2015年全国大学生信息安全竞赛作品报告

1、2015年全国大学生信息安全竞赛 作品报告 作品名称： Wi-Fi反钓卫士基于 An droid平台的Wi-Fi安全检测软件 电子邮箱: 提交日期： 2015年7月31日 填写说明 1. 所有参赛项目必须为一个基本完整的设计。作品报告书旨在能够清晰准确地 阐述（或图示）该参赛队的参赛项目（或方案） 。 2作品报告采用A4纸撰写。除标题外，所有内容必需为宋体、小四号字、1.5咅 行距。 3. 作品报告中各项目说明文字部分仅供参考，作品报告书撰写完毕后，请删除 所有说明文字。 （本页不删除 ） 4. 作品报告模板里已经列的内容仅供参考，作者也可以多加内容。 24 目录 1. 摘要 2. 作品概述

2、a) 背景分析 b) 相关工作 c) 特色间接 3. 作品设计与实现 a) 技术方案 b) 软件设计 c) 系统流程 d) 模块功能实现 4. 作品测试分析 5. 总结 6. 参考文献 摘要 随着 Wi-Fi 技术的普遍使用， Wi-Fi 安全形势日益严峻。在免费 Wi-Fi 提供 便捷上网的同时，“钓鱼 Wi-Fi ”时刻威胁着用户的隐私信息安全和财产安全。 针对免费 Wi-Fi 的主要安全风险“钓鱼 Wi-Fi ”问题进行防范，其重点在于 提高用户的 Wi-Fi 连接安全意识，通过在用户 Wi-Fi 连接时评估 Wi-Fi 安全性以 识别“钓鱼 Wi-Fi ”，并提醒用户，避免连接“钓鱼

3、Wi-Fi ”，从而避免隐私泄露 和经济损失的发生。 该软件是一款主要针对 Wi-Fi 安全问题， 对接入的网络做出安全检测的手机 应用。该应用是基于安卓平台下开发， 做到对网络环境信息进行识别， 并对其做 特征检测； 同时对所在 Wi-Fi 网络进行主动探测例如路由跟踪等， 通过测量数据 包在网络中处理和响应结果获知网络状态； 将获取的数据提交到云端， 对所连接 的 Wi-Fi 网络安全进行评估， 对于可能存在风险的 Wi-Fi 提交危险警告给用户进 行最终决断。 本文在对“钓鱼 Wi-Fi ”的命名特征、网络环境、安全性等进行分析的基础 上，提出基于多特征识别技术和多特征交叉检测的 Wi-

4、Fi 安全性评估方法， 以下 是实现内容。本作品的测试结果，突出效果。 关键词： Wi-Fi 安全； 第一章 作品概述 1.1 背景分析 1.1.1 国内移动终端的发展现状 2011 年初数据显示， 仅正式上市两年的操作系统 Android 以其极大优势， 发 展空间更胜一筹， 超越称霸十年的塞班系统， 使之跃居全球最受欢迎的智能手机 平台。现在， Android 系统不但应用于智能手机，也在平板电脑市场急速扩张。 业界预计，到今年底时，中国将拥有 5 亿智能手机用户 . 1.1.2 移动互联网时代的 Wi-Fi 安全威胁 随着移动互联网在近几年的飞速发展， WIFI 已成为商家、 家庭、 单

5、位不可或 缺的一部分。 随着通过移动互联网访问的应用越来越多、 愈发便捷，在各种利益 的驱使下， 不法分子们开始逐渐将作恶手段升级并转移至其他阵地， 移动互联网 逐渐成为信息安全的重灾区。 根据调查报告显示： 在 Android 用户中有 49.75%的人会使用 Wi-Fi 联网，但 仅有 49.14%的人会关注安全问题。而在如今移动应用火热的背景下，用户的各 种上网账号、网银密码、隐私文件等私密数据，都会通过这一陷阱而被黑客截获， 那么之后所造成的影响及损失，将是不可估量的。 1.1.3 WiFi 安全防护的缺乏 从今年 3.15WiFi 安全威胁曝光至今，可以说这些威胁仍然充斥在整个网络

6、中，但是相关安全软件公司却罕有涉及这一领域， 关注的重心依旧停留在对电脑 等大型用户机上，这就使得市场上对手机用户的 WiFi 安全防护一直是一个薄弱 环节。 1.2 相关工作 1.2.1对其它 WiFi安全软件信息收集 WiFi安全助手: 该软件仅仅对WiFi是否连接给出一个提示。 提供可信WiFi热点，但是只有一些类似 CMC等知名WiFi，但是对于一些极强 伪造性的钓鱼WiFi来说，不具备任何识别能力。 360手机助手 I r 1 白屯 命 WiFiiSi5 m L 4.( M1 空勺 :的，扫n呼弗 这是构建一个类似VPN!道技术，利用隧道技术对信息进行加密传输，但是并不 提供对WiF

7、i安全检测的功能。 百度卫士 V6.7.0 百度卫士没有提供任何关于WiFi的安全功能 WiFi管家 I ifBaoWiFi?41 WiFiiSH 0査档密码 呢賂別逵 枪红色 该软件也不提供任何 WiFi安全检测功能。 以上是我目前找到的安卓平台下的一些涉及 WiFi 的安全软件，可以看见， 无论是否存在安全检测的功能，他们都不会告知用户如何确保 WiFi 安全，甚至 一些安全软件都没有提供对手机 WiFi 安全的防护。 但是时下 WiFi 的安全问题又亟待解决， 我们便提出了针对 WiFi 安全开发一款基 于安卓平台的 WiFi 防护软件。 1.2.2 异常 Wi-Fi 表现 要对 WiF

8、i 安全进行有效防护，就要先了解其危险 WiFi 的情况。因此，根据 现阶段针对 WiFi 的恶意攻击，我们大致可以将其归为两类：人为主动构造危险 WiFi 、安全的 WiFi 网络环境中存在用户恶意对他人攻击。 而部分危险 WiFi 可以根据用户接入 WiFi 后的一些行为表现特征可以判断出 网络中可能存在威胁。 这些危险特征在用户接入时主要具体表现在以下几个方面： 1、异常跳转未知网页 2、不提供数据交互服务 3、DNS异常 1.2.2 Wi-Fi 异常检测 上述几类都是在用户前台可视界面中可以直观显现出来的，但是，现阶段钓 鱼 WiFi 的构造越来越复杂，也愈加接近正常 WiFi ，这些

9、无疑使检测出异常的难 度大大增加。 我们根据所学理论并结合借鉴现阶段一些已存在的电脑 WiFi 检测软件，我 们计划将从以下几个方面入手对 WiFi 进行判断： 1、WiFi 的热点信息 2、DNS信息 3、ARP检测 4、网络中其它用户状态 但是这些单一的侦测特征的结果往往不能够有效结合体现出 WiFi 的安全性， 因此就需要人为统计计算， 所以，提出使用贝叶斯网络对各项特征类计算得出最 终的安全概率。 1.3 特色简介 1.3.1 侧重考虑用户被其它用户主动攻击 时下 WiFi 安全的检测软件对用户所在的网络环境检测大都止步于 WiFi 热点 信息以及网关服务器异常判断， 可以说绝大部分忽

10、略了对其它接入用户行为的检 测，而我们会对其它用户行为检测， 将 WiFi 环境中存在 Kali 主机、 存在网卡开 启混杂模式主机、发生ARP攻击都将其纳入对 WiFi安全性的判断规则。 1.3.2 一种基于贝叶斯网络的 Wi-Fi 安全检测方案 钓鱼 Wi-Fi 的构造往往比较复杂， 一般会同时采用多重迷惑手段， 建立十分 接近于真实网络的 Wi-Fi 环境，仅仅基于本地的安全检测识别的内容有限。 本软 件将采用基于贝叶斯网络的 Wi-Fi 安全检测方案， 手机只要收集必要的数据， 进 行简单整合之后，交给贝叶斯网络处理即可得到结果。 在云端，我们将采集大量 Wi-Fi 相关安全数据，通过

11、机器学习，建立一个 Wi-Fi 安全识别库。应用这一个安全识别库，利用贝叶斯算法将手机上传的数据 进行计算，得出对手机所连接 Wi-Fi 的安全评估结果，将结果返还给用 户。 第二章 作品设计与实现 2.1 技术方案 针对用户可能面临的两大类 WiFi 安全威胁，我们提出了个工作系统，主要 完成对 WiFi 信息的收集以及对用户的告警，实现对接收的信息分析判断并回执 结果。 2.1.1 被动信息获取 1、WiFi 热点信息获取 调用系统函数，获取 SSID、IP 、加密方式信息。 将这三个信息上传贝叶斯网络。 2、ARP流量统计 我们将手机一定时间内收到的包过滤，得到只有 ARP包的流量数据。

12、 根据ARP流量数据判断这个时间内收到的 ARP包的个数，将数量上传至贝叶 斯网络。 2.1.2 主动探测网络 1、DNS言息获取 首先让手机对某一知名域名发出请求，通过服务器将解析回一个 IP 地址 之后我们获取 IP 地址后直接将解析回的 IP 地址上传至贝叶斯网络 2、路由信息获取 自主构建 traceroute 函数，主动 ping 某一地址，不需要把整个路由表 都录下来，仅仅只需要第一跳的 IP 地址信息。 因此我们获取到第一跳 IP 地址后将信息上传贝叶斯网络。 3、主动探测网络中渗透攻击主机 渗透主机通常会固定打开一些特定的端口，而在无法准确获取整个网络 拓扑时，这些特定端口开启

13、与否就是我们对主机类型的判断，我们向外广播 探测包，根据回复的GTL字段判断是否存在Linux主机，同时对端口进行探 测，等待一定时间，根据收到的回应包来判断是否存在渗透攻击主机，并将 信息传至贝叶斯网络。 4、主动探测网络中开启混杂模式网卡的主机 对于存在开着混杂模式网卡的主机的判断，同样是构建特殊的探测包， 由于混杂模式会让所有包通过硬件过滤器，所有反应都是内核完成，因此， 我们广播探测包，根据回应回来的消息判断是否存在混杂模式网卡的主机 2.1.3 安全概率计算 对用户的信息整理统计计算安全概率，我们决定使用贝叶斯网络。 有八项类：SSID IP、加密方式、路由信息、DNS言息、ARP流

14、量统计、Kali 主机判断、混杂模式主机判断。 这八大类去利用大量数据对网络进行训练， 得到各项类的先验概率供给网络 计算下次输入的数据。 在消除关联性后， 我们将其与存储在云端的行为准则比较， 获取其先验概率， 各 个特征都将得到的先验概率输入网络中可以计算出最终安全概率， 同时将这一安 全概率提交。 2.2 软件设计 我们在对系统提出规划设计时， 首先考虑到贝叶斯网络需要学习数据训练才 能投入使用， 其次贝叶斯网络的对计算的需求较为苛刻， 而且该网络同样需要数 据的再学习使网络中的各项先验概率越来越迫近真实，优化用户体验。 所以我们打算利用时下热门的云端网络技术， 将我们这款软件设计成具有

15、前 后台分隔的系统 将贝叶斯网络置于云端服务器上，既保证计算效率同时又能收集大量用户使 用软件后的结果反馈再进行自训练。 前台系统我们针对上述的判断技术方案收集所需要的信息，将信息传递到后 同时根据后台反馈的信息对用户发出告警。 后台系统我们打算采取利用贝叶斯网络计算安全概率，将收集到的特征信息 量化后通过训练后的贝叶斯网络，得到最终的概率后，返回给用户。 2.3系统流程 2.4模块功能实现 2.4.1被动信息获取模块 1、热点信息获取 针对 WiFi 热点信息获取，主要利用系统函数获取 WiFi 的热点信息。 通过函数将会获取所链接 WiFi的热点信息，其中包括：SSID加密方式、IP地 址

16、、Mac地址、DNS信息、WiFi信号强度 将SSID加密方式、IP地址上传至服务器 2、 ARP 流量统计 借助TCPdum脚本，(安装脚本需要手动获取权限，这个没办法手动安装， 这要不要写进来)运行如下指令，手机流量拦截过滤，只收集ARP的包。 Runtime.getRuntime().exec(/data/local/tcpdump-p -vv -c 200 -s 0 -w /sdcard/test.cap arp); 十秒内收集到所有的ARP数据包流量，由于被手机取包分析格式速度的限制， 我们决定简化分析过程，将获取的流量大小除以 ARP包格式的最小大小，得到 ARP包数量。将包的数量

17、上传。 2.4.2 主动探测模块 1、 DNS 信息获取 我们选取百度域名作为请求的域名。 对百度域名发出一个 ping 包，会回执一段字符串信息给用户，使用正则表 达“ d1,3 d1,3 ”将，将获取到的解析过的 IP 地址上传至服务器 2、路由信息获取 自主构建 traceroute 文件，将 tracert 函数存储在其中，为脚本搭好环境 后， 执行以下指令，就可以获取回执回来的路由信息 cmd = . + app_path + /traceroute +IP地址“ new Thread(new RouteRun(cmd).start(); 在这里我们对 IP 地址选择仍然是百度， I

18、P 地址选取为 对 于 回 执 的 第 一 跳 信 息 依 旧 使 用 正 则 表 达 式 “d1,3d1,3 ”将第一跳信息获取出来，上传 给服务器。 2、 渗透攻击主机存在的判断 我们向外广播探测包，根据回复的 GTL字段判断是否存在Linux主机，同时 针对渗透攻击主机一般会开放的功能端口 4444 号端口构建探测包， 向网络广播， 仅仅只有打开了 4444 端口的主机会对构建的包产生响应，当收到了对我们探测 包的响应包就判定网络中存在渗透攻击主机。 4、存在开启混杂模式的网卡的主机 构建的特殊的ARP查询包，产生一个ARP查询包来解析本机IP地址的硬件 地址。为了使网络上的所有节点都能

19、够 收到这个查询包，把这个包的目的地址 设置为广播地址，这样，就能够到达网络中的每一个节点了。 实际上，是不应该收到任何回应包，如果，存在主机应答这一查询包，则可以判 断存在开启混杂模式的网卡。 Wi Fi 安 全 评 估 WiFi名称 加密方式 分配的IP地址 路由信息 DNS信息 渗透攻击主机判断 混杂模式网卡判断 ARP流 速 内网IP L32 未知SSID L12 无密钥 L21 超过安全伐值的 ARFP数量 L81 WPA2-PSK L26 处于安全阀值以内 的ARFP数量 L82 已知知名SSID L11 合法域名解析 L51 存在攻击王机 L61 存在开启混杂模式 网卡用户 L7

20、1 不存在攻击主机 L62 不存在开启混杂模 式网卡用户 L72 WEP L22 WPA L23 WPA-PSK L24 WPA2 L25 公网IP L31 合法的网关路由IP L41 其它异常地址 L42 异常域名解析 L52 WiFi安全影响因素 贝叶斯网络通常表示为一系列表示因果关系的规则，又称为信度网络。结合 图2,我们介绍贝叶斯在 WiFi安全评估中的应用。L - R表示L和R之间存在因 果关系，L的取值范围通常为L11,L12,L21,L22,丄81丄82 , R的值范围通常 为R1, R2，在贝叶斯网络方法中，条件概率矩阵 M用来表示L与R 之间的关系及其计算方法 (1) 其中，

21、P( |)表示在L取值为 时，R等于的概率。 用途较为广泛的贝叶斯公式，通常也叫后验概率公式，或者逆概率公式。设 先验概率为P(Li)，同时令经过评估后所获得的新附加信息为 P(R| )，其中i=1， 2,，n，贝U 后验概率为： )(2) 由式(1)可知，我们列举出来的八个不同特征信息的表现决定了无线局域 网的风险评估的计算。因此，要计算风险值，必须分析每种威胁在安全事故中发 生的可能性，通过对自主构建一定数量的学习数据对网络进行训练，评估 相应威胁概率，最后利用贝叶斯网络进行概率估计， 计算出各种状态的风险值指 数。贝叶斯网络方法在无线局域网安全风险过程如下： 1) 首先对对象进行安全现状

22、调查，并且根据无线局域网的各种安全技术， 对无线局域网安全风险进行评估，根据其评估规范及相应的安全事件可以得出安 全特征集合图1给出了风险评估模型中各种变量的相应状态集合， 其中包括八个 特征集合SSID IP、加密方式、路由信息、DN信息、ARPS量统计、渗透攻击主 机判断、混杂模式主机判断。 2) 然后通过学习数据训练得出无线局域网安全风险中各因素的条件概率。 如表所示， WiFi安全判断 SSID 已知知名SSID 未知 SSID 安全 WiFi安全判断 加密方式 无加密 WEF WPA WPA-PSK WPA2 1 WPA2-PSK 安全 WiFi安全判断 分配的IP地址 公网IP 内

23、网IP 安全 WiFi安全判断 路由信息 合法路由网 关IP地址 异常路由网 关IP地址 安全 WiFi安全判断 解析的DNS言息 合法域名解 析 未知域名解 析 安全 WiFi安全判断 渗透攻击主机判断 存在渗透 攻击主机 不存在渗透 攻击主机 安全 WiFi安全判断 混杂模式网卡主机判断 存在 不存在 安全 WiFi安全判断 ARP流 速 包数大于阀 值 包数小于阀 值 安全 3) 前台提交的信息通过经过训练后的网络，根据各表中的数据，由贝叶斯公式 即式(2)可计算出无线网络的安全概率。 第三章作品测试与分析 测试一：公用wifi下的arp攻击识别 首先，准备一台攻击机与两部安卓手机，接入

24、同一wifi环境，然后使用攻 击机发起arp攻击，同时开启抓包程序： rootkali32i-# attercap -i ethG 3R ：R5： A9： ftRiF7! 10.LB4.121.135/255.255.255.8 f8Q:32S5:a9ff:fla:26s3/64 壬 plugins 42 protoco. diasBctars 57 parts monitored 1607*1 mac vendor fLnaerprint I76氐 tcp OS fingerprint blfiz known rvlCQS SSL dissection noods a valid 1 rad

25、i r_comTiand_on1 sc ript 二n tho Qttor .conf filo Privileges dropped to UID 65534 GID 65n * HGT FNTJihjTTiTL口W17II 1* J3=7 * bpIuf rW/39 SMfrrtKn TJripr hf nr i IT!血口 “mil 使用手机浏览百度网盘，然后在攻击机上成功获取到cookies : 阡斷穂 t-iLi-w：电口irirf ( uy 恥，叭ET5 cvrH (1M4 訂兀 1E iFEfrtfl 4 Ether: EJa 5F ir F ECfwwrc r wi! CMpu

26、41 * f n i %严曾 L PWMC X4W-&1 WFflon Ft； l&.T4iiiHlj 1*4 ClQ|9WM.EWE： nliMiM4t ll?lfl*l!4i4D -*rm*inlHn (Mitral 耐HbcuT Sr-c. Er*.： M# 血0.生r 0. Hit二 IBM. Ljmi= -Ri T TCkMir 引HU： iH*rnel 11 a %.tk “*liM啊* .r-in 虫炖佔呻* QTlp* cwfcif Cqk1t C. ：4 ； 4 CKK1 tocid! cnckle TIMICiKHQCIilklB I UOW5UHMDCWirVMWX7VK

27、BEFWRLA: lPSHM JMZ4J Fl； IMSS-MEUILRib-iRpI- LfiMdT blFNLfPdLjU# JlHEiSKnfe.IUlLVH5 jVWqWDQbFUliAWUUMA ps-w-；貝叶 EH(昭XTMdMyrOi耳时？屯 W*r： : ni9CtMMt 1佩w耳 pair! ijumid-WHljbQviE*im5JE*cc.DLcxxB uc-X 知EwWUi p1r : HCfW,fir4HRjlrt-3Mabl!3Tc-GTj-Mf D pfl-w：y-yw#L-TflTirFTj-fcAH*i: h (rnr r-aoLHAC I 11? 使用本软

28、件后，则可以看到如下界面，避免此类情况发生: 测试二：wifi蜜罐识别 通过对wifi进行设置，伪装成ChinaNet，使用手机登录并访问网页，此时 抓包，成功获取到cookies : 使用本软件后，可以有效识别: 第四章创新性说明 提出了对WiFi安全也进行量化评分，定义了 WIFI安全指数，给出了基于主 被动探测和贝叶斯网络推理的 WIFI安全评估方案。 软件采取B/S架构运作，在前台做到对 WiFi信息识别，对所处 WiFi网络环 境进行探测，利用被动信息获取主动信息探测俩大信息获取技术，对以下八种特 征进行信息的获取“SSID IP、加密方式、路由信息、DNS言息、ARP流量统计、 渗

29、透攻击主机判断、混杂模式主机判断” 同时在后台服务器上，构建贝叶斯网络模型，在通过学习数据训练得出无线 局域网安全风险中各因素的先验条件概率后投入运作，与前端收集的信息交互， 八大特征通过贝叶斯网络后，根据后验算法可以得出一个安全概率，并返回前台， 提示给用户。也会根据用户行为反馈回网络一个训练值，通过自训练优化用户体 验。 第五章 总结 本作品提出了一种新型的高效的 Wi-Fi 反钓鱼检测方案， 与以往的各种方案 相比较，提高了检测的准确性。 本软件创新性在于在之前的所有软件里并不存在关于 Wi-Fi 环境安全性检 测类的软件，而Wi-Fi 一般都是移动设备上网的重要途径。 众所周知，随着科

30、学 日益进步，网络步入千家万户，从以前的有线网到现在的无线网络， Wi-Fi 已经 成为人类生活必不可缺的一部分。在 PC端的网络上，我们都会在意自己的设备 是否中了木马、 病毒、蠕虫等等对自己财产会造成损害的恶意软件， 然而我们中 的大部分人对于网络安全并没有太丰富的专业知识， 仅仅知道网络会泄露自己的 财产信息，所以大多数人都会装上诸如 360 安全卫士等等的安全软件来保护自身 财产安全。但是人们多数是把自己的精力放在PC端上，对于手机端的重视程度 远远不如PC端那么大，我们要知道的是手机端的网络安全问题其实比 PC端更应 该让人去注重。从生活方面看，随着时代的发展，人类生活越来越注重方便性， 易操作性， 没有人愿意去花费更多的精力去做相同的事情， 例如：淘宝的手机一 键支付功能。 这样就使得越来越多的人通过手机去管理个人财富， 所以手机网络 的安全就被提到了一个相当高的高度。试想你手机每个交易信息都被他人获得， 那么你个人的财产安全就会出现很严重的问题。 从个人方面看， 术业有专攻， 每 个人学的知识不同， 他擅长的方面也不同，