本发明专利技术提供了一种基于帧检测的无线网络攻击免疫方法和终端设备,其中方法包括:收集终端设备接收到的管理帧和数据帧信息;如果管理帧为敏感帧,则暂不执行,并启动计时器开始计时,在计时器计时期间继续接收管理帧和数据帧;通过计时器计时期间继续接收的管理帧和数据帧判定敏感帧是否为虚假帧,进行相应的安全处理。根据路由器所处的无线网络环境进行判定,建立了检测模型,实现对安全状态的自动识别,根据识别结果,对后续帧放行或者阻止,极大的提升了攻击的难度,提升了用户在无线网络环境中的安全水平,预防了经济损失,提高了安全性能。
【技术实现步骤摘要】
本专利技术属于移动互联网安全领域,具体而言,本专利技术涉及一种基于帧检测的无线网络攻击免疫方法和终端设备。
技术介绍
随着无线网络技术的日益发展,传统的有线接入越来越局限于IT运营企业和固定设施的接入,而在日常生活中,人们主要以无线接入方式为主。可以说,无线网络已经在人们平常的生活和工作中占据了非常重要的地位,今天的人们已经不能离开无线网络,人们的生活也越来越依赖于无线网络。与此同时,随着无线网络流量的增加,无线网络承载了越来越多的私密信息,成为黑客和不法分子攻击的对象,无线网络通信的安全隐患日益明显。在现有的无线攻击手段中,强制断网是较为常见的一种方式。在此方式中,迫使终端设备断开与当前无线接入点的正常链接,为随后的攻击创造机会。虽然目前常用的802.11协议采用了多种加密协议来保护数据安全,但是对于管理帧的安全问题缺乏有效的保护措施,攻击者很容易伪造虚假管理帧发起攻击,而当前终端设备及无线AP(无线访问接入点)普遍缺乏对无线网络攻击的抵御能力,极易受到此类攻击的威胁。针对上述问题,目前已经提出一些解决方案,例如一些管理帧的保护策略,如扩展认证或管理帧检测等手段。扩展认证需要给传送的管理帧增加认证字段,通过增强对管理帧真实性的认证识别虚假管理帧,抵御攻击者发起的无线网络攻击,这一方面涉及到对管理帧字段的修改,采用了密码认证技术,复杂性较高。管理帧检测通过检测厂家信息等方式将非法的管理帧过滤掉,不需要密码算法,复杂度低,完全面向客户,不必提前训练,对现有协议及网络端均无改动,但是存在判断失误率高,安全隐患较大等问题。
技术实现思路
本专利技术针对现有的方式的上述缺点,提出一种基于帧检测的无线网络攻击免疫方法和终端设备,用以解决现有技术存在的终端设备容易被非法攻击者采用管理帧的方式关闭网络,然后在寻找时机进行攻击,从而完成非法攻击的目的,从而给客户带来较大的安全隐患和经济损失的问题。本专利技术的实施例根据一个方面,提供了一种基于帧检测的无线网络攻击免疫方法,包括:收集终端设备接收到的管理帧和数据帧信息;如果管理帧为敏感帧,则暂不执行,并启动计时器开始计时,在计时器计时期间继续接收管理帧和数据帧;通过计时器计时期间继续接收的管理帧和数据帧判定敏感帧是否为虚假帧,进行相应的安全处理。优选地,敏感帧为Disassociation(取消关联)帧或Deauthentication(接触身份验证)帧。优选地,计时器的计时时间取决于用户自定义的安全属性及接收到的管理帧和数据帧信息。优选地,当敏感帧为Disassociation帧时,如果在计时器计时期间接收到发给终端设备的Deauthentication帧之外的管理帧和数据帧,则判断敏感帧为虚假帧。优选地,当敏感帧为Deauthentication帧时,如果在计时器计时期间接收到发给终端设备的任何管理帧或数据帧,则判断敏感帧为虚假帧。优选地,当判定敏感帧为虚假帧时,将敏感帧执行抛弃处理。优选地,如果在计时器计时期间没能判断敏感帧为虚假帧,则在计时器计时的时间内继续监听后续的管理帧和数据帧。优选地,如果在计时器计时期间没能判断敏感帧为虚假帧,则在计时器计时结束后执行敏感帧。优选地,根据上述步骤中接收到各种管理帧、数据帧及转换条件,评估分析当前无线网络的安全性。另外,本专利技术还公开了一种终端设备,其包括:收集模块,用于收集终端设备接收到的管理帧和数据帧信息;检测模块,用于检测接收到的管理帧和数据帧信息,如果管理帧为敏感帧,则暂不执行,并启动计时器开始计时,在计时器计时期间收集模块继续接收管理帧和数据帧;评估分析模块,通过计时器计时期间继续接收的管理帧和数据帧判定敏感帧是否为虚假帧,进行相应的安全处理。本专利技术的实施例中,不是简单地接受到管理帧后就执行此管理帧,而是根据路由器所处的无线网络环境进行判定,建立了检测模型,实现对安全状态的自动识别,根据识别结果,对后续帧方形或者阻止,极大的提升了攻击的难度。另外为了使得检测结果更加简洁明了,本专利技术还构建了可以自动输出结果的有限自动机,为本专利技术的后续实施提供了方便。本专利技术附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本专利技术的实践了解到。附图说明本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:图1为本专利技术基于帧检测的无线网络攻击免疫方法其中一实施例的流程示意图。具体实施方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利技术,而不能解释为对本专利技术的限制。本
技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本专利技术的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。本
技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本专利技术所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。本
技术人员可以理解,这里所使用的“终端设备”、“终端设备设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视本文档来自技高网...
【技术保护点】
一种基于帧检测的无线网络攻击免疫方法,包括如下步骤:收集终端设备接收到的管理帧和数据帧信息;如果所述管理帧为敏感帧,则暂不执行,并启动计时器开始计时,在所述计时器计时期间继续接收管理帧和数据帧;通过所述计时器计时期间继续接收的管理帧和数据帧判定所述敏感帧是否为虚假帧,进行相应的安全处理。
【技术特征摘要】
1.一种基于帧检测的无线网络攻击免疫方法,包括如下步骤:收集终端设备接收到的管理帧和数据帧信息;如果所述管理帧为敏感帧,则暂不执行,并启动计时器开始计时,在所述计时器计时期间继续接收管理帧和数据帧;通过所述计时器计时期间继续接收的管理帧和数据帧判定所述敏感帧是否为虚假帧,进行相应的安全处理。2.如权利要求1所述的方法,其特征在于,所述敏感帧为Disassociation帧或Deauthentication帧。3.如权利要求2所述的方法,其特征在于,所述计时器的计时时间取决于用户自定义的安全属性及接收到的所述管理帧和数据帧信息。4.如权利要求3所述的方法,其特征在于,当所述敏感帧为Disassociation帧时,如果在所述计时器计时期间接收到发给所述终端设备的Deauthentication帧之外的管理帧和数据帧,则判断所述敏感帧为虚假帧。5.如权利要求3所述的方法,其特征在于,当所述敏感帧为Deauthentication帧时,如果在所述计时器计时期间接收到发给所述终端设备的任何管理帧或数据...
【专利技术属性】
技术研发人员:程国锋,
申请(专利权)人:北京坤腾畅联科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。