CN108540979A

CN108540979A - 基于指纹特征的伪ap检测方法及装置

Info

Publication number: CN108540979A
Application number: CN201810299417.0A
Authority: CN
Inventors: 李小勇; 李晓艳; 李继蕊; 苑洁; 高雅丽
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2018-04-04
Filing date: 2018-04-04
Publication date: 2018-09-14

Abstract

本发明实施例提供了一种基于指纹特征的伪AP检测方法及装置，所述方法包括：获取待检测AP发送的信标帧，其中，所述待检测AP为与预先存储的合法AP的服务集标识SSID相同的AP；从所述信标帧中提取所述待检测AP的待检测指纹特征；将所述待检测指纹特征与预先存储的合法AP的合法指纹特征进行对比，根据对比结果，确定所述待检测AP是否为伪AP。本发明实施例在检测过程中，可以通过从获取的待检测AP发送的信标帧中提取待检测指纹特征，而无需通过向待检测AP发送探测数据帧来提取待检测指纹特征，则避免了攻击者因为发现探测数据帧通过关闭伪AP来躲避检测的情况，从而提高了伪AP检测的准确率。

Description

基于指纹特征的伪AP检测方法及装置

技术领域

本发明涉及无线网络安全技术领域，特别是涉及一种基于指纹特征的伪AP检测方法及装置。

背景技术

目前，主流应用的无线网络分为通过公众移动通信网实现的无线网络和无线局域网两种方式。由于无线局域网具有灵活性、移动性、覆盖范围广、易于扩展等优点，已成为目前广泛应用的无线网络技术之一。其中，AP(Access Points，接入点)是无线局域网的核心组成部分，它是移动终端接入有线网络的接入点，主要用于宽带家庭、校园内部、企业内部、商业场所及公共服务场所等需要无线监控的地方。而在商业场所和公共服务场所中，攻击者很容易获取AP的基本信息，并建立一个与合法AP基本信息相同的伪AP，当用户在不知情的情况下连接到该伪AP时，会给自己的信息安全带来极大隐患，由此需要一种能够检测伪AP的方法，判断AP的合法性，以保障接入该AP终端的网络安全。

现有技术中，检测伪AP的方法主要有两种：一种是基于客户端的伪AP主动检测方法，是由客户端向网络环境中的AP发送探测数据帧，从返回的探测数据帧中携带的AP基本信息和加密方式中提取指纹特征，并比较该指纹特征是否与存储的合法AP的指纹特征一致，从而完成伪AP检测。另一种是基于服务器端的伪AP被动检测方法，通过服务器端向网络环境中的AP发送数据包，获取数据包的往返时间，并将该往返时间与存储的合法的往返时间进行比较，完成伪AP检测。

第一种方法在实现过程中，由于探测数据帧不属于客户端内部通信的通信数据，当向网络环境中的AP发送探测数据帧时，攻击者很容易发现发送的探测数据帧，可以通过关闭伪AP避开伪AP的检测，从而影响了伪AP检测的准确率。第二种方法在实现过程中，当网络负载较重时，会出现数据包丢失的情况，从而影响了数据包的往返时间，降低了伪AP检测的准确率。

发明内容

本发明实施例的目的在于提供一种基于指纹特征的伪AP检测方法及装置，以提高伪AP检测的准确率。具体技术方案如下：

第一方面，本发明实施例提供了一种基于指纹特征的伪AP检测方法，所述方法包括：

获取待检测AP发送的信标帧，其中，所述待检测AP为与预先存储的合法AP的服务集标识SSID相同的AP；

从所述信标帧中提取所述待检测AP的待检测指纹特征；

将所述待检测指纹特征与预先存储的合法AP的合法指纹特征进行对比，根据对比结果，确定所述待检测AP是否为伪AP。

可选的，所述从所述信标帧中提取所述待检测AP的待检测指纹特征的步骤，包括：

从所述信标帧中提取所述待检测AP的待检测媒体访问控制MAC地址和待检测网络信道标识；

所述将所述待检测指纹特征与预先存储的合法AP的合法指纹特征进行对比，根据对比结果，确定所述待检测AP是否为伪AP的步骤，包括：

将所述待检测MAC地址和所述待检测网络信道标识，分别与预先存储的合法AP的合法MAC地址和合法网络信道标识进行匹配；

如果不一致，确定所述待检测AP为伪AP。

可选的，所述待检测AP的待检测指纹特征还包括：待检测信标帧序列号；

所述方法还包括：

如果所述待检测MAC地址和所述待检测网络信道标识，分别与所述合法MAC地址和所述合法网络信道标识的匹配结果为一致，判断所述待检测信标帧序列号是否在预设范围内递增；

如果不递增，确定所述待检测AP为伪AP。

可选的，所述待检测AP的待检测指纹特征还包括：待检测时钟偏差；

所述方法还包括：

如果所述待检测信标帧序列号在预设范围内递增，将所述待检测时钟偏差与预先存储的合法AP的合法时钟偏差进行比较；

如果所述待检测时钟偏差与所述合法时钟偏差的差值大于第一差值阈值，确定所述待检测AP为伪AP；

如果所述待检测时钟偏差与所述合法时钟偏差的差值小于第二差值阈值，将所述合法时钟偏差更新为所述待检测时钟偏差，所述第一差值阈值大于所述第二差值阈值。

可选的，所述待检测AP的待检测指纹特征还包括：待检测信号强度指纹；

所述待检测信号强度指纹包括：待检测信号强度分布期望、待检测信号强度分布方差、待检测高斯极限误差和待检测信号强度标准差；

所述方法还包括：

如果所述待检测时钟偏差与所述合法时钟偏差的差值在所述第二差值阈值至所述第一差值阈值之间，将所述待检测信号强度指纹与预先存储的合法AP的合法信号强度指纹进行比较，其中，所述合法信号强度指纹包括合法信号强度分布期望、合法信号强度分布方差、合法高斯极限误差和合法信号强度标准差；

如果所述待检测信号强度分布期望与所述合法信号强度期望差值的绝对值大于合法高斯极限误差，确定所述待检测AP为伪AP；

如果所述待检测信号强度分布期望与所述合法信号强度期望差值的绝对值不大于合法高斯极限误差，且所述待检测信号强度标准差小于合法高斯极限误差，将所述合法信号强度指纹更新为所述待检测信号强度指纹。

可选的，还包括：

如果所述待检测信号强度分布期望与所述合法信号强度期望差值的绝对值不大于合法高斯极限误差，且所述待检测信号强度标准差不小于合法高斯极限误差，按照公式计算所述待检测信号强度指纹和所述合法信号强度指纹之间的第一相似度值，其中，μ1是所述合法信号强度分布期望，μ2是所述待检测信号强度分布期望，σ1是所述合法信号强度标准差，σ2是所述待检测信号强度标准差；

根据公式skewP＝1-(10*Math.abs(skew2-skew1))，计算所述待检测时钟偏差与合法时钟偏差之间的第二相似度值，其中，skew1为所述合法时钟偏差，skew2为所述待检测时钟偏差；

将所述第一相似度值与所述第二相似度值相乘，结果作为所述待检测AP的安全概率值；

将所述安全概率值与预设的概率阈值进行比较，如果所述安全概率值小于所述概率阈值，确定所述待检测AP为伪AP。

第二方面，本发明实施例提供了一种基于指纹特征的伪AP检测装置，所述装置包括：

获取模块，用于获取待检测AP发送的信标帧，其中，所述待检测AP为与预先存储的合法AP的服务集标识SSID相同的AP；

提取模块，用于从所述信标帧中提取所述待检测AP的待检测指纹特征；

对比模块，用于将所述待检测指纹特征与预先存储的合法AP的合法指纹特征进行对比，根据对比结果，确定所述待检测AP是否为伪AP。

可选的，所述提取模块，具体用于从所述信标帧中提取所述待检测AP的待检测媒体访问控制MAC地址和待检测网络信道标识；

所述对比模块，具体用于将所述待检测MAC地址和所述待检测网络信道标识，分别与预先存储的合法AP的合法MAC地址和合法网络信道标识进行匹配；

如果不一致，确定所述待检测AP为伪AP。

所述对比模块：还用于如果所述待检测MAC地址和所述待检测网络信道标识，分别与所述合法MAC地址和所述合法网络信道标识的匹配结果为一致，判断所述待检测信标帧序列号是否在预设范围内递增；如果不递增，确定所述待检测AP为伪AP。

所述对比模块：还用于如果所述待检测信标帧序列号在预设范围内递增，将所述待检测时钟偏差与预先存储的合法AP的合法时钟偏差进行比较；

如果所述待检测时钟偏差与所述合法时钟偏差的差值大于第一差值阈值，确定所述待检测AP为伪AP；如果所述待检测时钟偏差与所述合法时钟偏差的差值小于第二差值阈值，将所述合法时钟偏差更新为所述待检测时钟偏差，所述第一差值阈值大于所述第二差值阈值。

本发明实施例提供的一种基于指纹特征的伪AP检测方法及装置，通过服务器端从待检测AP发送的信标帧中提取待检测AP的待检测指纹特征，并与预先存储的合法指纹特征进行对比，完成伪AP的检测。本发明实施例在检测过程中，由于待检测AP是周期性发送信标帧的，服务器端可以通过从获取的待检测AP发送的信标帧中提取待检测指纹特征，而无需通过向待检测AP发送探测数据帧来提取待检测指纹特征，则避免了攻击者因为发现探测数据帧通过关闭伪AP来躲避检测的情况，从而提高了伪AP检测的准确率。当然，实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于指纹特征的伪AP检测方法的流程图；

图2为本发明实施例提供的一种基于指纹特征的伪AP检测方法的另一流程图；

图3为本发明实施例提供的一种基于指纹特征的伪AP检测方法的另一流程图；

图4是本发明实施例提供的一种基于指纹特征的伪AP检测装置的结构示意图；

图5为本发明实施例提供的一种电子设备结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种基于指纹特征的伪AP检测方法，如图1所示，该方法包括：

S101，获取待检测AP发送的信标帧。

在实际应用中，网络环境中的待检测AP是周期性发送信标帧，服务器端可以实时获取待检测AP发送的信标帧。其中，待检测AP为与预先存储的合法AP的服务集标识SSID相同的AP，也即是，服务器端获取与预先存储的合法AP的SSID相同的待检测AP发送的信标帧。

例如，服务器端内预先存储的合法AP的SSID为“1”，而在网络环境中存在与预先存储的合法AP的SSID相同的AP，也存在与预先存储的合法AP的SSID不同的AP。服务器端通过采集网络环境中存在的AP发送的信标帧，从这些信标帧中提取每个AP的SSID，再分别将每个AP的SSID与预先存储的合法AP的SSID进行对比，然后将网络环境中SSID相同的AP筛选出来，也即是将SSID均为“1”的AP筛选出来作为待检测AP，并将获取的待检测AP发送的信标帧进行存储。其中，SSID相同的AP中除包含有该合法AP外，也包含有攻击者针对该合法AP建立的伪AP。

在实际应用中，服务器端在获取待检测AP发送的信标帧之前，管理员可以先将无线网卡关闭，以防止该无线网卡被其他程序占用，然后再打开无线网卡，并且将无线网卡的工作模式设置为监听模式。其中，无线网卡有四种工作模式，分别是被管理模式，点对点Ad-hoc模式，主模式和监听模式。当无线网卡设置为监听模式时，可以监听网络环境中的网络通信数据，也即是监听网络环境中AP发送的信标帧。

S102，从信标帧中提取待检测AP的待检测指纹特征。

在实际应用中，信标帧是一个包含有多个字段的数据帧，每个字段携带有能从不同方面表示待检测AP的指纹特征。具体的，服务器端可以从每一个待检测AP发送的信标帧中分别提取该待检测AP的待检测媒体访问控制MAC地址、待检测网络信道标识、待检测信标帧序列号、待检测时钟偏差和待检测信号强度指纹。

S103，将待检测指纹特征与预先存储的合法AP的合法指纹特征进行对比，根据对比结果，确定待检测AP是否为伪AP。

本发明实施例中，服务器端可以通过获取合法AP发送的信标帧，且从该信标帧中提取该合法AP的合法指纹特征，并存储在服务器端内。其中该合法AP的合法指纹特征包括以下特征之一或任意组合：合法MAC地址、合法网络信道标识、合法信标帧序列号、合法时钟偏差和合法信号强度指纹。

在实际应用中，服务器端可以将从待检测AP发送的信标帧中提取的待检测MAC地址、待检测网络信道标识、待检测信标帧序列号、待检测时钟偏差和待检测信号强度指纹，分别与合法AP的合法MAC地址、合法网络信道标识、合法信标帧序列号、合法时钟偏差和合法信号强度指纹进行对比，根据对比结果，确定待检测AP是否为伪AP。

本发明实施例提供的一种基于指纹特征的伪AP检测方法，通过服务器端从待检测AP发送的信标帧中提取待检测AP的待检测指纹特征，并与预先存储的合法指纹特征进行对比，完成伪AP的检测。本发明实施例在检测过程中，由于待检测AP是周期性发送信标帧的，服务器端可以通过从获取的待检测AP发送的信标帧中提取待检测指纹特征，而无需通过向待检测AP发送探测数据帧来提取待检测指纹特征，则避免了攻击者因为发现探测数据帧通过关闭伪AP来躲避检测的情况，从而提高了伪AP检测的准确率。

作为本发明实施例的一种实施方式，如图2所示，本发明实施例提供的基于指纹特征的伪AP检测方法可以包括：

S201，获取待检测AP发送的信标帧。

S202，从信标帧中提取待检测AP的待检测MAC地址和待检测网络信道标识。

S203，将所述待检测MAC地址和待检测网络信道标识，分别与预先存储的合法AP的合法MAC地址和合法网络信道标识进行匹配；如果一致，执行步骤S204。

S204，确定该待检测AP为伪AP。

在实际应用中，每一个合法AP都有唯一一个与该AP对应的MAC地址和网络信道标识，当检测到待检测AP的待检测MAC地址和待检测网络信道标识分别与预先存储的合法AP的合法MAC地址和合法网络信道标识匹配不一致，则确定该待检测AP为伪AP。

上述步骤S201-S203与图1所示实施例中步骤S101-S103基本相同，在此不进行赘述。

作为本发明实施例的一种实施方式，待检测AP的待检测指纹特征还包括待检测信标帧序列号，如图3所示，本发明实施例提供的基于指纹特征的伪AP检测方法可以包括：

S301，获取待检测AP发送的信标帧。

S302，从信标帧中提取待检测AP的待检测MAC地址、待检测网络信道标识和待检测信标帧序列号。

S303，将待检测MAC地址和待检测网络信道标识，分别与预先存储的合法AP的合法MAC地址和合法网络信道标识进行匹配；如果一致，执行步骤S304，如果不一致，执行步骤S305。

S304，确定该待检测AP为伪AP。

S305，判断待检测信标帧序列号是否在预设范围内递增，如果不递增，返回执行步骤S304。

具体的，判断待检测信标帧序列号是否在预设范围内递增存在以下两种可实现方式，其中，令x表示合法信标帧序列号，y表示待检测信标帧序列号，设置一个比较阈值m，该比较阈值m的取值范围可以满足：10≤m≤20。

第一种可实现方式，如果4095-x≥m，则预设范围为(x，x+m]，判断待检测信标帧序列号Y是否在预设范围(x，x+m]内，如果是，则将合法信标帧序列号x更新为待检测信标帧序列号y，用于下一次伪AP的检测。如果不是，则确定待检测AP为伪AP。

第二种可实现方式，如果4095-x＜m，则预设范围为(x，4095]或[0，m]，判断待检测信标帧序列号y是否在预设范围(x，4095]内，或者判断待检测信标帧序列号是否在预设范围[0，m]内，如果待检测信标帧序列号Y在预设范围(x，4095]内，或者y在预设范围(x，4095]内，则将合法信标帧序列号x更新为待检测信标帧序列号y，用于下一次伪AP的检测。如果均不在预设范围(x，4095]和[0，m]内，则确定待检测AP为伪AP。其中，4095为信标帧序列号的最大值，0为信标帧序列号的最小值。

上述步骤S301-S304与图2所示实施例中步骤S201-S104基本相同，在此不进行赘述。

作为本发明实施例的一种实施方式，如果待检测信标帧序列号在预设范围内递增，将待检测时钟偏差与预先存储的合法AP的合法时钟偏差进行比较。

具体的，将待检测时钟偏差与预先存储的合法AP的合法时钟偏差进行比较的实现方法可以为：计算待检测时钟偏差与合法时钟偏差的差值，判断检测时钟偏差与合法时钟偏差之间的差值是否大于第一差值阈值，或者判断该差值是否小于第二差值阈值。如果该差值大于第一差值阈值，则确定该待检测AP为伪AP；如果该差值小于第二差值阈值，则将合法时钟偏差更新为待检测时钟偏差，用于下一次提取的待检测时钟偏差与更新后的合法时钟偏差之间的比较。

其中，第一差值阈值可以设置为0.1，第二差值阈值可以设置为0.01，该第一差值阈值和第二差值阈值的具体数值可以根据合法AP的类型进行设置，本发明实施例不对其加以限制。

在本发明实施例中，服务器端可以实时获取待检测AP发送的信标帧，且可以从获取的信标帧中提取该信标帧的时间戳和该信标帧的捕获时间，并进行存储。本发明实施例可以根据从待检测AP发送的信标帧中提取的时间戳和捕获时间，采用最小二乘算法计算得到待检测时钟偏差，具体算法如下：

首先获取当前滑动窗口为n的一组信标帧中提取的时间戳和捕获时间，例如获取的一组信标帧中提取的时间戳和捕获时间为：{(t0，T0)，(t1，T1)，(t2，T2)，……，(ti，Ti)，……，(tn，Tn)}，其中，ti表示第i个信标帧的捕获时间，Ti表示服务器端从第i个信标帧中提取的时间戳。n表示滑动窗口的大小，滑动窗口的大小指的是接收数据的缓冲区的大小，也即是当前滑动窗口可以缓冲n个信标帧。

其次对每个时间戳及捕获时间进行预处理，即将每组时间戳及捕获时间均减去初始值(t0，T0)，即令xi＝ti-t0，yi＝Ti-T0，这样得到一系列成对的数据{(x0，y0)，(x1，y1)，(x2，y2)，……，(xi，yi)，……，(xn，yn)}。然后将这些成对的数据描绘在x-y直角坐标系中，则发现这些点在一条直线附近，可以令这条直线方程为：yi＝α*xi+β，其中，α、β是任意实数，为了确定α和β，应用最小二乘法原理，将实测值y_i与利用计算值yj＝α*xi+β的离差(xi-yj)的平方和最小作为“优化判据”。其中，即为i＝On(y_i-α*x_i-β)²。当i＝On(y_i-y_j)²最小时，可以分别对α、β求偏导数，令这两个偏导数等于零，得到两个关于α、β为未知数的方程组：通过解这两个方程组得到斜率α，该斜率α即为待检测时钟偏差。

对应的，合法时钟偏差也可以采用上述算法计算得到，本发明实施例在此不进行赘述。

作为本发明实施例的一种实施方式，待检测AP的待检测指纹特征还包括待检测信号强度指纹。如果待检测时钟偏差与合法时钟偏差的差值在第二差值阈值与第一差值阈值之间，将带待检测信号强度指纹与预先存储的合法AP的合法信号强度指纹进行比较。其中，该待检测信号强度指纹包括：待检测信号强度分布期望、待检测信号强度分布方差、待检测高斯极限误差和待检测信号强度标准差；合法信号强度指纹包括合法信号强度分布期望、合法信号强度分布方差、合法高斯极限误差和合法信号强度标准差。

具体的，将带待检测信号强度指纹与预先存储的合法AP的合法信号强度指纹进行比较的实现方式可以为：计算待检测信号强度分布期望与合法信号强度期望之间差值的绝对值，比较该差值的绝对值是否大于合法高斯极限误差，如果该差值的绝对值大于合法高斯极限误差，则确定该待检测AP为伪AP。如果该差值的绝对值不大于合法高斯极限误差，且待检测信号强度标准差小于合法高斯极限误差，则将合法信号强度指纹更新为待检测信号强度指纹，也即是，将合法信号强度分布期望、合法信号强度分布方差、合法高斯极限误差和合法信号强度标准差分别更新为待检测信号强度分布期望、待检测信号强度分布方差、待检测高斯极限误差和待检测信号强度标准差。用于下一次待检测信号强度指纹与预先存储的合法AP的合法信号强度指纹之间的比较。

在本发明实施例中，服务器端可以实时获取待检测AP发送的信标帧，且可以从获取的信标帧中提取该信标帧的信号强度指标，并进行存储。根据获取的信号强度指标来计算得到待检测信号强度分布期望、待检测信号强度分布方差、待检测高斯极限误差和待检测信号强度标准差。具体算法如下：

先获取当前滑动窗口为n的一组信标帧中的信号强度指标，例如，获取的信号强度指标为：{s0，s1，s2，……，si，……，sn}，按照公式计算得到待检测信号强度分布期望，其中，μ1表示待检测信号强度分布期望；再按照公式计算得到待检测信号强度分布方差，其中，σ2表示待检测信号强度标准差，3σ2表示待检测高斯极限误差。

对应的，合法信号强度分布期望、合法信号强度分布方差、合法高斯极限误差和合法信号强度标准差也可以采用上述算法计算得到，本发明实施例在此不进行赘述。

作为本发明实施例的一种实施方式，如果待检测信号强度分布期望与合法信号强度期望差值的绝对值不大于合法高斯极限误差，且所述待检测信号强度标准差不小于合法高斯极限误差，则按照公式计算待检测信号强度指纹和合法信号强度指纹之间的第一相似度值，其中，μ1是合法信号强度分布期望，μ2是待检测信号强度分布期望，σ1是合法信号强度标准差，σ2是待检测信号强度标准差。再根据公式skewP＝1-(10*Math.abs(skew2-skew1))，计算待检测时钟偏差与合法时钟偏差之间的第二相似度值，其中，skew1为合法时钟偏差，skew2为待检测时钟偏差；然后将第一相似度值与第二相似度值相乘，结果作为待检测AP的安全概率值；将该安全概率值与预设的概率阈值进行比较，如果安全概率值小于概率阈值，确定待检测AP为伪AP。

其中，本发明实施例预设的概率阈值可以设置为0.01，具体的数值可以根据合法AP的类型进行设置，本发明实施例不对其加以限制。

本发明实施例提供了一种基于指纹特征的伪AP检测装置，如图4所示，该装置包括：

获取模块401，用于获取待检测AP发送的信标帧，其中，待检测AP为与预先存储的合法AP的服务集标识SSID相同的AP。

提取模块402，用于从信标帧中提取待检测AP的待检测指纹特征。

对比模块403，用于将待检测指纹特征与预先存储的合法AP的合法指纹特征进行对比，根据对比结果，确定待检测AP是否为伪AP。

本发明实施例提供的一种基于指纹特征的伪AP检测装置，通过服务器端从待检测AP发送的信标帧中提取待检测AP的待检测指纹特征，并与预先存储的合法指纹特征进行对比，完成伪AP的检测。本发明实施例在检测过程中，由于待检测AP是周期性发送信标帧的，服务器端可以通过从获取的待检测AP发送的信标帧中提取待检测指纹特征，而无需通过向待检测AP发送探测数据帧来提取待检测指纹特征，则避免了攻击者因为发现探测数据帧通过关闭伪AP来躲避检测的情况，从而提高了伪AP检测的准确率。

作为本发明实施例的一种实施方式，上述提取模块402，具体用于从信标帧中提取待检测AP的待检测媒体访问控制MAC地址和待检测网络信道标识。

上述对比模块403，具体用于将待检测MAC地址和所述待检测网络信道标识，分别与预先存储的合法AP的合法MAC地址和合法网络信道标识进行匹配；如果不一致，确定待检测AP为伪AP。

作为本发明实施例的一种实施方式，待检测AP的待检测指纹特征还包括：待检测信标帧序列号。

上述对比模块403，还用于如果待检测MAC地址和待检测网络信道标识，分别与合法MAC地址和合法网络信道标识的匹配结果为一致，判断待检测信标帧序列号是否在预设范围内递增。

如果不递增，确定待检测AP为伪AP。

作为本发明实施例的一种实施方式，待检测AP的待检测指纹特征还包括：待检测时钟偏差。

上述对比模块403，还用于如果待检测信标帧序列号在预设范围内递增，将待检测时钟偏差与预先存储的合法AP的合法时钟偏差进行比较。

如果待检测时钟偏差与合法时钟偏差的差值大于第一差值阈值，确定待检测AP为伪AP。

如果待检测时钟偏差与合法时钟偏差的差值小于第二差值阈值，将合法时钟偏差更新为待检测时钟偏差，第一差值阈值大于所述第二差值阈值。

作为本发明实施例的一种实施方式，待检测AP的待检测指纹特征还包括：待检测信号强度指纹。

该待检测信号强度指纹包括：待检测信号强度分布期望、待检测信号强度分布方差、待检测高斯极限误差和待检测信号强度标准差。

上述对比模块403，还用于如果待检测时钟偏差与合法时钟偏差的差值在第二差值阈值至第一差值阈值之间，将待检测信号强度指纹与预先存储的合法AP的合法信号强度指纹进行比较，其中，合法信号强度指纹包括合法信号强度分布期望、合法信号强度分布方差、合法高斯极限误差和合法信号强度标准差。

如果待检测信号强度分布期望与合法信号强度期望差值的绝对值大于合法高斯极限误差，确定待检测AP为伪AP。

如果待检测信号强度分布期望与合法信号强度期望差值的绝对值不大于合法高斯极限误差，且待检测信号强度标准差小于合法高斯极限误差，将合法信号强度指纹更新为待检测信号强度指纹。

作为本发明实施例的一种实施方式，上述对比模块403，还用于如果待检测信号强度分布期望与合法信号强度期望差值的绝对值不大于合法高斯极限误差，且待检测信号强度标准差不小于合法高斯极限误差，按照公式计算待检测信号强度指纹和合法信号强度指纹之间的第一相似度值，其中，μ1是合法信号强度分布期望，μ2是待检测信号强度分布期望，σ1是合法信号强度标准差，σ2是待检测信号强度标准差。

根据公式skewP＝1-(10*Math.abs(skew2-skew1))，计算待检测时钟偏差与合法时钟偏差之间的第二相似度值，其中，skew1为合法时钟偏差，skew2为待检测时钟偏差。

将第一相似度值与第二相似度值相乘，结果作为待检测AP的安全概率值。

将安全概率值与预设的概率阈值进行比较，如果安全概率值小于概率阈值，确定待检测AP为伪AP。

本发明实施例还提供了一种电子设备，如图5所示，包括处理器501、通信接口502、存储器503和通信总线504，其中，处理器501，通信接口502，存储器503通过通信总线504完成相互间的通信。

存储器503，用于存放计算机程序。

处理器501，用于执行存储器503上所存放的程序时，实现如下步骤：

获取待检测AP发送的信标帧，其中，该待检测AP为与预先存储的合法AP的服务集标识SSID相同的AP。

从信标帧中提取待检测AP的待检测指纹特征。

将待检测指纹特征与预先存储的合法AP的合法指纹特征进行对比，根据对比结果，确定待检测AP是否为伪AP。

本发明实施例中，通过服务器端从待检测AP发送的信标帧中提取待检测AP的待检测指纹特征，并与预先存储的合法指纹特征进行对比，完成伪AP的检测。本发明实施例在检测过程中，由于待检测AP是周期性发送信标帧的，服务器端可以通过从获取的待检测AP发送的信标帧中提取待检测指纹特征，而无需通过向待检测AP发送探测数据帧来提取待检测指纹特征，则避免了攻击者因为发现探测数据帧通过关闭伪AP来躲避检测的情况，从而提高了伪AP检测的准确率。

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本发明实施例提供的方法可以应用于电子设备。具体的，该电子设备可以为：台式计算机、便携式计算机、智能移动终端、服务器等。在此不作限定，任何可以实现本发明的电子设备，均属于本发明的保护范围。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims

1.一种基于指纹特征的伪接入点AP检测方法，应用于服务器端，其特征在于，所述方法包括：

从所述信标帧中提取所述待检测AP的待检测指纹特征；

2.根据权利要求1所述的方法，其特征在于，所述从所述信标帧中提取所述待检测AP的待检测指纹特征的步骤，包括：

如果不一致，确定所述待检测AP为伪AP。

3.根据权利要求2所述的方法，其特征在于，所述待检测AP的待检测指纹特征还包括：待检测信标帧序列号；

所述方法还包括：

如果不递增，确定所述待检测AP为伪AP。

4.根据权利要求3所述的方法，其特征在于，所述待检测AP的待检测指纹特征还包括：待检测时钟偏差；

所述方法还包括：

5.根据权利要求4所述的方法，其特征在于，所述待检测AP的待检测指纹特征还包括：待检测信号强度指纹；

所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，还包括：

7.一种基于指纹特征的伪接入点AP的检测装置，应用服务器端，其特征在于，所述装置包括：

8.根据权利要求7所述的装置，其特征在于，所述提取模块，具体用于从所述信标帧中提取所述待检测AP的待检测媒体访问控制MAC地址和待检测网络信道标识；

所述对比模块，具体用于将所述待检测MAC地址和所述待检测网络信道标识，分别与预先存储的合法AP的合法MAC地址和合法网络信道标识进行匹配；如果不一致，确定所述待检测AP为伪AP。

9.根据权利要求8所述的装置，其特征在于，所述待检测AP的待检测指纹特征还包括：待检测信标帧序列号；

所述对比模块，还用于如果所述待检测MAC地址和所述待检测网络信道标识，分别与所述合法MAC地址和所述合法网络信道标识的匹配结果为一致，判断所述待检测信标帧序列号是否在预设范围内递增；如果不递增，确定所述待检测AP为伪AP。

10.根据权利要求9所述的装置，其特征在于，所述待检测AP的待检测指纹特征还包括：待检测时钟偏差；

所述对比模块，还用于如果所述待检测信标帧序列号在预设范围内递增，将所述待检测时钟偏差与预先存储的合法AP的合法时钟偏差进行比较；如果所述待检测时钟偏差与所述合法时钟偏差的差值大于第一差值阈值，确定所述待检测AP为伪AP；如果所述待检测时钟偏差与所述合法时钟偏差的差值小于第二差值阈值，将所述合法时钟偏差更新为所述待检测时钟偏差，所述第一差值阈值大于所述第二差值阈值。