CN107852410B - 剖析欺骗接入点 - Google Patents
剖析欺骗接入点 Download PDFInfo
- Publication number
- CN107852410B CN107852410B CN201680042571.9A CN201680042571A CN107852410B CN 107852410 B CN107852410 B CN 107852410B CN 201680042571 A CN201680042571 A CN 201680042571A CN 107852410 B CN107852410 B CN 107852410B
- Authority
- CN
- China
- Prior art keywords
- access point
- network access
- profile
- parameter set
- observed parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/20—Selecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
- H04W88/10—Access point devices adapted for operation in multiple networks, e.g. multi-mode access points
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
各个方面包括用于对包括控制第一无线接入技术(RAT)和第二RAT的调制解调器的移动通信设备的接入点进行剖析的方法。设备调制解调器可以与潜在网络接入点建立第一级别通信,并且通过第一级别通信获得潜在网络接入点的第一观测参数集合。调制解调器可以确定潜在网络接入点的第一观测参数集合是否与针对网络接入点的预期参数相匹配;以及响应于确定第一观测参数集合与网络接入点的预期参数匹配,与潜在网络接入点建立第二级别通信。
Description
背景技术
诸如蜂窝电话和平板电脑的移动通信设备可以连接到各种不同的网络以获取语音和数据服务。移动通信设备可以连接到网络接入点以获得对通信网络的接入。网络接入点(接入点)是便于设备和更广阔的网络(例如互联网)之间的有线或无线连接的设备。例如,移动通信设备可以连接到热点接入点以便连接到互联网。接入点可包括位于家庭内的个人接入点、用于提供对企业网络(例如内部商业网络)的接入的企业接入点,以及供普通公众使用的公共接入点(例如,图书馆、机场或咖啡店热点)。
随着网络接入点的普及性增加,遇到欺骗接入点的风险也在增加。欺骗接入点是伪装成合法接入点但由恶意实体或个人控制的接入点。欺骗接入点通常伪装成可信接入点,以欺骗用户连接到欺骗接入点,例如通过使用类似于可信接入点名称的接入点名称。当移动通信设备上的用户连接到欺骗接入点时,欺骗接入点能够从用户获得个人信息(例如,按键、信用卡信息、登录凭证),从移动通信设备重定向统一资源定位符(URL)请求,安装恶意软件和/或采取其他损害移动通信设备或用户的负面行为。用户可能长时间没有认识到计算设备连接到欺骗接入点。能够用于检测欺骗接入点的软件或应用程序通常要求移动通信设备首先连接到欺骗接入点。这意味着在检测到欺骗接入点并断开连接之前,移动通信设备,尤其是高级操作系统和应用程序,在一段时间中暴露于欺骗接入点。另外,监视欺骗接入点可能消耗移动通信设备的大量电池电量。
发明内容
各个方面包括实现用于以下内容的方法的方法和移动通信设备:对包括控制第一无线接入技术(RAT)和第二RAT的调制解调器的移动通信设备的接入点进行剖析。各个方面可以包括由调制解调器与潜在网络接入点建立第一级别通信,由调制解调器通过第一级别通信获得潜在网络接入点的第一观测参数集合,由调制解调器确定潜在网络接入点的第一观测参数集合是否与针对网络接入点的预期参数相匹配,以及响应于确定第一观测参数集合与网络接入点的预期参数匹配,由调制解调器与潜在网络接入点建立第二级别通信。
在一些方面,第一级别通信可以包括仅在调制解调器和潜在网络接入点之间的通信,以及第二级别通信可以包括在移动通信设备上执行的应用程序或操作系统和潜在网络接入点之间的通信。在一些方面,该方法还可以包括:响应于确定第一观测参数集合与网络接入点的预期参数不匹配,由调制解调器限制对潜在网络接入点的接入。
在一些方面,该方法还可以包括:由调制解调器通过第二级别通信获得潜在网络接入点的第二观测参数集合,由调制解调器确定第二观测参数集合是否与网络接入点的预期参数相匹配,以及响应于确定第二观测参数集合与网络接入点的预期参数匹配,由所述调制解调器与所述潜在网络接入点建立第三级别通信。在这样的方面,通过第二级别通信获得潜在网络接入点的第二观测参数集合可以由潜在网络接入点进行的行为改变来触发。在这样的方面,该方法还可以包括:响应于确定第二观测参数集合与网络接入点的预期参数不匹配,由调制解调器限制对潜在网络接入点的接入。
在一些方面,该方法还可以包括由调制解调器从存储用于不同网络接入点的预期参数的多个简档的简档数据库中存取针对网络接入点的预期参数,以及确定第一观测参数集合是否与针对网络接入点的预期参数相匹配还可以包括基于潜在网络接入点的标识符从多个简档中选择第一简档,以及将第一观测参数集合与在第一简档中的相应预期参数集合进行比较。在这样的方面,该方法还可以包括由调制解调器基于第一观测参数集合来更新简档数据库。在这样的方面,简档数据库可以被存储在移动通信设备上。
在一些方面,用于网络接入点的预期参数可以包括环境特性、响应延迟、处理时间接入点名称、往返时间、速率切换模式、安全配置、防火墙配置、网络接入配置、支持的技术、操作参数、信道特性、环境特性、响应延迟、处理时间和运行时间中的至少一个。在一些方面,第一RAT被配置为与广域网通信,并且第二RAT被配置为与局域网通信,并且可以使用第一RAT来维持与广域无线网络的通信,至少直到经由第二RAT与潜在网络接入点建立第二级别通信为止,并且调制解调器可以使用第二RAT以通过第一级别通信获得潜在网络接入点的第一观测参数集合。
在一些方面,该方法还可以包括:由调制解调器基于获得的潜在网络接入点的第一观测参数集合生成行为向量,并且其中,由调制解调器确定潜在网络接入点的第一观测参数集合是否与针对网络接入点的预期参数相匹配可以包括将行为向量应用于基于针对网络接入点的预期参数的分类器模型。
各个方面还包括具有射频(RF)资源和耦合到RF资源的调制解调器,并配置有处理器可执行指令以执行本文所述的方法的操作的移动通信设备。各个方面包括具有用于执行本文所述的方法的功能的单元的移动通信设备。各个方面包括其上存储有处理器可执行指令的非暂时性处理器可读存储介质,该处理器可执行指令被配置为使得移动通信设备的调制解调器执行本文所述的方法的操作。
附图说明
并入本文并构成本说明书的一部分的附图示出了示例性方面,并且与以上给出的一般性描述和下面给出的具体实施方式一起用于解释所公开的系统和方法的特征。
图1是适用于各个方面的移动电话网络的通信系统方块图。
图2A是根据各个方面的实现用于分析无线接入点的行为分析系统的移动通信设备的功能方块图。
图2B是根据各个方面的用于分析无线接入点的行为分析系统的功能方块图。
图2C是示出根据各个方面的用于使用行为分析系统来分析无线接入点的操作序列的另一功能方块图。
图3是根据各个方面存储的网络接入点简档数据库的示例。
图4A-4C是示出根据各个方面的潜在网络接入点的剖析的图。
图5是示出根据各个方面的用于剖析针对移动通信设备的接入点的方法的过程流程图。
图6是示出根据各个方面的用于将潜在网络接入点的观测参数与简档数据库进行比较的方法的过程流程图。
图7是适合于实现一些方面的方法的移动通信设备的组件方块图。
具体实施方式
将参考附图详细描述各个方面。只要可能的情况下,在整个附图中将使用相同的附图标记来指代相同或相似的部分。对特定示例和实施方式进行参考是为了说明的目的,而并非旨在限制书面描述或权利要求的范围。
如本文中所使用的,术语“移动通信设备”、“通信设备”或“移动设备”是指蜂窝电话、智能电话、个人或移动多媒体播放器、个人数据助理、膝上型计算机、平板电脑、智能书籍、掌上电脑、无线电子邮件接收机、支持多媒体互联网的蜂窝电话、无线游戏控制器,以及包括用于连接到具有一个或多个共享RF资源的一个或多个移动通信网络的可编程处理器、存储器和电路的类似的个人电子设备中的任何一个或全部。各种方面在诸如智能电话的移动通信设备中可能是有用的,其通过其移动性可能在一天中遇到几个无线接入点,因此这样的设备在各个方面的描述中被引用。
随着越来越多的人利用移动通信设备经由诸如WiFi“热点”的无线接入点连接到诸如互联网的无线网络,欺骗接入点是越来越多的问题。欺骗接入点可以是无线设备,诸如耦合到这种无线设备的WiFi路由器和/或计算设备,其模拟正常接入点的行为。例如,欺骗接入点可以将自己作为接入点广播到附近的各种设备,并欺骗或模仿合法接入点。当用户通过欺骗接入点连接到网络时,欺骗接入点可能就像移动通信设备和网络之间的恶意中间层一样进行动作。欺骗接入点采取的行动可以包括URL重定向、在移动通信设备上安装恶意软件、以及窃取个人和设备信息。用户可能长时间不知道他们正在使用恶意接入点(如果真的发生的话)。
当前欺骗接入点检测通常包括连续监视接入点或网络业务,或者使用可信第三方验证通信的方法。另外,移动通信设备上的应用程序可以被用来监视接入点。然而,这些方法可能消耗移动通信设备上的大量电池电量,并且通常需要移动通信设备在监视开始之前首先连接到接入点。优选地是,在连接到欺骗接入点之前能够检测欺骗接入点,同时还节省移动通信设备上的电池电量。
总的来说,各个方面提供了利用移动通信设备的调制解调器处理器实现的方法来检测欺骗接入点并采取纠正措施。根据各个方面的移动通信设备可以包括控制两种或更多种无线接入技术(RAT)的一个或多个调制解调器。第一RAT可以被配置为通过包括诸如第三代(3G)、第四代(4G)、长期演进(LTE)、时分多址(TDMA)、频分多址(FDMA)、码分多址(CDMA)、宽带CDMA(WCDMA)、全球移动通信系统(GSM)和通用移动通信系统(UMTS)的蜂窝网络技术的无线广域网(WWAN)进行通信。第二RAT可以被配置为通过诸如热点或其他本地化网络接入点的无线局域网(WLAN)进行通信。在各个方面,移动通信设备可以利用第一RAT经由WWAN进行通信,同时经由第二RAT递增地评估无线接入点。以这种方式,可以以分等级剖析方法评估接入点而无需完全连接,同时移动通信设备能够经由WWAN进行通信。在一些方面,所述方法可以在调制解调器片上系统(SoC)内实现,从而在移动通信设备处于低功率模式时能够评估接入点。在一些方面,可以通过生成观测到的接入点活动和行为的行为向量并将该行为向量应用于接入点行为分类模型来评估接入点。
在各个方面,移动通信设备可以访问简档数据库,该简档数据库包括对应于多个可信网络接入点的多个简档。简档数据库可以被存储在移动通信设备上,或者可以被存储在移动通信设备可访问的远程服务器上。每个简档可以包括与特定网络接入点相关联的多个预期参数。这些参数定义了已知网络接入点的预期特性或行为,并且可以用于唯一地识别网络接入点。因此,欺骗接入点可以是与可信接入点可区分的,因为欺骗接入点不能模仿可信接入点的所有预期参数。参数可以从移动通信设备与可信接入点的先前交互中获得,或者可以由聚合来自多个设备的参数信息的远程服务器获得。参数可以包括但不限于:接入点名称、接入点的运行时间、从设备发送的请求与来自接入点的响应之间的往返时间、速率切换模式、安全配置(例如,实现的加密或散列函数)、防火墙或网络接入配置(例如,开放端口、非军事区(DMZ)使用、默认网关、互联网协议(IP)地址子网、网络地址转换方案、到特定服务器的路径信息(希望计数、延迟路由))、支持的技术(例如801.11a/b/g/n/ac)、操作参数(例如,短帧间间隔、分布式帧间间隔、最大重试次数、前导码大小、最大协议数据单元大小、多协议数据单元支持、Wmin、Wmax)以及信道或环境特性(例如,基本服务集负载、信道负载、错误率、吞吐量、相邻接入点或WWAN的身份、位置信息、对客户端请求和消息的AP响应时间)。
移动通信设备的调制解调器处理器可以识别设备的潜在网络接入点。调制解调器可以建立潜在网络接入点与第二RAT之间的第一级别通信。第一级别通信可以独立于高级操作系统或在移动通信设备上执行的任何应用程序来进行。这隔离了移动通信设备和潜在网络接入点之间的交互。换言之,调制解调器处理器和第二RAT可以在首先与潜在网络接入点进行通信时,将其自身与设备的其余部分隔离。这防止了在确定接入点是否能够被信任之前,潜在接入点从移动通信设备中较高级别的软件接收业务。由于不使用移动通信设备的更高级别组件,因此还可以减少所消耗的功率。第一级别通信可以是有限级别的通信,例如完全被动接收来自潜在网络接入点的信息广播或请求关于潜在网络接入点的某些特定信息。
调制解调器处理器可以通过第一级别通信获得潜在网络接入点的观测参数集合。观测参数集合可以是存储在简档数据库中的预期参数的子集。然后调制解调器处理器可以确定从潜在网络接入点获得的观测参数集合是否与简档数据库中的简档的对应预期参数匹配。换言之,可以使用观测参数来确定潜在网络接入点是否具有在简档数据库中的可信接入点或可信接入点类别的预期特征。简档数据库可以通过用于每个接入点或接入点类别的唯一标识符来索引,诸如介质访问控制(MAC)地址。观测参数和预期参数的比较可以包括将每个观测参数的值与存储在简档数据库中的预期值或预期值的范围进行比较。该比较还可以包括基于观测参数与预期参数的匹配程度来生成风险或信任指示符,例如通过将观测参数和预期参数转换成本征向量形式并且使用矩阵乘法来导出表示风险或信任指示符的本征值。指示符可以与门限值进行比较以确定潜在网络接入点是否足够可信。
当发现匹配时,调制解调器处理器可以建立潜在网络接入点与第二RAT之间的第二级别通信。换言之,在调制解调器使用第一级别通信来验证潜在网络接入点的特定信任级别之后,调制解调器可以随后使用第二RAT(例如,配置用于WLAN通信的RAT)来开放通信。第二级别通信可以涉及除了调制解调器之外在移动通信设备上执行的操作系统和应用程序。调制解调器处理器还可以利用观测参数来更新简档数据库,例如以获得数字参数的更新范围或平均值。
调制解调器处理器可以通过第二级别通信从潜在网络接入点获得更多的观测参数,并且再次将观测参数与简档数据库中的对应简档进行比较。如果观测参数仍然与预期参数匹配,则调制解调器处理器可以保持第二级别通信或移动到第三级别、更高级别通信。以这种方式,如果接入点继续如根据简档数据库所预期的那样表现,则调制解调器处理器可以实现分等级剖析方法,其中允许与潜在网络接入点的更高通信级别。另外,由于调制解调器处理器仅与潜在网络接入点建立第一级别通信以验证其为可信的,所以在较低的信任等级消耗更少的电池电量。
如果在任何时间潜在网络接入点的观测参数与简档数据库中的预期参数不匹配,则调制解调器可以采取步骤来限制对潜在网络接入点的接入。例如,调制解调器处理器可以将潜在网络接入点列入黑名单,可以防止高级操作系统和应用程序接入潜在网络接入点,如果已经连接,则可以与潜在网络接入点断开连接,可以阻塞到潜在网络接入点的或来自潜在网络接入点的通信或其它保护措施。
在一方面,接入点的观测和分类可以在移动通信设备的处理器内实现的行为分析系统内完成,例如在调制解调器SoC内。移动通信设备的处理器可以配置有行为分析系统,该系统可以包括行为观测器模块和行为分析器模块,其中,行为观测器模块和/或行为分析器被配置为观测和分析接入点的行为。行为观测器模块可以被配置为观测与接入点的交互的行为(例如,消息传送、指令、数据转换、通信频率等),诸如经由剖析引擎,以便监视接入点的行为(例如,活动、状况、操作和事件)。行为观测器模块可以收集关于被观测模块的行为信息并且可以将收集到的信息存储在存储器(例如,在日志文件中等)中,并且行为提取器可以将动作日志转换成行为向量。在各个方面,分析器模块可以将生成的行为向量应用于分类器模型,以对被观测接入点的行为进行分类,例如接入点是合法的还是行为异常的。
每个行为向量可以是包括或封装一个或多个特征的数据结构或信息结构。行为向量可以包括表示所观测的观测到的接入点行为的全部或一部分的抽象数字或符号。每个特征可以与以下内容相关联:标识可能值的范围的数据类型、可以对这些值执行的操作、值的含义以及其他类似信息。数据类型可用于确定应当如何测量、分析、加权或使用相应的特征(或特征值)。行为向量的大小可以是“n”,其将观测器实时数据映射到n维空间中。行为向量中的每个数字或符号(即,由向量存储的“n”个值中的每一个值)可以表示接入点行为的特征的值。
观测器模块可以通过将行为向量应用于接入点分类器模型来分析行为向量。分类器模型可以是包括数据、条目、决策节点、决策标准和/或信息结构的行为模型,该行为模型可以被设备处理器用于快速且有效地测试或评估实时数据中的行为特征。
各个方面可以在各种通信系统100内实现,诸如至少两个移动电话网络,其示例在图1中示出。第一移动网络102和第二移动网络104通常各包括多个蜂窝基站(例如,第一基站130和第二基站140)。第一移动通信设备110可以通过到第一基站130的蜂窝连接132与第一移动网络102进行通信。第一移动通信设备110也可以通过到第二基站140的蜂窝连接142与第二移动网络104进行通信。第一基站130可以通过有线连接134与第一移动网络102进行通信。第二基站140可以通过有线连接144与第二移动网络104进行通信。
第二移动通信设备120可以类似地通过到第一基站130的蜂窝连接132与第一移动网络102进行通信。第二移动通信设备120还可以通过到第二基站140的蜂窝连接142与第二移动网络104进行通信。蜂窝连接132和142可以通过诸如4G、3G、CDMA、TDMA、WCDMA、GSM和其它移动电话通信技术的双向无线通信链路来进行。
尽管移动通信设备110、120被示为连接到第一移动网络102并且可选地连接到第二移动网络104,但是在一些方面(未示出),移动通信设备110、120可以包括对两个或更多个移动网络的两个或者更多个订阅,并且可以以类似于上述的方式连接到那些订阅。
在一些方面,第一移动通信设备110可以可选地与结合第一移动通信设备110使用的外围设备150建立无线连接152。例如,第一移动通信设备110可以通过链路与支持蓝牙的个人计算设备(例如“智能手表”)进行通信。在一些方面,第一移动通信设备110可以可选地例如通过Wi-连接与无线接入点160建立无线连接162。无线接入点160可以被配置为通过有线连接166连接到互联网164或另一网络。
虽然未示出,但是第二移动通信设备120可以类似地被配置为通过无线链路与外围设备150和/或无线接入点160连接。
如图2A所示,可以使用在无线通信设备内执行的行为分析系统200来实现各个方面。在一方面,行为分析系统200可以在可以包括应用处理器204、Wi-Fi处理器206和调制解调器处理器208的片上系统(SOC)202内实现。应用处理器204(或者无线通信设备内的任何其他处理器)可以实现行为分析模块210,该行为分析模块210可以在应用处理器204内执行的软件中实现,在应用处理器204内或耦合到应用处理器204的硬件中实现,或者在硬件和软件模块的混合体内实现。如所描述的,行为分析模型可以监视Wi-Fi处理器206在与无线接入点交互时的活动,这可以包括监视读取操作、正确操作和应用程序接口(API)调用。行为分析模块210还可以被配置为与被配置为与WWAN通信的调制解调器处理器208交互,包括监视读取操作和API调用。
行为分析模块210可以访问简档数据库212,简档数据库212包括无线接入点的各种个体和类型/模型的简档,包括这些无线接入点的预期行为和活动。在一方面,简档数据库212可以包括多个行为分类模块,该行为分类模块可以是特定Wi-Fi接入点特有的或定制的(例如,接入点的特定型号/模型的模型,通过随着时间评估特定接入点生成的模型等)。
图2B示出了在诸如应用处理器204、Wi-Fi处理器206或调制解调器处理器208的处理器内执行的行为分析模块210的一方面中的示例性逻辑组件和信息流,该处理器被配置为使用行为分析技术来根据各个方面表征接入点的行为。可以通过配置有行为分析模块210的可执行指令模块的设备或调制解调器处理器来观测和分析接入点的行为,该行为分析模块210包括行为观测器模块212、特征提取器模块214、分析器模块216和行为表征模块218。
在各个方面,行为分析模块210的全部或部分可以被实现为行为观测器模块212、特征提取器模块214或分析器模块216的一部分。模块212-218中的每一个模块可以是以软件、硬件或其组合实现的线程、进程、守护进程、模块、子系统或组件。在各个方面,模块212-218可以在调制解调器处理器或操作系统的一部分内(例如,在内核内、在内核空间中、在用户空间中等)实现,在单独的程序或应用程序内、在调制解调器SoC内的专用硬件缓存器或处理器或其任何组合内实现。在一方面,模块212-218中的一个或多个模块可以被实现为在调制解调器的一个或多个处理器(例如,在WiFi处理器206上)上执行的软件指令。
行为表征模块218可以被配置为:表征接入点的行为,基于观测到的模块的行为生成至少一个行为模型,将观测到的行为与行为模型进行比较,聚合由其他观测器模块进行的被观测模块的行为与相应行为模型的比较,以及基于聚合的比较来确定被观测模块是否行为异常。行为表征模块218可以使用由行为观测器模块212收集的信息来确定被观测接入点的行为,并且使用任何或所有这样的信息来表征被观测接入点的行为。
行为观测器模块212可以被配置为基于通过到接入点的通信链路观测到的消息、存储器存取、数据变换、活动、条件、操作、事件和其他接入点行为来观测被观测接入点的行为。
行为观测器模块212可以将所收集的观测到的行为数据传送(例如,经由存储器写入操作、函数调用等)到特征提取器模块214。特征提取器模块214可以被配置为从日志文件接收或提取观测到的行为数据并使用该信息来生成一个或多个行为向量。每个行为向量可以在数值或向量数据结构中简洁地描述观测到的行为数据。在一些方面,向量数据结构可以包括一系列数字,每个数字表示行为观测器模块212收集的实时数据的部分或完整表示。
在一些方面,特征提取器模块214可以被配置为从由行为观测器模块212生成的日志文件生成行为向量。行为向量可以用作使得行为分析系统(例如,分析器模块216)能够快速鉴别、识别或分析实时接入点活动和行为数据的标识符。在一方面,特征提取器模块214可以被配置为生成大小为“n”的行为向量,其中的每一个行为向量将实时接入点活动和行为数据映射到n维空间中。在一方面,特征提取器模块214可以被配置为生成行为向量以包括可以被输入到行为表征模块218中的特征/决定节点的信息,以生成对关于接入点活动和行为数据的一个或多个特征的查询的答案来表征接入点的行为。
特征提取器模块214可以将所生成的行为向量(例如,经由存储器写入操作、函数调用等)传送到分析器模块216。分析器模块216可以被配置为将行为向量应用于分类器模型以表征所观测到的接入点的行为,诸如观测到的行为是指示接入点是合法的、非法的还是异常的。
分类器模型可以是包括可用于评估接入点活动的特定特征或方面的数据和/或信息结构(例如,本征向量、行为向量、组件列表等)的行为模型。分类器模型还可以包括用于监视多个接入点活动消息、状态、条件、行为、过程、操作等(在本文中统称为“特征”)的判定标准。分类器模型可以预先安装在计算设备上,从网络服务器下载或接收,在观测器模块中生成,或其任何组合。分类器模型可以通过使用行为建模技术、机器学习算法或生成分类器模型的其他方法来生成。
在一些方面,可以使用特定于接入点的某些模型或位置的分类器模型,该分类器模型是包括所关注数据模型的分类器模型,该所关注数据模型仅包括/测试被确定为与评估特定接入点的行为最相关的接入点特定的特征/条目。
在一方面,分析器模块216可以被配置为调整分析器模块评估的接入点的特征的细节的粒度或水平,特别是当接入点行为的分析特征是不确定的时。例如,分析器模块216可以被配置为响应于确定它不能表征接入点的行为而通知行为观测器模块212。作为响应,行为观测器模块212可以基于从分析器模块216发送的通知(例如,基于观测到的行为特征的分析结果的通知)来改变被监视的因素或行为和/或调整其观测的粒度(即,观测所观测到的行为的细节的水平和/或频率)。
行为观测器模块212还可以观测新的或附加的行为,并且将新的/附加的观测到的行为数据发送到特征提取器模块214和分析器模块216以用于进一步的分析/分类。行为观测器模块212和分析器模块216之间的这种反馈通信可以使行为分析模块210能够递归地增加观测的粒度(即,进行更详细的和/或更频繁的观测)或改变观测的实时数据直到分析器模块能够在可靠性范围内或达到门限级别的可靠性地评估和表征接入点的行为为止。这样的反馈通信还可以使得行为分析模块210能够调整或者修改行为向量和分类器模型而不消耗过量的处理、存储器或者能量资源。
在各个方面,分类器模型可以是基于接入点行为的特定特征的增强决策树桩集合。增强决策树桩是一级决策树,它可以只有一个节点(即一个测试问题或测试条件)和权重值,并且可以适合用于数据/行为的轻量、非处理器密集型二元分类。将行为向量应用于增强决策树桩可以导致二元答案(例如,1或0,是或否等)。例如,由增强决策树桩测试的问题/条件可以包括由设备麦克风检测到的词语或声音是否是RF敏感环境的特性,或者设备相机捕获的另一设备的图像是否可被识别为RF发射生成的危害,其答案可以是二元的。增强决策树桩是有效的,因为它们不需要大量的处理资源来生成二元答案。增强决策树桩也可以是高度并行化的。并因此,可以并行/同时地(例如,通过模块、计算设备或系统中的多个核心或处理器)应用或测试许多树桩。
图2C示出了用于分析接入点行为以便鉴别欺骗接入点和/或认证合法接入点的行为分析系统的各个模块之间的交互。在各个方面,移动通信设备232可以配置有监视无线接入点的活动和行为的软件或硬件模块,在图2C中被称为SoC AP剖析引擎234。该剖析引擎234可以在可以存储在存储器内的动作日志236中的一系列观测(O1...Ok)中监视调制解调器与无线接入点244、246的交互。这样的动作日志236可以包括与无线接入点244、246的活动或交互的识别以及该交互的时间。因此,动作日志236可以包括能够用于确定频率、往返时间和网络响应的基于活动的信息和基于时间的信息两者。
行为提取器238可以访问动作日志236并从中提取要分析以表征无线接入点的活动或行为的特定特征。行为提取器238可以是被配置为识别动作日志内的特定特征的硬件或软件模块(或硬件和软件的组合),并且生成其中各个条目表征所识别的特征的行为向量240。可以基于对将无线接入点分类为合法或异常有用的特定类型的活动或行为的分析来预先选择识别的特征。特征可以是单个活动,或基于一系列活动的计算值。单个活动特征的示例包括接入点名称、速率切换模式、最大协议数据单元(PDU)大小、安全配置(例如,实施的加密或散列函数)、防火墙或网络接入配置、开放端口、DMZ使用、默认网关、IP地址子网、网络地址转换方案、支持的技术(例如801.11a/b/g/n/ac)、短帧间间隔、分布式帧间间隔、最大重试次数、前导码大小、最大协议数据单元大小、多协议数据单元支持、天线数量、支持的传输模式、响应于广播或单播请求而生成的消息数量。可以是由行为提取器238跟踪的特征的计算值的示例包括握手过程的频率、接入点的运行时间、从设备发送的请求与来自接入点的响应之间的往返时间、设备凭证的请求、到特定服务器的路径信息(例如,跳数、路由延迟)、网络延迟、定义的时间段(例如10秒)内的网络接入的数量、位置和移动性信息、调制和编码中的突然变化、接入点发射功率的突然变化,上述各项能够由访问多个长动作并且计算频率、持续时间和/或成功值的行为提取器238确定。
行为提取器238可以将每个观测到的或提取的行为特征转换成数值,其当与所有特征值组合时形成行为向量240。如图2C所示,行为向量可以是一系列数字,其中,数字在向量中的位置对应于特定特征,并且该值表征该特征。
所生成的行为向量240可以被应用于分析器242中的接入点分类器模型,以对无线接入点244、246进行分类。分类器模型可以使用行为向量作为对一系列加权确定(例如,增强决策树桩)的输入,当加权确定总计在一起时,产生单一值或简单的结论。例如,基于增强决策树桩将行为向量应用于分类器模型的结果可以是表示无线接入点是欺骗的概率的单一值。分析器242的输出可以是这个值,其可以由移动通信设备的处理器与门限进行比较,以确定接入点244、246是合法的还是欺骗的。
图3示出了存储用于可信或值得信赖的网络接入点的简档的简档数据库300的示例。简档数据库300可以存储在移动通信设备110上的存储器中。可替换地,简档数据库300可以存储在移动通信设备可访问的远程服务器上。简档数据库300可以包括针对多个可信网络接入点的简档302。简档302可以应用于充当接入点的各个设备,或者可以应用于以类似方式表现的一类接入点设备(例如来自同一供应商或制造商的接入点设备)。可信网络接入点可以是移动通信设备之前已经连接的并且被确定为值得信赖的接入点。在一些方面,存储在移动通信设备中的简档数据库300或另一简档数据库可以存储针对已知欺骗接入点的简档(即,黑名单)。当移动通信设备遇到与黑名单上的简档匹配的接入点时,移动通信设备可以自动阻止与这样的接入点的通信。
简档数据库300中的每个简档可以由简档的基本服务集标识符(BSSID)来索引。例如,BSSID可以是用于特定网络接入点的介质访问控制(MAC)地址或用于来自同一供应商的一类(例如,型号/模型)网络接入点的MAC地址范围。每个简档302可以包含多个预期参数304。预期参数304表示已知网络接入点的预期特性或行为。当在一起时,预期参数304可以唯一地标识网络接入点(或接入点类别),并且可以用于区分不同网络接入点(或不同的接入点类别)。网络接入点的预期参数304可以通过移动通信设备与网络接入点之间的先前交互来获得,或者可以从已经编译来自众多设备的预期参数的远程服务器获得。
网络接入点的预期参数304可以包括但不限于:接入点名称、接入点的运行时间、从设备发送的请求与来自接入点的响应之间的往返时间、速率切换模式、安全配置(例如,实施的加密或散列函数)、防火墙或网络接入配置(例如,开放端口、DMZ使用、默认网关、IP地址子网、网络地址转换方案、到特定的服务器的路径信息(希望计数、延迟路由))、支持的技术(例如801.11a/b/g/n/ac)、操作参数(例如,短帧间间隔、分布式帧间间隔、最大重试次数、前导码大小、最大协议数据单元大小、多协议数据单元支持、Wmin、Wmax)、响应延迟特性、处理时间特性以及信道或环境特性(例如,基本服务集负载、信道负载、错误率、吞吐量、相邻接入点或WWAN的身份、位置信息)。随着时间的推移,可以将附加参数添加到预期参数304。预期参数304可以包括标识符、数值、数值范围、特定地址或地址范围以及文本。移动通信设备可以查询网络接入点以获得预期参数304中的一些参数,可以从网络接入点被动地接收预期参数304中的一些参数,并且可以使用从网络接入点接收到的信息来计算其他预期参数。
在一方面,简档数据库300可以被配置为分类器模型,其中每个预期参数304对应于如可以由特征提取器216生成的接入点行为向量中的每个特征值的测试(诸如增强决策树桩)或门限,如参照图2A和2B所描述的。因此,接入点行为与预期参数304的比较可以通过基于网络接入点的预期参数将接入点行为向量应用于接入点行为分类器模型来实现。
图4A-4C示出了用于通过存储简档数据库或接入点分类器模型的移动通信设备来剖析潜在网络接入点的过程。图4A示出了包括移动通信设备402和网络接入点416的系统400。移动通信设备402可以包括连接到存储器406的调制解调器处理器404。移动通信设备402还可以包括图4A中未示出的其它调制解调器处理器。存储器406可以存储简档数据库420。可替换地,简档数据库420可以被存储在远程服务器上并且可以由移动通信设备402访问(未示出)。调制解调器处理器404还连接到RF资源408和天线410。调制解调器处理器404还可以连接到图4A中未示出的其他RF资源和天线。调制解调器处理器404与RF资源408和天线410(以及可选的附加调制解调器处理器、RF资源和天线)一起形成两个或更多个无线接入技术(RAT)。例如,第一RAT可以被配置为与诸如蜂窝电话网络的WWAN进行通信,并且第二RAT可以被配置为与诸如热点的WLAN进行通信。
移动通信设备402还可以包括在移动通信设备402上执行的高级操作系统412和应用程序414。操作系统412和应用程序414可以与调制解调器处理器404通信以便通过RAT支持的调制解调器处理器404进行通信。
网络接入点416可以是将自己广播为网络接入点的热点或其他设备。调制解调器处理器404可以经由第二RAT(即,WLAN网络)被动地从网络接入点416接收广播418。广播418包含描述网络接入点416的特性或行为的某些观测参数。例如,广播418可以包括接入点的名称(“LibraryWiFi”)和接入点的介质访问控制(MAC)地址(00-11-22-33-44-55)。
调制解调器处理器404可以将包括在广播418中的观测参数与简档数据库420进行比较,以确定简档数据库420中的简档是否具有与网络接入点416的观测参数匹配的预期参数。简档数据库420可以由网络接入点的MAC地址或其他BSSID索引。调制解调器处理器404可以将广播418中的MAC地址与简档数据库420中具有相同MAC地址的简档相匹配。如果没有找到准确的MAC地址,则调制解调器处理器404可以将广播418中的MAC地址与针对与一类接入点(例如,来自同一供应商或制造商的接入点设备)相关联的简档的MAC地址的范围相匹配。调制解调器处理器然后可以将广播418中的其他观测参数与简档数据库420中的对应预期参数进行比较。
将观测参数与预期参数进行匹配可以包括比较数值以确定它们是否匹配,将数值与数值范围进行比较以确定该值是否落入该范围内,比较配置参数,比较文本串或其他类型的数据比较。在一些方面,将观测参数与预期参数进行匹配可以涉及将表征观测参数的行为向量应用于基于预期参数的分类器模型。将观测参数与网络接入点的预期参数进行匹配可以包括更复杂的分析,诸如将观测参数和预期参数映射到本征向量,然后使用矩阵乘法来导出表示与网络接入点416相关联的信任或风险水平的本征值。如果观测参数与简档数据库420中的任何简档的预期参数都不匹配,则调制解调器处理器404可以采取步骤来限制对网络接入点416的访问,诸如将网络接入点416列入黑名单,从要发送到操作系统412并向用户显示的可用网络连接的列表中移除潜在网络接入点416,或者阻塞去往和来自网络接入点416的所有通信。
调制解调器处理器404可以在没有与操作系统412或任何应用程序414通信的情况下接收观测参数并且执行比较。即,调制解调器处理器404可以将网络接入点416与移动通信设备402中的其它更高级别的组件隔离,直到调制解调器处理器404已经验证了网络接入点416的可信性为止。以这种方式,调制解调器处理器404可以实现渐进或分等级的方法来剖析网络接入点。另外,与可以使用移动通信设备402中的更高级别组件的其他方法相比,仅使用调制解调器处理器404和第二RAT来剖析网络AP 416可以导致消耗更少的功率。
如图4A所示,简档数据库420中的简档“AP2”具有与广播418中的MAC地址匹配的MAC地址。调制解调器处理器404然后可以将广播418中的接入点名称与简档数据库420中的AP2简档的接入点名称进行比较。两个接入点名称相同,所以调制解调器处理器404可以确定网络接入点416相对于观测参数匹配简档数据库420中的简档。简档数据库420可以包含在广播418中未找到的附加参数,但是这时不比较这些附加参数。因此,调制解调器处理器404可以允许在更高但仍然受限的通信级别上与网络接入点416进行通信。
图4B示出了参与比图4A所示的广播418更高级别的通信的移动通信设备402和网络接入点416。调制解调器处理器404可以响应于确定在广播418中接收到的观测参数与简档数据库420中的简档匹配而参与与网络接入点416的受限分组数据通信422。调制解调器处理器404可以使用第二RAT例如WLAN连接)以与网络接入点416通信。通信422可以包括调制解调器处理器404对于网络接入点416的某些参数的请求。通信422还可以包括通过网络接入点416对这些查询的响应以发送附加观测参数,这些附加观测参数可以包括或可能不包括先前在广播418中发送的参数。以这种方式,调制解调器处理器404可以实现分等级或分层方法来使用不同级别的通信剖析网络接入点。
图4B所示的观测参数包括网络接入点416的往返时间(RTT)、最大协议数据单元(PDU)大小和支持的技术。调制解调器处理器404可以接收新的观测参数,并将它们与简档数据库420中的相应简档AP2的预期参数进行比较。如与广播418那样,调制解调器处理器404可以在不使用移动通信设备402中的更高级别组件的情况下执行观测参数的分析。如果观测参数与AP2简档的预期参数不匹配,则调制解调器处理器404可以采取步骤来限制对网络接入点416的接入。
如图4B所示,通信422中的观测参数匹配或落入针对简档数据库420中AP2简档的RTT、最大PDU大小和支持的技术的预期参数。因此,调制解调器处理器404可以确定网络接入点416相对于新观测参数继续匹配简档数据库420中的AP2简档。作为响应,调制解调器处理器404可以允许在更高级别的通信上与网络接入点416进行通信。调制解调器处理器404可以将网络接入点416添加到可信接入点的白名单。如果先前在简档数据库420中没有找到网络接入点416的特定MAC地址(例如,网络接入点416被匹配到与一类接入点相关联的简档),则调制解调器处理器404可以通过添加专门用于网络接入点416的简档来更新简档数据库420。
图4C示出了参与比图4B所示的通信422更高级别的通信的移动通信设备402和网络接入点416。调制解调器处理器404可以响应于确定通信422中接收的观测参数与简档数据库420中的AP2简档匹配而参与与网络接入点416的完全数据通信424。完全数据通信424可以使用第二RAT(即常规的连接)在移动通信设备402上进行。完全数据通信424还可以涉及在移动通信设备402上执行的高级操作系统412和应用程序414。
调制解调器处理器404可以在完全无线连接已经建立之后继续参与对网络接入点416的附加监视和剖析。这种连续的剖析允许调制解调器处理器404检测可以指示可能仅在连接已经建立一段时间之后才发生的恶意行为的行为变化。这种连续的监视可以战胜在开始恶意行为之前在一段时间内充当合法接入点的欺骗无线接入点。剖析可以以周期为基础进行,或者可以由某些事件(例如,业务重定向)触发。剖析可以是被动的(即,获得由网络接入点416独立发送的观测参数)或主动的(即,从网络接入点416请求信息或触发动作并监视网络接入点416的反应)。调制解调器处理器404可以从网络接入点416获得附加的观测参数,其可以取决于移动通信设备402的操作状态而变化。例如,当网络接入点416和移动通信设备402之间的距离通常不会改变时往返时间参数可能是相关的,但是如果距离通常改变,则可能不太相关。突然改变的观测参数可以指示网络接入点416的行为的改变,这可能导致额外的剖析。
如图4C所示,通信424可以包含对于网络接入点416的附加观测参数,包括运行时间和短帧间间隔(SIFS)值。调制解调器处理器404可以接收观测参数,并将它们与简档数据库420中的AP2简档的对应预期参数进行比较。在图4C所示的示例中,通信424中观测的运行时间参数与简档数据库420中AP2简档的预期工作时间不匹配。作为响应,调制解调器处理器404可以可选地尝试重新观测工作时间或来自网络接入点416的其他参数来再次检查是否存在匹配。在确定观测参数和预期参数之间不再匹配时,调制解调器处理器404可以采取步骤来限制对网络接入点416的进一步接入,诸如阻塞去往和来自网络接入点416的所有通信,或者将网络接入点416添加到黑名单。
图5示出了根据各个方面的用于在移动通信设备上对网络接入点进行剖析的方法500。方法500可以利用控制两种或更多种无线接入技术(RAT)的移动通信设备(诸如移动通信设备110、200)的调制解调器处理器(例如,WiFi处理器206或调制解调器处理器208、单独的控制器等)实施。
在方块502中,可以存储多个可信网络接入点的简档数据库。简档数据库可以存储在移动通信设备上的存储器中,或者可替换地存储在移动通信设备经由WWAN可访问的远程服务器上。简档数据库可以存储用于多个网络接入点的简档,其中每个简档可以包括特定网络接入点或特定类别的网络接入点(例如来自同一供应商或制造商的网络接入点设备)的预期参数。简档数据库可以存储可信网络接入点(例如用于移动通信设备先前使用的接入点)的简档。如果简档数据库存储在远程服务器上,则服务器可以聚合由多个设备收集的预期参数。简档数据库可以由与每个网络接入点相关联的BSSID索引,诸如用于一类网络接入点的MAC地址或MAC地址范围。在一些方面,简档数据库还可以存储已知欺骗接入点的简档(即,黑名单)。
预期参数可以是网络接入点的预期特性或行为,或基于预期特性或行为的判定标准。以上参考图3描述了简档数据库的示例。预期参数可以包括但不限于接入点名称、接入点的运行时间、从设备发送的请求与来自接入点的响应之间的往返时间、速率切换模式、安全配置(例如,实现的加密或散列函数)、防火墙或网络接入配置(例如,开放端口、DMZ使用、默认网关、IP地址子网、网络地址转换方案、到特定服务器的路径信息(希望计数、延迟路由))、支持的技术(例如,801.11a/b/g/n/ac)、操作参数(例如,短帧间间隔、分布式帧间间隔、最大重试次数、前导码大小、最大协议数据单元大小、多协议数据单元支持、Wmin、Wmax)、响应延迟特性、处理时间特性以及信道或环境特性(例如,基本服务集负载、信道负载、错误率、吞吐量、相邻接入点或WWAN的身份、位置信息)。
在方块504中,调制解调器处理器可以识别潜在网络接入点。例如,移动通信设备可以处于几个潜在网络接入点的范围内,其中,每个接入点广播作为到互联网的网络连接的可用性。在方块506中,调制解调器处理器可以使用移动通信设备的第一RAT维持与网络(WWAN)的高级别网络通信链路,同时在潜在网络接入点与移动通信设备的第二RAT(例如,WiFi)之间建立第一低级别通信。第一RAT可以被配置为与WWAN(例如,诸如LTE、CDMA或GSM的蜂窝电话网络)通信。以这种方式,移动通信设备能够在评估无线接入点的同时继续具有完全互联网通信。与WWAN的这种可信的通信可以使得通信设备能够接收简档数据和在评估无线接入点时可能有用的其他信息。
在第二RAT和无线接入点之间首先建立的第一低级别通信可以包括被动通信,其中,第二RAT被动地从潜在网络接入点接收信息。第一低级别通信还可以包括小级别的双向通信,其中调制解调器处理器可以从潜在网络接入点请求某些信息。调制解调器处理器可以防止潜在网络接入点与移动通信设备中的更高级别组件进行通信,诸如在移动通信设备上执行的高级操作系统和应用程序。这可以防止潜在网络接入点在验证潜在网络接入点的可信性之前访问更高级别组件。仅允许调制解调器处理器和第二RAT与潜在网络接入点交互也可以减少移动通信设备中的电池消耗。
在方块508中,调制解调器处理器可以通过第一低级别通信从潜在网络接入点获得观测参数集合。观测参数可以包括表示网络接入点的所观测的特性或行为的一个或多个参数。观测参数可以对应于简档数据库中的预期参数中的一个或多个预期参数。
在确定方块510中,调制解调器处理器可以确定来自潜在网络接入点的观测参数集合是否与简档数据库中对应于潜在网络接入点的简档的对应预期参数匹配。换言之,调制解调处理器可以确定潜在网络接入点是否在简档数据库中具有对应的简档,以及从潜在网络接入点获取的观测参数是否与简档的预期参数相匹配。在一方面,确定方块510中的操作可以涉及将表征观测网络参数的行为向量应用于如上所述的分类器模型。参照图6进一步描述将观测参数与预期参数进行匹配的另一方面的过程。
响应于确定来自潜在网络接入点的观测参数集合与简档数据库中的任何简档的预期参数不匹配(即,确定方块510=“否”),调制解调处理器可以在方块512中限制对潜在网络接入点的接入。换言之,响应于确定在可信接入点的简档数据库中没有找到潜在网络接入点,调制解调器处理器可以防止移动通信设备与潜在网络接入点连接。调制解调器处理器可以以多种方式限制对潜在网络接入点的接入,例如通过将潜在网络接入点列入黑名单,通过阻塞与潜在网络接入点的所有通信,通过切断移动通信设备与潜在网络接入点之间的关联,或者通过从要发送到操作系统并显示给用户的可用网络连接列表中移除潜在网络接入点。
响应于确定来自潜在网络接入点的观测参数集合确实匹配简档数据库中的简档的预期参数(即,确定方块510=“是”),调制解调器处理器可以在潜在网络接入点与移动通信设备上的第二RAT之间建立第二更高级别通信。换言之,在基于所接收到的观测参数集合验证了潜在网络接入点的一定水平的可信性之后,调制解调器处理器可以允许与潜在网络接入点的增加级别的通信。第二级别通信可以包括具有较高数据交换速率的与潜在网络接入点的双向通信。第二级别通信可以包括潜在网络接入点与移动通信设备中的更高级别组件(诸如在移动通信设备上执行的高级操作系统和应用程序)之间的通信。
在可选方块516中,调制解调器处理器可以利用观测参数集合来更新与简档数据库中的潜在网络接入点相关联的简档。更新可以包括更新数值参数的平均值或范围,或潜在网络接入点的某些其他行为或特性。这个更新确保简档数据库存储有关可信网络接入点的特性和行为的最新信息。如果简档数据库存储在远程服务器上,则调制解调器处理器可以将观测参数发送到服务器,以便服务器可以更新简档数据库。
在方块508中,调制解调器处理器可以通过第二级别通信从潜在网络接入点获得另一观测参数集合。调制解调器处理器可以再次确定新的观测参数集合是否与存储在简档数据库中的潜在网络接入点的预期参数匹配。如果观测参数继续与预期参数匹配,则调制解调器处理器可以保持第二级别通信或者可以移动到第三、更高级别通信。如果观测参数与预期参数不匹配,则调制解调器处理器可以返回到与潜在网络接入点的低级别通信,以便进一步评估其行为或限制对接入点的进一步接入。
各个方面使得调制解调器处理器能够实现分等级的方法来剖析潜在网络接入点,使得在验证潜在网络接入点相对于所获得的观测参数匹配简档时,调制解调器处理器可以允许移动通信设备和潜在网络接入点之间增加的通信。调制解调器处理器可以基于周期地或基于事件地从潜在网络接入点获得附加观测参数。调制解调器处理器可以被动地或主动地从潜在网络接入点获得附加观测参数。以这种方式,方法500为移动通信设备提供了实现潜在网络接入点的分等级剖析同时使得这种剖析所消耗的电池电量最小化的方式。
图6示出了根据各个方面的用于确定潜在网络接入点的观测参数集合是否与存储在简档数据库中的预期参数匹配的方法600。参照图1-6,方法600可以利用控制两个或更多个RAT的移动通信设备(诸如移动通信设备110)的调制解调器处理器(例如,Wi-Fi处理器206、调制解调器处理器208、单独的控制器等)实施。在调制解调器处理器已经从潜在网络接入点获得观测参数集合之后,方法600可以实施方法500(图5)的确定方块510中所示的操作。
在方块602中,调制解调器处理器可以使用潜在网络接入点的标识符来搜索简档数据库。该标识符可以是潜在网络接入点的BSSID,例如MAC地址。简档数据库中的简档可以由BSSID索引,例如针对各个接入点的BSSID和针对应该以相同方式运行的接入点类别(例如来自同一供应商的接入点设备)的BSSID的范围。
在确定方块604中,调制解调器处理器可以确定潜在网络接入点的标识符是否与简档数据库中的简档的标识符匹配。如果潜在网络接入点的BSSID与简档数据库中的简档的BSSID匹配或者落入BSSID的范围内,则可以发生匹配。响应于确定潜在网络接入点的标识符与简档数据库中的任何简档的标识符不匹配(即,确定方块604=“否”),调制解调器处理器可以在图5的方块512中限制对潜在网络接入点的接入。
响应于确定潜在网络接入点的标识符与简档数据库中的简档的标识符确实匹配(即,确定方块604=“是”),调制解调器处理器随后可以确定从潜在网络接入点获得的观测参数集合是否与简档数据库中的相应简档的预期参数匹配。观测参数和预期参数的比较可以包括将每个观测参数的值与所选择的简档的预期值或预期值的范围进行比较。该比较还可以包括基于观测参数与预期参数匹配的程度来生成风险或信任指标,例如通过将观测参数和预期参数转换成本征向量形式并且使用矩阵乘法来导出表示风险或信任值的本征值。可以将风险或信任值与门限进行比较,该门限确定潜在网络接入点是否足够可信。在一方面,确定方块604的操作可以通过将行为分类器模型应用于表征来自潜在网络接入点的观测参数的行为向量来将接入点分类为合法的、可疑的或欺骗的来完成。
响应于确定观测参数集合与匹配的简档的对应预期参数匹配(即,确定方块606=“是”),或者响应于将接入点分类为合法的,调制解调器处理器可以在图5的方块514中在移动通信设备与潜在网络接入点之间建立更高级别通信。如果潜在网络接入点仅与和一类接入点相关联的简档匹配,则调制解调器处理器可以可选地通过为特定的潜在网络接入点创建新的简档来更新简档数据库。
响应于确定观测参数集合与匹配的简档的对应预期参数不匹配(即,确定方块606=“否”),或者响应于将接入点分类为可疑的或欺骗的,调制解调器处理器可以在图5的方块512中限制对潜在网络接入点的接入。以这种方式,方法600为调制解调器处理器提供了使潜在网络接入点的观测参数集合与简档数据库中的简档的对应预期参数集合相匹配的方式。
各种方面可以在多种移动通信设备中的任何一种中实现,在图7中示出了其示例(例如,移动通信设备700)。参照图1-7,移动通信设备700可以与如所描述的移动通信设备110、120、200类似。如此,根据各个方面,移动通信设备700可以实施方法500和600。
移动通信设备700可以包括耦合到触摸屏控制器704和内部存储器706的处理器702。处理器702可以是被指定用于一般或特定处理任务的一个或多个多核集成电路。内部存储器706可以是易失性或非易失性存储器,并且也可以是安全的和/或加密的存储器,或不安全的和/或未加密的存储器,或其任何组合。触摸屏控制器704和处理器702还可以耦合到触摸屏面板712,诸如电阻式传感触摸屏、电容式传感触摸屏、红外传感触摸屏等。另外,移动通信设备700的显示器不需要具有触摸屏功能。
移动通信设备700可以具有耦合到处理器702和一个或多个天线710并被配置为发送和接收蜂窝通信的一个或多个蜂窝网络收发机708。一个或多个收发机708和一个或多个天线710可以与上述电路一起使用以实施各种方面的方法。移动通信设备700可以包括耦合到收发机708和/或处理器702的一个或多个SIM卡716,并且可以如上所述进行配置。移动通信设备700可以包括使得一个或多个收发机708和一个或多个天线710能够实现一个或多个无线接入技术的调制解调器处理器717。调制解调器处理器717还可以耦合到处理器702和存储器706。
移动通信设备700还可以包括用于提供音频输出的扬声器714。移动通信设备700还可以包括由塑料、金属或材料的组合构成的外壳720,用于容纳本文所讨论的全部或一些组件。移动通信设备700可以包括耦合到处理器702的电源722,例如一次性或可充电电池。可充电电池还可以耦合到外围设备连接端口以从移动通信设备700外部的源接收充电电流。移动通信设备700还可以包括用于接收用户输入的物理按钮724。移动通信设备700还可以包括用于打开和关闭移动通信设备700的电源按钮726。
前述方法描述和过程流程图仅作为说明性示例被提供,并不旨在要求或暗示各个方面的操作必须按所给出的顺序来执行。如本领域技术人员将认识到的,前述方面的操作顺序可以以任何顺序执行。诸如“此后”、“随后”、“接下来”等的词语并不旨在限制操作的顺序;这些词语只是用来指导读者完成对方法的描述。此外,例如使用冠词“一”、“一个”或“该”的单数形式的对权利要求要素的任何引用不应被解释为将该要素限制为单数。
结合本文所公开的方面描述的各种说明性的逻辑块、模块、电路和算法操作可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,上面已经根据其功能一般性地描述了各种说明性的组件、方块、模块、电路和操作。这样的功能是以硬件还是软件来实现取决于特定应用和施加在整个系统上的设计约束。本领域技术人员可以针对每个特定应用以变通方式实现所描述的功能,但是这样的实施方式决定不应该被解释为导致偏离当前方面的范围。
用于实现结合本文公开的各方面描述的各种说明性逻辑、逻辑块、模块和电路的硬件可以利用设计为执行本文所述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件或其任何组合来实施或执行。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统的处理器、控制器、微控制器或状态机。处理器也可以实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器与DSP内核的结合,或者任何其它这样的配置。可替换地,一些操作或方法可以由特定于给定功能的电路来执行。
在一个或多个示例性方面,所描述的功能可以以硬件、软件、固件或其任何组合来实现。如果以软件来实现,则可以将功能作为一个或多个指令或代码存储在非暂时性计算机可读存储介质或非暂时性处理器可读存储介质上。本文公开的方法或算法的操作可以体现在可以驻留在非暂时性计算机可读或处理器可读存储介质上的处理器可执行软件模块中。非暂时性计算机可读或处理器可读存储介质可以是可以由计算机或处理器存取的任何存储介质。作为示例而非限制,这种非暂时性计算机可读或处理器可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、闪存、压缩光盘只读存储器(CD-ROM)或其他光盘存储器、磁盘存储器或其他磁存储设备,或者可以用于以指令或数据结构的形式存储期望的程序代码并且可以由计算机存取的任何其他介质。如本文使用的磁盘和光盘包括压缩光盘(CD)、激光光盘、光盘、数字多功能光盘(DVD)、软盘和蓝光光盘,其中磁盘通常磁性地再现数据,而光盘用激光光学地再现数据。以上的组合也包括在非暂时性计算机可读和处理器可读介质的范围内。另外,方法或算法的操作可以作为非暂时性处理器可读存储介质和/或计算机可读存储介质上的代码集和/或指令集中的一个或任意组合而存在,其可以被并入计算机程序产品。
提供所公开的方面的以上描述以使得本领域技术人员能够制作或使用权利要求。这些方面的各种修改对于本领域技术人员来说将是显而易见的,并且在不脱离权利要求的范围的情况下,可以将本文定义的一般原理应用于一些方面。因此,本公开内容不旨在限于本文所示的各方面,而是应被赋予与下面的权利要求和本文公开的原理和新颖特征一致的最宽范围。
Claims (26)
1.一种用于由移动通信设备对接入点进行分等级剖析的方法,所述移动通信设备包括控制第一无线接入技术(RAT)和第二RAT的调制解调器,所述方法包括:
由所述调制解调器使用所述第二RAT通过局域网与可用网络接入点建立第一级别通信;
由所述调制解调器通过所述第一级别通信从所述可用网络接入点获得所述可用网络接入点的第一观测参数集合;
由所述调制解调器确定所述可用网络接入点的所述第一观测参数集合是否与网络接入点的存储的简档匹配;
响应于确定所述第一观测参数集合与所述网络接入点的所述存储的简档匹配,由所述调制解调器使用所述第二RAT通过所述局域网与所述可用网络接入点建立第二级别通信;
由所述调制解调器通过所述第二级别通信获得所述可用网络接入点的第二观测参数集合;
由所述调制解调器确定所述第二观测参数集合是否与所述网络接入点的存储的简档匹配;以及
响应于确定所述第二观测参数集合与所述网络接入点的存储的简档匹配,由所述调制解调器使用所述第二RAT通过所述局域网与所述可用网络接入点建立第三级别通信,
其中,确定所述第一观测参数集合是否与网络接入点的存储的简档匹配包括:
基于所述可用网络接入点的标识符从针对不同网络接入点的预期参数的多个简档中选择第一简档;以及
将所述第一观测参数集合与所述第一简档中的相应预期参数集合进行比较。
2.根据权利要求1所述的方法,其中:
所述第一级别通信包括仅在所述调制解调器和所述可用网络接入点之间的通信;以及
所述第二级别通信包括在所述移动通信设备上执行的应用程序或操作系统与所述可用网络接入点之间的通信。
3.根据权利要求1所述的方法,还包括:响应于确定所述第一观测参数集合与所述网络接入点的存储的简档不匹配,由所述调制解调器限制对所述可用网络接入点的接入。
4.根据权利要求1所述的方法,其中,通过所述第二级别通信获得所述可用网络接入点的第二观测参数集合是由所述可用网络接入点进行的行为改变来触发的。
5.根据权利要求1所述的方法,还包括:响应于确定所述第二观测参数集合与所述网络接入点的存储的简档不匹配,由所述调制解调器限制对所述可用网络接入点的接入。
6.根据权利要求1所述的方法,还包括:由所述调制解调器从存储用于不同网络接入点的预期参数的多个简档的简档数据库存取所述网络接入点的存储的简档。
7.根据权利要求6所述的方法,还包括:由所述调制解调器基于所述第一观测参数集合来更新所述简档数据库。
8.根据权利要求6所述的方法,其中,所述简档数据库是存储在所述移动通信设备上的。
9.根据权利要求1所述的方法,其中,所述网络接入点的存储的简档包括以下各项中的至少一项:接入点名称、往返时间、速率切换模式、安全配置、防火墙配置、网络接入配置、支持的技术、操作参数、信道特性、环境特性、响应延迟、处理时间和运行时间。
10.根据权利要求1所述的方法,其中:
所述第一RAT被配置为与广域网通信,并且所述第二RAT被配置为与所述局域网通信;
与广域无线网络的通信是使用所述第一RAT来维持的,至少直到经由所述第二RAT与所述可用网络接入点建立所述第二级别通信为止;以及
所述第二RAT是由所述调制解调器使用的以通过所述第一级别通信获得所述可用网络接入点的所述第一观测参数集合。
11.根据权利要求1所述的方法,还包括:由所述调制解调器基于所获得的所述可用网络接入点的第一观测参数集合,来生成行为向量;
其中,由所述调制解调器确定所述可用网络接入点的所述第一观测参数集合是否与网络接入点的所述存储的简档匹配包括:将所述行为向量应用于基于所述网络接入点的存储的简档的分类器模型。
12.一种用于对接入点进行分等级剖析的移动通信设备,包括:
存储器;
射频(RF)资源,其支持第一无线接入技术(RAT)和第二RAT;以及
调制解调器,其耦合到所述RF资源,所述调制解调器配置有处理器可执行指令以执行包括以下内容的操作:
使用所述第二RAT通过局域网与可用网络接入点建立第一级别通信;
通过所述第一级别通信,从所述可用网络接入点获得所述可用网络接入点的第一观测参数集合;
确定所述可用网络接入点的所述第一观测参数集合是否与网络接入点的存储的简档匹配;
响应于确定所述第一观测参数集合与所述网络接入点的存储的简档匹配,使用所述第二RAT通过所述局域网与所述可用网络接入点建立第二级别通信;
通过所述第二级别通信获得所述可用网络接入点的第二观测参数集合;
确定所述第二观测参数集合是否与所述网络接入点的存储的简档匹配;以及
响应于确定所述第二观测参数集合与所述网络接入点的存储的简档匹配,使用所述第二RAT通过所述局域网与所述可用网络接入点建立第三级别通信,
其中,确定所述第一观测参数集合是否与网络接入点的存储的简档匹配包括:
基于所述可用网络接入点的标识符从针对不同网络接入点的预期参数的多个简档中选择第一简档;以及
将所述第一观测参数集合与所述第一简档中的相应预期参数集合进行比较。
13.根据权利要求12所述的移动通信设备,其中:
所述第一级别通信包括仅在所述调制解调器和所述可用网络接入点之间的通信;以及
所述第二级别通信包括在所述移动通信设备上执行的应用程序或操作系统与所述可用网络接入点之间的通信。
14.根据权利要求12所述的移动通信设备,其中,所述调制解调器配置有处理器可执行指令以执行操作,所述操作还包括:响应于确定所述第一观测参数集合与所述网络接入点的存储的简档不匹配,限制对所述可用网络接入点的接入。
15.根据权利要求12所述的移动通信设备,其中,所述调制解调器配置有处理器可执行指令以执行操作,使得通过所述第二级别通信获得所述可用网络接入点的第二观测参数集合是由所述可用网络接入点进行的行为改变来触发的。
16.根据权利要求12所述的移动通信设备,其中,所述调制解调器配置有处理器可执行指令以执行操作,所述操作还包括:响应于确定所述第二观测参数集合与所述网络接入点的存储的简档不匹配,限制对所述可用网络接入点的接入。
17.根据权利要求12所述的移动通信设备,其中,所述调制解调器配置有处理器可执行指令以执行操作,所述操作还包括:从存储用于不同网络接入点的预期参数的多个简档的简档数据库中存取所述网络接入点的存储的简档。
18.根据权利要求17所述的移动通信设备,其中,所述调制解调器配置有处理器可执行指令以执行操作,所述操作还包括:基于所述第一观测参数集合来更新所述简档数据库。
19.根据权利要求17所述的移动通信设备,其中,所述简档数据库是存储在所述移动通信设备上的。
20.根据权利要求12所述的移动通信设备,其中,所述调制解调器配置有处理器可执行指令以执行操作使得所述网络接入点的存储的简档包括以下各项中的至少一项:接入点名称、往返时间、速率切换模式、安全配置、防火墙配置、网络接入配置、支持的技术、操作参数、信道特性、环境特性、响应延迟、处理时间和运行时间。
21.根据权利要求12所述的移动通信设备,其中,所述第一RAT被配置为与广域网通信,并且所述第二RAT被配置为与所述局域网通信;以及
其中,所述调制解调器配置有处理器可执行指令以执行操作,使得:
与广域无线网络的通信是使用所述第一RAT来维持的,至少直到经由所述第二RAT与所述可用网络接入点建立所述第二级别通信为止;以及
所述第二RAT是由所述调制解调器使用的以通过所述第一级别通信获得所述可用网络接入点的所述第一观测参数集合。
22.根据权利要求12所述的移动通信设备,其中,所述调制解调器配置有处理器可执行指令以执行操作,所述操作还包括:基于所获得的所述可用网络接入点的第一观测参数集合,来生成行为向量;以及
其中,所述调制解调器配置有处理器可执行指令以执行操作使得确定所述可用网络接入点的所述第一观测参数集合是否与网络接入点的所述存储的简档匹配包括:将所述行为向量应用于基于所述网络接入点的存储的简档的分类器模型。
23.一种其上存储有用于对接入点进行分等级剖析的处理器可执行指令的非暂时性处理器可读存储介质,所述处理器可执行指令被配置为使得移动通信设备的调制解调器执行包括以下内容的操作:
使用无线接入技术(RAT)通过局域网与可用网络接入点建立第一级别通信;
通过所述第一级别通信从所述可用网络接入点获得所述可用网络接入点的第一观测参数集合;
确定所述可用网络接入点的所述第一观测参数集合是否与网络接入点的存储的简档匹配;
响应于确定所述第一观测参数集合与所述网络接入点的存储的简档匹配,使用所述RAT通过所述局域网与所述可用网络接入点建立第二级别通信;
通过所述第二级别通信获得所述可用网络接入点的第二观测参数集合;
确定所述第二观测参数集合是否与所述网络接入点的存储的简档相匹配;以及
响应于确定所述第二观测参数集合与所述网络接入点的存储的简档匹配,使用所述RAT通过所述局域网与所述可用网络接入点建立第三级别通信,
其中,确定所述第一观测参数集合是否与网络接入点的存储的简档匹配包括:
基于所述可用网络接入点的标识符从针对不同网络接入点的预期参数的多个简档中选择第一简档;以及
将所述第一观测参数集合与所述第一简档中的相应预期参数集合进行比较。
24.根据权利要求23所述的非暂时性处理器可读存储介质,其中,存储的处理器可执行指令被配置为使得所述移动通信设备的调制解调器执行操作,所述操作还包括:响应于确定所述第一观测参数集合与所述网络接入点的存储的简档不匹配,限制对所述可用网络接入点的接入。
25.一种用于对接入点进行分等级剖析的移动通信设备,包括:
用于使用无线接入技术(RAT)通过局域网与可用网络接入点建立第一级别通信的单元;
用于通过所述第一级别通信从所述可用网络接入点获得所述可用网络接入点的第一观测参数集合的单元;
用于确定所述可用网络接入点的所述第一观测参数集合是否与网络接入点的存储的简档相匹配的单元;
用于响应于确定所述第一观测参数集合与所述网络接入点的存储的简档匹配,使用所述RAT通过所述局域网与所述可用网络接入点建立第二级别通信的单元;
用于通过所述第二级别通信获得所述可用网络接入点的第二观测参数集合的单元;
用于确定所述第二观测参数集合是否与所述网络接入点的存储的简档匹配的单元;以及
用于响应于确定所述第二观测参数集合与所述网络接入点的存储的简档匹配,使用所述RAT通过所述局域网与所述可用网络接入点建立第三级别通信的单元,
其中,用于确定所述可用网络接入点的所述第一观测参数集合是否与网络接入点的存储的简档匹配的单元进一步包括:
用于基于所述可用网络接入点的标识符从针对不同网络接入点的预期参数的多个简档中选择第一简档的单元;以及
用于将所述第一观测参数集合与所述第一简档中的相应预期参数集合进行比较的单元。
26.根据权利要求25所述的移动通信设备,还包括:用于响应于确定所述第一观测参数集合与所述网络接入点的存储的简档不匹配,限制对所述可用网络接入点的接入的单元。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/806,811 US9544798B1 (en) | 2015-07-23 | 2015-07-23 | Profiling rogue access points |
| US14/806,811 | 2015-07-23 | ||
| PCT/US2016/039298 WO2017014909A1 (en) | 2015-07-23 | 2016-06-24 | Profiling rogue access points |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107852410A CN107852410A (zh) | 2018-03-27 |
| CN107852410B true CN107852410B (zh) | 2019-07-12 |
Family
ID=56511888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680042571.9A Active CN107852410B (zh) | 2015-07-23 | 2016-06-24 | 剖析欺骗接入点 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9544798B1 (zh) |
| EP (1) | EP3326344A1 (zh) |
| JP (1) | JP2018527794A (zh) |
| KR (1) | KR101837923B1 (zh) |
| CN (1) | CN107852410B (zh) |
| BR (1) | BR112018001272A2 (zh) |
| WO (1) | WO2017014909A1 (zh) |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10531545B2 (en) | 2014-08-11 | 2020-01-07 | RAB Lighting Inc. | Commissioning a configurable user control device for a lighting control system |
| US10085328B2 (en) | 2014-08-11 | 2018-09-25 | RAB Lighting Inc. | Wireless lighting control systems and methods |
| US10039174B2 (en) | 2014-08-11 | 2018-07-31 | RAB Lighting Inc. | Systems and methods for acknowledging broadcast messages in a wireless lighting control network |
| KR102305115B1 (ko) * | 2015-04-02 | 2021-09-27 | 삼성전자주식회사 | 무선 통신 시스템에서 링크 설정을 위한 장치 및 방법 |
| US9615255B2 (en) * | 2015-04-29 | 2017-04-04 | Coronet Cyber Security Ltd | Wireless communications access security |
| US10193899B1 (en) * | 2015-06-24 | 2019-01-29 | Symantec Corporation | Electronic communication impersonation detection |
| DE102015115698B4 (de) * | 2015-09-17 | 2023-08-10 | Apple Inc. | Kommunikationsvorrichtung und Verfahren zum Empfangen von Signalen in einem Frequenzbereich |
| KR20170034066A (ko) * | 2015-09-18 | 2017-03-28 | 삼성전자주식회사 | 전자기기 및 그 제어방법 |
| CN106682005A (zh) * | 2015-11-05 | 2017-05-17 | 华为技术有限公司 | 一种确定数据库热页面的方法及装置 |
| US10425310B2 (en) * | 2015-12-23 | 2019-09-24 | Cisco Technology, Inc. | Network device mitigation against rogue parent device in a tree-based network |
| US10904774B2 (en) * | 2016-10-21 | 2021-01-26 | Telefonaktiebolaget Lm Ericsson (Publ) | System and method for service differentiable radio resource management for wireless local area networks |
| US20180205749A1 (en) * | 2017-01-18 | 2018-07-19 | Qualcomm Incorporated | Detecting A Rogue Access Point Using Network-Independent Machine Learning Models |
| CN106792702A (zh) * | 2017-01-23 | 2017-05-31 | 北京坤腾畅联科技有限公司 | 基于奇异路由的路由器身份检测方法和终端设备 |
| SG11201906661RA (en) * | 2017-01-25 | 2019-08-27 | Tendyron Corp | Legal chip identification method and system |
| US10447717B2 (en) * | 2017-01-28 | 2019-10-15 | Qualcomm Incorporated | Network attack detection using multi-path verification |
| GB2560357B (en) * | 2017-03-09 | 2020-11-25 | Rosberg System As | Detecting false cell towers |
| US10498754B2 (en) * | 2017-06-09 | 2019-12-03 | Verizon Patent And Licensing Inc. | Systems and methods for policing and protecting networks from attacks |
| CN117202199A (zh) * | 2017-06-16 | 2023-12-08 | 摩托罗拉移动有限责任公司 | 报告监视的参数信息 |
| KR101999148B1 (ko) * | 2017-07-28 | 2019-07-11 | (주)씨드젠 | 로그 ap 탐지 시스템 및 방법과, 이를 위한 사용자 단말 및 컴퓨터 프로그램 |
| US10826889B2 (en) * | 2017-10-26 | 2020-11-03 | Cisco Techology, Inc. | Techniques for onboarding devices based on multifactor authentication |
| US11243983B2 (en) | 2017-10-30 | 2022-02-08 | Qualcomm Incorporated | System and method for compact storage and efficient retrieval of access point information for detecting rogue access points |
| US10834671B2 (en) * | 2017-12-22 | 2020-11-10 | Intel IP Corporation | Group identification indication signaling |
| US20190230103A1 (en) * | 2018-01-23 | 2019-07-25 | Qualcomm Incorporated | Method To Detect A Summoning Attack By A Rogue WiFi Access Point |
| US11429724B2 (en) * | 2018-03-19 | 2022-08-30 | Microsoft Technology Licensing, Llc. | Machine learning detection of unused open ports |
| EP3841779A1 (en) * | 2018-08-24 | 2021-06-30 | British Telecommunications public limited company | Identification of wireless transmissions carried by a wireless network |
| US11558743B2 (en) | 2018-09-05 | 2023-01-17 | Whitefox Defense Technologies, Inc. | Integrated secure device manager systems and methods for cyber-physical vehicles |
| EP3672185A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Identifying potentially manipulated radio signals and/or radio signal parameters |
| EP3671253A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Crowd-sourcing of potentially manipulated radio signals and/or radio signal parameters |
| EP3672305B1 (en) | 2018-12-20 | 2023-10-25 | HERE Global B.V. | Enabling flexible provision of signature data of position data representing an estimated position |
| EP3672310A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Identifying potentially manipulated radio signals and/or radio signal parameters based on radio map information |
| EP3672311A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Device-centric learning of manipulated positioning |
| EP3672304A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Statistical analysis of mismatches for spoofing detection |
| EP3671254A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Service for real-time spoofing/jamming/meaconing warning |
| EP3671252A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Identifying potentially manipulated radio signals and/or radio signal parameters based on a first radio map information and a second radio map information |
| US11463882B2 (en) * | 2019-04-18 | 2022-10-04 | Sophos Limited | Endpoint-controlled rogue AP avoidance + rogue AP detection using synchronized security |
| US11418956B2 (en) * | 2019-11-15 | 2022-08-16 | Panasonic Avionics Corporation | Passenger vehicle wireless access point security system |
| US20230308878A1 (en) * | 2022-03-24 | 2023-09-28 | At&T Intellectual Property I, L.P. | Protection Against Wireless Access Point Impersonation |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805578A (zh) * | 2005-01-11 | 2006-07-19 | 三星电子株式会社 | 多模式无线终端的省电方法和设备 |
| CN101606405A (zh) * | 2006-10-24 | 2009-12-16 | 捷讯研究有限公司 | 无线局域网网络信息高速缓存 |
| CN104320408A (zh) * | 2014-11-06 | 2015-01-28 | 中山大学 | 一种WiFi热点的登录方法 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003279071A1 (en) * | 2002-09-23 | 2004-04-08 | Wimetrics Corporation | System and method for wireless local area network monitoring and intrusion detection |
| US7698550B2 (en) * | 2002-11-27 | 2010-04-13 | Microsoft Corporation | Native wi-fi architecture for 802.11 networks |
| US7346338B1 (en) * | 2003-04-04 | 2008-03-18 | Airespace, Inc. | Wireless network system including integrated rogue access point detection |
| JP3880554B2 (ja) * | 2003-07-18 | 2007-02-14 | 松下電器産業株式会社 | 空間分割多重アクセス方式ワイヤレス媒体アクセスコントローラ |
| US7286515B2 (en) * | 2003-07-28 | 2007-10-23 | Cisco Technology, Inc. | Method, apparatus, and software product for detecting rogue access points in a wireless network |
| US20050060576A1 (en) | 2003-09-15 | 2005-03-17 | Kime Gregory C. | Method, apparatus and system for detection of and reaction to rogue access points |
| US7370362B2 (en) * | 2005-03-03 | 2008-05-06 | Cisco Technology, Inc. | Method and apparatus for locating rogue access point switch ports in a wireless network |
| US7486666B2 (en) * | 2005-07-28 | 2009-02-03 | Symbol Technologies, Inc. | Rogue AP roaming prevention |
| US9167053B2 (en) | 2005-09-29 | 2015-10-20 | Ipass Inc. | Advanced network characterization |
| US7716740B2 (en) * | 2005-10-05 | 2010-05-11 | Alcatel Lucent | Rogue access point detection in wireless networks |
| US8000698B2 (en) * | 2006-06-26 | 2011-08-16 | Microsoft Corporation | Detection and management of rogue wireless network connections |
| US8750267B2 (en) | 2009-01-05 | 2014-06-10 | Qualcomm Incorporated | Detection of falsified wireless access points |
| JP2010263310A (ja) * | 2009-04-30 | 2010-11-18 | Lac Co Ltd | 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム |
| US8655312B2 (en) | 2011-08-12 | 2014-02-18 | F-Secure Corporation | Wireless access point detection |
| JP5944004B2 (ja) * | 2011-10-03 | 2016-07-05 | インテル・コーポレーション | デバイスツーデバイス通信(d2d通信)メカニズム |
| US8949993B2 (en) | 2011-10-17 | 2015-02-03 | Mcafee Inc. | Mobile risk assessment |
| US9832211B2 (en) * | 2012-03-19 | 2017-11-28 | Qualcomm, Incorporated | Computing device to detect malware |
| US9801099B2 (en) * | 2013-05-15 | 2017-10-24 | Blackberry Limited | Method and system for use of cellular infrastructure to manage small cell access |
| WO2015076345A1 (ja) * | 2013-11-25 | 2015-05-28 | 京セラ株式会社 | 通信制御方法、ユーザ端末、及びプロセッサ |
| US9763099B2 (en) | 2013-12-30 | 2017-09-12 | Anchorfree Inc. | System and method for security and quality assessment of wireless access points |
| US10098181B2 (en) * | 2014-03-19 | 2018-10-09 | Apple Inc. | Selecting a radio access technology mode based on current conditions |
-
2015
- 2015-07-23 US US14/806,811 patent/US9544798B1/en active Active
-
2016
- 2016-06-24 CN CN201680042571.9A patent/CN107852410B/zh active Active
- 2016-06-24 EP EP16742084.3A patent/EP3326344A1/en active Pending
- 2016-06-24 KR KR1020187001576A patent/KR101837923B1/ko active IP Right Grant
- 2016-06-24 JP JP2018502346A patent/JP2018527794A/ja not_active Ceased
- 2016-06-24 BR BR112018001272-6A patent/BR112018001272A2/pt not_active Application Discontinuation
- 2016-06-24 WO PCT/US2016/039298 patent/WO2017014909A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805578A (zh) * | 2005-01-11 | 2006-07-19 | 三星电子株式会社 | 多模式无线终端的省电方法和设备 |
| CN101606405A (zh) * | 2006-10-24 | 2009-12-16 | 捷讯研究有限公司 | 无线局域网网络信息高速缓存 |
| CN104320408A (zh) * | 2014-11-06 | 2015-01-28 | 中山大学 | 一种WiFi热点的登录方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20180011851A (ko) | 2018-02-02 |
| US20170026859A1 (en) | 2017-01-26 |
| EP3326344A1 (en) | 2018-05-30 |
| CN107852410A (zh) | 2018-03-27 |
| BR112018001272A2 (pt) | 2018-09-11 |
| JP2018527794A (ja) | 2018-09-20 |
| WO2017014909A1 (en) | 2017-01-26 |
| US9544798B1 (en) | 2017-01-10 |
| KR101837923B1 (ko) | 2018-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107852410B (zh) | 剖析欺骗接入点 | |
| Li et al. | FBS-Radar: Uncovering Fake Base Stations at Scale in the Wild. | |
| Barbera et al. | Signals from the crowd: uncovering social relationships through smartphone probes | |
| Mitchell et al. | A survey of intrusion detection in wireless network applications | |
| US20180198812A1 (en) | Context-Based Detection of Anomalous Behavior in Network Traffic Patterns | |
| CN107430660A (zh) | 用于表征设备行为的自动化匿名众包的方法和系统 | |
| Redondi et al. | Building up knowledge through passive WiFi probes | |
| Gisdakis et al. | SHIELD: A data verification framework for participatory sensing systems | |
| CN107209819A (zh) | 通过对移动装置的连续鉴定的资产可存取性 | |
| CN104541293A (zh) | 用于客户端-云行为分析器的架构 | |
| CN107408178A (zh) | 用于通过云与客户端行为的差异来识别恶意软件的方法及系统 | |
| CN106663172A (zh) | 用于检测以移动设备的行为安全机制为目标的恶意软件和攻击的方法和系统 | |
| CN104885099A (zh) | 使用推升式决策树桩和联合特征选择及剔选算法来对移动设备行为进行高效分类的方法和系统 | |
| US11026082B1 (en) | Electronic device identification system, apparatuses, and methods | |
| CN103530562A (zh) | 一种恶意网站的识别方法和装置 | |
| Matte | Wi-Fi tracking: Fingerprinting attacks and counter-measures | |
| Rabhi et al. | IoT routing attacks detection using machine learning algorithms | |
| CN106664296A (zh) | 无缝对等互联网连接 | |
| CN110178395A (zh) | 伪基站识别方法和终端 | |
| Redondi et al. | Passive classification of Wi-Fi enabled devices | |
| Shen et al. | DMAd: Data-driven measuring of Wi-Fi access point deployment in urban spaces | |
| Huang et al. | Developing xApps for rogue base station detection in SDR-enabled O-RAN | |
| US11871244B2 (en) | Primary signal detection using distributed machine learning in multi-area environment | |
| EP2493150B1 (en) | Mobile application metadata collection agent | |
| Yu et al. | Smartattack: Open-source attack models for enabling security research in smart homes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |