CN107070883A - 对无线网络进行安全检测的方法及装置 - Google Patents
对无线网络进行安全检测的方法及装置 Download PDFInfo
- Publication number
- CN107070883A CN107070883A CN201710114818.XA CN201710114818A CN107070883A CN 107070883 A CN107070883 A CN 107070883A CN 201710114818 A CN201710114818 A CN 201710114818A CN 107070883 A CN107070883 A CN 107070883A
- Authority
- CN
- China
- Prior art keywords
- address
- network
- network address
- pathdepth
- wireless network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种对无线网络进行安全检测的方法及装置,属于网络安全技术领域。所述方法包括:在终端接入无线网络的情况下,获取终端通过无线网络访问预设网络地址时经过的访问路径中的各个网络地址和每一个网络地址对应的路径深度,其中,路径深度用于指示网络地址在访问路径中的层级;从访问路径中的各个网络地址中选取内网地址,确定所选取的内网地址的网络地址类别;根据所选取的各内网地址对应的网络地址类别和路径深度,确定各内网地址对应的威胁系数;根据确定出的各内网地址对应的威胁系数,确定无线网络的安全级别。本发明实施例提供的技术方案,改善了对无线网络进行安全检测的可靠性、准确性与实时性。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种对无线网络进行安全检测的方法及装置。
背景技术
目前,为方便用户上网,大部分公共场所或者商家均提供免费的无线网络。当无线网络的安全性较低时,用户信息可能会被恶意窃取,造成隐私泄漏。因此,在用户的终端接入无线网络后,需要对该无线网络进行安全检测。
在现有技术中,通过如下方法对无线网络进行安全检测:终端安装具有对无线网络进行安全检测功能的客户端,该客户端对应的后台服务器中维护有一个黑名单,该黑名单中包括不安全的无线网络的网络地址。当终端接入某一无线网络之后,客户端获取该无线网络的网络地址,并向后台服务器发送该网络地址。如果该网络地址存在于上述黑名单中,则后台服务器确定终端当前接入的无线网络不安全,并向终端反馈相应的提示信息;如果该网络地址不存在于上述黑名单中,则后台服务器确定终端当前接入的无线网络安全,并向终端反馈相应的提示信息。
现有技术提供的上述技术方案至少存在如下缺陷:
第一,黑名单中所记录的不安全的无线网络往往并不全面,例如一些新出现的不安全的无线网络可能还未在黑名单中更新,基于黑名单检测无线网络是否安全的方式,所得到的检测结果的准确性较低;
第二,终端通常仅向后台服务器发送其直接接入的无线网络的网络地址,而实际的网络接入情况往往是终端通过多级无线网络实现对目标主机进行访问,其直接接入的无线网络是安全的并不代表整个访问路径中涉及的各级无线网络均是安全的。
因此,现有技术提供的上述技术方案,可靠性较低。
发明内容
为了解决现有技术提供的技术方案的可靠性较低的问题,本发明实施例提供了一种对无线网络进行安全检测的方法及装置。
第一方面,提供了一种对无线网络进行安全检测的方法,所述方法包括:
在终端接入无线网络的情况下,获取所述终端通过所述无线网络访问预设网络地址时经过的访问路径中的各个网络地址和每一个网络地址对应的路径深度,其中,所述路径深度用于指示网络地址在访问路径中的层级;
从所述访问路径中的各个网络地址中选取内网地址,确定所选取的内网地址的网络地址类别;
根据所选取的各内网地址对应的网络地址类别和路径深度,确定各内网地址对应的威胁系数;
根据确定出的各内网地址对应的威胁系数,确定所述无线网络的安全级别。
可选地,所述根据所选取的各内网地址对应的网络地址类别和路径深度,确定各内网地址对应的威胁系数,包括:
对于每一个内网地址,根据所述内网地址对应的网络地址类别和路径深度,从预设对应关系中查询获取所述内网地址对应的威胁系数;其中,所述预设对应关系中包括威胁系数分别与网络地址类别和路径深度的对应关系。
可选地,所述威胁系数与网络地址类别的对应关系包括:对于同一路径深度的内网地址而言,所述内网地址的威胁系数与网络地址类别对应的最大主机容量呈负相关关系;所述威胁系数与路径深度的对应关系包括:对于同一网络地址类别的内网地址而言,所述内网地址的威胁系数与路径深度呈正相关关系。
可选地,所述获取所述终端通过所述无线网络访问预设网络地址时经过的访问路径中的各个网络地址和每一个网络地址对应的路径深度,包括:
通过所述无线网络向所述预设网络地址发送TTL(Time to Live,生存时间)为i的探测报文,所述i的初始值为1;
接收所述终端访问所述预设网络地址时经过的访问路径中的第i级网络节点发送的所述探测报文对应的响应报文;
将所述响应报文中携带的源网络地址确定为第i级网络地址,所述第i级网络地址对应的路径深度确定为i;
判断所述第i级网络地址是否为所述预设网络地址;
若所述第i级网络地址不是所述预设网络地址,则令i=i+1,并再次从所述通过所述无线网络向所述预设网络地址发送TTL为i的探测报文的步骤开始执行;
若所述第i级网络地址是所述预设网络地址,则结束流程。
可选地,所述根据确定出的各内网地址对应的威胁系数,确定所述无线网络的安全级别,包括:
将确定出的各内网地址对应的威胁系数相加,得到所述无线网络对应的威胁系数;
根据所述无线网络对应的威胁系数,确定所述无线网络的安全级别。
第二方面,提供了一种对无线网络进行安全检测的装置,所述装置包括:
路径探测模块,用于在终端接入无线网络的情况下,获取所述终端通过所述无线网络访问预设网络地址时经过的访问路径中的各个网络地址和每一个网络地址对应的路径深度,其中,所述路径深度用于指示网络地址在访问路径中的层级;
地址选取模块,用于从所述访问路径中的各个网络地址中选取内网地址,确定所选取的内网地址的网络地址类别;
系数确定模块,用于根据所选取的各内网地址对应的网络地址类别和路径深度,确定各内网地址对应的威胁系数;
安全检测模块,用于根据确定出的各内网地址对应的威胁系数,确定所述无线网络的安全级别。
可选地,所述系数确定模块,用于对于每一个内网地址,根据所述内网地址对应的网络地址类别和路径深度,从预设对应关系中查询获取所述内网地址对应的威胁系数,其中,所述预设对应关系中包括威胁系数分别与网络地址类别和路径深度的对应关系。
可选地,所述威胁系数与网络地址类别的对应关系包括:对于同一路径深度的内网地址而言,所述内网地址的威胁系数与网络地址类别对应的最大主机容量呈负相关关系;所述威胁系数与路径深度的对应关系包括:对于同一网络地址类别的内网地址而言,所述内网地址的威胁系数与路径深度呈正相关关系。
可选地,所述路径探测模块,包括:
报文发送单元,用于通过所述无线网络向所述预设网络地址发送TTL为i 的探测报文,所述i的初始值为1;
报文接收单元,用于接收所述终端访问所述预设网络地址时经过的访问路径中的第i级网络节点发送的所述探测报文对应的响应报文;
地址确定单元,用于将所述响应报文中携带的源网络地址确定为第i级网络地址,所述第i级网络地址对应的路径深度确定为i;
地址判断单元,用于判断所述第i级网络地址是否为所述预设网络地址;若所述第i级网络地址不是所述预设网络地址,则令i=i+1,并通过所述报文发送单元再次从所述通过所述无线网络向所述预设网络地址发送TTL为i的探测报文开始执行;若所述第i级网络地址是所述预设网络地址,则结束流程。
可选地,所述安全检测模块,包括:
系数计算单元,用于将确定出的各内网地址对应的威胁系数相加,得到所述无线网络对应的威胁系数;
安全检测单元,用于根据所述无线网络对应的威胁系数,确定所述无线网络的安全级别。
本发明实施例提供的技术方案带来的有益效果至少包括:
通过获取终端访问预设网络地址时经过的访问路径中涉及的各级无线网络的网络地址,并基于网络地址的类别和其对应的路径深度,对上述访问路径所涉及的整个无线网络环境进行安全性分析;解决了相关技术提供的技术方案的可靠性较低的问题;由于无需基于预存的黑名单来检测无线网络的安全性,更无需考虑黑名单更新不及时的问题,因此适用于对任意接入的无线网络的安全性进行检测,并且不局限于对终端直接接入的无线网络的安全性进行检测,实现了对访问路径所涉及的整个无线网络环境进行安全性分析,因此可靠性、准确性和实时性均得到改善。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的对无线网络进行安全检测的方法的流程图;
图2示例性示出了一种访问路径的示意图;
图3是图1所示实施例涉及的步骤101的流程图;
图4是本发明一个实施例提供的对无线网络进行安全检测的装置的框图;
图5是本发明另一个实施例提供的对无线网络进行安全检测的装置的框图;
图6是本发明一个实施例提供的终端的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例提供的技术方案,通过获取终端访问目标主机时经过的访问路径中涉及的各级无线网络的网络地址,并基于网络地址的类别和其对应的路径深度,对上述访问路径所涉及的整个无线网络环境进行安全性分析,充分确保检测结果的准确性和可靠性。其中,网络地址对应的路径深度用于指示网络地址在访问路径中的层级。下面将基于上面所述的本发明实施例涉及的共性方面,对本发明实施例作进一步详细说明。
本发明实施例提供的方法,各步骤的执行主体可以是具有无线网络接入功能的终端。比如,该终端可以是手机、平板电脑、电子书阅读器、多媒体播放设备、PDA(PersonalDigital Assistant,个人数字助理)、可穿戴设备等。
本发明实施例中涉及的无线网络(wireless network),是指采用无线通信技术实现的网络。该无线网络可以是通过公众移动通信网实现的无线网络,如3G(3rdGeneration,第三代移动通信技术)网络、4G(4th Generation,第四代移动通信技术)网络、GPRS(General Packet Radio Service,通用分组无线服务)网络等;该无线网络也可以是无线局域网,如Wi-Fi(Wireless Fidelity)网络。
请参考图1,其示出了本发明一个实施例提供的对无线网络进行安全检测的方法的流程图。该方法可以包括如下几个步骤:
步骤101,在终端接入无线网络的情况下,获取终端通过无线网络访问预设网络地址时经过的访问路径中的各个网络地址和每一个网络地址对应的路径深度。
网络地址(network address)是互联网上的节点在网络中具有的逻辑地址。通常来讲,网络地址也称为IP(Internet Protocol,互联网协议)地址。网络地址可以分为公网地址和内网地址。
其中,公网地址是指在公网中使用的网络地址。公网也称为外网,是指广域网,也即通常所说的因特网。内网地址是指在内网中使用的网络地址。内网也称为私有网络,是指局域网,局域网相对于广域网而言,主要是指在小范围内的计算机互联网络,如公司、商场、家庭内部建立的网络。在实际应用中,相关协议会预留一部分网络地址作为内网地址,这部分网络地址可称为保留地址,公网地址是除上述保留地址之外的非保留地址。以IPv4(互联网协议第四版)为例,预留如下3个IP地址段作为内网地址:10.0.0.0-10.255.255.255、172.16.0.0-172.31.255.255以及192.168.0.0-192.168.255.255。除上述3个IP地址段之外的其它IP地址均属于公网地址。
预设网络地址是预先设定的公网地址。例如,预设网络地址可以是常见的网络服务提供商的服务器对应的网络地址,如知名的网络服务提供商的服务器对应的网络地址。
预设网络地址对应的目标主机部署于公网中,终端在访问目标主机时,通常需要至少一个网络节点进行数据转发。因此,终端与目标主机之间的访问路径中,存在至少一个网络节点。上述至少一个网络节点可能全部部署于内网中,也可能一部分部署于内网中且另一部分部署于外网中。上述至少一个网络节点包括但不限于路由器、交换机、工作站等。
在一个示例中,如图2所示,其示出了一种访问路径的示意图。终端11和预设网络地址对应的目标主机12之间的访问路径中,存在三级网络节点,该三级网络节点分别为图2中示出的网络节点13、网络节点14和网络节点15。
路径深度用于指示网络地址在访问路径中的层级。可选地,在访问路径中,最靠近终端的网络节点的网络地址对应的路径深度为1,与路径深度为n的网络地址所对应的网络节点相连的下一个网络节点的网络地址对应的路径深度为n+1,n为正整数。以图2所示的访问路径为例,网络节点13的网络地址对应的路径深度为1,网络节点14的网络地址对应的路径深度为2,网络节点15的网络地址对应的路径深度为3。
可选地,如图3所示,步骤101可包括如下几个子步骤:
步骤101a,通过无线网络向预设网络地址发送TTL为i的探测报文,i的初始值为1;
TTL用于指示数据包被网络节点丢弃之前允许通过的最大网段数量。终端向预设网络地址发送的探测报文,会经过上述访问路径中的每一个网络节点。探测报文每到达一个网络节点,该网络节点会将该探测报文的TTL的值减1,当探测报文的TTL的值减小至0时,相应的网络节点会向终端发送与探测报文对应的响应报文,当探测报文的TTL的值未减小至0时,相应的网络节点向下一个网络节点继续转发探测报文。
可选地,探测报文可以为ICMP(Internet Control Message Protocol,网络控制报文协议)报文。
步骤101b,接收终端访问预设网络地址时经过的访问路径中的第i级网络节点发送的探测报文对应的响应报文;
终端通过无线网络向预设网络地址发送TTL为i的探测报文,当该探测报文到达网络路径中的第i级网络节点时,该探测报文的TTL的值减小至0,此时第i级网络节点向终端发送与该探测报文对应的响应报文。
步骤101c,将响应报文中携带的源网络地址确定为第i级网络地址,第i级网络地址对应的路径深度确定为i;
第i级网络节点发送的响应报文中携带的源网络地址,即为该第i级网络节点的网络地址,也即第i级网络地址。并且,终端将第i级网络地址对应的路径深度确定为i。
步骤101d,判断第i级网络地址是否为预设网络地址;若否,则令i=i+1,并再次从上述步骤101a开始执行;若是,则结束流程。
结合参考图2,首先,终端通过无线网络向预设网络地址发送TTL为1的探测报文,当该探测报文到达网络节点13时,TTL的值减小至0,网络节点13向终端发送响应报文1,终端将响应报文1中携带的源网络地址确定为第1级网络地址;而后,终端通过无线网络向预设网络地址发送TTL为2的探测报文,当该探测报文到达网络节点14时,TTL的值减小至0,网络节点14向终端发送响应报文2,终端将响应报文2中携带的源网络地址确定为第2级网络地址;而后,终端通过无线网络向预设网络地址发送TTL为3的探测报文,当该探测报文到达网络节点15时,TTL的值减小至0,网络节点15向终端发送响应报文3,终端将响应报文3中携带的源网络地址确定为第3级网络地址;而后,终端通过无线网络向预设网络地址发送TTL为4的探测报文,当该探测报文到达目标主机12时,TTL的值减小至0,目标主机12向终端发送响应报文4,终端将响应报文4中携带的源网络地址确定为第4级网络地址;由于该第4级网络地址即为预设网络地址,因此终端结束路径探测流程。
需要说明的一点是,在终端执行上述步骤101a之后,若超时未接收到与该探测报文对应的响应报文,则终端对探测报文的TTL的值进行更新(也即令i=i+1),并再次从步骤101a开始执行。这样,即使某一网络节点的网络地址无法正常获取,也不会影响到获取访问路径中的其它网络节点的网络地址。
步骤102,从访问路径中的各个网络地址中选取内网地址,确定所选取的内网地址的网络地址类别。
考虑到采用公网地址的无线网络的安全性通常较高,采用内网地址的无线网络有可能存在安全性隐患,因此在本发明实施例中,从访问路径中的各个网络地址中选取内网地址,仅对内网地址对应的无线网络的安全性进行检测,有助于减少后续的计算量。
可选地,步骤102包括如下两个子步骤:
1、从访问路径中的各个网络地址中选取内网地址;
在IPv4中,预留如下3个IP地址段作为内网地址:10.0.0.0-10.255.255.255、172.16.0.0-172.31.255.255以及192.168.0.0-192.168.255.255。终端通过判断访问路径中的各个网络地址是否落在上述3个IP地址段中,即可确定各个网络地址是否为内网地址。
在一种例子中,假设终端通过无线网络访问预设网络地址时经过的访问路径中包括如下3个网络地址:192.168.102.27、172.19.1.1和180.97.33.108。其中,192.168.102.27属于IP地址段192.168.0.0-192.168.255.255,172.19.1.1属于IP地址段172.16.0.0-172.31.255.255,因此192.168.102.27和172.19.1.1是内网地址,而180.97.33.108是外网地址。
2、确定所选取的内网地址的网络地址类别。
以IP地址为例,IP地址分为A、B、C、D、E共5类。其中,常用的IP地址是A类IP地址、B类IP地址和C类IP地址。D类IP地址和E类IP地址并不用于表示用户常用的网络,因此可不予考虑。
A类IP地址、B类IP地址和C类IP地址分别对应的地址范围可参见如下表-1所示:
| 网络地址类别 | 地址范围 |
| A类IP地址 | 1.0.0.1-126.255.255.254 |
| B类IP地址 | 128.1.0.1-191.254.255.254 |
| C类IP地址 | 192.0.1.1-223.255.254.254 |
表-1
对于每一个网络地址,终端根据该网络地址所属的地址范围,确定该网络地址对应的网络地址类别。例如,192.168.102.27为C类IP地址,172.19.1.1为B类IP地址。
步骤103,根据所选取的各内网地址对应的网络地址类别和路径深度,确定各内网地址对应的威胁系数。
内网地址对应的威胁系数用于表示该内网地址的安全性。可选地,内网地址对应的威胁系数越大,表示该内网地址的安全性越低;内网地址对应的威胁系数越小,表示该内网地址的安全性越高。
由于内网地址在访问路径中的层级越大时,也就是说,在访问路径中所处的位置越远,该内网地址的威胁性越高。此外,内网地址在访问路径中的层级相同时,内网地址所属的网络地址类别对应的最大主机容量越小,则该内网地址的威胁性越高。因此,计算内网地址对应的威胁系数时,从内网地址在访问路径中的层级以及该内网地址对应的网络地址类别两方面加以考虑。
可选地,步骤103具体可包括:对于每一个内网地址,根据该内网地址对应的网络地址类别和路径深度,从预设对应关系中查询获取该内网地址对应的威胁系数。
预设对应关系中包括威胁系数分别与网络地址类别和路径深度的对应关系。
可选地,威胁系数与网络地址类别的对应关系可包括:对于同一路径深度的内网地址而言,内网地址的威胁系数与网络地址类别对应的最大主机容量呈负相关关系。也即,对于路径深度相同且网络地址类别不同的内网地址,内网地址所属的网络地址类别对应的最大主机容量越大,内网地址对应的威胁系数越小;内网地址所属的网络地址类别对应的最大主机容量越小,内网地址对应的威胁系数越大。
其中,网络地址类别对应的最大主机容量是指该网络地址类别对应的地址范围所能容纳的最大主机数量,其可以根据网络地址类别对应的子网掩码确定。A类IP地址、B类IP地址和C类IP地址分别对应的最大主机容量可参见如下表-2所示:
| 网络地址类别 | 最大主机容量(台) |
| A类地址 | 16777214 |
| B类地址 | 65534 |
| C类地址 | 254 |
表-2
可选地,威胁系数与路径深度的对应关系可包括:对于同一网络地址类别的内网地址而言,内网地址的威胁系数与路径深度呈正相关关系。也即,对于网络地址类别相同且路径深度不同的内网地址,内网地址对应的路径深度越大,内网地址对应的威胁系数越大;内网地址对应的路径深度越小,内网地址对应的威胁系数越小。
示例性地,上述预设对应关系如下表-3所示:
表-3
上述表-3所示的预设对应关系仅是示例性和解释性的,在实际应用中,威胁系数可依据实验数据或经验进行设定。
对于每一个内网地址,终端根据内网地址对应的网络地址类别和路径深度,查询如上述表-3所示的预设对应关系,即可获取该内网地址对应的威胁系数。
在一个例子中,终端通过无线网络访问预设网络地址时经过的访问路径中包括3个内网地址,假设内网地址1对应的路径深度为1、网络地址类别为C类IP地址,内网地址2对应的路径深度为2、网络地址类别为B类IP地址,内网地址3对应的路径深度为3、网络地址类别为A类地址,查询上述表-3可以得到,内网地址1对应的威胁系数为50,内网地址2对应的威胁系数为60,内网地址3对应的威胁系数为50。
步骤104,根据确定出的各内网地址对应的威胁系数,确定无线网络的安全级别。
终端根据无线网络中的各内网地址对应的威胁系数,先确定无线网络对应的威胁系数,进而确定无线网络的安全级别。
可选地,步骤104包括如下两个子步骤:
1、将确定出的各内网地址对应的威胁系数相加,得到无线网络对应的威胁系数;
终端将各个内网地址对应的威胁系数相加,得到无线网络对应的威胁系数。结合上述例子,终端将上述3个内网地址对应的威胁系数相加,得到无线网络对应的威胁系数=50+60+50=160。
2、根据所述无线网络对应的威胁系数,确定所述无线网络的安全级别。
在一种实现形式中,无线网络的安全级别与无线网络对应的威胁系数存在预设映射关系。示例性地,该预设映射关系可参见如下表-4所示:
| 威胁系数 | 安全级别 |
| 0-200 | 安全 |
| 200-400 | 警告 |
| 大于400 | 危险 |
表-4
终端根据无线网络对应的威胁系数,查询如上述表-4所示的预设映射关系,即可获知无线网络的安全级别。在一个例子中,当无线网络对应的威胁系数为160时,查询上述表-4可以得到,无线网络的安全级别为“安全”。
在另外一种实现形式中,终端根据无线网络对应的威胁系数与预设阈值的大小关系,确定无线网络的安全级别。当无线网络对应的威胁系数大于预设阈值时,终端确定无线网络不安全;当无线网络对应的威胁系数小于预设阈值,终端确定无线网络安全。
在实际应用中,预设阈值可根据实际需求进行设定。例如,预设阈值可以根据终端接入无线网络时对无线网络的安全性要求进行设定。当对无线网络的安全性要求较高时,预设阈值的取值较小;当对无线网络的安全性要求较低时,预设阈值的取值较大。
在一个例子中,假设预设阈值为200,则当无线网络对应的威胁系数为160时,终端确定该无线网络安全。
可选地,步骤104之后还包括如下步骤:当终端确定出无线网络的安全级别为“危险”和“警告”中的任意一种时,或者,当终端确定无线网络不安全时,终端显示提示信息,该提示信息用于向用户提示当前接入的无线网络的安全级别。用户可以根据提示信息控制终端取消接入无线网络或者切换接入的无线网络,以避免安全隐患。
综上所述,本发明实施例提供的方法,通过获取终端访问预设网络地址时经过的访问路径中涉及的各级无线网络的网络地址,并基于网络地址的类别和其对应的路径深度,对上述访问路径所涉及的整个无线网络环境进行安全性分析;解决了相关技术提供的黑名单方案的可靠性和实时性较低的问题;由于无需基于预存的黑名单来检测无线网络的安全性,更无须考虑黑名单更新不及时的问题,因此适用于对任意接入的无线网络的安全性进行检测,并且不局限于对终端直接接入的无线网络的安全性进行检测,实现了对访问路径所涉及的整个无线网络环境进行安全性分析,因此可靠性、准确性和实时性均得到改善。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
请参考图4,其示出了本发明一个实施例提供的对无线网络进行安全检测的装置的框图。该装置具有实现上述方法示例的功能,所述功能可以由硬件实现,也可以由硬件执行相应的软件实现。该装置可以包括:路径探测模块401、地址选取模块402、系数确定模块403和安全检测模块404。
路径探测模块401,用于在终端接入无线网络的情况下,获取所述终端通过所述无线网络访问预设网络地址时经过的访问路径中的各个网络地址和每一个网络地址对应的路径深度。其中,路径深度用于指示网络地址在访问路径中的层级。
地址选取模块402,用于从所述访问路径中的各个网络地址中选取内网地址,确定所选取的内网地址的网络地址类别。
系数确定模块403,用于根据所选取的各内网地址对应的网络地址类别和路径深度,确定各内网地址对应的威胁系数。
安全检测模块404,用于根据确定出的各内网地址对应的威胁系数,确定所述无线网络的安全级别。
综上所述,本发明实施例提供的装置,通过获取终端访问预设网络地址时经过的访问路径中涉及的各级无线网络的网络地址,并基于网络地址的类别和其对应的路径深度,对上述访问路径所涉及的整个无线网络环境进行安全性分析;解决了相关技术提供的黑名单方案的可靠性和实时性较低的问题;由于无需基于预存的黑名单来检测无线网络的安全性,更无需考虑黑名单更新不及时的问题,因此适用于对任意接入的无线网络的安全性进行检测,并且不局限于对终端直接接入的无线网络的安全性进行检测,实现了对访问路径所涉及的整个无线网络环境进行安全性分析,因此可靠性、准确性和实时性均能够得到改善。
在基于图4所示实施例提供的一个可选实施例中,请参考图5,所述系数确定模块403,用于对于每一个内网地址,根据所述内网地址对应的网络地址类别和路径深度,从预设对应关系中查询获取所述内网地址对应的威胁系数,其中,所述预设对应关系中包括威胁系数分别与网络地址类别和路径深度的对应关系。
可选地,所述威胁系数与网络地址类别的对应关系包括:对于同一路径深度的内网地址而言,所述内网地址的威胁系数与网络地址类别对应的最大主机容量呈负相关关系;所述威胁系数与路径深度的对应关系包括:对于同一网络地址类别的内网地址而言,所述内网地址的威胁系数与路径深度呈正相关关系。
在基于图4所示实施例提供的另一个可选实施例中,请参考图5,所述路径探测模块401,包括:报文发送单元401a、报文接收单元401b、地址确定单元401c和地址判断单元401d。
报文发送单元401a,用于通过所述无线网络向所述预设网络地址发送TTL 为i的探测报文,所述i的初始值为1。
报文接收单元401b,用于接收所述终端访问所述预设网络地址时经过的访问路径中的第i级网络节点发送的所述探测报文对应的响应报文。
地址确定单元401c,用于将所述响应报文中携带的源网络地址确定为第i级网络地址,所述第i级网络地址对应的路径深度确定为i。
地址判断单元401d,用于判断所述第i级网络地址是否为所述预设网络地址;若所述第i级网络地址不是所述预设网络地址,则令i=i+1,并通过所述报文发送单元再次从所述通过所述无线网络向所述预设网络地址发送TTL为i的探测报文开始执行;若所述第i级网络地址是所述预设网络地址,则结束流程。
在基于图4所示实施例提供的另一个可选实施例中,请参考图5,所述安全检测模块404,包括:系数计算单元404a和安全检测单元404b。
系数计算单元404a,用于根据所述各内网地址对应的威胁系数,确定所述无线网络对应的威胁系数;
安全检测单元404b,用于根据所述无线网络对应的威胁系数,确定所述无线网络的安全级别。
需要说明的是,上述实施例提供的装置在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
另外,上述实施例提供的装置与方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
请参考图6,其示出了本发明一个实施例提供的终端的结构示意图。该终端用于实施上述实施例中提供的对无线网络进行安全检测的方法。具体来讲:
终端600可以包括RF(Radio Frequency,射频)电路610、包括有一个或一个以上计算机可读存储介质的存储器620、输入单元630、显示单元640、传感器650、音频电路660、WiFi(wireless fidelity,无线保真)模块670、包括有一个或者一个以上处理核心的处理器680、以及电源690等部件。本领域技术人员可以理解,图6中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
RF电路610可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器680处理;另外,将涉及上行的数据发送给基站。通常,RF电路610包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(Low Noise Amplifier,低噪声放大器)、双工器等。此外,RF电路610还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于GSM(Global System of Mobile communication,全球移动通讯系统)、GPRS(General Packet Radio Service,通用分组无线服务)、CDMA(CodeDivision Multiple Access,码分多址)、WCDMA(Wideband Code Division MultipleAccess,宽带码分多址)、LTE(Long Term Evolution,长期演进)、电子邮件、SMS(ShortMessaging Service,短消息服务)等。
存储器620可用于存储软件程序以及模块,处理器680通过运行存储在存储器620的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器620可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端600的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器620还可以包括存储器控制器,以提供处理器680和输入单元630对存储器620的访问。
输入单元630可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,输入单元630可包括图像输入设备631以及其他输入设备632。图像输入设备631可以是摄像头,也可以是光电扫描设备。除了图像输入设备631,输入单元630还可以包括其他输入设备632。具体地,其他输入设备632可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元640可用于显示由用户输入的信息或提供给用户的信息以及终端600的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元640可包括显示面板641,可选的,可以采用LCD(Liquid Crystal Display,液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板641。
终端600还可包括至少一种传感器650,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板641的亮度,接近传感器可在终端600移动到耳边时,关闭显示面板641和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端600还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路660、扬声器661,传声器662可提供用户与终端600之间的音频接口。音频电路660可将接收到的音频数据转换后的电信号,传输到扬声器661,由扬声器661转换为声音信号输出;另一方面,传声器662将收集的声音信号转换为电信号,由音频电路660接收后转换为音频数据,再将音频数据输出处理器680处理后,经RF电路610以发送给比如另一终端,或者将音频数据输出至存储器620以便进一步处理。音频电路660还可能包括耳塞插孔,以提供外设耳机与终端600的通信。
WiFi属于短距离无线传输技术,终端600通过WiFi模块670可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图6示出了WiFi模块670,但是可以理解的是,其并不属于终端600的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器680是终端600的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器620内的软件程序和/或模块,以及调用存储在存储器620内的数据,执行终端600的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器680可包括一个或多个处理核心;优选的,处理器680可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器680中。
终端600还包括给各个部件供电的电源690(比如电池),优选的,电源可以通过电源管理系统与处理器680逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源690还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端600还可以包括蓝牙模块等,在此不再赘述。
具体在本实施例中,终端600还包括有存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行。上述一个或者一个以上程序包含用于执行上述方法的指令。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由终端的处理器执行以完成上述方法实施例中的各个步骤。例如,所述非临时性计算机可读存储介质可以是ROM(Read Only Memory,只读存储器)、RAM(Random Access Memory,随机存取存储器)、CD-ROM、磁盘、软盘和光盘等。
应当理解的是,在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本文中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。同样,“一个”或者“一”等类似词语也不表示数量限制,而是表示存在至少一个。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的示例性实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种对无线网络进行安全检测的方法,其特征在于,所述方法包括:
在终端接入无线网络的情况下,获取所述终端通过所述无线网络访问预设网络地址时经过的访问路径中的各个网络地址和每一个网络地址对应的路径深度,其中,所述路径深度用于指示网络地址在访问路径中的层级;
从所述访问路径中的各个网络地址中选取内网地址,确定所选取的内网地址的网络地址类别;
根据所选取的各内网地址对应的网络地址类别和路径深度,确定各内网地址对应的威胁系数;
根据确定出的各内网地址对应的威胁系数,确定所述无线网络的安全级别。
2.根据权利要求1所述的方法,其特征在于,所述根据所选取的各内网地址对应的网络地址类别和路径深度,确定各内网地址对应的威胁系数,包括:
对于每一个内网地址,根据所述内网地址对应的网络地址类别和路径深度,从预设对应关系中查询获取所述内网地址对应的威胁系数,其中,所述预设对应关系中包括威胁系数分别与网络地址类别和路径深度的对应关系。
3.根据权利要求2所述的方法,其特征在于,所述威胁系数与网络地址类别的对应关系包括:对于同一路径深度的内网地址而言,所述内网地址的威胁系数与网络地址类别对应的最大主机容量呈负相关关系;
所述威胁系数与路径深度的对应关系包括:对于同一网络地址类别的内网地址而言,所述内网地址的威胁系数与路径深度呈正相关关系。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述获取所述终端通过所述无线网络访问预设网络地址时经过的访问路径中的各个网络地址和每一个网络地址对应的路径深度,包括:
通过所述无线网络向所述预设网络地址发送生存时间TTL为i的探测报文,所述i的初始值为1;
接收所述终端访问所述预设网络地址时经过的访问路径中的第i级网络节点发送的所述探测报文对应的响应报文;
将所述响应报文中携带的源网络地址确定为第i级网络地址,所述第i级网络地址对应的路径深度确定为i;
判断所述第i级网络地址是否为所述预设网络地址;
若所述第i级网络地址不是所述预设网络地址,则令i=i+1,并再次从所述通过所述无线网络向所述预设网络地址发送TTL为i的探测报文的步骤开始执行;
若所述第i级网络地址是所述预设网络地址,则结束流程。
5.根据权利要求1至3任一项所述的方法,其特征在于,所述根据确定出的各内网地址对应的威胁系数,确定所述无线网络的安全级别,包括:
将确定出的所述各内网地址对应的威胁系数相加,得到所述无线网络对应的威胁系数;
根据所述无线网络对应的威胁系数,确定所述无线网络的安全级别。
6.一种对无线网络进行安全检测的装置,其特征在于,所述装置包括:
路径探测模块,用于在终端接入无线网络的情况下,获取所述终端通过所述无线网络访问预设网络地址时经过的访问路径中的各个网络地址和每一个网络地址对应的路径深度,其中,所述路径深度用于指示网络地址在访问路径中的层级;
地址选取模块,用于从所述访问路径中的各个网络地址中选取内网地址,确定所选取的内网地址的网络地址类别;
系数确定模块,用于根据所选取的各内网地址对应的网络地址类别和路径深度,确定各内网地址对应的威胁系数;
安全检测模块,用于根据确定出的各内网地址对应的威胁系数,确定所述无线网络的安全级别。
7.根据权利要求6所述的装置,其特征在于,所述系数确定模块,用于对于每一个内网地址,根据所述内网地址对应的网络地址类别和路径深度,从预设对应关系中查询获取所述内网地址对应的威胁系数,其中,所述预设对应关系中包括威胁系数分别与网络地址类别和路径深度的对应关系。
8.根据权利要求7所述的装置,其特征在于,所述威胁系数与网络地址类别的对应关系包括:对于同一路径深度的内网地址而言,所述内网地址的威胁系数与网络地址类别对应的最大主机容量呈负相关关系;
所述威胁系数与路径深度的对应关系包括:对于同一网络地址类别的内网地址而言,所述内网地址的威胁系数与路径深度呈正相关关系。
9.根据权利要求6至8任一项所述的装置,其特征在于,所述路径探测模块,包括:
报文发送单元,用于通过所述无线网络向所述预设网络地址发送生存时间TTL为i的探测报文,所述i的初始值为1;
报文接收单元,用于接收所述终端访问所述预设网络地址时经过的访问路径中的第i级网络节点发送的所述探测报文对应的响应报文;
地址确定单元,用于将所述响应报文中携带的源网络地址确定为第i级网络地址,所述第i级网络地址对应的路径深度确定为i;
地址判断单元,用于判断所述第i级网络地址是否为所述预设网络地址;若所述第i级网络地址不是所述预设网络地址,则令i=i+1,并通过所述报文发送单元再次从所述通过所述无线网络向所述预设网络地址发送TTL为i的探测报文开始执行;若所述第i级网络地址是所述预设网络地址,则结束流程。
10.根据权利要求6至8任一项所述的装置,其特征在于,所述安全检测模块,包括:
系数计算单元,用于将确定出的各内网地址对应的威胁系数相加,得到所述无线网络对应的威胁系数;
安全检测单元,用于根据所述无线网络对应的威胁系数,确定所述无线网络的安全级别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710114818.XA CN107070883B (zh) | 2017-02-28 | 2017-02-28 | 对无线网络进行安全检测的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710114818.XA CN107070883B (zh) | 2017-02-28 | 2017-02-28 | 对无线网络进行安全检测的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107070883A true CN107070883A (zh) | 2017-08-18 |
| CN107070883B CN107070883B (zh) | 2019-12-31 |
Family
ID=59622825
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710114818.XA Active CN107070883B (zh) | 2017-02-28 | 2017-02-28 | 对无线网络进行安全检测的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107070883B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737186A (zh) * | 2018-05-23 | 2018-11-02 | 郑州信大天瑞信息技术有限公司 | 一种内网安全态势感知方法 |
| CN110366172A (zh) * | 2019-08-23 | 2019-10-22 | 北京丁牛科技有限公司 | 一种无线访问接入点的安全性评级方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020114328A1 (en) * | 2001-02-20 | 2002-08-22 | Takahisa Miyamoto | Apparatus for linking a SAN with a LAN |
| WO2003075107A1 (fr) * | 2002-03-07 | 2003-09-12 | Omron Corporation | Dispositif de support d'evaluation de risque, produit-programme et procede pour commander un dispositif de support d'evaluation de risque a reseau de securite |
| US20080133518A1 (en) * | 2005-07-01 | 2008-06-05 | Harsh Kapoor | Systems and methods for processing data flows |
| CN101355415A (zh) * | 2007-07-26 | 2009-01-28 | 万能 | 实现网络终端安全接入公共网络的方法和系统及其专用网络接入控制器 |
| CN102523216A (zh) * | 2011-12-15 | 2012-06-27 | 四川长虹电器股份有限公司 | 实现互联网电视浏览器安全访问互联网的系统及方法 |
| CN103685597A (zh) * | 2013-12-02 | 2014-03-26 | 北京星网锐捷网络技术有限公司 | 内网地址记录方法及装置 |
-
2017
- 2017-02-28 CN CN201710114818.XA patent/CN107070883B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020114328A1 (en) * | 2001-02-20 | 2002-08-22 | Takahisa Miyamoto | Apparatus for linking a SAN with a LAN |
| WO2003075107A1 (fr) * | 2002-03-07 | 2003-09-12 | Omron Corporation | Dispositif de support d'evaluation de risque, produit-programme et procede pour commander un dispositif de support d'evaluation de risque a reseau de securite |
| US20080133518A1 (en) * | 2005-07-01 | 2008-06-05 | Harsh Kapoor | Systems and methods for processing data flows |
| CN101355415A (zh) * | 2007-07-26 | 2009-01-28 | 万能 | 实现网络终端安全接入公共网络的方法和系统及其专用网络接入控制器 |
| CN102523216A (zh) * | 2011-12-15 | 2012-06-27 | 四川长虹电器股份有限公司 | 实现互联网电视浏览器安全访问互联网的系统及方法 |
| CN103685597A (zh) * | 2013-12-02 | 2014-03-26 | 北京星网锐捷网络技术有限公司 | 内网地址记录方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 夏茂素: "WLAN入侵检测与防护系统设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737186A (zh) * | 2018-05-23 | 2018-11-02 | 郑州信大天瑞信息技术有限公司 | 一种内网安全态势感知方法 |
| CN108737186B (zh) * | 2018-05-23 | 2020-12-29 | 郑州信大天瑞信息技术有限公司 | 一种内网安全态势感知方法 |
| CN110366172A (zh) * | 2019-08-23 | 2019-10-22 | 北京丁牛科技有限公司 | 一种无线访问接入点的安全性评级方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107070883B (zh) | 2019-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105024984B (zh) | 权限设置方法、装置及系统 | |
| CN102521284B (zh) | 基于移动终端浏览器的页面截图处理方法和装置 | |
| EP3200487B1 (en) | Message processing method and apparatus | |
| CN105025043B (zh) | 信息分享方法、装置及系统 | |
| CN104618222B (zh) | 一种匹配表情图像的方法及装置 | |
| CN106161628A (zh) | 拍摄文件上传方法及装置 | |
| US20180158225A1 (en) | Method and apparatus for switching real-time image in instant messaging | |
| CN107071779A (zh) | 伪基站识别方法、装置及终端 | |
| CN103763112B (zh) | 一种用户身份保护方法和装置 | |
| CN104518875A (zh) | 一种身份验证及账号获取的方法、移动终端 | |
| CN104636664A (zh) | 基于文档对象模型的跨站脚本攻击漏洞检测方法及装置 | |
| CN104135728B (zh) | 网络连接方法及装置 | |
| CN104580177B (zh) | 资源提供方法、装置和系统 | |
| CN106708538A (zh) | 界面显示方法及装置 | |
| CN104519197A (zh) | 用户登录的方法、装置及终端设备 | |
| CN106034114A (zh) | 多媒体信息分享方法及装置 | |
| CN106603740B (zh) | 网络连接异常的处理方法与终端设备 | |
| CN104518945A (zh) | 一种发送、接收社交网络信息的方法、装置和系统 | |
| CN106658657A (zh) | 一种接入网络的方法和装置 | |
| CN104618223A (zh) | 一种信息推荐的管理方法、装置和系统 | |
| CN106714278A (zh) | 连接无线热点的方法及装置 | |
| CN106658623A (zh) | 一种热点网络切换方法及终端设备 | |
| CN107222902A (zh) | 一种传输数据的方法和装置 | |
| CN105376138B (zh) | 一种联系人添加的方法、数据传输的方法、及用户设备 | |
| CN104702678B (zh) | 文件传输方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |