[发明专利]一种无线攻击检测及防御装置及其方法

说明书

技术领域

本发明涉及无线网络技术，尤其涉及一种无线攻击检测及防御装置及其方法。

背景技术

随着无线网络技术的发展，无线攻击检测及防御机制已经成为无线网络技术中的重点。现有的无线攻击检测及防御技术是在发现来自无线侧的攻击行为后，会将该攻击者的源MAC地址加入到发现该攻击行为的无线接入点AP的动态黑名单中。同时在无线控制器AC上将该客户端强制下线。在动态黑名单老化时间内，该MAC地址的客户端将无法在当前无线接入点AP上访问网络。

由于现有技术的无线攻击检测及防御技术仅根据客户端的源MAC地址来确定攻击者并针对客户端的源MAC地址来采取防御措施的。因此，当存在仿冒客户端的攻击者时，现有技术将无法区分是否是仿冒者，从而难以为管理员提供准确的信息。而正常的合法客户端也常常被误伤。

发明内容

有鉴于此，本发明提供一种无线攻击检测及防御装置及其方法，其可以识别发出攻击的是合法客户端还是仿冒者，并采取对应的防御措施，避免合法客户端被误伤。

一种无线攻击检测及防御装置，应用于无线控制器AC上，所述无线控制器AC用于管理无线接入点AP。包括：

报告接收单元，用于接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址。

来源判断单元，用于判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP。

动态操作单元，用于在所述攻击者的源MAC地址所对应的无线接入点AP并非合法客户端关联的无线接入点AP时，将该攻击者所使用的源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单中。

本发明还包括：

仿冒日志单元，用于在所述动态操作单元完成动态黑名单操作后，如在第一预定时长内并未接收到合法客户端关联的无线接入点AP上报的攻击报告，则确定该攻击者为仿冒者并更新仿冒者日志。

所述动态操作单元，进一步用于如在第一预定时长内接收到合法客户端关联的无线接入点AP上报的攻击报告，则确定该攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。

本发明还包括：

信道切换单元，用于当所述攻击者的源MAC地址所对应的无线接入点AP为合法客户端关联的无线接入点AP时，通知所述无线接入点AP进行信道切换操作。

所述仿冒日志单元，进一步用于在所述信道切换单元完成信道切换后，如攻击者停止攻击时长超过第二预定时长，则确定攻击者为仿冒者并更新仿冒者日志。

所述动态操作单元，进一步用于在所述信道切换单元完成信道切换后，如攻击者停止攻击时长没有超过第二预定时长，则确定攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。

本发明还包括：

静默处理单元，用于在所述信道切换单元进行信道切换的次数在第三预定时长内超过预设阈值一或者无可用信道时，发送单播Beacon帧给所述客户端关联的无线接入点AP，并携带预设静默期Quiet Element。

所述仿冒日志单元，进一步用于如在静默期内攻击未停止，则确定攻击者为仿冒者并更新仿冒者日志。

所述动态操作单元，进一步用于如在静默期内攻击未停止，将攻击者所使用的源MAC地址以及与该源MAC地址对应的第一老化时间下发到所述客户端关联的无线接入点AP的动态黑名单中，其中所述第一老化时间比动态黑名单中默认老化时间更短。

所述动态操作单元，进一步用于如在静默期内攻击停止，则确定攻击者为合法客户端本身，将合法客户端所使用的源MAC地址下发到合法客户端关联的无线接入点AP的动态黑名单，并强制合法客户端下线。

本发明所述动态操作单元，进一步用于如攻击者使用同一源MAC地址的攻击次数超过预设阈值二，则将所述源MAC地址下发到发送攻击报告的无线接入点AP的动态黑名单。

一种无线攻击检测及防御方法，应用于无线控制器AC上，所述无线控制器AC用于管理无线接入点AP。包括：

报告接收步骤，接收各个无线接入点AP上报的攻击报告并确定攻击报告中作为攻击者的源MAC地址。

来源判断步骤，判断所述攻击者的源MAC地址所对应的无线接入点AP是否是合法客户端关联的无线接入点AP。