一种在无线接入点AP上应用的无线攻击防御方法和装置与流程

本发明实施例涉及通信领域，尤其涉及一种在无线接入点AP上应用的无线攻击防御方法和装置。

背景技术：

随着无线网络的发展，人们的生活越来越依赖于网络。在目前的无线网络环境下，时常会发生恶意的无线网络攻击行为，无线攻击防御机制已成为保障无线网络安全的重点。

目前的无线攻击防御机制，主要是采用的无线接入点(Access Point，简称AP)和无线集中控制器(Wireless Access Point Controller，简称AC)结合的方式，AC用于集中化管理无线AP，无线AP接入多个网络设备；无线AP在内核模块确定出攻击报文之后，确实出攻击者的MAC地址，并将媒体访问控制(Media Access Control，简称MAC)地址上传至AC，AC采用相应的策略对攻击者进行拦截。

现有技术中的这种无线攻击防御方法具有较高的时延性，通常在检测到无线攻击行为之后，AC还未采取措施之前，无线AP的通信网络已经处于瘫痪状态，甚至挂死状态，并不能及时进行无线攻击防御，而且无线攻击防御效率较低。因此，亟需一种无线攻击防御方法及时、有效的进行无线攻击防御。

技术实现要素：

本发明实施例提供一种在无线AP上应用的无线攻击防御方法和装置，用于及时、有效的进行无线攻击防御。

本发明实施例中提供的一种在无线AP上应用的无线攻击防御方法，包括：接收预设时长内的多个报文；解析所述多个报文中的每个报文，确定出所述多个报文中的每个报文的属性信息；其中，所述属性信息包括报文的报文类型和源地址；针对所述多个报文对应的所有属性信息中的每个属性信息，在确定该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，将所述多个报文中的该属性信息对应的报文确定为攻击报文。

本发明实施例中提供一种在无线AP上应用的无线攻击防御方法装置，包括：报文接收模块，用于接收预设时长内的多个报文；报文解析模块，用于解析所述多个报文中的每个报文，确定出所述多个报文中的每个报文的属性信息；其中，所述属性信息包括报文的报文类型和源地址；报文统计模块，用于针对所述多个报文对应的所有属性信息中的每个属性信息，统计该属性信息对应的报文的数量；报文过滤模块，用于在确定该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，将所述多个报文中的该属性信息对应的报文确定为攻击报文；通过所述无线AP的驱动模块将确定为所述攻击报文的报文删除。

本发明实施例中，由于无线攻击防御装置接收预设时长内的多个报文；解析多个报文中的每个报文，确定出多个报文中的每个报文的属性信息；其中，属性信息包括报文的报文类型和源地址；针对多个报文对应的所有属性信息中的每个属性信息，在确定该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，将多个报文中的该属性信息对应的报文确定为攻击报文；因此，可有效确定出攻击报文；通过无线AP的驱动模块将确定为攻击报文的报文删除，如此，一方面将攻击报文删除，有效进行无线攻击防御，防止攻击报文进入无线AP的内核模块；另一方面，确定出攻击报文之后，通过无线AP的驱动模块将攻击报文进行删除，不需要将攻击报文的信息上传至无线集中控制器，进而及时进行无线攻击防御。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍。

图1为本发明实施例提供的一种在无线AP上应用的无线攻击防御系统架构示意图；

图2为本发明实施例提供的一种在无线AP上应用的无线攻击防御方法流程示意图；

图3为本发明实施例提供的在另一种在无线AP上应用的无线攻击防御方法流程示意图；

图4为本发明实施例提供的一种在无线AP上应用的无线攻击防御装置结构示意图。

具体实施方式

为了使本发明的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

图1示例性示出了本发明实施例适用的一种在无线AP上应用的无线攻击防御系统架构示意图，无线攻击防御系统包括无线AP和多个接入该无线AP的网络设备，如图1所示，该无线攻击防御系统架构100包括无线AP110、网络设备120、网络设备130和网络设备140；无线AP110连接网络设备120、网络设备130和网络设备140；无线AP110包括驱动模块111、内核模块112、应用模块113、无线攻击防御装置114，无线攻击防御装置114设置在驱动模块111中。

本发明实施例中，任意两个网络设备之间进行通信，一端的网络设备先将报文发送至无线AP110，无线AP110将接收到的报文发送至另一端的网络设备；例如，网络设备120向网络设备130发送报文的过程为：网络设备120向无线AP110发送报文，无线AP110接收到该报文之后，将该报文发送至网络设备130。无线AP110在预设时长内接收到网络设备120、网络设备130和网络设备140发送的多个报文，再通过无线攻击防御装置114进行无线攻击检测和防御。

本发明实施例中提供一种无线攻击防御装置114，包括报文接收模块、报文解析模块、报文统计模块、报文过滤模块；其中，报文接收模块，用于接收预设时长内的多个报文；报文解析模块，用于解析多个报文中的每个报文，得到每个报文属性信息；报文统计模块，用于统计多个报文对应的所有属性信息中的每个属性信息对应的报文的数量；报文过滤模块，用于确定出多个报文中的攻击报文，并将攻击报文删除。基于上述实施例中提供的无线攻击防御装置114，本发明实施例提供另一种无线攻击防御装置114，还包括定时器检测模块，用于向报文过滤模块发送指示信息，以使报文过滤模块确定出攻击报文。

图2示例性示出了本发明实施例提供的一种在无线接入点AP上应用的无线攻击防御方法流程示意图。

基于图1所示的系统架构，如图2所示，本发明实施例提供的一种在无线AP上应用的无线攻击防御方法，包括以下步骤：

步骤S201：无线攻击防御装置接收预设时长内的多个报文；

步骤S202：无线攻击防御装置解析多个报文中的每个报文，确定出多个报文中的每个报文的属性信息；其中，属性信息包括报文的报文类型和源地址；

步骤S203：无线攻击防御装置针对多个报文对应的所有属性信息中的每个属性信息，在确定该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，将多个报文中的该属性信息对应的报文确定为攻击报文；

步骤S204：通过无线AP的驱动模块将确定为攻击报文的报文删除。

本发明实施例步骤S201中，预设时长根据实际应用需求进行设置，此处不作具体限制；例如，预设时长为2秒，无线攻击防御装置接收2秒内的多个报文，继续执行步骤S202、步骤S203和步骤S204；在下一个2秒内，重复执行步骤S201、步骤S202、步骤S203和步骤S204；可选地，无线攻击防御装置接收到的多个报文可为多个网络设备发送的报文，也可为一个网络设备发送的报文。

本发明实施例步骤S202中，可选地，多个报文对应的所有属性信息可以相同，也可以不相同。其中，属性信息相同，也就是说，报文类型相同且源地址相同；属性信息不相同包括以下几种情况：情况一、报文类型相同且源地址不相同；情况二、报文类型不相同且源地址相同；情况三、报文类型不相同且源地址不相同。

举个例子，无线攻击防御装置接收四个报文，四个报文中每个报文属性信息相同，例如四个报文的报文类型均为关联报文、源地址均为MAC1；或者，四个报文中的属性信息不相同，例如，其中的三个报文的报文类型为关联报文、源地址为MAC1，剩余一个报文的报文类型为认证报文、源地址为MAC1；再例如，四个报文中的两个报文的报文类型为认证报文、源地址为MAC1，另两个报文的报文类型为认证报文、源地址为MAC2。

本发明实施例步骤S203中，报文类型数量阈值根据实际应用需求进行设置，此处不作具体限制。各个类型的报文对应的报文类型数量阈值可以相同，也可以不相同；举个例子，例如，报文类型包括认证报文和关联报文，将认证报文数量阈值设置为32，关联报文数量阈值设置为35；无线AP接入两个网络设备，分别为网络设备一和网络设备二；网络设备一的地址为MAC1、网络设备二的地址为MAC2；网络设备一向无线AP发送66个报文，分别为30个认证报文和36个关联报文；网络设备二向无线AP发送70个报文，分别为40个认证报文和30个关联报文；那么，对于源地址为MAC1的66个报文中，关联报文的数量36大于关联报文数量阈值35，可以确定出源地址为MAC1的关联报文为攻击报文；对于源地址为MAC2的70个报文中，认证报文的数量40大于认证报文数量阈值32，可以确定出源地址为MAC2的认证报文为攻击报文。

为了更清楚的介绍如何根据每个报文的属性信息确定攻击报文，本发明实施例提供一种多个报文的属性信息示例，例如，预设时长为2秒，在2秒内接收到200个报文，每一种属性信息对应的报文类型数量阈值均设为30。表1示例性示出了多个报文的属性信息示例。

表1多个报文的属性信息示例

如表1所示，在预设时长为2秒内接收报文总数为200，按照属性信息进行归类，并确定各个属性信息对应的报文数量。属性信息1中报文类型为认证报文、源地址为MAC1，对应的报文数量为40；属性信息2中报文类型为关联报文、源地址为MAC1，对应的报文数量为25；属性信息3中报文类型为解除认证报文、源地址为MAC1，对应的报文数量为25；属性信息4中报文类型为信标报文、源地址为MAC2，对应的报文数量为20；属性信息5中报文类型为关联报文、源地址为MAC2，对应的报文数量为35；属性信息6中报文类型为认证报文、源地址为MAC3，对应的报文数量为25；属性信息7中报文类型为解除关联报文、源地址为MAC3，对应的报文数量为30。其中，每一种属性信息对应的报文类型数量阈值为30，其中，表1中属性信息1对应的认证报文的数量为40、属性信息5对应的关联报文的数量为35，均大于每一种属性信息对应的报文类型数量阈值30，因此，可确定出属性信息1对应的40个报文、属性信息5对应的35个报文为攻击报文。

本发明实施例中，由于无线攻击防御装置接收预设时长内的多个报文；解析所述多个报文中的每个报文，确定出所述多个报文中的每个报文的属性信息；其中，所述属性信息包括报文的报文类型和源地址；针对所述多个报文对应的所有属性信息中的每个属性信息，在确定该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，将所述多个报文中的该属性信息对应的报文确定为攻击报文；因此，可有效确定出攻击报文；通过所述无线AP的驱动模块将确定为所述攻击报文的报文删除，如此，一方面将攻击报文删除，有效进行无线攻击防御，防止攻击报文进入无线AP的内核模块；另一方面，确定出攻击报文之后，通过无线AP的驱动模块将攻击报文进行删除，不需要将攻击报文的信息上传至无线集中控制器，进而及时进行无线攻击防御。

基于上述实施例，相应地，本发明实施例提供的一种在无线AP上应用的无线攻击防御方法还包括：针对多个报文对应的所有属性信息中的每个属性信息，在确定该属性信息对应的报文的数量不大于该属性信息对应的报文类型数量阈值的情况下：通过无线AP的驱动模块将接收到的多个报文中的该属性信息对应的报文发送至无线AP的内核模块。

本发明实施例中以多个报文的属性信息为表1中所示的内容为例进行介绍。如表1所示，在预设时长为2秒内接收报文总数为200，按照属性信息进行归类，并确定各个属性信息对应的报文数量。每一种属性信息对应的报文类型数量阈值为30，如表1所示，属性信息2中报文类型为关联报文、源地址为MAC1，对应的报文数量为25；属性信息3中报文类型为解除认证报文、源地址为MAC1，对应的报文数量为25；属性信息4中报文类型为信标报文、源地址为MAC2，对应的报文数量为20；属性信息6中报文类型为认证报文、源地址为MAC3，对应的报文数量为25；属性信息7中报文类型为解除关联报文、源地址为MAC3，对应的报文数量为30；因此，该属性信息对应的报文的数量不大于该属性信息对应的报文类型数量阈值的报文为：属性信息2、属性信息3、属性信息4、属性信息6、属性信息7对应的报文，并通过无线AP的驱动模块将属性信息2、属性信息3、属性信息4、属性信息6、属性信息7对应的报文发送至无线AP的内核模块。如此，本发明实施例中，在无线AP的驱动模块只将正常报文发送至无线AP的内核模块，并不像现有技术中的将所有报文发送至无线AP的内核模块进行确定是否为攻击报文，因此，本发明实施例中可以防止无线AP的内核模块处理大量的攻击报文导致的挂死状态，而且节省了无线AP内核的资源占用率。

本发明实施例提供另一种实施例，针对所述多个报文对应的所有属性信息中的每个属性信息，将该属性信息包括的报文类型的标志位的值设置为预设值；预设值包括零和第一预设值，其中，第一预设值为不为零的整数；若预设值为零，则表示该属性信息包括的报文类型的报文数量不大于该属性信息对应的报文类型数量阈值；或者；若预设值为第一预设值，则表示该属性信息包括的报文类型的报文数量大于该属性信息对应的报文类型数量阈值。

具体地，根据报文类型的标志位的预设值确定多个报文是否为攻击报文，包括以下两种情况：一种情况为：在确定该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，将多个报文中的该属性信息对应的报文确定为攻击报文，包括：在确定该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下：将该属性信息包括的报文类型的标志位的值设置为第一预设值，并记录该属性信息包括的源地址；在确定该报文类型的标志位的值设置为第一预设值的情况下，将多个报文中的报文类型和该源地址对应的报文确定为攻击报文；通过所述无线AP的驱动模块将确定为所述攻击报文的报文删除。另一种情况为：在确定该属性信息对应的报文的数量不大于该属性信息对应的报文类型数量阈值的情况下：将该属性信息包括的报文类型的标志位的值设置为零，则确定该属性信息对应的报文不是攻击报文，通过无线AP的驱动模块将接收到的多个报文中的该属性信息对应的报文发送至无线AP的内核模块。

需要说明的是，不同的报文类型的标志位对应的第一预设值不同；举个例子，以报文类型包括认证报文、解除认证报文、关联报文、信标报文、解除关联报文为例，认证报文的标志位对应的第一预设值为1，解除认证报文的标志位对应的第一预设值为2、关联报文的标志位对应的第一预设值为3、解除关联报文的标志位对应的第一预设值为4、信标报文的标志位对应的第一预设值为5。

为了更清楚的介绍如何根据预设值确定攻击报文，本发明实施例中以多个报文的属性信息为表1中所示的内容为例进行介绍。

表2示例性示出了根据表1所示的多个报文的属性信息得到的预设值的示例。

如表2所示，基于2秒内接收的200个报文中每种属性信息中的报文类型进行归类，并根据每种属性信息中的报文类型对应的报文数量确定不同的报文类型的标志位对应的预设值。在上述表1中，根据每种属性信息中的报文类型对应的报文数量对200个报文进行归类，则属性信息1对应的预设值为1、属性信息2对应的预设值为0、属性信息3对应的预设值为0、属性信息4对应的预设值为0、属性信息5对应的预设值为3、属性信息6对应的预设值为0、属性信息7对应的预设值为0；也就是说，属性信息1对应的预设值为第一预设值、属性信息5对应的预设值为第一预设值，也就是说，属性信息1对应的报文和属性信息5对应的报文的均为攻击报文，则通过无线AP的驱动模块将攻击报文删除。

通过上述示例可见，本发明实施例中，通过将每种属性信息包括的报文类型的标志位的值设置为预设值，根据预设值确定多个报文中的每个属性信息对应的报文是否为攻击报文；如此，可快速检测出无线网络攻击，进而快速对无线网络攻击进行防御。

可选地，将多个报文中的该属性信息对应的报文确定为攻击报文之后，还包括：将攻击报文对应的源地址上报。本发明实施例，通过报文过滤模块将攻击报文对应的源地址上报，以便于上层应用软件记录攻击报文中包括的源地址，以及每个预设时长内的攻击日志。如此，方便用户查阅无线AP上的攻击日志，以便进一步制定无线攻击防御的策略。

本发明实施例结合无线攻击防御装置，具体说明无线攻击防御过程：无线攻击防御方法在Linux模块驱动中完成，由报文接收模块、报文解析模块、报文统计模块、定时器检测模块和报文过滤模块协同完成，具体过程如下：

报文接收模块接收从无线数据报文接口处获取到多个报文，并将多个报文发送至报文解析模块的缓存区；其中，每一个预设时长开始前，先对报文解析模块的缓存区进行初始化，将缓存区清零，以便于使缓存区所缓存的报文为预设时长内的多个报文；

报文解析模块对缓存区内的多个报文进行解析，调用分析函数对每个报文的属性信息进行解析，得到每个报文的报文类型和源地址，并将每个报文的报文类型和源地址调用输出接口输出至报文统计模块；

报文统计模块根据接收到的每个报文的报文类型和源地址，通过报文统计结构体统计出每个源地址和报文类型对应的报文数量，在接收到定时器检测模块发送的定时信号之后，向定时器检测模块发送统计结果；其中，报文统计结构体使用之前先进行初始化；

定时器检测模块根据每个报文的属性信息对应的报文的数量，将每个报文的属性信息包括的报文类型的标志位设置为预设值；在该属性信息对应的报文的数量不大于该属性信息对应的报文类型数量阈值的情况下，将预设值设置为零；在该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，将预设值设设置为第一预设值，并记录该属性信息包括的源地址；定时器检测模块向报文过滤模块发送该属性信息包括的源地址和预设值；

报文过滤模块接收该属性信息包括的源地址和标志位的预设值之后，对多个报文进行处理：若确定所有的报文类型的标志位对应的预设值都为零，直接将多个报文发送至内核模块；若确定所有的报文类型的标志位对应的预设值中存在第一预设值，则将第一预设值对应的报文确定为攻击报文，记录攻击报文中的源地址，并将攻击报文删除。

本发明实施例中，能够在预设时间内检测出是否存在攻击报文，在确定出攻击报文的情况下，直接在无线AP的驱动模块进行删除，降低了无线攻击防御的时延，进而有效、及时的进行无线攻击防御，提高了接入无线接入点的网络设备所在网络的稳定性。

上述实施例中的任一个实施例中，属性信息中包括的报文类型包括以下内容中的任一项：认证报文、解除认证报文、关联报文、解除关联报文、动态主机配置协议(Dynamic Host Configuration Protocol，简称DHCP)报文、信标报文。

本发明实施例中，无线攻击类型有磁盘操作系统认证(Authentication Dos)攻击报文、解除认证(Deauthentication)报文攻击、解除关联(Disassociation Amok)报文攻击、DHCP泛洪攻击和信标报文攻击(Beacon flood)等。

为了更清楚的介绍上述方法流程，本发明实施例提供以下示例。

图3示例性示出了本发明实施例提供的另一种在无线AP上应用的无线攻击防御方法流程示意图，基于图1所示的系统架构，如图3所示，本发明实施例提供的另一种在无线AP上应用的无线攻击防御方法，通过无线攻击防御装置执行该方法；该方法包括以下步骤：

步骤S301：通过报文接收模块接收预设时长内的多个报文；

步骤S302：通过报文解析模块解析多个报文中的每个报文，确定出多个报文中的每个报文的属性信息；其中，属性信息包括报文的报文类型和源地址；属性信息中包括的报文类型包括以下内容中的任一项：认证报文、解除认证报文、关联报文、解除关联报文、动态主机配置协议DHCP报文、信标报文。

步骤S303：通过报文统计模块统计多个报文中每个报文的属性信息对应的报文数量，将多个报文、属性信息和属性信息对应的报文数量发送至定时器检测模块；

步骤S304：针对多个报文对应的所有属性信息中的每个属性信息，通过定时器检测模块确定该属性信息对应的报文的数量是否大于该属性信息对应的报文类型数量阈值；若是，则将该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的所有报文发送至定时器检测模块，并执行步骤S305；若否，则将该属性信息对应的报文的数量不大于该属性信息对应的报文类型数量阈值的所有报文发送至定时器检测模块，并执行步骤S306；

步骤S305：通过定时器检测模块将该属性信息包括的报文类型的标志位的值设置为第一预设值，记录该属性信息包括的源地址，并将该属性信息对应的报文、报文类型的标志位对应的第一预设值和源地址发送至报文过滤模块，并执行步骤S307；

步骤S306：通过定时器检测模块将该属性信息包括的报文类型的标志位的值设置为零，并将该属性信息对应的报文、报文类型的标志位对应的值零发送至报文过滤模块；

步骤S307：通过报文过滤模块确定该属性信息包括的报文类型的标志位的值是否设置为第一预设值；若是，则执行步骤S308；若否，则执行步骤S311；

步骤S308：通过报文过滤模块将多个报文中该属性信息包括的报文类型对应的报文确定为攻击报文；

步骤S309：通过报文过滤模块将确定为攻击报文的报文删除；

步骤S310：通过报文过滤模块将攻击报文对应的源地址上报；

步骤S311：通过报文过滤模块将接收到的多个报文中的该属性信息对应的报文发送至无线AP的内核模块。

从上述内容可以看出：由于将无线攻击防御装置设置在无线AP上，无线攻击防御装置接收预设时长内的多个报文；解析所述多个报文中的每个报文，确定出所述多个报文中的每个报文的属性信息；其中，所述属性信息包括报文的报文类型和源地址；针对所述多个报文对应的所有属性信息中的每个属性信息，在确定该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，将所述多个报文中的该属性信息对应的报文确定为攻击报文；因此，可有效确定出攻击报文；通过所述无线AP的驱动模块将确定为所述攻击报文的报文删除，如此，一方面将攻击报文删除，有效进行无线攻击防御，防止攻击报文进入无线AP的内核模块；另一方面，确定出攻击报文之后，通过无线AP的驱动模块将攻击报文进行删除，不需要将攻击报文的信息上传至无线集中控制器，进而及时进行无线攻击防御。而且，本发明实施例提供的方法节省了现有技术中需要将攻击报文的信息发送至无线集中控制器的网络传输过程中所造成的开销，进而减轻了网络负载，并提高了接入无线AP的网络设备所在网络的稳定性和安全性。进一步地，本发明实施例提供的方法适用于很多无线网络架构，并不局限于包括无线AP和无线集中控制器AC的网络架构，因此本发明实施例的方法可以在任意包括无线AP的网络架构中实施，该方法的可移植性良好。

图4示例性示出了本发明实施例提供的一种在无线AP上应用的无线攻击防御装置的结构示意图。

基于相同构思，本发明实施例提供的一种在无线AP上应用的无线攻击防御装置，用于执行上述方法流程，该无线攻击防御装置位于所述无线AP的驱动模块上；如图4所示，该无线攻击防御装置400包括报文接收模块401、报文解析模块402、报文统计模块403和报文过滤模块405；所述无线攻击防御装置400还包括定时器检测模块404，其中：

报文接收模块401，用于接收预设时长内的多个报文；

报文解析模块402，用于解析所述多个报文中的每个报文，确定出所述多个报文中的每个报文的属性信息；其中，所述属性信息包括报文的报文类型和源地址；

报文统计模块403，用于针对所述多个报文对应的所有属性信息中的每个属性信息，统计该属性信息对应的报文的数量；

报文过滤模块405，用于在确定该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，将所述多个报文中的该属性信息对应的报文确定为攻击报文，并将确定为所述攻击报文的报文删除。

可选地，所述报文过滤模块405，还用于：在确定该属性信息对应的报文的数量不大于该属性信息对应的报文类型数量阈值的情况下：将接收到的所述多个报文中的该属性信息对应的报文发送至所述无线AP的内核模块。

可选地，所述无线攻击防御装置400还包括定时器检测模块404，用于：接收所述报文统计模块403在统计出该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，发送的指示信息；其中，所述指示信息用于指示所述定时器检测模块404将该属性信息包括的报文类型的标志位设置为第一预设值；根据所述指示信息，将该属性信息包括的报文类型的标志位设置为第一预设值；记录该属性信息包括的源地址；向所述报文过滤模块405发送该属性信息包括的源地址；所述报文过滤模块405，用于：接收该属性信息包括的源地址；在确定该报文类型的标志位的值设置为所述第一预设值的情况下，将所述多个报文中的报文类型和该源地址对应的报文确定为攻击报文。

可选地，所述属性信息中包括的报文类型包括以下内容中的任一项：认证报文、解除认证报文、关联报文、解除关联报文、动态主机配置协议DHCP报文、信标报文。

可选地，所述报文过滤模块405，还用于：将所述攻击报文对应的源地址上报。

从上述内容可以看出：由于将无线攻击防御装置设置在无线AP上，无线攻击防御装置接收预设时长内的多个报文；解析所述多个报文中的每个报文，确定出所述多个报文中的每个报文的属性信息；其中，所述属性信息包括报文的报文类型和源地址；针对所述多个报文对应的所有属性信息中的每个属性信息，在确定该属性信息对应的报文的数量大于该属性信息对应的报文类型数量阈值的情况下，将所述多个报文中的该属性信息对应的报文确定为攻击报文；因此，可有效确定出攻击报文；通过所述无线AP的驱动模块将确定为所述攻击报文的报文删除，如此，一方面将攻击报文删除，有效进行无线攻击防御，防止攻击报文进入无线AP的内核模块；另一方面，确定出攻击报文之后，通过无线AP的驱动模块将攻击报文进行删除，不需要将攻击报文的信息上传至无线集中控制器，进而及时进行无线攻击防御。而且，本发明实施例提供的方法节省了现有技术中需要将攻击报文的信息发送至无线集中控制器的网络传输过程中所造成的开销，进而减轻了网络负载，并提高了接入无线AP的网络设备所在网络的稳定性和安全性。进一步地，本发明实施例提供的方法适用于很多无线网络架构，并不局限于包括无线AP的和无线集中控制器AC的网络架构，因此本发明实施例的方法可以在任意包括无线AP的网络架构中实施，该方法的可移植性良好。

本领域内的技术人员应明白，本发明实施例可提供为方法、系统、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。