本發(fā)明涉及網絡安全技術領域，尤其是涉及一種非法無線AP檢測方法及裝置。

背景技術：

目前已有的技術在檢測非法無線AP(Access Point，接入點)時，都采用黑白名單的方式進行檢測，主要針對非法AP的MAC(Media Access Control，介質訪問控制)地址與合法AP不一致的情況?；蛘卟捎靡呀浗尤隬i-Fi(Wireless-Fidelity，無線寬帶)網絡的終端進行一些檢測，來判斷是否為非法AP。

非法AP的創(chuàng)建者可以輕松修改無線網卡MAC地址，然后再創(chuàng)建非法AP時，會導致原有技術無法檢測到非法AP。而通過已接入Wi-Fi網絡的終端進行檢測的方式則存在一定的終端限制，并有一些滯后性。

技術實現(xiàn)要素：

有鑒于此，本發(fā)明的目的在于提供非法無線AP檢測方法及裝置，以提高非法AP的檢測率，降低網絡的安全風險。

第一方面，本發(fā)明實施例提供了一種非法無線接入點AP檢測方法，其中，所述方法包括：

對網絡環(huán)境進行掃描，并根據服務區(qū)別號獲取當前無線AP；

判斷所述當前無線AP的數(shù)量與部署場景數(shù)量是否匹配；

如果匹配，則將所述當前無線AP進行合法化設置，得到合法無線AP；

對所述合法無線AP所發(fā)出管理幀數(shù)據的變化頻率進行分析，獲取第一非法無線AP；

如果不匹配，則判斷所述當前無線AP的數(shù)量是否大于部署場景數(shù)量；

如果大于，則將與所述服務區(qū)別號不匹配的所述當前無線AP進行篩選，獲取第二非法無線AP。

結合第一方面，本發(fā)明實施例提供了第一方面的第一種可能的實施方式，其中，所述對網絡環(huán)境進行掃描，并根據服務區(qū)別號獲取當前無線接入點AP包括：

采用監(jiān)控模式對所述網絡環(huán)境進行掃描，獲取周邊無線AP；

采用瀏覽器/服務器B/S結構，通過瀏覽器展示所述周邊無線AP；

根據所述服務區(qū)別號對所述周邊無線AP進行過濾，獲取與所述服務區(qū)別號相匹配的所述當前無線AP。

結合第一方面，本發(fā)明實施例提供了第一方面的第二種可能的實施方式，其中，所述對所述合法無線AP所發(fā)出管理幀數(shù)據的變化頻率進行分析，獲取第一非法無線AP包括：

對所述合法無線AP發(fā)出的管理幀數(shù)據進行監(jiān)測，得到屬性信息；

根據所述屬性信息，判斷所述管理幀數(shù)據的變化頻率是否滿足頻率閾值；

如果滿足，則對所述合法無線AP進行重新認定，獲取所述第一非法無線AP。

結合第一方面，本發(fā)明實施例提供了第一方面的第三種可能的實施方式，其中，所述將所述當前無線AP進行合法化設置，得到合法無線AP包括：

將所述當前無線AP加入合法列表，并將介質訪問控制MAC地址與所述服務區(qū)別號的對應關系加入合法列表，得到所述合法無線AP。

結合第一方面，本發(fā)明實施例提供了第一方面的第四種可能的實施方式，其中，所述方法還包括：

通過定位技術，根據所述第一非法無線AP和所述第二非法無線AP的MAC地址進行設備定位，獲取所述第一非法無線AP和所述第二非法無線AP的位置信息。

第二方面，本發(fā)明實施例還提供一種非法無線AP檢測裝置，其中，所述裝置包括：

掃描模塊，用于對網絡環(huán)境進行掃描，并根據服務區(qū)別號獲取當前無線AP；

第一數(shù)量判斷單元，用于判斷所述當前無線AP的數(shù)量與部署場景數(shù)量是否匹配；

合法化設置模塊，用于將所述當前無線AP進行合法化設置，得到合法無線AP；

數(shù)據分析模塊，用于對所述合法無線AP所發(fā)出管理幀數(shù)據的變化頻率進行分析，獲取第一非法無線AP；

第二數(shù)量判斷單元，用于判斷所述當前無線AP的數(shù)量是否大于部署場景數(shù)量；

篩選單元，用于將與所述服務區(qū)別號不匹配的所述當前無線AP進行篩選，獲取第二非法無線AP。

結合第二方面，本發(fā)明實施例提供了第二方面的第一種可能的實施方式，其中，所述掃描模塊還用于：

采用監(jiān)控模式對所述網絡環(huán)境進行掃描，獲取周邊無線AP；

采用B/S結構，通過瀏覽器展示所述周邊無線AP；

根據所述服務區(qū)別號對所述周邊無線AP進行過濾，獲取與所述服務區(qū)別號相匹配的所述當前無線AP。

結合第二方面，本發(fā)明實施例提供了第二方面的第二種可能的實施方式，其中，所述數(shù)據分析模塊還用于：

對所述合法無線AP發(fā)出的管理幀數(shù)據進行監(jiān)測，得到屬性信息；

根據所述屬性信息，判斷所述管理幀數(shù)據的變化頻率是否滿足頻率閾值；

如果滿足，則對所述合法無線AP進行重新認定，獲取所述第一非法無線AP。

結合第二方面，本發(fā)明實施例提供了第二方面的第三種可能的實施方式，其中，所述合法化設置模塊還用于：

將所述當前無線AP加入合法列表，并將介質訪問控制MAC地址與所述服務區(qū)別號的對應關系加入合法列表，得到所述合法無線AP。

結合第二方面，本發(fā)明實施例提供了第二方面的第四種可能的實施方式，其中，所述裝置還包括定位模塊；

所述定位模塊，用于通過定位技術，根據所述第一非法無線AP和所述第二非法無線AP的MAC地址進行設備定位，獲取所述第一非法無線AP和所述第二非法無線AP的位置信息。

本發(fā)明實施例帶來了以下有益效果：

本發(fā)明提供的非法無線AP檢測方法及裝置，通過對網絡環(huán)境進行掃描，并根據服務區(qū)別號獲取當前無線AP，判斷當前無線AP的數(shù)量與部署場景數(shù)量是否匹配并在匹配的情況下，將當前無線AP進行合法化設置，得到合法無線AP，對合法無線AP所發(fā)出管理幀數(shù)據的變化頻率進行分析，獲取第一非法無線AP，再看不匹配的情況下，判斷當前無線AP的數(shù)量是否大于部署場景數(shù)量，并在大于的情況下，將與服務區(qū)別號不匹配的當前無線AP進行篩選，獲取第二非法無線AP。本發(fā)明可以提高非法AP的檢測率，降低網絡的安全風險。

本發(fā)明的其他特征和優(yōu)點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點在說明書、權利要求書以及附圖中所特別指出的結構來實現(xiàn)和獲得。

為使本發(fā)明的上述目的、特征和優(yōu)點能更明顯易懂，下文特舉較佳實施例，并配合所附附圖，作詳細說明如下。

附圖說明

為了更清楚地說明本發(fā)明具體實施方式或現(xiàn)有技術中的技術方案，下面將對具體實施方式或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施方式，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例一提供的非法無線AP檢測方法流程圖；

圖2為本發(fā)明實施例二提供的非法無線AP檢測方法中步驟S110的流程圖；

圖3為本發(fā)明實施例三提供的非法無線AP檢測方法中步驟S140的流程圖；

圖4為本發(fā)明實施例四提供的非法無線AP檢測裝置示意圖。

圖標：

100-掃描模塊；200-第一數(shù)量判斷單元；300-合法化設置模塊；400-數(shù)據分析模塊；500-第二數(shù)量判斷單元；600-篩選單元；700-定位模塊。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結合附圖對本發(fā)明的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

目前已有的技術在檢測非法無線AP時，都采用黑白名單的方式進行檢測，主要針對非法AP的MAC地址與合法AP不一致的情況?；蛘卟捎靡呀浗尤隬i-Fi網絡的終端進行一些檢測，來判斷是否為非法AP。

非法AP的創(chuàng)建者可以輕松修改無線網卡MAC地址，然后再創(chuàng)建非法AP時，會導致原有技術無法檢測到非法AP。而通過已接入Wi-Fi網絡的終端進行檢測的方式則存在一定的終端限制，并有一些滯后性。

基于此，本發(fā)明實施例提供的一種非法無線AP檢測方法及裝置，可以提高非法AP的檢測率，降低網絡的安全風險。

為便于對本實施例進行理解，首先對本發(fā)明實施例所公開的一種非法無線AP檢測方法進行詳細介紹。

實施例一：

圖1為本發(fā)明實施例一提供的非法無線AP檢測方法流程圖。

參照圖1，非法無線AP檢測方法包括如下步驟：

步驟S110，對網絡環(huán)境進行掃描，并根據服務區(qū)別號獲取當前無線接入點AP；

具體的，通過支持監(jiān)控模式的Wi-Fi模塊，掃描周邊所有的AP，并采用B/S(Browser/Server，瀏覽器/服務器)的結構，將所有的周邊無線AP通過瀏覽器展示出來。具體展示信息包括周邊無線AP的SSID(Service Set IDentifier，服務區(qū)別號)、MAC地址、設備廠商、保護方式、加密算法、認證方式、是否廣播SSID、是否開啟WPS(Wi-Fi Protected Setup，Wi-Fi保護設置)。這里的Wi-Fi模塊為一款可隨身攜帶的小型設備，通過插入USB接口進行使用。

通過用戶根據自己熟悉的場所，在瀏覽器中輸入自己創(chuàng)建的熱點SSID，比如可以為“yidong-00”。在瀏覽器所有顯示的周邊無線AP中，過濾得到名為“yidong-00”的當前無線AP及數(shù)量，然后將當前無線AP的數(shù)量與實際的部署場景數(shù)量進行對比，判斷數(shù)量是否匹配。

步驟S120，判斷當前無線AP的數(shù)量與部署場景數(shù)量是否匹配；如果匹配，則執(zhí)行步驟S130；如果不匹配，則執(zhí)行步驟S150；

步驟S130，將當前無線AP進行合法化設置，得到合法無線AP；

步驟S140，對合法無線AP所發(fā)出管理幀數(shù)據的變化頻率進行分析，獲取第一非法無線AP；

具體的，當同為“yidong-00”的當前無線AP的數(shù)量，與用戶已知的實際環(huán)境所使用無線AP的部署場景數(shù)量匹配時，由用戶在瀏覽器上進行操作，將當前無線AP加入合法列表，同時后臺將該當前無線AP的MAC地址與SSID的對應關系加入合法列表，得到合法無線AP。

通過Wi-Fi模塊持續(xù)監(jiān)聽周邊所有的802.11幀，對合法無線AP的MAC發(fā)出的管理幀數(shù)據進行監(jiān)測，其中管理幀數(shù)據是指合法無線AP所發(fā)出的Beacon和Probe Response，并對Beacon和Probe Response管理幀數(shù)據的屬性進行分析，得到包括BI(Beacon Interval，信標間隔)、兼容性、SSID、信道、支持頻段、加密方式、支持的協(xié)議模式、支持的速率等在內的屬性信息。同時，排除可能由于省電模式會時常變化的TIM(Traffic Indication Map，數(shù)據待傳指示信息)以及由于物理開關變化的WPS狀態(tài)。針對解析到的屬性信息，判斷合法無線AP所發(fā)出的管理幀數(shù)據是否在短時間內頻繁的來回切換。如果存在這種現(xiàn)象，則出現(xiàn)了針對該合法無線AP的克隆MAC的第一非法無線AP。

Wi-Fi模塊的使用者可以通過預先設置將個人的電話號碼或郵箱等聯(lián)系方式保存在Wi-Fi模塊中。當發(fā)現(xiàn)有偽造MAC的第一非法無線AP時，根據聯(lián)系方式，通過瀏覽器向用戶發(fā)送告警信息，提醒用戶出現(xiàn)第一非法無線AP，以及提示用戶關閉自己使用場景中實際部署的無線AP，通過RSSI(Received Signal Strength Indication接收的信號強度指示)定位技術，根據第一非法無線AP的MAC進行定位。

步驟S150，判斷當前無線AP的數(shù)量是否大于部署場景數(shù)量；如果大于，則執(zhí)行步驟S160；如果小于，則重復執(zhí)行步驟S110；

步驟S160，將與服務區(qū)別號不匹配的當前無線AP進行篩選，獲取第二非法無線AP。

具體的，當同為“yidong-00”的當前無線AP的數(shù)量，少于用戶已知的實際環(huán)境所使用無線AP的部署場景數(shù)量匹配時，說明當前掃描沒有完成，需要繼續(xù)等待掃描完成。當同為“yidong-00”的當前無線AP的數(shù)量，多于用戶已知的實際環(huán)境所使用無線AP的部署場景數(shù)量匹配時，說明有沒有克隆MAC的第二非法無線AP出現(xiàn)在周邊。為了確認第二非法無線AP的MAC地址，可以先關閉自己部署的所有名為“yidong-00”的無線AP，使瀏覽器掃描展示的同名無線AP只有第二非法無線AP，再通過RSSI定位技術，根據第二非法無線AP的MAC進行定位。

另外，根據本發(fā)明的示例性實施例，非法無線AP檢測方法還包括獲取位置信息這一步驟，即：

步驟S180，通過定位技術，根據第一非法無線AP和第二非法無線AP的MAC地址進行設備定位，獲取第一非法無線AP和第二非法無線AP的位置信息。

具體的，通過先關閉自己使用場景中實際部署的無線AP，使瀏覽器展示的同名無線AP只有第二非法無線AP或第二非法無線AP，再通過RSSI定位技術，根據第一非法無線AP或第二非法無線AP的MAC地址進行設備定位，獲取相應的位置信息。

實施例二：

如圖2所示，在非法無線AP檢測方法中步驟S110的獲取方法包括如下步驟：

步驟S210，采用監(jiān)控模式對網絡環(huán)境進行掃描，獲取周邊無線AP；

步驟S220，采用B/S結構，通過瀏覽器展示周邊無線AP；

步驟S230，根據服務區(qū)別號對周邊無線AP進行過濾，獲取與服務區(qū)別號相匹配的當前無線AP。

具體的，Wi-Fi模塊采用監(jiān)控模式掃描網絡環(huán)境中所有的周邊無線AP，并采用B/S結構，通過瀏覽器展示周邊無線AP，具體展示信息包括SSID、MAC地址等。根據個人創(chuàng)建的服務區(qū)別號，比如“yidong-00”，對周邊無線AP進行過濾，得到所有與“yidong-00”匹配的當前無線AP。

實施例三：

如圖3所示，在非法無線AP檢測方法中步驟S140的獲取方法包括如下步驟：

步驟S310，對合法無線AP發(fā)出的管理幀數(shù)據進行監(jiān)測，得到屬性信息；

步驟S320，根據屬性信息，判斷管理幀數(shù)據的變化頻率是否滿足頻率閾值；如果滿足，則執(zhí)行步驟S331；如果不滿足，則執(zhí)行步驟S332；

步驟S331，對合法無線AP進行重新認定，獲取第一非法無線AP；

步驟S332，保持合法無線AP。

具體的，通過Wi-Fi模塊對合法無線AP的MAC發(fā)出的管理幀數(shù)據進行監(jiān)測，得到屬性信息，屬性信息包括BI、SSID和支持的速率等。針對解析到的屬性信息，判斷合法無線AP所發(fā)出的管理幀數(shù)據的變化頻率是否大于一定的頻率閾值，如果大于，則說明該合法無線AP需要被重新認定，其實際為克隆了合法無線AP的MAC的第一非法無線AP。對于變化頻率無異常的合法AP仍保持為合法無線AP。

本發(fā)明實施例提供的非法無線AP檢測方法，通過對網絡環(huán)境進行掃描，并根據服務區(qū)別號獲取當前無線接入點AP，判斷當前無線AP的數(shù)量與部署場景數(shù)量是否匹配并在匹配的情況下，將當前無線AP進行合法化設置，得到合法無線AP，對合法無線AP所發(fā)出管理幀數(shù)據的變化頻率進行分析，獲取第一非法無線AP，在不匹配的情況下，判斷當前無線AP的數(shù)量是否大于部署場景數(shù)量，并在大于的情況下，將與服務區(qū)別號不匹配的當前無線AP進行篩選，獲取第二非法無線AP?？梢蕴岣叻欠ˋP的檢測率，降低網絡的安全風險。

實施例四：

圖4為本發(fā)明實施例二提供的非法無線AP檢測裝置示意圖。

參照圖4，非法無線AP檢測裝置包括掃描模塊100、第一數(shù)量判斷單元200、合法化設置模塊300、數(shù)據分析模塊400、第二數(shù)量判斷單元500和篩選單元600：

掃描模塊100，用于對網絡環(huán)境進行掃描，并根據服務區(qū)別號獲取當前無線接入點AP；

第一數(shù)量判斷單元200，用于判斷當前無線AP的數(shù)量與部署場景數(shù)量是否匹配；

合法化設置模塊300，用于將當前無線AP進行合法化設置，得到合法無線AP；

數(shù)據分析模塊400，用于對合法無線AP所發(fā)出管理幀數(shù)據的變化頻率進行分析，獲取第一非法無線AP；

第二數(shù)量判斷單元500，用于判斷當前無線AP的數(shù)量是否大于部署場景數(shù)量；

篩選單元600，用于將與服務區(qū)別號不匹配的當前無線AP進行篩選，獲取第二非法無線AP。

具體的，掃描模塊100、第一數(shù)量判斷單元200、合法化設置模塊300、數(shù)據分析模塊400、第二數(shù)量判斷單元500和篩選單元600集成于Wi-Fi模塊中，其中的第一數(shù)量判斷單元200、合法化設置模塊300、第二數(shù)量判斷單元500和篩選單元600通過B/S結構進行工作。

根據本發(fā)明的示例性實施例，掃描模塊100還用于：

采用監(jiān)控模式對網絡環(huán)境進行掃描，獲取周邊無線AP；

采用B/S結構，通過瀏覽器展示周邊無線AP；

根據服務區(qū)別號對周邊無線AP進行過濾，獲取與服務區(qū)別號相匹配的當前無線AP。

具體的，Wi-Fi模塊中的掃描模塊100，采用監(jiān)控模式掃描網絡環(huán)境中所有的周邊無線AP，并采用B/S結構，通過瀏覽器展示周邊無線AP。根據個人創(chuàng)建的服務區(qū)別號，比如“yidong-00”，對周邊無線AP進行過濾，得到所有與“yidong-00”匹配的當前無線AP。

根據本發(fā)明的示例性實施例，數(shù)據分析模塊400還用于：

對合法無線AP發(fā)出的管理幀數(shù)據進行監(jiān)測，得到屬性信息；

根據屬性信息，判斷管理幀數(shù)據的變化頻率是否滿足頻率閾值；

如果滿足，則對合法無線AP進行重新認定，獲取第一非法無線AP。

具體的，通過數(shù)據分析模塊400對合法無線AP的MAC發(fā)出的管理幀數(shù)據進行監(jiān)測，得到屬性信息。針對解析到的屬性信息，判斷合法無線AP所發(fā)出的管理幀數(shù)據的變化頻率是否大于一定的頻率閾值，如果大于，則說明該合法無線AP需要被重新認定，其實際為克隆了合法無線AP的MAC的第一非法無線AP。

根據本發(fā)明的示例性實施例，合法化設置模塊300還用于：

將當前無線AP加入合法列表，并將介質訪問控制MAC地址與服務區(qū)別號的對應關系加入合法列表，得到合法無線AP。

根據本發(fā)明的示例性實施例，該裝置還包括定位模塊700；

定位模塊700，用于通過定位技術，根據第一非法無線AP和第二非法無線AP的MAC地址進行設備定位，獲取第一非法無線AP和第二非法無線AP的位置信息。

本發(fā)明實施例提供的非法無線AP檢測裝置，包括掃描模塊對網絡環(huán)境進行掃描，并根據服務區(qū)別號獲取當前無線接入點AP，第一數(shù)量判斷單元判斷當前無線AP的數(shù)量與部署場景數(shù)量是否匹配，并在匹配的情況下，合法化設置模塊將當前無線AP進行合法化設置，得到合法無線AP，數(shù)據分析模塊對合法無線AP所發(fā)出管理幀數(shù)據的變化頻率進行分析，獲取第一非法無線AP，在不匹配的情況下，第二數(shù)量判斷單元判斷當前無線AP的數(shù)量是否大于部署場景數(shù)量，并在大于的情況下，篩選單元將與服務區(qū)別號不匹配的當前無線AP進行篩選，獲取第二非法無線AP。本發(fā)明實施例可以提高非法AP的檢測率，降低網絡的安全風險。

本發(fā)明實施例所提供的非法無線AP檢測方法及裝置的計算機程序產品，包括存儲了程序代碼的計算機可讀存儲介質，所述程序代碼包括的指令可用于執(zhí)行前面方法實施例中所述的方法，具體實現(xiàn)可參見方法實施例，在此不再贅述。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)和裝置的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

另外，在本發(fā)明實施例的描述中，除非另有明確的規(guī)定和限定，術語“安裝”、“相連”、“連接”應做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機械連接，也可以是電連接；可以是直接相連，也可以通過中間媒介間接相連，可以是兩個元件內部的連通。對于本領域的普通技術人員而言，可以具體情況理解上述術語在本發(fā)明中的具體含義。

所述功能如果以軟件功能單元的形式實現(xiàn)并作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中。基于這樣的理解，本發(fā)明的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的部分可以以軟件產品的形式體現(xiàn)出來，該計算機軟件產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：U盤、移動硬盤、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質。

在本發(fā)明的描述中，需要說明的是，術語“中心”、“上”、“下”、“左”、“右”、“豎直”、“水平”、“內”、“外”等指示的方位或位置關系為基于附圖所示的方位或位置關系，僅是為了便于描述本發(fā)明和簡化描述，而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構造和操作，因此不能理解為對本發(fā)明的限制。此外，術語“第一”、“第二”、“第三”僅用于描述目的，而不能理解為指示或暗示相對重要性。

最后應說明的是：以上所述實施例，僅為本發(fā)明的具體實施方式，用以說明本發(fā)明的技術方案，而非對其限制，本發(fā)明的保護范圍并不局限于此，盡管參照前述實施例對本發(fā)明進行了詳細的說明，本領域的普通技術人員應當理解：任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內，其依然可以對前述實施例所記載的技術方案進行修改或可輕易想到變化，或者對其中部分技術特征進行等同替換；而這些修改、變化或者替換，并不使相應技術方案的本質脫離本發(fā)明實施例技術方案的精神和范圍，都應涵蓋在本發(fā)明的保護范圍之內。因此，本發(fā)明的保護范圍應所述以權利要求的保護范圍為準。