佟 暉，武鴻浩，蔡家艷，唐衛(wèi)中

（北京警察學(xué)院，北京 102202）

一、引言

隨著無(wú)線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展以及移動(dòng)智能產(chǎn)品的普及，WiFi網(wǎng)絡(luò)在我們生活中的應(yīng)用越來(lái)越廣泛。大部分高校、商場(chǎng)、各大機(jī)構(gòu)等地方都實(shí)現(xiàn)了WiFi網(wǎng)絡(luò)的全覆蓋，部分城市也提出了建設(shè)“無(wú)線城市”的目標(biāo)，人們可以在生活中隨時(shí)隨地通過(guò)WiFi接入互聯(lián)網(wǎng)。然而，在公共場(chǎng)所使用WiFi方式接入互聯(lián)網(wǎng)，可能會(huì)遇到信息被篡改、網(wǎng)絡(luò)非法入侵的情況，造成網(wǎng)絡(luò)安全事件及風(fēng)險(xiǎn)。因此，WiFi網(wǎng)絡(luò)技術(shù)在方便我們生活的同時(shí)，因存在安全問(wèn)題而衍生出多類(lèi)網(wǎng)絡(luò)犯罪行為，如竊取個(gè)人敏感信息，非法登錄、網(wǎng)絡(luò)詐騙、遠(yuǎn)程控制等犯罪案件日益增多，實(shí)現(xiàn)對(duì)WiFi網(wǎng)絡(luò)安全的監(jiān)管對(duì)保護(hù)公民信息安全顯得極為重要。而公安民警在工作中面對(duì)此類(lèi)違法犯罪行為時(shí)，由于檢測(cè)范圍廣，檢測(cè)時(shí)間短，檢測(cè)難度大，很難對(duì)這些終端設(shè)備做充分的犯罪行為檢測(cè)，更難以從中提取有效的犯罪線索，造成辦案困難。尤其是在重大安?；顒?dòng)中，公安機(jī)關(guān)需要快速排查安全隱患，但由于WiFi信號(hào)的無(wú)邊界特性，無(wú)線網(wǎng)絡(luò)接入點(diǎn)(Wireless Access Point，下文簡(jiǎn)稱(chēng)AP)的輻射范圍內(nèi)都可接入，網(wǎng)絡(luò)攻擊者很容易對(duì)WiFi信號(hào)發(fā)起非接觸性的隱蔽攻擊，安全管理人員很難發(fā)現(xiàn)。因此，急需一款操作簡(jiǎn)單、功能強(qiáng)大、攜帶方便的設(shè)備作為公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管和案件偵破的有力支撐手段幫助民警解決這一難題。

二、重點(diǎn)場(chǎng)所無(wú)線網(wǎng)絡(luò)存在的安全隱患

（一）重點(diǎn)場(chǎng)所的無(wú)線網(wǎng)絡(luò)AP服務(wù)

本文研究的重點(diǎn)場(chǎng)所包括重要單位、重要空間、重要會(huì)議涉及的特定區(qū)域。為了工作方便或者交流需要，重點(diǎn)場(chǎng)所會(huì)同時(shí)存在多種復(fù)雜的WiFi網(wǎng)絡(luò)并相互交錯(cuò)，包括重點(diǎn)場(chǎng)所單位內(nèi)部熱點(diǎn)、舉辦方的工作熱點(diǎn)、提供給民眾使用的公共熱點(diǎn)以及公民個(gè)人自建熱點(diǎn)等。這些重點(diǎn)場(chǎng)所由于涉及人員更多，主題更加敏感，領(lǐng)域更加廣泛，一旦發(fā)生網(wǎng)絡(luò)安全事件，相對(duì)于其他普通場(chǎng)所，其造成的危害深度和廣度更大。

從網(wǎng)絡(luò)安全管理角度分類(lèi)，內(nèi)部熱點(diǎn)、工作熱點(diǎn)和公共熱點(diǎn)為官方合法熱點(diǎn)，個(gè)人自建熱點(diǎn)為非官方熱點(diǎn)。其中官方熱點(diǎn)一般有相應(yīng)的管理措施，然而也可能存在安全隱患，如弱口令、加密等級(jí)不足等，容易被黑客通過(guò)熱點(diǎn)進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，造成信息泄露、被篡改等嚴(yán)重后果；合法熱點(diǎn)也可能會(huì)遭受到 DDoS 等攻擊，導(dǎo)致熱點(diǎn)無(wú)法提供正常服務(wù)。［1］個(gè)人自建熱點(diǎn)，指的是使用者通過(guò)隨身 WiFi產(chǎn)品插到有網(wǎng)絡(luò)的電腦終端上，即可分享一個(gè)跟此網(wǎng)絡(luò)連通的 WiFi；在有無(wú)線網(wǎng)卡的終端上，很多終端工具也提供了WiFi分享功能，包括手機(jī)建立的個(gè)人熱點(diǎn)。由于個(gè)人終端上建立 WiFi 的安全性難以保證，可能存在使用弱密碼、加密等級(jí)低等情況；黑客很容易利用這種 WiFi 進(jìn)入個(gè)人終端（包括手機(jī)、電腦等）內(nèi)部，進(jìn)而盜竊個(gè)人隱私數(shù)據(jù)，造成財(cái)產(chǎn)損失，甚至造成危害人身安全的嚴(yán)重后果。在大流量場(chǎng)景下，攻擊者可以通過(guò)單個(gè)或多個(gè)熱點(diǎn)的流量分析，獲取內(nèi)部信息，進(jìn)而入侵終端設(shè)備，進(jìn)入內(nèi)部網(wǎng)絡(luò)，造成重大安全隱患。

（二）重點(diǎn)場(chǎng)所公共AP的常見(jiàn)部署形式

重點(diǎn)場(chǎng)所空間布局復(fù)雜，其公共AP的部署方式呈現(xiàn)多種形態(tài)；其中服務(wù)集標(biāo)識(shí)（Service Set Identifier，下文簡(jiǎn)稱(chēng)SSID）是接入網(wǎng)絡(luò)進(jìn)行身份認(rèn)證的重要信息，因此根據(jù)AP數(shù)量和SSID的對(duì)應(yīng)關(guān)系，將重點(diǎn)場(chǎng)所公共AP的部署形式分類(lèi)如下：

1. 單AP單SSID

這類(lèi)部署存在于客房、公寓類(lèi)場(chǎng)所。賓館和飯店是大型活動(dòng)的會(huì)議駐地，客房區(qū)域無(wú)線網(wǎng)絡(luò)接入通常使用面板式雙網(wǎng)口AP或USB供電AP，進(jìn)行無(wú)線覆蓋。最普遍的是在每個(gè)房間都安裝一臺(tái)面板AP，這樣就省去了無(wú)線信號(hào)穿墻的問(wèn)題，避免信號(hào)衰減，保障無(wú)線上網(wǎng)的流暢性。其次是在過(guò)道和走廊安裝吸頂式AP，采用單個(gè)無(wú)線AP覆蓋單側(cè)2個(gè)房間或走廊兩側(cè)4個(gè)房間。

2.多AP單SSID

這類(lèi)部署存在于宴會(huì)廳、報(bào)告廳類(lèi)場(chǎng)所。宴會(huì)廳和報(bào)告廳的空間很大，需要終端連接數(shù)多，為保證覆蓋效果，通常采用高密度AP或雙頻無(wú)線AP，單個(gè)AP的覆蓋范圍約為250平方米（半徑10米），雙頻吸頂AP可接入終端50～80臺(tái)，高密度AP可接入120～160臺(tái)。

3. 多AP多SSID

這類(lèi)部署存在于機(jī)場(chǎng)、火車(chē)站和大型場(chǎng)館。機(jī)場(chǎng)、火車(chē)站和大型場(chǎng)館需接入的終端數(shù)特別多，通常部署高密度AP，確保能接入足夠多的終端。而且由于樓層比較高，相鄰AP間隔須保持在20米以上甚至更遠(yuǎn)，采用吸頂安裝、抱桿安裝、壁掛安裝，避免信道干擾。還有一類(lèi)多AP多SSID存在于戶(hù)外場(chǎng)所。室外環(huán)境較為特殊，通常采用防塵防水等級(jí)高的室外AP進(jìn)行無(wú)線覆蓋，功率大，覆蓋范圍廣，單個(gè)AP可覆蓋半徑100～300米。超遠(yuǎn)距離室外場(chǎng)所會(huì)采用無(wú)線網(wǎng)橋取代線纜，實(shí)現(xiàn)主干網(wǎng)絡(luò)傳輸同方向或信號(hào)覆蓋范圍有重疊的網(wǎng)橋之間信道互不干擾，網(wǎng)橋和網(wǎng)橋傳輸線路上的AP信道互不干擾，相鄰AP之間信道互不干擾。

（三）重點(diǎn)場(chǎng)所無(wú)線網(wǎng)絡(luò)面臨的攻擊

1.攻擊路由器

（1）暴力破解

攻擊者會(huì)使用各種黑客工具破解無(wú)線路由器的連接密碼，如果破解成功，黑客就連接到路由器，和用戶(hù)共享一個(gè)局域網(wǎng)。［2］

（2）路由器DNS劫持

攻擊者嘗試登錄無(wú)線路由器管理后臺(tái)，強(qiáng)制讓用戶(hù)點(diǎn)擊一個(gè)利用漏洞攻擊路由器的鏈接，將用戶(hù)設(shè)備變?yōu)楣粽叩目軝C(jī)。

2.WiFi釣魚(yú)陷阱

黑客在公共場(chǎng)所提供一個(gè)名字與公共無(wú)線接入點(diǎn)類(lèi)似的免費(fèi)WiFi接入點(diǎn)，吸引用戶(hù)接入。一旦連接到黑客設(shè)定的WiFi熱點(diǎn)，上網(wǎng)的所有數(shù)據(jù)包，都會(huì)經(jīng)過(guò)黑客設(shè)備轉(zhuǎn)發(fā)，這些信息都可以被截留下來(lái)分析，一些沒(méi)有加密的明文通信就可以直接被查看。［3］

3.偽WiFi接入點(diǎn)

黑客偽裝一個(gè)和正常WiFi名稱(chēng)完全一樣的接入點(diǎn)。在正常無(wú)線路由器信號(hào)覆蓋不穩(wěn)定的情況下，移動(dòng)設(shè)備會(huì)自動(dòng)連接到攻擊者創(chuàng)建的WiFi熱點(diǎn)，被黑客利用。

4. 無(wú)線拒絕服務(wù)攻擊

攻擊者進(jìn)行拒絕服務(wù)攻擊，主要是想辦法讓目標(biāo)AP停止提供服務(wù)。主要包括以下幾種攻擊：［4］

（1）Auth Flood攻擊（身份驗(yàn)證洪水攻擊）：該攻擊目標(biāo)主要是處于通過(guò)驗(yàn)證、和AP建立關(guān)聯(lián)的關(guān)聯(lián)客戶(hù)端，攻擊者將向AP發(fā)送大量偽造的身份驗(yàn)證請(qǐng)求幀，當(dāng)AP收到的大量偽造身份驗(yàn)證請(qǐng)求超出（其）承受能力時(shí)，AP就會(huì)自動(dòng)斷開(kāi)其他無(wú)線服務(wù)連接。

（2）Deauth Flood攻擊（取消驗(yàn)證洪水攻擊）：該攻擊通過(guò)發(fā)送欺騙從AP到客戶(hù)端單播地址的取消身份驗(yàn)證幀，實(shí)現(xiàn)將客戶(hù)端設(shè)置為未關(guān)聯(lián)/未認(rèn)證的狀態(tài)，這種攻擊形式會(huì)高效、快捷地中斷客戶(hù)無(wú)線服務(wù)。在攻擊者發(fā)送下一個(gè)取消身份驗(yàn)證幀之前，客戶(hù)端會(huì)重新關(guān)聯(lián)和認(rèn)證以再次獲取服務(wù)，因此攻擊者需要反復(fù)欺騙取消身份驗(yàn)證幀才能使所有客戶(hù)端持續(xù)拒絕服務(wù)。

（3）Association Flood攻擊（關(guān)聯(lián)洪水攻擊）：該攻擊在無(wú)線路由器或者接入點(diǎn)內(nèi)置連接狀態(tài)表，里面顯示了所有與該AP建立連接的無(wú)線客戶(hù)端狀態(tài)。攻擊者將利用大量模仿和偽造的無(wú)線客戶(hù)端關(guān)聯(lián)來(lái)填充AP的客戶(hù)端連接狀態(tài)表，從而淹沒(méi)AP。

（4）Disassociation Flood攻擊（取消關(guān)聯(lián)洪水攻擊）：該攻擊欺騙從AP到客戶(hù)端的取消關(guān)聯(lián)幀，強(qiáng)制客戶(hù)端改為未關(guān)聯(lián)/未認(rèn)證的狀態(tài)。在攻擊者發(fā)送另一個(gè)取消關(guān)聯(lián)幀之前，客戶(hù)端會(huì)重新關(guān)聯(lián)以再次獲取服務(wù)。因此攻擊者需要反復(fù)欺騙取消關(guān)聯(lián)幀才能使客戶(hù)端持續(xù)拒絕服務(wù)。

（5）RF Jamming攻擊（射頻干擾攻擊）：該攻擊是通過(guò)無(wú)線信號(hào)發(fā)射機(jī)和收信機(jī)發(fā)出干擾射頻，從而達(dá)到破壞正常無(wú)線通信，使AP不能提供服務(wù)。

三、構(gòu)建重點(diǎn)場(chǎng)所無(wú)線網(wǎng)絡(luò)的安全監(jiān)管平臺(tái)

目前，國(guó)內(nèi)外針對(duì)WiFi空間安全管控的手段多為單機(jī)的安全檢測(cè)設(shè)備。針對(duì)特定空間的WiFi檢測(cè)，目前國(guó)內(nèi)外缺少長(zhǎng)時(shí)間、全覆蓋、系統(tǒng)化的檢測(cè)裝備，因此，本文提出采用分布式WiFi探針結(jié)合安全主機(jī)形式對(duì)重點(diǎn)場(chǎng)所特定環(huán)境下的WiFi空間安全進(jìn)行管理，實(shí)現(xiàn)對(duì)特定區(qū)域內(nèi)的WiFi終端、AP、信道等信息進(jìn)行全面采集，開(kāi)展對(duì)WiFi私接、非法客戶(hù)端接入、非法嗅探、暴力破解、劫持仿冒等攻擊行為的全面監(jiān)測(cè)和惡意行為阻斷。通過(guò)重點(diǎn)場(chǎng)所無(wú)線網(wǎng)絡(luò)安全監(jiān)管平臺(tái)的建設(shè)將有助于公安機(jī)關(guān)利用WiFi探針信息感知技術(shù)主動(dòng)防范和打擊無(wú)線網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)犯罪行為，尤其為公安機(jī)關(guān)在執(zhí)行重大安保任務(wù)排查安全隱患時(shí)提供了技術(shù)保障，大幅度降低偵破難度。

（一）系統(tǒng)架構(gòu)

重點(diǎn)場(chǎng)所無(wú)線網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)功能主要包括：通過(guò)行為特征檢測(cè)技術(shù)，實(shí)現(xiàn)對(duì)惡意攻擊行為的分析；通過(guò)分布式探針精確識(shí)別惡意熱點(diǎn)的位置；通過(guò)安全分析模型實(shí)現(xiàn)對(duì)惡意熱點(diǎn)和客戶(hù)端的阻斷；實(shí)現(xiàn)對(duì)重點(diǎn)區(qū)域的動(dòng)態(tài)人群監(jiān)控和安全威脅的預(yù)警分析。其系統(tǒng)架構(gòu)如圖1所示。

圖1 重點(diǎn)場(chǎng)所無(wú)線網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)建設(shè)的技術(shù)路線

1. 通過(guò)行為特征檢測(cè)技術(shù)，實(shí)現(xiàn)對(duì)惡意攻擊行為的分析

通過(guò)WiFi探針安全感知設(shè)備的廣泛覆蓋，采用分布式安全數(shù)據(jù)采集技術(shù)，實(shí)時(shí)感知WiFi網(wǎng)絡(luò)無(wú)線數(shù)據(jù)，并實(shí)時(shí)進(jìn)行無(wú)線數(shù)據(jù)的集中分析而獲得相關(guān)信息，對(duì)分析后的信號(hào)數(shù)據(jù)進(jìn)行異常預(yù)警定位；系統(tǒng)采用分布式WiFi探針，可以實(shí)時(shí)采集獨(dú)立范圍內(nèi)的熱點(diǎn)信號(hào)、終端信號(hào)、認(rèn)證信息MAC地址等，結(jié)合預(yù)登記數(shù)據(jù)實(shí)現(xiàn)身份匹配。針對(duì)持續(xù)捕獲的當(dāng)前無(wú)線環(huán)境中所有的身份標(biāo)識(shí)，通過(guò)設(shè)置黑白名單、行為特征檢測(cè)等手段，將數(shù)據(jù)流量進(jìn)行安全性分析，針對(duì)無(wú)線網(wǎng)絡(luò)數(shù)據(jù)鏈路層的無(wú)線網(wǎng)絡(luò)攻擊行為進(jìn)行精準(zhǔn)識(shí)別。界定正常熱點(diǎn)和惡意熱點(diǎn)，一旦發(fā)現(xiàn)惡意行為立即采取相應(yīng)措施，進(jìn)行告警或者阻斷，達(dá)到實(shí)時(shí)監(jiān)測(cè)的目的并準(zhǔn)確（地）識(shí)別和提取各類(lèi)攻擊行為、惡意熱點(diǎn)。

2. 通過(guò)分布式探針精確識(shí)別惡意熱點(diǎn)的位置

通過(guò)部署分布式探針，識(shí)別出惡意熱點(diǎn)后，可以根據(jù)每個(gè)探針發(fā)現(xiàn)該惡意熱點(diǎn)的信號(hào)強(qiáng)度，運(yùn)用三角定位算法（如圖2）進(jìn)行精準(zhǔn)定位，快速找到惡意熱點(diǎn)的精確位置。三角定位法的原理是利用2臺(tái)或者2臺(tái)以上的探測(cè)器在不同位置探測(cè)目標(biāo)方位，然后運(yùn)用三角幾何原理確定目標(biāo)的位置和距離。

圖2 三角定位算法

3. 通過(guò)安全分析模型，實(shí)現(xiàn)對(duì)惡意熱點(diǎn)和客戶(hù)端的阻斷

基于惡意熱點(diǎn)行為的分析，提取惡意熱點(diǎn)的攻擊行為，實(shí)現(xiàn)對(duì)惡意行為的精準(zhǔn)化阻斷。干擾阻斷模式主要有兩種：一是針對(duì)惡意熱點(diǎn)進(jìn)行阻斷，使其不可用，且不影響受信任熱點(diǎn)的正常使用。通過(guò)進(jìn)行WiFi信號(hào)的實(shí)時(shí)監(jiān)測(cè)，一旦發(fā)現(xiàn)惡意熱點(diǎn)信號(hào)，將自動(dòng)發(fā)起無(wú)線攻擊，使正?？蛻?hù)無(wú)法連接到非法的信號(hào)，從而保證客戶(hù)信息安全，并通過(guò)定位算法對(duì)惡意熱點(diǎn)進(jìn)行物理定位，快速排除風(fēng)險(xiǎn)。通過(guò)對(duì)WiFi網(wǎng)絡(luò)進(jìn)行干擾，能夠達(dá)到全部或有選擇性地阻斷無(wú)線接收器或個(gè)人工作平臺(tái)無(wú)線信道；同時(shí)采用了智能分析技術(shù)，一旦環(huán)境中出現(xiàn)被認(rèn)定為惡意熱點(diǎn)的無(wú)線信號(hào)，即對(duì)其進(jìn)行干擾，并記錄干擾結(jié)果，實(shí)現(xiàn)智能化惡意熱點(diǎn)和客戶(hù)端的精準(zhǔn)阻斷。二是針對(duì)熱點(diǎn)下的某個(gè)客戶(hù)端，在不影響其他客戶(hù)端的情況下，讓其下線。認(rèn)證/去認(rèn)證阻斷過(guò)程中，阻斷設(shè)備通過(guò)有針對(duì)性地發(fā)送認(rèn)證、關(guān)聯(lián)、去認(rèn)證、去關(guān)聯(lián)等報(bào)文，干擾無(wú)線終端與AP之間的控制過(guò)程，從而使無(wú)線終端無(wú)法關(guān)聯(lián)成功，最終達(dá)到阻斷的目的。

4.實(shí)現(xiàn)對(duì)重點(diǎn)區(qū)域的動(dòng)態(tài)人群監(jiān)控和安全威脅的預(yù)警分析

針對(duì)重點(diǎn)場(chǎng)所特定環(huán)境下的WiFi空間安全數(shù)據(jù)分析，使用基于內(nèi)存的復(fù)雜事件處理技術(shù)的流式分析引擎對(duì)探測(cè)的數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析，同時(shí)用持續(xù)聚合引擎對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行基于機(jī)器學(xué)習(xí)的實(shí)時(shí)分析，數(shù)據(jù)探測(cè)引擎使用的算法有基于行為輪廓的學(xué)習(xí)算法、持續(xù)的聚類(lèi)分析算法等，通過(guò)實(shí)時(shí)分析發(fā)現(xiàn)當(dāng)前正在發(fā)生的安全威脅和攻擊。通過(guò)分析模型實(shí)現(xiàn)重點(diǎn)區(qū)域的動(dòng)態(tài)人群監(jiān)控和安全威脅的預(yù)警分析。

（二）技術(shù)創(chuàng)新點(diǎn)

1.基于分布式WiFi探針的信息安全感知設(shè)備

圖3 基于分布式WiFi探針的信息安全感知設(shè)備工作原理

感知設(shè)備分布式部署在無(wú)線網(wǎng)絡(luò)環(huán)境內(nèi)部，實(shí)現(xiàn)無(wú)死角全覆蓋，對(duì)特定區(qū)域WiFi進(jìn)行全方位監(jiān)測(cè)?；诜植际絎iFi探針的信息安全感知設(shè)備工作原理所示，安全管理人員通過(guò)中央控制設(shè)備對(duì)感知設(shè)備進(jìn)行管理，下發(fā)任務(wù)指令到信號(hào)中轉(zhuǎn)設(shè)備，信號(hào)中轉(zhuǎn)設(shè)備對(duì)任務(wù)消息進(jìn)行處理，分發(fā)給指定的感知設(shè)備執(zhí)行，感知設(shè)備中的WiFi探針就會(huì)執(zhí)行發(fā)現(xiàn)熱點(diǎn)，對(duì)連接該熱點(diǎn)的終端設(shè)備進(jìn)行掃描并實(shí)時(shí)把結(jié)果返回給信號(hào)中轉(zhuǎn)設(shè)備，信號(hào)中轉(zhuǎn)設(shè)備對(duì)分布式探針傳回的數(shù)據(jù)進(jìn)行匯總，再返回給中央控制設(shè)備。中央控制設(shè)備將接收到的信息進(jìn)行綜合分析，如是否含有惡意攻擊行為，并對(duì)相關(guān)熱點(diǎn)或者終端設(shè)備進(jìn)行干擾阻斷。

2.基于行為分析的檢測(cè)技術(shù)

采用大數(shù)據(jù)安全分析技術(shù)從基于特征的匹配分析升級(jí)到基于行為的異常分析，包括但不限于同型字熱點(diǎn)、同名熱點(diǎn)、泛洪攻擊、攻擊管理后臺(tái)、釣魚(yú)攻擊等惡意攻擊行為，從基于攻擊特征監(jiān)測(cè)提升到給予攻擊模型深度檢測(cè)，從安全事件基于時(shí)間、地點(diǎn)、行為特征的定位到基于大數(shù)據(jù)的溯源追蹤，從而確定異常攻擊行為的真實(shí)性、攻擊源，評(píng)估攻擊造成的危害。

3.惡意熱點(diǎn)精準(zhǔn)阻斷技術(shù)

傳統(tǒng)的射頻干擾，主要是指通過(guò)高功率、長(zhǎng)時(shí)間發(fā)送所在頻段的干擾信號(hào)，干擾無(wú)線設(shè)備的正常接收的阻斷方式，無(wú)法實(shí)現(xiàn)精確阻斷，因此需要針對(duì)惡意攻擊采取反制式阻斷。針對(duì)具體惡意攻擊行為，可以通過(guò)利用阻斷設(shè)備發(fā)送無(wú)線報(bào)文進(jìn)行反制，實(shí)現(xiàn)精準(zhǔn)阻斷。一種情況，當(dāng)有無(wú)線攻擊包對(duì)AP進(jìn)行攻擊時(shí)，可以采用發(fā)送放棄握手包，導(dǎo)致攻擊行為無(wú)效。另一種情況，當(dāng)無(wú)線網(wǎng)絡(luò)安全監(jiān)管設(shè)備工作區(qū)域內(nèi)，沒(méi)有出現(xiàn)攻擊行為時(shí)，則設(shè)備處于監(jiān)聽(tīng)的狀態(tài)，對(duì)外也不發(fā)射任何的射頻信號(hào)，一旦攻擊行為出現(xiàn)并被有效檢測(cè)，設(shè)備即開(kāi)始針對(duì)性的反制動(dòng)作。再者，精確阻斷不會(huì)對(duì)其他無(wú)線設(shè)備的工作造成任何不良影響，甚至在同一無(wú)線AP下的非法終端被阻斷，也不會(huì)對(duì)合法接入的無(wú)線終端造成影響。在技術(shù)手段上，還可以采用泛洪阻斷、AirJack阻斷和FakeAP阻斷等；通過(guò)機(jī)器學(xué)習(xí)最終實(shí)現(xiàn)自動(dòng)下發(fā)策略，完成智能化的精準(zhǔn)阻斷。［5］

4.構(gòu)建全面的安全特征庫(kù)

安全特征庫(kù)主要包括：被探測(cè)設(shè)備的漏洞庫(kù)、設(shè)備指紋庫(kù)、威脅情報(bào)庫(kù)、異常行為庫(kù)，支持通過(guò)類(lèi)型、名稱(chēng)、時(shí)間等多種條件對(duì)安全特征的檢索，實(shí)現(xiàn)管理人員對(duì)安全策略的導(dǎo)入導(dǎo)出以及數(shù)據(jù)維護(hù)。在發(fā)生攻擊威脅事件時(shí)，可快速實(shí)現(xiàn)安全策略的特征匹配，及時(shí)為安全管理人員提供安全預(yù)警提醒，方便第一時(shí)間開(kāi)展應(yīng)急處置，最大限度降低網(wǎng)絡(luò)威脅事件造成的損失。通過(guò)構(gòu)建完整的安全特征庫(kù)，為重點(diǎn)場(chǎng)所無(wú)線網(wǎng)絡(luò)的探測(cè)起到重要的基礎(chǔ)數(shù)據(jù)支撐作用。

四、結(jié)論

本文提出的通過(guò)采用分布式WiFi探針加集中管控，可以實(shí)時(shí)監(jiān)控?zé)o線網(wǎng)絡(luò)環(huán)境，快速發(fā)現(xiàn)可疑熱點(diǎn)并進(jìn)行精準(zhǔn)打擊，能夠有效防止不法分子通過(guò)惡意WiFi竊取用戶(hù)隱私、企業(yè)秘密和國(guó)家機(jī)密。公安機(jī)關(guān)可以利用基于分布式WiFi探針的信息安全感知設(shè)備，對(duì)重點(diǎn)場(chǎng)所無(wú)線網(wǎng)絡(luò)進(jìn)行綜合管控，排查安全隱患，對(duì)惡意熱點(diǎn)實(shí)時(shí)定位，采集基礎(chǔ)信息，落地核查，以及對(duì)敏感信息和敏感行為的深度挖掘，實(shí)現(xiàn)重點(diǎn)區(qū)域的安全預(yù)警、區(qū)域熱點(diǎn)圖、人群軌跡和罪犯行為探測(cè)，主動(dòng)防范和打擊無(wú)線網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)犯罪，有效地維護(hù)國(guó)家的政治安全和社會(huì)大局穩(wěn)定。