CN105554762A - 基于rss的无线欺骗攻击定位方法 - Google Patents

Abstract

本发明公开了基于RSS的无线欺骗攻击定位方法，包括：建立与WLAN环境对应的位置指纹数据库；采用信标实时监测WLAN中的无线数据包，进而提取获得每个节点的RSS数据流；利用K-中心点算法，选取多个K值，并根据每个K值依次对每个节点的RSS数据流进行聚类后获得对应的聚类结果，最后获得每个节点的多个聚类结果；针对每个节点所获得的多个聚类结果进行评价后，获得每个节点对应的最优聚类结果；依次获取最优聚类结果中的多个簇的代表对象后，结合位置指纹数据库计算获得攻击者的位置坐标，并输出定位结果。本发明可以对一个或多个攻击者进行定位，而且定位准确率高，可广泛应用于无线信息安全领域中。

Description

基于RSS的无线欺骗攻击定位方法

技术领域

本发明涉及无线安全研究领域，特别是涉及一种基于RSS的无线欺骗攻击定位方法。

背景技术

名词解释：

RSS：接收信号强度；

WLAN：WirelessLocalAreaNetworks，无线局域网络；

ISM频段：IndustrialScientificMedicalBand，工业，科学和医用频段；

ACL：访问控制列表；

AP：AccessPoint，接入点，本发明中也称信标；

RAP：非法接入点；

DoS：拒绝服务；

MAC：Medium/MediaAccessControl，或称为MAC地址、物理地址，用来表示互联网上每一个站点的标识符；

SSID：ServiceSetIdentifier，服务集标识，SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。

IP：InternetProtocol，网络之间互联的协议。

IEEE802.11协议是目前WLAN市场的主流协议，基于该协议的网络硬件设备因成本低廉、组网灵活以及接入便利等，在消费级和企业级市场广受欢迎。然而它的安全性却饱受质疑，原因是它工作在ISM开放频段下，很容易被不法分子通过战争驾驶发起无线攻击。前大多数的WLAN安全威胁基于欺骗攻击，因为欺骗攻击使得各种WLAN流量注入攻击更容易，如ACL攻击、RAP攻击，并最终导致DoS攻击。这些欺骗攻击都有共同点：伪装成WLAN中合法节点的身份发起攻击。由于802.11协议下的无线节点妥协性，WLAN中的无线节点的信息很容易被访问，攻击者很容易利用这些信息通过命令行修改自身设备信息以伪装成合法节点，比如MAC地址、SSID、IP地址等，通过伪装以发起欺骗攻击，攻击者可渗透到网络内部，以达到窃取机密、篡改数据、破坏资源等目的。

无线网络的安全性是当前的研究热点，针对WLAN中的攻击者，有必要研究一种能够追踪定位攻击者的方法，一旦检测出WLAN存在攻击行为，通过攻击定位及时发现和消除这些无线安全威胁，避免WLAN中的通信遭遇泄露、篡改、破坏等。目前无线安全研究领域虽然取得一定成果，但还面临许多挑战，所存在的问题包括以下方面：1、当前无线安全研究领域大多数是研究如何检测WLAN攻击行为，这些检测方法大多数是应用密码学技术，而密码学技术一般只能检测出WLAN是否存在攻击，但由于其无空间关联性，无法追踪定位攻击者。2、RSS因为具备空间相关性的特性，被引入WLAN安全研究领域，是新兴的研究方向。但目前基于RSS的WLAN安全检测方法大多数只能定位单个攻击者，当有多个攻击者使用相同的身份相互合作发起欺骗攻击时，目前这些方法都不能够确定攻击者的物理位置。3、RSS是与无线信号相关的一种物理性质，由于各种无线干扰因素，如同步干扰、异步干扰以及物理干扰，使得RSS很容易产生较多噪声，目前的研究方法较难处理存在异常值或者大小簇情况的RSS数据，从而无法准确地对攻击者进行定位。

发明内容

为了解决上述的技术问题，本发明的目的是提供基于RSS的无线欺骗攻击定位方法。

本发明解决其技术问题所采用的技术方案是：

基于RSS的无线欺骗攻击定位方法，包括：

S1、建立与WLAN环境对应的位置指纹数据库；

S2、采用信标实时监测WLAN中的无线数据包，进而提取获得每个节点的RSS数据流；

S3、利用K-中心点算法，选取多个K值，并根据每个K值依次对每个节点的RSS数据流进行聚类后获得对应的聚类结果，最后获得每个节点的多个聚类结果；

S4、针对每个节点所获得的多个聚类结果进行评价后，获得每个节点对应的最优聚类结果；

S5、依次获取最优聚类结果中的多个簇的代表对象后，结合位置指纹数据库计算获得攻击者的位置坐标，并输出定位结果。

进一步，所述步骤S1，包括：

S11、根据WLAN的拓扑结构，建立平面坐标系，进而按照预设规则选取多个参考点，并获得每个参考点的坐标；

S12、部署多个信标，使得无线信号覆盖整个WLAN，进而测量获得每个参考点处的RSS数据；

S13、按照预设的数据格式，将每个参考点的坐标和对应的RSS数据生成该参考点对应的RSS指纹数据后，建立位置指纹数据库。

进一步，所述步骤S13中，所述预设的数据格式如下：

$\left\{\begin{array}{c}{M}_i=\[\left({\mathrm{La}}_i,{\mathrm{Lo}}_i\right),L{M}_i\]\\ L{M}_i=\[MA{C}_1:RS{S}_1,MA{C}_2:RS{S}_2,...,MA{C}_m:RS{S}_m\]\end{array}\right.$

其中，m表示WLAN中信标的数量，M_i表示第i个参考点的RSS指纹数据，La_i和Lo_i表示第i个参考点的位置坐标，LM_i表示第i个参考点的RSS数据，MAC_j表示第j个信标的MAC地址，RSS_j表示在该参考点处测量得到第j个信标的RSS值，j表示下标，取值为1～m。

进一步，所述步骤S3中所述根据每个K值依次对每个节点的RSS数据流进行聚类后获得对应的聚类结果的步骤，具体包括：

S31、针对每个节点的RSS数据流，随机获取K个RSS值向量并初始化为K个簇的代表对象O1、……、OK；

S32、将该RSS数据流中剩余的RSS值向量分别分配到欧氏距离最近的代表对象所代表的簇，并计算K个簇的总代价；

S33、随机选择一个非代表对象，并将该非代表对象替换其所属的簇的代表对象后，计算替换后K个簇的总代价；

S34、判断替换后是否获得更小的总代价，若是，则返回执行步骤S32，否则，取消替换并执行步骤S35；

S35、判断是否所有非代表对象都已被替换过，若否，则返回执行步骤S33，反之停止聚类，并输出最小总代价对应的K个簇作为当前K值对应的聚类结果。

进一步，所述K个簇的总代价表示对RSS数据流进行聚类后的相聚程度，其计算公式如下：

$E=\underset{P_1\∈C_1}{\Σ}dist\left(P_1,O_1\right)+\underset{P_2\∈C_2}{\Σ}dist\left(P_2,O_2\right)+......+\underset{P_K\∈C_K}{\Σ}dist\left(P_K,O_K\right)$

上式中，E表示总代价，P_i表示簇C_i中的RSS值向量，O_i表示簇C_i的代表对象，dist(P_i,O_i)表示P_i和O_i之间的欧氏距离，i表示序号，取值为1～K。

进一步，所述步骤S4，包括：

S41、针对每个节点所获得的多个聚类结果的每一个聚类结果，从中选取任一个簇，并从该簇中选取任一值向量；

S42、计算该值向量与该簇中其它所有值向量之间的平均欧氏距离；

S43、计算该值向量与未被选取的所有簇中的所有值向量之间的最低平均欧氏距离；

S44、结合上述步骤计算获得的平均欧氏距离和最低平均欧氏距离计算得到该值向量的轮廓宽度；

S45、重复执行步骤S41～S44后，获得该簇中的所有值向量的轮廓宽度并计算它们的平均值，作为该簇的轮廓宽度；

S46、根据步骤S41～S45，分别计算获得每个聚类结果的多个簇的轮廓宽度，进而计算多个簇的轮廓宽度的平均值作为每个聚类结果对应的整体轮廓宽度；

S47、将整体轮廓宽度的最大值所对应聚类结果的K值作为最优聚类结果。

进一步，所述步骤S44中所述轮廓宽度的计算方法如下：求最低平均欧氏距离与平均欧氏距离的差值后，将该差值除以最低平均欧氏距离和平均欧氏距离中数值较大者后获得。

进一步，所述步骤S5，包括：

S51、依次获取最优聚类结果中的多个簇的代表对象后，分别计算每个代表对象与位置指纹数据库的多个参考点的RSS指纹数据之间的欧氏距离；

S52、比较并获取P个最小欧氏距离后，获得对应的参考点以及每个参考点的坐标，P为预设整数；

S53、根据欧氏距离分别计算选取的P个参考点的定位权重因子；

S54、根据P个参考点的坐标以及P个参考点的定位权重因子，计算获得攻击者的位置坐标；

S55、根据最优聚类结果中的K个簇的代表对象计算获得K个位置坐标作为攻击者的定位结果并输出。

进一步，所述步骤S53中，所述定位权重因子的计算公式如下：

$w_j^i=\frac{{(1/{\mathrm{dist}}_j^i)}^2}{\underset{j=1}{\overset{P}{\Σ}}{(1/{\mathrm{dist}}_j^i)}^2}$

上式中，表示参考点j的定位权重因子，表示参考点j与代表对象O_i之间的欧氏距离，i、j表示序号。

进一步，所述步骤S54，其具体为：

采用下式，根据P个参考点的坐标以及P个参考点的定位权重因子，计算获得攻击者的位置坐标：

$({\mathrm{La}}^i,{\mathrm{Lo}}^i)=\underset{j=1}{\overset{P}{\Σ}}{w}_j^i({\mathrm{La}}_j,{\mathrm{Lo}}_j)$

上式中，(Laⁱ,Loⁱ)表示计算获得的攻击者的位置坐标，表示参考点j的定位权重因子，(La_j,Lo_j)表示参考点j的坐标，i、j表示序号。

本发明的有益效果是：本发明的基于RSS的无线欺骗攻击定位方法，包括：建立与WLAN环境对应的位置指纹数据库；采用信标实时监测WLAN中的无线数据包，进而提取获得每个节点的RSS数据流；利用K-中心点算法，选取多个K值，并根据每个K值依次对每个节点的RSS数据流进行聚类后获得对应的聚类结果，最后获得每个节点的多个聚类结果；针对每个节点所获得的多个聚类结果进行评价后，获得每个节点对应的最优聚类结果；依次获取最优聚类结果中的多个簇的代表对象后，结合位置指纹数据库计算获得攻击者的位置坐标，并输出定位结果。本方法不仅可以对单个攻击者进行定位，还能定位多个攻击者，而且利用K-中心点算法结合聚类评价确定最优聚类结果，能够有效克服RSS的噪声值对RSS数据流的聚类分析影响，定位准确率高。

附图说明

下面结合附图和实施例对本发明作进一步说明。

图1是本发明的基于RSS的无线欺骗攻击定位方法的一具体实施例的流程示意图；

图2是本发明的基于RSS的无线欺骗攻击定位方法的一具体实施例中建立位置指纹数据库的流程示意图。

具体实施方式

本发明提供了基于RSS的无线欺骗攻击定位方法，包括：

S1、建立与WLAN环境对应的位置指纹数据库；

S2、采用信标实时监测WLAN中的无线数据包，进而提取获得每个节点的RSS数据流；

S3、利用K-中心点算法，选取多个K值，并根据每个K值依次对每个节点的RSS数据流进行聚类后获得对应的聚类结果，最后获得每个节点的多个聚类结果；K-中心点算法中，K的初始值为2，每次聚类K的值加1，直到达到预设最大值为止；

S4、针对每个节点所获得的多个聚类结果进行评价后，获得每个节点对应的最优聚类结果；

S5、依次获取最优聚类结果中的多个簇的代表对象后，结合位置指纹数据库计算获得攻击者的位置坐标，并输出定位结果。

进一步作为优选的实施方式，所述步骤S1，包括：

S11、根据WLAN的拓扑结构，建立平面坐标系，进而按照预设规则选取多个参考点，并获得每个参考点的坐标；

S12、部署多个信标，使得无线信号覆盖整个WLAN，进而测量获得每个参考点处的RSS数据；

S13、按照预设的数据格式，将每个参考点的坐标和对应的RSS数据生成该参考点对应的RSS指纹数据后，建立位置指纹数据库。

进一步作为优选的实施方式，所述步骤S13中，所述预设的数据格式如下：

$\left\{\begin{array}{c}{M}_i=\[\left({\mathrm{La}}_i,{\mathrm{Lo}}_i\right),L{M}_i\]\\ L{M}_i=\[MA{C}_1:RS{S}_1,MA{C}_2:RS{S}_2,...,MA{C}_m:RS{S}_m\]\end{array}\right.$

其中，m表示WLAN中信标的数量，M_i表示第i个参考点的RSS指纹数据，La_i和Lo_i表示第i个参考点的位置坐标，LM_i表示第i个参考点的RSS数据，MAC_j表示第j个信标的MAC地址，RSS_j表示在该参考点处测量得到第j个信标的RSS值，j表示下标，取值为1～m。

进一步作为优选的实施方式，所述步骤S3中所述根据每个K值依次对每个节点的RSS数据流进行聚类后获得对应的聚类结果的步骤，具体包括：

S31、针对每个节点的RSS数据流，随机获取K个RSS值向量并初始化为K个簇的代表对象O1、……、OK；

S32、将该RSS数据流中剩余的RSS值向量分别分配到欧氏距离最近的代表对象所代表的簇，并计算K个簇的总代价；

S33、随机选择一个非代表对象，并将该非代表对象替换其所属的簇的代表对象后，计算替换后K个簇的总代价；

S34、判断替换后是否获得更小的总代价，若是，则返回执行步骤S32，否则，取消替换并执行步骤S35；

S35、判断是否所有非代表对象都已被替换过，若否，则返回执行步骤S33，反之停止聚类，并输出最小总代价对应的K个簇作为当前K值对应的聚类结果。

本发明中，两个值向量之间的欧氏距离的计算公式为：

$dist({\mathrm{RSS}}^i,{\mathrm{RSS}}^j)=\sqrt{\underset{x=1}{\overset{n}{\Σ}}{({\mathrm{RSS}}_x^i-{\mathrm{RSS}}_x^j)}^2}$

上式中，dist(RSSⁱ,RSS^j)表示值向量RSSⁱ和RSS^j之间的欧氏距离，n表示值向量的维度。

进一步作为优选的实施方式，所述K个簇的总代价即聚类结果的总代价，表示对RSS数据流进行聚类后的相聚程度，其计算公式如下：

$E=\underset{P_1\∈C_1}{\Σ}dist\left(P_1,O_1\right)+\underset{P_2\∈C_2}{\Σ}dist\left(P_2,O_2\right)+......+\underset{P_K\∈C_K}{\Σ}dist\left(P_K,O_K\right)$

上式中，E表示总代价，P_i表示簇C_i中的RSS值向量，O_i表示簇C_i的代表对象，dist(P_i,O_i)表示P_i和O_i之间的欧氏距离，i表示序号，取值为1～K。

进一步作为优选的实施方式，所述步骤S4，包括：

S41、针对每个节点所获得的多个聚类结果的每一个聚类结果，从中选取任一个簇，并从该簇中选取任一值向量；

S42、计算该值向量与该簇中其它所有值向量之间的平均欧氏距离；

S43、计算该值向量与未被选取的所有簇中的所有值向量之间的最低平均欧氏距离；

S44、结合上述步骤计算获得的平均欧氏距离和最低平均欧氏距离计算得到该值向量的轮廓宽度；

S45、重复执行步骤S41～S44后，获得该簇中的所有值向量的轮廓宽度并计算它们的平均值，作为该簇的轮廓宽度；

S46、根据步骤S41～S45，分别计算获得每个聚类结果的多个簇的轮廓宽度，进而计算多个簇的轮廓宽度的平均值作为每个聚类结果对应的整体轮廓宽度；

S47、将整体轮廓宽度的最大值所对应聚类结果的K值作为最优聚类结果。

进一步作为优选的实施方式，所述步骤S44中所述轮廓宽度的计算方法如下：求最低平均欧氏距离与平均欧氏距离的差值后，将该差值除以最低平均欧氏距离和平均欧氏距离中数值较大者后获得。

进一步作为优选的实施方式，所述步骤S5，包括：

S51、依次获取最优聚类结果中的多个簇的代表对象后，分别计算每个代表对象与位置指纹数据库的多个参考点的RSS指纹数据之间的欧氏距离；

S52、比较并获取P个最小欧氏距离后，获得对应的参考点以及每个参考点的坐标，P为预设整数；

S53、根据欧氏距离分别计算选取的P个参考点的定位权重因子；

S54、根据P个参考点的坐标以及P个参考点的定位权重因子，计算获得攻击者的位置坐标；

S55、根据最优聚类结果中的K个簇的代表对象计算获得K个位置坐标作为攻击者的定位结果并输出。

进一步作为优选的实施方式，所述步骤S53中，所述定位权重因子的计算公式如下：

$w_j^i=\frac{{(1/{\mathrm{dist}}_j^i)}^2}{\underset{j=1}{\overset{P}{\Σ}}{(1/{\mathrm{dist}}_j^i)}^2}$

上式中，表示参考点j的定位权重因子，表示参考点j与代表对象O_i之间的欧氏距离，i、j表示序号。

进一步作为优选的实施方式，所述步骤S54，其具体为：

采用下式，根据P个参考点的坐标以及P个参考点的定位权重因子，计算获得攻击者的位置坐标：

$({\mathrm{La}}^i,{\mathrm{Lo}}^i)=\underset{j=1}{\overset{P}{\Σ}}{w}_j^i({\mathrm{La}}_j,{\mathrm{Lo}}_j)$

上式中，(Laⁱ,Loⁱ)表示计算获得的攻击者的位置坐标，表示参考点j的定位权重因子，(La_j,Lo_j)表示参考点j的坐标，i、j表示序号。

以下结合具体实施例对本发明做详细说明。

攻击者进行无线欺骗攻击之前，一般通过战争驾驶，利用一些无线扫描工具获取目标WLAN中的无线节点信息，比如Aircrack-ng、Kismet、inSSIDer等无线工具，然后通过现有的技术手段破解得到目标WLAN的访问权，如抓包分析，字典破解等。攻击者通过这些手段修改自身的MAC地址、SSID、IP地址等信息，以伪装成合法无线节点对目标WLAN发起欺骗攻击。因此在一个受到欺骗攻击的WLAN中，同一身份下的数据包可能混合了合法节点与攻击节点的信息。RSS是与无线节点物理位置关联密切的一个物理性质，通过现有的工具可获得WLAN中每个节点身份下的RSS数据流。同样地，在受到欺骗攻击的WLAN中，某些节点身份下的RSS数据流中也可能混合了合法节点与攻击节点的RSS数据，一般情况下，攻击者的物理位置一般不同于合法节点的物理位置，相应的RSS数据流也会有不同的分布。基于这些信息，本实施例对无线欺骗攻击者的定位过程主要包括三个阶段：首先建立位置指纹数据库，然后分析RSS数据流确定无线攻击，最后定位攻击者的物理位置。参照图1，本实施例的定位方法具体如下：

1、建立位置指纹数据库

在进行攻击者定位追踪前，需先在已有的WLAN环境中建立位置指纹数据库，为之后的攻击定位阶段提供定位依据。由于RSS的空间相关性，无线信号在不同物理位置的RSS表现值是不一样的，所以可以利用RSS变化及分布情况，建立每个参考点下的RSS特征值与物理位置的映射关系。在前期阶段利用信标在参考点位置测量每个AP的RSS特征值，结合参考点的位置坐标，按照一定的格式组织建立位置指纹数据库，为后面无线攻击定位提供数据支持。

建立基于RSS的位置指纹数据库主要包括以下步骤：

(1)在采集目标WLAN中的RSS特征数据前，需先确定WLAN的拓扑结构，建立平面坐标系，然后按照预设规划好的预设规则在WLAN中选取多个参考点以获得每个参考点的位置坐标。预设规则主要是设定了参考点的选取间距等，例如设定每个参考点的纵向与横向间距均为2m，本步骤在选取参考点时，也可以结合人为的干预进行选取，依据楼层结构和定位精度要求合理设定参考点数量，参考点越多定位精度越高。

(2)复用已有的AP或增加额外的AP，部署三个以上的信标(AP)于WLAN中，使其无线信号覆盖整个WLAN，实时监测捕获WLAN中的数据包。

(3)利用802.11标准的无线射频卡结合RSS测量软件，根据选取的参考点，测量每一处的RSS数据。

(4)将每个参考点的坐标和RSS数据按照预设的数据格式存储在位置指纹数据库中。假设第i个参考点采集得到RSS数据指纹表示为M_i，预设的数据格式可做如下定义：

$\left\{\begin{array}{c}{M}_i=\[\left({\mathrm{La}}_i,{\mathrm{Lo}}_i\right),L{M}_i\]\\ L{M}_i=\[MA{C}_1:RS{S}_1,MA{C}_2:RS{S}_2,...,MA{C}_m:RS{S}_m\]\end{array}\right.---\left(1\right)$

其中，m表示WLAN中信标的数量，M_i表示第i个参考点的RSS指纹数据，La_i和Lo_i表示第i个参考点的位置坐标，LM_i表示第i个参考点的RSS数据，MAC_j表示第j个信标的MAC地址，RSS_j表示在该参考点处测量得到第j个信标的RSS值，j表示下标，取值为1～m；冒号表示MAC地址与RSS的映射关系，方括号表示所采集数据的集合，这些RSS数据指纹可依据参考点序号依次排序。

通过上述步骤(1)～(4)可以建立位置指纹数据库，更为详细的实现过程可参照图2，图2中展示了基于上述步骤(1)～(4)的更为具体的建立位置指纹数据库的流程，具体到各种判断迭代过程。

2、分析RSS数据流确定无线攻击

建立好基于RSS的位置指纹数据库后，利用信标监测WLAN流量，提取分析每一节点身份下的RSS数据流，分析其是否含有攻击者的RSS数据特征，以确定WLAN是否存在欺骗攻击。

假设WLAN中受到无线欺骗攻击，现已部署n个信标，形成n维信号空间，收集同一节点身份下的RSS数据流，每个元素是一个n维RSS值向量，如下：

RSS＝{RSS₁,RSS₂,...,RSS_n-1,RSS_n}(2)

使用欧氏距离dist(RSSⁱ,RSS^j)表示任意两个n维RSS值向量RSSⁱ和RSS^j的距离远近，计算公式如下：

$dist({\mathrm{RSS}}^i,{\mathrm{RSS}}^j)=\sqrt{\underset{x=1}{\overset{n}{\Σ}}{({\mathrm{RSS}}_x^i-{\mathrm{RSS}}_x^j)}^2}---\left(3\right)$

攻击者一般在不同于合法节点的物理位置发起无线欺骗攻击，其对应于n维信号空间的RSS数据分布中，应产生不同于合法节点的RSS簇群。因此对某一无线节点身份下的RSS数据流，应用K-中心点算法对其进行聚类分析，得到多个聚类结果，评价出最优聚类结果以确定簇数以及每个簇的中心代表对象。其主要过程包括：首先依次增大K值，即令K＝2、3、……，应用K-中心点算法得到每个K的聚类结果，然后通过聚类评价分析每个K值所对应的聚类结果，确定最优聚类结果。

用C_i表示第i个簇，用O_i表示簇C_i的中心代表对象，引入代价函数，表示对RSS数据流进行聚类分析之后的相聚程度：

$E=\underset{P_1\∈C_1}{\Σ}dist\left(P_1,O_1\right)+\underset{P_2\∈C_2}{\Σ}dist\left(P_2,O_2\right)+......+\underset{P_K\∈C_K}{\Σ}dist\left(P_K,O_K\right)---\left(4\right)$

E表示总代价，P_K表示簇C_K中的RSS值，E的值越小，表示聚类分析效果越好。利用结合K-中心点算法，从K＝2起，对n维信号空间下的RSS数据流进行聚类分析，输出K个簇，步骤如下：

(1)从RSS数据流中随机取K个RSS值向量，初始化为K个簇的代表对象或种子O₁、……、O_K；

(2)将每个剩余的RSS值向量分配到最近的代表对象所代表的簇，距离大小依据欧氏距离的计算结果；

(3)随机选择一个非代表对象O_r，替换其所属的代表对象O_i；

(4)依据代价函数，计算替换后的总代价E；

(5)若得到一个更小的总代价E，则将O_r替换其所属的代表对象O_i，继续执行步骤(2)，反之取消替换；

(6)当所有非代表对象都被代替后，停止聚类分析，输出总代价E最小的聚类分析结果；否则继续执行步骤(3)。

上述步骤的输出结果是K个簇，用集合C＝{c₁,c₂,...,c_K-1,c_K}表示。每个簇表示为其中j＝1,...,K,m_i＝|c_j|。每个c_j对应的中心代表对象表示为O₁、……、O_K。然后利用聚类评价对每个K值下的聚类结果进行评价，确定最优聚类结果，评价步骤如下：

(1)从集合C中取出一个簇c_j，计算出该簇的第i个值向量与同簇c_j中其他(o≠i)值向量的平均欧氏距离计算公式为：

$\stackrel{\‾}{X_i^j}=\frac{1}{m_j-1}\underset{o\≠1}{\overset{m_j}{\underset{o=1}{\mathrm{\Σ}}}}dist({\mathrm{RSS}}_i^j,{\mathrm{RSS}}_o^j),i=1,...,m_j---\left(5\right)$

(2)对应于簇c_j的其余簇c_p{p＝1,...,j-1,j+1,...,K}(p≠j)，计算簇c_j中的第i个值向量和簇c_p中所有值向量的最低平均欧氏距离计算公式为：

$\stackrel{\‾}{{Y_i}^j}=\underset{p\≠j}{\underset{p=1,\mathrm{...},K}{min}}\left\{\frac{1}{m_p}\underset{l=1}{\overset{m_p}{\Σ}}dist\left({\mathrm{RSS}}_i^j,{\mathrm{RSS}}_l^p\right)\right\},i=1,...,m_j,m_p=\left|c_p\right|---\left(6\right)$

(3)利用评价步骤的步骤(1)、(2)计算得到的平均欧氏距离和最低平均欧氏距离计算簇c_j中的第i个值向量的轮廓宽度计算公式为：

$w_i^j=\frac{\stackrel{\‾}{{Y_i}^j}-\stackrel{\‾}{X_i^j}}{\max \left\{\stackrel{\‾}{X_i^j},\stackrel{\‾}{{Y_i}^j}\right\}}---\left(7\right)$

(4)重复执行评价步骤的步骤(1)、(2)、(3)，计算得到簇c_j的每个RSS^j的轮廓宽度从而计算得到簇c_j的轮廓宽度W_j，计算公式为：

$W_j=\frac{1}{m_j}\underset{i=1}{\overset{m_j}{\Σ}}{w}_i^j---\left(8\right)$

(5)重复执行执行评价步骤的步骤(1)、(2)、(3)、(4)，计算得到集合C中每个簇的轮廓宽度W_j，从而计算得到簇数K下的整体轮廓宽度W(K)，计算公式为：

$W\left(K\right)=\frac{1}{K}\underset{j=1}{\overset{K}{\Σ}}{W}_j---\left(9\right)$

通过评价步骤的上述五个步骤可得到每个K值下的轮廓宽度W(K)，对于每个K值，均执行评价步骤，最后选出最大的轮廓宽度值W(K)所对应的K值为最优聚类结果。

3、定位攻击者物理位置

最优结果的簇数K就是在受到欺骗攻击的WLAN中的攻击者数量，而其每个簇的中心代表对象O₁、……、O_K就是这些攻击者的RSS位置指纹特征。攻击者的定位原理是利用每个簇的中心代表对象与指纹数据库的RSS位置指纹进行相似度匹配，然后估计出其位置坐标。

每个簇的代表对象表示一个攻击者的位置指纹特征，令m表示信标的数量。假设指纹数据库中第j个参考点位置对应的位置指纹为参考点对应的位置坐标为M_j＝[La_j,Lo_j]，按照下述步骤确定攻击者的位置坐标：

(1)计算出代表对象O_i(这里也表示待定位的攻击者的位置指纹特征)与位置指纹数据库中n个参考点的位置指纹之间的欧氏距离，计算公式如下：

${\mathrm{dist}}_j^i=\sqrt{\underset{x=1}{\overset{m}{\Σ}}{(o_i^x-{\mathrm{rss}}_j^x)}^2},j=1,2,...,n---\left(10\right)$

(2)依据(10)式计算出n个比较选出P个最小的以及它们所对应的参考点坐标，辅助估计攻击者的物理位置坐标。其中值越小，表示攻击者与第j点个参考点之间的物理距离越近。

(3)计算权重因子攻击者与参考点的越小，其定位贡献程度越大，所以依据P个参考点与攻击者的欧氏距离计算定位权重因子计算公式如下：

$w_j^i=\frac{{(1/{\mathrm{dist}}_j^i)}^2}{\underset{j=1}{\overset{P}{\Σ}}{(1/{\mathrm{dist}}_j^i)}^2}---\left(11\right)$

(4)结合这P个参考点的位置坐标，通过下式估计攻击者的位置坐标[Laⁱ,Lo^j]：

$({\mathrm{La}}^i,{\mathrm{Lo}}^i)=\underset{j=1}{\overset{P}{\Σ}}{w}_j^i({\mathrm{La}}_j,{\mathrm{Lo}}_j)---\left(12\right)$

对每个簇的中心代表对象O_i运用上述步骤进行定位运算，得到K个攻击者的位置坐标，完成对攻击者的定位。

本发明与现有技术相比，具有如下优点和有益效果：

(1)不需要修改IEEE802.11协议本身，也不需要增加额外的硬件设备辅助测量，利用已有的硬件设备结合无线信号强度测量软件，收集WLAN中的RSS数据，结合本发明所提出的方法可实现对攻击者的定位；

(2)与其它802.11协议的WLAN攻击定位方法相比，本发明不仅可以对单个攻击者进行定位，还能够在一些攻击者联合发起的无线欺骗攻击情况下，对伪装合法节点身份的多名攻击者进行定位；

(3)在处理攻击者的RSS数据流时，利用K-中心点算法，结合聚类结果评价，能够确定最优聚类结果，能够克服异常值、大小簇对聚类分析的影响，提高了对WLAN中的攻击者定位准确率。

以上是对本发明的较佳实施进行了具体说明，但本发明创造并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换，这些等同的变型或替换均包含在本申请权利要求所限定的范围内。

Claims (10)

1.基于RSS的无线欺骗攻击定位方法，其特征在于，包括：

S1、建立与WLAN环境对应的位置指纹数据库；

S2、采用信标实时监测WLAN中的无线数据包，进而提取获得每个节点的RSS数据流；

S3、利用K-中心点算法，选取多个K值，并根据每个K值依次对每个节点的RSS数据流进行聚类后获得对应的聚类结果，最后获得每个节点的多个聚类结果；

S4、针对每个节点所获得的多个聚类结果进行评价后，获得每个节点对应的最优聚类结果；

S5、依次获取最优聚类结果中的多个簇的代表对象后，结合位置指纹数据库计算获得攻击者的位置坐标，并输出定位结果。

2.根据权利要求1所述的基于RSS的无线欺骗攻击定位方法，其特征在于，所述步骤S1，包括：

S11、根据WLAN的拓扑结构，建立平面坐标系，进而按照预设规则选取多个参考点，并获得每个参考点的坐标；

S12、部署多个信标，使得无线信号覆盖整个WLAN，进而测量获得每个参考点处的RSS数据；

S13、按照预设的数据格式，将每个参考点的坐标和对应的RSS数据生成该参考点对应的RSS指纹数据后，建立位置指纹数据库。

3.根据权利要求2所述的基于RSS的无线欺骗攻击定位方法，其特征在于，所述步骤S13中，所述预设的数据格式如下：

$\left\{\begin{array}{c}{M}_i=\[({\mathrm{La}}_i,{\mathrm{Lo}}_i),{\mathrm{LM}}_i\]\\ {\mathrm{LM}}_i=\[{\mathrm{MAC}}_1:{\mathrm{RSS}}_1,{\mathrm{MAC}}_2:{\mathrm{RSS}}_2,...,{\mathrm{MAC}}_m:{\mathrm{RSS}}_m\]\end{array}\right.$

其中，m表示WLAN中信标的数量，M_i表示第i个参考点的RSS指纹数据，La_i和Lo_i表示第i个参考点的位置坐标，LM_i表示第i个参考点的RSS数据，MAC_j表示第j个信标的MAC地址，RSS_j表示在该参考点处测量得到第j个信标的RSS值，j表示下标，取值为1～m。

4.根据权利要求1所述的基于RSS的无线欺骗攻击定位方法，其特征在于，所述步骤S3中所述根据每个K值依次对每个节点的RSS数据流进行聚类后获得对应的聚类结果的步骤，具体包括：

S31、针对每个节点的RSS数据流，随机获取K个RSS值向量并初始化为K个簇的代表对象O₁、……、O_K；

S32、将该RSS数据流中剩余的RSS值向量分别分配到欧氏距离最近的代表对象所代表的簇，并计算K个簇的总代价；

S33、随机选择一个非代表对象，并将该非代表对象替换其所属的簇的代表对象后，计算替换后K个簇的总代价；

S34、判断替换后是否获得更小的总代价，若是，则返回执行步骤S32，否则，取消替换并执行步骤S35；

S35、判断是否所有非代表对象都已被替换过，若否，则返回执行步骤S33，反之停止聚类，并输出最小总代价对应的K个簇作为当前K值对应的聚类结果。

5.根据权利要求4所述的基于RSS的无线欺骗攻击定位方法，其特征在于，所述K个簇的总代价表示对RSS数据流进行聚类后的相聚程度，其计算公式如下：

$E=\underset{P_1\∈C_1}{\Σ}dist(P_1,O_1)+\underset{P_2\∈C_2}{\Σ}dist(P_2,O_2)+......+\underset{P_K\∈C_K}{\Σ}dist(P_K,O_K)$

上式中，E表示总代价，P_i表示簇C_i中的RSS值向量，O_i表示簇C_i的代表对象，dist(P_i,O_i)表示P_i和O_i之间的欧氏距离，i表示序号，取值为1～K。

6.根据权利要求1所述的基于RSS的无线欺骗攻击定位方法，其特征在于，所述步骤S4，包括：

S41、针对每个节点所获得的多个聚类结果的每一个聚类结果，从中选取任一个簇，并从该簇中选取任一值向量；

S42、计算该值向量与该簇中其它所有值向量之间的平均欧氏距离；

S43、计算该值向量与未被选取的所有簇中的所有值向量之间的最低平均欧氏距离；

S44、结合上述步骤计算获得的平均欧氏距离和最低平均欧氏距离计算得到该值向量的轮廓宽度；

S45、重复执行步骤S41～S44后，获得该簇中的所有值向量的轮廓宽度并计算它们的平均值，作为该簇的轮廓宽度；

S46、根据步骤S41～S45，分别计算获得每个聚类结果的多个簇的轮廓宽度，进而计算多个簇的轮廓宽度的平均值作为每个聚类结果对应的整体轮廓宽度；

S47、将整体轮廓宽度的最大值所对应聚类结果的K值作为最优聚类结果。

7.根据权利要求6所述的基于RSS的无线欺骗攻击定位方法，其特征在于，所述步骤S44中所述轮廓宽度的计算方法如下：求最低平均欧氏距离与平均欧氏距离的差值后，将该差值除以最低平均欧氏距离和平均欧氏距离中数值较大者后获得。

8.根据权利要求2所述的基于RSS的无线欺骗攻击定位方法，其特征在于，所述步骤S5，包括：

S51、依次获取最优聚类结果中的多个簇的代表对象后，分别计算每个代表对象与位置指纹数据库的多个参考点的RSS指纹数据之间的欧氏距离；

S52、比较并获取P个最小欧氏距离后，获得对应的参考点以及每个参考点的坐标，P为预设整数；

S53、根据欧氏距离分别计算选取的P个参考点的定位权重因子；

S54、根据P个参考点的坐标以及P个参考点的定位权重因子，计算获得攻击者的位置坐标；

S55、根据最优聚类结果中的K个簇的代表对象计算获得K个位置坐标作为攻击者的定位结果并输出。

9.根据权利要求8所述的基于RSS的无线欺骗攻击定位方法，其特征在于，所述步骤S53中，所述定位权重因子的计算公式如下：

$w_j^i=\frac{{(1/{\mathrm{dist}}_j^i)}^2}{\underset{j=1}{\overset{P}{\Σ}}{(1/{\mathrm{dist}}_j^i)}^2}$

上式中，表示参考点j的定位权重因子，表示参考点j与代表对象O_i之间的欧氏距离，i、j表示序号。

10.根据权利要求8所述的基于RSS的无线欺骗攻击定位方法，其特征在于，所述步骤S54，其具体为：

采用下式，根据P个参考点的坐标以及P个参考点的定位权重因子，计算获得攻击者的位置坐标：

$({\mathrm{La}}^i,{\mathrm{Lo}}^i)=\underset{j=1}{\overset{P}{\Σ}}{w}_j^i({\mathrm{La}}_j,{\mathrm{Lo}}_j)$

上式中，(Laⁱ,Loⁱ)表示计算获得的攻击者的位置坐标，表示参考点j的定位权重因子，(La_j,Lo_j)表示参考点j的坐标，i、j表示序号。