BR102019020060A2 - método para detecção de características de pontos de acesso, usando aprendizagem de máquina - Google Patents

método para detecção de características de pontos de acesso, usando aprendizagem de máquina Download PDF

Info

Publication number
BR102019020060A2
BR102019020060A2 BR102019020060-0A BR102019020060A BR102019020060A2 BR 102019020060 A2 BR102019020060 A2 BR 102019020060A2 BR 102019020060 A BR102019020060 A BR 102019020060A BR 102019020060 A2 BR102019020060 A2 BR 102019020060A2
Authority
BR
Brazil
Prior art keywords
access point
machine learning
recognition
classification
message
Prior art date
Application number
BR102019020060-0A
Other languages
English (en)
Inventor
Eduardo Kugler Viegas
Original Assignee
Samsung Eletrônica da Amazônia Ltda.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Eletrônica da Amazônia Ltda. filed Critical Samsung Eletrônica da Amazônia Ltda.
Priority to BR102019020060-0A priority Critical patent/BR102019020060A2/pt
Priority to US16/790,007 priority patent/US20210092610A1/en
Publication of BR102019020060A2 publication Critical patent/BR102019020060A2/pt

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • H04W12/1202
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/12Access restriction or access information delivery, e.g. discovery data delivery using downlink control channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/20Selecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/12Access point controller devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

A presente invenção refere-se ao método para detecção de características de pontos de acesso baseados em métodos de aprendizagem de máquina para reconhecer passivamente e classificar características de pontos de acesso Wi-Fi (AP) antes de estabelecer uma conexão. O método extrai passivamente características de comportamento com base na mensagem recebida do AP, por exemplo, um quadro de beacon, que pode então ser utilizado para fins de classificação e reconhecimento. Para classificação, a técnica permite a separação de APs em categorias, por exemplo, dispositivos baseados em hardware e baseados em software, permitindo assim a detecção de APs falsos, melhorando a segurança do usuário. Finalmente, quando utilizado para fins de reconhecimento, a técnica permite a identificação do tipo do AP, por exemplo identificar se o AP é um roteador, impressora, câmera, hotspot, o software usado para AP baseado em software ou outros, que, consequentemente, pode ser usado para avaliar a credibilidade do AP antes que uma conexão possa ser estabelecida de maneira confiável.

Description

MÉTODO PARA DETECÇÃO DE CARACTERÍSTICAS DE PONTOS DE ACESSO, USANDO APRENDIZAGEM DE MÁQUINA Campo Técnico
[001] A presente patente está relacionada ao campo da tecnologia de comunicação sem fio. Mais especificamente, descreve uma maneira de classificar e reconhecer passivamente as características de pontos de acesso (AP). O processo de classificação atribui um determinado AP como pertencente a um conjunto predefinido de classes. Portanto, por exemplo, ele permite rotular um AP como um dispositivo baseado em hardware ou baseado em software, auxiliando na identificação de possíveis APs maliciosos. Por outro lado, o processo de reconhecimento procura a identificação do tipo de AP, por exemplo roteador, impressora, câmera, hotspot, etc. Portanto, a presente invenção, por meio da detecção de características do AP, melhora a segurança do usuário por meio da classificação e reconhecimento de características do AP. Dessa forma, as soluções de segurança podem usar as características do AP para avaliar sua credibilidade antes que a conexão seja estabelecida. No presente documento, para facilitar a compreensão, são fornecidos cenários onde a invenção pode ser aplicada. Por uma questão de simplicidade, consideramos o cenário de rede IEEE 802.11 WLAN, no qual um usuário se conecta a um AP que responde a mensagens de difusão (broadcast) do cliente.
[002] A presente invenção refere-se a um método para detectar características de ponto de acesso usando métodos de aprendizagem de máquina para reconhecer passivamente e classificar características de Pontos de Acesso (AP) Wi-Fi antes de estabelecer uma conexão. O método extrai passivamente características de comportamento com base na mensagem recebida do AP, por exemplo, um quadro de beacon, que pode então ser utilizado para fins de classificação e reconhecimento. Para classificação, a técnica permite a separação de APs em categorias, por exemplo, dispositivos baseados em hardware e baseados em software, permitindo assim a detecção de APs falsos, melhorando a segurança do usuário. Finalmente, quando utilizado para fins de reconhecimento, a técnica permite a identificação do tipo de AP, por exemplo identificar se o AP é um roteador, impressora, câmera, hotspot, o software usado para AP baseado em software ou outros, que, consequentemente, pode ser usado para avaliar a credibilidade do AP antes que uma conexão possa ser estabelecida de maneira confiável.
Antecedentes da Invenção
[003] Atualmente, a maioria dos dispositivos conectados depende de canais de comunicação sem fio para trocar informações. Nesse contexto, dispositivos como smartphones e smart TVs, em geral, enviam e recebem dados pela rede local sem fio (WLAN) por meio da família de padrões IEEE 802.11. No IEEE 802.11, um dispositivo se conecta a um ponto de acesso (AP) Wi-Fi, geralmente após um processo de autenticação, e troca dados durante a conexão. Antes de realizar o processo de autenticação, os dispositivos geralmente enviam solicitações de sondagem para os APs próximos, que, por sua vez, respondem com uma resposta de sondagem adequada contendo informações relativas às características do AP, capacidades, SSID, entre outros. Para permitir que os usuários estejam cientes dos pontos de acesso próximos, os dispositivos clientes geralmente enviam solicitações de sondagem periódica para procurar APs conhecidos, portanto, conectando-se automaticamente a APs conhecidos próximos.
[004] Canais de comunicação sem fio são propensos a uma ampla gama de ataques devido ao projeto de arquitetura IEEE 802.11. Por exemplo, um invasor pode facilmente falsificar respostas de sondagem de um AP benigno usando APs baseados em software para atuar como um dispositivo conhecido, atraindo clientes para se conectarem a APs potencialmente mal-intencionados. Além disso, um invasor pode até mesmo desconectar clientes autenticados em um AP benigno ao forjar mensagens de desconexão e forçá-los a se conectarem a um AP mal-intencionado baseado em software.
[005] Por outro lado, ao viajar, os usuários de dispositivos móveis geralmente se conectam a pontos de acesso sem fio públicos para acesso à Internet. Devido à facilidade de configurar um AP falso usando soluções baseadas em software, os invasores geralmente atraem os usuários para se conectarem a seus APs mal-intencionados definindo seu SSID como “Internet Wi-Fi Grátis” ou até mesmo usando nomes de lojas públicas conhecidas. Assim, quando um dispositivo se conecta a um AP mal-intencionado, ele está sujeito a todos os tipos de ataques, como a interceptação de conexões, download de conteúdo malicioso, redirecionamento para sites maliciosos, roubo de credenciais, entre outros.
[006] Surpreendentemente, os usuários de dispositivos não conseguem identificar esses tipos de ataques. Como resultado, antes que a conexão com o AP seja estabelecida, os usuários não estão cientes de qualquer tipo de característica do AP além do SSID do AP. Portanto, quando o invasor define um AP falso, geralmente por meio de soluções baseadas em software, o usuário não sabe que esse dispositivo pode ser mal-intencionado. Consequentemente, ataques como configurar um AP baseado em software para roubo de informações estão se tornando uma prática comum hoje em dia. Além disso, várias ferramentas permitem efetuar esses ataques com apenas um pequeno conjunto de comandos, ou até mesmo através de uma interface gráfica de usuário, requerendo pouco ou nenhum conhecimento do invasor, enquanto o usuário permanece desavisado dessa ameaça potencial.
[007] Por outro lado, em geral, ao procurar por APs próximos, as soluções de segurança atuais não usam nenhum tipo de característica do AP, além das informações de SSID e BSSID, para avaliar qual AP deve ser usado para conexão. Por exemplo, um dispositivo pode preferir se conectar a APs baseados em hardware em vez de dispositivos baseados em software. No entanto, quando vários APs próximos têm o mesmo nome de SSID, as soluções de segurança geralmente dependem do valor do BSSID como uma tentativa de reunir as características do AP. Portanto, as soluções de segurança atuais ainda não possuem um melhor entendimento das características do AP, como, por exemplo, se o AP é um hotspot ou se ele está sendo executado com base em um software de ponto de acesso, tal como hostapd, aircrackng, connectify etc.
[008] A detecção de características de ponto de acesso ainda está em seus primórdios. Em geral, os autores estão preocupados com a detecção de pontos de acesso Wi-Fi não autorizados (Rogue Wi-Fi Access Points), nos quais um ponto de acesso malicioso é disfarçado como um ponto de acesso benigno.
[009] O documento de patente US2018205749 A1, intitulado “DETECTING A ROGUE ACCESS POINT USING NETWORKINDEPENDENT MACHINE LEARNING MODELS”, por QUALCOMM Incorporated, depositado em 18 de janeiro de 2017, descreve um método para detectar Pontos de Acesso não autorizados usando métodos de aprendizagem de máquina. A patente compreende a computação de delta-características de pontos de acesso obtidos pelo cálculo das diferenças entre várias medições de características. Em seguida, o conjunto de características alimenta um algoritmo de aprendizagem de máquina para identificação de desvios para o perfil de ponto de acesso esperado.
[0010] Diferentemente da presente invenção, o documento de patente US2018205749 A1 concentra-se na detecção de Pontos de Acesso não autorizados usando técnicas de aprendizagem de máquina, enquanto a presente invenção detecta características de ponto de acesso, para fins de classificação e reconhecimento.
[0011] O documento de patente US 2010142709 A1, intitulado “ROGUE ACCESS POINT DETECTION IN WIRELESS NETWORKS”, por ALCATEL, depositado em 19 de fevereiro de 2010, descreve um método para a detecção de Pontos de Acesso Não Autorizados em relação à sua localização. A técnica da invenção reúne relatórios de localização do AP de várias estações móveis e detecta possíveis inconsistências de localização.
[0012] Diferentemente da presente invenção, a patente mencionada extrai o comportamento do ponto de acesso de acordo com sua localização. Em contraste, o método da presente invenção extrai o comportamento do ponto de acesso com base nas suas mensagens geradas. No entanto, o documento de patente US2010142709 A1 exige que cada estação móvel comunique as localizações do AP encontradas, enquanto o modo da presente invenção é executado dentro do dispositivo cliente, sem exigir alterações nos protocolos nem a transmissão de mensagens adicionais através de um enlace sem fio;
[0013] O documento de patente US20160192136 A1, intitulado “IDENTIFICATION OF ROGUE ACCESS POINTS”, por INTEL CORPORATION, depositado em 19 de julho de 2013, também descreve um método para detectar Pontos de Acesso não autorizados em relação à sua localização. A presente invenção depende de uma localização de referência de cada ponto de acesso, pelo que os pontos de acesso não autorizados são identificados de acordo com as diferenças entre a sua localização esperada e a sua localização atual.
[0014] Diferentemente da presente invenção, o documento de patente US20160192136 A1 extrai o comportamento do ponto de acesso de acordo com sua localização. Em contraste, o método da presente invenção extrai o comportamento do ponto de acesso com base nas mensagens geradas. No entanto, US20160192136 A1 depende de saber previamente o local de referência do ponto de acesso, enquanto a presente invenção é executada no dispositivo cliente, sem qualquer conhecimento prévio;
[0015] O documento de patente KR101606352 B1 intitulado “SYSTEM, USER TERMINAL, AND METHOD FOR DETECTING ROGUE ACCESS POINT AND COMPUTER PROGRAM FOR THE SAME”, por SEEDGEN CO LTD, concedido em 28 de março de 2016, descreve um método para detectar Pontos de Acesso Não Autorizados com respeito ao seu comportamento após o estabelecimento de uma conexão, criando um banco de dados com características de Ponto de Acesso, que pode englobar informações como SSID, senha, saltos até o gateway, hash do site de gerenciamento, entre outros. O ponto de acesso não autorizado é detectado quando desvios são encontrados.
[0016] Diferentemente da presente invenção, o documento de patente KR101606352 extrai o comportamento do ponto de acesso após a conexão ser estabelecida. Além disso, várias características são extraídas por meio do envio de mensagens pelo enlace sem fio. Em contraste, a técnica descrita aqui extrai, usando uma abordagem passiva, o comportamento do ponto de acesso baseado em suas mensagens geradas. No entanto, o documento KR101606352 exige uma base de dados que contenha os comportamentos de pontos de acesso, enquanto o método da presente invenção modela cada comportamento de pontos de acesso através de meios de aprendizagem de máquina;
[0017] O documento de patente US7808958 B1, intitulado “ROGUE WIRELESS ACCESS POINT DETECTION”, por Symantec Corporation, concedido em 5 de outubro de 2010, descreve um método para detectar Pontos de Acesso Não Autorizados em relação à sua impressão digital. A invenção se baseia em um terminal de computação centralizado, que detecta as impressões digitais dos pontos de acesso duplicados.
[0018] Diferentemente da presente invenção, o documento de patente US7808958 B1 extrai o comportamento do ponto de acesso gerando uma impressão digital única do dispositivo. A impressão digital, de acordo com sua especificação, é extraída usando quadros de beacon enviados por pontos de acesso, o que inclui o endereço IP do AP entre outras características. Portanto, embora o dito método extraia a impressão digital AP de maneira passiva, o documento de patente US7808958 B1 não pode ser usado para detecção de características de pontos de acesso, portanto, é baseado em características de rede, em vez de características do AP;
[0019] O documento de patente US7676216 B2, intitulado “DINAMICAMENTE MEDINDO E RE-CLASSIFICANDO PONTOS DE ACESSO EM UMA REDE SEM FIO”, por Cisco Technology, Inc., concedido em 9 de março de 2010, descreve um método para a detecção periódica de Pontos de Acesso Não Autorizados. O método depende de um banco de dados para o armazenamento de pontos de acesso amigáveis, não autorizados e gerenciados. Periodicamente, os pontos de acesso armazenados são consultados e avaliados.
[0020] Diferentemente da presente invenção, o documento de patente US7676216 B2 extrai o comportamento do ponto de acesso com base nas diferenças de características medidas ao longo do tempo. Além disso, a técnica do documento de patente US7676216 exige um banco de dados para o armazenamento de pontos de acesso amigáveis, não autorizados e gerenciados, portanto, dependendo de uma entidade centralizada para a tarefa de detecção. Em contraste, a presente invenção pode ser realizada no dispositivo de cliente, enquanto as características de detecção são obtidas em uma única mensagem de ponto de acesso.
[0021] O documento de patente US9913201 B1, intitulado “SYSTEMS AND METHODS FOR DETECTING POTENTIALLY ILLEGITIMATE WIRELESS ACCESS POINTS”, por Symantec Corporation, concedido em 6 de março de 2018, descreve um método para a detecção de pontos de acesso sem fio ilegítimos. O referido documento US9913201 detecta Pontos de acesso não autorizados por meio da localização geográfica no momento em que o dispositivo cliente se conecta a ele.
[0022] Diferentemente da presente invenção, o documento de patente US9913201 B1 se concentra na detecção de pontos de acesso ilegítimos que dependem de características geográficas. Em contraste, a presente invenção detecta características de pontos de acesso, que podem ser empregadas para a detecção de Pontos de Acesso não autorizados, por meio das mensagens enviadas a partir dele.
[0023] As soluções atuais de mercado ainda não conseguem detectar as características do ponto de acesso. Portanto, os dispositivos clientes estão expostos a uma variedade de ameaças e à falta de melhor compreensão sobre o comportamento do ponto de acesso. Assim, nos últimos anos, algumas soluções de segurança foram desenvolvidas para melhorar a segurança do usuário em relação ao AP sem fio ao qual ele se conecta.
[0024] A tecnologia CISCO Adaptive Wireless IPS Software consiste em um sistema de prevenção de intrusão sem fio lançado pela empresa CISCO que pode estar próximo da presente invenção (https://www.cisco.com/c/en/us/products/wireless/adaptivewireless-ips-software/index.html). A proposta da CISCO permite a detecção de vários ataques wireless, incluindo Ponto de Acesso Não Autorizado, Hotspot, entre outros. De acordo com o guia de implantação, a detecção de pontos de acesso não autorizados é alcançada por meio de uma lista de permissões, contendo os pontos de acesso benignos. Por outro lado, a detecção de hotspots não é detalhada, no entanto, a detecção feita pelas soluções de segurança atuais é alcançada por: (1) uma lista de endereços MAC previamente definida usada por empresas desenvolvedoras de smartphones ou (2) um flag de medição enviado em respostas DHCP. A solução CISCO é projetada principalmente para ambientes corporativos. Em contraste, a presente invenção pode ser usada tanto em ambientes corporativos quanto domésticos, já que pode ser facilmente incorporada em dispositivos habilitados para conexão sem fio. Além disso, a solução CISCO exige uma entidade centralizada para fins de configuração, enquanto a presente invenção não requer nenhuma infraestrutura designada para ela. A solução atualmente sendo vendida pela CISCO mostra que a presente invenção ainda não está sendo usada por nossos concorrentes, isso porque a solução CISCO exige que as políticas sejam configuradas para a tarefa de detecção.
[0025] Outra solução que pode estar próxima da presente invenção é o Wi-Fi Direct. As redes Wi-Fi Direct já permitem a detecção dos tipos de pontos de acesso, por exemplo câmera, smartphone, smart TV, entre outros. As características de detecção de Wi-Fi Direct já estão implementadas em dispositivos sem fio, por exemplo, um tipo de dispositivo de ícone é mostrado na interface gráfica do usuário de smartphones. No entanto, essas características só estão disponíveis ao usar o Wi-Fi Direct, porque as respostas de sondagem provenientes de dispositivos de Wi-Fi Direct contêm o tipo de ponto de acesso. Infelizmente, o Wi-Fi Direct é usado apenas quando se conecta em uma rede ponto a ponto, que geralmente é usada para compartilhar dados entre dois dispositivos. Por exemplo, um smartphone enviando uma foto para uma smart TV. A presente invenção permite que os produtos Wi-Fi forneçam a mesma característica que os dispositivos Wi-Fi Direct. Em outras palavras, para detectar o tipo de AP antes que uma conexão seja estabelecida;
[0026] A detecção de hotspots no Android também é uma tecnologia que pode estar próxima da presente invenção. A implementação atual para a detecção de hotspots em dispositivos Android depende de um flag enviado em mensagens de resposta do DHCP. Em outras palavras, ele verifica se a concessão do DHCP tem um flag de medição definido. Portanto, essa detecção só pode ser feita após uma conexão ser estabelecida. A presente invenção permite que produtos WiFi detectem hotspots antes de uma conexão ser estabelecida. Além disso, não é necessário verificar se há flags DHCP, pois as técnicas de aprendizagem de máquina são aplicadas em mensagens difundidas de ponto de acesso;
[0027] A presente invenção permite que os produtos detectem hotspots antes de estabelecer uma conexão, independentemente da empresa que fabricou o dispositivo. Além disso, diferentemente das soluções da técnica anterior, os produtos que usam a presente invenção podem detectar dispositivos próximos independentemente de seu tipo, sejam eles um smartphone, roteador, smart TV ou outros, isso ocorre porque a técnica usada na presente invenção é capaz de detectar vários tipos de dispositivos sem fio.
Sumário
[0028] O processo da presente invenção começa com um cliente que deseja avaliar a confiabilidade dos APs próximos antes de estabelecer uma conexão. Para cumprir esse objetivo, o dispositivo cliente pode difundir uma mensagem de sondagem para o APs próximos e aguardar por uma resposta ou escutar passivamente mensagens de APs próximos, por exemplo, quadros de beacon. No primeiro caso, os APs próximos respondem a mensagem de sondagem do cliente com uma mensagem de resposta correspondente, enquanto que, no segundo, os APs difundem periodicamente mensagens anunciando sua presença a clientes próximos. O dispositivo cliente, ao receber a mensagem do AP, extrai um vetor de características. O vetor de características, em seguida, atua como uma representação do comportamento do AP. Consequentemente, o comportamento do AP é usado para o processo de classificação e reconhecimento. Quando usado para fins de classificação, o dispositivo cliente depende do comportamento do ponto de acesso para classificá-lo em uma determinada categoria. Para isso, o dispositivo cliente aplica modelos de aprendizagem de máquina, treinados com um conjunto predefinido de categorias de AP. Por conseguinte, a classe atribuída é utilizada para avaliar a confiabilidade do AP, por exemplo um AP classificado como baseado em software indica um possível AP mal-intencionado. Por outro lado, quando usado para fins de reconhecimento, o dispositivo cliente usa o comportamento do AP para atribuí-lo a um determinado conjunto de tipos de AP. Para esse propósito, o cliente também conta com esquemas de aprendizagem de máquina. Aqui, a classe atribuída obtida durante a classificação e o tipo obtido durante o reconhecimento melhoram a segurança do usuário, por exemplo soluções de segurança podem detectar se um AP é um roteador, impressora, hotspot, dispositivo móvel, entre outros. Portanto, as características do AP, estabelecidas durante o processo de classificação e reconhecimento, podem ser empregadas para avaliar a credibilidade do AP antes mesmo que o usuário estabeleça uma conexão. Desta forma, esta invenção fornece um método para estimar passivamente a credibilidade de APs próximos, melhorando significativamente a segurança do usuário.
[0029] O método proposto na presente invenção pode ser aplicado à maioria dos produtos com conexão Wi-Fi, como smartphones, smart TVs, entre outros. Além disso, nenhuma alteração de hardware é necessária para as tarefas de identificação, classificação e reconhecimento. Finalmente, a invenção é leve e pode ser incorporada em dispositivos com recursos limitados, como dispositivos vestíveis, com pouco ou nenhum impacto na bateria.
Breve Descrição dos Desenhos
[0030] Os objetivos e vantagens da presente invenção irão se tornar mais claros através da seguinte descrição detalhada dos exemplos e desenhos não-limitativos apresentados no final deste documento:
A figura 1 apresenta o cenário típico de aplicação da invenção;
A figura 2 apresenta o fluxo de informação da invenção proposta entre seus módulos;
A figura 3 apresenta o fluxograma do método de detecção de característica de ponto de acesso proposto;
A figura 4 apresenta um exemplo de um vetor de características extraído de uma mensagem de ponto de acesso.
Descrição Detalhada
[0031] Os desenhos serão descritos detalhadamente com menção aos números de referência, sempre que possível. Os exemplos específicos utilizados ao longo da descrição são utilizados apenas para fins de clarificação e não pretendem limitar a aplicabilidade da presente invenção.
[0032] O termo "ponto de acesso" é usado aqui para se referir a um dispositivo de comunicação sem fio que permite que os dispositivos clientes tenham acesso a uma rede. Exemplos de pontos de acesso incluem, mas não se limitam a roteadores sem fio, switches, smartphones, impressoras, entre outros.
[0033] O termo “característica de ponto de acesso” é usado aqui para se referir a uma propriedade do ponto de acesso, na qual seus clientes desejam detectar para fins de segurança ou não. Exemplos de características de pontos de acesso incluem, mas não estão limitados a: se o AP é baseado em hardware; se o AP é baseado em software; o software usado para a configuração, em caso de AP baseado em software; se o AP é um hotspot; o tipo do AP, como roteador, impressora, câmera, smart TV, smartphone, entre outros.
[0034] O termo “dispositivo de comunicação sem fio” é usado aqui para se referir a um dispositivo que se conecta a um ponto de acesso por meio de um enlace de comunicação sem fio. Portanto, em um cenário típico, a invenção proposta é executada no dispositivo de comunicação sem fio para detectar as características do ponto de acesso antes que uma conexão seja estabelecida. Exemplos de dispositivos de comunicação sem fio incluem, mas não estão limitados a smartphones, notebooks, smart TVs, smartwatch, câmeras, roteadores, dispositivos de segurança, entre outros.
[0035] O termo "característica" é usado aqui para se referir a uma propriedade extraída de uma mensagem transmitida de um ponto de acesso. A característica pode ser extraída diretamente da propriedade incluída na mensagem do ponto de acesso ou extraída pelo processamento de várias propriedades incluídas na mensagem do ponto de acesso. Por exemplo, na família de protocolos IEEE 802.11, um conjunto de características pode ser extraído de uma mensagem de beacon, em que uma característica compreende um campo específico de tal mensagem. Como outro exemplo, uma característica também pode compreender uma informação sobre a presença ou não de campos específicos de uma determinada mensagem do AP.
[0036] O termo "reconhecedor" é usado aqui para se referir a um algoritmo de aprendizagem de máquina que identifica semelhanças entre sua entrada e um conjunto de exemplos conhecidos. O reconhecedor pode contar com técnicas de clusterização (“clustering”), classificação, baseadas na distância ou outras técnicas de aprendizagem de máquina. Por exemplo, um reconhecedor pode usar um algoritmo baseado em distância para retornar a característica de ponto de acesso mais semelhante para uma determinada entrada.
[0037] O termo "classificador" é usado aqui para se referir a um algoritmo de aprendizagem de máquina que classifica uma entrada em uma classe. A classe se refere a um grupo de exemplos que apresenta as mesmas propriedades. Por exemplo, um classificador pode rotular uma entrada como AP baseado em software ou baseado em hardware, em tal caso, a propriedade é se o AP é um dispositivo baseado em hardware ou um dispositivo baseado em software. Como outro exemplo, um classificador pode rotular uma entrada como AP hotspot ou como AP não hotspot.
Novos Aspectos da Invenção
[0038] As soluções de segurança atuais para dispositivos habilitados para conexão sem fio não conseguem obter características significativas de pontos de acesso (AP) próximos. Portanto, os dispositivos são expostos a uma ampla gama de ataques, uma vez que as técnicas de detecção não possuem um melhor entendimento sobre o comportamento do AP. Consequentemente, esta invenção aborda a lacuna de segurança quando os dispositivos querem se conectar a APs próximos. Isso ocorre porque a presente invenção permite que as soluções de segurança obtenham uma faixa mais ampla de características de AP antes que uma conexão seja estabelecida com o AP. Assim, as soluções de segurança podem avaliar melhor as características para estimar a credibilidade do AP, melhorando, assim, a segurança do usuário. Para atingir este objetivo, a presente invenção classifica passivamente e reconhece características de pontos de acesso (AP) de acordo com as mensagens enviadas antes de uma conexão ser estabelecida.
[0039] Depois de todos os passos serem completados com sucesso, o método da presente invenção fornece ao dispositivo informação enriquecida em relação às características do AP. Como um exemplo, o método da presente invenção pode detectar APs próximos baseados em hardware ou baseados em software, servindo como uma indicação de que um ataque pode estar ocorrendo, por exemplo, detectar um AP baseado em software que possui um SSID conhecido de um AP comercial ou corporativo confiável de um grande fornecedor. O método da presente invenção também acrescenta a possibilidade de detectar o software usado para configurar um AP quando aplicável, por exemplo APs criados usando software aircrackng, hostapd, connectify ou até mesmo usando um hotspot de smartphone. No entanto, a invenção também permite a detecção do tipo do AP, por exemplo roteador, impressora, câmera, smartphone, entre outros.
[0040] Portanto, quando se utiliza a presente invenção, os produtos serão capazes de detectar uma gama mais ampla de APs suspeitos por meio das características de AP obtidas.
Vantagens da Invenção
[0041] A presente invenção detecta características do AP utilizando uma abordagem passiva, sem requerer modificações nos protocolos de comunicação. Portanto, APs próximos não são capazes de detectar quando a presente invenção está em execução em um dispositivo. Além disso, protocolos sem fio comumente usados (por exemplo, família de protocolos IEEE 802.11) já definem uma série de mensagens que devem ser periodicamente difundidas por APs (por exemplo, beacons), mesmo antes de uma conexão ser feita. Portanto, nenhuma alteração no protocolo nem as transmissões de pacotes de rede são exigidas pelo dispositivo.
[0042] A presente invenção pode determinar qual AP próximo está sendo executado em uma abordagem baseada em software. Assim, melhora a segurança do usuário, porque, em geral, os APs executados com propósitos maliciosos são configurados por meios de software, por exemplo usando software aircrackng ou hostapd.
[0043] A presente invenção pode estabelecer, quando aplicável, qual software foi usado para configurar o AP baseado em software. Por exemplo, quando um AP baseado em software é detectado, a invenção proposta pode detectar se ele está sendo executado usando aircrackng, hostapd, connectify, entre outros. Assim, as soluções de segurança atuais podem, em vez disso, se conectar a um AP baseado em software próximo, que foi configurado com ferramentas não tradicionais comumente usadas para fins maliciosos.
[0044] A presente invenção pode detectar APs de hotspot próximos criados por um smartphone. Portanto, essas informações podem ser usadas para melhorar a segurança do usuário. Em geral, os hotspots móveis não são usados para fins maliciosos, portanto, podem ser conectados de maneira confiável.
[0045] A presente invenção pode detectar AP baseado em hardware. Assim, essa característica pode avaliar a confiabilidade do AP, pois, em geral, os APs baseados em hardware não são usados para fins maliciosos.
[0046] A presente invenção pode detectar uma variedade de tipos de APs, como impressoras, câmeras, smartphones, baseados em hardware e APs baseados em software, entre outros. Essas informações podem ser usadas para avaliar a confiabilidade do AP antes que uma conexão seja feita, melhorando a segurança do usuário.
[0047] A presente invenção não requer um hardware dedicado para cumprir seus objetivos. O processo de detecção pode ser prontamente incorporado em dispositivos com recursos limitados, com pouco ou nenhum impacto na bateria. Isso ocorre porque a detecção é feita por software, exigindo apenas acesso a mensagens difundidas por pontos de acesso próximos (AP).
[0048] A presente invenção detecta características do AP usando uma única mensagem. Portanto, diminui muito as demandas de processamento. O único requisito da invenção é que tal mensagem inclua as capacidades de AP, por exemplo os campos incluídos no beacon IEEE 802.11 e nas mensagens de resposta de sondagem.
[0049] Um cenário de aplicação da nossa invenção é mostrado na Figura 1. O cenário inclui um ponto de acesso (101) e um dispositivo de comunicação sem fio (102). O ponto de acesso se comunica com o dispositivo de comunicação sem fio usando um enlace de comunicação sem fio. Ambos os dispositivos se comunicam por meio de um protocolo comum e compartilhado, como a família de protocolos IEEE 802.11, por exemplo, IEEE 802.11a/b/g/n/ac/ax entre outros. O dispositivo de comunicação sem fio escuta mensagens (103) enviadas de pontos de acesso próximos. As mensagens do ponto de acesso podem ser enviadas periodicamente ou somente após o recebimento de um estímulo. Por exemplo, na família de protocolos IEEE 802.11, um ponto de acesso difunde periodicamente mensagens beacon, por outro lado, também envia mensagens geradas após um estímulo, como as respostas de sondagem, que são geradas depois que uma solicitação de sondagem é recebida. É um requisito da invenção proposta que as mensagens usadas para a execução do método de detecção incluam a informação do ponto de acesso referente às capacidades do AP. Um exemplo de tais mensagens inclui, mas não está limitado a mensagens de beacon IEEE 802.11 e respostas de sondagem IEEE 802.11.
[0050] A Figura 2 ilustra o fluxo de informação da invenção proposta depois que uma mensagem de ponto de acesso é recebida. A invenção proposta é executada em um dispositivo de comunicação sem fio. O fluxo de informações começa com uma mensagem (201) recebida do ambiente monitorado. A mensagem é obtida por um sniffer de mensagem sem fio (202), que monitora as mensagens recebidas pelo dispositivo de comunicação sem fio. Depois, a mensagem recebida é encaminhada (203) para o módulo de filtro de mensagem (204). O módulo de filtro de mensagem tem como objetivo estabelecer quais mensagens recebidas podem ser usadas para extrair as características do ponto de acesso. Portanto, o módulo de filtro de mensagem deve ser capaz de interpretar corretamente os protocolos de rede e detectar quando as mensagens desejadas são recebidas. O módulo de filtro de mensagem deve descartar corretamente mensagens que não são usadas nem para classificação nem para tarefas de reconhecimento. Exemplos de mensagens desejadas que podem ser usadas para tarefas de classificação ou reconhecimento incluem, mas não estão limitadas a mensagens de beacon IEEE 802.11 e mensagens de resposta de sondagem IEEE 802.11. As mensagens selecionadas são então encaminhadas (205) para um módulo de extração de características (206).
[0051] O módulo de extração de características, baseado na mensagem selecionada, extrai um conjunto de características usados para fins de classificação e/ou reconhecimento. Portanto, o módulo de extração de características deve ser capaz de interpretar o protocolo de rede de mensagens desejado. O módulo de extração de características, para cada característica que compõe o conjunto de características, realiza a extração do campo de mensagem ou do processo de cálculo necessário para sua extração. Quando uma característica pode ser extraída diretamente de um campo de mensagem, o extrator de características copia o valor do campo de mensagem para seu índice correspondente do conjunto de características. Em contraste, quando uma computação é necessária para a extração de um valor de característica, o módulo de extração de características executa o cálculo necessário e copia o resultado correspondente para seu índice relacionado no conjunto de características. Exemplos de características que podem ser extraídas diretamente de campos de mensagens incluem, mas não estão limitados a: valores de flags, valores de características, valores de fornecedores, entre outros. Exemplos de características que podem exigir computação adicional para sua extração incluem, mas não estão limitadas a: número de ocorrências de um determinado campo, tamanho total de um determinado campo, presença de um determinado campo, entre outros. Após a extração de todas as características, o conjunto de características é encaminhado (207) para o módulo de reconhecimento de características de ponto de acesso (208) e módulo de classificação de características de ponto de acesso (209).
[0052] O módulo de reconhecimento de características de ponto de acesso recebe como entrada um conjunto de características e gera uma característica de ponto de acesso relacionada. Para cumprir sua meta, o módulo de reconhecimento de características de ponto de acesso aplica um modelo de aprendizagem de máquina que reconhece semelhanças entre sua entrada e um conjunto de exemplos conhecidos. O reconhecedor pode contar com técnicas de cluster, classificação, baseadas em distância ou outras técnicas de aprendizagem de máquina. Por exemplo, um reconhecedor pode usar um algoritmo baseado em distância para retornar a característica de ponto de acesso mais semelhante para uma determinada entrada. Antes que a mensagem entre no módulo de aprendizagem de máquina, o módulo de reconhecimento de características de ponto de acesso converte o conjunto de características para uma entrada de aprendizagem de máquina adequada. Como exemplo, a conversão do conjunto de características pode incluir nenhuma, todas ou outras das seguintes tarefas: normalização, padronização, seleção de características, redução de características, entre outras técnicas de pré-processamento. Por exemplo, antes de aplicar um modelo de aprendizagem de máquina baseado em distância, o módulo de reconhecimento de características de ponto de acesso pode executar uma normalização de características e uma técnica de redução de características. Após a aplicação do modelo de aprendizagem de máquina, a característica de ponto de acesso detectada é encaminhada (210) para um módulo de relatório (211).
[0053] O módulo de classificação de características de ponto de acesso aplica um modelo de aprendizagem de máquina que classifica uma entrada em uma classe. A classe refere-se a um grupo de exemplos dados que apresentam as mesmas propriedades, isto é, características de AP. Por exemplo, um classificador pode rotular uma entrada como AP baseada em software ou baseada em hardware, em tal caso, a propriedade é se o AP é um dispositivo baseado em hardware ou um dispositivo baseado em software. Antes de aplicar o módulo de aprendizagem de máquina, o módulo de classificação de característica de ponto de acesso converte o conjunto de características em uma entrada de aprendizagem de máquina adequada. Como exemplo, a conversão do conjunto de características pode incluir nenhuma, todas ou outras das seguintes tarefas: normalização, padronização, seleção de características, redução de características, entre outras técnicas de pré-processamento. Por exemplo, antes de aplicar um modelo de aprendizagem de máquina de classificação, o módulo de classificação de características de ponto de acesso pode executar uma técnica de redução de características. Após a aplicação do modelo de aprendizagem de máquina, o vetor de características do ponto de acesso rotulado é encaminhado (210) para um módulo de relatório (211).
[0054] O objetivo do módulo de relatório é reunir todas as características de ponto de acesso estabelecidas e relatá-las ao cliente correspondente. Por exemplo, o cliente pode ser um dispositivo de comunicação sem fio ou uma solução de segurança.
[0055] A figura 3 ilustra o fluxograma do método da presente invenção para detecção de características de ponto de acesso.
[0056] A detecção da característica inicial do ponto de acesso é iniciada (301) por uma consulta do cliente. Por exemplo, o cliente pode ser um dispositivo de comunicação sem fio ou uma solução de segurança. Em seguida, mensagens de ponto de acesso próximas são continuamente coletadas (302). Portanto, quando uma mensagem de ponto de acesso é recebida, sua validade é verificada (303). Mensagens válidas são tipos de mensagens de pontos de acesso próximos usados para fins de classificação e/ou reconhecimento. Se uma mensagem válida for encontrada, o identificador do ponto de acesso será extraído (304). Exemplos de identificadores de ponto de acesso incluem, mas não estão limitados a SSID, BSSID, entre outros. Finalmente, se a mensagem vier de um ponto de acesso válido (305), as tarefas de classificação e/ou reconhecimento podem ser realizadas. Um ponto de acesso é considerado válido quando suas características ainda não foram detectadas pela presente invenção, ou o cliente deseja realizar a detecção novamente.
[0057] Mensagens de ponto de acesso válidas passam por um processo de reconhecimento e/ou classificação. Por uma questão de simplicidade, no fluxograma, esse processo é mostrado sequencialmente, no qual o reconhecimento é realizado antes do processo de classificação. No entanto, a invenção também pode ser implementada para realizar tais tarefas em paralelo, ou mesmo na ordem oposta, realizando primeiro a tarefa de classificação e depois a tarefa de reconhecimento.
[0058] Se o processo de reconhecimento for executado (306), ele começa com a seleção de um modelo de aprendizagem de máquina adequado a partir do reconhecedor (307). Os modelos de aprendizagem de máquina do reconhecedor apropriado são algoritmos usados para detectar características de ponto de acesso que não foram usadas antes para a mesma tarefa de detecção de identificador de ponto de acesso. Portanto, cada característica de ponto de acesso precisa ser identificada apenas uma vez pela invenção proposta. Com o modelo de aprendizagem de máquina do reconhecedor apropriado, o conjunto correspondente de características é selecionado (308). Este processo visa construir o conjunto de características de acordo com cada modelo de aprendizagem de máquina do reconhecedor. Esse processo ocorre porque cada modelo pode contar com um conjunto de características diferente, estabelecido de acordo com cada processo de obtenção do modelo. O conjunto correspondente de processos de construção de características inclui nenhum, todos ou alguns dos processos de extração de características, seleção, normalização, padronização, redução e/ou qualquer outra tarefa de pré-processamento necessária para aplicar corretamente o modelo de aprendizagem de máquina reconhecedor. Finalmente, o modelo de aprendizagem de máquina do reconhecedor é aplicado ao conjunto de características construído (309). O modelo de aprendizagem de máquina do reconhecedor produz uma característica de ponto de acesso, que é armazenada (310) até que todos os reconhecedores e classificadores sejam aplicados. Se todos os reconhecedores forem aplicados, o processo de classificação começa (311), caso contrário, o próximo reconhecedor é selecionado e o processo se inicia novamente.
[0059] Se o processo de classificação for executado (312), um classificador é selecionado entre um conjunto de classificadores (313). Semelhante ao processo de reconhecimento, um conjunto de características correspondente é construído para o classificador selecionado (314). O processo de criação do conjunto de características inclui nenhum, todos ou alguns dos processos de extração de características, seleção, normalização, padronização, redução e/ou qualquer outra tarefa de pré-processamento necessária para aplicar corretamente o modelo de aprendizagem de máquina do classificador. Com o conjunto de características do classificador adequadamente construído, o classificador pode ser aplicado para a detecção da característica do ponto de acesso (315). Depois de aplicar o modelo de aprendizagem de máquina classificador, sua saída, a característica do ponto de acesso, é armazenada até que todos os classificadores sejam aplicados com sucesso (316). Finalmente, se todos os classificadores forem aplicados, o processo do relatório pode ser executado; caso contrário, o processo de classificação é executado novamente, até que todos os classificadores sejam aplicados (317).
[0060] O relatório da característica de ponto de acesso é executado quando todos os classificadores e/ou reconhecedores são aplicados à mensagem de ponto de acesso selecionada (318). O processo de relatório começa com a coleta de todas as características de pontos de acesso detectados, obtidas ao aplicar os reconhecedores e/ou classificadores. Posteriormente, as características do ponto de acesso obtidas são reportadas ao dispositivo cliente, que iniciou o processo de detecção. Finalmente, depois de relatar a característica de ponto de acesso adequada, o processo recomeça, com a coleta de mensagens de ponto de acesso próximas (302).
[0061] A Figura 4 mostra um exemplo de um vetor de características extraído obtido após a extração de característica de uma mensagem de ponto de acesso (401). Por uma questão de simplicidade, os campos de mensagem de resposta de sondagem IEEE 802.11 são utilizados na figura, no entanto, outras mensagens de ponto de acesso podem ser utilizadas para o processo de extração de características de ponto de acesso. Exemplos de características que podem ser extraídos de um campo de mensagem de resposta de sondagem IEEE 802.11 incluem, mas não estão limitados ao número de elementos de informação, tamanho total da mensagem, número de elementos de informação de DS, conjunto de bit 0 das capacidades de HT, conjunto de bit 1 das capacidades de HT, conjunto de bit 2 das capacidades de HT, entre outros. Portanto, os valores de características podem ser obtidos diretamente do valor do campo de mensagem, por exemplo, conjunto de bit 0 das capacidades de HT, conjunto de bit 1 das capacidades de HT, conjunto de bit 2 das capacidades de HT, entre outros. Por outro lado, outros valores de características só podem ser obtidos após um processo computacional, por exemplo, número de elementos de informação, tamanho total da mensagem, número de elementos de informação de DS, entre outros.
[0062] Embora a presente invenção tenha sido descrita em relação a certas concretizações preferidas, deve ser entendido que não se pretende limitar a invenção a essas concretizações particulares. Ao contrário, pretende-se abranger todas as alternativas, modificações e equivalências possíveis dentro do espírito e escopo da invenção, conforme definido pelas reivindicações anexas.

Claims (16)

  1. Método para detectar características de pontos de acesso, usando técnicas de aprendizagem de máquina caracterizado pelo fato de que compreende:
    coletar, por meio de um módulo sniffer de mensagem sem fio, mensagens de ponto de acesso a serem usadas para fins de reconhecimento ou classificação;
    filtrar, através de um módulo de filtro de mensagem, um conjunto de tipos de mensagem de ponto de acesso desejado a ser utilizado para fins de reconhecimento ou classificação;
    extrair características, por um módulo de extração de características, da mensagem de ponto de acesso a ser utilizada para fins de reconhecimento ou classificação;
    reconhecer características de ponto de acesso, por um módulo de reconhecimento de características de ponto de acesso, a ser utilizado para soluções externas;
    classificar as características do ponto de acesso, através de um módulo de classificação de características de ponto de acesso, a ser utilizado para soluções externas.
  2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que coleta mensagens de ponto de acesso a serem utilizadas para fins de reconhecimento ou classificação compreende:
    coletar, pelo módulo sniffer de mensagem sem fio, mensagens trocadas no enlace de comunicação sem fio.
  3. Método de acordo com a reivindicação 1, caracterizado pelo fato de que a filtragem de um conjunto de tipos de mensagem de ponto de acesso desejado a ser utilizado para fins de reconhecimento ou classificação compreende:
    identificar, através de um módulo de filtro de mensagem, um conjunto de tipos de mensagens que são utilizados para fins de reconhecimento ou classificação;
    filtrar, por um módulo de filtro de mensagem, mensagens coletadas pelo módulo sniffer de mensagem sem fio.
  4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que as características de extração da mensagem de ponto de acesso a serem utilizadas para fins de reconhecimento ou classificação compreendem:
    determinar, pelo módulo de extração de características, o conjunto de características a serem extraídos de acordo com o modelo de aprendizagem de máquina usado;
    extrair, pelo módulo de extração de características, o conjunto correspondente de características de acordo com o modelo de aprendizagem de máquina usado;
    pré-processar, pelo módulo de extração de características, o conjunto de características extraídos de acordo com o modelo de aprendizagem de máquina usado.
  5. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que reconhecer características de ponto de acesso a serem utilizadas para soluções externas compreende:
    aplicar, por um módulo de reconhecimento de características de ponto de acesso, um modelo de aprendizagem de máquina para reconhecimento de características de ponto de acesso;
    determinar, por um módulo de reconhecimento de características de ponto de acesso, a característica de ponto de acesso de acordo com o modelo de aprendizagem de máquina aplicado;
    montar, através de um módulo de reconhecimento de características de ponto de acesso, o conjunto de características determinadas de pontos de acesso.
  6. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que classificar as características de pontos de acesso a serem utilizadas para soluções externas compreende:
    aplicar, através de um módulo de classificação de características de ponto de acesso, um modelo de aprendizagem de máquina para classificação de características de ponto de acesso;
    determinar, por um módulo de classificação de características de ponto de acesso, a característica de ponto de acesso de acordo com o modelo de aprendizagem de máquina aplicado;
    montar, através de um módulo de classificação de características de ponto de acesso, o conjunto de características determinadas de pontos de acesso.
  7. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a característica de ponto de acesso é determinada aplicando um modelo de aprendizagem de máquina para fins de reconhecimento, sendo dado ao modelo de aprendizagem de máquina como entrada um conjunto de características de ponto de acesso e gerada como saída uma característica de ponto de acesso, o modelo de aprendizagem de máquina usado para reconhecimento determina o tipo de ponto de acesso.
  8. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a característica de ponto de acesso é determinada aplicando um modelo de aprendizagem de máquina para fins de classificação, sendo dado como entrada ao modelo de aprendizagem de máquina um conjunto de características de pontos de acesso e gerada como saída uma característica de ponto de acesso, o modelo de aprendizagem de máquina usado para classificação determina a classe do ponto de acesso.
  9. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o conjunto de características do ponto de acesso é determinado aplicando um processo de extração de características.
  10. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o processo de extração de características é dado como entrada de uma mensagem de ponto de acesso e gera um conjunto de características de ponto de acesso, sendo o conjunto de características calculado pela construção de um conjunto de características pela cópia dos valores do campo de mensagem, ou por um processamento adicional para estabelecer o valor das características.
  11. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que as mensagens a serem utilizadas para o processo de extração de características são determinadas por um processo de filtragem de mensagens.
  12. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o processo de filtragem de mensagens é dado como entrada de todas as mensagens coletadas em um enlace de comunicação sem fio e gera um conjunto de mensagens a serem usadas para classificação e processo de reconhecimento.
  13. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que as características do ponto de acesso são passivamente determinadas.
  14. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que as mensagens utilizadas para o processo de reconhecimento e/ou classificação são coletadas passivamente, sem a intervenção do usuário no enlace de comunicação sem fio.
  15. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o usuário pode determinar várias características do ponto de acesso.
  16. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o processo de detecção de características do ponto de acesso aplica um conjunto de modelos de aprendizagem de máquina para reconhecimento e/ou processo de classificação.
BR102019020060-0A 2019-09-25 2019-09-25 método para detecção de características de pontos de acesso, usando aprendizagem de máquina BR102019020060A2 (pt)

Priority Applications (2)

Application Number Priority Date Filing Date Title
BR102019020060-0A BR102019020060A2 (pt) 2019-09-25 2019-09-25 método para detecção de características de pontos de acesso, usando aprendizagem de máquina
US16/790,007 US20210092610A1 (en) 2019-09-25 2020-02-13 Method for detecting access point characteristics using machine learning

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
BR102019020060-0A BR102019020060A2 (pt) 2019-09-25 2019-09-25 método para detecção de características de pontos de acesso, usando aprendizagem de máquina

Publications (1)

Publication Number Publication Date
BR102019020060A2 true BR102019020060A2 (pt) 2021-04-20

Family

ID=74880235

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102019020060-0A BR102019020060A2 (pt) 2019-09-25 2019-09-25 método para detecção de características de pontos de acesso, usando aprendizagem de máquina

Country Status (2)

Country Link
US (1) US20210092610A1 (pt)
BR (1) BR102019020060A2 (pt)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9615255B2 (en) * 2015-04-29 2017-04-04 Coronet Cyber Security Ltd Wireless communications access security
US11474881B1 (en) 2021-03-31 2022-10-18 Bank Of America Corporation Optimizing distributed and parallelized batch data processing
US11874817B2 (en) 2021-03-31 2024-01-16 Bank Of America Corporation Optimizing distributed and parallelized batch data processing
US11722381B1 (en) * 2022-11-08 2023-08-08 Institute For Information Industry Method and system for building potential wireless access node based on software-and-hardware separation techniques
JP7418649B1 (ja) 2023-11-24 2024-01-19 株式会社インターネットイニシアティブ 通信管理装置および通信管理方法
JP7481595B1 (ja) 2024-01-25 2024-05-10 株式会社インターネットイニシアティブ 通信管理装置および通信管理方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9247526B2 (en) * 2012-05-08 2016-01-26 Qualcomm Incorporated Systems and methods for paging message enhancement
US20180205749A1 (en) * 2017-01-18 2018-07-19 Qualcomm Incorporated Detecting A Rogue Access Point Using Network-Independent Machine Learning Models

Also Published As

Publication number Publication date
US20210092610A1 (en) 2021-03-25

Similar Documents

Publication Publication Date Title
US11552954B2 (en) Private cloud control
BR102019020060A2 (pt) método para detecção de características de pontos de acesso, usando aprendizagem de máquina
US20220303805A1 (en) Device classification based on rank
US7930734B2 (en) Method and system for creating and tracking network sessions
US20210258791A1 (en) Method for http-based access point fingerprint and classification using machine learning
CN110113345B (zh) 一种基于物联网流量的资产自动发现的方法
Sivanathan et al. Can we classify an iot device using tcp port scan?
JP6416409B2 (ja) アクセスポイントステアリング
US8752175B2 (en) Method and apparatus for network intrusion detection
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
JP7425832B2 (ja) IoTセキュリティにおけるパターンマッチングベースの検出
WO2019178966A1 (zh) 抵抗网络攻击方法、装置、计算机设备及存储介质
Dalai et al. Wdtf: A technique for wireless device type fingerprinting
US20220092087A1 (en) Classification including correlation
CN101577645A (zh) 检测仿冒网络设备的方法和装置
KR101087291B1 (ko) 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템
Chang et al. Study on os fingerprinting and nat/tethering based on dns log analysis
US20080263660A1 (en) Method, Device and Program for Detection of Address Spoofing in a Wireless Network
Anmulwar et al. Rogue access point detection methods: A review
BR102020003105A2 (pt) Método para detecção de servidores dns falsificados usando técnicas de aprendizado de máquina
Kim et al. A technical survey on methods for detecting rogue access points
Idland Detecting mac spoofing attacks in 802.11 networks through fingerprinting on the mac layer
CN112787947A (zh) 网络业务的处理方法、系统和网关设备
CN111918286B (zh) 通信连接检测方法、装置、设备
US12009986B2 (en) Proactive inspection technique for improved classification

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]