CN101547127B - 一种内、外网络报文的识别方法 - Google Patents
一种内、外网络报文的识别方法 Download PDFInfo
- Publication number
- CN101547127B CN101547127B CN2008101028507A CN200810102850A CN101547127B CN 101547127 B CN101547127 B CN 101547127B CN 2008101028507 A CN2008101028507 A CN 2008101028507A CN 200810102850 A CN200810102850 A CN 200810102850A CN 101547127 B CN101547127 B CN 101547127B
- Authority
- CN
- China
- Prior art keywords
- message
- network
- ttl
- numerical value
- network messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种内、外网络报文的识别方法,是一种广泛用于对网络报文进行监测的安全系统、网络审计安全系统防止网络入侵的方法。本发明包括:互联网、局域网、电脑终端,服务器、工作站,路由器,其所述的方法的步骤是:读取网络报文的步骤;获得TTL数值的步骤;分析的步骤;记录的步骤。本发明提出一种根据网络报文的特征,识别内网、外网报文。即根据TTL数值减量的多少确定内外网报文,又根据TTL数值和内外网络标识字的关系而确定是内网还是外网报文,以及非正常报文。本方法无需特殊的配置,处理性方法十分简单,资源使用自然也十分有限,所以可以到达很高的速度。区分内外网报文的作用是可以确定攻击事件发出的区域。
Description
技术领域
本发明涉及一种内、外网络报文的识别方法,是一种保障计算机网络安全的方法,是一种广泛用于对网络报文进行监测的安全系统、网络审计安全系统防止网络入侵的方法。
背景技术
计算机网络安全已经成为一个十分重要的问题,作为任何一种网络监测系统,都希望能够区分所监测网络报文的传输方向属性,以便区分处理,并进行内网向外网攻击、外网向内网攻击等的结果分析。其中内网指本地的局域网络,外网指internet国际互联网,内网报文指内网发向外网的报文,外网报文指外网发向内网的报文。目前多通过定义内网地址的方法,识别内、外网络报文,但该方法在使用中需要配置,且进行多次地址比较,影响处理性能,并且无法识别伪造地址的报文。
对一个用户而言,知道一个网络违规行为的发起方向非常重要。比如,一个从外部向内部发起的攻击,说明本地网络的某个主机受到了一次攻击,有必要进行一次检查,以便确定该主机是否仍然安全;如果一个内部向外部发起的攻击,则说明内部该主机可能已经被感染了病毒,或者该主机的操作人员进行了非法操作,应该尽快分析处理。因此确定一次网络违规行为的报警事件,其发起方向,非常重要,而该信息,只能够从相关报文的传输方向中获得。
发明内容
为了克服现有技术的不足,本发明提供一种内、外网络报文的识别方法,所述方法检查路由器上通过文件的报文的TTL数值,识别攻击事件或有害文件。
本发明解决其技术问题所采用的技术方案是:一种内、外网络报文的识别方法,所述方法使用的硬件包括:互联网、局域网、电脑终端,服务器、工作站,路由器,其所述的方法的步骤如下:
读取网络报文的步骤;
获得TTL数值的步骤,对获取的网络报文进行协议解析,并获取当前报文的TTL数值;
分析的步骤,以当前报文TTL为下标,得到所获取报文的内外标识字;
记录的步骤,记录内外标识字,确定非正常报文、外网报文、内网报文。
本发明的有益效果:本发明提出一种根据网络报文的特征,识别内网、外网报文。即根据TTL数值减量的多少确定内外网报文,又根据TTL数值和内外网络标识字的关系而确定是内网还是外网报文,以及非正常报文。本方法无需特殊的配置,处理性方法十分简单,资源使用自然也十分有限,所以可以到达很高的速度。区分内外网报文的作用是可以确定攻击事件发出的区域,这一点对网络安全十分重要。
附图说明
图1为本发明实施例一所述方法的应用环境示意图;
图2为本发明实施例一所述方法流程示意图;
图3为本发明实施例二所述内外网络报文的TTL分布表。
下面结合附图和实施例对本发明进一步说明。
具体实施方式
实施例一:
本实施例是一种内、外网络报文的识别方法,所述方法使用的硬件包括:互联网、局域网、电脑终端,服务器、工作站、路由器组成应用环境,如图1所示。应用环境用内、外网络的观点看可以分为下列部分:
●内部网络:指用于用户工作的内部局域网络环境,一般包括主机、服务器、网络设备等;
●外部网络:指internet国际互联网络;
●网络交换设备:指完成内部网络、外部网络之间数据交换的网络设备,如各类路由器、代理服务器等;
安全监测设备:指连接在网络交换设备上,接收所有内外网络发送的报文,进行安全分析,给出相应的安全警示信息的安全监测设备。在该设备里,当分析处理内外网络报文时,就需要使用本项目所需的内外网络识别技术。所述的方法的步骤包括:
读取网络报文的步骤;
获得TTL数值的步骤,对获取的网络报文进行协议解析,并获取当前报文的TTL数值;
分析的步骤,以当前报文TTL为下标,得到所获取报文的内外标识字;
记录的步骤,记录内外标识字,确定非正常报文、外网报文、内网报文。
■读取网络数据:读取网络数据,以便后续分析;读取报文的方法,应该使用原始套接字(如标准C语言中的RawSocket接口函数)的方法,或者特殊编制的高速网卡驱动接口等方法,以便保证读取到完整的IP报文头;
因为TTL信息在Ip报文头中;
■提取TTL数值:通过协议解析(解析IP层网络报文协议),获取报文中的TTL数值;TTL协议字段是IP报文头中的第9个字节;
■读取内外网络标识字:通过查询内外网络报文的TTL分布表,获得当前报文的内外标识字。TTL分布表是一个常数表,在系统代码编制阶段就已经设置了数据,并且在运行中数值不会变化。
通过内外标识字的记录可以对所有报文进一步分析。
实施例二:
本实施例是实施例一的细化,是关于实施例一中分析的步骤中的子步骤:
根据TTL数值的减值多少确定是外网报文还是内网报文;
同时读取内外网络报文的TTL分布表,通过确认网络标识字的关系:0标识非正常报文、1标识外网报文、2标识内网报文,确定非正常报文、外网报文和内网报文。
图2描述内外网络报文的TTL分布表。TTL是一个网络报文生存时间数值,每当报文通过一个路由器时,该数值会减一。由于内部网络都比较简单,路由器的个数少,甚至没有,因此TTL的数值,从报文发出点到监测点,减值不会超过5次。而国际互联网的报文,一般都至少经过10个以上的路由器。因此,内网发出报文的TTL数值在初始值的5个数值以内,而外网发出报文的TTL数值,离其初始值比较远(大于等于初始值10个数值以上)。同时,由于不同系统发出的报文,TTL初始值不同,但正常的数值都是下面3个之一:64、128、255。因此TTL数值和内外网络标识字的关系可以有如图中的关系。其中,0标识非正常报文、1标识外网报文、2标识内网报文。
Claims (1)
1.一种内、外网络报文的识别方法,所述方法使用的硬件包括:互联网、局域网、电脑终端、服务器、工作站和路由器,其特征在于所述方法的步骤如下:
读取网络报文的步骤,使用原始套接字RawSocket的方法,读取到完整的IP报文头;
获得TTL数值的步骤,对获取的网络报文进行协议解析,并获取当前报文的TTL数值;
分析的步骤,以当前报文TTL为下标,得到所获取报文的内外标识字;
记录的步骤,记录内外标识字,确定非正常报文、外网报文、内网报文;
所述的分析的步骤中的子步骤:
根据TTL数值的减值多少确定是外网报文还是内网报文;
同时读取内外网络报文的TTL分布表,通过确认网络标识字的关系:0标识非正常报文、1标识外网报文、2标识内网报文,确定非正常报文、外网报文和内网报文;
还含有以下步骤:
■读取网络数据的步骤:读取网络数据,以便后续分析;读取报文的方法,使用特殊编制的高速网卡驱动接口方法,以便保证读取到完整的IP报文头;因为TTL信息在Ip报文头中;
■提取TTL数值的步骤:通过解析IP层网络报文协议解析,获取报文中的TTL数值;TTL协议字段是IP报文头中的第9个字节;
■读取内外网络标识字的步骤:通过查询内外网络报文的TTL分布表,获得当前报文的内外标识字;TTL分布表是一个常数表,在系统代码编制阶段就已经设置了数据,并且在运行中数值不会变化;
通过内外标识字的记录可以对所有报文进一步分析;
TTL是一个网络报文生存时间数值,每当报文通过一个路由器时,该数值会减一;TTL的数值,从报文发出点到监测点,减值不会超过5次;内网发出报文的TTL数值在初始值的5个数值以内,而外网发出报文的TTL数值,小于等于初始值10个数值以上;同时,由于不同系统发出的报文,TTL初始值不同,但正常的数值都是下面3个之一:64、128、255。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101028507A CN101547127B (zh) | 2008-03-27 | 2008-03-27 | 一种内、外网络报文的识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101028507A CN101547127B (zh) | 2008-03-27 | 2008-03-27 | 一种内、外网络报文的识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101547127A CN101547127A (zh) | 2009-09-30 |
| CN101547127B true CN101547127B (zh) | 2013-02-13 |
Family
ID=41194036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101028507A Expired - Fee Related CN101547127B (zh) | 2008-03-27 | 2008-03-27 | 一种内、外网络报文的识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101547127B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123072B (zh) * | 2010-01-11 | 2016-03-02 | 中兴通讯股份有限公司 | 数据报文分类处理的实现方法、网络及终端 |
| CN102123071B (zh) * | 2010-01-11 | 2016-06-01 | 中兴通讯股份有限公司 | 数据报文分类处理的实现方法、网络、终端及互通服务节点 |
| CN107959596A (zh) * | 2017-11-17 | 2018-04-24 | 北京锐安科技有限公司 | 一种基于网络系统的监测网络的方法以及网络系统 |
| CN112217819B (zh) * | 2020-10-12 | 2021-04-27 | 珠海市鸿瑞信息技术股份有限公司 | 基于双因子认证体系的工业控制报文语意解析审计方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878125A (zh) * | 2005-06-06 | 2006-12-13 | 华为技术有限公司 | 提高骨干网络安全性的实现方法 |
| CN101127760A (zh) * | 2006-08-16 | 2008-02-20 | 北京城市学院 | 网络中双向协议隔离方法及其装置 |
-
2008
- 2008-03-27 CN CN2008101028507A patent/CN101547127B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878125A (zh) * | 2005-06-06 | 2006-12-13 | 华为技术有限公司 | 提高骨干网络安全性的实现方法 |
| CN101127760A (zh) * | 2006-08-16 | 2008-02-20 | 北京城市学院 | 网络中双向协议隔离方法及其装置 |
Non-Patent Citations (1)
| Title |
|---|
| 荀宝铖等.基于TTL值异常的源地址伪造报文检测方法.《计算机应用研究》.2006,(第12期),127-129. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101547127A (zh) | 2009-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| Chen et al. | An effective conversation‐based botnet detection method | |
| CN100443910C (zh) | 主动网络防护系统与方法 | |
| US9699204B2 (en) | Abnormal traffic detection apparatus and method based on modbus communication pattern learning | |
| US20150067764A1 (en) | Whitelist-based network switch | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| US11546295B2 (en) | Industrial control system firewall module | |
| CN110430191A (zh) | 调度数据网中基于协议识别的安全预警方法及装置 | |
| CN108270722A (zh) | 一种攻击行为检测方法和装置 | |
| CN101547127B (zh) | 一种内、外网络报文的识别方法 | |
| CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
| CN116938507A (zh) | 一种电力物联网安全防御终端及其控制系统 | |
| CN114339767B (zh) | 一种信令检测方法、装置、电子设备及存储介质 | |
| Feng et al. | Snort improvement on profinet RT for industrial control system intrusion detection | |
| Lima et al. | BP-IDS: Using business process specification to leverage intrusion detection in critical infrastructures | |
| US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
| CN103281300A (zh) | 远程文件包含漏洞的识别方法及装置 | |
| CN111917699A (zh) | 基于指纹鉴别非法设备仿冒哑终端的检测技术 | |
| CN108234405A (zh) | 一种基于智能网关的终端设备自动识别认证方法 | |
| Atkison et al. | Feature Extraction Optimization for Network Intrusion Detection in Control System Networks. | |
| US20210336972A1 (en) | Method for detecting lost account based on multiple dimensions | |
| CN114157456A (zh) | 适用于控制系统的EtherCAT安全监测装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130213 Termination date: 20180327 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |