重点场所无线网络空间安全威胁分析及监测技术研究
2021-08-05武鸿浩蔡家艳唐卫中
佟 晖,武鸿浩,蔡家艳,唐卫中
(北京警察学院,北京 102202)
一、引言
随着无线网络技术的不断发展以及移动智能产品的普及,WiFi网络在我们生活中的应用越来越广泛。大部分高校、商场、各大机构等地方都实现了WiFi网络的全覆盖,部分城市也提出了建设“无线城市”的目标,人们可以在生活中随时随地通过WiFi接入互联网。然而,在公共场所使用WiFi方式接入互联网,可能会遇到信息被篡改、网络非法入侵的情况,造成网络安全事件及风险。因此,WiFi网络技术在方便我们生活的同时,因存在安全问题而衍生出多类网络犯罪行为,如窃取个人敏感信息,非法登录、网络诈骗、远程控制等犯罪案件日益增多,实现对WiFi网络安全的监管对保护公民信息安全显得极为重要。而公安民警在工作中面对此类违法犯罪行为时,由于检测范围广,检测时间短,检测难度大,很难对这些终端设备做充分的犯罪行为检测,更难以从中提取有效的犯罪线索,造成办案困难。尤其是在重大安保活动中,公安机关需要快速排查安全隐患,但由于WiFi信号的无边界特性,无线网络接入点(Wireless Access Point,下文简称AP)的辐射范围内都可接入,网络攻击者很容易对WiFi信号发起非接触性的隐蔽攻击,安全管理人员很难发现。因此,急需一款操作简单、功能强大、携带方便的设备作为公安机关网络安全监管和案件侦破的有力支撑手段帮助民警解决这一难题。
二、重点场所无线网络存在的安全隐患
(一)重点场所的无线网络AP服务
本文研究的重点场所包括重要单位、重要空间、重要会议涉及的特定区域。为了工作方便或者交流需要,重点场所会同时存在多种复杂的WiFi网络并相互交错,包括重点场所单位内部热点、举办方的工作热点、提供给民众使用的公共热点以及公民个人自建热点等。这些重点场所由于涉及人员更多,主题更加敏感,领域更加广泛,一旦发生网络安全事件,相对于其他普通场所,其造成的危害深度和广度更大。
从网络安全管理角度分类,内部热点、工作热点和公共热点为官方合法热点,个人自建热点为非官方热点。其中官方热点一般有相应的管理措施,然而也可能存在安全隐患,如弱口令、加密等级不足等,容易被黑客通过热点进入企业内部网络,造成信息泄露、被篡改等严重后果;合法热点也可能会遭受到 DDoS 等攻击,导致热点无法提供正常服务。[1]个人自建热点,指的是使用者通过随身 WiFi产品插到有网络的电脑终端上,即可分享一个跟此网络连通的 WiFi;在有无线网卡的终端上,很多终端工具也提供了WiFi分享功能,包括手机建立的个人热点。由于个人终端上建立 WiFi 的安全性难以保证,可能存在使用弱密码、加密等级低等情况;黑客很容易利用这种 WiFi 进入个人终端(包括手机、电脑等)内部,进而盗窃个人隐私数据,造成财产损失,甚至造成危害人身安全的严重后果。在大流量场景下,攻击者可以通过单个或多个热点的流量分析,获取内部信息,进而入侵终端设备,进入内部网络,造成重大安全隐患。
(二)重点场所公共AP的常见部署形式
重点场所空间布局复杂,其公共AP的部署方式呈现多种形态;其中服务集标识(Service Set Identifier,下文简称SSID)是接入网络进行身份认证的重要信息,因此根据AP数量和SSID的对应关系,将重点场所公共AP的部署形式分类如下:
1. 单AP单SSID
这类部署存在于客房、公寓类场所。宾馆和饭店是大型活动的会议驻地,客房区域无线网络接入通常使用面板式双网口AP或USB供电AP,进行无线覆盖。最普遍的是在每个房间都安装一台面板AP,这样就省去了无线信号穿墙的问题,避免信号衰减,保障无线上网的流畅性。其次是在过道和走廊安装吸顶式AP,采用单个无线AP覆盖单侧2个房间或走廊两侧4个房间。
2.多AP单SSID
这类部署存在于宴会厅、报告厅类场所。宴会厅和报告厅的空间很大,需要终端连接数多,为保证覆盖效果,通常采用高密度AP或双频无线AP,单个AP的覆盖范围约为250平方米(半径10米),双频吸顶AP可接入终端50~80台,高密度AP可接入120~160台。
3. 多AP多SSID
这类部署存在于机场、火车站和大型场馆。机场、火车站和大型场馆需接入的终端数特别多,通常部署高密度AP,确保能接入足够多的终端。而且由于楼层比较高,相邻AP间隔须保持在20米以上甚至更远,采用吸顶安装、抱杆安装、壁挂安装,避免信道干扰。还有一类多AP多SSID存在于户外场所。室外环境较为特殊,通常采用防尘防水等级高的室外AP进行无线覆盖,功率大,覆盖范围广,单个AP可覆盖半径100~300米。超远距离室外场所会采用无线网桥取代线缆,实现主干网络传输同方向或信号覆盖范围有重叠的网桥之间信道互不干扰,网桥和网桥传输线路上的AP信道互不干扰,相邻AP之间信道互不干扰。
(三)重点场所无线网络面临的攻击
1.攻击路由器
(1)暴力破解
攻击者会使用各种黑客工具破解无线路由器的连接密码,如果破解成功,黑客就连接到路由器,和用户共享一个局域网。[2]
(2)路由器DNS劫持
攻击者尝试登录无线路由器管理后台,强制让用户点击一个利用漏洞攻击路由器的链接,将用户设备变为攻击者的傀儡机。
2.WiFi钓鱼陷阱
黑客在公共场所提供一个名字与公共无线接入点类似的免费WiFi接入点,吸引用户接入。一旦连接到黑客设定的WiFi热点,上网的所有数据包,都会经过黑客设备转发,这些信息都可以被截留下来分析,一些没有加密的明文通信就可以直接被查看。[3]
3.伪WiFi接入点
黑客伪装一个和正常WiFi名称完全一样的接入点。在正常无线路由器信号覆盖不稳定的情况下,移动设备会自动连接到攻击者创建的WiFi热点,被黑客利用。
4. 无线拒绝服务攻击
攻击者进行拒绝服务攻击,主要是想办法让目标AP停止提供服务。主要包括以下几种攻击:[4]
(1)Auth Flood攻击(身份验证洪水攻击):该攻击目标主要是处于通过验证、和AP建立关联的关联客户端,攻击者将向AP发送大量伪造的身份验证请求帧,当AP收到的大量伪造身份验证请求超出(其)承受能力时,AP就会自动断开其他无线服务连接。
(2)Deauth Flood攻击(取消验证洪水攻击):该攻击通过发送欺骗从AP到客户端单播地址的取消身份验证帧,实现将客户端设置为未关联/未认证的状态,这种攻击形式会高效、快捷地中断客户无线服务。在攻击者发送下一个取消身份验证帧之前,客户端会重新关联和认证以再次获取服务,因此攻击者需要反复欺骗取消身份验证帧才能使所有客户端持续拒绝服务。
(3)Association Flood攻击(关联洪水攻击):该攻击在无线路由器或者接入点内置连接状态表,里面显示了所有与该AP建立连接的无线客户端状态。攻击者将利用大量模仿和伪造的无线客户端关联来填充AP的客户端连接状态表,从而淹没AP。
(4)Disassociation Flood攻击(取消关联洪水攻击):该攻击欺骗从AP到客户端的取消关联帧,强制客户端改为未关联/未认证的状态。在攻击者发送另一个取消关联帧之前,客户端会重新关联以再次获取服务。因此攻击者需要反复欺骗取消关联帧才能使客户端持续拒绝服务。
(5)RF Jamming攻击(射频干扰攻击):该攻击是通过无线信号发射机和收信机发出干扰射频,从而达到破坏正常无线通信,使AP不能提供服务。
三、构建重点场所无线网络的安全监管平台
目前,国内外针对WiFi空间安全管控的手段多为单机的安全检测设备。针对特定空间的WiFi检测,目前国内外缺少长时间、全覆盖、系统化的检测装备,因此,本文提出采用分布式WiFi探针结合安全主机形式对重点场所特定环境下的WiFi空间安全进行管理,实现对特定区域内的WiFi终端、AP、信道等信息进行全面采集,开展对WiFi私接、非法客户端接入、非法嗅探、暴力破解、劫持仿冒等攻击行为的全面监测和恶意行为阻断。通过重点场所无线网络安全监管平台的建设将有助于公安机关利用WiFi探针信息感知技术主动防范和打击无线网络环境下的网络犯罪行为,尤其为公安机关在执行重大安保任务排查安全隐患时提供了技术保障,大幅度降低侦破难度。
(一)系统架构
重点场所无线网络安全监测平台功能主要包括:通过行为特征检测技术,实现对恶意攻击行为的分析;通过分布式探针精确识别恶意热点的位置;通过安全分析模型实现对恶意热点和客户端的阻断;实现对重点区域的动态人群监控和安全威胁的预警分析。其系统架构如图1所示。
图1 重点场所无线网络安全监测平台建设的技术路线
1. 通过行为特征检测技术,实现对恶意攻击行为的分析
通过WiFi探针安全感知设备的广泛覆盖,采用分布式安全数据采集技术,实时感知WiFi网络无线数据,并实时进行无线数据的集中分析而获得相关信息,对分析后的信号数据进行异常预警定位;系统采用分布式WiFi探针,可以实时采集独立范围内的热点信号、终端信号、认证信息MAC地址等,结合预登记数据实现身份匹配。针对持续捕获的当前无线环境中所有的身份标识,通过设置黑白名单、行为特征检测等手段,将数据流量进行安全性分析,针对无线网络数据链路层的无线网络攻击行为进行精准识别。界定正常热点和恶意热点,一旦发现恶意行为立即采取相应措施,进行告警或者阻断,达到实时监测的目的并准确(地)识别和提取各类攻击行为、恶意热点。
2. 通过分布式探针精确识别恶意热点的位置
通过部署分布式探针,识别出恶意热点后,可以根据每个探针发现该恶意热点的信号强度,运用三角定位算法(如图2)进行精准定位,快速找到恶意热点的精确位置。三角定位法的原理是利用2台或者2台以上的探测器在不同位置探测目标方位,然后运用三角几何原理确定目标的位置和距离。
图2 三角定位算法
3. 通过安全分析模型,实现对恶意热点和客户端的阻断
基于恶意热点行为的分析,提取恶意热点的攻击行为,实现对恶意行为的精准化阻断。干扰阻断模式主要有两种:一是针对恶意热点进行阻断,使其不可用,且不影响受信任热点的正常使用。通过进行WiFi信号的实时监测,一旦发现恶意热点信号,将自动发起无线攻击,使正常客户无法连接到非法的信号,从而保证客户信息安全,并通过定位算法对恶意热点进行物理定位,快速排除风险。通过对WiFi网络进行干扰,能够达到全部或有选择性地阻断无线接收器或个人工作平台无线信道;同时采用了智能分析技术,一旦环境中出现被认定为恶意热点的无线信号,即对其进行干扰,并记录干扰结果,实现智能化恶意热点和客户端的精准阻断。二是针对热点下的某个客户端,在不影响其他客户端的情况下,让其下线。认证/去认证阻断过程中,阻断设备通过有针对性地发送认证、关联、去认证、去关联等报文,干扰无线终端与AP之间的控制过程,从而使无线终端无法关联成功,最终达到阻断的目的。
4.实现对重点区域的动态人群监控和安全威胁的预警分析
针对重点场所特定环境下的WiFi空间安全数据分析,使用基于内存的复杂事件处理技术的流式分析引擎对探测的数据进行实时关联分析,同时用持续聚合引擎对实时数据进行基于机器学习的实时分析,数据探测引擎使用的算法有基于行为轮廓的学习算法、持续的聚类分析算法等,通过实时分析发现当前正在发生的安全威胁和攻击。通过分析模型实现重点区域的动态人群监控和安全威胁的预警分析。
(二)技术创新点
1.基于分布式WiFi探针的信息安全感知设备
图3 基于分布式WiFi探针的信息安全感知设备工作原理
感知设备分布式部署在无线网络环境内部,实现无死角全覆盖,对特定区域WiFi进行全方位监测。基于分布式WiFi探针的信息安全感知设备工作原理所示,安全管理人员通过中央控制设备对感知设备进行管理,下发任务指令到信号中转设备,信号中转设备对任务消息进行处理,分发给指定的感知设备执行,感知设备中的WiFi探针就会执行发现热点,对连接该热点的终端设备进行扫描并实时把结果返回给信号中转设备,信号中转设备对分布式探针传回的数据进行汇总,再返回给中央控制设备。中央控制设备将接收到的信息进行综合分析,如是否含有恶意攻击行为,并对相关热点或者终端设备进行干扰阻断。
2.基于行为分析的检测技术
采用大数据安全分析技术从基于特征的匹配分析升级到基于行为的异常分析,包括但不限于同型字热点、同名热点、泛洪攻击、攻击管理后台、钓鱼攻击等恶意攻击行为,从基于攻击特征监测提升到给予攻击模型深度检测,从安全事件基于时间、地点、行为特征的定位到基于大数据的溯源追踪,从而确定异常攻击行为的真实性、攻击源,评估攻击造成的危害。
3.恶意热点精准阻断技术
传统的射频干扰,主要是指通过高功率、长时间发送所在频段的干扰信号,干扰无线设备的正常接收的阻断方式,无法实现精确阻断,因此需要针对恶意攻击采取反制式阻断。针对具体恶意攻击行为,可以通过利用阻断设备发送无线报文进行反制,实现精准阻断。一种情况,当有无线攻击包对AP进行攻击时,可以采用发送放弃握手包,导致攻击行为无效。另一种情况,当无线网络安全监管设备工作区域内,没有出现攻击行为时,则设备处于监听的状态,对外也不发射任何的射频信号,一旦攻击行为出现并被有效检测,设备即开始针对性的反制动作。再者,精确阻断不会对其他无线设备的工作造成任何不良影响,甚至在同一无线AP下的非法终端被阻断,也不会对合法接入的无线终端造成影响。在技术手段上,还可以采用泛洪阻断、AirJack阻断和FakeAP阻断等;通过机器学习最终实现自动下发策略,完成智能化的精准阻断。[5]
4.构建全面的安全特征库
安全特征库主要包括:被探测设备的漏洞库、设备指纹库、威胁情报库、异常行为库,支持通过类型、名称、时间等多种条件对安全特征的检索,实现管理人员对安全策略的导入导出以及数据维护。在发生攻击威胁事件时,可快速实现安全策略的特征匹配,及时为安全管理人员提供安全预警提醒,方便第一时间开展应急处置,最大限度降低网络威胁事件造成的损失。通过构建完整的安全特征库,为重点场所无线网络的探测起到重要的基础数据支撑作用。
四、结论
本文提出的通过采用分布式WiFi探针加集中管控,可以实时监控无线网络环境,快速发现可疑热点并进行精准打击,能够有效防止不法分子通过恶意WiFi窃取用户隐私、企业秘密和国家机密。公安机关可以利用基于分布式WiFi探针的信息安全感知设备,对重点场所无线网络进行综合管控,排查安全隐患,对恶意热点实时定位,采集基础信息,落地核查,以及对敏感信息和敏感行为的深度挖掘,实现重点区域的安全预警、区域热点图、人群轨迹和罪犯行为探测,主动防范和打击无线网络环境下的网络犯罪,有效地维护国家的政治安全和社会大局稳定。