一种基于rss的wlan欺骗攻击检测方法

一种基于rss的wlan欺骗攻击检测方法
【技术领域】
[0001] 本发明设及WLAN攻击检测领域，尤其设及一种基于RSS的WLAN欺骗攻击检测方 法。
【背景技术】 阳00引基于IE邸802. 11协议的无线局域网（WLAN)W其网络接入便利、组网灵活、移动 便携、部署成本低等特点而迅速占领市场。然而由于无线媒介传输的开放性，攻击者可W 监控任何传输，此外攻击者很容易购买低成本的无线设备，利用许多无线工具通过战争驾 驶发起无线攻击。在大多数无线攻击中，基于身份的欺骗攻击最常见，危害严重。例如，在 WLAN中，无线节点被动监控网络时，攻击者很容易收集有用的MC地址和SSID信息，然后执 行ifconfig命令修改攻击者的MC地址，配置相同SSID信息伪装成另一热点设备便可发 动欺骗攻击。现有的802. 11安全加密技术只能保护数据帖，攻击者仍可通过欺骗管理帖或 控制帖对WLAN造成重大破坏。
[0003] 针对上述情况，检测WLAN是否存在安全威胁并及时发现和消除运些无线安全威 胁，是当前WLAN安全领域的研究热点。而目前已有的研究成果面临一系列的挑战，所存在 的问题包括W下方面：
[0004] 1、许多学者使用密码学方案来检测欺骗攻击，密码学方案的应用需要可靠密钥分 发，管理和维护的机制。然而运些方法需要公钥基础设施，其开销过大。尽管有一些轻量级 的密码学方案，然而其安全性不足，很容易被攻击者操控。 阳〇化]2、目前较多学者使用RSS信号特征来检测欺骗攻击。然而当有多个攻击者使用相 同的身份相互合作发起欺骗攻击时，目前运些方法都不能够确定攻击者的数量，更进一步 地，它们也不能定位攻击者的物理位置。
[0006] 3、RSS数据聚类处理技术关系到欺骗攻击检测效果，目前的聚类分析算法应用在 RSS数据处理还存在一系列问题，原因是由于各种无线信号干扰而导致产生较多RSS噪声 值，在一些异常值、大小簇、簇之间轻微重叠等情况下，大多数现有的方法都不能产生较好 的聚类效果。
[0007] 因此，复杂的WLAN应用环境给WLAN攻击检测工作带来较大难度。

【发明内容】

[000引本发明所要解决的技术问题在于，提供一种基于RSS的WLAN欺骗攻击检测方法， 可有效地检测WLAN是否存在欺骗攻击。
[0009] 本发明所要解决的技术问题还在于，提供一种基于RSS的WLAN欺骗攻击检测方 法，可准确地确定攻击者数量。
[0010] 为了解决上述技术问题，本发明提供了一种基于RSS的WLAN欺骗攻击检测方法， 包括：在WLAN中部署信标；所述信标收集WLAN中每个节点身份所对应的RSS数据流；所述 信标依次提取同一节点身份所对应的RSS数据流；将所述同一节点身份所对应的RSS数据 流进行聚类分析，判断WLAN中是否存在欺骗攻击行为。
[0011] 作为上述方案的改进，所述在WLAN中部署信标时，至少部署=个W上的信标，而 且信标的信号必须覆盖整个WLAN。
[0012] 作为上述方案的改进，所述将同一节点身份所对应的RSS数据流进行聚类分析， 判断WLAN中是否存在欺骗攻击行为的方法包括：采用K-中屯、点算法，将所述同一节点身份 所对应的RSS数据流划分为两个簇进行聚类分析并计算簇间的欧氏距离；判断所述簇间的 欧氏距离是否大于阔值，判断为是时，则WLAN中存在欺骗攻击行为，判断为否时，则WLAN中 不存在欺骗攻击行为。
[0013] 作为上述方案的改进，所述采用K-中屯、点算法，将同一节点身份所对应的RSS数 据流划分为两个簇进行聚类分析并计算簇间的欧氏距离的方法包括：
[0014]AU将同一节点身份所对应的RSS数据流组织为n维值向量RSS= 出SSi,RSSz,. . .，RSS。1，RSS。}，所述n维值向量由n个RSS值向量组成，所述n为信标数量；
[0015]A2、从同一节点身份所对应的RSS数据流中随机取两个RSS值向量，初始化为两个 簇的代表对象〇1、〇2;
[0016] A3、将剩余的每个RSS值向量依据欧氏距离大小，分配到最近的代表对象所代表 的簇中；
[0017] A4、随机选择一个非代表对象0fg"d，代替其所属的代表对象；
[001引 A5、依据代价函数，计算替换后的总代价；
[0019] A6、若得到一个更小的总代价，则将0fg"d替换其所属的代表对象，继续执行步骤 A3 ；
[0020] A7、当所有非代表对象都被代替后，停止聚类分析，输出总代价最小的聚类结果， 并计算当前两个代表对象之间的欧氏距离，否则继续执行步骤A4。
[0021] 作为上述方案的改进，所述的基于RSS的WLAN欺骗攻击检测方法，还包括：当检测 出WLAN中存在欺骗攻击行为时，使用K-中屯、点算法，依次增加K值，依次对同一节点身份 所对应的RSS数据流进行聚类分析，输出每个K值对应的聚类结果，并采用聚类评价算法对 每一K值所得到的聚类结果进行评价，获取最优聚类结果；所述最优聚类结果所对应的K值 为WLAN中的攻击者数量。
[0022] 作为上述方案的改进，所述使用K-中屯、点算法，依次增加K值，依次对同一节点身 份所对应的RSS数据流进行聚类分析，输出每个K值对应的聚类结果，并采用聚类评价算法 对每一K值所得到的聚类结果进行评价，获取最优聚类结果的方法包括：
[0023] B1、从聚类结果中选出两个代表对象之间的欧氏距离最短的两个簇C。、Cb;
[0024]B2、对簇C。进行划分，将C。分成M部分，每部分N个元素，同样的规则应用簇Cb; 阳0对 B3、计算簇Ca和C b的平均边界距离；
[0026]B4、计算簇C。和Cb中各部分中元素的平均欧氏距离；
[0027] B5、根据所述平均边界距离及平均欧氏距离，计算簇C。和Cb的边界重叠距离，根据 所述边界重叠距离，计算裂变距离S(K)和聚变距离M(K);
[0028] B6、记录S(K)和M(K)的值，令K=K+1，应用K-中屯、点算法聚类，得到聚类结果 后，返回步骤BI,计算S(K+1)和M(K+1)的值，当S(K+1)《M(K+1)时，输出当前K值，所述 K值为最优聚类结果。
[0029] 实施本发明，具有如下有益效果：
[0030] (1)本发明利用无线信号的物理特征一一接收信号强度RSS，结合聚类结果评价算 法，能有效克服多种奇异的簇分布情况，分析RSS数据流在n维信号空间下的簇分布情况， 提高攻击检测率，有效确定WLAN中是否存在无线欺骗攻击，W消除WLAN的安全威胁。
[0031] 似本发明不仅能够给检测WLAN中是否存在欺骗攻击，还能分析当前WLAN存在多 少个攻击者，利用返回的RSS聚类分析结果确定攻击者数量，为WLAN用户隐私、机密资源、 安全通信提供安全保障。
[0032] (3)本发明利用接收机信号强度RSS的空间相关性，与无线拓扑结构中每个无线 节点关联起来，通过合理部署多个信标，使信标的信号覆盖整个WLAN，即使攻击者使用不同 的传输功率发送数据包W改变RSS值W逃避检测时，依然能检测到WLAN中的欺骗攻击者。
【附图说明】
[0033] 图1是本发明基于RSS的WLAN欺骗攻击检测方法的第一实施例流程图；
[0034] 图2是本发明基于RSS的WLAN欺骗攻击检测方法的第二实施例流程图；
[0035] 图3是本发明中信标的部署规则图；
[0036] 图4是本发明中，采用矩形方式的信标部署平面图；
[0037] 图5是本发明中李生簇划分示意图； 阳03引 图6是本发明基于RSS的WLAN欺骗攻击检测方法的第S实施例流程图。
【具体实施方式】
[0039] 为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一 步地详细描述。仅此声明，本发明在文中出现或即将出现的上、下、左、右、前、后、内、外等方 位用词，仅W本发明的附图为基准，其并不是对本发明的具体限定。
[0040] 图1是一种基于RSS的WLAN欺骗攻击检测方法，其特征在于，包括：
[0041] S101，在WLAN中部署信标。
[0042] 进行WLAN欺骗攻击检测前，必须在目标WLAN中部署信标，W监测WLAN的网络流 量，收集RSS数据流。
[0043] 信标部署方案必须满足两个条件：（1)所述在WLAN中部署信标时，至少部署=个 W上的信标；（2)信标的信号必须覆盖整个WLAN。
[0044] 需要说明的是，在WLAN中部署=个W上的信标检测攻击者时，当攻击者使用不同 的传输功率W改变R