CN102036248A - 拒绝服务攻击防御方法、系统、无线接入点及无线控制器 - Google Patents
拒绝服务攻击防御方法、系统、无线接入点及无线控制器 Download PDFInfo
- Publication number
- CN102036248A CN102036248A CN2010106033693A CN201010603369A CN102036248A CN 102036248 A CN102036248 A CN 102036248A CN 2010106033693 A CN2010106033693 A CN 2010106033693A CN 201010603369 A CN201010603369 A CN 201010603369A CN 102036248 A CN102036248 A CN 102036248A
- Authority
- CN
- China
- Prior art keywords
- message
- client
- access point
- wireless access
- wap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种拒绝服务攻击防御方法、系统、无线接入点及无线控制器。该方法包括:无线控制器接收无线接入点转发的客户端的第一报文;无线控制器根据无线接入点返回的客户端对应的接收信号强度指示阈值,判断第一报文是否为攻击报文;当判断出第一报文为攻击报文时,无线控制器直接丢弃第一报文。本发明提供的拒绝服务攻击防御方法、系统、无线接入点及无线控制器,可实现对DOS攻击的防御,同时不会因DOS攻击报文使客户端下线或中断无线接入服务,提高了客户端无线接入的服务质量。
Description
技术领域
本发明涉及网络通信技术,尤其涉及一种拒绝服务攻击防御方法、系统、无线接入点及无线控制器。
背景技术
无线局域网(Wireless Local Area Networks;简称为:WLAN)是指应用无线通信技术将计算机设备互联起来,使客户端可以随时随地接入宽带网络实现信息共享的一种网络。其中,无线客户端(例如:支持WLAN接入功能的笔记本电脑、个人数码助理或无线网卡)通过无线接入点(Access Point;简称为:AP)接入无线局域网。AP是连接有线网和无线局域网的桥梁,其主要作用是将各个无线客户端连接到一起,然后将无线网络接入以太网。
通常AP仅具有802.11物理层的功能,即只能进行无线射频信号的发送和接收,需要和一台无线控制器(Access Controller;简称为:AC)连接,由AC集中控制和管理以接入有线网络。其中,AC负责数据交换和路由选择,还进行用户认证、安全策略管理、射频信道选择和输出功率调整等。
和有线网络一样,拒绝服务(Denial-Of-Service;简称为:DOS)攻击也已经成为破坏WLAN通信安全的重要途径。由于IEEE802.11中未对管理报文提供保护机制,因此,即使采用了高安全级别的WLAN,攻击者也可以很容易的通过伪造管理报文来对AP进行DOS攻击,例如伪造下线报文(解认证报文或解关联报文)导致无线接入服务中断、设备过载等情况。针对上述情况,IEEE工作组提出一种IEEE802.11w标准,主要是通过对客户端关联成功后的管理报文进行合法性校验,提供对管理报文的保护。在802.11w协议中,当客户端成功关联AP之后,首先会与AP协商密钥,用于对管理报文进行安全管理;当AP下发解认证报文(Deauth)或解关联报文(Disassoc)时,会根据协商的密钥产生信息完整性代码(Message Integrity Code;简称为MIC),并将MIC添加到解认证报文或解关联报文中一并发送给客户端;客户端接收到解认证报文或解关联报文时,会提取其中的MIC并用密钥对该MIC进行验证;对于通过验证的合法报文才被客户端接收,对于未通过验证的报文将被客户端视为攻击报文并丢弃。
通过上述方式可以对管理报文提供一定的保护作用,但是,上述方法需要在客户端和AP之间完成密钥协商之后,才能对管理报文进行加密和认证,而对于密钥协商完成之前的管理报文仍无法提供保护,由于此时还没有密钥,因此,攻击者还会利用上述这点对管理报文进行攻击,使AP自行发送下线报文给客户端,造成无线接入服务中断。另外,在802.11w网络中,客户端和AP关联上并进行数据传输后,若攻击者发送一个伪造的关联请求(Assoc Request)报文或认证请求报文,但客户端的能力属性(例如:能力(Capabilities)、基本速率配置(Basic Rate sets)等)不符合AP的要求,此时,AP将会返回一个携带合法MIC值的下线报文给客户端,此时,客户端仍会被下线,导致无线接入服务被中断。
由上述分析可知:目前802.11w无线网络仍无法防御攻击者通过一定手段迫使AP自行向客户端发送下线报文来中断无线接入服务的DOS攻击。
发明内容
本发明提供一种拒绝服务攻击防御方法、系统、无线接入点及无线控制器,用以实现对拒绝服务攻击的防御,提高客户端无线接入的服务质量。
本发明提供一种拒绝服务攻击防御方法,包括:
无线控制器接收无线接入点转发的客户端的第一报文;
所述无线控制器根据所述无线接入点返回的所述客户端对应的接收信号强度指示阈值,判断所述第一报文是否为攻击报文;
当判断出所述第一报文为攻击报文时,所述无线控制器直接丢弃所述第一报文。
本发明提供一种无线控制器,包括:
第一接收模块,用于接收无线接入点转发的客户端的第一报文;
判断模块,用于根据所述无线接入点返回的所述客户端对应的接收信号强度指示阈值,判断所述第一报文是否为攻击报文;
丢弃模块,用于在所述判断模块判断出所述第一报文为攻击报文时,直接丢弃所述第一报文。
本发明提供一种无线接入点,包括:
第二发送模块,用于将客户端发送的第一报文转发给无线控制器;
第三发送模块,用于将所述客户端对应的接收信号强度指示阈值发送给所述无线控制器,以供所述无线控制器根据所述客户端对应的接收信号强度指示阈值,判断所述第一报文是否为攻击报文。
本发明提供一种拒绝服务攻击防御系统,包括本发明提供的任一无线控制器和本发明提供的任一无线接入点。
本发明提供的拒绝服务攻击防御方法、系统、无线接入点及无线控制器,无线控制器根据无线接入点返回的客户端对应的接收信号强度指示阈值,判断由无线接入点转发的客户端的第一报文是否为攻击报文,当判断出第一报文为攻击报文时,直接丢弃第一报文,实现对DOS攻击的防御。与现有技术相比,本发明技术方案无需无线接入点和客户端进行密钥协商,因此,对任何时候客户端发送的第一报文都可以进行DOS攻击防御,不受密钥协商的限制;另外,本发明技术方案基于接收信号强度指示阈值来判断第一报文是否为攻击报文,并不像现有技术那样根据客户端的能力属性来判断是否为攻击报文,因此,不会因DOS攻击报文而导致无线控制器通过无线接入点主动向客户端发送下线报文使客户端下线或中断无线接入服务,提高了客户端无线接入的服务质量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的DOS攻击防御方法的流程图;
图2为本发明实施例二提供的DOS攻击防御方法的流程图;
图3为本发明实施例三提供的DOS攻击防御方法的流程图;
图4为本发明实施例四提供的AC的结构示意图;
图5为本发明实施例五提供的AC的结构示意图;
图6为本发明实施例六提供的AP的结构示意图;
图7为本发明实施例七提供的AP的结构示意图;
图8为本发明实施例八提供的DOS攻击防御系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一提供的DOS攻击防御方法的流程图。如图1所示,本实施例的DOS攻击防御方法包括:
步骤11、AC接收AP转发的客户端的第一报文;
其中,客户端通过与AP关联接入有线网络,AP通过有线与AC连接,AC负责对AP进行控制和管理。在上述WLAN结构中,客户端首先会向AP发送认证请求报文,以进行身份认证;AP将认证请求报文转发给AC,以供AC对客户端进行身份认证;AC将身份认证结果通过AP返回给客户端。在认证通过后,客户端会向AP发送关联请求报文;AP将关联请求报文转发给AC,由AC负责对客户端的能力属性等进行判断,以确定是否允许客户端通过与AP关联而接入WLAN。
在上述过程中,攻击者可以构造认证请求报文或关联请求报文进行DOS攻击,因此,本实施例的第一报文可以为认证请求报文或关联请求报文,但并不限于此。
步骤12、AC根据AP返回的客户端对应的接收信号强度指示(ReceivedSignal Strength Indication;简称为:RSSI)阈值,判断第一报文是否为攻击报文;
通常,AP除了接收客户端的认证请求报文或关联请求报文之外,还会接收客户端发送的其他报文,例如:为了保持与客户端的连接,AP会接收客户端定时发出的探测请求(Probe Request)信号。其中,只要客户端处于开机状态,无论客户端是否与AP关联,AP均能获取到客户端的相关报文。AP基于获取的客户端的相关报文的RSSI,生成客户端对应的RSSI阈值,并将该RSSI阈值提供给AC。其中,在本实施例中,将AP生成RSSI阈值所需的客户端的相关报文称为第二报文,该第二报文通常为除关联请求报文和认证请求报文之外的报文。其中,由于RSSI阈值是由AP根据客户端的第二报文生成的,因此,表征着客户端的位置。
通常,攻击者为了保证其安全性和隐蔽性,会与真正的客户端之间保持一定距离。而由于RSSI能够反映客户端的位置,因此,AC通过比较第一报文的RSSI和RSSI阈值,可以判断发送第一报文的终端位置是否与客户端的位置一致,进而判断发送第一报文的终端是否为客户端;如果为客户端,则可以判断出第一报文为正常报文,反之,判断出第一报文为攻击报文。
步骤13、当判断出第一报文为攻击报文时,AC直接丢弃第一报文。
当AC判断出第一报文为攻击报文时,直接丢弃该第一报文,并不对第一报文做出响应,即不会因为第一报文而通过AP向客户端发送下线报文;同时,AC会通知AP将该第一报文丢弃,由于AP没有接收到AC的下线报文,因此不会向客户端发送下线报文(例如解关联报文或解认证报文),在识别DOS攻击的基础上,保证了客户端不被下线,保证了客户端的无线接入不被中断。
本实施例提供的DOS攻击防御方法,AC根据AP返回的客户端对应的RSSI阈值来判断第一报文是否为DOS攻击报文,并在判断出第一报文为DOS攻击报文时,将第一报文丢弃,不对第一报文进行响应,实现了对DOS攻击的识别,同时保证了客户端不被下线,保证了客户端的无线接入服务不被中断,提高了客户端无线接入的服务质量。与现有技术相比,本实施例不需要客户端和AP之间进行密钥协商,因此,不存在密钥协商前无法对管理报文进行DOS攻击防御的问题;同时,由于本实施例基于RSSI阈值判断是否为攻击报文,而不是基于客户端的能力属性进行判断,因此,不会像现有技术那样在判断出能力属性不一致时AC通过AP主动向客户端下发下线报文,因此,可以在识别出DOS攻击的情况下,保证客户端不被下线,保证客户端的无线接入不被中断,实现了对DOS攻击的防御。
其中,AP可以根据获取的客户端的多个第二报文的RSSI进行算术平均,将获取的平均值作为RSSI阈值;该实施方式易于实现,但是其精度往往不高。基于此,本实施例另外提供一种AP生成RSSI阈值的实施方式,即AP对获取的第二报文的RSSI进行滤波处理,以滤除影响第二报文的RSSI的杂波或干扰信号,将滤波后的第二报文的RSSI作为客户端对应的RSSI阈值。由于对第二报文的RSSI进行滤波处理滤除了部分杂波或干扰信号,因此,获取的客户端对应的RSSI阈值的精度较高,进而可以提高基于该RSSI阈值进行判断的准确度。其中AP可以采用一阶滤波、二阶滤波或高阶滤波等滤波方法对第二报文的RSSI进行滤波,具体采用哪种滤波方式可以结合当前网络状态,例如当网络中存在较多干扰源或信号较差时,可以采用二阶滤波或高阶滤波以尽可能提高RSSI阈值的精度;而当网络处于常规状态或正常状态时,可以采用简单的一阶滤波方法。
其中,一阶滤波方法算法简单且易于实现,且基于目前的WLAN,对第二报文的RSSI进行一阶滤波处理获取的RSSI阈值通常满足对RSSI阈值精度的要求,因此,在本实施例以及以下各实施例中,AP均采用一阶滤波方法对第二报文的RSSI进行滤波处理来获取客户端对应的RSSI阈值。其中,AP对第二报文的RSSI进行一阶滤波处理的过程具体包括:AP获取客户端的第二报文;然后,根据公式(1),对第二报文的RSSI进行一阶滤波处理,将该一阶滤波结果作为客户端对应的RSSI阈值。
RIav=(1-a)*RI+a*RIav’ (1)
其中,RIav表示客户端对应的RSSI阈值;RIav’表示客户端对应的RSSI初始值,根据一阶滤波的原理RIav’具体为上一次根据公式(1)计算生成的RSSI阈值;a表示滤波因子,0<a<1;RI表示第二报文的RSSI。
进一步,在本实施例中,AP会持续获取客户端的第二报文,AP每获取一个第二报文均根据公式(1)计算生成客户端对应的RSSI阈值,即AP获取的客户端对应的RSSI阈值是动态变化的。基于上述,RIav表示根据当前获取的第二报文生成的客户端对应的RSSI阈值;RIav’表示根据前一个第二报文生成的客户端对应的RSSI阈值;a表示滤波因子;RI表示当前获取的第二报文的RSSI。
上述获取客户端对应的RSSI阈值的实施方式采用了一阶滞后滤波算法,相对于普通的算术平均算法,一阶滞后滤波法算法对周期性干扰具有良好的抑制作用,适用于波动频率较高的场合,并且可通过调整滤波因子a的取值来对滤波结果的灵敏度进行调整,滤波因子a的值越小,滤波结果越灵敏,因此,通过该实施方式获取的RSSI阈值的精度较高。
基于上述实施例,AP具体可以采用以下方式向AC返回客户端对应的RSSI阈值。一种方式为:AP可以预设周期,定时向AC返回客户端对应的RSSI阈值;其中,在每个预设周期内,AP可能会接收到客户端的多个第二报文,因此,会生成客户端对应的多个RSSI阈值,此时,AP可以将多个RSSI阈值均返回给AC,以供AC选择其中一个来作为比较使用的RSSI阈值;另外,AP也可以只将最新的RSSI阈值返回给AC,使AC根据接收到的唯一的RSSI阈值来判断是否存在DOS攻击。
另一种方式为:AC主动向AP发送获取指示消息,该获取指示消息表示要AP返回客户端对应的最新的RSSI阈值。AP接收AC的获取指示消息,根据获取指示消息,向AC返回客户端对应的RSSI阈值。其中,AP在接收到客户端的每一个第二报文时,均根据公式(1)计算与每一个第二报文对应的RSSI阈值,当接收到AC的获取指示消息时,将当前最新的RSSI阈值发送给AC。
基于上述实施例,AC根据客户端对应的RSSI阈值,判断第一报文是否为攻击报文的过程具体如下:AC获取第一报文的RSSI,并将第一报文的RSSI与客户端对应的RSSI阈值做差,获取第一报文的RSSI与客户端对应的RSSI阈值的差值;AC将获取的差值与预设门限值进行比较;如果比较结果为差值大于预设门限值,则AC判定第一报文为攻击报文;如果差值小于或等于预设门限值,则AC判定第一报文为非攻击报文,即正常报文,可以对该第一报文做出响应。
其中,当客户端固定在某个位置时,滤波因子a取0.9获取的RSSI阈值能较准确的反映来自客户端的无线信号的大小,此时,接收到的每个第一报文的RSSI通常会在RSSI阈值±5范围内进行波动,因此,预设门限值可以为5。其中,本实施例的提供的滤波因子a的取值以及预设门限值只是一种优选值,但均不限于此,根据实际应用情况可以做适应性变化。
进一步,结合WLAN网络的实际情况,客户端往往会发生移动,当客户端发生移动时,通过上述实施例可能会出现误判,为了进一步提高判断DOS攻击的准确性,本发明以下实施例提供一种实施方式。
图2为本发明实施例二提供的DOS攻击防御方法的流程图。本实施例基于上述实施例实现,如图2所示,本实施例的DOS攻击防御方法在AC判断出第一报文为DOS攻击报文之后还包括:
步骤14、AC向AP发送更新指示消息;该更新指示消息用于使AP对滤波因子a进行调整,以在后续判断过程中进一步提高判断DOS攻击的准确性和精度。
步骤15、AP根据更新指示消息,向客户端发送探测请求报文,并等待接收客户端返回的探测应答报文,同时判断是否接收到客户端返回的探测应答报文;如果接收到客户端返回的探测应答报文,则执行步骤16;反之,则执行步骤17。其中,AP通过向客户端发送探测请求报文,以探测客户端是否在线,通过该操作可以确认AC的判断是否正确。其中,若客户端在线,说明客户端不受AC丢弃第一报文的影响,则客户端在收到AP的探测请求报文之后,会向AP返回探测应答报文;若客户端不在线,说明客户端可能因为AC丢弃第一报文未能与AP成功关联,则将无法向AP返回探测应答报文。因此,AP根据是否接收到探测应答报文即可判断出AC做出的判断是否正确。其中,AP通常可以设置一接收时间,在该接收时间内等待接收客户端返回的探测应答报文,如果接收时间结束,尚未接收到客户端返回的探测应答报文,说明客户端不在线,反之说明客户端在线。
步骤16、AP根据预设第一更新步长增大滤波因子a,并重新根据公式(1),对第二报文的RSSI进行滤波处理,生成客户端对应的RSSI阈值,并执行步骤18;
当AP判断得出AC判断第一报文为DOS攻击的结果正确时,则根据预设更新步长,例如0.1,来增大滤波因子a,并根据公式(1)对后续接收到的第二报文的RSSI进行滤波处理,使得新生成的RSSI阈值更加平滑,提高体现客户端的无线信号的强度的准确度。其中,RSSI初始值仍为上一次滤波获取的RSSI阈值。需要说明的是滤波因子a的上限值优选为0.9。
步骤17、AP根据预设第二更新步长减小滤波因子a,并重新根据公式(1),对第二报文的RSSI进行滤波处理,生成客户端对应的RSSI阈值,并执行步骤18;
当AP判断得出AC判断第一报文为DOS攻击的结果错误时,则根据预设更新步长,例如0.1,来减小滤波因子a,并根据公式(1)对后续接收到的第二报文的RSSI进行滤波处理,以提高RSSI阈值的灵敏度。其中,由于根据当前RSSI阈值出现了误判,说明此时的RSSI阈值无法及时反映当前WLAN的移动特性,因此,本实施例将RSSI阈值清0并重新开始计算,即此时的RSSI初始值为0。即将滤波因子a减小,将RSSI初始值清0,基于上述初始条件利用公式(1)对后续接收到的第二报文进行滤波处理,重新开始计算RSSI阈值,以提高RSSI阈值的灵敏度。
在此需要说明,预设第一更新步长和第二更新步长可以相同,也可以不相同,优选为相同。
步骤18、AP将重新生成的RSSI阈值返回给AC,并转去执行步骤11,即AC根据该重新生成的RSSI阈值,判断后续接收到的第一报文是否为DOS攻击报文。
当AP重新生成新的RSSI阈值之后,可以定时将新生成的RSSI阈值发送给AC,也可以根据AC的获取指示消息,将新生成的RSSI阈值发送给AC。AC接收到新生成的RSSI阈值之后,将根据该新生成的RSSI阈值对后续由AP转发的客户端的第一报文进行是否为DOS攻击报文的判断操作。
本实施例的DOS攻击防御方法,通过AP向客户端发送探测请求报文,并根据客户端是否返回探测应答报文,对AC做出的判断结果做进一步判断,进一步提高了判断是否为DOS攻击的准确性。另外,通过上述实施方式,还可以根据判断结果调整滤波因子,通过改变滤波因子的取值来适应性调整RSSI阈值的灵敏度或平滑度,提高了判断是否为DOS攻击的准确性。
在此说明,AP根据第一更新步长和第二更新步长调整滤波因子的方法与所采用的滤波方法有关,在上述实施例中AP根据第一更新步长增大滤波因子a和根据第二更新步长减小滤波因子a是在采用一阶滤波方法时调整滤波因子的一种实施方式;当AP采用不同的滤波方法时,对滤波因子的调整并不相同;其中,在结合本实施例提供对一阶滤波方法中的滤波因子的调整方式,本领域技术人员可以理解或推知在采用二阶滤波方法或高阶滤波方法时调整滤波因子的具体实施方式。
进一步,考虑到某些攻击者可能距离客户端比较近,例如在距离客户端3m范围之内,此时,攻击报文的RSSI可能会在RSSI阈值±预设门限值(例如5)范围内,在这种情况下有可能出现误判,即将攻击报文误判为正常报文,为了解决上述问题,本发明以下实施例提供一种解决方案。
图3为本发明实施例三提供的DOS攻击防御方法的流程图。本实施例可基于上述实施例实现,如图3所示,本实施例方法包括:
步骤31、AC接收AP转发的客户端的第一报文;
步骤32、AC根据AP返回的客户端对应的RSSI阈值,判断第一报文是否为攻击报文;若AC判断出第一报文为攻击报文,则执行步骤33;反之,则执行步骤39。
步骤33、AC直接丢弃第一报文,并转去执行步骤34。
步骤34、AC向AP发送更新指示消息;
步骤35、AP根据更新指示消息,向客户端发送探测请求报文,并等待接收客户端返回的探测应答报文,同时判断是否接收到客户端返回的探测应答报文;如果接收到客户端返回的探测应答报文,则执行步骤36;反之,则执行步骤37。
步骤36、AP根据预设第一更新步长增大滤波因子a,并重新根据公式(1),对第二报文的RSSI进行滤波处理,生成客户端对应的RSSI阈值,并执行步骤38;
步骤37、AP根据预设第二更新步长减小滤波因子a,并重新根据公式(1),对第二报文的RSSI进行滤波处理,生成客户端对应的RSSI阈值,并执行步骤38;
步骤38、AP将重新生成的RSSI阈值返回给AC,并转去执行步骤31,即AC根据该重新生成的RSSI阈值,判断后续接收到的第一报文是否为DOS攻击报文。
步骤39、AC判断第一报文为非攻击报文,并通过AP向客户端发送重发操作指示,以供客户端在重发操作指示中的等待时间结束后重新发送第一报文;其中,为了防止攻击者距离客户端较近造成的误判,在AC判断出第一报文为非攻击报文时,要求客户端在指定的等待时间结束后重新发送第一报文,例如重新进行关联请求或认证请求。
步骤40、AP根据重发操作指示,向客户端发送探测请求报文,并等待接收客户端返回的探测应答报文,同时判断是否接收到客户端返回的探测应答报文;若接收到客户端返回的探测应答报文,说明客户端在线,则执行步骤41;反之,执行步骤42;
步骤41、AP向AC返回客户端在线的探测结果,AC重新判定第一报文为攻击报文,并直接丢弃第一报文,且对下次接收到的该客户端发送的第一报文,也不予以响应,此次DOS攻击判断操作结束。由于客户端处于在线状态时是不会发送关联请求报文或认证请求报文的,因此,AC在获知客户端在线时,可以判断出发生了误判,之前被判断为非攻击报文的第一报文实际上是DOS攻击报文。
步骤42、AC接收AP转发的客户端在等待时间结束后发送的第一报文,并转去执行步骤31,即AC判断客户端在等待时间结束后发送的第一报文是否为攻击报文的操作。当AC再次确定客户端在指定的等待时间结束后重新发送的第一报文为非攻击报文时,可以通过AP对客户端的报文进行正常相应,例如允许客户端通过与AP关联而接入WLAN。
本实施例的DOS攻击防御方法,在AC判断出第一报文为非攻击报文之后,为了防止误判,由AP向客户端发送探测请求报文,并根据是否接收到客户端返回的探测应答报文,来判断客户端是否在线,如果在线说明,客户端不会发起第一报文,因此,重新判定第一报文为攻击报文。因此,通过本实施例技术方案可以有效防止发生误判的几率,提高了判断DOS攻击的准确性。
图4为本发明实施例四提供的AC的结构示意图。如图4所示,本实施例的AC包括:第一接收模块51、判断模块52和丢弃模块53。
其中,第一接收模块51,与AP连接,用于接收AP转发的客户端的第一报文;第一报文优指关联请求报文或认证请求报文。判断模块52,与第一接收模块51连接,用于根据AP返回的客户端对应的RSSI阈值,判断第一报文是否为攻击报文;丢弃模块53,与判断模块52连接,用于在判断模块52判断出第一报文为攻击报文时,直接丢弃第一报文,并不对第一报文做出响应,例如不会因为第一报文而通过AP向客户端发送下线报文等。
上述各功能模块可用于执行上述方法实施例提供的DOS攻击防御方法的流程,其具体工作原理详见上述方法实施例的描述,在此不再赘述。
本实施例的AC,通过第一接收模块、判断模块和丢弃模块可以根据AP返回的客户端的RSSI阈值来判断客户端的第一报文是否为攻击报文,并在判断出第一报文为DOS攻击报文时,将第一报文丢弃,不对第一报文进行响应,实现了对DOS攻击的识别,同时保证了客户端不被下线,保证了客户端的无线接入服务不被中断,提高了客户端无线接入的服务质量。与现有技术相比,采用本实施例的AC可以使客户端和AP无需进行密钥协商,因此,不存在密钥协商前无法对管理报文进行DOS攻击防御的问题;同时,由于本实施例的AC是基于RSSI阈值判断是否为攻击报文,而不是基于客户端的能力属性进行判断,因此,不会像现有技术那样在判断出能力属性不一致时通过AP主动向客户端下发下线报文,因此,可以在识别出DOS攻击的情况下,保证客户端不被下线,保证客户端的无线接入不被中断,实现了对DOS攻击的防御。
图5为本发明实施例五提供的AC的结构示意图。本实施例基于上述实施例实现,如图5所示,本实施例的AC还包括:第二接收模块54。
第二接收模块54,与AP连接,用于接收AP返回的客户端对应的RSSI阈值,并将接收到的RSSI阈值提供给判断模块52。其中,RSSI阈值是由AP对获取的客户端的第二报文进行滤波处理生成的。优选的,AP可以根据公式(1)对第二报文的RSSI进行一阶滞后滤波处理,其中,关于公式(1)详见上述描述,在此不再赘述。其中,相对于普通的算术平均算法,采用一阶滞后滤波法算法对周期性干扰具有良好的抑制作用,适用于波动频率较高的场合,并且可通过调整滤波因子a的取值来对滤波结果的灵敏度进行调整,滤波因子a的值越小,滤波结果越灵敏,因此,通过该实施方式获取的RSSI阈值的精度较高。
其中,第二接收模块54具体可用于向AP发送获取指示消息,并接收AP根据获取指示消息返回的客户端对应的RSSI阈值;或者具体用于接收AP根据预设周期,定时返回的客户端对应的RSSI阈值。
其中,本实施例的AC可以通过第二接收模块获取AP通过滤波处理后的客户端对应的RSSI阈值,提高了判断第一报文是否为DOS攻击报文的准确性。
进一步,本实施例的判断模块52包括获取单元、比较单元和判定单元。具体的,获取单元,与第一接收模块51和第二接收模块54连接,用于获取第一报文的RSSI和客户端对应的RSSI阈值的差值;比较单元,与获取单元连接,用于将差值与预设门限值进行比较;判定单元,与比较单元连接,用于在比较单元比较得出差值大于预设门限值时,判定第一报文为攻击报文。
上述各功能单元可用于执行上述方法实施例中AC具体判断第一报文为攻击报文的方法流程,其具体工作原理详见方法实施例的描述,在此不再赘述。
进一步,本实施例的AC还包括:重发指示模块55、第三接收模块56、判定模块57、第四接收模块58和接收触发模块59。
具体的,重发指示模块55,与AP和判断模块52连接,用于在判断模块52判断出第一报文为非攻击报文时,通过AP向客户端发送重发操作指示,以供客户端在重发操作指示中的等待时间结束后重新发送第一报文;其中,重发操作指示中包括指定的等待时间。第三接收模块56,与AP连接,用于接收AP返回的客户端在线的探测结果,所述客户端在线的探测结果是AP根据重发操作指示,向客户端发送探测请求报文,并在接收到客户端返回的探测应答报文时生成的;判定模块57,与第三接收模块56连接,用于根据客户端在线的探测结果,重新判定第一报文为攻击报文,并直接丢弃第一报文;第四接收模块58,与AP连接,用于接收AP返回的客户端不在线的探测结果,所述客户端不在线的探测结果是由AP根据重发操作指示,向客户端发送探测应答报文,并在未接收到客户端返回的探测应答报文时生成的;接收触发模块59,与AP和判断模块52连接,用于接收AP转发的客户端在等待时间结束后发送的第一报文,并触发判断模块52执行判断客户端在等待时间结束后发送的第一报文是否为攻击报文的操作。
上述各功能模块可用于执行上述方法实施例提供的DOS攻击防御方法流程中AC在判定第一报文为非攻击报文之后进一步判断是否发生误判的相应流程,其具体工作原理详见方法实施例的描述,在此不再赘述。
本实施例的AC,通过上述模块对判定为非攻击报文的结果做进一步判断,降低了发生误判的几率,对距离客户端很近的攻击者发起的攻击具有很好的防御作用,进一步提高了客户端无线接入的服务器质量。
基于上述实施例,本实施例的AC还包括:第一发送模块60。其中,第一发送模块60,与AP和判断模块52连接,用于在判断模块52判断出第一报文为攻击报文时,向AP发送更新指示消息,以供AP根据更新指示消息,向客户端发送探测请求报文,并等待接收客户端返回的探测应答报文,以根据是否接收到客户端返回的探测应答报文调整滤波处理中的滤波因子,并重新对后续接收的第二报文的RSSI进行滤波处理,生成客户端对应的RSSI阈值。其中,对公式(1)中的滤波因子a进行调整,并在滤波因子a调整后根据公式(1)对后续接收的第二报文的RSSI进行滤波处理仍为一种优选实施方式。
其中,第一发送模块可用于执行上述方法实施例提供的DOS攻击防御方法的流程中对滤波因子进行调整的流程,具体工作原理详见方法实施例的描述,在此不再赘述。
本实施例的AC,通过第一发送模块在判断出第一报文为攻击报文时,向AP发送更新操作指示,以使AP根据更新操作指示对滤波因子进行调整,在保证判断第一报文是否为攻击报文准确性的基础上,还可以提高RSSI阈值的灵敏度或平滑度,以进一步提高判断是否为DOS攻击的准确性。
图6为本发明实施例六提供的AP的结构示意图。如图6所示,本实施例的AP包括:第二发送模块61和第三发送模块62。
其中,第二发送模块61,与AC和客户端连接,用于将客户端发送的第一报文转发给AC;第三发送模块62,与AC连接,用于将客户端对应的RSSI阈值发送给AC,以供AC根据客户端对应的RSSI阈值,判断第一报文是否为攻击报文。
本实施例的AP,可与上述实施例提供的AC相结合实施上述方法提供的DOS攻击防御方法的流程,通过第二发送模块和第三发送模块向AC提供客户端对应的RSSI阈值,可使AC根据RSSI阈值判断客户端的第一报文是否为攻击报文,在实现识别DOS攻击的同时,保证了客户端不被下线,保证了客户端的无线接入服务不被中断,提高了客户端无线接入的服务质量。与现有技术相比,在进行DOS攻击防御的过程中,本实施例的AP不需要与客户端进行密钥协商,因此,不存在密钥协商前无法对管理报文进行DOS攻击防御的问题;同时,由于本实施例的AP向AC提供客户端对应的RSSI,使得AC基于RSSI阈值判断第一报文是否为攻击报文,而不是基于客户端的能力属性进行判断,因此,不会像现有技术那样在判断出能力属性不一致时AC通过AP主动向客户端下发下线报文,因此,采用本实施例的AP,与AC相结合,可以在识别出DOS攻击的情况下,保证客户端不被下线,保证客户端的无线接入不被中断,实现了对DOS攻击的防御。
图7为本发明实施例七提供的AP的结构示意图。本实施例基于上述实施例实现,如图7所示,本实施例的AP还包括:获取模块63和滤波生成模块64。
具体的,获取模块63,与客户端连接,用于获取客户端的第二报文;通常第二报文是除关联请求报文或认证请求报文之外的报文。滤波生成模块64,与获取模块63连接,用于对第二报文的RSSI进行滤波处理,生成客户端对应的RSSI阈值;其中,AP根据公式(1)对第二报文的RSSI进行一阶滞后滤波处理,生成客户端对应的RSSI阈值为一种优选实施方式,关于公式(1)详见上述方法实施例中的描述,在此不再赘述。
本实施例的AP,通过获取模块和滤波生成模块可以对第二报文的RSSI进行一阶滞后滤波处理生成客户端的RSSI阈值;相对于普通的算术平均算法,采用一阶滞后滤波法算法对周期性干扰具有良好的抑制作用,适用于波动频率较高的场合,并且可通过调整滤波因子a的取值来对滤波结果的灵敏度进行调整,滤波因子a的值越小,滤波结果越灵敏,因此,通过上述滤波方法获取的RSSI阈值的精度较高。
进一步,本实施例的AP还包括:第四发送模块65。具体的,第四发送模块65,与AC连接,用于接收AC发送的获取指示消息,并根据获取指示消息,向AC发送客户端对应的RSSI阈值。
再进一步,本实施例的AP还包括:第五发送模块66,与AC连接,用于根据预设周期,定时向AC发送客户端对应的RSSI阈值。
其中,上述第四发送模块65以及第五发送模块66具体可用于向AC发送客户端对应的RSSI阈值。AP可以同时包括上述功能模块,也可以仅包括第四发送模块65,或者第五发送模块66。
进一步,本实施例的AP还包括:接收转发模块67、第一探测发送模块68、第六发送模块69和第七发送模块70。
具体的,接收转发模块67,与AC连接,用于接收AC发送的重发操作指示,并将重发操作指示转发给客户端,以供客户端在重发操作指示中的等待时间结束后重新发送所述第一报文;第一探测发送模块68,与接收转发模块67和客户端连接,用于根据重发操作指示,向客户端发送探测请求报文,并等待接收客户端返回的探测应答报文;第六发送模块69,与第一探测发送模块68和AC连接,用于在接收到客户端返回的探测应答报文时,向AC返回客户端在线的探测结果,以供AC根据客户端在线的探测结果,重新判定第一报文为攻击报文,并直接丢弃第一报文;第七发送模块70,与第一探测发送模块68和AC连接,用于在未接收到客户端返回的探测应答报文时,向AC返回客户端不在线的探测结果,以供AC根据客户端不在线的探测结果,接收第二发送模块61转发的客户端在等待时间结束后发送的第一报文。
上述各功能模块可用于执行上述方法实施例提供的DOS攻击防御方法流程中进一步对AC判断出第一报文为非攻击报文的结果进行判断的流程,具体工作原理详见方法实施例的描述,在此不再赘述。
本实施例的AP通过上述功能模块可通过判断客户端是否在线并将判断结果提供给AC,以使AC对其判定第一报文为非攻击报文的判断结果的正确性做进一步判断,以降低误判几率,对距离客户端很近的攻击者发起的攻击具有很好的防御作用,进一步保证了客户端无线接入的服务质量。
再进一步,本实施例的AP还包括:第五接收模块71、第二探测发送模块72、第一更新模块73和第二更新模块74。
具体的,第五接收模块71,与AC连接,用于接收AC发送的更新指示消息;第二探测发送模块72,与客户端和第五接收模块71连接,用于根据更新指示消息,向客户端发送探测请求报文,并等待接收客户端返回的探测应答报文;第一更新模块73,与第二探测发送模块72和滤波生成模块64连接,用于在接收到客户端返回的探测应答报文时,根据预设第一更新步长增大滤波因子,并触发滤波生成模块64重新生成客户端对应的接收信号强度指示阈值;第二更新模块74,与第二探测发送模块72和滤波生成模块64连接,用于在未接收到客户端返回的探测应答报文时,根据预设第二更新步长减小滤波因子,并触发滤波生成模块64重新生成客户端对应的接收信号强度指示阈值。
上述各功能模块可用于执行上述方法实施例提供的DOS攻击防御方法中在AC判断出第一报文为攻击报文后对滤波因子进行更新的流程,其具体工作原理详见方法实施例的描述,在此不再赘述。
本实施例的AP,与AC相配合,通过上述功能模块可在AC判断出第一报文为攻击报文之后,对滤波因子进行更新,以在保证判断第一报文是否为攻击报文的准确性的同时,提高客户端对应的RSSI阈值的平滑度或灵敏度,进一步提高判断第一报文是否为攻击报文的准确性,为保证客户端的无线接入的服务质量做出贡献。
图8为本发明实施例八提供的DOS攻击防御系统的结构示意图。如图8所示,本实施例的系统包括:AC81和AP82。
其中,AC81可以采用上述实施例提供的AC,其具体结构和工作原理详见上述实施例的描述,在此不再赘述。AP82可以为上述实施例提供的AP,其具体结构和工作原理,同样详见上述实施例的描述,在此不再赘述。
本实施例的DOS攻击防御系统,具体通过AC与AP的配合,可以根据客户端对应的RSSI阈值来判断客户端的第一报文是否为攻击报文,并可在判断出第一报文为攻击报文时,直接丢弃第一报文,实现对DOS攻击的防御。与现有技术相比,本发明技术方案无需AP和客户端进行密钥协商,因此,对任何时候客户端发送的第一报文都可以进行DOS攻击防御,不受密钥协商的限制;另外,本发明技术方案基于RSSI阈值来判断第一报文是否为攻击报文,并不像现有技术那样根据客户端的能力属性来判断是否为攻击报文,因此,不会因DOS攻击报文而导致AC通过AP主动向客户端发送下线报文,使客户端下线或中断无线接入服务,提高了客户端无线接入的服务质量。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (18)
1.一种拒绝服务攻击防御方法,其特征在于,包括:
无线控制器接收无线接入点转发的客户端的第一报文;
所述无线控制器根据所述无线接入点返回的所述客户端对应的接收信号强度指示阈值,判断所述第一报文是否为攻击报文;
当判断出所述第一报文为攻击报文时,所述无线控制器直接丢弃所述第一报文。
2.根据权利要求1所述的拒绝服务攻击防御方法,其特征在于,还包括:
所述无线接入点获取所述客户端的第二报文;
所述无线接入点对所述第二报文的接收信号强度指示值进行滤波处理,生成所述客户端对应的接收信号强度指示阈值。
3.根据权利要求1或2所述的拒绝服务攻击防御方法,其特征在于,所述无线控制器根据所述无线接入点返回的所述客户端对应的接收信号强度指示阈值,判断所述第一报文是否为攻击报文包括:
所述无线控制器获取所述第一报文的接收信号强度指示值与所述接收信号强度指示阈值的差值;
所述无线控制器将所述差值与预设门限值进行比较;
若所述差值大于所述预设门限值,所述无线控制器判定所述第一报文为攻击报文。
4.根据权利要求1或2所述的拒绝服务攻击防御方法,其特征在于,所述无线接入点向所述无线控制器返回所述客户端对应的接收信号强度指示阈值包括:
所述无线接入点接收所述无线控制器发送的获取指示消息,并根据所述获取指示消息,向所述无线控制器返回所述客户端对应的接收信号强度指示阈值;或者
所述无线接入点根据预设周期,定时向所述无线控制器返回所述客户端对应的接收信号强度指示阈值。
5.根据权利要求1或2所述的拒绝服务攻击防御方法,其特征在于,还包括:
当判断出所述第一报文为非攻击报文时,所述无线控制器通过所述无线接入点向所述客户端发送重发操作指示,以供所述客户端在所述重发操作指示中的等待时间结束后重新发送所述第一报文;
所述无线接入点根据所述重发操作指示,向所述客户端发送探测请求报文,并等待接收所述客户端返回的探测应答报文;
若所述无线接入点接收到所述客户端返回的探测应答报文,所述无线接入点向所述无线控制器返回所述客户端在线的探测结果,所述无线控制器重新判定所述第一报文为攻击报文,并直接丢弃所述第一报文;
若所述无线接入点未接收到所述客户端返回的探测应答报文,所述无线接入点向所述无线控制器返回所述客户端不在线的探测结果,所述无线控制器根据所述客户端不在线的探测结果,接收所述无线接入点转发的所述客户端在所述等待时间结束后发送的第一报文,并转去执行判断所述客户端在所述等待时间结束后发送的第一报文是否为攻击报文的操作。
6.根据权利要求2所述的拒绝服务攻击防御方法,其特征在于,在判断出所述第一报文为攻击报文之后还包括:
所述无线控制器向所述无线接入点发送更新指示消息;
所述无线接入点根据所述更新指示消息,向所述客户端发送探测请求报文,并等待接收所述客户端返回的探测应答报文;
若所述无线接入点接收到所述客户端返回的探测应答报文,根据预设第一更新步长调整所述滤波处理中的滤波因子并重新执行对所述第二报文的接收信号强度指示值进行滤波处理,生成所述客户端对应的接收信号强度指示阈值的操作;
若所述无线接入点未接收到所述客户端返回的探测应答报文,根据预设第二更新步长调整所述滤波处理中的滤波因子,并重新执行对所述第二报文的接收信号强度指示值进行滤波处理,生成所述客户端对应的接收信号强度指示阈值的操作。
7.一种无线控制器,其特征在于,包括:
第一接收模块,用于接收无线接入点转发的客户端的第一报文;
判断模块,用于根据所述无线接入点返回的所述客户端对应的接收信号强度指示阈值,判断所述第一报文是否为攻击报文;
丢弃模块,用于在所述判断模块判断出所述第一报文为攻击报文时,直接丢弃所述第一报文。
8.根据权利要求7所述的无线控制器,其特征在于,还包括:
第二接收模块,用于接收所述无线接入点返回的所述客户端对应的接收信号强度指示阈值,所述接收信号强度指示阈值是由所述无线接入点对获取的所述客户端的第二报文的接收信号强度指示值进行滤波处理所生成的。
9.根据权利要求7或8所述的无线控制器,其特征在于,所述判断模块包括:
获取单元,用于获取所述第一报文的接收信号强度指示值与所述接收信号强度指示阈值的差值;
比较单元,用于将所述差值与预设门限值进行比较;
判定单元,用于在所述差值大于所述预设门限值时,判定所述第一报文为攻击报文。
10.根据权利要求8所述的无线控制器,其特征在于,所述第二接收模块具体用于向所述无线接入点发送获取指示消息,并接收所述无线接入点根据所述获取指示消息返回的所述客户端对应的接收信号强度指示阈值;或者,具体用于接收所述无线接入点根据预设周期,定时返回的所述客户端对应的接收信号强度指示阈值。
11.根据权利要求7或8所述的无线控制器,其特征在于,还包括:
重发指示模块,用于在所述判断模块判断出所述第一报文为非攻击报文时,通过所述无线接入点向所述客户端发送重发操作指示,以供所述客户端在所述重发操作指示中的等待时间结束后重新发送所述第一报文;
第三接收模块,用于接收所述无线接入点返回的所述客户端在线的探测结果,所述客户端在线的探测结果是所述无线接入点根据所述重发操作指示,向所述客户端发送探测请求报文,并在接收到所述客户端返回的探测应答报文时生成的;
判定模块,用于根据所述客户端在线的探测结果,重新判定所述第一报文为攻击报文,并直接丢弃所述第一报文;
第四接收模块,用于接收所述无线接入点返回的所述客户端不在线的探测结果,所述客户端不在线的探测结果是由所述无线接入点根据所述重发操作指示,向所述客户端发送所述探测应答报文,并在未接收到所述客户端返回的探测应答报文时生成的;
接收触发模块,用于接收所述无线接入点转发的所述客户端在所述等待时间结束后发送的第一报文,并触发所述判断模块执行判断所述客户端在所述等待时间结束后发送的第一报文是否为攻击报文的操作。
12.根据权利要求8所述的无线控制器,其特征在于,还包括:
第一发送模块,用于向所述无线接入点发送更新指示消息,以供所述无线接入点根据所述更新指示消息,向所述客户端发送探测请求报文,并等待接收所述客户端返回的探测应答报文,以根据是否接收到所述客户端返回的探测应答报文调整所述滤波处理中的滤波因子,并重新执行对所述第二报文的接收信号强度指示值进行滤波处理,生成所述客户端对应的接收信号强度指示阈值的操作。
13.一种无线接入点,其特征在于,包括:
第二发送模块,用于将客户端发送的第一报文转发给无线控制器;
第三发送模块,用于将所述客户端对应的接收信号强度指示阈值发送给所述无线控制器,以供所述无线控制器根据所述客户端对应的接收信号强度指示阈值,判断所述第一报文是否为攻击报文。
14.根据权利要求13所述的无线接入点,其特征在于,还包括:
获取模块,用于获取所述客户端的第二报文;
滤波生成模块,用于对所述第二报文的接收信号强度指示值进行滤波处理,生成所述客户端对应的接收信号强度指示阈值。
15.根据权利要求13或14所述的无线接入点,其特征在于,还包括以下任一模块或其组合:
第四发送模块,用于接收所述无线控制器发送的获取指示消息,并根据所述获取指示消息,向所述无线控制器发送所述客户端对应的接收信号强度指示阈值;第五发送模块,用于根据预设周期,定时向所述无线控制器发送所述客户端对应的接收信号强度指示阈值。
16.根据权利要求13或14所述的无线接入点,其特征在于,还包括:
接收转发模块,用于接收所述无线控制器发送的重发操作指示,并将所述重发操作指示转发给所述客户端,以供所述客户端在所述重发操作指示中的等待时间结束后重新发送所述第一报文;
第一探测发送模块,用于根据所述重发操作指示,向所述客户端发送探测请求报文,并等待接收所述客户端返回的探测应答报文;
第六发送模块,用于在接收到所述客户端返回的探测应答报文时,向所述无线控制器返回所述客户端在线的探测结果,以供所述无线控制器根据所述客户端在线的探测结果,重新判定所述第一报文为攻击报文,并直接丢弃所述第一报文;
第七发送模块,用于在未接收到所述客户端返回的探测应答报文时,向所述无线控制器返回所述客户端不在线的探测结果,以供所述无线控制器根据所述客户端不在线的探测结果,接收所述无线接入点的第二发送模块转发的所述客户端在所述等待时间结束后发送的第一报文。
17.根据权利要求14所述的无线接入点,其特征在于,还包括:
第五接收模块,用于接收所述无线控制器发送的更新指示消息;
第二探测发送模块,用于根据所述更新指示消息,向所述客户端发送探测请求报文,并等待接收所述客户端返回的探测应答报文;
第一更新模块,用于在接收到所述客户端返回的探测应答报文时,根据预设第一更新步长增大所述滤波因子,并触发所述滤波生成模块重新生成所述客户端对应的接收信号强度指示阈值;
第二更新模块,用于在未接收到所述客户端返回的探测应答报文时,根据预设第二更新步长减小所述滤波因子,并触发所述滤波生成模块重新生成所述客户端对应的接收信号强度指示阈值。
18.一种拒绝服务攻击防御系统,其特征在于,包括权利要求7-12任一项所述的无线控制器和权利要求13-17任一项所述的无线接入点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010603369.3A CN102036248B (zh) | 2010-12-23 | 2010-12-23 | 拒绝服务攻击防御方法、系统、无线接入点及无线控制器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010603369.3A CN102036248B (zh) | 2010-12-23 | 2010-12-23 | 拒绝服务攻击防御方法、系统、无线接入点及无线控制器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102036248A true CN102036248A (zh) | 2011-04-27 |
CN102036248B CN102036248B (zh) | 2013-07-24 |
Family
ID=43888411
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010603369.3A Active CN102036248B (zh) | 2010-12-23 | 2010-12-23 | 拒绝服务攻击防御方法、系统、无线接入点及无线控制器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102036248B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105119908A (zh) * | 2015-07-22 | 2015-12-02 | 上海迈外迪网络科技有限公司 | 无线网络安全控制方法、装置和无线路由器 |
CN105517099A (zh) * | 2015-11-27 | 2016-04-20 | 上海斐讯数据通信技术有限公司 | 一种控制无线网络访问客户端的方法及系统 |
CN106790299A (zh) * | 2017-03-20 | 2017-05-31 | 京信通信技术(广州)有限公司 | 一种在无线接入点ap上应用的无线攻击防御方法和装置 |
CN106850679A (zh) * | 2017-03-17 | 2017-06-13 | 烽火通信科技股份有限公司 | 一种检测wifi攻击的方法 |
CN108512852A (zh) * | 2018-04-04 | 2018-09-07 | 中山大学 | 一种无线网络环境下终端身份信息保护系统及方法 |
CN108629132A (zh) * | 2018-05-10 | 2018-10-09 | 南京邮电大学 | DoS攻击下的故障检测滤波器和控制器的协同设计方法 |
CN110831009A (zh) * | 2019-11-14 | 2020-02-21 | 深圳市吉祥腾达科技有限公司 | 一种无线ap防无线dos攻击的测试方法及测试系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060070113A1 (en) * | 2004-09-16 | 2006-03-30 | Airtight Networks, Inc. (F/K/A Wibhu Technologies, Inc.) | Method for wireless network security exposure visualization and scenario analysis |
CN101841813A (zh) * | 2010-04-07 | 2010-09-22 | 北京傲天动联技术有限公司 | 防攻击的无线控制系统 |
-
2010
- 2010-12-23 CN CN201010603369.3A patent/CN102036248B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060070113A1 (en) * | 2004-09-16 | 2006-03-30 | Airtight Networks, Inc. (F/K/A Wibhu Technologies, Inc.) | Method for wireless network security exposure visualization and scenario analysis |
CN101841813A (zh) * | 2010-04-07 | 2010-09-22 | 北京傲天动联技术有限公司 | 防攻击的无线控制系统 |
Non-Patent Citations (1)
Title |
---|
YONG SHENG等: "Detecting 802.11 MAC Layer Spoofing Using Received Signal Strength", 《IEEE INFOCOM 2008 PROCEEDINGS》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105119908A (zh) * | 2015-07-22 | 2015-12-02 | 上海迈外迪网络科技有限公司 | 无线网络安全控制方法、装置和无线路由器 |
CN105119908B (zh) * | 2015-07-22 | 2018-07-27 | 上海迈外迪网络科技有限公司 | 无线网络安全控制方法、装置和无线路由器 |
CN105517099A (zh) * | 2015-11-27 | 2016-04-20 | 上海斐讯数据通信技术有限公司 | 一种控制无线网络访问客户端的方法及系统 |
CN105517099B (zh) * | 2015-11-27 | 2019-10-25 | 上海斐讯数据通信技术有限公司 | 一种控制无线网络访问客户端的方法及系统 |
CN106850679A (zh) * | 2017-03-17 | 2017-06-13 | 烽火通信科技股份有限公司 | 一种检测wifi攻击的方法 |
CN106790299A (zh) * | 2017-03-20 | 2017-05-31 | 京信通信技术(广州)有限公司 | 一种在无线接入点ap上应用的无线攻击防御方法和装置 |
CN106790299B (zh) * | 2017-03-20 | 2020-06-23 | 京信通信系统(中国)有限公司 | 一种在无线接入点ap上应用的无线攻击防御方法和装置 |
CN108512852A (zh) * | 2018-04-04 | 2018-09-07 | 中山大学 | 一种无线网络环境下终端身份信息保护系统及方法 |
CN108629132A (zh) * | 2018-05-10 | 2018-10-09 | 南京邮电大学 | DoS攻击下的故障检测滤波器和控制器的协同设计方法 |
CN110831009A (zh) * | 2019-11-14 | 2020-02-21 | 深圳市吉祥腾达科技有限公司 | 一种无线ap防无线dos攻击的测试方法及测试系统 |
CN110831009B (zh) * | 2019-11-14 | 2023-08-11 | 深圳市吉祥腾达科技有限公司 | 一种无线ap防无线dos攻击的测试方法及测试系统 |
Also Published As
Publication number | Publication date |
---|---|
CN102036248B (zh) | 2013-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102036248B (zh) | 拒绝服务攻击防御方法、系统、无线接入点及无线控制器 | |
US10218737B2 (en) | Trusted mediator interactions with mobile device sensor data | |
EP2545680B1 (en) | Behavior-based security system | |
EP3803659B1 (en) | Anomalous access point detection | |
JP4571971B2 (ja) | クライアント−サーバーベースのワイヤレス侵入検出システム及び方法 | |
Schmoyer et al. | Wireless intrusion detection and response: a classic study using main-in-the-middle attack | |
US20230412636A1 (en) | Risk measurement method for user account and related apparatus | |
Chen et al. | Enhancing Wi-Fi Device Authentication Protocol Leveraging Channel State Information | |
Selvarathinam et al. | Evil twin attack detection using discrete event systems in IEEE 802.11 wi-fi networks | |
CN106789858A (zh) | 一种访问控制方法和装置以及服务器 | |
Ling et al. | Trust and reputation management in cognitive radio networks: a survey | |
US10542434B2 (en) | Evaluating as to whether or not a wireless terminal is authorized | |
US20210329454A1 (en) | Detecting Unauthorized Access to a Wireless Network | |
CN108322454B (zh) | 一种网络安全检测方法及装置 | |
CN109474623A (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
CN111641593A (zh) | 一种物联网安全架构及其信息安全交互方法 | |
CN109104725A (zh) | 战术移动自组网中防止联合网络攻击的方法 | |
CN109510828B (zh) | 一种网络中的威胁处置效果的确定方法及系统 | |
CN111246404A (zh) | 验证码短信的处理方法及装置 | |
WO2019086970A1 (en) | Detecting security events in wireless sensor networks | |
CN112968893B (zh) | 一种终端设备的接入控制方法及装置 | |
CN117278335B (zh) | 一种密码套件推选方法、装置、电子设备和存储介质 | |
EP3823326B1 (en) | System and method for detecting bluetooth security threat, and computer readable medium therefor | |
CN117081867B (zh) | 基于印象加权的协作物理层认证方法及电子设备 | |
Das et al. | Efficient Monitoring of Dynamic Spectrum Access for Robust and Reliable Detection of Unauthorized Access |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |