CN107197456B - 一种基于客户端的识别伪ap的检测方法及检测装置 - Google Patents
一种基于客户端的识别伪ap的检测方法及检测装置 Download PDFInfo
- Publication number
- CN107197456B CN107197456B CN201710457735.0A CN201710457735A CN107197456B CN 107197456 B CN107197456 B CN 107197456B CN 201710457735 A CN201710457735 A CN 201710457735A CN 107197456 B CN107197456 B CN 107197456B
- Authority
- CN
- China
- Prior art keywords
- suspicious
- data frames
- user
- array
- pseudo
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种基于客户端的识别伪AP的检测方法,包括:判断待检测的无线网络环境中是否包含多个SSID相同的AP,若是,则判定所述AP为可疑AP;获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间发送的数据帧数量,以及获取第二可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数;分别计算所述第一可疑AP的每个数据帧数量与所述第二可疑AP的数据帧的总数之间的相似性,若所述相似性超过预设阈值,则判定为所述第二可疑AP为伪AP。依据本发明,用户可以独立地检测出无线局域网内伪AP的攻击,达到维护网络安全、保护用户隐私等目的,并且本发明能够在不同无线网络环境中进行实时检测。
Description
技术领域
本发明涉及网络安全、无线通信等领域,尤其涉及一种基于客户端的识别伪AP的检测方法及检测装置。
背景技术
与有线网络相比,因为无线局域网(WLAN)具有灵活性、移动性、扩展性和易于安装等优点,基于802.11的WLAN得到了广泛部署及使用。无线用户可以在家庭、酒店、咖啡馆、办公室、机场和商场等场所,方便地利用Wi-Fi接入点(AP)使智能手机、平板、笔记本电脑等移动终端连接到因特网。它利用无线电波在AP和用户的设备(如智能手机,笔记本电脑等)之间提供通信。
然而,当我们方便地利用WLAN访问因特网的资源时,它也给用户带来了巨大的安全隐患。目前,常见的无线网络攻击方式有如下几种:Evil Twin Attack(邪恶双子攻击,也叫双面恶魔攻击或钓鱼AP)、War Driving接入点映射、War Chalking(开战标记)和PacketSniffing(数据包嗅探攻击)。
其中,以邪恶双子攻击这种伪AP为例,是近几年来最严重的一种网络安全隐患,攻击者使用与合法AP相同的SSID(Service Set Identifier,服务集标识)创建一个欺诈性接入点(即伪AP)伪装成合法Wi-Fi,因为与受害者常用SSID名称一样,并且具有更强的信号,因此可以轻易欺骗受害者与之连接。建立连接后,攻击者可以替换网页,比如亚马逊付费界面替换成攻击者自制的类似界面,给受害人造成经济损失;另外也可以通过连接一定程度上的窃取受害者电脑上的信息,比如非法获取用户各种登录密码、银行卡信息等敏感信息。此种攻击难以侦查,在无线网络中,攻击者甚至只需要一台笔记本就能创建一个欺诈接入点诱使受害者连接。
目前,用于检测邪恶双子攻击的现有方法有以下几种:基于管理员的方法和基于用户的方法。基于管理员的邪恶双子攻击的检测方法,是帮助管理员来检测无线网络中是否存在邪恶双子攻击,这类方法的前提是管理员已知AP授权列表,将收集到的信息与已知的AP授权列表进行比对来检查网络中是否存在钓鱼AP。但是这种基于管理员的检测方法成本高、开销大、耗时长,最重要的是不能够为移动终端实时地检测无线网络安全,缺乏专业知识和安全意识的用户很容易受邪恶双子的攻击,导致严重的后果。基于用户的邪恶双子攻击的检测方法,是帮助无线用户来检测无线网络中是否存在邪恶双子攻击,但是无线用户资源有限并且没有授权列表,所以设计一种基于用户的方法来检测邪恶双子是非常不容易的。
因此,提出一种被动的、基于客户端的伪AP检测识别技术,已成为一个具有高度挑战性的问题,并成为无线网络安全领域的研究热点之一。
发明内容
本发明实施例所要解决的技术问题是提供一种识别伪AP的检测方法,以便监测网络安全或避免用户接入伪AP。
相应的,本发明实施例还提供了一种识别伪AP的检测装置、计算机可读存储介质及计算机程序产品,用以保证上述方法的实现及应用。
为了解决上述问题,本发明公开了一种基于客户端的识别伪AP的检测方法,所述方法包括:
判断待检测的无线网络环境中是否包含多个SSID相同的AP,若是,则判定所述AP为可疑AP;
获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间发送的数据帧数量,以及第二可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数;
分别计算所述第一可疑AP的每个数据帧数量与所述第二可疑AP的数据帧的总数之间的相似性,若所述相似性超过预设阈值,则判定所述第二可疑AP为伪AP。
进一步的,获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间发送的数据帧数量、统计第一可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数;以及在监听时间内获取第二可疑AP给每个用户在每个指定时间发送的数据帧数量、统计第二可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数。
进一步的,所述可疑AP对应的Wi-Fi为所述客户端即将指定接入的Wi-Fi,或者所述可疑AP对应的Wi-Fi为周围无线环境中所有Wi-Fi。
进一步的,所述获取可疑AP数据帧的具体步骤包括:
被动监听无线局域网络中的无线流量,捕获该无线局域网络中的802.11无线帧;
过滤掉其他终端发出的无线帧,以及过滤掉由所述可疑AP发出的管理帧、控制帧和重传的数据帧,留下所述可疑AP发出的有效数据帧;
所述可疑AP包括第一可疑AP和第二可疑AP,对每个所述可疑AP发出的有效数据帧,按照源地址以及目的地址分别进行统计,均存储在以监听时间为长度的数组中:即一个数组记录着一个所述可疑AP给一个用户在每个指定时间发送的上述有效数据帧的数量;分别统计所述可疑AP向连接它的所有用户在监听时间内的每个指定时间所发出的有效数据帧的总数,同样记录在以监听时间为长度的另一数组当中。
进一步的,所述相似性的计算方法为:
根据获取的所述有效数据帧的数组,分别计算所述第一可疑AP的每个用户的数据帧数组与所述第二可疑AP的数据帧总数的数组之间的相似性,若所述相似性超过预设阈值,则判定所述第二可疑AP为伪AP。
进一步的,所述方法还包括:
在所述获取所述可疑AP的有效数据帧数组步骤之后,根据所述有效数据帧数组绘制有效数据帧流量图;
根据所述有效数据帧流量图,分别计算每副图中的某一可疑AP总量数组曲线与另一可疑AP的每个用户统计数组曲线之间的相关系数。
进一步的,所述方法还包括:
在所述判断待检测的无线网络环境中是否包含多个SSID相同的AP步骤之前,先扫描该无线网络环境中的热点,记录扫描结果,生成Wi-Fi列表,所述Wi-Fi列表中包括服务集标识SSID、基本服务集标识BSSID和信道信息。
进一步的,所述方法还包括:当判断出第二可疑AP为伪AP后,向客户端发出警告,提示该网络不安全和/或禁止用户连入,和/或将伪AP的SSID以及MAC地址给网络管理员。
进一步的,所述方法还包括:当判断出第二可疑AP为伪AP后,提取计算该相关系数的两个MAC地址,其中一个为伪AP释放Wi-Fi信号的物理地址,另一个为伪装成普通用户连接合法AP的用户的MAC地址,结合伪AP的信号强度定位该伪AP。
根据本发明的另一方面,还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现任一上述所述的步骤。
根据本发明的另一方面,还提供一种计算机程序产品,其包括处理器可执行的程序,其特征在于,该程序被处理器执行时实现任一上述所述的步骤。
根据本发明的另一方面,还提供一种基于客户端的识别伪AP的检测装置,所述装置包括:
判断模块,用于判断待检测的无线网络环境中是否包含多个SSID相同的AP,若是,则判定所述AP为可疑AP;
获取模块,用于获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间发送的数据帧数量,以及第二可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数;
计算模块,用于分别计算所述第一可疑AP的每个数据帧数量与所述第二可疑AP的数据帧的总数之间的相似性,若所述相似性超过预设阈值,则判定所述第二可疑AP为伪AP。
依据本发明,用户可以独立地检测出无线局域网内伪AP的攻击,达到维护网络安全、保护用户隐私等目的,并且本发明能够在不同无线网络环境中进行实时检测。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种实施例的基于客户端的识别伪AP的检测方法的流程示意图。
图2为本发明另一种实施例的基于客户端的识别伪AP的检测方法的流程示意图。
图3为本发明另一种实施例的有效数据帧流量图。
图4为本发明另一种实施例的基于客户端的识别伪AP的检测装置的结构示意图。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
如图1所示,一种基于客户端的识别伪AP的检测方法,具体包括:
步骤S110,判断待检测的无线网络环境中是否包含多个SSID相同的AP,若是,则判定所述AP为可疑AP。
具体的,判断待检测的无线网络环境中是否包含多个SSID相同的AP,若否,则表明待检测的无线网络环境中不存在钓鱼风险,用户可以安全接入任一AP;若是,则说明待检测的无线网络环境中存在可疑AP,当用户接入可疑AP后会存在钓鱼风险,需要通过进一步判断来确认用户是否可以接入。
在实际应用中,每个AP都有自己对应的Wi-Fi,客户端(即用户)即将接入某一Wi-Fi之前,首先按照上述方法判断该Wi-Fi对应的AP是否为可疑AP,若是可疑AP,则先不允许客户端接入,需要进行后续步骤的进一步判断确定是否允许客户端接入;若不是可疑AP,则直接允许客户端接入此Wi-Fi。客户端即为将要接入无线局域网的无线移动终端,可以为智能手机、平板电脑或便携笔记本等配有无线网卡的移动终端。或者,客户端也可以对整个无线局域网中的所有Wi-Fi对应的AP进行伪AP的筛查。
需要说明的是,可疑AP可能是攻击者用来欺骗无线用户接入而伪装成合法AP的伪AP,比如常见的钓鱼AP。钓鱼AP通过仿照正常的AP,搭建一个钓鱼AP,然后通过对合法AP进行拒绝服务攻击或者提供比合法AP更强的信号迫使无线客户端连接到钓鱼AP。无线钓鱼AP具有两个无线网卡,其中一个无线网卡用于将钓鱼AP伪装成合法AP,释放信号,欺骗无线用户连接,进而窃取用户的敏感信息,通常,攻击者将钓鱼AP的SSID、信道、加密方式等相关信息与合法AP的相关信息配置相同;另外一个无线网卡用于伪装成合法用户连接相应的合法AP,将用户的数据转发给合法AP。在这种情况下,无线用户和合法AP都不会察觉到钓鱼AP的存在。
步骤S120,获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间发送的数据帧数量,以及第二可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数。
具体的,被动监听无线局域网络中的无线流量,捕获该无线局域网络中的802.11无线帧。由于该区域内可能有多个Wi-Fi热点覆盖,在使用抓包工具捕捉可疑AP发出的所有802.11无线帧时,可能捕获由多个无线终端发出的802.11无线帧,因此需要过滤出由可疑AP发出的所有帧,排除其他终端发出的无线帧。
需要说明的是,802.11无线帧分为三类:管理帧、控制帧和数据帧。本发明的关键是根据伪AP的转发行为来检测未知AP(正常的AP之间一般不具有转发行为)。管理帧和控制帧不具备被转发的特性,因此从上述捕获的无线帧中过滤掉其中的管理帧和控制帧,保留其中的数据帧。
为了提高检测的准确性,减小网络质量差给检测带来的影响,进一步的,可在上述数据帧中过滤掉重传的数据帧,将剩余的数据帧定义为有效数据帧,获取所述可疑AP的数据帧即指获取的有效数据帧。
当无线局域网有伪AP存在时,由于伪AP会伪装成正常AP,因此在不知道具体哪个是伪AP哪个是正常AP的情况下,将两个AP均视为可疑AP,即第一可疑AP和第二可疑AP。获取可疑AP的数据帧,即包括获取第一可疑AP给每个用户在指定间隔时间内发送的数据帧数量,以及获取第二可疑AP向连接它的所有用户在指定间隔时间内发送的数据帧总数。具体的,根据上述可疑AP发出的数据帧或有效数据帧,按照源地址以及目的地址分别进行统计,分别统计第一可疑AP发送给每个用户的有效数据帧,存储在以监听时间为长度的数组中,即一个数组记录着第一可疑AP给一个用户在每个指定时间内发送的上述有效数据帧的数量;分别统计可疑AP向连接它的所有用户在监听时间内的每个指定时间所发出的有效数据帧的总数,同样记录在以监测时间为长度的另一数组当中。其中,监听时间可为提前设置好的,比如设置在50s~70s之间,优选为60s;指定时间根据不同的无线网络也可以有不同的设置,比如设置在1秒~3秒,优选为1s。
进一步的,获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间发送的数据帧数量、统计第一可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数;以及在监听时间内获取第二可疑AP给每个用户在每个指定时间发送的数据帧数量、统计第二可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数。
步骤S130,分别计算所述第一可疑AP的每个数据帧数量与所述第二可疑AP的数据帧的总数之间的相似性,若所述相似性超过预设阈值,则判定所述第二可疑AP为伪AP。比如在监听时间内,计算第一可疑AP给某一用户在每个指定时间发送的数据帧数量与第二可疑AP向连接它的所有用户在每个指定时间所发送的数据帧总数的相似性,若相似性超过预设阈值,则判定为第二可疑AP为伪AP。又比如,在监听时间内,计算第一可疑AP向连接它的所有用户在每个指定时间所发送的数据帧总数与第二可疑AP给某一用户在每个指定时间发送的数据帧数量的相似性,若相似性超过预设阈值,则判定第一可疑AP为伪AP。
相似性的计算可以根据现有技术中的相关系数计算公式来计算,现有技术中的相关系数计算公式有很多种,比如有皮尔逊相似性公式、欧几里得距离(欧氏距离)公式、余弦相似性公式、均方差公式等,由于计算公式并不是本发明的发明点,因此在此不再过多展开赘述。
根据相关系数计算公式计算出的相似性值超过预设阈值时,则证明存在恶意的转发行为,可判断出第二可疑AP为伪AP,此时的AP或Wi-Fi存在钓鱼风险;若计算出的相似性值没有超过设定的阈值时,则证明此时的AP或Wi-Fi是正常、安全的,用户可直接接入此AP或Wi-Fi。预设阈值为提前设置好的,比如预设阈值为60%时,则表示如果计算出的相似性值大于60%,则证明待检测的Wi-Fi为伪AP搭建的恶意Wi-Fi,存在钓鱼风险。
根据本发明的实施例,无线用户在没有网络管理员的任何帮助下,使用智能手机或笔记本电脑等移动终端即可独立检测出接入无线网络是否安全,能够准确地识别出伪AP,避免了接入伪AP的风险,保证了用户隐私信息不被窃取,维护了无线网络安全。另外,本发明是一种被动的检测方法,因此,检测时它不需要连接任何Wi-Fi,也不需要已知授权列表即可完成,其检测方法简单,开销小、耗时短、成本低,并且本发明能够在不同无线网络环境中进行实时监测。
基于上述实施例的原理,对于下一实施例与上一实施例中相似的步骤不再展开描述,参见上一实施例即可,作为上一实施例的进一步改进,如图2所示,一种基于客户端的识别伪AP的检测方法,具体包括:
步骤S210,扫描WLAN中的热点,记录扫描结果,生成Wi-Fi列表。
用于扫描WLAN的设备即为将要接入无线局域网的无线移动终端,可以为智能手机、平板电脑或便携笔记本等配有无线网卡的移动终端,本领域技术人员可以根据实际情况采用任何可以采集Wi-Fi信息的设备扫描当前需要检测的无线局域网络。由于同一个区域可能由多个热点覆盖,所以Wi-Fi列表可能包含多个信道的Wi-Fi热点,一个Wi-Fi热点也可能包括多个MAC地址,如中国移动运营商提供的热点CMCC、大型连锁店提供的热点Starbucks、个人热点等。
使用将要接入无线网络的设备扫描当前无线局域网络中的Wi-Fi信号,提取相关信息,记录扫描结果,扫描结果包括服务集标识SSID、基本服务集标识BSSID和信道等。
步骤S220,客户端选择需要接入的Wi-Fi或待检测的Wi-Fi,查看该WI-Fi对应的AP是否有与其SSID相同的其他AP存在,若是,则判定具有相同SSID的所有AP均为可疑AP。
步骤S230,被动监听WLAN中的无线流量,捕获该局域网络中的802.11无线帧。
使用工具监听该无线局网络中发出的802.11无线帧,根据可疑AP的MAC地址,过滤出可疑AP发出的所有802.11无线帧。将上述无线帧根据目的地址进行统计,并将存储在统计数组中。
步骤S240,过滤并统计可疑AP的有效数据帧,包括统计第一可疑AP给每个用户在每个指定时间发送的数据帧数量,以及统计第二可疑AP向连接它的所有用户在监听时间内的每个指定时间所发送的数据帧总数。
在上述由可疑AP发出的无线帧中,过滤掉其中的管理帧和控制帧,并且过滤掉数据帧中的重传帧,得到有效数据帧;根据有效数据帧,按照每个可疑AP对应的源地址以及目的地址分别进行统计,并分别统计可疑AP向连接它的所有用户每秒发出的数据帧的总数。
步骤S250,分别计算第一可疑AP给每一用户在每个指定时间发送的数据帧数量与第二可疑AP向连接它的所有用户在每个指定时间发送的数据帧总数的相似性,若相似性超过预设阈值,则判定为第二可疑AP为伪AP。
作为上述实施例的进一步改进,在获得可疑AP的数据帧或有效数据帧的数组后,可根据获得的数组绘制有效数据帧流量图,选择两个可疑AP以及对应的上述数组,将第一可疑AP的上述总量数组以及第二可疑AP发送给它的每个用户的上述统计数组绘制有效数据帧流量图,得到的有效数据帧流量图具体如图3所示,横坐标代表监听时间(MoniteringTime),纵坐标代表有效数据帧的数量(Number of Effective Data Frame):AP1和AP2是两个可疑AP,SAP1为第一可疑AP1向连接它的所有用户在每秒发出的有效数据帧总数,AP2U1为第二可疑AP2给用户U1每秒发送的有效数据帧的数量,AP2U2为第二可疑AP2给用户U2每秒发送的有效数据帧的数量,以此类推,AP2U5为第二可疑AP2给用户U5每秒发送的有效数据帧的数量。根据有效数据帧流量图可以直观的看到,SAP1与AP2U5的相似性最高,已经完全超过了预设阈值,证明二者之间存在转发行为,可以判断出AP1为伪AP,接入AP1后会产生钓鱼风险。
当然,基于此原理,也可以将第二个可疑AP的上述总量数组以及第一个可疑AP发送给连接它的每个用户的上述统计数组绘制有效数据帧流量图,得到有效数据帧流量图。
需要说明的是,绘制有效数据帧流量图的目的在于更加直观的观察两个可疑AP之间是否存在转发行为,没有有效流量图像不会给本发明的检测带来任何实质性影响。
之后,可根据本发明的统计数组和/或有效数据帧流量图,计算每副图中可疑AP总量数组曲线与上述其他统计数组曲线之间的相关系数。
根据上述实施例的进一步改进,当判断出第二可疑AP为伪AP后,向客户端发出警告,提示该网络不安全和/或禁止用户连入,比如,警告用户该AP或Wi-Fi为伪AP或钓鱼AP,告警信息包括伪AP的SSID、MAC地址以及物理位置。
根据上述实施例的进一步改进,当判断出第二可疑AP为伪AP后,将伪AP的SSID以及MAC地址给网络管理员。
根据上述实施例的进一步改进,当判断出第二可疑AP为伪AP后,定位该AP。具体的,提取计算该相关系数的两个MAC地址,其中一个为伪AP释放Wi-Fi信号的物理地址,另一个为伪装成普通用户连接合法AP的用户的MAC地址,结合伪AP的信号强度定位该伪AP。
根据本发明的另一方面,还提供一种基于客户端的识别伪AP的检测装置,如图4所示,所述装置400包括:
判断模块410,用于判断待检测的无线网络环境中是否包含多个SSID相同的AP,若是,则判定所述AP为可疑AP;
获取模块420,用于获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间内发送的数据帧数量,以及第二可疑AP向连接它的所有用户在每个指定时间内发送的数据帧总数;
计算模块430,用于分别计算所述第一可疑AP的每个数据帧数量与所述第二可疑AP的数据帧的总数之间的相似性,若相似性超过预设阈值,则判定所述第二可疑AP为伪AP。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处请参见方法实施例的部分说明即可。
根据本发明的另一方面,还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现以下步骤:
判断待检测的无线网络环境中是否包含多个SSID相同的AP,若是,则判定所述AP为可疑AP;
获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间内发送的数据帧数量,以及第二可疑AP向连接它的所有用户在监听时间内的每个指定时间所发送的数据帧总数;
分别计算所述第一可疑AP的每个数据帧数量与所述第二可疑AP的数据帧的总数之间的相似性,若所述相似性超过预设阈值,则判定所述第二可疑AP为伪AP。
当然,该程序也可以执行基于上述任一实施例中的各个步骤。
根据本发明的另一方面,还提供一种计算机程序产品,其包括处理器可执行的程序,其特征在于,该程序被处理器执行时实现以下步骤,
判断待检测的无线网络环境中是否包含多个SSID相同的AP,若是,则判定所述AP为可疑AP;
获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间内发送的数据帧数量,以及第二可疑AP向连接它的所有用户在监听时间内的每个指定时间所发送的数据帧总数;
分别计算所述第一可疑AP的每个数据帧数量与所述第二可疑AP的数据帧的总数之间的相似性,若相似性超过预设阈值,则判定为所述第二可疑AP为伪AP。
当然,该程序也可以执行基于上述任一实施例中的各个步骤。
本发明的一种基于客户端的识别伪AP的检测方法、装置、计算机可读存储介质及计算机程序产品,适用于不同无线网络环境,包括各种伪AP伪装成合法Wi-Fi的场合,比如识别邪恶双子攻击(Evil Twin Attack)、中间人攻击、钓鱼AP等场合。本发明是一种被动的、基于客户端(即用户)的检测技术,通过该技术客户端(即用户)可以独立地检测无线局域网内伪AP的攻击(比如邪恶双子攻击),达到维护网络安全、保护用户隐私的目的,解决了现有技术中无线用户独立接入Wi-Fi热点造成的安全性问题。
需要说明的是,在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的程序模块可以是或者也可以不是物理上分开的,作为程序模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种基于客户端的识别伪AP的检测方法,所述方法包括:
判断待检测的无线网络环境中是否包含多个SSID相同的AP,若是,则判定所述AP为可疑AP;其中,所述可疑AP包括第一可疑AP和第二可疑AP;
获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间发送的数据帧数量,以及在监听时间内统计第二可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数;其中,根据上述可疑AP发出的数据帧或有效数据帧,按照源地址以及目的地址分别进行统计,均存储在以监听时间为长度的数组中:即一个数组记录着一个所述可疑AP给一个用户在每个指定时间发送的上述有效数据帧的数量;分别统计所述可疑AP向连接它的所有用户在监听时间内的每个指定时间所发出的有效数据帧的总数,同样记录在以监听时间为长度的另一数组当中;
根据获取的所述有效数据帧的数组,分别计算所述第一可疑AP的每个数据帧数组与所述第二可疑AP的数据帧的总数的数组之间的相似性,若所述相似性超过预设阈值,则判定所述第二可疑AP为伪AP;其中,相似性的计算根据相关系数计算公式计算。
2.根据权利要求1所述的一种基于客户端的识别伪AP的检测方法,其特征在于:获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间发送的数据帧数量、统计第一可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数;以及在监听时间内获取第二可疑AP给每个用户在每个指定时间发送的数据帧数量、统计第二可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数。
3.根据权利要求1所述的一种基于客户端的识别伪AP的检测方法,其特征在于:所述可疑AP对应的Wi-Fi为所述客户端即将指定接入的Wi-Fi,或者所述可疑AP对应的Wi-Fi为周围无线环境中所有Wi-Fi。
4.根据权利要求1所述的一种基于客户端的识别伪AP的检测方法,其特征在于,所述获取可疑AP数据帧的具体步骤包括:
被动监听无线局域网络中的无线流量,捕获该无线局域网络中的802.11无线帧;
过滤掉其他终端发出的无线帧,以及过滤掉由所述可疑AP发出的管理帧、控制帧和重传的数据帧,留下所述可疑AP发出的有效数据帧;
对每个所述可疑AP发出的有效数据帧,按照源地址以及目的地址分别进行统计,均存储在以监听时间为长度的数组中:即一个数组记录着一个所述可疑AP给一个用户在每个指定时间发送的上述有效数据帧的数量;分别统计所述可疑AP向连接它的所有用户在监听时间内的每个指定时间所发出的有效数据帧的总数,同样记录在以监听时间为长度的另一数组当中。
5.根据权利要求4所述的一种基于客户端的识别伪AP的检测方法,其特征在于,所述方法还包括:
在所述获取所述可疑AP的有效数据帧数组步骤之后,根据所述有效数据帧数组绘制有效数据帧流量图;
根据所述有效数据帧流量图,分别计算每副图中的某一可疑AP总量数组曲线与另一可疑AP的每个用户统计数组曲线之间的相关系数。
6.根据权利要求1所述的一种基于客户端的识别伪AP的检测方法,其特征在于,所述方法还包括:
在所述判断待检测的无线网络环境中是否包含多个SSID相同的AP步骤之前,先扫描该无线网络环境中的热点,记录扫描结果,生成Wi-Fi列表,所述Wi-Fi列表中包括服务集标识SSID、基本服务集标识BSSID和信道信息。
7.根据权利要求1所述的一种基于客户端的识别伪AP的检测方法,其特征在于,所述方法还包括:当判断出第二可疑AP为伪AP后,向客户端发出警告,提示该网络不安全和/或禁止用户连入,和/或将伪AP的SSID以及MAC地址给网络管理员。
8.根据权利要求1所述的一种基于客户端的识别伪AP的检测方法,其特征在于,所述方法还包括:
当判断出第二可疑AP为伪AP后,提取计算该相关系数的两个MAC地址,其中一个为伪AP释放Wi-Fi信号的物理地址,另一个为伪装成普通用户连接合法AP的用户的MAC地址,结合伪AP的信号强度定位该伪AP。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-8任一权利要求所述的方法。
10.一种基于客户端的识别伪AP的检测装置,所述装置包括:
判断模块,用于判断待检测的无线网络环境中是否包含多个SSID相同的AP,若是,则判定所述AP为可疑AP;其中,所述可疑AP包括第一可疑AP和第二可疑AP;
获取模块,用于获取所述可疑AP的数据帧,包括在监听时间内获取第一可疑AP给每个用户在每个指定时间发送的数据帧数量,以及在监听时间内统计第二可疑AP向连接它的所有用户在每个指定时间所发送的数据帧的总数;其中,根据上述可疑AP发出的数据帧或有效数据帧,按照源地址以及目的地址分别进行统计,均存储在以监听时间为长度的数组中:即一个数组记录着一个所述可疑AP给一个用户在每个指定时间发送的上述有效数据帧的数量;分别统计所述可疑AP向连接它的所有用户在监听时间内的每个指定时间所发出的有效数据帧的总数,同样记录在以监听时间为长度的另一数组当中;
计算模块,用于根据获取的所述有效数据帧的数组,分别计算所述第一可疑AP的每个数据帧数组与所述第二可疑AP的数据帧的总数的数组之间的相似性,若所述相似性超过预设阈值,则判定所述第二可疑AP为伪AP;其中,相似性的计算根据相关系数计算公式计算。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710457735.0A CN107197456B (zh) | 2017-06-16 | 2017-06-16 | 一种基于客户端的识别伪ap的检测方法及检测装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710457735.0A CN107197456B (zh) | 2017-06-16 | 2017-06-16 | 一种基于客户端的识别伪ap的检测方法及检测装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107197456A CN107197456A (zh) | 2017-09-22 |
| CN107197456B true CN107197456B (zh) | 2020-06-02 |
Family
ID=59879798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710457735.0A Active CN107197456B (zh) | 2017-06-16 | 2017-06-16 | 一种基于客户端的识别伪ap的检测方法及检测装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107197456B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107896372A (zh) * | 2017-11-07 | 2018-04-10 | 河南溯源通信科技有限公司 | 一种钓鱼热点检测方法、装置与路由器 |
| CN108540979A (zh) * | 2018-04-04 | 2018-09-14 | 北京邮电大学 | 基于指纹特征的伪ap检测方法及装置 |
| CN110475274B (zh) * | 2018-05-09 | 2022-12-06 | 北京智慧图科技有限责任公司 | 一种移动定位技术中异常ap的识别方法 |
| CN110213761B (zh) * | 2019-05-27 | 2020-06-02 | 中国海洋大学 | 基于双向syn反射的多模型伪ap检测方法及检测装置 |
| CN112312519B (zh) * | 2019-07-31 | 2022-12-27 | 华为技术有限公司 | 一种设备识别的方法及相关装置 |
| CN110831009B (zh) * | 2019-11-14 | 2023-08-11 | 深圳市吉祥腾达科技有限公司 | 一种无线ap防无线dos攻击的测试方法及测试系统 |
| CN111542083B (zh) * | 2020-03-24 | 2023-10-20 | 浙江中烟工业有限责任公司 | 一种通过工业无线网空口采集和分析的方法 |
| CN113411809B (zh) * | 2021-07-30 | 2023-03-17 | 浙江大华技术股份有限公司 | 防接入伪ap和ap劫持的方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105472621A (zh) * | 2015-12-03 | 2016-04-06 | 西北大学 | 一种基于rssi的伪ap检测方法 |
| CN105657713A (zh) * | 2016-03-25 | 2016-06-08 | 珠海网博信息科技股份有限公司 | 一种伪ap检测阻断方法、无线装置及路由器 |
| EP3070970A1 (en) * | 2015-03-20 | 2016-09-21 | Samsung Electronics Co., Ltd. | Detection of rogue access points |
| CN106060830A (zh) * | 2016-08-11 | 2016-10-26 | 努比亚技术有限公司 | 一种伪基站识别方法、装置及终端 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102480729B (zh) * | 2010-11-22 | 2015-11-25 | 中兴通讯股份有限公司 | 无线接入网中防止假冒用户的方法及接入点 |
| US9404993B2 (en) * | 2014-07-30 | 2016-08-02 | Aruba Networks, Inc. | System and methods for information collection and processing for location estimation in MIMO wireless networks |
| US9628994B1 (en) * | 2015-12-30 | 2017-04-18 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Statistical system and method for catching a man-in-the-middle attack in 3G networks |
| CN106028331B (zh) * | 2016-07-11 | 2020-03-10 | 华为技术有限公司 | 一种识别伪基站的方法及设备 |
| CN106255119A (zh) * | 2016-09-13 | 2016-12-21 | 宇龙计算机通信科技(深圳)有限公司 | 伪基站消息识别方法及系统 |
-
2017
- 2017-06-16 CN CN201710457735.0A patent/CN107197456B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3070970A1 (en) * | 2015-03-20 | 2016-09-21 | Samsung Electronics Co., Ltd. | Detection of rogue access points |
| CN105472621A (zh) * | 2015-12-03 | 2016-04-06 | 西北大学 | 一种基于rssi的伪ap检测方法 |
| CN105657713A (zh) * | 2016-03-25 | 2016-06-08 | 珠海网博信息科技股份有限公司 | 一种伪ap检测阻断方法、无线装置及路由器 |
| CN106060830A (zh) * | 2016-08-11 | 2016-10-26 | 努比亚技术有限公司 | 一种伪基站识别方法、装置及终端 |
Non-Patent Citations (5)
| Title |
|---|
| Active User-Side Evil Twin Access Point Detection Using Statistical Techniques;Chao Yang , Yimin Song ,Guofei Gu;《IEEE Transactions on Information Forensics and Security》;20121231;全文 * |
| Online Detection of Fake Access Points using Received Signal Strengths;Taebeom Kim, Haemin Park, Hyunchul Jung, Heejo Lee;《2012 IEEE 75th Vehicular Technology Conference (VTC Spring)》;20121231;全文 * |
| 基于信标序列伪AP检测方法;胡冰,易平;《电子测量技术》;20170430;第40卷(第4期);全文 * |
| 基于设备指纹的无线钓鱼接入点识别方法研究;夏国卿;《计算机技术与发展》;20150131;全文 * |
| 无线接入点钓鱼攻击与检测设计;李云颂;《硕士学位论文》;20170228;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107197456A (zh) | 2017-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107197456B (zh) | 一种基于客户端的识别伪ap的检测方法及检测装置 | |
| US10834596B2 (en) | Method for blocking connection in wireless intrusion prevention system and device therefor | |
| US9781137B2 (en) | Fake base station detection with core network support | |
| JP5682083B2 (ja) | 疑わしい無線アクセスポイントの検出 | |
| CN105681272B (zh) | 一种移动终端钓鱼WiFi的检测与抵御方法 | |
| Agarwal et al. | An efficient scheme to detect evil twin rogue access point attack in 802.11 Wi-Fi networks | |
| US20070186276A1 (en) | Auto-detection and notification of access point identity theft | |
| CN110213761B (zh) | 基于双向syn反射的多模型伪ap检测方法及检测装置 | |
| MXPA05002559A (es) | Sistema y metodo para monitorear redes inalambricas de forma remota. | |
| US10055581B2 (en) | Locating a wireless communication attack | |
| US20140130155A1 (en) | Method for tracking out attack device driving soft rogue access point and apparatus performing the method | |
| CN107995626B (zh) | 一种用于识别无线局域网中wifi信号安全类别的方法和装置 | |
| CN106961683B (zh) | 一种检测非法ap的方法、系统及发现者ap | |
| CN104270366B (zh) | 检测karma攻击的方法及装置 | |
| CN106572464B (zh) | 无线局域网中非法ap监测方法及其抑制方法、监测ap | |
| US11240136B2 (en) | Determining attributes using captured network probe data in a wireless communications system | |
| WO2008001972A1 (en) | Method for proactively preventing wireless attacks and apparatus thereof | |
| KR102323712B1 (ko) | Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법 | |
| CN101540667A (zh) | 无线局域网中的通信干扰方法和设备 | |
| GB2508166A (en) | Intrusion Prevention and Detection before the MAC layer in a Wireless Device | |
| CN106878992B (zh) | 无线网络安全检测方法和系统 | |
| Lovinger et al. | Detection of wireless fake access points | |
| CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
| Khasanova | Detection of attacks on Wi-Fi access points | |
| Lu et al. | Client-side evil twin attacks detection using statistical characteristics of 802.11 data frames |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |