一种无线攻击检测及防御装置及其方法制造方法及图纸

本发明专利技术提供一种无线攻击检测及防御装置，应用于无线控制器AC上，所述无线控制器AC用于管理无线接入点AP。包括：报告接收单元，用于接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址。来源判断单元，用于判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP。动态操作单元，用于在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时，将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中。其可以识别发出攻击的是合法客户端还是仿冒者，并采取对应的防御措施，避免合法客户端被误伤。

【技术实现步骤摘要】
一种无线攻击检测及防御装置及其方法
本专利技术涉及无线网络技术，尤其涉及一种无线攻击检测及防御装置及其方法。
技术介绍
随着无线网络技术的发展，无线攻击检测及防御机制已经成为无线网络技术中的重点。现有的无线攻击检测及防御技术是在发现来自无线侧的攻击行为后，会将该攻击者的源MAC地址加入到发现该攻击行为的无线接入点AP的动态黑名单中。同时在无线控制器AC上将该客户端强制下线。在动态黑名单老化时间内，该MAC地址的客户端将无法在当前无线接入点AP上访问网络。由于现有技术的无线攻击检测及防御技术仅根据客户端的源MAC地址来确定攻击者并针对客户端的源MAC地址来采取防御措施的。因此，当存在仿冒客户端的攻击者时，现有技术将无法区分是否是仿冒者，从而难以为管理员提供准确的信息。而正常的合法客户端也常常被误伤。
技术实现思路
有鉴于此，本专利技术提供一种无线攻击检测及防御装置及其方法，其可以识别发出攻击的是合法客户端还是仿冒者，并采取对应的防御措施，避免合法客户端被误伤。一种无线攻击检测及防御装置，应用于无线控制器AC上，所述无线控制器AC用于管理无线接入点AP。包括：报告接收单元，用于接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址。来源判断单元，用于判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP。动态操作单元，用于在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时，将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中。本专利技术还包括：仿冒日志单元，用于在所述动态操作单元完成动态黑名单操作后，如在第一预定时长内并未接收到合法客户端关联的无线接入点AP上报的攻击报告，则确定该攻击者为仿冒者并更新仿冒者日志。所述动态操作单元，进一步用于如在第一预定时长内接收到合法客户端关联的无线接入点AP上报的攻击报告，则确定该攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。本专利技术还包括：信道切换单元，用于当所述攻击者的源MAC地址所对应的无线接入点AP为合法客户端关联的无线接入点AP时，通知所述无线接入点AP进行信道切换操作。所述仿冒日志单元，进一步用于在所述信道切换单元完成信道切换后，如攻击者停止攻击时长超过第二预定时长，则确定攻击者为仿冒者并更新仿冒者日志。所述动态操作单元，进一步用于在所述信道切换单元完成信道切换后，如攻击者停止攻击时长没有超过第二预定时长，则确定攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。本专利技术还包括：静默处理单元，用于在所述信道切换单元进行信道切换的次数在第三预定时长内超过预设阈值一或者无可用信道时，发送单播Beacon帧给所述客户端关联的无线接入点AP，并携带预设静默期QuietElement。所述仿冒日志单元，进一步用于如在静默期内攻击未停止，则确定攻击者为仿冒者并更新仿冒者日志。所述动态操作单元，进一步用于如在静默期内攻击未停止，将攻击者所使用的源MAC地址以及与该源MAC地址对应的第一老化时间下发到所述客户端关联的无线接入点AP的动态黑名单中，其中所述第一老化时间比动态黑名单中默认老化时间更短。所述动态操作单元，进一步用于如在静默期内攻击停止，则确定攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。本专利技术所述动态操作单元，进一步用于如攻击者使用同一源MAC地址的攻击次数超过预设阈值二，则将所述源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单。一种无线攻击检测及防御方法，应用于无线控制器AC上，所述无线控制器AC用于管理无线接入点AP。包括：报告接收步骤，接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址。来源判断步骤，判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP。动态操作步骤，在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时，将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中。本专利技术还包括：仿冒日志步骤，在完成动态黑名单操作后，如在第一预定时长内并未接收到合法客户端关联的无线接入点AP上报的攻击报告，则确定该攻击者为仿冒者并更新仿冒者日志。下线操作步骤，进一步包括如在第一预定时长内接收到合法客户端关联的无线接入点AP上报的攻击报告，则确定该攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。本专利技术还包括：信道切换步骤，当所述攻击者的源MAC地址所对应的无线接入点AP为合法客户端关联的无线接入点AP时，通知所述无线接入点AP进行信道切换操作。所述仿冒日志步骤，进一步包括在所述信道切换单元完成信道切换后，如攻击者停止攻击时长超过第二预定时长，则确定攻击者为仿冒者并更新仿冒者日志。所述下线操作步骤，进一步包括在所述信道切换单元完成信道切换后，如攻击者停止攻击时长没有超过第二预定时长，则确定攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。本专利技术还包括：静默处理步骤，在所述信道切换步骤中进行信道切换的次数在第三预定时长内超过预设阈值一或者无可用信道时，发送单播Beacon帧给所述客户端关联的无线接入点AP，并携带预设静默期QuietElement。所述仿冒日志步骤，进一步包括如在静默期内攻击未停止，则确定攻击者为仿冒者并更新仿冒者日志。所述动态操作步骤，进一步包括如在静默期内攻击未停止，将攻击者所使用的源MAC地址以及与该源MAC地址对应的第一老化时间下发到所述客户端关联的无线接入点AP的动态黑名单中，所述第一老化时间比动态黑名单中默认老化时间更短。所述下线操作步骤，进一步包括如在静默期内攻击停止，则确定攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。本专利技术所述动态操作步骤，进一步包括如攻击者使用同一源MAC地址的攻击次数超过预设阈值二，则将所述源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单。本专利技术根据所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP，确定是否将攻击者所使用的源MAC地址下发到动态黑名单。本专利技术进一步根据在第一预定时长内是否接收到合法客户端关联的无线接入点AP上报的攻击报告，确定攻击者是否仿冒者。本专利技术对发出攻击的是客户端还是仿冒者进行了识别，并采取了对应的防御措施，避免了合法客户端被误伤。附图说明图1是本专利技术无线攻击检测及防御装置结构图;图2是本专利技术无线攻击检测及防御方法流程图；图3是本专利技术一实施例的示意图；图4是本专利技术另一实施例的示意图。具体实施方式为了实现本专利技术目的，本专利技术根据不同无线接入点AP发送的攻击报本文档来自技高网...

【技术保护点】
一种无线攻击检测及防御装置，应用于无线控制器AC上，所述无线控制器AC用于管理无线接入点AP，其特征在于，包括：报告接收单元，用于接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址；来源判断单元，用于判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP；动态操作单元，用于在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时，将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中。

【技术特征摘要】
1.一种无线攻击检测及防御装置，应用于无线控制器AC上，所述无线控制器AC用于管理无线接入点AP，其特征在于，包括：报告接收单元，用于接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址；来源判断单元，用于判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP；动态操作单元，用于在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时，将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中；仿冒日志单元，用于在所述动态操作单元完成动态黑名单操作后，如在第一预定时长内并未接收到合法客户端关联的无线接入点AP上报的攻击报告，则确定该攻击者为仿冒者并更新仿冒者日志。2.如权利要求1所述的无线攻击检测及防御装置，其特征在于，所述动态操作单元，进一步用于如在第一预定时长内接收到合法客户端关联的无线接入点AP上报的攻击报告，则确定该攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。3.如权利要求2所述的无线攻击检测及防御装置，其特征在于，还包括：信道切换单元，用于当所述攻击者的源MAC地址所对应的无线接入点AP为合法客户端关联的无线接入点AP时，通知所述无线接入点AP进行信道切换操作；所述仿冒日志单元，进一步用于在所述信道切换单元完成信道切换后，如攻击者停止攻击时长超过第二预定时长，则确定攻击者为仿冒者并更新仿冒者日志；所述动态操作单元，进一步用于在所述信道切换单元完成信道切换后，如攻击者停止攻击时长没有超过第二预定时长，则确定攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。4.如权利要求3所述的无线攻击检测及防御装置，其特征在于，还包括：静默处理单元，用于在所述信道切换单元进行信道切换的次数在第三预定时长内超过预设阈值一或者无可用信道时，发送单播Beacon帧给所述客户端关联的无线接入点AP，并携带预设静默期QuietElement；所述仿冒日志单元，进一步用于如在静默期内攻击未停止，则确定攻击者为仿冒者并更新仿冒者日志；所述动态操作单元，进一步用于如在静默期内攻击未停止，将攻击者所使用的源MAC地址以及与该源MAC地址对应的第一老化时间下发到所述客户端关联的无线接入点AP的动态黑名单中，其中所述第一老化时间比动态黑名单中默认老化时间更短；所述动态操作单元，进一步用于如在静默期内攻击停止，则确定攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。5.如权利要求4所述的无线攻击检测及防御装置，其特征在于，所述动态操作单元，进一步用于如攻击者使用同一源MAC地址的攻击次数超过预设阈值二，则将所述源MAC地址下发到发送攻击报告的无线...

【专利技术属性】
技术研发人员：傅嘉嘉，余波，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：