本发明属于移动互联网安全领域,具体而言,本发明涉及一种基于帧检测的无线网络攻击免疫方法和终端设备。
背景技术:
随着无线网络技术的日益发展,传统的有线接入越来越局限于IT运营企业和固定设施的接入,而在日常生活中,人们主要以无线接入方式为主。可以说,无线网络已经在人们平常的生活和工作中占据了非常重要的地位,今天的人们已经不能离开无线网络,人们的生活也越来越依赖于无线网络。与此同时,随着无线网络流量的增加,无线网络承载了越来越多的私密信息,成为黑客和不法分子攻击的对象,无线网络通信的安全隐患日益明显。
在现有的无线攻击手段中,强制断网是较为常见的一种方式。在此方式中,迫使终端设备断开与当前无线接入点的正常链接,为随后的攻击创造机会。虽然目前常用的802.11协议采用了多种加密协议来保护数据安全,但是对于管理帧的安全问题缺乏有效的保护措施,攻击者很容易伪造虚假管理帧发起攻击,而当前终端设备及无线AP(无线访问接入点)普遍缺乏对无线网络攻击的抵御能力,极易受到此类攻击的威胁。
针对上述问题,目前已经提出一些解决方案,例如一些管理帧的保护策略,如扩展认证或管理帧检测等手段。
扩展认证需要给传送的管理帧增加认证字段,通过增强对管理帧真实性的认证识别虚假管理帧,抵御攻击者发起的无线网络攻击,这一方面涉及到对管理帧字段的修改,采用了密码认证技术,复杂性较高。
管理帧检测通过检测厂家信息等方式将非法的管理帧过滤掉,不需要密码算法,复杂度低,完全面向客户,不必提前训练,对现有协议及网络端均无改动,但是存在判断失误率高,安全隐患较大等问题。
技术实现要素:
本发明针对现有的方式的上述缺点,提出一种基于帧检测的无线网络攻击免疫方法和终端设备,用以解决现有技术存在的终端设备容易被非法攻击者采用管理帧的方式关闭网络,然后在寻找时机进行攻击,从而完成非法攻击的目的,从而给客户带来较大的安全隐患和经济损失的问题。
本发明的实施例根据一个方面,提供了一种基于帧检测的无线网络攻击免疫方法,包括:
收集终端设备接收到的管理帧和数据帧信息;
如果管理帧为敏感帧,则暂不执行,并启动计时器开始计时,在计时器计时期间继续接收管理帧和数据帧;
通过计时器计时期间继续接收的管理帧和数据帧判定敏感帧是否为虚假帧,进行相应的安全处理。
优选地,敏感帧为Disassociation(取消关联)帧或Deauthentication(接触身份验证)帧。
优选地,计时器的计时时间取决于用户自定义的安全属性及接收到的管理帧和数据帧信息。
优选地,当敏感帧为Disassociation帧时,如果在计时器计时期间接收到发给终端设备的Deauthentication帧之外的管理帧和数据帧,则判断敏感帧为虚假帧。
优选地,当敏感帧为Deauthentication帧时,如果在计时器计时期间接收到发给终端设备的任何管理帧或数据帧,则判断敏感帧为虚假帧。
优选地,当判定敏感帧为虚假帧时,将敏感帧执行抛弃处理。
优选地,如果在计时器计时期间没能判断敏感帧为虚假帧,则在计时器计时的时间内继续监听后续的管理帧和数据帧。
优选地,如果在计时器计时期间没能判断敏感帧为虚假帧,则在计时器计时结束后执行敏感帧。
优选地,根据上述步骤中接收到各种管理帧、数据帧及转换条件,评估分析当前无线网络的安全性。
另外,本发明还公开了一种终端设备,其包括:
收集模块,用于收集终端设备接收到的管理帧和数据帧信息;
检测模块,用于检测接收到的管理帧和数据帧信息,如果管理帧为敏感帧,则暂不执行,并启动计时器开始计时,在计时器计时期间收集模块继续接收管理帧和数据帧;
评估分析模块,通过计时器计时期间继续接收的管理帧和数据帧判定敏感帧是否为虚假帧,进行相应的安全处理。
本发明的实施例中,不是简单地接受到管理帧后就执行此管理帧,而是根据路由器所处的无线网络环境进行判定,建立了检测模型,实现对安全状态的自动识别,根据识别结果,对后续帧方形或者阻止,极大的提升了攻击的难度。另外为了使得检测结果更加简洁明了,本发明还构建了可以自动输出结果的有限自动机,为本发明的后续实施提供了方便。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明基于帧检测的无线网络攻击免疫方法其中一实施例的流程示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端设备”、“终端设备设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
下面根据附图1,通过实施例,详细介绍本发明公开的基于帧检测的无线网络攻击免疫方法。
本发明的实施例中,首先获取接收到的所有帧(包括数据帧和管理帧)及其时间戳,然后,以上述信息为输入构造有限状态机作为网络模型,以可自定义的系统安全属性作为检测条件,检测当前无线网络环境的安全水平,并输出检测结论,最后根据检测结论继续执行检测过程(当在当前环境中未发现安全异常时)或者中断当前无线连接(当判定当前环境存在安全问题时)。在实际实施中,可以进一步结合实际部署环境,分析和处理帧传输情况,得到具体攻击的类型、威胁程度等有针对性的结论。将上述收集到的无线信息以xml(可扩展标识语言)集的方式组织并存储,使网络整体信息结构化,这里以xml集的方式进行组织和存储,具有描述简单,直接的优点,这里也可以选择其他的方式来组织和存储,此处不做具体的限制。
下面通过实施例,详细给出基于帧检测的无线网络攻击免疫方法的实施步骤:
实施例一:
首先,收集终端设备接收到的管理帧和数据帧信息;
如果管理帧为敏感帧,则暂不执行,并启动计时器开始计时,这里计时器计时的时间设定为5S,也可以根据用户自定义的安全属性及接收到的所述管理帧和数据帧信息设置其它的时间,这里不做具体的限制。在计时器计时期间继续接收管理帧和数据帧;
当敏感帧为Disassociation帧时,如果在计时器计时期间接收到发给所述终端设备的Deauthentication帧之外的管理帧和数据帧,则判断敏感帧为虚假帧,将敏感帧执行抛弃处理。如果在所述计时器计时期间没能判断所述敏感帧为虚假帧,则在所述计时器计时的时间内继续监听后续的管理帧和数据帧,在所述计时器计时结束后执行所述敏感帧。
根据上述步骤中接收到各种管理帧、数据帧及转换条件,评估分析当前无线网络的安全性。
实施例二
首先,收集终端设备接收到的管理帧和数据帧信息;
如果管理帧为敏感帧,则暂不执行,并启动计时器开始计时,这里计时器计时的时间设定为5S,也可以根据用户自定义的安全属性及接收到的所述管理帧和数据帧信息设置其它的时间,这里不做具体的限制。在计时器计时期间继续接收管理帧和数据帧;
当敏感帧为Deauthentication帧时,如果在所述计时器计时期间接收到发给终端设备的任何管理帧或数据帧,则判断敏感帧为虚假帧,将敏感帧执行抛弃处理。如果在计时器计时期间没能判断敏感帧为虚假帧,则在计时器计时的时间内继续监听后续的管理帧和数据帧,在计时器计时结束后执行敏感帧。
根据上述步骤中接收到各种管理帧、数据帧及转换条件,评估分析当前无线网络的安全性。
实施例三
本发明还公开了一种终端设备,包括:
收集模块,用于收集终端设备接收到的管理帧和数据帧信息;
检测模块,用于检测接收到的管理帧和数据帧信息,如果管理帧为敏感帧,则暂不执行,并启动计时器开始计时,在计时器计时期间收集模块继续接收管理帧和数据帧;
评估分析模块,通过计时器计时期间继续接收的管理帧和数据帧判定敏感帧是否为虚假帧,进行相应的安全处理。
具体运行步骤,可以参考上述两种实施例的方法步骤,这里不做详细的描述。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。