CN105472621A - 一种基于rssi的伪ap检测方法 - Google Patents

Abstract

本发明公开了一种基于RSSI的伪AP检测方法，属于无线网络安全领域。所述发明包括获取当前全部AP的RSSI序列，从RSSI序列中选取有效RSSI序列，从当前全部AP中选取与目标AP对应的参考AP，根据得到的参考AP，结合有效RSSI序列，生成有效RSSI指纹库，进而获取参考AP和有效RSSI指纹库中的参考AP的相似度，根据相似度进行定位。获取虚拟定位处的目标AP的第一指纹数据，结合实际获取到的目标AP处的第二指纹数据，获取第一指纹数据和第二指纹数据的指纹差值，根据相似度和指纹差值所处的区间，获取伪AP检测结果。通过该伪AP检测方法，能够缩短现有技术中的检测时间，提高了检测的时效性，并且在检测过程中无需与可疑AP连接，降低了受到网络攻击的风险。

Description

一种基于RSSI的伪AP检测方法

技术领域

本发明属于无线网络安全领域，特别涉及一种基于RSSI的伪AP检测方法。

背景技术

Wi-Fi的SSID(ServiceSetIdentifier,服务集标识)易被伪造，攻击者可以很容易部署出普通用户无法将其与合法AP(WirelessAccessPoint，无线访问接入点)区分开来的恶意的伪AP。一旦用户连接上伪AP，攻击者可以完全掌控用户的上网环境，进一步实现隐私嗅探、数据恶意篡改等高级攻击，甚至控制智能设备的行为，如打开或关闭智能门锁等。

现有的检测伪AP的方法主要有两种：基于硬件特征的检测和基于流量特征的检测。硬件特征检测法利用不同的网卡芯片和驱动具有不同的指纹特征这一特点建立指纹特征库，并在检测时通过匹配指纹库中的指纹数据判定是否存在伪AP；流量特征检测法根据不存在伪AP和存在伪AP时网络流量特征的不同来检测是否存在伪AP。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

建立硬件特征指纹库开销大且指纹提取时间长，实时性差；流量特征检测法可被一些高隐蔽性的伪AP绕过，且上述两种方法均需要检测设备和伪AP连接才能检测，从而容易受到攻击者的网络攻击。

发明内容

为了解决现有技术的问题，本发明提供了一种基于RSSI的伪AP检测方法，其特征在于，所述基于RSSI的伪AP检测方法，包括：

获取当前全部AP的RSSI序列；

从所述RSSI序列中选取有效RSSI序列，从所述当前全部AP中选取与目标AP对应的参考AP；

根据所述参考AP，结合所述有效RSSI序列，生成有效RSSI指纹库；

获取所述参考AP和所述有效RSSI指纹库中的所述参考AP的相似度，根据所述相似度进行定位；

获取所述虚拟定位处的所述目标AP的第一指纹数据，结合实际获取到的所述目标AP处的第二指纹数据，获取所述第一指纹数据和所述第二指纹数据的指纹差值，根据所述相似度和所述指纹差值所处的区间，获取伪AP检测结果。

可选的，所述从所述RSSI序列中选取有效RSSI序列，从所述当前全部AP中选取与目标AP对应的参考AP，包括：

根据所述RSSI序列，获取与所述RSSI序列对应的第一方差增量；

当所述第一方差增量不大于给定阈值时，选取此时方差增量对应的RSSI序列作为有效RSSI序列；

确定所述当前全部AP对应的第二方差增量，获取所述当前全部AP中备选参考AP对应的方差增量与目标AP对应的方差增量之间的相似度；

对所述相似度进行排序，将最高相似度对应的四个AP作为所述目标AP对应的参考AP。

可选的，所述根据所述参考AP，结合所述有效RSSI序列，生成有效RSSI指纹库，包括：

从所述有效RSSI序列中提取与所述参考AP对应的序列作为所述参考AP的指纹信息；

从所述有效RSSI序列中提取与所述目标AP对应的序列作为所述目标AP的指纹信息；

将所述参考AP的指纹信息以及所述目标AP的指纹信息构成有效RSSI指纹库。

可选的，所述获取所述参考AP和所述有效RSSI指纹库中的所述参考AP的相似度，根据所述相似度进行定位，包括：

根据公式(1)结合所述参考AP与所述有效RSSI指纹库中参考AP的距离

$Dist(R_T,R_J)=\sqrt{\underset{i=1}{\overset{L}{\Σ}}{(\stackrel{\‾}{{\mathrm{rssi}}_{i,T}}-\stackrel{\‾}{{\mathrm{rssi}}_{i,J}})}^2}---\left(1\right)$

其中，R_T为位置T处测量的所述参考AP的RSSI指纹信息，R_J为所述有效RSSI指纹库中位置J处的参考AP的RSSI指纹信息；

根据公式(2)获取所述参考AP和所述有效RSSI指纹库中的所述参考AP的相似度Dist_T

${\mathrm{Dist}}_T=min\[\frac{Dist(R_T,R_J)}{L}\]---\left(2\right)$

其中，L为所述参考AP的数量；

根据所述参考AP数量L的不同，针对性的消除所述数量L对所述Dist_T的影响；

根据公式(3)结合KL散度计算与R_T和R_J在RSSI概率分布之间的距离

$\begin{array}{c}Dist(R_T,R_J)=D_{KL}\left(R_T\right|\left|R_J\right)\\ =\underset{rssi=-100}{\overset{0}{\Σ}}\frac{1}{2\sqrt{2\mathrm{\π}}\·{\mathrm{\σ}}_1}\·e^{\frac{{(rssi-{\mathrm{\μ}}_1)}^2}{2\·{{\mathrm{\σ}}_1}^2}}\·\[\frac{{(rssi-u_1)}^2}{{{\mathrm{\σ}}_1}^2}-\frac{{(rssi-u_2)}^2}{{{\mathrm{\σ}}_2}^2}\]\end{array}---\left(3\right)$

其中，σ₁＝var_L,T，σ₂＝var_L,J， 和var分别为RSSI序列均值和方差；

将得到的Dist(R_T,R_J)代入公式(2)中，获取到相似度Dist_T，结合最近邻算法在所述有效RSSI指纹库中确定位置J。

可选的，所述获取所述虚拟定位处的所述目标AP的第一指纹数据，结合实际获取到的所述目标AP处的第二指纹数据，获取所述第一指纹数据和所述第二指纹数据的指纹差值，根据所述相似度和所述指纹差值所处的区间，获取伪AP检测结果，包括：

根据所述第一指纹数据和所述第二指纹数据，确定所述指纹差值；

当所述相似度与所述指纹差值均不大于预设值时，确定不存在伪AP；

当所述相似度不大于所述预设值，所述指纹差值大于所述预设值时，确定存在所述伪AP；

当所述相似度大于所述预设值时，确定所述参考AP发生位置移动或所述有效RSSI指纹库不完善，更新所述有效RSSI指纹库。

可选的，所述伪AP检测方法，还包括：

对所述有效RSSI指纹库进行动态更新。

本发明提供的技术方案带来的有益效果是：

通过该伪AP检测方法，能够缩短现有技术中的检测时间，提高了检测的时效性，并且在检测过程中无需与可疑AP连接，降低了受到网络攻击的风险。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的一种基于RSSI的伪AP检测方法的流程示意图；

图2是本发明提供的一种基于RSSI的伪AP检测方法的检测框架示意图；

图3是本发明提供的一种基于RSSI的伪AP检测方法的RSSI值和均值序列示例图；

图4是本发明提供的一种基于RSSI的伪AP检测方法的与图3对应RSSI序列的方差示例图；

图5是本发明提供的一种基于RSSI的伪AP检测方法的与图3对应RSSI序列的方差增量示例图；

图6是本发明提供的一种基于RSSI的伪AP检测方法的目标AP与参考AP的方差增量对比图；

图7是本发明提供的一种基于RSSI的伪AP检测方法的RSSI的概率分布直方图；

图8是本发明提供的一种基于RSSI的伪AP检测方法的真实AP与伪AP的RSSI均值对比实验结果图；

图9是本发明提供的一种基于RSSI的伪AP检测方法的一次伪AP攻击检测实验结果图。

具体实施方式

为使本发明的结构和优点更加清楚，下面将结合附图对本发明的结构作进一步地描述。

实施例一

本发明提供了一种基于RSSI的伪AP检测方法，如图1所示，所述基于RSSI的伪AP检测方法，包括：

11、获取当前全部AP的RSSI序列。

12、从所述RSSI序列中选取有效RSSI序列，从所述当前全部AP中选取与目标AP对应的参考AP。

13、根据所述参考AP，结合所述有效RSSI序列，生成有效RSSI指纹库。

14、获取所述参考AP和所述有效RSSI指纹库中的所述参考AP的相似度，根据所述相似度进行定位。

15、获取所述虚拟定位处的所述目标AP的第一指纹数据，结合实际获取到的所述目标AP处的第二指纹数据，获取所述第一指纹数据和所述第二指纹数据的指纹差值，根据所述相似度和所述指纹差值所处的区间，获取伪AP检测结果。

在实施中，为了解决现有技术中检测伪AP技术中存在的缺陷，本发明根据智能家居中AP位置稳定且攻击者无法伪造真实AP位置的特点，提出一种新的基于RSSI(ReceivedSignalStrengthIndication，接收信号强度指示)的伪AP检测方法。根据RSSI和距离d的关系，可以用RSSI来代替距离实现信号空间的虚拟定位。这里所使用的多位置协同检测方法利用手机的移动性，通过日常生活中手机的移动、停留行为，转化为在多个固定位置的进行检测的方式，最终确定是否存在伪AP。本发明中提出的伪AP检测方法基于多位置协同检测思想，对应的系统框架如图2所示，该方法主要分为以下五个步骤：

首先，获取到RSSI。本发明中提出的基于多位置协同检测利用的是手机的移动性来实现，所以使用手机来获取RSSI值。

在获取RSSI值时，需要通过检测程序导入相应的管理包(针对Android设备为android.net.wifi.*；针对iOS设备为SystemConfiguration/CaptiveNetwork.h)，并调用相关的接口，就可让手机在日常活动中获取到足够的RSSI数据。

其次，获取有效数据，这里提到的有效数据包括两个部分：有效RSSI的选取和有效参考AP的选取。

接着，在训练阶段建立RSSI指纹库，并且结合前一步得到的有效参考AP的确定出有效的RSSI序列，生成有效RSSI指纹库。

再次，获取参考AP与有效RSSI指纹库中的RSSI序列的相似度，根据得到的相似度进行定位。

最终，获取前一步得到定位处目标AP的指纹数据，结合实际获取到的目标AP处的指纹数据，确定两个指纹数据的指纹差值，根据前一步获取到的相似度以及指纹差值各自所处的区间，判定伪AP的检测结果。

由于该伪AP的检测方法无需专业检测设备，仅需要将手机携带至若干个不同的位置停留片刻，即可确定当前环境中是否存在伪AP，相对于现有技术中的检测方法，本发明中的检测方法缩短了检测时间，具有较高的实时性，并且在检测时仅需打开手机的wifi开关即可，不需要与AP进行实质的网路连接，这样可以降低受到攻击者网络攻击的危险。

本发明提供了一种基于RSSI的伪AP检测方法，该方法包括获取当前全部AP的RSSI序列，从RSSI序列中选取有效RSSI序列，从当前全部AP中选取与目标AP对应的参考AP，根据得到的参考AP，结合有效RSSI序列，生成有效RSSI指纹库，进而获取参考AP和有效RSSI指纹库中的参考AP的相似度，根据相似度进行定位。获取虚拟定位处的目标AP的第一指纹数据，结合实际获取到的目标AP处的第二指纹数据，获取第一指纹数据和第二指纹数据的指纹差值，根据相似度和指纹差值所处的区间，获取伪AP检测结果。通过该伪AP检测方法，能够缩短现有技术中的检测时间，提高了检测的时效性，并且在检测过程中无需与可疑AP连接，降低了收到网络攻击的风险。

可选的，所述从所述RSSI序列中选取有效RSSI序列，从所述当前全部AP中选取与目标AP对应的参考AP，包括：

根据所述RSSI序列，获取与所述RSSI序列对应的第一方差增量；

当所述第一方差增量不大于给定阈值时，选取此时方差增量对应的RSSI序列作为有效RSSI序列；

确定所述当前全部AP对应的第二方差增量，获取所述当前全部AP中备选参考AP对应的方差增量与目标AP对应的方差增量之间的相似度；

对所述相似度进行排序，将最高相似度对应的四个AP作为所述目标AP对应的参考AP。

在实施中，该步骤包含两个内容，选取有效RSSI序列以及选取参考AP，其中，从RSSI序列中选取有效RSSI值的详细内容如下：

获取RSSI序列，计算方差增量k(i):

$k\left(i\right)=\frac{d_{{\mathrm{\σ}}_i}}{d_i}=\frac{{\mathrm{\σ}}_i-{\mathrm{\σ}}_{i-1}}{i-(i-1)}={\mathrm{\σ}}_i-{\mathrm{\σ}}_{i-1}$

在上述公式中，σ_i为第i个数据窗口W_i的方差，这里的W_i＝{r_i-ws+1,r_i-ws+2...r_i-1,r_i}，其中，ws≤i≤n,r_i∈R。R代表整个RSSI序列，r_i是数据集中第i个RSSI，R的大小为n，ws是窗口大小。

设定阈值K，当|k(i)|≤K时，则认为手机位置稳定，收集稳定的RSSI序列，否则认为手机位置发生了变化。

在该步骤中之所以选用方差增量来判断位置是否稳定，原因如下：

判断手机是否移动不能用手机的陀螺仪等，因为这里的位置都是信号空间中的位置，且在一定物理空间范围内的移动不一定导致信号空间内的移动。从大量数据中分离出有效的数据，最简单的方法是使用原始数据进行分离。

当RSSI超出范围[a,b]时则认为位置发生了变化，但是确定该范围需要确定两个参数a和b，且这两个参数都会随着距离的变化而变化，除此之外，该算法易受干扰因素的影响，波动较为剧烈，如图3所示，原数据不稳定，尤其是第二个框中的数据波动很大，增加了分割的难度。

为解决同一位置处数据波动过大对分割的影响，可以使用均值弱化波动，计算均值时仍使用滑动窗口的算法，当均值超出范围[c,d]时则认为位置发生了变化，但是均值算法仍然需要确定两个参数，且参数随距离变化而变化，并且在RSSI序列中确定位置稳定的开始点延迟性较大，如图3所示，以窗口大小为120计算均值，可以明显看到均值的波动延迟于原始数据。因此提出了方差增量法。

在数学定义中，方差是各个数据分别与平均数之差的平方和的平均数，可以度量窗口内RSSI数据和均值间的偏离程度。

图4为图3对应数据的方差序列，从中可以看出位置移动时方差会快速变大。但是，当信号本身不稳定时，方差也很大，所以方差大并不能说明人在移动。如果由于信号本身不稳定造成方差很大，则整个方差序列会稳定在一个较大值；但若是手机移动造成方差很大，则手机移动前方差会在一定范围内先稳定，移动时方差迅速增大，所以，可用方差曲线的斜率来判断当前是否在移动。这里的方差曲线实质是一系列离散的点，无法对其求导，所以采用类似斜率的方法，求出方差增量k(i)。

将方差序列带入公式1得到方差增量序列，如图5所示，当方差增量k(i)在0附近波动时，说明原方差稳定在一定范围，即手机没有移动或者小范围移动。为此，给定阈值K，当|k(i)|≤K时，则认为手机位置稳定，否则认为手机位置发生了变化。至此，已经将确定手机是否移动的参数由两个降为一个，且该参数受距离影响很小，在不同的位置可以使用同一个K。

在实际检测中，可将K值设定为可调参数，在多个位置处，分别计算该位置处的k(i)；并取k(i)的最大值作为给用户的推荐值SK，当用户将K值设置为SK后，可以带着手机进行位置稳定与否的测试，并根据测试结果对K值进行微调。

在进行有效RSSI序列选取后，还需要选取有效参考AP。

在选取有效参考AP时，首先，对每个待选参考AP储存大量的方差增量值。然后，使用DTW算法计算每个待选参考AP与目标AP的方差增量序列之间的匹配距离。最后，根根匹配距离越小，相似度越高的性质，将所有待选参考AP按照相似度由高到低排序，取相似度最好的四个AP作为参考AP。

平面上定位一点至少需要三个参考AP，取4个参考AP是为了防止某个AP失效，突然下线或位置移动等。为了提高定位准确性，需要从这些AP中选择出信号稳定且和目标AP相关性好的AP作为参考。此处的相关性是指，当手机与目标AP的信号距离发生变化时，手机与参考AP的信号距离也同样发生变化。图6所示为两个AP的方差增量序列，NISL为目标AP，WSN作为待选参考AP，这两个AP在位置稳定时方差增量序列较平稳，移动时出现较大幅度波动，整体相似度较高。

基于上述论述，实现了有效RSSI序列以及参考AP的选取，基于本步骤获取到的参数，后续步骤才可以实现对伪AP的选取以及判定。

可选的，所述根据所述参考AP，结合所述有效RSSI序列，生成有效RSSI指纹库，包括：

从所述有效RSSI序列中提取与所述参考AP对应的序列作为所述参考AP的指纹信息；

从所述有效RSSI序列中提取与所述目标AP对应的序列作为所述目标AP的指纹信息；

将所述参考AP的指纹信息以及所述目标AP的指纹信息构成有效RSSI指纹库。

在实施中，为了准确的对当前环境中的AP是否为伪AP进行判定，需要建立准确的数据库，这里称之为指纹库。指纹库RSSI-MAP需要在训练阶段建立，根据前述步骤可以得到有效的RSSI序列，用来生成RSSI-MAP即有效RSSI指纹库。有效RSSI指纹库中数据存储的结构表1所示。

表1有效RSSI指纹库中的数据结构

在有效RSSI指纹库中，R_J＝(r_1,J,r_2,J...r_L,J)表示RSSI-MAP中位置J处来自L个参考AP的RSSI的指纹信息，R_J′＝r_0,J表示位置J处来自目标AP的RSSI指纹信息。每个AP的指纹信息r用如下结构描述：该三元组中的项分别表示RSSI序列的均值、方差、长度，其中参考AP的均值为整个RSSI序列的均值，而目标AP的均值为在位置J处的最大均值。

经过实验可知，同一位置AP的RSSI成近似正态分布(如图7所示)，所以使用均值和方差即可描述AP在某个位置出的指纹；RSSI序列的长度是做后续的指纹库动态更新的相关参数。

根据该步骤的到的有效RSSI指纹库，为下一步的伪AP判定提供了准确的基础。

可选的，所述获取所述参考AP和所述有效RSSI指纹库中的所述参考AP的相似度，根据所述相似度进行定位，包括：

根据公式(1)结合所述参考AP与所述有效RSSI指纹库中参考AP的距离

$Dist(R_T,R_J)=\sqrt{\underset{i=1}{\overset{L}{\Σ}}{(\stackrel{\‾}{{\mathrm{rssi}}_{i,T}}-\stackrel{\‾}{{\mathrm{rssi}}_{i,J}})}^2}---\left(1\right)$

其中，R_T为位置T处测量的所述参考AP的RSSI指纹信息，R_J为所述有效RSSI指纹库中位置J处的参考AP的RSSI指纹信息；

根据公式(2)获取所述参考AP和所述有效RSSI指纹库中的所述参考AP的相似度Dist_T

${\mathrm{Dist}}_T=min\[\frac{Dist(R_T,R_J)}{L}\]---\left(2\right)$

其中，L为所述参考AP的数量；

根据所述参考AP数量L的不同，针对性的消除所述数量L对所述Dist_T的影响；

根据公式(3)结合KL散度计算与R_T和R_J在RSSI概率分布之间的距离

$\begin{array}{c}Dist(R_T,R_J)=D_{KL}\left(R_T\right|\left|R_J\right)\\ =\underset{rssi=-100}{\overset{0}{\Σ}}\frac{1}{2\sqrt{2\mathrm{\π}}\·{\mathrm{\σ}}_1}\·e^{\frac{{(rssi-{\mathrm{\μ}}_1)}^2}{2\·{{\mathrm{\σ}}_1}^2}}\·\[\frac{{(rssi-u_1)}^2}{{{\mathrm{\σ}}_1}^2}-\frac{{(rssi-u_2)}^2}{{{\mathrm{\σ}}_2}^2}\]\end{array}---\left(3\right)$

其中，σ₁＝var_L,T，σ₂＝var_L,J， 和var分别为RSSI序列均值和方差；

将得到的Dist(R_T,R_J)代入公式(2)中，获取到相似度Dist_T，结合最近邻算法在所述有效RSSI指纹库中确定位置J。

在实施中，需要获取参考AP与有效RSSI指纹库中的参考AP的相似度，进而根据得到的相似度进行手机的定位。

首先需要确保待比较的RSSI数据来自同一个位置，所以需要确定手机的位置，手机位置确定采用最近邻算法实现位置匹配，用欧式距离即公式(1)实现最近邻算法：

$Dist(R_T,R_J)=\sqrt{\underset{i=1}{\overset{L}{\Σ}}{(\stackrel{\‾}{{\mathrm{rssi}}_{i,T}}-\stackrel{\‾}{{\mathrm{rssi}}_{i,J}})}^2}---\left(1\right)$

其中，Dist(R_T,R_J)为R_T和R_J的距离，R_T＝(r_1,T,r_2,T...r_L,T)为位置T处测量的参考AP的RSSI指纹信息，R_J为指纹库中位置J处的参考AP的RSSI指纹信息。

进一步的，还需要消除参考AP数量L对计算Dist_T的影响：

${\mathrm{Dist}}_T=min\[\frac{Dist(R_T,R_J)}{L}\]---\left(2\right)$

在根据公式(2)获取到多个Dist_T值后，选取数值最小的位置J为当前位置T在信号空间的估计位置。

当L大于等于3时，取步骤2(2)排序后的前三个参考AP指纹代入公式(1)计算距离并定位，这里的前三个参考AP是指才选取参考AP中按照相似度排序后的前三个参考AP。

如果出现多个位置与T的距离都为Dist_T时，取前四个参考AP指纹代入公示2计算距离并定位，得到新的Dist_T。

当L等于2时，不能实现RSSI指纹和位置的一一映射，但是理论上也只有两个位置无法正确区分，此时继续用L大于等于3时的方法定位，若出现多个距离相同的位置，则选择距离目标AP更近的那个位置。根据三角定位可知，要在空间中定位一点，至少需要三个参考AP；同时，由几何知识可知，2个圆最多有2个公共焦点，3个或者3个以上的不共线的圆最多有1个公共交点。这里采用一一映射可以保证在指纹库中的一条记录只对应空间中的一个位置。

当L等于1时，为提高定位精确度，在计算位置T和位置J之间的RSSI相似度时引入方差。当两个位置距离AP的信号距离相等，即均值相同时，只用均值无法区分这两个位置，但这两个位置和AP之间的障碍物对信号的干扰不一定相同，所以方差也不一定相同。

由前文可知，同一位置处来自同一AP的RSSI呈近似正态分布，即所代表的RSSI序列近似满足

$P\left(rssi\right)=\frac{1}{\sqrt{2\mathrm{\π}}\·\mathrm{\σ}}\·e^{\frac{{(rssi-\mathrm{\μ})}^2}{2\·{\mathrm{\σ}}^2}},$

其中，σ＝var，在信息论中，KL散度(Kullback–Leiblerdivergence)可用来描述两个概率分布P和Q的差异，D_KL(P||Q)表示当用理论分布Q来拟合真实分布P时，产生的信息损耗。所以在这里可使用KL散度计算位置T和J的RSSI概率分布之间的距离：

$\begin{array}{c}Dist(R_T,R_J)=D_{KL}\left(R_T\right|\left|R_J\right)\\ =\underset{rssi=-100}{\overset{0}{\Σ}}\frac{1}{2\sqrt{2\mathrm{\π}}\·{\mathrm{\σ}}_1}\·e^{\frac{{(rssi-{\mathrm{\μ}}_1)}^2}{2\·{{\mathrm{\σ}}_1}^2}}\·\[\frac{{(rssi-u_1)}^2}{{{\mathrm{\σ}}_1}^2}-\frac{{(rssi-u_2)}^2}{{{\mathrm{\σ}}_2}^2}\]\end{array}---\left(3\right)$

其中，σ₁＝var_L,T，σ₂＝var_L,J， 和var分别为RSSI序列均值和方差。

代入公式3计算Dist_T，并选取Dist_T最小的位置J为当前位置T在信号空间的估计位置。

可选的，所述获取所述虚拟定位处的所述目标AP的第一指纹数据，结合实际获取到的所述目标AP处的第二指纹数据，获取所述第一指纹数据和所述第二指纹数据的指纹差值，根据所述相似度和所述指纹差值所处的区间，获取伪AP检测结果，包括：

根据所述第一指纹数据和所述第二指纹数据，确定所述指纹差值；

当所述相似度与所述指纹差值均不大于预设值时，确定不存在伪AP；

当所述相似度不大于所述预设值，所述指纹差值大于所述预设值时，确定存在所述伪AP；

当所述相似度大于所述预设值时，确定所述参考AP发生位置移动或所述有效RSSI指纹库不完善，更新所述有效RSSI指纹库。

在实施中，在得到位置J后，查询RSSI-MAP并从中获取位置J处目标AP的RSSI的最大均值实际检测的目标AP的均值为二者的差值 ${\mathrm{Diff}}_T=\stackrel{\‾}{rssi}-\max \left(\stackrel{\‾}{rssi}\right).$

RSSI-MAP中参考位置的最小距离为M，设置为检测器从位置A移动到位置B使得目标AP的最大均值差值大于等于1(可分辨)时，A与B之间的Dist。

检测时，

若Dist_T≤M且Diff_T≤0，则判定当前状态安全，无伪AP存在；

若Dist_T≤M且Diff_T>0，则判定出现伪AP；

若Dist_T>M，则更新指纹库，更新算法详见步骤5(2)。

这里的Dist_T是欧式距离，即使是通过K-L散度计算得到的最近位置，在进行合法性判断时仍需重新以欧式距离计算Dist_T。

基于上述判断条件，即可完成对伪AP的检测。

可选的，所述伪AP检测方法，还包括：

对所述有效RSSI指纹库进行动态更新。

在实施中，RSSI指纹库的动态更新包括两个部分，一是新指纹数据的添加，二是对指纹库中现有指纹数据的更新。

新指纹添加是因为RSSI指纹库在训练阶段由于各种原因导致指纹库中的指纹数据不能完全覆盖分割粒度为M的所有空间子区域，所以需要在后期不断的完善指纹库。而现有指纹的更新是因为环境变化造成的，主要包括参考AP存活状态变化、备选参考AP与目标AP的相关性发生变化、参考AP位置发生变化等，此时我们需要在检测阶段，动态更新指纹库中已经存在的指纹信息。

在前文中计算Dist_T时，假设存在四个有效参考AP为AP1、AP2、AP3、AP4，它们的有效性E1>E2>E3>E4，则Dist_T＝Dist_T(AP₁,AP₂,AP₃)，对应的位置为J。

当Dist_T>M时，根据如下公式重新计算个有效参考AP的相关数值：

$\left\{\begin{array}{c}{\mathrm{Dist}}_{T3}={\mathrm{Dist}}_T({\mathrm{AP}}_1,{\mathrm{AP}}_2,{\mathrm{AP}}_4)\\ {\mathrm{Dist}}_{T2}={\mathrm{Dist}}_T({\mathrm{AP}}_1,{\mathrm{AP}}_3,{\mathrm{AP}}_4)\\ {\mathrm{Dist}}_{T1}={\mathrm{Dist}}_T({\mathrm{AP}}_2,{\mathrm{AP}}_3,{\mathrm{AP}}_4)\end{array}\right.$

若Dist_Ti≤M，则使用r_i,T代替RSSI-MAP中的r_i,J以实现现有指纹的更新，若Dist_Ti全部大于M，则将(RT,R’T)加入RSSI-MAP中实现新指纹的添加。

当Dist_T≤M时，若参考AP的指纹r_i,t.len≥r_i,j.len，则使用r_i,T代替RSSI-MAP中的r_i,J以实现现有指纹的更新。

通过上述步骤对有效RSSI指纹库的更新，可以提高根据指纹库进行伪基站识别的效率以及准确性。

本发明提供了一种基于RSSI的伪AP检测方法，该方法包括获取当前全部AP的RSSI序列，从RSSI序列中选取有效RSSI序列，从当前全部AP中选取与目标AP对应的参考AP，根据得到的参考AP，结合有效RSSI序列，生成有效RSSI指纹库，进而获取参考AP和有效RSSI指纹库中的参考AP的相似度，根据相似度进行定位。获取虚拟定位处的目标AP的第一指纹数据，结合实际获取到的目标AP处的第二指纹数据，获取第一指纹数据和第二指纹数据的指纹差值，根据相似度和指纹差值所处的区间，获取伪AP检测结果。能够缩短现有技术中的检测时间，提高了检测的时效性，并且在检测过程中无需与可疑AP连接，降低了收到网络攻击的风险。

实验验证

申请人通过以下实验验证本发明方法的可行性和有效性。

单一固定位置位置检测实验：

首先在安全状态下，使用终端MX3来收集以TL-WR882N搭建的AP的RSSI，二者相距5m，数据收集速率为2次/秒，收集数据总量约为14000条，整个收集过程周围环境不变，但有人随意走动。

如图7所示，通过分析手机的RSSI信息发现实际测量值在一个稳定值附近波动，且呈现近似正态分布，是一个取决于均值和反差的正态随机变量。

接下来用滑动窗口计算其均值，需要确定窗口的大小，窗口越大，检测延迟性越高，且漏检率越高；相反，窗口越小，检测的延迟性越低，且误检率越高。对于以上数据，我们以不同窗口大小来计算均值，得到如表3所示的结果：

表3不同窗口大小对均值的影响

在实际检测时，窗口大小是可调节参数，若对安全性要求高，则将窗口调至较小。此处，将窗口大小设置为120。当我们同时打开真实AP和伪AP时(这里为了更直观，测试时暂时将伪AP的SSID设置为和原AP不同)，检测到的RSSI均值数据如图8所示。可以看出伪AP的RSSI均值大于真实AP的RSSI均值。由实验得，真实AP与伪AP的均值差异如表4所示：

表4真实AP与伪AP的RSSI差异

由表4的数据可知安全的RSSI均值范围是[-65.2750,-49.7583]，当均值大于-49.7583时即认为存在伪AP。

最后我们设置伪AP与真实AP具有相同的标识(SSID和BSSID),进行了真实的伪AP攻击，如图9所示，该方案成功检测出了伪AP的存在。

方差增量法有效性验证

本实验以多位置协同检测方法步骤2中所示的数据(图3，图4，图5)为例，窗口大小设置为120，以K＝4为例来分割RSSI序列。将RSSI序列切分为如表5所示的片段：

表5分割得到的RSSI片段

去掉长度小于120的片段，得到S_1和S_10两个有效RSSI序列片段，正确率为99.7％。

DTW算法选取有效AP的有效性验证

我们打开检测软件让其采集可以扫描到的所有AP的RSSI，分别在3个不同位置停留15分钟，并在不同位置转换时以约1.5m的速度移动，共扫描到28个AP，包括一个目标AP和27个待选参考AP，并分别使用DTW算法计算这27个AP的方差增量序列和目标AP的方差增量序列的距离，最终成功找出了四个最相关且最稳定的参考AP。

多位置协同检测有效性验证

我们在笔记本电脑上使用hostapd实现伪AP，并在Android上实现该检测系统。检测时将窗口大小设置为120，方差增量阈值K设置为4，安全Diff_T范围设置为0～15，伪AP与真实AP相距10m，参考AP为黑盒环境中的AP，共检测到27个待选AP。实验共100次，50次开启伪AP，50次未开启伪AP，检测正确率达到92％。

需要说明的是：上述实施例提供的基于RSSI的伪AP检测方法进行伪AP检测的实施例，仅作为该伪AP检测方法中在实际应用中的说明，还可以根据实际需要而将上述AP检测方法在其他应用场景中使用，其具体实现过程类似于上述实施例，这里不再赘述。并且上述实施例采用的实验设备为手机，仅是便于提高方法的可读性，并不限于本发明中的方案仅限于手机，依然适用于其他具有联网功能的设备。

上述实施例中的各个序号仅仅为了描述，不代表各部件的组装或使用过程中的先后顺序。

以上所述仅为本发明的实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于RSSI的伪AP检测方法，其特征在于，所述基于RSSI的伪AP检测方法，包括：

获取当前全部AP的RSSI序列；

从所述RSSI序列中选取有效RSSI序列，从所述当前全部AP中选取与目标AP对应的参考AP；

根据所述参考AP，结合所述有效RSSI序列，生成有效RSSI指纹库；

获取所述参考AP和所述有效RSSI指纹库中的所述参考AP的相似度，根据所述相似度进行定位；

获取所述虚拟定位处的所述目标AP的第一指纹数据，结合实际获取到的所述目标AP处的第二指纹数据，获取所述第一指纹数据和所述第二指纹数据的指纹差值，根据所述相似度和所述指纹差值所处的区间，获取伪AP检测结果。

2.根据权利要求1所述的基于RSSI的伪AP检测方法，其特征在于，所述从所述RSSI序列中选取有效RSSI序列，从所述当前全部AP中选取与目标AP对应的参考AP，包括：

根据所述RSSI序列，获取与所述RSSI序列对应的第一方差增量；

当所述第一方差增量不大于给定阈值时，选取此时方差增量对应的RSSI序列作为有效RSSI序列；

确定所述当前全部AP对应的第二方差增量，获取所述当前全部AP中备选参考AP对应的方差增量与目标AP对应的方差增量之间的相似度；

对所述相似度进行排序，将最高相似度对应的四个AP作为所述目标AP对应的参考AP。

3.根据权利要求1所述的基于RSSI的伪AP检测方法，其特征在于，所述根据所述参考AP，结合所述有效RSSI序列，生成有效RSSI指纹库，包括：

从所述有效RSSI序列中提取与所述参考AP对应的序列作为所述参考AP的指纹信息；

从所述有效RSSI序列中提取与所述目标AP对应的序列作为所述目标AP的指纹信息；

将所述参考AP的指纹信息以及所述目标AP的指纹信息构成有效RSSI指纹库。

4.根据权利要求1所述的基于RSSI的伪AP检测方法，其特征在于，所述获取所述参考AP和所述有效RSSI指纹库中的所述参考AP的相似度，根据所述相似度进行定位，包括：

根据公式(1)结合所述参考AP与所述有效RSSI指纹库中参考AP的距离

$Dist(R_T,R_J)=\sqrt{\underset{i=1}{\overset{L}{\Σ}}{(\stackrel{\‾}{{\mathrm{rssi}}_{i,T}}-\stackrel{\‾}{{\mathrm{rssi}}_{i,J}})}^2}---\left(1\right)$

其中，R_T为位置T处测量的所述参考AP的RSSI指纹信息，R_J为所述有效RSSI指纹库中位置J处的参考AP的RSSI指纹信息；

根据公式(2)获取所述参考AP和所述有效RSSI指纹库中的所述参考AP的相似度Dist_T

${\mathrm{Dist}}_T=min\[\frac{Dist(R_T,R_J)}{L}\]---\left(2\right)$

其中，L为所述参考AP的数量；

根据所述参考AP数量L的不同，针对性的消除所述数量L对所述Dist_T的影响；

根据公式(3)结合KL散度计算与R_T和R_J在RSSI概率分布之间的距离

$\begin{array}{c}Dist\left(R_T,R_J\right)=D_{KL}\left(R_T\left|\right|R_J\right)\\ =\underset{rssi=-100}{\overset{0}{\Σ}}\frac{1}{2\sqrt{2\mathrm{\π}}\·{\mathrm{\σ}}_1}\·e^{\frac{{\left(rssi-{\mathrm{\μ}}_1\right)}^2}{2\·{{\mathrm{\σ}}_1}^2}}\·\[\frac{{\left(rssi-{\mathrm{\μ}}_1\right)}^2}{{{\mathrm{\σ}}_1}^2}-\frac{{\left(rssi-{\mathrm{\μ}}_2\right)}^2}{{{\mathrm{\σ}}_2}^2}\]\end{array}---\left(3\right)$

其中，σ₁＝var_L,T，σ₂＝var_L,J， 和var分别为RSSI序列均值和方差；

将得到的Dist(R_T,R_J)代入公式(2)中，获取到相似度Dist_T，结合最近邻算法在所述有效RSSI指纹库中确定位置J。

5.根据权利要求1所述的基于RSSI的伪AP检测方法，其特征在于，所述获取所述虚拟定位处的所述目标AP的第一指纹数据，结合实际获取到的所述目标AP处的第二指纹数据，获取所述第一指纹数据和所述第二指纹数据的指纹差值，根据所述相似度和所述指纹差值所处的区间，获取伪AP检测结果，包括：

根据所述第一指纹数据和所述第二指纹数据，确定所述指纹差值；

当所述相似度与所述指纹差值均不大于预设值时，确定不存在伪AP；

当所述相似度不大于所述预设值，所述指纹差值大于所述预设值时，确定存在所述伪AP；

当所述相似度大于所述预设值时，确定所述参考AP发生位置移动或所述有效RSSI指纹库不完善，更新所述有效RSSI指纹库。

6.根据权利要求1所述的基于RSSI的伪AP检测方法，其特征在于，所述伪AP检测方法，还包括：

对所述有效RSSI指纹库进行动态更新。