CN106254375B - 一种无线热点设备的识别方法及装置 - Google Patents

Abstract

本发明涉及网络安全领域，特别涉及一种无线热点设备的识别方法及装置。该方法为：边界网关对其接收到的来自企业内网的数据流量中的各个数据包进行协议分析，根据分析结果，边界网关至少要识别出各个数据包所对应的TTL信息，然后，边界网关会至少基于各个数据包的TTL信息判断网络中是否存在疑似无线热点设备。此识别方法只需要对来自企业内网的数据流量中的数据包进行TTL信息分析即可得到识别结果，这样，就不存在技术局限性，在降低了技术实现复杂度的同时，也能确保边界网关能够准确识别出疑似无线热点设备，并且此识别方法的执行方式具有随时性，因此，也能够有效提高识别效率。

Description

一种无线热点设备的识别方法及装置

技术领域

本发明涉及网络安全领域，特别涉及一种无线热点设备的识别方法及装置。

背景技术

为了便于促进企业内网络的运营安全、稳定性、可靠性、网络的封闭性以及可管理性，大多数企业均会采用企业内网的形式进行管理。参阅图1所示，所谓企业内网，就是由边界网关、路由器、若干交换机、若干服务器以及若干计算机组成的计算机网络，企业内网的计算机用户通过边界网关与外网进行数据交互，其中，边界网关内设有防火墙，不同交换机分别管理不同的网段。

在企业内网中，时常有员工私自搭建无线热点设备，并通过这些无线热点设备，将自身使用的移动终端(如，手机，平板电脑)连接至互联网。这些私自搭建的无线热点设备很容易被黑客入侵，从而给企业内网带来了极大的安全隐患，因此，需要对这些无线热点设备进行有效识别和删除。

目前，边界网关通过提取超文本传送协议(Hypertext Transfer Protocol，HTTP)协议头中的用户代理(User Agent，UA)字段或者对接收的数据流量进行流量特征分析来识别企业内网中是否存在无线热点设备。

然而，当边界网关通过提取HTTP协议头中的UA字段来识别时，若移动终端不使用HTTP协议，则边界网关就不能准确的识别出是否存在无线热点设备，且边界网关仅通过UA字段来识别移动终端所依据的参量太少，因此，会导致识别时间较长，降低识别效率；当边界网关通过对接收的数据流量进行流量特征分析来识别时，首先，边界网关需要建立应用程序(Application，APP)协议特征库，因此，需要耗费大量的存储资源；其次，只有在累积了一定数量的数据包后，才能进行流量特征识别，因此，识别效率较低，具有一定的滞后性；再次，APP的更新速度特别快，因此，需要频繁更新各类APP的流量特征，从而大大增加了运维成本，同时，若更新不及时，则同样无法准确识别出相应的APP协议，从而导致无法准确识别出无线热点设备。

发明内容

本发明实施例提供一种无线热点设备的识别方法，用以解决现有技术中存在的无法准确识别以及识别效率较低的问题。

本发明实施例提供的具体技术方案如下：

一种无线热点设备的识别方法，包括：

边界网关确定发生指定的触发事件；

边界网关循环执行以下操作，直至数据包提取完毕：

提取由内网向外网发送的一个数据包；

提取所述一个数据包的TTL信息；

确定所述一个数据包的TTL信息发生异常时，判定所述一个数据包对应归属的网段中存在疑似无线热点设备。

可选的，确定发生指定的触发事件，包括：

获知内网架构发生改变时，确定发生指定的触发事件；或者，

接收到管理层下发的识别指令时，确定发生指定的触发事件。

可选的，确定任意一个数据包的TTL信息发生异常，包括：

进一步提取所述任意一个数据包的IP地址，作为待判断IP地址；

从所述待判断IP地址的相邻IP地址中，选定一个IP地址作为参考地址；

计算所述待判断IP地址对应的第一TTL跳数，以及所述参考地址对应的第二TTL跳数，其中，一个IP地址对应的TTL跳数，表征所述一个IP地址对应的数据包中记录的TTL信息内，记录的TTL初始值与TTL当前取值的差值；

确定所述第一TTL跳数大于所述第二TTL跳数时，判定所述任意一个数据包的TTL信息异常。

可选的，从所述待判断IP地址的相邻IP地址中，选定一个IP地址作为参考地址，包括：

确定所述待判断IP地址在预设数组中的存储位置，其中，所述预设数组中按照设定顺序保存有内网中全部的IP地址；

若根据所述存储位置确定所述待判断IP地址在预设数组中只存在一个相邻的IP地址，则选定所述一个相邻的IP地址作为参考地址；

若根据所述存储位置确定所述待判断IP地址在预设数组中存在两个相邻的IP地址，则将从指定起始位置开始，与所述待判断IP地址之间相同位数的数目最多的相邻IP地址作为参考地址；其中，若所述两个相邻IP地址与所述待判断IP地址之间相同位数的数目一样多，则随机选取一个相邻IP地址作为参考地址。

可选的，确定任意一个数据包对应归属的网段内存在疑似无线热点设备，进一步包括：

进一步提取所述任意一个数据包的操作系统信息；

判断所述操作系统信息是否表征移动终端使用的操作系统，若是，则判定所述任意一个数据包对应归属的网段内必定存在无线热点设备，否则，维持判定所述任意一个数据包对应归属的网段内存在疑似无线热点设备。

可选的，在完成对所述任意一个数据包的判定后，还包括：

将对所述任意一个数据包的判定结果保存至指定存储装置；

一种无线热点设备的识别装置，包括：

确定单元，用于确定发生指定的触发事件；

执行单元，用于循环执行以下操作，直至数据包提取完毕：

提取由内网向外网发送的一个数据包；

提取所述一个数据包的TTL信息；

确定所述一个数据包的TTL信息发生异常时，判定所述一个数据包对应归属的网段中存在疑似无线热点设备。

可选的，确定发生指定的触发事件时，所述确定单元用于：

获知内网架构发生改变时，确定发生指定的触发事件；或者，

接收到管理层下发的识别指令时，确定发生指定的触发事件。

可选的，确定任意一个数据包的TTL信息发生异常时，所述执行单元用于：

用于进一步提取所述任意一个数据包的IP地址，作为待判断IP地址；

用于从所述待判断IP地址的相邻IP地址中，选定一个IP地址作为参考地址；

用于计算所述待判断IP地址对应的第一TTL跳数，以及所述参考地址对应的第二TTL跳数，其中，一个IP地址对应的TTL跳数，表征所述一个IP地址对应的数据包中记录的TTL信息内，记录的TTL初始值与TTL当前取值的差值；

用于确定所述第一TTL跳数大于所述第二TTL跳数时，判定所述任意一个数据包的TTL信息异常。

可选的，从所述待判断IP地址的相邻IP地址中，选定一个IP地址作为参考地址时，所述执行单元用于：

确定所述待判断IP地址在预设数组中的存储位置，其中，所述预设数组中按照设定顺序保存有内网中全部的IP地址；

若根据所述存储位置确定所述待判断IP地址在预设数组中只存在一个相邻的IP地址，则选定所述一个相邻的IP地址作为参考地址；

若根据所述存储位置确定所述待判断IP地址在预设数组中存在两个相邻的IP地址，则将从指定起始位置开始，与所述待判断IP地址之间相同位数的数目最多的相邻IP地址作为参考地址；其中，若所述两个相邻IP地址与所述待判断IP地址之间相同位数的数目一样多，则随机选取一个相邻IP地址作为参考地址。

可选的，确定任意一个数据包对应归属的网段内存在疑似无线热点设备时，所述执行单元进一步用于：

进一步提取所述任意一个数据包的操作系统信息；

判断所述操作系统信息是否表征移动终端使用的操作系统，若是，则判定所述任意一个数据包对应归属的网段内必定存在无线热点设备，否则，维持判定所述任意一个数据包对应归属的网段内存在疑似无线热点设备。

可选的，还包括存储单元，所述存储单元用于：

在完成对所述任意一个数据包的判定后，将对所述任意一个数据包的判定结果保存至指定存储装置。

综上所述，本发明实施例中，在边界网关在企业内网中进行无线热点设备识别的过程中，边界网关对其接收到的来自企业内网的数据流量中的各个数据包进行协议分析，根据分析结果，边界网关至少要识别出各个数据包所对应的TTL信息，然后，边界网关会至少基于各个数据包的TTL信息判断网络中是否存在疑似无线热点设备；这样，此识别方法只需要对来自企业内网的数据流量中的数据包进行TTL信息分析即可得到识别结果，不存在技术局限性，在降低了技术实现复杂度的同时，也能确保边界网关能够准确识别出疑似无线热点设备，并且此识别方法的执行方式具有随时性，因此，也能够有效提高识别效率。

附图说明

图1为企业内网系统架构示意图；

图2为边界网关进行无线热点设备识别流程图；

图3为边界网关判定TTL信息是否异常流程图；

图4为企业内网存在无线热点设备时的简易系统构架示意图；

图5为边界网关功能结构示意图。

具体实施方式

为了确保准确识别无线热点设备以及提高识别效率，本发明实施例中，设计了一种新的识别方法，该方法为：当边界网关检测到企业内网有设备通过边界网关与外网进行互联网数据交互时，边界网关对其接收到的来自企业内网的数据流量中的各个数据包进行协议分析，根据分析结果，边界网关至少要识别出各个数据包所对应的生存时间(Time ToLive，TTL)，然后，边界网关会至少基于各个数据包的TTL判断网络中是否存在疑似的无线热点设备。

进一步地，边界网关还可以根据各个数据包的分析结果，进一步识别出各个数据包的网络协议(Internet Protocol，IP)地址、操作系统信息以及应用信息等等等，这些信息可以用于进一步地判定是否存在无线热点设备。

下面结合附图对本发明优选的实施方式作出进一步详细说明。

参阅图2所示，本发明实施例中，边界网关在企业内网中进行无线热点设备识别的详细流程图如下：

步骤201：边界网关对企业内网系统进行监控，并判定发生指定触发事件，触发进行无线热点设备识别。

当触发事件发生时，就会触发边界网关进行无线热点设备识别，具体的，边界网关监控到的触发事情包含但不限于以下两种：

第一种触发事件：企业内网的管理层向边界网关发送进行无线热点设备识别指令。

边界网关接收到上述指令时，确定发生指定触发事件。

第二种触发事件：边界网关通过定期的环境检测，发现企业内网的架构发生改变(如，增加或减少计算机，增加或减少路由器等等)。

边界网关确定系统结构发生改变时，确定发生指定触发事件。

步骤202：边界网关遍历数据库，提取一个数据包作为当前数据包，并获取当前数据包的TTL信息。

具体的，当企业内网通过边界网关与外网进行数据交互时，边界网关对其接收到的来自企业内网的数据流量中的各个数据包进行协议分析，根据协议分析结果，边界网关至少要获取各个数据包所对应的TTL信息，边界网关还可以根据协议分析结果进一步的获取各个数据包的其他辅助信息(如，操作系统信息、IP地址以及应用信息等)，接着，边界网关将各个数据包以及获取的相对应的各个信息存储到数据库中。

步骤203：边界网关根据获取的当前数据包的TTL信息判断当前数据包的TTL信息是否异常，若是，则执行步骤204；否则，执行步骤210。

具体如何判断TTL信息是否异常将在后续实施例中给出详细介绍。

步骤204：边界网关判定当前数据包对应归属的网段中存在疑似无线热点设备。

具体的，企业内网由边界网关、路由器、若干交换机、若干服务器以及若干计算机组成，其中，不同交换机下的计算机分别使用不同的网段。

例如：企业内网中的交换机1下计算机使用的网段为192.168.1.x(其中，254≥x≥1)，交换机2下计算机使用的网段为192.168.2.y(其中，254≥y≥1)。

当边界网关根据获取的当前数据包的TTL信息判定当前数据包TTL异常时，边界网关确定当前数据包对应归属的网段中存在疑似无线热点设备。

步骤205：边界网关进一步提取当前数据包的操作系统信息。

本发明实施例中，边界网关判定当前数据包的TTL信息存在异常时，可以确定当前数据包对应归属网段存在疑似无线热点设备。此时，边界网关可以进一步提取当前数据包的操作系统信息来作进一步确定。

步骤206：边界网关通过获取的当前数据包的操作系统信息判断当前数据包是否来自于移动终端，若是，则执行步骤207；否则，执行步骤208。

边界网关可以根据当前数据包的操作系统信息来确定是否为移动终端使用的操作系统，从而判断当前数据包是否来自于移动终端。在企业内网中出现移动终端，则说明该网段中一定存在无线热点接入设备。

步骤207：边界网关判定当前数据包对应归属的网段中存在无线热点设备，接着，执行步骤209。

边界网关确定当前数据包来自于移动终端后，则确定相应的网段中一定存在无线热点设备，此时，边界网关可以向后台管理服务器进行告警。

步骤208：边界网关判定当前数据包对应归属的网段中存在疑似无线热点设备，接着执行步骤209。

具体的，边界网关确定当前数据包来自于非移动终端后，并不能排除相应网段中不存在无线热点设备，因为，也有可能是台式机或者笔记本电脑通过无线热点接入设备接入企业内网，所以，边界网关还是维持之前的判定，即当前数据包归属的网段中存在疑似无线热点设备。

实际应用中，边界网关判定当前数据包来自于移动终端，并且最终推断相应网段中存在无线热点设备的场景属于少数情况，大部分情况还是仅能判定出存在疑似无线热点接入设备，但无论是哪一种情况，均会将判定结果记录在数据库中，提示管理人员进行相关排查处理。

当然，实际应用中，为了提高判定效率，若仅需要粗筛出疑似无线接入设备，后续均交由管理人员进行鉴别，则也可以不执行步骤205－步骤208。

步骤209：边界网关将判定信息写入数据库。

基于对当前数据包的判断，边界网关将当前数据包的判断结果(当前数据包对应归属的网段存在疑似无线热点设备或存在无线热点设备)存储到数据库中。

步骤210：边界网关判定当前数据包是否为最后一个数据包，若是，则结束遍历数据库，否则，返回步骤202。

基于上述实施例，实际应用中，为了便于管理，边界网关会为系统内每一个合法接入的设备分配一个IP地址，IP地址可以采用十进制四字段字符串的形式保存，边界网关会将获得的IP地址由十进制转为整型，并将所有IP地址按照转为整型后的数值大小依次排序，组成一个数组。具体的，同一网段内的IP地址按照设定顺序排列(从小到大的顺序、或者，从大到小的顺序)，而不同网段之间的IP地址亦按照设定顺序排列。可选的，各个网段内的IP地址可以保存在同一个数组中。如，192.168.1.1、192.168.1.2、……192.168.1.254、192.168.2.1、192.168.2.2、……192.168.2.254、……等等。

那么，基于上述IP地址记载方式，参阅图3所示，本发明实施例中，上述步骤203提及的边界网关判定TTL信息是否异常的具体流程如下：

步骤301：边界网关判定当前数据包的IP地址(以下记为IP X)是否位于数组两端，若是，则执行步骤302；否则，执行步骤303。

具体的，边界网关遍历数据库，提取一个数据包作为前数据包，并获取当前数据包的TTL信息和IP地址，并判断当前数据包对应的IP地址是否位于由所有IP地址组成的数组的两端。

换言之，本实施例中，在执行步骤301时，边界网关是在判断当前数据包的IP地址在保存位置是否存在相邻的IP地址，若当前数据包的IP地址在保存位置存在相邻的IP地址，那么，边界网关就按预设条件选择参考地址。

所谓预设条件就是：若当前数据包的IP地址保存位置只存在一个相邻的IP地址，那么，边界网关直接将这个相邻的IP地址作为参考地址。若当前数据包的IP地址在保存位置存在两个相邻的IP地址，则将从指定起始位置开始，与待判断IP地址之间相同位数的数目最多的相邻IP地址作为参考地址；其中，若两个相邻IP地址与待判断IP地址之间相同位数的数目一样多，则随机选取一个相邻IP地址作为参考地址。

步骤302：边界网关判定IP X位于所有IP地址组成的数组的两端，则取IP X相邻的IP地址作为参考地址(以下记为IP Y)，接着，执行步骤304。

例如：IP X为192.168.1.1，此时，与IP X相邻的IP地址只有一个(192.168.1.2)，那么，边界网关将IP地址192.168.1.2作为参考地址。

步骤303：边界网关判定IP X位于由所有IP地址组成的数组的中间，则取与IP X相邻的两个IP地址(以下分别记为IP A，IP B)中的一个作为参考地址(以下记为IP Y)，接着，执行步骤304。

若边界网关判定IP X位于由所有IP地址组成的数组中间，则选择参考地址时，先取IP X左右两个IP地址(IP A，IP B)作为待比较对象，然后再通过比较，从IP A，IP B中选定一个最有可能与IP X在同一网段的IP地址作为参考地址，具体方法如下：

首先，将IP X、IP A和IP B由点分十进制转为二进制；

然后，IP A对应的二进制与IP X对应的二进制从左到右依次对比，假设其相同位数的数目为a，IP B对应的二进制与IP X对应的二进制从左到右依次对比，假设其相同位数的数目为b；

最后，比较a、b数值大小，如果a＝b，则取IP A、IP B中任意一个IP地址作为参考地址；若a＞b，则选取待比较对象IP A作为参考地址；若a＜b，则选取待比较对象IP B作为参考地址。

例如，IP A为192.168.1.100，IP X为192.168.1.200，IP B为192.168.1.211，那么，

IP A对应的二进制为：11000000 10101000 00000001 01100100，

IP X对应的二进制为：11000000 10101000 00000001 11001000，

IP B对应的二进制为：11000000 10101000 00000001 11010011。

将IP A相对应的二进制与IP X相对应的二进制从左到右依次对比，其相同位数的数目a＝24，将IP B相对应的二进制与IP X相对应的二进制从左到右依次对比，其相同位数的数目为b＝27，其中，a＜b(24＜27)，那么，此时，则选取IP B作为参考地址。

如上所述，如果选择IP B作为参考地址，则能保证IP B的子网掩码长度在(1-27)范围内都和IP X在同一个子网上，而如果选择IP A作为参考地址，则只能保证IP A的子网掩码长度在(1-24)范围内和IP X在同一个子网，因此，选择IP B作为参考地址更佳。

之所以选择与IP X最有可能在同一网段的相邻IP地址作为参考地址，是因为，在实际应用中，只有选择与IP X在同一网段的相邻IP地址作为参考地址才具有参考意义，因此，当边界网关判定IP X位于由所有IP地址组成的数组中间，选择参考地址时，选择从指定起始位置开始，与IP X之间相同位数的数目最多的相邻IP地址作为参考地址；其中，若两个相邻IP地址与IP X之间相同位数的数目一样多，则随机选取一个相邻IP地址作为参考地址。

步骤304：边界网关计算IP X的TTL跳数X，以及计算参考地址IP Y的TTL跳数Y，并判断跳数X是否小于等于跳数Y，即X≤Y？若是，则执行步骤305，否则，执行步骤306。

具体的，数据包在发送之前均会设置有一个TTL初始值，基于操作系统的不同，数据包发送时，其TTL初始值也不同，如，可能是64、128和256中的任意一个。数据包发送过程中，每经过一个路由器，TTL的取值便会减1，因此，TTL跳数实际是指数据包到达边界网关的过程中所经过的路由器的数目，即是指数据包发送之前的TTL初始值(如，取值为：64、128、256)与数据包到达边界网关时的TTL值的差值，如，TTL跳数＝TTL初始值－TTL值。

例如，某一数据包的TTL初始值为64，到达边界网关后，其TTL值变为61，那么，该数据包的TTL跳数即为3(64－61＝3)，也就是说该数据包经过的路由器数目为3。

由此可见，IP X的跳数X就是指IP地址为IP X的计算机发送的数据包到达边界网关之间所经历的路由器数目，同样的，IP Y的跳数Y就是指IP地址为IP Y的计算机发送的数据包到达边界网关之间所经历的路由器数目。

例如，参阅图4所示，在企业内网中，假设存在一个一级路由器(路由器1)，两个二级路由器(路由器2、路由器3)，其中，路由器2下面接入一台计算机1，而路由器3下面接入了无线热点设备，无线热点设备下接入了用户设备。

假设边界网关将无线热点设备作为一台计算机分配了IP X，同时为计算机1分配了IP Y，其中，假设IP X与IP Y在数组中作为两个相邻的IP地址保存，并且，IP Y为IP X的参考地址。

无线热点设备下接入的用户设备向边界网关发送数据包(即步骤301中提及的当前数据包)时，使用的是边界网关分配给无线热点设备的IP X，用户设备会将无线热点设备作为一个路由器来使用，因此，用户设备发送的数据包经过无线热点设备时，TTL的取值会减1，接着，用户设备发送的数据包通过路由器3时，TTL的取值也会减1，最后，用户设备发送的数据包通过路由器1时，TTL的取值会再减1，因此，数据包最终到达边界网关时，边界网关会计算得到来自于用户设备的数据包的TTL跳数(即IP X对应的跳数X)为3。

同理，计算机1向边界网关发送数据包时，使用的IP地址是IP Y，计算机1发送的数据包通过路由器2时，TTL的取值减1，接着，计算机1发送的数据包通过路由器1时，TTL的取值再减1，因此，数据包最终达到边界网关时，边界网关会计算得到来自于计算机1的数据包的TTL跳数(即IP Y对应的跳数Y)为2。

由上述处理结果可知，IP X对应的跳数X大于参考地址IP Y对应的跳数Y(3＞2)。正常情况下，边界网关接收到的企业内网中同级路由器下不同设备发送的数据包，到达边界网关的过程中经过的路由器数目是一样的，因而理论上其对应的TTL跳数也应当是一样的。

本实施例中，IP Y为参考地址，若IP Y对应的设备是无线热点设备，而IP X对应的设备是普通设备，则IP Y>IP X；而若IP Y对应的设备是普通设备，IP X对应的设备也是普通设备，则IP Y＝IP X；因此，正常情况下，跳数Y应当≥跳数X。一旦出现跳数X>跳数Y的情况，无论跳数Y对应的设备是否为普通设备，均说明跳数X对应的设备为疑似无线热点设备。

此外，还有一种情况，即IP Y和IP X对应的设备均为无线热点设备，此时，虽然，跳数X≤跳数Y，但也不能判定跳数X对应的TTL信息无异常，但是，实际应用中，由于IP Y和IPX是相邻的两个IP地址，而在企业内网中，将相邻的两个IP地址均分配给无线热点设备的情况十分罕见，因此，这种情况可以忽略不计，本发明实施例中，不予考虑。

步骤305：边界网关判定IP X对应的设备不是疑似无线热点设备。

边界网关确定IP X对应的跳数X小于等于参考地址IP Y对应的跳数Y(即跳数X≤跳数Y)，那么，边界网关就判定IP X对应的设备不是疑似无线热点设备。

步骤306：边界网关判定IP X对应的设备是疑似无线热点设备。

边界网关确定IP X对应的跳数X大于参考地址IP Y对应的跳数Y(即跳数X＞跳数Y)，那么，边界网关就判定IP X对应的设备是疑似无线热点设备。

针对数据库中记录的每一个数据包，均可以采用如图3所示的流程判定是否出现TTL异常的情况，图3中仅以一个数据包为例进行说明。

参阅图5所示，本发明实施例中，边界网关至少包括：确定单元50、执行单元51和存储单元52。

确定单元50，用于确定发生指定的触发事件；

执行单元51，用于循环执行以下操作，直至数据包提取完毕：

提取由内网向外网发送的一个数据包；

提取所述一个数据包的TTL信息；

确定所述一个数据包的TTL信息发生异常时，判定所述一个数据包对应归属的网段中存在疑似无线热点设备。

可选的，确定发生指定的触发事件时，确定单元50用于：

获知内网架构发生改变时，确定发生指定的触发事件；或者，

接收到管理层下发的识别指令时，确定发生指定的触发事件。

可选的，确定任意一个数据包的TTL信息发生异常，执行单元51用于：

用于进一步提取所述任意一个数据包的IP地址，作为待判断IP地址；

用于从所述待判断IP地址的相邻IP地址中，选定一个IP地址作为参考地址；

计算所述待判断IP地址对应的第一TTL跳数，以及所述参考地址对应的第二TTL跳数，其中，一个IP地址对应的TTL跳数，表征所述一个IP地址对应的数据包中记录的TTL信息内，记录的TTL初始值与TTL当前取值的差值；

确定所述第一TTL跳数大于所述第二TTL跳数时，判定所述任意一个数据包的TTL信息异常。

可选的，从所述待判断IP地址的相邻IP地址中，选定一个IP地址作为参考地址时，执行单元51用于：

确定所述待判断IP地址在预设数组中的存储位置，其中，所述预设数组中按照设定顺序保存有内网中全部的IP地址；

若根据所述存储位置确定所述待判断IP地址在预设数组中只存在一个相邻的IP地址，则选定所述一个相邻的IP地址作为参考地址；

若根据所述存储位置确定所述待判断IP地址在预设数组中存在两个相邻的IP地址，则将从指定起始位置开始，与所述待判断IP地址之间相同位数的数目最多的相邻IP地址作为参考地址；其中，若所述两个相邻IP地址与所述待判断IP地址之间相同位数的数目一样多，则随机选取一个相邻IP地址作为参考地址。

可选的，确定任意一个数据包对应归属的网段内存在疑似无线热点设备时，执行单元51进一步用于：

进一步提取所述任意一个数据包的操作系统信息；

判断所述操作系统信息是否表征移动终端使用的操作系统，若是，则判定所述任意一个数据包对应归属的网段内必定存在无线热点设备，否则，维持判定所述任意一个数据包对应归属的网段内存在疑似无线热点设备。

可选的，还包括存储单元，存储单元52用于：

在完成对所述任意一个数据包的判定后，将对所述任意一个数据包的判定结果保存至指定存储装置。

综上所述，本发明实施例中，在边界网关在企业内网中进行无线热点设备识别的过程中，边界网关对其接收到的来自企业内网的数据流量中的各个数据包进行协议分析，根据分析结果，边界网关至少要识别出各个数据包所对应的TTL信息，然后，边界网关会至少基于各个数据包的TTL信息判断网络中是否存在疑似无线热点设备；这样，此识别方法只需要对来自企业内网的数据流量中的数据包进行TTL信息分析即可得到识别结果，不存在技术局限性，在降低了技术实现复杂度的同时，也能确保边界网关能够准确识别出疑似无线热点设备，并且此识别方法的执行方式具有随时性，因此，也能够有效提高识别效率。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种无线热点设备的识别方法，其特征在于，包括：

边界网关确定发生指定的触发事件；

边界网关循环执行以下操作，直至数据包提取完毕：

提取由内网向外网发送的一个数据包；

提取所述一个数据包的TTL信息；

进一步提取任意一个数据包的IP地址，作为待判断IP地址；从所述待判断IP地址的相邻IP地址中，选定一个IP地址作为参考地址；计算所述待判断IP地址对应的第一TTL跳数，以及所述参考地址对应的第二TTL跳数，其中，一个IP地址对应的TTL跳数，表征所述一个IP地址对应的数据包中记录的TTL信息内，记录的TTL初始值与TTL当前取值的差值；确定所述第一TTL跳数大于所述第二TTL跳数时，判定所述任意一个数据包的TTL信息异常，并判定所述一个数据包对应归属的网段中存在疑似无线热点设备。

2.如权利要求1所述的方法，其特征在于，确定发生指定的触发事件，包括：

获知内网架构发生改变时，确定发生指定的触发事件；或者，

接收到管理层下发的识别指令时，确定发生指定的触发事件。

3.如权利要求1或2所述的方法，其特征在于，从所述待判断IP地址的相邻IP地址中，选定一个IP地址作为参考地址，包括：

确定所述待判断IP地址在预设数组中的存储位置，其中，所述预设数组中按照设定顺序保存有内网中全部的IP地址；

若根据所述存储位置确定所述待判断IP地址在预设数组中只存在一个相邻的IP地址，则选定所述一个相邻的IP地址作为参考地址；

若根据所述存储位置确定所述待判断IP地址在预设数组中存在两个相邻的IP地址，则将从指定起始位置开始，与所述待判断IP地址之间相同位数的数目最多的相邻IP地址作为参考地址；其中，若所述两个相邻IP地址与所述待判断IP地址之间相同位数的数目一样多，则随机选取一个相邻IP地址作为参考地址。

4.如权利要求1或2所述的方法，其特征在于，确定任意一个数据包对应归属的网段内存在疑似无线热点设备时，进一步包括：

进一步提取所述任意一个数据包的操作系统信息；

判断所述操作系统信息是否表征移动终端使用的操作系统，若是，则判定所述任意一个数据包对应归属的网段内必定存在无线热点设备，否则，维持判定所述任意一个数据包对应归属的网段内存在疑似无线热点设备。

5.如权利要求1或2所述的方法，其特征在于，在完成对所述任意一个数据包的判定后，还包括：

将对所述任意一个数据包的判定结果保存至指定存储装置。

6.一种无线热点设备的识别装置，其特征在于，包括：

确定单元，用于确定发生指定的触发事件；

执行单元，用于循环执行以下操作，直至数据包提取完毕：

提取由内网向外网发送的一个数据包；

提取所述一个数据包的TTL信息；

进一步提取任意一个数据包的IP地址，作为待判断IP地址；从所述待判断IP地址的相邻IP地址中，选定一个IP地址作为参考地址；计算所述待判断IP地址对应的第一TTL跳数，以及所述参考地址对应的第二TTL跳数，其中，一个IP地址对应的TTL跳数，表征所述一个IP地址对应的数据包中记录的TTL信息内，记录的TTL初始值与TTL当前取值的差值；确定所述第一TTL跳数大于所述第二TTL跳数时，判定所述任意一个数据包的TTL信息异常，并判定所述一个数据包对应归属的网段中存在疑似无线热点设备。

7.如权利要求6所述的装置，其特征在于，确定发生指定的触发事件时，所述确定单元用于：

获知内网架构发生改变时，确定发生指定的触发事件；或者，

接收到管理层下发的识别指令时，确定发生指定的触发事件。

8.如权利要求7所述的装置，其特征在于，从所述待判断IP地址的相邻IP地址中，选定一个IP地址作为参考地址时，所述执行单元用于：

确定所述待判断IP地址在预设数组中的存储位置，其中，所述预设数组中按照设定顺序保存有内网中全部的IP地址；

若根据所述存储位置确定所述待判断IP地址在预设数组中只存在一个相邻的IP地址，则选定所述一个相邻的IP地址作为参考地址；

若根据所述存储位置确定所述待判断IP地址在预设数组中存在两个相邻的IP地址，则将从指定起始位置开始，与所述待判断IP地址之间相同位数的数目最多的相邻IP地址作为参考地址；其中，若所述两个相邻IP地址与所述待判断IP地址之间相同位数的数目一样多，则随机选取一个相邻IP地址作为参考地址。

9.如权利要求7或8所述的装置，其特征在于，确定任意一个数据包对应归属的网段内存在疑似无线热点设备时，所述执行单元进一步用于：

进一步提取所述任意一个数据包的操作系统信息；

判断所述操作系统信息是否表征移动终端使用的操作系统，若是，则判定所述任意一个数据包对应归属的网段内必定存在无线热点设备，否则，维持判定所述任意一个数据包对应归属的网段内存在疑似无线热点设备。

10.如权利要求7或8所述的装置，其特征在于，还包括存储单元，所述存储单元用于：

在完成对所述任意一个数据包的判定后，将对所述任意一个数据包的判定结果保存至指定存储装置。