CN105554740B - 一种识别无线热点的方法、装置及设备 - Google Patents

一种识别无线热点的方法、装置及设备 Download PDF

Info

Publication number
CN105554740B
CN105554740B CN201511032613.4A CN201511032613A CN105554740B CN 105554740 B CN105554740 B CN 105554740B CN 201511032613 A CN201511032613 A CN 201511032613A CN 105554740 B CN105554740 B CN 105554740B
Authority
CN
China
Prior art keywords
data packet
application
hotspot
characteristic parameter
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201511032613.4A
Other languages
English (en)
Other versions
CN105554740A (zh
Inventor
吴崇武
肖春亮
陈鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201511032613.4A priority Critical patent/CN105554740B/zh
Publication of CN105554740A publication Critical patent/CN105554740A/zh
Application granted granted Critical
Publication of CN105554740B publication Critical patent/CN105554740B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information

Abstract

本发明提供一种识别无线热点的方法、装置及设备,该方法包括:针对当前网络中各设备访问网络产生的各个数据包,解析数据包中携带的至少一个预设特征参数;根据至少一个预设特征参数,以及预先建立的特征参数与应用属性的对应关系,确定发送数据包的应用的应用属性,所述应用属性包括:应用所属的设备类型,对应关系中的特征参数包括数据包的发送端口、数据包的负载长度、连续设定数目个数据包对应的数据包长度序列以及数据包的固定字段携带的固定信息中的至少一项;确定发送数据包的应用所属的设备类型为移动终端类型时,确定当前网络中存在无线热点。本发明能够准确的识别出当前网络中的无线热点,从而提高了识别无线热点的准确度。

Description

一种识别无线热点的方法、装置及设备
技术领域
本发明涉及网络安全技术领域,尤其涉及一种识别无线热点的方法、装置及设备。
背景技术
目前,经常有员工私自将无线热点(比如随身wifi)接入到企业内部网络,这样该员工的移动终端(比如手机等)可通过该无线热点访问网络。
然而,这种私自安装无线热点的行为,容易使企业内网被非法者入侵,导致企业内部重要数据被盗取或者破坏。因此,企业需要通过某种手段识别其网络内是否有随身wifi等无线热点。
目前,常用的识别网络中是否存在无线热点的方法为:
设备在访问网络时会发送HTTP(HyperText Transfer Protocol,超文本传输协议)报文,识别无线热点的设备针对每个HTTP报文,获取该HTTP报文中携带的UA信息,该UA(User Agent,用户代理)信息为发送该HTTP报文的设备的相关信息,比如,设备的唯一标识、设备所使用的操作系统、设备的型号等信息;根据该UA信息判断发送该HTTP报文的设备是否为移动终端,比如,当该UA信息中的设备所使用的操作系统为安卓或者IOS等移动终端常用的操作系统时,和/或,UA信息中的设备的型号为移动终端型号时,可确定发送该HTTP报文的设备为移动终端;确定发送该HTTP请求报文的设备为移动终端时,确定当前网络中存在无线热点,并确定该HTTP请求报文中的源IP地址为该无线热点的IP地址。
但是,在移动终端中安装的微信或者QQ等应用在访问网络时,移动终端中的应用发送的数据包不是HTTP报文时,或者利用UA混淆技术,将移动终端的UA信息伪造成非移动终端的UA信息时,将无法通过现有的通过HTTP报文中的UA信息识别当前网络中是否存在无线热点的方法来识别无线热点,从而可能会将非移动终端设备认为是移动终端,导致识别无线热点准确度不够高的问题。
发明内容
本发明提供一种识别无线热点的方法、装置及设备,用于解决现有的识别无线热点的方法存在的会将非移动终端设备认为是移动终端,导致识别无线热点准确度不够高的问题。
一种识别无线热点的方法,包括:
针对当前网络中各设备访问网络产生的各个数据包,解析所述数据包中携带的至少一个预设特征参数;
根据所述至少一个预设特征参数,以及预先建立的特征参数与应用属性的对应关系,确定发送所述数据包的应用的应用属性,所述应用属性包括:应用所属的设备类型,所述对应关系中的特征参数包括数据包的发送端口、数据包的负载长度、连续设定数目个数据包对应的数据包长度序列以及数据包的固定字段携带的固定信息中的至少一项,所述设备类型包括移动终端类型和非移动终端类型;
确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定当前网络中存在无线热点。
所述方法,还包括:
确定所述数据包为进行传输控制协议TCP连接时的SYN包时,提取所述SYN包中携带的滑动窗口大小以及生存时间;
查询预先建立的滑动窗口大小和生存时间以及操作系统的对应关系中,所述SYN包中携带的滑动窗口大小以及生存时间对应的操作系统;
确定所述查询到的操作系统,为发送所述数据包的设备对应的操作系统;
根据发送所述数据包的设备对应的操作系统,确定发送所述数据包的设备的设备类型。
本发明实施例,能够更加准确的判断出发送该SYN包的设备是否为移动终端,进而提高了识别无线热点的准确性。
所述方法,还包括:
确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定所述数据包对应的四元组,并将发送所述数据包的应用的应用属性与所述四元组对应存储。
本发明实施例可以节省运算量,避免重复的对同一应用发送的数据包进行无线热点识别。
所述方法中,根据所述至少一个预设特征参数,以及预先建立的特征参数与应用属性的对应关系,确定发送所述数据包的应用的应用属性,具体包括:
确定在预先建立的特征参数与应用属性的对应关系的同一对应关系中查找到所述至少一个预设特征参数时,将所述同一对应关系中的应用属性,确定为发送所述数据包的应用的应用属性。
所述方法,确定当前网络中存在无线热点后,还包括:
确定满足预设条件时,提取所述数据包中的源IP地址;
根据所述源IP地址以及预先建立的IP地址与账号信息对应关系数据库,查询所述数据库中所述源IP地址对应的账号信息;
根据所述查询到的账号信息,确定所述无线热点的位置并发出告警。
本发明实施例可以定位无线热点的位置并发出告警。
所述方法中,确定满足预设条件,具体包括:
确定通过所述无线热点访问网络的各个应用;
根据预先建立的应用与权值的对应关系,确定在预设时长内通过所述无线热点访问网络的各个应用对应的权值;
计算所述各个应用对应的权值之和;
确定所述权值之和大于设定阈值时,确定满足预设条件。
本发明实施例通过综合考虑多个应用,确定多个应用的权值之和超过设定阈值时,再确定无线热点的位置,在一定程度上避免了提高了告警的准确度。
本发明还提供一种识别无线热点的装置,包括:
解析单元,用于针对当前网络中各设备访问网络产生的各个数据包,解析所述数据包中携带的至少一个预设特征参数;
确定单元,用于根据所述至少一个预设特征参数,以及预先建立的特征参数与应用属性的对应关系,确定发送所述数据包的应用的应用属性,所述应用属性包括:应用所属的设备类型,所述对应关系中的特征参数包括数据包的发送端口、数据包的负载长度、连续设定数目个数据包对应的数据包长度序列以及数据包的固定字段携带的固定信息中的至少一项,所述设备类型包括移动终端类型和非移动终端类型;
识别单元,用于确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定当前网络中存在无线热点。
所述装置中,所述解析单元还用于,确定所述数据包为进行传输控制协议TCP连接时的SYN包时,提取所述SYN包中携带的滑动窗口大小以及生存时间;
所述确定单元还用于,查询预先建立的滑动窗口大小和生存时间以及操作系统的对应关系中,所述SYN包中携带的滑动窗口大小以及生存时间对应的操作系统;确定所述查询到的操作系统,为发送所述数据包的设备对应的操作系统;
所述识别单元还用于,根据发送所述数据包的设备对应的操作系统,确定发送所述数据包的设备的设备类型。
所述装置中,所述识别单元还用于:
确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定所述数据包对应的四元组,并将发送所述数据包的应用的应用属性与所述四元组对应存储。
所述装置中,所述确定单元具体用于:
确定在预先建立的特征参数与应用属性的对应关系的同一对应关系中查找到所述至少一个预设特征参数时,将所述同一对应关系中的应用属性,确定为发送所述数据包的应用的应用属性。
所述装置中,所述识别单元在确定当前网络中存在无线热点后,还用于:
确定满足预设条件时,提取所述数据包中的源IP地址;
根据所述源IP地址以及预先建立的IP地址与账号信息对应关系数据库,查询所述数据库中所述源IP地址对应的账号信息;
根据所述查询到的账号信息,确定所述无线热点的位置并发出告警。
所述装置中,所述识别单元确定满足预设条件时,具体用于:
确定通过所述无线热点访问网络的各个应用;
根据预先建立的应用与权值的对应关系,确定在预设时长内通过所述无线热点访问网络的各个应用对应的权值;
计算所述各个应用对应的权值之和;
确定所述权值之和大于设定阈值时,确定满足预设条件。
本发明还提供一种识别设备,包括上述任一所述的装置。
利用本发明提供的识别无线热点的方法、装置及设备,具有以下有益效果:根据预先建立的特征参数与应用属性的对应关系确定实际网络中发送数据包的应用的应用属性,并根据该应用属性确定实际网络中是否存在无线热点,从而实现了基于应用的无线热点识别,相比于现有技术只根据HTTP报文中UA信息识别无线热点的方法,本发明实施例在数据包的格式不是HTTP报文或者在将移动终端的UA信息伪造成非移动终端的UA信息的场景下,依然能够准确的识别出当前网络中的无线热点,从而提高了识别无线热点的准确度。
附图说明
图1为本发明实施例提供的识别无线热点的方法流程图之一;
图2为本发明实施例提供的识别无线热点的方法流程图之二;
图3为本发明实施例提供的定位无线热点的方法流程图之一;
图4为本发明实施例提供的定位无线热点的方法流程图之二;
图5为本发明实施例提供的识别无线热点的装置示意图。
具体实施方式
下面结合附图和实施例对本发明提供的识别无线热点的方法、装置及设备进行更详细地说明。
本发明实施例提供一种识别无线热点的方法,如图1所示,包括:
步骤101,针对当前网络中各设备访问网络产生的各个数据包,解析该数据包中携带的至少一个预设特征参数。
具体的,各个数据包的格式可以为HTTP报文格式,也可以是非HTTP报文格式。当前网络中的各设备访问外部网络时所产生的各个数据包保存到网络服务器中,数据包包括上行数据包和下行数据包,用户实时将网络服务器中的数据包通过交换机设备镜像到无线热点识别设备。当前网络中的各设备包括台式计算机、移动终端(比如手机、IPAD等)、笔记本电脑等。具体的,针对镜像到的每个数据包,分析该数据包中携带的至少一个预设特征参数,该预设特征参数为发送该数据包的发送端口、该数据包的负载长度、连续设定数目个数据包对应的数据包长度序列以及数据包的固定字段携带的固定信息中的至少一项,还可以包括其他特征参数,这里不做限定。
步骤102,根据所述至少一个预设特征参数,以及预先建立的特征参数与应用属性的对应关系,确定发送所述数据包的应用的应用属性,所述应用属性包括:应用所属的设备类型,所述对应关系中的特征参数包括数据包的发送端口、数据包的负载长度、连续设定数目个数据包对应的数据包长度序列以及数据包的固定字段携带的固定信息中的至少一项,所述设备类型包括移动终端类型和非移动终端类型。
具体的,其中,发送数据包的应用所属的设备类型确定后,即可确定发送该数据包的应用是否为移动终端上的应用。
所述对应关系中的特征参数还可以包括其他参数,这里不做限定。其中,数据包的固定字段携带的固定信息具体为共有协议中的固定字段携带的固定信息,比如TCP(Transmission Control Protocol,传输控制协议)协议中的某个固定字段携带的固定信息;连续设定数目个数据包对应的数据包长度序列为,截止到当前时刻,连续发送的设定数目个数据包的长度组成的序列,比如,截止到当前时刻,连续发送了长度分别为3、4、5的三个数据包,则,这三个数据包组成的序列为(3,4,5)。
本发明实施例中的设备类型包括非移动终端类型和移动终端类型,其中,移动终端包括手机、IPAD等设备,非移动终端包括台式计算机等设备。不同的应用在不同类型的设备上访问外部网络所产生的数据包中的特征参数有所不同,本发明实施例预先根据实验建立特征参数与应用属性的对应关系,比如应用包括QQ、微信、新浪微博、爱奇艺等,分别将这些应用安装到台式计算机、手机、IPAD中,分别在台式计算机、手机以及IPAD中依次使用这些应用,并统计分析在不同的设备上通过不同应用访问外部网络时所产生的各个数据包的特征参数,具体可将特征参数与应用属性的对应关系以配置文件或者表格的形式保存,在运行本发明实施例对应的软件程序时,将该配置文件或者表格导入内存中,并将不同的对应关系作为不同的结构体成员,优选地,应用属性还包括应用名称,特征参数与应用属性的对应关系可如表1所示,表1中,一个表项作为一个对应关系。表1只是一种示例,其中只给出了部分应用和设备类型以及特征参数的对应关系。
表1
具体的,从预先建立的特征参数与应用属性的对应关系中查找从步骤101的数据包中提取出的至少一个预设特征参数,如果查找到,则确定查找到的特征参数对应的应用属性和应用名称,如果未查找到,则针对下一数据包,执行步骤101。
步骤103,确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定当前网络中存在无线热点。
具体的,确定发送该数据包的应用所属的设备类型为移动终端类型(手机或IPAD等移动终端),即,确定发送该数据包的应用为移动终端上的应用时,确定当前网络中存在无线热点。
本发明实施例,通过实验得出将不用应用安装在不同类型的设备上后,不同设备上的不同应用发送数据包中的特征参数,建立特征参数与应用属性的对应关系,在实际网络中通过分析镜像的访问外部网络的数据包中携带的至少一个预设特征参数,并根据预先建立的特征参数与应用属性的对应关系确定实际网络中发送数据包的应用的应用属性,并根据该应用属性确定实际网络中是否存在无线热点,从而实现了基于应用的无线热点识别,相比于现有技术只根据HTTP报文中UA信息识别无线热点的方法,本发明实施例在数据包的格式不是HTTP报文或者在将移动终端的UA信息伪造成非移动终端的UA信息的场景下,依然能够准确的识别出当前网络中的无线热点,从而提高了识别无线热点的准确度。
优选地,针对每个应用,根据该应用发送的前6个上行数据包,以及网络侧为发送给该应用的前6个数据包,判断该应用是否为移动终端中的应用。
优选地,为了更准确的识别当前网络中的无线热点,如图2所示,本发明实施例还包括:
步骤201,确定所述数据包为进行传输控制协议TCP连接时的SYN包时,提取所述SYN包中携带的滑动窗口大小以及生存时间。
具体的,SYN(synchronous)是TCP连接建立时使用的握手信号,该SYN包中携带了滑动窗口大小以及生存时间,其中,生存时间用于表示SYN包绕过的节点个数,具体的滑动窗口大小和生存时间的含义详见现有技术的TCP协议,具体含义这里不做详述。
步骤202,查询预先建立的滑动窗口大小和生存时间以及操作系统的对应关系中,所述SYN包中携带的滑动窗口大小以及生存时间对应的操作系统。
具体的,预先通过实验得出不同的应用安装在不同类型的设备上时,各个应用建立TCP连接时的SYN包中携带的滑动窗口大小和生存时间以及不同类型的设备的操作系统的对应关系,这样可以进一步确定出发送步骤101中的数据包的设备中的操作系统,从而更加准确的确定当前网络中是否存在无线热线。具体的,预先建立的滑动窗口大小和生存时间以及操作系统的对应关系以配置文件或者表格的形式保存,该对应关系可如表2所示,表2中一个表项表示一个对应关系。表2只是一种示例,其中只给出了部分应用的滑动窗口大小、生存时间和操作系统的对应关系。
表2
步骤203,确定所述查询到的操作系统,为发送所述数据包的设备对应的操作系统。
步骤204,根据发送所述数据包的设备对应的操作系统,确定发送所述数据包的设备的设备类型。
具体的,发送数据包的设备的设备类型也包括移动终端类型和非移动终端类型,其中,移动终端包括手机、IPAD等设备,非移动终端包括台式计算机等设备。不同的设备对应不同的操作系统,比如手机的操作系统包括安卓操作系统、IOS操作系统等,台式机的操作系统包括Windows操作系统、liunx操作系统等,根据操作系统确定出发送数据包的设备是否为移动终端。
本发明实施例在数据包为SYN包时,在根据该SYN包中携带的预设特征参数判断发送该SYN包的应用的应用属性的基础上,进一步根据SYN包中的滑动窗口大小和生存时间,确定发送该SYN包的设备的操作系统,从而能够更加准确的判断出发送该SYN包的设备是否为移动终端,进而提高了识别无线热点的准确性。
优选地,确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定所述数据包对应的四元组,并将发送所述数据包的应用的应用属性与所述四元组对应存储,从而得到四元组与应用属性的对应关系,其中,四元组由所述数据包中携带的源IP(Internet Protocol,网络协议)地址、目的IP地址、源端口和目的端口组成,该四元组可对应一个会话。
不同的设备中的不同应用对应的四元组不同,本发明实施例可实时建立四元组与应用属性的对应关系,从而在针对下一数据包进行无线热点识别前,先根据该下一数据包对应的四元组在该应用属性与四元组对应系中查找该对应关系中是否包含该下一数据包对应的四元组,如果存在,则根据查找到的四元组可确定发送该下一数据包的应用的应用属性,此时,确定发送该下一数据包的应用的应用属性已经确定,可不针对该下一数据包执行步骤101,如果不存在,则执行步骤101。这样可以节省运算量,避免重复的对同一应用发送的数据包进行无线热点识别。
进一步优选地,将利用图2提供的实施例确定出的操作系统与应用属性与所述四元组对应存储,具体的,针对同一设备中的同一应用发出的数据包对应的四元组相同,则,针对同一四元组,将该四元组对应的应用、应用对应的操作系统对应存储。
优选地,步骤102根据所述至少一个预设特征,以及预先建立的特征与应用属性的对应关系,确定发送所述数据包的应用的应用属性,具体包括:
确定在预先建立的特征与应用属性的对应关系的同一对应关系中查找到所述至少一个预设特征时,将所述同一对应关系中的应用属性,确定为发送所述数据包的应用的应用属性。
也可根据其他方式确定发送数据包的应用的应用属性,比如,当至少一个预设特征参数包括多个时,按照顺序从多个预设特征参数中的第一个开始,查找预先建立的特征与应用属性的对应关系中是否存在第一个预设特征参数,如果存在,则确定查找到的特征参数对应的应用属性,如果不存在继续查找第二个预设特征参数,直到确定发送该数据包的应用的应用属性或者直到根据最后一个预设特征参数也未查找到发送该数据包的应用的应用属性为止。
优选地,确定当前网络中存在无线热点后,如图3所示,还包括:
步骤301,确定满足预设条件时,提取所述数据包中的源IP地址。
具体的,该预设条件可以为到达设定时刻,或者到达确定无线热点位置的周期,还可以为其它预设条件,这里不做限定。如果移动终端通过无线热点上网,那么移动终端发出的数据包中的源IP地址在经过无线热点后,该数据包中的源IP地址会被修改为无线热点的IP地址,因此,步骤301中提取的数据包中的源IP地址实际为无线热点的IP地址。
步骤302,根据所述源IP地址以及预先建立的IP地址与账号信息对应关系数据库,查询所述数据库中所述源IP地址对应的账号信息。
具体的,账号信息具体为用户名,不包括用户密码。
步骤303,根据所述查询到的账号信息,确定所述无线热点的位置并发出告警。
具体的,在识别无线热点前,预先根据设定时长内的各个数据包,建立IP地址与账号信息的对应关系数据库,这样通过账号信息可以定位出具体的使用该无线热点的用户,从而根据该用户定位出无线热点的位置并发出告警。比如,用户使用移动终端上的QQ,通过无线热点上网,则如果知道该QQ对应的用户,则可通过该用户确定无线热点的位置。其中,一个IP地址可以关联多个账号信息,一个账号信息也可以关联多个IP地址。
其中,优选地,如果根据所述源IP地址以及预先建立的IP地址与账号信息对应关系数据库,未查询到该源IP地址,则进一步判断步骤301中数据包中是否包含账户信息,如果是,将该源IP地址与账户信息对应存储到IP地址与账号信息对应关系数据库中,如果否,将该源IP地址保存到IP地址与账号信息对应关系数据库中,如果在之后的数据包中提取到了相同的源IP地址并且之后的数据包中存在账户信息,则将账户信息提取保存到IP地址与账号信息对应关系数据库中与该源IP地址对应的表项中。
本发明实施例可以实现IP地址与账号信息对应关系数据库的更新。
进一步优选地,将该源IP地址与账户信息对应存储到IP地址与账号信息对应关系数据库中,具体包括:确定IP地址与账号信息对应关系数据库中保存的表项未超过最大值时,将该源IP地址与账户信息对应存储到IP地址与账号信息对应关系数据库中;确定IP地址与账号信息对应关系数据库中保存的表项超过最大值时,删除该数据库中存入时间相对较早的设定数目条表项后,将该源IP地址与账户信息对应存储到IP地址与账号信息对应关系数据库中。
本发明实施例既可以实现IP地址与账号信息对应关系数据库的更新,又不会超出数据库的最大承载量。
优选地,步骤301中,确定满足预设条件,如图4所示,具体包括:
步骤401,确定通过所述无线热点访问网络的各个应用。
具体的,确定到达识别无线热点的时刻时,统计当前已确定的通过该无线热点访问网络的各个应用的名称。
步骤402,根据预先建立的应用与权值的对应关系,确定在预设时长内通过所述无线热点访问网络的各个应用对应的权值。
具体的,预先根据用户的使用习惯,为不同应用设置不同的权值,将目前经常在手机等移动终端中使用的应用(如QQ、微信等)的权值设置高些,不同用的应用(如百度地图等)的权值设置低些,经常在台式计算机上使用的应用的权值设置设为0。
步骤403,计算所述各个应用对应的权值之和。
步骤404,确定所述权值之和大于设定阈值时,确定满足预设条件。
具体的,设定阈值可根据实际应用场景设定,这里不做限定。如果只根据一个应用就发出告警,可能会导致误告警的问题,本发明实施例通过综合考虑多个应用,确定多个应用的权值之和超过设定阈值时,再确定无线热点的位置,在一定程度上避免了提高了告警的准确度。
基于与本发明实施例提供的识别无线热点的方法同样的发明构思,本发明实施例还提供一种识别无线热点的装置,如图5所示,包括:
解析单元501,用于针对当前网络中各设备访问网络产生的各个数据包,解析所述数据包中携带的至少一个预设特征参数;
确定单元502,用于根据所述至少一个预设特征参数,以及预先建立的特征参数与应用属性的对应关系,确定发送所述数据包的应用的应用属性,所述应用属性包括:应用所属的设备类型,所述对应关系中的特征参数包括数据包的发送端口、数据包的负载长度、连续设定数目个数据包对应的数据包长度序列以及数据包的固定字段携带的固定信息中的至少一项,所述设备类型包括移动终端类型和非移动终端类型;
识别单元503,用于确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定当前网络中存在无线热点。
优选地,所述装置中,所述解析单元还用于,确定所述数据包为进行传输控制协议TCP连接时的SYN包时,提取所述SYN包中携带的滑动窗口大小以及生存时间;
所述确定单元还用于,查询预先建立的滑动窗口大小和生存时间以及操作系统的对应关系中,所述SYN包中携带的滑动窗口大小以及生存时间对应的操作系统;确定所述查询到的操作系统,为发送所述数据包的设备对应的操作系统;
所述识别单元还用于,根据发送所述数据包的设备对应的操作系统,确定发送所述数据包的设备的设备类型。
优选地,所述装置中,所述识别单元还用于:
确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定所述数据包对应的四元组,并将发送所述数据包的应用的应用属性与所述四元组对应存储。
优选地,所述装置中,所述确定单元具体用于:
确定在预先建立的特征参数与应用属性的对应关系的同一对应关系中查找到所述至少一个预设特征参数时,将所述同一对应关系中的应用属性,确定为发送所述数据包的应用的应用属性。
优选地,所述装置中,所述识别单元在确定当前网络中存在无线热点后,还用于:
确定满足预设条件时,提取所述数据包中的源IP地址;
根据所述源IP地址以及预先建立的IP地址与账号信息对应关系数据库,查询所述数据库中所述源IP地址对应的账号信息;
根据所述查询到的账号信息,确定所述无线热点的位置并发出告警。
优选地,所述装置中,所述识别单元确定满足预设条件时,具体用于:
确定通过所述无线热点访问网络的各个应用;
根据预先建立的应用与权值的对应关系,确定在预设时长内通过所述无线热点访问网络的各个应用对应的权值;
计算所述各个应用对应的权值之和;
确定所述权值之和大于设定阈值时,确定满足预设条件。
本发明实施例还提供一种识别设备,包括上述任一实施例提供的装置。
利用本发明实施例提供的识别无线热点的方法、装置及设备,具有以下有益效果:根据预先建立的特征参数与应用属性的对应关系确定实际网络中发送数据包的应用的应用属性,并根据该应用属性确定实际网络中是否存在无线热点,从而实现了基于应用的无线热点识别,相比于现有技术只根据HTTP报文中UA信息识别无线热点的方法,本发明实施例在数据包的格式不是HTTP报文或者在将移动终端的UA信息伪造成非移动终端的UA信息的场景下,依然能够准确的识别出当前网络中的无线热点,从而提高了识别无线热点的准确度。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (13)

1.一种识别无线热点的方法,其特征在于,包括:
针对当前网络中各设备访问网络产生的各个数据包,解析所述数据包中携带的至少一个预设特征参数;
根据所述至少一个预设特征参数,以及预先建立的特征参数与应用属性的对应关系,确定发送所述数据包的应用的应用属性,所述应用属性包括:应用所属的设备类型,所述对应关系中的特征参数包括数据包的负载长度、连续设定数目个数据包对应的数据包长度序列中的至少一项,所述设备类型包括移动终端类型和非移动终端类型,所述特征参数与应用属性的对应关系是通过预先统计分析所述各设备中不同应用访问网络时所产生的各个数据包的特征参数确定的;
确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定当前网络中存在无线热点。
2.如权利要求1所述的方法,其特征在于,还包括:
确定所述数据包为进行传输控制协议TCP连接时的SYN包时,提取所述SYN包中携带的滑动窗口大小以及生存时间;
查询预先建立的滑动窗口大小和生存时间以及操作系统的对应关系中,所述SYN包中携带的滑动窗口大小以及生存时间对应的操作系统;
确定所述查询到的操作系统,为发送所述数据包的设备对应的操作系统;
根据发送所述数据包的设备对应的操作系统,确定发送所述数据包的设备的设备类型。
3.如权利要求1或2所述的方法,其特征在于,还包括:
确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定所述数据包对应的四元组,并将发送所述数据包的应用的应用属性与所述四元组对应存储。
4.如权利要求1或2所述的方法,其特征在于,根据所述至少一个预设特征参数,以及预先建立的特征参数与应用属性的对应关系,确定发送所述数据包的应用的应用属性,具体包括:
确定在预先建立的特征参数与应用属性的对应关系的同一对应关系中查找到所述至少一个预设特征参数时,将所述同一对应关系中的应用属性,确定为发送所述数据包的应用的应用属性。
5.如权利要求1所述的方法,其特征在于,确定当前网络中存在无线热点后,还包括:
确定满足预设条件时,提取所述数据包中的源IP地址;
根据所述源IP地址以及预先建立的IP地址与账号信息对应关系数据库,查询所述数据库中所述源IP地址对应的账号信息;
根据所述查询到的账号信息,确定所述无线热点的位置并发出告警。
6.如权利要求5所述的方法,其特征在于,确定满足预设条件,具体包括:
确定通过所述无线热点访问网络的各个应用;
根据预先建立的应用与权值的对应关系,确定在预设时长内通过所述无线热点访问网络的各个应用对应的权值;
计算所述各个应用对应的权值之和;
确定所述权值之和大于设定阈值时,确定满足预设条件。
7.一种识别无线热点的装置,其特征在于,包括:
解析单元,用于针对当前网络中各设备访问网络产生的各个数据包,解析所述数据包中携带的至少一个预设特征参数;
确定单元,用于根据所述至少一个预设特征参数,以及预先建立的特征参数与应用属性的对应关系,确定发送所述数据包的应用的应用属性,所述应用属性包括:应用所属的设备类型,所述对应关系中的特征参数包括数据包的负载长度、连续设定数目个数据包对应的数据包长度序列中的至少一项,所述设备类型包括移动终端类型和非移动终端类型,所述特征参数与应用属性的对应关系是通过预先统计分析所述各设备中不同应用访问网络时所产生的各个数据包的特征参数确定的;
识别单元,用于确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定当前网络中存在无线热点。
8.如权利要求7所述的装置,其特征在于,
所述解析单元还用于,确定所述数据包为进行传输控制协议TCP连接时的SYN包时,提取所述SYN包中携带的滑动窗口大小以及生存时间;
所述确定单元还用于,查询预先建立的滑动窗口大小和生存时间以及操作系统的对应关系中,所述SYN包中携带的滑动窗口大小以及生存时间对应的操作系统;确定所述查询到的操作系统,为发送所述数据包的设备对应的操作系统;
所述识别单元还用于,根据发送所述数据包的设备对应的操作系统,确定发送所述数据包的设备的设备类型。
9.如权利要求7或8所述的装置,其特征在于,所述识别单元还用于:
确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定所述数据包对应的四元组,并将发送所述数据包的应用的应用属性与所述四元组对应存储。
10.如权利要求7或8所述的装置,其特征在于,所述确定单元具体用于:
确定在预先建立的特征参数与应用属性的对应关系的同一对应关系中查找到所述至少一个预设特征参数时,将所述同一对应关系中的应用属性,确定为发送所述数据包的应用的应用属性。
11.如权利要求7所述的装置,其特征在于,所述识别单元在确定当前网络中存在无线热点后,还用于:
确定满足预设条件时,提取所述数据包中的源IP地址;
根据所述源IP地址以及预先建立的IP地址与账号信息对应关系数据库,查询所述数据库中所述源IP地址对应的账号信息;
根据所述查询到的账号信息,确定所述无线热点的位置并发出告警。
12.如权利要求11所述的装置,其特征在于,所述识别单元确定满足预设条件时,具体用于:
确定通过所述无线热点访问网络的各个应用;
根据预先建立的应用与权值的对应关系,确定在预设时长内通过所述无线热点访问网络的各个应用对应的权值;
计算所述各个应用对应的权值之和;
确定所述权值之和大于设定阈值时,确定满足预设条件。
13.一种识别设备,其特征在于,包括权利要求7-12任一所述的装置。
CN201511032613.4A 2015-12-31 2015-12-31 一种识别无线热点的方法、装置及设备 Active CN105554740B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201511032613.4A CN105554740B (zh) 2015-12-31 2015-12-31 一种识别无线热点的方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511032613.4A CN105554740B (zh) 2015-12-31 2015-12-31 一种识别无线热点的方法、装置及设备

Publications (2)

Publication Number Publication Date
CN105554740A CN105554740A (zh) 2016-05-04
CN105554740B true CN105554740B (zh) 2019-07-02

Family

ID=55833627

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511032613.4A Active CN105554740B (zh) 2015-12-31 2015-12-31 一种识别无线热点的方法、装置及设备

Country Status (1)

Country Link
CN (1) CN105554740B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106254375B (zh) * 2016-09-05 2019-11-19 北京神州绿盟信息安全科技股份有限公司 一种无线热点设备的识别方法及装置
CN109803264B (zh) * 2018-12-24 2022-04-29 奇安信科技集团股份有限公司 识别无线入侵的方法和装置
CN110602766B (zh) * 2019-10-16 2022-06-10 杭州云深科技有限公司 一种个人热点识别方法和终端之间关联关系的确定方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102752756A (zh) * 2012-06-08 2012-10-24 深信服网络科技(深圳)有限公司 防止通过私接无线ap上网的方法及装置
CN103442376A (zh) * 2013-08-06 2013-12-11 深圳市同洲电子股份有限公司 一种无线热点识别方法、相关设备及系统
TWI492647B (zh) * 2013-08-20 2015-07-11 D Link Corp Quickly access hotspot selection method
CN104869576B (zh) * 2014-02-24 2019-07-26 北京奇安信科技有限公司 一种无线热点识别方法和装置
CN103973700A (zh) * 2014-05-21 2014-08-06 成都达信通通讯设备有限公司 移动终端预设联网地址防火墙隔离应用系统
CN104065539A (zh) * 2014-07-09 2014-09-24 武汉安问科技发展有限责任公司 基于应用行为的非授权网络设备的监测方法
CN105188062B (zh) * 2015-08-28 2018-12-14 深圳市信锐网科技术有限公司 泄密防护方法和装置

Also Published As

Publication number Publication date
CN105554740A (zh) 2016-05-04

Similar Documents

Publication Publication Date Title
CN104320377B (zh) 一种流媒体文件的防盗链方法及设备
KR100848319B1 (ko) 웹 구조정보를 이용한 유해 사이트 차단 방법 및 장치
EP3697042A1 (en) Traffic analysis method, public service traffic attribution method and corresponding computer system
CN103297270A (zh) 应用类型识别方法及网络设备
Zhang et al. A sensitive network jitter measurement for covert timing channels over interactive traffic
CN105554740B (zh) 一种识别无线热点的方法、装置及设备
CN104811462A (zh) 一种接入网关重定向方法及接入网关
CN111212156B (zh) 一种网络连接方法与装置
CN105430012B (zh) 一种多站点同步登录的方法及装置
WO2015021873A1 (en) Method, platform server, and system of data pushing
CN105871853A (zh) 一种入口认证方法和系统
CN105635073A (zh) 访问控制方法、装置和网络接入设备
CN105635064A (zh) Csrf攻击检测方法及装置
CN106899564A (zh) 一种登录方法和装置
CN105634863B (zh) 一种应用协议检测的方法及设备
CN109688099B (zh) 服务器端撞库识别方法、装置、设备及可读存储介质
CN103825772A (zh) 识别用户点击行为的方法及网关设备
CN106445968B (zh) 一种数据合并方法及装置
CN108076149B (zh) 会话保持方法和装置
US20130268662A1 (en) Hypertext transfer protocol http stream association method and device
CN103685298A (zh) 一种基于深度包检测的ssl中间人攻击发现方法
CN114024904B (zh) 访问控制方法、装置、设备及存储介质
CN113055420A (zh) Https业务识别方法、装置及计算设备
US20200314190A1 (en) De termining that multiple requests are received from a particular user device
CN111314489B (zh) 识别接入网络类型方法、服务器及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Patentee after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Patentee before: NSFOCUS TECHNOLOGIES Inc.