技術領域

本發明屬于移動互聯網安全領域，具體而言，本發明涉及一種基于時間特征的分析檢測中間人攻擊的方法和終端設備。

背景技術

隨著無線網絡技術的日益發展，傳統的有線接入越來越局限于IT運營企業和固定設施的接入，而在日常生活中，人們主要以無線接入方式為主。可以說，無線網絡已經在人們平常的生活和工作中占據了非常重要的地位，今天的人們已經不能離開無線網絡，人們的生活也越來越依賴于無線網絡。與此同時，隨著無線網絡流量的增加，無線網絡承載了越來越多的私密信息，成為黑客和不法分子攻擊的對象，無線網絡通信的安全隱患日益明顯。

在現有的無線攻擊手段中，中間人攻擊成為最常見的攻擊方式。攻擊者通過插入到用戶和wifi熱點的通信鏈路之中，對用戶的網絡傳輸過程進行竊聽，造成用戶敏感信息泄漏，甚至進一步造成經濟和名譽上的損失。中間人攻擊如此普遍的主要原因是該方式的簡便易行，不要求攻擊者自備上網通道，只需要插入到用戶和熱點之間，即可對用戶發起攻擊，竊聽用戶的通信內容。目前，大多數熱點設備在斷網攻擊方面存在明顯的弱點，使得攻擊者可以輕易斷開用戶的當前連接，使得這一問題更加突出，攻擊者更容易得手。

針對這一問題，目前已提出一些技術方案，用來對中間人問題進行檢測，比如在SSID之外，加入熱點的MAC地址作為身份識別的加強措施，但不幸的是，MAC地址和SSID一樣，都是用戶可以輕易修改的身份標識，這使得現有方案面臨失效的風險，迫切需要提出具有更加可靠的身份識別和安全評估方案，以便用戶在接入熱點之前對熱點的安全水平進行比較可靠的評估。

發明內容

本發明針對現有的方式的上述缺點，提出一種基于時間分布特征檢測中間人攻擊的方法和終端設備，用以解決現有技術存在的鏈路容易被中間人攻擊的缺陷。與現有解決方法不同的是，本發明不是基于路由器自身的SSID、MAC等信息判斷身份，而是根據存在中間人的通信路徑的時間分布特征進行判定。

本發明的實施例根據一個方面，提供了一種基于時間特征的分析檢測中間人攻擊的方法，分為訓練和識別兩個階段，具體包括如下步驟：

A.訓練階段

1)分別采集正常場景和存在中間人場景的數據包間隔數據；

2)在上述數據的基礎上，計算得到可以對正常場景和非正常場景進行合理區分的門限值；

B.識別階段

1)獲取目標設備發送數據包的間隔信息；

2)對所述間隔信息進行統計分析，得到典型數據值；

3)將典型數據值與門限值進行比對，判定所述數據包間隔時間所存在的場景為多跳或一跳，從而進行相應的安全處理。

優選地，通過采集同一目標設備的數據幀時間值，獲得目標設備發送數據包的間隔信息。

優選地，訓練階段，通過數據過濾，剔除波動過大的偶然數據，以便得到更加合理準確的門限值。

優選地，獲取目標設備發送數據包的間隔信息期間，確認策略由正常的延遲確認策略變更為立即確認策略，以快速準確地得到數據包的間隔信息。

優選地，目標設備的選擇基于靠近終端設備，以降低長鏈路帶來的環境波動影響，提高計算精度。

優選地，目標設備為DNS服務器。

優選地，通過采集多次目標設備的數據包，從而獲取目標設備發送數據包的間隔信息，所述分析數據包括平局值和標準值。

優選地，通過將分析數據與門限值進行對比，以判定數據包為多跳或一跳。

優選地，數據門限值可通過以下方法中的至少一種獲得：

1)理論計算，加上現實中存在的實際誤差進行調整后獲得；

2)多次學習和訓練獲得；

3)實地檢測獲取。

優選地，如果數據包為一跳，則不存在中間人的安全隱患，如果所述數據包為多跳，則存在中間人的安全隱患。

另外，本發明還公開了一種終端設備，其包括：

訓練模塊，用于通過采集正常場景和存在中間人場景的數據包間隔信息，進行數據處理，得到正常和非正常數據的門限值；

收集模塊，用于獲取目標設備發送數據包的間隔信息；

分析模塊，用于對該目標設備發送數據包的間隔信息進行統計分析，得到分析數據；

評估模塊，用于將該分析數據與該門限值進行對比分析，判定該目標設備發送數據包間隔時間所存在的場景為多跳或一跳，從而進行相應的安全處理。