CN104883281B - 一种网络边界检测方法 - Google Patents
一种网络边界检测方法 Download PDFInfo
- Publication number
- CN104883281B CN104883281B CN201510276946.5A CN201510276946A CN104883281B CN 104883281 B CN104883281 B CN 104883281B CN 201510276946 A CN201510276946 A CN 201510276946A CN 104883281 B CN104883281 B CN 104883281B
- Authority
- CN
- China
- Prior art keywords
- network
- address
- data packet
- module
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种网络边界的检测方法,包括:网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块;数据包分析模块设置有数据包队列模块;ICMP探测模块设置有TTL探测。本发明的有益效果是:处理起来简单便捷、快速准确,能够有效的预知网络安全性能,提高了企业信息安全保护能力。
Description
技术领域
本发明涉及一种网络边界的检测方法,属于网络技术安全领域。。
背景技术
目前,很多单位都设置有两个网络,一个是用来上网的可互联网的网络,一个是用来办公的内网网络;随着网络及信息技术的飞速发展,企业运营对网络的依赖日益加深,用户的网络及信息安全也正日益面临越来越多的风险: 蠕虫、木马、间谍软件、恶意网页、垃圾邮件, 融合多种渗透和破坏技术的复合式攻击, 针对网络基础设施发起的拒绝服务攻击(DoS/DDoS), 给企业的经营造成了巨大的破坏。同时新问题仍在不断涌现,网络安全威胁逐渐由网络层向应用层发展,由早期针对TCP/IP协议漏洞的攻击,转到利用TCP/IP数据包内容对操作系统和应用漏洞的攻击,给识别和控制这些威胁带来了新的困难。故此为安全起见,原则上办公网络和可连互联网的网络是不允许联通的,但在网管人员误操作下可能会发生内网网络和外网网络的发生物理连接的情况。而此时两个网络处于不同的网段,使用人员很难发现两个网络发生了网络连接,形成非法边界。
为此,如何提供一种网络边界的检测方法,是本发明研究的目的所在。
发明内容
本发明提供一种网络边界检测方法,解决了现有技术中内外网的非法连接,有效的保障了办公网络的安全性。
一种网络边界检测方法,包括:网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块。
所述的数据包分析模块设置有数据包队列模块。
所述的ICMP探测模块设置有TTL探测。
过程分为以下几步:
步骤(1):设置内网网络范围,设置内网IP地址范围,我们认为非设置内网范围的数据包均视为可疑数据包;
步骤(2):启动网卡抓包引擎,抓取网络数据包;
步骤(3):进入数据包分析模块,分析网络数据包,找出源IP地址不是内网范围的的数据包;同时进入数据包队列模块,把不是内网范围的IP地址放入可疑检测队列;
步骤(4):启动ARP探测模块,在非法内网中找出一个可用的IP地址,该地址视为非法;
步骤(5):进入ICMP探测模块,利用所述步骤(4)中IP地址进行TTL探测,如果可以探测通,说明发现的该IP地址所在的网络是一个非法网络边界。
本发明的有益效果是:处理起来简单便捷、快速准确,能够有效的预知网络安全性能,提高了企业信息安全保护能力。
附图说明
图1为本发明的原理框架图。
图2为本发明的内网检测流程图。
图3为本发明的外网检测流程图。
具体实施方式
下面结合附图1、附图2,附图3对本发明做进一步分析。
一种网络边界检测方法,如图1所示包括:网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块;数据包分析模块设置有数据包队列模块;ICMP探测模块设置有TTL探测。内网检测方法如图2所示:
步骤(1):设置内网网络范围,设置内网IP地址范围,我们认为非设置内网范围的数据包均视为可疑数据包;
步骤(2):启动网卡抓包引擎,抓取网络数据包;
步骤(3):进入数据包分析模块,分析网络数据包,找出源IP地址不是内网范围的的数据包;同时进入数据包队列模块,把不是内网范围的IP地址放入可疑检测队列;
步骤(4):启动ARP探测模块,在非法内网中找出一个可用的IP地址,该地址视为非法;
步骤(5):进入ICMP探测模块,利用所述步骤(4)中IP地址进行TTL探测,如果可以探测通,说明发现的该IP地址所在的网络是一个非法网络边界。
如图3所示是对可疑IP所在网段进行检测的过程:
1.设置外网探测地址,外网探测地址指的是一个可以从互联网可疑路由到的外网的IP地址。
2.从可疑队列中取出可疑IP地址,并把可疑IP地址所在的网段认为是可疑边界网段。
3.在可疑网段中找到一个未使用的IP地址,进行ARP封装数据包,把本机IP设置为可疑IP地址网段的一个地址进行ARP探测,查看此IP是否已经占用,如果未被占用我们把这个地址作为客户机发包探测的源IP1。
4.使用IP1作为本机地址,外网探测地址作为目标地址,封装ICMP数据包对可疑网段内的地址进行TTL探测,如果目标地址可达,那此地址就认为是违规边界。
Arp探测指:假设可疑网络段地址为192.168.1.1-192.168.1.255,用IP192.168.1.2作为源地址 向192.168.1.3发送ARP数据包,如果有应答,说明192.168.1.3已经占用,如果没有应答,说明192.168.1.3未被占用,那么就使用192.168.1.3作为TTL探测的源地址。
TTL探测:使用ARP探测发现的未占用IP 192.168.1.3作为源地址,可疑网段内的IP192.168.1.4作为目标地址组装ICMP数据包,向外网地址发送ICMP探测包,如ICMP数据包可达,说明客户机可以通过192.168.1.4连接到外网,从而发现违规边界。
以上对本申请所提供的一种实现虚拟机与管理域进程间通信的方法进行了详细介绍,本文中应用了实施例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (1)
1.一种网络边界检测方法,其特征在于,设置有网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块;所述的数据包分析模块设置有数据包队列模块;所述的ICMP探测模块设置有TTL探测;所述方法包括:
步骤(1):设置内网网络范围,设置内网IP地址范围,我们认为非内网范围的数据包均视为可疑数据包;
步骤(2):启动网卡抓包引擎,抓取网络数据包;
步骤(3):进入数据包分析模块,分析网络数据包,找出源IP地址不是内网范围的数据包;同时进入数据包队列模块,把不是内网范围的IP地址放入可疑检测队列;
步骤(4):启动ARP探测模块,在步骤(3)中获取到的IP地址所在网段中,通过ARP探测的方式找到一个未被占用的IP地址,该地址视为非法;
步骤(5):进入ICMP探测模块,利用所述步骤(4)中IP地址进行TTL探测,如果可以探测通,说明发现的该IP地址所在的网络是一个非法网络边界。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510276946.5A CN104883281B (zh) | 2015-05-27 | 2015-05-27 | 一种网络边界检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510276946.5A CN104883281B (zh) | 2015-05-27 | 2015-05-27 | 一种网络边界检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104883281A CN104883281A (zh) | 2015-09-02 |
CN104883281B true CN104883281B (zh) | 2019-03-08 |
Family
ID=53950621
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510276946.5A Active CN104883281B (zh) | 2015-05-27 | 2015-05-27 | 一种网络边界检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104883281B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101119241A (zh) * | 2007-08-24 | 2008-02-06 | 北京启明星辰信息技术有限公司 | 一种基于状态检测的协议异常检测方法及系统 |
CN101257388A (zh) * | 2008-04-08 | 2008-09-03 | 华为技术有限公司 | 非法外联检测方法、装置及系统 |
CN102118272A (zh) * | 2009-12-31 | 2011-07-06 | 蓝盾信息安全技术股份有限公司 | 一种网络边界异常监控方法 |
-
2015
- 2015-05-27 CN CN201510276946.5A patent/CN104883281B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101119241A (zh) * | 2007-08-24 | 2008-02-06 | 北京启明星辰信息技术有限公司 | 一种基于状态检测的协议异常检测方法及系统 |
CN101257388A (zh) * | 2008-04-08 | 2008-09-03 | 华为技术有限公司 | 非法外联检测方法、装置及系统 |
CN102118272A (zh) * | 2009-12-31 | 2011-07-06 | 蓝盾信息安全技术股份有限公司 | 一种网络边界异常监控方法 |
Non-Patent Citations (2)
Title |
---|
基于特征的网络边界安全检测;王玉华;侯志强;王云侠;《硅谷》;20100408;全文 |
边界安全中存在的非法外联问题;夏立法;陈歆;洪晶;《信息安全与通信保密》;20131210;第2003年卷(第12期);全文 |
Also Published As
Publication number | Publication date |
---|---|
CN104883281A (zh) | 2015-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3014813B1 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
Wang et al. | Intrusion prevention system design | |
US10095866B2 (en) | System and method for threat risk scoring of security threats | |
EP3111330B1 (en) | System and method for verifying and detecting malware | |
KR101689298B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
TW201703483A (zh) | 用於改善分散式網路中分析之方法及系統 | |
JP6086423B2 (ja) | 複数センサの観測情報の突合による不正通信検知方法 | |
Kaur et al. | Automatic attack signature generation systems: A review | |
CN107566420B (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
CA2856730C (en) | Detecting malware using patterns | |
WO2016048539A1 (en) | Behavioral detection of malware agents | |
Park et al. | Network log-based SSH brute-force attack detection model. | |
US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
EP3374870A1 (en) | System and method for threat risk scoring of security threats | |
Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
CN109150860A (zh) | 一种在OpenStack环境下实现网络微隔离的方法与系统 | |
Choi et al. | A model of analyzing cyber threats trend and tracing potential attackers based on darknet traffic | |
Pandey et al. | A lifecycle based approach for malware analysis | |
Lu et al. | APT traffic detection based on time transform | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Jiang et al. | vEye: behavioral footprinting for self-propagating worm detection and profiling | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
CN104883281B (zh) | 一种网络边界检测方法 | |
JP5385867B2 (ja) | データ転送装置及びアクセス解析方法 | |
Li et al. | A review on signature-based detection for network threats |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |