CN106535175A - 基于帧序列特征分析的无线网络攻击免疫方法和终端设备 - Google Patents
基于帧序列特征分析的无线网络攻击免疫方法和终端设备 Download PDFInfo
- Publication number
- CN106535175A CN106535175A CN201611134980.XA CN201611134980A CN106535175A CN 106535175 A CN106535175 A CN 106535175A CN 201611134980 A CN201611134980 A CN 201611134980A CN 106535175 A CN106535175 A CN 106535175A
- Authority
- CN
- China
- Prior art keywords
- frame
- frame sequence
- sequence feature
- analysis result
- legal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种基于帧序列特征分析的无线网络攻击免疫方法和终端设备,其中方法包括:收集终端设备接收到的管理帧和数据帧信息;建立帧序列特征检测模型,对接收到的管理帧的帧序列特征的合法性进行分析,并输出分析结果;基于分析结果,对管理帧进行相应的安全处理。本发明通过获取接收到的管理帧序列号和时间戳等网络传输信息,建立检测模型,实现对安全状态的自动识别,根据识别结果,对后续帧放行或者阻止,并根据实际情况发出告警提示,极大地提升了攻击的难度,提高了用户在无线网络环境中的安全水平,预防了经济损失。
Description
技术领域
本发明属于移动互联网安全领域,具体而言,本发明涉及一种基于帧序列特征分析的无线网络攻击免疫方法和终端设备。
背景技术
随着无线网络技术的日益发展,传统的有线接入越来越局限于IT运营企业和固定设施的接入,而在日常生活中,人们也主要以无线接入方式为主。可以说,无线网络已经在人们平常的生活和工作中占据了非常重要的地位,今天的人们已经不能离开无线网络,人们的生活也越来越依赖于无线网络。以iPhone、iPad等苹果产品和Android智能手机、各类上网笔记本为代表的便携智能终端的迅速普及,激发了人们对无处不在的无线接入的渴望。
与此同时,随着无线网络流量的增加,无线网络承载了越来越多的私密信息,成为黑客和不法分子攻击的对象,无线网络通信的安全隐患日益明显。
在现有的无线攻击手段中,强制断网是较为常见的一种方式。在此方式中,迫使终端设备断开与当前无线接入点的正常链接,为随后的攻击创造机会。而且,虽然目前常用的802.11协议采用了多种加密协议来保护数据安全,但是对于管理帧的安全问题缺乏有效的保护措施,攻击者很容易伪造虚假管理帧发起攻击,而当前终端设备及无线AP(无线访问接入点)普遍缺乏对无线网络攻击的抵御能力,极易受到此类攻击的威胁。
针对上述问题,目前已经提出一些解决方案,例如一些管理帧的保护策略,如扩展认证或管理帧检测等手段。
扩展认证需要给传送的管理帧增加认证字段,通过增强对管理帧真实性的认证识别虚假管理帧,抵御攻击者发起的无线网络攻击,这一方面涉及到对管理帧字段的修改,采用了密码认证技术,复杂性较高。
管理帧检测通过检测厂家信息等方式将非法的管理帧过滤掉,不需要密码算法,复杂度低,完全面向客户,不必提前训练,对现有协议及网络端均无改动,但是存在判断失误率高,安全隐患较大等问题。
发明内容
本发明针对现有的方式的上述缺点,提出一种基于帧序列特征分析的无线网络攻击免疫方法和终端设备,用以解决现有技术存在的终端设备容易被非法攻击者采用管理帧的方式关闭网络,然后在寻找时机进行攻击,从而完成非法攻击的目的,从而给客户带来较大的安全隐患和经济损失的问题。
本发明的实施例根据一个方面,提供了一种基于帧序列特征分析的无线网络攻击免疫方法,包括:
收集终端设备接收到的管理帧和数据帧信息;
建立帧序列特征检测模型,对接收到的管理帧的帧序列特征的合法性进行分析,并输出分析结果;
基于分析结果,对管理帧进行相应的安全处理。
优选地,帧序列特征分为序列号特征和时间戳特征。
优选地,如果终端设备接收到的信息为数据帧信息,则不做任何处理。
优选地,对帧序列特征的合法性进行分析时,首先判定序列号间距是否合法,如果合法进入下一步分析,否则判定可疑,发出警告提示。
优选地,如果序列号间距是合法的,则进行分析时间戳间距是否合法,并输出分析结果。
优选地,当分析结果全部为合法时,执行该管理帧;当该分析结果不全部为合法时,则判定为非法,直接抛弃该管理帧。
优选地,在对该帧序列特征的合法性进行分析时,可以采用预先设定的检测机制,也可以根据当前网络负载情况自适应调整。
优选地,根据安全需求的等级要求,为该帧序列特征设定初始的阈值,判定该帧序列特征是否合法。
优选地,该阈值可以根据运行情况自动调整,以便符合实际情况,提高准确度。
另外,本发明还公开了一种终端设备,其包括:
收集模块,用于收集终端设备接收到的管理帧和数据帧信息;
检测模块,用于建立帧序列特征检测模型,对接收到的管理帧的帧序列特征的合法性进行分析,并输出分析结果;
评估分析模块,基于分析结果,对管理帧进行相应的安全处理。
本发明的实施例中,不是简单地接受到管理帧后就执行此管理帧,而是通过获取接收到的管理帧序列号和时间戳等网络负载信息,建立检测模型,实现对安全状态的自动识别,根据识别结果,对后续帧放行或者阻止,并根据实际情况发出告警提示,极大的提升了攻击的难度。并且该发明还具有简单易行、计算开销小、易于应用和对现有协议兼容性高等特点。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明基于帧序列特征分析的无线网络攻击免疫方法其中一实施例的流程示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端设备”、“终端设备设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal DigitalAssistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile InternetDevice,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
下面根据附图1,通过实施例,详细介绍本发明公开的基于帧序列特征分析的无线网络攻击免疫方法。
本发明的实施例中,首先收集终端设备接收到的所有帧(包括数据帧和管理帧),首先获取接收到的管理帧的序列号及其时间戳,然后,以上述信息为输入进行帧的有效性检测。首先,基于帧的序列号进行合法性检测,其次,基于帧的时间戳进行合法性检测,两项检测都完成之后,根据分项检测结果输出得到最终结果。在实际实施中,可以进一步结合实际部署环境,调整自适应阈值设定参数,分析和处理帧传输情况,得到具体攻击的分析结论。
下面通过具体的实施例,详细给出基于帧序列特征分析的无线网络攻击免疫方法的实施步骤:
1、收集终端设备接收到的管理帧和数据帧信息;
优选地,该帧序列特征分为序列号特征和时间戳特征。如果终端设备接收到的信息为数据帧信息,则不做任何处理。
2、建立帧序列特征检测模型,对接收到的管理帧的帧序列特征的合法性进行分析,并输出分析结果;
对帧序列特征的合法性进行分析时,首先判定序列号间距是否合法,具体如下:
SN(new)是当前检测到的管理帧的序列号,SN(last_trusted)是前期最后一个可信帧的序列号,则帧序列号间距计算为:
SN(gap)=SN(new)-SN(last_trusted)
帧序列号间距的判定阈值为SN(threshold)now,如果SN(gap)<=SN(threshold)now,则判定该帧序列号间距合法,并进入下一步检测过程,否则判定可疑,发出告警提示。下面设定判定帧序列号间距阈值的自动调整算法如下:
SN(threshold)now=SN(threshold)now*d+SN(last_trusted)*(1-d)
根据现网测试结果,我们设定d=0.43,在实际部署中可以根据具体网络情况,设定自己的d值,使得判定过程更加高效准确。
如果序列号间距是合法的,则继续进行分析时间戳间距是否合法,并输出分析结果,具体如下:
TS(new)为当前检测到的管理帧的时间戳,TS(last_trusted)是前期最后一个可信帧的时间戳,则帧时间戳间距计算为:
TS(gap)=TS(new)-TS(last_trusted)
帧序列号间距的判定阈值为TS(threshold)now,如果TS(gap)<=TS(threshold)now,则判定该帧时间戳间距合法,标记为可信帧,否则判定可疑,发出告警提示。下面设定判定帧时间戳间距阈值的自动调整算法如下:
TS(threshold)now=TS(threshold)now*e+TS(last_trusted)*(1-e)
根据现网测试结果,我们设定e=0.57,在实际部署中可以根据具体网络情况,设定自己的e值,使得判定过程更加高效准确。
当分析结果为合法时,执行该管理帧;当分析结果为非法时,则直接抛弃该管理帧。
在对该帧序列特征的合法性进行分析时,可以采用预先设定的检测机制,也可以根据当前网络负载情况自适应调整。
根据安全需求的等级要求,为该帧序列特征设定初始的阈值,判定所述帧序列特征是否合法,这里也可以根据运行情况自动调整,以便符合实际情况,提高准确度,这里不作具体的限制。
3、基于分析结果,对管理帧进行相应的安全处理。
具体地,当分析结果为合法时,执行该管理帧;当分析结果为非法时,则直接抛弃该管理帧。
对于专业人士,还可以根据该模型和安全状态分析过程设计自己的算法和利用方法,在具体环境中达到最好的效果,并根据安全需求设定更严格或更宽松的阈值,从而全面分析当前无线网络环境的安全性。
本发明还公开了一种终端设备,包括:
收集模块,用于收集终端设备接收到的管理帧和数据帧信息;
检测模块,用于建立帧序列特征检测模型,对接收到的管理帧的帧序列特征的合法性进行分析,并输出分析结果;
评估分析模块,基于分析结果,对管理帧进行相应的安全处理。
具体运行步骤,可以参考上面实施例中关于方法的步骤,这里不做详细的描述。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于帧序列特征分析的无线网络攻击免疫方法,包括如下步骤:
收集终端设备接收到的管理帧和数据帧信息;
建立帧序列特征检测模型,对接收到的所述管理帧的帧序列特征的合法性进行分析,并输出分析结果;
基于所述分析结果,对所述管理帧进行相应的安全处理。
2.如权利要求1所述的方法,其特征在于,所述帧序列特征分为序列号特征和时间戳特征。
3.如权利要求2所述的方法,其特征在于,如果所述终端设备接收到的信息为所述数据帧信息,则不做任何处理。
4.如权利要求3所述的方法,其特征在于,对所述帧序列特征的合法性进行分析时,首先判定序列号间距是否合法,如果合法进入下一步分析,否则判定可疑,发出警告提示。
5.如权利要求4所述的方法,其特征在于,如果所述序列号间距是合法的,则进行分析时间戳间距是否合法,并输出分析结果。
6.如权利要求1-5所述的任一方法,其特征在于,当所述分析结果全部为合法时,执行所述管理帧;当所述分析结果不完全合法时,则判定为非法,并直接抛弃所述管理帧。
7.如权利要求6所述的方法,其特征在于,在对所述帧序列特征的合法性进行分析时,可以采用预先设定的检测机制,也可以根据当前网络负载情况自适应调整。
8.如权利要求6所述的方法,其特征在于,根据安全需求的等级要求,为所述帧序列特征设定初始的阈值,判定所述帧序列特征是否合法。
9.如权利要求8所述的任一方法,其特征在于,所述阈值可以根据运行情况自动调整,以便符合实际情况,提高准确度。
10.一种终端设备,其特征在于,包括:
收集模块,用于收集所述终端设备接收到的管理帧和数据帧信息;
检测模块,用于建立帧序列特征检测模型,对接收到的所述管理帧的帧序列特征的合法性进行分析,并输出分析结果;
评估分析模块,基于所述分析结果,对所述管理帧进行相应的安全处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611134980.XA CN106535175A (zh) | 2016-12-11 | 2016-12-11 | 基于帧序列特征分析的无线网络攻击免疫方法和终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611134980.XA CN106535175A (zh) | 2016-12-11 | 2016-12-11 | 基于帧序列特征分析的无线网络攻击免疫方法和终端设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106535175A true CN106535175A (zh) | 2017-03-22 |
Family
ID=58341924
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611134980.XA Pending CN106535175A (zh) | 2016-12-11 | 2016-12-11 | 基于帧序列特征分析的无线网络攻击免疫方法和终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106535175A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020206620A1 (en) * | 2019-04-09 | 2020-10-15 | Orange | Methods and apparatus to discriminate authentic wireless internet-of-things devices |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895887A (zh) * | 2009-05-22 | 2010-11-24 | 巴比禄股份有限公司 | 无线lan接入点装置、非法管理帧检测方法 |
| CN105471879A (zh) * | 2015-12-04 | 2016-04-06 | 三明学院 | 基于粗糙集的新型防无线解除关联帧DoS攻击方法 |
-
2016
- 2016-12-11 CN CN201611134980.XA patent/CN106535175A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895887A (zh) * | 2009-05-22 | 2010-11-24 | 巴比禄股份有限公司 | 无线lan接入点装置、非法管理帧检测方法 |
| CN103813338A (zh) * | 2009-05-22 | 2014-05-21 | 巴法络股份有限公司 | 无线lan接入点装置、非法管理帧检测方法 |
| CN105471879A (zh) * | 2015-12-04 | 2016-04-06 | 三明学院 | 基于粗糙集的新型防无线解除关联帧DoS攻击方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020206620A1 (en) * | 2019-04-09 | 2020-10-15 | Orange | Methods and apparatus to discriminate authentic wireless internet-of-things devices |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101575282B1 (ko) | 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법 | |
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| US8331904B2 (en) | Apparatus and a security node for use in determining security attacks | |
| CN106211157B (zh) | 基站重定向方法和基站重定向装置 | |
| CN112667717B (zh) | 变电站巡检信息处理方法、装置、计算机设备和存储介质 | |
| CN107197456B (zh) | 一种基于客户端的识别伪ap的检测方法及检测装置 | |
| CN106789855A (zh) | 用户登录验证的方法及装置 | |
| CN106888184A (zh) | 移动终端支付类应用程序安全支付方法及装置 | |
| CN109618344A (zh) | 一种无线监控设备的安全连接方法及装置 | |
| Comert et al. | Analysis of augmentation methods for RF fingerprinting under impaired channels | |
| CN108449310B (zh) | 一种国产网络安全隔离与单向导入系统及方法 | |
| US20230222843A1 (en) | Method and device for registering biometric feature | |
| CN108234506B (zh) | 一种单向隔离网闸和数据传输方法 | |
| EP4293551A1 (en) | User account risk measurement method and related apparatus | |
| CN107431971A (zh) | 无线入侵防御系统传感器及利用该传感器断开终端的方法 | |
| CN106535175A (zh) | 基于帧序列特征分析的无线网络攻击免疫方法和终端设备 | |
| CN105227540A (zh) | 一种事件触发式的mtd防护系统及方法 | |
| CN115412367B (zh) | 一种分布式协作方法、联防网关装置及电子设备 | |
| CN106060826A (zh) | 基站重定向方法和基站重定向装置 | |
| US20200213355A1 (en) | Security Network Interface Controller (SNIC) Preprocessor with Cyber Data Threat Detection and Response Capability that Provides Security Protection for a Network Device with Memory or Client Device with Memory or Telecommunication Device with Memory | |
| CN106231598A (zh) | 基于帧检测的无线网络攻击免疫方法和终端设备 | |
| US20130104233A1 (en) | Network data control device and network data control method for controling network data that generates malicious code in mobile equipment | |
| US20200389473A1 (en) | Passive Physical Layer Distinct Native Attribute Cyber Security Monitor | |
| CN106888186A (zh) | 移动终端支付类应用程序安全支付方法及装置 | |
| CN101997786B (zh) | 高效安全的异构型媒体网关 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170322 |
|
| WD01 | Invention patent application deemed withdrawn after publication |