重點場所無線網絡空間安全威脅分析及監測技術研究

佟 暉，武鴻浩，蔡家艷，唐衛中

（北京警察學院，北京 102202）

一、引言

隨著無線網絡技術的不斷發展以及移動智能產品的普及，WiFi網絡在我們生活中的應用越來越廣泛。大部分高校、商場、各大機構等地方都實現了WiFi網絡的全覆蓋，部分城市也提出了建設“無線城市”的目標，人們可以在生活中隨時隨地通過WiFi接入互聯網。然而，在公共場所使用WiFi方式接入互聯網，可能會遇到信息被篡改、網絡非法入侵的情況，造成網絡安全事件及風險。因此，WiFi網絡技術在方便我們生活的同時，因存在安全問題而衍生出多類網絡犯罪行為，如竊取個人敏感信息，非法登錄、網絡詐騙、遠程控制等犯罪案件日益增多，實現對WiFi網絡安全的監管對保護公民信息安全顯得極為重要。而公安民警在工作中面對此類違法犯罪行為時，由于檢測范圍廣，檢測時間短，檢測難度大，很難對這些終端設備做充分的犯罪行為檢測，更難以從中提取有效的犯罪線索，造成辦案困難。尤其是在重大安保活動中，公安機關需要快速排查安全隱患，但由于WiFi信號的無邊界特性，無線網絡接入點(Wireless Access Point，下文簡稱AP)的輻射范圍內都可接入，網絡攻擊者很容易對WiFi信號發起非接觸性的隱蔽攻擊，安全管理人員很難發現。因此，急需一款操作簡單、功能強大、攜帶方便的設備作為公安機關網絡安全監管和案件偵破的有力支撐手段幫助民警解決這一難題。

二、重點場所無線網絡存在的安全隱患

（一）重點場所的無線網絡AP服務

本文研究的重點場所包括重要單位、重要空間、重要會議涉及的特定區域。為了工作方便或者交流需要，重點場所會同時存在多種復雜的WiFi網絡并相互交錯，包括重點場所單位內部熱點、舉辦方的工作熱點、提供給民眾使用的公共熱點以及公民個人自建熱點等。這些重點場所由于涉及人員更多，主題更加敏感，領域更加廣泛，一旦發生網絡安全事件，相對于其他普通場所，其造成的危害深度和廣度更大。

從網絡安全管理角度分類，內部熱點、工作熱點和公共熱點為官方合法熱點，個人自建熱點為非官方熱點。其中官方熱點一般有相應的管理措施，然而也可能存在安全隱患，如弱口令、加密等級不足等，容易被黑客通過熱點進入企業內部網絡，造成信息泄露、被篡改等嚴重后果；合法熱點也可能會遭受到 DDoS 等攻擊，導致熱點無法提供正常服務。［1］個人自建熱點，指的是使用者通過隨身 WiFi產品插到有網絡的電腦終端上，即可分享一個跟此網絡連通的 WiFi；在有無線網卡的終端上，很多終端工具也提供了WiFi分享功能，包括手機建立的個人熱點。由于個人終端上建立 WiFi 的安全性難以保證，可能存在使用弱密碼、加密等級低等情況；黑客很容易利用這種 WiFi 進入個人終端（包括手機、電腦等）內部，進而盜竊個人隱私數據，造成財產損失，甚至造成危害人身安全的嚴重后果。在大流量場景下，攻擊者可以通過單個或多個熱點的流量分析，獲取內部信息，進而入侵終端設備，進入內部網絡，造成重大安全隱患。

（二）重點場所公共AP的常見部署形式

重點場所空間布局復雜，其公共AP的部署方式呈現多種形態；其中服務集標識（Service Set Identifier，下文簡稱SSID）是接入網絡進行身份認證的重要信息，因此根據AP數量和SSID的對應關系，將重點場所公共AP的部署形式分類如下：

1. 單AP單SSID

這類部署存在于客房、公寓類場所。賓館和飯店是大型活動的會議駐地，客房區域無線網絡接入通常使用面板式雙網口AP或USB供電AP，進行無線覆蓋。最普遍的是在每個房間都安裝一臺面板AP，這樣就省去了無線信號穿墻的問題，避免信號衰減，保障無線上網的流暢性。其次是在過道和走廊安裝吸頂式AP，采用單個無線AP覆蓋單側2個房間或走廊兩側4個房間。

2.多AP單SSID

這類部署存在于宴會廳、報告廳類場所。宴會廳和報告廳的空間很大，需要終端連接數多，為保證覆蓋效果，通常采用高密度AP或雙頻無線AP，單個AP的覆蓋范圍約為250平方米（半徑10米），雙頻吸頂AP可接入終端50～80臺，高密度AP可接入120～160臺。

3. 多AP多SSID

這類部署存在于機場、火車站和大型場館。機場、火車站和大型場館需接入的終端數特別多，通常部署高密度AP，確保能接入足夠多的終端。而且由于樓層比較高，相鄰AP間隔須保持在20米以上甚至更遠，采用吸頂安裝、抱桿安裝、壁掛安裝，避免信道干擾。還有一類多AP多SSID存在于戶外場所。室外環境較為特殊，通常采用防塵防水等級高的室外AP進行無線覆蓋，功率大，覆蓋范圍廣，單個AP可覆蓋半徑100～300米。超遠距離室外場所會采用無線網橋取代線纜，實現主干網絡傳輸同方向或信號覆蓋范圍有重疊的網橋之間信道互不干擾，網橋和網橋傳輸線路上的AP信道互不干擾，相鄰AP之間信道互不干擾。

（三）重點場所無線網絡面臨的攻擊

1.攻擊路由器

（1）暴力破解

攻擊者會使用各種黑客工具破解無線路由器的連接密碼，如果破解成功，黑客就連接到路由器，和用戶共享一個局域網。［2］

（2）路由器DNS劫持

攻擊者嘗試登錄無線路由器管理后臺，強制讓用戶點擊一個利用漏洞攻擊路由器的鏈接，將用戶設備變為攻擊者的傀儡機。

2.WiFi釣魚陷阱

黑客在公共場所提供一個名字與公共無線接入點類似的免費WiFi接入點，吸引用戶接入。一旦連接到黑客設定的WiFi熱點，上網的所有數據包，都會經過黑客設備轉發，這些信息都可以被截留下來分析，一些沒有加密的明文通信就可以直接被查看。［3］

3.偽WiFi接入點

黑客偽裝一個和正常WiFi名稱完全一樣的接入點。在正常無線路由器信號覆蓋不穩定的情況下，移動設備會自動連接到攻擊者創建的WiFi熱點，被黑客利用。

4. 無線拒絕服務攻擊

攻擊者進行拒絕服務攻擊，主要是想辦法讓目標AP停止提供服務。主要包括以下幾種攻擊：［4］

（1）Auth Flood攻擊（身份驗證洪水攻擊）：該攻擊目標主要是處于通過驗證、和AP建立關聯的關聯客戶端，攻擊者將向AP發送大量偽造的身份驗證請求幀，當AP收到的大量偽造身份驗證請求超出（其）承受能力時，AP就會自動斷開其他無線服務連接。

（2）Deauth Flood攻擊（取消驗證洪水攻擊）：該攻擊通過發送欺騙從AP到客戶端單播地址的取消身份驗證幀，實現將客戶端設置為未關聯/未認證的狀態，這種攻擊形式會高效、快捷地中斷客戶無線服務。在攻擊者發送下一個取消身份驗證幀之前，客戶端會重新關聯和認證以再次獲取服務，因此攻擊者需要反復欺騙取消身份驗證幀才能使所有客戶端持續拒絕服務。

（3）Association Flood攻擊（關聯洪水攻擊）：該攻擊在無線路由器或者接入點內置連接狀態表，里面顯示了所有與該AP建立連接的無線客戶端狀態。攻擊者將利用大量模仿和偽造的無線客戶端關聯來填充AP的客戶端連接狀態表，從而淹沒AP。

（4）Disassociation Flood攻擊（取消關聯洪水攻擊）：該攻擊欺騙從AP到客戶端的取消關聯幀，強制客戶端改為未關聯/未認證的狀態。在攻擊者發送另一個取消關聯幀之前，客戶端會重新關聯以再次獲取服務。因此攻擊者需要反復欺騙取消關聯幀才能使客戶端持續拒絕服務。

（5）RF Jamming攻擊（射頻干擾攻擊）：該攻擊是通過無線信號發射機和收信機發出干擾射頻，從而達到破壞正常無線通信，使AP不能提供服務。

三、構建重點場所無線網絡的安全監管平臺

目前，國內外針對WiFi空間安全管控的手段多為單機的安全檢測設備。針對特定空間的WiFi檢測，目前國內外缺少長時間、全覆蓋、系統化的檢測裝備，因此，本文提出采用分布式WiFi探針結合安全主機形式對重點場所特定環境下的WiFi空間安全進行管理，實現對特定區域內的WiFi終端、AP、信道等信息進行全面采集，開展對WiFi私接、非法客戶端接入、非法嗅探、暴力破解、劫持仿冒等攻擊行為的全面監測和惡意行為阻斷。通過重點場所無線網絡安全監管平臺的建設將有助于公安機關利用WiFi探針信息感知技術主動防范和打擊無線網絡環境下的網絡犯罪行為，尤其為公安機關在執行重大安保任務排查安全隱患時提供了技術保障，大幅度降低偵破難度。

（一）系統架構

重點場所無線網絡安全監測平臺功能主要包括：通過行為特征檢測技術，實現對惡意攻擊行為的分析；通過分布式探針精確識別惡意熱點的位置；通過安全分析模型實現對惡意熱點和客戶端的阻斷；實現對重點區域的動態人群監控和安全威脅的預警分析。其系統架構如圖1所示。

圖1 重點場所無線網絡安全監測平臺建設的技術路線

1. 通過行為特征檢測技術，實現對惡意攻擊行為的分析

通過WiFi探針安全感知設備的廣泛覆蓋，采用分布式安全數據采集技術，實時感知WiFi網絡無線數據，并實時進行無線數據的集中分析而獲得相關信息，對分析后的信號數據進行異常預警定位；系統采用分布式WiFi探針，可以實時采集獨立范圍內的熱點信號、終端信號、認證信息MAC地址等，結合預登記數據實現身份匹配。針對持續捕獲的當前無線環境中所有的身份標識，通過設置黑白名單、行為特征檢測等手段，將數據流量進行安全性分析，針對無線網絡數據鏈路層的無線網絡攻擊行為進行精準識別。界定正常熱點和惡意熱點，一旦發現惡意行為立即采取相應措施，進行告警或者阻斷，達到實時監測的目的并準確（地）識別和提取各類攻擊行為、惡意熱點。

2. 通過分布式探針精確識別惡意熱點的位置

通過部署分布式探針，識別出惡意熱點后，可以根據每個探針發現該惡意熱點的信號強度，運用三角定位算法（如圖2）進行精準定位，快速找到惡意熱點的精確位置。三角定位法的原理是利用2臺或者2臺以上的探測器在不同位置探測目標方位，然后運用三角幾何原理確定目標的位置和距離。

圖2 三角定位算法

3. 通過安全分析模型，實現對惡意熱點和客戶端的阻斷

基于惡意熱點行為的分析，提取惡意熱點的攻擊行為，實現對惡意行為的精準化阻斷。干擾阻斷模式主要有兩種：一是針對惡意熱點進行阻斷，使其不可用，且不影響受信任熱點的正常使用。通過進行WiFi信號的實時監測，一旦發現惡意熱點信號，將自動發起無線攻擊，使正常客戶無法連接到非法的信號，從而保證客戶信息安全，并通過定位算法對惡意熱點進行物理定位，快速排除風險。通過對WiFi網絡進行干擾，能夠達到全部或有選擇性地阻斷無線接收器或個人工作平臺無線信道；同時采用了智能分析技術，一旦環境中出現被認定為惡意熱點的無線信號，即對其進行干擾，并記錄干擾結果，實現智能化惡意熱點和客戶端的精準阻斷。二是針對熱點下的某個客戶端，在不影響其他客戶端的情況下，讓其下線。認證/去認證阻斷過程中，阻斷設備通過有針對性地發送認證、關聯、去認證、去關聯等報文，干擾無線終端與AP之間的控制過程，從而使無線終端無法關聯成功，最終達到阻斷的目的。

4.實現對重點區域的動態人群監控和安全威脅的預警分析

針對重點場所特定環境下的WiFi空間安全數據分析，使用基于內存的復雜事件處理技術的流式分析引擎對探測的數據進行實時關聯分析，同時用持續聚合引擎對實時數據進行基于機器學習的實時分析，數據探測引擎使用的算法有基于行為輪廓的學習算法、持續的聚類分析算法等，通過實時分析發現當前正在發生的安全威脅和攻擊。通過分析模型實現重點區域的動態人群監控和安全威脅的預警分析。

（二）技術創新點

1.基于分布式WiFi探針的信息安全感知設備

圖3 基于分布式WiFi探針的信息安全感知設備工作原理

感知設備分布式部署在無線網絡環境內部，實現無死角全覆蓋，對特定區域WiFi進行全方位監測。基于分布式WiFi探針的信息安全感知設備工作原理所示，安全管理人員通過中央控制設備對感知設備進行管理，下發任務指令到信號中轉設備，信號中轉設備對任務消息進行處理，分發給指定的感知設備執行，感知設備中的WiFi探針就會執行發現熱點，對連接該熱點的終端設備進行掃描并實時把結果返回給信號中轉設備，信號中轉設備對分布式探針傳回的數據進行匯總，再返回給中央控制設備。中央控制設備將接收到的信息進行綜合分析，如是否含有惡意攻擊行為，并對相關熱點或者終端設備進行干擾阻斷。

2.基于行為分析的檢測技術

采用大數據安全分析技術從基于特征的匹配分析升級到基于行為的異常分析，包括但不限于同型字熱點、同名熱點、泛洪攻擊、攻擊管理后臺、釣魚攻擊等惡意攻擊行為，從基于攻擊特征監測提升到給予攻擊模型深度檢測，從安全事件基于時間、地點、行為特征的定位到基于大數據的溯源追蹤，從而確定異常攻擊行為的真實性、攻擊源，評估攻擊造成的危害。

3.惡意熱點精準阻斷技術

傳統的射頻干擾，主要是指通過高功率、長時間發送所在頻段的干擾信號，干擾無線設備的正常接收的阻斷方式，無法實現精確阻斷，因此需要針對惡意攻擊采取反制式阻斷。針對具體惡意攻擊行為，可以通過利用阻斷設備發送無線報文進行反制，實現精準阻斷。一種情況，當有無線攻擊包對AP進行攻擊時，可以采用發送放棄握手包，導致攻擊行為無效。另一種情況，當無線網絡安全監管設備工作區域內，沒有出現攻擊行為時，則設備處于監聽的狀態，對外也不發射任何的射頻信號，一旦攻擊行為出現并被有效檢測，設備即開始針對性的反制動作。再者，精確阻斷不會對其他無線設備的工作造成任何不良影響，甚至在同一無線AP下的非法終端被阻斷，也不會對合法接入的無線終端造成影響。在技術手段上，還可以采用泛洪阻斷、AirJack阻斷和FakeAP阻斷等；通過機器學習最終實現自動下發策略，完成智能化的精準阻斷。［5］

4.構建全面的安全特征庫

安全特征庫主要包括：被探測設備的漏洞庫、設備指紋庫、威脅情報庫、異常行為庫，支持通過類型、名稱、時間等多種條件對安全特征的檢索，實現管理人員對安全策略的導入導出以及數據維護。在發生攻擊威脅事件時，可快速實現安全策略的特征匹配，及時為安全管理人員提供安全預警提醒，方便第一時間開展應急處置，最大限度降低網絡威脅事件造成的損失。通過構建完整的安全特征庫，為重點場所無線網絡的探測起到重要的基礎數據支撐作用。

四、結論

本文提出的通過采用分布式WiFi探針加集中管控，可以實時監控無線網絡環境，快速發現可疑熱點并進行精準打擊，能夠有效防止不法分子通過惡意WiFi竊取用戶隱私、企業秘密和國家機密。公安機關可以利用基于分布式WiFi探針的信息安全感知設備，對重點場所無線網絡進行綜合管控，排查安全隱患，對惡意熱點實時定位，采集基礎信息，落地核查，以及對敏感信息和敏感行為的深度挖掘，實現重點區域的安全預警、區域熱點圖、人群軌跡和罪犯行為探測，主動防范和打擊無線網絡環境下的網絡犯罪，有效地維護國家的政治安全和社會大局穩定。