[发明专利]一种移动终端钓鱼WiFi的检测与抵御方法

权利要求书

1.一种移动终端钓鱼WiFi的检测与抵御方法，包括基于C/S架构的检测和防御钓WiFi方法的基本原理，各个模块之间的交互及数据流向、基于C/S架构的检测和防御钓鱼WiFi系统客户端的具体工作流程以及各个模块之间的调用关系和知识库的构建过程以及本地知识库与云端知识库的交互方式；

其中，所述基于C/S架构的检测和防御钓鱼WiFi方法的基本原理，各个模块之间的交互及数据流向具体如下：

1)广播模块主动向无线空间发送两个包含SSID的Probe Request报文，其中ProbeRequst1中的SSID为当前空间中存在的SSID，Probe Request2中的SSID为当前空间中不存在的；

2)识别模块监测收到的Probe Response报文，通过分析获得以下报文指纹key＝<SSID,BSSID,vendor-ID,认证方式，外网IP，地域信息>；

3)对比模块将key作为关键字与知识库中内容做对比；

4)对比模块将对比结果返回判别单元；

5)判别模块通过判断查询结果是否为空做出反应；如果在知识库中找到记录，则判断当前无线环境中存在恶意攻击节点，切断无线连接；如果不存在，则将Probe Response报文传给检测单元；

6)检测单元通过判断收到的Probe Response报文是针对哪个Probe Request给出的响应，进入不同检测模块；

7)检测单元检测结束后，如果当前环境存在攻击，则将恶意攻击节点信息送至存储模块；否则，成功接入无线；

8)存储模块对恶意节点信息加密后存入本地知识库；

9)本地知识库将恶意AP信息传送给服务器的接收模块；

10)接收模块将信息处理后存入云端知识库；

11)云端知识库与本地知识库进行定时的数据更新，云端知识库将信息传输给下发模块；

12)下发模块将信息处理后存入本地知识库。

2.根据权利要求1所述的一种移动终端钓鱼WiFi的检测与抵御方法，其特征在于，所述基于C/S架构的检测和防御钓鱼WiFi系统客户端的具体工作流程以及各个模块之间的调用关系中各个检测模块的调用条件及具体检测方案如下：

(1)检测模块的调用条件：

a)如果仅收到一条Probe Response且是针对Probe Requst1发出的响应，则进入第一检测模块，

b)如果仅收到一条Probe Response且是针对Probe Requst2发出的响应，则进如第二检测模块，

c)如果收到两条Probe Response，分别针对Probe Requst1和Probe Requst2发出的响应，则进入第三检测模块；

(2)检测模块的检测方案：

1)第一检测模块：

a)仅收到Probe Requst1的响应报文，可判断当前空间不存在Karma攻击，

b)记录此条报文的以下指纹信息：info＝<SSID,BSSID,vendor-ID,认证方式,外网IP,地域信息>予以连接，

c)调用识别模块监测是否发送reassociation request报文，

d)如果发送，监测收到的reassociation response中的指纹信息info，并与已记录的信息info进行比对，如果二者一致，则予以重新连接，否则，发出警告，中止链接并将info信息加密存入本地知识库；

2)第二检测模块:

a)仅收到Probe Requst2的响应报文，可判断当前空间存在Karma攻击，

b)记录此条报文指纹信息：info并加密存入本地知识库；

3)第三检测模块：

a)同时收到Probe Requst1和Probe Requst2的响应报文，则确定当前空间存在Karma攻击，发出警告，中止链接并将Probe Response2的指纹信息info加密存入本地知识库，

b)比对两报文的以下信息：BSSID，Vendor-ID，

c)如果信息一致，则判断两报文发送自同一恶意节点，发出警告并中止链接，

d)如果信息不一致，调用第一检测模块判断是否遭到主动攻击。

3.根据权利要求1所述的一种移动终端钓鱼WiFi的检测与抵御方法，其特征在于，所述知识库的构建过程以及本地知识库与云端知识库的交互方式的数据层的数据流向具体介绍如下：

1)识别模块获取到报文的指纹信息后发送至对比模块，与本地知识库中的解密后的恶意节点信息文件进行比对，如果在该文件中找到该节点的记录，则判断为当前节点为恶意攻击节点；

2)当检测模块判定当前空间存在攻击对象时，将恶意AP信息发送至存储模块，存储模块在计算该记录的MD5值确定其无误后对其进行加密并存至本地知识库；

3)当客户端发出请求时，本地知识库与云端知识库之间会进行数据更新与交换。