[发明专利]一种恶意攻击检测方法及终端

权利要求书

1.一种恶意攻击检测方法，其特征在于，所述方法包括：

接收到无线局域网中终端发送的握手报文时，对所述终端进行认证；若在 预设时间段内所述终端每次认证均失败，则统计出预设时间段内的认证失败次 数；

根据所述认证失败次数及预设的认证失败次数阈值，对所述终端进行恶意 攻击检测。

2.根据权利要求1所述的方法，其特征在于，所述根据所述认证失败次数 及预设的认证失败次数阈值，对所述终端进行恶意攻击检测，包括：

将所述认证失败次数与预设的认证失败次数阈值进行比较；

若所述认证失败次数小于预设的认证失败次数阈值，则未检测出所述终端 为进行恶意攻击的终端，结束本次处理流程；

若所述认证失败次数大于等于预设的认证失败次数阈值，则检测出所述终 端为进行恶意攻击的终端。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

预设用于存储恶意攻击终端的介质访问控制MAC地址的黑名单列表；

所述检测出所述终端为进行恶意攻击的终端之后，所述方法还包括：

将所述终端的MAC地址添加到所述黑名单列表中，并通过定时器控制所 述终端的MAC地址在所述黑名单列表中的存储时间，若所述定时器的存储时 间到达，则将所述终端的MAC地址从所述黑名单列表中删除；或者，

将所述终端的MAC地址永久性地添加到所述黑名单列表中。

4.根据权利要求3所述的方法，其特征在于，所述接收到终端发送的握手 报文之后，所述方法还包括：

获取所述握手报文中所述终端的MAC地址；

根据获取的MAC地址与所述黑名单列表中存储的MAC地址，对所述终端 进行恶意攻击检测；

若查询到获取的MAC地址在所述黑名单列表中，则检测出所述终端为恶 意攻击的终端，并结束本次处理流程；

若未查询到获取的MAC地址在所述黑名单列表中，则开始对所述终端进 行认证。

5.一种终端，其特征在于，所述终端包括：统计单元、检测单元；其中，

所述统计单元，用于接收到无线局域网中终端发送的握手报文时，对所述 终端进行认证；若在预设时间段内所述终端每次认证均失败，则统计出预设时 间段内的认证失败次数；

所述检测单元，用于根据所述认证失败次数及预设的认证失败次数阈值， 对所述终端进行恶意攻击检测。

6.根据权利要求5所述的终端，其特征在于，所述检测单元具体用于：

将所述认证失败次数与预设的认证失败次数阈值进行比较；

若所述认证失败次数小于预设的认证失败次数阈值，则未检测出所述终端 为进行恶意攻击的终端，结束本次处理流程；

若所述认证失败次数大于等于预设的认证失败次数阈值，则检测出所述终 端为进行恶意攻击的终端。

7.根据权利要求6所述的终端，其特征在于，所述终端还包括：

设置单元，用于预设用于存储恶意攻击终端的MAC地址的黑名单列表；

控制单元，用于将所述终端的MAC地址添加到所述黑名单列表中，并通 过定时器控制所述终端的MAC地址在所述黑名单列表中的存储时间，若所述 定时器的存储时间到达，则将所述终端的MAC地址从所述黑名单列表中删除； 或者，

将所述终端的MAC地址永久性地添加到所述黑名单列表中。

8.根据权利要求7所述的终端，其特征在于，所述终端还包括：

预检测单元，用于获取所述握手报文中所述终端的MAC地址；根据获取 的MAC地址与所述黑名单列表中存储的MAC地址，对所述终端进行恶意攻击 检测；

若查询到获取的MAC地址在所述黑名单列表中，则检测出所述终端为恶 意攻击的终端，并结束本次处理流程；

若未查询到获取的MAC地址在所述黑名单列表中，则开始对所述终端进 行认证。