公开/公告号CN105119908A
专利类型发明专利
公开/公告日2015-12-02
原文格式PDF
申请/专利权人 上海迈外迪网络科技有限公司;
申请/专利号CN201510434506.8
发明设计人 唐仲春;
申请日2015-07-22
分类号H04L29/06;
代理机构北京集佳知识产权代理有限公司;
代理人潘彦君
地址 201424 上海市奉贤区柘林镇新寺新林路1869号1幢104
入库时间 2023-12-18 12:45:22
法律状态公告日
法律状态信息
法律状态
2018-07-27
授权
授权
2015-12-30
实质审查的生效 IPC(主分类):H04L29/06 申请日:20150722
实质审查的生效
2015-12-02
公开
公开
技术领域
本发明涉及无线技术领域,尤其涉及一种无线网络安全控制方法、装置 和无线路由器。
背景技术
在诸多计算机联网技术中,无线局域网因其无需布线、费用低廉、维护 简单等优点,在许多应用场合发挥着其他联网技术不可替代的作用。随着无 线局域网应用逐渐增多,它将扩展有线局域网,并且或许可以在某些情况下 取而代之。可以预测,在未来信息无所不在的时代,无线局域网将依靠其无 法比拟的灵活性、可移动性和极强的可扩容性,获得更广泛的应用,使人们 真正享受到简单、方便、快捷的连接。
随着无线局域网的广泛应用,其安全性问题也日渐凸显出重要性。目前, 针对无线局域网的攻击行为中,拒绝服务攻击,如ARP攻击,ICMP攻击等, 是一种常见且容易造成严重破坏的攻击行为。例如,ARP攻击是由攻击者通 过伪造IP地址和MAC地址进行ARP欺骗,并持续不断地发出响应请求,从而 在网络中产生大量的ARP通信量,严重消耗网络资源和设备资源。再如,ICMP 命令可用于检测网路是否通畅,通过不断发送ICMP数据包,对无线局域网进 行轰炸,导致网络迟缓甚至设备瘫痪。
现有的无线路由器可以实现无线信号的收发功能和数据转发功能,然而 并不能有效防范上述的拒绝服务攻击,从而给局域网的网络安全造成隐患。
发明内容
本发明实施例解决的问题是如何有效判别针对无线局域网的拒绝服务攻 击。
为解决上述问题,本发明实施例提供一种无线网络安全控制方法,包括:
接收连接端发送的射频信号;
检测所述射频信号的波形;
当所述射频信号的波形与预设的洪泛攻击波形相匹配时,判定所述连接 端为攻击源。
可选的,所述无线网络安全控制方法,还包括:当判定所述连接端为攻 击源后,将所述连接端添加到访问控制列表中。
可选的,所述将所述连接端添加到访问控制列表中包括:
读取所述连接端的MAC地址,并将所述MAC地址添加到所述访问控制 列表中。
可选的,所述检测所述射频信号的波形包括:检测所述射频信号的功率;
所述当所述射频信号的波形与预设的洪泛攻击波形匹配时,判定所述连 接端为攻击源,包括:当所述无线数据信号的功率大于预设功率,且持续时 间大于预设时间时,判定所述连接端为攻击源。
可选的,所述检测所述射频信号的功率包括:
读取所述射频信号检波后产生电流;
将与所述电流的电流值对应的功率值作为所述射频信号的功率。
为了解决上述的技术问题,本发明实施例还公开了一种无线网络安全控 制装置,包括:
接收单元,适于接收连接端发送的射频信号;
检测单元,适于检测所述射频信号的波形;
匹配单元,适于将所述射频信号的波形与预设的洪泛攻击波形进行匹配;
判断单元,适于当所述射频信号的波形与预设的洪泛攻击波形相匹配时, 判定所述连接端为攻击源。
可选的,无线网络安全控制装置还包括:控制单元,适于当判定所述连 接端为攻击源后,将所述连接端添加到访问控制列表中。
可选的,所述控制单元,适于读取所述连接端的MAC地址,并将所述 MAC地址添加到所述访问控制列表中。
可选的,所述检测单元,适于检测所述射频信号的功率;
所述匹配单元,适于当所述无线数据信号的功率大于预设功率,且持续 时间大于预设时间时,判定所述连接端为攻击源。
可选的,所述检测单元,适于读取所述射频信号检波后产生电流;将与 所述电流的电流值对应的功率值作为所述射频信号的功率。
为了解决上述的技术问题,本发明实施例还公开了一种无线路由器,包 括上述的无线网络安全控制装置。
与现有技术相比,本发明实施例的技术方案具有以下优点:
监控对端发送的射频信号,通过检测所述射频信号的波形,并与洪泛攻 击时的攻击波形进行匹配。如果匹配度高,则判定所述连接端为攻击源,由 于不需要对接收到的射频信号进行解码处理,而是直接通过物理层设备读取 波形信号,因此检测的速度更快,对洪泛攻击反应也更为灵敏,从而可以有 效地防范这种洪泛攻击。
附图说明
图1是本发明实施例中一种无线网络安全控制方法的流程图;
图2是本发明实施例中一种无线网络安全控制装置的结构示意图。
具体实施方式
目前,针对无线局域网的攻击行为中,拒绝服务攻击是一种常见且容易 造成严重破坏的攻击行为。例如,ARP攻击是由攻击者通过伪造IP地址和 MAC地址进行ARP欺骗,并持续不断地发出响应请求,从而在网络中产生 大量的ARP通信量,严重消耗网络资源和设备资源。再如,ICMP命令可用 于检测网路是否通畅,通过不断发送ICMP数据包,对无线局域网进行轰炸, 导致网络迟缓甚至设备瘫痪。现有的无线路由器可以实现无线信号的收发功 能和数据转发功能,然而并不能有效防范上述的拒绝服务攻击,从而给局域 网的网络安全造成隐患。
本发明实施例通过监控对端发送的射频信号,检测所述射频信号的波形, 并与洪泛攻击时的攻击波形进行匹配。如果匹配度高,则判定所述连接端为 攻击源,由于不需要对接收到的射频信号进行解码处理,而是通过物理层设 备读取波形信号,因此检测的速度更快,对洪泛攻击反应也更为灵敏,从而 可以有效地防范这种洪泛攻击。
为使本发明的上述目的、特征和优点能够更为明显易懂,下面结合附图 对本发明的具体实施例做详细的说明。
本发明实施例公开了一种无线网络安全控制方法。所述无线网络安全控 制方法可以适用于各种无线局域网设备中,如无线路由器,无线AC等,以实 时地对网络情况进行监控,防范可能的网络洪泛攻击。
如图1所示,所述无线网络安全控制方法可以包括如下步骤:
步骤S101,接收连接端发送的射频信号。
所述连接端为已经与上述无线局域网设备建立无线连接的接入点(Access point,AP)或其他无线局域网的可接入设备。
在具体实施中,可以通过设置在无线局域网设备接口,如通用串行总线 (UniversalSerialBus,USB)接口等总线接口上的射频天线接收所述连接端 发送的射频信号。
步骤S102,检测所述射频信号的波形。
在具体实施中,可以通过测量所述射频信号的功率来检测其波形。
在上述的具体实施中,所述射频功率的功率测量方法还可以是通过测量 对应产生的电流值检测其功率,即通过读取所述射频信号检波后产生电流, 获取对应所述电流大小的射频功率。
步骤S103,判断所述射频信号的波形与预设的洪泛攻击波形是否匹配。
在具体实施中,可以通过检测所述射频功率与预设功率之间的大小关系, 来判定所述射频信号的波形与预设的洪泛攻击波形是否匹配。具体来说,当 所述无线数据信号的功率大于预设功率,且持续时间大于预设时间时,判定 两者匹配。
当判定所述射频信号的波形与预设的洪泛攻击波形匹配时,执行步骤 S104,否则返回步骤S101,持续对所述连接端设备进行监控。
步骤S104,判定所述连接端为攻击源。
在无线信号的传输中,实际发送的比特数据是被调制到某种波形的无线 电载波上来进行传输的。当无线局域网设备的连接端发起洪水攻击时,相应 数据流特征会在其载波波形上展现出来。比如,长时间连续地,以较高功率 的载波形式发送无线电信号。因此如果出现这种状况,即所述射频信号的波 形与预设的洪泛攻击波形相匹配时,可以判定所述连接端发起洪水攻击,为 网络攻击端。
步骤S105,将所述连接端添加到访问控制列表中。
在具体实施中,所述将所述连接端添加到访问控制列表中可以包括:读 取所述连接端发送的数据帧中的源MAC地址,并将所述MAC地址添加到所 述访问控制列表中,拒收所述连接端发送的数据信息,从而实现对所述连接 端的屏蔽,起到防范洪泛攻击的作用。
本发明实施例通过监控网络接入设备的物理层状态,如其无线网卡所发 送信号的波形和功率来检测网络异常,从而判断所述网络接入设备是否是在 连续发送洪水报文,保证了无线网络的安全。由于本发明实施例不需要对接 收到的射频信号进行解码或其他操作即可进行监控和判别,因此对于洪泛攻 击的反应速度快。
本发明实施例还公开了与图1所示实施例相对应的一种无线网络安全控 制装置。同样的,所述无线网络安全控制装置可以设置于各种无线局域网设 备中,如无线路由器,无线AC等。如图2所示,所述无线网络安全控制装置 20可以包括:
接收单元201,适于接收连接端发送的射频信号。
检测单元202,适于检测所述射频信号的波形。
匹配单元203,适于将所述射频信号的波形与预设的洪泛攻击波形进行匹 配。
判断单元204,适于当所述射频信号的波形与预设的洪泛攻击波形相匹配 时,判定所述连接端为攻击源。
所述连接端为已经与上述无线局域网设备建立无线连接的接入点(Access point,AP)或其他无线局域网的可接入设备。在具体实施中,所述接收单元 201可以通过控制设置在无线局域网设备USB接口或PCIE接口上的射频天线 接收所述连接端发送的射频信号。
在具体实施中,所述检测单元202可以通过测量所述射频信号的功率来 检测其波形。
在上述的具体实施中,所述射频功率的功率测量方法还可以是所述检测 单元202通过测量对应产生的电流值检测其功率,即通过读取所述射频信号 检波后产生电流,获取对应所述电流大小的射频功率。
在具体实施中,所述匹配单元203可以通过检测所述射频功率与预设功 率之间的大小关系,来判定所述射频信号的波形与预设的洪泛攻击波形是否 匹配。具体来说,当所述无线数据信号的功率大于预设功率,且持续时间大 于预设时间时,判定两者匹配。
在具体实施中,所述无线网络安全控制装置还可以包括:控制单元204, 适于当判定所述连接端为攻击源后,将所述连接端添加到访问控制列表中。 具体来说,所述控制单元可以是读取所述连接端发送的数据帧中的源MAC地 址,并将所述MAC地址添加到所述访问控制列表中,拒收所述连接端发送的 数据信息,从而实现对所述连接端的屏蔽,起到防范洪泛攻击的作用。
基于上述的无线网络安全控制装置,本发明实施例还公开了一种无线路 由器。其中,包括上述的无线网络安全控制装置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步 骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可 读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员, 在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保 护范围应当以权利要求所限定的范围为准。
机译: 无线网络安全系统中无线路由器的设备号锁驱动密钥生成
机译: 用无线路由器部署无线网络安全性的方法
机译: 无线路由器传输速率切换方法,无线路由器传输速率控制方法和无线路由器