CN101577645B - 检测仿冒网络设备的方法和装置 - Google Patents
检测仿冒网络设备的方法和装置 Download PDFInfo
- Publication number
- CN101577645B CN101577645B CN2009100869730A CN200910086973A CN101577645B CN 101577645 B CN101577645 B CN 101577645B CN 2009100869730 A CN2009100869730 A CN 2009100869730A CN 200910086973 A CN200910086973 A CN 200910086973A CN 101577645 B CN101577645 B CN 101577645B
- Authority
- CN
- China
- Prior art keywords
- network equipment
- port information
- port
- counterfeit
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000001514 detection method Methods 0.000 claims abstract description 31
- 230000001419 dependent effect Effects 0.000 claims description 11
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 16
- 238000012360 testing method Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 238000004519 manufacturing process Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000006854 communication Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000003321 amplification Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种检测仿冒网络设备的方法和装置。其中,一种检测仿冒网络设备的方法包括:获取与合法网络设备运行的各应用程序相应的第一端口信息,以及与所述合法网络设备接收得到的报文所属应用程序相应的第二端口信息;匹配所述第二端口信息与获取的所述第一端口信息;在所述第二端口信息与所述第一端口信息匹配失败时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。本发明在检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备时,在合法网络设备上即可以完成检测过程,仿冒网络设备避开检测的难度较大,检测过程相对简单,明显提高了仿冒网络设备的检测效率。
Description
技术领域
本发明涉及局域网技术,特别是涉及一种检测仿冒网络设备的方法和装置。
背景技术
因特网协议(Internet Protocol,简称IP)规定每个网络设备的IP地址是唯一的,且在以太网(Ethernet)中每个网络设备都有唯一的介质访问控制(Media Access Control,简称MAC)地址,因此,网络设备可通过IP地址和MAC地址结合的方式唯一标识。
在基于美国电气电子工程师学会(Institute of Electrical andElectronic Engineers,简称IEEE)802委员会制定的局域网(Local AreaNetwork,简称LAN)标准中的802.1x认证协议,进行用户接入认证的过程中,需要访问外部网络的第一网络设备向交换机发送接入认证请求;交换机将接入认证请求转发给认证服务器,由认证服务器对该认证请求进行认证;如果认证通过,交换机可打开相应的交换机端口,在局域网和外部网络之间放行具有第一网络设备的IP地址和MAC地址的报文;以下将已通过接入认证的网络设备称为合法网络设备。如果有人将自己使用的网络设备(以下称为第二网络设备)的IP地址和MAC地址,分别与合法网络设备的IP地址和MAC地址设置得完全一致,第二网络设备则不需要进行接入认证就可访问外部网络。以下将自身的MAC地址和IP地址设置成与其他网络设备真实的MAC地址和IP地址的网络设备,称为仿冒网络设备。如果局域网中存在仿冒网络设备,交换机则无法区分已通过接入认证的合法网络设备还是仿冒网络设备,仿冒网络设备无需认证即可访问外部网络并可获得合法网络设备相同的权益,从而增加了安全隐患。
为了检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备,现有技术提供了两种实现方法。现有技术一是基于仿冒网络设备的特征实现检测,例如可通过检测局域网中是否有不同网络设备存在完全相同的IP地址和MAC地址,进而判断局域网中是否存在仿冒网络设备。该检测数据包容易被仿冒网络设备通过一些过滤机制,如增设防火墙的方式过滤掉,从而使得仿冒网络设备躲过检测。现有技术二可采用交换机和网络设备一起配合统计流量的方法实现,例如可通过检测合法网络设备上的网络流量和交换机上的网络流量是否一致,进而判断网络中是否存在仿冒网络设备。但该方法需要相应设备在有限的资源上分出部分资源以进行流量统计,因而影响了设备性能,此外,由于交换机和合法网络设备之间在检测过程中存在信息交互,因此增加了网络部署及网络设备维护的难度,使得该方法实现的复杂度较高。
通过上述分析可知,检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备的现有技术,至少存在着检测效率较低的技术缺陷。
发明内容
本发明提供一种检测仿冒网络设备的方法和装置,用以提高局域网中是否存在仿冒网络设备的检测效率。
本发明提供了一种检测仿冒网络设备的方法,包括:
获取与合法网络设备运行的各应用程序相应的第一端口信息,以及与所述合法网络设备接收得到的报文所属应用程序相应的第二端口信息;
匹配所述第二端口信息与获取的所述第一端口信息;
在所述第二端口信息与所述第一端口信息匹配失败时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。
本发明还提供了一种检测仿冒网络设备的装置,包括:
端口信息获取模块,用于获取与合法网络设备运行的各应用程序相应的第一端口信息,以及与所述合法网络设备接收得到的报文所属应用程序相应的第二端口信息;
匹配模块,用于匹配所述第二端口信息与获取的所述第一端口信息;
判决模块,用于在所述第二端口信息与所述第一端口信息匹配失败时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。
本发明在检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备时,只需要在合法网络设备上即可以完成仿冒网络设备的检测过程,所以仿冒网络设备避开检测的难度较大,检测过程相对简单,明显提高了仿冒网络设备的检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明第一实施例提供的检测仿冒网络设备的方法流程图;
图2为本发明检测仿冒网络设备的应用场景网络结构示意图;
图3为本发明第二实施例提供的检测仿冒网络设备的方法流程图;
图4为本发明第三实施例提供的检测仿冒网络设备的装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明第一实施例提供的检测仿冒网络设备的方法流程图。本实施例的执行主体可为安装在已通过接入认证的合法网络设备上的认证客户端。如图1所示,本实施例检测仿冒网络设备的方法包括:
步骤11、获取与合法网络设备运行的各应用程序相应的第一端口信息,以及与该合法网络设备接收得到的报文所属应用程序相应的第二端口信息。
合法网络设备是指通过接入认证的网络设备。合法网络设备在运行某一应用程序时,会为该应用程序随机选取一个网络应用端口,用以唯一标识哪些数据是属于该应用程序的。在合法网络设备合法运行某一应用程序过程中,合法网络设备上会开启与该应用程序相应的网络应用端口侦听接收的合法网络设备接收的数据包。当合法网络设备在接收到报文时,可根据报文中的网络应用端口信息,即第二端口信息,确定该报文是属于哪个应用程序的数据。
步骤12、匹配第二端口信息与获取的第一端口信息。
本步骤用于确定在已获取的第一端口信息中,是否存储有与第二端口信息相符的相应端口信息,从而进一步确定合法网络设备上是否有相应的端口在侦听接收的报文。
步骤13、在第二端口信息与第一端口信息匹配失败时,确定该合法网络设备当前所在的局域网中,存在与该合法网络设备相关的仿冒网络设备。
如果已获取的第一端口信息中,没有存储与第二端口信息的相应端口信息,说明合法网络设备上没有相应的网络应用端口在侦听该报文,该报文不是合法网络设备上运行的应用程序实际需要接收的报文,因此,该报文可能是仿冒网络设备向外部网络发送的报文,从而确定局域网中存在与该合法网络设备相关的仿冒网络设备。
下面说明本实施例实现仿冒网络设备检测的机理:本实施例虽然仿冒网络设备和合法网络设备具有完全相同的IP地址和MAC地址,但在网络设备与外部网络通信过程,交互的数据包,如传输控制协议(Transmission ControlProtocol,简称TCP)或用户数据报协议(User Datagram Protocol,简称UDP数据包),都有一个端口来标识该数据包是属于哪个应用程序的数据,例如:遵循HTTP协议访问的应用程序对应的端口是80,而遵循FTP协议访问的应用程序对应的端口为21。根据以太网特性以及互联网协议的相关规定,具有相同IP地址和MAC地址的网络设备,如第一网络设备和第二网络设备,外部网络发送给第二网络设备的数据,第一网络设备也可收到,即第一网络设备可收到外部网络流向第二网络设备的数据包。假设第一网络设备为已通过接入认证的合法网络设备,第二网络设备为第一网络设备的仿冒网络设备。如果在第一网络设备上接收到数据包不属于第一网络设备当前运行的应用程序所需要接收的数据包时,则可认为第一网络设备所在的局域网中存在仿冒网络设备。
本实施例检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备时,只需要在合法网络设备上就可以完成仿冒网络设备的检测过程,所以仿冒网络设备是避开检测的难度较大,检测过程相对简单,明显提高了仿冒网络设备的检测效率。在检测出局域网中存在仿冒网络设备时,合法网络设备可通过下线的方式阻断仿冒网络设备对外部网络的访问,从而降低安全风险。
图2为本发明检测仿冒网络设备的应用场景网络结构示意图。在图2所示的应用场景中,假设第一主机基于802.1x协议已通过了局域网接入外部网络的接入认证,该情形下,第一主机即为合法主机,交换机上记录有第一主机的IP地址和MAC地址,并建立有交换机端口与第一主机的IP地址和MAC地址之间的绑定关系。当交换机接收到来自局域网或外部网络的报文时,交换机判断该报文是否包括有第一主机的IP地址和MAC地址,如果有,则通过绑定的交换机端口放行该报文,即将该报文路由到局域网内具有该IP地址和MAC地址的主机或路由到外部网络的相应设备上。
假设局域网通过集线器上连接有多个主机,图2仅示出了两个主机:第一主机和第二主机的情形。第一主机已通过了接入认证,为合法主机;假设第二主机将自身的IP地址和MAC地址,分别修改为第一主机的IP地址的MAC地址,这样第二主机IP地址和MAC地址与第一主机的IP地址的MAC地址完全相同,第二主机为第一主机的仿冒主机。当第二主机向交换机发送报文时,交换机识别报文中的IP地址和MAC地址,误认为该报文来自已经通过认证的第一主机,因而开启相应的交换机端口放行该报文,第二主机不需要进行接入认证,即可访问外部网络。
图3为本发明第二实施例提供的检测仿冒网络设备的方法流程图。本实施例是以图2所示的应用场景为例,说明本发明检测仿冒网络设备的方法的技术方案。本实施例执行主体可为某一认证客户端,该认证客户端可加载在已通过接入认证的合法用户设备,如:第一主机上。如图2和图3所示,本实施例检测仿冒网络设备的方法包括:
步骤31、假设第一主机通过接入认证,开始访问外部网络。
步骤32、在第一主机通过接入认证后,获取第一主机当前运行的各应用程序的第一端口信息,生成端口列表。
本步骤将第一主机上各运行的应用程序的网络应用端口记录成应用程序的端口列表并保存起来。各应用程序对应的端口可由第一主机在运行该运行用程序之前随机选取,用于唯一标识该应用程序。
端口列表可根据第一主机实际运行的应用程序进行更新,以使更新后的端口列表中存储的第一端口信息与第一主机当前运行的各应用程序匹配。例如:假设第一主机采用Web浏览器客户端软件浏览网页,第一主机上的Web浏览器随机采用了一个TCP52000端口作为自己的端口,则第一主机就把TCP52000端口加入到端口列表中,当Web浏览器客户端软件关闭的时候,就在端口列表中删除端口TCP52000。
在进行端口列表的更新过程中,第一主机可进行实时更新,也可以某一预设时间间隔进行更新。预设时间间隔可设置为0.5min~2min,优选的,预设时间间隔可设置为1min。
本步骤获取第一主机上各应用程序的网络应用端口的具体实现过程中,如果第一主机上运行的操作系统为Windows操作系统,则在Windows操作系统平台上可以采用串行外围设备接口(serial peripheral interface,简称SPI)技术获取第一主机运行的各应用程序的网络应用端口信息;如果第一主机上运行的操作系统为Unix/Linux操作系统,则在Unix/Linux操作系统平台上可以采用分析“/proc/net”的相关文件来获取第一主机运行的各应用程序的网络应用端口信息。
步骤33、每隔预设时间段,获取第一主机接收得到的TCP/UDP报文所属应用程序相应的第二端口信息。
第一主机和第二主机通过集线器(HUB)连接。集线器的主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离;其工作机理是广播(broadcast),无论是从集线器的哪一个端口接收到什么类型的数据包,都以广播的形式将数据包发送给集线器的其余的所有端口,由连接在这些端口上的网卡进行判断和处理这些信息,留下所需信息,否则丢弃。例如:网卡判断这些信息中哪些信息的IP地址和MAC地址与当前主机的IP地址和MAC地址相符,留下具有与当前主机IP地址和MAC地址匹配的IP地址与MAC地址的信息,而丢弃其他信息。基于集线器的广播特点,连接上同一集线器的任何设备,都可以捕捉到在集线器上传递的任何报文,并通过各设备的网卡的过滤处理而最终接收到各自所需的报文。可见,第一主机可接收到与第一主机具有相同IP地址和MAC地址的第二主机和外部网络交互的任何数据包。在第一主机接收到的数据包TCP/UDP报文时,可获取TCP/UDP报文中用于表示该报文属于哪个应用程序的数据的端口信息,即第二端口信息。
本步骤获取第一主机接收得到的TCP/UDP报文所属应用程序相应的第二端口信息的具体实现过程中,如果第一主机上运行的操作系统为Windows操作系统,则在Windows操作系统平台上可以采用“winpcap”开源的工具包来进行抓包,用以获取抓取的TCP/UDP报文所属应用程序的网络应用端口;如果第一主机上运行的操作系统为Unix/Linux操作系统,则在Unix/Linux操作系统平台上可以采用“libpcap”开源的工具包来进行抓包,用以获取抓取的TCP/UDP报文所属应用程序的网络应用端口
获取第二端口信息的预设时间段可设置为0.5min~2min,优选的,预设时间段可设置为1min。
步骤34、查询端口列表,以确定端口列表中是否存储有第二端口信息;如果端口列表中存储有第二端口信息,执行步骤33;否则,执行步骤35。
如果端口列表中存储有第二端口信息,说明第一主机当前接收到的数据包可能属于第一主机当前运行的某个应用程序的数据,该数据包为正常流量的可能性较大。
如果端口列表中没有存储有第二端口信息,说明第一主机当前接收到的数据包不属于第一主机当前运行的某个应用程序的数据,即第一主机当前接收到的数据包不是第一主机当前运行应用程序所需的数据,该数据包为异常流量,该情形下,说明第一主机所在的局域网中存在仿冒主机的可能性较大。
步骤35、以预设时间段统计第一主机接收到的与第二端口信息相应的报文的网络流量,将统计得到的网络流量作为异常网络流量。
举例说明:假设第二主机采用Web浏览器客户端软件浏览网页,第二主机上的Web浏览器随机采用了一个TCP13001端口作为自己的端口,那么当第一主机收到TCP13001端口的数据包时,TCP13001端口就不在第一主机生成的端口列表中,该情形表示局域网中第一主机可能存在仿冒主机。
由于第一主机接收的该报文不是第一主机当前运行的应用程序所需的报文,因此,该部分网络流量不是第一主机访问外部网络的正常网络流量,将这部分网络流量作为异常网络流量进行统计,以便进行确定局域网中是否存在仿冒主机的依据。统计异常网络流量的预设时间段可设置为0.5min~2min,优选的,预设时间段可设置为1min。
步骤36、在异常网络流量大于预设阈值时,确定合法的第一主机当前所在的局域网中,存在与第一主机相关的仿冒主机,即第二主机。
引入网络流量统计的优点在于进行容错处理,用以提高仿冒主机检测的准确性。例如:假设第一主机上运行的应用程序(如I E浏览器)由于某种原因崩溃了,该应用场景下也存在第二端口信息和第一端口信息不匹配的可能性,但此时与第二端口信息相应的报文不是发送给仿冒主机,而是发送给合法的第一主机。如果简单的根据第二端口信息与第一端口信息不匹配的比较结果,判断局域网中存在与第一主机相关的防冒主机而迫使第一主机下线进行阻断处理,则会降低仿冒网络设备检测的准确性,影响第一主机的利益。
下面说明通过统计异常网络流量以提高仿冒网络设备检测的准确性的实现机理:如果第一主机上运行的某应用程序已发生了故障,但外部网络尚未发现第一主机上运行的该应用程序已发生了故障,外部网络网元仍然还可能继续向第一主机发送数据包;由于第一主机上已崩溃的应用程序对应的端口不再侦听接收的报文,第一主机会向外部网络发送诸如“端口不可达”等故障通知消息;当外部网络网元接收到该故障通知消息时,则会停止向第一主机发送与该应用程序相关的数据包。可见,对于第一主机运行的应用程序崩溃造成的第二端口信息与第一端口信息不匹配的情形,异常网络流量较小。而如果是由于局域网中存在仿冒主机而造成的第二端口信息与第一端口信息不匹配的情形,仿冒主机与外部网络通信的网络流量通常较大,并且随着时间的推延,异常网络流量通常还可能有增长趋势。本实施例通过对预设时间段内的异常网络流量进行统计,如果在预设时间段内的异常网络流量较小,说明该部分异常网络流量可能是由于第一主机运行的应用程序崩溃造成的第二端口信息与第一端口信息不匹配;如果在预设时间段内的异常网络流量较大,随着时间的推延,异常网络流量有增长趋势,则说明局域网中出现于第一主机相关的仿冒主机的可能性较大。通过对网络流量的统计进行进一步判决,从而提高判断局域网中是否存在仿冒网络设备的准确性。
如果在预设时间段M内统计得到的异常网络流量总和,大于预设阈值时,可确定第一主机当前所在的局域网中存在与第一主机相关的仿冒主机。预设阈值可设为20KB~40KB,优选的,预设阈值的大小为20KB。
步骤37、第一主机下线,以阻断第二主机访问外部网络。
本步骤在第一主机所在的局域网中存在与第一主机相关的仿冒主机时,第一主机下线,从而使得第二主机无法访问外部网络。需要说明的是,本步骤仅提供了一种阻断仿冒主机访问外部网络的实现方式。在基于本发明实施例技术方案实现仿冒网络设备的检测结果上,本领域技术人员可采用其他用于阻断方法以使仿冒网络设备不经过接入认证无法访问外部网络,在此不再赘述。
本实施例相对于传统的使用交换机与合法主机配合统计流量的仿冒网络设备的检测方法而言,只需要在单独的合法主机,如第一主机上进行检测,在进行仿冒主机的检测过程中不需要交换机与第一主机进行信息交互,显著降低了交换机和第一主机交互流程的复杂度,同时显著降低了第一主机的负担。相对于现有的另一种基于检测仿冒终端的特征来实现仿冒网络设备的检测方法而言,本实施例的检测机制是利用以太网广播特性以及互联网协议中的数据传输的规定来进行检测的,检测过程不需要仿冒主机的参与,检测机制被仿冒主机破解的难度显著增加,使得仿冒主机躲过检测的几率显著降低。因此,本实施例降低了仿冒主机检测的实现复杂度,从而提高检测仿冒主机的效率。
虽然图2仅示出了局域网中存在一个仿冒主机的情形,但本领技术人员可以理解,对于局域网中存在两个或两个以上的仿冒主机的情形下,第一主机检测仿冒主机的实现方式与本实施例相似,不再赘述。
图4为本发明第三实施例提供的检测仿冒网络设备的装置结构示意图。如图4所示,检测仿冒网络设备的装置包括:端口信息获取模块41、匹配模块42和判决模块43。
端口信息获取模块41用于获取与合法网络设备运行的各应用程序相应的第一端口信息,以及与合法网络设备接收得到的报文所属应用程序相应的第二端口信息。
匹配模块42用于匹配第二端口信息与获取的第一端口信息。
判决模块43用于在第二端口信息与第一端口信息匹配失败时,确定合法网络设备当前所在的局域网中,存在与合法网络设备相关的仿冒网络设备。
在上述技术方案的基础上,检测仿冒网络设备的装置还可包括:端口列表生成模块44和端口列表更新模块45。
端口列表生成模块44用于根据获取的第一端口信息,生成端口列表。
端口列表更新模块45用于实时或以预设时间间隔更新端口列表,以使更新后的端口列表中存储的第一端口信息与合法网络设备当前运行的各应用程序匹配。
相应的,匹配模块42还用于查询端口列表生成模块44生成的端口列表,以确定端口列表中是否存储有第二端口信息。
可选的,在上述技术方案的基础上,判决模块43可进一步包括:异常流量统计单元431和判决单元432。
异常流量统计单元431用于在查询结果表示端口列表中没有存储第二端口信息时,统计与第二端口信息相应的报文的网络流量。
判决单元432用于在网络流量大于预设阈值时,确定合法网络设备当前所在的局域网中,存在与合法网络设备相关的仿冒网络设备。
本实施例检测仿冒网络设备的装置在实现实体上,可作为一个独立的设备,也可作为具有上述功能的模块加载在现有网络设备中,例如可作为某一网络设备上加载的认证客户端。基于本实施例提供的装置检测仿冒网络设备,检测过程相对简单,提高了仿冒网络设备的检测效率。在检测出局域网中存在仿冒网络设备时,合法网络设备可通过下线的方式阻断仿冒网络设备对外部网络的访问,从而降低安全风险。有关本实施例实现仿冒网络设备检测的机理与实现方法可参见图1~图3对应实施例的记载,不再赘述。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。
Claims (10)
1.一种检测仿冒网络设备的方法,其特征在于,包括:
获取与合法网络设备运行的各应用程序相应的第一端口信息,以及与所述合法网络设备接收得到的报文所属应用程序相应的第二端口信息;
匹配所述第二端口信息与获取的所述第一端口信息;
在所述第二端口信息与所述第一端口信息匹配失败时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。
2.根据权利要求1所述的检测仿冒网络设备的方法,其特征在于,所述获取与合法网络设备运行的各应用程序相应的第一端口信息之后,还包括:
根据获取的所述第一端口信息,生成端口列表。
3.根据权利要求2所述的检测仿冒网络设备的方法,其特征在于,所述生成端口列表之后,还包括:
实时或以预设时间间隔更新所述端口列表,以使更新后的端口列表中存储的第一端口信息与所述合法网络设备当前运行的各应用程序匹配。
4.根据权利要求2或3所述的检测仿冒网络设备的方法,其特征在于,所述匹配所述第二端口信息与获取的所述第一端口信息,包括:
查询所述端口列表以确定所述端口列表中是否存储有所述第二端口信息。
5.根据权利要求4所述的检测仿冒网络设备的方法,其特征在于,在所述第二端口信息与所述第一端口信息匹配失败时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备,包括:
在查询结果表示所述端口列表中没有存储所述第二端口信息时,统计与所述第二端口信息相应的报文的网络流量;
在所述网络流量大于预设阈值时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。
6.一种检测仿冒网络设备的装置,其特征在于,包括:
端口信息获取模块,用于获取与合法网络设备运行的各应用程序相应的第一端口信息,以及与所述合法网络设备接收得到的报文所属应用程序相应的第二端口信息;
匹配模块,用于匹配所述第二端口信息与获取的所述第一端口信息;
判决模块,用于在所述第二端口信息与所述第一端口信息匹配失败时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。
7.根据权利要求6所述的检测仿冒网络设备的装置,其特征在于,还包括:
端口列表生成模块,用于根据获取的所述第一端口信息,生成端口列表。
8.根据权利要求7所述的检测仿冒网络设备的装置,其特征在于,还包括:
端口列表更新模块,用于实时或以预设时间间隔更新所述端口列表,以使更新后的端口列表中存储的第一端口信息与所述合法网络设备当前运行的各应用程序匹配。
9.根据权利要求7或8所述的检测仿冒网络设备的装置,其特征在于,
所述匹配模块还用于查询所述端口列表以确定所述端口列表中是否存储有所述第二端口信息。
10.根据权利要求9所述的检测仿冒网络设备的装置,其特征在于,所述判决模块包括:
异常流量统计单元,用于在查询结果表示所述端口列表中没有存储所述第二端口信息时,统计与所述第二端口信息相应的报文的网络流量;
判决单元,用于在所述网络流量大于预设阈值时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100869730A CN101577645B (zh) | 2009-06-12 | 2009-06-12 | 检测仿冒网络设备的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100869730A CN101577645B (zh) | 2009-06-12 | 2009-06-12 | 检测仿冒网络设备的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101577645A CN101577645A (zh) | 2009-11-11 |
| CN101577645B true CN101577645B (zh) | 2011-06-22 |
Family
ID=41272439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100869730A Expired - Fee Related CN101577645B (zh) | 2009-06-12 | 2009-06-12 | 检测仿冒网络设备的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101577645B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271051A (zh) * | 2010-06-07 | 2011-12-07 | 联想(北京)有限公司 | 一种判断计算机接入网络异常的方法、装置及计算机 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873640B (zh) * | 2010-05-27 | 2013-04-24 | 华为终端有限公司 | 流量处理方法、装置和移动终端 |
| CN105188083A (zh) * | 2015-08-25 | 2015-12-23 | 广东欧珀移动通信有限公司 | 测试智能终端应用下载速度的方法、装置和智能终端 |
| CN107071085A (zh) * | 2017-04-19 | 2017-08-18 | 新华三技术有限公司 | 网络设备mac地址配置方法及装置 |
| CN108810948B (zh) * | 2018-05-29 | 2021-03-19 | 每日互动股份有限公司 | 一种鉴别真实流量的方法 |
| CN109981661B (zh) * | 2019-03-29 | 2022-04-22 | 新华三技术有限公司 | 一种监测mac地址的方法、装置及电子设备 |
| CN112153027B (zh) * | 2020-09-14 | 2022-11-25 | 杭州迪普科技股份有限公司 | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
| CN117294673B (zh) * | 2023-11-16 | 2024-02-23 | 深圳万物安全科技有限公司 | 数据资源的处理方法、数据资源的处理装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553648A (zh) * | 2003-06-04 | 2004-12-08 | 华为技术有限公司 | 用于检测及处理仿冒网络服务的方法 |
| CN1878056A (zh) * | 2006-07-13 | 2006-12-13 | 杭州华为三康技术有限公司 | 局域网中确定是否存在仿冒的网络设备的方法 |
| CN101378395A (zh) * | 2008-10-10 | 2009-03-04 | 福建星网锐捷网络有限公司 | 一种防止拒绝访问攻击的方法及装置 |
-
2009
- 2009-06-12 CN CN2009100869730A patent/CN101577645B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553648A (zh) * | 2003-06-04 | 2004-12-08 | 华为技术有限公司 | 用于检测及处理仿冒网络服务的方法 |
| CN1878056A (zh) * | 2006-07-13 | 2006-12-13 | 杭州华为三康技术有限公司 | 局域网中确定是否存在仿冒的网络设备的方法 |
| CN101378395A (zh) * | 2008-10-10 | 2009-03-04 | 福建星网锐捷网络有限公司 | 一种防止拒绝访问攻击的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2003-318934A 2003.11.07 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271051A (zh) * | 2010-06-07 | 2011-12-07 | 联想(北京)有限公司 | 一种判断计算机接入网络异常的方法、装置及计算机 |
| CN102271051B (zh) * | 2010-06-07 | 2014-07-30 | 联想(北京)有限公司 | 一种判断计算机接入网络异常的方法、装置及计算机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101577645A (zh) | 2009-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101577645B (zh) | 检测仿冒网络设备的方法和装置 | |
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| US8627477B2 (en) | Method, apparatus, and system for detecting a zombie host | |
| US7167922B2 (en) | Method and apparatus for providing automatic ingress filtering | |
| US8875233B2 (en) | Isolation VLAN for layer two access networks | |
| CN100586106C (zh) | 报文处理方法、系统和设备 | |
| US8638762B2 (en) | System and method for network integrity | |
| CN101252592B (zh) | 一种ip网络的网络溯源方法和系统 | |
| CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| CN101888329B (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| CN109587156B (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN101257416B (zh) | 基于网络与基于主机相结合的联网式异常流量防御方法 | |
| US20210092610A1 (en) | Method for detecting access point characteristics using machine learning | |
| CN107733867B (zh) | 一种发现僵尸网络及防护的方法、系统和存储介质 | |
| KR100996288B1 (ko) | 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법 | |
| CN101651696A (zh) | 一种防止nd攻击的方法及装置 | |
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| CN104270325B (zh) | CPE设备基于Linux实现公网接入用户数限制的系统及方法 | |
| CN104883362A (zh) | 异常访问行为控制方法及装置 | |
| CN112134775B (zh) | 一种交换机环路检测方法和装置 | |
| CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
| CN101707535B (zh) | 检测仿冒网络设备的方法和装置 | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| CN114584352B (zh) | 多网络互联的网络违规外联检测方法、装置及系统 | |
| CN113556337A (zh) | 终端地址识别方法、网络系统、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110622 |