本申请针对终端设备连接WiFi热点时可能因为连接上钓鱼WiFi而被监听窃取数据的问题,提出了基于端和云结合的钓鱼WiFi检测方法。终端设备在连接上WiFi热点后收集WiFi指纹、网络延时、网络路径三类信息,并发送至云端;云端存储有大量终端设备发送来的这三类信息,基于大数据分析来判定该终端设备是否存在黑名单WiFi列表中,或者存在网络延时过大、网络路径异常等现象,并返回判定结果给终端设备;终端设备根据云端返回的结果提示用户。本申请中终端设备负责收集用于判断钓鱼WiFi的信息,云端对大量信息进行大数据分析来判定某个终端设备是否连接了钓鱼WiFi。本申请能够用于保护用户终端设备避免连接上钓鱼WiFi而泄露信息。户终端设备避免连接上钓鱼WiFi而泄露信息。户终端设备避免连接上钓鱼WiFi而泄露信息。
【技术实现步骤摘要】
基于端和云结合的钓鱼WiFi检测方法
[0001]本申请涉及一种基于端和云结合的钓鱼WiFi检测方法,具体涉及采用终端和云端相结合来检测WiFi热点是否存在钓鱼行为,主要用于保护用户终端设备避免连接上钓鱼WiFi而泄露信息。
技术介绍
[0002]随着无线WiFi的普及和推广,无线网络安全问题也日益严重。钓鱼WiFi是指那些能够对所连接的终端设备进行信息窃取、数据截获等恶意行为的WiFi热点,一般由黑客等恶意用户建立并吸引普通用户连接。通常无线钓鱼WiFi越靠近用户则越容易成功,这是因为根据802.11协议标准,当周围存在多个配置相同的WiFi时,终端设备总是会选择信号最强的一个WiFi热点进行连接。终端设备一旦连接上钓鱼WiFi,面临着信息泄露的风险。黑客对连接上钓鱼WiFi的终端设备发起中间人攻击还可以窃听数据通信内容,或者发起DNS欺骗攻击可以诱导用户登录钓鱼网站从而造成隐私泄露。
[0003]为了避免终端设备连接上钓鱼WiFi而泄露重要数据,基于往返时延的检测方法通过检测终端设备与服务器之间的访问时延来区分不同的WiFi热点,通常某个环境中的网络结构在一定的区域内不会有太大的变化,终端设备通过合法WiFi热点和通过钓鱼WiFi热点发送到远端服务器的数据的时延是不同的,基于多次数据往返时延的计算可以判断终端设备是否连接上钓鱼WiFi。基于接收信号强度的钓鱼WiFi检测方法则利用接收信号强度和在线检测算法,对实验环境中的正常无线WiFi信号强度进行精确测量,在大量搜集信息的基础上得出检测的阈值,再对真实环境中的其他设备进行检测,如果搜集到的WiFi信号强度小于阈值,就可以认定该无线WiFi有可能是钓鱼WiFi。基于设备指纹识别的钓鱼WiFi识别方法也是一种常用的方法,首先捕获WiFi热点的无线通信数据包,然后过滤出信标帧,从中提取出MAC(Media Access Control Address,媒体存取控制位址)、SSID(Service Set Identifier,服务集标识)、PLL(Physical Layer Header Length,物理层标头长度)存入到数据库中,通过比较每一个信标帧的PLL与阈值的大小,如果PLL小于该阈值,则认为其为钓鱼WiFi热点。基于客户端的钓鱼WiFi检测方法则比对传送的数据包与网络路由过程,分析是否存在黑客直接攻击或者由黑客发起的中间人攻击,不需要额外的设备就可以实现。
[0004]本申请从另一个角度提出检测钓鱼WiFi的方法,与现有的一些方法可以形成互补,通过终端设备收集相关的网络数据并发送至云端,利用云端的计算能力和大数据进行计算分析,由云端来判断该终端是否连接的是钓鱼WiFi,然后将结果发送给终端设备,终端设备再提醒用户当前连接的WiFi热点是否安全。本申请的方法依赖于大数据的基础,所积累的数据越多,后续检测出钓鱼WiFi的结果也越来越准确。
技术实现思路
[0005]本申请的目的在于提出一种基于端和云结合的钓鱼WiFi检测方法,能够对终端设备所连接的WiFi热点进行安全性检测。当前终端设备连接上某个WiFi热点时会收集相关的
网络数据并传输至云端,由云端来分析大量终端设备所传输过来的网络数据并判断当前终端设备是否连接上钓鱼WiFi。
[0006]本申请所提出的总体框架由终端和云端两部分组成,如图1所示。终端的网络探测模块用于获取所连接的WiFi热点具备的指纹信息、计算传输重要数据所带来的延时、到达目标服务器节点所经历的网络路径;数据传输模块则负责将所探测到的数据发送至云端节点;监视与警告模块则对云端反馈回来的WiFi热点分析结果进行响应,如果是钓鱼WiFi则向用户发出警告信息。云端的数据传输模块负责接收来自终端所探测的WiFi指纹、网络延时、网络路径;数据存储模块负责存储所有终端发送过来的数据;数据聚合分析模块对云端所汇聚的大量数据进行计算分析,检测出哪些终端设备所连接的WiFi热点存在钓鱼行为,从WiFi指纹、网络延时、网络路径等大量数据中分析出可靠结果,云端会将计算分析的结果通过数据传输模块反馈给终端。
[0007]本申请中终端部分的网络探测模块主要收集WiFi指纹、网络延时、网络路径这些用于判断所连接的WiFi热点是否为钓鱼WiFi的信息。
[0008]其中终端设备所连接WiFi的指纹就像每个人的指纹一样与众不同,每个WiFi热点都具有硬件上的差异,这种硬件上的差异会反映在网络通信中,通过分析接收到的网络数据就可以提取出该特征,即代表该设备的指纹。本申请中终端设备在连接上WiFi热点之后,通过与WiFi热点之间的网络数据交互,进行WiFi热点指纹特征提取。
[0009]本申请中终端设备收集的特征之一是SSID。SSID是无线网络名称,用来标识不同的无线网络,通常由无线WiFi热点广播出来,由终端设备获取。在城市或者学校等公共场合的无线环境里,存在着许多有着特定SSID的设备,比如CMCC、CMCC-WEB、CMCC-EDU等,这些网络大多是运营商和学校的公共热点。一些恶意人员可能会将自己私设的无线钓鱼WiFi的SSID设置成当前网络环境下某一公共热点相同或者相似的名称,并配以相同的密码或者无密码连接方式,从而在用户连接之后盗取用户的通信信息。本申请会收集SSID作为判断终端设备是否连接上钓鱼WiFi的依据之一。
[0010]本申请还将BSSID(Basic Service Set Identifier,基本服务集标识符)作为终端设备收集的特征之一。BSSID是无线WiFi中无线网卡的MAC地址,每个MAC地址都是唯一存在的,由六个字节组成,采用十六进制表示。其中前三个字节代表了生产厂商,后三个代表了厂商生产产品的分配号。根据前三个字节可以判断厂商,根据后三个字节能判断产品的生产批次或者生产日期等信息。恶意用户在创建钓鱼WiFi的时候,即使将钓鱼WiFi的名称设置为和正常WiFi热点一样或相似的名称,也很难保证钓鱼WiFi的BSSID和正常WiFi一致,恶意用户很难做到修改设备自身的MAC地址,使得其与公共场所的设备一样。因此,BSSID的特征能很好地用于区分不同的WiFi热点。对于如何获取所连接的无线WiFi热点的MAC地址,本申请通过扫描无线网络来主动获取,所依据的是地址解析协议,即ARP(Address Resolution Protocol),该协议是根据IP地址获取物理地址的一个TCP/IP协议,建立在网络中各个主机互相信任的基础上,主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
[0011]钓鱼WiFi的特点是一旦有终端设备连接上,就会对所传输的关键数据进行监听,
甚至截取、伪造等,从终端设备发送至目标服务器的数据在处理后由服务器返回至终端设备所需要的时间必然会延长。传统的通过ping命令来判断网络数据延迟的方本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于端和云结合的钓鱼WiFi检测方法,其特征在于:终端设备在连接上WiFi热点时,收集WiFi指纹、网络延时、网络路径三类信息,并将这些信息发送至云端服务器,云端存储有大量终端设备发送过来的这三类信息,云端对某一终端设备进行是否连接上钓鱼WiFi的判断并将结果反馈给终端设备,终端设备根据云端返回的结果给用户相应的提示信息。2.根据权利要求1所述的基于端和云结合的钓鱼WiFi检测方法,其特征在于终端设备要收集WiFi指纹、网络延时、网络路径三类信息,其中WiFi指纹为终端设备所连接的WiFi热点的SSID和BSSID这两类信息,网络延时是从终端设备发送敏感数据至云端服务器并接收来自云端服务器返回敏感数据的时间差,网络路径是从终端设备到云端服务器所经过的各个路由节点。3.根据权利要求1所述的基于端和云结合的钓鱼WiFi检测方法,其特征在于终端设备在收集WiFi指纹信息时通过本地API接口和arp命令来获取;在收集网络延时主动构建敏感数据并发送至云端服务器后再接收来自云端服务器的敏感数据,计算这一过程所需要的时间;在收集网络路径时通过traceroute命令来获得从终端设备到目标服务器的各个路由节点,收集完这三类信息后,发送给云端服务器。4.根据权利要求1...
【专利技术属性】
技术研发人员:吴振东,王璐璐,张毅,吴学光,安蔚钊,蒲俊宇,
申请(专利权)人:中芯未来北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。