CN115379425A - 蓝牙攻击检测方法、装置、存储介质及移动终端 - Google Patents
蓝牙攻击检测方法、装置、存储介质及移动终端 Download PDFInfo
- Publication number
- CN115379425A CN115379425A CN202110548757.4A CN202110548757A CN115379425A CN 115379425 A CN115379425 A CN 115379425A CN 202110548757 A CN202110548757 A CN 202110548757A CN 115379425 A CN115379425 A CN 115379425A
- Authority
- CN
- China
- Prior art keywords
- bluetooth
- attack detection
- attack
- data
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种蓝牙攻击检测方法、装置、存储介质及移动终端,涉及蓝牙安全技术领域,方法包括:获取蓝牙设备组的流量数据报文;对所述流量数据报文进行关键字提取,获得协议数据单元,所述协议数据单元包括报文类型和数据信息;根据所述报文类型,获得所述蓝牙设备组的设备状态;针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果。本发明解决了现有技术中用户难以知晓蓝牙设备可能存在的蓝牙攻击行为的问题,实现了根据流量数据报文检测蓝牙攻击行为的目的。
Description
技术领域
本发明涉及蓝牙安全技术领域,尤其涉及一种蓝牙攻击检测方法、装置、存储介质及移动终端。
背景技术
随着蓝牙技术的不断发展,蓝牙设备具有越来越多的功能和多种不同的安全要求或安全模式。比如,一些特定情况的时候,蓝牙设备必须保持在较低安全要求的工作模式下,此时,蓝牙设备不具有任何安全机制,很容易受到无线网络威胁,甚至还容易遭到特定的蓝牙攻击。而目前尚没有对遭到特定蓝牙攻击的蓝牙设备进行检测的方案,导致用户难以知晓蓝牙设备可能存在的攻击行为。
发明内容
本发明的主要目的在于:提供一种蓝牙攻击检测方法、装置、存储介质及移动终端,旨在解决现有技术中用户难以知晓蓝牙设备可能存在的蓝牙攻击行为的技术问题。
为实现上述目的,本发明采用如下技术方案:
第一方面,本发明提供了一种蓝牙攻击检测方法,所述方法包括以下步骤:
获取蓝牙设备组的流量数据报文;
对所述流量数据报文进行关键字提取,获得协议数据单元,所述协议数据单元包括报文类型和数据信息;
根据所述报文类型,获得所述蓝牙设备组的设备状态;
针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果。
可选地,上述蓝牙攻击检测方法中,所述蓝牙设备组包括主设备和从设备;
当所述报文类型为通用广播或不可连接广播时,所述设备状态包括所述从设备为广播状态;所述针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果的步骤,具体包括:对所述数据信息进行广播伪造攻击检测,以获得攻击检测结果;
当所述报文类型为主动扫描请求或主动扫描响应时,所述设备状态包括所述主设备为扫描状态;所述针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果的步骤,具体包括:对所述数据信息进行干扰攻击检测,以获得攻击检测结果;
当所述报文类型为连接请求时,所述设备状态包括所述主设备和所述从设备为建立连接状态;所述针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果的步骤,具体包括:对所述数据信息进行拒绝服务攻击检测,以获得攻击检测结果。
可选地,上述蓝牙攻击检测方法中,所述对所述数据信息进行广播伪造攻击检测,以获得攻击检测结果的步骤,具体包括:
当所述蓝牙设备组的从设备为广播状态时,提取所述数据信息的广播单元;
针对所述广播单元,获取所述从设备的厂商自定义字段及其从设备地址;
判断所述厂商自定义字段中是否存在多个从设备地址;
若所述厂商自定义字段中存在多个从设备地址,判定所述蓝牙设备组的主设备存在广播伪造攻击,并判定所述从设备为攻击对象。
可选地,上述蓝牙攻击检测方法中,所述对所述数据信息进行干扰攻击检测,以获得攻击检测结果的步骤,具体包括:
当所述蓝牙设备组的主设备为扫描状态时,根据预设扫描时间内的所述数据信息,获得数据集;
提取所述数据集中从设备发出的主动扫描响应,其中,所述主动扫描响应基于所述主设备发送的主动扫描请求产生;
判断所述主动扫描响应的数量是否超出预设数量门限值;
若所述主动扫描响应的数量超出预设数量门限值,判定所述从设备存在干扰攻击,并判定所述主设备为攻击对象。
可选地,上述蓝牙攻击检测方法中,所述对所述数据信息进行拒绝服务攻击检测,以获得攻击检测结果的步骤,具体包括:
当所述蓝牙设备组的主设备和从设备为建立连接状态时,根据所述数据信息中的从设备地址,获得地址数据集;
提取所述地址数据集中预设单位时间内所述从设备地址的写操作数据包;
判断所述写操作数据包的数量是否超出预设数量阈值;
若所述写操作数据包的数量超出预设数量阈值,判定所述设备地址对应的设备存在拒绝服务攻击,并判定所述设备为攻击对象。
可选地,上述蓝牙攻击检测方法中,在判断所述写操作数据包的数量是否超出预设数量阈值的步骤之后,所述方法还包括:
若所述写操作数据包的数量超出预设数量阈值,进一步判断所述数据信息中是否存在超出预设数据量的随机二进制数据;
若所述写操作数据包的数量超出预设数量阈值,判定所述从设备存在拒绝服务攻击,并判定所述主设备为攻击对象。
可选地,上述蓝牙攻击检测方法中,在针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果的步骤之后,所述方法还包括:
根据所述攻击检测结果,进行蓝牙攻击报警。
第二方面,本发明提供了一种蓝牙攻击检测装置,所述装置包括:
数据报文获取模块,用于获取蓝牙设备组的流量数据报文;
信息提取模块,用于对所述流量数据报文进行关键字提取,获得协议数据单元,所述协议数据单元包括报文类型和数据信息;
设备状态获取模块,根据所述报文类型,获得所述蓝牙设备组的设备状态;
攻击检测模块,针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果。
第三方面,本发明提供了一种存储介质,其上存储有计算机程序,所述计算机程序可被一个或多个处理器执行,以实现如上述的蓝牙攻击检测方法。
第四方面,本发明提供了一种移动终端,所述移动终端包括存储器和处理器,所述存储器上存储有计算机程序,该计算机程序被所述处理器执行时,执行如上述的蓝牙攻击检测方法。
本发明提供的上述一个或多个技术方案,可以具有如下优点或至少实现了如下技术效果:
本发明提出的一种蓝牙攻击检测方法、装置、存储介质及移动终端,通过对获取的蓝牙设备组的流量数据报文进行关键字提取,获得协议数据单元,再根据协议数据单元中的报文类型获得所述蓝牙设备组的设备状态,从而针对不同的设备状态,对协议数据单元中的数据信息对应地进行蓝牙攻击检测,以获得攻击检测结果,实现了根据流量数据报文检测蓝牙攻击行为的目的。本发明通过流量分析的方式检测出多种蓝牙攻击类型以及对应的攻击对象,不会影响蓝牙设备的正常使用,不影响其现有环境;并且,针对不同的设备状态对应进行蓝牙攻击检测,可以缩短检测耗时,快速获得攻击检测结果,方便用户及时知晓蓝牙设备可能存在的威胁。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的这些附图获得其他的附图。
图1为本发明实施例提供的一种移动终端的硬件结构示意图;
图2为本发明实施例提供的一种通信网络系统的系统架构图;
图3为本发明蓝牙攻击检测方法第一实施例的流程示意图;
图4为本发明蓝牙攻击检测方法第二实施例的流程示意图;
图5为本发明蓝牙攻击检测方法第二实施例中报文类型与蓝牙攻击检测的对照示意图;
图6为本发明蓝牙攻击检测方法第二实施例中步骤S41的流程示意图;
图7为本发明蓝牙攻击检测方法第二实施例中步骤S42的流程示意图;
图8为本发明蓝牙攻击检测方法第二实施例中步骤S43的流程示意图;
图9为本发明蓝牙攻击检测装置的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明,在本发明中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。另外,在本发明中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。另外,各个实施例的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时,应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
在本发明中,终端可以以各种形式来实施。例如,可以包括诸如手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(Personal Digital Assistant,PDA)、便捷式媒体播放器(Portable Media Player,PMP)、导航装置、可穿戴设备、智能手环、计步器等移动终端,以及诸如数字TV、台式计算机等固定终端。
后续描述中将以移动终端为例进行说明,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
请参阅图1,为实现本发明各个实施例的一种移动终端的硬件结构示意图,该移动终端100可以包括:RF(Radio Frequency,射频)单元101、WiFi模块102、音频输出单元103、A/V(音频/视频)输入单元104、传感器105、显示单元106、用户输入单元107、接口单元108、存储器109、处理器110、蓝牙模块111、以及电源等部件。本领域技术人员可以理解,图1中示出的移动终端结构并不构成对移动终端的限定,移动终端可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图1对移动终端的各个部件进行具体的介绍:
射频单元101可用于收发信息或通话过程中,信号的接收和发送,具体的,将基站的下行信息接收后,给处理器110处理;另外,将上行的数据发送给基站。通常,射频单元101包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频单元101还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于GSM(Global System of Mobile communication,全球移动通讯系统)、GPRS(General Packet Radio Service,通用分组无线服务)、CDMA2000(CodeDivision Multiple Access 2000,码分多址2000)、WCDMA(Wideband Code DivisionMultiple Access,宽带码分多址)、TD-SCDMA(Time Division-Synchronous CodeDivision Multiple Access,时分同步码分多址)、FDD-LTE(Frequency DivisionDuplexing-Long Term Evolution,频分双工长期演进)和TDD-LTE(Time DivisionDuplexing-Long Term Evolution,分时双工长期演进)等。
WiFi属于短距离无线传输技术,移动终端通过WiFi模块102可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图1中示出了WiFi模块102,但是可以理解的是,其并不属于移动终端的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
音频输出单元103可以在移动终端100处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时,将射频单元101或WiFi模块102接收的或者在存储器109中存储的音频数据转换成音频信号并且输出为声音。而且,音频输出单元103还可以提供与移动终端100执行的特定功能相关的音频输出,例如,呼叫信号接收声音、消息接收声音等等。音频输出单元103可以包括扬声器、蜂鸣器等等。
A/V输入单元104用于接收音频或视频信号。具体地,A/V输入单元104可包括图形处理器(Graphics Processing Unit,GPU)1041和麦克风1042,图形处理器1041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图像或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元106上。经图形处理器1041处理后的图像帧可以存储在存储器109(或其它存储介质)中或者经由射频单元101或WiFi模块102进行发送。麦克风1042可以在电话通话模式、记录模式、语音识别模式等等运行模式中经由麦克风1042接收声音(或音频数据),并且能够将这样的声音处理为音频数据。处理后的音频数据可以在电话通话模式的情况下转换为可经由射频单元101发送到移动通信基站的格式输出。麦克风1042可以实施各种类型的噪声消除(或抑制)算法以消除(或抑制)在接收和发送音频信号的过程中产生的噪声或者干扰。
移动终端100还包括至少一种传感器105,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板1061的亮度,接近传感器可在移动终端100移动到耳边时,关闭显示面板1061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等。至于手机还可配置的指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
显示单元106用于显示由用户输入的信息或提供给用户的信息。显示单元106可以包括显示面板1061,可以采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板1061。
用户输入单元107可用于接收输入的数字或字符信息,以及产生与移动终端的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元107可包括触控面板1071以及其他输入设备1072。触控面板1071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1071上或在触控面板1071附近的操作),并根据预先设定的程式驱动相应的连接装置。触控面板1071可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器110,并能接收处理器110发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1071。除了触控面板1071,用户输入单元107还可以包括其他输入设备1072。具体地,其他输入设备1072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种,具体此处不做限定。
进一步的,触控面板1071可覆盖显示面板1061,当触控面板1071检测到在其上或附近的触摸操作后,传送给处理器110以确定触摸事件的类型,随后处理器110根据触摸事件的类型在显示面板1061上提供相应的视觉输出。虽然在图1中,触控面板1071与显示面板1061是作为两个独立的部件来实现移动终端的输入和输出功能,但是在某些实施例中,可以将触控面板1071与显示面板1061集成而实现移动终端的输入和输出功能,具体此处不做限定。
接口单元108用作至少一个外部装置与移动终端100连接可以通过的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元108可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到移动终端100内的一个或多个元件,或者可以用于在移动终端100和外部装置之间传输数据。
存储器109可用于存储软件程序以及各种数据,存储器109可为一种计算机存储介质,其上存储有本发明蓝牙攻击检测方法的计算机程序。存储器109可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器109可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器110是移动终端的控制中心,利用各种接口和线路连接整个移动终端的各个部分,通过运行或执行存储在存储器109内的软件程序和/或模块,以及调用存储在存储器109内的数据,执行移动终端的各种功能和处理数据,从而对移动终端进行整体监控。如处理器110执行存储器109中的计算机程序,以实现本发明蓝牙攻击检测方法中的全部或部分步骤。处理器110可包括一个或多个处理单元;可选的,处理器110可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器110中。
移动终端100还可以包括蓝牙模块111,比如经典蓝牙模块或低功耗蓝牙模块,用于发出广播或进行扫描或与其他终端上的蓝牙模块建立连接,使得一组均包括蓝牙模块的终端工作在相同的时钟和跳频模式,实现数据无线传输。
尽管图1未示出,移动终端100还可以包括给各个部件供电的电源(比如电池),优选的,电源可以通过电源管理系统与处理器110逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
为了便于理解本发明实施例,下面对本发明的移动终端所基于的通信网络系统进行描述。
请参阅图2,为本发明实施例提供的一种通信网络系统的系统架构图,该通信网络系统为通用移动通信技术的LTE系统,该LTE系统包括依次通讯连接的UE(User Equipment,用户设备)201,E-UTRAN(Evolved UMTS Terrestrial Radio Access Network,演进式UMTS陆地无线接入网)202,EPC(Evolved Packet Core,演进式分组核心网)203和运营商的IP业务204。
具体地,UE201可以是上述终端100,此处不再赘述。
E-UTRAN202包括eNodeB2021和其它eNodeB2022等。其中,eNodeB2021可以通过回程(backhaul)(例如X2接口)与其它eNodeB2022连接,eNodeB2021连接到EPC203,eNodeB2021可以提供UE201到EPC203的接入。
EPC203可包括MME(Mobility Management Entity,移动性管理实体)2031,HSS(Home Subscriber Server,归属用户服务器)2032,其它MME2033,SGW(Serving Gate Way,服务网关)2034,PGW(PDN Gate Way,分组数据网络网关)2035和PCRF(Policy andCharging Rules Function,政策和资费功能实体)2036等。其中,MME2031是处理UE201和EPC203之间信令的控制节点,提供承载和连接管理。HSS2032用于提供一些寄存器来管理诸如归属位置寄存器(图中未示出)之类的功能,并且保存有一些有关服务特征、数据速率等用户专用的信息。所有用户数据都可以通过SGW2034进行发送,PGW2035可以提供UE201的IP地址分配以及其它功能,PCRF2036是业务数据流和IP承载资源的策略与计费控制策略决策点,它为策略与计费执行功能单元(图中未示出)选择及提供可用的策略和计费控制决策。
IP业务204可以包括因特网、内联网、IMS(IP Multimedia Subsystem,IP多媒体子系统)或其它IP业务等。
虽然上述以LTE系统为例进行了介绍,但本领域技术人员应当知晓,本发明不仅仅适用于LTE系统,也可以适用于其他无线通信系统,例如GSM、CDMA2000、WCDMA、TD-SCDMA以及未来新的网络系统等,此处不做限定。
基于上述移动终端硬件结构以及通信网络系统,提出本发明蓝牙攻击检测方法的各个实施例。
目前,蓝牙技术按照应用和支持协议划分,主要分为两种:经典蓝牙(Bluetooth,简称BT)和低功耗蓝牙(Bluetooth Low Energy,简称BLE)。经典蓝牙泛指蓝牙协议在4.0以下的BR(Basic Rate,基础速率)技术、EDR(Enhanced Data Rate,增强数据速率)技术和AMP(Generic Alternate MAC/PHYs,通用轮询控制器)技术。BLE是指支持蓝牙协议4.0或更高版本的LE(Low Energy,低功耗)技术,具有短距离、低成本、可互操作性的特点,利用许多智能手段最大限度地降低功耗,因此被广泛使用在各个领域。
经典蓝牙的蓝牙协议中指定了三个基本安全服务,认证、保密和授权。认证即根据蓝牙设备地址验证通信设备的身份,蓝牙设备不提供本地用户认证;保密即通过确保只有授权设备才能访问和查看传输数据,防止由窃听造成的信息失密;授权即通过确保允许设备使用服务前设备已被授权,实现资源控制。
BLE不同于经典蓝牙的安全服务,引入了AES-CCM(Advanced EncryptionStandard Counter-with-cipher-block-chaining-message-authentication-code,工作在CCM模式下的AES)加密算法,保证通信的保密性,以及数据报文的认证性和完整性,此外,BLE中还引入了诸如私有设备地址和数据签名等功能,分别由IRK(Identity ResolvingKey,身份解析密钥)、LTK(Long Term Key,长期密钥)和CSRK(Connection SignatureResolving Key,连接签名解析密钥)等密钥实现,这些密钥在蓝牙配对时生成并进行安全分发。因此,BLE还具有加密、数据签名等安全服务。
在BLE的实际应用中,针对不同的服务请求,可以配置对应的安全要求,从而具有不同的安全模式或级别,如表1所示:
表1
如表1中所示,一些特定情况的时候,蓝牙设备必须保持在安全模式一的1级安全要求的工作模式下,此时,在该安全要求的工作模式下的BLE设备及相关设备不具有任何安全机制,不认证和加密,直接连接进行配对,且不提供窃听保护,也不提供抗MITM攻击(Man-in-the-Middle Attack,中间人攻击),很容易受到无线网络威胁,比如,窃听、MITM攻击、篡改信息、资源盗用等威胁,甚至还容易遭到特定的蓝牙攻击,比如广播伪造攻击、干扰攻击和拒绝服务攻击。
对现有技术的分析发现,蓝牙设备在较低安全要求的工作模式下,容易受到特定蓝牙攻击,但目前尚没有对遭到特定蓝牙攻击的蓝牙设备进行检测的方案,导致用户难以知晓蓝牙设备可能存在的攻击行为。
鉴于现有技术中用户难以知晓蓝牙设备可能存在的蓝牙攻击行为的技术问题,本发明提供一种蓝牙攻击检测方法,总体思路如下:
获取蓝牙设备组的流量数据报文;对所述流量数据报文进行关键字提取,获得协议数据单元,所述协议数据单元包括报文类型和数据信息;根据所述报文类型,获得所述蓝牙设备组的设备状态;针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果。
通过上述技术方案,实现了根据流量数据报文检测蓝牙攻击行为的目的。通过流量分析的方式检测出多种蓝牙攻击类型以及对应的攻击对象,不会影响蓝牙设备的正常使用,不影响其现有环境;并且,针对不同的设备状态对应进行蓝牙攻击检测,可以缩短检测耗时,快速获得攻击检测结果,方便用户及时知晓蓝牙设备可能存在的威胁。
实施例一
参照图3,为本发明蓝牙攻击检测方法第一实施例的流程示意图。本实施例提供了一种可以应用于终端的蓝牙攻击检测方法的第一实施例,所述终端可选图1所示的移动终端。
下面结合图3,对本实施例提供的蓝牙攻击检测方法进行详细描述,所述方法可以包括以下步骤:
步骤S10:获取蓝牙设备组的流量数据报文。
具体的,蓝牙设备组为参与广播通信并组成一个微微网(piconet)的一组设备,包括主设备和从设备,提供同步参照物的设备叫主设备(Master),其他设备去同步主设备的时钟和跳频模式,这些设备叫从设备(Slave)。该主设备和从设备均为蓝牙设备,可以是采用经典蓝牙技术的蓝牙模块,也可以是采用低功耗蓝牙技术的低功耗蓝牙模块。
本实施例中,采用低功耗蓝牙流量采集设备获取当前环境下蓝牙设备组中所有主设备和从设备之间的流量数据报文。
步骤S20:对所述流量数据报文进行关键字提取,获得协议数据单元,所述协议数据单元包括报文类型和数据信息。
具体的,对所述流量数据报文进行关键字提取,从原始十六进制数据中提取出协议数据单元(PDU,Protocol Data Unit),PDU包括十六字节的报头(Headers)和数据信息(Payload),其中,数据信息的长度由报头中长度字段决定。报头中的16字节字段包括4字节的报文类型(PDU Type)、2字节的保留信息(Reserved For Future Use,RFU)、1字节的发送地址(TxAdd)、1字节的接收地址(RxAdd),以及8字节的PDU长度(Length)。
本实施例中,对步骤S10获取的流量数据报文进行关键字提取,提取出协议数据单元,从协议数据单元中获得报文类型和数据信息,以待使用,其中,所述报文类型可以有通用广播(ADV_IND)、定向连接广播(ADV_DIRECT_IND)、不可连接广播(ADV_NONCONN_IND)、主动扫描请求(SCAN_REQ)、主动扫描响应(SCAN_RSP)、连接请求(CONNECT_REQ)、可扫描广播(ADV_SCAN_IND)、保留(Reserved)。
步骤S30:根据所述报文类型,获得所述蓝牙设备组的设备状态。
具体的,对协议数据单元进行分析,具体根据报文类型的不同,对应确定蓝牙设备组中各设备的设备状态。以蓝牙设备组的链路层(Link Layer,LL)角度来看,蓝牙设备组的设备状态可以有广播状态(Advertising,周期性的发送广播数据)、扫描状态(Scanning,扫描、接收广播数据)和建立连接状态(Initiating,发出连接请求)三个阶段。
本实施例中,当所述报文类型为通用广播或不可连接广播时,所述设备状态包括所述从设备为广播状态;当所述报文类型为主动扫描请求或主动扫描响应时,所述设备状态包括所述主设备为扫描状态;当所述报文类型为连接请求时,所述设备状态包括所述主设备和所述从设备为建立连接状态。
步骤S40:针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果。
具体的,蓝牙攻击可以包括广播伪造攻击、干扰攻击和拒绝服务攻击。下面对这三种蓝牙攻击进行解释:
广播伪造攻击:当蓝牙模块的信标(Beacon)处于广播模式时,会每隔一定的时间广播一个数据包到周围,作为独立的蓝牙设备即主设备在执行扫描动作时,会间隔地接收到信标广播出来的数据包。该数据包包含了信标设备地址,厂商信息和厂商的自定义字段,可以作为识别蓝牙设备的依据。由于广播包中未包含认证信息,攻击者可以事先截获广播包,修改其中的明文数据后进行重放,进而干扰主设备的正常扫描结果,影响用户蓝牙设备的使用,比如,伪造某厂商的智能手环广播信息制造虚假的手环,使主设备扫描到该广播信息后,建立连接,从而就存在用户无法知晓实际连接的蓝牙设备对应的手环是否是虚假产品。
干扰攻击:从设备发送广播数据,主设备接收到从设备发送的广播数据后,可以选择发送主动扫描请求,以请求从设备广播更多信息,一般情况下,蓝牙设备会立即响应31bytes以内的信息。攻击者利用此机制,用任意可编程蓝牙伪造成主设备向周围的从设备发送主动扫描请求,周围所有处于广播状态的从设备就会不停响应主动扫描请求,发出主动扫描响应,这在一定程度上会对从设备造成干扰,比如,增加了从设备的异常耗电等。
拒绝服务攻击:处于广播状态的从设备,比如,未配对的智能手环、智能灯牌等,在未做好防护措施的情况下,可以允许任意的主设备连接。攻击者可以采用任意处于主设备状态的蓝牙设备不断发起连接请求,在连接成功后的短时间内即断开,在攻击持续的时间内,受攻击的从设备一直处于不可见、不可连接的状态,从而造成拒绝服务。
本实施例中,针对上述蓝牙攻击类型,对应进行的蓝牙攻击检测可以包括广播伪造攻击检测、干扰攻击检测和拒绝服务攻击检测。当步骤S30确定蓝牙设备组的设备状态后,针对不同的设备状态进行相对应的蓝牙攻击检测。比如,当蓝牙设备组的从设备为广播状态时,对所述数据信息进行广播伪造攻击检测,以获得攻击检测结果;当蓝牙设备组的主设备为扫描状态时,对所述数据信息进行干扰攻击检测,以获得攻击检测结果;当蓝牙设备组的主设备和从设备为建立连接状态时,对所述数据信息进行拒绝服务攻击检测,以获得攻击检测结果。其中,攻击检测结果包括检测得到的蓝牙攻击类型和对应的攻击对象,以及被攻击对象。
本实施例提供的一种蓝牙攻击检测方法,通过对获取的蓝牙设备组的流量数据报文进行关键字提取,获得协议数据单元,再根据协议数据单元中的报文类型获得所述蓝牙设备组的设备状态,从而针对不同的设备状态,对协议数据单元中的数据信息对应地进行蓝牙攻击检测,以获得攻击检测结果,实现了根据流量数据报文检测蓝牙攻击行为的目的。本发明通过流量分析的方式检测出多种蓝牙攻击类型以及对应的攻击对象,不会影响蓝牙设备的正常使用,不影响其现有环境;并且,针对不同的设备状态对应进行蓝牙攻击检测,可以缩短检测耗时,快速获得攻击检测结果,方便用户及时知晓蓝牙设备可能存在的威胁。
实施例二
基于同一发明构思,参照图4,为本发明蓝牙攻击检测方法第二实施例的流程示意图,本实施例在实施例一的基础上,提供了一种可以应用于终端的蓝牙攻击检测方法的第二实施例,所述终端可选图1所示的移动终端。
下面结合图4,对本实施例提供的蓝牙攻击检测方法进行详细描述。
步骤S10:获取蓝牙设备组的流量数据报文。
具体的,所述蓝牙设备组包括主设备和从设备。比如智能手表、智能手环等设备中的BLE设备,可以作为从设备,比如智能手机、电脑等终端中内置的包括BT模块和/或BLE模块的蓝牙设备,可以作为主设备。实际使用中,由主设备对从设备发起连接。
本实施例中,通过低功耗蓝牙流量采集设备采集到当前环境下蓝牙设备组中所有主设备和从设备之间的流量数据报文后,发送给所述移动终端,作为移动终端的输入。
不需要改变蓝牙设备组之间的连接状态,单纯通过流量分析,获取流量数据报文,独立进行蓝牙攻击检测,不会影响蓝牙设备的正常使用,不影响其现有环境。
步骤S20:对所述流量数据报文进行关键字提取,获得协议数据单元,所述协议数据单元包括报文类型和数据信息。
具体的,报文类型包括通用广播、不可连接广播、主动扫描请求、主动扫描响应和连接请求。数据信息包括广播单元(AD Structure)、设备地址、操作数据包中的一种或多种。设备地址又包括主设备地址和从设备地址。
对流量数据报文进行关键字提取,从原始十六进制数据中提取出协议数据单元,从协议数据单元中获得报文类型和数据信息,以待使用。可以过滤其他无用信息,只保留蓝牙攻击检测需要的信息,防止因流量数据过大,采集数据过多,占用系统空间,影响检测过程运行。
步骤S30:根据所述报文类型,获得所述蓝牙设备组的设备状态。
参照图5所示的报文类型、设备状态与蓝牙攻击检测的对照示意图;对应于不同的报文类型,所述蓝牙设备组的设备状态包括从设备为广播状态、主设备为扫描状态,以及主设备和从设备为建立连接状态中的一种或多种。具体可以根据实际情况设定。
在实施方式一中,当所述报文类型为通用广播或不可连接广播时,所述设备状态包括所述从设备为广播状态。对应的,所述S30可以包括:
步骤S31:当所述报文类型为通用广播或不可连接广播时,获得所述蓝牙设备组的从设备为广播状态。
具体的,当报文类型为通用广播或不可连接广播时,说明对应的设备处于广播状态,在一个蓝牙设备组中,一般是从设备处于广播状态,等待主设备扫描,因此,可以确定此时蓝牙设备组的从设备为广播状态。
在实施方式二中,当所述报文类型为主动扫描请求或主动扫描响应时,所述设备状态包括所述主设备为扫描状态。对应的,所述S30可以包括:
步骤S32:当所述报文类型为主动扫描请求或主动扫描响应时,获得所述蓝牙设备组的主设备为扫描状态。
具体的,当报文类型为主动扫描请求或主动扫描响应时,主动扫描请求对应的一般是主设备,主动扫描响应对应的一般是从设备,说明对应的设备处于扫描或被扫描状态,在一个蓝牙设备组中,一般是主设备处于扫描状态,与从设备构成扫描与被扫描的关系,可以确定此时蓝牙设备组的主设备为扫描状态。
在实施方式三中,当所述报文类型为连接请求时,所述设备状态包括所述主设备和所述从设备为建立连接状态。对应的,所述S30可以包括:
步骤S33:当所述报文类型为连接请求时,获得所述蓝牙设备组的主设备和从设备为建立连接状态。
具体的,当报文类型为连接请求时,不管是主设备发给从设备的连接请求,还是从设备发给主设备的连接请求,均可以确定此时蓝牙设备组的主设备和从设备为建立连接状态。
步骤S40:针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果。
具体的,所述蓝牙攻击包括广播伪造攻击、干扰攻击和拒绝服务攻击,对应的所述蓝牙攻击检测包括广播伪造攻击检测、干扰攻击检测和拒绝服务攻击检测。其中,拒绝服务攻击可以包括DoS攻击(Denial of Service,拒绝服务),还可以包括Fuzz攻击。所述攻击检测结果包括蓝牙攻击类型、攻击对象和被攻击对象。
继续参照图5所示的对照示意图,对步骤S40进行详细描述。
对应于步骤S30中的实施方式一,所述步骤S40可以包括:
步骤S41:对所述数据信息进行广播伪造攻击检测,以获得攻击检测结果。
具体的,根据获取的数据信息,判断蓝牙设备组是否存在广播伪造攻击,当存在广播伪造攻击时,输出该广播伪造攻击类型、以及对应的攻击对象和被攻击对象。
进一步地,参照图6所示的流程示意图,所述步骤S41可以包括:
步骤S41.1:当所述蓝牙设备组的从设备为广播状态时,提取所述数据信息的广播单元;
步骤S41.2:针对所述广播单元,获取所述从设备的厂商自定义字段及其从设备地址;
步骤S41.3:判断所述厂商自定义字段中是否存在多个从设备地址;
步骤S41.4:若所述厂商自定义字段中存在多个从设备地址,判定所述蓝牙设备组的主设备存在广播伪造攻击,并判定所述从设备为攻击对象。
具体的,蓝牙设备组的从设备为广播状态时,发出的广播包的数据部分,也就是步骤S20提取到的数据信息,由多个广播单元构成,每个广播单元由1octets的长度和数据组成,该数据又包括AD类型(AD Type)和AD数据(AD Data),而AD类型中包括了厂商自定义字段,用来标识一个设备的唯一性,厂商自定义字段一般有两种不同格式,一种是使用符合低功耗蓝牙协议内容的AD Type字段,比如一些国内厂商,另一种是使用厂商完全自定义的字段,比如苹果、微软等公司。为了能检测两种不同格式的广播包同时提升检测效率,使用每个广播单元内容作为特征,结合蓝牙设备的设备地址,即从设备的设备地址,当一个厂商自定义字段中存在多个从设备地址时,判定该从设备为伪造广播数据的蓝牙设备,从而确定主设备存在广播伪造攻击,此时,该从设备为攻击对象,主设备为被攻击对象。而当厂商自定义字段中不存在多个从设备地址时,则返回步骤S41.1继续提取数据信息的广播单元。
在具体实施方式中,提取到所述数据信息的广播单元后,可以将该广播单元存储到广播数据集中,对应地,在提取广播单元后,还可以检测广播单元是否已被存储到广播数据集中,防止重复对该广播单元进行检测,浪费检测空间,从而提升了蓝牙攻击检测效率。
具体针对可能存在的广播伪造攻击这一行为,提出的检测方案,在获取到蓝牙设备组的设备状态后,对应当前状态可能存在的攻击行为进行相应的蓝牙攻击检测,可以提高检测效率,并且增加了检测精确度。
对应于步骤S30中的实施方式二,所述步骤S40可以包括:
步骤S42:对所述数据信息进行干扰攻击检测,以获得攻击检测结果。
具体的,根据获取的数据信息,判断蓝牙设备组是否存在干扰攻击,当存在干扰攻击时,输出该干扰攻击类型、以及对应的攻击对象和被攻击对象。
进一步地,参照图7所示的流程示意图,所述步骤S42可以包括:
步骤S42.1:当所述蓝牙设备组的主设备为扫描状态时,根据预设扫描时间内的所述数据信息,获得数据集;
步骤S42.2:提取所述数据集中从设备发出的主动扫描响应,其中,所述主动扫描响应基于所述主设备发送的主动扫描请求产生;
步骤S42.3:判断所述主动扫描响应的数量是否超出预设数量门限值;
步骤S42.4:若所述主动扫描响应的数量超出预设数量门限值,判定所述从设备存在干扰攻击,并判定所述主设备为攻击对象。
具体的,蓝牙设备组的主设备为扫描状态时,发出主动扫描请求到从设备,从设备响应于该主动扫描请求,反馈主动扫描响应给主设备。但当一个从设备周围存在多个主设备时,该从设备会响应每个主设备的主动扫描请求,反馈主动扫描响应给各个主设备。这些主动扫描响应的数据被包括在步骤S20提取到的数据信息中,主动扫描响应的格式和从设备发出的广播包的格式一样,但从设备不会在广播状态下广播主动扫描响应,只有在收到主设备的主动扫描请求后才会发出主动扫描响应。根据预设扫描时间从数据信息中获取主动扫描响应,获得数据集。提取所述数据集中从设备对某一个主设备发出的主动扫描响应,从而获得该从设备响应该主设备的主动扫描响应的数量,当主动扫描响应的数量超出预设数量门限值时,说明该主设备对该从设备存在干扰攻击,此时,判定所述蓝牙设备组的从设备存在干扰攻击行为,此时,主设备为攻击对象,该从设备为被攻击对象。
在具体实施过程中,可能有数据交互频繁的情况,因此,若一个从设备接收多个主设备的主动扫描请求时,可以将发送所述主动扫描请求最多的主设备作为攻击对象。
一般正常的扫描过程不会超过10s,为了提升检测的准确率,本实施例中,在从设备周围设置5个主设备,将预设扫描时间设置为60s,经过60s正常扫描过程的测试试验,根据试验结果可知,该从设备发送到每个主设备的主动扫描响应的数量不会超过100个,因此,本实施例设置预设数量门限值为100个/分钟。实际使用中可以根据具体情况设定预设数量门限值。
对应于步骤S30中的实施方式三,所述步骤S40可以包括:
步骤S43:对所述数据信息进行拒绝服务攻击检测,以获得攻击检测结果。
具体的,根据获取的数据信息,判断蓝牙设备组是否存在拒绝服务攻击,当存在拒绝服务攻击时,输出该拒绝服务攻击类型、以及对应的攻击对象和被攻击对象。
进一步地,参照图8所示的流程示意图,所述步骤S43可以包括:
步骤S43.1:当所述蓝牙设备组的主设备和从设备为建立连接状态时,根据所述数据信息中的从设备地址,获得地址数据集;
步骤S43.2:提取所述地址数据集中预设单位时间内所述从设备地址的写操作数据包;
步骤S43.3:判断所述写操作数据包的数量是否超出预设数量阈值;
步骤S43.4:若所述写操作数据包的数量超出预设数量阈值,判定所述从设备存在拒绝服务攻击,并判定所述主设备为攻击对象。
具体的,拒绝服务攻击包括DoS攻击。当蓝牙设备组的主设备和从设备为建立连接状态时,记录当前环境内从设备接收到的连接请求数据包的数量,具体根据数据信息中的从设备地址,获得地址数据集,提取所述地址数据集中预设单位时间内从设备地址的写操作数据包,当写操作数据包的数量超出预设数量阈值时,判定该从设备存在拒绝服务攻击,并判定对应的主设备为攻击对象,该从设备为被攻击对象。
在本实施例中,对手机和智能手环的蓝牙设备组,进行主设备和从设备之间不断连接和断开的实际测试试验,试验结果表明,当15s内连续100次的建立连接操作和断开连接操作会造成智能手环的拒绝服务,因此,本实施例的预设单位时间可以设定为15s,对应的预设数量阈值为100次。当获取的15s的数据信息中,智能手环的写操作数据包的数量超出100时,判定智能手环存在拒绝服务攻击,该手机为攻击对象,该智能手环为被攻击对象。
更进一步地,所述步骤S43还可以包括:
步骤S43.5:若所述写操作数据包的数量超出预设数量阈值,进一步判断所述数据信息中是否存在超出预设数据量的随机二进制数据;
步骤S43.6:若所述数据信息中存在超出预设数据量的随机二进制数据,判定所述从设备存在随机坏数据攻击,并判定所述主设备为攻击对象。
具体的,拒绝服务攻击之外,还有针对蓝牙设备的随机坏数据攻击(Fuzz攻击),对从设备随机写入大量变种二进制数据,造成设备瘫痪,从而造成拒绝服务。当写操作数据包的数量超出预设数量阈值时,并且,数据信息中存在超出预设数据量的随机二进制数据,说明该从设备还存在随机坏数据攻击,此时,仍然判定该从设备为被攻击对象,该主设备为攻击对象。
步骤S50:根据所述攻击检测结果,进行蓝牙攻击报警。
具体的,对监测到的蓝牙攻击行为进行实时报警,并将获得的蓝牙攻击类型、攻击对象和被攻击对象可视化展示给用户,方便用户及时知晓蓝牙设备可能存在的蓝牙攻击行为。
本实施例提供的一种蓝牙攻击检测方法,针对没有添加认证措施的蓝牙设备之间建立连接的蓝牙设备组进行蓝牙攻击检测,特别是无法确定发出广播的蓝牙设备的真假,对蓝牙设备造成的干扰情况,以及蓝牙设备遭到拒绝服务攻击的几种情形,为物联网环境下的蓝牙近场通信提供了蓝牙攻击检测方案,不仅针对不同设备状态进行对应的攻击类型检测,快速检测出可能存在蓝牙攻击行为,具有很好的检测效果,还能提供具体的攻击对象和被攻击对象信息,直观且清晰地展示给用户,对存在攻击时进行报警,方便用户及时采取措施,防止影响蓝牙设备使用。
实施例三
基于同一发明构思,参照图9,为本发明蓝牙攻击检测装置的功能模块示意图,在本发明蓝牙攻击检测方法的第一至第二实施例中任意一个的基础上,本实施例提供了一种蓝牙攻击检测装置。
下面结合图9,对本实施例提供的蓝牙攻击检测装置进行详细描述,所述装置可以包括:
数据报文获取模块,用于获取蓝牙设备组的流量数据报文;
信息提取模块,用于对所述流量数据报文进行关键字提取,获得协议数据单元,所述协议数据单元包括报文类型和数据信息;
设备状态获取模块,根据所述报文类型,获得所述蓝牙设备组的设备状态;
攻击检测模块,针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果。
可选地,所述蓝牙设备组包括主设备和从设备;
当所述报文类型为通用广播或不可连接广播时,所述设备状态包括所述从设备为广播状态;所述攻击检测模块可以包括:
广播伪造攻击检测子模块,用于对所述数据信息进行广播伪造攻击检测,以获得攻击检测结果;
当所述报文类型为主动扫描请求或主动扫描响应时,所述设备状态包括所述主设备为扫描状态;所述攻击检测模块可以包括:
干扰攻击检测子模块,用于对所述数据信息进行干扰攻击检测,以获得攻击检测结果;
当所述报文类型为连接请求时,所述设备状态包括所述主设备和所述从设备为建立连接状态;所述攻击检测模块可以包括:
拒绝服务攻击检测子模块,用于对所述数据信息进行拒绝服务攻击检测,以获得攻击检测结果。
可选地,所述广播伪造攻击检测子模块可以包括:
信息提取单元,用于当所述蓝牙设备组的从设备为广播状态时,提取所述数据信息的广播单元;
厂商自定义字段获取单元,用于针对所述广播单元,获取所述从设备的厂商自定义字段及其从设备地址;
广播伪造攻击判断单元,用于判断所述厂商自定义字段中是否存在多个从设备地址;
广播伪造攻击检测结果单元,用于若所述厂商自定义字段中存在多个从设备地址,判定所述蓝牙设备组的主设备存在广播伪造攻击,并判定所述从设备为攻击对象。
可选地,所述干扰攻击检测子模块可以包括:
数据集获取单元,用于当所述蓝牙设备组的主设备为扫描状态时,根据预设扫描时间内的所述数据信息,获得数据集;
主动扫描响应获取单元,用于提取所述数据集中从设备发出的主动扫描响应,其中,所述主动扫描响应基于所述主设备发送的主动扫描请求产生;
干扰攻击判断单元,用于判断所述主动扫描响应的数量是否超出预设数量门限值;
干扰攻击检测结果单元,用于若所述主动扫描响应的数量超出预设数量门限值,判定所述从设备存在干扰攻击,并判定发送所述主动扫描请求最多的主设备为攻击对象。
可选地,所述拒绝服务攻击检测子模块可以包括:
地址数据集获取单元,用于当所述蓝牙设备组的主设备和从设备为建立连接状态时,根据所述数据信息中的从设备地址,获得地址数据集;
写操作数据包获取单元,用于提取所述地址数据集中预设单位时间内所述从设备地址的写操作数据包;
拒绝服务攻击判断单元,用于判断所述写操作数据包的数量是否超出预设数量阈值;
拒绝服务攻击检测结果单元,用于若所述写操作数据包的数量超出预设数量阈值,判定所述从设备存在拒绝服务攻击,并判定所述主设备为攻击对象。
可选地,所述拒绝服务攻击检测子模块还可以包括:
随机坏数据攻击判断单元,用于若所述写操作数据包的数量超出预设数量阈值,进一步判断所述数据信息中是否存在超出预设数据量的随机二进制数据;
随机坏数据攻击检测结果单元,用于若所述数据信息中存在超出预设数据量的随机二进制数据,判定所述从设备存在随机坏数据攻击,并判定所述主设备为攻击对象。
可选地,所述装置还可以包括:
报警模块,用于根据所述攻击检测结果,进行蓝牙攻击报警。
其中,蓝牙攻击检测装置的各个功能模块可实现的步骤可以参照本发明蓝牙攻击检测方法的各个实施例中的具体描述,为了说明书的简洁,此处不再赘述。
本实施例提供的一种蓝牙攻击检测装置,通过信息提取模块对信息提取模块获取到的蓝牙设备组的流量数据报文进行关键字提取,获得协议数据单元,再通过设备状态获取模块根据协议数据单元中的报文类型获得所述蓝牙设备组的设备状态,从而通过攻击检测模块针对不同的设备状态,对协议数据单元中的数据信息对应地进行蓝牙攻击检测,以获得攻击检测结果,实现了根据流量数据报文检测蓝牙攻击行为的目的。通过流量分析的方式检测出多种蓝牙攻击类型以及对应的攻击对象,不会影响蓝牙设备的正常使用,不影响其现有环境;并且,针对不同的设备状态对应进行蓝牙攻击检测,可以缩短检测耗时,快速获得攻击检测结果,方便用户及时知晓蓝牙设备可能存在的威胁。
实施例四
基于同一发明构思,在本发明蓝牙攻击检测方法的第一至第二实施例中任意一个的基础上,本实施例提供了一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时可以实现本发明蓝牙攻击检测方法各个实施例的全部或部分步骤。
实施例五
基于同一发明构思,在本发明蓝牙攻击检测方法的第一至第二实施例中任意一个的基础上,本实施例提供了一种移动终端,如图1所示。
所述移动终端包括:存储器、处理器、通信总线以及存储在所述存储器上的计算机程序;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行所述计算机程序,以实现本发明蓝牙攻击检测方法各个实施例的全部或部分步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
需要说明的是,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上所述仅为本发明的可选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均包括在本发明的专利保护范围内。
Claims (10)
1.一种蓝牙攻击检测方法,其特征在于,所述方法包括以下步骤:
获取蓝牙设备组的流量数据报文;
对所述流量数据报文进行关键字提取,获得协议数据单元,所述协议数据单元包括报文类型和数据信息;
根据所述报文类型,获得所述蓝牙设备组的设备状态;
针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果。
2.如权利要求1所述的蓝牙攻击检测方法,其特征在于,所述蓝牙设备组包括主设备和从设备;
当所述报文类型为通用广播或不可连接广播时,所述设备状态包括所述从设备为广播状态;所述针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果的步骤,具体包括:对所述数据信息进行广播伪造攻击检测,以获得攻击检测结果;
当所述报文类型为主动扫描请求或主动扫描响应时,所述设备状态包括所述主设备为扫描状态;所述针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果的步骤,具体包括:对所述数据信息进行干扰攻击检测,以获得攻击检测结果;
当所述报文类型为连接请求时,所述设备状态包括所述主设备和所述从设备为建立连接状态;所述针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果的步骤,具体包括:对所述数据信息进行拒绝服务攻击检测,以获得攻击检测结果。
3.如权利要求2所述的蓝牙攻击检测方法,其特征在于,所述对所述数据信息进行广播伪造攻击检测,以获得攻击检测结果的步骤,具体包括:
当所述蓝牙设备组的从设备为广播状态时,提取所述数据信息的广播单元;
针对所述广播单元,获取所述从设备的厂商自定义字段及其从设备地址;
判断所述厂商自定义字段中是否存在多个从设备地址;
若所述厂商自定义字段中存在多个从设备地址,判定所述蓝牙设备组的主设备存在广播伪造攻击,并判定所述从设备为攻击对象。
4.如权利要求2所述的蓝牙攻击检测方法,其特征在于,所述对所述数据信息进行干扰攻击检测,以获得攻击检测结果的步骤,具体包括:
当所述蓝牙设备组的主设备为扫描状态时,根据预设扫描时间内的所述数据信息,获得数据集;
提取所述数据集中从设备发出的主动扫描响应,其中,所述主动扫描响应基于所述主设备发送的主动扫描请求产生;
判断所述主动扫描响应的数量是否超出预设数量门限值;
若所述主动扫描响应的数量超出预设数量门限值,判定所述从设备存在干扰攻击,并判定所述主设备为攻击对象。
5.如权利要求2所述的蓝牙攻击检测方法,其特征在于,所述对所述数据信息进行拒绝服务攻击检测,以获得攻击检测结果的步骤,具体包括:
当所述蓝牙设备组的主设备和从设备为建立连接状态时,根据所述数据信息中的从设备地址,获得地址数据集;
提取所述地址数据集中预设单位时间内所述从设备地址的写操作数据包;
判断所述写操作数据包的数量是否超出预设数量阈值;
若所述写操作数据包的数量超出预设数量阈值,判定所述从设备存在拒绝服务攻击,并判定所述主设备为攻击对象。
6.如权利要求5所述的蓝牙攻击检测方法,其特征在于,在判断所述写操作数据包的数量是否超出预设数量阈值的步骤之后,所述方法还包括:
若所述写操作数据包的数量超出预设数量阈值,进一步判断所述数据信息中是否存在超出预设数据量的随机二进制数据;
若所述数据信息中存在超出预设数据量的随机二进制数据,判定所述从设备存在随机坏数据攻击,并判定所述主设备为攻击对象。
7.如权利要求1至6中任一项所述的蓝牙攻击检测方法,其特征在于,在针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果的步骤之后,所述方法还包括:
根据所述攻击检测结果,进行蓝牙攻击报警。
8.一种蓝牙攻击检测装置,其特征在于,所述装置包括:
数据报文获取模块,用于获取蓝牙设备组的流量数据报文;
信息提取模块,用于对所述流量数据报文进行关键字提取,获得协议数据单元,所述协议数据单元包括报文类型和数据信息;
设备状态获取模块,根据所述报文类型,获得所述蓝牙设备组的设备状态;
攻击检测模块,针对所述蓝牙设备组的设备状态,对所述数据信息进行蓝牙攻击检测,以获得攻击检测结果。
9.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序可被一个或多个处理器执行,以实现如权利要求1至7中任一项所述的蓝牙攻击检测方法。
10.一种移动终端,其特征在于,所述移动终端包括存储器和处理器,所述存储器上存储有计算机程序,该计算机程序被所述处理器执行时,实现如权利要求1至7中任一项所述的蓝牙攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110548757.4A CN115379425A (zh) | 2021-05-19 | 2021-05-19 | 蓝牙攻击检测方法、装置、存储介质及移动终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110548757.4A CN115379425A (zh) | 2021-05-19 | 2021-05-19 | 蓝牙攻击检测方法、装置、存储介质及移动终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115379425A true CN115379425A (zh) | 2022-11-22 |
Family
ID=84059274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110548757.4A Pending CN115379425A (zh) | 2021-05-19 | 2021-05-19 | 蓝牙攻击检测方法、装置、存储介质及移动终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115379425A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116193411A (zh) * | 2023-02-02 | 2023-05-30 | 广东为辰信息科技有限公司 | 一种蓝牙控车指令的修改重放方法 |
-
2021
- 2021-05-19 CN CN202110548757.4A patent/CN115379425A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116193411A (zh) * | 2023-02-02 | 2023-05-30 | 广东为辰信息科技有限公司 | 一种蓝牙控车指令的修改重放方法 |
| CN116193411B (zh) * | 2023-02-02 | 2024-08-23 | 广东为辰信息科技有限公司 | 一种蓝牙控车指令的修改重放方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109033801B (zh) | 应用程序验证用户身份的方法、移动终端以及存储介质 | |
| CN107071775B (zh) | 移动终端及其重定向接入基站的方法和装置 | |
| CN104683301B (zh) | 一种密码保存的方法及装置 | |
| CN107466041B (zh) | 识别伪基站方法、装置及移动终端 | |
| CN106657165B (zh) | 一种网络攻击的防御方法、服务器及终端 | |
| KR102323712B1 (ko) | Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법 | |
| CN112153032B (zh) | 一种信息处理方法、装置、计算机可读存储介质及系统 | |
| CN110622539A (zh) | 检测伪小区塔 | |
| Haataja et al. | Bluetooth security attacks: comparative analysis, attacks, and countermeasures | |
| CN108616878B (zh) | 一种加密解密方法、设备和计算机存储介质 | |
| CN110417710B (zh) | 攻击数据捕获方法、装置及存储介质 | |
| CN107635234B (zh) | Wi-Fi控制方法、移动终端及计算机可读存储介质 | |
| CN111064713A (zh) | 一种分布式系统中的节点控制方法和相关装置 | |
| WO2023151256A1 (zh) | 弱口令爆破攻击的防护方法、装置、介质、电子设备 | |
| CN110769418B (zh) | 一种密钥更新方法、终端及网络侧设备 | |
| CN108012270B (zh) | 一种信息处理的方法、设备和计算机可读存储介质 | |
| CN108601062B (zh) | WiFi连接共享方法、终端及计算机存储介质 | |
| CN111372205A (zh) | 信息提示方法及电子设备 | |
| CN107708115B (zh) | 重定向管控方法、装置及移动终端 | |
| CN107622213A (zh) | 一种数据访问方法、终端和计算机可读存储介质 | |
| CN108616873B (zh) | 数据传输、信息发送方法、装置、移动设备及存储介质 | |
| CN115379425A (zh) | 蓝牙攻击检测方法、装置、存储介质及移动终端 | |
| CN105577627B (zh) | 通信方法、装置、网络设备、终端设备和通信系统 | |
| CN107204977B (zh) | 接口安全校验方法及装置、计算机可读存储介质 | |
| CN107395363B (zh) | 指纹共享方法及移动终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |