CN101867578A - 检测仿冒网络设备的方法和装置 - Google Patents
检测仿冒网络设备的方法和装置 Download PDFInfo
- Publication number
- CN101867578A CN101867578A CN201010193295A CN201010193295A CN101867578A CN 101867578 A CN101867578 A CN 101867578A CN 201010193295 A CN201010193295 A CN 201010193295A CN 201010193295 A CN201010193295 A CN 201010193295A CN 101867578 A CN101867578 A CN 101867578A
- Authority
- CN
- China
- Prior art keywords
- message
- counterfeit
- data
- data message
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 114
- 238000001514 detection method Methods 0.000 claims abstract description 63
- 230000006855 networking Effects 0.000 claims description 61
- 230000005540 biological transmission Effects 0.000 claims description 37
- 238000004519 manufacturing process Methods 0.000 claims description 8
- 238000001914 filtration Methods 0.000 claims description 7
- 238000012986 modification Methods 0.000 abstract description 2
- 230000004048 modification Effects 0.000 abstract description 2
- 238000012545 processing Methods 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 77
- 238000005538 encapsulation Methods 0.000 description 10
- 230000004044 response Effects 0.000 description 9
- 230000006872 improvement Effects 0.000 description 5
- 238000010276 construction Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000002950 deficient Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供一种检测仿冒网络设备的方法和装置,方法包括:通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文;对截获到的数据报文中是否包含发送方地址为本机地址、且尾部添加有冗余数据的仿冒数据报文进行检测;若检测到数据报文中包含仿冒数据报文,则识别发送仿冒数据报文的网络设备为仿冒本机的网络设备。本发明在不依赖于网络设备必须对接收的请求报文做出响应的前提下,利用本机的操作系统网络组件,通过简单的检测便实现了对影子用户的准确识别;进一步地,本发明配置简单,无需对用户终端的数据报文发送处理流程进行任何改进,无需增加网络接入设备及网络带宽负担,是一种可靠且可行的识别检测影子用户的方案。
Description
技术领域
本发明涉及电子通信技术领域,尤其涉及一种检测仿冒网络设备的方法和装置。
背景技术
影子用户是指非法用户企图不通过身份认证,而直接采用合法用户的网际协议(Internet Protocol,简称IP)地址和媒体访问控制(Media Access Control,简称MAC)地址进行网络访问的用户。由于影子用户的IP地址和MAC地址都伪造的与合法用户一样,因而在影子用户接入至网络中时,网络接入设备并不会对此报警,网络也不会出现常规的IP地址冲突的提示,非法用户可以直接利用合法用户已经通过的身份认证取得网络的访问权,对网络进行访问。从网络的安全角度考虑,影子用户的存在不仅给网络留下很大的安全隐患,而且还给合法用户带来了经济和安全的危险,为当前网络维护中迫切需要解决的问题。
现有技术中常见的用于防御影子用户的方法有两种。第一种方法为通过网络设备周期性地进行地址解析协议(Address Resolution Protocol,简称ARP)或者网际控制信息协议(Internet Control Message Protocol,简称ICMP)扫描而实现。在该方法中,网络设备周期性地针对某一主机设备的IP地址和MAC地址,在网络中发送ARP请求报文或者ICMP请求报文,若针对同一个请求报文,该网络设备接收到对应的多个主机设备返回的多个应答报文,则可以证明网络中必然存在与该IP地址和MAC地址对应的主机用户的影子用户。
但是这种方法存在一定的缺陷:在实际应用中,很多主机设备在安装控制软件时,针对某些常见的请求报文,例如上述的ARP或ICMP请求报文,会对应地设置“静默”模式,即对于接收到的此类请求报文,设置了“静默”模式的主机设备并不会做出响应,返回相应的应答报文。而上述影子用户的识别方法却建立在网络中所有的主机设备对于接收到的、针对本机的请求报文均将做出响应的基础上,因而当网络中存在设置了“静默”模式的主机设备时,上述识别方法将失效,无法准确地检测出影子用户的存在。
第二种方法为通过在合法客户端发送每个数据报文时,在数据报文中添加唯一的标识数据予以实现,即在该方法中,网络接入设备在接收到对应的主机设备发送的每个数据报文后,均对接收到的数据报文中是否包含对应的标识数据以对及包含的标识数据是否准确进行检测,只有在检测到数据报文包含了正确的标识数据时,才放行通过该数据报文。从而对于仿冒主机设备的影子用户而言,由于其并不知道主机设备需添加的标识数据,因而其无法通过接入设备的检测,便无法取得对网络的访问权。
但是这种方法同样存在一定的缺陷:首先,对于合法主机设备而言,在每次发送数据报文时都需在数据报文中添加指定的标识数据,不仅极大地增加了用户端的工作量,而且还加大了网络接入设备的处理负担和网络带宽压力,尤其不适用于大规模网络环境中。其次,为合法数据报文添加标识数据的操作实质上相当于对数据报文进行加密处理,若处理的方式较为简单,不但不能起到防御影子用户的目的,反而还会引起更大的安全隐患。
发明内容
本发明提供一种检测仿冒网络设备的方法和装置,用以实现一种可靠的影子用户的识别检测方法,适用于各种网络环境中。
为实现上述目的,本发明提供一种检测仿冒网络设备的方法,包括:
通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文;
对截获到的所述数据报文中是否包含发送方地址为本机地址、且尾部添加有冗余数据的仿冒数据报文进行检测;
若检测到所述数据报文中包含所述仿冒数据报文,则识别发送所述仿冒数据报文的网络设备为仿冒本机的网络设备。
为实现上述目的,本发明还提供一种检测仿冒网络设备的装置,包括:
报文截获模块,用于通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文;
报文检测模块,用于对所述报文截获模块截获到的所有数据报文中是否包含发送方地址为本机地址、且尾部添加有冗余数据的仿冒数据报文进行检测;
识别模块,用于若所述报文检测模块检测到所述数据报文中包含有所述仿冒数据报文,则识别发送所述仿冒数据报文的网络设备为仿冒本机的网络设备。
本发明提供的检测仿冒网络设备的方法和装置,通过在用户终端通过操作系统网络组件截获到本机网卡发送和接收的所有数据报文后,对该数据报文中是否包含有发送方地址为本机地址、且尾部添加了冗余数据的仿冒数据报文进行检测,且在检测到仿冒数据报文后,将发送该仿冒数据报文的网络设备识别为本机的影子用户,从而对于客户终端而言,在不依赖于网络设备必须对接收的请求报文做出响应的前提下,利用本机的操作系统网络组件,通过简单的检测便实现了对影子用户的准确识别;进一步地,本发明的实现无需对用户终端的数据报文发送处理流程进行任何改进,配置实现简单,无需增加网络接入设备及网络带宽负担,能够很好的适用于大规模网络环境中,是一种可靠且可行的检测识别影子用户的方案。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明检测仿冒网络设备的方法实施例一的流程图;
图2为本发明应用的操作系统网络体系结构的示意图;
图3为本发明检测仿冒网络设备的方法实施例二的流程图;
图4为本发明检测仿冒网络设备的装置实施例一的结构示意图;
图5为本发明检测仿冒网络设备的装置实施例二的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明检测仿冒网络设备的方法实施例一的流程图,如图1所示,本实施例具体包括如下步骤:
步骤100,通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文;
对于网络中的每个计算机设备而言,其自身的操作系统中都设置有一套网络体系结构,通过该网络体系结构,操作系统可以控制该计算机设备的整个网络行为,包括该计算机设备发送或接收网络数据报文的所有网络行为。图2为本发明应用的操作系统网络体系结构的示意图,如图2所示,当计算机设备的某一应用程序对外部网络进行访问时,该应用程序访问及上传给外部网络的所有数据均将经由本机的操作系统网络体系结构的控制,并通过网卡传输至外部网络中,同时外部网络反馈回该计算机设备的所有网络数据同样也将通过网卡接收,并经由操作系统网络体系结构返回至应用程序中。
由于网卡为计算机连接外部网络的接口,计算机与外部网络传输交互的所有数据均将通过网卡接收和发送,同时计算机的操作系统网络体系结构又用于在网卡发送本机数据之前,以及在网卡接收网络数据之后,对计算机的整个网络行为进行控制,因而,在本实施例中,通过计算机的操作系统网络体系结构,可以对本机网卡接收到或待发送出的所有网络数据报文进行拦截。具体地,此处所指的操作系统网络体系结构,为对操作系统所有参与网络处理的网络组件以及这些网络组件协同工作的统称,而本步骤的通过计算机的操作系统网络体系结构,对本机网卡接收和待发送的数据进行拦截,具体指通过计算机的操作系统网络组件,对网卡设置为混杂模式时接收或待发送的所有数据报文进行的拦截。
实际应用中,该操作系统网络组件具体可以为操作系统的网络驱动程序,或者为操作系统参与网络行为的应用层组件程序。而通过该操作系统网络组件,对网卡处于混杂模式下传输的网络数据报文进行截获的原因在于:只有在网卡设置为混杂模式时,操作系统网络组件截获到的经由网卡的数据报文才能够包括:本机接收到的以及待发送的所有网络数据报文,而反之,若网卡未设置在混杂模式下,通过操作系统网络组件则只能截获到网卡接收到的目的MAC地址为本机MAC地址的数据报文。
步骤101,对截获到的数据报文中是否包含发送方地址为本机地址、且尾部添加有冗余数据的仿冒数据报文进行检测;
步骤102,若检测到数据报文中包含仿冒数据报文,则识别发送仿冒数据报文的网络设备为仿冒本机的网络设备。
在主机设备通过操作系统网络组件截获到本机网卡接收到以及待发送的所有数据报文后,为了根据截获到的数据报文,检测网络中是否存在仿冒本机的网络设备,将在截获到的所有数据报文中,对其中是否包含发送方地址为本机地址、且尾部添加有冗余数据的数据报文进行检测。
具体地,由于对于网络中的主机设备而言,通常多个主机设备通过共有的集线器连接至网络中,尤其是对于网络中仿冒合法主机设备的IP地址及MAC地址进行网络访问的影子用户而言,其若想仿冒某一合法主机设备接入至网络时,就必定需要与该被仿冒的合法主机设备一起,连接在同一个集线器下,通过同一个接入设备接入至网络中。而集线器的基本工作原理为采用广播发送技术,即集线器无论从任意一个端口收到一个数据报文时,该集线器并不记忆或学习该数据报文对应于哪一个主机设备的MAC地址,以及连接在哪一个端口下,而是均将该数据包广播发送到其它的所有端口中。
因而按照集线器的该工作原理,连接在集线器的任何一个端口下的主机设备,均能接收到该集线器的其他端口下连接的主机设备发送出的任何数据报文。应用在本发明中,即若在网络中存在某一主机设备的影子用户时,该影子用户发送至网络的所有数据报文,都将通过集线器被广播至所有端口,同样该被仿冒的主机设备通过该集线器,也将接收到该影子用户发出的此类仿冒数据报文。进一步地,由于在上述步骤100中,主机设备通过自身的操作系统网络组件,能够截获到本机网卡接收和待发送的所有数据报文,因此,在本发明中,若通过对截获到的数据报文进行检测,主机设备能够在该截获到的所有数据报文中,检测到影子用户发送的此类仿冒数据报文,根据该检测结果便可以断定网络中必定存在该主机设备的影子用户,在仿冒该主机设备的地址对网络进行访问。
因而根据上述推断,在本发明中,为了在操作系统网络组件截获到的所有数据包中检测出该类仿冒数据报文,关键在于确定此类仿冒数据报文的固定特征。具体地,由于此类仿冒数据报文由影子用户仿冒合法主机设备的IP地址和MAC地址发出,因而首先此类仿冒数据报文的发送方地址必定为该合法主机设备的本机地址,即与合法主机设备本机发送的数据报文的发送方地址是一样的。其次,由于此类仿冒数据报文为合法主机设备的影子用户发送至网络的数据,因而在影子用户设备发出该仿冒数据报文之前,必定对该仿冒数据报文进行了网络层协议的封装,即此类仿冒数据报文还必定遵循以太网协议定义的数据报文的格式,这一点却与操作系统网络组件截获到的、合法主机设备待发送的合法数据报文不同。
具体地,对于在合法主机设备中,通过操作系统网络组件截获到的网卡在混杂模式下接收及待发送的所有数据报文中,实质上可以包括下述三种类型的数据报文:
第一种为合法主机设备自身待发送的数据报文,此类数据报文的发送方地址为该合法主机设备的本机地址,但是由于此类数据报文还未进行到网卡层,即还未经过网卡的网络数据封装,因此该数据报文还未具备以太网协议定义的数据报文的格式;
第二种为合法主机设备接收到的网络中的其他主机设备发送它的合法数据报文,这类数据报文由于通过网络发送,因而必定已经遵循以太网协议定义的数据报文的格式,但是由于这类数据报文是由网络中的其他主机设备发送给该合法主机设备的,因而该数据报文的发送方地址应该为其他主机设备的地址,只有接收方地址才为该合法主机设备的本机地址;
第三种为该合法主机设备的影子用户设备发送的仿冒数据报文,针对此类数据报文,根据上述的分析,此类数据报文为影子用户仿冒合法主机设备的地址发送出,因而其发送方地址为合法主机设备自身的本机地址,其次,影子用户设备在发出该仿冒数据报文之前,为了使发送的数据报文符合网络协议的规定,必定对该仿冒数据报文进行了网络层协议的封装,因而,此类数据报文还具备了以太网协议定义的数据报文的格式。
由此可见,在合法用户设备通过操作系统网络组件截获到的网卡在混杂模式下接收及待发送的所有数据报文中,只有当网络中存在仿冒该合法用户设备的地址进行网络行为的影子用户设备时,截获到的数据报文中才会包括发送方地址为该合法用户设备的本机地址、并符合以太网协议数据报文格式的仿冒数据报文。因而若主机设备在自身通过操作系统网络组件截获到的所有数据报文中进行检测,且检测到该数据报文中包含了此类仿冒数据报文时,则可以断定及识别出发送该仿冒数据报文的网络设备为一仿冒本机地址的网络设备,网络中必定存在合法主机设备的影子用户。
具体地,由于在实际应用中,所谓的数据报文符合以太网协议规定的格式中最主要以及最明显的一点为:网络中传输的数据报文必须满足以太网协议规定的每个以太网数据帧的长度不得小于64字节的最小帧长。但是在传输控制协议/因特网互联协议(Transmission Control Protocol/Internet Protocol,简称TCP/IP)定义的很多常见的协议类报文中,例如常见的ARP报文、以及TCP协议定义的、不携带有可送数据域的最终握手报文(Final-AcknowledgeCharacter,简称Final-ACK)等,这些协议类报文的实质长度均是小于以太网帧规定的最小长度64字节的。具体地,例如ARP报文实质上只有42字节,而不携带可送数据域的Final-ACK报文实质上只有54字节。因而在网络设备发送这些网际协议中定义的、协议帧长度小于以太网帧最小长度的协议类报文时,为了使其符合以太网协议规定的网络数据报文的格式,通常会在经过设备网卡发送的时候,通过网卡在这些协议类报文的尾部添加大小相当的冗余数据,使得该协议类报文达到以太网协议要求的最小帧长。
从而对于已经经过网卡封装的网络数据报文和未经过网卡封装的数据报文而言,两者最大的区别便在于:上述这些以太网协议中定义的协议帧长度小于以太网最小帧长的协议类报文,是否经过封装达到了以太网最小帧长64字节,即这些协议类报文的尾部是否添加了冗余数据。若某一协议类报文的尾部添加了冗余数据,则代表该协议类报文必定经过了网络设备网卡的封装,为符合以太网协议规定格式的网络数据报文。
因而应用在本发明中,上述步骤101中的对截获到的数据报文中是否包含发送方地址为本机地址、且符合以太网协议数据报文格式的仿冒数据报文进行检测具体可以为:对截获到的数据报文中是否包含发送方地址为本机地址、且尾部添加了冗余数据的仿冒数据报文进行的检测,若通过检测,主机设备发现其通过操作系统网络组件截获到的所有数据报文中,包含了符合上述条件的仿冒数据报文,则可以断定及识别出发送该仿冒数据报文的网络设备为一仿冒本机地址的网络设备,因而网络中必定存在合法主机设备的影子用户。
需要说明的是,由于在网络传输应用中,上述的以太网协议定义的协议帧长度小于以太网最小帧长的协议类报文,包括了网络业务应用中最为常见普通且必需的协议类报文,例如上述的ARP报文及不携带有可送数据域的Final-ACK报文均为主机设备在进行网络访问过程中无法避免传输的数据报文。因而在影子用户设备在仿冒合法主机设备的地址进行网络访问的过程中,也无法避免的将发送出此类协议数据报文,因此,在本发明中,针对此类协议数据报文进行检测,能够很可靠准确地检测到影子用户的存在,即本发明的检测仿冒网络设备的方法是十分可靠可行的。
本实施例的检测仿冒网络设备的方法,通过在用户终端通过操作系统网络组件截获到本机网卡发送和接收的所有数据报文后,对该数据报文中是否包含有发送方地址为本机地址、且尾部添加了冗余数据的仿冒数据报文进行检测,且在检测到仿冒数据报文后,将发送该仿冒数据报文的网络设备识别为本机的影子用户,从而对于客户终端而言,在不依赖于网络设备必须对接收的请求报文做出响应的前提下,利用本机的操作系统网络组件,通过简单的检测便实现了对影子用户的准确识别;进一步地,本发明的实现无需对用户终端的数据报文发送处理流程进行任何改进,配置实现简单,无需增加网络接入设备及网络带宽负担,能够很好地适用于大规模网络环境中,是一种可靠且可行的识别检测影子用户的方案。
图3为本发明检测仿冒网络设备的方法实施例二的流程图,如图3所示,本实施例具体包括如下步骤:
步骤200,将本机待发送的、尾部添加有冗余数据的数据报文进行过滤,以去除待发送数据报文中添加的冗余数据;
在上述实施例的基础上,本实施例中,为了使后续对影子用户发送的仿冒数据报文的检测更加精确,在主机设备通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文之前,将首先对主机设备本机待发送的、尾部添加有冗余数据的数据报文进行过滤,以去除掉待发送数据报文中添加的冗余数据。
具体地,本实施例中,主机设备在通过某一操作系统网络组件截获本机网卡接收和待发送的数据报文之前,可以在该操作系统网络组件之前的另一操作系统网络组件中,对主机设备本机待发送的、尾部添加有冗余数据的数据报文进行过滤,具体指对那些协议帧长小于以太网最小帧长的协议类报文的尾部冗余数据进行过滤,从而以去除掉本机待发送的该类协议类报文的尾部冗余数据。而此处所指的某一操作系统网络组件之前的另一操作系统网络组件具体为:由于在某一计算机中,对于该计算机待发送出的数据报文,计算机的操作系统会依次按顺序地对该待发送的数据报文在各个网络组件层进行网络处理,最后才通过网卡发送至网络中,因而,在本步骤中,只需在主机设备通过某一操作系统网络组件对网卡数据进行截获之前,通过在该操作系统网络组件之前对数据报文进行处理的另一操作系统网络组件,对本机待发送的数据报文进行一次过滤即可。
具体地,在本实施例中,在主机设备通过操作系统网络组件截获本机网卡数据报文之前,还对本机待发送数据报文中的冗余数据进行过滤的目的在于:虽然在网络设备中,绝大多数的应用程序在发送网络数据报文时,均是通过本机操作系统提供好的网络组件,进而通过本机网卡进行发送的,即在该过程中,待发送的数据报文在网络层的封装均是在网卡中进行,在操作系统网络组件层截获到的本机的待发送数据均未经过网卡的封装,均不符合以太网协议规定的网络数据报文的格式。
但是在实际应用中,还是存在例外的情况,例如在有些较为底层的应用程序中,其在发送数据包时,并不通过操作系统提供的组件进行,而是可以自己构造数据报文,预先通过添加冗余数据的方式,将待发送数据报文中某类未达到以太网最小帧长的协议数据报文,添加至以太网协议规定的最小帧长。因而针对此类应用程序而言,主机设备的操作系统网络组件截获到此类应用程序待发送的数据报文时,该数据报文便已经符合了以太网协议的规定,即已经添加了冗余数据。
于是,应用在本发明中,若主机设备中开启了该类应用程序时,主机设备操作系统网络组件截获到的本机网卡的数据报文中,则有可能包括本机待发送的、发送方地址为本机地址且添加了冗余数据的数据报文,这类数据报文虽然符合上述定义的仿冒数据报文的特征,但却是本机待发送的合法数据报文。因此,在本实施例中,为了在进行仿冒数据报文的检测之前,排除此类数据报文,以避免将此类数据报文错误地识别为影子用户设备发送的仿冒数据报文,主机设备将在数据报文截获步骤之前,对此类数据报文进行过过滤,具体指针对本机待发送的、添加有冗余数据的数据报文进行过滤,将该类数据报文中添加的冗余数据去除。
需要说明的是,由于本步骤是在操作系统网络组件进行数据截获之前,将此类数据报文进行过滤,而之后在此类数据报文传输至网卡时,网卡的驱动程序会通过对该数据报文进行封装,而重新在该数据报文的尾部添加冗余数据,因而,此时去除掉该数据报文的后缀冗余数据,并不会影响该数据报文最终在网络上的传输发送。
步骤201,通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文;
在对本机待发送的数据报文进行了过滤操作之后,主机设备可以通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文。具体地,在计算机中,操作系统网络组件包括多层的网络驱动组件,因而对网卡数据的拦截同样也可以在多层的网络驱动程序中进行,例如:分层服务提供程序(Layered Service Provider,简称LSP)为微软提供的在用户态下进行数据包拦截的驱动程序层,以及网络驱动接口规范(Network Driver InterfaceSpecification,简称NDIS)的传输驱动程序接口(Transport Driver Interface,简称TDI)过滤驱动程序层(TDI Filter Driver),或者NDIS中间层驱动(Intermediate Driver,简称IMD)都可以对应用程序数据报文进行拦截。
而在本实施例中,优化地采用操作系统NDIS的IMD层或者TDI层,尤其是其中的NDIS IMD层。具体地,由于NDIS IMD层位于网卡和协议层之间,对于上面的协议层表现为一个虚拟的端口网卡结构,而对于下面的网卡则表现为一个协议层的结构,因而无论是网卡接收并上传的数据报文,还是上层要下传至网卡发送的数据报文,无一例外地要经过该NDIS IMD层进行传输。因而在本实施例中,若通过NDIS IMD组件对网卡数据进行截获,任何应用程序数据报文均无法绕过NDIS IMD层,截获的数据报文最为全面,无疑将提高了之后在截获到的数据报文中对仿冒数据报文检测的准确率。
需要了解的是,虽然在本发明中,优化地采用NDIS IMD组件对网卡数据进行截获,但是上述的LSP组件以及NDIS的TDI组件,同样可以应用在本发明的对网卡数据进行截获的步骤中,只是由于在网络设备中,可能会存在某些应用层程序,其可以绕过LSP层进行数据传输,因而对于某些应用程序数据报文,在LSP层无法拦截到,从而可能会相应影响本发明对仿冒数据报文的检测结果。
步骤202,对截获到的数据报文中是否包含发送方地址为本机地址、且尾部添加有冗余数据的仿冒数据报文进行检测;
在主机设备通过操作系统网络组件截获到本机网卡接收到以及待发送的所有数据报文后,为了根据截获到的数据报文,检测网络中是否存在仿冒本机的网络设备,主机设备将在截获到的所有数据报文中,对其中是否包含发送方地址为本机地址、且添加有冗余数据的数据报文进行检测。具体地,本步骤的检测过程具体可以包括如下子步骤:
步骤2020,检测截获到的数据报文中是否包含以太网协议定义的协议帧长度小于以太网最小帧长的协议类报文,若是执行步骤2021,若否返回执行本步骤;
首先,主机设备将在截获到的所有数据报文中,检测其中是否包含有以太网协议中定义的协议帧长度小于以太网最小帧长的这一类协议类报文,例如ARP报文、Final-ACK报文等。具体地,主机设备可以通过对接收到的数据报文的协议类型头部进行检测,以检测识别出截获到的数据报文中是否包含了指定的上述协议类报文,从而在检测到该类协议类报文之后,主机设备可以针对识别出的协议类报文进行下一步的检测。
步骤2021,检测包含的协议类报文的尾部是否添加有冗余数据,若是执行步骤2022,若否则返回执行步骤2020;
若主机设备在截获到的所有数据报文中,检测到了上述协议类报文,进一步地,为了检测该协议类报文是否符合以太网协议对网络数据报文的规定,即为了检测该协议类报文是否为非本机的主机设备发送出,该主机设备还将进一步地检测上述检测到的协议类报文尾部是否添加有冗余数据。具体地,针对上一步骤中检测识别出的每一个协议类报文,由于以太网协议定义的该协议类报文的协议帧长度均小于以太网最小帧长64字节,因而在本步骤检测协议类报文中是否添加了尾部冗余数据时,主机设备可以通过对协议类报文的实际长度进行检测,以检测每一个协议类报文是否超出了以太网协议为其规定的协议帧长,以及检测该协议类报文是否达到了64字节,以检测出协议类报文中是否添加了尾部冗余数据。
若通过检测,主机设备得知上述步骤2020检测到的所有协议类报文中均未添加有冗余数据,则代表主机设备截获到的所有网卡数据中并未包含有其他网络设备发送的、符合以太网协议规定的协议类数据报文,即也未包含有影子用户设备发送的此类协议类数据报文,因此主机设备则可以中断此次的检测操作,而是返回至上述步骤中再次进行上述的检测的。
步骤2022,检测该添加有冗余数据的协议类报文的发送方地址是否为本机地址,若是则执行步骤203,若否则返回至执行步骤2020;
反之,若主机设备在截获到的所有数据报文中,检测到了尾部添加有冗余数据的上述协议类数据报文,此时可能对应两种情况:第一种情况为该添加有冗余数据的协议类报文由其他主机设备发出,且该协议类报文的目的地址为接收到该数据报文的主机设备,即该协议类报文为其他合法主机设备发送的合法数据报文;第二情况为该添加有冗余数据的协议类报文由一仿冒本机地址的影子用户设备发送,且该协议类报文的发送方地址为接收到该数据报文的主机设备的本机地址,即该协议类报文为影子用户设备发送的仿冒数据报文。
因而,为了进一步确定该协议类数据报文是否为影子用户设备发出,主机设备还将进一步检测该添加有冗余数据的协议类报文中包含的发送方地址是否为主机设备的本机地址。若主机设备检测到该添加有冗余数据的协议类报文中,包含发送方地址为本机地址的数据报文时,这表示网络中必定存在合法主机设备的影子用户设备,且发送出该仿冒数据报文的网络设备即为一仿冒本机地址的网络设备。
步骤203,识别发送仿冒数据报文的网络设备为仿冒本机的网络设备;
步骤204,向对应的接入设备发送下线消息,以通知接入设备本机的下线状态。
进一步地,在本实施例中,在检测且识别到仿冒本机的网络设备,即检测到影子用户设备的存在之后,为了防御影子用户设备的此仿冒行为,该合法主机设备将向对应的接入设备发送下线消息,具体指发送基于局域网的扩展认证协议(Extensible Authentication Protocol Over LAN,简称EAPOL)Logoff报文,以通知接入设备本机的下线状态,并以在下线之后制定相应的防御策略。
此外还需要说明的是,在本实施例中,上述对步骤202如何在截获到的数据报文中检测仿冒数据报文,以及具体的三个子步骤的执行顺序仅是本发明的检测仿冒网络设备方法中的一种实施方式。需要了解的是,在本发明中,其他的检测方式及顺序,例如首先在截获的数据报文中检测其中是否包含发送方地址为本机地址的数据报文,再检测其中是否包含了以太网协议中定义的数据报文长度小于以太网最小帧长的协议类报文,最后检测该协议类报文中是否添加了冗余数据,以及其他的检测顺序,同样也可以应用在本发明中,也属于本发明所欲保护的范围之内,本发明并不对此进行具体限定。
此外在本发明中还需要说明的是,由于在实际应用中,对于上述的能够自己构造数据报文,在待发送数据报文中添加冗余数据的底层应用程序而言,通常特定某一类这样的底层应用程序,只会针对网络中某一种类型的协议类数据进行重构,同时实际应用中,这一类的底层应用程序往往类型较少,较为少见,因而在本实施例中,在不执行上述步骤200,即不对截获前的网卡数据进行过滤的前提下,通过另一种方式也能够达到排除底层应用程序发送的合法数据报文对本发明中对影子用户设备检测的准确率的影响。
具体地,该另一种方式可以为:在步骤202对截获到的数据报文中是否包含有仿冒数据报文进行检测时,针对各种的协议帧长度小于以太网最小帧长的协议类报文都进行检测,而在上述步骤203识别发送仿冒数据报文的网络设备为仿冒本机的网络设备时,只有在识别到某一网络设备同时发送了几种(至少两种)类型的仿冒数据报文时,才识别该网络设备为本机的影子用户设备。
从而即使某一主机设备中设置有能够自己构造数据报文,在待发送数据报文中添加冗余数据的底层应用程序时,首先由于该底层应用程序的类型有限,且每一底层应用程序只能针对一种类型的协议类报文进行构造,其次由于影子用户设备在仿冒合法主机设备进行网络访问时,对于网络访问中各种常见且必需的协议帧长小于以太网最小帧长的协议类报文,如ACK报文、Final-ACK报文,影子用户设备无法避免的均将发送。因而通过对多类协议类报文进行检测,在检测到同一网络设备发送了多类仿冒数据包时,才识别该网络设备为本机的影子用户设备,同样能够排除底层应用程序发送的合法数据报文对仿冒数据报文的影响,能够避免将此类合法数据报文错误地识别为影子用户设备发送的仿冒数据报文的情况的出现。
本实施例的检测仿冒网络设备的方法,通过在用户终端通过操作系统网络组件截获到本机网卡发送和接收的所有数据报文后,对该数据报文中是否包含有发送方地址为本机地址、且尾部添加了冗余数据的仿冒数据报文进行检测,且在检测到仿冒数据报文后,将发送该仿冒数据报文的网络设备识别为本机的影子用户,从而对于客户终端而言,在不依赖于网络设备必须对接收的请求报文做出响应的前提下,利用本机的操作系统网络组件,通过简单的检测便实现了对影子用户的准确识别;进一步地,本发明的实现无需对用户终端的数据报文发送处理流程进行任何改进,配置实现简单,无需增加网络接入设备及网络带宽负担,同样适用于大规模网络环境中,是一种可靠且可行的识别检测影子用户的方案。
进一步地,本实施例中,还通过在主机设备通过操作系统网络组件截获本机网卡数据报文之前,对本机待发送数据报文中的冗余数据进行过滤,以去除掉待发送数据报文中添加的冗余数据,从而还对主机设备中某些可以不通过操作系统提供的组件进行数据发送的底层应用程序发送的数据报文进行了过滤,进一步提高了之后对仿冒网络设备检测的可靠性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图4为本发明检测仿冒网络设备的装置实施例一的结构示意图,如图4所示,本实施例的检测仿冒网络设备的装置包括:报文截获模块11、报文检测模块12和识别模块13。
其中报文截获模块11用于通过操作系统网络组件截获本机网卡在混杂模式下接收和发送的所有数据报文;报文检测模块12用于对报文截获模块11截获到的所有数据报文中是否包含发送方地址为本机地址、且尾部添加有冗余数据的仿冒数据报文进行检测;识别模块13用于在报文检测模块12检测到报文截获模块11截获的数据报文中包含有上述仿冒数据报文,则识别发送该仿冒数据报文的网络设备为仿冒本机的网络设备,即为本机的影子用户。
具体地,本实施例中的所有模块所涉及的具体工作过程,可以参考上述检测仿冒网络设备的方法所涉及的相关实施例揭露的相关内容,在此不再赘述。
本实施例的检测仿冒网络设备的装置,通过在通过操作系统网络组件截获到本机网卡发送和接收的所有数据报文后,对该数据报文中是否包含有发送方地址为本机地址、且添加了冗余数据的仿冒数据报文进行检测,且在检测到仿冒数据报文后,将发送该仿冒数据报文的网络设备识别为本机的影子用户,从而对于客户终端而言,在不依赖于网络设备必须对接收的请求报文做出响应的前提下,利用本机的操作系统网络组件,通过简单的检测便实现了对影子用户的准确识别;进一步地,本发明的实现无需对用户终端的数据报文发送处理流程进行任何改进,配置实现简单,无需增加网络接入设备及网络带宽负担,同样适用于大规模网络环境中,是一种可靠且可行的识别检测影子用户的方案。
图5为本发明检测仿冒网络设备的装置实施例二的结构示意图,如图5所示,在上述检测仿冒网络设备的装置实施例一的基础上,本实施例的检测仿冒网络设备的装置还可以包括报文过滤模块14。该报文过滤模块14用于在报文截获模块11通过操作系统网络组件截获本机网卡在混杂模式下接收和发送的所有数据报文之前,将本机待发送的、尾部添加有冗余数据的数据报文进行过滤,以去除待发送数据报文中添加的冗余数据。
具体地,在本实施例中,该报文过滤模块14在报文截获模块11通过操作系统网络组件截获本机网卡数据报文之前,还对本机待发送数据报文中的冗余数据进行过滤的目的在于:虽然在网络设备中,绝大多数的应用程序在发送网络数据报文时,均是通过本机操作系统提供好的网络组件,进而通过本机网卡进行发送的,即在操作系统网络组件层截获到的本机的待发送数据均未经过网卡的封装,均不符合以太网协议规定的网络数据报文的格式;但是在实际应用中,在有些较为底层的应用程序中,其在发送数据包时并不通过操作系统提供的组件进行,而是可以自己构造数据报文,预先通过添加冗余数据的方式,将待发送数据报文中某类未达到以太网最小帧长的协议数据报文,添加至以太网协议规定的最小帧长。
因而针对此类应用程序而言,主机设备的操作系统网络组件截获到此类应用程序待发送的数据报文时,该数据报文便已经符合了以太网协议的规定,即已经添加了冗余数据。因此,在本实施例中,为了在进行仿冒数据报文的检测之前,排除此类数据报文,将在数据报文截获步骤之前,通过报文过滤模块14对此类数据报文进行过过滤,具体指针对本机待发送的、添加有冗余数据的数据报文进行过滤,从而可以将该类数据报文中添加的冗余数据去除,提高之后对仿冒网络设备的检测的准确率。
进一步地优化地,在本实施例的检测仿冒网络设备的装置中,报文截获模块11具体可以用于:通过操作系统NDIS的IMD层或者TDI层,截获本机网卡在混杂模式下接收和待发送的所有数据报文。而识别模块13则具体可以用于:若检测到截获到的数据报文中包含至少两种仿冒数据报文时,才识别发送该至少两种仿冒数据报文的网络设备为仿冒本机的网络设备。
更进一步地,在本实施例中,报文检测模块12具体可以包括:报文检测子模块121、冗余数据检测子模块122和地址检测子模块123。其中,报文检测子模块121用于针对以太网协议中定义的协议帧长度小于以太网最小帧长的协议类报文,对报文截获模块11截获到的数据报文中是否包含该协议类报文进行检测;冗余数据检测子模块122用于若报文检测子模块121检测到数据报文中包含有该协议类报文,则进一步检测该协议类报文的尾部是否添加有冗余数据;而地址检测子模块123则用于若冗余数据检测子模块122检测到上述协议类报文中添加有冗余数据,则检测添加有冗余数据的协议类报文的发送方地址是否为本机地址。且只有在地址检测子模块123检测到添加有冗余数据的协议类报文的发送方地址为本机地址时,识别模块13才识别报文截获模块11截获到的数据报文中包含仿冒数据报文,且识别发送该仿冒数据报文的网络设备为仿冒本机的网络设备。
更进一步地,在本实施例中,仿冒网络设备的装置还可以包括下线消息发送模块15,用于在识别模块13识别出发送仿冒数据报文的网络设备为仿冒本机的网络设备之后,向对应的接入设备发送下线消息,以通知接入设备本机的下线状态。
具体地,本实施例中的上述所有模块所涉及的具体工作过程,同样可以参考上述检测仿冒网络设备的方法所涉及的相关实施例揭露的相关内容,在此不再赘述。
本实施例的检测仿冒网络设备的装置,通过在通过操作系统网络组件截获到本机网卡发送和接收的所有数据报文后,对该数据报文中是否包含有发送方地址为本机地址、且添加了冗余数据的仿冒数据报文进行检测,且在检测到仿冒数据报文后,将发送该仿冒数据报文的网络设备识别为本机的影子用户,从而对于客户终端而言,在不依赖于网络设备必须对接收的请求报文做出响应的前提下,利用本机的操作系统网络组件,通过简单的检测便实现了对影子用户的准确识别;进一步地,本发明的实现无需对用户终端的数据报文发送处理流程进行任何改进,配置实现简单,无需增加网络接入设备及网络带宽负担,同样适用于大规模网络环境中,是一种可靠且可行的识别检测影子用户的方案。
进一步地,本实施例中,还通过在主机设备通过操作系统网络组件截获本机网卡数据报文之前,对本机待发送数据报文中的冗余数据进行过滤,以去除掉待发送数据报文中添加的冗余数据,从而还对主机设备中某些可以不通过操作系统提供的组件进行数据发送的底层应用程序发送的数据报文进行了过滤,进一步提高了之后对仿冒网络设备检测的可靠性。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种检测仿冒网络设备的方法,其特征在于,包括:
通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文;
对截获到的所述数据报文中是否包含发送方地址为本机地址、且尾部添加有冗余数据的仿冒数据报文进行检测;
若检测到所述数据报文中包含所述仿冒数据报文,则识别发送所述仿冒数据报文的网络设备为仿冒本机的网络设备。
2.根据权利要求1所述的检测仿冒网络设备的方法,其特征在于,所述通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文之前,所述方法还包括:
将本机待发送的、尾部添加有冗余数据的数据报文进行过滤,以去除待发送数据报文中添加的冗余数据。
3.根据权利要求1所述的检测仿冒网络设备的方法,其特征在于,所述通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文具体包括:
通过操作系统网络驱动接口规范NDIS的中间层驱动IMD或者传输驱动程序接口TDI,截获所述本机网卡在混杂模式下接收和发送的所有数据报文。
4.根据权利要求1所述的检测仿冒网络设备的方法,其特征在于,所述若检测到所述数据报文中包含所述仿冒数据报文,则识别发送所述仿冒数据报文的网络设备为仿冒本机的网络设备具体为:
若检测到所述数据报文中包含至少两种所述仿冒数据报文,则识别发送至少两种所述仿冒数据报文的网络设备为仿冒本机的网络设备。
5.根据权利要求1~4任一所述的检测仿冒网络设备的方法,其特征在于,所述对截获到的所述数据报文中是否包含发送方地址为本机地址、且尾部添加有冗余数据的仿冒数据报文进行检测具体包括:
针对以太网协议中定义的协议帧长小于以太网最小帧长的协议类报文,对截获到的所述数据报文中是否包含所述协议类报文进行检测;
若检测到所述数据报文中包含有所述协议类报文,则检测包含的所述协议类报文尾部是否添加有冗余数据;
若检测到包含的所述协议类报文中添加有所述冗余数据,则检测包含所述冗余数据的协议类报文的发送方地址是否为所述本机地址。
6.根据权利要求1~4任一所述的检测仿冒网络设备的方法,其特征在于,所述识别发送所述仿冒数据报文的网络设备为仿冒本机的网络设备之后,所述方法还包括:
向对应的接入设备发送下线消息,以通知所述接入设备本机的下线状态。
7.一种检测仿冒网络设备的装置,其特征在于,包括:
报文截获模块,用于通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文;
报文检测模块,用于对所述报文截获模块截获到的所有数据报文中是否包含发送方地址为本机地址、且尾部添加有冗余数据的仿冒数据报文进行检测;
识别模块,用于若所述报文检测模块检测到所述数据报文中包含有所述仿冒数据报文,则识别发送所述仿冒数据报文的网络设备为仿冒本机的网络设备。
8.根据权利要求7所述的检测仿冒网络设备的装置,其特征在于,所述装置还包括:
报文过滤模块,用于在所述报文截获模块通过操作系统网络组件截获本机网卡在混杂模式下接收和待发送的所有数据报文之前,将本机待发送的、尾部添加有冗余数据的数据报文进行过滤,以去除待发送数据报文中添加的冗余数据。
9.根据权利要求7所述的检测仿冒网络设备的装置,其特征在于,所述报文截获模块具体用于:
通过操作系统网络驱动接口规范NDIS的中间层驱动IMD或者传输驱动程序接口TDI,截获所述本机网卡在混杂模式下接收和待发送的所有数据报文。
10.根据权利要求7所述的检测仿冒网络设备的装置,其特征在于,所述识别模块具体用于:
若检测到所述数据报文中包含至少两种所述仿冒数据报文,则识别发送至少两种所述仿冒数据报文的网络设备为仿冒本机的网络设备。
11.根据权利要求7~10任一所述的检测仿冒网络设备的装置,其特征在于,所述报文检测模块具体包括:
报文检测子模块,用于针对以太网协议中定义的协议帧长小于以太网最小帧长的协议类报文,对截获到的所述数据报文中是否包含所述协议类报文进行检测;
冗余数据检测子模块,用于若所述报文检测子模块检测到所述数据报文中包含有所述协议类报文,则检测包含的所述协议类报文尾部是否添加有冗余数据;
地址检测子模块,用于若所述冗余数据检测子模块检测到包含的所述协议类报文中添加有所述冗余数据,则检测添加有所述冗余数据的协议类报文的发送方地址是否为所述本机地址。
12.根据权利要求7~10任一述的检测仿冒网络设备的装置,其特征在于,所述装置还包括:
下线消息发送模块,用于在所述识别模块识别出发送所述仿冒数据报文的网络设备为仿冒本机的网络设备之后,向对应的接入设备发送下线消息,以通知所述接入设备本机的下线状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010193295 CN101867578B (zh) | 2010-05-27 | 2010-05-27 | 检测仿冒网络设备的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010193295 CN101867578B (zh) | 2010-05-27 | 2010-05-27 | 检测仿冒网络设备的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101867578A true CN101867578A (zh) | 2010-10-20 |
CN101867578B CN101867578B (zh) | 2013-05-29 |
Family
ID=42959143
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010193295 Expired - Fee Related CN101867578B (zh) | 2010-05-27 | 2010-05-27 | 检测仿冒网络设备的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101867578B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413134A (zh) * | 2011-11-17 | 2012-04-11 | 宇龙计算机通信科技(深圳)有限公司 | 一种传送数据的方法、系统及通信终端 |
CN107332834A (zh) * | 2017-06-26 | 2017-11-07 | 南京南瑞继保电气有限公司 | 一种Windows系统下PRP网络连接方法 |
CN112153027A (zh) * | 2020-09-14 | 2020-12-29 | 杭州迪普科技股份有限公司 | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
CN113132993A (zh) * | 2021-04-23 | 2021-07-16 | 杭州网银互联科技股份有限公司 | 应用在无线局域网中的数据窃取识别系统及其使用方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107241237B (zh) * | 2017-05-22 | 2019-11-12 | 北京知道创宇信息技术股份有限公司 | 一种识别报文所属组件的方法和计算设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043330A (zh) * | 2006-06-22 | 2007-09-26 | 华为技术有限公司 | 一种防mac地址仿冒的装置及方法 |
CN101707535A (zh) * | 2009-09-27 | 2010-05-12 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
-
2010
- 2010-05-27 CN CN 201010193295 patent/CN101867578B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043330A (zh) * | 2006-06-22 | 2007-09-26 | 华为技术有限公司 | 一种防mac地址仿冒的装置及方法 |
CN101707535A (zh) * | 2009-09-27 | 2010-05-12 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413134A (zh) * | 2011-11-17 | 2012-04-11 | 宇龙计算机通信科技(深圳)有限公司 | 一种传送数据的方法、系统及通信终端 |
CN107332834A (zh) * | 2017-06-26 | 2017-11-07 | 南京南瑞继保电气有限公司 | 一种Windows系统下PRP网络连接方法 |
CN107332834B (zh) * | 2017-06-26 | 2020-11-17 | 南京南瑞继保电气有限公司 | 一种Windows系统下PRP网络连接方法 |
CN112153027A (zh) * | 2020-09-14 | 2020-12-29 | 杭州迪普科技股份有限公司 | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
CN112153027B (zh) * | 2020-09-14 | 2022-11-25 | 杭州迪普科技股份有限公司 | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
CN113132993A (zh) * | 2021-04-23 | 2021-07-16 | 杭州网银互联科技股份有限公司 | 应用在无线局域网中的数据窃取识别系统及其使用方法 |
CN113132993B (zh) * | 2021-04-23 | 2023-03-24 | 杭州网银互联科技股份有限公司 | 应用在无线局域网中的数据窃取识别系统及其使用方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101867578B (zh) | 2013-05-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10812526B2 (en) | Moving target defense for securing internet of things (IoT) | |
CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
EP2057552B1 (en) | System and method for distributed multi-processing security gateway | |
JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
US7725938B2 (en) | Inline intrusion detection | |
CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
CN101729513B (zh) | 网络认证方法和装置 | |
CN101820396B (zh) | 一种报文安全性验证的方法和设备 | |
CN101867578B (zh) | 检测仿冒网络设备的方法和装置 | |
CN1514625A (zh) | 检测网络攻击 | |
CN106506486A (zh) | 一种基于白名单矩阵的智能工控网络信息安全监控方法 | |
CN108616488B (zh) | 一种攻击的防御方法及防御设备 | |
CN103905415A (zh) | 一种防范远控类木马病毒的方法及系统 | |
CN101321102A (zh) | Dhcp服务器的检测方法与接入设备 | |
CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
CN104660730B (zh) | 服务端与远端单元的通讯方法及其系统 | |
CN110912887B (zh) | 一种基于Bro的APT监测系统和方法 | |
CN101094235B (zh) | 一种防止地址解析协议攻击的方法 | |
CN112887211B (zh) | 一种网际协议报文数据转发系统 | |
Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks | |
CN109150925B (zh) | IPoE静态认证方法及系统 | |
CN114710343A (zh) | 一种入侵检测的方法和检测设备 | |
CN112995508A (zh) | 智能相机 | |
CN104735080B (zh) | 一种服务器ip保护方法和系统 | |
CN114697136B (zh) | 一种基于交换网络的网络攻击检测方法与系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130529 |