CN105471879A - 基于粗糙集的新型防无线解除关联帧DoS攻击方法 - Google Patents
基于粗糙集的新型防无线解除关联帧DoS攻击方法 Download PDFInfo
- Publication number
- CN105471879A CN105471879A CN201510882541.6A CN201510882541A CN105471879A CN 105471879 A CN105471879 A CN 105471879A CN 201510882541 A CN201510882541 A CN 201510882541A CN 105471879 A CN105471879 A CN 105471879A
- Authority
- CN
- China
- Prior art keywords
- frame
- decision
- disassociation frame
- disassociation
- represent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种基于粗糙集的新型防无线解除关联帧DoS攻击方法,提供基于802.11帧各种特征属性的解除关联帧合法性判定决策规则,其中特征属性主要包括9个方面:帧序号差距、前一个帧的类型、与前一帧的时间间隔、字段控制字节配置、帧接收者地址设置、帧发送者地址设置、BSSID设置、Reason?Code设置和Duration?ID设置。本发明根据对WiFi无线通信特征及解除关联帧属性特征的研究,建立了判定解除关联帧是否非法的决策表;同时基于粗糙集理论,将原来需要9个条件属性来判定解除关联帧是否非法进行属性约简后,只需3个条件属性即可对解除关联帧的真实性进行判断,建立了一个新型的“802.11w-粗糙集过滤”方法,该方法可以使WiFi局域网有效防止低及高攻击速率下的解除关联帧DoS攻击。
Description
技术领域
本发明涉及WiFi无线网络DoS攻击技术领域,特别是一种基于粗糙集的新型防无线解除关联帧DoS攻击方法。
背景技术
802.11无线通信技术广泛应用于工业生产线监控、城市安全巡查、城市交通监控、食品物流监控、火灾现场抢救监控、供水监控、洪灾现场抢救监控、电力监控、油田监测、环境监测、学校安全监控、反恐防暴安全监控及小区安全监控等。基于802.11无线通信技术的实时信息化应用大都涉及工业生产及民生的关键领域,无线数据传输的安全性、实时性及可靠性要求较高,如有信息泄露、数据丢失或传输滞后,将会影响信息化系统决策的及时性和准确性,也会进一步造成重大经济及生命损失。目前,造成无线数据传输实时性及可靠性不稳定的首要因素为802.11无线拒绝服务攻击(DenialofService:DoS)。
针对无线局域网(WirelessLocalAreaNetwork:WLAN)的DoS攻击主要是由伪造解除关联帧(DisassociationFrame)和伪造解除认证帧(DeauthenticationFrame)造成的,可导致解除关联帧DoS攻击及解除认证帧DoS攻击,它们的攻击目标是无线局域网客户端(例如一些具有WiFi无线通信功能的笔记本电脑、平板电脑和智能手机等)。这类攻击也被称为基于恶意接入点(RogueAccessPoint:RAP)的拒绝服务攻击。目前,还没有利用粗糙集理论防止解除关联帧DoS攻击的报道,本发明将进行这方面的研究,这将为防止解除关联帧DoS攻击开辟一条新的道路。
解除关联帧是WiFi通信中所使用的重要管理帧。在正常的情况下,合法的AP在需要调整无线网络服务时,可发出解除关联帧给与其相关联的无线客户端,来解除当前的无线数据通信连接。根据802.11协议,对于不具备802.11w保护的无线通信服务,无线客户端不能拒绝其所收到的解除关联帧;当收到解除关联帧时,无线客户端必须断网并中止无线数据通信。当然,攻击者也可以利用这一点,通过伪造解除关联帧,来对无线局域网实施拒绝服务攻击。
本发明测试了现有各种方法解决基于RAP的解除关联帧DoS攻击的效果。IEEE开发802.11w方法的目的是对解除关联帧进行验证,以此来解决基于伪造解除关联帧的无线拒绝服务攻击。在本发明中,解除关联帧DoS攻击速率是指“攻击者”每秒向“目标”所发射的伪造解除关联帧的数目,单位为fps(framepersecond:fps)。如果DoS攻击速率为5fps,它意味“攻击者”每秒向“目标”发射5个伪造解除关联帧。研究结果发现,802.11w方法只可以防止低攻击速率(<5fps)解除关联帧DoS攻击,它不能防止高攻击速率解除关联帧DoS攻击。本发明使用大量的实验数据和粗糙集理论研究了802.11w方法在解决拒绝服务攻击方面的性能,并提出了新的方法来增强802.11w防止高攻击速率DoS的能力。
发明内容
有鉴于此,本发明的目的是提供一种基于粗糙集的新型防无线解除关联帧DoS攻击方法,建立了一套基于802.11帧各种特征属性的解除关联帧合法性判定决策规则。由于802.11帧特征属性主要包括9个方面:帧序号差距、前一个帧的类型、与前一帧的时间间隔、字段控制字节配置、帧接收者地址设置、帧发送者地址设置、基本服务集标识符设置、ReasonCode设置和DurationID设置。根据对WiFi无线通信特征及解除关联帧属性特征的研究,本发明建立了判定解除验证帧是否非法的决策表。基于粗糙集理论,提供了一对判断解除关联帧真实性决策表进行约简的方法;原来需要9个条件属性来判定解除关联帧是否非法,利用该方法进行属性约简后,只需3个条件属性即可对解除关联帧的真实性进行判断。基于约简后决策表,建立了一个新型的“802.11w-粗糙集过滤”方法,它可以使WiFi局域网有效防止低及高攻击速率下的解除关联帧DoS攻击。
本发明采用以下方案实现:一种基于粗糙集的新型防无线解除关联帧DoS攻击方法,包括以下步骤:
步骤S1:对解除关联帧DoS攻击历史数据进行分析,对帧序号差距、前一帧类型、帧到达间隔、字段控制字节、帧收发地址、BSSID设置、ReasonCode设置以及DurationID设置进行离散化处理;
步骤S2:基于粗糙集理论,建立与约简解除关联帧合法性决策表,并按照一定的可信度及权重生成解除关联帧合法性判定决策规则,进一步形成解除关联帧合法性判定决策规则库;
步骤S3:802.11无线客户端STA_Air_RX模块实时采集解除关联帧的相关属性数据,实现解除关联帧属性数据分析建模及特征值提取并发送至STA_Air_RX服务中心;
步骤S4:设置于所述无线客户端的STA_Air_RX服务中心根据解除关联帧合法性判定决策规则对所收到的解除关联帧进行合法性判定,直接丢弃那些被判定为“非法”的解除关联帧,对合法性“未定”的解除关联帧执行802.11w验证过程。
进一步地,所述步骤S2中的解除关联帧合法性决策表包括U、xi、A、aj以及d,其中i≤8,j≤9;U为决策表所涉及的对象集合,即U={x1,x2,x3,x4,x5,x6,x7,x8},U中的每一个元素xi表示一个对象;A为属性集,即A={a1,a2,a3,a4,a5,a6,a7,a8,a9},A中的每一个元素aj表示一种条件属性;a1的属性描述为判别帧序号差距是否正常,即当前帧序列号同前一个帧序列号之间的差值,若a1=1,则表示正常,若a1=0,则表示异常;a2的属性描述为判别前一个帧是否为解除验证帧,若a2=1,则表示是,若a2=0,则表示否;a3的属性描述为判别与收到前一个帧的时间间隔是否正常,若a3=1,则表示正常,若a3=0,则表示异常;a4的属性描述为判别字段控制字节的重试选项是否开启,若a4=1,则表示开启,若a4=0,则表示关闭;a5的属性描述为判别帧接收者地址DA是否设置,若a5=1,则表示设置,若a5=0,则表示未设置;a6的属性描述为判别帧发送者地址SA是否设置,若a6=1,则表示设置,若a6=0,则表示未设置;a7的属性描述为判别基本服务集标识符BSSID是否设置,若a7=1,则表示设置,若a7=0,则表示未设置;a8的属性描述为判别ReasonCode设置是否正常,若a8=1,则表示正常,若a8=0,则表示异常;a9的属性描述为判别DurationID设置是否正常,若a9=1,则表示正常,若a9=0,则表示异常;d为决策判定解除关联帧合法性的决策属性,用以判别解除验证帧是否非法,若d=1,则表示非法,若d=0,则表示未定。
进一步地,所述步骤S2中的决策表采用决策辨识矩阵Dd进行约简处理,所述决策辨识矩阵Dd表示为公式(1):
由决策辨识矩阵Dd所导出的判定解除关联帧合法性的决策辨识函数Δ*可表示为公式(2):
Δ*=a5∧(a1∨a2∨a3∨a6)∧a4∧(a1∨a3∨a4∨a8)∧(a1∨a3∨a4∨a5∨a8)∧(a1∨a2∨a3∨a4∨a6∨a8)∧
(a3∨a4∨a6)∧(a1∨a2∨a3∨a6)∧(a4∨a5)∧(a1∨a3∨a4∨a5∨a8)∧(a1∨a3∨a4∨a8)∧
(a1∨a2∨a3∨a4∨a5∨a6∨a8)∧(a3∨a4∨a5∨a6)∧(a1∨a2∨a3∨a4∨a6)∧(a2∨a4∨a6∨a8)∧
(a2∨a4∨a5∨a6∨a8)∧(a4∨a8)∧(a1∨a2∨a4)∧(a1∨a3∨a8)∧(a1∨a3∨a5∨a8)∧
(a1∨a2∨a3∨a6∨a8)∧(a3∨a6)∧a5∧(a2∨a6)∧(a1∨a6∨a8)∧(a2∨a5∨a6)∧(a1∨a5∨a6∨a8)∧(a1∨a2∨a8)(2)
通过析取、合运算得到C1和C2决策约简集,分别表示为公式(3)和公式(4):
C1={a1,a4,a5}(3)
C2={a3,a4,a5}(4);
根据运算得到的C1和C2决策约简集则可仅需3个条件属性即可对解除关联帧的真实性进行判断。
进一步地,所述步骤S2中生成的解除关联帧合法性判定性决策规则如下所述:
r11:(a3,1)且(a4,0)且(a5,1)→(d,0)
r21:(a3,1)且(a4,0)且(a5,0)→(d,0)
r31:(a3,0)且(a4,0)且(a5,1)→(d,0)
r41:(a3,1)且(a4,1)且(a5,1)→(d,0)
r52:(a3,0)且(a4,1)且(a5,1)→(d,1)
r62:(a3,0)且(a4,1)且(a5,0)→(d,1)。
进一步地,可见为了改善目前802.11w方法防止DoS的性能,在所述步骤S4中STA_Air_RX服务中心对所接收到的解除关联帧进行合法判定进而实现智能过滤处理,舍弃一些明显非法的帧,降低需要MMS-MDS服务中心处理的解除关联帧的数量,这将会使MMS-MDS中心拥有更多的时间来处理数据帧,进一步提高DoS攻击下的数据流量。一般而言,可以从解除关联帧的相关属性特征来判断该帧的合法性。
进一步地,在无线客户端的STA_Air_RX服务中心采用所述步骤S2生成的解除关联帧合法性判定性决策规则对所收到的解除关联帧进行智能过滤;若解除关联帧被确定为“非法”,该解除关联帧将会被立即丢弃;若解除关联帧被确定为“未定”,该解除关联帧将会被转移到“MMS-MDS服务中心”执行802.11w验证过程,以上进行解除关联帧合法性验证的过程即为“802.11w-粗糙集过滤”方法。实验结果表明,基于粗糙集理论属性约简后所建立的“802.11w-粗糙集过滤”方法可以有效解决低或高攻击速率下的解除关联帧DoS攻击。
相较于现有技术,本发明具有以下有益效果:
1、从解除关联帧的相关属性特征来判断该帧的合法性具有方便有效的优点。802.11标准所规定的解除关联帧属性主要包括9个方面:帧序号差距、前一个帧的类型、与前一帧的时间间隔、字段控制字节、帧接收者地址、帧发送者地址、基本服务集标识符、ReasonCode和DurationID。根据对“有DoS攻击”及“无DoS攻击”2种情况下所有解除关联帧的属性特征的研究及WiFi无线通信特征的总结,本发明得到了判定解除验证帧是否非法的决策表,它具有很高的准确性。
2、基于判定解除关联帧是否非法的决策表,建立了“802.11w-未约简”方法,它防止DoS攻击的效果比单纯的802.11w要好。比如,对于802.11w方法,当攻击速率从10fps变到250fps时,TCP流量由416fps迅速下降到77fps,而在“802.11w-未约简”方法的保护下,TCP流量则只由416fps下降到210fps。
3、基于粗糙集理论,对决策表进一步约简,大大加速了STA_Air_RX服务中心判定解除关联帧合法性的过程,提高了所建立新型方法防止DoS攻击的性能。本发明首次将粗糙集理论用于IEEE802.11解除关联帧合法性决策判定过程。利用粗糙集理论,在保留信息不变的前提下对解除关联帧合法性判定决策表进行约简,去除不能区分决策属性的条件属性,及合并相似条件属性,使得决策所需的条件属性数目变少。约简后的决策表,大大提高了DoS攻击下无线客户端STA_Air_RX服务中心对解除关联帧的快速处理能力。
4、在无线客户端的STA_Air_RX服务中心编程实现了由约简后决策表(表4)所推导出的6个确定性规则,并对所收到的解除关联帧进行过滤,可高效防止DoS攻击。进一步的实验结果表明“802.11w-粗糙集过滤”方法可以有效解决低及高攻击速率下的解除关联帧DoS攻击。
5、本发明基于数学模型所提出的“802.11w-粗糙集过滤”方法,可加快解除关联帧合法性检测WiFi芯片的研制,可高效处理大量非法的解除关联帧。
附图说明
图1是本发明802.11无线客户端解除关联帧智能过滤及验证系统结构图。
图2是本发明TCP流量与解除关联帧DoS攻击速率的关系图。
图3是本发明UDP包丢失率与解除关联帧DoS攻击速率的关系图。
图4是本发明“802.11w-未约简”保护方案下DoS攻击速率与TCP流量的关系图。
图5是本发明“802.11w-未约简”保护方案下DoS攻击速率与UDP数据包丢失率的关系图。
图6是本发明“802.11w-粗糙集过滤”保护下不同解除关联帧DoS攻击速率下的TCP流量图。
图7是本发明“802.11w-粗糙集过滤”保护下不同解除关联帧DoS攻击速率下的UDP数据包丢失率图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
本实施例提供一种基于粗糙集的新型防无线解除关联帧DoS攻击方法,如图1所示,包括以下步骤:
步骤S1:对解除关联帧DoS攻击历史数据进行分析,对帧序号差距、前一帧类型、帧到达间隔、字段控制字节、帧收发地址、BSSID设置、ReasonCode设置以及DurationID设置进行离散化处理;
步骤S2:基于粗糙集理论,建立与约简解除关联帧合法性决策表,并按照一定的可信度及权重生成解除关联帧合法性判定决策规则,进一步形成解除关联帧合法性判定决策规则库;
步骤S3:802.11无线客户端STA_Air_RX模块实时采集解除关联帧的相关属性数据,实现解除关联帧属性数据分析建模及特征值提取并发送至STA_Air_RX服务中心;
步骤S4:设置于所述无线客户端的STA_Air_RX服务中心根据解除关联帧合法性判定决策规则对所收到的解除关联帧进行合法性判定,直接丢弃那些被判定为“非法”的解除关联帧,对合法性“未定”的解除关联帧执行802.11w验证过程。
在本实施例中,如下表1所示,所述步骤S2中的解除关联帧合法性决策表包括U、xi、A、aj以及d,其中i≤8,j≤9;U为决策表所涉及的对象集合,即U={x1,x2,x3,x4,x5,x6,x7,x8},U中的每一个元素xi表示一个对象;A为属性集,即A={a1,a2,a3,a4,a5,a6,a7,a8,a9},A中的每一个元素aj表示一种条件属性。
表1
如下表2所示,a1的属性描述为判别帧序号差距是否正常,即当前帧序列号同前一个帧序列号之间的差值,若a1=1,则表示正常,若a1=0,则表示异常;a2的属性描述为判别前一个帧是否为解除验证帧,若a2=1,则表示是,若a2=0,则表示否;a3的属性描述为判别与收到前一个帧的时间间隔是否正常,若a3=1,则表示正常,若a3=0,则表示异常;a4的属性描述为判别字段控制字节的重试选项是否开启,若a4=1,则表示开启,若a4=0,则表示关闭;a5的属性描述为判别帧接收者地址DA是否设置,若a5=1,则表示设置,若a5=0,则表示未设置;a6的属性描述为判别帧发送者地址SA是否设置,若a6=1,则表示设置,若a6=0,则表示未设置;a7的属性描述为判别基本服务集标识符BSSID是否设置,若a7=1,则表示设置,若a7=0,则表示未设置;a8的属性描述为判别ReasonCode设置是否正常,若a8=1,则表示正常,若a8=0,则表示异常;a9的属性描述为判别DurationID设置是否正常,若a9=1,则表示正常,若a9=0,则表示异常;d为决策判定解除关联帧合法性的决策属性,用以判别解除验证帧是否非法,若d=1,则表示非法,若d=0,则表示未定。
表2
在本实施例中,所述步骤S2中的决策表采用决策辨识矩阵Dd进行约简处理,所述决策辨识矩阵Dd表示为公式(1):
由决策辨识矩阵Dd所导出的判定解除关联帧合法性的决策辨识函数Δ*可表示为公式(2):
Δ*=a5∧(a1∨a2∨a3∨a6)∧a4∧(a1∨a3∨a4∨a8)∧(a1∨a3∨a4∨a5∨a8)∧(a1∨a2∨a3∨a4∨a6∨a8)∧
(a3∨a4∨a6)∧(a1∨a2∨a3∨a6)∧(a4∨a5)∧(a1∨a3∨a4∨a5∨a8)∧(a1∨a3∨a4∨a8)∧
(a1∨a2∨a3∨a4∨a5∨a6∨a8)∧(a3∨a4∨a5∨a6)∧(a1∨a2∨a3∨a4∨a6)∧(a2∨a4∨a6∨a8)∧
(a2∨a4∨a5∨a6∨a8)∧(a4∨a8)∧(a1∨a2∨a4)∧(a1∨a3∨a8)∧(a1∨a3∨a5∨a8)∧
(a1∨a2∨a3∨a6∨a8)∧(a3∨a6)∧a5∧(a2∨a6)∧(a1∨a6∨a8)∧(a2∨a5∨a6)∧(a1∨a5∨a6∨a8)∧(a1∨a2∨a8)(2)
通过析取、合运算得到C1和C2决策约简集,分别表示为公式(3)和公式(4):
C1={a1,a4,a5}(3)
C2={a3,a4,a5}(4);
可见,所述步骤S2中决策表原来需要9个条件属性来判定解除关联帧是否非法,利用粗糙集方法进行属性约简后如下表3与表4所示,根据算得到的C1和C2决策约简集则可仅需3个条件属性即可对解除关联帧的真实性进行判断。
表3
表4
在本实施例中,所述步骤S2中生成的解除关联帧合法性判定性决策规则如下所述:
r11:(a3,1)且(a4,0)且(a5,1)→(d,0)
r21:(a3,1)且(a4,0)且(a5,0)→(d,0)
r31:(a3,0)且(a4,0)且(a5,1)→(d,0)
r41:(a3,1)且(a4,1)且(a5,1)→(d,0)
r52:(a3,0)且(a4,1)且(a5,1)→(d,1)
r62:(a3,0)且(a4,1)且(a5,0)→(d,1)。
在本实施例中,为了改善目前802.11w方法防止DoS的性能,在所述步骤S4中STA_Air_RX服务中心对所接收到的解除关联帧进行合法判定进而实现智能过滤处理,舍弃一些明显非法的帧,降低需要MMS-MDS服务中心处理的解除关联帧的数量,这将会使MMS-MDS中心拥有更多的时间来处理数据帧,进一步提高DoS攻击下的数据流量。一般而言,可以从解除关联帧的相关属性特征来判断该帧的合法性。
在本实施例中,在无线客户端的STA_Air_RX服务中心采用所述步骤S2生成的解除关联帧合法性判定性决策规则对所收到的解除关联帧进行智能过滤;若解除关联帧被确定为“非法”,该解除关联帧将会被立即丢弃;若解除关联帧被确定为“未定”,该解除关联帧将会被转移到“MMS-MDS服务中心”执行802.11w验证过程,以上进行解除关联帧合法性验证的过程即为“802.11w-粗糙集过滤”方法。实验结果表明,基于粗糙集理论属性约简后所建立的“802.11w-粗糙集过滤”方法可以有效解决低或高攻击速率下的解除关联帧DoS攻击。
为让一般技术人员更加了解本实施例,以下具体讲述基于粗糙集理论所进行的相关数学模型建立及公式推导,以及依据数学模型所建立的新型方法在防止解除关联帧DoS攻击时所表现出来的性能。
在解除关联帧DoS攻击下,没有802.11w保护的WLAN和802.11w保护的WLAN所呈现的状况是不一样的。对于没有802.11w保护的WLAN,当无线客户端收到解除关联帧后,它立即断开与AP的通信连接。对于802.11wWLAN,无线客户端收到来自AP的解除关联帧后,它暂时停止正常的无线数据通信,并开始验证解除关联帧。如果解除关联帧通过验证,客户端将断开与AP的通信连接,否则将继续数据通信。与数据帧的处理相比,对解除关联帧的验证是一个比较复杂和耗时的过程。如果攻击速率低,一个解除关联帧验证后,无线客户端将迅速恢复数据通信,DoS攻击的影响可忽略不计。在高攻击速率情况下,RAP持续发送解除关联帧,无线客户端不停地验证这些帧,没有时间留下来进行处理数据帧,这使得无线数据通信受到严重的负面影响。
802.11w方法被期望可以防止解除关联帧DoS攻击。本发明研究了802.11w性能与攻击速率的关系,所测试攻击速率范围为0fps到250fps。在实验室中,对受802.11w保护的WLAN的TCP数据通信进行解除关联帧DoS攻击。每次攻击测试持续20秒,且攻击速率保持不变。本发明总共进行了13组实验,每个实验对应的攻击速率分别为0fps、5fps、10fps、25fps、50fps、75fps、100fps、125fps、150fps、175fps、200fps、225fps或250fps。每次测试都计算出攻击时间段内TCP数据通信的平均流量。TCP流量与解除关联帧DoS攻击速率之间的关系如图2所示,UDP包丢失率与解除关联帧DoS攻击速率的关系如图3所示。
图2表明,当攻击速率从0fps变化到5fps时,TCP流量略有下降,从470fps变为450fps。与没有802.11w保护的WLAN相比,受802.11w保护的WLAN可以有效防止低攻击速率(<5fps)的解除关联帧DoS攻击。这是因为对于没有802.11w保护的WLAN,即使在攻击速率为1fps的情况下,TCP/UDP数据通信将会立即停止,攻击实施期间的TCP/UDP流量为0fps。然而,实验结果还表明802.11w不能有效解决高速率的解除关联帧DoS攻击。如图2及图3所示,当攻击速率从10fps变到250fps时,TCP流量由416fps迅速下降到77fps,UDP数据包的丢失率从2%上升到80%。因此,当前版本的802.11w方法还不能有效防止高速率的解除关联帧DoS攻击。
为了改善目前802.11w方法防止DoS的性能,可在STA_Air_RX服务中心对所接收到的解除关联帧进行智能过滤处理,舍弃一些明显非法的帧,降低需要MMS-MDS服务中心处理的解除关联帧的数量,这将会使MMS-MDS中心拥有更多的时间来处理数据帧,进一步提高DoS攻击下的TCP流量。一般而言,可以从解除关联帧的相关属性特征来判断该帧的合法性。通过WiFi无线抓包设备,在解除关联帧DoS攻击实施及未实施2种情况下,本发明获取了大量的无线通信帧。根据对2种情况下所有解除关联帧的属性特征的研究及WiFi无线通信特征的总结,本发明得到了判定解除验证帧是否非法的决策表,如表1所示。
基于表1,本发明在无线客户端的STA_Air_RX服务中心编程实现了对解除关联帧的过滤。如果解除关联帧被判定为“非法”(d=1),该解除关联帧将被丢弃,不用进入到MMS-MDS做进一步的处理。如果解除关联帧被判定为“未定”(d=1),该解除关联帧将进入到MMS-MDS做进一步的处理。这种基于解除关联帧真实性决策表(表1)及802.11w所建立的方法被标记为“802.11w-未约简”。本发明做了进一步的实验来测试“802.11w-未约简”方法保护WLAN预防DoS攻击的性能,并与802.11w的性能进行了比较。TCP流量和不同攻击速率的关系如图4所示,UDP包丢失率与解除关联帧DoS攻击速率的关系如图5所示。
本发明附图4和图5表明,基于本发明附表1的“802.11w-未约简”方法防止DoS攻击的效果比单纯的802.11w要好。如图4所示,对于802.11w方法,当攻击速率从10fps变到250fps时,TCP流量由416fps迅速下降到77fps,而在“802.11w-未约简”方法的保护下,TCP流量则只下降到210fps。同时,如图5所示,实验结果表明,在高攻击速率从10fps变化到250fps时,在“802.11w-未约简”方法的保护下,UDP数据包的丢失率从1%上升到40%,大大小于802.11w方法保护下80%的UDP包丢失率。虽然在防止DoS攻击方面,“802.11w-未约简”方法比802.11w的性能要好,但效果还是不太理想。这是因为表1所示的解除关联帧是否非法判定决策表包括9个条件属性,决策判断过程比较复杂,不利于无线客户端STA_Air_RX服务中心快速判定解除关联帧的合法性。对表1进一步约简,将会大大加速STA_Air_RX服务中心判定解除关联帧合法性的过程,有利于提高所建立新型方法防止DoS攻击的性能。
近年来,粗糙集理论已经用来研究网络安全领域的各种问题,处理各种复杂的决策判定过程并形成高效准确的约简决策表,效果明显。本发明首次将粗糙集理论用于IEEE802.11解除关联帧合法性决策判定过程。利用粗糙集理论,在保留信息不变的前提下对解除关联帧合法性判定决策表进行约简,去除不能区分决策属性的条件属性,及合并相似条件属性,使得决策所需的条件属性数目变少。约简后的决策表,大大提高了DoS攻击下无线客户端STA_Air_RX服务中心对解除关联帧的快速处理能力。
依据判断解除关联帧真实性决策表(表1),设(U,A,F,d)为判定解除关联帧合法性的协调决策信息系统。U={x1,x2,x3,x4,x5,x6,x7,x8},U中的每一个元素xi(i≤8)称为一个对象。A为属性集,即A={a1,a2,a3,a4,a5,a6,a7,a8,a9},A中的每个元素al(l≤9)称为一个属性。F为U与A之间的关系集,即F={fl:U→Vl(l≤9)},其中Vl为al(l≤9)的值域。D为决策判定解除关联帧合法性的决策属性,其取值为“1:非法”及“0:未定”。记U/RA={[xi]A|xi∈U},U/Rd={[xi]d|xi∈U},称Dd([xi]A,[xj]A)为[xi]A与[xj]A的决策辨识集,称Dd=(Dd([xi]A,[xj]A)|[xi]A,[xj]A∈U/R)为判定解除关联帧合法性的决策信息系统的决策辨识矩阵。因而,依据表1和Dd=(Dd([xi]A,[xj]A)|[xi]A,[xj]A∈U/R),决策辨识矩阵Dd可表示为公式(1):
由决策辨识矩阵Dd及判定解除关联帧合法性的决策辨识函数Δ*可表示为公式(2):
Δ*=a5∧(a1∨a2∨a3∨a6)∧a4∧(a1∨a3∨a4∨a8)∧(a1∨a3∨a4∨a5∨a8)∧(a1∨a2∨a3∨a4∨a6∨a8)∧
(a3∨a4∨a6)∧(a1∨a2∨a3∨a6)∧(a4∨a5)∧(a1∨a3∨a4∨a5∨a8)∧(a1∨a3∨a4∨a8)∧(2)
(a1∨a2∨a3∨a4∨a5∨a6∨a8)∧(a3∨a4∨a5∨a6)∧(a1∨a2∨a3∨a4∨a6)∧(a2∨a4∨a6∨a8)∧
(a2∨a4∨a5∨a6∨a8)∧(a4∨a8)∧(a1∨a2∨a4)∧(a1∨a3∨a8)∧(a1∨a3∨a5∨a8)∧
(a1∨a2∨a3∨a6∨a8)∧(a3∨a6)∧a5∧(a2∨a6)∧(a1∨a6∨a8)∧(a2∨a5∨a6)∧(a1∨a5∨a6∨a8)∧(a1∨a2∨a8)
通过析取、合运算得到C1和C2决策约简集,分别表示为公式(3)和(4):
C1={a1,a4,a5}(3)
C2={a3,a4,a5}(4)
原来需要9个条件属性来判定解除关联帧是否非法,利用粗糙集方法进行属性约简后,只需3个条件属性即可对解除关联帧的真实性进行判断。依据C1和C2决策约简集,判断解除关联帧真实性决策表(表1)可以进一步约简为表3及表4。
在决策表中,最重要的是决策规则的产生。设S={U,A,V,f}是一个决策表,A=C∪D,C∩D=φ,其中C为条件决策属性,D为决策属性集。令Xi和Yj分别代表U/C和U/D中的各个等价类,des(Xi)表示对等价类Xi的描述,即等价类Xi对于各条件属性值的特定取值;des(Yj)表示对等价类Yj的描述,即等价类Yj对于各决策属性值的特定取值。
决策规则定义为rij:des(Xi)→des(Yj),Yj∩Xi≠φ,规则的确定性因子可表示为公式(5):
μ(Xi,Yj)=|Yj∩Xi|/|Xi|,0<μ(Xi,Yj)≤1(5)
对于公式(5),当μ(Xi,Yj)=1时,rij是确定的;当0<μ(Xi,Yj)<1时,rij是不确定的;
依据约简后的判断解除关联帧真实性表3、表4及决策规则定义,可分别导出决策规则rij。
对于表3,U可以表示为公式(6),条件属性集C可以表示为公式(7),决策属性集D可以表示为公式(8),等价类U/C可表示为公式(9),等价类U/D可表示为公式(10):
U={x1,x2,x3,x4,x5,x6,x7}(6)
C={a1,a4,a5}(7)
D={d}(8)
U/C={X1,X2,X3,X4,X5,X6}(9)
在公式(9)中,X1={x1},X2={x2},X3={x3},X4={x4,x7},X5={x5},X6={x6}。
U/D={Y1,Y2}(10)
在公式(10)中,Y1={x1,x2,x3,x4},Y2={x5,x6,x7}。
由公式(6)至公式(10)及决策规则定义rij:des(Xi)→des(Yj),Yj∩Xi≠φ,所推导出的确定性规则有:
r11:(a1,1)且(a4,0)且(a5,1)→(d,0)
r21:(a1,1)且(a4,0)且(a5,0)→(d,0)
r31:(a1,0)且(a4,0)且(a5,1)→(d,0)
r52:(a1,0)且(a4,1)且(a5,1)→(d,1)
r62:(a1,0)且(a4,1)且(a5,0)→(d,1)
由公式(6)至公式(10)及决策规则定义rij:des(Xi)→des(Yj),Yj∩Xi≠φ,所推导出的不确定性规则有:
r41:(a1,1)且(a4,1)且(a5,1)→(d,0)
r42:(a1,1)且(a4,1)且(a5,1)→(d,1)
对于表4,U'可以表示为公式(11),条件属性集C'可以表示为公式(12),决策属性集D'可以表示为公式(13),等价类U'/C'可表示为公式(14),等价类U'/D'可表示为公式(15):
U'={x1,x2,x3,x4,x5,x6}(11)
C'={a3,a4,a5}(12)
D'={d}(13)
U'/C'={X1,X2,X3,X4,X5,X6}(14)
在公式(14)中,X1={x1},X2={x2},X3={x3},X4={x4},X5={x5},X6={x6}。
U'/D'={Y1,Y2}(15)
在公式(15)中,Y1={x1,x2,x3,x4},Y2={x5,x6}。
由公式(11)至公式(15)及决策规则定义rij:des(Xi)→des(Yj),Yj∩Xi≠φ,无不确定性规则存在,所推导出的确定性规则有:
r11:(a3,1)且(a4,0)且(a5,1)→(d,0)
r21:(a3,1)且(a4,0)且(a5,0)→(d,0)
r31:(a3,0)且(a4,0)且(a5,1)→(d,0)
r41:(a3,1)且(a4,1)且(a5,1)→(d,0)
r52:(a3,0)且(a4,1)且(a5,1)→(d,1)
r62:(a3,0)且(a4,1)且(a5,0)→(d,1)
由约简后的判断解除关联帧真实性决策表(表3)所推导出的决策规则包括5个确定性规则和2个不确定性规则。同时,由约简后的决策表(表4)所推导出的决策规则全部为6个确定性规则。本发明在无线客户端的STA_Air_RX服务中心编程实现了由表4所推导出的6个确定性规则,并对所收到的解除关联帧进行过滤。本发明将基于约简决策表(表4)所实现的高效检测及验证解除关联帧的方法标记为“802.11w-粗糙集过滤”。无线客户端的STA_Air_RX服务中心对所收到的所有解除关联帧,按照决策表(表4)所推导出的6个确定性规则进行智能过滤;若解除关联帧被确定为“非法”,该解除关联帧将会被立即丢弃;若解除关联帧被确定为“未定”,该解除关联帧将会被转移到“MMS-MDS服务中心”执行802.11w验证过程。
本发明做了进一步的实验来测试“802.11w-粗糙集过滤”保护WLAN预防DoS攻击的效果,并与802.11w的效果进行了比较。TCP流量和不同攻击速率的关系如图6所示,UDP包丢失率与解除关联帧DoS攻击速率的关系如图7所示。
如图6所示,当无线客户端具有“802.11w-粗糙集过滤”功能后,TCP流量随着攻击速率的增加没有太大变化。不同攻击速率下的UDP数据包丢失率如图7所示。只使用802.11w方法时,在高攻击速率下,UDP数据包丢失率可以高达80%。然而,在使用“802.11w-粗糙集过滤”时,在高攻击速率下,数据包丢失率只有1%左右。总之,结果表明,基于粗糙集理论属性约简后所建立的“802.11w-粗糙集过滤”方法可以有效解决低或高攻击速率下的解除关联帧DoS攻击。
综上所述,本发明实施例具备以下3个优点:第一个是研究发现当前的802.11w只能防止低攻击速率的解除关联帧DoS攻击;高速率的解除关联帧DoS攻击将严重破坏WLAN的数据通信能力。第二个是,基于粗糙集理论,本发明成功地对判断解除关联帧真实性的决策表进行了约简;原来需要9个条件属性来判定解除关联帧是否非法,利用粗糙集理论进行属性约简后,只需3个条件属性即可对解除关联帧的真实性进行判断。第三个是,基于约简后决策表所推导出的决策规则,本发明提出一个新型的“802.11w-粗糙集过滤”方法,它可以防止低及高攻击速率下的解除关联帧DoS攻击。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
Claims (4)
1.一种基于粗糙集的新型防无线解除关联帧DoS攻击方法,其特征在于:包括以下步骤:
步骤S1:对解除关联帧DoS攻击历史数据进行分析,对帧序号差距、前一帧类型、帧到达间隔、字段控制字节、帧收发地址、BSSID设置、ReasonCode设置以及DurationID设置进行离散化处理;
步骤S2:基于粗糙集理论,建立与约简解除关联帧合法性决策表,并按照一定的可信度及权重生成解除关联帧合法性判定决策规则,进一步形成解除关联帧合法性判定决策规则库;
步骤S3:802.11无线客户端STA_Air_RX模块实时采集解除关联帧的相关属性数据,实现解除关联帧属性数据分析建模及特征值提取并发送至STA_Air_RX服务中心;
步骤S4:设置于所述无线客户端的STA_Air_RX服务中心根据解除关联帧合法性判定决策规则对所收到的解除关联帧进行合法性判定,直接丢弃那些被判定为“非法”的解除关联帧,对合法性“未定”的解除关联帧执行802.11w验证过程。
2.根据权利要求1所述的一种基于粗糙集的新型防无线解除关联帧DoS攻击方法,其特征在于:所述步骤S2中的解除关联帧合法性决策表包括U、xi、A、aj以及d,其中i≤8,j≤9;U为决策表所涉及的对象集合,即U={x1,x2,x3,x4,x5,x6,x7,x8},U中的每一个元素xi表示一个对象;A为属性集,即A={a1,a2,a3,a4,a5,a6,a7,a8,a9},A中的每一个元素aj表示一种条件属性;a1的属性描述为判别帧序号差距是否正常,即当前帧序列号同前一个帧序列号之间的差值,若a1=1,则表示正常,若a1=0,则表示异常;a2的属性描述为判别前一个帧是否为解除验证帧,若a2=1,则表示是,若a2=0,则表示否;a3的属性描述为判别与收到前一个帧的时间间隔是否正常,若a3=1,则表示正常,若a3=0,则表示异常;a4的属性描述为判别字段控制字节的重试选项是否开启,若a4=1,则表示开启,若a4=0,则表示关闭;a5的属性描述为判别帧接收者地址DA是否设置,若a5=1,则表示设置,若a5=0,则表示未设置;a6的属性描述为判别帧发送者地址SA是否设置,若a6=1,则表示设置,若a6=0,则表示未设置;a7的属性描述为判别基本服务集标识符BSSID是否设置,若a7=1,则表示设置,若a7=0,则表示未设置;a8的属性描述为判别ReasonCode设置是否正常,若a8=1,则表示正常,若a8=0,则表示异常;a9的属性描述为判别DurationID设置是否正常,若a9=1,则表示正常,若a9=0,则表示异常;d为决策判定解除关联帧合法性的决策属性,用以判别解除验证帧是否非法,若d=1,则表示非法,若d=0,则表示未定。
3.根据权利要求1所述的一种基于粗糙集的新型防无线解除关联帧DoS攻击方法,其特征在于:所述步骤S2中的决策表采用决策辨识矩阵Dd进行约简处理,所述决策辨识矩阵Dd表示为公式(1):
由决策辨识矩阵Dd所导出的判定解除关联帧合法性的决策辨识函数Δ*可表示为公式(2):
通过析取、合运算得到C1和C2决策约简集,分别表示为公式(3)和公式(4):
C1={a1,a4,a5}(3)
C2={a3,a4,a5}(4);
根据运算得到的C1和C2决策约简集则可仅需3个条件属性即可对解除关联帧的真实性进行判断。
4.根据权利要求1所述的一种基于粗糙集的新型防无线解除关联帧DoS攻击方法,其特征在于:所述步骤S2中生成的解除关联帧合法性判定性决策规则如下所述:
r11:(a3,1)且(a4,0)且(a5,1)→(d,0)
r21:(a3,1)且(a4,0)且(a5,0)→(d,0)
r31:(a3,0)且(a4,0)且(a5,1)→(d,0)
r41:(a3,1)且(a4,1)且(a5,1)→(d,0)
r52:(a3,0)且(a4,1)且(a5,1)→(d,1)
r62:(a3,0)且(a4,1)且(a5,0)→(d,1)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510882541.6A CN105471879B (zh) | 2015-12-04 | 2015-12-04 | 基于粗糙集的新型防无线解除关联帧DoS攻击方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510882541.6A CN105471879B (zh) | 2015-12-04 | 2015-12-04 | 基于粗糙集的新型防无线解除关联帧DoS攻击方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105471879A true CN105471879A (zh) | 2016-04-06 |
CN105471879B CN105471879B (zh) | 2018-11-27 |
Family
ID=55609149
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510882541.6A Expired - Fee Related CN105471879B (zh) | 2015-12-04 | 2015-12-04 | 基于粗糙集的新型防无线解除关联帧DoS攻击方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105471879B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106535175A (zh) * | 2016-12-11 | 2017-03-22 | 北京坤腾畅联科技有限公司 | 基于帧序列特征分析的无线网络攻击免疫方法和终端设备 |
CN106789995A (zh) * | 2016-12-11 | 2017-05-31 | 北京坤腾畅联科技有限公司 | 基于时钟偏移特征的路由器身份鉴别方法和终端设备 |
CN108924842A (zh) * | 2017-03-23 | 2018-11-30 | 华为技术有限公司 | 一种保持关联的方法及无线接入点设备 |
CN115604031A (zh) * | 2022-11-30 | 2023-01-13 | 成都中科合迅科技有限公司(Cn) | 一种路由器防攻击方法、装置、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101616412A (zh) * | 2009-08-07 | 2009-12-30 | 杭州华三通信技术有限公司 | 无线局域网中管理帧的校验方法和设备 |
US20120250597A1 (en) * | 2011-03-29 | 2012-10-04 | Minyoung Park | Method of enhancing u-apsd for low power wi-fi |
CN103731809A (zh) * | 2012-10-15 | 2014-04-16 | 华为技术有限公司 | 数据发送方法、接收方法及设备 |
WO2015016684A1 (ko) * | 2013-08-02 | 2015-02-05 | 엘지전자 주식회사 | 데이터 유닛을 수신하는 방법 및 장치 |
-
2015
- 2015-12-04 CN CN201510882541.6A patent/CN105471879B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101616412A (zh) * | 2009-08-07 | 2009-12-30 | 杭州华三通信技术有限公司 | 无线局域网中管理帧的校验方法和设备 |
US20120250597A1 (en) * | 2011-03-29 | 2012-10-04 | Minyoung Park | Method of enhancing u-apsd for low power wi-fi |
CN103731809A (zh) * | 2012-10-15 | 2014-04-16 | 华为技术有限公司 | 数据发送方法、接收方法及设备 |
WO2015016684A1 (ko) * | 2013-08-02 | 2015-02-05 | 엘지전자 주식회사 | 데이터 유닛을 수신하는 방법 및 장치 |
Non-Patent Citations (2)
Title |
---|
刘持标: "物联网应用中基于非法接入点的无线拒绝服务攻击研究", 《网络安全技术与应用 2014年7月刊》 * |
徐涛, 史开泉: "基于粗糙集理论的AHP 层次分析法", 《三明学院学报 2006年12月第23卷第4期》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106535175A (zh) * | 2016-12-11 | 2017-03-22 | 北京坤腾畅联科技有限公司 | 基于帧序列特征分析的无线网络攻击免疫方法和终端设备 |
CN106789995A (zh) * | 2016-12-11 | 2017-05-31 | 北京坤腾畅联科技有限公司 | 基于时钟偏移特征的路由器身份鉴别方法和终端设备 |
CN108924842A (zh) * | 2017-03-23 | 2018-11-30 | 华为技术有限公司 | 一种保持关联的方法及无线接入点设备 |
CN115604031A (zh) * | 2022-11-30 | 2023-01-13 | 成都中科合迅科技有限公司(Cn) | 一种路由器防攻击方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN105471879B (zh) | 2018-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105704103B (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
CN100443910C (zh) | 主动网络防护系统与方法 | |
CN105471879A (zh) | 基于粗糙集的新型防无线解除关联帧DoS攻击方法 | |
CN105429963B (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
US20100074112A1 (en) | Network traffic monitoring devices and monitoring systems, and associated methods | |
Alheeti et al. | Prediction of DoS attacks in external communication for self-driving vehicles using a fuzzy petri net model | |
CN103840983A (zh) | 基于协议行为分析的web隧道检测方法 | |
CN104901971A (zh) | 对网络行为进行安全分析的方法和装置 | |
CN101364981A (zh) | 基于因特网协议版本6的混合式入侵检测方法 | |
CN103944919A (zh) | 一种面向wlan的无线多步攻击模式挖掘方法 | |
CN105119919A (zh) | 基于流量异常及特征分析的攻击行为检测方法 | |
Waqas et al. | Authentication of Vehicles and Road Side Units in Intelligent Transportation System. | |
CN105025011A (zh) | 车载信息安全的评价方法 | |
CN112953966A (zh) | 一种计算机网络安全入侵检测系统 | |
Sharma et al. | WLI-FCM and artificial neural network based cloud intrusion detection system | |
Wang et al. | A survey on cybersecurity attacks and defenses for unmanned aerial systems | |
CN114339767B (zh) | 一种信令检测方法、装置、电子设备及存储介质 | |
Sudharson et al. | Quantum-Resistant Wireless Intrusion Detection System using Machine Learning Techniques | |
Feng et al. | Snort improvement on profinet RT for industrial control system intrusion detection | |
Kumar et al. | An Anomaly Behavior based Detection and Prevention of DoS Attack in IoT Environment | |
CN110995733B (zh) | 一种基于遥测技术的工控领域的入侵检测系统 | |
CN105227540A (zh) | 一种事件触发式的mtd防护系统及方法 | |
CN107277070A (zh) | 一种计算机网络入侵防御系统及入侵防御方法 | |
CN111711603A (zh) | 一种基于物联网终端设备的身份认证系统 | |
CN105142149A (zh) | 一种基于rss的wlan欺骗攻击检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181127 Termination date: 20211204 |