CN110199509A - 使用多路径验证的未授权接入点检测 - Google Patents
使用多路径验证的未授权接入点检测 Download PDFInfo
- Publication number
- CN110199509A CN110199509A CN201780083880.5A CN201780083880A CN110199509A CN 110199509 A CN110199509 A CN 110199509A CN 201780083880 A CN201780083880 A CN 201780083880A CN 110199509 A CN110199509 A CN 110199509A
- Authority
- CN
- China
- Prior art keywords
- network
- detection
- access point
- communication device
- replied
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
各种实施例提供用通信装置通过经由不同的网络连接向远程服务器发送多个探测及接收探测回复来实现未授权接入点检测的方法、装置及非暂时性处理器可读存储媒体。各种实施例可包括通信装置,其经由第一网络连接发射寻址到服务器的第一探测,以及经由第二网络连接发射寻址到所述服务器的第二探测。在经由所述第一网络连接接收来自所述服务器的第一探测回复及经由所述第二网络连接服务器接收来自所述服务器的第二探测回复后,所述通信装置即可分析所述所接收的探测回复以确定所述第一网络或所述第二网络的接入点是否为未授权接入点。
Description
背景技术
破坏性或“未授权”网络端装置的存在对数据隐私构成威胁。这些未授权装置可伪装成经授权接入点,监控并路由所接收的网络流量。一旦用户连接到未授权接入点,未授权装置可能会执行各种攻击,例如中间人攻击、域名服务器(DNS)欺骗、流量转发及拒绝服务(DoS)攻击。未授权装置所接收的数据包可能被修改、重新路由到恶意第三方,或完全放弃,从而破坏正常的网络流量模式并将数据暴露到未经授权的人。
越来越多的接入技术使得用户设备能够连接到接入点,从而导致任何给定接入点呈现的攻击矢量的数目稳步增加。Wi-Fi及无线广域网(WWAN)的融合进一步增加了用户连接的数量及复杂性。接入点隐私攻击的其它贡献者是对等无线、软接入点及毫微微小区。这些技术使得各种接入技术可接入动态网络路径,从而增加各个用户设备在检验及验证网络路由完整性方面遇到的困难。需要一些方法来检测位于网络接入路径内的未授权接入点,特别是那些进行中间人攻击的接入点。
发明内容
各种实施例可包括方法、用于实施方法的装置,及非暂时性处理器可读存储媒体,所述非暂时性处理器可读存储媒体存储用于执行用于通过通信装置检测遭入侵的接入点的方法的处理器可执行指令。各种实施例可包括经由与第一网络的第一网络连接从通信装置发射寻址到服务器的第一探测,经由与第二网络的第二网络连接从通信装置发射寻址到服务器的第二探测,经由第一网络连接接收来自服务器的第一探测回复,经由第二网络连接服务器接收来自服务器的第二探测回复,且至少部分地基于第一探测回复及第二探测回复来确定第一网络或第二网络的接入点是否为未授权接入点。
一些实施例可包括响应于确定第一网络或第二网络的接入点为未授权接入点而采取行动。在此类实施例中,采取行动可包含终止与经确定为未授权接入点的第一网络的接入点或第二网络的接入点中的一者的网络连接。
在一些实施例中,至少部分地基于第一探测回复及第二探测回复来确定第一网络或第二网络的接入点是否为未授权接入点可包括分析第一探测回复及第二探测回复,至少部分地基于分析的结果而确定第一探测回复或第二探测回复是否为恶意的,且响应于确定第一探测回复或第二探测回复为恶意的而确定第一网络或第二网络的接入点为未授权接入点。在此类实施例中,分析第一探测回复及第二探测回复可包含将第一探测回复的连接结果及连接参数与第二探测回复的连接结果及连接参数进行比较。在此类实施例中,连接结果可指示在通信装置与服务器之间是否建立了安全连接。在一些实施例中,连接参数可包含安全证书的特性。在一些实施例中,连接参数可包含任何重定向统一资源定位符(URL)的安全级别。在一些实施例中,连接参数可包含域名系统查询及结果的特性。
其它实施例可包含具有处理器的计算装置,所述处理器经配置以执行上面概述的方法的操作。其它实施例可包含具有用于执行上面概述的方法的功能的装置的计算装置。其它实施例包含非暂时性处理器可读存储媒体,其上存储有处理器可执行指令,所述处理器可执行指令经配置以致使计算装置的处理器执行上面概述的方法的操作。
附图说明
并入本文中且构成此说明书的部分的随附图式说明示范性实施例,并与上文所给出的大体描述及下文所给出的详细描述一起用以阐释各种实施例的特征。
图1为适合于与各种实施例一起使用的网络的通信系统框图。
图2为说明根据各种实施例的通信装置的框图。
图3为说明根据各种实施例的通信装置与用于检测遭入侵接入点的网络之间的交互的框图。
图4为说明根据各种实施例的用于检测遭入侵接入点的通信装置与网络之间的交互的框图。
图5为说明根据各种实施例的利用通信装置检测遭入侵接入点的方法的过程流程图。
图6为说明根据各种实施例的利用通信装置进行探测回复分析的方法的过程流程图。
图7为适用于实现一些实施例的通信装置的组件框图。
具体实施方式
将参考附图详细描述各种实施例及实施方案。贯穿整个图式,在任何可能的地方将使用相同参考编号来指代相同或类似部件。对特定实例及实施方案的参考是出于说明性目的,且并不意欲限制本发明或权利要求书的范围。
术语“通信装置”及“计算装置”在本文中可互换使用以指代蜂窝电话、智能电话、个人或移动多媒体播放器、个人数据助理(PDA)、膝上型计算机、平板计算机、智能书籍、掌上型计算机、无线电子邮件接收器、具有多媒体因特网能力的蜂窝电话、无线游戏控制器以及包含可编程处理器、存储器及用于建立无线通信路径及经由无线通信路径发射/接收数据的电路的类似的个人电子装置中的任何一者或全部。各种方面可在通信装置中有用,例如移动通信装置(例如,智能电话),且因此在各种实施例的描述中提到此类装置。然而,实施例可用于能够同时建立两个不同网络连接的任何电子装置。
通信装置,例如移动通信装置(例如,智能电话),可使用各种接口技术,例如有线接口技术(例如,通用串行总线(USB)连接等)及/或空中接口技术的(也被称作为无线电接入技术或“RAT”)(例如,第三代(3G)、第四代(4G)、长期演进(LTE)、边缘、蓝牙、Wi-Fi、卫星等)。通信装置可同时(例如,同时地)经由这些接口技术中的一种以上建立到例如因特网的网络的连接。例如,移动通信装置可在移动通信装置可建立到因特网连接的Wi-Fi接入点的无线局域网(WLAN)网络连接(例如,Wi-Fi网络连接)的同时经由蜂窝塔或基站建立到因特网的LTE网络连接。通信装置同时建立两个不同网络连接的能力可使有线及无线通信装置的解决方案能够检测未授权接入点。
未授权接入点为可能会带来严重的安全风险的未经授权的网络接入点。如果由恶意行为者(攻击者)安装,那么接入点可提供对网络数据流的接入,从而使攻击者能够执行各种网络攻击,所述网络攻击修改发送给受害者的内容,伪造数字证书及公钥,DNS欺骗,密码拦截及记录等。因此,将未检测到的未授权接入点引入到网络流量路径可能会带来严重的隐私及其它风险。随着通信装置获得更多连接选项(例如,softAP、毫微微小区、合并的无线广域网(WWAN)及WiFi),攻击矢量的数目继续增加。
各种实施例提供方法、装置及非暂时性处理器可读存储媒体,其能够通过同时利用双网络接入技术来检测通信装置的遭入侵接入点。各种实施例可包含经由第一网络连接从通信装置发射寻址到服务器的第一探测,以及经由第二网络连接从通信装置发射寻址到服务器的第二探测。通信装置可同时经由两个不同的通信网络利用到同一远程服务器的连接能力。例如,通信装置可经由WiFi尝试第一连接,且经由蜂窝网络连接尝试第二连接。通信装置可经由第一网络连接接收来自服务器的第一探测回复,且经由第二网络连接服务器接收来自服务器的第二探测回复。通信装置可比较或以其它方式分析所接收的探测回复,以便至少部分地基于第一探测回复及第二探测回复而确定第一网络或第二网络的接入点是否为未授权切入点。通信装置可至少部分地基于确定第一网络或第二网络的接入点为未授权接入点来终止到服务器的网络连接中的一者。
在各种实施例中,通信装置可分析第一探测回复及第二探测回复,以确定在网络路径中是否存在未授权接入点。例如,每一探测回复可包括连接结果及连接参数。通信装置可将第一探测回复的连接结果及连接参数与第二探测回复的连接结果及连接参数进行比较。通信装置可至少部分地基础分析的结果而确定第一探测回复或第二探测回复是否为恶意的。在各种实施例中,如果确定探测回复中的一或多者为恶意的,那么通信装置可确定第一网络或第二网络的接入点为未授权接入点。
各种实施例使得通信装置能够通过使用两种不同的无线电接入技术(RAT)传输消息并比较通信回应来检测未授权接入点的存在,例如操作中间人(MitM)攻击的那些接入点。在仅使用一个网络连接的装置上检测未授权接入点,尤其是操作MitM攻击的那些接入点很困难。可能要求第三方提供证书及连接凭证的验证或鉴别。然而,在与远程服务器的每一事务处理期间与第三方通信可能会耗费通信装置的带宽及处理资源。通过利用通信装置的双网络连接能力,各种实施例可实现通信装置自身的接入点验证。因为通信装置不需要服务器或第三方的帮助来验证接入点,所以通信装置不需要花费资源来验证远程服务器的信任级别。因此,各种实施例实现了通信装置与远程服务器之间更快、更有效但安全的连接。
通信装置可针对每一探测使用不同的无线电接入技术(RAT)向远程服务器发送多个探测(即,查询)。在实例中,通信装置(例如,智能电话、膝上型计算机,平板计算机等)可使用到连接到因特网的本地网络的WiFi连接向远程服务器发送第一探测。同时,通信装置可使用蜂窝电话数据连接向远程服务器发送探测。所述探测中的每一者在前往远程服务器的路径上沿着不同的网络接入路径行进。如果沿着网络接入路径的接入点中的任何者为未授权接入点,特别是操作MitM攻击的那些接入点,那么接入点将修改探测,用其自己的信息替换识别信息。因此,当被远程服务器接收时,来自正常接入点的探测将不同于已经通过未授权接入点的探测。
计算装置接收对其发射到服务器的每一探测的一个探测回复。通过未授权接入点的任何探测回复均可能被修改。如此,如果一个探测回复已被未授权接入点修改,那么通信装置所接收的探测回复将为不同的。如果任何探测回复都没有遇到任何未授权接入点,或如果任何未授权接入点当前没有执行攻击,那么所接收到的探测回复可能为相同的。因此,计算装置比较两个所接收的响应以确定是否存在未授权接入点或中间人攻击。
在各种实施例中,通信装置可比较两个探测回复以确定未授权接入点是否沿着行进的网络路径中的任一者。通信装置可为探测回复中的每一者创建包括每一探测回复的关键特征的行为矢量。并非探测回复的每一方面均将受到未授权接入点的影响。例如,响应网页的基本视觉元素可不受影响。创建最可能由未授权接入点改变的每一探测回复的所选部分/特征的矢量可使得能够进行更快、更有效的比较。
在各种实施例中,通信装置可通过将所创建行为矢量应用于分类器模型来检测未授权接入点。分类器模型为经配置以处理行为数据的矢量(例如,行为矢量)的算法或决策标准的阵列,以便确定行为数据是否指示接入点表现出良性或非良性行为。可通过使用机器学习方法训练模型来生成分类器模型,以通过使模型处理已知与良性或非良性行为相关联的行为矢量并调整模型参数来识别良性及/或非良性行为,使得达到正确的结论。
分类器模型的此应用可生成指示未授权接入点是否存在于所行进的网络接入路径中的一者中的输出。通信装置可为每一探测回复选择分类器模型。例如,当用于联系服务器的RAT中的一者为WiFi时,通信装置可选择特定于WiFi探测的一类分类器模型。然后,通信装置将所选择的分类器模型应用于行为矢量,并且至少部分地基于比较的结果,确定探测回复是否指示非良性响应。非良性响应指示未授权接入点(例如操作中间人攻击的那些接入点)对(多个)探测回复的修改。
各种实施例可包括通信装置,其具有在通信装置的处理器上(例如在通信装置的应用处理器上,在通信装置的专用处理器上,在通信装置的调制解调器处理器上,或在通信装置的任何一或多个处理器上)运行的探测管理器。探测管理器可向网络发送探测及探测回复及从网络接收探测及探测回复,如上文所概述并在下面更详细地描述。
探测管理器可接收并记录由网络地址转换的会话遍历实用程序(STUN)服务器发送到通信装置的探测回复。探测回复可包括尝试与服务器连接的状态或结果连同多个连接参数。连接参数可包含探测被重定向到的统一资源定位符(URL),域名系统(DNS)查询/回复及/或连接证书特性。连接结果及连接参数可为与每一探测回复相关联的行为矢量中的特征。
各种实施例可使得探测管理器能够通过分析来自通过通信装置使用至少两种不同的通信技术或网络发射到服务器的探测的探测回复来检测未授权接入点或中间人攻击。各种实施例可使得探测管理器能够使用不同的通信技术将探测发射到远程服务器,并且比较所接收的响应以确定响应是否不同,当相应不同时检测路由接入点退出或中间人攻击正在进行。各种实施例中可使得探测管理器能够通过以下操作来分析来自服务器的探测回复:将所接收探测回复转换成所选择特征的矢量,其中所述特征为最有可能在中间人攻击中改变的服务器响应的那些元件,以及对矢量执行分析,例如比较从经由两个不同通信技术发送的探测接收的响应的两个矢量。各种实施例中可使得探测管理器经由两个不同通信技术探测远程服务器,接收来自服务器的探测回复,并将所述探测回复与行为模型进行比较。
各种实施例可在各种通信系统100内实施,所述通信系统的实例在图1中说明。移动网络102通常包含多个蜂窝基站(例如,第一基站130)。网络102还可被所属领域的技术人员称为接入网络、无线电接入网络、基站子系统(BSS)、通用移动电信系统(UMTS)地面无线电接入网络(UTRAN)等。网络102可使用相同或不同的无线接口技术及/或物理层。在一个实施例中,基站130可由一或多个基站控制器(BSC)控制。也可使用替代网络配置,且实施例不限于所说明配置。
第一通信装置110可通过到第一基站130的蜂窝连接132与移动网络102通信。第一基站130可经由有线连接134与移动网络102通信。
蜂窝连接132可通过例如以下各项的双向无线通信链路进行:全球移动通信系统(GSM)、UMTS(例如,长期演进(LTE))、频分多址(FDMA)、时分多址(TDMA)、码分多址(CDMA)(例如,CDMA 1100 1x)、WCDMA、个人通信(PCS)、第三代(3G)、第四代(4G)、第五代(5G)或其它移动通信技术。在各种实施例中,通信装置110可在驻留在由基站130管理的小区之后接入网络102。
网络102可通过公共交换电话网(PSTN)124及/或因特网164互连,网络102可跨越所述公共交换电话网及/或因特网将各种传入及传输通信路由往返通信装置110。
在一些实施例中,第一通信装置110可与无线接入点160建立无线连接162,例如经由WLAN连接(例如,Wi-Fi连接)。在一些实施例中,第一通信装置110可与第二通信装置172建立无线连接170(例如,个人区域网络连接,例如蓝牙连接)及/或有线连接171(例如,USB连接)。第二通信装置172可经配置以例如经由WLAN连接(例如,Wi-Fi连接)与无线接入点160建立无线连接173。无线接入点160可经配置以经由有线连接166(例如经由一或多个调制解调器及路由器)连接到因特网164或另一网络。传入及传出通信可经由连接162、170及/或171跨越因特网164路由往返通信装置110。在一些实施例中,接入点160可经配置以运行网络地址转换(NAT)服务,在将相应数据流路由到因特网164之前,将第一通信装置110及第二通信装置172的本地网络地址映射到公共因特网协议(IP)地址及端口。
图2为适合于实施各种实施例的实例通信装置110的功能框图。参考图1到2,通信装置110可包括第一订户识别模块(SIM)接口202a,其可接收与第一订阅相关联的第一识别模块SIM 204a。
在各种实施例中,SIM可为通用集成电路卡(UICC),其经配置有SIM及/或通用SIM(USIM)应用,使得能够接入例如GSM及/或UMTS网络。UICC还可为电话簿及其它应用程序提供存储。替代地,在CDMA网络中,SIM可为卡上的UICC可移除用户识别模块(R-UIM)或CDMA订户识别模块(CSIM)。每一SIM卡可具有CPU、ROM、RAM、EEPROM及I/O电路。
在各种实施例中使用的SIM可含有订户帐户信息、国际移动订户识别(IMSI)、一组SIM应用工具包(SAT)命令以及用于电话簿联系人的存储空间。SIM卡可进一步存储家庭识别符(例如,系统识别号(SID)/网络识别号(NID)对,家庭PLMN(HPLMN)代码等)以指示SIM卡网络运营商提供商。SIM卡上印有集成电路卡识别(ICCID)SIM序列号,以便识别。然而,SIM可通信装置110的存储器(例如,存储器214)的部分内实施,且因此不需要为单独的或可拆除电路、芯片或卡。
通信装置110可包含至少一个控制器,例如通用处理器206,其可耦合到编码器/解码器(CODEC)208。CODEC 208又可耦合到扬声器210及麦克风212。通用处理器206还可耦合到存储器214。存储器214可为存储处理器可执行指令的非暂时性计算机可读存储媒体。例如,指令可包含通过对应的射频(RF)资源链路由通信数据。
存储器214可存储操作系统(OS),以及用户应用软件及可执行指令。存储器214还可存储应用数据,例如阵列数据结构。
通用处理器206及存储器214可各自耦合到至少两个调制解调器处理器216a及216b。第一RF资源链可包含第一调制解调器处理器216a,其可执行用于与接口技术通信/控制接口技术的基带/调制解调器功能,且可包含一或多个放大器和及无线电,本文中通常被称作为RF资源(例如,RF资源218a)。通信装置110中的SIM 204a可使用第一RF资源链。RF资源218a可耦合到天线220a,且可执行用于与通信装置110的无线服务(例如与SIM 204a相关联的服务)的发射/接收功能。RF资源218a可提供单独的发射及接收功能,或可包含组合发射器及接收器功能的收发器。第二RF资源链可包含第二调制解调器处理器216b,其可执行用于与接口技术通信/控制接口技术的基带/调制解调器功能,且可包含一或多个放大器和及无线电,本文中通常被称作为RF资源(例如,RF资源218b)。RF资源218b可耦合到天线220b,且可执行用于与通信装置110的无线服务的发射/接收功能。RF资源218b可提供单独的发射及接收功能,或可包含组合发射器及接收器功能的收发器。
在各种实施例中,包含第一调制解调器处理器216a的第一RF资源链及包含第二调制解调器处理器216b的第二RF资源链可与不同的接口技术相关联。例如,一个RF资源链可与蜂窝空中接口技术相关联,且另一RF资源链可与WLAN技术相关联。作为另一实例,一个RF资源链可与蜂窝空中接口技术相关联,且另一RF资源链可与个人区域网(PAN)技术相关联。作为另一实例,一个RF资源链可与PAN技术相关联,且另一RF资源链可与WLAN技术相关联。作为另一实例,一个RF资源链可与蜂窝空中接口技术相关联,且另一RF资源链可与卫星接口技术相关联。作为另一实例,一个RF资源链可与WLAN技术相关联,而另一RF资源链可与卫星空中接口技术相关联。在各种实施例中可替换不同接口技术的其它组合,包含有线及无线组合,且蜂窝空中接口技术、WLAN技术、卫星接口技术及PAN技术仅用作实例来说明各种实施例的各方面。
在一些实施例中,通用处理器206、存储器214、调制解调器处理器216a、216b及RF资源218a、218b可作为单片系统包含在通信装置110中。在一些实施例中,SIM 204a及对应接口202a可在单片系统的外部。此外,各种输入及输出装置可耦合到单片系统上的组件,例如接口或控制器。适用于通信装置110的实例用户输入组件可包含但不限于小键盘224、触摸屏显示器226及麦克风212。
在一些实施例中,小键盘224、触摸屏显示器226、麦克风212或其组合可执行接收起始传出呼叫的请求的功能。例如,触摸屏显示器226可从联系人列表接收对联系人的选择或接收电话号码。在另一实例中,触摸屏显示器226及麦克风212中的任一者或两者可执行接收起始传出呼叫的请求的功能。作为另一实例,起始传出呼叫的请求可呈经由麦克风212接收的语音命令的形式。可在通信装置110中的各种软件模块与功能之间提供接口,以实现其之间的通信。上文所论述的到小键盘224、触摸屏显示器226及麦克风212的输入仅被提供作为可在通信装置110上起始传出呼叫及/或起始其它动作的输入类型的实例。任何其它类型的输入或输入组合在各种实施例中可用于在通信装置110上起始传出呼叫及/或起始其它动作。
通信装置110可包含探测管理器230,其经配置以管理网络探测。探测管理器230可经配置以经由通信装置110的不同接口技术发送探测。探测管理器230可进一步经配置以经由通信装置110的不同接口技术接收探测回复。
在一些实施例中,探测管理器230可在通用处理器206内实施。在一些实施例中,探测管理器230可实施为单独的硬件组件(即,与通用处理器206分离)。在一些实施例中,探测管理器230可实施为存储在存储器214内且由通用处理器206执行的软件应用程序。在各种实施例中,探测管理器230—调制解调器处理器216a、216b、RF资源218a、218b及/或SIM204a可以硬件、软件、固件或其任何组合来实施。
虽然图2中说明包含第一调制解调器处理器216a及第二调制解调器处理器216b的两个RF资源链,通信装置110中可包含额外RF资源链及额外调制解调器处理器,从而能够同时进行额外网络连接。另外,可经由连接到通信装置110的输入/输出端口的调制解调器处理器建立有线连接。
图3为说明根据各种实施例的通信装置(例如,参考图1到3所描述的通信装置110)与用于网络探测的网络300之间的交互的网络图。一或多个通信装置110可与例如无线接入点160及路由器302之类的一或多个接入点建立WLAN接口技术的网络连接。一或多个通信装置110可例如通过基站130建立蜂窝接口技术的网络连接。网络300表示一种配置,其中不存在任何未授权接入点,且适于实施各种实施例。
通信装置110可生成寻址到由路由器302及公用网络310连接到接入点160的远程服务器304的探测。无线接入点160可接收探测,确定目的地IP及目的地端口并沿着网络路径将其传递朝向远程服务器304。在一些实施例中,网络业务路径可含有多个合法的无线接入设备,例如无线接入点160及路由器302。同时,通信装置110可生成探测并经由蜂窝网络连接例如通过基站130将所述探测发射到删除服务器304。
寻址到远程服务器304的探测可经由公用网络310(例如,因特网164)从无线接入点160或路由器302或基站130路由到远程服务器304。类似地,远程服务器304可经由公用网络310将探测回复发射到基站130与路由器302或无线接入点160两者,无论哪一接入点接下来在网络业务路径中(即,最接近于网络路径中的远程服务器)。每一探测可行进不同的网络接入路径,因为其经由不同的网络通信技术跨越不同服务提供商的网络发射。在各种实施例中,每一探测回复可沿着与起始探测到达远程服务器304的网络接入路径相同的网络接入路径返回。
图4为说明根据各种实施例的通信装置(例如,参考图1到4所描述的通信装置110)与用于网络探测的网络400之间的交互的网络图。一或多个通信装置110可建立WLAN接口技术与例如无线接入点160、未授权接入点306及路由器302的一或多个接入点的网络连接。一或多个通信装置110也可经由基站130经由蜂窝网络接口连接到远程服务器。网络400表示其中未授权接入点存在于网络业务路径中且适合于实施各种实施例的配置。
如参考图3所述,通信装置110可生成寻址到远程服务器304的多个探测。如图4中所说明,通信装置110连接到未授权接入点306并与其相关联。因为未授权接入点306没有授权接入通信装置110及远程服务器304的数据流回程以及安全信息,所以未授权接入点可改变从通信装置接收的探测并插入其自己的识别信息。因此,由通信装置发送的探测可通过变更的识别信息到达远程服务器。
通信装置还可经由基站130连接到蜂窝网络接口且与蜂窝网络接口相关联。在通信装置将第一探测发射到未授权接入点306的同时,通信装置110还可向第一基站130发射第二探测。因此,通信装置可经由两个不同网络接入技术向远程服务器304发射相同探测。
参考图3,无线接入点160可直接从通信装置110接收探测,或作为来自未授权接入点306的公共流接收探测。从通信装置110到达的探测可具有含有包含通信装置110的源IP及源端口的5元组的分组标头。然而,因为源于通信装置110的探测的分组标头在分组遍历未授权接入点306时被修改,所以在无线接入点160处接收的探测的源IP地址及源端口将反映与未授权接入点306相关联的IP及端口。
在各种实施例中,通信装置110可使用不同的接入技术与两个单独的网络建立连接。使用多个接口,通信装置可经由每一网络接口将探测发射到远程服务器304。每一探测可为例如经由WiFi或蜂窝数据网络发布的超文本传送协议(HTTP)请求的请求。远程服务器304可独立地处理每一请求,且可将每一请求重定向到安全网站。
在各种实施例中,远程服务器304可向所发射探测中的每一者发射探测回复。每一探测回复可能含有例如以下信息:连接是否成功建立、超文本传送协议安全(HTTPS)重定向状态、探测重定向到的任何网站的URL;安全证书特性、DNS查询/回复等。对于不同的网络接入技术的探测回复之间的重定向URL可能不同。然而,在正常的非MitM修改情况下,两个请求均可重定向到安全服务器,即使每一请求均被重定向到不同的安全服务器。
在各种实施例中,可比较所接收的探测回复以检测未授权接入点攻击指示(例如,MitM攻击指示),例如基于蜂窝的探测上的HTTP重定向户基于WiFi的探测上的未加密的HTTP响应。比较来自两个或多于两个接口的探测回复以生成特征矢量。特征矢量可为矢量、矩阵或含有表示探测回复的特性的元素的其它数据结构。探测回复之间的不匹配可能指示存在未授权接入点。如果检测到不匹配,那么探测管理器230可将表示两个探测回复的比较的特征矢量提交到处理器。处理器可将特征矢量与表示模型探测回复的分类器模型进行比较,以确定不匹配是否与分类器模型不同。以此方式,处理器可检测MitM攻击,经由未授权连接注入的恶意代码,经由SSL剥离连接以明文交换的敏感信息(例如,密码)等。
处理器可分析探测回复的分量,例如响应大小;Java脚本块、Iframes/HTTP表单;持久性/会话相关的小型文字档、HTTP/HTTPS小型文字档;所接收的响应摘要(例如,响应的时不变内容的散列摘要,可在检测过程中使用不同的请求/响应元素)。可将这些特征与被确定为正常的探测回复响应对的相同响应进行比较。通信装置110可在本地存储正常探测回复对的实例及/或根据需要从可信远程源请求它们。
在各种实施例中,通信装置110可利用机器学习或其它形式的分析来确定探测回复是否表示恶意行为并因此指示存在未授权接入点。由于恶意行为者可能会尝试使用MitM攻击破坏基本安全措施,因此仅在探测回复之间连接URL或IP地址匹配的结果可能不足以验证不存在未授权接入点。因此,连接状态的匹配虽然为有用的指示符,但不足以保证每一网络接入路径的准确性。为了提供更精细且准确的恶意行为检测,通信装置110包含特征矢量中的连接参数以供分析。
连接参数可包含启用的安全协议(例如,是否在一或多个网络接口上启用安全套接字层(SSL))。连接参数还可包含所支持的安全方案、加密/认证模式及配置(例如,在一或多个网络接口上启用相互认证)。通信参数可包含沿着网络接入路径的接入点的认证特性。认证特征可包含例如证书类及认证机构(例如,第3类与自签名),任何所支持的安全协议(例如,所支持的加密算法、密钥大小)及证书期满(例如,在一个路径上的期满证书)。通信参数可进一步包含重定向URL信息。这可包含关于重定向到具有较低安全级别的URL的信息(例如,重定向到SSL在一或多个接口上启用页面)。通信参数还可包含DNS查询/响应信息。此信息可包含响应于DNS查询的返回(URL,IP)对,针对相同域名的解析的IP的差异(例如,服务器位于不同的地理位置、一个接口上的任意URL的DNS解析)。这些连接参数中的一或多者可表示为特征矢量中的元素。
在一些实施例中,特征矢量可为第一探测回复与第二探测回复之间的比较的输出。例如,特征矢量可含有指示探测回复之间存在差异的那些特征的元素。在此实例中,对应于探测回复之间存在匹配的参数的特征矢量的元素可等于1或0以指示匹配。在一些实施例中,元素可为指示行为矢量的对应元素与分类器模型之间的差异程度的值。可将所得到的特性矢量与分类器模型进行比较,以便确定差异的数目及性质是否指示恶意行为,并因此确定未授权接入点。
在一些实施例中,每一探测回复可具有其自己的特征矢量,其中每一元素表示探测回复的所述通信连接及通信参数。可将每一特征矢量与分类器模型进行比较,以检测可能指示恶意行为的可疑特征。然后可比较这些结果以确定是否存在可疑特征之间的任何匹配。
各种实施例使得能够动态地随时地比较经由不同网络接口从远程服务器接收的探测回复。各种实施例不需要通信装置110上的预加载或动态服务器简档。如此,即使访问为第一次访问,也可利用通信装置110接入的任何网站来实施各种实施例。
对手很难同时控制两个无线接入技术。例如,WiFi未授权接入点攻击者不可能在其对WiFI接入点施加控制的同时控制蜂窝网络。因此,各种实施例可使得通信装置能够通过利用多种网络接入技术来连接到远程服务器并分析两种连接尝试的结果来动态地检测未授权接入点。这样做,各种实施例可通过使其能够检测未授权接入点并因此避免经由相关联网络接口接入远程服务器来提高通信装置的安全性。各种实施例可进一步改善通信装置的性能,可消除消耗可用带宽及电池资源的与第三方或云服务的常规通信的需要。
图5说明根据各种实施例的用于检测未授权接入点的方法500。参考图1到5,方法500可用通信装置(例如,参考图1到2所描述的通信装置110)的处理器(例如,通用处理器206、调制解调器处理器216a、216b,单独的控制器等)来实施。例如,方法500可由在通信装置(例如,参考图1到2所描述的通信装置110)的处理器(例如,通用处理器206、调制解调器处理器216a、216b,单独的控制器等)上运行的探测管理器(例如,探测管理器230)来实施。
在框502中,探测管理器可经由第一网络连接发射寻址到服务器的第一探测,及经由第二网络连接发射寻址到服务器的第二探测。探测管理器可生成例如HTTP请求的探测,且可经由网络连接中的每一者将相同的探测(或功能等同的探测)发射到同一远程服务器(即,远程服务器304)。例如,第一探测可经由以太网或WiFi网络接口发射,而第二探测经由蜂窝数据网络接口发射。
在框504中,探测管理器可经由第一网络连接接收来自服务器的第一探测回复,且经由第二网络连接服务器接收来自服务器的第二探测回复。远程服务器304可接收第一及第二探测,且可经由一或两个网络接口与通信装置建立安全连接。在一些实施例中,远程服务器的URL或相关联的IP可能不安全,且可将探测重定向到安全服务器以进行连接。然后,远程服务器304可响应于每一探测发射探测回复。第一探测回复可沿着第一网络连接返回,行进相同的网络接入路径以到达通信装置。类似地,第二探测回复可沿着第二网络连接的网络接入路径行进以到达通信装置。当探测回复行进时,可通过沿着网络接入路径的跃点来修改其分组标头。由通信装置接收的探测回复可含有与连接尝试成功相关联的连接状态及连接参数以及沿着网络接入路径的跃点的识别及安全信息。
在确定框506中,探测管理器可至少部分地基于第一探测回复及第二探测回复来确定第一网络或第二网络的接入点是否为未授权接入点。探测管理器或通信装置的处理器可分析第一探测回复及第二探测回复,以确定回复中的任一者是否表示恶意行为,且因此沿着网络接入路径是否存在未授权接入点。
响应于确定第一网络或第二网络的任何接入点均不是未授权接入点(即,确定框506=“否”),探测管理器可在框508中经由网络连接中的一或多者来维持与服务器的连接。因此,如果没有检测到恶意行为,那么通信装置110可继续如通常操作且与沿着网络接口中的一者或两者与远程服务器304进行通信。
响应于确定第一网络或第二网络的接入点为未授权接入点(即,确定框506=“是”),探测管理器可在框510中终止服务器的网络连接。如果通信装置110的探测管理器或处理器确定在网络接入路径中存在未授权接入点(例如,MitM攻击),那么通信装置可采取行动来保护通信装置。例如,通信装置可经由一或两个网络接口终止与远程服务器的连接。作为另一实例,通信装置可经由蜂窝网络(即,第二网络连接)维持与远程服务器304的连接,但可响应于确定WiFi网络接入点为未授权接入点而放弃WiFi网络接口连接。任选地,通信装置可向管理员报告未授权接入点的检测。
图6说明根据各种实施例且如图5中的框506中所说明用于确定接入点是否为未授权接入点的方法600。参考图1到6,方法600可用通信装置(例如,参考图1到2所描述的通信装置110)的处理器(例如,通用处理器206、调制解调器处理器216a、216b,单独的控制器等)来实施。例如,方法600可由在通信装置(例如,参考图1到2所描述的通信装置110)的处理器(例如,通用处理器206、调制解调器处理器216a、216b,单独的控制器等)上运行的探测管理器(例如,探测管理器230)来实施。
在框602中,探测管理器可分析第一探测回复及第二探测回复。例如,通信装置的探测管理器或处理器可将每一探测回复的连接状态及连接参数彼此进行比较。比较的结果,例如不匹配/差异,可放在特征矢量中。特征矢量可为表示探测回复特征的元素的矩阵或矢量。所生成的特性矢量可表示两个探测回复不匹配的特征。
在确定框604中,探测管理器可至少部分地基于分析的结果来确定第一探测回复或第二探测回复是否为恶意的。探测管理器或处理器可将特征矢量与分类器模型进行比较,例如包含表示预期探测回复行为的元素的另一矢量。探测管理器可分析分类器模型及特征矢量之间的差异的范围、性质及数目,以确定比较两个探测回复的结果是否指示恶意行为正在发生。
响应于确定第一探测回复或第二探测回复均非恶意的(即,确定框604=“否”),探测管理器可在框606中确定沿着任一行进的网络路径未放置任何为未授权接入点的接入点。响应于确定沿着任一行进网络路径不存在任何未授权接入点,通信装置可继续经由任一网络通信。
响应于确定第一网络或第二网络的接入点为未授权接入点(即,确定框604=“是”),探测管理器可在框608中确定第一网络或第二网络的接入点为未授权接入点。探测回复表示恶意活动的指示可为沿着网络接入路径存在未授权接入点的指示。因此,响应于确定沿着任一行进的网络路径存在未授权接入点,通信装置可经由包含未授权接入点的网络终止与远程服务器的连接。
各种实施例可在各种通信装置中的任何一者中实施,其上的实例(例如,通信装置700)在图7中说明。参考图1到7,通信装置700可类似于通信装置110,且可实施如所描述的方法500及/或方法600。
通信装置700可包括耦合到触摸屏控制器704及内部存储器706的处理器702。处理器702可为指定用于一般或特定处理任务的一或多个多核集成电路。内部存储器706可为易失性或非易失性存储器,且还可为安全及/或加密存储器,或不安全及/或未加密的存储器,或其任何组合。触摸屏控制器704及处理器702还可耦合到触摸屏面板712,例如电阻感测触摸屏、电容感应触摸屏,红外感测触摸屏等。另外,通信装置700的显示器不需要具有触摸屏幕功能。
通信装置700可具有一或多个蜂窝网络收发器708,其耦合到处理器702及一或多个天线710且经配置用于发送及接收蜂窝通信。收发器708及天线710可与本文中所提及的电路一起使用以实施各种实施例的方法。通信装置700可包含耦合到收发器708及/或处理器702且如所描述配置的一或多个SIM卡(例如,SIM 713)。通信装置700可包含耦合到处理器702的蜂窝网络无线调制解调器芯片717,所述处理器经由蜂窝网络实现通信。
通信装置700可具有一或多个WLAN收发器716(例如,一或多个Wi-Fi收发器),其耦合到处理器702及一或多个天线711且经配置用于发送及接收WLAN通信。收发器716及天线711可与本文中所提及的电路一起使用以实施各种实施例的方法。通信装置700可包含耦合到处理器702的WLAN无线调制解调器芯片718,所述处理器实现经由WLAN的通信。
通信装置700可具有一或多个蓝牙收发器721,其耦合到处理器702且经配置用于发送及接收蓝牙通信。蓝牙收发器721可与本文中所提及的电路一起使用以所述各种实施例的方法。通信装置700可包含耦合到处理器702的蓝牙无线调制解调器芯片723,所述处理器经由蓝牙实现通信。
通信装置700可具有一或多个卫星收发器724,其耦合到处理器702及一或多个天线725且经配置用于发送及接收蓝牙通信。收发器724及天线725可与本文中所提及的电路一起使用以实施各种实施例的方法。通信装置700可包含耦合到处理器702的卫星无线调制解调器芯片726,所述处理器经由卫星网络实现通信。
通信装置700还可包含用于提供音频输出的扬声器714。通信装置700还可包含由塑料、金属或材料组合构成的壳体720用于容纳在本文中所论述的所有或一些组件。通信装置700可包括耦合到处理器702的电源722,例如一次性电池或可充电电池。可再充电电池还可耦合到外围装置连接端口,以从在通信装置700外部的电源接收充电电流。外围装置连接端口,例如USB端口,可连接到处理器702,且可经配置成经由有线接口技术建立的有线网络连接,且可与本文中所提及的电路一起使用以实施各种实施例的方法。通信装置700还可包含用于接收用户输入的物理按钮728。通信装置700还可包含用于打开及关闭通信装置700的电源按钮727。
前述方法说明及过程流程图仅作为说明性实例提供且并不打算需要或暗指各种实施例的操作必须以所呈现次序执行。如所属领域的技术人员将了解,可以任一次序执行前述实施例中的操作的次序。例如“此后”、“接着”、“接下来”等词语并不打算限制操作的次序;这些词语仅用于指导读者理解所述方法的描述。此外,以单数形式对权利要求书要素的任何提及(举例来说,使用冠词“一(a)”、“一(an)”或“所述(the)”)不应理解为将要素限制为单数。
结合本文中所揭示的实施例而描述的各种说明性逻辑块、模块、电路及算法操作可实施为电子硬件、计算机软件或两者的组合。为清楚地说明硬件及软件的此可互换性,上文通常已就其功能性方面描述了各种说明性组件、块、模块、电路及操作。将此功能性实施为硬件还是软件取决于特定应用及强加于整个系统的设计约束。虽然所属领域的技术人员可针对每一特定应用以变化方式实施所描述功能性,但不应将此些实施方案决策解释为导致对各种实施例的范围的脱离。
用于实施结合本文中所揭示的实施例所描述的各种说明性逻辑、逻辑块、模块及电路的硬件可用各种处理器实施或执行。合适的处理器的实例包含例如经设计用于执行本文中所描述功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件,或其任何组合。通用处理器可为微处理器,但在替代方案中,处理器可为任何常规处理器、控制器、微控制器或状态机。还可将处理器实施为计算装置的组合,例如DSP与微处理器的组合、多个微处理器、结合DSP核心的一或多个微处理器或任一其它此类配置。替代地,可由给定功能所特有的电路来执行一些操作或方法。
在一或多个示范性方面中,所描述的功能可以硬件、软件、固件或其任一组合来实施。如果以软件实施,那么所述功能可存储为非暂时性计算机可读存储媒体或非暂时性处理器可读存储媒体上的一或多个指令或代码。本文中所揭示的方法或算法的操作可以可驻存于非暂时性计算机可读或处理器可读存储媒体上的处理器可执行软件模块体现。非暂时性计算机可读或处理器可读存储媒体可为可由计算机或处理器存取的任何存储媒体。通过实例但非限制的方式,此类非暂时性计算机可读或处理器可读存储媒体可包含随机存取存储器(RAM)、唯读存储器(ROM)、电可擦除/可编程只读存储器(EEPROM)、FLASH存储器、光盘只读存储器(CD-ROM)或其它光盘存储装置、磁盘存储装置或其它磁性存储装置或者可用于以指令或数据结构的形式存储所要程序代码且可由计算机存取的任何其它媒体。如本文中所使用,磁盘及光盘包含压缩光盘(CD)、激光光盘、光学光盘、数字通用光盘(DVD)、软磁盘及蓝光光盘,其中磁盘通常以磁性方式再现数据,而光盘借助激光以光学方式再现数据。以上各项的组合也包含于非暂时性计算机可读及处理器可读媒体的范围内。另外,方法或算法的操作可作为代码及/或指令中的一者或任一组合或者集驻存于可并入到计算机程序产品中的非暂时性处理器可读存储媒体及/或计算机可读存储媒体上。
所揭示实施例的前述描述经提供以使得所属领域的技术人员能够制作或使用各种实施例。对这些实施例的各种修改对所属领域的技术人员将显而易见,且本文中所定义的一般原理可适用于一些实施例而不脱离权利要求书的范围。因此,本发明并不打算限制于本文中所展示的实例,而是被赋予与本文中所揭示的所附权利要求书及原理以及新颖特征相一致的最宽广范围。
Claims (28)
1.一种通过通信装置检测遭入侵接入点的方法,其包括:
经由与第一网络的第一网络连接从所述通信装置发射寻址到服务器的第一探测;
经由与第二网络的第二网络连接从所述通信装置发射寻址到所述服务器的第二探测;
通过所述通信装置经由所述第一网络连接接收来自所述服务器的第一探测回复;
通过所述通信装置经由所述第二网络连接服务器接收来自所述服务器的第二探测回复;及
通过所述通信装置至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点。
2.根据权利要求1所述的方法,其进一步包括:响应于确定所述第一网络或所述第二网络的接入点为未授权接入点而采取行动。
3.根据权利要求2所述的方法,其中采取行动包括:终止与经确定为未授权接入点的所述第一网络的接入点或所述第二网络的接入点中的一者的网络连接。
4.根据权利要求1所述的方法,其中至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点包括:
分析所述第一探测回复及所述第二探测回复;
至少部分地基于分析所述第一探测回复及所述第二探测回复的结果来确定所述第一探测回复或所述第二探测回复是否为恶意的;及
响应于确定所述第一探测回复或所述第二探测回复为恶意的,确定所述第一网络或所述第二网络的接入点为未授权接入点。
5.根据权利要求1所述的方法,其中至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点包括:将所述第一探测回复的连接结果及连接参数与所述第二探测回复的连接结果及连接参数进行比较。
6.根据权利要求5所述的方法,其中所述连接结果指示在所述通信装置与所述服务器之间是否建立安全连接。
7.根据权利要求5所述的方法,其中所述连接参数包含安全证书的特性。
8.根据权利要求5所述的方法,其中所述连接参数包含任何重定向统一资源定位符URL的安全级别。
9.根据权利要求5所述的方法,其中所述连接参数包含域名系统查询及结果的特性。
10.一种通信装置,其包括:
第一收发器,其经配置以经由第一网络连接与第一网络通信;
第二收发器,其经配置以经由第二网络连接与第二网络通信;
处理器,耦合到所述第一及第二收发器,且经配置有处理器可执行指令以执行包括以下操作的操作:
经由第一网络连接从所述通信装置发射寻址到服务器的第一探测;
经由第二网络连接从所述通信装置发射寻址到所述服务器的第二探测;
经由所述第一网络连接接收来自所述服务器的第一探测回复;
经由所述第二网络连接服务器接收来自所述服务器的第二探测回复;及
至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点。
11.根据权利要求10所述的通信装置,其中所述处理器经进一步配置有处理器可执行指令以执行操作,所述操作进一步包括响应于确定所述第一网络或所述第二网络的接入点为未授权接入点的动作。
12.根据权利要求11所述的通信装置,其中所述处理器经进一步配置有处理器可执行指令以执行操作,使得采取行动包括终止与经确定为未授权接入点的所述第一网络的接入点或所述第二网络的接入点中的一者的网络连接。
13.根据权利要求10所述的通信装置,其中所述处理器经进一步配置有处理器可执行指令以执行操作,使得至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点包括:
分析所述第一探测回复及所述第二探测回复;
至少部分地基于分析所述第一探测回复及所述第二探测回复的结果来确定所述第一探测回复或所述第二探测回复是否为恶意的;及
响应于确定所述第一探测回复或所述第二探测回复为恶意的,确定所述第一网络或所述第二网络的接入点为未授权接入点。
14.根据权利要求10所述的通信装置,其中所述处理器经进一步配置有处理器可执行指令以执行操作,使得至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点包括:将所述第一探测回复的连接结果及连接参数与所述第二探测回复的连接结果及连接参数进行比较。
15.根据权利要求14所述的通信装置,其中所述连接结果指示在所述通信装置与所述服务器之间是否建立安全连接。
16.根据权利要求14所述的通信装置,其中所述连接参数包含安全证书的特性。
17.根据权利要求14所述的通信装置,其中所述连接参数包含任何重定向统一资源定位符URL的安全级别。
18.根据权利要求14所述的通信装置,其中所述连接参数包含域名系统查询及结果的特性。
19.一种通信装置,其包括:
用于经由与第一网络的第一网络连接从所述通信装置发射寻址到服务器的第一探测的装置;
用于经由与第二网络的第二网络连接从所述通信装置发射寻址到所述服务器的第二探测的装置;
用于经由所述第一网络连接接收来自所述服务器的第一探测回复的装置;
用于经由所述第二网络连接服务器接收来自所述服务器的第二探测回复的装置;及
用于至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点的装置。
20.根据权利要求19所述的通信装置,其进一步包括:用于响应于确定所述第一网络或所述第二网络的接入点为未授权接入点而采取行动的装置。
21.根据权利要求20所述的通信装置,其中用于采取行动的装置包括:用于终止与经确定为未授权接入点的所述第一网络的接入点或所述第二网络的接入点中的一者的网络连接的装置。
22.根据权利要求19所述的通信装置,其中用于至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点的装置包括:
用于分析所述第一探测回复及所述第二探测回复的装置;
用于至少部分地基于分析所述第一探测回复及所述第二探测回复的结果来确定所述第一探测回复或所述第二探测回复是否为恶意的装置;及
用于响应于确定所述第一探测回复或所述第二探测回复为恶意的,确定所述第一网络或所述第二网络的接入点为未授权接入点的装置。
23.根据权利要求19所述的通信装置,其中用于至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点的装置包括:将所述第一探测回复的连接结果及连接参数与所述第二探测回复的连接结果及连接参数进行比较。
24.一种非暂时性处理器可读媒体,其上存储有可执行指令,所述可执行指令致使通信装置的处理器执行包括以下操作的操作:
经由与第一网络的第一网络连接从所述通信装置发射寻址到服务器的第一探测;
经由与第二网络的第二网络连接从所述通信装置发射寻址到所述服务器的第二探测;
经由所述第一网络连接接收来自所述服务器的第一探测回复;
经由所述第二网络连接服务器接收来自所述服务器的第二探测回复;及
至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点。
25.根据权利要求24所述的非暂时性处理器可读媒体,其中所述所存储的处理器可执行指令经配置以致使所述通信装置的所述处理器执行进一步包括以下的操作:响应于确定所述第一网络或所述第二网络的接入点为未授权接入点而采取行动。
26.根据权利要求25所述的非暂时性处理器可读媒体,其中所述所存储的处理器可执行指令经配置以致使所述通信装置的所述处理器执行操作,使得采取行动包括终止与经确定为未授权接入点的所述第一网络的接入点或所述第二网络的接入点中的一者的网络连接。
27.根据权利要求24所述的非暂时性处理器可读媒体,其中所述所存储的处理器可执行指令经配置以致使所述通信装置的所述处理器执行操作,使得至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点包括:
分析所述第一探测回复及所述第二探测回复;
至少部分地基于分析所述第一探测回复及所述第二探测回复的结果来确定所述第一探测回复或所述第二探测回复是否为恶意的;及
响应于确定所述第一探测回复或所述第二探测回复为恶意的,确定所述第一网络或所述第二网络的接入点为未授权接入点。
28.根据权利要求24所述的非暂时性处理器可读媒体,其中所述所存储处理器可执行指令经配置以致使所述通信装置的所述处理器执行操作,使得至少部分地基于所述第一探测回复及所述第二探测回复来确定所述第一网络或所述第二网络的接入点是否为未授权接入点包括:将所述第一探测回复的连接结果及连接参数与所述第二探测回复的连接结果及连接参数进行比较。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/418,693 US10447717B2 (en) | 2017-01-28 | 2017-01-28 | Network attack detection using multi-path verification |
| US15/418,693 | 2017-01-28 | ||
| PCT/US2017/063591 WO2018140132A1 (en) | 2017-01-28 | 2017-11-29 | Rogue access point detection using multi-path verification |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110199509A true CN110199509A (zh) | 2019-09-03 |
| CN110199509B CN110199509B (zh) | 2021-11-05 |
Family
ID=60703132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780083880.5A Active CN110199509B (zh) | 2017-01-28 | 2017-11-29 | 使用多路径验证的未授权接入点检测 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US10447717B2 (zh) |
| EP (1) | EP3574621B1 (zh) |
| KR (1) | KR102581559B1 (zh) |
| CN (1) | CN110199509B (zh) |
| AU (1) | AU2017396514B2 (zh) |
| BR (1) | BR112019015119A2 (zh) |
| SG (1) | SG11201905582PA (zh) |
| TW (1) | TW201828649A (zh) |
| WO (1) | WO2018140132A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491785A (zh) * | 2020-10-16 | 2021-03-12 | 浙江工业大学 | 一种基于多路径切换的无限制DoS攻击防护方法 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10447717B2 (en) * | 2017-01-28 | 2019-10-15 | Qualcomm Incorporated | Network attack detection using multi-path verification |
| KR101999148B1 (ko) * | 2017-07-28 | 2019-07-11 | (주)씨드젠 | 로그 ap 탐지 시스템 및 방법과, 이를 위한 사용자 단말 및 컴퓨터 프로그램 |
| US10397252B2 (en) * | 2017-10-13 | 2019-08-27 | Bank Of America Corporation | Dynamic detection of unauthorized activity in multi-channel system |
| US11115815B2 (en) * | 2018-05-14 | 2021-09-07 | Ppip, Llc | Radio frequency (RF) emitter detector |
| US11640361B2 (en) | 2019-03-08 | 2023-05-02 | International Business Machines Corporation | Sharing secure memory across multiple security domains |
| US11531627B2 (en) * | 2019-03-08 | 2022-12-20 | International Business Machines Corporation | Secure storage isolation |
| US11487906B2 (en) | 2019-03-08 | 2022-11-01 | International Business Machines Corporation | Storage sharing between a secure domain and a non-secure entity |
| US11463882B2 (en) | 2019-04-18 | 2022-10-04 | Sophos Limited | Endpoint-controlled rogue AP avoidance + rogue AP detection using synchronized security |
| US11025592B2 (en) * | 2019-10-04 | 2021-06-01 | Capital One Services, Llc | System, method and computer-accessible medium for two-factor authentication during virtual private network sessions |
| US10972893B1 (en) * | 2020-02-06 | 2021-04-06 | Qualcomm Incorporated | Cellular vehicle to everything assisted next generation emergency call |
| GB2614989A (en) * | 2020-09-02 | 2023-07-26 | Serinus Security Pty Ltd | A device and process for detecting and locating sources of wireless data packets |
| US11522785B2 (en) * | 2021-02-08 | 2022-12-06 | Citrix Systems, Inc. | Intelligent path selection systems and methods to reduce latency |
| TWI823450B (zh) * | 2022-06-29 | 2023-11-21 | 光寶科技股份有限公司 | 基站管理系統和方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005018162A1 (en) * | 2003-07-28 | 2005-02-24 | Cisco Technology, Inc. | A method, apparatus and software product for detecting rogue access points in a wireless network |
| US20050060576A1 (en) * | 2003-09-15 | 2005-03-17 | Kime Gregory C. | Method, apparatus and system for detection of and reaction to rogue access points |
| CN1623144A (zh) * | 2002-03-27 | 2005-06-01 | 国际商业机器公司 | 用于无线接入点的方法、设备和程序产品 |
| US20120134272A1 (en) * | 2010-11-30 | 2012-05-31 | Symbol Technologies, Inc. | Detection of an unauthorized access point in a wireless communication network |
| CN103891332A (zh) * | 2011-08-12 | 2014-06-25 | F-赛酷公司 | 检测可疑无线接入点 |
| KR20150028139A (ko) * | 2013-09-05 | 2015-03-13 | 숭실대학교산학협력단 | 로그 ap 탐지 시스템 및 방법 |
| US9544798B1 (en) * | 2015-07-23 | 2017-01-10 | Qualcomm Incorporated | Profiling rogue access points |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7068999B2 (en) * | 2002-08-02 | 2006-06-27 | Symbol Technologies, Inc. | System and method for detection of a rogue wireless access point in a wireless communication network |
| WO2004097584A2 (en) | 2003-04-28 | 2004-11-11 | P.G.I. Solutions Llc | Method and system for remote network security management |
| US7716740B2 (en) * | 2005-10-05 | 2010-05-11 | Alcatel Lucent | Rogue access point detection in wireless networks |
| US7809354B2 (en) * | 2006-03-16 | 2010-10-05 | Cisco Technology, Inc. | Detecting address spoofing in wireless network environments |
| US8750267B2 (en) * | 2009-01-05 | 2014-06-10 | Qualcomm Incorporated | Detection of falsified wireless access points |
| EP2460321A1 (en) * | 2009-07-31 | 2012-06-06 | Hewlett-Packard Development Company, L. P. | Method for detection of a rogue wireless access point |
| US8683609B2 (en) | 2009-12-04 | 2014-03-25 | International Business Machines Corporation | Mobile phone and IP address correlation service |
| EP2372971A1 (en) * | 2010-03-30 | 2011-10-05 | British Telecommunications Public Limited Company | Method and system for authenticating a point of access |
| KR101453521B1 (ko) * | 2011-05-20 | 2014-10-24 | 주식회사 케이티 | 무선 액세스 포인트 장치 및 비인가 무선 랜 노드 탐지 방법 |
| KR101341256B1 (ko) * | 2011-09-19 | 2013-12-12 | 주식회사 팬택 | 네트워크의 접속 보안 강화 장치 및 방법 |
| US8818276B2 (en) | 2012-05-16 | 2014-08-26 | Nokia Corporation | Method, apparatus, and computer program product for controlling network access to guest apparatus based on presence of hosting apparatus |
| US9178896B2 (en) * | 2013-05-09 | 2015-11-03 | Avaya Inc. | Rogue AP detection |
| WO2015000158A1 (en) * | 2013-07-04 | 2015-01-08 | Hewlett-Packard Development Company, L.P. | Determining legitimate access point response |
| KR102107132B1 (ko) * | 2013-12-05 | 2020-05-06 | 삼성전자주식회사 | 전자 장치의 억세스 포인트 접속 방법 및 그 전자 장치 |
| US10440053B2 (en) * | 2016-05-31 | 2019-10-08 | Lookout, Inc. | Methods and systems for detecting and preventing network connection compromise |
| US10447717B2 (en) * | 2017-01-28 | 2019-10-15 | Qualcomm Incorporated | Network attack detection using multi-path verification |
-
2017
- 2017-01-28 US US15/418,693 patent/US10447717B2/en active Active
- 2017-11-29 KR KR1020197021678A patent/KR102581559B1/ko active IP Right Grant
- 2017-11-29 BR BR112019015119-2A patent/BR112019015119A2/pt unknown
- 2017-11-29 AU AU2017396514A patent/AU2017396514B2/en active Active
- 2017-11-29 WO PCT/US2017/063591 patent/WO2018140132A1/en active Search and Examination
- 2017-11-29 CN CN201780083880.5A patent/CN110199509B/zh active Active
- 2017-11-29 SG SG11201905582PA patent/SG11201905582PA/en unknown
- 2017-11-29 EP EP17817508.9A patent/EP3574621B1/en active Active
- 2017-12-01 TW TW106142115A patent/TW201828649A/zh unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1623144A (zh) * | 2002-03-27 | 2005-06-01 | 国际商业机器公司 | 用于无线接入点的方法、设备和程序产品 |
| WO2005018162A1 (en) * | 2003-07-28 | 2005-02-24 | Cisco Technology, Inc. | A method, apparatus and software product for detecting rogue access points in a wireless network |
| CN1823502A (zh) * | 2003-07-28 | 2006-08-23 | 思科技术公司 | 用于检测无线网络中的欺骗性接入点的方法、装置和软件产品 |
| US20050060576A1 (en) * | 2003-09-15 | 2005-03-17 | Kime Gregory C. | Method, apparatus and system for detection of and reaction to rogue access points |
| US20120134272A1 (en) * | 2010-11-30 | 2012-05-31 | Symbol Technologies, Inc. | Detection of an unauthorized access point in a wireless communication network |
| CN103891332A (zh) * | 2011-08-12 | 2014-06-25 | F-赛酷公司 | 检测可疑无线接入点 |
| KR20150028139A (ko) * | 2013-09-05 | 2015-03-13 | 숭실대학교산학협력단 | 로그 ap 탐지 시스템 및 방법 |
| US9544798B1 (en) * | 2015-07-23 | 2017-01-10 | Qualcomm Incorporated | Profiling rogue access points |
Non-Patent Citations (4)
| Title |
|---|
| R. BEYAH, S. KANGUDE, G. YU, B. STRICKLAND AND J. COPELAND: ""Rogue access point detection using temporal traffic characteristics"", 《IEEE GLOBAL TELECOMMUNICATIONS CONFERENCE, 2004. GLOBECOM "04》 * |
| S. JADHAV, S. B. VANJALE AND P. B. MANE: ""Illegal Access Point detection using clock skews method in wireless LAN"", 《2014 INTERNATIONAL CONFERENCE ON COMPUTING FOR SUSTAINABLE GLOBAL DEVELOPMENT (INDIACOM)》 * |
| S. JANA AND S. K. KASERA: ""On Fast and Accurate Detection of Unauthorized Wireless Access Points Using Clock Skews"", 《IEEE TRANSACTIONS ON MOBILE COMPUTING》 * |
| 陈伟等: "无线钓鱼接入点攻击与检测技术研究综述", 《武汉大学学报(理学版)》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491785A (zh) * | 2020-10-16 | 2021-03-12 | 浙江工业大学 | 一种基于多路径切换的无限制DoS攻击防护方法 |
| CN112491785B (zh) * | 2020-10-16 | 2022-05-24 | 浙江工业大学 | 一种基于多路径切换的无限制DoS攻击防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3574621A1 (en) | 2019-12-04 |
| SG11201905582PA (en) | 2019-08-27 |
| EP3574621B1 (en) | 2020-12-30 |
| CN110199509B (zh) | 2021-11-05 |
| AU2017396514B2 (en) | 2022-06-09 |
| BR112019015119A2 (pt) | 2020-03-10 |
| AU2017396514A1 (en) | 2019-07-11 |
| US10447717B2 (en) | 2019-10-15 |
| WO2018140132A1 (en) | 2018-08-02 |
| KR102581559B1 (ko) | 2023-09-21 |
| US20180219885A1 (en) | 2018-08-02 |
| TW201828649A (zh) | 2018-08-01 |
| KR20190109418A (ko) | 2019-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110199509A (zh) | 使用多路径验证的未授权接入点检测 | |
| US11949656B2 (en) | Network traffic inspection | |
| US10958662B1 (en) | Access proxy platform | |
| US20200280541A1 (en) | Establishing a Connection Between a User Device and an Access Zone | |
| US10097546B2 (en) | Authentication of a user device using traffic flow information | |
| US11457040B1 (en) | Reverse TCP/IP stack | |
| US9628282B2 (en) | Universal anonymous cross-site authentication | |
| US11070980B1 (en) | Secondary device authentication proxied from authenticated primary device | |
| WO2014105263A1 (en) | Multi-factor authentication and comprehensive login system for client-server networks | |
| CN108737381A (zh) | 一种物联网系统的扩展认证方法 | |
| CN102415119A (zh) | 管理网络中不期望的服务请求 | |
| Li et al. | Transparent AAA security design for low-latency MEC-integrated cellular networks | |
| Huseynov et al. | Context-aware multifactor authentication survey | |
| US20240114038A1 (en) | Web 3.0 object reputation | |
| Kaka et al. | On the MitM vulnerability in mobile banking applications for android devices | |
| Chatzisofroniou et al. | Exploiting WiFi usability features for association attacks in IEEE 802.11: Attack analysis and mitigation controls | |
| WO2019112923A1 (en) | Improving security via automated sideband communication for m2m/iot | |
| AlQahtani | 0e2fa: Zero effort two-factor authentication | |
| Pashalidis et al. | Using GSM/UMTS for single sign-on | |
| Lee et al. | Man-in-the-middle Attacks Detection Scheme on Smartphone using 3G network | |
| Perković et al. | On WPA2‐Enterprise Privacy in High Education and Science | |
| Lange et al. | Wherever I May Roam: Stealthy Interception and Injection Attacks Through Roaming Agreements | |
| Hon | Mobile wireless/cellular communications networks | |
| Pramila et al. | An Architecture for Risk-Based Authentication System in a Multi-Server Environment | |
| EP4351106A1 (en) | Web 3.0 object reputation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40008103 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |