一种用于识别无线局域网中WIFI信号安全类别的方法和装置与流程
本发明涉及通信技术领域,尤其涉及一种用于识别无线局域网中wifi信号的安全类别的方法和装置。
背景技术:
近年来,基于ieee802.11协议的wlan(wirelesslocalareanetwork,无线局域网)以其突出的优点和成熟的技术而迅猛发展,被广泛用于商场,企业,医院,学校以及会场等网络构建。
wlan虽然带来了移动互联网接入的便利,但是由于其无线信号是在空间中进行传播的,因此无法像有线网络那样通过保护通信线路来保障通信安全。由于wlan中wifi信号特殊的辐射性、空间传播信道的开放性,导致容易带来假冒攻击、网络欺骗、信息窃取等各种安全威胁,使得网络运营和通信信息的安全受到很大威胁。而且在ieee802.11a/b/g无线网络协议中,国际wifi组织在制定标准时,对安全性问题考虑过少,使得上述协议中在安全性方面存在着一些先天的缺陷,因此无线wifi信号的安全性一直备受非议。
由于无线局域网aps(accesspoints,接入点)容易安装、便宜而且方便携带等特点,在企业级的用户环境中,非法的wifi信号ap可以悄悄地接入到企业网络中,而不被it(informationtechnology,信息科技)管理人员发现,其中包括员工私设的wifi信号和带有非法目的的流氓wifi信号,因此许多企业级用户不敢将关键业务部署到无线网络平台。而对于公共场合的共享wifi,随着央视报道公共wifi中存在如钓鱼wifi等非法信号,使得公众对于wifi的安全性更加的不信任。
可见,现有技术中对于空间环境中的wifi信号不能进行全面和精准的识别,导致连接wifi信号的终端用户的数据信息无法得到有效的安全保障。
技术实现要素:
本发明实施例通过提供一种用于识别无线局域网中wifi信号的安全类别的方法和装置,用于解决现有技术中对于空间环境中的wifi信号不能进行全面和精准的的识别,导致连接wifi信号的终端用户的数据信息无法得到有效的安全保障的技术问题。
第一方面,本发明一实施例提供了一种用于识别无线局域网中wifi信号的安全类别的方法,所述方法包括:
监控无线覆盖范围内的wifi信号集合中对应接入点ap的wifi信号;
接收所述接入点ap的管理报文和所述接入点ap与终端交互的数据报文;
基于所述管理报文和所述数据报文,获取所述接入点ap对应的wifi信号中每个wifi信号的置信度;
根据所述置信度确定所述对应接入点ap的wifi信号中的目标wifi信号的目标集合;
根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,其中,所述第一目标属性集合是所述目标集合中每个目标wifi信号的第一属性的集合。
可选的,所述基于所述管理报文和所述数据报文,获取所述接入点ap对应的wifi信号置信度,包括:
基于所述管理报文,获取所述接入点ap对应的wifi信号中的每个wifi信号的第二属性信息;
基于所述数据报文,获取与所述接入点ap对应的wifi信号中的每个wifi信号连接的终端的请求关联信息;
获取所述第二属性信息中每个信息的权重和所述请求关联信息中每个信息的权重,对所述第二属性信息中每个信息和所述请求关联信息中每个信息进行加权求和,获得所述接入点ap对应的wifi信号中每个wifi信号的置信度。
可选的,所述根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,包括:
所述wifi信号集合中的任一wifi信号作为原始wifi信号,判断所述原始wifi信号的第一属性中的ssid是否属于第一目标属性集合中的ssid子集合,所述第一属性包括ssid;
若不属于,计算所述原始wifi信号的ssid与所述ssid子集合中每个ssid的第一相似度;
若所述第一相似度中的最大值大于第一相似度阈值,确定所述原始wifi信号为疑似钓鱼wifi信号。
可选的,所述根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,还包括:
当所述第一相似度中的最大值不大于第一相似度阈值时,若所述原始wifi信号第一属性中的bssid属于所述第一目标属性集合中的第一mac地址子集合,或者,若所述原始wifi信号的第一属性中的bssid与第一mac地址子集合中的任一mac地址的第二相似度大于第二相似度阈值;其中,所述第一mac地址子集合包括与所述目标wifi信号集合中每个目标wifi信号所对应的交换设备中的任一交换设备相连接的有线口设备的mac地址;
确定所述原始wifi信号为流氓wifi信号。
可选的,所述根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,还包括:
若所述原始wifi信号的第一属性中的bssid不属于所述第一mac地址子集合,或者所述第二相似度不大于第二相似度阈值,基于所述原始wifi信号的数据报文判断所述原始wifi信号是否为ad-hoc网络;
当所述原始wifi信号不是ad-hoc网络时,若所述原始wifi信号的第一属性中的bssid属于第一目标属性集合中的与所述每个目标wifi信号连接的终端的第二mac地址子集合,或者所述原始wifi信号的第一属性中的bssid和所述第二mac地址子集合中任一mac地址的第三相似度大于第三相似度阈值;
则确定所述原始wifi信号为终端私设wifi信号。
可选的,所述根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,还包括:
若所述原始wifi信号的第一属性中的bssid不属于所述第二mac地址子集合,或者所述第三相似度不大于第三相似度阈值,确定所述原始wifi信号为干扰wifi信号。
可选的,所述根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,还包括:
当所述原始wifi信号的第一属性中的ssid属于所述ssid子集合时,若所述原始wifi信号的友好标志位不属于所述第一目标属性集合中的友好标志位子集合,或所述原始wifi信号的第一属性中的厂商信息不属于所述第一目标属性集合中的厂商信息集合;
确定所述原始wifi信号为钓鱼wifi信号。
可选的,所述根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,还包括:
当所述原始wifi信号的第一属性中的友好标志位属于所述友好标志位子集合和所述原始wifi信号的第一属性中的厂商信息属于所述厂商信息集合时,
若所述原始wifi信号的第一属性中的认证加密算法不属于所述第一目标属性集合中的认证加密算法子集合;
确定所述原始wifi信号为钓鱼wifi信号。
可选的,所述根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,还包括:
当所述原始wifi信号的第一属性中的认证加密算法属于所述认证加密算法子集合,若所述原始wifi信号的第一属性中的管理报文长度与所述第一目标属性集合中的目标管理报文长度的差值的绝对值大于第一预设管理报文长度阈值,其中,所述目标管理报文长度为所述第一目标属性集合中每个目标wifi信号对应的所有ap的管理报文长度的子集合中的所有管理报文长度的平均值;
确定所述原始wifi信号为钓鱼wifi信号。
可选的,所述根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,还包括:
当所述绝对值不大于第一预设管理报文长度阈值时,若所述原始wifi信号的第一属性中的管理报文发包频率大于第一预设频率阈值,其中,所述第一预设频率阈值是所述第一目标属性集合中每个目标wifi信号对应的所有ap的管理报文的默认发包频率;
确定所述原始wifi信号为钓鱼wifi信号。
可选的,所述根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,还包括:
若所述原始wifi信号的第一属性中的管理报文发包频率不大于所述默认发包频率,确定所述原始wifi信号为合法wifi信号。
第二方面,本发明一实施例提供了一种用于识别无线局域网中wifi信号的安全类别的装置,所述装置包括:
监控模块,用于监控无线覆盖范围内的wifi信号集合中对应接入点ap的wifi信号;
接收模块,用于接收所述接入点ap的管理报文和所述接入点ap与终端交互的数据报文;
获取模块,用于基于所述管理报文和所述数据报文,获取所述接入点ap对应的wifi信号中每个wifi信号的置信度;
确定模块,用于根据所述置信度确定所述对应接入点ap的wifi信号中的目标wifi信号的目标集合;
识别模块,用于根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,其中,所述第一目标属性集合是所述目标集合中每个目标wifi信号的第一属性的集合。
第三方面,本发明一实施例提供了一种计算机装置,所述装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如第一方面实施例所述方法的步骤。
第四方面,本发明一实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面实施例所述方法的步骤
本发明实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
通过采用本发明实施例提供的技术方案,能够自动识别无线覆盖范围内的目标wifi信号集合和该目标wifi信号集合中每个目标wifi信号的第一目标属性集合,根据获得的第一目标属性集合,能够全面和精准的识别出各种存在安全风险和威胁的非法wifi信号并完成无线覆盖范围内所有wifi信号的安全分类,然后可以采用相应的技术对非法的危险wifi信号进行定位、反制等措施,从而保障无线覆盖范围内wifi信号的安全。
附图说明
图1为本发明实施例提供的用于识别无线局域网中wifi信号的安全类别的方法的流程图;
图2为本发明实施例提供的确定目标wifi信号和非目标wifi信号的方法的示意图;
图3为本发明实施例提供的识别wifi信号的安全类别的流程图;
图4为本发明实施例提供的用于识别无线局域网中wifi信号的安全类别的装置的示意图。
具体实施方式
为了解决上述技术问题,本发明实施例中的技术方案的总体思路如下:一种用于识别无线局域网中wifi信号的安全类别的方法和装置,监控无线覆盖范围内的wifi信号集合中对应接入点ap的wifi信号;接收所述接入点ap的管理报文和所述接入点ap与终端交互的数据报文;基于所述管理报文和所述数据报文,获取所述接入点ap对应的wifi信号中每个wifi信号的置信度;根据所述置信度确定所述对应接入点ap的wifi信号中的目标wifi信号的目标集合;根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,其中,所述第一目标属性集合是所述目标集合中每个目标wifi信号的第一属性的集合第一目标属性集合。通过采用该技术方案,能够识别出合法wifi信号和各种危险的非法wifi信号,非法wifi信号例如非法钓鱼wifi信号、企业员工私设wifi信号、流氓wifi信号等,然后可以采用相应的技术对非法的危险wifi信号进行定位、反制等措施,从而保障无线覆盖范围内wifi信号的安全。
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
如图1所示,本发明实施例一提供了一种用于识别无线局域网wifi信号的方法,所述方法包括:
s101,监控无线覆盖范围内的wifi信号集合中对应接入点ap的wifi信号;
s102,接收所述接入点ap的管理报文和所述接入点ap与终端交互的数据报文;
s103,基于所述管理报文和所述数据报文,获取所述接入点ap对应的wifi信号中每个wifi信号的置信度;
s104,根据所述置信度确定所述对应接入点ap的wifi信号中的目标wifi信号的目标集合;
s105,根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,其中,所述第一目标属性集合是所述目标集合中每个目标wifi信号的第一属性的集合第一目标属性集合。
对于步骤s101,例如将多个sensor部署在无线网络覆盖范围的不同地方,监控无线覆盖范围内的接入点ap的wifi信号,每个sensor扫描各自覆盖范围内的所有ap的所有管理报文和所有ap与终端交互的数据报文,并把扫描数据上传到服务器端进行处理。
所述sensor可以是处于监控模式的ap,例如把ap设置为监控模式,不提供接入服务,或者是其他能够扫描自身覆盖范围内的所有ap的所有管理报文和所有ap与终端交互的数据报文的监控设备。
sensor在扫描时,会不断地切换信道,并且每个信道扫描的时间会根据该信道的合法ap信号数、非法ap信号数等进行自动调节,确保实时监控到所有类别的危险wifi。
例如,通过部署在监控范围内的sensor,扫描信道覆盖2.4g频段和5g频段,初始化阶段即第一轮扫描阶段,每个信道的扫描时间是一样的,然后后续阶段根据前面扫描的每个信道的无线网络信号数即不同信标帧数和每个信道存在的非法信号数调整
每个信道的扫描时间,信号数越多,非法信号数越多,则其扫描时间越长,并且保证在一定的扫描周期内,所有的信道至少都要扫描一遍及以上。
无线数据扫描主要是捕获该信道内的所有beacon报文、authenticationrequest报文、authenticationresponse报文、associationrequest报文、associationresponse报文等管理报文和ap与终端交互的数据报文。ap采集的管理报文和数据报文通过加密通道上传到服务器端进行处理。
对于步骤s102,服务器端接收sensor发送的所有ap的所有管理报文和所有ap与终端交互的数据报文。其中一个wifi信号可以对应一个或多个ap,一个wifi信号具有一个ssid(servicesetidentifier,服务集标识),每个ap具有与自身对应的bssid(basicservicesetidentifier,基础服务集标识)。
在执行完步骤s102之后,继续执行步骤s103,该步骤s103具体包括:
基于所述管理报文,获取所述接入点ap对应的wifi信号中的每个wifi信号的第二属性信息;
基于所述数据报文,获取与所述接入点ap对应的wifi信号中的每个wifi信号连接的终端的请求关联信息;
获取所述第二属性信息中每个信息的权重和所述请求关联信息中每个信息的权重,对所述第二属性信息中每个信息和所述请求关联信息中每个信息进行加权求和,获得所述接入点ap对应的wifi信号中每个wifi信号的置信度。
具体地,服务器根据每个监控范围所有sensor上传的管理报文,提取每个wifi信号的第二属性信息,基于每个sensor上传的数据报文,获取与所述每个wifi信号连接的终端的请求关联信息,其中,第二属性信息和终端关联的请求信息用于识别无线覆盖范围内的wifi信号是否是目标wifi信号,每个wifi信号的第二属性信息例如是一wifi信号(对于一wifi信号,其ssid唯一,bssid不唯一)的不同bssid数、关联的终端数、认证加密算法、在线时长、平均信号强度、终端请求关联次数多个属性的数据,并根据每个属性的权重计算该wifi信号作为被保护的目标网络信号的置信度。当然,根据实际应用需要,第二属性信息中包括的属性数据可以删减,上述对第二属性信息的说明仅为举例,不作为对第二属性信息的具体限制。
例如,服务器端对不同ap上传的管理报文和数据报文数据进行处理,从管理报文的beacon报文中提取服务集标识ssid、bssid、认证加密算法、interval信息、厂商自定义vendor字段、厂商自定义友好标记位、信号强度rssi、报文长度、报文所在信道、时间戳等重要信息,并从数据报文的authenticationrequest报文中提取终端请求关联信息,包括终端请求关联的ssid、终端mac地址、请求次数等,然后从其他管理报文和数据报文中提取所有终端与其关联ap的关系信息,包括关联终端的mac地址、关联ap的bssid、关联时间和关联时长等信息,把以上提取的重要信息分别存储到数据库中为进一步处理做准备。
在以上数据信息收集一段时间之后,开始进行目标wifi信号(要保护的无线网络信号)识别。把以上提取的信息以ssid为数据处理单元,计算每个ssid所有的bssid数、关联终端数、终端请求关联数、平均信号强度avg_rssi、信号在线时长、beacon友好标志位一致的bssid数、分布在5g信道的bssid数、认证加密算法这些目标网络识别属性信息,其中认证加密算法类别按照其相对安全性转化为数值型数据,安全级别越高其所对应的数值型数据值越大。从多个不同场景的wifi信号采集以上数据信息进行训练,把每个场景的wifi信号分为目标wifi信号和非目标wifi信号,即以ssid为数据采集单元,采集获取所有ssid的目标wifi信号识别属性信息,并给每个数据标记上标签(目标wifi信号为1,非目标wifi信号为0)。对以上获取的训练数据进行模型训练,建立目标网络识别模型,得到各个目标wifi信号识别属性各自的权重。
在获得监控范围内所有无线网络信号的以ssid为单位的目标wifi信号识别属性数据和各个属性的权重之后,对ssid的数据求加权和,即可得到其作为判断目标网络的置信度。
在执行完步骤s103之后,继续执行步骤s104,该步骤s104具体包括:
根据无线覆盖范围内的所有wifi信号(无线覆盖范围内包括至少一个wifi信号)的置信度聚类确定该覆盖范围内的目标wifi信号。例如,把所有ssid和其所对应的置信度通过kmeans聚类算法聚成两类,聚类结果即目标wifi信号的ssid和非目标wifi信号的ssid,根据聚类结果区分目标wifi信号(目标wifi信号的ssid对应目标wifi信号)和非目标wifi信号(非目标wifi信号的ssid对应非目标wifi信号),其中,目标wifi信号可以是一个或多个。对应步骤s103和s104中对置信度的计算和目标wifi信号的识别,具体可参见图2。
在通过步骤s104确定目标wifi信号后,sensor依然实时对监控范围内的wifi信号对应的ap的管理报文和ap与终端交互的数据报文进行监控和上报给服务器端,服务器端根据目标wifi信号的第一目标属性集合对无线覆盖范围内(即sensor的监控范围内)所有的wifi信号进行安全分类。具体地,通过sensor捕获每个目标wifi信号对应的beacon报文提取服务集标识符ssid、bssid、认证加密算法、interval信息、厂商自定义vendor字段、厂商自定义友好标记位、信号强度rssi、报文长度、报文所在信道、时间戳信息。在条件允许的情况下通过snmp协议向交换设备发出请求,从而获取与每个目标wifi信号交换设备端有线口的连接设备mac地址、端口号等信息。然后根据目标wifi信号集合的第一目标属性集合进行监控范围内wifi信号的安全分类。
即在确定目标wifi信号集合后,获取包括目标wifi信号集合中每个目标wifi信号的属性的第一目标属性集合。其中第一目标属性集合中包括每个目标wifi信号对应的ssid、厂商信息、认证加密算法信息、友好标志位信息、与所述目标wifi信号集合中每个目标wifi信号所对应的交换设备中的任一交换设备相连接的有线口设备的mac地址、与所述每个目标wifi信号连接的终端的mac地址、目标管理报文长度、默认发包频率,其中,所述目标管理报文长度为所述第一目标属性集合中每个目标wifi信号对应的所有ap的管理报文长度的子集合中的所有管理报文长度的平均值,所述默认发包频率例如是所述第一目标属性集合中每个目标wifi信号对应的所有ap的管理报文长度的子集合中的所有管理报文默认发包频率。例如,第一目标属性集合中包括ssid子集合、友好标志位子集合、厂商信息子集合、每个目标wifi信号所对应的交换设备中的任一交换设备相连接的有线口设备的mac地址的子集合、与所述每个目标wifi信号连接的终端的mac地址子集合、所述每个目标wifi信号的管理报文长度子集合中的管理报文长度的平均值、所述每个目标wifi信号的管理报文默认发包频率子集合中的管理报文默认发包频率。第一目标属性集合是用于识别无线覆盖范围内的所有wifi信号的安全类别的,具体可以根据对wifi信号的安全类别的识别需求进行确定。
其中,步骤s105具体包括:
根据所述每个wifi信号的第一属性和包括所述目标wifi信号集合中每个目标wifi信号的属性的第一目标属性集合,识别所述每个wifi信号的安全类别。其中,所述每个wifi信号的第一属性包括无线覆盖范围内任一wifi信号的ssid、bssid、友好标志位、厂商信息、认证加密算法、管理报文长度、管理报文实际发包频率。
(1)所述无线覆盖范围内的任一wifi信号作为原始wifi信号,判断所述原始wifi信号的ssid是否属于ssid子集合,其中,所述ssid子集合包括所述目标集合中每个目标wifi信号的ssid;其中,所述目标集合是目标wifi信号的集合。
若不属于,执行(2)。
若属于,执行(6)。
(2)计算所述原始wifi信号的ssid与所述ssid子集合中每个ssid的第一相似度。
若所述第一相似度中的最大值大于第一相似度阈值,确定所述原始wifi信号为疑似钓鱼wifi信号。
若所述第一相似度中的最大值不大于第一相似度阈值,执行(3)。
(3)判断所述原始wifi信号是否与所述目标集合中每个目标wifi信号所连接的交换设备中的任一交换设备相连接,具体地,判断所述原始wifi信号的bssid是否属于第一mac地址子集合,或者所述原始wifi信号的bssid与第一mac地址子集合中的任一mac地址的相似度大于第二相似度阈值,其中,第一mac地址子集合包括与所述目标集合中每个目标wifi信号所对应的交换设备中的任一交换设备相连接的有线口设备的mac地址;
若是,确定所述原始wifi信号为流氓wifi信号。其中,所述流氓wifi信号指的是指未认证的wifi信号,并且其关联在受保护wifi信号的有线网络中。
若否,执行(4)。
(4)基于所述原始wifi信号的数据报文判断所述原始wifi信号是否为ad-hoc网络。
若是,确定所述原始wifi信号为ad-hoc网络。
若否,执行(5);
(5)判断所述原始wifi信号的bssid和与所述目标集合中每个目标wifi信号连接的任一终端的mac地址是否一致,或者所述原始wifi信号的bssid和与所述每个目标wifi信号连接的任一终端的mac地址的相似度是否大于第三相似度阈值;
若所述原始wifi信号的bssid和与所述每个目标wifi信号连接的任一终端的mac地址一致,或者所述原始wifi信号的bssid和与所述每个目标wifi信号连接的任一终端的mac地址的相似度大于第三相似度阈值,确定所述原始wifi信号为终端私设wifi信号。
若所述原始wifi信号的bssid和与所述每个目标wifi信号连接的任一终端的mac地址不一致,或者所述原始wifi信号的bssid和与所述每个目标wifi信号连接的任一终端的mac地址的相似度不大于第三相似度阈值,确定所述原始wifi信号为干扰wifi信号。
(6)判断所述原始wifi信号的友好标志位是否属于所述目标集合中每个目标wifi信号的友好标志位子集合,和判断所述原始wifi信号的厂商信息是否属于所述目标集合中每个目标wifi信号的厂商信息子集合;
若所述原始wifi信号的友好标志位不属于所述友好标志位子集合或所述原始wifi信号的厂商信息不属于所述厂商信息子集合,确定所述原始wifi信号为钓鱼wifi信号。
若所述原始wifi信号的友好标志位属于所述友好标志位子集合和所述原始wifi信号的厂商信息属于所述厂商信息子集合,执行(7)
(7)判断所述原始wifi信号的认证加密算法是否属于所述目标集合中每个目标wifi信号的认证加密算法子集合;
若否,确定所述原始wifi信号为钓鱼wifi信号。
若是,执行(8)。
(8)判断所述原始wifi信号的管理报文长度与目标管理报文长度的差值的绝对值是否大于第一预设管理报文长度阈值;
若是,确定所述原始wifi信号为钓鱼wifi信号。
若否,执行(9)。
其中目标管理报文长度通过以下方式获得,获取所述目标集合中每个目标wifi信号对应的所有ap的管理报文长度的子集合;
确定所述管理报文长度的子集合中的所有管理报文长度的平均值作为目标管理报文长度。
(9)判断所述原始wifi信号的管理报文发包频率是否大于第一预设频率阈值;
若所述原始wifi信号的管理报文发包频率大于第一预设频率阈值,确定所述原始wifi信号为钓鱼wifi信号。其中,所述第一预设频率阈值例如是所述第一目标属性集合中每个目标wifi信号对应的所有ap的管理报文的默认发包频率。
若所述原始wifi信号的管理报文发包频率不大于第一预设频率阈值,确定所述原始wifi信号为合法wifi信号。
如图3所示,对于步骤s104中的的具体示例如下,对于监控范围内的任一wifi信号,将其作为原始wifi信号:
(1),判断原始wifi信号的ssid是否与任一目标wifi信号的ssid一致,如果是则执行步骤(6),否则执行步骤(2)。
(2),通过编辑距离算法求原始wifi信号的ssid与每个目标wifi信号的ssid之间的相似度中的最大值是否大于第一相似度阈值。编辑距离,又称levenshtein距离(也叫做editdistance),是指两个字串之间,由一个转成另一个所需的最少编辑操作次数,如果它们的距离越大,说明它们越是不同。如果相似度中的最大值超过所设的第一相似度阈值,则该wifi信号为疑似钓鱼wifi信号,否则执行(3)。
(3),通过snmp协议获取交换设备有线口的连接设备mac地址、端口号等信息,然后判断原始wifi信号对应的bssid是否与有线口连接设备的mac地址一致或者相似度超过阈值,或者如果该原始wifi信号是open信号,ap假装关联该wifi信号,并尝试ping有线设备的ip。如果信号bssid与连接设备mac一致或相似、或者能ping通有线端设备,则判断该原始wifi信号为流氓wifi信号,否则执行(4)。
(4)通过数据报文的tods字段和fromds字段识别该原始wifi信号是否为ad-hoc网络,如果是,则判断该wifi信号为ad-hoc网络,否则执行(5)。
(5)通过服务器收集的所有关联在目标网络的终端信息,判断该wifi信号的bssid和与每个目标wifi信号连接的所有终端的mac地址是否有一致或者相似度超过阈值的,如果有,则判断该wifi信号为终端私设信号,否则该wifi信号为干扰信号。
(6)获取该wifi信号的友好标志位与目标网络信号的友好标志位是否一致,以及通过获取的oui查询该wifi信号的厂商,判断该wifi信号的厂商是否与目标网络信号的厂商一致,如果以上两个条件有一个不符合,则判断该wifi信号为钓鱼该wifi信号,否则执行(7)。
(7)获取该wifi信号的认证加密算法,判断该wifi信号的认证加密算法是否与目标网络信号的认证加密算法一致,如果不一致,则判断该wifi信号为钓鱼该wifi信号,否则执行(8)。
(8)通过收集目标网络信号的所有bssid的beacon报文长度,综合计算得到大部分正常信号bssid的正常报文长度,如果该wifi信号的报文长度与正常报文长度差异值超过阈值,则判断该wifi信号为钓鱼该wifi信号,否则执行(9)。
(9)通过每个ap扫描的信号,获取该wifi信号实际beacon报文发包频率,并根据报文中的beacon报文interval值,判断该wifi信号实际beacon发包频率是否大于信号默认频率并超过阈值,如果是,则认为该wifi信号是钓鱼该wifi信号,否则执行(10)。
(10)判断该wifi信号为合法wifi信号。
基于与实施例一相同的发明构思,如图4所示,本发明实施例二提供了一种用于识别无线局域网wifi信号的装置,所述装置包括:
监控模块201,用于监控无线覆盖范围内的wifi信号集合中对应接入点ap的wifi信号;
接收模块202,用于接收所述接入点ap的管理报文和所述接入点ap与终端交互的数据报文;
获取模块203,用于基于所述管理报文和所述数据报文,获取所述接入点ap对应的wifi信号中每个wifi信号的置信度;
确定模块204,用于根据所述置信度确定所述对应接入点ap的wifi信号中的目标wifi信号的目标集合;
识别模块205,用于根据第一目标属性集合和所述对应接入点ap的wifi信号中每个wifi信号的第一属性,识别所述wifi信号集合中每个wifi信号的安全类别,其中,所述第一目标属性集合是所述目标集合中每个目标wifi信号的第一属性的集合。
该装置具体的工作原理的方法步骤与实施例一相同,在此不再赘述。
本发明实施例三提供了一种计算机装置,所述装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如实施例一中所述方法的步骤。
本发明实施例四提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如实施例一中所述方法的步骤。
上述本发明实施例中的技术方案,至少具有如下的技术效果或优点:
通过采用本发明实施例提供的技术方案,能够自动识别无线覆盖范围内的目标wifi信号的目标集合和该目标集合中每个目标wifi信号的第一目标属性集合,根据获得的第一目标属性集合,能够全面和精准的识别出各种存在安全风险和威胁的非法wifi信号并完成无线覆盖范围内所有wifi信号的安全分类,然后可以采用相应的技术对非法的危险wifi信号进行定位、反制等措施,从而保障无线覆盖范围内wifi信号的安全。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!