CN112804668A - 记录有蓝牙安全威胁探测方法的计算机可读介质 - Google Patents

记录有蓝牙安全威胁探测方法的计算机可读介质 Download PDF

Info

Publication number
CN112804668A
CN112804668A CN202010411930.1A CN202010411930A CN112804668A CN 112804668 A CN112804668 A CN 112804668A CN 202010411930 A CN202010411930 A CN 202010411930A CN 112804668 A CN112804668 A CN 112804668A
Authority
CN
China
Prior art keywords
bluetooth
packet
risk
computer
collected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010411930.1A
Other languages
English (en)
Inventor
郑贤哲
宋昌宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Norma Co Ltd
Original Assignee
Norma Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Norma Co Ltd filed Critical Norma Co Ltd
Publication of CN112804668A publication Critical patent/CN112804668A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/365Application layer names, e.g. buddy names, unstructured names chosen by a user or home appliance name

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种记录有蓝牙安全威胁探测方法的计算机可读介质,根据一实施例的蓝牙安全威胁探测方法可以包括:收集从设备传送的蓝牙包的步骤;搜索步骤,包括对收集的所述蓝牙包中的在相同的时间段收集的蓝牙包所包含的信息进行比较,来搜寻是否存在作为设备名彼此相同的蓝牙包的设备名重复蓝牙包的操作;基于所述搜索步骤的结果,针对传送蓝牙包的设备中的每个计算危险度的步骤,其中,危险度对应于表示危险的设备的程度的指数。

Description

记录有蓝牙安全威胁探测方法的计算机可读介质
技术领域
本发明涉及一种蓝牙安全威胁探测系统、方法以及记录有用于在计算机执行这种方法的程序的计算机可读介质。
背景技术
蓝牙(Bluetooth)是在较小的范围内将诸如便携式PC或便携式电话的可移动装置无线连接的技术规范。蓝牙支持各种数字数字装备在无需物理电缆的情况下利用如245MHZ的工业科学医疗(ISM:Industrial Scientific Medical)频段的无线电频率也可收发语音和数据。例如,蓝牙通信用模块内置于移动通信终端和膝上型计算机而支持可进行无线通信。因这种便利性,蓝牙(Bluetooth)不仅用于个人数字助理(PDA:Personal DigitalAssistant)、桌上型计算机、传真机、键盘或控制杆,而且用于几乎所有的数字数字设备。
发明内容
根据本发明的一实施例,在计算机可以提供一种蓝牙安全威胁探测系统。
根据本发明的一实施例,在计算机可以提供一种蓝牙安全威胁探测方法。
根据本发明的一实施例,可以提供一种记录有用于在计算机执行蓝牙安全威胁探测方法的程序的计算机可读介质。
根据本发明的一实施例,一种记录有用于在计算机执行蓝牙安全威胁探测方法的程序的计算机可读介质,其中,所述蓝牙安全威胁探测方法可以包括:收集从设备传送的蓝牙包的步骤;搜寻步骤,包括对在收集的所述蓝牙包中的在相同的时间段收集的蓝牙包所包含的信息进行比较,来搜寻是否存在作为设备名彼此相同的蓝牙包的设备名重复蓝牙包的操作;以及基于所述搜索步骤的结果,针对传送所述蓝牙包的设备中的每个计算危险度的步骤,其中,危险度对应于表示危险的设备的程度的指数。
在所述蓝牙安全威胁探测方法中,所述计算危险度的步骤可以包括:第一操作,针对作为传送所述设备名重复蓝牙包的设备的设备名重复设备中的至少一个设备增加危险度的操作。
根据本发明的一个以上的实施例,使用蓝牙设备的用户可以安全地连接于蓝牙设备而使用。
根据本发明的一个以上的实施例,当与蓝牙设备连接时,可以提前探测到构成威胁的设备。
附图说明
图1是用于说明根据本发明的一实施例的蓝牙安全威胁探测系统的图。
图2是用于说明根据本发明的一实施例的蓝牙安全威胁探测方法的图。
图3是示出测试蓝牙接收信号强度指示器(RSSI)值与距离之间的关系的结果的图。
符号说明
10:蓝牙安全威胁探测系统
200:用户终端装置
201:处理器
202:蓝牙安全威胁探测程序
203:内存
205:永久存储装置
207:输入输出接口
209:网络接口
211:总线
具体实施方式
通过与所附附图关联的以下的优选实施例,容易理解本发明的目的、其他目的及优点。然而,本发明并不局限于在此说明的实施例,其亦可具体化为其他形态。以下所说明的实施例是旨在将本发明的思想充分地传递给本领域技术人员而提供的示例性的实施例。
术语的定义
本说明书中,术语“软件”表示在计算机中运行硬件的技术,术语“硬件”表示构成计算机的有形的装置或设备(CPU、存储器、输入装置、输出装置、外围装置等),术语“步骤”表示为了实现预设目的而以时间序列连接的一系列处理或操作,术语“程序”表示适合于计算机处理的指令的集合,术语“程序记录介质”表示为了安装和运行或流通程序而使用的记录有程序并可由计算机读取的存储介质。
在本说明书中第一、第二等术语为了说明构成要素而使用的情况下,这些构成要素不会被此类术语所限定。使用此类术语仅为了区分某种构成要素与另一种构成要素。在此说明并示例的实施例还包括其互补的实施例。
本说明书中,除非在文章中特别提及,否则单数形式包括复数形式。说明书中所使用的“包括”及/或“包括有”并不排除所提及的构成要素中存在或添加一个以上其他构成要素。
本说明书中,术语“管理”以包括数据的“接收”、“发送”、“存储”、“修改”及“删除”的含义而使用。
本说明书中,“构成要素A及/或构成要素B”表示“构成要素A”、“构成要素B”或者“构成要素A和构成要素B”。
本说明书中,“计算机”包括计算机处理器和存储装置、操作系统、固件、应用程序、网络接口、输入输出接口、总线以及源,在此,操作系统(OS:OPERATING SYSTEM)能够可操作地连接其他硬件、固件或者应用程序(例如,管理程序)。网络接口是作为用于与外部进行通信的构成,其表示利用软件以及硬件构成的模块,可以是例如通信用局域网网卡。存储装置可以是存储程序并且可以利用计算机读取的存储介质(例如,可以是如后述的说明中的存储器或者永久存储装置)。并且,计算机程序可操作地与存储装置、操作系统、应用程序、固件、多个应用程序、网络接口、输入输出接口、总线以及其他资源彼此连接。另外,在用于本发明的说明的目的的限度内,记载或图示了针对以上所提及的构成要素的说明或附图。
本说明书中,构成要素“A”将信息、内容及/或数据传送至构成要素“B”以包括构成要素“A”直接传送至构成要素“B”或构成要素“A”通过至少一个其他构成要素传送至构成要素“B”的含义所使用。
本说明书中,术语“蓝牙设备”表示配备有可以进行基于蓝牙的无线通信的无线局域网网卡的设备。
以下,参照附图,针对本发明的实施例进行详细说明。
图1是用于说明根据本发明的一实施例的蓝牙安全威胁探测系统的图。
参照图1,根据本发明的一实施例的蓝牙安全威胁探测系统包括用户终端装置200,用于在用户终端装置200执行蓝牙安全威胁探测方法的程序(以下,”蓝牙安全威胁探测程序202”)设置于该用户终端装置200而被该用户终端装置200执行。另外,为了本发明的说明的目的,在图1中追加图示有蓝牙设备A、B、C、D...。
用户终端装置200包括处理器201、存储器203、永久存储装置205、输入输出接口207以及网络接口209。另外,”用户终端装置200”可以是计算机,例如,可以是诸如台式计算机、笔记本计算机、智能手机或者PDA的装置。
处理器201是用于执行蓝牙安全威胁探测方法的构成要素,可以包括能够处理指令的序列的任意的装置或者可以是其一部分。例如,处理器201可以包括计算机处理器、移动装置或者其他电子装置内的处理器和/或数字处理器。例如,处理器201可以包括于服务器计算设备、服务器计算机、一系列服务器计算机、服务器群(server farm)、云计算机、内容平台等。处理器201可以通过总线211连接于存储器203。
存储器203可以包括用于存储用户终端装置200所使用或者其输出的信息的易失性存储器、永久存储器、虚拟存储器或者其他存储器。例如,存储器203可以包括随机存取存储器(RAM:random access memory)和/或动态随机存取存储器(DRAM:dynamic RAM)。
存储器203可以使用于存储任意信息(诸如用户终端装置200的状态信息)。例如,存储器203也可以用于存储包含用于执行蓝牙安全威胁探测方法的指令的用户终端装置200的指令。用户终端装置200根据需要或者在适当的情况下可以包括一个以上的处理器。
总线211可以包括能够实现用户终端装置200的多种构成要素之间的相互作用的通信基础构造。例如,总线211可以在用户终端装置200的构成要素之间(例如,处理器201和存储器203之间)传输数据。总线211可以包括用户终端装置200的构成要素之间的无线和/或有线通信介质,并且可以包括并联、串联或者其他拓扑排列。
永久存储装置205为了在预定的延长(例如,相比于存储器203)的时间段期间存储数据,可以包括由用户终端装置200使用的存储器203或者其他如永久存储装置205的构成要素。永久存储装置205可以包括如借由用户终端装置200内的处理器201而使用的非易失性主存储器。例如,永久存储装置205可以包括闪存、硬盘、光盘或者其他计算机可读介质。
输入输出接口207可以包括键盘、鼠标、语音指令输入、显示器或者其他针对输入或者输出装置的接口。构成指令和/或用于蓝牙安全威胁探测方法的输入可以通过输入输出接口207而接收。
网络接口209可以包括针对诸如近距离网络或者互联网的网络的一个以上的接口。网络接口209可以包括针对有线或者无线连接的接口。本实施例中,网络接口209可以包括用于蓝牙无线连接的接口(例如,蓝牙通信用无线局域网网卡)。另外,可以通过网络接口209接收构成指令和/或用于蓝牙安全威胁探测方法的输入。
根据本实施例,蓝牙安全威胁探测程序202可以载入存储器203并在处理器201的控制下执行。蓝牙安全威胁探测程序202可以存储在永久存储装置205,并在处理器201的控制下载入到存储器203而执行。可选择地,蓝牙安全威胁探测程序202的至少一部分或者全部可以存储于通过诸如近距离网络或者互联网的网络而与用户终端装置200连接的永久存储装置(未图示),并可以根据用户终端装置200的请求而下载于用户终端装置200之后,可以载入于存储器203并在处理器201的控制下执行。
在本发明的可选择的实施例中,用户终端装置200也可以包括比图1所示的构成要素更多的构成要素。然而,由于大部分的现有技术的构成要素无需明确地图示而并未在图1中图示,这应当较容易地被属于本发明所在的技术领域的人(以下,”本领域技术人员”)所理解。例如,用户终端装置200可以实现为包括与输入输出接口207连接的输入输出装置中的至少一部分,或者还可以包括诸如收发器、GPS模块、相机、多种传感器(诸如,地磁传感器或者加速度传感器)以及数据库等的其他构成要素。
图2是用于说明根据本发明的一实施例的计算机中的蓝牙安全威胁探测方法的图,图3是示出测试蓝牙接收信号强度指示器(RSSI)值与距离之间的关系的结果的图。以下,参照图1至图3,说明借由蓝牙安全威胁探测程序202而执行的蓝牙安全威胁探测方法。
根据一实施例,蓝牙安全威胁探测方法包括如下步骤:收集从设备传送的蓝牙包(S101);将收集的蓝牙包中的在相同的时间段收集的蓝牙包所包含的信息进行彼此比较,来搜寻是否存在”设备名”彼此相同的蓝牙包(即,设备名重复蓝牙包)的操作的搜索步骤(S103);基于搜索步骤(S103)的结果,针对传送蓝牙包的设备中的每个计算表示危险的设备的程度的指数(即,危险度)的步骤(S105)。蓝牙安全威胁探测方法还可以包括:安全威胁设备阻断步骤(S107),根据危险度计算步骤(S105)的结果,执行基于计算的危险度来将安全威胁设备告知用户并阻断蓝牙连接的操作。
例如,计算危险度的步骤(S105)包括增加针对传送设备名重复蓝牙包的设备(即,设备名重复设备)中的至少一个设备的危险度的操作(第一操作)。
例如,收集步骤(S101)可以是接收从蓝牙设备传送的蓝牙包的操作。
例如,蓝牙设备A可以将自己的蓝牙包PACKET_A广播(broadcasting)而提供至用户终端装置200,或者可以与用户终端装置200连接(Connection)而将自己的蓝牙包PACKET_A提供至用户终端装置200。另外,本说明书中,蓝牙包的传送并不局限于特定传送方式,例如,相当于诸如广播(broadcasting)方式或者连接方式的任何方式。
例如,搜索步骤(S103)包括对在收集的蓝牙包中的在相同的时间段收集的蓝牙包所包含的信息进行比较的操作。例如,在比较操作中,对设备A传送的蓝牙包PACKET_A、设备B传送的蓝牙包PACKET_B、设备C传送的蓝牙包PACKET_C、设备D传送的蓝牙包PACKET_D等进行彼此比较。蓝牙包A包括有“设备名”、“媒体访问控制(MAC:Media Access Control)地址”、“蓝牙连接状态”、“设备类型(Class Of Device)”、“蓝牙支持服务”、“蓝牙类型”、“信号强度(RSSI)”以及“制造商数据”。
另外,相同的时间段表示用户预设的时间段(例如,2019年11月7日上午10点~上午11点)。上述的2019年11月7日上午10点~上午11点是示意性的,时间段可以被设定为比此更短或更长。
搜索步骤(S103)是如下操作:对在相同的时间段收集的全部蓝牙包所包含的信息进行比较,来搜寻例如“设备名”、“媒体访问控制地址”、“蓝牙连接状态”、“设备类型(ClassOf Device)”、“蓝牙支持服务”、“蓝牙类型”、“信号强度(RSSI)”以及“制造商”中的至少一个是否相同。在此,“制造商”表示设置于设备的用于蓝牙通信的无线局域网网卡的制造商,“媒体访问控制地址”表示分配给无线局域网网卡的唯一标识符,“信号强度”表示当网络接口209接收蓝牙包时的每个数据包的信号强度,“设备类型”表示蓝牙设备的设备的种类(例如,个人计算机(例如,笔记本计算机)、智能手机、…),“设备名”是赋予设备的名称。
搜索步骤(S103)包括如下操作:对在相同的时间段收集的全部蓝牙包所包含的信息进行比较,来搜寻是否存在“设备名”彼此相同的蓝牙包(以下,“设备名重复蓝牙包”)。作为此操作的执行结果,若搜寻到传送具有彼此相同的“设备名”的蓝牙包的设备(以下,“设备名重复设备”),则设备名重复设备的危险度可能变高。例如,若设备A的设备名和设备C的设备名相同,则设备A的危险度和设备C的危险度中的任意一个可能将更高。这是因为设备A和设备C中的任意一个可能是受到黑客攻击的假设备。
例如,搜索步骤(S103)还可以包括如下操作中的至少一个操作:对在蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...中的在相同的时间段收集的蓝牙包所包含的信息进行比较,来搜寻是否存在“制造商”彼此相同的蓝牙数据(制造商重复蓝牙包);以及对在蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...中的在相同的时间段收集的蓝牙包所包含的信息进行比较,来搜寻是否存在“媒体访问控制地址”彼此相同的蓝牙数据(媒体访问控制地址重复蓝牙包)。若作为这样的操作的执行结果,搜寻到传送具有彼此相同的“制造商”的蓝牙包的设备(以下,“制造商重复设备”)和传送具有彼此相同的“媒体访问控制地址”的蓝牙包的设备(以下,“媒体访问控制地址重复设备”),则制造商重复设备和媒体访问控制地址重复设备的危险度可能将变高。
例如,若设备B的制造商和设备D的制造商彼此相同,则设备B的危险度和设备D的危险度中的任意一个可能更高。这是因为设备B和设备D中的任意一个可能是受到黑客攻击的假设备。作为另一例子,若设备B的媒体访问控制地址和设备D的媒体访问控制地址彼此相同,则设备B的危险度和设备D的危险度中的任意一个可能更高。
例如,搜索步骤(S103)还可以包括在设备名重复设备中搜寻“设备类型”为个人计算机的设备的操作。在搜索步骤(S103)中,执行搜寻设备名重复设备的操作之后,执行确认搜寻到的设备名重复设备的蓝牙包所包含的“设备类型”是否为个人计算机的操作。如果在设备名重复设备中存在“设备类型”为个人计算机的设备,则针对这样的设备的危险度将增加。例如,若设备A的设备名和设备C的设备名彼此相同,并且设备C的“设备类型”为个人计算机,则针对设备C的危险度将增加。
例如,搜索步骤(S103)还可以包括如下操作中的至少一个操作:在传送制造商重复蓝牙包的设备中搜寻“设备类型”为个人计算机的设备;在传送媒体访问控制地址重复蓝牙包的设备中搜寻“设备类型”为个人计算机的设备。
例如,搜索步骤(S103)可以包括:若设备B的制造商和设备D的制造商彼此相同,则在设备B和设备D中搜寻“设备类型”为个人计算机的设备的操作。并且,搜索步骤(S103)可以包括:若设备A的媒体访问控制地址和设备C的媒体访问控制地址彼此相同,则在设备A和设备C中搜寻“设备类型”为个人计算机的设备的操作。另外,搜索步骤(S103)可以包括如下操作中的至少一个:在制造商彼此相同的设备B和设备D中搜寻“设备类型”为个人计算机的设备;在媒体访问控制地址彼此相同的设备A和设备C中搜寻“设备类型”为个人计算机的设备。
若在传送制造商重复蓝牙包的设备中存在“设备类型”为个人计算机的设备,则针对该设备的危险度将增加。并且,若在传送媒体访问控制地址重复蓝牙包的设备中存在“设备类型”为个人计算机的设备,则针对该设备的危险度将增加。
例如,搜索步骤(S103)还可以包括在收集到的蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...所包含的信息中搜寻“设备名”比预定的基准长的情况的设备的操作。例如,预定的基准可以是以韩文基准10位以下。例如,在“设备名”为
Figure BDA0002493549820000081
的情况下是3位,而在
Figure BDA0002493549820000082
Figure BDA0002493549820000083
的情况下是12位。上述的韩文基准10位是示意性的,因此本领域技术人员应当较容易地理解本发明并不仅局限于这样的基准。反映了时长会发生黑客使设备名的长度变长而故意产生溢出的情况。
例如,搜索步骤(S103)还可以包括在收集到的蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...所包含的信息中搜寻“RSSI”值比预设的基准值低的设备的操作。
另外,例如,针对“RSSI”值的预定的基准可以是-80dBm。在这样的情况下,搜索步骤(S103)执行在收集的蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...所包含的信息中搜寻“RSSI”的强度在-80dBm以下的设备的操作。虽然将后述,在计算危险度的步骤(S105)中,针对“RSSI”值低于预设的基准值的设备增加危险度。例如,危险度可以增加3。
例如,搜索步骤(S103)还可以包括在收集的蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...所包含的信息中搜寻“RSSI”值比预设的变化值具有更多变化的设备的操作。例如,预定的变化值可以是±20dBm。在这样的情况下,搜索步骤(S103)执行在收集的蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...所包含信息中搜寻“RSSI”的强度的变化在±20dBm以上的设备的操作。虽然将后述,在计算危险度的步骤(S105)中,针对“RSSI”值比预设的变化值变化更多的设备增加危险度。例如,危险度可以增加3。
参照图3,可以得知“RSSI”值和与蓝牙设备之间的距离(用户终端装置200和蓝牙设备之间的距离)的关系。在本实施例中反映了如下经验性结果:蓝牙设备越远离收集蓝牙包的用户终端装置200,并且“RSSI”值的变化越大,对安全造成威胁的概率越高。
例如,收集步骤(S101)可以包括如下操作:在第一时间段收集从设备A、B、C、D、...传送的蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...;在与第一时间段不同的第二时间段收集从设备A、B、C、D、...传送的蓝牙包PACKET'_A、PACKET'_B、PACKET'_C、PACKET'_D、...。
例如,搜索步骤(S103)还可以包括如下操作:对在第一时间段收集的蓝牙包所包含的信息和在第二时间段收集的蓝牙包所包含的信息进行比较,来搜寻存在信息变更的设备。另外,在搜索步骤(S103)的执行结果,搜寻到存在信息的变更的设备的情况下,计算危险度的步骤(S105)还包括针对存在信息的变更的设备增加危险度的操作。
本实施例中,成为比较的对象的信息可以是蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...所包含的“设备名”、“媒体访问控制地址”、“蓝牙连接状态”、“设备类型”、“设备支持服务器”、“蓝牙类型”、“信号强度(RSSI)”以及“制造商数据”中的至少一个。具体地举例,第一时间段可以是2019年11月7日上午10点~上午11点,第二时间段可以是2019年11月7日上午12点~下午1点。这是为了探测黑客不存在于第一时间段而出现在第二时间段的情况。即,为了探测在第二时间段出现的黑客的设备(威胁设备)对其他设备进行了攻击并复制受到攻击的设备的信息的情况。
例如,计算危险度的步骤(S105)可以是分别计算针对作为收集蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...的对象的设备A、B、C、D、...的危险度的步骤(S105)。另外,计算危险度的步骤(S105)可以是在作为收集蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...的对象的设备A、B、C、D、...中针对如下设备分别计算危险度的步骤(S105):制造商重复设备、设备名重复设备、媒体访问控制地址重复设备、随着时间段变化而存在信息变更的设备、“RSSI”的值在基准值以下的设备、“RSSI”的值的变化在预设的变化值以上的设备。
根据一实施例,危险度可以分为“下”、“上”以及“最上”,“下”可以设定为危险度分数为0至4的情况,“上”的情况可以设定为危险度分数为5至9的情况,“最上”的情况可以设定为危险度分数在10以上的情况。
例如,在计算危险度的步骤(S105)中,可按如下的方式执行:每当符合制造商重复设备、设备名重复设备、媒体访问控制地址重复设备、随着时间段变化而存在信息变更的设备、“RSSI”的值在基准值以下的设备、“RSSI”的值的变化在预设的变化值以上的设备时,将针对符合的设备的危险度分数增加预定的分数。
上述的危险度的分类或者分数计算方式是示意性的,本发明并不仅局限于此。另外,危险度可以存储于存储器203或者永久存储装置205。
例如,计算危险度的步骤(S105)包括增加针对设备名重复设备中的至少一个设备的危险度的操作(第一操作)。在此,例如,第一操作可以是如下的操作:在作为搜索步骤(S103)的执行结果,设备名重复设备中存在“设备类型”为个人计算机的设备的情况下,增加针对这样的设备的危险度。作为具体的例子,第一操作可以是针对设备名重复设备并“设备类型”为个人计算机设备的危险度增加“10”分的操作。
例如,计算危险度的步骤(S105)还可以包括如下操作中的至少一个操作:针对作为搜索步骤(S103)的执行结果而搜寻到的制造商重复设备中的“设备类型”为个人计算机的设备增加危险度(第二操作);针对作为搜索步骤(S103)的执行结果而搜寻到的媒体访问控制地址重复设备中的“设备类型”为个人计算机的设备增加危险度(第三操作)。即,第二操作是针对制造商重复设备并且“设备类型”为个人计算机的设备增加危险度的操作,第三操作是针对媒体访问控制地址重复设备并且“设备类型”为个人计算机的设备增加危险度的操作。作为具体的例子,第二操作可以是针对制造商重复设备并且“设备类型”为个人计算机的设备增加危险度“3”分的操作,第三操作是针对媒体访问控制地址重复设备并且“设备类型”为个人计算机的设备增加危险度“10”分的操作。
例如,计算危险度的步骤(S105)还可以包括如下操作:若作为搜索步骤(S103)的执行结果的蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...所包含的信息中搜寻到“设备名”比预定的基准长的设备,则针对这样的设备增加危险度(第四操作)。
即,在第四操作中,可以根据“设备名”的长度比预定的基准长的程度而不同地增加危险度。例如,在预定的基准为韩文10位的情况下,计算危险度的步骤(S105)可以以如下方式执行:若“设备名”的长度大于等于24字并小于50字,则增加危险度3,若“设备名”的长度大于等于50字,则增加危险度5。
例如,计算危险度的步骤(S105)还可以包括如下操作:若作为搜索步骤(S103)的执行结果的在第一时间段收集的蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...所包含的信息和在第一时间段收集的蓝牙包PACKET'_A、PACKET'_B、PACKET'_C、PACKET'_D、...所包含的信息存在差异,即,存在蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...所包含的信息随着时间段变化而变更的设备,则针对如此信息变更的设备增加危险度(第五操作)。例如,第五操作可以是针对信息变更的设备增加其危险度10的操作。在此,例如,作为变更的对象的信息可以是“设备名”、“媒体访问控制地址”、“蓝牙连接状态”、“设备类型(Class Of Device)”、“设备支持服务器”、“蓝牙类型”、“信号强度(RSSI)”以及“制造商数据”中的任意一个。
例如,在计算危险度的步骤(S105)中,针对作为搜索步骤(S103)的执行结果的收集的蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...的“RSSI”值比预设的基准值小的设备增加其危险度。例如,可以增加危险度3。
例如,在搜索步骤(S103)中,针对作为搜索步骤(S103)的执行结果的收集的蓝牙包PACKET_A、PACKET_B、PACKET_C、PACKET_D、...的“RSSI”值比预设的变化值大的设备增加其危险度。例如,可以增加危险度3。
例如,在计算危险度的步骤(S105)中,当增加危险度时的数值(例如,3、10)是示意性的,也能够使用与此不同的数值。
在本发明所属的技术领域中具备基本知识的人员能够根据上述记载而进行多样的修改和变形。因此,不应局限于所述的实施例而限定本发明的范围,而是应当根据权利要求及其这种权利要求的等同物来确定本发明的范围。

Claims (6)

1.一种记录有用于在计算机执行蓝牙安全威胁探测方法的程序的计算机可读介质,其中,
所述蓝牙安全威胁探测方法包括:
收集从设备传送的蓝牙包的步骤;以及
搜索步骤,包括对收集的所述蓝牙包中的在相同的时间段收集的蓝牙包所包含的信息进行比较,来搜寻是否存在作为设备名彼此相同的蓝牙包的设备名重复蓝牙包的操作;
基于所述搜寻步骤的结果,针对传送所述蓝牙包的设备中的每个计算危险度的步骤,其中,危险度对应于表示危险的设备的程度的指数,
其中,所述计算危险度的步骤包括:
第一操作,针对作为传送所述设备名重复蓝牙包的设备的设备名重复设备中的至少一个设备增加危险度。
2.如权利要求1所述的记录有用于在计算机执行蓝牙安全威胁探测方法的程序的计算机可读介质,其中,
所述搜索步骤还包括如下操作中的至少一个操作:
对收集的所述蓝牙包中的在相同的时间段收集的蓝牙包所包含的信息进行比较,来搜寻是否存在作为制造商彼此相同的蓝牙设备数据包的制造商重复蓝牙包;
对收集的所述蓝牙包中的在相同的时间段收集的蓝牙包所包含的信息进行比较,来搜寻是否存在作为媒体访问控制地址彼此相同的蓝牙包的媒体访问控制地址重复蓝牙包;
其中,所述制造商表示设置于所述设备的用于蓝牙通信的无线局域网网卡的制造商,所述媒体访问控制地址表示分配给所述无线局域网网卡的唯一标识符。
3.如权利要求1所述的记录有用于在计算机执行蓝牙安全威胁探测方法的程序的计算机可读介质,其中,
所述搜索步骤还包括如下操作:
在所述设备名重复设备中搜寻设备类型为个人计算机的设备,
所述第一操作是在所述设备名重复设备中的针对设备类型为个人计算机的设备增加危险度。
4.如权利要求2所述的记录有用于在计算机执行蓝牙安全威胁探测方法的程序的计算机可读介质,其中,
所述搜索步骤还包括如下操作中的至少一个操作:
在传送所述制造商重复蓝牙包的设备中搜寻设备类型为个人计算机的设备;以及
在传送所述媒体访问控制地址重复蓝牙包的设备中搜寻设备类型为个人计算机的设备,
所述计算危险度的步骤还包括如下操作中的至少一个操作:
第二操作,针对传送所述制造商重复蓝牙包设备中的设备类型为个人计算机的设备增加危险度;以及
第三操作,针对传送所述媒体访问控制地址重复蓝牙包设备中的设备类型为个人计算机的设备增加危险度。
5.如权利要求1所述的记录有用于在计算机执行蓝牙安全威胁探测方法的程序的计算机可读介质,其中,
所述搜索步骤还包括如下操作:
搜寻在收集的所述蓝牙包所包含的信息中的设备名比预定的基准长的设备,
所述计算危险度的步骤还包括如下操作:
第四操作,针对具有比预定的基准长的设备名的设备增加危险度。
6.如权利要求1所述的记录有用于在计算机执行蓝牙安全威胁探测方法的程序的计算机可读介质,其中,
所述收集步骤还包括如下操作:
收集在第一时间段从所述设备传送的蓝牙包;
收集在与第一时间段不同的第二时间段从所述设备传送的蓝牙包,
其中,所述搜索步骤还包括如下操作:
对在第一时间段收集的蓝牙包所包含的信息和在第二时间段收集的蓝牙包所包含的信息进行比较,来搜寻存在信息变更的设备,
其中,所述计算危险度的步骤还包括如下操作:
第五操作,针对所述存在信息变更的设备增加危险度。
CN202010411930.1A 2019-11-14 2020-05-15 记录有蓝牙安全威胁探测方法的计算机可读介质 Pending CN112804668A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2019-0146021 2019-11-14
KR1020190146021 2019-11-14

Publications (1)

Publication Number Publication Date
CN112804668A true CN112804668A (zh) 2021-05-14

Family

ID=71842582

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010411930.1A Pending CN112804668A (zh) 2019-11-14 2020-05-15 记录有蓝牙安全威胁探测方法的计算机可读介质

Country Status (3)

Country Link
EP (1) EP3823326B1 (zh)
KR (1) KR20210058639A (zh)
CN (1) CN112804668A (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060165073A1 (en) * 2004-04-06 2006-07-27 Airtight Networks, Inc., (F/K/A Wibhu Technologies, Inc.) Method and a system for regulating, disrupting and preventing access to the wireless medium
US20090068946A1 (en) * 2007-09-07 2009-03-12 Motorola, Inc. Method and apparatus that mitigates the effects of bluetooth-based denial of service attacks against mobile devices
CN104270366A (zh) * 2014-09-30 2015-01-07 北京金山安全软件有限公司 检测karma攻击的方法及装置
US20160217668A1 (en) * 2015-01-27 2016-07-28 Honeywell International Inc. Alarm Routing In Integrated Security System Based On Security Guards Real-Time Location Information In The Premises For Faster Alarm Response
US20170061439A1 (en) * 2014-03-25 2017-03-02 Symbol Technologies, Llc Detection of an unauthorized wireless communication device
EP3148237A1 (en) * 2015-09-28 2017-03-29 Alcatel Lucent Monitoring of attacks on bluetooth beacon devices
US20170104770A1 (en) * 2015-10-12 2017-04-13 Dell Products, L.P. System and method for performing intrusion detection in an information handling system
CN106851540A (zh) * 2017-02-08 2017-06-13 飞天诚信科技股份有限公司 一种蓝牙配对的实现方法及装置
CN108430063A (zh) * 2018-04-13 2018-08-21 上海连尚网络科技有限公司 一种用于监测无线局域网中arp欺骗的方法与设备
CN109104717A (zh) * 2018-11-14 2018-12-28 四川科道芯国智能技术股份有限公司 蓝牙配对方法、蓝牙设备及蓝牙模块
CN109525580A (zh) * 2018-11-19 2019-03-26 南京邮电大学 一种基于蓝牙高威胁远程执行代码漏洞的防范方法
US20190166502A1 (en) * 2017-11-29 2019-05-30 Mojo Networks, LLC. Security monitoring for wireless sensor nodes

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102389576B1 (ko) * 2016-01-08 2022-04-22 삼성전자주식회사 무선 통신 시스템에서 위조 광고자 검출 장치 및 방법

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060165073A1 (en) * 2004-04-06 2006-07-27 Airtight Networks, Inc., (F/K/A Wibhu Technologies, Inc.) Method and a system for regulating, disrupting and preventing access to the wireless medium
US20090068946A1 (en) * 2007-09-07 2009-03-12 Motorola, Inc. Method and apparatus that mitigates the effects of bluetooth-based denial of service attacks against mobile devices
US20170061439A1 (en) * 2014-03-25 2017-03-02 Symbol Technologies, Llc Detection of an unauthorized wireless communication device
CN104270366A (zh) * 2014-09-30 2015-01-07 北京金山安全软件有限公司 检测karma攻击的方法及装置
US20160217668A1 (en) * 2015-01-27 2016-07-28 Honeywell International Inc. Alarm Routing In Integrated Security System Based On Security Guards Real-Time Location Information In The Premises For Faster Alarm Response
EP3148237A1 (en) * 2015-09-28 2017-03-29 Alcatel Lucent Monitoring of attacks on bluetooth beacon devices
US20170104770A1 (en) * 2015-10-12 2017-04-13 Dell Products, L.P. System and method for performing intrusion detection in an information handling system
CN106851540A (zh) * 2017-02-08 2017-06-13 飞天诚信科技股份有限公司 一种蓝牙配对的实现方法及装置
US20190166502A1 (en) * 2017-11-29 2019-05-30 Mojo Networks, LLC. Security monitoring for wireless sensor nodes
CN108430063A (zh) * 2018-04-13 2018-08-21 上海连尚网络科技有限公司 一种用于监测无线局域网中arp欺骗的方法与设备
CN109104717A (zh) * 2018-11-14 2018-12-28 四川科道芯国智能技术股份有限公司 蓝牙配对方法、蓝牙设备及蓝牙模块
CN109525580A (zh) * 2018-11-19 2019-03-26 南京邮电大学 一种基于蓝牙高威胁远程执行代码漏洞的防范方法

Also Published As

Publication number Publication date
KR20210058639A (ko) 2021-05-24
EP3823326B1 (en) 2023-05-10
EP3823326A1 (en) 2021-05-19

Similar Documents

Publication Publication Date Title
CN103400076B (zh) 一种移动终端上的恶意软件检测方法、装置和系统
US8055762B2 (en) Method and system for location identification
US10873900B2 (en) Method for wireless fidelity connection and related products
US20150026330A1 (en) Generating unique identifiers for mobile devices
US20160253388A1 (en) Method and Apparatus for Sharing Environment Context
CN112261570A (zh) 兴趣点与无线网络的关联方法、装置、服务器及存储介质
CN108304369B (zh) 一种文件类型的识别方法和装置
WO2021231030A1 (en) Cluster-based near-duplicate document detection
CN109976828B (zh) 一种配置文件的方法及装置
CN112804668A (zh) 记录有蓝牙安全威胁探测方法的计算机可读介质
US10567513B2 (en) Transmission control method and transmission control apparatus
CN113672669B (zh) 基于分布式存储的数据查询方法及装置
EP4178244A1 (en) System for detecting mitm attack in bluetooth
KR20210058497A (ko) 블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체
CN114257997A (zh) 蓝牙中间人攻击探测方法
CN111556097B (zh) 一种数据传输方法、采集站、采集终端及数据采集系统
CN111836239B (zh) 基于与蓝牙设备的连接筛选危险的蓝牙设备的方法
KR101854391B1 (ko) 로그 검색을 이용한 단말의 보안 검사 방법
CN110753909A (zh) 服务调度方法和装置、计算机设备、计算机可读存储介质
CN112637110B (zh) 检测口令的方法、口令检测设备及存储介质
KR20220092126A (ko) 블루투스 기기의 위치 측정 방법
CN107169353B (zh) 异常文件识别方法及装置
CN117633788A (zh) 文件检测方法、装置、设备及存储介质
KR20160025022A (ko) 무선 채널 활용
CN116684240A (zh) 设备管控方法、装置、电子设备及计算机存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination