CN101888296B - 一种影子用户检测方法、装置、设备和系统 - Google Patents
一种影子用户检测方法、装置、设备和系统 Download PDFInfo
- Publication number
- CN101888296B CN101888296B CN201010034443A CN201010034443A CN101888296B CN 101888296 B CN101888296 B CN 101888296B CN 201010034443 A CN201010034443 A CN 201010034443A CN 201010034443 A CN201010034443 A CN 201010034443A CN 101888296 B CN101888296 B CN 101888296B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- shadow
- message
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000001514 detection method Methods 0.000 claims abstract description 84
- 238000000605 extraction Methods 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 18
- 230000004044 response Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种影子用户检测方法、装置、设备和系统。所述方法包括:在用户认证通过后,获取与认证通过的用户具有相同的用户认证特征的报文;提取出所述报文的标识字段,并计算相邻报文的标识字段的差值;判断所述差值是否符合预先设置的影子用户检测条件,如果是则判断存在影子用户。本发明可以检测网络中是否存在仿冒合法认证用户身份的影子用户,解决了影子用户带来的安全隐患和逃费问题。
Description
技术领域
本发明涉及一种影子用户检测方法、装置、设备和系统,属于数据通信技术领域。
背景技术
IEEE 802LAN是美国电气电子工程师学会(Institute of Electricaland Electronic Engineers,简称IEEE)802委员会制定的局域网(LocalArea Network,简称LAN),IEEE 802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如交换机),就可以访问局域网中的设备或资源。
这种缺陷不利于网络管理员对网络的实时监控,也引起了人们对网络安全的担忧,网络认证就成了用户对网络或设备访问合法性认证的一种有效方法,并且提高了网络的安全性。
IEEE 802.1x是IEEE 802LAN标准中的一个。对于一个部署了802.1x认证的LAN,当用户(如个人电脑等)接入到LAN中时,需要通过802.1x认证,未经过认证的用户将无法接入到LAN中。
802.1x认证基本采用基于端口的网络存取控制,为局域网用户提供点对点式的安全接入。以电脑接入为例(也可以是其他接入终端),一个简单的示意如图1所示,安装有802.1x认证客户端软件的个人电脑(Personal Computer,简称PC)将提交相关的认证信息给交换机进行认证,交换机将相关认证信息转交给认证服务器进行确认。如果认证通过,交换机将相关的端口打开,则连接此端口的电脑就可以使用网络了。
在802.1x中,只要认证通过了,交换机就会记录认证成功电脑的介质访问控制(Media Access Control,简称MAC)地址。只要是该MAC地址的数据,交换机就会认为是经过认证的电脑发送出来的,因此会放行这些数据。
如图2所示,如果有人采用在认证的交换机端口下增加一个集线器(HUB),把两台电脑连接在HUB上。PC a安装有802.1x认证客户端,认证通过。而PC b仅仅通过把MAC地址修改成和PC a的MAC地址相同,就可以不用认证而非法使用网络。
针对图2中所示的缺陷,现有技术中比较普遍采用的解决办法就是在交换机的端口上,对认证过的电脑的因特网协议(Internet Protocol,简称IP)地址,MAC地址以及端口绑定在一起。而不是简单通过MAC地址来决定数据是否放行。
如图3所示给出了使用端口、IP、MAC三元素绑定的方案,此时PC b由于使用的IP地址与PC a不同,因此无法使用网络。但是三元素绑定方案还是存在一个漏洞,如果PC b将IP和MAC地址修改为与PC a的IP和MAC地址相同,则PC b还是可以通过不认证就可以使用网络,如图4所示。
从图4可以看出,当接入终端PC a通过认证客户端软件发出认证请求时,交换机转发相应信息,并提交认证服务器确认,如果通过认证,交换机就打开相应端口(PORT),允许满足(IP+MAC+PORT)三元组认证条件的报文通过。此时如果有另一接入终端PC b通过HUB与PC a连接在一起,并且仿冒PC a的IP地址和MAC地址,那么PC b也可以满足三元组(IP+MAC+PORT)的认证条件,因此PC b此时不需要经过认证便可以访问网络资源。这样,网络中就出现了仿冒IP地址和MAC地址的终端可以不认证就访问网络的问题。
影子用户就是指非法用户企图不通过身份认证,而直接采用合法用户的IP地址和MAC地址的用户。如图4中的PC b即为影子用户。如果存在影子用户,那么只要被仿冒的用户上线,那么影子用户无需认证即可使用网络了,这无疑造成了认证和计费的漏洞。
针对影子用户带来的逃费、仿冒欺骗的危害,目前主要的影子用户检测方法为协议请求应答法。这类方法主要通过某些网络协议自身的请求应答机制,根据发出的请求数与收到的应答数是否一致来进行检测。但其破解方法也是利用这一点,设置对应协议的防火墙即可逃避检测。目前用到的协议方法有:
1)ARP扫描法
网络设备周期性的通过地址解析协议(Address ResolutionProtocol,简称ARP)扫描,针对主机对于ARP请求报文应答进行识别处理,如果同一个ARP请求出现多个应答,则必然存在影子用户。基于ARP协议的处理能够一定程度发现影子用户存在,但无法区分谁是正常合法的用户。现有的主机控制软件或ARP防火墙能够轻松实现对于ARP请求的不处理,使得ARP扫描法失效。
2)ICMP扫描法
网络设备周期性的发送网际控制报文协议(Internet ControlMessage Protocol,简称ICMP)请求报文,主机将针对ICMP请求进行应答,如果同一个请求存在多个应答,必然存在影子用户。其原理与ARP扫描法基本一致,差异在于使用不同的协议实现。存在与ARP扫描法完全相同缺陷。
方法1和方法2在安装主机控制软件实现“静默”主机时,将无法检测影子用户。
发明内容
本发明的目的是提供一种影子用户检测方法、装置、设备和系统,用于有效地检测出影子用户。
为实现上述目的,本发明提供了一种影子用户检测方法,所述方法包括:
在用户认证通过后,获取与认证通过的用户具有相同的用户认证特征的报文;
提取出所述报文的标识字段,并计算相邻报文的标识字段的差值;
判断所述差值是否符合预先设置的影子用户检测条件,如果是则判断存在影子用户。
为了实现上述目的,本发明还提供了一种影子用户检测装置,所述装置包括报文获取单元、标识提取计算单元和检测判断单元;
所述报文获取单元用于在用户认证通过后,获取与认证通过的用户具有相同的用户认证特征的报文;
所述标识提取计算单元用于提取出所述报文的标识字段,并计算相邻报文的标识字段的差值;
所述检测判断单元用于判断所述差值是否符合预先设置的影子用户检测条件,如果是则判断存在影子用户。
为了实现上述目的,本发明又提供了一种影子用户检测设备,包括上述装置。
为了实现上述目的,本发明再提供了一种影子用户检测系统,包括用户设备、接入设备和认证服务器;
所述用户设备用于通过认证客户端发起用户认证并提交相关认证信息给接入设备;
所述接入设备用于将所述认证信息转交给认证服务器,在认证通过后允许用户设备访问网络;
认证服务器用于根据所述认证信息进行用户认证,并返回认证结果给接入设备;
所述用户设备包括上述装置;
或者,
所述接入设备包括上述装置。
本发明通过获取与认证通过的用户具有相同的用户认证特征的报文,并计算相邻报文的标识字段的差值,根据差值来判断是否存在影子,可以检测网络中是否存在仿冒合法认证用户身份的影子用户,解决了影子用户带来的安全隐患和逃费问题。
附图说明
图1为802.1x认证示意图
图2为非法用户伪装合法用户示意图一
图3为非法用户伪装合法用户示意图二
图4为影子用户伪装合法用户示意图
图5为IP报文头标示意图
图6为本发明一种影子用户检测方法实施例一示意图
图7为本发明一种影子用户检测方法实施例二示意图
图8为本发明一种影子用户检测装置实施例一示意图
图9为本发明一种影子用户检测装置实施例二示意图
图10为本发明一种影子用户检测设备实施例示意图
图11(a)为本发明一种影子用户检测系统实施例一示意图
图11(b)为本发明一种影子用户检测系统实施例二示意图
具体实施方式
本发明的目的是提供一种影子用户检测方法、装置、设备和系统,用于有效地检测出影子用户。
虽然影子用户的主机和经过用户认证的合法用户的主机的IP地址和MAC地址完全相同,但是在不同的主机系统中IP报头的标识字段是独立的。标识字段即为IP报文头标中的16位标识,如图5所示,标识字段具有如下性质:
该标识由发送者设定值,用于标识同一个数据报,有助于重组数据报的分片。长度为16比特(bit),能表示的最大数目为2的16次方,即该标识值位于0-65535之间,并且在0-65535之间递增,当达到65535后又从0开始计数。
由此可见,两台主机即使具备了相同的IP和MAC地址,但由于各自独立的上网操作与不同的数据流量,其发出的报文速率与报文中的标识字段是会有差异的。
正常的一台主机用同一个IP地址发出的IP报文中标识字段值的变化都是在0-65535之间进行循环递增的。如果发现某个IP地址发出的IP报文中的标识字段值没有保持一定的步进递增,而是时高时低,则说明报文不是由一台主机发出来的。存在一个IP对应两个或多个主机的情况。因此可以通过获取具有相同源IP地址的报文,通过相邻的这些报文的标识字段的差值来判断是否存在影子用户,如果标识字段值时高时低,即表现为相邻报文的标识字段的差值时正时负,则说明存在影子用户。
下面结合附图对本发明进行说明,本发明提供了一种影子用户检测方法,图6给出了本发明一种影子用户检测方法实施例一示意图,所述方法包括:
步骤S1,在用户认证通过后,获取与认证通过的用户具有相同的用户认证特征的报文;
所述用户认证特征可以包括源IP地址和/或源MAC地址。
例如可以在用户认证通过后,获取与认证通过的用户具有相同的源IP地址的n个连续的报文,或者获取与认证通过的用户具有相同的源MAC地址的n个连续的报文,又或者是获取与认证通过的用户同时具有相同的源MAC地址和源IP地址的n个连续的报文;具体报文获取可以通过现有的抓包软件完成,例如收集主机网络数据在Windows平台下可以采用winpcap开源的工具包来进行抓包,Unix/Linux操作平台下可以采用libpcap开源的工具包来进行抓包。
设获取的报文分别为:P(1),P(2),...,P(n),对应的标识字段值分别为:ID(1),ID(2),...,ID(n)。
步骤S1中所述获取与认证通过的用户具有相同的用户认证特征的报文具体可以包括:
持续获取所有与认证通过的用户具有相同的用户认证特征的报文;例如,可以将所有与认证通过的用户具有相同的源IP地址的报文都获取,以便进行实时的分析和检测,这种方式的检测灵敏度高;
或者,
每隔一段时间获取预设数量的连续的与认证通过的用户具有相同的用户认证特征的报文,例如可以每隔1-3分钟获取10个连续的与认证通过的用户具有相同的源IP地址的报文,进行分析和检测,这种方式可以保证在一定的检测灵敏度下节省检测占用的资源。
步骤S1中所述获取与认证通过的用户具有相同的用户认证特征的报文具体也可以包括:
在用户设备上获取与认证通过的用户具有相同的用户认证特征的报文;例如所述用户设备可以为安装了认证客户端的主机。
或者,
在接入设备上获取与认证通过的用户具有相同的用户认证特征的报文,例如所述接入设备可以为接入交换机。
步骤S2,提取出所述报文的标识字段,并计算相邻报文的标识字段的差值;
例如计算每个相邻报文的标识字段的差值:Diff(i)=ID(i)-ID(i-1),即第i个报文P(i)与第i-1个报文P(i-1)的标识字段值的差。其中ID(0)=0。
步骤S3,判断所述差值是否符合预先设置的影子用户检测条件,如果是则判断存在影子用户。
所述差值符合预先设置的影子用户检测条件具体可以包括:所述差值落入影子用户检测值范围的次数大于等于预先设置的阈值。
在实际的测试中,为得到更准确的检测效果,检测条件可以根据如下情况得出:
正常情况下标识字段为递增步长,但由于可能出现丢包,因此获取的相同源IP地址和/或相同源MAC地址的相邻报文的步长不一定为1,通常这个值在100以内,对于65535的最大值来说,丢包数极小。因此为了防止因丢包而出现的误判,可以设置一个允许丢包数M,则差值判断的条件之一可以为:
M-65535<Diff(i)≤0
由于程序所运行的主机的CPU处理能力的各不相同,因此发送端主机发出的报文到达接收端时可能会出现报文乱序,即后发的报文先到的情况,通常情况下这个值较小,因此为了防止报文乱序而出现的误判,可以设置一个允许乱序报文数L,则差值判断的条件之二可以为:
Diff(i)≤-L
综上所述,最终的检测条件可以为:M-65535<Diff(i)≤-L。具体参数可根据实际情况调节。
其中M为允许丢包数,L为允许乱序报文数。
具体检测时,可以采取多次验证的方法。例如满足M-65535<Diff(i)≤-L并多次落入此范围则判断有影子用户存在。
本发明通过获取与认证通过的用户具有相同的用户认证特征的报文,并计算相邻报文的标识字段的差值,根据差值来判断是否存在影子,可以检测网络中是否存在仿冒合法认证用户身份的影子用户,解决了影子用户带来的安全隐患和逃费问题。
图7给出了本发明一种影子用户检测方法实施例二示意图,本实施例除了包括方法实施例一的步骤外,在步骤S3之后还包括:
步骤S4,根据预先设置的规则对影子用户进行控制。
对影子用户进行的控制可以是发出警告或进行踢线处理,这些处理可以在用户设备上进行,也可以在接入设备上进行。
本发明还提供了一种影子用户检测装置,图8给出了本发明一种影子用户检测装置实施例一示意图,所述装置包括报文获取单元M1、标识提取计算单元M2和检测判断单元M3;
所述报文获取单元M1用于在用户认证通过后,获取与认证通过的用户具有相同的用户认证特征的报文;
所述用户认证特征包括源IP地址和/或源MAC地址。
所述标识提取计算单元M2与报文获取单元M1连接,用于提取出所述报文的标识字段,并计算相邻报文的标识字段的差值;
所述检测判断单元M3与标识提取单元M2连接,用于判断所述差值是否符合预先设置的影子用户检测条件,如果是则判断存在影子用户。
所述检测判断单元M3具体可以用于判断所述差值落入影子用户检测值范围的次数是否大于等于预先设置的阈值,如果是则判断存在影子用户。
所述报文获取单元M1具体可以用于在用户认证通过后,持续获取所有与认证通过的用户具有相同的用户认证特征的报文;
或者,
所述报文获取单元具体用于在用户认证通过后,每隔一段时间获取预设数量的连续的与认证通过的用户具有相同的用户认证特征的报文。
所述报文获取单元M1具体也可以用于在用户认证通过后,在用户设备上获取与认证通过的用户具有相同的用户认证特征的报文;
或者,
所述报文获取单元具体用于在用户认证通过后,在接入设备上获取与认证通过的用户具有相同的用户认证特征的报文。
图9给出了本发明一种影子用户检测装置实施例二示意图,本实施例除了包括装置实施例一的结构特征外,还包括控制单元M4,与检测判断单元M3连接,用于根据预先设置的规则对影子用户进行控制。
本发明又提供了一种影子用户检测设备,图10给出了本发明一种影子用户检测设备实施例示意图,所述设备包括上述装置实施例所述的任一装置。
所述影子用户检测设备可以为用户设备,如安装了认证客户端的主机,也可以是接入设备,如接入交换机。
当影子用户检测设备为用户设备时,由于所有的检测都是在经过认证主机上进行的,完全不需要其它设备和仿冒主机的配合,也不对其它设备和仿冒主机有任何的依赖,且每个用户设备只需要检测是否存在本用户的影子用户,分散了检测所占用的资源。但是此时要求进行检测主机与仿冒主机在同一广播域内,例如两者通过HUB连接,此时由于检测主机可以收到仿冒主机发出的报文,因此可以进行检测分析。当经过认证的主机与仿冒主机不在同一广播域内时,则可以在接入设备上进行影子用户检测。
本发明再提供了一种影子用户检测系统,图11给出了本发明一种影子用户检测系统实施例示意图,所述系统包括用户设备、接入设备和认证服务器;
所述用户设备用于通过认证客户端发起用户认证并提交相关认证信息给接入设备;
所述接入设备用于将所述认证信息转交给认证服务器,在认证通过后允许用户设备访问网络;
认证服务器用于根据所述认证信息进行用户认证,并返回认证结果给接入设备;
所述用户设备包括上述装置实施例所述的任一装置,如图11(a)所示;
或者,
所述接入设备包括上述装置实施例所述的任一装置,如图11(b)所示。
例如所述用户设备可以为安装了认证客户端的主机,所述接入设备可以为接入交换机。
本发明实施例提供了一种影子用户检测方法、装置、设备和系统,可以检测网络中是否存在仿冒合法认证用户身份的影子用户,即使在进行了(IP+MAC+PORT)绑定的情况下仍然能够检测出影子用户,并可以对影子用户进行相应的控制,解决了影子用户带来的安全隐患和逃费问题。
本发明实施例可以根据IP协议中定义的标签字段来进行检测,只需要做简单的运算即可达到检测目的,大大降低了算法复杂度。
与现有的ARP扫描法/ICMP扫描法等协议请求回应方法经常需要发送检测报文相比,本发明实施例的方案不需要对网络发送任何额外的数据包。而只需要获取已有的报文进行检测即可。这样就不会给网络带来冗余的数据流,不会影响正常的网络使用。
由于IP协议是网络传输基础,而IP报头中的标识字段可以用于辨别报文是否由同一源地址发出,因此只要检测装置能收到影子用户与合法用户的连续的报文就可以检测出是否存在影子用户。如果两个用户采用了相同的IP地址和MAC地址在同一交换机端口下进行网络传输,各自主机发出的报文的标字段初始值与递增幅度会随着丢包,分片等情况的出现而随机变化。影子用户基本上无法去构造出这样一种报文,使得该报文的标识字段与合法用户的报文的标识字段组合起来正好是合法的标识字段序列的情况。
为了防止误检,本发明实施例方案只在检测设备上对现有报文进行检测,而没有主动发出任何检测报文,且进一步可以通过设定允许丢包数和允许乱序报文数来防止误检。多个合法用户即使用HUB连接,由于用户具备不同的IP地址和MAC地址,针对各用户的检测也不会影响其它用户对网络的使用。
此外,当影子用户检测设备为用户设备时,由于所有的检测都是在经过认证主机上进行的,完全不需要其它设备和仿冒主机的配合,也不对其它设备和仿冒主机有任何的依赖,且每个用户设备只需要检测是否存在本用户的影子用户,分散了检测所占用的资源。但是此时要求进行检测主机与仿冒主机在同一广播域内,例如两者通过HUB连接,此时由于检测主机可以收到仿冒主机发出的报文,因此可以进行检测分析。当经过认证的主机与仿冒主机不在同一广播域内时,则可以在接入设备上进行影子用户检测。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种影子用户检测方法,其特征在于,所述方法包括:
在用户认证通过后,获取与认证通过的用户具有相同的用户认证特征的报文;
提取出所述报文的标识字段,并计算相邻报文的标识字段的差值;
判断所述差值是否符合预先设置的影子用户检测条件,如果是则判断存在影子用户;
所述用户认证特征包括源因特网协议IP地址和/或源介质访问控制MAC地址;
所述差值符合预先设置的影子用户检测条件具体包括:所述差值落入影子用户检测值范围的次数大于等于预先设置的阈值。
2.根据权利要求1所述的方法,其特征在于,所述获取与认证通过的用户具有相同的用户认证特征的报文具体包括:
持续获取所有与认证通过的用户具有相同的用户认证特征的报文;
或者,
每隔一段时间获取预设数量的连续的与认证通过的用户具有相同的用户认证特征的报文。
3.根据权利要求1所述的方法,其特征在于,所述获取与认证通过的用户具有相同的用户认证特征的报文具体包括:
在用户设备上获取与认证通过的用户具有相同的用户认证特征的报文;
或者,
在接入设备上获取与认证通过的用户具有相同的用户认证特征的报文。
4.根据权利要求1所述的方法,其特征在于,还包括:根据预先设置的规则对影子用户进行控制。
5.一种影子用户检测装置,其特征在于,所述装置包括报文获取单元、标识提取计算单元和检测判断单元;
所述报文获取单元用于在用户认证通过后,获取与认证通过的用户具有相同的用户认证特征的报文;
所述标识提取计算单元用于提取出所述报文的标识字段,并计算相邻报文的标识字段的差值;
所述检测判断单元用于判断所述差值是否符合预先设置的影子用户检测条件,如果是则判断存在影子用户;
所述报文获取单元具体用于在用户认证通过后,获取与认证通过的用户具有相同的源IP地址和/或源MAC地址的报文;
所述检测判断单元具体用于判断所述差值落入影子用户检测值范围的次数是否大于等于预先设置的阈值,如果是则判断存在影子用户。
6.根据权利要求5所述的装置,其特征在于,
所述报文获取单元具体用于在用户认证通过后,持续获取所有与认证通过的用户具有相同的用户认证特征的报文;
或者,
所述报文获取单元具体用于在用户认证通过后,每隔一段时间获取预设数量的连续的与认证通过的用户具有相同的用户认证特征的报文。
7.根据权利要求5所述的装置,其特征在于,
所述报文获取单元具体用于在用户认证通过后,在用户设备上获取与认证通过的用户具有相同的用户认证特征的报文;
或者,
所述报文获取单元具体用于在用户认证通过后,在接入设备上获取与认证通过的用户具有相同的用户认证特征的报文。
8.根据权利要求5所述的装置,其特征在于,还包括控制单元,用于根据预先设置的规则对影子用户进行控制。
9.一种包括权利要求5-8任一所述装置的影子用户检测设备。
10.一种影子用户检测系统,其特征在于,所述系统包括用户设备、接入设备和认证服务器;
所述用户设备用于通过认证客户端发起用户认证并提交相关认证信息给接入设备;
所述接入设备用于将所述认证信息转交给认证服务器,在认证通过后允许用户设备访问网络;
认证服务器用于根据所述认证信息进行用户认证,并返回认证结果给接入设备;
所述用户设备包括权利要求5-8任一所述装置;
或者,
所述接入设备包括权利要求5-8任一所述装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010034443A CN101888296B (zh) | 2010-01-20 | 2010-01-20 | 一种影子用户检测方法、装置、设备和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010034443A CN101888296B (zh) | 2010-01-20 | 2010-01-20 | 一种影子用户检测方法、装置、设备和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101888296A CN101888296A (zh) | 2010-11-17 |
CN101888296B true CN101888296B (zh) | 2012-10-10 |
Family
ID=43074031
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010034443A Active CN101888296B (zh) | 2010-01-20 | 2010-01-20 | 一种影子用户检测方法、装置、设备和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101888296B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102098674B (zh) * | 2010-11-25 | 2015-08-12 | 中兴通讯股份有限公司 | 一种克隆设备的检测方法和装置 |
CN106230781A (zh) * | 2016-07-18 | 2016-12-14 | 杭州迪普科技有限公司 | 基于Web认证技术的防止网络攻击的方法及装置 |
CN106534397A (zh) * | 2016-11-14 | 2017-03-22 | 锐捷网络股份有限公司 | 一种确定地址仿冒用户的方法和装置 |
CN106790765A (zh) * | 2017-02-14 | 2017-05-31 | 北京三快在线科技有限公司 | 不可信mac地址的识别方法及装置,移动终端定位方法 |
CN109981661B (zh) * | 2019-03-29 | 2022-04-22 | 新华三技术有限公司 | 一种监测mac地址的方法、装置及电子设备 |
CN110166450B (zh) * | 2019-05-17 | 2021-11-05 | 固高科技股份有限公司 | 基于工业以太网的数据传输方法、装置以及通信设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101005499A (zh) * | 2006-12-27 | 2007-07-25 | 北京航空航天大学 | 多服务器用户迁移方法 |
CN200941622Y (zh) * | 2006-06-19 | 2007-08-29 | 福建星网锐捷网络有限公司 | 一种网络认证授权系统及使用的交换机 |
CN101645891A (zh) * | 2009-08-28 | 2010-02-10 | 北京星网锐捷网络技术有限公司 | 一种影子用户识别控制方法、装置和网络设备 |
-
2010
- 2010-01-20 CN CN201010034443A patent/CN101888296B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN200941622Y (zh) * | 2006-06-19 | 2007-08-29 | 福建星网锐捷网络有限公司 | 一种网络认证授权系统及使用的交换机 |
CN101005499A (zh) * | 2006-12-27 | 2007-07-25 | 北京航空航天大学 | 多服务器用户迁移方法 |
CN101645891A (zh) * | 2009-08-28 | 2010-02-10 | 北京星网锐捷网络技术有限公司 | 一种影子用户识别控制方法、装置和网络设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101888296A (zh) | 2010-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7536552B2 (en) | Upper-level protocol authentication | |
US9699204B2 (en) | Abnormal traffic detection apparatus and method based on modbus communication pattern learning | |
Verba et al. | Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS) | |
KR101095447B1 (ko) | 분산 서비스 거부 공격 차단 장치 및 방법 | |
CN101888296B (zh) | 一种影子用户检测方法、装置、设备和系统 | |
KR101424490B1 (ko) | 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 | |
CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
JP6435695B2 (ja) | コントローラ,及びその攻撃者検知方法 | |
WO2011000304A1 (zh) | 一种异常连接的检测方法、装置及网关设备 | |
US20180131717A1 (en) | Apparatus and method for detecting distributed reflection denial of service attack | |
Pandey | Prevention of ARP spoofing: A probe packet based technique | |
Sharma et al. | Multi-layer defense against malware attacks on smartphone wi-fi access channel | |
US8671451B1 (en) | Method and apparatus for preventing misuse of a group key in a wireless network | |
CA3159619A1 (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
CN115087977A (zh) | 防止恶意自动化攻击的方法和系统 | |
CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
CN114448706B (zh) | 一种单包授权方法、装置、电子设备及存储介质 | |
CN111917706A (zh) | 一种识别nat设备及确定nat后终端数的方法 | |
JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
BR102020003105A2 (pt) | Método para detecção de servidores dns falsificados usando técnicas de aprendizado de máquina | |
CN101980477B (zh) | 检测影子用户的数目的方法和装置及网络设备 | |
KR20200109875A (ko) | 유해 ip 판단 방법 | |
KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
KR20200122054A (ko) | 유해 ip 판단 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |