本申请涉及信息安全技术领域,尤其涉及一种恶意ap的检测方法及装置。
背景技术:
无线网络已经深入到生活的各个角落,随身携带的智能手机等设备,无线网络开关一般不会手动进行关闭。尤其是到了星巴克、麦当劳、商场等公共场合,总会迫不及待地连接公共场合ap(wirelessaccesspoint,无线访问接入点)。
由于在移动互联时代,使用手机付款、刷微博等亦成为常态,如果公共场合的无线热点被黑客入侵,用户连接上网后,个人信息和财产被窃取的可能性极大。用户在连入ap时往往无法判断热点的安全性,家用无线路由在安全措施比较完备的情况下,也有可能出现黑客入侵的情况。这种存在攻击行为的无线网络,成为恶意ap。
现有技术中,防御恶意ap攻击发方式,有两种:在移动设备终端进行配置,拒绝连接恶意ap;用户举报恶意ap,形成数据库,对新接入的用户进行警报。对于第一种防御恶意ap的方法,从移动设备入手,让黑客无从下手,每个移动设备的安全配置方案不同,用户往往无法自己去配置,不是通用的防御方法,难以抵御恶意ap的攻击。对于第二种防御恶意ap的方法,往往无法防御第一次攻击,需要多个用户被攻击之后举报,才能开始防御,并且恶意ap本身就有攻击一次就换个地方的特性,所以不能在被攻击之前检测出恶意ap,难以防御恶意ap对智能设备的攻击。
技术实现要素:
本申请提供了一种恶意ap的检测方法及装置,以解决不能有效防御恶意ap攻击的问题。
第一方面,本申请提供了一种恶意ap的检测方法,该方法包括:如果搜索到目标无线网络接入点ap,则启动访问连接,所述访问连接是根据http协议以明文方式发送;如果启动所述访问连接,则启动测试连接,所述测试连接是根据https协议以加密方式发送;判断所述测试连接是否运行;如果所述测试连接未运行,则确定存在恶意ap;如果所述测试连接已运行,则获取服务器发送的数字证书;根据所述预置证书验证机制,验证所述数字证书;如果出现验证异常,则确定存在恶意ap;如果未出现验证异常,则获取验证时长;如果所述验证时长不大于预置时长,则继续验证所述数字证书;如果所述验证时长大于所述预置时长,则确定不存在恶意ap。采用本实现方式,通过启动访问连接后跳转至测试连接,创建浏览器对象,避免恶意ap创建主动链接通过欺骗用户,是用户与攻击者建立不安全的连接。通过于是证书验证机制验证数值证书是否出现异常,以防止伪造证书类的攻击。其创建浏览器对象具有通用性,使用基于行为的方式判断是否存在恶意攻击,可以做到实时防御,且准确度较高。
结合第一方面,在第一方面第一种可能的实现方式中,所述判断测试连接是否运行,包括:发起获取请求,所述获取请求是指获取所述测试连接的响应头字段的属性;如果获取到的属性为真,则确定所述测试连接已运行;如果获取到的属性为假,则确定所述测试连接未运行。
结合第一方面,在第一方面第二种可能的实现方式中,所述访问连接为http://ping.test.com。
结合第一方面,在第一方面的第三种可能的实现方式中,所述测试连接为https://ping.test.com。
第二方面,本申请还提供了一种恶意ap的检测装置,所述装置包括用于执行第一方面各种实现方式中方法步骤的模块。
第三方面,本申请还提供了一种终端,包括:处理器及存储器;所述处理器可以执行所述存储器中所存储的程序或指令,从而实现以第一方面各种实现方式所述恶意ap的检测方法。
第四方面,本申请还提供了一种存储介质,该计算机存储介质可存储有程序,该程序执行时可实现包括本申请提供的恶意ap的检测方法各实施例中的部分或全部步骤。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种恶意ap的检测方法流程图;
图2为本申请提供的一种判断测试连接是否运行的方法流程图;
图3为本申请提供的一种恶意ap的检测装置结构组成框图;
图4为本申请提供的一种判断测试连接是否运行的装置结构组成框图。
具体实施方式
通常智能设备通过sslstrip类和伪造证书类两种方式被攻击。sslstrip类攻击,是一种主流的中间人攻击工具,其攻击方式通过欺骗用户,是用户和攻击者建立一个不安全的http连接,由攻击者代理和服务器建立https连接。这样攻击者就可以直接获取用户发送的明文信息,通过明文信息攻击智能设备。伪造证书类攻击,攻击者首先通过arp攻击、dns劫持和诱导用户设置代理等方式劫持回话。当捕获到呗攻击者发起的网络请求后,攻击者伪造一个对应服务器的ssl整数,使其中的域为被攻击者请求的域,并设置合适的证书有效期。攻击者把伪造的ssl证书公钥发送给被攻击者,使其以为是在与真正的目标服务器通信。若验证ssl证书的域和有效期都没有问题,则认为访问到的就是目标服务器,从而把对称密钥发送给攻击者的服务器。攻击者掌握了该对称密钥后即可解密被攻击者发出的加密数据,而后窃取智能设备的用户信息。
参见图1,为本申请提供的一种恶意ap的检测方法流程图。如图1所示,该方法包括:
101、如果搜索到目标无线网络接入点ap,则启动访问连接。
大部分智能设备,具有搜索无线网络的功能,该功能可以手动搜索,也可以自动搜索,由用户根据自己的需要获取。智能设备能够搜索到其周围覆盖的无线网络,在搜索到的网络中,查看是否包括目标无线网络。目标无线网络,是用户想要连接的无线网络。
如果搜索到目标ap,则启动访问连接。访问连接,是智能设备访问网络时,创建的浏览器对象。浏览器对象,用于连接互联网。访问连接是根据http协议以明文方式发送,访问连接为http://ping.test.com。http协议,是用于从www服务器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示(如文本先于图形)等。
102、如果启动访问连接,则启动测试连接。
测试连接是根据https协议以加密方式发送。测试连接为https://ping.test.com。https是安全超文本传输协议,是在http协议的基础上增加了使用ssl加密传送信息的协议。https就是在http和tcp之间有ssl层,ssl层的作用是防止钓鱼和加密。防止钓鱼通过网站的证书,网站必须有ca证书,证书类似解密的签名。另外加密需要密钥加密算法,双方通过交换后的密钥加解密。也就是,客户端产生一个对称的密钥,通过服务器的证书来交换密钥,服务端和客户端之间的通信都是加密的,第三方即使截获也没有任何意义。使用对称加密算法是,可采用diffie-hellman密钥交换算法。
103、判断测试连接是否运行。
获取测试连接的属性值,在测试连接运行时,其属性值发生改变,进而判断测试连接是否运行。还可以在测试连接实际执行前,设置启动标识,如果测试连接运行则启动标识发生改变,通过启动标识判断测试连接是否运行。在本申请实施例中,对判断测试连接是否运行的方法不做限定。
104、如果测试连接未运行,则确定存在恶意ap。
如果恶意ap通过sslstrip类攻击智能设备,则恶意ap会主动发送一个不安全的http连接,利用攻击者与智能设备建立一个不安全的http连接,攻击者代理智能设备与服务器建立https连接,直接获取用户通过智能设备发送的明文信息。这样一来,智能设备实际上并没有启动启动访问连接,也就不能启动测试连接,测试连接也就不能运行。如果测试连接未运行,则可以确定存在恶意ap。之后,可以设置在智能设备界面上提示恶意ap,不能在继续连接该网络。当然该网络恶意ap可能是被攻击的目标ap、也可能本身就是是恶意ap。
105、如果测试连接已运行,则获取服务器发送的数字证书。
如果测试连接已运行,则说明没有受到sslstrip类攻击。在启动测试连接后,获取服务器发送给终端的数字证书,正常连接互联网。
106、根据预置证书验证机制,验证数字证书。
验证数字证书,包括验证智能设备的请求的域,以及证书有效期。
107、如果出现验证异常,则确定存在恶意ap。
验证证书出现验证异常,也就是说攻击者把伪造的ssl证书公钥发送给智能设备,使智能设备以为是在于真正的目标服务器通信,从而把对称密钥发送给攻击者服务器,攻击者掌握了该对称密钥后即可解密被攻击者发出的加密数据。攻击者攻击智能设备,也就是智能设备连接了恶意ap。当然该网络恶意ap可能是被攻击的目标ap、也可能本身就是是恶意ap。
108、如果未出现验证异常,则获取验证时长。
如果未出现验证异常,则有两种可能一种是确实数字证书没有异常,另一种是由于该验证还未结束。所以为了确定数字证书是否真的出现异常,还需要获取验证时长。
109、如果验证时长不大于预置时长,则继续验证数字证书。
110、如果验证时长大于预置时长,则确定不存在恶意ap。
如果测试连接已运行,并且验证证书在预置时间内未出现验证异常,则确定不存在恶意ap,可以正常访问互联网。
采用本实现方式,通过启动访问连接后跳转至测试连接,创建浏览器对象,避免恶意ap创建主动链接通过欺骗用户,是用户与攻击者建立不安全的连接。通过于是证书验证机制验证数值证书是否出现异常,以防止伪造证书类的攻击。其创建浏览器对象具有通用性,使用基于行为的方式判断是否存在恶意攻击,可以做到实时防御,且准确度较高。
参见图2,为本申请提供的一种判断测试连接是否运行的方法流程图,该方法包括如下步骤:
201、发起获取请求。
获取请求,是以利用编程语言的请求函数为基础,获取测试连接的响应头字段的属性。示例性的,发起get请求,将httpclient的http.protocol.handle-redirects属性设置为false,读取返回的httpresponse的header中的location字段。
202、如果获取到的属性为真,则确定测试连接已运行。
203、如果获取到的属性为假,则确定测试连接未运行。
采用上述实现方式,以编程语言中的现有函数为基础,判断测试连接是否运行,节省代码编写量,提供编写速度,同时还能保证代码的准确性。
参见图3,为本申请提供的一种恶意ap的检测装置结构组成框图。参见图4,为本申请提供的一种判断测试连接是否运行的装置结构组成框图。如图3所示,该装置包括:
第一启动单元31,用于如果搜索到目标无线网络接入点ap,则启动访问连接,访问连接是根据http协议以明文方式发送;
第二启动单元32,用于如果启动访问连接,则启动测试连接,测试连接是根据https协议以加密方式发送;
判断单元33,用于判断测试连接是否运行;
确定单元34,用于如果测试连接未运行,则确定存在恶意ap;
获取单元35,用于如果测试连接已运行,则获取服务器发送的数字证书;
验证单元36,用于根据预置证书验证机制,验证数字证书;
确定单元34,还用于如果出现验证异常,则确定存在恶意ap;
获取单元35,还用于如果未出现验证异常,则获取验证时长;
验证单元36,还用于如果验证时长不大于预置时长,则继续验证数字证书;
确定单元34,还用于如果验证时长大于预置时长,则确定不存在恶意ap。
进一步地,如图4所示,判断单元33,包括:
发起模块331,用于发起获取请求,获取请求是指获取测试连接的响应头字段的属性;
确定模块332,用于如果获取到的属性为真,则确定测试连接已运行;
确定模块332,还用于如果获取到的属性为假,则确定测试连接未运行。
进一步地,访问连接为http://ping.test.com。
进一步地,测试连接为https://ping.test.com。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供恶意ap的检测方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-onlymemory,简称:rom)或随机存储记忆体(英文:randomaccessmemory,简称:ram)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。以上所述的本发明实施方式并不构成对本发明保护范围的限定。