的探测结果，接收所述无线接入点转发的所述客户端在所述等待时间结束后发送的第一报 文，并转去执行判断所述客户端在所述等待时间结束后发送的第一报文是否为攻击报文的 操作。
6.根据权利要求2所述的拒绝服务攻击防御方法，其特征在于，在判断出所述第一报 文为攻击报文之后还包括所述无线控制器向所述无线接入点发送更新指示消息；所述无线接入点根据所述更新指示消息，向所述客户端发送探测请求报文，并等待接 收所述客户端返回的探测应答报文；若所述无线接入点接收到所述客户端返回的探测应答报文，根据预设第一更新步长调 整所述滤波处理中的滤波因子并重新执行对所述第二报文的接收信号强度指示值进行滤 波处理，生成所述客户端对应的接收信号强度指示阈值的操作；若所述无线接入点未接收到所述客户端返回的探测应答报文，根据预设第二更新步长 调整所述滤波处理中的滤波因子，并重新执行对所述第二报文的接收信号强度指示值进行 滤波处理，生成所述客户端对应的接收信号强度指示阈值的操作。
7.一种无线控制器，其特征在于，包括第一接收模块，用于接收无线接入点转发的客户端的第一报文； 判断模块，用于根据所述无线接入点返回的所述客户端对应的接收信号强度指示阈 值，判断所述第一报文是否为攻击报文；丢弃模块，用于在所述判断模块判断出所述第一报文为攻击报文时，直接丢弃所述第 一报文。
8.根据权利要求7所述的无线控制器，其特征在于，还包括第二接收模块，用于接收所述无线接入点返回的所述客户端对应的接收信号强度指示 阈值，所述接收信号强度指示阈值是由所述无线接入点对获取的所述客户端的第二报文的 接收信号强度指示值进行滤波处理所生成的。
9.根据权利要求7或8所述的无线控制器，其特征在于，所述判断模块包括获取单元，用于获取所述第一报文的接收信号强度指示值与所述接收信号强度指示阈 值的差值；比较单元，用于将所述差值与预设门限值进行比较；判定单元，用于在所述差值大于所述预设门限值时，判定所述第一报文为攻击报文。
10.根据权利要求8所述的无线控制器，其特征在于，所述第二接收模块具体用于向所 述无线接入点发送获取指示消息，并接收所述无线接入点根据所述获取指示消息返回的所 述客户端对应的接收信号强度指示阈值；或者，具体用于接收所述无线接入点根据预设周 期，定时返回的所述客户端对应的接收信号强度指示阈值。
11.根据权利要求7或8所述的无线控制器，其特征在于，还包括重发指示模块，用于在所述判断模块判断出所述第一报文为非攻击报文时，通过所述 无线接入点向所述客户端发送重发操作指示，以供所述客户端在所述重发操作指示中的等 待时间结束后重新发送所述第一报文；第三接收模块，用于接收所述无线接入点返回的所述客户端在线的探测结果，所述客 户端在线的探测结果是所述无线接入点根据所述重发操作指示，向所述客户端发送探测请 求报文，并在接收到所述客户端返回的探测应答报文时生成的；判定模块，用于根据所述客户端在线的探测结果，重新判定所述第一报文为攻击报文， 并直接丢弃所述第一报文；第四接收模块，用于接收所述无线接入点返回的所述客户端不在线的探测结果，所述 客户端不在线的探测结果是由所述无线接入点根据所述重发操作指示，向所述客户端发送 所述探测应答报文，并在未接收到所述客户端返回的探测应答报文时生成的；接收触发模块，用于接收所述无线接入点转发的所述客户端在所述等待时间结束后发 送的第一报文，并触发所述判断模块执行判断所述客户端在所述等待时间结束后发送的第 一报文是否为攻击报文的操作。
12.根据权利要求8所述的无线控制器，其特征在于，还包括第一发送模块，用于向所述无线接入点发送更新指示消息，以供所述无线接入点根据 所述更新指示消息，向所述客户端发送探测请求报文，并等待接收所述客户端返回的探测 应答报文，以根据是否接收到所述客户端返回的探测应答报文调整所述滤波处理中的滤波 因子，并重新执行对所述第二报文的接收信号强度指示值进行滤波处理，生成所述客户端 对应的接收信号强度指示阈值的操作。
13.一种无线接入点，其特征在于，包括第二发送模块，用于将客户端发送的第一报文转发给无线控制器；第三发送模块，用于将所述客户端对应的接收信号强度指示阈值发送给所述无线控制 器，以供所述无线控制器根据所述客户端对应的接收信号强度指示阈值，判断所述第一报 文是否为攻击报文。
14.根据权利要求13所述的无线接入点，其特征在于，还包括获取模块，用于获取所述客户端的第二报文；滤波生成模块，用于对所述第二报文的接收信号强度指示值进行滤波处理，生成所述 客户端对应的接收信号强度指示阈值。
15.根据权利要求13或14所述的无线接入点，其特征在于，还包括以下任一模块或其 组合第四发送模块，用于接收所述无线控制器发送的获取指示消息，并根据所述获取指示 消息，向所述无线控制器发送所述客户端对应的接收信号强度指示阈值；第五发送模块，用 于根据预设周期，定时向所述无线控制器发送所述客户端对应的接收信号强度指示阈值。
16.根据权利要求13或14所述的无线接入点，其特征在于，还包括接收转发模块，用于接收所述无线控制器发送的重发操作指示，并将所述重发操作指 示转发给所述客户端，以供所述客户端在所述重发操作指示中的等待时间结束后重新发送 所述第一报文；第一探测发送模块，用于根据所述重发操作指示，向所述客户端发送探测请求报文，并 等待接收所述客户端返回的探测应答报文；第六发送模块，用于在接收到所述客户端返回的探测应答报文时，向所述无线控制器 返回所述客户端在线的探测结果，以供所述无线控制器根据所述客户端在线的探测结果， 重新判定所述第一报文为攻击报文，并直接丢弃所述第一报文；第七发送模块，用于在未接收到所述客户端返回的探测应答报文时，向所述无线控制 器返回所述客户端不在线的探测结果，以供所述无线控制器根据所述客户端不在线的探测 结果，接收所述无线接入点的第二发送模块转发的所述客户端在所述等待时间结束后发送 的第一报文。
17.根据权利要求14所述的无线接入点，其特征在于，还包括第五接收模块，用于接收所述无线控制器发送的更新指示消息；第二探测发送模块，用于根据所述更新指示消息，向所述客户端发送探测请求报文，并等待接收所述客户端返回的探测应答报文；第一更新模块，用于在接收到所述客户端返回的探测应答报文时，根据预设第一更新 步长增大所述滤波因子，并触发所述滤波生成模块重新生成所述客户端对应的接收信号强 度指示阈值；第二更新模块，用于在未接收到所述客户端返回的探测应答报文时，根据预设第二更 新步长减小所述滤波因子，并触发所述滤波生成模块重新生成所述客户端对应的接收信号 强度指示阈值。
18. —种拒绝服务攻击防御系统，其特征在于，包括权利要求7-12任一项所述的无线 控制器和权利要求13-17任一项所述的无线接入点。
全文摘要
本发明提供一种拒绝服务攻击防御方法、系统、无线接入点及无线控制器。该方法包括无线控制器接收无线接入点转发的客户端的第一报文；无线控制器根据无线接入点返回的客户端对应的接收信号强度指示阈值，判断第一报文是否为攻击报文；当判断出第一报文为攻击报文时，无线控制器直接丢弃第一报文。本发明提供的拒绝服务攻击防御方法、系统、无线接入点及无线控制器，可实现对DOS攻击的防御，同时不会因DOS攻击报文使客户端下线或中断无线接入服务，提高了客户端无线接入的服务质量。
文档编号H04W88/12GK102036248SQ201010603369
公开日2011年4月27日 申请日期2010年12月23日 优先权日2010年12月23日
发明者卢明勇 申请人:北京星网锐捷网络技术有限公司