CN101895434A - 一种自动识别内网中互联网服务提供设备的方法和装置 - Google Patents
一种自动识别内网中互联网服务提供设备的方法和装置 Download PDFInfo
- Publication number
- CN101895434A CN101895434A CN2009100842649A CN200910084264A CN101895434A CN 101895434 A CN101895434 A CN 101895434A CN 2009100842649 A CN2009100842649 A CN 2009100842649A CN 200910084264 A CN200910084264 A CN 200910084264A CN 101895434 A CN101895434 A CN 101895434A
- Authority
- CN
- China
- Prior art keywords
- tcp
- connects
- intranet
- submodule
- network message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种自动识别内网中互联网服务提供设备的方法和装置;所述方法包括:根据一时间段内监测到的网络报文,筛选出所述时间段中具备完整TCP连接建立过程的TCP连接;对筛选出的各所述TCP连接分别进行判断,如果一TCP连接建立过程的发起端和终止端不属于同一子网、并且建立过程中第一个网络报文由外网发起且终止于内网,而应答所述第一个网络报文的网络报文由内网发起且终止于外网,则提取该TCP连接的目标设备信息;对提取的所述目标设备信息进行统计,将最频繁出现的若干个目标设备识别为所述内网中的互联网服务提供设备。本发明克服了传统的手工配置内网中互联网服务提供设备信息的繁琐和易出错等缺点。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种自动识别内网中互联网服务提供设备的方法和装置。
背景技术
目前,越来越多的企事业单位都组建了自己的本地局域网络,并将其与外部的国际互联网相连接,以利于本单位内员工方便地访问互联网络上庞大的服务资源;同时,企事业单位还在自己的局域网络内部署一些重要的网络服务资产,比如Web服务和文件下载服务等等,为来自互联网的客户提供实时的访问服务和资源共享。这种本地局域网络与国际互联网互联模式在为企事业单位带来方便的同时,也带来了很多安全问题,其中最主要的安全问题是来自外部互联网的对其内部重要服务资源的攻击。
目前常见的用来检测网络中黑客攻击的安全设备为入侵检测系统,它一般以旁路方式部署在本地局域网络的出入口处,对进出局域网络的网络流量进行分析,发现来自互联网的各种攻击并报警。目前市场上常见的入侵检测系统都具有流重组和应用层协议解析功能,即它能够对捕获的网络报文进行流重组,然后根据应用层协议规范对应用层载荷进行协议解析;最后,根据攻击知识库对数据进行深层次的数据分析,从而试图发现所有可能的网络攻击企图。与传统的只进行单个报文进行分析的入侵检测系统相比,现代入侵检测系统可以明显提高入侵检测的准确率,但缺点也很明显:由于需要对网络报文进行复杂的数据处理,因而导致整个入侵检测系统的效率较低。因此,多数情况下,入侵检测系统一般配置为不对由内网发往外网的网络流量进行分析,而只对由外网进入内网的网络流量进行分析,特别是对转发到本地局域网内的重要资产(比如Web服务器)的网络流量进行重点检测,以提高入侵检测系统的处理性能。由于入侵检测系统是以旁路方式接入本地局域网络的,它无法像防火墙那样通过网络报文捕获接口标识准确区分内外网,因此,目前常见的入侵检测系统在运行前都要求网络管理员提供关于内网中的重要资产信息(包括网络服务的网络地址和服务类别信息),以方便入侵检测系统准确区分出那些流向内网中的互联网服务提供设备(比如Web服务器、互联网服务伺服器等用于向内网提供互联网服务的设备)的网络流量。但是这种手工配置内网中互联网服务提供设备信息的方法比较繁琐和易出错,如果内网中互联网服务提供设备更改时,还需要手工重新配置。
发明内容
本发明要解决的技术问题是提供一种自动识别内网中互联网服务提供设备的方法和装置,克服了传统的手工配置内网中互联网服务提供设备信息的繁琐和易出错等缺点。
为了解决上述问题,本发明提供了一种自动识别内网中互联网服务提供设备的方法,包括:
A1、根据一时间段内监测到的网络报文,筛选出所述时间段中具备完整TCP连接建立过程的TCP连接;
A2、对步骤A1中筛选出的各所述TCP连接分别进行判断,如果一TCP连接建立过程的发起端和终止端不属于同一子网、并且建立过程中第一个网络报文由外网发起且终止于内网,而应答所述第一个网络报文的网络报文由内网发起且终止于外网,则提取该TCP连接的目标设备信息;
A3、对步骤A2提取的所述目标设备信息进行统计,将最频繁出现的若干个目标设备识别为所述内网中的互联网服务提供设备。
进一步地,步骤A1中所述具备完整TCP连接建立过程的TCP连接是指TCP连接建立过程包括以下三个与TCP握手连接相关的网络报文的TCP连接:
由TCP发起端发送的TCP-SYNOnly网络报文;
由TCP终止端响应TCP发起端的TCP-SYNACK网络报文;
以及由TCP发起端响应TCP终止端的TCP-ACKOnly网络报文。
进一步地,所述步骤A2具体包括,对于步骤A1中筛选出的各TCP连接,分别进行下列步骤:
B1、确定该TCP连接建立过程的发起端和终止端的网络IP地址,如果发起端和终止端的网络IP地址属于同一子网则结束,否则执行步骤B2;
B2、检查该TCP连接建立过程中的TCP SYNOnly报文的TTL值,如果发现其TTL值与整数值255、128、64、32中任一个的距离值小于一预设的整数阈值T则结束,否则执行步骤B3;
B3、检查该TCP连接建立过程中的TCP SYN-ACK报文的TTL值,如果发现其TTL值与整数值255、128、64、32中任一个的距离值小于所述整数阈值T,则进行步骤B4;否则结束;
B4、提取该TCP连接的目标设备信息。
进一步地,当内网中没有路由器时,所述整数阈值T为1;
当内网中存在路由器时,所述整数阈值T为2或3。
进一步地,所述目标设备信息为{目标网络地址,目标端口}对。
本发明还提供了一种自动识别内网中互联网服务提供设备的装置,包括:
筛选模块,用于接收一时间段内监测到的网络报文,根据所接收的网络报文筛选出所述时间段中具备完整TCP连接建立过程的TCP连接;
提取模块,用于对筛选出的各所述TCP连接分别进行判断,如果一TCP连接建立过程的发起端和终止端不属于同一子网、并且建立过程中第一个网络报文由外网发起且终止于内网,而应答所述第一个网络报文的网络报文由内网发起且终止于外网,则提取该TCP连接的目标设备信息;
识别模块,用于对提取的所述目标设备信息进行统计,将最频繁出现的若干个目标设备识别为所述内网中的互联网服务提供设备。
进一步地,所述筛选模块筛选具备完整TCP连接建立过程的TCP连接是指,所述筛选模块筛选出TCP连接建立过程包括以下三个与TCP握手连接相关的网络报文的TCP连接:
由TCP发起端发送的TCP-SYNOnly网络报文;
由TCP终止端响应TCP发起端的TCP-SYNACK网络报文;
以及由TCP发起端响应TCP终止端的TCP-ACKOnly网络报文。
进一步地,所述提取模块具体包括:
存储子模块、读取子模块、第一判断子模块、第二判断子模块、第三判断子模块和信息提取子模块;
所述存储子模块用于保存一整数阈值T,以及从筛选模块接收筛选出的各TCP连接并保存;保存好后发送读取指示给所述读取子模块;
所述读取子模块用于当收到读取指示时,从所述存储子模块读出一个TCP连接,发送给所述第一判断子模块;以及当所述存储子模块中的TCP连接已全部读出后发送输出指示给所述信息提取子模块;
所述第一判断子模块用于确定所收到的TCP连接建立过程的发起端和终止端的网络IP地址,如果发起端和终止端的网络IP地址属于同一子网则丢弃该TCP连接,并发送读取指示给所述读取子模块;否则将该TCP连接转发给所述第二判断子模块;
所述第二判断子模块用于检查所收到的TCP连接建立过程中的TCPSYNOnly报文的TTL值,如果发现其TTL值与整数值255、128、64、32中任一个的距离值小于所述整数阈值T,则丢弃该TCP连接,并发送读取指示给所述读取子模块;否则将该TCP连接转发给所述第三判断子模块;
所述第三判断子模块用于检查所收到的TCP连接建立过程中的TCPSYNACK报文的TTL值,如果发现其TTL值与整数值255、128、64、32中任一个的距离值小于所述整数阈值T,则将该TCP连接转发给所述信息提取子模块;否则丢弃该TCP连接,并发送读取指示给所述读取子模块;
所述信息提取子模块用于提取并保存所收到的TCP连接的目标设备信息,提取后发送读取指示给所述读取子模块;以及当收到所述输出指示时,将所保存的目标设备信息全部发送给所述识别模块。
进一步地,当内网中没有路由器时,所述存储子模块保存的整数阈值T为1;
当内网中存在路由器时,所述存储子模块保存的整数阈值T为2或3。
进一步地,所述提取模块提取的目标设备信息为{目标网络地址,目标端口}对。
本发明的技术方案通过对内网中一段时间内的TCP连接建立过程的监听和分析来识别出内网中的互联网服务提供设备,即互联网服务提供者,能够避免手工配置时的繁琐和可能出错的问题。本发明所述方法可以广泛应用到所有需要自动识别内网中互联网服务提供设备的应用场合;如果将本发明使用在入侵检测系统中,则可大大提高了入侵检测系统的易用性;另外,本发明的技术方案只考虑完整的TCP连接建立过程,并且要求TCP连接的发起端和终止端网络地址不属于同一子网,这就保证了该TCP连接建立过程是跨域局域网络的,从而保证了TCP连接的发起端和终止端是真实存在的,提高了识别的可靠性。本发明的优化方案公开了通过TCP连接建立过程中的第一个和第二个网络报文的TTL值来确定该网络报文是由内网主机发起的还是由外网主机发起的,以验证TCP连接两端的真实性,从而提高识别的可靠性。
附图说明
图1为实施例一中自动识别内网中互联网服务提供设备的方法的流程示意图;
图2为单次TCP连接建立过程中的三个网络报文;
图3为实施例一中从各单次TCP连接建立过程中提取可能的内网互联网服务提供设备信息的流程示意图;
图4为实施例二中自动识别内网中互联网服务提供设备的装置的示意框图;
图5为实施例二中提取模块的示意框图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
实施例一,一种自动识别内网中互联网服务提供设备的方法,如图1所示,包括以下步骤:
A1、根据一时间段内监测到的网络报文,筛选出所述时间段中具备完整TCP连接建立过程的TCP连接。
A2、对步骤A1中筛选出的各所述TCP连接分别进行判断,如果一TCP连接建立过程的发起端和终止端不属于同一子网、并且建立过程中第一个网络报文由外网发起且终止于内网,而应答所述第一个网络报文的网络报文由内网发起且终止于外网,则提取该TCP连接的目标设备信息;
所述目标设备信息可以但不限于为{目标网络地址,目标端口}对,也可以是其它能够从网络报文中提取的、描述目标设备的信息。
A3、对步骤A2提取的所述目标设备信息进行统计,将最频繁出现的若干个目标设备识别为所述内网中的互联网服务提供设备。
如果目标设备信息为{目标网络地址,目标端口}对,则对步骤A2中提取的所有{目标网络地址,目标端口}对进行统计,提取出最频繁出现的若干个{目标网络地址,目标端口}对为所识别的内网中的互联网服务提供设备。
本实施例中,步骤A1中所述具备完整TCP连接建立过程的TCP连接可以是指TCP连接建立过程包括以下三个与TCP握手连接相关的网络报文的TCP连接:
由TCP发起端发送的TCP-SYNOnly网络报文;
由TCP终止端响应TCP发起端的TCP-SYNACK网络报文;
以及由TCP发起端响应TCP终止端的TCP-ACKOnly网络报文。
这里要求捕获的TCP连接建立过程必须完整的,目的是确保该TCP连接的发起端和终止端都是真实的,而不是由黑客伪造的;实际应用中,根据具体协议和网络的不同,不排除在一次完整TCP连接建立过程中,包括以上三个网络报文中的部分网络报文及其它网络报文,甚至只包括其它网络报文;此时,所述“具备完整TCP连接建立过程的TCP连接”所指的情况也将相应改变,但步骤A1中都是根据网络报文是否齐全来找出已完成完整TCP连接建立过程的TCP连接。
本实施例中,步骤A1中可以先从所述时间段内监测到的网络报文中找出与TCP握手连接相关的网络报文,再根据这些找出的网络报文确定具备完整TCP连接建立过程的TCP连接。
本实施例中,所述步骤A2如图3所示,具体包括,对于步骤A1中筛选出的各TCP连接,分别进行下列步骤:
B1、确定该TCP连接建立过程的发起端和终止端的网络IP地址,如果发起端和终止端的网络IP地址属于同一子网则结束,否则执行步骤B2;
B2、检查该TCP连接建立过程中的第一个网络报文(TCP SYNOnly报文)的TTL值,如果发现其TTL值在整数值255、128、64、32中任一个的附近,则结束,否则执行步骤B3;
B3、检查该TCP连接建立过程中的第二个网络报文(TCP SYNACK报文)的TTL值,如果发现其TTL值在整数值255、128、64、32中任一个的附近,则进行步骤B4;否则结束;
B4、提取该TCP连接的目标设备信息。
如果目标设备信息为{目标网络地址,目标端口}对,则步骤B4中提取该TCP连接的目标网络地址和目标端口,并以{目标网络地址,目标端口}对的格式输出;当对步骤A1中筛选出的所有TCP连接都进行完上述B1到B4的步骤后,就可以得到一系列的{目标网络地址,目标端口}对。
步骤B1、B2、B3可以不分先后顺序,当判断发起端和终止端的网络IP地址属于同一子网时、或第一个网络报文在上述整数值中任一个的附近时、或第二个网络报文不在上述整数值中任一个的附近时结束,否则进行另一步骤,直到步骤B1、B2、B3都进行完后,进行步骤B4。
其中,步骤B1用于筛选出TCP连接的发起端和终止端不属于同一子网的TCP连接,目的是要保证该TCP连接是跨网段的,而不是由内网发起并终止于内网的TCP连接。
其中,步骤B2中,如果TCP连接的TTL值在整数值255,128,64,32中任一个的附近,则说明该TCP连接可能是由内网发起的,因此不予考虑;否则,说明该TCP连接很可能是由外网发起而终止于内网的,因此继续执行步骤B3。
其中,步骤B3中,如果TCP连接的TTL值在上述任一整数值附近,则说明该TCP-SYNACK网络报文很可能是由内网主机发往外网主机的,因此提取其中的目标设备信息;否则不予考虑。
实际应用时,也不排除用其它方式判断网络报文是否由外/内网发起而终止于内/外网。
如果一TCP连接建立过程同时满足步骤B2和B3中的条件,即TCP连接建立过程中的第一个网络报文(TCP SYN报文)是由外网发起而终止于内网的,TCP连接建立过程中的第二个网络报文(TCP-SYNACK报文)是由内网发起而终止于外网的,由于当前所考察的是一个完整的TCP连接建立过程,因而,该TCP连接的发起端和终止端都是真实存在的,而不太可能是由黑客伪造的,因此,猜测该TCP连接的目标设备就是一个可能的内网中互联网服务提供设备。
本实施例中,所述步骤B2和B3中判定TTL值是否在整数值255,128,64,32中任一个的附近的具体方法为:
设定整数阈值T;
分别计算所述TTL值与整数值255、128、64、32之间的距离值,只要有任一个距离值小于预先设定的整数阈值T,则判定所述TTL值在整数值255,128,64,32中某一个的附近;所述距离值是两者之差的绝对值。
通常情况下,内网中一般并没有路由器,因此,这个整数阈值T可以取值为1,即要求当前所考察网络报文的TTL值必须等于255,128,64,32中任一值时,才说明该网络报文是由内网某主机产生的。而对于内网中存在路由器的情况,将整数阈值T设置为2或者3,甚至更多都是可行的。
本实施例中,步骤A3中,可以根据所述时间段中某一目标设备出现次数与所有目标设备出现次数的比值,得到该目标设备出现的频率,频率最高的若干个目标设备就为最频繁出现的目标设备;也可以采用其它方式,比如直接比较各目标设备在所述时间段中的出现次数,出现次数最多的若干个目标设备就为最频繁出现的目标设备。
本实施例中,步骤A3中识别为互联网服务提供设备的目标设备个数可以是由用户指定,也可以是自适应调整;
如果由用户指定,用户可以根据内网中实际有的互联网服务提供设备的个数来进行指定,比如当内网中有3个互联网服务提供设备时,指定为3;则步骤A3中将最频繁出现的3个目标设备识别为互联网服务提供设备。
如果是自适应调整,则可以是设置一频率阈值或次数阈值,将出现频率/次数大于或等于该频率/次数阈值的目标设备都识别为互联网服务提供设备;这样每次识别出的互联网服务提供设备的个数有可能不同;也可以是设置一差值阈值,将各目标设备按其在所述时间段内的出现频率或次数从高到低排序,从第一个目标设备开始,依次用各目标设备的出现频率/次数减去排在后一位的目标设备的出现频率/次数得到一差值,直到所得到的差值大于或等于所述差值阈值,此时将得到该差值时作为减数的目标设备及排在该目标设备之前的所有目标设备识别为互联网服务提供设备,比如目标设备A、B、C、D在所述时间段中出现频率分别为50.1%、36.8%、12.8%和0.3%;如果所述差值阈值为20%,则将目标设备A和B识别为互联网服务提供设备;如果所述差值阈值为12%,则将目标设备A识别为互联网服务提供设备。
实施例二,一种自动识别内网中互联网服务提供设备的装置,如图4所示,包括:
筛选模块,用于接收一时间段内监测到的网络报文,根据所接收的网络报文筛选出所述时间段中具备完整TCP连接建立过程的TCP连接;
提取模块,用于对筛选出的各所述TCP连接分别进行判断,如果一TCP连接建立过程的发起端和终止端不属于同一子网、并且建立过程中第一个网络报文由外网发起且终止于内网,而应答所述第一个网络报文的网络报文由内网发起且终止于外网,则提取该TCP连接的目标设备信息;
所述目标设备信息可以但不限于为{目标网络地址,目标端口}对,也可以是其它能够从网络报文中提取的、描述目标设备的信息;
识别模块,用于对提取的所述目标设备信息进行统计,将最频繁出现的若干个目标设备识别为所述内网中的互联网服务提供设备。
如果目标设备信息为{目标网络地址,目标端口}对,则识别模块对提取的所有{目标网络地址,目标端口}对进行统计,提取出最频繁出现的若干个{目标网络地址,目标端口}对为所识别的内网中的互联网服务提供设备。
本实施例中,所述筛选模块筛选具备完整TCP连接建立过程的TCP连接可以是指:
所述筛选模块筛选出TCP连接建立过程包括以下三个与TCP握手连接相关的网络报文的TCP连接:
由TCP发起端发送的TCP-SYNOnly网络报文;
由TCP终止端响应TCP发起端的TCP-SYNACK网络报文;
以及由TCP发起端响应TCP终止端的TCP-ACKOnly网络报文。
本实施例中,所述筛选模块可以先从所述时间段内监测到的网络报文中找出与TCP握手连接相关的网络报文,再根据这些找出的网络报文确定具备完整TCP连接建立过程的TCP连接。
本实施例中,所述提取模块如图5所示,具体包括:存储子模块、读取子模块、第一判断子模块、第二判断子模块、第三判断子模块和信息提取子模块;
所述存储子模块用于从筛选模块接收筛选出的各TCP连接并保存;保存好后发送读取指示给所述读取子模块;
所述读取子模块用于当收到读取指示时,从所述存储子模块读出一个TCP连接,发送给所述第一判断子模块;以及当所述存储子模块中的TCP连接已全部读出后发送输出指示给所述信息提取子模块;
所述第一判断子模块用于确定所收到的TCP连接建立过程的发起端和终止端的网络IP地址,如果发起端和终止端的网络IP地址属于同一子网则丢弃该TCP连接,并发送读取指示给所述读取子模块;否则将该TCP连接转发给所述第二判断子模块;
所述第二判断子模块用于检查所收到的TCP连接建立过程中的第一个网络报文(TCP SYNOnly报文)的TTL值,如果发现其TTL值在整数值255、128、64、32中任一个的附近,则丢弃该TCP连接,并发送读取指示给所述读取子模块;否则将该TCP连接转发给所述第三判断子模块;
所述第三判断子模块用于检查所收到的TCP连接建立过程中的第二个网络报文(TCP SYNACK报文)的TTL值,如果发现其TTL值在整数值255、128、64、32中任一个的附近,则将该TCP连接转发给所述信息提取子模块;否则丢弃该TCP连接,并发送读取指示给所述读取子模块;
所述信息提取子模块用于提取并保存所收到的TCP连接的目标设备信息,提取后发送读取指示给所述读取子模块;以及当收到所述输出指示时,将所保存的目标设备信息全部发送给所述识别模块。
如果目标设备信息为{目标网络地址,目标端口}对,则所述信息提取子模块提取该TCP连接的目标网络地址和目标端口,并以{目标网络地址,目标端口}对的格式输出,最后识别模块将获得一系列的{目标网络地址,目标端口}对。
与步骤B1、B2、B3相类似,实际应用中,所述第一、第二和第三判断子模块的连接顺序也可以改变,所述读取子模块读取后发送给第一、第二和第三判断子模块中的一个;该判断子模块根据判断结果决定是丢弃TCP连接还是发送给另一个判断子模块,而收到TCP连接的判断子模块也是如此处理;而最后一个收到TCP连接的判断子模块根据判断结果决定是丢弃TCP连接还是发送给所述信息提取子模块。
本实施例中,所述存储子模块还用于保存一整数阈值T;
所述第二判断模块/第三判断模块判定TTL值是否在整数值255,128,64,32中任一个的附近具体是指:
所述第二判断模块/第三判断模块分别计算所述TTL值与整数值255、128、64、32之间的距离值,只要有任一个距离值小于所述整数阈值T,则判定所述TTL值在整数值255,128,64,32中某一个的附近;所述距离值是两者之差的绝对值。
通常情况下,内网中一般并没有路由器,因此,这个整数阈值T可以取值为1,即要求当前所考察网络报文的TTL值必须等于255,128,64,32中任一值时,才说明该网络报文是由内网某主机产生的。而对于内网中存在路由器的情况,将整数阈值T设置为2或者3,甚至更多都是可行的。
本实施例中,所述识别模块可以根据所述时间段中某一目标设备出现次数与所有目标设备出现次数的比值,得到该目标设备出现的频率,将频率最高的若干个目标设备作为最频繁出现的目标设备;也可以采用其它方式,比如直接比较各目标设备在所述时间段中的出现次数,将出现次数最多的若干个目标设备作为最频繁出现的目标设备。
本实施例中,所述识别模块识别为互联网服务提供设备的目标设备个数可以是由用户指定,也可以是自适应调整;
如果由用户指定,用户可以根据内网中实际有的互联网服务提供设备的个数来进行指定,比如当内网中有3个互联网服务提供设备时,指定为3;则所述识别模块将最频繁出现的3个目标设备识别为互联网服务提供设备。
如果是自适应调整,则所述识别模块保存一频率阈值或次数阈值,将出现频率/次数大于或等于该频率/次数阈值的目标设备都识别为互联网服务提供设备;这样每次识别出的互联网服务提供设备的个数有可能不同;所述识别模块也可以保存一差值阈值,将各目标设备按其在所述时间段内的出现频率或次数从高到低排序,从第一个目标设备开始,依次用各目标设备的出现频率/次数减去排在后一位的目标设备的出现频率/次数得到一差值,直到所得到的差值大于或等于所述差值阈值,此时将得到该差值时作为减数的目标设备及排在该目标设备之前的所有目标设备识别为互联网服务提供设备。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
Claims (10)
1.一种自动识别内网中互联网服务提供设备的方法,包括:
A1、根据一时间段内监测到的网络报文,筛选出所述时间段中具备完整TCP连接建立过程的TCP连接;
A2、对步骤A1中筛选出的各所述TCP连接分别进行判断,如果一TCP连接建立过程的发起端和终止端不属于同一子网、并且建立过程中第一个网络报文由外网发起且终止于内网,而应答所述第一个网络报文的网络报文由内网发起且终止于外网,则提取该TCP连接的目标设备信息;
A3、对步骤A2提取的所述目标设备信息进行统计,将最频繁出现的若干个目标设备识别为所述内网中的互联网服务提供设备。
2.如权利要求1所述的方法,其特征在于,步骤A1中所述具备完整TCP连接建立过程的TCP连接是指TCP连接建立过程包括以下三个与TCP握手连接相关的网络报文的TCP连接:
由TCP发起端发送的TCP-SYNOnly网络报文;
由TCP终止端响应TCP发起端的TCP-SYNACK网络报文;
以及由TCP发起端响应TCP终止端的TCP-ACKOnly网络报文。
3.如权利要求2所述的方法,其特征在于,所述步骤A2具体包括,对于步骤A1中筛选出的各TCP连接,分别进行下列步骤:
B1、确定该TCP连接建立过程的发起端和终止端的网络IP地址,如果发起端和终止端的网络IP地址属于同一子网则结束,否则执行步骤B2;
B2、检查该TCP连接建立过程中的TCP SYNOnly报文的TTL值,如果发现其TTL值与整数值255、128、64、32中任一个的距离值小于一预设的整数阈值T则结束,否则执行步骤B3;
B3、检查该TCP连接建立过程中的TCP SYN-ACK报文的TTL值,如果发现其TTL值与整数值255、128、64、32中任一个的距离值小于所述整数阈值T,则进行步骤B4;否则结束;
B4、提取该TCP连接的目标设备信息。
4.如权利要求3所述的方法,其特征在于:
当内网中没有路由器时,所述整数阈值T为1;
当内网中存在路由器时,所述整数阈值T为2或3。
5.如权利要求1到4中任一项所述的方法,其特征在于:
所述目标设备信息为{目标网络地址,目标端口}对。
6.一种自动识别内网中互联网服务提供设备的装置,其特征在于,包括:
筛选模块,用于接收一时间段内监测到的网络报文,根据所接收的网络报文筛选出所述时间段中具备完整TCP连接建立过程的TCP连接;
提取模块,用于对筛选出的各所述TCP连接分别进行判断,如果一TCP连接建立过程的发起端和终止端不属于同一子网、并且建立过程中第一个网络报文由外网发起且终止于内网,而应答所述第一个网络报文的网络报文由内网发起且终止于外网,则提取该TCP连接的目标设备信息;
识别模块,用于对提取的所述目标设备信息进行统计,将最频繁出现的若干个目标设备识别为所述内网中的互联网服务提供设备。
7.如权利要求6所述的装置,其特征在于,所述筛选模块筛选具备完整TCP连接建立过程的TCP连接是指,
所述筛选模块筛选出TCP连接建立过程包括以下三个与TCP握手连接相关的网络报文的TCP连接:
由TCP发起端发送的TCP-SYNOnly网络报文;
由TCP终止端响应TCP发起端的TCP-SYNACK网络报文;
以及由TCP发起端响应TCP终止端的TCP-ACKOnly网络报文。
8.如权利要求7所述的装置,其特征在于,所述提取模块具体包括:
存储子模块、读取子模块、第一判断子模块、第二判断子模块、第三判断子模块和信息提取子模块;
所述存储子模块用于保存一整数阈值T,以及从筛选模块接收筛选出的各TCP连接并保存;保存好后发送读取指示给所述读取子模块;
所述读取子模块用于当收到读取指示时,从所述存储子模块读出一个TCP连接,发送给所述第一判断子模块;以及当所述存储子模块中的TCP连接已全部读出后发送输出指示给所述信息提取子模块;
所述第一判断子模块用于确定所收到的TCP连接建立过程的发起端和终止端的网络IP地址,如果发起端和终止端的网络IP地址属于同一子网则丢弃该TCP连接,并发送读取指示给所述读取子模块;否则将该TCP连接转发给所述第二判断子模块;
所述第二判断子模块用于检查所收到的TCP连接建立过程中的TCPSYNOnly报文的TTL值,如果发现其TTL值与整数值255、128、64、32中任一个的距离值小于所述整数阈值T,则丢弃该TCP连接,并发送读取指示给所述读取子模块;否则将该TCP连接转发给所述第三判断子模块;
所述第三判断子模块用于检查所收到的TCP连接建立过程中的TCPSYNACK报文的TTL值,如果发现其TTL值与整数值255、128、64、32中任一个的距离值小于所述整数阈值T,则将该TCP连接转发给所述信息提取子模块;否则丢弃该TCP连接,并发送读取指示给所述读取子模块;
所述信息提取子模块用于提取并保存所收到的TCP连接的目标设备信息,提取后发送读取指示给所述读取子模块;以及当收到所述输出指示时,将所保存的目标设备信息全部发送给所述识别模块。
9.如权利要求8所述的装置,其特征在于:
当内网中没有路由器时,所述存储子模块保存的整数阈值T为1;
当内网中存在路由器时,所述存储子模块保存的整数阈值T为2或3。
10.如权利要求6到9中任一项所述的装置,其特征在于:
所述提取模块提取的目标设备信息为{目标网络地址,目标端口}对。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100842649A CN101895434B (zh) | 2009-05-19 | 2009-05-19 | 一种自动识别内网中互联网服务提供设备的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100842649A CN101895434B (zh) | 2009-05-19 | 2009-05-19 | 一种自动识别内网中互联网服务提供设备的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101895434A true CN101895434A (zh) | 2010-11-24 |
| CN101895434B CN101895434B (zh) | 2012-04-25 |
Family
ID=43104512
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100842649A Expired - Fee Related CN101895434B (zh) | 2009-05-19 | 2009-05-19 | 一种自动识别内网中互联网服务提供设备的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101895434B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577668A (zh) * | 2015-12-25 | 2016-05-11 | 北京奇虎科技有限公司 | 一种网络连接控制方法和装置 |
| CN110648535A (zh) * | 2019-09-26 | 2020-01-03 | 国家计算机网络与信息安全管理中心 | 一种基于流量旁路采集的轨道交通数据上报方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136797B (zh) * | 2007-09-28 | 2012-11-21 | 深圳市利谱信息技术有限公司 | 内外网物理连通的检测、通断控制方法 |
-
2009
- 2009-05-19 CN CN2009100842649A patent/CN101895434B/zh not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577668A (zh) * | 2015-12-25 | 2016-05-11 | 北京奇虎科技有限公司 | 一种网络连接控制方法和装置 |
| CN110648535A (zh) * | 2019-09-26 | 2020-01-03 | 国家计算机网络与信息安全管理中心 | 一种基于流量旁路采集的轨道交通数据上报方法及装置 |
| CN110648535B (zh) * | 2019-09-26 | 2021-04-16 | 国家计算机网络与信息安全管理中心 | 一种基于流量旁路采集的轨道交通数据上报方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101895434B (zh) | 2012-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
| US20040054925A1 (en) | System and method for detecting and countering a network attack | |
| US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
| US20090077663A1 (en) | Score-based intrusion prevention system | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| US20110280160A1 (en) | VoIP Caller Reputation System | |
| CN109194680A (zh) | 一种网络攻击识别方法、装置及设备 | |
| US20090282478A1 (en) | Method and apparatus for processing network attack | |
| US20100309800A1 (en) | Network Monitoring And Intellectual Property Protection Device, System, And Method | |
| KR102088299B1 (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
| CN106953833A (zh) | 一种DDoS攻击检测系统 | |
| CN103873463A (zh) | 多级过滤防火墙系统及多级过滤方法 | |
| CN103139315A (zh) | 一种适用于家庭网关的应用层协议解析方法 | |
| CN109391599A (zh) | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 | |
| CN101640666A (zh) | 一种面向目标网络的流量控制装置及方法 | |
| CN105991637A (zh) | 网络攻击的防护方法和装置 | |
| CN101635703A (zh) | 一种web服务异常检测方法 | |
| CN105207997B (zh) | 一种防攻击的报文转发方法和系统 | |
| KR100479202B1 (ko) | 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체 | |
| CN108566384B (zh) | 一种流量攻击防护方法、装置、防护服务器及存储介质 | |
| CN106534068A (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| CN106357660A (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
| JP2005184792A (ja) | 帯域制御装置、帯域制御方法及び帯域制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120425 Termination date: 20180519 |