CN110366172A - 一种无线访问接入点的安全性评级方法及装置 - Google Patents
一种无线访问接入点的安全性评级方法及装置 Download PDFInfo
- Publication number
- CN110366172A CN110366172A CN201910783311.2A CN201910783311A CN110366172A CN 110366172 A CN110366172 A CN 110366172A CN 201910783311 A CN201910783311 A CN 201910783311A CN 110366172 A CN110366172 A CN 110366172A
- Authority
- CN
- China
- Prior art keywords
- result
- traceroute
- safety
- fingerprint
- preset standard
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/67—Risk-dependent, e.g. selecting a security level depending on risk profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种无线访问接入点的安全性评级方法及装置,获取无线访问接入点AP的特征数据以及预设评价指标;所述预设评价指标包括服务区别号ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征;基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果。即通过本发明可以实现面向网络运营商的无线访问接入点的安全等级评价。
Description
技术领域
本发明涉及无线接入领域,更具体的说,涉及一种无线访问接入点的安全性评级方法及装置。
背景技术
无线局域网可以让笔记本、平板电脑、手机等设备摆脱繁琐布线的束缚,相比有线网络,其在灵活的安装、便捷的组网、方便的接入以及成本的节约方面有着得天独厚的优势。目前,国内运营商架构的无线网络接入点主要有:ChinaNet(中国电信)、CMCC(中国移动)、ChinaUnicom(中国联通),它们通常在高校、政府服务窗口、医院、图书馆、机场、火车站等场所有着广泛的应用,在公共场所大规模部署这些面向网络运营商的无线局域网WLAN热点已经成为趋势。
但是无线网络在给大众带来生活便利的同时,也带来了各种各样的安全问题。用户时常会因为误接入不安全的无线访问接入点被盗取个人信息、密码,从而造成财产等其他损失。
针对上述情况,对于面向网络运营商的无线访问接入点进行安全等级检测,使用户安全地接入到安全等级更高的网络中,对于用户接入无线局域网有重要的意义。
发明内容
有鉴于此,本发明提供一种无线访问接入点的安全性评级方法及装置,以解决亟需一种面向网络运营商的无线访问接入点进行安全等级检测的问题。
为解决上述技术问题,本发明采用了如下技术方案:
一种无线访问接入点的安全性评级方法,包括:
获取无线访问接入点AP的特征数据以及预设评价指标;所述预设评价指标包括服务区别号ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征;
基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果。
优选地,所述获取无线访问接入点AP的特征数据,包括:
扫描所述AP的受信任区域,得到所述AP的ESSID和BSSID;
对所述AP发送探测请求帧,以得到所述AP的探测帧域指纹;所述探测请求帧中的类型字段Type域设置为00,子类型字段SubType域设置为0100,帧控制位依据不同的AP进行相应设置;
接入具有所述BSSID的所述AP,并从所述AP的域名系统DNS配置文件中获取所述AP的DNS服务器的互联网协议地址IP地址;
模拟因特网包探索器ping程序,依据ping程序获取到达使用所述IP地址的所述DNS服务器的TTL值;
向所述AP发送TTL值递增的用户数据报协议UDP数据包,接收所述AP的路由器的ICMP响应以模拟TRACEROUTE命令,获取TRACEROUTE数据;
其中,所述特征数据包括所述ESSID、所述BSSID、所述探测帧域指纹、所述TTL值和所述TRACEROUTE数据。
优选地,基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果,包括:
将所述ESSID与预设标准ESSID作比较;
若所述ESSID与预设标准ESSID不一致,则依据所述ESSID与预设标准ESSID的相似度,确定所述AP的安全性评级结果;
若所述ESSID与预设标准ESSID一致,将所述BSSID与预设标准BSSID作比较;
若所述BSSID与所述预设标准BSSID不一致,则确定所述AP的安全性评级结果。
优选地,基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果,还包括:
若所述BSSID与预设标准BSSID一致,将所述探测帧域指纹与预设标准802.11设备指纹作比较;
若所述探测帧域指纹与所述预设标准802.11设备指纹不一致,则依据所述探测帧域指纹与所述预设标准802.11设备指纹的相似度,确定所述AP的指纹评级分数;
若所述探测帧域指纹与所述预设标准802.11设备指纹一致,将所述TTL值与预设标准TTL值作比较;
若所述TTL值与所述预设标准TTL值不一致,则确定所述AP的TTL评级分数;
若所述TTL值与所述预设标准TTL值一致,将所述TRACEROUTE数据与预设标准TRACEROUTE数据作比较;
若所述TRACEROUTE数据与所述预设标准TRACEROUTE数据一致,则确定所述AP的安全性评级结果;
若所述TRACEROUTE数据与所述预设标准TRACEROUTE数据不一致,则确定所述AP的TRACEROUTE评级分数;
依据所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数,确定所述AP的安全性评分结果;
依据所述AP的安全性评分结果,确定所述AP的安全性评级结果。
优选地,AP的安全性评分结果lastresults的计算公式为:
lastresults=a*result802.11+b*resultTTL+c*resulttraceroute;
a,b,c分别为所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数的权重;result802.11为所述指纹评级分数;resultTTL为所述TTL评级分数;
resulttraceroute为所述TRACEROUTE评级分数。
一种无线访问接入点的安全性评级装置,包括:
数据获取模块,用于获取无线访问接入点AP的特征数据以及预设评价指标;所述预设评价指标包括服务区别号ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征;
评级模块,用于基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果。
优选地,所述数据获取模块包括:
扫描子模块,用于扫描所述AP的受信任区域,得到所述AP的ESSID和BSSID;
指纹获取子模块,用于对所述AP发送探测请求帧,以得到所述AP的探测帧域指纹;所述探测请求帧中的Type域设置为00,SubType域设置为0100,帧控制位依据不同的AP进行相应设置;
地址获取子模块,用于接入具有所述BSSID的所述AP,并从所述AP的域名系统DNS配置文件中获取所述AP的DNS服务器的互联网协议地址IP地址;
模拟子模块,用于模拟因特网包探索器ping程序,依据ping程序获取到达使用所述IP地址的所述DNS服务器的TTL值;
数据获取子模块,用于向所述AP发送TTL值递增的用户数据报协议UDP数据包,接收所述AP的路由器的ICMP响应以模拟TRACEROUTE命令,获取TRACEROUTE数据;
其中,所述特征数据包括所述ESSID、所述BSSID、所述探测帧域指纹、所述TTL值和所述TRACEROUTE数据。
优选地,所述评级模块包括:
第一比较子模块,用于将所述ESSID与预设标准ESSID作比较;
第一确定模块,用于若所述ESSID与预设标准ESSID不一致,则依据所述ESSID与预设标准ESSID的相似度,确定所述AP的安全性评级结果;
第二比较子模块,用于若所述ESSID与预设标准ESSID一致,将所述BSSID与预设标准BSSID作比较;
第二确定子模块,用于若所述BSSID与所述预设标准BSSID不一致,则确定所述AP的安全性评级结果。
优选地,所述评级模块还包括:
第三比较子模块,用于若所述BSSID与预设标准BSSID一致,将所述探测帧域指纹与预设标准802.11设备指纹作比较;
第三确定子模块,用于若所述探测帧域指纹与所述预设标准802.11设备指纹不一致,则依据所述探测帧域指纹与所述预设标准802.11设备指纹的相似度,确定所述AP的指纹评级分数;
第四比较子模块,用于若所述探测帧域指纹与所述预设标准802.11设备指纹一致,将所述TTL值与预设标准TTL值作比较;
第四确定子模块,用于若所述TTL值与所述预设标准TTL值不一致,则确定所述AP的TTL评级分数;
第五比较子模块,用于若所述TTL值与所述预设标准TTL值一致,将所述TRACEROUTE数据与预设标准TRACEROUTE数据作比较;
第五确定子模块,用于若所述TRACEROUTE数据与所述预设标准TRACEROUTE数据一致,则确定所述AP的安全性评级结果;
第六确定子模块,用于若所述TRACEROUTE数据与所述预设标准TRACEROUTE数据不一致,则确定所述AP的TRACEROUTE评级分数;
第七确定子模块,用于依据所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数,确定所述AP的安全性评分结果;
第八确定子模块,用于依据所述AP的安全性评分结果,确定所述AP的安全性评级结果。
优选地,AP的安全性评分结果lastresults的计算公式为:
lastresults=a*result802.11+b*resultTTL+c*resulttraceroute;
a,b,c分别为所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数的权重;result802.11为所述指纹评级分数;resultTTL为所述TTL评级分数;
resulttraceroute为所述TRACEROUTE评级分数。
相较于现有技术,本发明具有以下有益效果:
本发明提供了一种无线访问接入点的安全性评级方法及装置,获取无线访问接入点AP的特征数据以及预设评价指标;所述预设评价指标包括服务区别号ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征;基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果。即通过本发明可以实现面向网络运营商的无线访问接入点的安全等级评价。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种无线访问接入点的安全性评级方法的方法流程图;
图2为本发明实施例提供的另一种无线访问接入点的安全性评级方法的方法流程图;
图3为本发明实施例提供的再一种无线访问接入点的安全性评级方法的方法流程图;
图4为本发明实施例提供的一种无线访问接入点的安全性评级装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
发明人在对无线访问接入点AP的安全性检测过程中,发现可以使用MAC地址、路由追踪Traceroute因素或生存时间TTL值来检测钓鱼AP。
但是这种方式存在一定的弊端,具体的,通常来说,发起无线钓鱼攻击的黑客会采取以下步骤:
1、获取无线网络的密钥。
2、伪造目标无线网络。用户终端在接入一个无线网络之前,系统会自动扫描周围环境中是否存在曾经连接过的无线网络。当存在这样的网络时,系统会自动连接该无线网络,并自动完成认证过程;当周围都是陌生的网络时,需要用户手工选择一个无线网络,并输入该网络的密钥,完成认证过程。而黑客在伪造该无线网络时,只需要在目标无线网络附近架设一台相同或近似服务集标识SSID的AP,并设置上之前窃取的无线网络密钥。这台AP一般会设置成可以桥接的软AP,因此更加隐蔽,不容易被人发现。由于采用了相同的SSID和网络密钥,对用户来说基本上难辨真伪,并且由于伪造AP使用了高增益天线,附近的用户终端会接收到比较强的无线信号,因此用户会发现,在自己终端上的无线网络列表中,这个伪造的AP是排在靠前位置的。这样,用户就会很容易上钩,掉入这个精心构造的陷阱中。
3、干扰合法无线网络。对于那些没有自动上钩的移动终端,为了使其主动走进布好的陷阱,黑客会对附近合法的网络发起无线磁盘操作系统DoS攻击,使得这些无线网络处于瘫痪状态。这时,移动终端会发现原有无线网络不可用,重新扫描无线网络,并主动连接附近同一个无线网络中信号强度最好的AP。由于其他AP都不可用,并且黑客伪造的钓鱼AP信号强度又比较高,移动终端会主动与伪造的AP建立连接,并获得了IP地址。
4、截获流量或发起进一步攻击。无线钓鱼攻击完成后,移动终端就与黑客的攻击系统建立了连接,由于黑客采用了具有桥接功能的软AP,可以将移动终端的流量转发至因特网Internet,因此移动终端仍能继续上网,但此时,所有流量已经被黑客尽收眼底。黑客会捕获流量并进一步处理,如果使用中间人攻击工具,甚至可以截获采用了安全套接层SSL(Secure Sockets Layer)加密的Gmail邮箱信息,而那些未加密的信息更是一览无余。
5、更进一步,由于黑客的攻击系统与被钓鱼的终端建立了连接,黑客可以寻找可利用的系统漏洞,并截获终端的域名系统/统一资源定位符DNS/URL请求,返回攻击代码,给终端植入木马,达到最终控制用户终端的目的。
综合恶意AP伪造和攻击过程,如果仅从MAC地址、Traceroute因素和TTL值等网络特征的某一个方面切入,则需要足够大的数据量和足够多的设备部署代价,并且当收集到的信息受到环境等因素的影响时,可能会误判安全等级,这样的技术容错性能并不高。
因此,在上述技术方案的基础上,发明人经过进一步的研究发现了本发明实施例中的一种无线访问接入点的安全性评级方法。具体的,参照图1,可以包括:
S11、获取无线访问接入点AP的特征数据以及预设评价指标。
所述预设评价指标包括服务区别号ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征。可以依据ESSID、BSSID、802.11设备指纹、生存时间TTL特征和路由追踪TRACEROUTE特征中的至少一个预设评价指标来进行安全性等级的评价,也可以依据ESSID、BSSID、802.11设备指纹、生存时间TTL特征和路由追踪TRACEROUTE特征五个预设评价指标进行安全性等级的评价,具体需要几个指标,依据AP的特征数据来定。
AP的特征数据与预设评价指标相对应,主要包括:所述ESSID、所述BSSID、所述探测帧域指纹(即802.11设备指纹)、所述TTL值和所述TRACEROUTE数据。
S12、基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果。
本实施例中,获取无线访问接入点AP的特征数据以及预设评价指标;所述预设评价指标包括服务区别号ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征;基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果。即通过本发明可以实现面向网络运营商的无线访问接入点的安全等级评价。
在本发明的另一具体实现方式中,提及了AP的特征数据,现对AP的特征数据的获取过程进行介绍,具体的,参照图2,所述获取无线访问接入点AP的特征数据可以包括:
S21、扫描所述AP的受信任区域,得到所述AP的ESSID和BSSID。
具体的,序扫描信号覆盖范围内所有运营商AP,获取每一AP的基本信息,包括ESSID、BSSID、工作频道等,生成AP基本信息列表。逐一选择列表中的AP进行以下的检测。
S22、对所述AP发送探测请求帧,以得到所述AP的探测帧域指纹。
具体的,控制网卡发出的探测请求帧中,Type域置00,SubType域置0100,帧控制位依据不同的AP进行相应设置。通过向AP发送其余的帧控制位被设置的探测请求帧,记录AP对这些帧是否响应。其中有8位帧控制域,共需构造256个探测请求帧,依次记录AP对各个帧的响应情况。即通过发送一系列包括按预定规律变化的控制探测帧的探测请求数据包,记录探测响应情况,构造AP的探测帧域指纹。
S23、接入具有所述BSSID的所述AP,并从所述AP的域名系统DNS配置文件中获取所述AP的DNS服务器的互联网协议地址IP地址。
同一时刻可能存在多个AP。依次接入指定BSSID的运营商AP,保证每一AP均被接入过,连接后通过读取DNS的配置文件信息来获取运营商AP的DNS服务器的IP地址。
S24、模拟因特网包探索器ping程序,依据ping程序获取到达使用所述IP地址的所述DNS服务器的TTL值。
模拟ping程序,获取到达DNS服务器的TTL值。
S25、向所述AP发送TTL值递增的用户数据报协议UDP数据包,接收所述AP的路由器的ICMP响应以模拟TRACEROUTE命令,获取TRACEROUTE数据;
其中,所述特征数据包括所述ESSID、所述BSSID、所述探测帧域指纹、所述TTL值和所述TRACEROUTE数据。
通过向AP的DNS服务器发送TTL值递增的Udp数据包,接收路由器的ICMP响应来模拟TRACEROUTE命令,获取路由器的信息。考虑到无线路由的目标是否可达及TRACEROUTE的时间原因,算法只追踪路由的前两跳,并且记录。
需要说明的是,S24是利用ping获取到DNS服务器的真实TTL值,是个数值;
本步骤是指利用向DNS服务器发送TTL递增的UDP数据包来获取路由追踪的前两跳信息,过程如下:
发送TTL为1的UDP数据包,到达第一个路由器之后TTL会被减去1,返回超时的ICMP数据包,即得到第一跳路由地址;
发送TTL为2的UDP数据包,在第二跳路由器节点处超时,得到第二跳路由器的地址;
这样就追踪到了前两跳的路由信息。
本实施例中,通过获取ESSID、所述BSSID、所述探测帧域指纹、所述TTL值和所述TRACEROUTE数据五个方面的数据,进而可以从ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征五个预设评价指标进行AP安全性评价。
在获取到ESSID、所述BSSID、所述探测帧域指纹、所述TTL值和所述TRACEROUTE数据五个方面的数据之后,使用预设评价指标进行安全性评价,具体的,参照图3,步骤S12具体可以由以下步骤实现:
S31、比较所述ESSID与预设标准ESSID是否一致;若不一致,执行步骤S32;若一致,执行步骤S33。
S32、依据所述ESSID与预设标准ESSID的相似度,确定所述AP的安全性评级结果。
具体的,在进行用户搜索到的运营商AP安全性检测之前,首先要构造运营商正常AP的特征数据库,为检测模块提供基础参照。特征数据库应该包含如下信息:正常运营商AP的ESSID、BSSID、工作频道等基本信息、正常运营商AP802.11探测指纹信息、正常运营商AP的DNS服务器的IP地址、正常运营商AP到达DNS服务器的TTL值等。
若待检测运营商AP的ESSID与正常运营商(移动、联通、或电信中的任一个)AP的预设标准ESSID完全一致,执行步骤S33,否则利用字符串最长重复子串的方法计算出待检测运营商AP的ESSID和预设标准ESSID的相似度,根据下表来返回安全性评级结果。
S33、比较所述BSSID与预设标准BSSID;若不一致,执行步骤S34;若一致,执行步骤S35。
S34、确定所述AP的安全性评级结果。
具体的,查询待检测运营商AP的BSSID是否存在数据库中,数据库中存储预设标砖BSSID,如果存在则BSSID检测合法,执行步骤S35;不存在则将安全得分设置为0,返回高危等级的安全性评级结果。
以上两种情况是攻击者伪造运营商AP,以下是针对攻击者入侵无线路由器,修改DNS服务器伪造DNS等复杂情况。
S35、比较所述探测帧域指纹与预设标准802.11设备;若不一致,执行步骤S36;若一致,执行步骤S37。
S36、依据所述探测帧域指纹与所述预设标准802.11设备指纹的相似度,确定所述AP的指纹评级分数。
具体的,计算待检测运营商AP的802.11设备指纹(即探测帧域指纹)和正常运营商AP的802.11设备指纹的相似度,并且按照下表查出对应的安全评分。
S37、比较所述TTL值与预设标准TTL值;若不一致,执行步骤S38;若一致,执行步骤S39。
S38、确定所述AP的TTL评级分数。
具体的,从收集的正常运营商AP的DNS库中获取一个IP地址作为目的主机,获取该待检测运营商AP到目的主机的TTL值,将此AP的TTL值与正常运营商AP的标准TTL值进行比较,若TTL值不等于标准的TTL值,安全得分为0,继续检测;若相等,安全得分为3,继续检测。
S39、比较所述TRACEROUTE数据与预设标准TRACEROUTE数据;若不一致,执行步骤S3311;若一致,执行步骤S310。
S310、确定所述AP的安全性评级结果。
S311、确定所述AP的TRACEROUTE评级分数。
S312、依据所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数,确定所述AP的安全性评级结果。
获取该待检测运营商AP到达DNS服务器的路由前两跳信息,即TRACEROUTE数据,跟数据库中的标准路由信息即预设标准TRACEROUTE数据,进行比对,检测其是否合格。若合格,即一致,安全得分为3,等级为安全。如果不合格,即不一致,安全得分为0。
在得到指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数,依据三个得分,确定所述AP的安全性评级结果。
具体的,AP的安全性评级结果lastresults的计算公式为:
lastresults=a*result802.11+b*resultTTL+c*resulttraceroute;
a,b,c分别为所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数的权重;result802.11为所述指纹评级分数;resultTTL为所述TTL评级分数;
resulttraceroute为所述TRACEROUTE评级分数。
其中,安全评分与安全等级的对应关系为:
搜索到的运营商AP列表均检测完毕后,将结果数据库中的安全性评级结果数据显示在用户界面,为用户提供连接参考和安全保障。
本实施例中,分别对接入待测运营商AP前的基本信息和接入运营商AP后的网络特征信息进行检测,给出最终的检测结果。综合接入前和接入后特征检测结果的计算方法,该方法使得检测结果更具有容错性和可信性。如果ESSID或BSSID的安全评分不为3,则返回安全等级;如果ESSID或BSSID的安全评分为3,则按照上述计算公式综合各项结果进行等级评定。
另外,该检测流程可信度高,其不仅基于某一种检测技术和检测特征,而且综合了多种技术去检测多种特征,最后经过综合公式来得出结果。
此外,该检测流程用户体验好,其将用户搜索到的所有AP检测完毕后的结果存入数据库中,并显示在用户界面上,用户就能看到待测接入点的安全等级,帮助其判断应该接入哪些,保障其安全性。防止用户接入恶意运营商无线接入点而造成的损失等不良后果,保证了运营商无线的使用安全。
可选的,在上述安全性评级方法的实施例的基础上,本发明的另一实施例提供了一种无线访问接入点的安全性评级装置,参照图4,可以包括:
数据获取模块11,用于获取无线访问接入点AP的特征数据以及预设评价指标;所述预设评价指标包括服务区别号ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征;
评级模块12,用于基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果。
本实施例中,获取无线访问接入点AP的特征数据以及预设评价指标;所述预设评价指标包括服务区别号ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征;基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果。即通过本发明可以实现面向网络运营商的无线访问接入点的安全等级评价。
需要说明的是,本实施例中的各个模块的工作过程,请参照上述实施例中的相应说明,在此不再赘述。
可选的,在上述安全性评级装置的实施例的基础上,所述数据获取模块包括:
扫描子模块,用于扫描所述AP的受信任区域,得到所述AP的ESSID和BSSID;
指纹获取子模块,用于对所述AP发送探测请求帧,以得到所述AP的探测帧域指纹;所述探测请求帧中的Type域设置为00,SubType域设置为0100,帧控制位依据不同的AP进行相应设置;
地址获取子模块,用于接入具有所述BSSID的所述AP,并从所述AP的域名系统DNS配置文件中获取所述AP的DNS服务器的互联网协议地址IP地址;
模拟子模块,用于模拟因特网包探索器ping程序,依据ping程序获取到达使用所述IP地址的所述DNS服务器的TTL值;
数据获取子模块,用于向所述AP发送TTL值递增的用户数据报协议UDP数据包,接收所述AP的路由器的ICMP响应以模拟TRACEROUTE命令,获取TRACEROUTE数据;
其中,所述特征数据包括所述ESSID、所述BSSID、所述探测帧域指纹、所述TTL值和所述TRACEROUTE数据。
本实施例中,通过获取ESSID、所述BSSID、所述探测帧域指纹、所述TTL值和所述TRACEROUTE数据五个方面的数据,进而可以从ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征五个预设评价指标进行AP安全性评价。
需要说明的是,本实施例中的各个模块和子模块的工作过程,请参照上述实施例中的相应说明,在此不再赘述。
可选的,在上述安全性评级装置的实施例的基础上,所述评级模块包括:
第一比较子模块,用于将所述ESSID与预设标准ESSID作比较;
第一确定模块,用于若所述ESSID与预设标准ESSID不一致,则依据所述ESSID与预设标准ESSID的相似度,确定所述AP的安全性评级结果;
第二比较子模块,用于若所述ESSID与预设标准ESSID一致,将所述BSSID与预设标准BSSID作比较;
第二确定子模块,用于若所述BSSID与所述预设标准BSSID不一致,则确定所述AP的安全性评级结果。
进一步,所述评级模块还包括:
第三比较子模块,用于若所述BSSID与预设标准BSSID一致,将所述探测帧域指纹与预设标准802.11设备指纹作比较;
第三确定子模块,用于若所述探测帧域指纹与所述预设标准802.11设备指纹不一致,则依据所述探测帧域指纹与所述预设标准802.11设备指纹的相似度,确定所述AP的指纹评级分数;
第四比较子模块,用于若所述探测帧域指纹与所述预设标准802.11设备指纹一致,将所述TTL值与预设标准TTL值作比较;
第四确定子模块,用于若所述TTL值与所述预设标准TTL值不一致,则确定所述AP的TTL评级分数;
第五比较子模块,用于若所述TTL值与所述预设标准TTL值一致,将所述TRACEROUTE数据与预设标准TRACEROUTE数据作比较;
第五确定子模块,用于若所述TRACEROUTE数据与所述预设标准TRACEROUTE数据一致,则确定所述AP的安全性评级结果;
第六确定子模块,用于若所述TRACEROUTE数据与所述预设标准TRACEROUTE数据不一致,则确定所述AP的TRACEROUTE评级分数;
第七确定子模块,用于依据所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数,确定所述AP的安全性评分结果;
第八确定子模块,用于依据所述AP的安全性评分结果,确定所述AP的安全性评级结果。
进一步,AP的安全性评分结果lastresults的计算公式为:
lastresults=a*result802.11+b*resultTTL+c*resuLttraceroute;
a,b,c分别为所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数的权重;result802.11为所述指纹评级分数;resultTTL为所述TTL评级分数;
resulttraceroute为所述TRACEROUTE评级分数。
本实施例中,分别对接入待测运营商AP前的基本信息和接入运营商AP后的网络特征信息进行检测,给出最终的检测结果。综合接入前和接入后特征检测结果的计算方法,该方法使得检测结果更具有容错性和可信性。如果ESSID或BSSID的安全评分不为3,则返回安全等级;如果ESSID或BSSID的安全评分为3,则按照上述计算公式综合各项结果进行等级评定。
另外,该检测流程可信度高,其不仅基于某一种检测技术和检测特征,而且综合了多种技术去检测多种特征,最后经过综合公式来得出结果。
此外,该检测流程用户体验好,其将用户搜索到的所有AP检测完毕后的结果存入数据库中,并显示在用户界面上,用户就能看到待测接入点的安全等级,帮助其判断应该接入哪些,保障其安全性。防止用户接入恶意运营商无线接入点而造成的损失等不良后果,保证了运营商无线的使用安全。
需要说明的是,本实施例中的各个模块和子模块的工作过程,请参照上述实施例中的相应说明,在此不再赘述。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种无线访问接入点的安全性评级方法,其特征在于,包括:
获取无线访问接入点AP的特征数据以及预设评价指标;所述预设评价指标包括服务区别号ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征;
基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果。
2.根据权利要求1所述的安全性评级方法,其特征在于,所述获取无线访问接入点AP的特征数据,包括:
扫描所述AP的受信任区域,得到所述AP的ESSID和BSSID;
对所述AP发送探测请求帧,以得到所述AP的探测帧域指纹;所述探测请求帧中的类型字段Type域设置为00,子类型字段SubType域设置为0100,帧控制位依据不同的AP进行相应设置;
接入具有所述BSSID的所述AP,并从所述AP的域名系统DNS配置文件中获取所述AP的DNS服务器的互联网协议地址IP地址;
模拟因特网包探索器ping程序,依据ping程序获取到达使用所述IP地址的所述DNS服务器的TTL值;
向所述AP发送TTL值递增的用户数据报协议UDP数据包,接收所述AP的路由器的ICMP响应以模拟TRACEROUTE命令,获取TRACEROUTE数据;
其中,所述特征数据包括所述ESSID、所述BSSID、所述探测帧域指纹、所述TTL值和所述TRACEROUTE数据。
3.根据权利要求2所述的安全性评级方法,其特征在于,基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果,包括:
将所述ESSID与预设标准ESSID作比较;
若所述ESSID与预设标准ESSID不一致,则依据所述ESSID与预设标准ESSID的相似度,确定所述AP的安全性评级结果;
若所述ESSID与预设标准ESSID一致,将所述BSSID与预设标准BSSID作比较;
若所述BSSID与所述预设标准BSSID不一致,则确定所述AP的安全性评级结果。
4.根据权利要求3所述的安全性评级方法,其特征在于,基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果,还包括:
若所述BSSID与预设标准BSSID一致,将所述探测帧域指纹与预设标准802.11设备指纹作比较;
若所述探测帧域指纹与所述预设标准802.11设备指纹不一致,则依据所述探测帧域指纹与所述预设标准802.11设备指纹的相似度,确定所述AP的指纹评级分数;
若所述探测帧域指纹与所述预设标准802.11设备指纹一致,将所述TTL值与预设标准TTL值作比较;
若所述TTL值与所述预设标准TTL值不一致,则确定所述AP的TTL评级分数;
若所述TTL值与所述预设标准TTL值一致,将所述TRACEROUTE数据与预设标准TRACEROUTE数据作比较;
若所述TRACEROUTE数据与所述预设标准TRACEROUTE数据一致,则确定所述AP的安全性评级结果;
若所述TRACEROUTE数据与所述预设标准TRACEROUTE数据不一致,则确定所述AP的TRACEROUTE评级分数;
依据所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数,确定所述AP的安全性评分结果;
依据所述AP的安全性评分结果,确定所述AP的安全性评级结果。
5.根据权利要求4所述的安全性评级方法,其特征在于,AP的安全性评分结果lastresults的计算公式为:
lastresults=a*result802.11+b*resultTTL+c*resulttraceroute;
a,b,c分别为所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数的权重;result802.11为所述指纹评级分数;resultTTL为所述TTL评级分数;
resulttraceroute为所述TRACEROUTE评级分数。
6.一种无线访问接入点的安全性评级装置,其特征在于,包括:
数据获取模块,用于获取无线访问接入点AP的特征数据以及预设评价指标;所述预设评价指标包括服务区别号ESSID、BSSID、802.11设备指纹、生存时间TTL特征和/或路由追踪TRACEROUTE特征;
评级模块,用于基于所述特征数据,确定所述AP的所述预设评价指标的指标评价结果,以及根据所述预设评价指标的指标评价结果,计算所述AP的安全性评级结果。
7.根据权利要求6所述的安全性评级装置,其特征在于,所述数据获取模块包括:
扫描子模块,用于扫描所述AP的受信任区域,得到所述AP的ESSID和BSSID;
指纹获取子模块,用于对所述AP发送探测请求帧,以得到所述AP的探测帧域指纹;所述探测请求帧中的Type域设置为00,SubType域设置为0100,帧控制位依据不同的AP进行相应设置;
地址获取子模块,用于接入具有所述BSSID的所述AP,并从所述AP的域名系统DNS配置文件中获取所述AP的DNS服务器的互联网协议地址IP地址;
模拟子模块,用于模拟因特网包探索器ping程序,依据ping程序获取到达使用所述IP地址的所述DNS服务器的TTL值;
数据获取子模块,用于向所述AP发送TTL值递增的用户数据报协议UDP数据包,接收所述AP的路由器的ICMP响应以模拟TRACEROUTE命令,获取TRACEROUTE数据;
其中,所述特征数据包括所述ESSID、所述BSSID、所述探测帧域指纹、所述TTL值和所述TRACEROUTE数据。
8.根据权利要求7所述的安全性评级装置,其特征在于,所述评级模块包括:
第一比较子模块,用于将所述ESSID与预设标准ESSID作比较;
第一确定模块,用于若所述ESSID与预设标准ESSID不一致,则依据所述ESSID与预设标准ESSID的相似度,确定所述AP的安全性评级结果;
第二比较子模块,用于若所述ESSID与预设标准ESSID一致,将所述BSSID与预设标准BSSID作比较;
第二确定子模块,用于若所述BSSID与所述预设标准BSSID不一致,则确定所述AP的安全性评级结果。
9.根据权利要求8所述的安全性评级装置,其特征在于,所述评级模块还包括:
第三比较子模块,用于若所述BSSID与预设标准BSSID一致,将所述探测帧域指纹与预设标准802.11设备指纹作比较;
第三确定子模块,用于若所述探测帧域指纹与所述预设标准802.11设备指纹不一致,则依据所述探测帧域指纹与所述预设标准802.11设备指纹的相似度,确定所述AP的指纹评级分数;
第四比较子模块,用于若所述探测帧域指纹与所述预设标准802.11设备指纹一致,将所述TTL值与预设标准TTL值作比较;
第四确定子模块,用于若所述TTL值与所述预设标准TTL值不一致,则确定所述AP的TTL评级分数;
第五比较子模块,用于若所述TTL值与所述预设标准TTL值一致,将所述TRACEROUTE数据与预设标准TRACEROUTE数据作比较;
第五确定子模块,用于若所述TRACEROUTE数据与所述预设标准TRACEROUTE数据一致,则确定所述AP的安全性评级结果;
第六确定子模块,用于若所述TRACEROUTE数据与所述预设标准TRACEROUTE数据不一致,则确定所述AP的TRACEROUTE评级分数;
第七确定子模块,用于依据所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数,确定所述AP的安全性评分结果;
第八确定子模块,用于依据所述AP的安全性评分结果,确定所述AP的安全性评级结果。
10.根据权利要求9所述的安全性评级装置,其特征在于,AP的安全性评分结果lastresults的计算公式为:
lastresults=a*result802.11+b*resultTTL+c*resulttraceroute;
a,b,c分别为所述指纹评级分数、所述TTL评级分数和所述TRACEROUTE评级分数的权重;result802,11为所述指纹评级分数;resultTTL为所述TTL评级分数;
resulttraceroute为所述TRACEROUTE评级分数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910783311.2A CN110366172B (zh) | 2019-08-23 | 2019-08-23 | 一种无线访问接入点的安全性评级方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910783311.2A CN110366172B (zh) | 2019-08-23 | 2019-08-23 | 一种无线访问接入点的安全性评级方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110366172A true CN110366172A (zh) | 2019-10-22 |
CN110366172B CN110366172B (zh) | 2022-08-26 |
Family
ID=68224134
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910783311.2A Active CN110366172B (zh) | 2019-08-23 | 2019-08-23 | 一种无线访问接入点的安全性评级方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110366172B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111193754A (zh) * | 2019-12-17 | 2020-05-22 | 杭州海康威视数字技术股份有限公司 | 应用于物联网的数据访问方法及系统、设备 |
CN111447630A (zh) * | 2020-02-13 | 2020-07-24 | 中国电信股份有限公司成都分公司 | 基于路由器性能差异的评级方法 |
CN112399416A (zh) * | 2020-12-02 | 2021-02-23 | 中国联合网络通信集团有限公司 | 一种接入方法及装置 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104243490A (zh) * | 2014-09-30 | 2014-12-24 | 北京金山安全软件有限公司 | 识别伪无线网络接入点的方法、装置及移动终端 |
US20150188940A1 (en) * | 2013-12-30 | 2015-07-02 | Anchorfree Inc | System and method for security and quality assessment of wireless access points |
CN105657706A (zh) * | 2015-10-30 | 2016-06-08 | 东莞酷派软件技术有限公司 | 一种接入方法、相关设备及接入装置 |
CN106131834A (zh) * | 2016-06-30 | 2016-11-16 | 宇龙计算机通信科技(深圳)有限公司 | 网络连接方法、网络连接装置和终端 |
CN106658513A (zh) * | 2017-01-11 | 2017-05-10 | 深圳市金立通信设备有限公司 | 一种无线网络的安全检测方法、终端及服务器 |
CN107070883A (zh) * | 2017-02-28 | 2017-08-18 | 青岛海信移动通信技术股份有限公司 | 对无线网络进行安全检测的方法及装置 |
CN107493576A (zh) * | 2016-06-12 | 2017-12-19 | 上海连尚网络科技有限公司 | 用于确定无线接入点的安全信息的方法与设备 |
CN108323244A (zh) * | 2016-12-28 | 2018-07-24 | 华为技术有限公司 | 一种连接接入点的方法及终端、管理服务器 |
CN109379741A (zh) * | 2018-09-17 | 2019-02-22 | 北京泰迪熊移动科技有限公司 | 一种网络接入方法和系统 |
-
2019
- 2019-08-23 CN CN201910783311.2A patent/CN110366172B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150188940A1 (en) * | 2013-12-30 | 2015-07-02 | Anchorfree Inc | System and method for security and quality assessment of wireless access points |
CN104243490A (zh) * | 2014-09-30 | 2014-12-24 | 北京金山安全软件有限公司 | 识别伪无线网络接入点的方法、装置及移动终端 |
CN105657706A (zh) * | 2015-10-30 | 2016-06-08 | 东莞酷派软件技术有限公司 | 一种接入方法、相关设备及接入装置 |
CN107493576A (zh) * | 2016-06-12 | 2017-12-19 | 上海连尚网络科技有限公司 | 用于确定无线接入点的安全信息的方法与设备 |
CN106131834A (zh) * | 2016-06-30 | 2016-11-16 | 宇龙计算机通信科技(深圳)有限公司 | 网络连接方法、网络连接装置和终端 |
CN108323244A (zh) * | 2016-12-28 | 2018-07-24 | 华为技术有限公司 | 一种连接接入点的方法及终端、管理服务器 |
CN106658513A (zh) * | 2017-01-11 | 2017-05-10 | 深圳市金立通信设备有限公司 | 一种无线网络的安全检测方法、终端及服务器 |
CN107070883A (zh) * | 2017-02-28 | 2017-08-18 | 青岛海信移动通信技术股份有限公司 | 对无线网络进行安全检测的方法及装置 |
CN109379741A (zh) * | 2018-09-17 | 2019-02-22 | 北京泰迪熊移动科技有限公司 | 一种网络接入方法和系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111193754A (zh) * | 2019-12-17 | 2020-05-22 | 杭州海康威视数字技术股份有限公司 | 应用于物联网的数据访问方法及系统、设备 |
CN111193754B (zh) * | 2019-12-17 | 2020-08-04 | 杭州海康威视数字技术股份有限公司 | 应用于物联网的数据访问方法及系统、设备 |
CN111447630A (zh) * | 2020-02-13 | 2020-07-24 | 中国电信股份有限公司成都分公司 | 基于路由器性能差异的评级方法 |
CN112399416A (zh) * | 2020-12-02 | 2021-02-23 | 中国联合网络通信集团有限公司 | 一种接入方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110366172B (zh) | 2022-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9705913B2 (en) | Wireless hotspot attack detection | |
US9003527B2 (en) | Automated method and system for monitoring local area computer networks for unauthorized wireless access | |
Nikbakhsh et al. | A novel approach for rogue access point detection on the client-side | |
CN110366172A (zh) | 一种无线访问接入点的安全性评级方法及装置 | |
Takahashi et al. | IEEE 802.11 user fingerprinting and its applications for intrusion detection | |
US7810154B2 (en) | System and method for detection and location of rogue wireless access users in a computer network | |
Mustafa et al. | Cetad: Detecting evil twin access point attacks in wireless hotspots | |
Schmoyer et al. | Wireless intrusion detection and response: a classic study using main-in-the-middle attack | |
CN106961683B (zh) | 一种检测非法ap的方法、系统及发现者ap | |
Hsu et al. | A client-side detection mechanism for evil twins | |
Hsu et al. | A solution to detect the existence of a malicious rogue AP | |
Lu et al. | A passive client-based approach to detect evil twin attacks | |
Fayssal et al. | Anomaly-based behavior analysis of wireless network security | |
Haddadi et al. | Wireless intrusion detection system using a lightweight agent | |
Lu et al. | SLFAT: client-side evil twin detection approach based on arrival time of special length frames | |
Yan et al. | Real-time identification of rogue WiFi connections in the wild | |
Fetooh et al. | Detection technique and mitigation against a phishing attack | |
CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
Kumar et al. | Traffic forensics for ipv6-based wireless sensor networks and the internet of things | |
KR20120132086A (ko) | 비인가 ap 탐지 시스템 및 그의 탐지 방법 | |
Lu et al. | Client-side evil twin attacks detection using statistical characteristics of 802.11 data frames | |
CN105992208A (zh) | 一种无线连接的认证方法及装置 | |
Kitisriworapan et al. | Evil-twin detection on client-side | |
Zhu et al. | Scaffisd: a scalable framework for fine-grained identification and security detection of wireless routers | |
Tao et al. | Detection of spoofed MAC addresses in 802.11 wireless networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |