CN107172006B - 检测无线网络恶意性的方法及装置 - Google Patents
检测无线网络恶意性的方法及装置 Download PDFInfo
- Publication number
- CN107172006B CN107172006B CN201710176218.6A CN201710176218A CN107172006B CN 107172006 B CN107172006 B CN 107172006B CN 201710176218 A CN201710176218 A CN 201710176218A CN 107172006 B CN107172006 B CN 107172006B
- Authority
- CN
- China
- Prior art keywords
- wireless network
- judgment result
- access request
- script
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种检测无线网络恶意性的方法,该方法包括:在移动终端接入无线网络时,通过所述无线网络的接入点向DNS服务器发送域名解析请求,所述域名解析请求携带预设的域名数据;获取所述DNS服务器解析所述域名数据得到的IP地址,判断所述IP地址是否与预设的IP地址匹配,记录第一判断结果;根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中是否被注入恶意脚本,记录第二判断结果;根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性。本发明还公开了一种检测无线网络恶意性的装置。本发明能够实现无线网络恶意性的主动检测,提高用户使用无线网络上网的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及检测无线网络恶意性的方法及装置。
背景技术
商超、门店、咖啡厅、机场等公共场所,往往架设有公用无线网络,其中最常用的就是WIFI,公共场所通过一个或多个AP(Access Point,接入点)实现预设范围内的WIFI覆盖,为用户提供了方便的上网环境。
然而,公共场所WIFI的安全性一般较差,一些恶意WIFI很容易导致用户的个人信息泄露。比如,攻击者通过搭建恶意AP,并通过恶意AP的DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)服务器为客户端分配恶意DNS(Domain NameSystem,域名系统)代理的IP地址,这样,用户通过客户端上网时,恶意DNS代理会将客户端的域名请求解析到恶意WEB代理,恶意WEB代理植入恶意脚本到相应网络数据包,从而将用户引诱到非法网站上,实施抓包嗅探、网络钓鱼等非法窃取用户个人信息的行为,这将导致用户在不经意间泄露个人信息,严重威胁了用户的上网安全,目前还缺乏一种有效检测WIFI恶意性的方法。
发明内容
本发明的主要目的在于提出一种检测无线网络恶意性的方法及装置,旨在实现无线网络恶意性的主动检测,提高用户使用无线网络上网的安全性。
为实现上述目的,本发明提供一种检测无线网络恶意性的方法,所述方法包括如下步骤:
在移动终端接入无线网络时,通过所述无线网络的接入点向DNS服务器发送域名解析请求,所述域名解析请求携带预设的域名数据;
获取所述DNS服务器解析所述域名数据得到的IP地址,判断所述IP地址是否与预设的IP地址匹配,记录第一判断结果;
根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中是否被注入恶意脚本,记录第二判断结果;
根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性。
可选地,所述根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中是否被注入脚本,记录第二判断结果的步骤之后,还包括:
根据预设知名网站的IP地址发起第二网络访问请求,判断响应的所述第二网络访问请求中是否被注入脚本,并记录第三判断结果;
所述根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性的步骤包括:
根据所述第一判断结果、所述第二判断结果和所述第三判断结果分析并判断所述无线网络的恶意性。
可选地,所述判断响应的所述第二网络访问请求中是否被注入脚本的步骤包括:
将响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本进行对比;
若响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本不匹配,则判定响应的所述第二网络访问请求中被注入恶意脚本。
可选地,所述根据所述第一判断结果、所述第二判断结果和所述第三判断结果分析并判断所述无线网络的恶意性的步骤包括:
对所述第一判断结果、所述第二判断结果和所述第三判断结果进行分析,得到所述无线网络的风险等级;
若所述风险等级大于或等于预设的风险等级,则判定所述无线网络为恶意无线网络。
可选地,所述根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性的步骤之后,还包括:
在判定所述无线网络为恶意无线网络时,发出相应告警信息。
此外,为实现上述目的,本发明还提供一种检测无线网络恶意性的装置,所述装置包括:
发送模块,用于在移动终端接入无线网络时,通过所述无线网络的接入点向DNS服务器发送域名解析请求,所述域名解析请求携带预设的域名数据;
第一判断模块,用于获取所述DNS服务器解析所述域名数据得到的IP地址,判断所述IP地址是否与预设的IP地址匹配,记录第一判断结果;
第二判断模块,用于根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中是否被注入恶意脚本,记录第二判断结果;
分析模块,用于根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性。
可选地,所述装置还包括:
第三判断模块,用于根据预设知名网站的IP地址发起第二网络访问请求,判断响应的所述第二网络访问请求中是否被注入脚本,并记录第三判断结果;
所述分析模块还用于根据所述第一判断结果、所述第二判断结果和所述第三判断结果分析并判断所述无线网络的恶意性。
可选地,所述第三判断模块还用于:
将响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本进行对比;
若响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本不匹配,则判定响应的所述第二网络访问请求中被注入恶意脚本。
可选地,所述分析模块还用于:
对所述第一判断结果、所述第二判断结果和所述第三判断结果进行分析,得到所述无线网络的风险等级;
若所述风险等级大于或等于预设的风险等级,则判定所述无线网络为恶意无线网络。
可选地,所述装置还包括:
告警模块,用于在判定所述无线网络为恶意无线网络时,发出相应告警信息。
本发明在移动终端接入无线网络时,通过所述无线网络的接入点向DNS服务器发送域名解析请求,所述域名解析请求携带预设的域名数据;获取所述DNS服务器解析所述域名数据得到的IP地址,判断所述IP地址是否与预设的IP地址匹配,记录第一判断结果;根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中是否被注入恶意脚本,记录第二判断结果;根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性。通过上述方式,本发明能够判断DNS服务器是否被劫持,以及判断响应的网络访问请求中是否被注入恶意脚本,从而能够实现无线网络恶意性的主动检测,提高用户使用无线网络上网的安全性。
附图说明
图1为本发明检测无线网络恶意性的方法第一实施例的流程示意图;
图2为本发明检测无线网络恶意性的方法第二实施例的流程示意图;
图3为本发明检测无线网络恶意性的方法第三实施例的流程示意图;
图4为本发明检测无线网络恶意性的装置第一实施例的功能模块示意图;
图5为本发明检测无线网络恶意性的装置第二实施例的功能模块示意图;
图6为本发明检测无线网络恶意性的装置第三实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种检测无线网络恶意性的方法。
参照图1,图1为本发明检测无线网络恶意性的方法第一实施例的流程示意图。所述方法包括如下步骤:
步骤S10,在移动终端接入无线网络时,通过所述无线网络的接入点向DNS服务器发送域名解析请求,所述域名解析请求携带预设的域名数据;
在本实施例中,移动终端包括智能手机、平板电脑、笔记本等具有无线网络接入功能的设备,无线网络即WLAN(Wireless Local Area Networks,无线局域网络),是一种利用射频技术进行据传输的系统,常见的WLAN热点信号包括CMCC(中国移动)、ChinaNet(中国公用计算机互联网)等。WIFI作为无线联网的技术之一,被广泛应用于各种场合,通常情况下,用户通过移动终端的WIFI连接功能即可实现无线网络的接入。
本实施例的应用场景可以为:用户将手机携带进商超、门店、咖啡厅或机场等公共场所,该公共场所通过一个或多个AP(如无线路由器)实现预设范围内的WIFI覆盖,用户使用手机接入WIFI,并启用手机上的相关应用程序对当前接入的WIFI进行安全检测,相关检测程序在一个隔离的环境中运行,以保证在当前WIFI为恶意WIFI时,用户的手机系统不会受到攻击。
具体地,在移动终端接入无线网络时,首先通过无线网络的接入点向DNS服务器发送域名解析请求,该域名解析请求携带预设的域名数据,且该域名数据对应的IP地址是已知的。比如,已知域名数据为:xxx.com,其对应的IP地址为202.108.22.5,移动终端通过AP向DNS服务器发送xxx.com的域名解析请求,以使DNS服务器将域名解析为IP地址,若该AP本身是恶意的,则会将域名解析请求发送到恶意DNS服务器,若该AP是合法的,其所对应的DNS服务器也可能遭遇劫持而变为恶意DNS服务器。
步骤S20,获取所述DNS服务器解析所述域名数据得到的IP地址,判断所述IP地址是否与预设的IP地址匹配,记录第一判断结果;
移动终端获取DNS服务器解析域名数据得到的IP地址,判断获取到的IP地址是否与预设的IP地址匹配,并记录第一判断结果。
在DNS服务器是恶意的情况下,其解析得到的IP地址将会是一个虚假的IP地址,比如解析上述域名xxx.com得到的IP地址将不会是202.108.22.5,移动终端通过判断DNS服务器解析域名数据得到的IP地址是否与预设的IP地址匹配,从而可以获知DNS服务器的劫持状态,若DNS服务器返回的IP地址与预设的IP地址不匹配,则判定DNS服务器被劫持,此时移动终端记录下DNS服务器的劫持状态。
步骤S30,根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中是否被注入恶意脚本,记录第二判断结果;
该步骤中,移动终端根据DNS服务器返回的IP地址发起第一网络访问请求,判断响应的第一网络访问请求中是否被注入恶意脚本,记录第二判断结果。
若DNS服务器返回的IP地址是虚假的,则网络访问请求将发送到恶意WEB服务器,恶意WEB服务器会将网络访问请求转发到真实网站,并在真实网站的HTTP响应中注入HTTP、JS(Java Script,一种脚本语言)等攻击脚本,比如攻击脚本为http://www.yyy.com/xxx/a.js,此时客户端向http://www.yyy.com/xxx/a.js的网络访问请求同样会被恶意WEB服务器劫持,此时恶意WEB服务器根本不向真实的yyy服务器发起请求,只是返回其预先准备的“桩”文件,该“桩”文件包含黑客的恶意代码且有很长的缓存时间。很长时间之后,即使用户连接的不是该恶意WIFI而是正常WIFI,但是由于攻击者已经将“桩”文件缓存到受害者的手机,当受害者访问www.yyy.com的时候,就会触发恶意代码的执行,造成信息泄露。
由于恶意脚本一般具有明显的特征,因而移动终端可以将响应的第一网络访问请求中的脚本数据与预先设置的常见恶意脚本数据进行对比,若两者相同,则判定响应的第一网络访问请求中被注入了恶意脚本,此时移动终端记录下HTTP响应的脚本注入状态。
步骤S40,根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性。
移动终端在记录下第一判断结果和第二判断结果后,再根据第一判断结果和第二判断结果分析并判断无线网络的恶意性。具体地,如果DNS服务器解析所述域名数据得到的IP地址与预设的IP地址不匹配,或者响应的第一网络访问请求中被注入恶意脚本,则移动终端可以判定当前连接的无线网络为恶意无线网络,当然,移动终端也可以只在响应的第一网络访问请求中被注入恶意脚本时判定当前连接的无线网络为恶意无线网络,具体实施时可进行灵活设置。
进一步地,在步骤S40之后,还可以包括:在判定所述无线网络为恶意无线网络时,发出相应告警信息。
在判定当前连接的无线网络为恶意无线网络时,移动终端可向用户发出告警信息,告警信息包括危险类型、危险程度等,告警方式包括文字、语音、震动等,用户在接收到告警信息后,可手动断开与该无线网络的连接,以方式个人信息泄露。
在本实施例中,在移动终端接入无线网络时,通过所述无线网络的接入点向DNS服务器发送域名解析请求,所述域名解析请求携带预设的域名数据;获取所述DNS服务器解析所述域名数据得到的IP地址,判断所述IP地址是否与预设的IP地址匹配,记录第一判断结果;根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中是否被注入恶意脚本,记录第二判断结果;根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性。通过上述方式,本实施例能够判断DNS服务器是否被劫持,以及判断响应的网络访问请求中是否被注入恶意脚本,从而能够实现无线网络恶意性的主动检测,提高用户使用无线网络上网的安全性。
进一步地,参照图2,图2为本发明检测无线网络恶意性的方法第二实施例的流程示意图。基于上述图1所示的实施例,在步骤S30之后,还可以包括:
步骤S50,根据预设知名网站的IP地址发起第二网络访问请求,判断响应的所述第二网络访问请求中是否被注入脚本,并记录第三判断结果;
此时步骤S40可以替换为:
步骤S60,根据所述第一判断结果、所述第二判断结果和所述第三判断结果分析并判断所述无线网络的恶意性。
在本实施例中,为进一步准确判断当前无线网络的恶意性,移动终端可以预先设置几个知名网站的IP地址,然后根据预设知名网站的IP地址发起第二网络访问请求,判断响应的第二网络访问请求中是否被注入脚本,并记录第三判断结果。
进一步地,判断响应的第二网络访问请求中是否被注入脚本的步骤可以包括:
步骤S51,将响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本进行对比;
步骤S52,若响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本不匹配,则判定响应的所述第二网络访问请求中被注入恶意脚本。
作为一种实施方式,移动终端可预先调查并保存预设知名网站的正常响应页面,页面中包含正常的脚本,移动终端将响应的第二网络访问请求中的脚本与预先保存的正常脚本进行对比,若两者不匹配,则可判定无线网络为恶意无线网络,此时移动终端可将该无线网络归类为高风险,并强制断开与该无线网络的连接。
需要说明的是,向知名网站发起网络访问请求的原因在于:相对于普通网站,知名网站往往访问流量大,在用户驻留公共场所的短暂时间内,网络攻击者以知名网站如百度、新浪、网易等为主要脚本注入对象,向客户端注入恶意代码的可能性就更大。
本实施例考虑了恶意无线网络的上述攻击特点,通过向知名网站发起网络访问请求,判断响应的网络访问请求中是否被注入脚本,结合之前的判断结果综合分析无线网络的恶意性,提高了判断结果的准确性。
进一步地,参照图3,图3为本发明检测无线网络恶意性的方法第三实施例的流程示意图。基于上述图2所示的实施例,步骤S60可以包括:
步骤S61,对所述第一判断结果、所述第二判断结果和所述第三判断结果进行分析,得到所述无线网络的风险等级;
步骤S62,若所述风险等级大于或等于预设的风险等级,则判定所述无线网络为恶意无线网络。
在本实施中,判断无线网络恶意性的方法可以为:综合分析第一判断结果、第二判断结果和第三判断结果,得到所述无线网络的风险等级。比如,可预先为每个风险评估项设置权重,比如,可将DNS服务器被劫持设置为低风险权重,将网络访问请求被注入恶意脚本设置为高风险权重等,具体实施时可进行灵活设置。之后,移动终端分别检测每个风险评估项,并根据检测结果和预先设置的权重评估此次网络恶意性检测的风险等级,若评估得到的风险等级大于或等于预设的风险等级,则判定无线网络为恶意无线网络,否则判定无线网络是安全的。
本实施例通过设置风险等级,能够使用户清楚获知无线网络的安全程度,从而在无线网络风险较低时不影响用户的正常上网,而在风险较高时发出告警信息,以防止用户敏感信息的泄露。
本发明还提供一种检测无线网络恶意性的装置。
参照图4,图4为本发明检测无线网络恶意性的装置第一实施例的功能模块示意图。所述装置包括:
发送模块10,用于在移动终端接入无线网络时,通过所述无线网络的接入点向DNS服务器发送域名解析请求,所述域名解析请求携带预设的域名数据;
在本实施例中,移动终端包括智能手机、平板电脑、笔记本等具有无线网络接入功能的设备,无线网络即WLAN(Wireless Local Area Networks,无线局域网络),是一种利用射频技术进行据传输的系统,常见的WLAN热点信号包括CMCC(中国移动)、ChinaNet(中国公用计算机互联网)等。WIFI作为无线联网的技术之一,被广泛应用于各种场合,通常情况下,用户通过移动终端的WIFI连接功能即可实现无线网络的接入。
本实施例的应用场景可以为:用户将手机携带进商超、门店、咖啡厅或机场等公共场所,该公共场所通过一个或多个AP(如无线路由器)实现预设范围内的WIFI覆盖,用户使用手机接入WIFI,并启用手机上的相关应用程序对当前接入的WIFI进行安全检测,相关检测程序在一个隔离的环境中运行,以保证在当前WIFI为恶意WIFI时,用户的手机系统不会受到攻击。
具体地,在移动终端接入无线网络时,首先发送模块10通过无线网络的接入点向DNS服务器发送域名解析请求,该域名解析请求携带预设的域名数据,且该域名数据对应的IP地址是已知的。比如,已知域名数据为:xxx.com,其对应的IP地址为202.108.22.5,移动终端通过AP向DNS服务器发送xxx.com的域名解析请求,以使DNS服务器将域名解析为IP地址,若该AP本身是恶意的,则会将域名解析请求发送到恶意DNS服务器,若该AP是合法的,其所对应的DNS服务器也可能遭遇劫持而变为恶意DNS服务器。
第一判断模块20,用于获取所述DNS服务器解析所述域名数据得到的IP地址,判断所述IP地址是否与预设的IP地址匹配,记录第一判断结果;
第一判断模块20获取DNS服务器解析域名数据得到的IP地址,判断获取到的IP地址是否与预设的IP地址匹配,并记录第一判断结果。
在DNS服务器是恶意的情况下,其解析得到的IP地址将会是一个虚假的IP地址,比如解析上述域名xxx.com得到的IP地址将不会是202.108.22.5,移动终端通过判断DNS服务器解析域名数据得到的IP地址是否与预设的IP地址匹配,从而可以获知DNS服务器的劫持状态,若DNS服务器返回的IP地址与预设的IP地址不匹配,则第一判断模块20判定DNS服务器被劫持,并记录下DNS服务器的劫持状态。
第二判断模块30,用于根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中是否被注入恶意脚本,记录第二判断结果;
第二判断模块30根据DNS服务器返回的IP地址发起第一网络访问请求,判断响应的第一网络访问请求中是否被注入恶意脚本,记录第二判断结果。
若DNS服务器返回的IP地址是虚假的,则网络访问请求将发送到恶意WEB服务器,恶意WEB服务器会将网络访问请求转发到真实网站,并在真实网站的HTTP响应中注入HTTP、JS(Java Script,一种脚本语言)等攻击脚本,比如攻击脚本为http://www.yyy.com/xxx/a.js,此时客户端向http://www.yyy.com/xxx/a.js的网络访问请求同样会被恶意WEB服务器劫持,此时恶意WEB服务器根本不向真实的yyy服务器发起请求,只是返回其预先准备的“桩”文件,该“桩”文件包含黑客的恶意代码且有很长的缓存时间。很长时间之后,即使用户连接的不是该恶意WIFI而是正常WIFI,但是由于攻击者已经将“桩”文件缓存到受害者的手机,当受害者访问www.yyy.com的时候,就会触发恶意代码的执行,造成信息泄露。
由于恶意脚本一般具有明显的特征,因而第二判断模块30可以将响应的第一网络访问请求中的脚本数据与预先设置的常见恶意脚本数据进行对比,若两者相同,则判定响应的第一网络访问请求中被注入了恶意脚本,此时记录下HTTP响应的脚本注入状态。
分析模块40,用于根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性。
在记录下第一判断结果和第二判断结果后,分析模块40再根据第一判断结果和第二判断结果分析并判断无线网络的恶意性。具体地,如果DNS服务器解析所述域名数据得到的IP地址与预设的IP地址不匹配,或者响应的第一网络访问请求中被注入恶意脚本,则分析模块40可以判定当前连接的无线网络为恶意无线网络,当然,分析模块40也可以只在响应的第一网络访问请求中被注入恶意脚本时判定当前连接的无线网络为恶意无线网络,具体实施时可进行灵活设置。
在本实施例中,在移动终端接入无线网络时,发送模块10通过所述无线网络的接入点向DNS服务器发送域名解析请求,所述域名解析请求携带预设的域名数据;第一判断模块20获取所述DNS服务器解析所述域名数据得到的IP地址,判断所述IP地址是否与预设的IP地址匹配,记录第一判断结果;第二判断模块30根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中是否被注入恶意脚本,记录第二判断结果;分析模块40根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性。通过上述方式,本实施例能够判断DNS服务器是否被劫持,以及判断响应的网络访问请求中是否被注入恶意脚本,从而能够实现无线网络恶意性的主动检测,提高用户使用无线网络上网的安全性。
进一步地,参照图5,图5为本发明检测无线网络恶意性的装置第二实施例的功能模块示意图。基于上述图4所示的实施例,所述装置还可以包括:
第三判断模块50,用于根据预设知名网站的IP地址发起第二网络访问请求,判断响应的所述第二网络访问请求中是否被注入脚本,并记录第三判断结果;
所述分析模块40还用于根据所述第一判断结果、所述第二判断结果和所述第三判断结果分析并判断所述无线网络的恶意性。
在本实施例中,为进一步准确判断当前无线网络的恶意性,可以预先设置几个知名网站的IP地址,然后第三判断模块50根据预设知名网站的IP地址发起第二网络访问请求,判断响应的第二网络访问请求中是否被注入脚本,并记录第三判断结果。
第三判断模块50还用于:将响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本进行对比;若响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本不匹配,则判定响应的所述第二网络访问请求中被注入恶意脚本。
作为一种实施方式,可预先调查并保存预设知名网站的正常响应页面,页面中包含正常的脚本,第三判断模块50将响应的第二网络访问请求中的脚本与预先保存的正常脚本进行对比,若两者不匹配,则可判定无线网络为恶意无线网络,此时可将该无线网络归类为高风险,并强制断开与该无线网络的连接。
需要说明的是,向知名网站发起网络访问请求的原因在于:相对于普通网站,知名网站往往访问流量大,在用户驻留公共场所的短暂时间内,网络攻击者以知名网站如百度、新浪、网易等为主要脚本注入对象,向客户端注入恶意代码的可能性就更大。
本实施例考虑了恶意无线网络的上述攻击特点,通过向知名网站发起网络访问请求,判断响应的网络访问请求中是否被注入脚本,结合之前的判断结果综合分析无线网络的恶意性,提高了判断结果的准确性。
进一步地,继续参照图5,所述分析模块40还用于:对所述第一判断结果、所述第二判断结果和所述第三判断结果进行分析,得到所述无线网络的风险等级;若所述风险等级大于或等于预设的风险等级,则判定所述无线网络为恶意无线网络。
在本实施中,分析模块40判断无线网络恶意性的方法可以为:综合分析第一判断结果、第二判断结果和第三判断结果,得到所述无线网络的风险等级。比如,可预先为每个风险评估项设置权重,比如,可将DNS服务器被劫持设置为低风险权重,将网络访问请求被注入恶意脚本设置为高风险权重等,具体实施时可进行灵活设置。之后,分析模块40分别检测每个风险评估项,并根据检测结果和预先设置的权重评估此次网络恶意性检测的风险等级,若评估得到的风险等级大于或等于预设的风险等级,则判定无线网络为恶意无线网络,否则判定无线网络是安全的。
本实施例通过设置风险等级,能够使用户清楚获知无线网络的安全程度,从而在无线网络风险较低时不影响用户的正常上网,而在风险较高时发出告警信息,以防止用户敏感信息的泄露。
进一步地,参照图6,图6为本发明检测无线网络恶意性的装置第三实施例的功能模块示意图。基于上述的实施例,所述装置还可以包括:
告警模块60,用于在判定所述无线网络为恶意无线网络时,发出相应告警信息。
在判定当前连接的无线网络为恶意无线网络时,告警模块50可向用户发出告警信息,告警信息包括危险类型、危险程度等,告警方式包括文字、语音、震动等,用户在接收到告警信息后,可手动断开与该无线网络的连接,以方式个人信息泄露。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种检测无线网络恶意性的方法,其特征在于,所述方法包括如下步骤:
在移动终端接入无线网络时,通过所述无线网络的接入点向DNS服务器发送域名解析请求,所述域名解析请求携带预设的域名数据;
获取所述DNS服务器解析所述域名数据得到的IP地址,判断所述IP地址是否与预设的IP地址匹配,记录第一判断结果;
根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中的脚本数据是否与预设脚本数据匹配,获得第二判断结果,并根据所述第二判断结果判定响应的所述第一网络访问请求中是否被注入恶意脚本;
根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性。
2.如权利要求1所述的方法,其特征在于,所述根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中的脚本数据是否与预设脚本数据匹配,获得第二判断结果的步骤之后,还包括:
根据预设知名网站的IP地址发起第二网络访问请求,判断响应的所述第二网络访问请求中是否被注入脚本,并记录第三判断结果;
所述根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性的步骤包括:
根据所述第一判断结果、所述第二判断结果和所述第三判断结果分析并判断所述无线网络的恶意性。
3.如权利要求2所述的方法,其特征在于,所述判断响应的所述第二网络访问请求中是否被注入脚本的步骤包括:
将响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本进行对比;
若响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本不匹配,则判定响应的所述第二网络访问请求中被注入恶意脚本。
4.如权利要求2所述的方法,其特征在于,所述根据所述第一判断结果、所述第二判断结果和所述第三判断结果分析并判断所述无线网络的恶意性的步骤包括:
对所述第一判断结果、所述第二判断结果和所述第三判断结果进行分析,得到所述无线网络的风险等级;
若所述风险等级大于或等于预设的风险等级,则判定所述无线网络为恶意无线网络。
5.如权利要求1至4任一项所述的方法,其特征在于,所述根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性的步骤之后,还包括:
在判定所述无线网络为恶意无线网络时,发出相应告警信息。
6.一种检测无线网络恶意性的装置,其特征在于,所述装置包括:
发送模块,用于在移动终端接入无线网络时,通过所述无线网络的接入点向DNS服务器发送域名解析请求,所述域名解析请求携带预设的域名数据;
第一判断模块,用于获取所述DNS服务器解析所述域名数据得到的IP地址,判断所述IP地址是否与预设的IP地址匹配,记录第一判断结果;
第二判断模块,用于根据所述IP地址发起第一网络访问请求,判断响应的所述第一网络访问请求中的脚本数据是否与预设脚本数据匹配,获得第二判断结果,并根据所述第二判断结果判定响应的所述第一网络访问请求中是否被注入恶意脚本;
分析模块,用于根据所述第一判断结果和所述第二判断结果分析并判断所述无线网络的恶意性。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:
第三判断模块,用于根据预设知名网站的IP地址发起第二网络访问请求,判断响应的所述第二网络访问请求中是否被注入脚本,并记录第三判断结果;
所述分析模块还用于根据所述第一判断结果、所述第二判断结果和所述第三判断结果分析并判断所述无线网络的恶意性。
8.如权利要求7所述的装置,其特征在于,所述第三判断模块还用于:
将响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本进行对比;
若响应的所述第二网络访问请求中的脚本与预设的所述知名网站的脚本不匹配,则判定响应的所述第二网络访问请求中被注入恶意脚本。
9.如权利要求7所述的装置,其特征在于,所述分析模块还用于:
对所述第一判断结果、所述第二判断结果和所述第三判断结果进行分析,得到所述无线网络的风险等级;
若所述风险等级大于或等于预设的风险等级,则判定所述无线网络为恶意无线网络。
10.如权利要求6至9中任一项所述的装置,其特征在于,所述装置还包括:
告警模块,用于在判定所述无线网络为恶意无线网络时,发出相应告警信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710176218.6A CN107172006B (zh) | 2017-03-22 | 2017-03-22 | 检测无线网络恶意性的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710176218.6A CN107172006B (zh) | 2017-03-22 | 2017-03-22 | 检测无线网络恶意性的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107172006A CN107172006A (zh) | 2017-09-15 |
| CN107172006B true CN107172006B (zh) | 2020-06-26 |
Family
ID=59848817
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710176218.6A Active CN107172006B (zh) | 2017-03-22 | 2017-03-22 | 检测无线网络恶意性的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107172006B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
| CN112237017B (zh) * | 2018-05-28 | 2024-04-12 | 三星电子株式会社 | 终端设备以及通过使用该终端设备识别恶意ap的方法 |
| CN108848201A (zh) * | 2018-06-14 | 2018-11-20 | 深信服科技股份有限公司 | 检测利用dns隧道传输隐秘数据的方法、系统及装置 |
| CN112449204B (zh) * | 2019-08-30 | 2022-09-09 | 武汉斗鱼网络科技有限公司 | 一种混淆数据的方法及相关装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924754A (zh) * | 2010-07-15 | 2010-12-22 | 国家计算机网络与信息安全管理中心 | 一种恶意代码控制端主动发现方法及装置 |
| CN103825895A (zh) * | 2014-02-24 | 2014-05-28 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN103957201A (zh) * | 2014-04-18 | 2014-07-30 | 上海聚流软件科技有限公司 | 基于dns的域名信息处理方法、装置及系统 |
| CN104125215A (zh) * | 2014-06-30 | 2014-10-29 | 新浪网技术(中国)有限公司 | 网站域名劫持检测方法和系统 |
| CN104702605A (zh) * | 2015-03-11 | 2015-06-10 | 国家计算机网络与信息安全管理中心 | 用于内外网之间的业务的恶意代码识别方法及识别设备 |
| CN105656950A (zh) * | 2016-04-13 | 2016-06-08 | 南京烽火软件科技有限公司 | 一种基于域名的http访问劫持检测与净化装置及方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8869279B2 (en) * | 2011-05-13 | 2014-10-21 | Imperva, Inc. | Detecting web browser based attacks using browser response comparison tests launched from a remote source |
| US9231975B2 (en) * | 2013-06-27 | 2016-01-05 | Sap Se | Safe script templating to provide reliable protection against attacks |
| CN104994117A (zh) * | 2015-08-07 | 2015-10-21 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于dns解析数据的恶意域名检测方法及系统 |
| CN105141598B (zh) * | 2015-08-14 | 2018-11-20 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| CN105072120A (zh) * | 2015-08-14 | 2015-11-18 | 中国传媒大学 | 基于域名服务状态分析的恶意域名检测方法及装置 |
-
2017
- 2017-03-22 CN CN201710176218.6A patent/CN107172006B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924754A (zh) * | 2010-07-15 | 2010-12-22 | 国家计算机网络与信息安全管理中心 | 一种恶意代码控制端主动发现方法及装置 |
| CN103825895A (zh) * | 2014-02-24 | 2014-05-28 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN103957201A (zh) * | 2014-04-18 | 2014-07-30 | 上海聚流软件科技有限公司 | 基于dns的域名信息处理方法、装置及系统 |
| CN104125215A (zh) * | 2014-06-30 | 2014-10-29 | 新浪网技术(中国)有限公司 | 网站域名劫持检测方法和系统 |
| CN104702605A (zh) * | 2015-03-11 | 2015-06-10 | 国家计算机网络与信息安全管理中心 | 用于内外网之间的业务的恶意代码识别方法及识别设备 |
| CN105656950A (zh) * | 2016-04-13 | 2016-06-08 | 南京烽火软件科技有限公司 | 一种基于域名的http访问劫持检测与净化装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107172006A (zh) | 2017-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10609564B2 (en) | System and method for detecting rogue access point and user device and computer program for the same | |
| US11025655B1 (en) | Network traffic inspection | |
| CN107172006B (zh) | 检测无线网络恶意性的方法及装置 | |
| CN108566656B (zh) | 一种用于检测无线网络安全的方法与设备 | |
| US8910280B2 (en) | Detecting and blocking domain name system cache poisoning attacks | |
| CN104219339A (zh) | 一种检测局域网中地址解析协议攻击的方法及装置 | |
| US10505967B1 (en) | Sensor-based wireless network vulnerability detection | |
| CN107317818B (zh) | 一种基于dns劫持技术的网络曾联探测方法 | |
| JP2008532133A (ja) | Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法 | |
| CN107493576B (zh) | 用于确定无线接入点的安全信息的方法与设备 | |
| CN104486765A (zh) | 一种无线入侵检测系统及其检测方法 | |
| CN106572464B (zh) | 无线局域网中非法ap监测方法及其抑制方法、监测ap | |
| US10498758B1 (en) | Network sensor and method thereof for wireless network vulnerability detection | |
| US20190044950A1 (en) | Detection of Compromised Access Points | |
| US10547638B1 (en) | Detecting name resolution spoofing | |
| KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
| US10601864B1 (en) | Using disposable profiles for privacy in internet sessions | |
| CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| KR20150041407A (ko) | 신뢰 액세스포인트 접속 장치 및 방법 | |
| Jin et al. | Anomaly detection by monitoring unintended dns traffic on wireless network | |
| KR101186873B1 (ko) | 시그니쳐 기반 무선 침입차단시스템 | |
| Setiadji et al. | Lightweight method for detecting fake authentication attack on Wi-Fi | |
| WO2010133634A1 (en) | Wireless intrusion detection | |
| US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |